SlideShare une entreprise Scribd logo

Управление информационной безопасностью

В
Вячеслав Аксёнов

Управление информационной безопасностью (небольшой раздел из курса по информационной безопасности)

Formation
1  sur  48
Télécharger pour lire hors ligne
УПРАВЛЕНИЕ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТЬЮ  Основы процессного подхода в области информационной безопасности.  Стандарты и структуры построения систем информационной безопасности.  Поведение оценки и разработка планов обработки рисков информационной безопасности.
ОСНОВЫ ПРОЦЕССНОГО ПОДХОДА В ОБЛАСТИ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
 Процесс - это совокупность взаимосвязанных и взаимодействующих видов деятельности, которые преобразуют входы в выходы  Процессный подход - концепция управления, которая рассматривает всю деятельность организации как набор процессов.  Управление организацией – управление процессами.  Важной составляющей процесса, является систематичность действий. Действия процесса должны быть повторяющимися, а не случайными. 3/91 Определения ПРОЦЕССНЫЙ ПОДХОД
4/91 Принципы ПРОЦЕССНЫЙ ПОДХОД Принцип взаимосвязи процессов Принцип востребованности процесса Принцип документирования процессов Принцип контроля процесса Принцип ответственности за процесс
 Вход  Выход  Ресурсы  Владелец  Потребители и поставщики  Показатели 5/91 Ключевые элементы процесса ПРОЦЕССНЫЙ ПОДХОД
 Координация действий различных подразделений в рамках процесса;  Ориентация на результат процесса;  Повышение результативности и эффективности работы организации;  Прозрачность действий по достижению результата;  Повышение предсказуемости результатов;  Выявление возможностей для целенаправленного улучшения процессов;  Устранение барьеров между функциональными подразделениями;  Сокращение лишних вертикальных взаимодействий;  Исключение невостребованных процессов;  Сокращение временных и материальных затрат. 6/91 Преимущества ПРОЦЕССНЫЙ ПОДХОД
СТАНДАРТЫ И СТРУКТУРЫ ПОСТРОЕНИЯ СИСТЕМ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
 СТБ ISO/IEC 27001-2016 «Информационные технологии. Методы обеспечения безопасности. Системы менеджмента информационной безопасности. Требования».  СТБ 34.101.41-2013 «Информационные технологии и безопасность. Обеспечение информационной безопасности банков Республики Беларусь. Общие положения».  ТКП 483-2013 «Информационные технологии и безопасность. Безопасная эксплуатация и надежное функционирование критически важных объектов информатизации. Общие требования».  «Методические рекомендации по обеспечению информационной безопасности. Система менеджмента информационной безопасности» http://oac.gov.by/files/files/kvoi/metod_recomend.docx. 8/91 Республика Беларусь СТРУКТУРЫ СИСТЕМЫ ИБ
Область применения Этапы внедрения СМИБ Разработка (планирование) СМИБ Внедрение СМИБ Проверка СМИБ Совершенствование СМИБ Требования, предъявляемые к СМИБ Требования к локальным нормативным правовым актам организации Требования к организации информационной безопасности Требования к управлению активами Требования, связанные с персоналом Требования к физической защите Требования к функционированию средств обработки информации, информационных систем и сетей Требования к контролю доступа к СОИИСС Требования к разработке, внедрению и обслуживанию информационных систем Требования к управлению инцидентами информационной безопасности Требования к информационной безопасности при управлении непрерывностью основных процессов организации МЕТОДИЧЕСКИЕ РЕКОМЕНДАЦИИ ПО ОБЕСПЕЧЕНИЮ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ. СИСТЕМА МЕНЕДЖМЕНТА ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
«Информационные технологии и безопасность. Обеспечение информационной безопасности банков Республики Беларусь. Общие положения»  Распространяется на банки РБ.  Устанавливает положения, концептуальную схему, модели угроз и нарушителей ИБ.  Предназначен для применения при построении, проверке и оценке систем ИБ и систем менеджмента ИБ банков. 10/91 СТБ 34.101.41 СТРУКТУРЫ СИСТЕМЫ ИБ
«Информационные технологии. Методы обеспечения безопасности. Системы менеджмента информационной безопасности. Требования»  Устанавливает требования к разработке, внедрению, поддержанию и постоянному улучшению СМИБ в контексте организации.  Включает требования по оценке и обработке рисков ИБ в соответствии с потребностями организации.  Носит общий характер и предназначен для применения всеми организациями, независимо от типа, размера или характера деятельности. 11/91 СТБ ISO/IEC 27001 СТРУКТУРЫ СИСТЕМЫ ИБ
12/91 ISO/IEC 27001 СИСТЕМА МЕНЕДЖМЕНТА ИБ
13/91 Проект разработки и внедрения СМИБ 7. Программа внедрения СМИБ 3. Инвентариза- ция инфо- активов 0. Start 2. Определить область применения 6. Разработать программу внедрения СМИБ 5b. Подготовить план обработки рисков 4. Оценка риска 1. Получить поддержку руководства N N-1 Один из проектов программы Реестр План обработки риска Область применения Обоснование для бизнеса 8. Система менеджмента информационной безопасности План проекта План проекта План проекта 11. Проверка соответствия 5a. Подготовить положение о применмости Положение о применимости (SoA) 12. Корректирующие дествия ISO/IEC 27002 13. Пред- аудит 14. Сертификаци онный аудит ISO/IEC 27001 Сертификат ISO/IEC 27001 9. Свидетельства функционирования СМИБ Copyright © 2016 ISO27k Forum Version 4 www.ISO27001security.com Report Report Инциденты Logs Report Отчеты по анализу со стороны руководства Политики Стандарты Процедуры Руководства 15. Эксплуатация СМИБ 16. Ежегодные аудиторские проверки Report Метрики ISO/IEC 27005 ISO/IEC 27003 ISO/IEC 27004 10. Внутренний аудит СМИБ Report Report BCP Report Отчеты по аудиту ISO 22301 НПА, ТНПА, договоры Легенда Деятельность Международный стандарт Документ или запись Набор или группа Viacheslav Aksionov Itsec.by
 Система менеджмента информационной безопасности (СМИБ) - представляет модель для создания, внедрения, функционирования, мониторинга, анализа, поддержки и улучшения защиты информационных активов для достижения деловых целей, основанную на оценке риска и на принятии уровней риска организации, разработанную для эффективного рассмотрения и управления рисками. 14/91 ISO/IEC 27001 СИСТЕМА МЕНЕДЖМЕНТА ИБ
 ISO 27001 обеспечивает модель для создания, внедрения, эксплуатации, мониторинга, анализа, поддержания и совершенствования менеджмента информационной безопасности.  Принятие СМИБ должно быть стратегическим решением для организации.  На разработку и реализацию СМИБ организации влияют бизнес потребности и цели, требования безопасности, применяемые процессы, размер и структура организации.  Реализация СМИБ должна масштабироваться и изменятся в соответствии с потребностями организации. 15/91 ISO/IEC 27001 СИСТЕМА МЕНЕДЖМЕНТА ИБ ISO/IEC 27001
16/91 Структура стандарта СТБ ISO/IEC 27001-2016 СИСТЕМА МЕНЕДЖМЕНТА ИБ 4. Контекст организации 5. Лидерство 6. Планирование 7. Поддержка 8. Операционная деятельность 9. Оценивание пригодности 10. Улучшение Приложение А – Перечень целей управления и средств управления (меры ЗИ) PLAN DO CHECK ACT
СИСТЕМА МЕНЕДЖМЕНТА ИБ Структура стандарта СТБ ISO/IEC 27002 (меры) ISO/IEC 27002  ISO 27002 устанавливает руководящие и общие принципы начинания, реализации, поддержания в рабочем состоянии и улучшения управления защитой информации в организации.  Цели, очерченные ISO 27002, дают общие руководящие принципы по обычно принимаемым целям управления защитой информации.  Цели и средства управления ISO 27002 разработаны для реализации, осуществляемой с целью выполнить требования, выявленные оценкой рисков.  ISO 27002 может служить в качестве практического руководства по разработке организационных стандартов защиты и практик эффективного управления защитой.
 включает в себя политики, процедуры, руководства и соответствующие ресурсы и задачи, коллегиально управляемых организацией в целях защиты ее информационных активов.  представляет собой системный подход к разработке, внедрению, функционированию, мониторингу, анализу, обеспечению и улучшению ИБ организации для достижения бизнес-целей.  основывается на оценке рисков и уровнях приемлемости рисков организации. 18/91 Система менеджмента ИБ (СМИБ) УПРАВЛЕНИЕ ИБ
19/91 4. Контекст организации ISO/IEC 27001:2013 4.4 Система менеджмента информационной безопасности 4.3 Определение области применения системы менеджмента информационной безопасности 4.2 Понимание потребностей и ожиданий заинтересованных сторон 4.1 Понимание организации и ее контекста
20/91 5. Лидерство ISO/IEC 27001:2013 5.1 Лидерство и приверженность 5.2 Политика 5.3 Роли, обязанности и полномочия в организации
21/91 6. Планирование ISO/IEC 27001:2013 6.2 Цели информационной безопасности и планирование их достижения 6.1 Действия по рассмотрению рисков и возможностей 6.1.1 Общие требования 6.1.2 Оценка риска информационной безопасности 6.1.3 Обработка рисков информационной безопасности
22/91 7. Поддержка ISO/IEC 27001:2013 7.1 Ресурсы 7.2 Компетентность 7.3 Осведомленность 7.4 Коммуникации 7.5 Документированная информация • 7.5.1 Общие положения • 7.5.2 Создание и обновление • 7.5.3 Управление документированной информацией
23/91 8. Операционная деятельность ISO/IEC 27001:2013 8.1 Планирование и управление деятельностью 8.2 Оценка рисков информационной безопасности 8.3 Обработка риска информационной безопасности
24/91 9. Оценивание пригодности ISO/IEC 27001:2013 9.1 Мониторинг, измерения, анализ и оценивание 9.2 Внутренний аудит 9.3 Анализ со стороны руководства
25/91 10. Улучшение ISO/IEC 27001:2013 10.1 Несоответствия и корректирующие действия 10.2 Постоянное улучшение
26/91 Приложение А ISO/IEC 27001:2013 А.5 Политики информационной безопасности А.6 Организация информационной безопасности А.7 Безопасность, связанная с персоналом А.8 Управление активами А.9 Управление доступом А.10 Криптография А.11 Физическая безопасность и защита от окружающей среды А.12 Операционная деятельность по обеспечению безопасности А.13 Безопасность сети А.14 Приобретение, разработка и сопровождение систем А.15 Взаимоотношения с поставщиками А.16 Управление инцидентами в области информационной безопасности А.17 Аспекты информационной безопасности при управлении непрерывностью бизнеса А.18 Соответствие
27/91 Приложение А ISO/IEC 27001:2013 А.5 Политики информационной безопасности А.5.1 Направляющая роль руководства в сфере информационной безопасности А.6 Организация информационной безопасности А.6.1 Внутренняя организация А.6.2 Мобильные устройства и удаленная работа А.7 Безопасность, связанная с персоналом А.7.1 До приема на работу А.7.2 Во время работы А.7.3 Увольнение и изменение должности А.8 Управление активами А.8.1 Ответственность за активы А.8.2 Классификация информации А.8.3 Обращение с носителями информации А.9 Управление доступом А.9.1 Бизнес- требования к управлению доступом А.9.2 Управление доступом пользователей А.9.3 Ответственность пользователя А.9.4 Управление доступом к системам и приложениям А.10 Криптография А.10.1 Криптографические средства управления А.11 Физическая безопасность и защита от окружающей среды А.11.1 Зоны безопасности А.11.2 Оборудование А.12 Операционная деятельность по обеспечению безопасности А.12.1 Рабочие процедуры и ответственность А.12.2 Защита от вредоносных программ А.12.3 Резервное копирование А.12.4 Регистрация и мониторинг А.12.5 Управление операционным программным обеспечением А.12.6 Управление технической уязвимостью А.12.7 Аспекты аудита информационных систем А.13 Безопасность сети А.13.1 Управление безопасностью сети А.13.2 Передача информации А.14 Приобретение, разработка и сопровождение систем А.14.1 Требования к безопасности информационных систем А.14.2 Безопасность процессов разработки и поддержки А.14.3 Данные для тестирования А.15 Взаимоотношения с поставщиками А.15.1 Информационная безопасность при взаимоотношениях с поставщиками А.15.2 Управление предоставлением услуг поставщиком А.16 Управление инцидентами в области информационной безопасности А.16.1 Управление инцидентами в области информационной безопасности и улучшения А.17 Аспекты информационной безопасности при управлении непрерывностью бизнеса А.17.1 Непрерывность информационной безопасности А.17.2 Избыточность А.18 Соответствие А.18.1 Соответствие законодательным и договорным требованиям А.18.2 Анализ информационной безопасности
28/91 А.5 Политики информационной безопасности Приложение А - ISO/IEC 27001:2013  А.5.1 Направляющая роль руководства в сфере информационной безопасности
29/91 А.6 Организация информационной безопасности Приложение А - ISO/IEC 27001:2013 А.6.1 Внутренняя организация А.6.2 Мобильные устройства и удаленная работа
30/91 А.7 Безопасность, связанная с персоналом Приложение А - ISO/IEC 27001:2013 А.7.1 До приема на работу А.7.2 Во время работы А.7.3 Увольнение и изменение должности
31/91 А.8 Управление активами Приложение А - ISO/IEC 27001:2013 А.8.1 Ответственность за активы А.8.2 Классификация информации А.8.3 Обращение с носителями информации
32/91 А.9 Управление доступом Приложение А - ISO/IEC 27001:2013 А.9.1 Бизнес- требования к управлению доступом А.9.2 Управление доступом пользователей А.9.3 Ответственность пользователя
33/91 А.9 Управление доступом Приложение А - ISO/IEC 27001:2013 А.9.1 Бизнес-требования к управлению доступом А.9.2 Управление доступом пользователей А.9.3 Ответственность пользователя А.9.4 Управление доступом к системам и приложениям
34/91 А.10 Криптография Приложение А - ISO/IEC 27001:2013  А.10.1 Криптографические средства управления
35/91 А.11 Физическая безопасность и защита от окружающей среды Приложение А - ISO/IEC 27001:2013  А.11.1 Зоны безопасности  А.11.2 Оборудование
36/91 А.12 Операционная деятельность по обеспечению безопасности Приложение А - ISO/IEC 27001:2013 А.12.1 Рабочие процедуры и ответственность А.12.2 Защита от вредоносных программ А.12.3 Резервное копирование А.12.4 Регистрация и мониторинг А.12.5 Управление операционным программным обеспечением А.12.6 Управление технической уязвимостью А.12.7 Аспекты аудита информационных систем
37/91 А.13 Безопасность сети Приложение А - ISO/IEC 27001:2013  А.13.1 Управление безопасностью сети  А.13.2 Передача информации
38/91 А.14 Приобретение, разработка и сопровождение систем Приложение А - ISO/IEC 27001:2013 А.14.1 Требования к безопасности информационных систем А.14.2 Безопасность процессов разработки и поддержки А.14.3 Данные для тестирования
39/91 А.15 Взаимоотношения с поставщиками Приложение А - ISO/IEC 27001:2013  А.15.1 Информационная безопасность при взаимоотношениях с поставщиками  А.15.2 Управление предоставлением услуг поставщиком
40/91 А.16 Управление инцидентами в области информационной безопасности Приложение А - ISO/IEC 27001:2013  А.16.1 Управление инцидентами в области информационной безопасности и улучшения
41/91 А.17 Аспекты информационной безопасности при управлении непрерывностью бизнеса Приложение А - ISO/IEC 27001:2013  А.17.1 Непрерывность информационной безопасности  А.17.2 Избыточность
42/91 А.18 Соответствие Приложение А - ISO/IEC 27001:2013  А.18.1 Соответствие законодательным и договорным требованиям  А.18.2 Анализ информационной безопасности
ПОВЕДЕНИЕ ОЦЕНКИ И РАЗРАБОТКА ПЛАНОВ ОБРАБОТКИ РИСКОВ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
ОЦЕНКА И ОБРАБОТКА РИСКОВ ИБ Когда безопасности достаточно? • Сколько вы потеряете? • Какой уровень (процент) воздействия? • Насколько вы уязвимы? • Как риск может быть снижен? Вначале мы должны понимать риск
ОЦЕНКА И ОБРАБОТКА РИСКОВ ИБ Еще раз вспомним Шаг 3 – Оценка защитных мер Определить потенциальные защитные меры и их стоимость Шаг 2 – Оценка угроз и уязвимостей Фаза 1 – Запустить автоматизированное средство оценки уязвимостей Фаза 2 – Проанализировать результаты Шаг 1 – Инвентаризация, Определение, Требования Фаза 1 – Идентифицировать критичные бизнес- процессы Фаза 2 – создать перечень активов используемых в определенных бизнес- процессах Фаза 3 – Определить ценность данных активов
ОЦЕНКА И ОБРАБОТКА РИСКОВ ИБ Еще раз вспомним Шаг 5 – Мониторинг Постоянный анализ новых угроз и изменения мер при необходимости. Значительные организационные изменения должны привести к новой оценке рисков. Шаг 4 – Коммуникация Довести результаты соответствующим заинтересованным сторонам Шаг 3 – Анализ, Решение/Обработка, Документирование Фаза 1 – Проанализировать перечень мер для каждой угрозы Фаза 2 – выбрать наилучшие меры для каждой угрозы Фаза 3 – Документировать процесс и результаты оценки
ОЦЕНКА РИСКОВ ИБ СТБ 34.101.41 В банке должна быть принята / корректироваться методика оценки рисков нарушения ИБ / подход к оценке рисков нарушения ИБ. В банке должны быть определены критерии принятия рисков нарушения ИБ и уровень допустимого риска нарушения ИБ. Методика оценки рисков нарушения ИБ / подход к оценке рисков нарушения ИБ банка должна определять способ и порядок качественного или количественного оценивания риска нарушения ИБ. Порядок оценки рисков нарушения ИБ должен определять необходимые процедуры оценки рисков нарушения ИБ, а также последовательность их выполнения. Оценка рисков нарушения ИБ проводится для свойств ИБ всех информационных активов (типов информационных активов) области действия СОИБ. В банке рекомендуется создать и поддерживать в актуальном состоянии единый информационный ресурс (базу данных), содержащий информацию об инцидентах ИБ. Полученные в результате оценивания рисков нарушения ИБ величины рисков должны быть соотнесены с уровнем допустимого риска, принятого в банке. Результатом выполнения указанной процедуры является документально оформленный перечень недопустимых рисков нарушения ИБ. В банке должны быть документально определены роли, связанные с деятельностью по определению/коррекции методики оценки рисков нарушения ИБ/подхода к оценке рисков нарушения ИБ, и назначены ответственные за выполнение указанных ролей. В банке должны быть документально определены роли по оценке рисков нарушения ИБ и назначены ответственные за выполнение указанных ролей.
ОБРАБОТКА РИСКОВ ИБ СТБ 34.101.41 По каждому из рисков нарушения ИБ, который является недопустимым, должен быть документально определен план, определяющий один из возможных способов его обработки: •перенос риска на сторонние организации (например, путем страхования указанного риска); •уход от риска (например, путем отказа от деятельности, выполнение которой приводит к по-явлению риска); •осознанное принятие риска; •формирование требований ИБ, снижающих риск нарушения ИБ до допустимого уровня и формирования планов по их реализации. Планы обработки рисков нарушения ИБ должны быть согласованы с руководителем службы ИБ либо лицом, отвечающим в банке за обеспечение ИБ, и утверждены руководством. Планы реализаций требований ИБ должны содержать последовательность и сроки реа- лизации и внедрения организационных, технических и иных защитных мер. В банке должны быть документально определены роли по разработке планов обработки рисков нарушения ИБ и назначены ответственные за выполнение указанных ролей.

Recommandé

Attestation of personal data protection systems
Attestation of personal data protection systemsAttestation of personal data protection systems
Attestation of personal data protection systemsВячеслав Аксёнов
 
Курс: Основы информационной безопасности.
Курс: Основы информационной безопасности.Курс: Основы информационной безопасности.
Курс: Основы информационной безопасности.Вячеслав Аксёнов
 
Курс: Оценка и управление рисками информационной безопасности в организации
Курс: Оценка и управление рисками информационной безопасности в организацииКурс: Оценка и управление рисками информационной безопасности в организации
Курс: Оценка и управление рисками информационной безопасности в организацииВячеслав Аксёнов
 
Курс: Аудит информационной безопасности (Information Security Audit Course)
Курс: Аудит информационной безопасности (Information Security Audit Course)Курс: Аудит информационной безопасности (Information Security Audit Course)
Курс: Аудит информационной безопасности (Information Security Audit Course)Вячеслав Аксёнов
 
Создание автоматизированных систем в защищенном исполнении
Создание автоматизированных систем в защищенном исполненииСоздание автоматизированных систем в защищенном исполнении
Создание автоматизированных систем в защищенном исполненииВячеслав Аксёнов
 
Cloud security risk management (fragment of course materials)
Cloud security risk management (fragment of course materials)Cloud security risk management (fragment of course materials)
Cloud security risk management (fragment of course materials)Вячеслав Аксёнов
 
Краткий обзор курса: Создание автоматизированных систем в защищенном исполнении.
Краткий обзор курса: Создание автоматизированных систем в защищенном исполнении.Краткий обзор курса: Создание автоматизированных систем в защищенном исполнении.
Краткий обзор курса: Создание автоматизированных систем в защищенном исполнении.Вячеслав Аксёнов
 
ISMS audit and implementation
ISMS audit and implementationISMS audit and implementation
ISMS audit and implementationВячеслав Аксёнов
 

Recommandé

Attestation of personal data protection systems
Attestation of personal data protection systemsAttestation of personal data protection systems
Attestation of personal data protection systemsВячеслав Аксёнов
 
Курс: Основы информационной безопасности.
Курс: Основы информационной безопасности.Курс: Основы информационной безопасности.
Курс: Основы информационной безопасности.Вячеслав Аксёнов
 
Курс: Оценка и управление рисками информационной безопасности в организации
Курс: Оценка и управление рисками информационной безопасности в организацииКурс: Оценка и управление рисками информационной безопасности в организации
Курс: Оценка и управление рисками информационной безопасности в организацииВячеслав Аксёнов
 
Курс: Аудит информационной безопасности (Information Security Audit Course)
Курс: Аудит информационной безопасности (Information Security Audit Course)Курс: Аудит информационной безопасности (Information Security Audit Course)
Курс: Аудит информационной безопасности (Information Security Audit Course)Вячеслав Аксёнов
 
Создание автоматизированных систем в защищенном исполнении
Создание автоматизированных систем в защищенном исполненииСоздание автоматизированных систем в защищенном исполнении
Создание автоматизированных систем в защищенном исполненииВячеслав Аксёнов
 
Cloud security risk management (fragment of course materials)
Cloud security risk management (fragment of course materials)Cloud security risk management (fragment of course materials)
Cloud security risk management (fragment of course materials)Вячеслав Аксёнов
 
Краткий обзор курса: Создание автоматизированных систем в защищенном исполнении.
Краткий обзор курса: Создание автоматизированных систем в защищенном исполнении.Краткий обзор курса: Создание автоматизированных систем в защищенном исполнении.
Краткий обзор курса: Создание автоматизированных систем в защищенном исполнении.Вячеслав Аксёнов
 
ISMS audit and implementation
ISMS audit and implementationISMS audit and implementation
ISMS audit and implementationВячеслав Аксёнов
 
Clouds security (responsibility and information relations)
Clouds security (responsibility and information relations)Clouds security (responsibility and information relations)
Clouds security (responsibility and information relations)Вячеслав Аксёнов
 
Information Security Presentation (B.E.E.R 2021)
Information Security Presentation (B.E.E.R 2021)Information Security Presentation (B.E.E.R 2021)
Information Security Presentation (B.E.E.R 2021)Вячеслав Аксёнов
 
Внедрение СУИБ на основе ISO/IEC 27001
Внедрение СУИБ на основе ISO/IEC 27001Внедрение СУИБ на основе ISO/IEC 27001
Внедрение СУИБ на основе ISO/IEC 27001Dmitry Savchenko
 
Политика обнаружения и реагирования на инциденты информационной безопасности
Политика обнаружения и реагирования на инциденты информационной безопасностиПолитика обнаружения и реагирования на инциденты информационной безопасности
Политика обнаружения и реагирования на инциденты информационной безопасностиEvgeniy Shauro
 
Практические аспекты проведения аудита информационной безопасности компании 2...
Практические аспекты проведения аудита информационной безопасности компании 2...Практические аспекты проведения аудита информационной безопасности компании 2...
Практические аспекты проведения аудита информационной безопасности компании 2...DialogueScience
 
Учебные курсы по безопасности АСУ ТП
Учебные курсы по безопасности АСУ ТПУчебные курсы по безопасности АСУ ТП
Учебные курсы по безопасности АСУ ТПКомпания УЦСБ
 
пр Спроси эксперта про прогнозы ИБ
пр Спроси эксперта про прогнозы ИБпр Спроси эксперта про прогнозы ИБ
пр Спроси эксперта про прогнозы ИБAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
пр Тренды ИБ в России 2016 (Прозоров)
пр Тренды ИБ в России 2016 (Прозоров)пр Тренды ИБ в России 2016 (Прозоров)
пр Тренды ИБ в России 2016 (Прозоров)Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
пр Актуальный ландшафт угроз ИБ 2015 08
пр Актуальный ландшафт угроз ИБ 2015 08пр Актуальный ландшафт угроз ИБ 2015 08
пр Актуальный ландшафт угроз ИБ 2015 08Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Требования по иб фстэк (госис, пдн, асу тп) V.1
Требования по иб фстэк (госис, пдн, асу тп) V.1Требования по иб фстэк (госис, пдн, асу тп) V.1
Требования по иб фстэк (госис, пдн, асу тп) V.1Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
пр Актуальность аутсорсинга ИБ в России 2015 12-10
пр Актуальность аутсорсинга ИБ в России 2015 12-10пр Актуальность аутсорсинга ИБ в России 2015 12-10
пр Актуальность аутсорсинга ИБ в России 2015 12-10Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Сети управления. Поддержка доступности сетей при кибератаке
Сети управления. Поддержка доступности сетей при кибератакеСети управления. Поддержка доступности сетей при кибератаке
Сети управления. Поддержка доступности сетей при кибератакеCisco Russia
 
5.про soc от jet
5.про soc от jet5.про soc от jet
5.про soc от jetAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
требования по иб фстэк (госис, пдн, асу тп) V.1.1
требования по иб фстэк (госис, пдн, асу тп) V.1.1требования по иб фстэк (госис, пдн, асу тп) V.1.1
требования по иб фстэк (госис, пдн, асу тп) V.1.1Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
пр 01.актуальный ландшафт угроз иб (jsoc нн) 2015 08-21
пр 01.актуальный ландшафт угроз иб (jsoc нн) 2015 08-21пр 01.актуальный ландшафт угроз иб (jsoc нн) 2015 08-21
пр 01.актуальный ландшафт угроз иб (jsoc нн) 2015 08-21Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Information Security Legislations (BY)
Information Security Legislations (BY)Information Security Legislations (BY)
Information Security Legislations (BY)Вячеслав Аксёнов
 
Аудит СУИБ
Аудит СУИБАудит СУИБ
Аудит СУИБAlexander Dorofeev
 
пр Solar inView Безопасность под контролем, в.1.3
пр Solar inView Безопасность под контролем, в.1.3пр Solar inView Безопасность под контролем, в.1.3
пр Solar inView Безопасность под контролем, в.1.3Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
пр про SOC для ФСТЭК
пр про SOC для ФСТЭКпр про SOC для ФСТЭК
пр про SOC для ФСТЭКAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Yalta_10 _ey-cio_forum
Yalta_10 _ey-cio_forumYalta_10 _ey-cio_forum
Yalta_10 _ey-cio_forumVladimir Matviychuk
 
Стандарты по управлению ИБ (1).pptx
Стандарты по управлению ИБ (1).pptxСтандарты по управлению ИБ (1).pptx
Стандарты по управлению ИБ (1).pptxghdffds
 
Принципы защиты информации и метрики ИБ
Принципы защиты информации и метрики ИБПринципы защиты информации и метрики ИБ
Принципы защиты информации и метрики ИБАлександр Лысяк
 

Contenu connexe

Tendances

Clouds security (responsibility and information relations)
Clouds security (responsibility and information relations)Clouds security (responsibility and information relations)
Clouds security (responsibility and information relations)Вячеслав Аксёнов
 
Внедрение СУИБ на основе ISO/IEC 27001
Внедрение СУИБ на основе ISO/IEC 27001Внедрение СУИБ на основе ISO/IEC 27001
Внедрение СУИБ на основе ISO/IEC 27001Dmitry Savchenko
 
Политика обнаружения и реагирования на инциденты информационной безопасности
Политика обнаружения и реагирования на инциденты информационной безопасностиПолитика обнаружения и реагирования на инциденты информационной безопасности
Политика обнаружения и реагирования на инциденты информационной безопасностиEvgeniy Shauro
 
Практические аспекты проведения аудита информационной безопасности компании 2...
Практические аспекты проведения аудита информационной безопасности компании 2...Практические аспекты проведения аудита информационной безопасности компании 2...
Практические аспекты проведения аудита информационной безопасности компании 2...DialogueScience
 
Учебные курсы по безопасности АСУ ТП
Учебные курсы по безопасности АСУ ТПУчебные курсы по безопасности АСУ ТП
Учебные курсы по безопасности АСУ ТПКомпания УЦСБ
 
Сети управления. Поддержка доступности сетей при кибератаке
Сети управления. Поддержка доступности сетей при кибератакеСети управления. Поддержка доступности сетей при кибератаке
Сети управления. Поддержка доступности сетей при кибератакеCisco Russia
 

Tendances (19)

Clouds security (responsibility and information relations)
Clouds security (responsibility and information relations)Clouds security (responsibility and information relations)
Clouds security (responsibility and information relations)
 
Information Security Presentation (B.E.E.R 2021)
Information Security Presentation (B.E.E.R 2021)Information Security Presentation (B.E.E.R 2021)
Information Security Presentation (B.E.E.R 2021)
 
Внедрение СУИБ на основе ISO/IEC 27001
Внедрение СУИБ на основе ISO/IEC 27001Внедрение СУИБ на основе ISO/IEC 27001
Внедрение СУИБ на основе ISO/IEC 27001
 
Политика обнаружения и реагирования на инциденты информационной безопасности
Политика обнаружения и реагирования на инциденты информационной безопасностиПолитика обнаружения и реагирования на инциденты информационной безопасности
Политика обнаружения и реагирования на инциденты информационной безопасности
 
Практические аспекты проведения аудита информационной безопасности компании 2...
Практические аспекты проведения аудита информационной безопасности компании 2...Практические аспекты проведения аудита информационной безопасности компании 2...
Практические аспекты проведения аудита информационной безопасности компании 2...
 
Учебные курсы по безопасности АСУ ТП
Учебные курсы по безопасности АСУ ТПУчебные курсы по безопасности АСУ ТП
Учебные курсы по безопасности АСУ ТП
 
пр Спроси эксперта про прогнозы ИБ
пр Спроси эксперта про прогнозы ИБпр Спроси эксперта про прогнозы ИБ
пр Спроси эксперта про прогнозы ИБ
 
пр Тренды ИБ в России 2016 (Прозоров)
пр Тренды ИБ в России 2016 (Прозоров)пр Тренды ИБ в России 2016 (Прозоров)
пр Тренды ИБ в России 2016 (Прозоров)
 
пр Актуальный ландшафт угроз ИБ 2015 08
пр Актуальный ландшафт угроз ИБ 2015 08пр Актуальный ландшафт угроз ИБ 2015 08
пр Актуальный ландшафт угроз ИБ 2015 08
 
Требования по иб фстэк (госис, пдн, асу тп) V.1
Требования по иб фстэк (госис, пдн, асу тп) V.1Требования по иб фстэк (госис, пдн, асу тп) V.1
Требования по иб фстэк (госис, пдн, асу тп) V.1
 
пр Актуальность аутсорсинга ИБ в России 2015 12-10
пр Актуальность аутсорсинга ИБ в России 2015 12-10пр Актуальность аутсорсинга ИБ в России 2015 12-10
пр Актуальность аутсорсинга ИБ в России 2015 12-10
 
Сети управления. Поддержка доступности сетей при кибератаке
Сети управления. Поддержка доступности сетей при кибератакеСети управления. Поддержка доступности сетей при кибератаке
Сети управления. Поддержка доступности сетей при кибератаке
 
5.про soc от jet
5.про soc от jet5.про soc от jet
5.про soc от jet
 
требования по иб фстэк (госис, пдн, асу тп) V.1.1
требования по иб фстэк (госис, пдн, асу тп) V.1.1требования по иб фстэк (госис, пдн, асу тп) V.1.1
требования по иб фстэк (госис, пдн, асу тп) V.1.1
 
пр 01.актуальный ландшафт угроз иб (jsoc нн) 2015 08-21
пр 01.актуальный ландшафт угроз иб (jsoc нн) 2015 08-21пр 01.актуальный ландшафт угроз иб (jsoc нн) 2015 08-21
пр 01.актуальный ландшафт угроз иб (jsoc нн) 2015 08-21
 
Information Security Legislations (BY)
Information Security Legislations (BY)Information Security Legislations (BY)
Information Security Legislations (BY)
 
Аудит СУИБ
Аудит СУИБАудит СУИБ
Аудит СУИБ
 
пр Solar inView Безопасность под контролем, в.1.3
пр Solar inView Безопасность под контролем, в.1.3пр Solar inView Безопасность под контролем, в.1.3
пр Solar inView Безопасность под контролем, в.1.3
 
пр про SOC для ФСТЭК
пр про SOC для ФСТЭКпр про SOC для ФСТЭК
пр про SOC для ФСТЭК
 

Similaire à Управление информационной безопасностью

Стандарты по управлению ИБ (1).pptx
Стандарты по управлению ИБ (1).pptxСтандарты по управлению ИБ (1).pptx
Стандарты по управлению ИБ (1).pptxghdffds
 
Принципы защиты информации и метрики ИБ
Принципы защиты информации и метрики ИБПринципы защиты информации и метрики ИБ
Принципы защиты информации и метрики ИБАлександр Лысяк
 
НБУ - Анализ рисков,связанных с информационными технологиями
НБУ - Анализ рисков,связанных с информационными технологиямиНБУ - Анализ рисков,связанных с информационными технологиями
НБУ - Анализ рисков,связанных с информационными технологиямиNick Turunov
 
Cyber Defense Doctrine Managing the Risk Full Applied Guide to Organizational...
Cyber Defense Doctrine Managing the Risk Full Applied Guide to Organizational...Cyber Defense Doctrine Managing the Risk Full Applied Guide to Organizational...
Cyber Defense Doctrine Managing the Risk Full Applied Guide to Organizational...Ирония безопасности
 
формирование системы риск менеджмента инновационной деятельности на основе...
формирование системы риск менеджмента инновационной деятельности на основе...формирование системы риск менеджмента инновационной деятельности на основе...
формирование системы риск менеджмента инновационной деятельности на основе...IAB_CRD
 
Risk Management System (RiskMS)
Risk Management System (RiskMS)Risk Management System (RiskMS)
Risk Management System (RiskMS)LtD "UGIS group"
 
Построение СУИБ на основе ISO 27k
Построение СУИБ на основе ISO 27kПостроение СУИБ на основе ISO 27k
Построение СУИБ на основе ISO 27kSergey Chuchaev
 
Iso 27001 01_dmytriyev_kiev_2010_july
Iso 27001 01_dmytriyev_kiev_2010_julyIso 27001 01_dmytriyev_kiev_2010_july
Iso 27001 01_dmytriyev_kiev_2010_julyGlib Pakharenko
 
Стратегическое управление ИТ
Стратегическое управление ИТСтратегическое управление ИТ
Стратегическое управление ИТCleverics
 
Основные термины и понятия иб
Основные термины и понятия ибОсновные термины и понятия иб
Основные термины и понятия ибAlexander Dorofeev
 
Внедрение СУИБ, соответствующей ИСО 27001 в ИТ компании
Внедрение СУИБ, соответствующей ИСО 27001 в ИТ компанииВнедрение СУИБ, соответствующей ИСО 27001 в ИТ компании
Внедрение СУИБ, соответствующей ИСО 27001 в ИТ компанииSQALab
 
Документ, как средство защиты: ОРД как основа обеспечения ИБ
Документ, как средство защиты: ОРД как основа обеспечения ИБДокумент, как средство защиты: ОРД как основа обеспечения ИБ
Документ, как средство защиты: ОРД как основа обеспечения ИБSelectedPresentations
 
Система менеджмента информационной безопасности: стандарты, практики внедрени...
Система менеджмента информационной безопасности: стандарты, практики внедрени...Система менеджмента информационной безопасности: стандарты, практики внедрени...
Система менеджмента информационной безопасности: стандарты, практики внедрени...Учебный центр "Эшелон"
 
Вебинар по HP ArcSight 25.11.14
Вебинар по HP ArcSight 25.11.14Вебинар по HP ArcSight 25.11.14
Вебинар по HP ArcSight 25.11.14DialogueScience
 
Мониторинг событий информационной безопасности на базе решений HP ArcSight ES...
Мониторинг событий информационной безопасности на базе решений HP ArcSight ES...Мониторинг событий информационной безопасности на базе решений HP ArcSight ES...
Мониторинг событий информационной безопасности на базе решений HP ArcSight ES...DialogueScience
 
Cистемы для управления инцидентами и событиями информационной безопасности
Cистемы для управления инцидентами и событиями информационной безопасностиCистемы для управления инцидентами и событиями информационной безопасности
Cистемы для управления инцидентами и событиями информационной безопасностиКРОК
 
Вычисление, визуализация и анализ метрик защищенности защищенности для монито...
Вычисление, визуализация и анализ метрик защищенности защищенности для монито...Вычисление, визуализация и анализ метрик защищенности защищенности для монито...
Вычисление, визуализация и анализ метрик защищенности защищенности для монито...Positive Hack Days
 
Вопросы для интервью ISO 27001
Вопросы для интервью ISO 27001Вопросы для интервью ISO 27001
Вопросы для интервью ISO 27001Ivan Piskunov
 

Similaire à Управление информационной безопасностью (20)

Yalta_10 _ey-cio_forum
Yalta_10 _ey-cio_forumYalta_10 _ey-cio_forum
Yalta_10 _ey-cio_forum
 
Стандарты по управлению ИБ (1).pptx
Стандарты по управлению ИБ (1).pptxСтандарты по управлению ИБ (1).pptx
Стандарты по управлению ИБ (1).pptx
 
Принципы защиты информации и метрики ИБ
Принципы защиты информации и метрики ИБПринципы защиты информации и метрики ИБ
Принципы защиты информации и метрики ИБ
 
НБУ - Анализ рисков,связанных с информационными технологиями
НБУ - Анализ рисков,связанных с информационными технологиямиНБУ - Анализ рисков,связанных с информационными технологиями
НБУ - Анализ рисков,связанных с информационными технологиями
 
Cyber Defense Doctrine Managing the Risk Full Applied Guide to Organizational...
Cyber Defense Doctrine Managing the Risk Full Applied Guide to Organizational...Cyber Defense Doctrine Managing the Risk Full Applied Guide to Organizational...
Cyber Defense Doctrine Managing the Risk Full Applied Guide to Organizational...
 
формирование системы риск менеджмента инновационной деятельности на основе...
формирование системы риск менеджмента инновационной деятельности на основе...формирование системы риск менеджмента инновационной деятельности на основе...
формирование системы риск менеджмента инновационной деятельности на основе...
 
Risk Management System (RiskMS)
Risk Management System (RiskMS)Risk Management System (RiskMS)
Risk Management System (RiskMS)
 
Security Innovation Forum
Security Innovation ForumSecurity Innovation Forum
Security Innovation Forum
 
Построение СУИБ на основе ISO 27k
Построение СУИБ на основе ISO 27kПостроение СУИБ на основе ISO 27k
Построение СУИБ на основе ISO 27k
 
Iso 27001 01_dmytriyev_kiev_2010_july
Iso 27001 01_dmytriyev_kiev_2010_julyIso 27001 01_dmytriyev_kiev_2010_july
Iso 27001 01_dmytriyev_kiev_2010_july
 
Стратегическое управление ИТ
Стратегическое управление ИТСтратегическое управление ИТ
Стратегическое управление ИТ
 
Основные термины и понятия иб
Основные термины и понятия ибОсновные термины и понятия иб
Основные термины и понятия иб
 
Внедрение СУИБ, соответствующей ИСО 27001 в ИТ компании
Внедрение СУИБ, соответствующей ИСО 27001 в ИТ компанииВнедрение СУИБ, соответствующей ИСО 27001 в ИТ компании
Внедрение СУИБ, соответствующей ИСО 27001 в ИТ компании
 
Документ, как средство защиты: ОРД как основа обеспечения ИБ
Документ, как средство защиты: ОРД как основа обеспечения ИБДокумент, как средство защиты: ОРД как основа обеспечения ИБ
Документ, как средство защиты: ОРД как основа обеспечения ИБ
 
Система менеджмента информационной безопасности: стандарты, практики внедрени...
Система менеджмента информационной безопасности: стандарты, практики внедрени...Система менеджмента информационной безопасности: стандарты, практики внедрени...
Система менеджмента информационной безопасности: стандарты, практики внедрени...
 
Вебинар по HP ArcSight 25.11.14
Вебинар по HP ArcSight 25.11.14Вебинар по HP ArcSight 25.11.14
Вебинар по HP ArcSight 25.11.14
 
Мониторинг событий информационной безопасности на базе решений HP ArcSight ES...
Мониторинг событий информационной безопасности на базе решений HP ArcSight ES...Мониторинг событий информационной безопасности на базе решений HP ArcSight ES...
Мониторинг событий информационной безопасности на базе решений HP ArcSight ES...
 
Cистемы для управления инцидентами и событиями информационной безопасности
Cистемы для управления инцидентами и событиями информационной безопасностиCистемы для управления инцидентами и событиями информационной безопасности
Cистемы для управления инцидентами и событиями информационной безопасности
 
Вычисление, визуализация и анализ метрик защищенности защищенности для монито...
Вычисление, визуализация и анализ метрик защищенности защищенности для монито...Вычисление, визуализация и анализ метрик защищенности защищенности для монито...
Вычисление, визуализация и анализ метрик защищенности защищенности для монито...
 
Вопросы для интервью ISO 27001
Вопросы для интервью ISO 27001Вопросы для интервью ISO 27001
Вопросы для интервью ISO 27001
 

Plus de Вячеслав Аксёнов

Аксёнов_Оценка и управление рисками информационной безопасности в организации...
Аксёнов_Оценка и управление рисками информационной безопасности в организации...Аксёнов_Оценка и управление рисками информационной безопасности в организации...
Аксёнов_Оценка и управление рисками информационной безопасности в организации...Вячеслав Аксёнов
 
CIS Critical Security Controls аудит, внедрение, автоматизация
CIS Critical Security Controls аудит, внедрение, автоматизацияCIS Critical Security Controls аудит, внедрение, автоматизация
CIS Critical Security Controls аудит, внедрение, автоматизацияВячеслав Аксёнов
 
Построение архитектуры безопасности предприятия
Построение архитектуры безопасности предприятияПостроение архитектуры безопасности предприятия
Построение архитектуры безопасности предприятияВячеслав Аксёнов
 
Personal Data Protection Presentation (B.E.E.R - Winter 2021)
Personal Data Protection Presentation (B.E.E.R - Winter 2021)Personal Data Protection Presentation (B.E.E.R - Winter 2021)
Personal Data Protection Presentation (B.E.E.R - Winter 2021)Вячеслав Аксёнов
 
Техническая защита персональных данных в Беларуси (Версия 2)
Техническая защита персональных данных в Беларуси (Версия 2)Техническая защита персональных данных в Беларуси (Версия 2)
Техническая защита персональных данных в Беларуси (Версия 2)Вячеслав Аксёнов
 
Техническая защита персональных данных в Беларуси
Техническая защита персональных данных в БеларусиТехническая защита персональных данных в Беларуси
Техническая защита персональных данных в БеларусиВячеслав Аксёнов
 
G-Clouds Architecture and Security (fragment of course materials)
G-Clouds Architecture and Security (fragment of course materials)G-Clouds Architecture and Security (fragment of course materials)
G-Clouds Architecture and Security (fragment of course materials)Вячеслав Аксёнов
 

Plus de Вячеслав Аксёнов (15)

Аксёнов_Оценка и управление рисками информационной безопасности в организации...
Аксёнов_Оценка и управление рисками информационной безопасности в организации...Аксёнов_Оценка и управление рисками информационной безопасности в организации...
Аксёнов_Оценка и управление рисками информационной безопасности в организации...
 
Aksionov_CyberSecurity Training Courses_2023.pdf
Aksionov_CyberSecurity Training Courses_2023.pdfAksionov_CyberSecurity Training Courses_2023.pdf
Aksionov_CyberSecurity Training Courses_2023.pdf
 
CIS Critical Security Controls аудит, внедрение, автоматизация
CIS Critical Security Controls аудит, внедрение, автоматизацияCIS Critical Security Controls аудит, внедрение, автоматизация
CIS Critical Security Controls аудит, внедрение, автоматизация
 
Information security systems development
Information security systems developmentInformation security systems development
Information security systems development
 
Information security risk management presentation
Information security risk management presentationInformation security risk management presentation
Information security risk management presentation
 
Information Security Audit (Course)
Information Security Audit (Course)Information Security Audit (Course)
Information Security Audit (Course)
 
Построение архитектуры безопасности предприятия
Построение архитектуры безопасности предприятияПостроение архитектуры безопасности предприятия
Построение архитектуры безопасности предприятия
 
Personal Data Protection Presentation (B.E.E.R - Winter 2021)
Personal Data Protection Presentation (B.E.E.R - Winter 2021)Personal Data Protection Presentation (B.E.E.R - Winter 2021)
Personal Data Protection Presentation (B.E.E.R - Winter 2021)
 
Техническая защита персональных данных в Беларуси (Версия 2)
Техническая защита персональных данных в Беларуси (Версия 2)Техническая защита персональных данных в Беларуси (Версия 2)
Техническая защита персональных данных в Беларуси (Версия 2)
 
Техническая защита персональных данных в Беларуси
Техническая защита персональных данных в БеларусиТехническая защита персональных данных в Беларуси
Техническая защита персональных данных в Беларуси
 
Information Security Presentation (B.E.E.R - 2019)
Information Security Presentation (B.E.E.R - 2019)Information Security Presentation (B.E.E.R - 2019)
Information Security Presentation (B.E.E.R - 2019)
 
Legislation and Responsibility (VMUG Presentation)
Legislation and Responsibility (VMUG Presentation)Legislation and Responsibility (VMUG Presentation)
Legislation and Responsibility (VMUG Presentation)
 
Legislation and Responsibility (VMUG #7 Belarus)
Legislation and Responsibility (VMUG #7 Belarus)Legislation and Responsibility (VMUG #7 Belarus)
Legislation and Responsibility (VMUG #7 Belarus)
 
Risks of non-compliance with regulatory requirements
Risks of non-compliance with regulatory requirementsRisks of non-compliance with regulatory requirements
Risks of non-compliance with regulatory requirements
 
G-Clouds Architecture and Security (fragment of course materials)
G-Clouds Architecture and Security (fragment of course materials)G-Clouds Architecture and Security (fragment of course materials)
G-Clouds Architecture and Security (fragment of course materials)
 

Управление информационной безопасностью

  • 1. УПРАВЛЕНИЕ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТЬЮ  Основы процессного подхода в области информационной безопасности.  Стандарты и структуры построения систем информационной безопасности.  Поведение оценки и разработка планов обработки рисков информационной безопасности.
  • 2. ОСНОВЫ ПРОЦЕССНОГО ПОДХОДА В ОБЛАСТИ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
  • 3.  Процесс - это совокупность взаимосвязанных и взаимодействующих видов деятельности, которые преобразуют входы в выходы  Процессный подход - концепция управления, которая рассматривает всю деятельность организации как набор процессов.  Управление организацией – управление процессами.  Важной составляющей процесса, является систематичность действий. Действия процесса должны быть повторяющимися, а не случайными. 3/91 Определения ПРОЦЕССНЫЙ ПОДХОД
  • 4. 4/91 Принципы ПРОЦЕССНЫЙ ПОДХОД Принцип взаимосвязи процессов Принцип востребованности процесса Принцип документирования процессов Принцип контроля процесса Принцип ответственности за процесс
  • 5.  Вход  Выход  Ресурсы  Владелец  Потребители и поставщики  Показатели 5/91 Ключевые элементы процесса ПРОЦЕССНЫЙ ПОДХОД
  • 6.  Координация действий различных подразделений в рамках процесса;  Ориентация на результат процесса;  Повышение результативности и эффективности работы организации;  Прозрачность действий по достижению результата;  Повышение предсказуемости результатов;  Выявление возможностей для целенаправленного улучшения процессов;  Устранение барьеров между функциональными подразделениями;  Сокращение лишних вертикальных взаимодействий;  Исключение невостребованных процессов;  Сокращение временных и материальных затрат. 6/91 Преимущества ПРОЦЕССНЫЙ ПОДХОД
  • 7. СТАНДАРТЫ И СТРУКТУРЫ ПОСТРОЕНИЯ СИСТЕМ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
  • 8.  СТБ ISO/IEC 27001-2016 «Информационные технологии. Методы обеспечения безопасности. Системы менеджмента информационной безопасности. Требования».  СТБ 34.101.41-2013 «Информационные технологии и безопасность. Обеспечение информационной безопасности банков Республики Беларусь. Общие положения».  ТКП 483-2013 «Информационные технологии и безопасность. Безопасная эксплуатация и надежное функционирование критически важных объектов информатизации. Общие требования».  «Методические рекомендации по обеспечению информационной безопасности. Система менеджмента информационной безопасности» http://oac.gov.by/files/files/kvoi/metod_recomend.docx. 8/91 Республика Беларусь СТРУКТУРЫ СИСТЕМЫ ИБ
  • 9. Область применения Этапы внедрения СМИБ Разработка (планирование) СМИБ Внедрение СМИБ Проверка СМИБ Совершенствование СМИБ Требования, предъявляемые к СМИБ Требования к локальным нормативным правовым актам организации Требования к организации информационной безопасности Требования к управлению активами Требования, связанные с персоналом Требования к физической защите Требования к функционированию средств обработки информации, информационных систем и сетей Требования к контролю доступа к СОИИСС Требования к разработке, внедрению и обслуживанию информационных систем Требования к управлению инцидентами информационной безопасности Требования к информационной безопасности при управлении непрерывностью основных процессов организации МЕТОДИЧЕСКИЕ РЕКОМЕНДАЦИИ ПО ОБЕСПЕЧЕНИЮ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ. СИСТЕМА МЕНЕДЖМЕНТА ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
  • 10. «Информационные технологии и безопасность. Обеспечение информационной безопасности банков Республики Беларусь. Общие положения»  Распространяется на банки РБ.  Устанавливает положения, концептуальную схему, модели угроз и нарушителей ИБ.  Предназначен для применения при построении, проверке и оценке систем ИБ и систем менеджмента ИБ банков. 10/91 СТБ 34.101.41 СТРУКТУРЫ СИСТЕМЫ ИБ
  • 11. «Информационные технологии. Методы обеспечения безопасности. Системы менеджмента информационной безопасности. Требования»  Устанавливает требования к разработке, внедрению, поддержанию и постоянному улучшению СМИБ в контексте организации.  Включает требования по оценке и обработке рисков ИБ в соответствии с потребностями организации.  Носит общий характер и предназначен для применения всеми организациями, независимо от типа, размера или характера деятельности. 11/91 СТБ ISO/IEC 27001 СТРУКТУРЫ СИСТЕМЫ ИБ
  • 13. 13/91 Проект разработки и внедрения СМИБ 7. Программа внедрения СМИБ 3. Инвентариза- ция инфо- активов 0. Start 2. Определить область применения 6. Разработать программу внедрения СМИБ 5b. Подготовить план обработки рисков 4. Оценка риска 1. Получить поддержку руководства N N-1 Один из проектов программы Реестр План обработки риска Область применения Обоснование для бизнеса 8. Система менеджмента информационной безопасности План проекта План проекта План проекта 11. Проверка соответствия 5a. Подготовить положение о применмости Положение о применимости (SoA) 12. Корректирующие дествия ISO/IEC 27002 13. Пред- аудит 14. Сертификаци онный аудит ISO/IEC 27001 Сертификат ISO/IEC 27001 9. Свидетельства функционирования СМИБ Copyright © 2016 ISO27k Forum Version 4 www.ISO27001security.com Report Report Инциденты Logs Report Отчеты по анализу со стороны руководства Политики Стандарты Процедуры Руководства 15. Эксплуатация СМИБ 16. Ежегодные аудиторские проверки Report Метрики ISO/IEC 27005 ISO/IEC 27003 ISO/IEC 27004 10. Внутренний аудит СМИБ Report Report BCP Report Отчеты по аудиту ISO 22301 НПА, ТНПА, договоры Легенда Деятельность Международный стандарт Документ или запись Набор или группа Viacheslav Aksionov Itsec.by
  • 14.  Система менеджмента информационной безопасности (СМИБ) - представляет модель для создания, внедрения, функционирования, мониторинга, анализа, поддержки и улучшения защиты информационных активов для достижения деловых целей, основанную на оценке риска и на принятии уровней риска организации, разработанную для эффективного рассмотрения и управления рисками. 14/91 ISO/IEC 27001 СИСТЕМА МЕНЕДЖМЕНТА ИБ
  • 15.  ISO 27001 обеспечивает модель для создания, внедрения, эксплуатации, мониторинга, анализа, поддержания и совершенствования менеджмента информационной безопасности.  Принятие СМИБ должно быть стратегическим решением для организации.  На разработку и реализацию СМИБ организации влияют бизнес потребности и цели, требования безопасности, применяемые процессы, размер и структура организации.  Реализация СМИБ должна масштабироваться и изменятся в соответствии с потребностями организации. 15/91 ISO/IEC 27001 СИСТЕМА МЕНЕДЖМЕНТА ИБ ISO/IEC 27001
  • 16. 16/91 Структура стандарта СТБ ISO/IEC 27001-2016 СИСТЕМА МЕНЕДЖМЕНТА ИБ 4. Контекст организации 5. Лидерство 6. Планирование 7. Поддержка 8. Операционная деятельность 9. Оценивание пригодности 10. Улучшение Приложение А – Перечень целей управления и средств управления (меры ЗИ) PLAN DO CHECK ACT
  • 17. СИСТЕМА МЕНЕДЖМЕНТА ИБ Структура стандарта СТБ ISO/IEC 27002 (меры) ISO/IEC 27002  ISO 27002 устанавливает руководящие и общие принципы начинания, реализации, поддержания в рабочем состоянии и улучшения управления защитой информации в организации.  Цели, очерченные ISO 27002, дают общие руководящие принципы по обычно принимаемым целям управления защитой информации.  Цели и средства управления ISO 27002 разработаны для реализации, осуществляемой с целью выполнить требования, выявленные оценкой рисков.  ISO 27002 может служить в качестве практического руководства по разработке организационных стандартов защиты и практик эффективного управления защитой.
  • 18.  включает в себя политики, процедуры, руководства и соответствующие ресурсы и задачи, коллегиально управляемых организацией в целях защиты ее информационных активов.  представляет собой системный подход к разработке, внедрению, функционированию, мониторингу, анализу, обеспечению и улучшению ИБ организации для достижения бизнес-целей.  основывается на оценке рисков и уровнях приемлемости рисков организации. 18/91 Система менеджмента ИБ (СМИБ) УПРАВЛЕНИЕ ИБ
  • 19. 19/91 4. Контекст организации ISO/IEC 27001:2013 4.4 Система менеджмента информационной безопасности 4.3 Определение области применения системы менеджмента информационной безопасности 4.2 Понимание потребностей и ожиданий заинтересованных сторон 4.1 Понимание организации и ее контекста
  • 20. 20/91 5. Лидерство ISO/IEC 27001:2013 5.1 Лидерство и приверженность 5.2 Политика 5.3 Роли, обязанности и полномочия в организации
  • 21. 21/91 6. Планирование ISO/IEC 27001:2013 6.2 Цели информационной безопасности и планирование их достижения 6.1 Действия по рассмотрению рисков и возможностей 6.1.1 Общие требования 6.1.2 Оценка риска информационной безопасности 6.1.3 Обработка рисков информационной безопасности
  • 22. 22/91 7. Поддержка ISO/IEC 27001:2013 7.1 Ресурсы 7.2 Компетентность 7.3 Осведомленность 7.4 Коммуникации 7.5 Документированная информация • 7.5.1 Общие положения • 7.5.2 Создание и обновление • 7.5.3 Управление документированной информацией
  • 23. 23/91 8. Операционная деятельность ISO/IEC 27001:2013 8.1 Планирование и управление деятельностью 8.2 Оценка рисков информационной безопасности 8.3 Обработка риска информационной безопасности
  • 24. 24/91 9. Оценивание пригодности ISO/IEC 27001:2013 9.1 Мониторинг, измерения, анализ и оценивание 9.2 Внутренний аудит 9.3 Анализ со стороны руководства
  • 25. 25/91 10. Улучшение ISO/IEC 27001:2013 10.1 Несоответствия и корректирующие действия 10.2 Постоянное улучшение
  • 26. 26/91 Приложение А ISO/IEC 27001:2013 А.5 Политики информационной безопасности А.6 Организация информационной безопасности А.7 Безопасность, связанная с персоналом А.8 Управление активами А.9 Управление доступом А.10 Криптография А.11 Физическая безопасность и защита от окружающей среды А.12 Операционная деятельность по обеспечению безопасности А.13 Безопасность сети А.14 Приобретение, разработка и сопровождение систем А.15 Взаимоотношения с поставщиками А.16 Управление инцидентами в области информационной безопасности А.17 Аспекты информационной безопасности при управлении непрерывностью бизнеса А.18 Соответствие
  • 27. 27/91 Приложение А ISO/IEC 27001:2013 А.5 Политики информационной безопасности А.5.1 Направляющая роль руководства в сфере информационной безопасности А.6 Организация информационной безопасности А.6.1 Внутренняя организация А.6.2 Мобильные устройства и удаленная работа А.7 Безопасность, связанная с персоналом А.7.1 До приема на работу А.7.2 Во время работы А.7.3 Увольнение и изменение должности А.8 Управление активами А.8.1 Ответственность за активы А.8.2 Классификация информации А.8.3 Обращение с носителями информации А.9 Управление доступом А.9.1 Бизнес- требования к управлению доступом А.9.2 Управление доступом пользователей А.9.3 Ответственность пользователя А.9.4 Управление доступом к системам и приложениям А.10 Криптография А.10.1 Криптографические средства управления А.11 Физическая безопасность и защита от окружающей среды А.11.1 Зоны безопасности А.11.2 Оборудование А.12 Операционная деятельность по обеспечению безопасности А.12.1 Рабочие процедуры и ответственность А.12.2 Защита от вредоносных программ А.12.3 Резервное копирование А.12.4 Регистрация и мониторинг А.12.5 Управление операционным программным обеспечением А.12.6 Управление технической уязвимостью А.12.7 Аспекты аудита информационных систем А.13 Безопасность сети А.13.1 Управление безопасностью сети А.13.2 Передача информации А.14 Приобретение, разработка и сопровождение систем А.14.1 Требования к безопасности информационных систем А.14.2 Безопасность процессов разработки и поддержки А.14.3 Данные для тестирования А.15 Взаимоотношения с поставщиками А.15.1 Информационная безопасность при взаимоотношениях с поставщиками А.15.2 Управление предоставлением услуг поставщиком А.16 Управление инцидентами в области информационной безопасности А.16.1 Управление инцидентами в области информационной безопасности и улучшения А.17 Аспекты информационной безопасности при управлении непрерывностью бизнеса А.17.1 Непрерывность информационной безопасности А.17.2 Избыточность А.18 Соответствие А.18.1 Соответствие законодательным и договорным требованиям А.18.2 Анализ информационной безопасности
  • 28. 28/91 А.5 Политики информационной безопасности Приложение А - ISO/IEC 27001:2013  А.5.1 Направляющая роль руководства в сфере информационной безопасности
  • 29. 29/91 А.6 Организация информационной безопасности Приложение А - ISO/IEC 27001:2013 А.6.1 Внутренняя организация А.6.2 Мобильные устройства и удаленная работа
  • 30. 30/91 А.7 Безопасность, связанная с персоналом Приложение А - ISO/IEC 27001:2013 А.7.1 До приема на работу А.7.2 Во время работы А.7.3 Увольнение и изменение должности
  • 31. 31/91 А.8 Управление активами Приложение А - ISO/IEC 27001:2013 А.8.1 Ответственность за активы А.8.2 Классификация информации А.8.3 Обращение с носителями информации
  • 32. 32/91 А.9 Управление доступом Приложение А - ISO/IEC 27001:2013 А.9.1 Бизнес- требования к управлению доступом А.9.2 Управление доступом пользователей А.9.3 Ответственность пользователя
  • 33. 33/91 А.9 Управление доступом Приложение А - ISO/IEC 27001:2013 А.9.1 Бизнес-требования к управлению доступом А.9.2 Управление доступом пользователей А.9.3 Ответственность пользователя А.9.4 Управление доступом к системам и приложениям
  • 34. 34/91 А.10 Криптография Приложение А - ISO/IEC 27001:2013  А.10.1 Криптографические средства управления
  • 35. 35/91 А.11 Физическая безопасность и защита от окружающей среды Приложение А - ISO/IEC 27001:2013  А.11.1 Зоны безопасности  А.11.2 Оборудование
  • 36. 36/91 А.12 Операционная деятельность по обеспечению безопасности Приложение А - ISO/IEC 27001:2013 А.12.1 Рабочие процедуры и ответственность А.12.2 Защита от вредоносных программ А.12.3 Резервное копирование А.12.4 Регистрация и мониторинг А.12.5 Управление операционным программным обеспечением А.12.6 Управление технической уязвимостью А.12.7 Аспекты аудита информационных систем
  • 37. 37/91 А.13 Безопасность сети Приложение А - ISO/IEC 27001:2013  А.13.1 Управление безопасностью сети  А.13.2 Передача информации
  • 38. 38/91 А.14 Приобретение, разработка и сопровождение систем Приложение А - ISO/IEC 27001:2013 А.14.1 Требования к безопасности информационных систем А.14.2 Безопасность процессов разработки и поддержки А.14.3 Данные для тестирования
  • 39. 39/91 А.15 Взаимоотношения с поставщиками Приложение А - ISO/IEC 27001:2013  А.15.1 Информационная безопасность при взаимоотношениях с поставщиками  А.15.2 Управление предоставлением услуг поставщиком
  • 40. 40/91 А.16 Управление инцидентами в области информационной безопасности Приложение А - ISO/IEC 27001:2013  А.16.1 Управление инцидентами в области информационной безопасности и улучшения
  • 41. 41/91 А.17 Аспекты информационной безопасности при управлении непрерывностью бизнеса Приложение А - ISO/IEC 27001:2013  А.17.1 Непрерывность информационной безопасности  А.17.2 Избыточность
  • 42. 42/91 А.18 Соответствие Приложение А - ISO/IEC 27001:2013  А.18.1 Соответствие законодательным и договорным требованиям  А.18.2 Анализ информационной безопасности
  • 43. ПОВЕДЕНИЕ ОЦЕНКИ И РАЗРАБОТКА ПЛАНОВ ОБРАБОТКИ РИСКОВ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
  • 44. ОЦЕНКА И ОБРАБОТКА РИСКОВ ИБ Когда безопасности достаточно? • Сколько вы потеряете? • Какой уровень (процент) воздействия? • Насколько вы уязвимы? • Как риск может быть снижен? Вначале мы должны понимать риск
  • 45. ОЦЕНКА И ОБРАБОТКА РИСКОВ ИБ Еще раз вспомним Шаг 3 – Оценка защитных мер Определить потенциальные защитные меры и их стоимость Шаг 2 – Оценка угроз и уязвимостей Фаза 1 – Запустить автоматизированное средство оценки уязвимостей Фаза 2 – Проанализировать результаты Шаг 1 – Инвентаризация, Определение, Требования Фаза 1 – Идентифицировать критичные бизнес- процессы Фаза 2 – создать перечень активов используемых в определенных бизнес- процессах Фаза 3 – Определить ценность данных активов
  • 46. ОЦЕНКА И ОБРАБОТКА РИСКОВ ИБ Еще раз вспомним Шаг 5 – Мониторинг Постоянный анализ новых угроз и изменения мер при необходимости. Значительные организационные изменения должны привести к новой оценке рисков. Шаг 4 – Коммуникация Довести результаты соответствующим заинтересованным сторонам Шаг 3 – Анализ, Решение/Обработка, Документирование Фаза 1 – Проанализировать перечень мер для каждой угрозы Фаза 2 – выбрать наилучшие меры для каждой угрозы Фаза 3 – Документировать процесс и результаты оценки
  • 47. ОЦЕНКА РИСКОВ ИБ СТБ 34.101.41 В банке должна быть принята / корректироваться методика оценки рисков нарушения ИБ / подход к оценке рисков нарушения ИБ. В банке должны быть определены критерии принятия рисков нарушения ИБ и уровень допустимого риска нарушения ИБ. Методика оценки рисков нарушения ИБ / подход к оценке рисков нарушения ИБ банка должна определять способ и порядок качественного или количественного оценивания риска нарушения ИБ. Порядок оценки рисков нарушения ИБ должен определять необходимые процедуры оценки рисков нарушения ИБ, а также последовательность их выполнения. Оценка рисков нарушения ИБ проводится для свойств ИБ всех информационных активов (типов информационных активов) области действия СОИБ. В банке рекомендуется создать и поддерживать в актуальном состоянии единый информационный ресурс (базу данных), содержащий информацию об инцидентах ИБ. Полученные в результате оценивания рисков нарушения ИБ величины рисков должны быть соотнесены с уровнем допустимого риска, принятого в банке. Результатом выполнения указанной процедуры является документально оформленный перечень недопустимых рисков нарушения ИБ. В банке должны быть документально определены роли, связанные с деятельностью по определению/коррекции методики оценки рисков нарушения ИБ/подхода к оценке рисков нарушения ИБ, и назначены ответственные за выполнение указанных ролей. В банке должны быть документально определены роли по оценке рисков нарушения ИБ и назначены ответственные за выполнение указанных ролей.
  • 48. ОБРАБОТКА РИСКОВ ИБ СТБ 34.101.41 По каждому из рисков нарушения ИБ, который является недопустимым, должен быть документально определен план, определяющий один из возможных способов его обработки: •перенос риска на сторонние организации (например, путем страхования указанного риска); •уход от риска (например, путем отказа от деятельности, выполнение которой приводит к по-явлению риска); •осознанное принятие риска; •формирование требований ИБ, снижающих риск нарушения ИБ до допустимого уровня и формирования планов по их реализации. Планы обработки рисков нарушения ИБ должны быть согласованы с руководителем службы ИБ либо лицом, отвечающим в банке за обеспечение ИБ, и утверждены руководством. Планы реализаций требований ИБ должны содержать последовательность и сроки реа- лизации и внедрения организационных, технических и иных защитных мер. В банке должны быть документально определены роли по разработке планов обработки рисков нарушения ИБ и назначены ответственные за выполнение указанных ролей.