Система Управления Информационной Безопасности в соответствии с стандартами ISO/IEC 27001:2005 Душанбе, 2010.

Презентация:



Advertisements
Похожие презентации
Информационная безопасность как часть бизнеса. Комплексный подход к построению систем управления безопасностью Буйдов Александр Заместитель генерального.
Advertisements

Управление ИТ рисками. Использование модели COBIT. 06 июня 2013 года Михаил Савчук, ООО «ЕвразХолдинг»
Учебный курс Разработка ИТ-стратегии Лекция 2 доктор технических наук, профессор Васильев Роман Борисович.
Понятие Системы управления безопасностью полетов Характеристиками СУБП являются… »Приверженность высшего руководства принципам управления безопасностью.
Проект новой версии ISO 9001:2015 Ключевые изменения Презентация подготовлена для 22 Казахстанской Международной Конференции «Нефть и Газ» Докладчик: Наталья.
Сравнительный анализ стандартов ISO/IEC и ISO/IEC Ильдар Гарипов.
О ПТИМИЗАЦИЯ КОРПОРАТИВНОГО УПРАВЛЕНИЯ. О корпоративном управлении Системный подход к оптимизации Пять шагов проекта оптимизации.
О ПТИМИЗАЦИЯ КОРПОРАТИВНОГО УПРАВЛЕНИЯ. О корпоративном управлении Системный подход к оптимизации Пять шагов проекта оптимизации.
ВНУТРИШКОЛЬНАЯ СИСТЕМА УПРАВЛЕНИЯ КАЧЕСТВОМ ОБРАЗОВАНИЯ.
РАЗРАБОТКА СИСТЕМЫ УПРАВЛЕНИЯ ОХРАНОЙ ТРУДА Принятие решения Проведение оценки существующей системы управления охраной труда Акт по результатам оценки.
Матрица связи между ISO 9001:2008 и ISO 9001:2015.
ПОЛИТИКА КОРПОРАТИВНОЙ ИНФОРМАТИЗАЦИИ ОАО «РЖД». О А О « Р О С С И Й С К И Е Ж Е Л Е З Н Ы Е Д О Р О Г И » 2 Утверждена распоряжением президента ОАО «РЖД»
«1С:Документооборот 8». Зачем автоматизировать документооборот? Единая информационная база документов Возможность параллельного выполнения операций Непрерывность.
Управление качеством. ОСНОВНОЕ СОДЕРЖАНИЕ МС ИСО СЕРИИ И ИХ РОЛЬ В СОЗДАНИИ СИСТЕМЫ ЭКОЛОГИЧЕСКОГО МЕНЕДЖМЕНТА НА ПРЕДПРИЯТИИ
О некоторых аспектах менеджмента качества ОУ в соответствии со стандартами ISO серии 9000 Г.Ф. Рудзей - д.т.н, профессор СГУПС Аудитор по СМК «Военного.
Внедрение системы менеджмента качества в соответствии с требованием СТ РК ИСО в ТОО «Нәтиже Сүт Фабрикасы». Презентация дипломного проекта Подготовила:
Управление информационными ресурсами 1. Лекция 3 Методология COBIT 3.1 Общая допустимость COBIT. 3.2 COBIT и разделы управления ИТ. 3.3 Основные компоненты.
Реализация проекта Вмешательства, ваша система управления обработанной информацией, принятие решений и последствия.
Международный стандарт ISO/IEC ПОДГОТОВИЛ:УШТАЕВ АРСЕН.
Системы оценки эффективности управления государственными финансами (PEFA) Инструмент реформирования бюджета ОПЫТ ГРУЗИИ.
Транксрипт:

Система Управления Информационной Безопасности в соответствии с стандартами ISO/IEC 27001:2005 Душанбе, 2010

ISO PDCA CYCLE

ЦИКЛ ВНЕДРЕНИЯ ISO (PDCA - ПВПД) Заинтересованные стороны Ожидания и требования по информационной безопасности П ЛАНИРОВАНИЕ : Заложение основ СУИБ В ЫПОЛНЕНИЕ : Внедрение и эксплуатация СУИБ П РОВЕРКА : Мониторинг и анализ СУИБ Д ЕЙСТВИЕ : Поддержка и улучшение СУИБ Заинтересованные стороны Управляемая информационная безопасность

ПРОЦЕСС СЕРТИФИЦИРОВАНИЯ ISO Шаг 1 – Организация принимает решение по внедрению сертификации ISO Шаг 2 – Организация устанавливает задачи, обязанности и выделяет средства Шаг 3 – Определение принципов информационной безопасности Шаг 4 – Определение области применения Системы Управления Информационной Безопасности Шаг 5 – Анализ рисков в области применения Системы Управления Информационной Безопасности Шаг 6 – Принятие решения о путях управления указанными рисками

ПРОЦЕСС СЕРТИФИЦИРОВАНИЯ ISO Шаг 7 – Выбор индикаторов контроля внедрения и инструментов управления Шаг 8 – Подготовка отчета о применимости СУИБ Шаг 9 – Внедрение инструментов контроля Шаг 10 – Выбор контрольных целей Шаг 11 – Применение индикаторов контроля Шаг 12- Аудит 1-ой фазы (изучение документации)

ПРОЦЕСС СЕРТИФИЦИРОВАНИЯ ISO Шаг 13 – Анализ результатов исследования Шаг 14 – Аудит 2-ой фазы, для определения: Внедрение и исполнение СУИБ Мониторинга и анализа СУИБ Поддержка и оптимизация СУИБ Шаг 15 – Сертификат о предоставлении

ОСНОВНЫЕ ПРОБЛЕМЫ ПРИ ВНЕДРЕНИИ ISO/IEC 27001:2005 Возможные проблемы по внедрению ISO/IEC 27001:2005 описаны в главах с 4 по 8 данного стандарта: Административные задачи Определение области применения Политика Информационной Безопасности Запас информационных активов Оценка рисков в определенных областях применения Установка средств управления Внутренний аудит Совет безопасности

8 ПРОЦЕСС УПРАВЛЕНИЯ Определение обьемов работ Регионы Организация Вся компания Инвентаризац ия информацион ных активов Оценка риска Ущерб Вероятность возникновения Создание совета по информационной безопасности Установка внутренней системы ИТ аудита в соответствии с ISO Устранение технических проблем Начальный внутренний аудит Улучшение ISMS Установление индикаторов контроля Готовность к предоставлению заявки Разработка заявления Заявка по ISO Услуги Оборудование Программы и приложения

ПРОЦЕСС УПРАВЛЕНИЯ Определение области применения –Региональная направленность –Организационная направленность –Вся организация Запас информационных активов: –Услуги –Оборудование –Программное обеспечение Оценка рисков: Ущерб Х Вероятность появления (оценочная сетка 4Х4) Установка средств управления: –Применение Приложения А к ISO –Развитие архитектуры ориентированной на услуги Установка системы внутреннего аудита в соответствии с ISO Установка форума информационной безопасности: –Обработка дыр безопасности –Совершенствование СУИБ

ОСНОВНЫЕ ДЕЙСТВИЯ РЕЗУЛЬТАТОБЯЗАННОСТИ Планирование и определение области применения СУИБ Создание рабочих групп, инструментов, методики и расспределение обязанностей; Определение областей применения СУИБ и развитие курса СУИБ для достижения поставленных задач; Создание и предоставление презентации для инвесторов проекта и директората, включая: Описание действий, ролей и обязанностей проектных групп, и их последующих шагов. Изложение области применения СУИБ. Проектная группа и обязанности группы. План проекта. Курс развития СУИБ. Административные обязанности. Бюджет. Средства. Отчет по выполненным работам. Создание совета ИТ безопасности Определение структуры совета безопасности и методы коммуникаций. Совет ИТ безопасности. Отчет по выполненным работам. Реализация. Определение активов Проведение семинаров с целью определения активов. Реестр информационных активов. Участие в семинарах. Отчет по выполненным работам. Оценка рисков и средств управления Определение и оценка риска всех активов. Оценка возможностей обработки рисков, включая управление, а также получение или отказ в сертификации. Методология оценки рисков. Доклад об оценке рисков. План обработки рисков. Участие в семинаре. Отчет по выполненным работам.. Понимание рисков. Разработка средств управления Определение процессов, политики и стандартов информационной безопасности. Документированные процессы, политика и стандарты. Проект эффективных средств управления. Отчет по выполненным работам. Внедрение средств контроля. Обучение и подготовка по информационной безопасности Определение соответствующей программы обучения и подготовки по информационной безопасности. Программа подготовки и обучения информационной безопасности. Отчет по выполненным работам. Внедрение и реализация. Структура наблюдения СУИБ Определение долгосрочной стратегии развития План и шаблон внутреннего аудита. Показатели эффективности СУИБ. Отчет по выполненным работам. Внедрение и реализация.

НАШИ УСЛУГИ Введение СУИБ в соответствии с ISO:IEC 27001:2005 Оценка недостатков по внедрению ISO Введение управления рисками основанного на ISO:EIC 27001:2005 Структуризация организаций по безопасности ИТ Подготовка документов по безопасности (т.е. руководство, процедуры, стратегия развития) Внутренний аудит по ISO 27001

1 ФАЗА – ПРЕДВАРИТЕЛЬНАЯ ОЦЕНКА РАССМОТРЕНИЕ ДОКУМЕНТАЦИИ СУИБ Целью данной фазы является удостоверение в том, что достигнут необходимый уровень целостности и понимания области применения СУИБ. Разработка необходимых документов, возникающих в результате внедрения и применения структуры СУИБ и других средств управлений необходимых в соответствии с ISO Данная фаза позволит определить имеющиеся недостатки, которые необходимо устранить до начала сертификационного процесса.

ДействияРезультат Рассмотрение существующей документации в целях определения соответствия с требованиями аудита. Проведение ограниченного рассмотрения документации СУИБ, включая: Оценка проблем связанных с управлением информационной безопасностью и последующая разработка СУИБ; Политика, планы, цели и задачи информационной безопасности; Мониторинг, измерение, доклад и рассмотрение эффективности в соответствии с целями и задачами; Анализ управления и бизнес процессов; Распределение ответственности управления по информационной безопасности; Связи между политикой, оценкой рисков, целями и задачами, процессами, ответственностью, программами, процессами/процедурами, данными эффективности, обзорами и программами продолжительного улучшения. Проведение интервью с менеджментом с целью подтверждения понимания СУИБ и документации процесса. Определение, обсуждение и согласование пробелов, нуждающихся во внимании и действиях до фазы оценки. Пресертификационный отчет об имеющихся проблемах, определяющий изьяны в СУИБ и средствах управления ИТ, на которые руководство должно обратить внимание до второй фазы реализации. Отчет обзора СУИБ, подтверждающий применимость критериев и средств контроля, которые будут взяты в качестве основания для «полевых работ» и отчетов. Разработка методов оптимизации СУИБ.

2 ФАЗА – «ПОЛЕВЫЕ РАБОТЫ», ОЦЕНКА И ОТЧЕТНОСТЬ Целью данной фазы является подтверждение эффективной реализации СУИБ и соответствия с ISO и имеющейся политикой информационной безопасности организации. Оценке руководства по информационной безопасности; оценка планов, процессов и средств управления ИТ.

ДействияРезультат Проведение «полевых работ» для определения продвижения в исправлении ошибок, описанных в пре-сертификационном отчете. Проведение детализированного обзора СУИБ, включая: Подтверждение интеграции с задачами и процессами/процедурами информационной безопасности организаций; Подтверждение соответствия СУИБ всем правилам ISO и политике управления информационной безопасности организации. Опрос руководства для подтверждения понимания средств управления и эффективности реализации. Использование запросов, индикаторов и других инструментов тестирования для подтверждения эффективно реализованной СУИБ. Подготовка отчетов о соответствии и, при необходимости, запуск процесса сертифицирования. Отчет аудита и сертификат ISO План наблюдения на 3 года.

3 ФАЗА – МОНИТОРИНГ Целью данной фазы является обеспечить проведение сертификации, посредством выполнения текущих оценок соответствия. Критерий для визитов текущей оценки основан на требованиях UKAS и будет проводиться как минимум ежегодно (обычно каждые полгода) до окончания третьего года, когда сертификация ISO будет подвергнута процессу обновления. Текущая оценка обычно производится в зависимости от доступности менеджмента и значимости изменений в стандартах ISMS и/или ISO Сертификация ISO действительна в течение трех лет, а мониторинг может быть координированно с другой деятельностью, такой как, например расширение СУИБ или включение других систем управления, например ISO или ISO * UKAS – United Kingdom Accreditation Service

ДействияРезультаты Проведение ряда опросов руководства о значимых изменениях в операциях и СУИБ. Рассмотрение документаций связанных с изменениями СУИБ, политики, процессов, рисков и рычагов управления, включая элементы поддержания системы, таких как внутренний аудит, анализ правления и мониторинг. Запрос, наблюдение и тестирование образцов процессов СУИБ основанного на трехлетнем плане наблюдения. Текущие оценки, определяющие проблематичные облас ти, по соответствию стандарту ISO Обновления учета записей оптимизаций.

Контактная Информация Арман Андреасян Skype: andreasyan_a Ваагн Арутюнян Skype: vahagnhar