Www.dsi.lanit.ru Анна Кожина Консультант отдела информационной безопасности kozhina@lanit.ru.

Презентация:



Advertisements
Похожие презентации
Анна Кожина Консультант отдела информационной безопасности
Advertisements

Информационная безопасность как часть бизнеса. Комплексный подход к построению систем управления безопасностью Буйдов Александр Заместитель генерального.
ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ ОФИСА ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ ОФИСА Антивирусные РЕШЕНИЯ Антивирусные РЕШЕНИЯ План обеспечения соответствия как механизм.
Инфосистемы Джет ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ СНАРУЖИ И ИЗНУТРИ. Подходы компании «Инфосистемы Джет» 2006 Илья Трифаленков Директор Центра информационной.
Центр безопасности информации Оценка соответствия ИСПДн различных классов требованиям безопасности ПДн.
Специальность « Организация защиты информации»
Практика проведения аудитов информационной безопасности на крупных предприятиях Виктор Сердюк, к.т.н., CISSP Генеральный директор ЗАО «ДиалогНаука»
Digital Security LifeCycle Management System Эффективное решение для автоматизации процессов в рамках жизненного цикла СУИБ © 2008, Digital Security.
Построение политики безопасности организации УЦ «Bigone» 2007 год.
Новая ИТ-стратегия для государственных организаций. Особенности аудита и лицензирования программного обеспечения. ИТ-образование для государственных организаций.
«Системный подход при обеспечении безопасности персональных данных» Начальник технического отдела Михеев Игорь Александрович 8 (3812)
Практический опыт реализации требований по защите персональных данных МУ Информационно-методический центр Ходячих Андрей Викторович.
Компоненты СМИБ. Модель PDCA, применяемая к процессам СМЗИ.
Определение Аудит информационной безопасности ИС - это независимый, комплексный процесс анализа данных о текущем состоянии информационной системы предприятия,
Информационная безопасность Лекция 3 Административный уровень.
Налоговая безопасность бизнеса Аспекты информационной безопасности в коммерческих организациях Ведущий специалист отдела терминальных технологий ООО «Праймтек»
Создание бизнес ориентированной стратегии информационной безопасности Роман Чаплыгин 22 мая 2014.
Информационно-аналитическая система информационной безопасности в системах массовых услуг (электронное правительство) И.А.Трифаленков Директор по технологиям.
Защита персональных данных на базе типовых решений ЭЛВИС-ПЛЮС © ОАО «ЭЛВИС-ПЛЮС», 2008 г.
Методы и средства защиты информации в компьютерных системах Пермяков Руслан
Транксрипт:

Анна Кожина Консультант отдела информационной безопасности

Определение текущего уровня обеспечения (уровня зрелости) информационной безопасности в организации; Определение направления развития ИБ, целей и задач с учетом стратегических целей развития организации; Выработка конкретных действий, необходимых для достижения поставленных целей организации в области ИБ Цели консалтинга в области ИБ

Определение текущего уровня ИБ (потребности бизнеса и внешние требования); Часто возникают инциденты ИБ, существуют высокие риски реализации угроз ИБ из-за отсутствия защитных мер; Необходимость привести существующие механизмы ИБ в соответствие с внешними требованиями в области ИБ; Необходимость выстроить процессы управления ИБ Актуальность услуг по консалтингу в области ИБ

Проведение комплексного аудита ИБ прикладных систем; Построение комплексной СУИБ, оценка рисков, анализ угроз ИБ, разработка моделей угроз, планирование непрерывности бизнеса; Построение систем защиты персональных данных; Приведение корпоративной СУИБ в соответствие различным требованиям (ISO 27001, ISO 22301, ГОСТ Р ИСО/МЭК 15408:2002, и пр.); Аттестация информационных систем в рамках требований законодательства РФ; Услуги направления консалтинга в области ИБ

Проектирование и внедрение системы информационной безопасности для государственных структур; Разработка нормативной документации по ИБ (концепции, политики, регламенты и т.д.); Консалтинг при подготовке к процедурам лицензирования (получении лицензий ФСТЭК и ФСБ); Организация проведения процедур сертификации, аттестации объектов информатизации, специальных исследований и специальных проверок технических средств Услуги направления консалтинга в области ИБ

Комплексный анализ КИС, инструментальные исследования, анализ уязвимостей. Построение схем информационных потоков и бизнес-процессов Определение значимых угроз. Анализ рисков и построение политики безопасности и требований к системе ИБ Разработка комплексных рекомендаций по обеспечению режима ИБ. Разработка концепции обеспечения ИБ, корпоративной политики безопасности Реализация системы ИБ, определение остаточных рисков Сопровождение системы в процессе эксплуатации ` ` Общий подход к реализации проектов

АУДИТ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ

АУДИТ систематический, независимый и документированный процесс получения свидетельств аудита и объективного их оценивания с целью установления степени выполнения согласованных критериев аудита Формальное определение аудита ИБ

Этапы работ по проведению аудита ИБ

Аудит информационных систем, телекоммуникационной и серверной инфраструктуры Оценка эффективности применяемых методов и способов защиты информации Анализ используемых механизмов защиты информации Анализ существующих организационно- распорядительной документации Анализ действующих процессов управления ИБ Анализ исходных данных

Анализ способов ввода информации в ИС и их вывода из нее Определение всех приложений, которые обрабатывают информацию Анализ потоков информации между приложениями, ИС и компонентами инфраструктуры Выявление всех мест хранения информации (рабочие станции, сервера…) Анализ сетевой инфраструктуры Сбор информации о системном обеспечении (программные и программно- аппаратные средства) Анализ ИС и ИТ-инфраструктуры

Контроль доступа Антивирусная защита Межсетевое экранирование Обнаружение и предотвращение вторжений Анализ защищенности Предотвращение утечек КИ Криптографическая защита Мониторинг защищенности Управление инцидентами ИБ Анализ используемых механизмов ЗИ

Анализ и оценка рисков

Перечень защищаемой информации и перечень ИС, обрабатывающих защищаемую информацию Перечень объектов (прикладных систем, сетевого оборудования, программно-аппаратных комплексов, СЗИ), по каждому из которых указана возможность осуществления НСД и характер нарушения характеристики ИБ Печень информационных рисков (с указанием уязвимостей информационных активов и угроз ИБ в отношении этих активов) Отчет по оценке рисков ИБ и План обработки рисков Отчет по проведенному аудиту ИТ-инфраструктуры Компании с рекомендациями по повышению эффективности функционирования существующей системы ИБ Отчетные материалы по результатам аудита

ВНЕДРЕНИЕ СИСТЕМЫ УПРАВЛЕНИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТЬЮ НА ОСНОВЕ М/С ISO/IEC 27001:2005

Компания ЛАНИТ обладает действующим сертификатом ISO/IEC 27001:2005, удостоверяющим, что в Компании внедрены процессы и технологии, направленные на минимизацию рисков в области конфиденциальности, целостности, доступности информационных активов

Создание и постоянное обеспечение в Компании условий, при которых риски, связанные с обеспечением безопасности информационных активов, постоянно контролируются и находятся на приемлемом уровне остаточного риска Цель проекта по построению СУИБ

определение области действия и границ СУИБидентификация и классификация информационных активоввнедрение процессов анализа, оценки и обработки рисков ИБопределение перечня контролей СУИБ определение основных требований и процедур по обеспечению ИБ, разработка Политики информационной безопасности разработка инструкций и процедурвнедрение СУИБ Основные этапы выполнения работ

Сделать большинство информационных активов более понятными для менеджмента компании; Выявить основные угрозы безопасности для существующих бизнес-процессов; Рассчитывать риски и принимать решения на основе бизнес- целей компании; Продемонстрировать клиентам, партнерам, владельцам бизнеса свою приверженность к информационной безопасности; Получить международное признание и повышение авторитета компании, как на внутреннем рынке, так и на внешних рынках; Обеспечить эффективное управление системой в критичных ситуациях Внедрение стандарта позволит

ВНЕДРЕНИЕ СИСТЕМЫ УПРАВЛЕНИЯ НЕПРЕРЫВНОСТЬЮ БИЗНЕСА НА ОСНОВЕ М/С ISO 22301:2012

Построение системы управления непрерывностью бизнеса (СУНБ)

Возможность заблаговременно определять воздействие, оказываемое в результате нарушения нормального хода деятельности Способность к управлению рисками Система эффективного реагирования на нарушения нормального хода деятельности, которая позволяет минимизировать их воздействие Способность принимать надежные меры реагирования на инциденты благодаря проведению учений Преимущества внедрения СУНБ

Проектирование и внедрение отказоустойчивых схем функционирования ИТ-инфраструктуры и их тестирование в рамках пилотных проектов Разработка регламентной документации по переходу на резервные мощности в случае сбоев в работе ИТ-инфраструктуры Тестирование механизма перехода на резервные мощности ИТ-инфраструктуры с точки зрения обеспечения непрерывности бизнес-процессов Формализация процесса обеспечения непрерывности функционирования ИТ- инфраструктуры и внедрение ВСМS, направленной на защиту выделенных ключевых бизнес-процессов Компании от ЧС Консалтинговые услуги по внедрению СУНБ

1.Анализ организации 2.Определение критически важных видов деятельности 3.Анализ воздействия на бизнес (BIA) 4.Определение требований по обеспечению непрерывности бизнеса 5.Проведение оценки рисков 6.Выбор мер по обработке рисков Этапы внедрения СУНБ. Анализ организации

1.Рассмотрение и документирование вариантов стратегий для критически важных видов деятельности кредитных организаций 2.Выбор ресурсов, которые потребуются для возобновления каждого из критически важны видов деятельности Этапы внедрения СУНБ. Выбор стратегии

1.Структура реагирования на инциденты 2.Разработка и документирование Плана обеспечения непрерывности бизнеса 3.Разработка и документирование Плана управления инцидентами Этапы внедрения СУНБ. Внедрение СУНБ

1.Подготовка и документирование Программы и Планов учений 2.Разработка и документирование Методики тестирования внедренных Планов 3.Проведение Тестирования Планов непрерывности бизнеса и управления инцидентами 4.Разработка и документирование процедуры внутренних аудитов Этапы внедрения СУНБ. Сопровождение и аудит

Политика обеспечения непрерывности бизнеса Стратегия обеспечения непрерывности бизнеса План обеспечения непрерывности бизнеса и План управления инцидентами BIA и оценка рисков (методики и отчеты) Модель нарушителя, модель угрозПеречень критичных продуктов и услуг Документация СУНБ

Формализованный метод определения воздействия любого нарушения нормального хода критичных видов деятельности; Реалистичные оценки текущих параметров восстановления (RTO, RPO) для отдельных подсистем, элементов инфраструктуры и всей обследуемой инфраструктуры Заказчика Документированные технические решения и организационные процедуры в виде структурированного BCP/DRP; Идентифицированные возможности улучшения существующих решений обеспечения непрерывности ИТ-сервисов Результаты проекта по внедрению СУНБ

Прозрачность инвестиций и обоснованность бюджета, выделяемого на ИБ; Эффективная стратегия развития СИБ; Устойчивость бизнеса к реализации угроз ИБ; Бесшовная интеграция механизмов обеспечения ИБ с существующей ИС; Повышение репутации и доверия со стороны бизнес-партнеров Эффективность консалтинга в области ИБ

Анна Кожина Департамент сетевой интеграции Отдел информационной безопасности