1
Раздел 1. СУИБРаздел 1. СУИБ 1.1 Что такое СУИБ1.1 Что такое СУИБ 1.2 Зачем нужна СУИБ1.2 Зачем нужна СУИБ 1.3 Нормативная база1.3 Нормативная база 1.4 Цели СУИБ1.4 Цели СУИБ 1.5 Цикл PDCA1.5 Цикл PDCA 1.6 Этапы внедрения СУИБ1.6 Этапы внедрения СУИБ 2
3 часть общей системы управления, основанной на подходе оценки бизнес- рисков, с целью создать, внедрить, эксплуатировать, постоянно контролировать, анализировать, поддерживать в рабочем состоянии и улучшать защиту информации. Система управления информационной безопасностью (СУИБ)Система управления информационной безопасностью (СУИБ) что-либо, что имеет ценность для организации Актив количественная характеристика опасности, определяемая частотой реализации опасностей Риск
Для обеспечения информационной безопасности необходима актуальная система управления, которая сможет привести компанию к реализации ее видения. СУИБ является фундаментом информационной безопасности предприятия и объединяет в себе все процессы и ресурсы, которые обеспечивают информационную безопасность в компании, определяет методы достижения поставленных целей. ? ?? ?? ? ? ? ? ? ??? ?? ?
Информационные технологии. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Общий обзор и терминология ISO/IEC 27000ISO/IEC Информационные технологии. Методы защиты. Системы менеджмента защиты информации. Требования; ISO/IEC 27001ISO/IEC Информационные технологии. Свод правил по управлению защитой информации ISO/IEC 27002ISO/IEC Методы защиты в банковской деятельности. Система управления информационной безопасностью. Требования СОУ Н НБУ 65.1 СУИБ 1.0:2010СОУ Н НБУ 65.1 СУИБ 1.0:2010 Методы защиты в банковской деятельности. Свод правил для управления информационной безопасностью СОУ Н НБУ 65.1 СУИБ 2.0:2010СОУ Н НБУ 65.1 СУИБ 2.0:2010
6 Цели Постановка управления ИБ для достижения целей бизнеса Постановка управления ИБ для достижения целей бизнеса Управление рисками компании Управление рисками компании Оптимизация затрат на информационную безопасность Оптимизация затрат на информационную безопасность Управление ресурсами, выделенными на обеспечение ИБ Управление ресурсами, выделенными на обеспечение ИБ Централизация всех функций обеспечения ИБ в Компании Централизация всех функций обеспечения ИБ в Компании Измерения производительности ИБ Измерения производительности ИБ
Описание активов Описание рисков Оценка рисков Этапы обработки рисков:Этапы обработки рисков: Процесс оценки рисковПроцесс оценки рисков Определение ценности активовОпределение ценности активов Уязвимости УгрозыВероятности Риски Категоризация рисковКатегоризация рисков Обработка рисков Принятие рисков Мониторинг Процессы управления рисками:Процессы управления рисками: Минимизация Принятие Передача Избежание Варианты обработки рисков:Варианты обработки рисков:
8 Заинтере-сованныестороныЗаинтере-сованныестороны Требования и ожидания по защите информации Управляемая СУИБ Создание СУИБСоздание СУИБ Реализация и запуск СУИБ Контроль и анализ СУИБ Поддержка и улучшение СУИБ Планирование Действие Осуществление Проверка
I этап. Определение целей и средств защиты II этап. Определение направлений защиты II этап. Определение направлений защиты III этап. Реализация мер защиты III этап. Реализация мер защиты ОрганизационныеУчебные АппаратныеПрограммные А.5 А.6А.7А.8А.9 А.10 А.11 А.12 А.13 А.14 А.15
10 УправленческийОрганизационныйПервоначальный анализ СУИБОпределение политики и целей СУИБСравнение текущей ситуации со стандартомПланирование внедрения СУИБВнедрение системы управления рискамиРазработка документации СУИБОбучение персоналаРазработка и принятие мер по обеспечению работы СУИБВнутренний аудит СУИБАнализ СУИБ со стороны руководстваОфициальный запуск СУИБОповещение заинтересованных сторон
11 1 этап1 этап Цели и выгоды внедрения СУИБ Получить поддержку руководства по внедрению и ввод в эксплуатацию СУИБ Распределение ролей СУИБ 2 этап2 этап Создание группы по внедрению и поддержке СУИБ Обучение группы по внедрению и поддержке СУИБ Определение области действия СУИБ 3 этап3 этап Провести анализ существующей СУИБ Описание перечня работ по доработке существующей СУИБ 4 этап4 этап Определить политику СУИБ Определить цели СУИБ по каждому отдельному процессу 5 этап5 этап Провести обучение ответственных за СУИБ требованиям стандарта Проработать требования стандарта Сравнить требования стандарта с текущим положением дел 6 этап6 этап Определить перечень мероприятий для достижения требований стандарта Разработать руководство по ИБ
12 7 этап7 этап Разработать процедуру по идентификации рисков Описать и категорировать активы Оценка активов Идентификация угроз и уязвимости активов Анализировать и ранжировать риски Разработка плана по снижению рисков Определить контроли по управлению рисками 8 этап8 этап Определение перечня документов (процедур, записей, инструкций) для разработки Разработка процедур и других документов Разработка и внедрение в действие документов СУИБ 9 этап9 этап Обучение руководителей подразделений согласно требованиям стандарта Обучение всего персонала согласно требованиям стандарта 10 этап10 этап Внедрение средств защиты (административных, учебных, технических) 11 этап11 этап Подбор команды внутреннего аудита Планирование внутреннего аудита Проведение Внутреннего аудита
13 12 этап12 этап Проведения анализа СУИБ со стороны высшего руководства 13 этап13 этап Приказ о введении в действие СУИБ 14 этап14 этап Информирование клиентов, партнеров о запуске СУИБ
Раздел 2. О нашей деятельностиРаздел 2. О нашей деятельности 2.1 Предоставляемые услуги2.1 Предоставляемые услуги 2.2 Краткая характеристика2.2 Краткая характеристика 2.3 Контакты2.3 Контакты
Подготовка СУИБ заказчика для проведения аудита по безопасности Проверки соответствия СУИБ Вашей организации требованиям международного стандарта ISO/IEC 27001:2005 Построения СУИБ в соответствии с требованиями международного стандарта ISO/IEC 27001:2005 Консультативную и методологическую поддержку в области приведения СУИБ Вашей организации к требованиям международного стандарта ISO/IEC 27001:2005 Реализация мероприятий по технической защите информации, в частности, построение комплексных систем защиты информации.
в сфере криптографической защиты информации - АГ от года; в сфере технической защиты информации - АГ от года ЛИЦЕНЗИАТ «Библиотеки функций Crypto Lib UPG» и «Криптопровайдер Crypto Pro UPG», реализующие алгоритмы национальных стандартов криптографических преобразований; ПТК ЦСК «UPG PKI» (ТЗ UA ) для создания (А) ЦСК, соответствующего требованиям национальных НД, гармонизированных с международными (по PKI); АИАС «Антарес» РАЗРАБОТЧИК ЕСМ-систем на основе продуктов Microsoft и UPG; отдельных программных продуктов для реализации бизнес-сценариев в сфере электронного документооборота с использованием ЭЦП ИНТЕГРАТОР ЭЦП собственным аккредитованным ЦСК «UPG PKI»; построение комплексных систем защиты информации; проверка на соответствие стандарту ISO/IEC 27001:2005; создание СУИБ в соответствии с требованиями ISO/IEC 27001:2005 ПОСТАВЩИК ІТ-УСЛУГ
Адрес: 03056, Киев, Украина, пер. Индустриальный, 23, офис 301 Тел. (044) Тел./факс (044) Руководители: Свиридов Е.А. – директор тел.: +38(094) ;