Инфосистемы Джет ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ СНАРУЖИ И ИЗНУТРИ. Подходы компании «Инфосистемы Джет» 2006 Илья Трифаленков Директор Центра информационной безопасности
Информационная безопасность © Инфосистемы Джет Компания «Инфосистемы Джет» Более 300 сертификатов и 20 лицензий ФСБ и ФСТЭК Собственная линейка продуктов 15 лет на рынке информационных технологий Более 300 проектов по защите информации Центр Информационной безопасности Квалифицированные специалисты Удаленная помощь в диагностике и устранении проблем Трехуровневая поддержка клиентов, включая поддержку 24 на 7 Филиалы по всей территории России Сервисный центрИнформационные технологии
© Инфосистемы Джет Требования бизнеса Повышение конкурентных преимуществ Поддержание имиджа компании и сохранность критичных активов Увеличение инвестицион- ной привлека- тельности Облегчение управляемости бизнес- процессами внутри компании
© Инфосистемы Джет Информационная безопасность для бизнеса сегодня Информационная безопасность – часть процесса по УПРАВЛЕНИЮ РИСКАМИ организации (операционными) Информационная безопасность не нужна сама по себе, а тесно связана со всеми процессами в компании и обеспечивает сохранность КРИТИЧНЫХ ДЛЯ БИЗНЕСА АКТИВОВ Обеспечение информационной безопасности - это НЕПРЕРЫВНЫЙ ПРОЦЕСС, взаимоувязывающий правовые, организационные и программно-аппаратные меры защиты, направленные на постоянное поддержание стабильности и защиту бизнеса компании
© Инфосистемы Джет Схема систем управления информационной безопасностью
© Инфосистемы Джет Место СУИБ в общей концепции управления организации
© Инфосистемы Джет Преимущества Внутренний порядок с ИБ в компании Преимущества внедрения СУИБ Есть критерии оценки эффективности деятельности подразделений ИБ Повышение прозрачности управления информационной безопасностью в компании с точки зрения высшего руководства компании Четкое разделение полномочий и ответственности за обеспечение ИБ Обоснование затрат на ИБ Снижение рисков, связанных с возможными ущербами для активов компании Свод правил по ИБ
© Инфосистемы Джет Порядок построения процессов по обеспечению информационной безопасности в Компании Внедрение процедур обеспечения ИБ Реализация контрмер Реализация контрмер для комплексной СУИБ Реализация контрмер для базовой модели Анализ рисков Критичные системы – Комплексная СУИБ Некритичные системы – Базовая модель Разработка политики ИБ Формирование политики ИБ и план развития Проведение аудита Анализ существующей ситуации в компании Обеспечение процессного подхода Планирование, внедрение, проверка, улучшение
© Инфосистемы Джет Построение СУИБ Если существуют риски, приводящие к невозможности достижения целей основных бизнес- процессов, то СУИБ относится к комплексному уровню Если любые риски в рамках автоматизированных информационных систем не приводят к невозможности достижения целей основных бизнес-процессов, то СУИБ относится к базовому уровню Правила категоризации ресурсов
© Инфосистемы Джет СУИБ Базового уровня Управление – принятие остаточных рисков при использовании типовых решений Выбор мер по их минимизации из каталогов типовых практик Стандарты : IT-Grundschutz (GS) Manual и Payment Card Industry Data Security Standard Типы угроз: Несанкционированный доступ по каналам связи; Распространение вредоносного программного обеспечения; Несанкционированное раскрытие критичных данных третьими лицами; Отсутствие контроля за событиями ИБ Типовые решения: Система защиты периметра ИС; Система антивирусной защиты; Система распространения обновлений; Средства усиленной аутентификации для удаленных пользователей; Системы контроля и мониторинга физического доступа; Системы протоколирования/сбора логов; Система защиты от внутренних утечек; Периодический контроль защищенности
© Инфосистемы Джет Комплексная СУИБ Ключевые процессы в рамках СУИБ: Управление рисками Управление инцидентами Управление эффективностью системы Управление персоналом Управление непрерывностью бизнеса и восстановления после прерываний Управление документооборотом Пересмотр и модернизация.
© Инфосистемы Джет Комплексная СУИБ Основной упор на создание системы управления информационной безопасностью, разработанной в соответствии с оценкой рисков. Разработка комплексных технических подсистем и адаптация имеющихся средств Стандарт - ISO/IEC 27001:2005
© Инфосистемы Джет Поддержка уровня безопасности
© Инфосистемы Джет Обеспечение процессного подхода
Информационная безопасность © Инфосистемы Джет Мы ждем Ваших вопросов … И.А.Трифаленков Спасибо за внимание!
© Инфосистемы Джет Работы компании «Инфосистемы Джет» Центр информационной безопасности «Инфосистемы Джет», обеспечивающий проведение работ по следующим направлениям: Аудит и консалтинг. Высококвалифицированные аналитики и аудиторы осуществляют анализ, оптимизацию и реорганизацию процессов и систем, проводят обследования и аудиты. Системная интеграция и проектирование. Высококвалифицированные инженеры-проектировщики осуществляют выбор, тестирование и интеграцию аппаратно- программных компонентов решений, проводят работы по проектированию и внедрению. Сопровождение и сервис. Высококвалифицированные инженеры осуществляют сервисное обслуживание.
© Инфосистемы Джет Используемые методики В направлении Консалтинга и аудита: Методология оценки рисков OCTAVE; Методология оценки рисков CRAMM; Стандарт Payment Card Industry Data Security Standard; Стандарт ЦБ РФ; Стандарт ISO/IEC 27001:2005. В направлении Проектирования и системной интеграции: ГОСТ Информационная технология. Комплекс стандартов на автоматизированные системы. Виды, комплектность и обозначения документов при создании автоматизированных систем (Взамен ГОСТ , ГОСТ ); ГОСТ Информационная технология. Комплекс стандартов на автоматизированные системы. Автоматизированные системы. Стадии создания; ГОСТ Информационная технология. Комплекс стандартов на автоматизированные системы. Техническое задание на создание автоматизированной системы; ГОСТ Информационная технология. Виды испытаний автоматизированных систем; РД Автоматизированные системы. Требования к содержанию документов. В направлении Сервиса: ГОСТ Р ISO 9000