Инфосистемы Джет ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ СНАРУЖИ И ИЗНУТРИ. Подходы компании «Инфосистемы Джет» 2006 Илья Трифаленков Директор Центра информационной.

Презентация:



Advertisements
Похожие презентации
Определение Аудит информационной безопасности ИС - это независимый, комплексный процесс анализа данных о текущем состоянии информационной системы предприятия,
Advertisements

Инфосистемы Джет Ключевые компоненты критичных информационных систем. Подходы компании «Инфосистемы Джет» 2006 Илья Трифаленков Директор Центра информационной.
Информационная безопасность как часть бизнеса. Комплексный подход к построению систем управления безопасностью Буйдов Александр Заместитель генерального.
Подготовил : Суфианов Андрей Управление рисками в IT безопасности Научно-практическая конференция "Бизнес-образование как инструмент устойчивого развития.
Digital Security LifeCycle Management System Эффективное решение для автоматизации процессов в рамках жизненного цикла СУИБ © 2008, Digital Security.
Построение политики безопасности организации УЦ «Bigone» 2007 год.
ПОЛИТИКА КОРПОРАТИВНОЙ ИНФОРМАТИЗАЦИИ ОАО «РЖД». О А О « Р О С С И Й С К И Е Ж Е Л Е З Н Ы Е Д О Р О Г И » 2 Утверждена распоряжением президента ОАО «РЖД»
«Системный подход при обеспечении безопасности персональных данных» Начальник технического отдела Михеев Игорь Александрович 8 (3812)
Практика проведения аудитов информационной безопасности на крупных предприятиях Виктор Сердюк, к.т.н., CISSP Генеральный директор ЗАО «ДиалогНаука»
Специальность « Организация защиты информации»
Анна Кожина Консультант отдела информационной безопасности
«1С:Документооборот 8». Зачем автоматизировать документооборот? Единая информационная база документов Возможность параллельного выполнения операций Непрерывность.
Анна Кожина Консультант отдела информационной безопасности
Разработка ПО Системная интеграция IT-аутсорсинг.
ЗАМЕСТИТЕЛЬ ДИРЕКТОРА ФИЛИАЛА ОАО «БИТК» В г. ВОРОНЕЖЕ СЕЛИФАНОВА НАТАЛИЯ НИКОЛАЕВНА ЗАМЕСТИТЕЛЬ ДИРЕКТОРА ФИЛИАЛА ОАО «БИТК» В г. ВОРОНЕЖЕ СЕЛИФАНОВА.
Внедрение систем мониторинга и защиты информации Информация – это своеобразный товар, как правило, весьма ценный.
СОВЕРШЕНСТВОВАНИЕ СИСТЕМ ОБЕСПЕЧЕНИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ОРГАНИЗАЦИЙ И КОМПАНИЙ НА ОСНОВЕ ПРИМЕНЕНИЯ ПРОЦЕССНЫХ СТАНДАРТОВ «Уверенность в себе.
Управление ИТ рисками. Использование модели COBIT. 06 июня 2013 года Михаил Савчук, ООО «ЕвразХолдинг»
Новая ИТ-стратегия для государственных организаций. Особенности аудита и лицензирования программного обеспечения. ИТ-образование для государственных организаций.
Предмет и задачи информационного менеджмента Тема 2.
Транксрипт:

Инфосистемы Джет ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ СНАРУЖИ И ИЗНУТРИ. Подходы компании «Инфосистемы Джет» 2006 Илья Трифаленков Директор Центра информационной безопасности

Информационная безопасность © Инфосистемы Джет Компания «Инфосистемы Джет» Более 300 сертификатов и 20 лицензий ФСБ и ФСТЭК Собственная линейка продуктов 15 лет на рынке информационных технологий Более 300 проектов по защите информации Центр Информационной безопасности Квалифицированные специалисты Удаленная помощь в диагностике и устранении проблем Трехуровневая поддержка клиентов, включая поддержку 24 на 7 Филиалы по всей территории России Сервисный центрИнформационные технологии

© Инфосистемы Джет Требования бизнеса Повышение конкурентных преимуществ Поддержание имиджа компании и сохранность критичных активов Увеличение инвестицион- ной привлека- тельности Облегчение управляемости бизнес- процессами внутри компании

© Инфосистемы Джет Информационная безопасность для бизнеса сегодня Информационная безопасность – часть процесса по УПРАВЛЕНИЮ РИСКАМИ организации (операционными) Информационная безопасность не нужна сама по себе, а тесно связана со всеми процессами в компании и обеспечивает сохранность КРИТИЧНЫХ ДЛЯ БИЗНЕСА АКТИВОВ Обеспечение информационной безопасности - это НЕПРЕРЫВНЫЙ ПРОЦЕСС, взаимоувязывающий правовые, организационные и программно-аппаратные меры защиты, направленные на постоянное поддержание стабильности и защиту бизнеса компании

© Инфосистемы Джет Схема систем управления информационной безопасностью

© Инфосистемы Джет Место СУИБ в общей концепции управления организации

© Инфосистемы Джет Преимущества Внутренний порядок с ИБ в компании Преимущества внедрения СУИБ Есть критерии оценки эффективности деятельности подразделений ИБ Повышение прозрачности управления информационной безопасностью в компании с точки зрения высшего руководства компании Четкое разделение полномочий и ответственности за обеспечение ИБ Обоснование затрат на ИБ Снижение рисков, связанных с возможными ущербами для активов компании Свод правил по ИБ

© Инфосистемы Джет Порядок построения процессов по обеспечению информационной безопасности в Компании Внедрение процедур обеспечения ИБ Реализация контрмер Реализация контрмер для комплексной СУИБ Реализация контрмер для базовой модели Анализ рисков Критичные системы – Комплексная СУИБ Некритичные системы – Базовая модель Разработка политики ИБ Формирование политики ИБ и план развития Проведение аудита Анализ существующей ситуации в компании Обеспечение процессного подхода Планирование, внедрение, проверка, улучшение

© Инфосистемы Джет Построение СУИБ Если существуют риски, приводящие к невозможности достижения целей основных бизнес- процессов, то СУИБ относится к комплексному уровню Если любые риски в рамках автоматизированных информационных систем не приводят к невозможности достижения целей основных бизнес-процессов, то СУИБ относится к базовому уровню Правила категоризации ресурсов

© Инфосистемы Джет СУИБ Базового уровня Управление – принятие остаточных рисков при использовании типовых решений Выбор мер по их минимизации из каталогов типовых практик Стандарты : IT-Grundschutz (GS) Manual и Payment Card Industry Data Security Standard Типы угроз: Несанкционированный доступ по каналам связи; Распространение вредоносного программного обеспечения; Несанкционированное раскрытие критичных данных третьими лицами; Отсутствие контроля за событиями ИБ Типовые решения: Система защиты периметра ИС; Система антивирусной защиты; Система распространения обновлений; Средства усиленной аутентификации для удаленных пользователей; Системы контроля и мониторинга физического доступа; Системы протоколирования/сбора логов; Система защиты от внутренних утечек; Периодический контроль защищенности

© Инфосистемы Джет Комплексная СУИБ Ключевые процессы в рамках СУИБ: Управление рисками Управление инцидентами Управление эффективностью системы Управление персоналом Управление непрерывностью бизнеса и восстановления после прерываний Управление документооборотом Пересмотр и модернизация.

© Инфосистемы Джет Комплексная СУИБ Основной упор на создание системы управления информационной безопасностью, разработанной в соответствии с оценкой рисков. Разработка комплексных технических подсистем и адаптация имеющихся средств Стандарт - ISO/IEC 27001:2005

© Инфосистемы Джет Поддержка уровня безопасности

© Инфосистемы Джет Обеспечение процессного подхода

Информационная безопасность © Инфосистемы Джет Мы ждем Ваших вопросов … И.А.Трифаленков Спасибо за внимание!

© Инфосистемы Джет Работы компании «Инфосистемы Джет» Центр информационной безопасности «Инфосистемы Джет», обеспечивающий проведение работ по следующим направлениям: Аудит и консалтинг. Высококвалифицированные аналитики и аудиторы осуществляют анализ, оптимизацию и реорганизацию процессов и систем, проводят обследования и аудиты. Системная интеграция и проектирование. Высококвалифицированные инженеры-проектировщики осуществляют выбор, тестирование и интеграцию аппаратно- программных компонентов решений, проводят работы по проектированию и внедрению. Сопровождение и сервис. Высококвалифицированные инженеры осуществляют сервисное обслуживание.

© Инфосистемы Джет Используемые методики В направлении Консалтинга и аудита: Методология оценки рисков OCTAVE; Методология оценки рисков CRAMM; Стандарт Payment Card Industry Data Security Standard; Стандарт ЦБ РФ; Стандарт ISO/IEC 27001:2005. В направлении Проектирования и системной интеграции: ГОСТ Информационная технология. Комплекс стандартов на автоматизированные системы. Виды, комплектность и обозначения документов при создании автоматизированных систем (Взамен ГОСТ , ГОСТ ); ГОСТ Информационная технология. Комплекс стандартов на автоматизированные системы. Автоматизированные системы. Стадии создания; ГОСТ Информационная технология. Комплекс стандартов на автоматизированные системы. Техническое задание на создание автоматизированной системы; ГОСТ Информационная технология. Виды испытаний автоматизированных систем; РД Автоматизированные системы. Требования к содержанию документов. В направлении Сервиса: ГОСТ Р ISO 9000