Проблемы зрелости информационной безопасности в крупных отечественных компаниях.

Презентация:



Advertisements
Похожие презентации
Управление ИТ рисками. Использование модели COBIT. 06 июня 2013 года Михаил Савчук, ООО «ЕвразХолдинг»
Advertisements

Новое в ITIL v.3: От теории к практике Москва, 2008 Бартенева Мария руководитель отдела ITSM-консалтинга.
Управление ИТ инфраструктурой предприятия ТЭК Сергей Исаюк, Начальник управления консалтинга.
Разработка автоматизированной системы регистрации и обработки обращений пользователей ИТ-инфраструктуры для компаний малого и среднего бизнеса. Степуро.
Digital Security LifeCycle Management System Эффективное решение для автоматизации процессов в рамках жизненного цикла СУИБ © 2008, Digital Security.
Информационная безопасность как часть бизнеса. Комплексный подход к построению систем управления безопасностью Буйдов Александр Заместитель генерального.
Подготовил : Суфианов Андрей Управление рисками в IT безопасности Научно-практическая конференция "Бизнес-образование как инструмент устойчивого развития.
Инфосистемы Джет ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ СНАРУЖИ И ИЗНУТРИ. Подходы компании «Инфосистемы Джет» 2006 Илья Трифаленков Директор Центра информационной.
Построение политики безопасности организации УЦ «Bigone» 2007 год.
Особенности реализации процессных моделей управления ИТ на базе Naumen Service Desk Гузик Сергей Викторович Генеральный директор Компании GSV
ОСНОВНЫЕ ПОЛОЖЕНИЯ ОСНОВНЫЕ ПОЛОЖЕНИЯ НАЦИОНАЛЬНЫХ СТАНДАРТОВ НАЦИОНАЛЬНЫХ СТАНДАРТОВ РОССИЙСКОЙ ФЕДЕРАЦИИ РОССИЙСКОЙ ФЕДЕРАЦИИ В ОБЛАСТИ КАЧЕСТВА И МЕНЕДЖМЕНТА.
ISM4 Управление рисками ИБ ПРЕДСТАВЛЕНИЕ ТЕХНОЛОГИИ КОНСАЛТИНГ В ОБЛАСТИ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ISM4.
Информационная безопасность. Процессный подход – миф или реальность? Базелев Вячеслав, руководитель направления информационной безопасности СП «Бевалекс»
Центр Информационной Безопасности Softline 7(495) ,
Управление информационными ресурсами 1. Лекция 4 Методология ITIL 4.1 Введение. Библиотека ITIL. 4.2 Основные процессы библиотеки ITIL. 4.3 Выгоды внедрения.
Предмет и задачи информационного менеджмента Тема 2.
Практический опыт построения системы централизованного мониторинга ИБ в банковской организации на базе решений Oracle Информационная безопасность для компаний.
ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ ОФИСА ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ ОФИСА Антивирусные РЕШЕНИЯ Антивирусные РЕШЕНИЯ План обеспечения соответствия как механизм.
Разработка ПО Системная интеграция IT-аутсорсинг.
Практика проведения аудитов информационной безопасности на крупных предприятиях Виктор Сердюк, к.т.н., CISSP Генеральный директор ЗАО «ДиалогНаука»
Транксрипт:

Проблемы зрелости информационной безопасности в крупных отечественных компаниях

Подходы к построению системы защиты информации Подход «сверху». Начало со стадии проектирования ИС. Как минимум, использование аудита и анализа рисков. Нужно повышать зрелость компании. На практике системы защиты информации строятся «снизу». Первоочередные меры, безотлагательные внедрения. Расследования. Недостаточная осознанность руководства?

Информационная безопасность – это не продукт, не решение и даже не услуга. Это постоянная кропотливая работа. Трудно переоценить важность системного подхода, отдельной службы ИБ в организации. О чём мы говорим?

Современные тенденции в области ИБ Постоянно расширяющееся взаимопроникновение и взаимосвязь угроз. Нарушение одного вида легко приводит к нарушениям другого: а) вредоносное ПО скрытно отправляет конфиденциальную информацию в Интернет (взаимосвязь: нарушение целостности приводит к утечке), а также рассылает спам (взаимосвязь: затрата ресурсов), б) утечка информации (например, паролей, адресов ) обуславливает заражение вирусами, взлом, спам (взаимосвязь: утечка приводит к нарушению целостности, отказу в доступе, потере рабочего времени), в) заражение вредоносным ПО происходит через развлекательные и другие неслужебные сайты (взаимосвязь: потери рабочего времени приводят к нарушению целостности информации и доступности служб и так далее).

Обоснование важности ИБ для руководства От 19 утечек информации только в сентябре 2007 года пострадали около 9 миллионов человек. Долгосрочные издержки на их ликвидацию приближаются к отметке в 2 миллиарда долларов.

Service Delivery: Управление уровнем обслуживания Финансовое управление ИТ Управление мощностями Управление непрерывностью Управление доступностью Service Support: Служба поддержки Управление инцидентами Управление проблемами Управление изменениями Управление релизами Управление конфигурациями ITIL Publication Framework: Интеграция IT Service Management и IT Security Management. Реальный опыт. Результаты начала интеграции: - разрешительный механизм ИБ (ISO) реально заработал - увеличился поток сообщений об уязвимостях и нарушениях ИБ - обеспечения непрерывности бизнеса и ИТ-услуг Дальнейшие направления интеграции: - SLA

Реальные примеры повышения эффективности защиты информации при внедрении управления ИТ-услугами - SLA уменьшает вероятность оказания пользователю (клиенту) лишней, опасной с точки зрения ИБ услуги. - ServiceDesk предоставляет возможность полноценно реализовать разрешительную систему. - ServiceDesk повышает полноту охвата и оперативность управления инцидентами.

Проблемы и тенденции управления конфиденциальной информацией Концепции и технологии PKI, VPN и SSL эффективны и перспективны. Перспективна защита IM-переписки. Системы управления доступом к внешним носителям и портам управляют не информацией, а пользователями, их полномочиями. Тенденция: комплексные решения DLP. Маркирование информации, контроль на границах сети, посекторное шифрование HDD, автом. обучение пользователей (Symantec Vontu, McAffee Safeboot –пример интеграции).

Модели зрелости управления ИТ и ИБ Уровень зрелости CobiT (ITIL)Год Уровень зрелости Gartner (ИБ)Год 0Не существующий 1Начальный нулевой (штатные средства) 2Повторяющийся20051тех. проблема (простые средства)2005 3Документированный20082орг. проблема (политика, аудит)2006 4Управляемый3корп. культура (CISO, CSIRT, SLA)2008 5Оптимизируемый CobiT (ITIL): 1. начальный 2. повторяющийся 3. документированный Gartner (ИБ): 1. тех. проблема 2. орг. проблема (аудит, политика) 3. корп. культура

Подход «снизу» к внедрению системы защиты информации Необходимые условия для старта: - организация отдельной службы защиты информации; - кредит доверия высшего руководства предприятия (организации), который выражается, например, в утвержденной инструкции по ИБ.

Подход «снизу» к внедрению системы защиты информации Первоочередные меры: - обработка инцидентов, учет и классификация нарушений ИБ; - внедрение политик управления паролями; - разделение сетей и зон доверия; - внедрение решений по мониторингу активности; - корпоративный антивирус, антиспам (стоит внимания MS ForeFront), PKI, VPN. Кредит доверияДебет успеха - внедрение учета полномочий;

Внедрение политики информационной безопасности Если пытаться внедрять Политику в незрелой организации, Политика не будет работать. Есть явления девальвации стандартов управления ИТ и ИБ. Своевременность внедрения политик и стандартов – залог их успеха. Удобство использования – главный критерий принятия политик руководителями и пользователями.

Значение стандартов ИТ 1. Не должен стоять вопрос, какой стандарт выбрать. ISO 17799:2005: появился раздел «Управление инцидентами». ISO 27001:2005 использует подходы CobiT и т. д. ISO, ITIL и CobiT непротиворечивы, могут и должны использоваться совместно. Каждый силен в своем: ITIL – в управлении ИТ-услугами, CobiT – в измерениях (эффективности и т. п.), ISO 27001/17799/13335 – в ИБ. ISO, CobiT и ITIL будут гармонизированы ISO в ближайшие 2-3 года. Нужно также рассматривать и другие стандарты ИТ, как специфичные, так и абстрактные. ISO 20000/BS (управление услугами ИТ) коррелирует с ITIL. 2. Если уже имеется система управления процессами по ISO 9001 или 14001, то ISO 27001:2005 рекомендует «дополнить» данную систему элементами системы управления ИБ. 3. Наиболее наглядный пример выгоды от сертификации по ISO для бизнеса – повышение инвестиционной привлекательности. Западные инвесторы и биржи требуют соответствие ISO, Акту Сарбанеса-Оксли, заключения об аудите одного из членов big4.

Независимый перевод ISO 27002:2007 (17799:2005)