Менеджмент информационной безопасности Защита информа - ционных систем Бричеева Н.Н.

Некоторые факты об информационной безопасности... IT- данные Информация Конфиденциальность Целостность Доступность Достоверность Ответственность Сохранность Прозрачность Информация в более широком смысле, чем электронная информация и ее носители Информационная безопасность охватывает не только вопросы ИТ - безопасности Безопасность означает больше, чем просто конфиденциальность, чаще на первый план выходят вопросы доступности и целостности Управление в более широком смысле, чем техническими средствами и инструментами 2. Основы и содержание ISO/IEC

Информационная безопасность – это… 2. Основы и содержание ISO/IEC ВОПРОС МЕНЕДЖМЕНТА ИЛИ ТЕХНИЧЕСКИЙ ВОПРОС? Информационная безопасность должна рассматриваться как одно из направлений менеджмента. Полагаться не только на технических специалистов. Для обеспечения безопасности бизнеса необходимо соединить в один процесс менеджмент и техническую часть работы. … 80 % Менеджмент Политика ИБ, процессы ИБ, ответственность, осведомленность, анализ рисков, непрерывность бизнеса, др. … 20 % Технологии Системы, средства, архитектура, др. 3

Важнейший инструмент стандарта ISO Важнейший инструмент стандарта ISO Система менеджмен - та основана на процессном подходе (ISO 9001) Система менеджмен - та основана на процессном подходе (ISO 9001) 2. Основы и содержание ISO/IEC

Стандарты серии ISO Основы и содержание ISO/IEC – Prinzipien und Bezeichnungen – ISMS Anforderungen (Grundlage für Zertifizierung) – ISMS Code of Practice (entspricht ISO/IEC 17799:2005) – ISMS Implementierungs-Richtlinien (in Entwicklung) – ISMS Kennzahlen und Messmethoden (in Entwicklung) – ISMS Risk Management – Anforderungen an Zertifizierer 5

Внутренний аудит. Анализ мер Внутренний аудит. Анализ мер Выбор и применение мер по обработке Выбор и применение мер по обработке Управление рисками Управление рисками Создание реестра активов Создание реестра активов Диагностика. Определение политик и целей. Диагностика. Определение политик и целей. Определение Области действия и структуры СМИБ Определение Области действия и структуры СМИБ Запуск основных процессов Шесть необходимых шагов для внедрения системы менеджмента информационной безопасности 6

Шаг 1: Организационная структура и область действия Комитет по ИТ-безопасности Много ошибок при работе эл. почты! Настаиваю на роверке! У нас нет общей концепции безопасности! Как принимать персонал? Каждый день фиксируем попытки проникновения на сервер! Нужно срочно установить файерволы в точках …. Персонал не знает правила инф. безо- пасности! Вышел закон о защите персональных данных. Надо учесть! Всем спасибо! Сейчас подробно опишем все наши проблемы, просчитаем риски и определим программу снижения рисков! 7

Шаг 2: Диагностика текущего состояния ИБ 8

Шаг 3: Создание реестра активов. Вариант 1 3. Внедрение 9

ISO 9001 = 10-30% ISO Шаг 3: Создание реестра активов. Вариант 2 10

Шаг 3: Создание реестра активов. Вариант 3 11

Шаг 4: Управление рисками 3. Внедрение Сложная методика = финансовые потери предприятия 12

Шаг 5: Выбор средств обеспечения безопасности A.5 Политика информационной безопасности (1/2) A.6 Общая организация информационной безопасности (2/11) A.7 Управление активами (2/5) A.8 Безопасность и персонал (3/9) A.8 Безопасность и персонал (3/9) A.9 Физическая безопасность (2/13) A.9 Физическая безопасность (2/13) A.10 Управление коммуникациями и операциями (10/ 32) A.10 Управление коммуникациями и операциями (10/ 32) A.12 Приобретение, разработка и поддержка информсистем (6/16) A.12 Приобретение, разработка и поддержка информсистем (6/16) A.11 Управление доступом (7/25) A.13 Управление инцидентами информационной безопасности (2/5) A.14 Управление непрерывностью бизнеса (1/5) A.15 Соответствие требованиям (3/10) 3. Внедрение 13

Шаг 5: Выбор средств и методика ИТ-Грундшутц 3. Внедрение + каталоги 14

Шаг 5: Выбор средств и методика ИТ-Грундшутц 3. Внедрение Каталоги: Часть M. Модули. Описывает активы и действия по внедрению СМИБ Часть Т. Угрозы. Подробное описание угроз, использованных в Части М. Каталог угроз к многочисленным активам. Часть S. Методы защиты. Описание методов защиты, использованных в Части T. Каталог мероприятий по снижению угроз. 15

Шаг 6: Внутренний аудит 3. Внедрение Ваши правила по ИБ? Инструкция.., процедура в сети... На что жалуетесь? Часто не работает…, недавно был случай 16

Шаг 6: Анализ 3. Внедрение а) Анализ результативности мероприятий по обработке риска б) Анализ системы со стороны высшего руководства 17

3. Внедрение Особенности внедрения отдельных положений стандарта ISO/IEC на предприятиях стран СНГ 18

3. Внедрение Особенности внедрения ISO/IEC в СНГ А Подбор и прием персонала 19

3. Внедрение Особенности внедрения ISO/IEC в СНГ A.9. Физическая безопасность и безопасность окружения Территория Периметр Особо важные зоны Зоны общего доступа Оборудование Основное Вспомогательное 20

3. Внедрение Особенности внедрения ISO/IEC в СНГ A Действия системного администратора Действия системного администратора и системного оператора должны записываться в журнал 21

3. Внедрение Особенности внедрения ISO/IEC в СНГ A Менеджмент производительности 22

3. Внедрение Особенности внедрения ISO/IEC в СНГ A Политика чистого рабочего стола и экрана 23

3. Внедрение Особенности внедрения ISO/IEC в СНГ A.12.1 Приобретение информационных систем 24

3. Внедрение Особенности внедрения ISO/IEC в СНГ A.13 Управление инцидентами информационной безопасности Важно, чтобы ни один инцидент не остался незамеченным! 25

Особенности внедрения ISO/IEC в СНГ А.14 Тестирование планов обеспечения непрерывности бизнеса 26

3. Внедрение Особенности внедрения ISO/IEC в СНГ A Права интеллектуальной собственности Соблюдение «Закона о защите авторских и смежных прав» 27

3. Внедрение Особенности внедрения ISO/IEC в СНГ A Предотвращение нецелевого использования средств обработки информации 28

3. Внедрение Тенденция спроса по основным потребителям услуг 29

Ответственность высшего руководства: Высшее руководство принимает на себя следующие риски : Риск 1 = 10 Причина 1 Риск 2 = 17 Причина 2 Риск 3 = 25 Причина 3 Генеральный директор … Дата Подпись Высшее руководство принимает на себя следующие риски : Риск 1 = 10 Причина 1 Риск 2 = 17 Причина 2 Риск 3 = 25 Причина 3 Генеральный директор … Дата Подпись 30

31 Организационная структура: Информационная безопасность – выше, чем : Служба ИТ Служба делопроизводства Первый руководитель Уполномоченный по ИБ Служба ИТ Зам. директора Служба делопроизводства Зам. директора

Преимущества внедрения ISO Ваши преимущества Активы Стоимость активов $ Риски Величина риска $ Принятие решения о мерах по снижению риска $ Финансирование ИБ 32

Plan Do Check Act Преимущества сертификации по ISO Снижения стоимости системы безопасности Информационные активы понятны для менеджмента компании Выявление основных угроз безопасности для существующих бизнес - процессов Эффективное управление системой в критичных ситуациях Демонстрация клиентам и партнерам приверженность к информационной безопасности Международное признание и повышение авторитета компании 5. Ваши преимущества 33

5. Ваши преимущества Знания и умения Менеджмент информационной безопасности Проводить сбор и анализ материалов организаций и предприятий для принятия мер по обеспечению информационной безопасности Находить возможные каналы утечки сведений, представляющих государственную, военную, служебную или коммерческую тайну Оценивать актуальность, перспективность и значимость объектов проектирования Участвовать в разработке новых средств автоматизации контроля, схем аппаратуры контроля, моделей и систем защиты информации Защита информационных систем Оценивать риски информационной безопасности автоматизированной системы Собирать и анализировать исходные данные для проектирования защищенных информационных технологий в автоматизированных системах сбора, обработки, хранения и передачи информации, вычислительных системах и компьютерных сетях Разрабатывать системы управления информационной безопасностью автоматизированных систем Применять законы в области обеспечения информационной безопасности 34

5. Ваши преимущества Знания и умения Менеджмент информационной безопасности Разрабатывать и оформлять проектную и рабочую техническую документацию согласно стандартам Разрабатывать предложения по совершенствованию и повышению эффективности средств информационной безопасности Составлять правила, положения, инструкции и другие организационно- распорядительные документы для управления информационной безопасностью Проверять работоспособность и эффективность применяемых программно-аппаратных, и технических средств защиты информации Защита информационных систем Составлять правила, положения, инструкции и другие организационно- распорядительные документы для управления информационной безопасностью автоматизированных систем Собирать и анализировать исходные данные для проектирования защищенных информационных технологий в автоматизированных системах сбора, обработки, хранения и передачи информации, вычислительных системах и компьютерных сетях Разрабатывать системы управления информационной безопасностью автоматизированных систем Проверять работоспособность и эффективность применяемых программно-аппаратных, и технических средств защиты информации 35

5. Ваши преимущества Знания и умения Менеджмент информационной безопасности Администрировать подсистемы информационной безопасности объекта Устанавливать, настраивать и обслуживать технические и программно-аппаратные средства защиты информации Изучать и обобщать опыт работы других учреждений в области защиты информации Организовывать работу коллектива с учётом требований защиты информации Обеспечивать правовую защиту информации Обследовать объекты защиты, проводить их аттестацию Защита информационных систем Администрировать подсистемы информационной безопасности автоматизированных систем Восстанавливать работу систем защиты информации при сбоях и внештатных ситуациях Разрабатывать предложения по совершенствованию системы управления информационной безопасностью автоматизированной системы Проводить мониторинг безопасности автоматизированной системы 36