Www.dsi.lanit.ru Анна Кожина Консультант отдела информационной безопасности kozhina@lanit.ru. - презентация

1 Анна Кожина Консультант отдела информационной безопасности

2 Определение текущего уровня обеспечения (уровня зрелости) информационной безопасности в организации; Определение направления развития ИБ, целей и задач с учетом стратегических целей развития организации; Выработка конкретных действий, необходимых для достижения поставленных целей организации в области ИБ Цели консалтинга в области ИБ

3 Определение текущего уровня ИБ (потребности бизнеса и внешние требования); Часто возникают инциденты ИБ, существуют высокие риски реализации угроз ИБ из-за отсутствия защитных мер; Необходимость привести существующие механизмы ИБ в соответствие с внешними требованиями в области ИБ; Необходимость выстроить процессы управления ИБ Актуальность услуг по консалтингу в области ИБ

4 Проведение комплексного аудита ИБ прикладных систем; Построение комплексной СУИБ, оценка рисков, анализ угроз ИБ, разработка моделей угроз, планирование непрерывности бизнеса; Построение систем защиты персональных данных; Приведение корпоративной СУИБ в соответствие различным требованиям (ISO 27001, ISO 22301, ГОСТ Р ИСО/МЭК 15408:2002, и пр.); Аттестация информационных систем в рамках требований законодательства РФ; Услуги направления консалтинга в области ИБ

5 Проектирование и внедрение системы информационной безопасности для государственных структур; Разработка нормативной документации по ИБ (концепции, политики, регламенты и т.д.); Консалтинг при подготовке к процедурам лицензирования (получении лицензий ФСТЭК и ФСБ); Организация проведения процедур сертификации, аттестации объектов информатизации, специальных исследований и специальных проверок технических средств Услуги направления консалтинга в области ИБ

6 Комплексный анализ КИС, инструментальные исследования, анализ уязвимостей. Построение схем информационных потоков и бизнес-процессов Определение значимых угроз. Анализ рисков и построение политики безопасности и требований к системе ИБ Разработка комплексных рекомендаций по обеспечению режима ИБ. Разработка концепции обеспечения ИБ, корпоративной политики безопасности Реализация системы ИБ, определение остаточных рисков Сопровождение системы в процессе эксплуатации ` ` Общий подход к реализации проектов

7 АУДИТ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ

8 АУДИТ систематический, независимый и документированный процесс получения свидетельств аудита и объективного их оценивания с целью установления степени выполнения согласованных критериев аудита Формальное определение аудита ИБ

9 Этапы работ по проведению аудита ИБ

10 Аудит информационных систем, телекоммуникационной и серверной инфраструктуры Оценка эффективности применяемых методов и способов защиты информации Анализ используемых механизмов защиты информации Анализ существующих организационно- распорядительной документации Анализ действующих процессов управления ИБ Анализ исходных данных

11 Анализ способов ввода информации в ИС и их вывода из нее Определение всех приложений, которые обрабатывают информацию Анализ потоков информации между приложениями, ИС и компонентами инфраструктуры Выявление всех мест хранения информации (рабочие станции, сервера…) Анализ сетевой инфраструктуры Сбор информации о системном обеспечении (программные и программно- аппаратные средства) Анализ ИС и ИТ-инфраструктуры

12 Контроль доступа Антивирусная защита Межсетевое экранирование Обнаружение и предотвращение вторжений Анализ защищенности Предотвращение утечек КИ Криптографическая защита Мониторинг защищенности Управление инцидентами ИБ Анализ используемых механизмов ЗИ

13 Анализ и оценка рисков

14 Перечень защищаемой информации и перечень ИС, обрабатывающих защищаемую информацию Перечень объектов (прикладных систем, сетевого оборудования, программно-аппаратных комплексов, СЗИ), по каждому из которых указана возможность осуществления НСД и характер нарушения характеристики ИБ Печень информационных рисков (с указанием уязвимостей информационных активов и угроз ИБ в отношении этих активов) Отчет по оценке рисков ИБ и План обработки рисков Отчет по проведенному аудиту ИТ-инфраструктуры Компании с рекомендациями по повышению эффективности функционирования существующей системы ИБ Отчетные материалы по результатам аудита

15 ВНЕДРЕНИЕ СИСТЕМЫ УПРАВЛЕНИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТЬЮ НА ОСНОВЕ М/С ISO/IEC 27001:2005

16 Компания ЛАНИТ обладает действующим сертификатом ISO/IEC 27001:2005, удостоверяющим, что в Компании внедрены процессы и технологии, направленные на минимизацию рисков в области конфиденциальности, целостности, доступности информационных активов

17 Создание и постоянное обеспечение в Компании условий, при которых риски, связанные с обеспечением безопасности информационных активов, постоянно контролируются и находятся на приемлемом уровне остаточного риска Цель проекта по построению СУИБ

18 определение области действия и границ СУИБидентификация и классификация информационных активоввнедрение процессов анализа, оценки и обработки рисков ИБопределение перечня контролей СУИБ определение основных требований и процедур по обеспечению ИБ, разработка Политики информационной безопасности разработка инструкций и процедурвнедрение СУИБ Основные этапы выполнения работ

19 Сделать большинство информационных активов более понятными для менеджмента компании; Выявить основные угрозы безопасности для существующих бизнес-процессов; Рассчитывать риски и принимать решения на основе бизнес- целей компании; Продемонстрировать клиентам, партнерам, владельцам бизнеса свою приверженность к информационной безопасности; Получить международное признание и повышение авторитета компании, как на внутреннем рынке, так и на внешних рынках; Обеспечить эффективное управление системой в критичных ситуациях Внедрение стандарта позволит

20 ВНЕДРЕНИЕ СИСТЕМЫ УПРАВЛЕНИЯ НЕПРЕРЫВНОСТЬЮ БИЗНЕСА НА ОСНОВЕ М/С ISO 22301:2012

21 Построение системы управления непрерывностью бизнеса (СУНБ)

22 Возможность заблаговременно определять воздействие, оказываемое в результате нарушения нормального хода деятельности Способность к управлению рисками Система эффективного реагирования на нарушения нормального хода деятельности, которая позволяет минимизировать их воздействие Способность принимать надежные меры реагирования на инциденты благодаря проведению учений Преимущества внедрения СУНБ

23 Проектирование и внедрение отказоустойчивых схем функционирования ИТ-инфраструктуры и их тестирование в рамках пилотных проектов Разработка регламентной документации по переходу на резервные мощности в случае сбоев в работе ИТ-инфраструктуры Тестирование механизма перехода на резервные мощности ИТ-инфраструктуры с точки зрения обеспечения непрерывности бизнес-процессов Формализация процесса обеспечения непрерывности функционирования ИТ- инфраструктуры и внедрение ВСМS, направленной на защиту выделенных ключевых бизнес-процессов Компании от ЧС Консалтинговые услуги по внедрению СУНБ

24 1.Анализ организации 2.Определение критически важных видов деятельности 3.Анализ воздействия на бизнес (BIA) 4.Определение требований по обеспечению непрерывности бизнеса 5.Проведение оценки рисков 6.Выбор мер по обработке рисков Этапы внедрения СУНБ. Анализ организации

25 1.Рассмотрение и документирование вариантов стратегий для критически важных видов деятельности кредитных организаций 2.Выбор ресурсов, которые потребуются для возобновления каждого из критически важны видов деятельности Этапы внедрения СУНБ. Выбор стратегии

26 1.Структура реагирования на инциденты 2.Разработка и документирование Плана обеспечения непрерывности бизнеса 3.Разработка и документирование Плана управления инцидентами Этапы внедрения СУНБ. Внедрение СУНБ

27 1.Подготовка и документирование Программы и Планов учений 2.Разработка и документирование Методики тестирования внедренных Планов 3.Проведение Тестирования Планов непрерывности бизнеса и управления инцидентами 4.Разработка и документирование процедуры внутренних аудитов Этапы внедрения СУНБ. Сопровождение и аудит

28 Политика обеспечения непрерывности бизнеса Стратегия обеспечения непрерывности бизнеса План обеспечения непрерывности бизнеса и План управления инцидентами BIA и оценка рисков (методики и отчеты) Модель нарушителя, модель угрозПеречень критичных продуктов и услуг Документация СУНБ

29 Формализованный метод определения воздействия любого нарушения нормального хода критичных видов деятельности; Реалистичные оценки текущих параметров восстановления (RTO, RPO) для отдельных подсистем, элементов инфраструктуры и всей обследуемой инфраструктуры Заказчика Документированные технические решения и организационные процедуры в виде структурированного BCP/DRP; Идентифицированные возможности улучшения существующих решений обеспечения непрерывности ИТ-сервисов Результаты проекта по внедрению СУНБ

30 Прозрачность инвестиций и обоснованность бюджета, выделяемого на ИБ; Эффективная стратегия развития СИБ; Устойчивость бизнеса к реализации угроз ИБ; Бесшовная интеграция механизмов обеспечения ИБ с существующей ИС; Повышение репутации и доверия со стороны бизнес-партнеров Эффективность консалтинга в области ИБ

31 Анна Кожина Департамент сетевой интеграции Отдел информационной безопасности