Стандарты управления информационной безопасностью

Содержание

Слайд 2

Вопросы лекции Стандарты управления информационной безопасностью BS 7799 и ISO/IEC 17799.

Вопросы лекции

Стандарты управления информационной безопасностью BS 7799 и ISO/IEC 17799. Их

основные положения.
Международный стандарт ISO/IEC 27001:2005 "Системы управления информационной безопасности. Требования".
Сертификация СУИБ на соответствие ISO 27001
Слайд 3

Стандарты управления ИБ BS 7799 и ISO/IEC 17799 Обеспечение ИБ -

Стандарты управления ИБ BS 7799 и ISO/IEC 17799

Обеспечение ИБ - постоянный

процесс, процесс управления ИБ
Конец 1990-х – стандарт УИБ BS 7799 (BSI 7799 - Британский Институт Стандартов - BSI). Задача обеспечения государственных и коммерческих организаций инструментом для создания эффективных систем ИБ на основе современных методов управления.
В 2000 году он назван "Международный стандарт ISO/IEC 17799. «Информационные технологии — Управление информационной безопасностью».
Слайд 4

Части BS 7799 BS 7799-1.1998 «Информационные технологии - Свод практических правил

Части BS 7799

BS 7799-1.1998 «Информационные технологии - Свод практических правил по

Управлению ИБ» - лучшие практики для УИБ
BS 7799-2.1999 «Системы менеджмента ИБ - Требования и руководство по применению» -> ISO/IEC 27001 «Информационные технологии. Методы защиты. Системы менеджмента защиты информации. Требования»
BS 7799-3.2005 – «Системы управления ИБ - Часть 3: Руководство по управлению рисками ИБ» - анализ и управление рисками
Слайд 5

BS 7799. Активы, угрозы, риски Приложение С С.1. Идентификация ресурсов С.2

BS 7799. Активы, угрозы, риски

Приложение С
С.1. Идентификация ресурсов
С.2 Примерный перечень угроз
С.З

Примеры угроз
С.4. Примеры уязвимостей
С.5 Примеры методов оценки рисков
Слайд 6

С1. Идентификация ресурсов

С1. Идентификация ресурсов

Слайд 7

С.2 Примерный перечень угроз Организация должна самостоятельно выбрать подходы к оценке

С.2 Примерный перечень угроз

Организация должна самостоятельно выбрать подходы к оценке и

управлению рисками, которые должным образом учитывают и идентифицируют полный диапазон угроз и уязвимостей, имеющих отношение к ее бизнес окружению.
Смотрим в BS 7799
Слайд 8

С.З Примеры угроз С.3.2 Физическая безопасность и безопасностью окружающей среды С.3.2.2

С.З Примеры угроз

С.3.2 Физическая безопасность и безопасностью окружающей среды
С.3.2.2 Безопасность оборудования
С.3.3

Управление коммуникациями и операциями
С.3.4 Аспекты ИБ в управлении непрерывностью бизнеса
С.3.5 Соответствие
Слайд 9

С.4 Примеры уязвимостей С.4.2 Безопасность кадровых ресурсов С.4.3 Физическая безопасность и

С.4 Примеры уязвимостей

С.4.2 Безопасность кадровых ресурсов
С.4.3 Физическая безопасность и безопасность

окружающей среды
С.4.4 Управление коммуникациями и операциями
С.4.5 Контроль доступа
С.4.6 Приобретение, разработка и сопровождение информационных систем
Слайд 10

Управление рисками и этапы СУИБ (ISMS)

Управление рисками и этапы СУИБ (ISMS)

Слайд 11

Стандарт ISO/IEC 17799 Стандарт ISO/IEC 17799 — это модель системы управления,

Стандарт ISO/IEC 17799

Стандарт ISO/IEC 17799 — это модель системы управления, которая

определяет (в контексте ИБ)
общую организацию,
классификацию данных,
системы доступа,
направления планирования,
ответственность сотрудников,
использование оценки риска и т.п.
В процессе внедрения стандарта создается система управления ИБ, цель которой — сокращение материальных потерь, связанных с нарушением ИБ.
Слайд 12

Стандарт ISO/IEC 17799 Основная идея стандарта — помочь коммерческим и государственным

Стандарт ISO/IEC 17799

Основная идея стандарта — помочь коммерческим и государственным хозяйственным

организациям решить достаточно сложную задачу:
не только обеспечить надежную защиту информации,
но также организовать эффективный доступ к данным и нормальную работу с ними.
Слайд 13

Стандарт ISO/IEC 17799 Структура стандарта позволяет выбрать те средства управления, которые

Стандарт ISO/IEC 17799

Структура стандарта
позволяет выбрать те средства управления, которые имеют

отношение к конкретной организации.
Содержание стандарта включает разделы:
политика безопасности;
организация защиты;
классификация ресурсов и контроль;
безопасность персонала;
физическая безопасность и Б окружающей среды;
администрирование КС и вычислительных сетей;
управление доступом к системе;
разработка и сопровождение информационных систем;
планирование непрерывной работы организации;
выполнение требований (соответствие законодательству).
Слайд 14

Стандарт ISO/IEC 17799 Пример раздела – «Безопасность персонала» (BS 7799 “Раздел

Стандарт ISO/IEC 17799

Пример раздела – «Безопасность персонала» (BS 7799 “Раздел 4.

Обеспечение безопасности персоналом”) - смотрим
)
Слайд 15

Стандарт ISO/IEC 17799 Ключевые элементы управления, которые представляются как фундаментальные: •

Стандарт ISO/IEC 17799

Ключевые элементы управления, которые представляются как фундаментальные:
• политика ИБ;

распределение ответственности за ИБ;
• образование и тренинг по ИБ;
• отчетность за инциденты по безопасности;
• защита от вирусов;
• обеспечение непрерывности работы;
• контроль копирования лицензионного программного обеспечения;
• защита архивной документации организации;
• защита персональных данных;
• реализация политики ИБ
Слайд 16

Стандарт ISO/IEC 17799 Риск - произведение показателя возможных потерь (ущерба) на

Стандарт ISO/IEC 17799

Риск - произведение показателя возможных потерь (ущерба) на вероятность

того, что эта потеря произойдет.
Потери - материальные потери, связанные с нарушением следующих свойств информационного ресурса:
конфиденциальность; целостность; доступности.
Стандарт не сосредотачивается только на обеспечении конфиденциальности.
Анализ риска сводится к ответам на вопросы:
• Что может угрожать информационным ресурсам?
• Какова уязвимость этим угрозам, то есть, что может произойти с тем или другим информационным ресурсом?
• Если это произойдет, то насколько тяжелыми будут последствия? Какие возможны убытки?
• Как часто следует ожидать подобные случаи?
Слайд 17

ISO/IEC 27001:2005 "Системы управления информационной безопасности. Требования" Лучшая мировая практика в

ISO/IEC 27001:2005 "Системы управления информационной безопасности. Требования"
Лучшая мировая практика в области

управления информационной безопасностью – стандарт ISO/IEC 27001:2005
Слайд 18

ISO/IEC 27001:2005 "Системы управления информационной безопасности. Требования" Область применения Все виды

ISO/IEC 27001:2005 "Системы управления информационной безопасности. Требования"

Область применения
Все виды организаций (коммерческие

и некоммерческие организации, правительственные организации)
Определяет требования
к средствам контроля безопасности, специально разработанные для нужд организации, или ее части.
Цель
выбор адекватных и соразмерных средств контроля ИБ, которые защищают информационные активы и предоставляют уверенность заинтересованным сторонам.
Назначение
Устанавливает требования к системе управления ИБ для демонстрации способности организации защищать свои информационные ресурсы.
Слайд 19

ISO/IEC 27001:2005 Общие положения стандарта ИБ - "сохранение конфиденциальности, целостности и

ISO/IEC 27001:2005 Общие положения стандарта

ИБ - "сохранение конфиденциальности, целостности и доступности информации;

кроме того, могут быть включены и другие свойства, такие как подлинность, невозможность отказа от авторства, достоверность".
Основная задача ИБ - защита информационных ресурсов компании от внутренних и внешних умышленных и неумышленных угроз (подделка, вандализм, кража, пожар, системный сбой и др.).
Цель ИБ - обеспечение непрерывности бизнеса компании и минимизация бизнес-рисков путем предупреждения инцидентов безопасности и уменьшения размеров потенциального ущерба.
Слайд 20

ISO/IEC 27001:2005 Процессный подход Процессный подход к управлению безопасностью PDCA–модель (или

ISO/IEC 27001:2005 Процессный подход
Процессный подход к управлению безопасностью
PDCA–модель (или модель Шухарта-Деминга)

: 1) Планирование.2) Реализация. 3) Проверка. 4) Действие.
Слайд 21

ISO/IEC 27001:2005 Этапы создания СУИБ PDCA-модель (P) Разработка системы управления ИБ

ISO/IEC 27001:2005 Этапы создания СУИБ

PDCA-модель
(P) Разработка системы управления ИБ
(D) Внедрение и

функционирование системы управления ИБ
(C) Проведение мониторинга и анализа системы управления ИБ
(A) Поддержка и улучшение системы управления ИБ
Слайд 22

ISO/IEC 27001:2005 Этапы создания СУИБ (1) "Разработка системы управления информационной безопасности«.

ISO/IEC 27001:2005 Этапы создания СУИБ (1)

"Разработка системы управления информационной безопасности«. Организация

должна осуществить следующее:
определить область и границы действия СУИБ;
определить политику СУИБ на основе характеристик бизнеса, организации, ее размещения, активов и технологий;
определить подход к оценке риска в организации;
идентифицировать риски;
проанализировать и оценить риски;
определить и оценить различные варианты обработки рисков;
выбрать цели и меры управления для обработки рисков;
получить утверждение руководством предполагаемых остаточных рисков;
получить разрешение руководства на внедрение и эксплуатацию СУИБ;
подготовить Положение о применимости.
Слайд 23

ISO/IEC 27001:2005 Этапы создания СУИБ (2) "Внедрение и функционирование системы управления

ISO/IEC 27001:2005 Этапы создания СУИБ (2)

"Внедрение и функционирование системы управления информационной

безопасности" предполагает, что необходимо:
разработать план обработки рисков, определяющий соответствующие действия руководства, ресурсы, обязанности и приоритеты в отношении управления рисков ИБ;
реализовать план обработки рисков для достижения намеченных целей управления, включающий в себя вопросы финансирования, а также распределение функций и обязанностей;
внедрить выбранные меры управления;
определить способ измерения результативности выбранных мер управления;
реализовать программы по обучению и повышению квалификации сотрудников;
управлять работой СУИБ;
управлять ресурсами СУИБ;
внедрить процедуры и другие меры управления, обеспечивающие быстрое обнаружение событий ИБ и реагирование на инциденты, связанные с ИБ.
Слайд 24

ISO/IEC 27001:2005 Этапы создания СУИБ (3) "Проведение мониторинга и анализа системы

ISO/IEC 27001:2005 Этапы создания СУИБ (3)

"Проведение мониторинга и анализа системы управления

информационной безопасности" требует:
выполнять процедуры мониторинга и анализа;
проводить регулярный анализ результативности СУИБ;
измерять результативность мер управления для проверки соответствия требованиям ИБ;
пересматривать оценки рисков через установленные периоды времени, анализировать остаточные риски и установленные приемлемые уровни рисков, учитывая изменения;
проводить внутренние аудиты СУИБ через установленные периоды времени;
регулярно проводить руководством организации анализ СУИБ в целях подтверждения адекватности ее функционирования и определения направлений совершенствования;
обновлять планы ИБ с учетом результатов анализа и мониторинга;
регистрировать действия и события, способные повлиять на результативность или функционирование СУИБ.
Слайд 25

ISO/IEC 27001:2005 Этапы создания СУИБ (4) "Поддержка и улучшение системы управления

ISO/IEC 27001:2005 Этапы создания СУИБ (4)

"Поддержка и улучшение системы управления информационной

безопасности" предполагает, что организация должна регулярно проводить следующие мероприятия:
выявлять возможности улучшения СУИБ;
предпринимать необходимые корректирующие и предупреждающие действия, использовать на практике опыт по обеспечению ИБ, полученный как в собственной организации, так и в других организациях;
передавать подробную информацию о действиях по улучшению СУИБ всем заинтересованным сторонам, при этом степень ее детализации должна соответствовать обстоятельствам и, при необходимости, согласовывать дальнейшие действия;
обеспечивать внедрение улучшений СУИБ для достижения запланированных целей.
Слайд 26

ISO/IEC 27001:2005 Документация СУИБ требования к документации: положения политики СУИБ и

ISO/IEC 27001:2005 Документация СУИБ

требования к документации:
положения политики СУИБ и описание области функционирования,


описание методики и отчет об оценке рисков,
план обработки рисков,
документирование связанных процедур.
Д.б. определен процесс управления документами
актуализация, использование, хранение и уничтожение.
необходимо вести и поддерживать в рабочем состоянии учетные записи и записи о выполнении процессов.
журналы регистрации посетителей, отчеты о результатах аудита и т.п.
Слайд 27

ISO/IEC 27001:2005 Дополнительные аспекты Ответственность руководства График аудитов ИБ Анализ системы

ISO/IEC 27001:2005 Дополнительные аспекты

Ответственность руководства
График аудитов ИБ
Анализ системы УИБ
Работы по улучшению системы

УИБ
Рекомендации стандарта ISO/IEC 17799:2005.
Работа с персоналом !!!
Слайд 28

Сертификация СУИБ на соответствие ISO 27001

Сертификация СУИБ на соответствие ISO 27001

Слайд 29

Сертификация СУИБ Процедура добровольной сертификации - для подтверждения соответствия существующей в

Сертификация СУИБ

Процедура добровольной сертификации - для подтверждения соответствия существующей в организации

СУИБ требованиям стандарта, а также ее адекватности существующим бизнес-рискам.
ISO 27001:2005 является стандартом, по которому проводится официальная сертификация СУИБ.
Стандарт представляет собой перечень требований, обязательных для сертификации.
Слайд 30

Сертификация СУИБ Под сертификацией СУИБ организации по требованиям стандарта ISO 27001:2005

Сертификация СУИБ

Под сертификацией СУИБ организации по требованиям стандарта ISO 27001:2005 понимается
комплекс

организационно-технических мероприятий,
проводимых независимыми экспертами,
в результате чего подтверждается наличие и надлежащее функционирование всех рекомендуемых стандартом механизмов контроля, применимых в данной организации.
Слайд 31

Важность сертификации СУИБ укрепляет имидж компании, повышает интерес клиентов расширяется сфера

Важность сертификации СУИБ

укрепляет имидж компании, повышает интерес клиентов
расширяется сфера деятельности компании

за счет получения возможности участия в тендерах и развития бизнеса на международном уровне (финансы)
мотивирующее и мобилизующее воздействие на персонал компании
Слайд 32

Важность сертификации СУИБ Как свидетельствует текущая практика, расходы на сертификацию в

Важность сертификации СУИБ

Как свидетельствует текущая практика,
расходы на сертификацию в большинстве случаев

несопоставимо малы в сравнении с затратами организации на обеспечение информационной безопасности,
а получаемые преимущества многократно их компенсируют
Слайд 33

Для получения сертификата СУИБ предприятия оценивается аудитором. Аудит состоит из анализа

Для получения сертификата СУИБ предприятия оценивается аудитором.
Аудит состоит из
анализа

документации по системе управления информационной безопасности,
а также выборочного контроля в организации, который позволяет удостовериться, что реальная практика отвечает описанию системы.
Слайд 34

Выгоды внедрения СУИБ по требованиям стандарта ISO/IEC 27001:2005 СУИБ на основе

Выгоды внедрения СУИБ по требованиям стандарта ISO/IEC 27001:2005 СУИБ на основе ISO

27001 позволит (1):

Сделать большинство информационных активов наиболее понятными для управления компании.
Выявлять основные угрозы безопасности для существующих бизнес-процессов.
Рассчитывать риски и принимать решения на основе бизнес-целей компании.
Обеспечить эффективное управление системой в критичных ситуациях.
Проводить процесс выполнения политики безопасности (находить и исправлять слабые места в системе информационной безопасности).

Слайд 35

Выгоды внедрения СУИБ по требованиям стандарта ISO/IEC 27001:2005 СУИБ на основе

Выгоды внедрения СУИБ по требованиям стандарта ISO/IEC 27001:2005 СУИБ на основе ISO

27001 позволит (2):

Четко определить личную ответственность.
Достигнуть снижения и оптимизации стоимости поддержки системы безопасности.
Продемонстрировать клиентам, партнерам, владельцам бизнеса свою приверженность к информационной безопасности.
Получить международное признание и повышение авторитета компании, как на внутреннем рынке, так и на внешних рынках.
Подчеркнуть прозрачность и чистоту бизнеса перед законом благодаря соответствию стандарту.

- Предыдущая
Решение показательных уравнений и неравенств. 11 класс
Следующая -
Оценка экономической эффективности информационных систем

Похожие презентации

Обработка информации. Информатика, 5 класс
Сетевые атаки на браузеры и сайты
Операционная система Linux
Презентация "Социальные сети" - скачать презентации по Информатике
Closing meeting template
Paint графикалық редакторы
Работа с семантическим ядром. Терминология
Компьютер как формальный исполнитель алгоритмов (программ)
Безопасность детей в интернете
Презентация "Компьютерные сети, топологии" - скачать презентации по Информатике
Антивирус. Оқушы білімін тексеру
Развитие интернета и онлайн-сми в Великобритании
Запуск новичка в проект Энергия роста
Особливості формування громадянського суспільства в Україні, як фактор забезпечення інформаційної безпеки держави
Целостность баз данных. Лекция 8
Информационный процесс накопления данных
Компьютерные технологии интеллектуальной поддержки управленческих решений
Структуризация сети
Триггеры в презентации. Применение. Моя педагогическая инициатива
Особливості архітектурної організації, моделювання та проектування багатофункціональних систем і мереж зовнішнього зберігання
Текстовые редакторы
Методы передачи дискретных данных на физическом уровне
Текстовые и бинарные файлы
Болгарская средняя школа №1 Презентация на тему:
Поисковые системы интернета Выполнила: Корпачева Лена 11б класс _
Multi-threaded performance. Pitfalls
Устройство ПК
Организация вычислений в электронных таблицах. Обработка числовой информации в электронных таблицах
Вы можете прислать нам Вашу презентацию и мы опубликуем ее на сайте.
Обратная связь
Для правообладателей
Email: Нажмите что бы посмотреть