суиб как способ поддержки бизнес целей предприятия
TRANSCRIPT
СУИБ - способ поддержки бизнес целей
Валентин Сысоев, CISM Менеджер проектов "Агентство Активного Аудита“
Директор по коммуникациям Киевского отделения ISACA
Содержание
1. Почему ISO27001
2. Цели и результат внедрения ISO27001
3. Выгоды внедрения ISO27001
4. Суть стандарта ISO27001
5. Факторы успеха
6. Этапы работ
06.06.2012 © Валентин Сысоев,CISM - Агентство Активного Аудита 2
1. Почему ISO27001
Информационные системы – жизненно важные элементы большинства бизнес процессов, они необходимы для успешной работы компании.
Любые нарушения работы ИС компании представляют собой стратегический риск с серьезными последствиями.
Для обеспечения информационной безопасности необходима актуальная система управления, которая сможет привести компанию к реализации ее видения.
СУИБ на основе ISO27001 - является фундаментом информационной безопасности предприятия и объединяет в себе все процессы и ресурсы, которые обеспечивают информационную безопасность в компании, определяет методы достижения поставленных целей.
06.06.2012 © Валентин Сысоев,CISM - Агентство Активного Аудита 3
2. Цели и результат внедрения ISO27001 Цели СУИБ:
постановка управления ИБ для достижения целей бизнеса;
управление рисками компании;
оптимизация затрат на информационную безопасность;
управление ресурсами, выделенными на обеспечение ИБ;
централизация всех функций обеспечения ИБ в компании;
измерения производительности ИБ.
Правильно разработанная и внедренная СУИБ позволит:
предотвратить утечки, хищения, утраты, искажения, подделки информации
предотвратить несанкционированные действия по уничтожению, модификации, искажению, копированию, блокированию информации;
снизить вероятность других форм незаконного вмешательства в информационные ресурсы и системы, обеспечить правовой режим информации как объекта собственности;
на регулярной основе управлять рисками ИТ и интегрировать этот процесс в общую систему управления рисками;
адекватно и своевременно реагировать на угрозы информационной безопасности путем выбора мер по защите информации на основе анализа рисков и расчета показателя возврата.
уменьшить расходы на информационную безопасность, оптимизировать ресурсы;
повысить инвестиционную привлекательность организации, позиционируя ее для инвестора как "прозрачную".
06.06.2012 © Валентин Сысоев,CISM - Агентство Активного Аудита 4
3. Выгоды внедрения ISO27001
Пример успешного внедрения СУИБ в большом международном банке Украины:
В результате проведения оценки информационных рисков и своевременному внедрению соответствующих мер безопасности, фактические потери от инцидентов в 2011 году снизились на 60%;
Оценка ущерба и классификация информационных активов при построении плана бесперебойной работы предприятия позволяет экономить более чем $ 30'000 ежегодно.
Пример успешного внедрения СУИБ в большой промышленной компании Украины:
Принятие решений на основе оценки рисков позволило обеспечить прозрачность инвестиций в ИТ и оптимизировать бюджет;
Благодаря процессу мониторинга ИБ - 30% инцидентов были своевременно выявлены и устранены до нанесения финансового и репарационного ущерба компании в 2011 году.
06.06.2012 © Валентин Сысоев,CISM - Агентство Активного Аудита 5
4. Суть стандарта ISO27001
06.06.2012 © Валентин Сысоев,CISM - Агентство Активного Аудита 6
Безопасность означает больше, чем просто конфиденциальность,
чаще на первый план выходят вопросы доступности и целостности
ВОПРОС МЕНЕДЖМЕНТА ИЛИ ТЕХНИЧЕСКИЙ ВОПРОС?
Информационная безопасность должна полагаться не только
на технических специалистов, а рассматриваться как одно из
направлений организационного управления.
Для обеспечения безопасности бизнеса необходимо
соединить в один процесс организационную и техническую
часть работы.
ISO 27001 - это стандарт управления, а не
технический стандарт. Это один из важнейших
элементов корпоративного управления.
Информационная безопасность охватывает не только
вопросы ИТ-безопасности.
Управление в более широком смысле, чем техническими
средствами и инструментами.
5. Факторы успеха
06.06.2012 © Валентин Сысоев,CISM - Агентство Активного Аудита 7
5. Факторы успеха
06.06.2012 © Валентин Сысоев,CISM - Агентство Активного Аудита 8
Информационная безопасность – выше, чем:
• Служба ИТ
• Служба делопроизводства
• Физическая безопасность
Организационная структура:
6. Этапы работ
06.06.2012 © Валентин Сысоев,CISM - Агентство Активного Аудита 9
Этап V - Внедрение мероприятий по мониторингу эффективности СУИБ
Разработка документации по проведению внутреннего аудита СУИБ Разработка документации по проверке процесса оценки рисков
Этап IV - Внедрение плана обработки рисков
Внедрение необходимых ИТ проектов Реализация плана по обработке рисков Разработка документации по внедрению СУИБ
Этап III - Организация процесса управления рисками
Оценка рисков Выбор мероприятий защиты Разработка плана обработки рисков
Этап II - Инвентаризация информационных активов
Инвентаризация и описание активов Определение владельцев активов Определение критичности активов Создание реестра активов
Этап I - Мероприятия по организации ИБ
Определение политики ИБ Определение области применения
СУИБ Создание комитета ИБ
Распределение ролей и обязанностей СУИБ
06.06.2012 © Валентин Сысоев,CISM - Агентство Активного Аудита 10
6. Этапы работ Этап I - Мероприятия по организации ИБ
Задание:
• Обязательства руководства по управлению информационной безопасностью
• Назначение ответственных лиц за внедрение и функционирование СУИБ
• Определить сферу и пределы использования СУИБ
• Определить политику информационной безопасности
• Комитет по обеспечению информационной безопасности (или Риск комитет)
• Концепция управления информационной безопасностью;
• Руководство по определению ролей и ответственных за организацию информационной
безопасности;
• Политика информационной безопасности
Документы \ Действия:
06.06.2012 © Валентин Сысоев,CISM - Агентство Активного Аудита 11
6. Этапы работ Этап II - Инвентаризация информационных активов
Задание:
• Инвентаризация информационных активов
• Определение владельцев информационных активов
• Классификация и маркировка информации
• Политика использования информационных активов
• Руководство по управлению информационными активами
• Руководство по классификации и маркировке информации
• Руководство по проведению инвентаризации
• Процедура инвентаризации информационных активов
Документы \ Действия:
06.06.2012 © Валентин Сысоев,CISM - Агентство Активного Аудита 12
6. Этапы работ Этап III - Организация процесса управления рисками
Задание:
Определение уровней угроз и уязвимостей информационной безопасности Производится оценка информационных рисков: определяются мероприятий защиты и уровни рисков Создание Плана обработки рисков Создание Положения о применимости
Руководство по управлению информационными рисками Отчет оценки рисков План обработки рисков Положение о применимости
Документы \ Действия:
06.06.2012 © Валентин Сысоев,CISM - Агентство Активного Аудита 13
6. Этапы работ Этап III - Организация процесса управления рисками Пример из отчета оценки рисков:
Название уязвимости Описание уязвимостиОценка
уязвимостиУгроза
Оценка
угрозыMax
Код
рискаРиск Вероятность Ущерб
Уровень
рискаСкоординированные злоумышленники A
Кража D
Получение несанкционированного доступа к системам и сетям A
Шпионаж A
Скоординированные злоумышленники A
Кража D
Получение несанкционированного доступа к системам и сетям A
Шпионаж A
D
АУТЕНТИФИКАЦИЯ ДЛЯ
УДАЛЕННОГО АДМИНИСТРИРОВАНИЯ
СЕТЕВЫХ УСТРОЙСТВ И СЕРВЕРОВ
При удаленном администрировании серверов и
сетевых устройств не проводится идентификация
оборудования, с которого производиться удаленное
администрирование.
B A
И.ИА-
2.Инфрастру
ктура
Риск финансовых и репутационных потерь при реализации угроз
безопасности (вредоносные действия скоординированных
злоумышленников, получение несанкционированного доступа к системам и
сетям и т.д. и т.п.), которые эксплуатируют уязвимость, того что при
B A B
ПОЛЬЗОВАТЕЛЬСКАЯ
ИДЕНТИФИКАЦИЯ И
АУТЕНТИФИКАЦИЯ
Компьютерные устройства (серверы, настольные
компьютеры, сетевые устройства) уникально не
идентифицируют и не аутентифицируют пользователей
или любой процесс который действует от имени
D A
И.ИА-
1.Инфрастру
ктура
Риск финансовых и репутационных потерь при реализации угроз
безопасности (вредоносные действия скоординированных
злоумышленников, кражи и т.д. и т.п.), которые эксплуатируют уязвимость,
того что компьютерные устройства уникально не идентифицируют и не
D A
При обработке рисков выбирается один из возможных вариантов управления рисками: снижение,
избежание, принятие риска, передачи риска.
Снижение информационных рисков - соответствующие меры безопасности должны быть
реализованы с помощью выбранных способов снижения рисков.
Избежание информационных рисков - путем изменения способа работы процесса, связанного с
информационным риском.
Передача информационных рисков - это вариант когда трудно снизить риск до приемлемого
уровня, или если выгоднее экономически передать его третьим лицам или застраховать.
06.06.2012 © Валентин Сысоев,CISM - Агентство Активного Аудита 14
5. Этапы работ Этап III - Организация процесса управления рисками
План обработки рисков будет содержать:
• риски и их уровень;
• рекомендованные мероприятия защиты;
• приоритет выполнения;
• необходимые ресурсы для реализации мер безопасности;
• перечень ответственных работников;
• дата начала и дата завершения;
06.06.2012 © Валентин Сысоев,CISM - Агентство Активного Аудита 15
6. Этапы работ Этап IV - Внедрение плана обработки рисков
Внедрение плана обработки рисков включает: • Разработка документации СУИБ (политики, положения, руководства) • Постановка процессов СУИБ (управление инцидентами, физическая защита, управление доступом,
управление изменениями и т.д.) • Разработка Плана по восстановлению (Business Continuity Plan – BCP)
06.06.2012 © Валентин Сысоев,CISM - Агентство Активного Аудита 16
6. Этапы работ Этап V - Внедрение мероприятий по мониторингу эффективности СУИБ
Мониторинг и оценка эффективности системы управления информационной безопасностью - это
системный процесс получения и оценки объективных данных о текущем состоянии систем, действиях
и событиях происходящих в ней, устанавливающий уровень их соответствия определенным
критериям.
www.auditagency.com.ua
044 228 15 88
Вопросы?
06.06.2012 © Валентин Сысоев,CISM - Агентство Активного Аудита 17