суиб как способ поддержки бизнес целей предприятия

СУИБ - способ поддержки бизнес целей

Валентин Сысоев, CISM Менеджер проектов "Агентство Активного Аудита“

Директор по коммуникациям Киевского отделения ISACA

Содержание

1. Почему ISO27001

2. Цели и результат внедрения ISO27001

3. Выгоды внедрения ISO27001

4. Суть стандарта ISO27001

5. Факторы успеха

6. Этапы работ

06.06.2012 © Валентин Сысоев,CISM - Агентство Активного Аудита 2

1. Почему ISO27001

Информационные системы – жизненно важные элементы большинства бизнес процессов, они необходимы для успешной работы компании.

Любые нарушения работы ИС компании представляют собой стратегический риск с серьезными последствиями.

Для обеспечения информационной безопасности необходима актуальная система управления, которая сможет привести компанию к реализации ее видения.

СУИБ на основе ISO27001 - является фундаментом информационной безопасности предприятия и объединяет в себе все процессы и ресурсы, которые обеспечивают информационную безопасность в компании, определяет методы достижения поставленных целей.


2. Цели и результат внедрения ISO27001 Цели СУИБ:

постановка управления ИБ для достижения целей бизнеса;

управление рисками компании;

оптимизация затрат на информационную безопасность;

управление ресурсами, выделенными на обеспечение ИБ;

централизация всех функций обеспечения ИБ в компании;

измерения производительности ИБ.

Правильно разработанная и внедренная СУИБ позволит:

предотвратить утечки, хищения, утраты, искажения, подделки информации

предотвратить несанкционированные действия по уничтожению, модификации, искажению, копированию, блокированию информации;

снизить вероятность других форм незаконного вмешательства в информационные ресурсы и системы, обеспечить правовой режим информации как объекта собственности;

на регулярной основе управлять рисками ИТ и интегрировать этот процесс в общую систему управления рисками;

адекватно и своевременно реагировать на угрозы информационной безопасности путем выбора мер по защите информации на основе анализа рисков и расчета показателя возврата.

уменьшить расходы на информационную безопасность, оптимизировать ресурсы;

повысить инвестиционную привлекательность организации, позиционируя ее для инвестора как "прозрачную".


3. Выгоды внедрения ISO27001

Пример успешного внедрения СУИБ в большом международном банке Украины:

В результате проведения оценки информационных рисков и своевременному внедрению соответствующих мер безопасности, фактические потери от инцидентов в 2011 году снизились на 60%;

Оценка ущерба и классификация информационных активов при построении плана бесперебойной работы предприятия позволяет экономить более чем $ 30'000 ежегодно.

Пример успешного внедрения СУИБ в большой промышленной компании Украины:

Принятие решений на основе оценки рисков позволило обеспечить прозрачность инвестиций в ИТ и оптимизировать бюджет;

Благодаря процессу мониторинга ИБ - 30% инцидентов были своевременно выявлены и устранены до нанесения финансового и репарационного ущерба компании в 2011 году.


4. Суть стандарта ISO27001


Безопасность означает больше, чем просто конфиденциальность,

чаще на первый план выходят вопросы доступности и целостности

ВОПРОС МЕНЕДЖМЕНТА ИЛИ ТЕХНИЧЕСКИЙ ВОПРОС?

Информационная безопасность должна полагаться не только

на технических специалистов, а рассматриваться как одно из

направлений организационного управления.

Для обеспечения безопасности бизнеса необходимо

соединить в один процесс организационную и техническую

часть работы.

ISO 27001 - это стандарт управления, а не

технический стандарт. Это один из важнейших

элементов корпоративного управления.

Информационная безопасность охватывает не только

вопросы ИТ-безопасности.

Управление в более широком смысле, чем техническими

средствами и инструментами.



Информационная безопасность – выше, чем:

• Служба ИТ

• Служба делопроизводства

• Физическая безопасность

Организационная структура:

6. Этапы работ


Этап V - Внедрение мероприятий по мониторингу эффективности СУИБ

Разработка документации по проведению внутреннего аудита СУИБ Разработка документации по проверке процесса оценки рисков

Этап IV - Внедрение плана обработки рисков

Внедрение необходимых ИТ проектов Реализация плана по обработке рисков Разработка документации по внедрению СУИБ

Этап III - Организация процесса управления рисками

Оценка рисков Выбор мероприятий защиты Разработка плана обработки рисков

Этап II - Инвентаризация информационных активов

Инвентаризация и описание активов Определение владельцев активов Определение критичности активов Создание реестра активов

Этап I - Мероприятия по организации ИБ

Определение политики ИБ Определение области применения

СУИБ Создание комитета ИБ

Распределение ролей и обязанностей СУИБ


6. Этапы работ Этап I - Мероприятия по организации ИБ

Задание:

• Обязательства руководства по управлению информационной безопасностью

• Назначение ответственных лиц за внедрение и функционирование СУИБ

• Определить сферу и пределы использования СУИБ

• Определить политику информационной безопасности

• Комитет по обеспечению информационной безопасности (или Риск комитет)

• Концепция управления информационной безопасностью;

• Руководство по определению ролей и ответственных за организацию информационной

безопасности;

• Политика информационной безопасности

Документы \ Действия:


6. Этапы работ Этап II - Инвентаризация информационных активов

Задание:

• Инвентаризация информационных активов

• Определение владельцев информационных активов

• Классификация и маркировка информации

• Политика использования информационных активов

• Руководство по управлению информационными активами

• Руководство по классификации и маркировке информации

• Руководство по проведению инвентаризации

• Процедура инвентаризации информационных активов



6. Этапы работ Этап III - Организация процесса управления рисками

Задание:

Определение уровней угроз и уязвимостей информационной безопасности Производится оценка информационных рисков: определяются мероприятий защиты и уровни рисков Создание Плана обработки рисков Создание Положения о применимости

Руководство по управлению информационными рисками Отчет оценки рисков План обработки рисков Положение о применимости



6. Этапы работ Этап III - Организация процесса управления рисками Пример из отчета оценки рисков:

Название уязвимости Описание уязвимостиОценка

уязвимостиУгроза

Оценка

угрозыMax

Код

рискаРиск Вероятность Ущерб

Уровень

рискаСкоординированные злоумышленники A

Кража D

Получение несанкционированного доступа к системам и сетям A

Шпионаж A

Скоординированные злоумышленники A

Кража D

Получение несанкционированного доступа к системам и сетям A

Шпионаж A

D

АУТЕНТИФИКАЦИЯ ДЛЯ

УДАЛЕННОГО АДМИНИСТРИРОВАНИЯ

СЕТЕВЫХ УСТРОЙСТВ И СЕРВЕРОВ

При удаленном администрировании серверов и

сетевых устройств не проводится идентификация

оборудования, с которого производиться удаленное

администрирование.

B A

И.ИА-

2.Инфрастру

ктура

Риск финансовых и репутационных потерь при реализации угроз

безопасности (вредоносные действия скоординированных

злоумышленников, получение несанкционированного доступа к системам и

сетям и т.д. и т.п.), которые эксплуатируют уязвимость, того что при

B A B

ПОЛЬЗОВАТЕЛЬСКАЯ

ИДЕНТИФИКАЦИЯ И

АУТЕНТИФИКАЦИЯ

Компьютерные устройства (серверы, настольные

компьютеры, сетевые устройства) уникально не

идентифицируют и не аутентифицируют пользователей

или любой процесс который действует от имени

D A

И.ИА-

1.Инфрастру

ктура

Риск финансовых и репутационных потерь при реализации угроз

безопасности (вредоносные действия скоординированных

злоумышленников, кражи и т.д. и т.п.), которые эксплуатируют уязвимость,

того что компьютерные устройства уникально не идентифицируют и не

D A

При обработке рисков выбирается один из возможных вариантов управления рисками: снижение,

избежание, принятие риска, передачи риска.

Снижение информационных рисков - соответствующие меры безопасности должны быть

реализованы с помощью выбранных способов снижения рисков.

Избежание информационных рисков - путем изменения способа работы процесса, связанного с

информационным риском.

Передача информационных рисков - это вариант когда трудно снизить риск до приемлемого

уровня, или если выгоднее экономически передать его третьим лицам или застраховать.


5. Этапы работ Этап III - Организация процесса управления рисками

План обработки рисков будет содержать:

• риски и их уровень;

• рекомендованные мероприятия защиты;

• приоритет выполнения;

• необходимые ресурсы для реализации мер безопасности;

• перечень ответственных работников;

• дата начала и дата завершения;


6. Этапы работ Этап IV - Внедрение плана обработки рисков

Внедрение плана обработки рисков включает: • Разработка документации СУИБ (политики, положения, руководства) • Постановка процессов СУИБ (управление инцидентами, физическая защита, управление доступом,

управление изменениями и т.д.) • Разработка Плана по восстановлению (Business Continuity Plan – BCP)


6. Этапы работ Этап V - Внедрение мероприятий по мониторингу эффективности СУИБ

Мониторинг и оценка эффективности системы управления информационной безопасностью - это

системный процесс получения и оценки объективных данных о текущем состоянии систем, действиях

и событиях происходящих в ней, устанавливающий уровень их соответствия определенным

критериям.

[email protected]

www.auditagency.com.ua

044 228 15 88

Вопросы?


mailto:[email protected]

http://www.auditagency.com.ua/

суиб как способ поддержки бизнес целей предприятия

Technology