Оцените презентацию от 1 до 5 баллов!
Тип файла:
ppt / pptx (powerpoint)
Всего слайдов:
38 слайдов
Для класса:
1,2,3,4,5,6,7,8,9,10,11
Размер файла:
2.10 MB
Просмотров:
88
Скачиваний:
5
Автор:
неизвестен
Слайды и текст к этой презентации:
№1 слайд
Содержание слайда: Внедрение СУИБ, соответствующей ИСО 27001, в ИТ компании
Алексей Евменков. Tieto
№2 слайд
Содержание слайда: План презентации
Введение
Теория
Практика
Заключение
№3 слайд
Содержание слайда: Введение
№4 слайд
Содержание слайда: Термины и определения
ИБ = Информационная Безопасность (information security):
свойство информации сохранять конфиденциальность, целостность и доступность. [Источник: ГОСТ Р ИСО/МЭК 27001:2006]
СУИБ = Система Управления Информационной Безопасностью:
часть общей системы менеджмента,
основанная на использовании методов оценки бизнес-рисков
для разработки, внедрения,функционирования, мониторинга, анализа, поддержки и улучшения информационной безопасности. [Источник: ГОСТ Р ИСО/МЭК 27001:2006]
Альтернативное определение СУИБ:
Система, основанная на управлении бизнес-рисками
Для защиты активов (assets) выбираются и внедряются соответствующие защитные меры (security controls)
№5 слайд
Содержание слайда: Зачем необходима СУИБ?
Бизнес-риски срабатывают, а Вы о них даже не подозревали?
Ваши партнеры не считают Вас вполне надежными?
Ваша внутренняя информация не всегда под контролем?
Ваши процессы не совсем зрелые в области ИБ?
Вы более пассивны чем проактивны в области ИБ?
У Вас воруют лаптопы?
Пора внедрять СУИБ !
№6 слайд
Содержание слайда: Преимущества сертифицированной СУИБ
Стандарт содержит разумную, выверенную последовательность действий, которую всегда можно подправить под собственные нужды
Один раз сертифицирован, признан везде!
Ежегодное подтверждение сертификата поддерживает тонус
№7 слайд
Содержание слайда: Основная причина сертификации СУИБ
Заказчик требует\повышение конкурентоспособности
№8 слайд
Содержание слайда: Сколько ИСО 27001 сертификатов в мире?
№9 слайд
Содержание слайда: Теория
№10 слайд
Содержание слайда: Семейство стандартов ИСО 27000
№11 слайд
Содержание слайда: Принципы ИСО 27001
Процессный подход
Цикл PDCA (Plan-Do-Check-Act)
№12 слайд
Содержание слайда: Процессный подход
№13 слайд
Содержание слайда: Процессный подход (пример)
№14 слайд
Содержание слайда: Цикл PDCA (пример)
№15 слайд
Содержание слайда: Риски – центральная тема СУИБ
Мало кто знает, что ...
За год от падения кокосов погибает в десятки раз больше людей, чем от акул
Часто мы боимся не то, что нужно
Мужчины поражаемы молнией в 4 раза более часто чем женщины
В жизни бывают странные закономерности
Шанс выйграть в лотерею обычно ~1 из 14млн. Шанс заболеть птичьим гриппом 1 из 100млн.
Наши ожидания и страхи зачастую иррациональны, пока не проанализируешь их
№16 слайд
Содержание слайда: Риски – центральная тема СУИБ
Риски необходимо учитывать
Разные риски должны обрабатываться «по-разному»
СУИБ предоставляет набор инструментов по управлению рисками
№17 слайд
Содержание слайда: Управление рисками в СУИБ
Угроза - причина нежелательного инцидента, который может привести
к негативным последствиям для организации .
Уязвимость – недостаток нформационного ресурса или группы ресурсов, который способствует реализации угрозы.
Риск - комбинация вероятности срабатывания угрозы через уязвимость, с последующим уроном для активов организации
Защитная мера – действия по минимизации риска
№18 слайд
Содержание слайда: Управление рисками в СУИБ
№19 слайд
Содержание слайда: Процесс оценки рисков
№20 слайд
Содержание слайда: Список защитных мер (ИСО 27002)
№21 слайд
Содержание слайда: Практика
№22 слайд
Содержание слайда: Вызовы при создании СУИБ
Необходимость в установлении специфических процессов
Например, измерение эффективности защитных мер, аудиты по безопасности
Создание комплекта документации
Шаблоны, практики, собственно сам документооборот
Необходимость в автоматизация процессов
Например, управление рисков очень трудоемко без автоматизации
Организационные аспекты
Ответственные за политики, тренинг персонала, как получить «вовлеченность менежмента» (management commitment)
Сложный процесс сертификации
№23 слайд
Содержание слайда: Схема функционирования СУИБ
№24 слайд
Содержание слайда: Пример определения угроз и уязвимостей
Фильтрация по доступным активам
Определение списка угроз для выделенного актива
Определение уязвимостей, посредством которых данная угроза может реализоваться
№25 слайд
Содержание слайда: Пример оценки рисков
№26 слайд
Содержание слайда: Отчеты
Стандарт требует некоторые обязательные отчеты
Например план по обработке рисков (Risk Treatment Plan)
Положение о применимости (Statement of Applicability)
Важно динамическая генерация отчетов
Доступ к любой информации в базе
№27 слайд
Содержание слайда: ISMS Portal
Необходимо создать «единую точку входа» для всех сотрудников организации
Автоматизированный документооборот (версионность, workflows)
№28 слайд
Содержание слайда: ISMS Portal - реализация
№29 слайд
Содержание слайда: ISMS Portal - примеры
Документация
Записи
Тренинги
Метрики
Аудиты
И т.д.
Управление инцидентами
№30 слайд
Содержание слайда: ISMS Portal - примеры
Аудиты
Записи об аудите
Несоответствия
Экзамены и оценка тренинга
Линки, объявления, календари, задачи и многое другое.
№31 слайд
Содержание слайда: Inventory DB
Детальное управление активами
Оперативное отслеживание статуса активов
Возможность настройки под любые типы активов
№32 слайд
Содержание слайда: Inventory DB - реализация
№33 слайд
Содержание слайда: Inventory DB - реализация
№34 слайд
Содержание слайда: Заключение
№35 слайд
Содержание слайда: ИБ и разработка ПО
Целый раздел защитных мер стандарта посвящен «правильной разработке ПО»: «Разработка, внедрение и обслуживание информационных систем»
В целом содержит здравые рекомендации по разработке
Например «проверка достоверности входных данных», «целостность сообщений»
На практике все выливается финансовые возможности Ваши\заказчика
Также важен профессионализм Ваших разработчиков
Правила хорошего программирования покрывают большинство требований стандарта
№36 слайд
Содержание слайда: Процесс сертификации
Тема для отдельного разговора (выбор сертифицирующего органа, общение с консалтерами, внутренняя организация)
Некоторые рекомендации:
Требует серьезного подхода, детального планирования, «вовлеченности руководства»
При отсутствии собственных специалистов по безопасности, проходивших сертификацию – рекомендуется нанять организацию – консалтера
Тренинги – основа работающей на практике СУИБ; также формально закрывает многие требования стандарта
№37 слайд
Содержание слайда: Процесс сертификации
№38 слайд
Содержание слайда: Вопросы и ответы
Спасибо за внимание!
Вопросы?