Система менеджмента информационной безопасности:...
DESCRIPTION
Система менеджмента информационной безопасности: стандарты, практики внедрения, аудитTRANSCRIPT
![Page 1: Система менеджмента информационной безопасности: стандарты, практики внедрения, аудит](https://reader036.vdocuments.net/reader036/viewer/2022062319/5562bf7ed8b42a13618b4ed1/html5/thumbnails/1.jpg)
Система менеджмента информационной безопасности: стандарты, практики внедрения, аудит
Александр Дорофеев.
CISSP, CISM, CISA
![Page 2: Система менеджмента информационной безопасности: стандарты, практики внедрения, аудит](https://reader036.vdocuments.net/reader036/viewer/2022062319/5562bf7ed8b42a13618b4ed1/html5/thumbnails/2.jpg)
2
Содержание
1.Цели информационной безопасности
2.Система менеджмента информационной безопасности
3.ISO 27001:20134.Аудит СМИБ
![Page 3: Система менеджмента информационной безопасности: стандарты, практики внедрения, аудит](https://reader036.vdocuments.net/reader036/viewer/2022062319/5562bf7ed8b42a13618b4ed1/html5/thumbnails/3.jpg)
3
Для чего информационная
безопасность нужна
компании?
![Page 4: Система менеджмента информационной безопасности: стандарты, практики внедрения, аудит](https://reader036.vdocuments.net/reader036/viewer/2022062319/5562bf7ed8b42a13618b4ed1/html5/thumbnails/4.jpg)
4
Основные цели ИБ
2. Выполнениевнешних требований
1. Минимизация финансовых потерь
3. Имидж
![Page 5: Система менеджмента информационной безопасности: стандарты, практики внедрения, аудит](https://reader036.vdocuments.net/reader036/viewer/2022062319/5562bf7ed8b42a13618b4ed1/html5/thumbnails/5.jpg)
5
Две крайности
Бумажки для отмашки от проверяющих
Бездумно внедренныевсевозможные средства защиты
![Page 6: Система менеджмента информационной безопасности: стандарты, практики внедрения, аудит](https://reader036.vdocuments.net/reader036/viewer/2022062319/5562bf7ed8b42a13618b4ed1/html5/thumbnails/6.jpg)
6
ИБ – это просто!
Актив(ресурс)
Угроза
Конт
рмер
а (ко
нтро
ль) Уязвимость
РИСК = ВЕРОЯТНОСТЬ X ПОСЛЕДСТВИЯ
![Page 7: Система менеджмента информационной безопасности: стандарты, практики внедрения, аудит](https://reader036.vdocuments.net/reader036/viewer/2022062319/5562bf7ed8b42a13618b4ed1/html5/thumbnails/7.jpg)
7
ИБ в организации
процессы
технологии
люди
угроза
угроза
контроль
угроза
контроль
контроль
![Page 8: Система менеджмента информационной безопасности: стандарты, практики внедрения, аудит](https://reader036.vdocuments.net/reader036/viewer/2022062319/5562bf7ed8b42a13618b4ed1/html5/thumbnails/8.jpg)
8
Модель PDCA для управления ИБ
Создание(PLAN)
Мониторинг и анализ(CHECK)
Обеспечение и улучшение
(ACT)
Внедрение и
управление(DO)
Заинтере-сованные стороны
Требования к СМИБ
Заинтере-сованные стороны
Управляемая СМИБ
Постоянное улучшение СМИБ
![Page 9: Система менеджмента информационной безопасности: стандарты, практики внедрения, аудит](https://reader036.vdocuments.net/reader036/viewer/2022062319/5562bf7ed8b42a13618b4ed1/html5/thumbnails/9.jpg)
9
Ядро СМИБ – управление рисками ИБ
![Page 10: Система менеджмента информационной безопасности: стандарты, практики внедрения, аудит](https://reader036.vdocuments.net/reader036/viewer/2022062319/5562bf7ed8b42a13618b4ed1/html5/thumbnails/10.jpg)
10
ISO 27001:2013
Системный подход
PLAN4 Контекст организации• Понятие контекста.• Ожидания заинтересованных сторон.• Область распространения СМИБ.
5 Лидерство• Приверженность руководства.• Политика ИБ.• Роли, ответственность и полномочия.
6 Планирование• Оценка риска и возможностей.• Цели ИБ.
7 Поддержка• Ресурсы.• Компетенция.• Осведомленность.• Коммуникации.• Документируемая информация.
DO8 Операционная деятельность• Планирование и контроль операций.• Оценка рисков.• Обработка рисков.
CHECK9 Производительность и оценка•Мониторинг, измерение, анализ и оценка.
•Внутренний аудит.•Анализ со стороны руководства.
ACT10 Улучшения•Несоответствия и корректирующие действия.
•Постоянное улучшение.
![Page 11: Система менеджмента информационной безопасности: стандарты, практики внедрения, аудит](https://reader036.vdocuments.net/reader036/viewer/2022062319/5562bf7ed8b42a13618b4ed1/html5/thumbnails/11.jpg)
11
Система документации СМИБ
Политика ИБ
Детальные политики ИБ
Положения оботделах
Процедуры ИБ
Внутренниестандарты
ИБ
Свод правил для
сотрудников
Должностныеинструкции
для всех сотрудников для конкретных специалистов
![Page 12: Система менеджмента информационной безопасности: стандарты, практики внедрения, аудит](https://reader036.vdocuments.net/reader036/viewer/2022062319/5562bf7ed8b42a13618b4ed1/html5/thumbnails/12.jpg)
12
Кратко
Политика определяет куда движемсяПроцедура определяет действияСтандарт фиксирует целевое состояниеСвод правил определяет требования к сотрудникам
![Page 13: Система менеджмента информационной безопасности: стандарты, практики внедрения, аудит](https://reader036.vdocuments.net/reader036/viewer/2022062319/5562bf7ed8b42a13618b4ed1/html5/thumbnails/13.jpg)
13
Как проверять ИБ?
Процессы (как работает СМИБ?)
Технологии(хорошо защищены?)
1. Тестирование на проникновение2. Анализ уязвимостей3. Анализ конфигурации
1. Наблюдение2. Интервью3. Проход по процессу4. Выборочное тестирование контролей5. Полное тестирование контролей
![Page 14: Система менеджмента информационной безопасности: стандарты, практики внедрения, аудит](https://reader036.vdocuments.net/reader036/viewer/2022062319/5562bf7ed8b42a13618b4ed1/html5/thumbnails/14.jpg)
14
Спасибо за внимание!
![Page 15: Система менеджмента информационной безопасности: стандарты, практики внедрения, аудит](https://reader036.vdocuments.net/reader036/viewer/2022062319/5562bf7ed8b42a13618b4ed1/html5/thumbnails/15.jpg)
Контактная информация
107023, ул. Электрозаводская, д. 24
+7(495) 223-23-92+7(495) 645-38-11
http://www.uc-echelon.ru