SlideShare a Scribd company logo

суиб как способ поддержки бизнес целей предприятия

A
a_a_a
Technology
1 of 17
Download to read offline
СУИБ - способ поддержки бизнес целей Валентин Сысоев, CISM Менеджер проектов "Агентство Активного Аудита“ Директор по коммуникациям Киевского отделения ISACA
Содержание 1. Почему ISO27001 2. Цели и результат внедрения ISO27001 3. Выгоды внедрения ISO27001 4. Суть стандарта ISO27001 5. Факторы успеха 6. Этапы работ 06.06.2012 © Валентин Сысоев,CISM - Агентство Активного Аудита 2
1. Почему ISO27001 Информационные системы – жизненно важные элементы большинства бизнес процессов, они необходимы для успешной работы компании. Любые нарушения работы ИС компании представляют собой стратегический риск с серьезными последствиями.  Для обеспечения информационной безопасности необходима актуальная система управления, которая сможет привести компанию к реализации ее видения.  СУИБ на основе ISO27001 - является фундаментом информационной безопасности предприятия и объединяет в себе все процессы и ресурсы, которые обеспечивают информационную безопасность в компании, определяет методы достижения поставленных целей. 06.06.2012 © Валентин Сысоев,CISM - Агентство Активного Аудита 3
2. Цели и результат внедрения ISO27001 Цели СУИБ:  постановка управления ИБ для достижения целей бизнеса;  управление рисками компании;  оптимизация затрат на информационную безопасность;  управление ресурсами, выделенными на обеспечение ИБ;  централизация всех функций обеспечения ИБ в компании;  измерения производительности ИБ. Правильно разработанная и внедренная СУИБ позволит:  предотвратить утечки, хищения, утраты, искажения, подделки информации  предотвратить несанкционированные действия по уничтожению, модификации, искажению, копированию, блокированию информации;  снизить вероятность других форм незаконного вмешательства в информационные ресурсы и системы, обеспечить правовой режим информации как объекта собственности;  на регулярной основе управлять рисками ИТ и интегрировать этот процесс в общую систему управления рисками;  адекватно и своевременно реагировать на угрозы информационной безопасности путем выбора мер по защите информации на основе анализа рисков и расчета показателя возврата.  уменьшить расходы на информационную безопасность, оптимизировать ресурсы;  повысить инвестиционную привлекательность организации, позиционируя ее для инвестора как "прозрачную". 06.06.2012 © Валентин Сысоев,CISM - Агентство Активного Аудита 4
3. Выгоды внедрения ISO27001 Пример успешного внедрения СУИБ в большом международном банке Украины: В результате проведения оценки информационных рисков и своевременному внедрению соответствующих мер безопасности, фактические потери от инцидентов в 2011 году снизились на 60%; Оценка ущерба и классификация информационных активов при построении плана бесперебойной работы предприятия позволяет экономить более чем $ 30'000 ежегодно. Пример успешного внедрения СУИБ в большой промышленной компании Украины: Принятие решений на основе оценки рисков позволило обеспечить прозрачность инвестиций в ИТ и оптимизировать бюджет; Благодаря процессу мониторинга ИБ - 30% инцидентов были своевременно выявлены и устранены до нанесения финансового и репарационного ущерба компании в 2011 году. 06.06.2012 © Валентин Сысоев,CISM - Агентство Активного Аудита 5
4. Суть стандарта ISO27001 Безопасность означает больше, чем просто конфиденциальность, чаще на первый план выходят вопросы доступности и целостности ISO 27001 - это стандарт управления, а не технический стандарт. Это один из важнейших элементов корпоративного управления.  Информационная безопасность охватывает не только вопросы ИТ-безопасности.  Управление в более широком смысле, чем техническими средствами и инструментами. ВОПРОС МЕНЕДЖМЕНТА ИЛИ ТЕХНИЧЕСКИЙ ВОПРОС?  Информационная безопасность должна полагаться не только на технических специалистов, а рассматриваться как одно из направлений организационного управления.  Для обеспечения безопасности бизнеса необходимо соединить в один процесс организационную и техническую часть работы. 06.06.2012 © Валентин Сысоев,CISM - Агентство Активного Аудита 6
5. Факторы успеха 06.06.2012 © Валентин Сысоев,CISM - Агентство Активного Аудита 7
5. Факторы успеха Организационная структура: Информационная безопасность – выше, чем: • Служба ИТ • Служба делопроизводства • Физическая безопасность 06.06.2012 © Валентин Сысоев,CISM - Агентство Активного Аудита 8
6. Этапы работ Этап I - Мероприятия по организации ИБ Определение области применения Распределение ролей и Определение политики ИБ Создание комитета ИБ СУИБ обязанностей СУИБ Этап II - Инвентаризация информационных активов Инвентаризация и описание активов Определение владельцев активов Определение критичности активов Создание реестра активов Этап III - Организация процесса управления рисками Оценка рисков Выбор мероприятий защиты Разработка плана обработки рисков Этап IV - Внедрение плана обработки рисков Внедрение необходимых ИТ проектов Реализация плана по обработке рисков Разработка документации по внедрению СУИБ Этап V - Внедрение мероприятий по мониторингу эффективности СУИБ Разработка документации по проведению внутреннего аудита СУИБ Разработка документации по проверке процесса оценки рисков 06.06.2012 © Валентин Сысоев,CISM - Агентство Активного Аудита 9
6. Этапы работ Этап I - Мероприятия по организации ИБ Задание: • Обязательства руководства по управлению информационной безопасностью • Назначение ответственных лиц за внедрение и функционирование СУИБ • Определить сферу и пределы использования СУИБ • Определить политику информационной безопасности Документы Действия: • Комитет по обеспечению информационной безопасности (или Риск комитет) • Концепция управления информационной безопасностью; • Руководство по определению ролей и ответственных за организацию информационной безопасности; • Политика информационной безопасности 06.06.2012 © Валентин Сысоев,CISM - Агентство Активного Аудита 10
6. Этапы работ Этап II - Инвентаризация информационных активов Задание: • Инвентаризация информационных активов • Определение владельцев информационных активов • Классификация и маркировка информации Документы Действия: • Политика использования информационных активов • Руководство по управлению информационными активами • Руководство по классификации и маркировке информации • Руководство по проведению инвентаризации • Процедура инвентаризации информационных активов 06.06.2012 © Валентин Сысоев,CISM - Агентство Активного Аудита 11
6. Этапы работ Этап III - Организация процесса управления рисками Задание:  Определение уровней угроз и уязвимостей информационной безопасности  Производится оценка информационных рисков: определяются мероприятий защиты и уровни рисков  Создание Плана обработки рисков  Создание Положения о применимости Документы Действия:  Руководство по управлению информационными рисками  Отчет оценки рисков  План обработки рисков  Положение о применимости 06.06.2012 © Валентин Сысоев,CISM - Агентство Активного Аудита 12
6. Этапы работ Этап III - Организация процесса управления рисками Пример из отчета оценки рисков: Оценка Оценка Код Уровень Название уязвимости Описание уязвимости уязвимости Угроза угрозы Max Риск Вероятность Ущерб риска риска Компьютерные устройства (серверы, настольные Скоординированные злоумышленники A Риск финансовых и репутационных потерь при реализации угроз ПОЛЬЗОВАТЕЛЬСКАЯ И.ИА- компьютеры, сетевые устройства) уникально не Кража D безопасности (вредоносные действия скоординированных ИДЕНТИФИКАЦИЯ И D A 1.Инфрастру D A D идентифицируют и не аутентифицируют пользователей Получение несанкционированного доступа к системам и сетям A злоумышленников, кражи и т.д. и т.п.), которые эксплуатируют уязвимость, АУТЕНТИФИКАЦИЯ ктура или любой процесс который действует от имени Шпионаж A того что компьютерные устройства уникально не идентифицируют и не При удаленном администрировании серверов и Скоординированные злоумышленники A Риск финансовых и репутационных потерь при реализации угроз АУТЕНТИФИКАЦИЯ ДЛЯ И.ИА- сетевых устройств не проводится идентификация Кража D безопасности (вредоносные действия скоординированных УДАЛЕННОГО АДМИНИСТРИРОВАНИЯ B A 2.Инфрастру B A B оборудования, с которого производиться удаленное Получение несанкционированного доступа к системам и сетям A злоумышленников, получение несанкционированного доступа к системам и СЕТЕВЫХ УСТРОЙСТВ И СЕРВЕРОВ ктура администрирование. Шпионаж A сетям и т.д. и т.п.), которые эксплуатируют уязвимость, того что при При обработке рисков выбирается один из возможных вариантов управления рисками: снижение, избежание, принятие риска, передачи риска. Снижение информационных рисков - соответствующие меры безопасности должны быть реализованы с помощью выбранных способов снижения рисков. Избежание информационных рисков - путем изменения способа работы процесса, связанного с информационным риском. Передача информационных рисков - это вариант когда трудно снизить риск до приемлемого уровня, или если выгоднее экономически передать его третьим лицам или застраховать. 06.06.2012 © Валентин Сысоев,CISM - Агентство Активного Аудита 13
5. Этапы работ Этап III - Организация процесса управления рисками План обработки рисков будет содержать: • риски и их уровень; • рекомендованные мероприятия защиты; • приоритет выполнения; • необходимые ресурсы для реализации мер безопасности; • перечень ответственных работников; • дата начала и дата завершения; 06.06.2012 © Валентин Сысоев,CISM - Агентство Активного Аудита 14
6. Этапы работ Этап IV - Внедрение плана обработки рисков Внедрение плана обработки рисков включает: • Разработка документации СУИБ (политики, положения, руководства) • Постановка процессов СУИБ (управление инцидентами, физическая защита, управление доступом, управление изменениями и т.д.) • Разработка Плана по восстановлению (Business Continuity Plan – BCP) 06.06.2012 © Валентин Сысоев,CISM - Агентство Активного Аудита 15
6. Этапы работ Этап V - Внедрение мероприятий по мониторингу эффективности СУИБ Мониторинг и оценка эффективности системы управления информационной безопасностью - это системный процесс получения и оценки объективных данных о текущем состоянии систем, действиях и событиях происходящих в ней, устанавливающий уровень их соответствия определенным критериям. 06.06.2012 © Валентин Сысоев,CISM - Агентство Активного Аудита 16
Вопросы? info@auditagency.com.ua www.auditagency.com.ua 044 228 15 88 06.06.2012 © Валентин Сысоев,CISM - Агентство Активного Аудита 17

Recommended

Threat Modeling (Part 1)
Threat Modeling (Part 1)Threat Modeling (Part 1)
Threat Modeling (Part 1)
Aleksey Lukatskiy
 
Threat Modeling (Part 4)
Threat Modeling (Part 4)Threat Modeling (Part 4)
Threat Modeling (Part 4)
Aleksey Lukatskiy
 
Threat Modeling (Part 2)
Threat Modeling (Part 2)Threat Modeling (Part 2)
Threat Modeling (Part 2)
Aleksey Lukatskiy
 
Threat Modeling (Part 3)
Threat Modeling (Part 3)Threat Modeling (Part 3)
Threat Modeling (Part 3)
Aleksey Lukatskiy
 
Моделирование угроз сетевой инфраструктуры
Моделирование угроз сетевой инфраструктурыМоделирование угроз сетевой инфраструктуры
Моделирование угроз сетевой инфраструктуры
Aleksey Lukatskiy
 
Мастер класс по моделированию угроз
Мастер класс по моделированию угрозМастер класс по моделированию угроз
Мастер класс по моделированию угроз
Aleksey Lukatskiy
 
Threat Modeling (Part 5)
Threat Modeling (Part 5)Threat Modeling (Part 5)
Threat Modeling (Part 5)
Aleksey Lukatskiy
 
Управление ИБ
Управление ИБУправление ИБ
Управление ИБ
Aleksey Lukatskiy
 

Recommended

Threat Modeling (Part 1)
Threat Modeling (Part 1)Threat Modeling (Part 1)
Threat Modeling (Part 1)
Aleksey Lukatskiy
 
Threat Modeling (Part 4)
Threat Modeling (Part 4)Threat Modeling (Part 4)
Threat Modeling (Part 4)
Aleksey Lukatskiy
 
Threat Modeling (Part 2)
Threat Modeling (Part 2)Threat Modeling (Part 2)
Threat Modeling (Part 2)
Aleksey Lukatskiy
 
Threat Modeling (Part 3)
Threat Modeling (Part 3)Threat Modeling (Part 3)
Threat Modeling (Part 3)
Aleksey Lukatskiy
 
Моделирование угроз сетевой инфраструктуры
Моделирование угроз сетевой инфраструктурыМоделирование угроз сетевой инфраструктуры
Моделирование угроз сетевой инфраструктуры
Aleksey Lukatskiy
 
Мастер класс по моделированию угроз
Мастер класс по моделированию угрозМастер класс по моделированию угроз
Мастер класс по моделированию угроз
Aleksey Lukatskiy
 
Threat Modeling (Part 5)
Threat Modeling (Part 5)Threat Modeling (Part 5)
Threat Modeling (Part 5)
Aleksey Lukatskiy
 
Управление ИБ
Управление ИБУправление ИБ
Управление ИБ
Aleksey Lukatskiy
 
Методы автоматизации управления рисками
Методы автоматизации управления рискамиМетоды автоматизации управления рисками
Методы автоматизации управления рисками
LETA IT-company
 
Методы расчета ROI для решений по информационной безопасности компании "Код Б...
Методы расчета ROI для решений по информационной безопасности компании "Код Б...Методы расчета ROI для решений по информационной безопасности компании "Код Б...
Методы расчета ROI для решений по информационной безопасности компании "Код Б...
Michael Kozloff
 
7 cases of risk probality measurement
7 cases of risk probality measurement7 cases of risk probality measurement
7 cases of risk probality measurement
Aleksey Lukatskiy
 
Построение центра мониторинга и управления безопасностью Cisco
Построение центра мониторинга и управления безопасностью CiscoПостроение центра мониторинга и управления безопасностью Cisco
Построение центра мониторинга и управления безопасностью Cisco
Aleksey Lukatskiy
 
пр Isaca про apt 2014 05-05
пр Isaca про apt 2014 05-05пр Isaca про apt 2014 05-05
пр Isaca про apt 2014 05-05
Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Программа курса "Управление инцидентами"
Программа курса "Управление инцидентами"Программа курса "Управление инцидентами"
Программа курса "Управление инцидентами"
Aleksey Lukatskiy
 
Моделирование угроз 2.0
Моделирование угроз 2.0Моделирование угроз 2.0
Моделирование угроз 2.0
Aleksey Lukatskiy
 
EDR investment guide for Enterprise 2017-2018
EDR investment guide for Enterprise 2017-2018EDR investment guide for Enterprise 2017-2018
EDR investment guide for Enterprise 2017-2018
Oleg Glebov
 
управление риском почему не работает
управление риском почему не работаетуправление риском почему не работает
управление риском почему не работает
Vladimir Gninyuk
 
Как построить систему ИБ в кризис; 3 способа снижения затрат на ИБ
Как построить систему ИБ в кризис; 3 способа снижения затрат на ИБКак построить систему ИБ в кризис; 3 способа снижения затрат на ИБ
Как построить систему ИБ в кризис; 3 способа снижения затрат на ИБ
InfoWatch
 
Внедрение СУИБ на основе ISO/IEC 27001
Внедрение СУИБ на основе ISO/IEC 27001Внедрение СУИБ на основе ISO/IEC 27001
Внедрение СУИБ на основе ISO/IEC 27001
Dmitry Savchenko
 
Политика обнаружения и реагирования на инциденты информационной безопасности
Политика обнаружения и реагирования на инциденты информационной безопасностиПолитика обнаружения и реагирования на инциденты информационной безопасности
Политика обнаружения и реагирования на инциденты информационной безопасности
Evgeniy Shauro
 
Александр Дмитриев - Практические аспекты внедрения системы менеджмента инфор...
Александр Дмитриев - Практические аспекты внедрения системы менеджмента инфор...Александр Дмитриев - Практические аспекты внедрения системы менеджмента инфор...
Александр Дмитриев - Практические аспекты внедрения системы менеджмента инфор...
UISGCON
 
Пять шагов для защиты ЦОД. Почему традиционная защита может оказаться неэффек...
Пять шагов для защиты ЦОД. Почему традиционная защита может оказаться неэффек...Пять шагов для защиты ЦОД. Почему традиционная защита может оказаться неэффек...
Пять шагов для защиты ЦОД. Почему традиционная защита может оказаться неэффек...
Cisco Russia
 
Программа курса "Моделирование угроз"
Программа курса "Моделирование угроз"Программа курса "Моделирование угроз"
Программа курса "Моделирование угроз"
Aleksey Lukatskiy
 
Как довести проект по информационной безопасности до ума
Как довести проект по информационной безопасности до умаКак довести проект по информационной безопасности до ума
Как довести проект по информационной безопасности до ума
InfoWatch
 
Incident management (part 2)
Incident management (part 2)Incident management (part 2)
Incident management (part 2)
Aleksey Lukatskiy
 
Security trends for Russian CISO in 2012-2013
Security trends for Russian CISO in 2012-2013Security trends for Russian CISO in 2012-2013
Security trends for Russian CISO in 2012-2013
Aleksey Lukatskiy
 
пр Обзор СТО БР ИББС 1.4 Про риски ИБ при аутсорсинге
пр Обзор СТО БР ИББС 1.4 Про риски ИБ при аутсорсингепр Обзор СТО БР ИББС 1.4 Про риски ИБ при аутсорсинге
пр Обзор СТО БР ИББС 1.4 Про риски ИБ при аутсорсинге
Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Бизнес-модели в деятельности безопасника
Бизнес-модели в деятельности безопасникаБизнес-модели в деятельности безопасника
Бизнес-модели в деятельности безопасника
Aleksey Lukatskiy
 
Принципы защиты информации и метрики ИБ
Принципы защиты информации и метрики ИБПринципы защиты информации и метрики ИБ
Принципы защиты информации и метрики ИБ
Александр Лысяк
 
СУИБ - проблемы внедрения v4
СУИБ - проблемы внедрения v4СУИБ - проблемы внедрения v4
СУИБ - проблемы внедрения v4
a_a_a
 

More Related Content

What's hot

7 cases of risk probality measurement
7 cases of risk probality measurement7 cases of risk probality measurement
7 cases of risk probality measurement
Aleksey Lukatskiy
 
Построение центра мониторинга и управления безопасностью Cisco
Построение центра мониторинга и управления безопасностью CiscoПостроение центра мониторинга и управления безопасностью Cisco
Построение центра мониторинга и управления безопасностью Cisco
Aleksey Lukatskiy
 
Программа курса "Управление инцидентами"
Программа курса "Управление инцидентами"Программа курса "Управление инцидентами"
Программа курса "Управление инцидентами"
Aleksey Lukatskiy
 
управление риском почему не работает
управление риском почему не работаетуправление риском почему не работает
управление риском почему не работает
Vladimir Gninyuk
 
Политика обнаружения и реагирования на инциденты информационной безопасности
Политика обнаружения и реагирования на инциденты информационной безопасностиПолитика обнаружения и реагирования на инциденты информационной безопасности
Политика обнаружения и реагирования на инциденты информационной безопасности
Evgeniy Shauro
 
Александр Дмитриев - Практические аспекты внедрения системы менеджмента инфор...
Александр Дмитриев - Практические аспекты внедрения системы менеджмента инфор...Александр Дмитриев - Практические аспекты внедрения системы менеджмента инфор...
Александр Дмитриев - Практические аспекты внедрения системы менеджмента инфор...
UISGCON
 
Пять шагов для защиты ЦОД. Почему традиционная защита может оказаться неэффек...
Пять шагов для защиты ЦОД. Почему традиционная защита может оказаться неэффек...Пять шагов для защиты ЦОД. Почему традиционная защита может оказаться неэффек...
Пять шагов для защиты ЦОД. Почему традиционная защита может оказаться неэффек...
Cisco Russia
 
Программа курса "Моделирование угроз"
Программа курса "Моделирование угроз"Программа курса "Моделирование угроз"
Программа курса "Моделирование угроз"
Aleksey Lukatskiy
 
Incident management (part 2)
Incident management (part 2)Incident management (part 2)
Incident management (part 2)
Aleksey Lukatskiy
 
Security trends for Russian CISO in 2012-2013
Security trends for Russian CISO in 2012-2013Security trends for Russian CISO in 2012-2013
Security trends for Russian CISO in 2012-2013
Aleksey Lukatskiy
 
Бизнес-модели в деятельности безопасника
Бизнес-модели в деятельности безопасникаБизнес-модели в деятельности безопасника
Бизнес-модели в деятельности безопасника
Aleksey Lukatskiy
 

What's hot (20)

Методы автоматизации управления рисками
Методы автоматизации управления рискамиМетоды автоматизации управления рисками
Методы автоматизации управления рисками
 
Методы расчета ROI для решений по информационной безопасности компании "Код Б...
Методы расчета ROI для решений по информационной безопасности компании "Код Б...Методы расчета ROI для решений по информационной безопасности компании "Код Б...
Методы расчета ROI для решений по информационной безопасности компании "Код Б...
 
7 cases of risk probality measurement
7 cases of risk probality measurement7 cases of risk probality measurement
7 cases of risk probality measurement
 
Построение центра мониторинга и управления безопасностью Cisco
Построение центра мониторинга и управления безопасностью CiscoПостроение центра мониторинга и управления безопасностью Cisco
Построение центра мониторинга и управления безопасностью Cisco
 
пр Isaca про apt 2014 05-05
пр Isaca про apt 2014 05-05пр Isaca про apt 2014 05-05
пр Isaca про apt 2014 05-05
 
Программа курса "Управление инцидентами"
Программа курса "Управление инцидентами"Программа курса "Управление инцидентами"
Программа курса "Управление инцидентами"
 
Моделирование угроз 2.0
Моделирование угроз 2.0Моделирование угроз 2.0
Моделирование угроз 2.0
 
EDR investment guide for Enterprise 2017-2018
EDR investment guide for Enterprise 2017-2018EDR investment guide for Enterprise 2017-2018
EDR investment guide for Enterprise 2017-2018
 
управление риском почему не работает
управление риском почему не работаетуправление риском почему не работает
управление риском почему не работает
 
Как построить систему ИБ в кризис; 3 способа снижения затрат на ИБ
Как построить систему ИБ в кризис; 3 способа снижения затрат на ИБКак построить систему ИБ в кризис; 3 способа снижения затрат на ИБ
Как построить систему ИБ в кризис; 3 способа снижения затрат на ИБ
 
Внедрение СУИБ на основе ISO/IEC 27001
Внедрение СУИБ на основе ISO/IEC 27001Внедрение СУИБ на основе ISO/IEC 27001
Внедрение СУИБ на основе ISO/IEC 27001
 
Политика обнаружения и реагирования на инциденты информационной безопасности
Политика обнаружения и реагирования на инциденты информационной безопасностиПолитика обнаружения и реагирования на инциденты информационной безопасности
Политика обнаружения и реагирования на инциденты информационной безопасности
 
Александр Дмитриев - Практические аспекты внедрения системы менеджмента инфор...
Александр Дмитриев - Практические аспекты внедрения системы менеджмента инфор...Александр Дмитриев - Практические аспекты внедрения системы менеджмента инфор...
Александр Дмитриев - Практические аспекты внедрения системы менеджмента инфор...
 
Пять шагов для защиты ЦОД. Почему традиционная защита может оказаться неэффек...
Пять шагов для защиты ЦОД. Почему традиционная защита может оказаться неэффек...Пять шагов для защиты ЦОД. Почему традиционная защита может оказаться неэффек...
Пять шагов для защиты ЦОД. Почему традиционная защита может оказаться неэффек...
 
Программа курса "Моделирование угроз"
Программа курса "Моделирование угроз"Программа курса "Моделирование угроз"
Программа курса "Моделирование угроз"
 
Как довести проект по информационной безопасности до ума
Как довести проект по информационной безопасности до умаКак довести проект по информационной безопасности до ума
Как довести проект по информационной безопасности до ума
 
Incident management (part 2)
Incident management (part 2)Incident management (part 2)
Incident management (part 2)
 
Security trends for Russian CISO in 2012-2013
Security trends for Russian CISO in 2012-2013Security trends for Russian CISO in 2012-2013
Security trends for Russian CISO in 2012-2013
 
пр Обзор СТО БР ИББС 1.4 Про риски ИБ при аутсорсинге
пр Обзор СТО БР ИББС 1.4 Про риски ИБ при аутсорсингепр Обзор СТО БР ИББС 1.4 Про риски ИБ при аутсорсинге
пр Обзор СТО БР ИББС 1.4 Про риски ИБ при аутсорсинге
 
Бизнес-модели в деятельности безопасника
Бизнес-модели в деятельности безопасникаБизнес-модели в деятельности безопасника
Бизнес-модели в деятельности безопасника
 

Similar to суиб как способ поддержки бизнес целей предприятия

Принципы защиты информации и метрики ИБ
Принципы защиты информации и метрики ИБПринципы защиты информации и метрики ИБ
Принципы защиты информации и метрики ИБ
Александр Лысяк
 
СУИБ - проблемы внедрения v4
СУИБ - проблемы внедрения v4СУИБ - проблемы внедрения v4
СУИБ - проблемы внедрения v4
a_a_a
 
Presentation IS criteria
Presentation IS criteriaPresentation IS criteria
Presentation IS criteria
a_a_a
 
Риски. Д. Софьина.
Риски. Д. Софьина.Риски. Д. Софьина.
Риски. Д. Софьина.
Expolink
 
Презентация вебинара ISM Revision:Risk Manager
Презентация вебинара ISM Revision:Risk ManagerПрезентация вебинара ISM Revision:Risk Manager
Презентация вебинара ISM Revision:Risk Manager
ismsys
 
информационная безопасность эволюция угроз и рынка решений
информационная безопасность эволюция угроз и рынка решенийинформационная безопасность эволюция угроз и рынка решений
информационная безопасность эволюция угроз и рынка решений
Expolink
 
тест на проникновение
тест на проникновение тест на проникновение
тест на проникновение
a_a_a
 
Кибербезопасность с точки зрения директоров
Кибербезопасность с точки зрения директоровКибербезопасность с точки зрения директоров
Кибербезопасность с точки зрения директоров
Cisco Russia
 
1.астерит хазиев м
1.астерит хазиев м1.астерит хазиев м
1.астерит хазиев м
Expolink
 
Iso 27001 01_dmytriyev_kiev_2010_july
Iso 27001 01_dmytriyev_kiev_2010_julyIso 27001 01_dmytriyev_kiev_2010_july
Iso 27001 01_dmytriyev_kiev_2010_july
Glib Pakharenko
 
Темные пятна в ИБ, где ваше слабое звено/очный семинар RISC
Темные пятна в ИБ, где ваше слабое звено/очный семинар RISCТемные пятна в ИБ, где ваше слабое звено/очный семинар RISC
Темные пятна в ИБ, где ваше слабое звено/очный семинар RISC
RISClubSPb
 

Similar to суиб как способ поддержки бизнес целей предприятия (20)

Принципы защиты информации и метрики ИБ
Принципы защиты информации и метрики ИБПринципы защиты информации и метрики ИБ
Принципы защиты информации и метрики ИБ
 
СУИБ - проблемы внедрения v4
СУИБ - проблемы внедрения v4СУИБ - проблемы внедрения v4
СУИБ - проблемы внедрения v4
 
Presentation IS criteria
Presentation IS criteriaPresentation IS criteria
Presentation IS criteria
 
НБУ - Анализ рисков,связанных с информационными технологиями
НБУ - Анализ рисков,связанных с информационными технологиямиНБУ - Анализ рисков,связанных с информационными технологиями
НБУ - Анализ рисков,связанных с информационными технологиями
 
Риски. Д. Софьина.
Риски. Д. Софьина.Риски. Д. Софьина.
Риски. Д. Софьина.
 
5.про soc от jet
5.про soc от jet5.про soc от jet
5.про soc от jet
 
Information security risk management.pdf
Information security risk management.pdfInformation security risk management.pdf
Information security risk management.pdf
 
Презентация вебинара ISM Revision:Risk Manager
Презентация вебинара ISM Revision:Risk ManagerПрезентация вебинара ISM Revision:Risk Manager
Презентация вебинара ISM Revision:Risk Manager
 
Yalta_10 _ey-cio_forum
Yalta_10 _ey-cio_forumYalta_10 _ey-cio_forum
Yalta_10 _ey-cio_forum
 
Уральский форум 2020 за 15 минут
Уральский форум 2020 за 15 минутУральский форум 2020 за 15 минут
Уральский форум 2020 за 15 минут
 
информационная безопасность эволюция угроз и рынка решений
информационная безопасность эволюция угроз и рынка решенийинформационная безопасность эволюция угроз и рынка решений
информационная безопасность эволюция угроз и рынка решений
 
Документ, как средство защиты: ОРД как основа обеспечения ИБ
Документ, как средство защиты: ОРД как основа обеспечения ИБДокумент, как средство защиты: ОРД как основа обеспечения ИБ
Документ, как средство защиты: ОРД как основа обеспечения ИБ
 
тест на проникновение
тест на проникновение тест на проникновение
тест на проникновение
 
Кибербезопасность с точки зрения директоров
Кибербезопасность с точки зрения директоровКибербезопасность с точки зрения директоров
Кибербезопасность с точки зрения директоров
 
PCI DSS, ISO 27001/27002 , ITIL, VISA и MasterCard. Тесты на проникновение.
PCI DSS, ISO 27001/27002 , ITIL, VISA и MasterCard. Тесты на проникновение.PCI DSS, ISO 27001/27002 , ITIL, VISA и MasterCard. Тесты на проникновение.
PCI DSS, ISO 27001/27002 , ITIL, VISA и MasterCard. Тесты на проникновение.
 
1.астерит хазиев м
1.астерит хазиев м1.астерит хазиев м
1.астерит хазиев м
 
Хазиев М. "Информационная безопасность: эволюция угроз и рынка решений"
Хазиев М. "Информационная безопасность: эволюция угроз и рынка решений"Хазиев М. "Информационная безопасность: эволюция угроз и рынка решений"
Хазиев М. "Информационная безопасность: эволюция угроз и рынка решений"
 
Solar Security. Андрей Прозоров. "5 "почему" аутсорсинга ИБ"
Solar Security. Андрей Прозоров. "5 "почему" аутсорсинга ИБ"Solar Security. Андрей Прозоров. "5 "почему" аутсорсинга ИБ"
Solar Security. Андрей Прозоров. "5 "почему" аутсорсинга ИБ"
 
Iso 27001 01_dmytriyev_kiev_2010_july
Iso 27001 01_dmytriyev_kiev_2010_julyIso 27001 01_dmytriyev_kiev_2010_july
Iso 27001 01_dmytriyev_kiev_2010_july
 
Темные пятна в ИБ, где ваше слабое звено/очный семинар RISC
Темные пятна в ИБ, где ваше слабое звено/очный семинар RISCТемные пятна в ИБ, где ваше слабое звено/очный семинар RISC
Темные пятна в ИБ, где ваше слабое звено/очный семинар RISC
 

Recently uploaded

СИСТЕМА ОЦЕНКИ УЯЗВИМОСТЕЙ CVSS 4.0 / CVSS v4.0 [RU].pdf
СИСТЕМА ОЦЕНКИ УЯЗВИМОСТЕЙ CVSS 4.0 / CVSS v4.0 [RU].pdfСИСТЕМА ОЦЕНКИ УЯЗВИМОСТЕЙ CVSS 4.0 / CVSS v4.0 [RU].pdf
СИСТЕМА ОЦЕНКИ УЯЗВИМОСТЕЙ CVSS 4.0 / CVSS v4.0 [RU].pdf
Хроники кибер-безопасника
 
2023 Q4. The Ransomware report. [RU].pdf
2023 Q4. The Ransomware report. [RU].pdf2023 Q4. The Ransomware report. [RU].pdf
2023 Q4. The Ransomware report. [RU].pdf
Хроники кибер-безопасника
 
Cyberprint. Dark Pink Apt Group [RU].pdf
Cyberprint. Dark Pink Apt Group [RU].pdfCyberprint. Dark Pink Apt Group [RU].pdf
Cyberprint. Dark Pink Apt Group [RU].pdf
Хроники кибер-безопасника
 
Malware. DCRAT (DARK CRYSTAL RAT) [RU].pdf
Malware. DCRAT (DARK CRYSTAL RAT) [RU].pdfMalware. DCRAT (DARK CRYSTAL RAT) [RU].pdf
Malware. DCRAT (DARK CRYSTAL RAT) [RU].pdf
Хроники кибер-безопасника
 
Ransomware_Q3 2023. The report [RU].pdf
Ransomware_Q3 2023. The report [RU].pdfRansomware_Q3 2023. The report [RU].pdf
Ransomware_Q3 2023. The report [RU].pdf
Хроники кибер-безопасника
 
MS Navigating Incident Response [RU].pdf
MS Navigating Incident Response [RU].pdfMS Navigating Incident Response [RU].pdf
MS Navigating Incident Response [RU].pdf
Ирония безопасности
 
Cyber Defense Doctrine Managing the Risk Full Applied Guide to Organizational...
Cyber Defense Doctrine Managing the Risk Full Applied Guide to Organizational...Cyber Defense Doctrine Managing the Risk Full Applied Guide to Organizational...
Cyber Defense Doctrine Managing the Risk Full Applied Guide to Organizational...
Ирония безопасности
 
ИСТОЧНИКИ ИННОВАЦИОННОСТИ КИТАЯ (ПО ВЕРСИИ DGAP) | The Sources of China’s Inn...
ИСТОЧНИКИ ИННОВАЦИОННОСТИ КИТАЯ (ПО ВЕРСИИ DGAP) | The Sources of China’s Inn...ИСТОЧНИКИ ИННОВАЦИОННОСТИ КИТАЯ (ПО ВЕРСИИ DGAP) | The Sources of China’s Inn...
ИСТОЧНИКИ ИННОВАЦИОННОСТИ КИТАЯ (ПО ВЕРСИИ DGAP) | The Sources of China’s Inn...
Ирония безопасности
 
CVE. The Fortra's GoAnywhere MFT [RU].pdf
CVE. The Fortra's GoAnywhere MFT [RU].pdfCVE. The Fortra's GoAnywhere MFT [RU].pdf
CVE. The Fortra's GoAnywhere MFT [RU].pdf
Хроники кибер-безопасника
 

Recently uploaded (9)

СИСТЕМА ОЦЕНКИ УЯЗВИМОСТЕЙ CVSS 4.0 / CVSS v4.0 [RU].pdf
СИСТЕМА ОЦЕНКИ УЯЗВИМОСТЕЙ CVSS 4.0 / CVSS v4.0 [RU].pdfСИСТЕМА ОЦЕНКИ УЯЗВИМОСТЕЙ CVSS 4.0 / CVSS v4.0 [RU].pdf
СИСТЕМА ОЦЕНКИ УЯЗВИМОСТЕЙ CVSS 4.0 / CVSS v4.0 [RU].pdf
 
2023 Q4. The Ransomware report. [RU].pdf
2023 Q4. The Ransomware report. [RU].pdf2023 Q4. The Ransomware report. [RU].pdf
2023 Q4. The Ransomware report. [RU].pdf
 
Cyberprint. Dark Pink Apt Group [RU].pdf
Cyberprint. Dark Pink Apt Group [RU].pdfCyberprint. Dark Pink Apt Group [RU].pdf
Cyberprint. Dark Pink Apt Group [RU].pdf
 
Malware. DCRAT (DARK CRYSTAL RAT) [RU].pdf
Malware. DCRAT (DARK CRYSTAL RAT) [RU].pdfMalware. DCRAT (DARK CRYSTAL RAT) [RU].pdf
Malware. DCRAT (DARK CRYSTAL RAT) [RU].pdf
 
Ransomware_Q3 2023. The report [RU].pdf
Ransomware_Q3 2023. The report [RU].pdfRansomware_Q3 2023. The report [RU].pdf
Ransomware_Q3 2023. The report [RU].pdf
 
MS Navigating Incident Response [RU].pdf
MS Navigating Incident Response [RU].pdfMS Navigating Incident Response [RU].pdf
MS Navigating Incident Response [RU].pdf
 
Cyber Defense Doctrine Managing the Risk Full Applied Guide to Organizational...
Cyber Defense Doctrine Managing the Risk Full Applied Guide to Organizational...Cyber Defense Doctrine Managing the Risk Full Applied Guide to Organizational...
Cyber Defense Doctrine Managing the Risk Full Applied Guide to Organizational...
 
ИСТОЧНИКИ ИННОВАЦИОННОСТИ КИТАЯ (ПО ВЕРСИИ DGAP) | The Sources of China’s Inn...
ИСТОЧНИКИ ИННОВАЦИОННОСТИ КИТАЯ (ПО ВЕРСИИ DGAP) | The Sources of China’s Inn...ИСТОЧНИКИ ИННОВАЦИОННОСТИ КИТАЯ (ПО ВЕРСИИ DGAP) | The Sources of China’s Inn...
ИСТОЧНИКИ ИННОВАЦИОННОСТИ КИТАЯ (ПО ВЕРСИИ DGAP) | The Sources of China’s Inn...
 
CVE. The Fortra's GoAnywhere MFT [RU].pdf
CVE. The Fortra's GoAnywhere MFT [RU].pdfCVE. The Fortra's GoAnywhere MFT [RU].pdf
CVE. The Fortra's GoAnywhere MFT [RU].pdf
 

суиб как способ поддержки бизнес целей предприятия

  • 1. СУИБ - способ поддержки бизнес целей Валентин Сысоев, CISM Менеджер проектов "Агентство Активного Аудита“ Директор по коммуникациям Киевского отделения ISACA
  • 2. Содержание 1. Почему ISO27001 2. Цели и результат внедрения ISO27001 3. Выгоды внедрения ISO27001 4. Суть стандарта ISO27001 5. Факторы успеха 6. Этапы работ 06.06.2012 © Валентин Сысоев,CISM - Агентство Активного Аудита 2
  • 3. 1. Почему ISO27001 Информационные системы – жизненно важные элементы большинства бизнес процессов, они необходимы для успешной работы компании. Любые нарушения работы ИС компании представляют собой стратегический риск с серьезными последствиями.  Для обеспечения информационной безопасности необходима актуальная система управления, которая сможет привести компанию к реализации ее видения.  СУИБ на основе ISO27001 - является фундаментом информационной безопасности предприятия и объединяет в себе все процессы и ресурсы, которые обеспечивают информационную безопасность в компании, определяет методы достижения поставленных целей. 06.06.2012 © Валентин Сысоев,CISM - Агентство Активного Аудита 3
  • 4. 2. Цели и результат внедрения ISO27001 Цели СУИБ:  постановка управления ИБ для достижения целей бизнеса;  управление рисками компании;  оптимизация затрат на информационную безопасность;  управление ресурсами, выделенными на обеспечение ИБ;  централизация всех функций обеспечения ИБ в компании;  измерения производительности ИБ. Правильно разработанная и внедренная СУИБ позволит:  предотвратить утечки, хищения, утраты, искажения, подделки информации  предотвратить несанкционированные действия по уничтожению, модификации, искажению, копированию, блокированию информации;  снизить вероятность других форм незаконного вмешательства в информационные ресурсы и системы, обеспечить правовой режим информации как объекта собственности;  на регулярной основе управлять рисками ИТ и интегрировать этот процесс в общую систему управления рисками;  адекватно и своевременно реагировать на угрозы информационной безопасности путем выбора мер по защите информации на основе анализа рисков и расчета показателя возврата.  уменьшить расходы на информационную безопасность, оптимизировать ресурсы;  повысить инвестиционную привлекательность организации, позиционируя ее для инвестора как "прозрачную". 06.06.2012 © Валентин Сысоев,CISM - Агентство Активного Аудита 4
  • 5. 3. Выгоды внедрения ISO27001 Пример успешного внедрения СУИБ в большом международном банке Украины: В результате проведения оценки информационных рисков и своевременному внедрению соответствующих мер безопасности, фактические потери от инцидентов в 2011 году снизились на 60%; Оценка ущерба и классификация информационных активов при построении плана бесперебойной работы предприятия позволяет экономить более чем $ 30'000 ежегодно. Пример успешного внедрения СУИБ в большой промышленной компании Украины: Принятие решений на основе оценки рисков позволило обеспечить прозрачность инвестиций в ИТ и оптимизировать бюджет; Благодаря процессу мониторинга ИБ - 30% инцидентов были своевременно выявлены и устранены до нанесения финансового и репарационного ущерба компании в 2011 году. 06.06.2012 © Валентин Сысоев,CISM - Агентство Активного Аудита 5
  • 6. 4. Суть стандарта ISO27001 Безопасность означает больше, чем просто конфиденциальность, чаще на первый план выходят вопросы доступности и целостности ISO 27001 - это стандарт управления, а не технический стандарт. Это один из важнейших элементов корпоративного управления.  Информационная безопасность охватывает не только вопросы ИТ-безопасности.  Управление в более широком смысле, чем техническими средствами и инструментами. ВОПРОС МЕНЕДЖМЕНТА ИЛИ ТЕХНИЧЕСКИЙ ВОПРОС?  Информационная безопасность должна полагаться не только на технических специалистов, а рассматриваться как одно из направлений организационного управления.  Для обеспечения безопасности бизнеса необходимо соединить в один процесс организационную и техническую часть работы. 06.06.2012 © Валентин Сысоев,CISM - Агентство Активного Аудита 6
  • 7. 5. Факторы успеха 06.06.2012 © Валентин Сысоев,CISM - Агентство Активного Аудита 7
  • 8. 5. Факторы успеха Организационная структура: Информационная безопасность – выше, чем: • Служба ИТ • Служба делопроизводства • Физическая безопасность 06.06.2012 © Валентин Сысоев,CISM - Агентство Активного Аудита 8
  • 9. 6. Этапы работ Этап I - Мероприятия по организации ИБ Определение области применения Распределение ролей и Определение политики ИБ Создание комитета ИБ СУИБ обязанностей СУИБ Этап II - Инвентаризация информационных активов Инвентаризация и описание активов Определение владельцев активов Определение критичности активов Создание реестра активов Этап III - Организация процесса управления рисками Оценка рисков Выбор мероприятий защиты Разработка плана обработки рисков Этап IV - Внедрение плана обработки рисков Внедрение необходимых ИТ проектов Реализация плана по обработке рисков Разработка документации по внедрению СУИБ Этап V - Внедрение мероприятий по мониторингу эффективности СУИБ Разработка документации по проведению внутреннего аудита СУИБ Разработка документации по проверке процесса оценки рисков 06.06.2012 © Валентин Сысоев,CISM - Агентство Активного Аудита 9
  • 10. 6. Этапы работ Этап I - Мероприятия по организации ИБ Задание: • Обязательства руководства по управлению информационной безопасностью • Назначение ответственных лиц за внедрение и функционирование СУИБ • Определить сферу и пределы использования СУИБ • Определить политику информационной безопасности Документы Действия: • Комитет по обеспечению информационной безопасности (или Риск комитет) • Концепция управления информационной безопасностью; • Руководство по определению ролей и ответственных за организацию информационной безопасности; • Политика информационной безопасности 06.06.2012 © Валентин Сысоев,CISM - Агентство Активного Аудита 10
  • 11. 6. Этапы работ Этап II - Инвентаризация информационных активов Задание: • Инвентаризация информационных активов • Определение владельцев информационных активов • Классификация и маркировка информации Документы Действия: • Политика использования информационных активов • Руководство по управлению информационными активами • Руководство по классификации и маркировке информации • Руководство по проведению инвентаризации • Процедура инвентаризации информационных активов 06.06.2012 © Валентин Сысоев,CISM - Агентство Активного Аудита 11
  • 12. 6. Этапы работ Этап III - Организация процесса управления рисками Задание:  Определение уровней угроз и уязвимостей информационной безопасности  Производится оценка информационных рисков: определяются мероприятий защиты и уровни рисков  Создание Плана обработки рисков  Создание Положения о применимости Документы Действия:  Руководство по управлению информационными рисками  Отчет оценки рисков  План обработки рисков  Положение о применимости 06.06.2012 © Валентин Сысоев,CISM - Агентство Активного Аудита 12
  • 13. 6. Этапы работ Этап III - Организация процесса управления рисками Пример из отчета оценки рисков: Оценка Оценка Код Уровень Название уязвимости Описание уязвимости уязвимости Угроза угрозы Max Риск Вероятность Ущерб риска риска Компьютерные устройства (серверы, настольные Скоординированные злоумышленники A Риск финансовых и репутационных потерь при реализации угроз ПОЛЬЗОВАТЕЛЬСКАЯ И.ИА- компьютеры, сетевые устройства) уникально не Кража D безопасности (вредоносные действия скоординированных ИДЕНТИФИКАЦИЯ И D A 1.Инфрастру D A D идентифицируют и не аутентифицируют пользователей Получение несанкционированного доступа к системам и сетям A злоумышленников, кражи и т.д. и т.п.), которые эксплуатируют уязвимость, АУТЕНТИФИКАЦИЯ ктура или любой процесс который действует от имени Шпионаж A того что компьютерные устройства уникально не идентифицируют и не При удаленном администрировании серверов и Скоординированные злоумышленники A Риск финансовых и репутационных потерь при реализации угроз АУТЕНТИФИКАЦИЯ ДЛЯ И.ИА- сетевых устройств не проводится идентификация Кража D безопасности (вредоносные действия скоординированных УДАЛЕННОГО АДМИНИСТРИРОВАНИЯ B A 2.Инфрастру B A B оборудования, с которого производиться удаленное Получение несанкционированного доступа к системам и сетям A злоумышленников, получение несанкционированного доступа к системам и СЕТЕВЫХ УСТРОЙСТВ И СЕРВЕРОВ ктура администрирование. Шпионаж A сетям и т.д. и т.п.), которые эксплуатируют уязвимость, того что при При обработке рисков выбирается один из возможных вариантов управления рисками: снижение, избежание, принятие риска, передачи риска. Снижение информационных рисков - соответствующие меры безопасности должны быть реализованы с помощью выбранных способов снижения рисков. Избежание информационных рисков - путем изменения способа работы процесса, связанного с информационным риском. Передача информационных рисков - это вариант когда трудно снизить риск до приемлемого уровня, или если выгоднее экономически передать его третьим лицам или застраховать. 06.06.2012 © Валентин Сысоев,CISM - Агентство Активного Аудита 13
  • 14. 5. Этапы работ Этап III - Организация процесса управления рисками План обработки рисков будет содержать: • риски и их уровень; • рекомендованные мероприятия защиты; • приоритет выполнения; • необходимые ресурсы для реализации мер безопасности; • перечень ответственных работников; • дата начала и дата завершения; 06.06.2012 © Валентин Сысоев,CISM - Агентство Активного Аудита 14
  • 15. 6. Этапы работ Этап IV - Внедрение плана обработки рисков Внедрение плана обработки рисков включает: • Разработка документации СУИБ (политики, положения, руководства) • Постановка процессов СУИБ (управление инцидентами, физическая защита, управление доступом, управление изменениями и т.д.) • Разработка Плана по восстановлению (Business Continuity Plan – BCP) 06.06.2012 © Валентин Сысоев,CISM - Агентство Активного Аудита 15
  • 16. 6. Этапы работ Этап V - Внедрение мероприятий по мониторингу эффективности СУИБ Мониторинг и оценка эффективности системы управления информационной безопасностью - это системный процесс получения и оценки объективных данных о текущем состоянии систем, действиях и событиях происходящих в ней, устанавливающий уровень их соответствия определенным критериям. 06.06.2012 © Валентин Сысоев,CISM - Агентство Активного Аудита 16
  • 17. Вопросы? info@auditagency.com.ua www.auditagency.com.ua 044 228 15 88 06.06.2012 © Валентин Сысоев,CISM - Агентство Активного Аудита 17