More Related Content Similar to суиб как способ поддержки бизнес целей предприятия (20) суиб как способ поддержки бизнес целей предприятия1. СУИБ - способ поддержки бизнес целей
Валентин Сысоев, CISM
Менеджер проектов "Агентство Активного Аудита“
Директор по коммуникациям Киевского отделения ISACA
2. Содержание
1. Почему ISO27001
2. Цели и результат внедрения ISO27001
3. Выгоды внедрения ISO27001
4. Суть стандарта ISO27001
5. Факторы успеха
6. Этапы работ
06.06.2012 © Валентин Сысоев,CISM - Агентство Активного Аудита 2
3. 1. Почему ISO27001
Информационные системы – жизненно важные элементы большинства
бизнес процессов, они необходимы для успешной работы компании.
Любые нарушения работы ИС компании представляют собой
стратегический риск с серьезными последствиями.
Для обеспечения информационной безопасности необходима актуальная
система управления, которая сможет привести компанию к реализации ее
видения.
СУИБ на основе ISO27001 - является фундаментом информационной
безопасности предприятия и объединяет в себе все процессы и ресурсы,
которые обеспечивают информационную безопасность в компании,
определяет методы достижения поставленных целей.
06.06.2012 © Валентин Сысоев,CISM - Агентство Активного Аудита 3
4. 2. Цели и результат внедрения ISO27001
Цели СУИБ:
постановка управления ИБ для достижения целей бизнеса;
управление рисками компании;
оптимизация затрат на информационную безопасность;
управление ресурсами, выделенными на обеспечение ИБ;
централизация всех функций обеспечения ИБ в компании;
измерения производительности ИБ.
Правильно разработанная и внедренная СУИБ позволит:
предотвратить утечки, хищения, утраты, искажения, подделки информации
предотвратить несанкционированные действия по уничтожению, модификации, искажению,
копированию, блокированию информации;
снизить вероятность других форм незаконного вмешательства в информационные ресурсы и системы,
обеспечить правовой режим информации как объекта собственности;
на регулярной основе управлять рисками ИТ и интегрировать этот процесс в общую систему
управления рисками;
адекватно и своевременно реагировать на угрозы информационной безопасности путем выбора мер
по защите информации на основе анализа рисков и расчета показателя возврата.
уменьшить расходы на информационную безопасность, оптимизировать ресурсы;
повысить инвестиционную привлекательность организации, позиционируя ее для инвестора как
"прозрачную".
06.06.2012 © Валентин Сысоев,CISM - Агентство Активного Аудита 4
5. 3. Выгоды внедрения ISO27001
Пример успешного внедрения СУИБ в большом международном банке Украины:
В результате проведения оценки информационных рисков и своевременному
внедрению соответствующих мер безопасности, фактические потери от
инцидентов в 2011 году снизились на 60%;
Оценка ущерба и классификация информационных активов при построении плана
бесперебойной работы предприятия позволяет экономить более чем $ 30'000
ежегодно.
Пример успешного внедрения СУИБ в большой промышленной компании Украины:
Принятие решений на основе оценки рисков позволило обеспечить прозрачность
инвестиций в ИТ и оптимизировать бюджет;
Благодаря процессу мониторинга ИБ - 30% инцидентов были своевременно
выявлены и устранены до нанесения финансового и репарационного ущерба
компании в 2011 году.
06.06.2012 © Валентин Сысоев,CISM - Агентство Активного Аудита 5
6. 4. Суть стандарта ISO27001
Безопасность означает больше, чем просто конфиденциальность,
чаще на первый план выходят вопросы доступности и целостности
ISO 27001 - это стандарт управления, а не
технический стандарт. Это один из важнейших
элементов корпоративного управления.
Информационная безопасность охватывает не только
вопросы ИТ-безопасности.
Управление в более широком смысле, чем техническими
средствами и инструментами.
ВОПРОС МЕНЕДЖМЕНТА ИЛИ ТЕХНИЧЕСКИЙ ВОПРОС?
Информационная безопасность должна полагаться не только
на технических специалистов, а рассматриваться как одно из
направлений организационного управления.
Для обеспечения безопасности бизнеса необходимо
соединить в один процесс организационную и техническую
часть работы.
06.06.2012 © Валентин Сысоев,CISM - Агентство Активного Аудита 6
8. 5. Факторы успеха
Организационная структура:
Информационная безопасность – выше, чем:
• Служба ИТ
• Служба делопроизводства
• Физическая безопасность
06.06.2012 © Валентин Сысоев,CISM - Агентство Активного Аудита 8
9. 6. Этапы работ
Этап I - Мероприятия по организации ИБ
Определение области применения Распределение ролей и
Определение политики ИБ Создание комитета ИБ
СУИБ обязанностей СУИБ
Этап II - Инвентаризация информационных активов
Инвентаризация и описание активов Определение владельцев активов Определение критичности активов Создание реестра активов
Этап III - Организация процесса управления рисками
Оценка рисков Выбор мероприятий защиты Разработка плана обработки рисков
Этап IV - Внедрение плана обработки рисков
Внедрение необходимых ИТ проектов Реализация плана по обработке рисков Разработка документации по внедрению СУИБ
Этап V - Внедрение мероприятий по мониторингу эффективности СУИБ
Разработка документации по проведению внутреннего аудита СУИБ Разработка документации по проверке процесса оценки рисков
06.06.2012 © Валентин Сысоев,CISM - Агентство Активного Аудита 9
10. 6. Этапы работ
Этап I - Мероприятия по организации ИБ
Задание:
• Обязательства руководства по управлению информационной безопасностью
• Назначение ответственных лиц за внедрение и функционирование СУИБ
• Определить сферу и пределы использования СУИБ
• Определить политику информационной безопасности
Документы Действия:
• Комитет по обеспечению информационной безопасности (или Риск комитет)
• Концепция управления информационной безопасностью;
• Руководство по определению ролей и ответственных за организацию информационной
безопасности;
• Политика информационной безопасности
06.06.2012 © Валентин Сысоев,CISM - Агентство Активного Аудита 10
11. 6. Этапы работ
Этап II - Инвентаризация информационных активов
Задание:
• Инвентаризация информационных активов
• Определение владельцев информационных активов
• Классификация и маркировка информации
Документы Действия:
• Политика использования информационных активов
• Руководство по управлению информационными активами
• Руководство по классификации и маркировке информации
• Руководство по проведению инвентаризации
• Процедура инвентаризации информационных активов
06.06.2012 © Валентин Сысоев,CISM - Агентство Активного Аудита 11
12. 6. Этапы работ
Этап III - Организация процесса управления рисками
Задание:
Определение уровней угроз и уязвимостей информационной безопасности
Производится оценка информационных рисков: определяются мероприятий защиты и уровни рисков
Создание Плана обработки рисков
Создание Положения о применимости
Документы Действия:
Руководство по управлению информационными рисками
Отчет оценки рисков
План обработки рисков
Положение о применимости
06.06.2012 © Валентин Сысоев,CISM - Агентство Активного Аудита 12
13. 6. Этапы работ
Этап III - Организация процесса управления рисками
Пример из отчета оценки рисков:
Оценка Оценка Код Уровень
Название уязвимости Описание уязвимости уязвимости
Угроза угрозы
Max Риск Вероятность Ущерб
риска
риска
Компьютерные устройства (серверы, настольные Скоординированные злоумышленники A Риск финансовых и репутационных потерь при реализации угроз
ПОЛЬЗОВАТЕЛЬСКАЯ И.ИА-
компьютеры, сетевые устройства) уникально не Кража D безопасности (вредоносные действия скоординированных
ИДЕНТИФИКАЦИЯ И D A 1.Инфрастру D A D
идентифицируют и не аутентифицируют пользователей Получение несанкционированного доступа к системам и сетям A злоумышленников, кражи и т.д. и т.п.), которые эксплуатируют уязвимость,
АУТЕНТИФИКАЦИЯ ктура
или любой процесс который действует от имени Шпионаж A того что компьютерные устройства уникально не идентифицируют и не
При удаленном администрировании серверов и Скоординированные злоумышленники A Риск финансовых и репутационных потерь при реализации угроз
АУТЕНТИФИКАЦИЯ ДЛЯ И.ИА-
сетевых устройств не проводится идентификация Кража D безопасности (вредоносные действия скоординированных
УДАЛЕННОГО АДМИНИСТРИРОВАНИЯ B A 2.Инфрастру B A B
оборудования, с которого производиться удаленное Получение несанкционированного доступа к системам и сетям A злоумышленников, получение несанкционированного доступа к системам и
СЕТЕВЫХ УСТРОЙСТВ И СЕРВЕРОВ ктура
администрирование. Шпионаж A сетям и т.д. и т.п.), которые эксплуатируют уязвимость, того что при
При обработке рисков выбирается один из возможных вариантов управления рисками: снижение,
избежание, принятие риска, передачи риска.
Снижение информационных рисков - соответствующие меры безопасности должны быть
реализованы с помощью выбранных способов снижения рисков.
Избежание информационных рисков - путем изменения способа работы процесса, связанного с
информационным риском.
Передача информационных рисков - это вариант когда трудно снизить риск до приемлемого
уровня, или если выгоднее экономически передать его третьим лицам или застраховать.
06.06.2012 © Валентин Сысоев,CISM - Агентство Активного Аудита 13
14. 5. Этапы работ
Этап III - Организация процесса управления рисками
План обработки рисков будет содержать:
• риски и их уровень;
• рекомендованные мероприятия защиты;
• приоритет выполнения;
• необходимые ресурсы для реализации мер безопасности;
• перечень ответственных работников;
• дата начала и дата завершения;
06.06.2012 © Валентин Сысоев,CISM - Агентство Активного Аудита 14
15. 6. Этапы работ
Этап IV - Внедрение плана обработки рисков
Внедрение плана обработки рисков включает:
• Разработка документации СУИБ (политики, положения, руководства)
• Постановка процессов СУИБ (управление инцидентами, физическая защита, управление доступом,
управление изменениями и т.д.)
• Разработка Плана по восстановлению (Business Continuity Plan – BCP)
06.06.2012 © Валентин Сысоев,CISM - Агентство Активного Аудита 15
16. 6. Этапы работ
Этап V - Внедрение мероприятий по мониторингу эффективности СУИБ
Мониторинг и оценка эффективности системы управления информационной безопасностью - это
системный процесс получения и оценки объективных данных о текущем состоянии систем, действиях
и событиях происходящих в ней, устанавливающий уровень их соответствия определенным
критериям.
06.06.2012 © Валентин Сысоев,CISM - Агентство Активного Аудита 16
17. Вопросы?
info@auditagency.com.ua
www.auditagency.com.ua
044 228 15 88
06.06.2012 © Валентин Сысоев,CISM - Агентство Активного Аудита 17