TÜV SÜD Management Service GmbH TÜV SÜD Management Service GmbH IT- Management ISO/IEC Киев, , БЕЗОПАСНОСТЬ-2010

TÜV SÜD Management Service GmbH 1. Почему ISO/ IEC Основы и содержание ISO/ IEC Внедрение 4. Критические факторы успеха 5. Ваши преимущества 6. Сертификация СОДЕРЖАНИЕ

TÜV SÜD Management Service GmbH В сегодняшнее время бизнес серьезно зависит от информационных технологий Каждая остановка в работе предприятия в какой-либо форме представляет собой экономический риск Управление информационными бизнес-активами является вследствие этого обязательным 1. Почему ISO/ IEC 27001

TÜV SÜD Management Service GmbH 1. Почему ISO/ IEC Основы и содержание ISO/ IEC Внедрение 4. Критические факторы успеха 5. Ваши преимущества 6. Сертификация СОДЕРЖАНИЕ

TÜV SÜD Management Service GmbH 2. Основы и содержание ISO/IEC 27001

TÜV SÜD Management Service GmbH 2. Основы и содержание ISO/IEC Важная для бизнеса информация доступна, когда вы в ней нуждаетесь Только уполномоченные лица получают доступ к информации Информация в полном объеме и достоверная Version 1 ; Stand Januar 2009 Информация

TÜV SÜD Management Service GmbH 2. Основы и содержание ISO/IEC Пример потери целостности Version 1 ; Stand Januar 2009

TÜV SÜD Management Service GmbH Некоторые факты об информационной безопасности... 8 IT- данные Информация Конфиденциальность Целостность Доступность Достоверность Ответственность Сохранность Прозрачность Version 1 ; Stand Januar 2009 Информация в более широком смысле, чем электронная информация и ее носители Информационная безопасность охватывает не только вопросы ИТ- безопасности Безопасность означает больше, чем просто конфиденциальность, чаще на первый план выходят вопросы доступности и целостности Управление в более широком смысле, чем техническими средствами и инструментами 2. Основы и содержание ISO/IEC 27001

TÜV SÜD Management Service GmbH 9 Информационная безопасность – это… Version 1 ; Stand Januar 2009 … 80 % Менеджмент Политика ИБ, процессы ИБ, ответственность, осведомленность, анализ рисков, непрерывность бизнеса, др. … 20 % Технологии Системы, средства, архитектура, др. 2. Основы и содержание ISO/IEC ВОПРОС МЕНЕДЖМЕНТА ИЛИ ТЕХНИЧЕСКИЙ ВОПРОС? Информационная безопасность должна рассматриваться как одно из направлений менеджмента. Полагаться не только на технических специалистов. Для обеспечения безопасности бизнеса необходимо соединить в один процесс менеджмент и техническую часть работы.

TÜV SÜD Management Service GmbH Структура стандарта ISO 27001: Важнейший инструмент стандарта ISO Система менеджмен- та основана на процессном подходе (ISO 9001) Version 1 ; Stand Januar Основы и содержание ISO/IEC 27001

TÜV SÜD Management Service GmbH – Prinzipien und Bezeichnungen – ISMS Anforderungen (Grundlage für Zertifizierung) – ISMS Code of Practice (entspricht ISO/IEC 17799:2005) – ISMS Implementierungs-Richtlinien (in Entwicklung) – ISMS Kennzahlen und Messmethoden (in Entwicklung) – ISMS Risk Management – Anforderungen an Zertifizierer – ISMS guidelines for telecommunications organizations Стандарты серии ISO Основы и содержание ISO/IEC 27001

TÜV SÜD Management Service GmbH 1. Почему ISO/ IEC Основы и содержание ISO/ IEC Внедрение 4. Критические факторы успеха 5. Ваши преимущества 6. Сертификация СОДЕРЖАНИЕ

TÜV SÜD Management Service GmbH Внедрение Внутренний аудит. Анализ мер Внутренний аудит. Анализ мер Выбор и применение мер по обработке Выбор и применение мер по обработке Управление рисками Управление рисками Создание реестра активов Создание реестра активов Диагностика. Определение политик и целей. Диагностика. Определение политик и целей. Определение Области действия и структуры СМИБ Определение Области действия и структуры СМИБ Шесть необходимых шагов для внедрения системы менеджмента информационной безопасности Запуск основных процессов Version 1 ; Stand Januar 2009

TÜV SÜD Management Service GmbH Шаг 1: Организационная структура и область действия 3. Внедрение Комитет по ИТ-безопасности Много ошибок при работе эл. почты! Настаиваю на роверке! У нас нет общей концепции безопасности! Как принимать персонал? Каждый день фиксируем попытки проникновения на сервер! Нужно срочно установить файерволы в точках …. Персонал не знает правила инф. безо- пасности! Вышел закон о защите персональных данных. Надо учесть! Всем спасибо! Сейчас подробно опишем все наши проблемы, просчитаем риски и определим программу снижения рисков!

TÜV SÜD Management Service GmbH Шаг 2: Диагностика текущего состояния ИБ 3. Внедрение

TÜV SÜD Management Service GmbH Шаг 3: Создание реестра активов. Вариант Внедрение

TÜV SÜD Management Service GmbH Шаг 3: Создание реестра активов. Вариант Внедрение ISO 9001 = 10-30% ISO 27001

TÜV SÜD Management Service GmbH Шаг 3: Создание реестра активов. Вариант Внедрение

TÜV SÜD Management Service GmbH Шаг 4: Управление рисками 3. Внедрение Сложная методика = финансовые потери предприятия

TÜV SÜD Management Service GmbH Шаг 5: Выбор средств обеспечения безопасности A.5 Политика информационной безопасности (1/2)* A.6 Общая организация информационной безопасности (2/11) A.7 Управление активами (2/5) A.8 Безопасность и персонал (3/9) A.9 Физическая безопасность (2/13) A.10 Управление коммуникациями и операциями (10/ 32) A.12 Приобретение, разработка и поддержка информсистем (6/16) A.11 Управление доступом (7/25) A.13 Управление инцидентами информационной безопасности (2/5) A.14 Управление непрерывностью бизнеса (1/5) A.15 Соответствие требованиям (3/10) * (основные цели / требования) 20Version 1 ; Stand Januar Внедрение

TÜV SÜD Management Service GmbH Шаг 5: Выбор средств и методика ИТ-Грундшутц 3. Внедрение + каталоги

TÜV SÜD Management Service GmbH Шаг 5: Выбор средств и методика ИТ-Грундшутц 3. Внедрение Каталоги: Часть M. Модули. Описывает активы и действия по внедрению СМИБ Часть Т. Угрозы. Подробное описание угроз, использованных в Части М. Каталог угроз к многочисленным активам. Часть S. Методы защиты. Описание методов защиты, использованных в Части T. Каталог мероприятий по снижению угроз.

TÜV SÜD Management Service GmbH Шаг 6: Внутренний аудит 3. Внедрение Ваши правила по ИБ? Инструкция.., процедура в сети... На что жалуетесь? Часто не работает…, недавно был случай

TÜV SÜD Management Service GmbH Шаг 6: Анализ 3. Внедрение а) Анализ результативности мероприятий по обработке риска б) Анализ системы со стороны высшего руководства

TÜV SÜD Management Service GmbH 3. Внедрение Особенности внедрения отдельных положений стандарта ISO/IEC на предприятиях стран СНГ

TÜV SÜD Management Service GmbH 3. Внедрение Особенности внедрения ISO/IEC в СНГ А Подбор и прием персонала

TÜV SÜD Management Service GmbH 3. Внедрение Особенности внедрения ISO/IEC в СНГ A.9. Физическая безопасность и безопасность окружения Территория Периметр Особо важные зоны Зоны общего доступа Оборудование Основное Вспомогательное

TÜV SÜD Management Service GmbH 3. Внедрение Особенности внедрения ISO/IEC в СНГ A Действия системного администратора Действия системного администратора и системного оператора должны записываться в журнал

TÜV SÜD Management Service GmbH 3. Внедрение Особенности внедрения ISO/IEC в СНГ A Менеджмент производительности

TÜV SÜD Management Service GmbH 3. Внедрение Особенности внедрения ISO/IEC в СНГ A Политика чистого рабочего стола и экрана

TÜV SÜD Management Service GmbH 3. Внедрение Особенности внедрения ISO/IEC в СНГ A.12.1 Приобретение информационных систем

TÜV SÜD Management Service GmbH 3. Внедрение Особенности внедрения ISO/IEC в СНГ A.13 Управление инцидентами информационной безопасности Важно, чтобы ни один инцидент не остался незамеченным!

TÜV SÜD Management Service GmbH 3. Внедрение Особенности внедрения ISO/IEC в СНГ А.14 Тестирование планов обеспечения непрерывности бизнеса

TÜV SÜD Management Service GmbH 3. Внедрение Особенности внедрения ISO/IEC в СНГ A Права интеллектуальной собственности Соблюдение «Закона о защите авторских и смежных прав»

TÜV SÜD Management Service GmbH 3. Внедрение Особенности внедрения ISO/IEC в СНГ A Предотвращение нецелевого использования средств обработки информации

TÜV SÜD Management Service GmbH 3. Внедрение Факты о завершенных проектах по ISO/IEC Предприятие: Донмакмет, Украина Продукты, услуги: консалтинговые услуги, обучение Количество персонала: 16 Производственные площадки: 1

TÜV SÜD Management Service GmbH 3. Внедрение Факты о завершенных проектах по ISO/IEC Предприятие: Донмакмет, Украина Продолжительность внедрения: 6,5 месяцев Работа консультанта на предприятии: 35 ч/д Персонал службы ИБ: 1 человек Группа по внедрению: 4 человека Количество активов: 52 Количество рисков: 112 Общее количество документов/записей: 21/42 Использовано существующих документов/записей: 12/26

TÜV SÜD Management Service GmbH 3. Внедрение Факты о завершенных проектах по ISO/IEC Предприятие: Региональное отделение коммерческого банка Продукты, услуги: банковские услуги Количество персонала: 470 Производственные площадки: 1

TÜV SÜD Management Service GmbH 3. Внедрение Факты о завершенных проектах по ISO/IEC Предприятие: Региональное отделение коммерческого банка Продолжительность внедрения: 21 месяц Работа консультанта на предприятии: 70 ч/д Персонал службы ИБ: 3 человека Группа по внедрению: 12 человек Количество активов: 159 (первоначально около 3000) Количество рисков: 163 (первоначальная оценка не была завершена) Общее количество документов/записей: 75/110 Использовано существующих документов/записей: 48/72

TÜV SÜD Management Service GmbH 3. Внедрение Тенденция спроса по основным потребителям услуг

TÜV SÜD Management Service GmbH 1. Почему ISO/ IEC Основы и содержание ISO/ IEC Внедрение 4. Критические факторы успеха 5. Ваши преимущества 6. Сертификация СОДЕРЖАНИЕ

TÜV SÜD Management Service GmbH Ответственность высшего руководства: Высшее руководство принимает на себя следующие риски: Риск 1 = 10 Причина 1 Риск 2 = 17 Причина 2 Риск 3 = 25 Причина 3 Генеральный директор … Дата Подпись 4. Критические факторы успеха Version 1 ; Stand Januar

TÜV SÜD Management Service GmbH Организационная структура: Информационная безопасность – выше, чем: Служба ИТ Служба делопроизводства 4. Критические факторы успеха Version 1 ; Stand Januar Первый руководитель Уполномоченный по ИБ Служба ИТ Зам. директора Служба делопроизводства Зам. директора

TÜV SÜD Management Service GmbH 1. Почему ISO/ IEC Основы и содержание ISO/ IEC Внедрение 4. Критические факторы успеха 5. Ваши преимущества 6. Сертификация СОДЕРЖАНИЕ

TÜV SÜD Management Service GmbH Преимущества внедрения ISO Version 1 ; Stand Januar Ваши преимущества Активы Стоимость активов $ Риски Величина риска $ Принятие решения о мерах по снижению риска $ Финансирование ИБ

TÜV SÜD Management Service GmbH Plan Do Check Act Преимущества сертификации по ISO Снижения стоимости системы безопасности Информационные активы понятны для менеджмента компании Выявление основных угроз безопасности для существующих бизнес-процессов Эффективное управление системой в критичных ситуациях Демонстрация клиентам и партнерам приверженность к информационной безопасности Международное признание и повышение авторитета компании Version 1 ; Stand Januar Ваши преимущества

TÜV SÜD Management Service GmbH 1. Почему ISO/ IEC Основы и содержание ISO/ IEC Внедрение 4. Критические факторы успеха 5. Ваши преимущества 6. Сертификация СОДЕРЖАНИЕ

TÜV SÜD Management Service GmbH Описание процесса: Планирование аудита Аудит. Этап 1 Проверка области действия Проверка документации Выводы о целесообразности проведения аудита на месте Аудит. Этап 2. Сертификация –Проведение аудита на месте –Подтверждается соответствие требованиям стандарта и результативность –Подготовка отчета и решение о выдаче сертификата Действие сертификата -Сертификат действует 3 года -Ежегодно проводится надзорный аудит Продолжительность и стоимость аудита –Зависит от количества персонала, отрасли и других параметров –Рассчитывается на основе заявки Сертификационный Надзорный аудит РЕсерт. аудит Аудит. Этап 1 Аудит. Этап 2 48Version 1 ; Stand Januar Сертификация

TÜV SÜD Management Service GmbH После прохождения сертификации предприятие получает право использовать знак, подтверждающий факт соответствия требованиям стандарта. Продвижение Вашего предприятия на внутреннем и внешнем рынках за счет международного признания и доверия к сильному бренду. Типичные области применения знака: размещение на сайте, на бланках, на письмах, брошюрах и т.д. Воспользуйтесь признанной возможностью для демонстрации высокого уровня доверия к предприятию для ваших сотрудников, поставщиков, партнеров и клиентов! Подтверждающий знак 6. Сертификация

TÜV SÜD Management Service GmbH Данные сертификата Область действия сертификата Перечень продуктов и услуг, покрытых действующей СМИБ Исключения Неприменимые разделы стандарта Стандарт ISO/IEC 27001:2005 IAF-MLA-Logo Эмитент сертификата аккредитован в Немецком Агентстве по Аккредитации (DAR) и признается во всем мире Что Вы должны знать: 6. Сертификация ISO 27001

TÜV SÜD Management Service GmbH 51Version 1 ; Stand Januar 2009

TÜV SÜD Management Service GmbH В презентации использованы материалы следующих компаний и организаций: TÜV SÜD (Германия) сертификационный орган Федеральное бюро по информационной безопасности (Германия) государственная структура Das Management (Украина) журнал Bridge Point (Австралия) консалтинговая компания

TÜV SÜD Management Service GmbH Большое спасибо! Задавайте вопросы … Александр Дмитриев