Развитие стандартизации в области ИБ Конференция CNews «Обеспечение информационной безопасности бизнеса и госструктур» 28 Мая 2009 Павперов Владислав Старший.

Презентация:

Advertisements

Похожие презентации

Стандарт ISO Общие критерии оценки безопасности информационных технологий.

Advertisements

Налоговая безопасность бизнеса Аспекты информационной безопасности в коммерческих организациях Ведущий специалист отдела терминальных технологий ООО «Праймтек»

Состояние работ по стандартизации в области информационной безопасности Доклад начальника отдела ГНИИИ ПТЗИ ФСТЭК России, ответственного секретаря ТК 362.

Аудит информационной безопасности банка. О проекте Стандарта СТО БР ИББС – 1.1 «Обеспечение информационной безопасности организаций банковской системы.

Стандартизация это- (определение из ФЗ от ФЗ «О техническом регулировании») Деятельность по установлению правил и характеристик в целях.

ПОЛИТИКА КОРПОРАТИВНОЙ ИНФОРМАТИЗАЦИИ ОАО «РЖД». О А О « Р О С С И Й С К И Е Ж Е Л Е З Н Ы Е Д О Р О Г И » 2 Утверждена распоряжением президента ОАО «РЖД»

Безопасность информации электронного правительства 3-я Международная конференция "Россия – Балканы: доверие и безопасность в информационном обществе

ЦЕНТРЫ КОМПЕТЕНЦИИ по информационной безопасности СОЗДАНИЕ ЕДИНОЙ СИСТЕМЫ АУДИТА И МОНИТОРИНГА В СФЕРЕ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ

ОТЕЧЕСТВЕННЫЕ И МЕЖДУНАРОДНЫЕ НОРМАТИВНО-ПРАВОВЫЕ АКТЫ ОБЕСПЕЧЕНИЯ ИБ Борисов В.А. КАСК – филиал ФГБОУ ВПО РАНХ и ГС Красноармейск 2011 г.

Практика проведения аудитов информационной безопасности на крупных предприятиях Виктор Сердюк, к.т.н., CISSP Генеральный директор ЗАО «ДиалогНаука»

Разработка проекта стандарта информационной безопасности атомной энергетики Исполнитель : Лепикоршев А. Е. Научный руководитель : Малюк А. А.

Построение политики безопасности организации УЦ «Bigone» 2007 год.

Стандарты ISO в Образовании Государственное бюджетное образовательное учреждение среднего профессионального образования города Москвы Строительный колледж.

Классификаторы и справочники в здравоохранении Лебедев Георгий Станиславович Заместитель директора ЦНИИОИЗ по ИТ III Всероссийская научно-практическая.

ОСНОВНЫЕ ПОЛОЖЕНИЯ ОСНОВНЫЕ ПОЛОЖЕНИЯ НАЦИОНАЛЬНЫХ СТАНДАРТОВ НАЦИОНАЛЬНЫХ СТАНДАРТОВ РОССИЙСКОЙ ФЕДЕРАЦИИ РОССИЙСКОЙ ФЕДЕРАЦИИ В ОБЛАСТИ КАЧЕСТВА И МЕНЕДЖМЕНТА.

Введение в стандарт Банка России СТО БР ИББС–1.0. Структура и специфика стандарта «Информационная безопасность банковского бизнеса – совместимость со стандартами.

ОБЕСПЕЧЕНИЕ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ СЛОЖНЫХ ИНФОРМАЦИОННЫХ СИСТЕМ М.В. Большаков Институт проблем информационной безопасности МГУ им. М.В. Ломоносова.

Мотивация к сертификации. Главными, важными и влиятельными, но не единственными, факторами конкуренции продукции являются цена и качество. Причем, в условиях.

Проблемы стандартизации ИКТ ИВАНЧЕНКО Юрий Иванович заведующий НИЛ прикладной информатики НИИ прикладных проблем математики и информатики Белорусского.

Меры, позволяющие обеспечить информационную безопасность в банке ОАО «Центр банковских технологий» Беларусь, Минск, ул. Кальварийская 7 Тел.: +375.

Транксрипт:

Развитие стандартизации в области ИБ Конференция CNews «Обеспечение информационной безопасности бизнеса и госструктур» 28 Мая 2009 Павперов Владислав Старший консультант отдела бизнес-консультирования КПМГ

2 © КПМГ Лимитед, компания, зарегистрированная в соответствии с Законом о компаниях (о.Гернси) от 1994 г., член сети независимых фирм КПМГ, входящих в ассоциацию KPMG International, зарегистрированную по законодательству Швейцарии. Стандартизация ИБ – предпосылки, цели и задачи Быстрое развитие информационных технологий Проникновение компьютеризации и информатизации во все, включая стратегические, сферы деятельности Возникновение угроз ИБ с позиции ИТ ЦЕЛИ Регламентировать требования по ИБ Обеспечить возможность объективной оценки соответствия Создать основу для взаимной совместимости и взаимодействия систем ЗАДАЧИ Наработка апробированных, качественных, передовых решений Согласование и документирование стандартов Создание регуляторной основы, законодательной базы, систем и критериев оценки и сертификации Стандартизация - деятельность по установлению правил и характеристик в целях их добровольного многократного использования, направленная на достижение упорядоченности в сферах производства и обращения продукции и повышение конкурентоспособности продукции, работ или услуг. ПРЕДПОСЫЛКИ

3 © КПМГ Лимитед, компания, зарегистрированная в соответствии с Законом о компаниях (о.Гернси) от 1994 г., член сети независимых фирм КПМГ, входящих в ассоциацию KPMG International, зарегистрированную по законодательству Швейцарии. Стандарты ИБ – классификационные и спецификации Оценка информационных систем по требованиям ИБ Требования к организационным моделям и архитектуре Критерии оценки Требования разделены по классам Классификационные (оценочные) стандарты Технические спецификации Требования к архитектуре решений Требования к программной, технической, алгоритмической реализации решений Требования к использованию решений и средств

4 © КПМГ Лимитед, компания, зарегистрированная в соответствии с Законом о компаниях (о.Гернси) от 1994 г., член сети независимых фирм КПМГ, входящих в ассоциацию KPMG International, зарегистрированную по законодательству Швейцарии. Стандартизация ИБ – первые шаги Стандартизация – задача государственная, преследующая в первую очередь защиту национальных интересов Основной акцент – обеспечение конфиденциальности информации DOD Trusted Computer System Evaluation Criteria [TCSEC, DOD ] Trusted Network Interpretation [NCSC-TG-005] Trusted Product Evaluation - A Guide for Vendors [NCSC-TG-002] DOD, NSA, NSCS – всего более 30 публикаций «радужной» серии Заложена концептуальная модель ИБ Рассматриваются вопросы Управления доступом (различные модели) Монитор и периметр безопасности Доверенная среда Использование криптографии Каналы утечки Политика безопасности Классификация по требованиям безопасности Система оценки и сертификации, руководства для вендоров и по оценке вендоров

5 © КПМГ Лимитед, компания, зарегистрированная в соответствии с Законом о компаниях (о.Гернси) от 1994 г., член сети независимых фирм КПМГ, входящих в ассоциацию KPMG International, зарегистрированную по законодательству Швейцарии. Стандартизация ИБ – российская специфика Разработка стандартов - приоритет государственных органов – ФСТЭК (Гостехкомиссия России), ФСБ, Госстандарт Перенимаем международные концепции и подход Создана государственная система сертификации, аттестации, аккредитации Отсутствие (до недавнего времени) публичного обсуждения стандартов и требований Руководящие документы Гостехкомиссии России Государственные стандарты в области ИБ Специальные нормативные документы Определены ключевые термины по ИБ Определены ключевые модели, классификация систем (АС) и решений (СВТ) Критерии оценки Рассматриваются вопросы Управления доступом (различные модели) Условия эксплуатации (доверенная среда) Использование криптографии Политика безопасности

6 © КПМГ Лимитед, компания, зарегистрированная в соответствии с Законом о компаниях (о.Гернси) от 1994 г., член сети независимых фирм КПМГ, входящих в ассоциацию KPMG International, зарегистрированную по законодательству Швейцарии. Стандартизация ИБ – развитие функциональной модели Гармонизированные критерии Европейских стран Канадские критерии оценки доверенных компьютерных продуктов Федеральные критерии безопасности ИТ DOD Trusted Computer System Evaluation Criteria [TCSEC, DOD ] Общие критерии оценки безопасности информационных технологий 1996 г. – Версия г. – Версия г. – Версия 2.1 ISO/IEC Evaluation Criteria for IT Security Изменения в 2005 (ч.1) и 2008 (ч. 2 и 3) ГОСТ Р ИСО/МЭК "Критерии оценки безопасности информационных технологий" Отсутствие изначальных требований к объекту оценки и среде Конфиденциальность, целостность, доступность информации Контекст оценки – среда безопасности Предпосылки (предположения) безопасности Анализ угроз безопасности Анализ положений политики безопасности Определение целей безопасности Требования безопасности – классы, семейства и компоненты Функциональные – функции и механизмы Доверия – разработка и эксплуатация Профиль Защиты Задание по Безопасности

7 © КПМГ Лимитед, компания, зарегистрированная в соответствии с Законом о компаниях (о.Гернси) от 1994 г., член сети независимых фирм КПМГ, входящих в ассоциацию KPMG International, зарегистрированную по законодательству Швейцарии. Стандартизация ИБ – насущная проблема бизнеса Законы и регуляторы Защита персональных данных Требования регуляторов, SOX, GBLA Влияние на бизнес Клиенты Повышение роли ИТ Конкуренция Партнеры Финансы и страхование Внутренний Внешний Надзорный (со стороны регуляторов) Requirement: Information Security Framework Угрозы Вредоносное ПО Хакеры Отказ в обслуживании Инсайдеры&утечка данных Аудит Требования по обеспечению ИБ

8 © КПМГ Лимитед, компания, зарегистрированная в соответствии с Законом о компаниях (о.Гернси) от 1994 г., член сети независимых фирм КПМГ, входящих в ассоциацию KPMG International, зарегистрированную по законодательству Швейцарии. Стандартизация ИБ – практика и управление ИБ DTI Выпущен Code of Practice для DPA Выпущен BS7799 ч.1 Выпущен BS7799 ч.2 Опубликован ISO/IEC Опубликован BS7799-2:2002 Опубликованы ISO/IEC 27001/27002 Работа инициирована Департаментом торговли и промышленности Великобритании Участие профессионалов из публичного и частного секторов Акцент – практика обеспечения ИБ – организационные и технические меры (контроли) в различных областях Акцент – вопросы управления информационной безопасностью (гармонизирован с ISO 9000) Модель PDCA Деминга Подход основан на оценке рисков Создана система аккредитации и сертификации систем управления ИБ Развитие стандартов серии ISO Принят ГОСТ Р ИСО/МЭК Принят ГОСТ Р ИСО/МЭК

9 © КПМГ Лимитед, компания, зарегистрированная в соответствии с Законом о компаниях (о.Гернси) от 1994 г., член сети независимых фирм КПМГ, входящих в ассоциацию KPMG International, зарегистрированную по законодательству Швейцарии. Стандартизация ИБ – технические спецификации и регуляторные стандарты Технические спецификации Определяют конкретную технологию или ее реализацию – IPSec, TLS, стандарты криптографии, х.800, х.500 Зависят от жизненного цикла технологии Как правило отсутствуют критерии оценки Управляются общественными/коммерческими/государственными сообществами - IETF, ISACA, ITSM, ITU-T, EMV, OWASP Проприетарные стандарты – стандарты де-факто Лежат в основе международных стандартов IEEE и ISO (x.500 – ISO/IEC 9594) Регуляторные стандарты Зависят от международного и национального законодательства Зависят от уровня развития технологических решений и их интеграции и роли в бизнесе и общественной жизни Как правило – оценочные стандарты Наличие систем сертификации, аттестации, аккредитации СТО БР ИББС PCI DSS Специальные публикации NIST Специальные нормативные документы ФСТЭК и ФСБ

10 © КПМГ Лимитед, компания, зарегистрированная в соответствии с Законом о компаниях (о.Гернси) от 1994 г., член сети независимых фирм КПМГ, входящих в ассоциацию KPMG International, зарегистрированную по законодательству Швейцарии. Стандартизация ИБ – современные принципы стандартизации Стандарты в области ИБ затрагивают множество областей в государственном управлении, бизнесе и общественной жизни Публичность и обсуждаемость Ориентация на передовые технологии и прогресс Привлечение профессионалов из государственного, частного и общественного секторов Экономическая целесообразность Масштабируемость Учет требований законодательства и отраслевой специфики Непротиворечивость и учет предыдущих стандартов