close

Вход

Забыли?

вход по аккаунту

Расписание Групповых и Водных программ для ребят;pdf

код для вставкиСкачать
Ассоциация по сертификации «Русский Регистр»
ВНЕДРЕНИЕ СИСТЕМЫ МЕНЕДЖМЕНТА
ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ (СМИБ) В
ОРГАНИЗАЦИИ, КАК НАДЕЖНЫЙ СПОСОБ
СОХРАНЕНИЯ ЦЕЛОСТНОСТИ, НАДЕЖНОСТИ И
КОНФИДИЦИАЛЬНОСТИ ИНФОРМАЦИИ
Егорова Анна Георгиевна, доцент СПбГМТУ, старший
эксперт Ассоциации по сертификации «Русский Регистр»
ЭПИГРАФ
«Кто владеет
информацией - тот
владеет миром»
Уинстон Черчилль
«Именно то, как Вы собираете,
организуете и используете
информацию, определяет,
победите Вы или проиграете»
Билл Гейтс
«Бережёного Бог бережёт»
Русская пословица
РУССКИЙ РЕГИСТР / RUSSIAN REGISTER
Основные элементы системы ИБ:
•Защита
от
несанкционированного
доступа (НСД) к системам, в том числе и
внутренняя защита от НСД сотрудников
организации;
•Авторизация и аутентификация;
•Защита каналов передачи данных,
обеспечение
целостности
и
актуальности данных при обмене
информацией с клиентами;
•Обеспечение юридической значимости
электронных документов;
•Управление инцидентами ИБ;
•Управление непрерывностью ведения
бизнеса;
•Внутренний и внешний аудит системы
ИБ.
РУССКИЙ РЕГИСТР / RUSSIAN REGISTER
ISO/IEC 27001
«Системы Менеджмента Информационной
Безопасности. Требования» (Information security
management systems — Requirements)
Рис. 1 Свойства информации (информационных
активов)
РУССКИЙ РЕГИСТР / RUSSIAN REGISTER
ISO/IEC 27001
«Системы Менеджмента Информационной
Безопасности. Требования» (Information security
management systems — Requirements)
Основным объектом стандарта является
Информационный актив
Что такое Информационный актив?
Это материальный или нематериальный объект,
который:
- является информацией или содержит
информацию,
- служит для обработки, хранения
или передачи информации,
- имеет ценность для организации.
Надежная защита информационных активов
существенна для работы предприятия.
РУССКИЙ РЕГИСТР / RUSSIAN REGISTER
История
стандарта
1992 г
Кодекс управления информационной
безопасностью
(Code of Practice for Information Security Management)
1995 г.
1998 г.
Национальный стандарт Великобритании
№ BS 7799 - Part 1
BS7799-2
Свод практических правил
2000 г.
2002 г.
Требования к
СМИБ
ISO/IEC 17799:2000 (BS 7799-1:2000)
BS 7799 Part 2
Information Security management — specification for information security
management systems
41%
(Спецификация системы управления информационной безопасностью)
2005 г.
ISO/IEC 27001:2005
2007 г.
ISO/IEC 27002:2005
2013 г.
ISO/IEC 27001:2013
РУССКИЙ РЕГИСТР / RUSSIAN REGISTER
Основные положения стандартов
по ИБ РФ
Стандарт
ГОСТ Р ИСО/МЭК
27001-06
Цель
и Устанавливает
задачи
требования по созданию,
внедрению,
эксплуатации,
мониторингу, анализу и
поддержки СМИБ, по
внедрению мер, средств
управления ИБ
Область
Международная
применен сертификация
ия
Базовые
Требования: к
разделы
разработке СМИБ,
документации.
Ответственность
руководства:
обязательства,
управление ресурсами.
Внутренние аудиты
СМИБ. Анализ СМИБ.
Улучшение.
ГОСТ Р ИСО/МЭК
17799-2006
Устанавливает
руководящие принципы по
управлению ИБ лицам,
ответственным за
планирование,
реализацию, поддержку и
усовершенствование ИБ в
организации
Международная
стандартизация
СТО БР ИББС–1.0-2014
Устанавливает рекомендации
по разработке документов и
требований по безопасности
информационных и
телекоммуникационных
технологий организаций
банковской системы РФ
Стандартизация и
сертификация в банковской
сфере РФ
Политика безопасности.
Парадигма обеспечения ИБ.
Организация ИБ.
Основные принципы, модели
Управление активами.
угроз. Система ИБ: требования
Безопасность, связанная с по обеспечению ИБ (персонал,
персоналом. Физическая и жизненный цикл, управление
экологическая
доступом и регистрация,
безопасность. Управление антивирусная защита,
средствами связи.
Интернет, криптография,
Контроль доступа.
технологические процессы,
Разработка и
обработка персональных
обслуживание систем.
данных). СМИБ (организация,
Управление
определение, выбор,
непрерывностью бизнеса. реализация, эксплуатация,
Соответствия.
проверка, совершенствование,
непрерывность и
восстановление,
документирование, служба
ИБ). Проверка и оценка ИБ.
РУССКИЙ РЕГИСТР / RUSSIAN REGISTER
ВЫГОДЫ ВНЕДРЕНИЯ СТАНДАРТА
ISO/IEC 27001
$
Актив
ы
Стоимос
ть
активов
Риски
$
$
Принятие решения
о мерах по
снижению риска
Финансирован
ие
ИБ
Величина
риска
Рис. 2. Схема принятия решения о финансировании
информационной
безопасности
РУССКИЙ РЕГИСТР / RUSSIAN REGISTER
Структура
стандарта
ISO/IEC 27001
Общие
требования
размещаются
всего
на
девяти
страницах и разделены на следующие
разделы
: организации
4. Контекст
5. Лидерство
6. Планирование
7. Поддержка
8. Эксплуатация
9. Оценка результативности
10. Улучшение
РУССКИЙ РЕГИСТР / RUSSIAN REGISTER
Требования относительно контекста
4.1 Понимание организации и ее контекста
Организация должна определить внешние и внутренние
аспекты, которые имеют отношение к ее цели и влияют на ее
способность к достижению ожидаемых результатов от системы
менеджмента информационной безопасности.
4.2 Понимание потребностей и ожиданий
заинтересованных сторон
Организация должна определить:
a) заинтересованные стороны, которые имеют отношение к
системе менеджмента информационной безопасности, а также
b) требования этих заинтересованных сторон, имеющих
отношение к информационной безопасности.
4.3 Определение области применения системы
менеджмента информационной безопасности
Организация для определения области применения СМИБ
должна определить границы и возможность применения системы
менеджмента информационной безопасности.
РУССКИЙ РЕГИСТР / RUSSIAN REGISTER
ISO 31000:2009 / Менеджмент
рисков – принципы и
руководящие указания
ISO/IEC 31010:2009 / Менеджмент
рисков — методы оценки рисков
Общая схема работы эффективной системы
управления информационной
безопасностью
РУССКИЙ РЕГИСТР / RUSSIAN REGISTER
НАПРАВЛЕНИЯ ИНФОРМАЦИОННОЙ
БЕЗОПАСНОСТИ
А.5 Политика информационной безопасности
А.6 Организация информационной безопасности
А.7 Вопросы безопасности, связанные с персоналом
А.8 Управление активами
А.9
А.10
А.11
А.12
А.13
Контроль Криптограф Физическая Безопасность Безопаснос
доступа
ия
безопасность
при
ть связи
Расширенные
и защита
обработке
технические
окружающей информации
аудиты
среды
А.14 Приобретение, разработка
А.15 Взаимоотношения с
и поддержка систем
поставщиками
А.16 Управление инцидентами в сфере информационной
Прочие
безопасности
экспертные
А.17 Аспекты информационной безопасности
при
услуги
управлении непрерывностью бизнеса
А.18 Соответствие требованиям
РУССКИЙ РЕГИСТР / RUSSIAN REGISTER
АЛГОРИТМ ВНЕДРЕНИЯ СИСТЕМЫ МЕНЕДЖМЕНТА
ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ В СООТВЕТСТВИИ С
ТРЕБОВАНИЯМИ МЕЖДУНАРОДНОГО СТАНДАРТА ISO/IEC
27001
I этап
Управленческий
II этап
Организационный
III этап
Первоначальный анализ
СМИБ
IV этап
Определение политики и
целей СМИБ
V этап
Сравнение текущей
ситуации со стандартом
РУССКИЙ РЕГИСТР / RUSSIAN REGISTER
VI этап
Планирование внедрения
СМИБ
VII этап
Внедрение системы управления рисками
VIII этап
Разработка документации
СМИБ
IX этап
Обучение персонала
X этап
Разработка и принятие мер по обеспечению
работы СМИБ
XI этап
Внутренний аудит СМИБ
XII этап
Анализ СМИБ со стороны высшего руководства
XIII этап
Официальный запуск СМИБ
XIV этап
Оповещение заинтересованных
сторон
РУССКИЙ РЕГИСТР / RUSSIAN REGISTER
немецкие каталоги
"ИТ-Грундшутц»
бесплатны и размещены на
интернет-сайте немецкого
федерального бюро по
информационной
безопасности
www.bsi.de
Схема каталогов: модули, угрозы,
меры.
РУССКИЙ РЕГИСТР / RUSSIAN REGISTER
ОСОБЕННОСТИ ВНЕДРЕНИЯ ТРЕБОВАНИЙ
СТАНДАРТА НА ПРЕДПРИЯТИЯХ
1. Наличие контактов с различными инстанциями, работающими в России в области ИБ.
2. Наличие независимого пересмотра (надзора) СМИБ.
3. Наличие актуального и полного реестра информационных активов предприятия.
4. Требования по ИБ должны применяться и выполняться при приеме абсолютно всего персонала на
работу.
5. Во время работы весь персонал периодически должен проходить обучение или инструктаж по ИБ.
6. При увольнении сотрудника должны быть четко проверены по реестру и возвращены все
информационные активы, которые были доступны ему во время работы.
7. Физическая безопасность предприятия не должна ограничиваться сохранностью материальных активов.
8. При разработке ПО для собственных нужд необходимо разделять среду разработки, тестирования и
эксплуатации ПО.
9. Должны быть разработаны и должны выполняться требования по ИБ для услуг третьих сторон.
10. Любое устройство, содержащее информацию, перед отправкой в ремонт, на склад, в утилизацию
должно быть обработано с точки зрения удаления всей имеющейся на нем информации.
11. Системная документация ко всему оборудованию, имеющему отношение к информации должна быть
в наличии, должна быть доступна в нужный момент времени и не должна быть доступна третьим лицам.
12. Необходимо учитывать требования по ИБ не только к компьютерным информационным системам, но
к простым факсам, телетайпам и телефонам.
13. Все действия системных администраторов должны фиксироваться.
14. Должна применяться политика чистого рабочего стола и экрана компьютера.
15. Все инциденты, связанные с информацией должны фиксироваться в едином реестре инцидентов.
16. Должны быть разработаны планы по восстановлению бизнеса.
17. Предприятие должно соблюдать требования части 4 Гражданского Кодекса РФ
18. Полностью должны быть устранены случаи нецелевого использования средств обработки
информации.
РУССКИЙ РЕГИСТР / RUSSIAN REGISTER
АЛГОРИТМ ВНЕДРЕНИЯ
Этап
Срок
Описание
I
1 месяц
Получение поддержки со стороны высшего руководства в виде
приказа
и определения ответственных за внедрение и поддержку СМИБ.
II
2-3 месяца
Проведение анализа существующей СМИБ и определение перечня
работ по доработке существующей СМИБ.
III
1-2 месяца
Определение перечня мероприятий для достижения требований
стандарта. Подготовка плана работ по внедрению СМИБ.
IV
3-9 месяцев
V
VI
Разработка документации
1. Внедрение системы управления рисками
• Разработать процедуру по идентификации рисков
• Создать реестр активов с учетом требований стандарта
• Рассчитать и описать риски
• Разработать положение о применимости контролей
2. Разработка основного пакета документации
• Создать перечень документов (процедур, записей, инструкций) для
разработки
Программы
и сертификации
• Разработать подготовки
процедуры и другие
документы (управленческие
процедуры, технические
процедуры, записи
управленческие, записи
специалистов
нефтегазовой
отрасли
технические, инструкции, положения)
5-12 месяцев Обучение персонала и принятие мер по обеспечению работы СМИБ
Программа
сертификации
моторных
масел
1-2 месяца
Внутренний аудит
СМИБ и анализ СМИБ
со стороны высшего
руководства
РУССКИЙ РЕГИСТР / RUSSIAN REGISTER
СЕРТИФИКАЦИЯ СИСТЕМ МЕНЕДЖМЕНТА
ISO 9001 /
ГОСТ ISO 9001
Сертификация СМК
ГОСТ Р ИСО /
ТУ 16949
Сертификация СМК в
автомобилестроении
IRI
S
Сертификация СМК в
железнодорожной
отрасли
Сертификация систем
ISO 14001 /
экологического
ГОСТ Р ИСО 14001
менеджмента
OHSAS 18001
СТО Газпром 9001,
ISO 9001,
ISO 14001,
OHSAS 18001
ГОСТ ISO 9001 /
ГОСТ РВ 0015-002
AS 9100
Сертификация СМ в
области профессиональной безопасности
и охраны труда
ISO 22000 /
FSSC
22000
Сертификация СМ в
системе
ГАЗПРОМСЕРТ
ISO 27001
Сертификация СМК в
системах Военный
Регистр и
Оборонсертифика
ISO 50001
Сертификация СМК в
авиастроении
SA 8000,
SR 10
Сертификация СМК и
безопасности
пищевых продуктов
Сертификация СМК в
области
информационной
безопасности
Сертификация систем
энергетического
менеджмента
Сертификация систем
управления социальной
ответственностью
И еще более 20 стандартов и
спецификаций
СМ - система менеджмента
СМК - система менеджмента качества
РУССКИЙ РЕГИСТР / RUSSIAN REGISTER
Преимущество
внедрения стандарта
ISO/IEC 27001
Проведение сертификации СМИБ
организации позволяет:
обосновать затраты на эту систему, оценить
эффективность, определить приоритеты
комплексной системы защиты информации.
Особой актуальностью по внедрению
организационных стандартов ИБ является
страхование рисков ИБ.
Статистика
гласит,
что
организации,
обладающие
гласит
международными сертификатами соответствия стандартам
СМИБ, получают скидки, сопоставимые с затратами на проведение
сертификации.
РУССКИЙ РЕГИСТР / RUSSIAN REGISTER
ЭТАПЫ СЕРТИФИКАЦИИ СИСТЕМ
МЕНЕДЖМЕНТА ИБ
РУССКИЙ РЕГИСТР / RUSSIAN REGISTER
РУССКИЙ РЕГИСТР ПРЕДСТАВЛЯЕТ ИНТЕРЕСЫ
РОССИЙСКОГО БИЗНЕСА В МЕЖДУНАРОДНЫХ И
ОТРАСЛЕВЫХ ОРГАНИЗАЦИЯХ
ПРЕИМУЩЕСТВА СОТРУДНИЧЕСТВА С РУССКИМ РЕГИСТРОМ
Полное международное и национальное
признание
Близость офисов Русского Регистра в
РФ и мире
Нахождение центрального офиса в
России (г. Санкт-Петербург)
Минимизация политических рисков
Весь комплекс услуг в области оценки
соответствия
Международный уровень экспертов
Узнаваемость и престижность бренда
Русского Регистра
Доступ к эксклюзивным передовым
услугам
РУССКИЙ РЕГИСТР / RUSSIAN REGISTER
НАШИ КЛИЕНТЫ
И ЕЩЕ БОЛЕЕ 4 000 ОРГАНИЗАЦИЙ
СПАСИБО ЗА ВНИМАНИЕ!
ВОПРОСЫ?
Тел.:+7 812 600 11 68 (доб. 432), Факс: +7 812 600 11 69
[email protected] www.rusregister.ru
1/--страниц
Пожаловаться на содержимое документа