close

Вход

Забыли?

вход по аккаунту

;doc

код для вставкиСкачать
Кто управляет
информационной безопасностью?
Эльмира Гатиятуллина
Заместитель генерального директора
по информационной безопасности
группы компаний «Такснет»
О чем пойдет речь?
Ключевой вопрос - обеспечение информационной
безопасности организации или предприятия любой
формы собственности.
В настоящее время актуальность вопроса защиты
информации не составляет сомнений: информацию
защищать нужно, только пока непонятно для чего и от
кого?
Важность вопроса в теории понимают все.
А как это реализовать на практике?
4 ключевых вопроса
1
• Что такое информационная безопасность для
руководителя?
2
• Нужно ли защищать информацию в моей
организации?
3
4
• Как это сделать? Кто за что отвечает? Сколько это
будет стоить?
• Что должен сделать я, как руководитель, для
обеспечения информационной безопасности?
Что такое информационная безопасность для руководителя?
Под информационной безопасностью Российской Федерации понимается состояние
защищенности ее национальных интересов в информационной сфере, определяющихся
совокупностью сбалансированных интересов личности, общества и государства. (Доктрина ИБ РФ,
2000 год)
Информационная безопасность (information security) - все аспекты, связанные с определением,
достижением и поддержанием конфиденциальности, целостности, доступности, неотказуемости,
подотчетности, аутентичности и достоверности информации или средств ее обработки.
(ГОСТ Р ИСО/МЭК 13335-1-2006)
Информационная безопасность - безопасность, связанная с угрозами в информационной сфере.
(СТО БР ИББС-1.0-2014)
Задайтесь вопросом…
Мы разрабатываем новый продукт или услугу,
планируем выпуск на рынок, но за день или два до
нашей презентации, а может, за месяц, выходит
подобный продукт у конкурентов.
Происходит утечка информации по вопросам
проведения различных гос. закупок или при
подготовке решений правительства до момента их
утверждения.
Мы планируем купить участок под застройку, но
неожиданно его приобретает кто-то другой.
Как часто в работе организации мешали некоторые случайности?
Вывод
Информационная безопасность для руководителя
– такой же бизнес-процесс, как и любой другой
в его организации.
Информационную безопасность нужно выстраивать и
контролировать!
Нужно ли защищать информацию в моей организации?
Сколько стоит Зачастую упускается из виду такой обыденный
потерять хорошую бизнес- в сегодняшнем мире ресурс, как информация.
Этот ресурс обладает стоимостью как и любой
идею?
другой, но редко какой руководитель считает
ее в рублях, долларах или иной денежной
единице.
Мы понимаем, сколько стоит потерять
классного специалиста, участок под застройку,
уникальное оборудование. А сколько стоит
потерять хорошую бизнес-идею?
Информация такой же ресурс как недвижимость или сотрудники
Какие могут быт источники утечки информации?
1.
2.
3.
4.
Наши сотрудники, которых мы считаем лояльными и
преданными делу,
Неправильное построение бизнес-процессов
обработки и передачи конфиденциальной
информации,
Важная информация может быть вообще не
определена в компании как закрытая или
конфиденциальная,
Отсутствие системы защиты информации или
неэффективность имеющейся.
Раз это не «перст судьбы» или «его величество случай»,
значит с этим можно и нужно работать!
Информацию защищать нужно, но…
не всю подряд
не любыми средствами
не нарушая баланс между ценностью
информации и стоимостью ее защиты
1.
Как это сделать?
2.
Кто за это отвечает?
3.
Сколько это будет стоить?
Регуляторы сферы деятельности
Роскомнадзор
• порядок обработки персональных данных
ФСТЭК
• техническая защита информации, в том
числе и персональных данных
ФСБ
• использование криптографии и
шифрования для защиты информации, в
том числе и персональных данных
Этапы
Понять,
что мы хотим защищать
Сформировать систему
защиты с учетом угроз и
рисков (проект),
просчитать
предварительную
стоимость
Настроить процесс.
Закупить СЗИ,
установить, разработать
(доработать) нужные
подсистемы,
переработать бизнеспроцессы
Сформировать
команду для работы
Определить угрозы,
выяснить риски, которые
будет нести организация
Декларировать
соответствие или
аттестовать
Выяснить, где
информация
циркулирует, кто ее
использует, в каких
процессах, куда
передается
Определить ее
категорию, к каким
требованиям и
нормативным
документам относится
Управление процессом:
постоянный контроль за
эффективностью работы,
отслеживание
инцидентов, анализ,
планы по
совершенствованию
Понять, что мы хотим защищать
Задача руководства и команды топ-менеджеров.
Здесь определяется стратегия.
Далее она должна быть передана для работы команде.
Сформировать команду для работы
юрист
 технический специалист
руководители подразделений
 специалист по безопасности (высокой квалификации)
Руководитель должен определить полномочия команды – это
делается приказом по организации и должно быть сделано
ОБЯЗАТЕЛЬНО!!!
Выяснить, где информация циркулирует, кто ее использует,
в каких процессах, куда передается
Технический специалист выясняет на каком оборудовании, АРМах лежат
критичные базы данных, какое ПО используется для работы с защищаемой информацией, кто
из сотрудников имеет к ней доступ и какой.
Специалист по информационной безопасности привлекает к работе
руководителей и специалистов нужных подразделений, расспрашивает их о бизнес- процессах,
как циркулирует информация, рисует схемы, выясняет, куда она может быть передана за
пределы подразделений или даже организации и в каком виде.
Юрист выясняет под какие нормативные требования законодательства попадает
организация, какие есть у нее возможности и ограничения.
Определить ее категорию, к каким требованиям
и нормативным документам относится
Ограничения
и требования
Анализ
ситуации
Перечень
защищаемой
информации
Определить угрозы, выяснить риски, которые будет нести организация
Специалист по
безопасности
Выявляет
угрозы
Определяет
актуальность
угроз
Юрист и
финансист
Определяет
возможные
риски
Сформировать систему защиты с учетом угроз и рисков
Что
приобретаем?
Стоимость.
График работ.
Сметы и
сроки?
Что меняем в
процессах?
Чьими
силами?
Настроить процесс
Закупить
СЗИ
Разработать
подсистемы
Переработать
бизнеспроцессы
Декларировать соответствие или аттестовать
За декларацию
ответственность
несет руководитель
организации!
За аттестат –
ответственность
несет орган по
аттестации
Управление процессом
СОВЕРШЕНСТ
ВОВАНИЕ
КОНТРОЛЬ
и
МОНИТОРИНГ
ПЛАНИРОВАНИЕ
АНАЛИЗ
Что должен сделать я, как руководитель, для обеспечения
информационной безопасности?
 определить приоритетность задачи защиты
информации, довести ее до топ-менеджмента
(сотрудников);
выбрать эффективную команду или аутсорсера
(стороннего исполнителя);
постоянный контроль и внимание к работе
команды, участие в ее работе;
 обеспечить финансирование;
контроль результатов;
заинтересованность в результате.
Подведение итогов
Эльмира
Гатиятуллина
Телефон: (843) 2451506
Email: [email protected]
www.taxnet.ru
1/--страниц
Пожаловаться на содержимое документа