Скачать презентацию IT-Security Forum Ключевые шаги на пути к построению Скачать презентацию IT-Security Forum Ключевые шаги на пути к построению

71884265ebb1404bb23ee8e0b7e873c8.ppt

  • Количество слайдов: 28

IT-Security Forum: «Ключевые шаги на пути к построению эффективной и защищенной ИТ-инфраструктуры» Информационная безопасность IT-Security Forum: «Ключевые шаги на пути к построению эффективной и защищенной ИТ-инфраструктуры» Информационная безопасность в банковской сфере Международная практика внедрения и эксплуатации СМИБ организаций информационной безопасности банка. АНДРЕЙ ДРОЗДОВ CISM, CISA Старший менеджер KPMG, Вице-президент Российского отделения ISACA г. Казань, 1 июня 2007 г.

Содержание • • Что такое Информационная безопасность? Что такое ISO 17799/27001? Преимущества для Компании? Содержание • • Что такое Информационная безопасность? Что такое ISO 17799/27001? Преимущества для Компании? Что это даст конкретным людям ? Кто еще внедряет стандарт? Как происходит внедрение стандарта? Следующие шаги? Вопросы 2

Что такое информационная безопасность? • “Защита от хакеров. ” • “Средство управления доступа к Что такое информационная безопасность? • “Защита от хакеров. ” • “Средство управления доступа к системам посредством имен пользователей и паролей” • “Процесс шифрования данных с целью обеспечения конфиденциальности” • “Барьер, мешающий мне в работе. ” • “Лишние затраты. ” 3

Что такое информационная безопасность? Конфиденциальность Доступность Обеспечение возможности работы с информацией Обеспечение защиты важной Что такое информационная безопасность? Конфиденциальность Доступность Обеспечение возможности работы с информацией Обеспечение защиты важной информации Целостность Обеспечение целостности информации 4

Что такое информационная безопасность? • Конфиденциальность – защита важной информации от несанкционированного доступа. • Что такое информационная безопасность? • Конфиденциальность – защита важной информации от несанкционированного доступа. • Примеры: – Счета к оплате – Персональные данные (зарплата, информация о клиенте) Конфиденциальность Доступность Целостность 5

Что такое информационная безопасность? • Целостность – обеспечение качества и достоверности данных. • Примеры: Что такое информационная безопасность? • Целостность – обеспечение качества и достоверности данных. • Примеры: – Выставленные счета не должны подвергаться корректировкам – Биллинговая система не должна подвергаться неавторизованным изменениям Конфиденциальность Доступность Целостность 6

Что такое информационная безопасность? • Доступность – возможность работы с данными. • Примеры: – Что такое информационная безопасность? • Доступность – возможность работы с данными. • Примеры: – Счета могут обрабатываться 24 часа в день – Система зарплаты поддерживает работу с авансовыми отчетами Конфиденциальность Доступность Целостность 7

Что такое информационная безопасность? • Ключевые аспекты программы ИБ: – Люди – организация, права, Что такое информационная безопасность? • Ключевые аспекты программы ИБ: – Люди – организация, права, обязанности, руководство – Процесс – политики, процедуры и практика – Технология – масштабируемая поддержка технических решений автоматизации, включающая возможности обеспечения безопасности. • Важно: Безопасность – не только и не столько техническая проблема. 8

Что такое информационная безопасность? • ИБ- метод, посредством которого организация обеспечиваетe контроль над данными Что такое информационная безопасность? • ИБ- метод, посредством которого организация обеспечиваетe контроль над данными и системами, обеспечивая защиту ИТ и поддержку бизнеспроцессов. 9

Предыстория ISO 17799/ISO 27001 • Начало положено как стандарт лучшей практики UK Department of Предыстория ISO 17799/ISO 27001 • Начало положено как стандарт лучшей практики UK Department of Trade and Industry (DTI) – Британский стандарт (BS 7799) – утвержден Британским институтом стандартов – КПМГ один из со-авторов стандарта, обладает правами сертификации • Принят как ISO 17799 (часть 1 BS 7799) в декабре 2000 • В 2005 принят ISO 27001 и последняя редакция ISO 17799 10

Что такое ISO 17799? • • Набор контролей лучшей практики ИБ Организационные вопросы Вовлечение Что такое ISO 17799? • • Набор контролей лучшей практики ИБ Организационные вопросы Вовлечение руководства Политики и процедуры, основанные на мерах контроля Измеримость Возможность сертификации Основан на анализе рисками Международное признание 11

KPMG Global Information Security Survey • Одной из ключевых задач, решаемых аудитором в сфере KPMG Global Information Security Survey • Одной из ключевых задач, решаемых аудитором в сфере ИТ, является оценка защищенности информационных ресурсов клиентов. Особую актуальность работы в этом направлении приобрели после трагических событий в США 11 сентября 2001 года. Компания КПМГ провела исследование относительно положения в области информационной безопасности в мире. Русская версия исследования была опубликована в апреле 2002 на сайте Росбизнесконсалтинг. • http: //www. rbc. ru/consulting/kpmg. shtml 12

KPMG Global Information Security Survey – Внедрение ISO 17799 в мире Лидирует Финансовый сектор, KPMG Global Information Security Survey – Внедрение ISO 17799 в мире Лидирует Финансовый сектор, на который приходится 42% организаций, которые уже используют или готовятся использовать этот стандарт. В Европе больше, чем в других регионах организаций, использующих или собирающихся использовать этот стандарт. 2006 – лидер Япония Из тех, кто уже использует этот стандарт, 49% организаций провели процедуру независимой сертификации на соответствие. Ноябрь 2006 – 3080 сертификатов BS 7799/ISO 27001 13

Что такое ISO 17799? • 11 Областей стандарта – – Управление непрерывностью бизнеса Контроль Что такое ISO 17799? • 11 Областей стандарта – – Управление непрерывностью бизнеса Контроль доступа Закупка, разработка и сопровождение систем Физическая безопасность и защита от воздействий окружающей среды – Соответствие требованиям – Вопросы ИБ, относящиеся к персоналу – Организация безопасности 14

Что такое ISO 17799? • 11 областей стандарта (продолжение) – – Управление операционными процессами Что такое ISO 17799? • 11 областей стандарта (продолжение) – – Управление операционными процессами и коммуникациями Управление активами Политика безопасности Управление инцидентами ИБ 15

Внедрение стандарта ISO 17799 Стратегия Общее руководство ИБ Причины Программа внедрения ИБ Управление Политики Внедрение стандарта ISO 17799 Стратегия Общее руководство ИБ Причины Программа внедрения ИБ Управление Политики ИБ Знания Процедуры ИБ Обучение пользователей Технологии Поддержка Безопасность информационных активов Защита технологической инфраструктуры Обеспечение непрерывности Следствия Модель КПМГ 16

ISO 27001 Внедрение, мониторинг и аудит СУИБ 17 ISO 27001 Внедрение, мониторинг и аудит СУИБ 17

Преимущества для компании • • • Стандартизация, лучшая практика Управление рисками Эффективность затрат Превентивный Преимущества для компании • • • Стандартизация, лучшая практика Управление рисками Эффективность затрат Превентивный подход Утвержденная корпоративная политика ИБ Участие и поддержка высшего руководства 18

Преимущества для компании • • • Совершенствование процессов Соблюдение требований клиентов и партнеров Соответствие Преимущества для компании • • • Совершенствование процессов Соблюдение требований клиентов и партнеров Соответствие законодательству Способ оценки эффективности ИБ (ROI!) Маркетинговые и конкурентные преимущества – – клиенты партнеры инвесторы страховщики 19

Что это даст конкретным людям ? • • • Усиление контроля за информационными активами Что это даст конкретным людям ? • • • Усиление контроля за информационными активами Снижение риска дисциплинарных наказаний Четко определенная личная ответственность Обеспечение требований аудита Личный вклад в снижение риска для клиентов компании – ключевой момент 20

Как компании используют стандарт? • Основа для Политики ИБ – Использование мер контроля как Как компании используют стандарт? • Основа для Политики ИБ – Использование мер контроля как основа для политик ИБ • Соответствие требованиям – Внедрение необходимых мер контроля и внутренний аудит соответствия требованиям • Официальная сертификация – Получения официальной сертификации через уполномоченного аудитора 21

Выводы • • ISO 17799 – основа для корпоративной политики ИБ Фокус на людей Выводы • • ISO 17799 – основа для корпоративной политики ИБ Фокус на людей и процессы – а не на технологию Не надо изобретать велосипед Стандарт, который может использоваться, а не лежать на полке 22

Следующие шаги? • Идентификация имеющихся недостатков по требованиям ISO 17799 • Определение необходимых приоритетов Следующие шаги? • Идентификация имеющихся недостатков по требованиям ISO 17799 • Определение необходимых приоритетов и мероприятий с целью внедрения требований ISO 17799 • Разработка плана внедрения стандарта • Реализация плана • Достижение соответствия требованиям ISO 27001! • Постоянные усовершенствования с целью минимизации рисков 23

Сертификация по ISO 27001 • Что сертифицируем? • Сертификация по ISO 27001? • Кто Сертификация по ISO 27001 • Что сертифицируем? • Сертификация по ISO 27001? • Кто уполномочен проводить “настоящую” сертификацию и выдавать сертификат? • Возможна ли официальная сертификация в России? • Как организован процесс сертификации? • Сколько времени потребуется? • Сколько стоит? 24

Процесс сертификации Шаг 1 Обсуждение рамок Системы Управления ИБ Этап 1 – Обзор Системы Процесс сертификации Шаг 1 Обсуждение рамок Системы Управления ИБ Этап 1 – Обзор Системы Шаг 4 Шаг 2 Установление рамок применимости Системы Управления ИБ ISO 27001 Этап 1 – Диагностика Шаг 5 Шаг 3 Согласование предоставления услуг Этап 2 – Сертификация Шаг 6 Внедрение Рекомендаций. Консалтинг Выпуск ISO 27001 UKAS Сертификата Шаг 7 Опционная Предварительная Оценка Надзорный аудит – раз в 12 месяцев 3 -летний цикл Шаг 8 25

Organisational Security Asset Classification and Control Personnel Security Physical and Environmental Security Communications and Organisational Security Asset Classification and Control Personnel Security Physical and Environmental Security Communications and Operations Management Access Control System Development and Maintenance Business Continuity Management Compliance 0 Security Policy Percentage Предварительная оценка системы управления ИБ и диагностика (пример результатов) of ten sections BS 7799 summary 100 90 Level of Compliance 80 N/A 70 60 50 40 30 20 10 3 4 5 6 7 8 9 10 11 12 Section 26

Пример проекта по внедрению и сертификации Этап II: Этап III: Этап IV: Этап V: Пример проекта по внедрению и сертификации Этап II: Этап III: Этап IV: Этап V: Справочны Корпоратив Внедрение Анализ Сертифика Этапы проекта е -ные политик и недостатко ция руководств Политики процедур в аи и процедуры Участие • Анализ • Консультаци • Анализ • Сертифика. Стандарты • Анализ СУИБ Политик с основных и по расхождений ционный KПМГ учетом принципов и внедрению между ISO аудит Стандарта и процедур при 27001 и передовой необходиреальной практики мости ситуацией • Разработка рекомендаци плана • Разработка й действий рекомендаций Сроки 4 -6 Недель 6 -8 Недель По требованию 6 -8 Недель 3 -4 Недели 27

СПАСИБО ЗА ВНИМАНИЕ! ПОЖАЛУЙСТА, ВОПРОСЫ? Дроздов Андрей Валентинович CISM, CISA Старший менеджер KPMG, Вице-президент СПАСИБО ЗА ВНИМАНИЕ! ПОЖАЛУЙСТА, ВОПРОСЫ? Дроздов Андрей Валентинович CISM, CISA Старший менеджер KPMG, Вице-президент Российского отделения ISACA E-mail: adrozdov@kpmg. ru 1 июня 2007 года