Система менеджмента информационной безопасности:...

Система менеджмента информационной безопасности: стандарты, практики внедрения, аудит

Александр Дорофеев.

CISSP, CISM, CISA

2

Содержание

1.Цели информационной безопасности

2.Система менеджмента информационной безопасности

3.ISO 27001:20134.Аудит СМИБ

3

Для чего информационная

безопасность нужна

компании?

4

Основные цели ИБ

2. Выполнениевнешних требований

1. Минимизация финансовых потерь

3. Имидж

5

Две крайности

Бумажки для отмашки от проверяющих

Бездумно внедренныевсевозможные средства защиты

6

ИБ – это просто!

Актив(ресурс)

Угроза

Конт

рмер

а (ко

нтро

ль) Уязвимость

РИСК = ВЕРОЯТНОСТЬ X ПОСЛЕДСТВИЯ

7

ИБ в организации

процессы

технологии

люди

угроза

угроза

контроль

угроза

контроль

контроль

8

Модель PDCA для управления ИБ

Создание(PLAN)

Мониторинг и анализ(CHECK)

Обеспечение и улучшение

(ACT)

Внедрение и

управление(DO)

Заинтере-сованные стороны

Требования к СМИБ

Заинтере-сованные стороны

Управляемая СМИБ

Постоянное улучшение СМИБ

9

Ядро СМИБ – управление рисками ИБ

10

ISO 27001:2013

Системный подход

PLAN4 Контекст организации• Понятие контекста.• Ожидания заинтересованных сторон.• Область распространения СМИБ.

5 Лидерство• Приверженность руководства.• Политика ИБ.• Роли, ответственность и полномочия.

6 Планирование• Оценка риска и возможностей.• Цели ИБ.

7 Поддержка• Ресурсы.• Компетенция.• Осведомленность.• Коммуникации.• Документируемая информация.

DO8 Операционная деятельность• Планирование и контроль операций.• Оценка рисков.• Обработка рисков.

CHECK9 Производительность и оценка•Мониторинг, измерение, анализ и оценка.

•Внутренний аудит.•Анализ со стороны руководства.

ACT10 Улучшения•Несоответствия и корректирующие действия.

•Постоянное улучшение.

11

Система документации СМИБ

Политика ИБ

Детальные политики ИБ

Положения оботделах

Процедуры ИБ

Внутренниестандарты

ИБ

Свод правил для

сотрудников

Должностныеинструкции

для всех сотрудников для конкретных специалистов

12

Кратко

Политика определяет куда движемсяПроцедура определяет действияСтандарт фиксирует целевое состояниеСвод правил определяет требования к сотрудникам

13

Как проверять ИБ?

Процессы (как работает СМИБ?)

Технологии(хорошо защищены?)

1. Тестирование на проникновение2. Анализ уязвимостей3. Анализ конфигурации

1. Наблюдение2. Интервью3. Проход по процессу4. Выборочное тестирование контролей5. Полное тестирование контролей

14

Спасибо за внимание!

Контактная информация

107023, ул. Электрозаводская, д. 24

+7(495) 223-23-92+7(495) 645-38-11

http://www.uc-echelon.ru

mail@uc-echelon.ru