Iso 27001 01_dmytriyev_kiev_2010_july_v2

Александр ДмитриевLead auditor ISO/IEC 27001, BS 25999, ISO 9001Главный редактор журнала “Das Management”Член Международной федерации журналистов[email protected]

ISO/IEC 27001управление информационной безопасностью

ВАЖНО ПРАВИЛЬНО ПОНИМАТЬ НАЗНАЧЕНИЕ СТАНДАРТА

ISO/IEC 27001

АКТИВЫ – АКТИВЫ – основные объекты основные объекты информационной безопасностиинформационной безопасности

Актив (asset) – все, что имеет ценность для организации

ISO/IEC 13335-1:2004

Информационный актив – материальный или нематериальный объект, который:- является информацией или содержит информацию,- имеет ценность для организации.

Информационные активы:Простые активы• Законодательная база• Технологические регламенты• Тендерные предложения• Рабочие журналы• Отчеты для руководства• Электронные документы• Документы на бумажном носителе

Сложные активы• Компьютер службы сбыта с коммерческой

информацией по потребителям• Сервер, обеспечивающий электронный

документооборот предприятия• Архив (помещение) с документами на бумажных

носителях• Генеральный директор, в голове у которого план

перспективной и оперативной деятельности

ОБЪЕКТЫ СИСТЕМЫ МЕНЕДЖМЕНТА ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ

СВОЙСТВА ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ

ДОСТУПНОСТЬ И ЦЕЛОСТНОСТЬдо 90% проблем

СНИЖЕНИЕ И ОПТИМИЗАЦИЯ СТОИМОСТИ ПОДДЕРЖКИ СИСТЕМЫ БЕЗОПАСНОСТИ

Активы Стоимостьактивов

$

Риски Величина риска

$Принятие

решения о мерах по снижению

риска

$Финансирование

ИБ

Основная выгода внедрения стандартаОсновная выгода внедрения стандарта ISO/IEC 27001:2005

Структура стандарта.

УПРАВЛЕНИЕ РИСКАМИ

Вн

ед

ре

ни

е С

МИ

Б

Отв

етс

тве

нн

ос

ть

ру

ков

од

ств

а

Вн

утр

ен

ни

й а

уди

т

Мо

ни

тор

ин

г С

МИ

Б

Ул

уч

шен

ие

СМ

ИБНаправления безопасности Направления безопасности

ОСНОВА

НАПРАВЛЕНИЯ

Структура стандарта

Общие положения:1. Область применения2. Нормативные ссылки3. Термины и определения

4. Система информационной безопасности5. Обязательства руководства6. Внутренние аудиты системы менеджмента 7. Анализ системы менеджмента информационной

безопасности руководством 8. Совершенствование системы менеджмента

информационной безопасности

Приложение А. (Обязательное)- Требования А.5-А.15

ОСНОВА

НАПРАВЛЕНИЯ

Направления безопасности

А.5 Политика в области безопасности

А.6 Организация системы безопасности

A.7 Классификация активов и управление A.8

Безопасность и персонал

A.9 Физическая и

внешняя безопасность

A.10 Менеджмент компьютеров

и сетей

A.11 Управление доступом к системе

A.12 Приобретение, разработка и

обслуживание информационной

системы

A.13 Менеджмент инцидентов информационной безопасности

A.14 Обеспечение непрерывности бизнеса

A.15 Соответствие законодательству

Общая схема работы СМИБ

I этап. СИСТЕМА УПРАВЛЕНИЯ РИСКАМИ

II этап. определение направлений защиты

III этап. реализация мер защиты ($$$)

Организационные Учебные Программные Аппаратные

А5. Политика

А6. Организация системы

А7. Работа с активами

А8. Персонал

А9. Физическая безопасность

А10. Компьютеры и сети

А11. Управление доступом

А12. Владение информационной системой

А13. Инциденты

А14. Непрерывность бизнеса

А15. Регламентированные требования

Вероят-ность

Ущерб

Оче

нь

ни

зкая

Ни

зкая

Сред

няя

Вы

сока

я

Оче

нь

высо

кая

Низкий 1 3 5 7 9 Средний 3 9 15 21 27 Высокий 5 15 25 35 45 Очень высокий

7 21 35 49 63

Сложная методика = финансовые потери предприятия

Риск менеджмент


Этапы обработки рисков

1 2 3


f. Определение и оценка вариантов обработки рисков

Что можно сделать с существующими рисками?

1) применение соответствующих средств;

2) разумное и целевое принятие рисков, обеспечивающее их полное удовлетворение политикам организации и ее критериям принятия рисков (см. 4.2.1c)2));

3) избегание рисков;

4) перенос связанных бизнес-рисков на другие стороны , например на страховщиков, поставщиков и пр.

h. Приказ высшего руководства о принятии остаточных рисков

Высшее руководство принимает следующие риски

Риск 1 - Величина 10 - Причина 1



Генеральный директор ….

Дата Подпись


Правила СМИБ

Оценка рисков

Персонал СМИБ

Внутренний аудит

Реестр инцидентов

Анализ ВР

План для ЧП

Оценка процессов

Бюджет СМИБ

Реестр изменений

Общая схема работы СМИБ

ОБЕСПЕЧЕНИЕ

КОНТРОЛЬ

План работ по подготовке, внедрению и сертификации СМИБ

Алгоритм внедрения СМИБ.

Подробный алгоритм внедрения опубликован в журнале

Das Management № 1 за 2009 год

Особенности внедрения отдельных положений стандарта

ISO/IEC 27001

на предприятиях стран СНГ

Пункт 5.1.с Установка ролей и ответственности

Комитет по ИТ-безопасности

Много ошибок при работе эл. почты! Настаиваю на проверке!

У нас нет общей концепции безопасности! Как принимать персонал?

Каждый день фиксируем попытки проникновения на сервер! Нужно срочно установить файерволы в точках ….

Персонал не знает правила инф. безо-пасности!

Вышел закон о защите персональных данных. Надо учесть!

Всем спасибо!

Сейчас подробно опишем все наши проблемы, просчитаем риски и определим программу снижения рисков!

Работа СМИБ по требованиям ISO 27001

Офицер ИБ – кто он?

Личное дело: Mr. Smith № 096775

Базовое образование:

- Информационные технологии

- Информационная безопасность

Дополнительное обучение:

- Экономика предприятия

- Международный стандарт по системам управления ИБ

(требования, внедрение, аудит)

- Ежегодный обмен опытом в области ИБ

Черты характера:

- Коммуникабельность, Творческое мышление, Сдержанность

Стаж работы и другие условия:

- на предприятии – 5 лет

- в должности руководителя – 3 года

- знания в области ИТ

- авторитет на предприятии

TOP SECRET

Информационная безопасность – выше, чем:

- Служба ИТ

- Служба делопроизводства

Первый руководитель

Уполномоченныйпо ИБ

Зам. директора Зам. директора

Служба ИТСлужба

делопроизводства

Рекомендация !

Пункт A.9. Физическая безопасность и безопасность окружения

Территория

• Периметр

• Особо важные зоны

• Зоны общего доступа

Оборудование

• Основное

• Вспомогательное


Пункт A.10.10.4 Действия системного администратора

Действия системного администратора исистемного оператора должны записываться в журнал


Пункт A.11.3.3 Политика чистого рабочего стола и экрана

Рабочие столРабочие стол пользователя не должен содержать конфиденциальную информацию во время присутствия посторонних лиц• Работа не более чем с 1-м конфиденциальным документом• Правило помещения документов в стол или переворачивания документов при входе постороннего• По окончании работы пользователь должен убрать со стола все документы


Пункт A.13 Управление инцидентами информационной безопасности

Важно, чтобы ни один инцидент не остался незамеченным!


Пункт A.14 Непрерывность бизнеса

Тестирование планов обеспечения непрерывности бизнеса


Пункт A.15.1.2 Права интеллектуальной собственности

Основа - соблюдение

«Закона о защите авторских и смежных прав»

Проблемные места:

- Использование нелицензионного программного обеспечения

- Незаконное использование авторских разработок


Пункт A.15.1.5 Предотвращение нецелевого использования средств обработки информации


Инструменты для внедрения СМИБ, опробованные на предприятиях Украины

АВТОМАТИЗИРОВАННЫЙ ВОПРОСНИК

Раздел стандарта ISO/IEC 27001

Процент выполнения требований конкретного раздела стандарта

Процент выполнения всех требований стандарта

Место для записи комментария по данному вопросу (описание

подтверждения выполнения вопроса, № документа, местонахождение, др.)

Вопрос Варианты ответа

Пункт стандарта

ISO/IEC 27001

Раздел библии-отеки

ITIL

РЕЗУЛЬТАТ ОБСЛЕДОВАНИЯ ПРЕДПРИЯТИЯ

СРАВНЕНИЕ РЕЗУЛЬТАТОВ ОБСЛЕДОВАНИЯ

www.bridgepoint.com.auwww.bridgepoint.com.au

Методика ИТ-Грундшутц

• Методика «ИТ-Грундшутц» - это методика по созданию системы менеджмента информационной безопасности.

• Методика разработана германским правительственным федеральным офисом по информационной безопасности (BSI).

• Документы методики «ИТ-грундшутц» находятся в открытом доступе на сайте www.bsi.de

• Методика состоит из «СТАНДАРТОВ» и «КАТАЛОГОВ»

wwwwww..bsibsi..dede


+ каталоги


Каталоги:

• Часть M. Модули. Описывает активы и действия по внедрению СМИБ

• Часть Т. Угрозы. Подробное описание угроз, использованных в Части М. Каталог угроз к многочисленным активам.

• Часть S. Методы защиты. Описание методов защиты, использованных в Части T. Каталог мероприятий по снижению угроз.

Пример описания процесса

Производственныйотдел

Начальник

Формированиетехнологической

карты

Цех

Начальник

Формированиеплана заказов

Технологическая карта

Расчетсебестоимости

Заявка

Заявка наприобретен

иематериалов

Заявка навыдачубумаги

Отдел снабжения

Менеджер

Приобретениематериалов

Склад

Кладовщик

Выдача бумаги

Планзаказов

Цех

Начальник

ФормированиеГрафика работ на

смену

Графикработ

насмену

Заданиена

выполнениестор.работ

Производственныйотдел

Технолог

Формированиезаявки на расчет

(2ч.)

Сторонниепоставщики

Информация постоимости услуг

Руководство

Директор

Утверждениезаказа-спецификаци

и

Заказ-специфик

ацияутвержд

ен

34

5 7 9 9

КТ12: Дата утверждениязаказа-спецификации

КТ13: Датаформирования

технологической карты

КТ14: Датаформирования плана

заказов

Внедрение ISO 27001 на базе ISO 9001

ISO 9001 = 10-30% ISO 27001

39

350

160

50

100

150

200

250

300

350

I SO/ I EC 27001

Сертификация Обучение Консалтинг

СИТУАЦИЯ В УКРАИНЕ (ISO/IEC 27001)на примере отдельного сертификационного органа

Тенденция спроса по основным потребителям услуг

31

3943

15

2421

912

15

26

1412 12 10 9

7

1 0

0

5

10

15

20

25

30

35

40

45

Обучение

Консалтинг

Сертификация

СИТУАЦИЯ В УКРАИНЕ (ISO/IEC 27001)

Алгоритм внедрения СМИБАлгоритм внедрения СМИБ

Разработка документации СМИБРазработка документации СМИБ

Особенности внедрения на отечественных Особенности внедрения на отечественных предприятияхпредприятиях

Диагностический аудит СМИБДиагностический аудит СМИБ

Внедрение системы риск-менеджментаВнедрение системы риск-менеджмента

Разработка подробного плана работ по внедрению

Внутренний аудит СМИБ

www.das-management.infowww.das-management.info

www.das-management.infowww.das-management.info

МЕЖДУНАРОДНЫЕ, ЕВРОПЕЙСКИЕ, МЕЖДУНАРОДНЫЕ, ЕВРОПЕЙСКИЕ, ОТРАСЛЕВЫЕ СТАНДАРТЫ И ДИРЕКТИВЫОТРАСЛЕВЫЕ СТАНДАРТЫ И ДИРЕКТИВЫ

НАЦИОНАЛЬНЫЕ НОРМЫ НАЦИОНАЛЬНЫЕ НОРМЫ

МЕТОДЫ И ИНСТРУМЕНТЫ МЕНЕДЖМЕНТАМЕТОДЫ И ИНСТРУМЕНТЫ МЕНЕДЖМЕНТА

ПРОИЗВОДСТВЕННАЯ ПРАКТИКАПРОИЗВОДСТВЕННАЯ ПРАКТИКА

ВНЕДРЕНИЕ СИСТЕМ МЕНЕДЖМЕНТАВНЕДРЕНИЕ СИСТЕМ МЕНЕДЖМЕНТА

ОБУЧЕНИЕ, КОНСАЛТИНГ, СЕРТИФИКАЦИЯОБУЧЕНИЕ, КОНСАЛТИНГ, СЕРТИФИКАЦИЯ

МАТЕРИАЛЫ ISO 9001 AUDITING PRACTICES МАТЕРИАЛЫ ISO 9001 AUDITING PRACTICES GROUP GROUP

Business

Iso 27001 01_dmytriyev_kiev_2010_july_v2