Презентация на тему Аудит и отправная точка безопасности согласно ISO 27002

Содержание

Однажды Директор спросил Инь Фу Во про защиту от внутренних угроз. Тот сказал: – Во внешнем мире есть сто человек, которые хотели бы заполучить конфиденциальную информацию из вашей сети. И есть пять, которые

Слайды и текст этой презентации

Слайд 1Аудит и «отправная точка безопасности» согласно ISO 27002
Владимир Булдыжов, CISM

Аудит и «отправная точка безопасности» 
 согласно ISO 27002 Владимир Булдыжов, CISM

Слайд 2Однажды Директор спросил Инь Фу Во про защиту от внутренних угроз. Тот сказал:

Во внешнем мире есть сто человек, которые хотели бы заполучить конфиденциальную информацию из вашей сети. И есть пять, которые способны это сделать. Но эти сто вряд ли встретятся с этими пятью.
Ещё Учитель сказал:
– А в вашей внутренней сети есть пять пользователей, которые хотели бы заполучить конфиденциальную информацию. И есть сто, которые могут это сделать. И они уже встретились.
* * *
Однажды Сисадмин пожаловался Учителю:
– Наш Директор совершенно не разбирается в ИТ. Я не могу ему объяснить. И его указания всегда такие нелепые.
Инь Фу Во ответил:
– Это нормальный порядок вещей. Его забота – люди и деньги. Твоя забота – техника и программы. Вы разговариваете на разных языках.
Сисадмин согласился и спросил:
– Как нам изучить язык друг друга?
– Это почти невозможно, – сказал Учитель. – Для этого Директору пришлось бы несколько лет проработать сисадмином, но он не пожелает. Для этого тебе пришлось бы несколько лет проработать руководителем, но тебя не допустят.
– Как же понять друг друга тем, кто говорит на разных языках? – спросил Сисадмин.
Инь Фу Во ответил:
– Специально для этих целей создан промежуточный язык, доступный обоим. Имя ему – "ГОСТ-17799" (примечание: ISO 27002).
– Как просто! – воскликнул Сисадмин и ушёл просветлённый.
http://forensics.ru/InFuWo.htm
Однажды Директор спросил Инь Фу Во про защиту от внутренних угроз. Тот сказал: –

Слайд 3Рабочая группа http://bezpeka.ladimir.kiev.ua.
Понимание и адаптация стандарта – залог его превращения из

абстрактной методики в повседневный инструмент и настольную книгу специалиста по информационной безопасности.

Преследуя цели популяризации стандарта, рабочая группа bezpeka в 2007 г. выполнила независимый перевод ISO 17799:2005, который впоследствии был переименован организацией ISO в стандарт ISO 27002.

Рабочая группа http://bezpeka.ladimir.kiev.ua. Понимание и адаптация стандарта – залог его превращения из

Слайд 4ИБ не является продуктом, услугой или разовым пакетом мероприятий, – это

непрерывный системный комплексный процесс. Этот процесс интегрирован во все бизнес-процессы предприятия, требует участия всех без исключения сотрудников предприятия, от владельца до уборщицы, и этим процессом нужно управлять постоянно.

Стопроцентная ИБ недостижима. Термин «обеспечение безопасности» устарел. Сейчас говорят об управлении безопасностью. Данное управление – оптимизационная задача поиска компромисса между уровнем защиты и её ценой. Причем, ценой являются как разовые инвестиции, так и постоянные. Как капитальные затраты, так и затраты в виде дополнительных неудобств для сотрудников, например, режим доступа, пароли, санкции, задержки, шифрование, других ограничения при использовании техники и сервисов.

Оптимальность инвестиций можно достичь, только применяя методы управления рисками. Умная служба ИБ распределяет ресурсы в соответствии с величиной рисков, а не конкретных нарушений. Мудрая служба, кроме того, делает управление ИБ прозрачным для высшего руководства компании и инвесторов и предоставляет им инструменты управления инвестициями и проектами по снижению рисков. Этот тезис скорее закладывает основу для дальнейшего развития ИБ, чем предоставляет рецепт немедленных действий. Тем не менее, опытный безопасник умеет извлекать не только ситуативную пользу из «жареного петуха», но и формировать импульс для укрепления ИБ в долговременной перспективе.

ИБ не является продуктом, услугой или разовым пакетом мероприятий, – это непрерывный

Слайд 5ISO 27001 требует применение анализа рисков. Какую методику анализа рисков выбрать?

Сложные методики непонятны для руководства организаций и требуют высокой квалификации службы ИБ. Простые методики субъективны, не обеспечивают повторяемости результатов и независимости от конкретного исполнителя, а также воспринимаются как «шаманство», то есть, являются больше искусством, чем наукой.

Не начинайте с анализа рисков, начните с «отправной точки». ISO 27002, ранее известный как ISO 17799, вводит очень удачное понятие «starting point». Отправная точка ИБ – это состояние системы управления ИБ, при котором внедрены самые важные средства управления ИБ, и организация готова к внедрению управления рисками

«Отправная точка» во многом созвучна понятию «базовая безопасность». Однако термин baseline security концентрируется на конфигурации инфраструктуры, часто упуская из виду управленческие процессы. Ликвидировать угрозы всегда выгоднее, рассматривая их корневые причины. А такой причиной, вне зависимости от вида угрозы, всегда является пресловутый человеческий фактор.

ISO 27001 требует применение анализа рисков. Какую методику анализа рисков выбрать? Сложные

Слайд 6Разработка и внедрение документов политик информационной безопасности.
Распределение обязанностей по информационной безопасности.
Повышение

осведомленности, обучение и тренинги по информационной безопасности
Правильная обработка в приложениях
Управление техническими уязвимостями Управление техническими уязвимостями
Управление непрерывностью бизнеса.
Управление инцидентами ИБ.

Защита личной информации.
Защита записей организации
Защита прав интеллектуальной собственности
Разработка и внедрение документов политик информационной безопасности.  Распределение обязанностей по информационной безопасности.

Слайд 7предупреждающие (превентивные, preventive) – или, как теперь модно говорить, проактивные, –

это наиболее эффективные средства управления (например, повышение осведомленности персонала, режим доступа, шифрование и т. п.);

исправляющие (коррекционные, corrective) – реактивные, имеют наибольшую область охвата рисков (резервирование и восстановление данных, оборудования, программного обеспечения, персонала);

обнаруживающие (детектирующие, detective) – реактивные, используются для мониторинга и расследований нарушений (журналы событий, системы мониторинга, оповещений, анализа, организационный процесс отчетности об инцидентах ИБ и т. п.).

Вне зависимости от природы средства управления ИБ, они очень логично разбиваются на следующие группы:

Данные средства присутствуют в программно-аппаратных средствах и организационных мерах. Подобная классификация облегчает приоритизацию мероприятий.

предупреждающие (превентивные, preventive) – или, как теперь модно говорить, проактивные, – это

Слайд 8Политика ИБ – это один документ или несколько? Главный, корневой документ

в области ИБ предприятия называется «Политика ИБ». Чтобы не «раздувать» размер документа (оптимальным считается 5-10 страниц), подчиненные, уточняющие, дополняющие и расширяющие документы также называются политиками (policy), но уже в конкретных областях. Например, политика управления активами, доступом или безопасностью персонала. С другой стороны, термин «политика ИБ» чаще всего употребляется в собирательном значении – это все требования предприятия в области ИБ, вне зависимости от того, в каких документах они представлены, и задокументированы ли вообще. .

Номенклатура документации

Политика ИБ – это один документ или несколько? Главный, корневой документ в области

Слайд 9ИБ не является функцией только служб ИБ и ИТ, но также обязанностью

всех сотрудников предприятия. Особое внимание следует уделять руководителям, менеджерам среднего и высшего звена. Например, опытный руководитель всегда знает, что защищать в своем подразделении, но не всегда знает, от чего и как.

Следует возложить ответственность за оценку и классификацию данных, а также за режим доступа к ним на их владельцев. Проще говоря, на владельцев соответствующих бизнес-процессов, иначе говоря, на руководителей подразделений. При этом конкретные технические действия по управлению режимом доступа должны применяться персоналом ИТ или ИБ на основании заявок владельцев данных. Такое разделение обязанностей позволяет создать необходимую основу для защиты от утечки информации, вне зависимости, внедряется ли какое-либо техническое решение, наподобие модных дорогих решений класса DLP

ИБ не является функцией только служб ИБ и ИТ, но также обязанностью всех

Слайд 10Наиболее эффективны тренинги и презентации.

Но также может и должно быть ознакомление

в рамках подписания обязательств при получении доступа, подтверждение условий пользования услугой в рамках корпоративной системы ServiceDesk. Это могут быть ссылки на нормативные документы по ИБ, публикуемые как можно чаще, но уместно и т.п.:

Logon message (AD).
Screensaver.
IFRAME или ссылка на домашней странице.
Новости информационной безопасности (почтовая рассылка, RSS и т.п.).
Информационный раздел на внутреннем корпоративном сайте.
Тест на знание правил и требований ИБ.

Наиболее эффективны тренинги и презентации.   Но также может и должно быть

Слайд 111. Семинар в рамках тренинга.
2. Презентация в рамках тренинга.
3. Моделирование ситуаций (элементы ролевой игры).
4. Ознакомление

новых сотрудников с политикой (под роспись).
5. Ознакомление сотрудников с политикой при перемещениях (под роспись).
6. Внеочередное ознакомление нарушителей с политикой (под роспись).
7. Рубрика в периодическом корпоративном издании.
8. Специализированная стенгазета, постер, настенный календарь.
9. Специализированный раздаточный материал (handouts): бюллетень, брошюра, настольный календарь, листовки.
Публикация основных требований и контактных данных на прочих носителях информации с корпоративным стилем, включая предметы: блокноты, пакеты, шариковые ручки и т. д.
Видеоролик со звуком (тренинг и публикация в интранет).
Конкурсы, тесты, викторины на знание требований ИБ в различных форматах.

Оффлайновые форматы повышения осведомленности

1.	Семинар в рамках тренинга. 2.	Презентация в рамках тренинга. 3.	Моделирование ситуаций (элементы ролевой

Слайд 12
Официальная независимая сертификация – средство гарантирования уровня и статуса специалиста.

Ассоциация ISACA

проводит сертификацию специалистов в области аудита (CISA), информационной безопасности (CISM) и управления ИТ (CGEIT). Данные программы имеют аккредитацию ANSI.

На базе филиала (chapter-in-formation) и компании Ernst&Young функционирует сертификационный центр CISA/CISM. Для сертификации необходима сдача экзамена CISM, проводимого в форме теста на бумаге, подписание ряда обязательств, а также документально подтвержденный опыт в информационной безопасности не менее 5 лет.

Подготовка к сертификации CISM: http://cism.com.ua. Целевая аудитория тренинга – не технический менеджмент среднего и высшего звена.
Официальная независимая сертификация – средство 
 гарантирования уровня и статуса специалиста.

Слайд 13Любое программное обеспечение содержит дыры, то есть, брак. Будем называть вещи

своими именами. Красивые термины «уязвимость», «переполнение буфера» только напускают туман на не-ИТ-шника. В то время как ничем иным, кроме брака, данные недоработки не являются. Конкуренция и отсутствие культуры безопасности заставляют разработчиков гнаться за прибылью и продавать «сырые» продукты.

Кто должен отвечать за patch management? Для больших структур ИТ с высокими требованиями непрерывности бизнеса тестирование обновлений целесообразно вменить в обязанности не администраторов систем Microsoft (SUS/WUS/WSUS, SMS/MOM/System Center), а администраторов конкретных серверов и прикладных сервисов.

Любое программное обеспечение содержит дыры, то есть, брак. Будем называть вещи своими

Слайд 14Привычный «джентльменский набор» безопасности ИТ – штатные средства операционных систем, Active

Directory, антивирус, антиспам, брандмауэр, VPN, NAC или NAP, шифрование, IDS/IPS и другие решения – охватывает далеко не полный спектр угроз ИБ и заведомо в неполной мере. Специалист, предоставляющий только такой набор как средство комплексной безопасности, продаёт клиенту или работодателю вместо продукта «безопасность» продукт «чувство ложной защищенности».

В дополнение к данному техническому набору, как минимум, необходимо внедрение перечисленных базовых организационных процессов ИБ. Такое внедрение позволит многим организациям увидеть реальную картину текущего состояния их информационной безопасности, в короткие сроки «подняться с колен» и увидеть перспективу для дальнейшего наведения порядка.

Безопасность ИТ – это ещё не информационная безопасность.

Привычный «джентльменский набор» безопасности ИТ – штатные средства операционных систем, Active Directory,

Слайд 15Для тех, у кого совсем мало времени…

Для тех, у кого совсем мало времени…

Слайд 16vladimir (a) buldyzhov.com www.buldyzhov.com
Спасибо за внимание!
Вопросы?

vladimir (a) buldyzhov.com
 www.buldyzhov.com  Спасибо за внимание! Вопросы?

Обратная связь

Если не удалось найти и скачать презентацию, Вы можете заказать его на нашем сайте. Мы постараемся найти нужный Вам материал и отправим по электронной почте. Не стесняйтесь обращаться к нам, если у вас возникли вопросы или пожелания:

Email: Нажмите что бы посмотреть 

Что такое ThePresentation.ru?

Это сайт презентаций, докладов, проектов, шаблонов в формате PowerPoint. Мы помогаем школьникам, студентам, учителям, преподавателям хранить и обмениваться учебными материалами с другими пользователями.


Для правообладателей

Яндекс.Метрика