Проблемы зрелости информационной безопасностив крупных отечественных компаниях презентация

ИС. Как минимум, использование аудита и анализа рисков.

Нужно повышать зрелость компании.

На практике системы защиты информации строятся «снизу». Первоочередные меры, безотлагательные внедрения. Расследования.

Недостаточная осознанность руководства?

услуга.

Это постоянная кропотливая работа. Трудно переоценить важность системного подхода, отдельной службы ИБ в организации.

О чём мы говорим?

вида легко приводит к нарушениям другого:

а)  вредоносное ПО скрытно отправляет конфиденциальную информацию в Интернет (взаимосвязь: нарушение целостности приводит к утечке), а также рассылает спам (взаимосвязь: затрата ресурсов),
б)  утечка информации (например, паролей, адресов e-mail) обуславливает заражение вирусами, взлом, спам (взаимосвязь: утечка приводит к нарушению целостности, отказу в доступе, потере рабочего времени),
в)  заражение вредоносным ПО происходит через развлекательные и другие неслужебные сайты (взаимосвязь: потери рабочего времени приводят к нарушению целостности информации и доступности служб и так далее).

2007 года пострадали около 9 миллионов человек.

Долгосрочные издержки на их ликвидацию приближаются к отметке в 2 миллиарда долларов.

http://corp.cnews.ru/reviews/index.shtml?2007/10/09/269626

непрерывностью
• Управление доступностью

Service Support:
• Служба поддержки
• Управление инцидентами
• Управление проблемами
• Управление изменениями
• Управление релизами
• Управление конфигурациями

ITIL Publication Framework:

Интеграция IT Service Management и IT Security Management.
Реальный опыт.

Результаты начала интеграции:
разрешительный механизм ИБ (ISO) реально заработал
увеличился поток сообщений об уязвимостях и нарушениях ИБ

- обеспечения непрерывности бизнеса и ИТ-услуг

Дальнейшие направления интеграции:
- SLA

уменьшает вероятность оказания пользователю (клиенту) лишней, опасной с точки зрения ИБ услуги.

- ServiceDesk предоставляет возможность полноценно реализовать разрешительную систему.

- ServiceDesk повышает полноту охвата и оперативность управления инцидентами.

и SSL эффективны и перспективны. Перспективна защита IM-переписки.

Системы управления доступом к внешним носителям и портам управляют не информацией, а пользователями, их полномочиями.

Тенденция: комплексные решения DLP. Маркирование информации, контроль на границах сети, посекторное шифрование HDD, автом. обучение пользователей (Symantec Vontu, McAffee Safeboot –пример интеграции).

организация отдельной службы защиты информации;

кредит доверия высшего руководства предприятия (организации), который выражается, например, в утвержденной инструкции по ИБ.

учет и классификация нарушений ИБ;

- внедрение политик управления паролями;

- разделение сетей и зон доверия;

- внедрение решений по мониторингу активности;

- корпоративный антивирус, антиспам (стоит внимания MS ForeFront), PKI, VPN.

Кредит доверия

Дебет успеха

- внедрение учета полномочий;

не будет работать.

Есть явления девальвации стандартов управления ИТ и ИБ. Своевременность внедрения политик и стандартов – залог их успеха.

Удобство использования – главный критерий принятия политик руководителями и пользователями.

17799:2005: появился раздел «Управление инцидентами».
ISO 27001:2005 использует подходы CobiT и т. д.

ISO, ITIL и CobiT непротиворечивы, могут и должны использоваться совместно. Каждый силен в своем: ITIL – в управлении ИТ-услугами, CobiT – в измерениях (эффективности и т. п.), ISO 27001/17799/13335 – в ИБ.
ISO, CobiT и ITIL будут гармонизированы ISO в ближайшие 2-3 года. Нужно также рассматривать и другие стандарты ИТ, как специфичные, так и абстрактные.

ISO 20000/BS 15000 (управление услугами ИТ) коррелирует с ITIL.

2. Если уже имеется система управления процессами по ISO 9001 или 14001, то ISO 27001:2005 рекомендует «дополнить» данную систему элементами системы управления ИБ.

3. Наиболее наглядный пример выгоды от сертификации по ISO для бизнеса – повышение инвестиционной привлекательности.

Западные инвесторы и биржи требуют соответствие ISO, Акту Сарбанеса-Оксли, заключения об аудите одного из членов big4.