- Главная
- Разное
- Дизайн
- Бизнес и предпринимательство
- Аналитика
- Образование
- Развлечения
- Красота и здоровье
- Финансы
- Государство
- Путешествия
- Спорт
- Недвижимость
- Армия
- Графика
- Культурология
- Еда и кулинария
- Лингвистика
- Английский язык
- Астрономия
- Алгебра
- Биология
- География
- Детские презентации
- Информатика
- История
- Литература
- Маркетинг
- Математика
- Медицина
- Менеджмент
- Музыка
- МХК
- Немецкий язык
- ОБЖ
- Обществознание
- Окружающий мир
- Педагогика
- Русский язык
- Технология
- Физика
- Философия
- Химия
- Шаблоны, картинки для презентаций
- Экология
- Экономика
- Юриспруденция
Стандартизация в области управления ИБ презентация
Содержание
- 1. Стандартизация в области управления ИБ
- 2. Развитие стандартов в области управления ИБ. Основные
- 3. ISO (International Organization for Standardization) – Международная
- 4. Ежегодно - более 1000 международных стандартов. Комитетами-членами
- 5. ISO разрабатывает стандарты ISO 9000 – для
- 6. Этапы развития стандартов ISO 27001 и 27002
- 7. Министерство торговли и промышленности Великобритании (DTI) разработало
- 8. В 1995 г. национальный британский стандарт BS
- 9. В 1999 г. ISO принимает за базу
- 10. После выпуска новой версии стандарта BS 7799:2002,
- 11. Внедрение стандартов обеспечения ИБ, дает преимущества:
- 12. Излишняя формализация деятельности; Бюрократизация; Возрастающая нагрузка на исполнителей и аудиторов; Несовершенство стандартов. Недостатки стандартизации
- 13. Вопрос 2: «Основные стандарты по управлению ИБ»
- 14. ГОСТ Р ИСО/МЭК 27000-2012 Информационная технология. Методы и
- 15. ГОСТ Р ИСО/МЭК 27004-2011 Менеджмент информационной безопасности.
- 16. ГОСТ Р ИСО/МЭК 27011-2012 Руководства по менеджменту ИБ
- 17. ISO 27799:2008 Health informatics - Information security
- 18. Сделать большинство информационных активов наиболее понятными для
- 19. Определить личную ответственность. Достигнуть снижения и
- 20. Требования имеют общий характер и могут быть
- 21. Свод правил и рекомендаций по управлению системой
- 22. Гибкость и универсальность. Набор лучших практик
- 23. Является слишком абстрактным и нечетко структурированным.
- 27. СТО БР ИББС РФ; Стандарты CoBiT ISO\IEC
- 28. СТО БР ИББС — комплекс документов Банка
- 33. Рекомендации в области стандартизации Обеспечение ИБ
- 34. Рекомендации в области стандартизации Обеспечение ИБ
- 35. Рекомендации в области стандартизации 2015 г Обеспечение
- 36. РС БР ИББС-2.3-2010. «Требования по обеспечению безопасности
- 37. Возможно значительно минимизировать количество ИСПДн и уменьшить
- 38. CoBiT (Control Objectives for Information and Related
- 39. Вводит показатели (метрики) для оценки эффективности реализации
- 40. БР ставит своей задачей соответствовать уровню не
- 41. Стандарт ISO/IEC TR 18044:2004 (ГОСТ Р ИСО/МЭК
- 42. Отказ в обслуживании (зондирование сетевых адресов, полное
- 43. ГОСТ Р ИСО/МЭК 18045-2013 Методология оценки безопасности
- 44. BS 25999-1:2006, «Управление непрерывностью бизнеса - Часть
- 45. Устанавливает требования к системе управления непрерывностью бизнеса,
- 46. Разработан на базе существующих стандартов обеспечения непрерывности
- 47. Руководство по управлению непрерывностью ИТ сервисов объясняет
- 48. ГОСТ Р ИСО/МЭК 13335-1-2006. «ИТ. Методы и
Развитие стандартов в области управления ИБ. Основные стандарты по управлению ИБ. Отраслевые стандарты и стандарты на отдельные процессы управления ИБ. Вопросы:
Слайд 2Развитие стандартов в области управления ИБ.
Основные стандарты по управлению ИБ.
Отраслевые стандарты
и стандарты на отдельные процессы управления ИБ.
Вопросы:
Слайд 3ISO (International Organization for Standardization) – Международная организация по стандартизации. Разрабатывает
технические стандарты по всем направлениям бизнеса, отраслям промышленности и технологиям.
Цели деятельности:
содействие развитию стандартизации;
облегчение международного товарообмена и взаимопомощи;
расширение сотрудничества в области интеллектуальной, научной, технической и экономической деятельности.
Цели деятельности:
содействие развитию стандартизации;
облегчение международного товарообмена и взаимопомощи;
расширение сотрудничества в области интеллектуальной, научной, технической и экономической деятельности.
Вопрос 1: «Развитие стандартов в области управления ИБ»
Слайд 4Ежегодно - более 1000 международных стандартов.
Комитетами-членами ISO являются национальные организации по
стандартизации.
Некоторые сведения об ISO
Дата открытия – 26 октября 1946 г.
Штаб квартира в Женеве, Швейцария.
Слайд 5ISO разрабатывает стандарты
ISO 9000 – для менеджмента качества,
ISO 14000 –
для экологического менеджмента,
ISO 27000 - для менеджмента информационной безопасности.
ISO 27000 - для менеджмента информационной безопасности.
Слайд 7Министерство торговли и промышленности Великобритании (DTI) разработало свод лучших практик по
обеспечению безопасности».
IDC - подразделение DTI.
DTI опубликовало в 1989 году стандарт «User Code of Practice».
IDC - подразделение DTI.
DTI опубликовало в 1989 году стандарт «User Code of Practice».
Появление первого стандарта ИБ:
IDC 1989
Слайд 8В 1995 г. национальный британский стандарт BS 7799.
BS 7799 часть
1. Рекомендательный характер, набор лучших практик в области обеспечения ИБ.
BS 7799 часть 2. Для сертификации. Обязательные требования, не входившие в часть 1.
BS 7799 часть 2. Для сертификации. Обязательные требования, не входившие в часть 1.
Британский стандарт (BS) 7799
Слайд 9В 1999 г. ISO принимает за базу BS 7799: часть 1.
В
2000 году BS 7799:1:
стал ISO 17799,
получил статус международного стандарта.
Изначально сертификации по ISO 17799 предусмотрено не было.
стал ISO 17799,
получил статус международного стандарта.
Изначально сертификации по ISO 17799 предусмотрено не было.
Появление ISO 17999
Слайд 10После выпуска новой версии стандарта BS 7799:2002, Часть 2 стандарт ISO
17999 пересмотрен как ISO 17999:2005, затем название изменено на ISO 27002:2005.
В июле 2007 года стандарт BS 7799, Часть 2 выпущен ISO как стандарт ISO 27001:2005.
В июле 2007 года стандарт BS 7799, Часть 2 выпущен ISO как стандарт ISO 27001:2005.
Утверждение 27001 и 27002
Слайд 11Внедрение стандартов обеспечения ИБ, дает преимущества:
приобщение к лучшим мировым и
отечественным практикам;
упорядочение бизнес-процессов организации в рамках предметной области стандарта и более строгое их исполнение сотрудниками.
упорядочение бизнес-процессов организации в рамках предметной области стандарта и более строгое их исполнение сотрудниками.
Преимущества и недостатки внедрения СМИБ в соответствии со стандартами
Слайд 12Излишняя формализация деятельности;
Бюрократизация;
Возрастающая нагрузка на исполнителей и аудиторов;
Несовершенство стандартов.
Недостатки стандартизации
Слайд 14ГОСТ Р ИСО/МЭК 27000-2012 Информационная технология. Методы и средства обеспечения безопасности. Системы
менеджмента информационной безопасности. Общий обзор и терминология
ГОСТ Р ИСО/МЭК 27001-2006 Системы менеджмента информационной безопасности. Требования
ГОСТ Р ИСО/МЭК 27002-2012 Свод норм и правил менеджмента информационной безопасности
ГОСТ Р ИСО/МЭК 27003-2012 Системы менеджмента информационной безопасности. Руководство по реализации системы менеджмента информационной безопасности
ГОСТ Р ИСО/МЭК 27001-2006 Системы менеджмента информационной безопасности. Требования
ГОСТ Р ИСО/МЭК 27002-2012 Свод норм и правил менеджмента информационной безопасности
ГОСТ Р ИСО/МЭК 27003-2012 Системы менеджмента информационной безопасности. Руководство по реализации системы менеджмента информационной безопасности
НАЦИОНАЛЬНЫЕ СТАНДАРТЫ РФ
Слайд 15ГОСТ Р ИСО/МЭК 27004-2011 Менеджмент информационной безопасности. Измерения
ГОСТ Р ИСО/МЭК 27005-2010.
Менеджмент риска информационной безопасности
ГОСТ Р ИСО/МЭК 27006-2008. Требования к органам, осуществляющим аудит и сертификацию систем менеджмента информационной безопасности
ГОСТ Р ИСО/МЭК 27007-2014 Руководства по аудиту систем менеджмента ИБ.
ГОСТ Р ИСО/МЭК 27006-2008. Требования к органам, осуществляющим аудит и сертификацию систем менеджмента информационной безопасности
ГОСТ Р ИСО/МЭК 27007-2014 Руководства по аудиту систем менеджмента ИБ.
Слайд 16ГОСТ Р ИСО/МЭК 27011-2012 Руководства по менеджменту ИБ для телекоммуникационных организаций на
основе ИСО/МЭК 27002.
ГОСТ Р ИСО/МЭК 27031-2012 Руководство по готовности информационно-коммуникационных технологий к обеспечению непрерывности бизнеса.
ГОСТ Р ИСО/МЭК 27033-2011 Безопасность сетей.
ГОСТ Р ИСО/МЭК 27037-2014 Руководства по идентификации, сбору, получению и хранению свидетельств, представленных в цифровой форме.
ГОСТ Р ИСО/МЭК 27013-2014 Руководство по совместному использованию стандартов ИСО/МЭК 27001 и ИСО/МЭК 20000-1.
ГОСТ Р ИСО/МЭК 27031-2012 Руководство по готовности информационно-коммуникационных технологий к обеспечению непрерывности бизнеса.
ГОСТ Р ИСО/МЭК 27033-2011 Безопасность сетей.
ГОСТ Р ИСО/МЭК 27037-2014 Руководства по идентификации, сбору, получению и хранению свидетельств, представленных в цифровой форме.
ГОСТ Р ИСО/МЭК 27013-2014 Руководство по совместному использованию стандартов ИСО/МЭК 27001 и ИСО/МЭК 20000-1.
Слайд 17ISO 27799:2008 Health informatics - Information security management in health using
ISO/IEC 27002
ГОСТ Р 54472-2011 Информатизация здоровья. Передача электронных медицинских карт. Часть 4. Безопасность
ГОСТ Р 54472-2011 Информатизация здоровья. Передача электронных медицинских карт. Часть 4. Безопасность
ГОСТ Р 54472-2011
Слайд 18Сделать большинство информационных активов наиболее понятными для менеджмента компании;
Выявлять основные угрозы
безопасности для существующих бизнес-процессов;
Рассчитывать риски и принимать решения на основе бизнес-целей компании;
Обеспечить эффективное управление системой в критичных ситуациях;
Находить и исправлять слабые места в системе ИБ).
Рассчитывать риски и принимать решения на основе бизнес-целей компании;
Обеспечить эффективное управление системой в критичных ситуациях;
Находить и исправлять слабые места в системе ИБ).
Система управления ИБ на основе стандарта ISO 27001 для предприятия позволяет:
Слайд 19Определить личную ответственность.
Достигнуть снижения и оптимизации стоимости поддержки системы безопасности.
Продемонстрировать клиентам, партнерам, владельцам бизнеса свою приверженность к информационной безопасности.
Получить международное признание и повышение авторитета компании, как на внутреннем рынке, так и на внешних рынках
Подчеркнуть прозрачность и чистоту бизнеса перед законом благодаря соответствию стандарту.
Слайд 20Требования имеют общий характер и могут быть использованы широким кругом организаций.
По
стандарту проводится официальная сертификация СУИБ.
Сертификация позволяет показать деловым партнерам, инвесторам и клиентам, что в компании защита информации поставлена на высокий уровень и налажено эффективное управление информационной безопасностью.
Сертификация позволяет показать деловым партнерам, инвесторам и клиентам, что в компании защита информации поставлена на высокий уровень и налажено эффективное управление информационной безопасностью.
Стандарт ISO 27001
Слайд 21Свод правил и рекомендаций по управлению системой безопасности для тех, кто
отвечает за ее создание, реализацию или обслуживание.
Перечислены меры и средства контроля и управления, как и в ISO 27001, но уже вместе с детальным объяснением передового опыта их реализации.
Перечислены меры и средства контроля и управления, как и в ISO 27001, но уже вместе с детальным объяснением передового опыта их реализации.
Стандарт ISO 27002
Слайд 22Гибкость и универсальность.
Набор лучших практик применим к любой организации, независимо
от формы собственности, вида деятельности, размера и внешних условий.
Помогает определить верное направление и не упустить из виду существенные моменты.
Помогает определить верное направление и не упустить из виду существенные моменты.
Достоинства ISO 27001-27002
Слайд 23Является слишком абстрактным и нечетко структурированным.
Недостаточно основательное его применение может
давать ложное чувство защищенности.
Описывает меры по обеспечению безопасности в общем виде, но не говорит о технических аспектах их реализации (USB-ключи, смарт-карты, и т.п.)
Описывает меры по обеспечению безопасности в общем виде, но не говорит о технических аспектах их реализации (USB-ключи, смарт-карты, и т.п.)
Недостатки ISO 27001
Слайд 27СТО БР ИББС РФ;
Стандарты CoBiT
ISO\IEC 18044/18045;
Британские стандарты BS 25999/25777.
Вопрос 3: «Отраслевые
стандарты и стандарты на отдельные процессы управления ИБ»
Слайд 28СТО БР ИББС — комплекс документов Банка России, описывающий единый подход
к построению системы обеспечения ИБ организаций банковской сферы с учётом требований российского законодательства.
Цель - обеспечить повышение доверия ко всей банковской системе РФ посредством установки единых требований по обеспечению ИБ кредитных организаций.
Разработан с учетом основных отечественных и зарубежных стандартов в этой сфере.
Цель - обеспечить повышение доверия ко всей банковской системе РФ посредством установки единых требований по обеспечению ИБ кредитных организаций.
Разработан с учетом основных отечественных и зарубежных стандартов в этой сфере.
СТО БР ИББС
Слайд 33Рекомендации в области стандартизации
Обеспечение ИБ организаций БС РФ. Методические рекомендации
по документации в области обеспечения ИБ в соответствии с требованиями СТО БР ИББС-1.0 (РС БР ИББС-2.0-2007)
Обеспечение ИБ организаций БС РФ. Руководство по самооценке соответствия ИБ организаций банковской системы РФ требованиям стандарта СТО БР ИББС-1.0 (РС БР ИББС-2.1-2007)
Обеспечение ИБ организаций БС РФ. Методика оценки рисков нарушения ИБ (РC БР ИББС-2.2-2009)
Обеспечение ИБ организаций БС РФ. Руководство по самооценке соответствия ИБ организаций банковской системы РФ требованиям стандарта СТО БР ИББС-1.0 (РС БР ИББС-2.1-2007)
Обеспечение ИБ организаций БС РФ. Методика оценки рисков нарушения ИБ (РC БР ИББС-2.2-2009)
Слайд 34Рекомендации в области стандартизации
Обеспечение ИБ организаций БС РФ. Менеджмент инцидентов
информационной безопасности (РС БР ИББС-2.5-2014)
Обеспечение ИБ организаций БС РФ. Обеспечение информационной безопасности на стадиях жизненного цикла автоматизированных банковских систем (РС БР ИББС-2.6-2014).
Обеспечение ИБ организаций БС РФ. Обеспечение информационной безопасности на стадиях жизненного цикла автоматизированных банковских систем (РС БР ИББС-2.6-2014).
Слайд 35Рекомендации в области стандартизации 2015 г
Обеспечение ИБ организаций БС РФ. Ресурсное
обеспечение информационной безопасности (РС БР ИББС-2.7-2015)
Обеспечение ИБ организаций БС РФ. Обеспечение информационной безопасности при использовании технологии виртуализации (РС БР ИББС-2.8-2015)
Обеспечение ИБ организаций БС РФ. Обеспечение информационной безопасности при использовании технологии виртуализации (РС БР ИББС-2.8-2015)
Слайд 36РС БР ИББС-2.3-2010. «Требования по обеспечению безопасности ПДн в ИСПДн организаций
БС РФ».
РС БР ИББС-2.4-2010. «Отраслевая частная модель угроз безопасности ПДн при их обработке в ИСПДн данных организаций БС РФ».
РС БР ИББС-2.4-2010. «Отраслевая частная модель угроз безопасности ПДн при их обработке в ИСПДн данных организаций БС РФ».
РС по защите ПДн:
Слайд 37Возможно значительно минимизировать количество ИСПДн и уменьшить расходы на внедрение технических
решений.
Согласно Методическим рекомендациям по выполнению законодательных требований при обработке ПДн в организациях БС РФ, защищать нужно не по требованиям защиты ПДн, а по требованиям защиты банковской тайны.
Согласно Методическим рекомендациям по выполнению законодательных требований при обработке ПДн в организациях БС РФ, защищать нужно не по требованиям защиты ПДн, а по требованиям защиты банковской тайны.
Преимущества СТО БР ИББС при организации защиты ПДн в РФ
Слайд 38CoBiT (Control Objectives for Information and Related Technology («Задачи информационных и
смежных технологий») - пакет открытых документов, около 40 международных и национальных стандартов и руководств в области управления IT, аудита и IT-безопасности.
Стандарты CoBiT
Слайд 39Вводит показатели (метрики) для оценки эффективности реализации системы управления IT для
аудиторов IT-систем.
Оцениваются показатели соответствия компьютерной IT-системы принятым стандартам и требованиям:
достоверность информации, действенность,
конфиденциальность, целостность и доступность обрабатываемой в системе информации.
Оцениваются показатели соответствия компьютерной IT-системы принятым стандартам и требованиям:
достоверность информации, действенность,
конфиденциальность, целостность и доступность обрабатываемой в системе информации.
Показатели эффективности CoBiT
Слайд 40БР ставит своей задачей соответствовать уровню не ниже 4 "модели зрелости
управления информационными технологиями" в соответствии с классификацией стандарта COBIT.
Четвертый уровень ("управляемый") подразумевает, что:
обеспечиваются мониторинг и оценка соответствия используемых в организации процессов.
при выявлении низкой эффективности реализуемых процессов управления ИБ обеспечивается их оптимизация.
процессы управления ИБ находятся в стадии непрерывного совершенствования и основываются на хорошей практике.
средства автоматизации управления ИБ используются частично и в ограниченном объеме.
Четвертый уровень ("управляемый") подразумевает, что:
обеспечиваются мониторинг и оценка соответствия используемых в организации процессов.
при выявлении низкой эффективности реализуемых процессов управления ИБ обеспечивается их оптимизация.
процессы управления ИБ находятся в стадии непрерывного совершенствования и основываются на хорошей практике.
средства автоматизации управления ИБ используются частично и в ограниченном объеме.
Реализация CoBiT в ИББС (пример)
Слайд 41Стандарт ISO/IEC TR 18044:2004 (ГОСТ Р ИСО/МЭК ТО 18044-2007) - Информационная
технология - Методы и средства обеспечения безопасности – Менеджмент инцидентов информационной безопасности.
Предназначен для использования организациями всех сфер деятельности при обеспечении информационной безопасности в процессе менеджмента инцидентов.
Предназначен для использования организациями всех сфер деятельности при обеспечении информационной безопасности в процессе менеджмента инцидентов.
Стандарт ISO 18044
Слайд 42Отказ в обслуживании (зондирование сетевых адресов, полное заполнение сети трафиком ответных
сообщений, передача данных в непредусмотренном формате, одновременное открытие нескольких сеансов с системой, сервисом, сетью).
Сбор информации (зондирование системы, сканирование портов).
НСД (попытки извлечь файлы с паролями, расширение привилегий).
Сбор информации (зондирование системы, сканирование портов).
НСД (попытки извлечь файлы с паролями, расширение привилегий).
Примеры инцидентов ИБ
Слайд 43ГОСТ Р ИСО/МЭК 18045-2013
Методология оценки безопасности информационных технологий
Сопровождает ИСО/МЭК 15408 «Информационная
технология – методы и средства обеспечения безопасности – критерии оценки безопасности информационных технологий»
Стандарт ISO 18045
Слайд 44BS 25999-1:2006, «Управление непрерывностью бизнеса - Часть 1: Практические правила»
Определяет процесс,
принципы и терминологию в области управления непрерывностью бизнеса.
Описывает набор механизмов контроля и охватывает весь жизненный цикл процесса управления непрерывностью бизнеса.
Описывает набор механизмов контроля и охватывает весь жизненный цикл процесса управления непрерывностью бизнеса.
Британские стандарты серии
BS 25999 и BS 25777
Слайд 45Устанавливает требования к системе управления непрерывностью бизнеса, соблюдение которых может быть
объективно проверено.
Используя эти требования, компании могут проводить оценку существующей системы управления непрерывностью бизнеса, как самостоятельно, так и привлекая внешних консультантов.
На основании второй части стандарта сертификационные органы выдают заключение о соответствии системы управления непрерывностью бизнеса требованиям стандарта BS 25999.
Используя эти требования, компании могут проводить оценку существующей системы управления непрерывностью бизнеса, как самостоятельно, так и привлекая внешних консультантов.
На основании второй части стандарта сертификационные органы выдают заключение о соответствии системы управления непрерывностью бизнеса требованиям стандарта BS 25999.
BS 25999-2:2007 «Управление непрерывностью бизнеса - Часть 2: Спецификация»
Слайд 46Разработан на базе существующих стандартов обеспечения непрерывности бизнеса BS 25999 и
дополняющей их публичной спецификации PAS 77, - лучшая мировая практика в области обеспечения непрерывности ИТ сервисов.
Управление непрерывностью ИКТ обеспечивает их жизнеспособность, возможность их восстановления до заранее определенного уровня в необходимые сроки, согласованные с руководством организации.
Управление непрерывностью ИКТ обеспечивает их жизнеспособность, возможность их восстановления до заранее определенного уровня в необходимые сроки, согласованные с руководством организации.
BS 25777:2008, "Управление непрерывностью информационных и коммуникационных технологий – Практические правила"
Слайд 47Руководство по управлению непрерывностью ИТ сервисов объясняет принципы и некоторые рекомендуемые
методы управления ИТ сервисами.
Предназначено для использования людьми, ответственными за управление непрерывностью ИТ сервисами в организации.
ГОСТ Р 53647.8-2013 Менеджмент непрерывности бизнеса. Управление человеческими ресурсами
Предназначено для использования людьми, ответственными за управление непрерывностью ИТ сервисами в организации.
ГОСТ Р 53647.8-2013 Менеджмент непрерывности бизнеса. Управление человеческими ресурсами
PAS 77:2006, "Управление непрерывностью ИТ сервисов"
Слайд 48ГОСТ Р ИСО/МЭК 13335-1-2006. «ИТ. Методы и средства обеспечения безопасности. Концепция
и модели менеджмента безопасности ИТ технологий».
ГОСТ Р ИСО/МЭК 13335-3 2007 «ИТ. Методы и средства обеспечения безопасности. Методы менеджмента безопасности информационных технологий»
ГОСТ Р ИСО/МЭК 13335-4 2007«ИТ. Методы и средства обеспечения безопасности. Выбор защитных мер».
ГОСТ Р ИСО/МЭК 13335-5 2007«ИТ. Методы и средства обеспечения безопасности. Руководство по менеджменту безопасности сети».
ГОСТ Р ИСО/МЭК 13335-3 2007 «ИТ. Методы и средства обеспечения безопасности. Методы менеджмента безопасности информационных технологий»
ГОСТ Р ИСО/МЭК 13335-4 2007«ИТ. Методы и средства обеспечения безопасности. Выбор защитных мер».
ГОСТ Р ИСО/МЭК 13335-5 2007«ИТ. Методы и средства обеспечения безопасности. Руководство по менеджменту безопасности сети».
ISO/IEC 13335 (отменены)
