Стандартизация в области управления ИБ презентация

Содержание

Развитие стандартов в области управления ИБ. Основные стандарты по управлению ИБ. Отраслевые стандарты и стандарты на отдельные процессы управления ИБ. Вопросы:

Слайд 1УПРАВЛЕНИЕ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТЬЮ
Лекция 2
«Стандартизация в области управления ИБ»


Слайд 2Развитие стандартов в области управления ИБ.
Основные стандарты по управлению ИБ.
Отраслевые стандарты

и стандарты на отдельные процессы управления ИБ.

Вопросы:


Слайд 3ISO (International Organization for Standardization) – Международная организация по стандартизации. Разрабатывает

технические стандарты по всем направлениям бизнеса, отраслям промышленности и технологиям.
Цели деятельности:
содействие развитию стандартизации;
облегчение международного товарообмена и взаимопомощи;
расширение сотрудничества в области интеллектуальной, научной, технической и экономической деятельности. 

Вопрос 1: «Развитие стандартов в области управления ИБ»


Слайд 4Ежегодно - более 1000 международных стандартов.
Комитетами-членами ISO являются национальные организации по

стандартизации.

Некоторые сведения об ISO

Дата открытия – 26 октября 1946 г.
Штаб квартира в Женеве, Швейцария.


Слайд 5ISO разрабатывает стандарты
ISO 9000 – для менеджмента качества,
ISO 14000 –

для экологического менеджмента,
ISO 27000 - для менеджмента информационной безопасности.


Слайд 6Этапы развития стандартов ISO 27001 и 27002


Слайд 7Министерство торговли и промышленности Великобритании (DTI) разработало свод лучших практик по

обеспечению безопасности».
IDC - подразделение DTI.
DTI опубликовало в 1989 году стандарт «User Code of Practice».

Появление первого стандарта ИБ: IDC 1989


Слайд 8В 1995 г. национальный британский стандарт BS 7799.
BS 7799 часть

1. Рекомендательный характер, набор лучших практик в области обеспечения ИБ.
BS 7799 часть 2. Для сертификации. Обязательные требования, не входившие в часть 1.

Британский стандарт (BS) 7799


Слайд 9В 1999 г. ISO принимает за базу BS 7799: часть 1.
В

2000 году BS 7799:1:
стал ISO 17799,
получил статус международного стандарта.
Изначально сертификации по ISO 17799 предусмотрено не было.

Появление ISO 17999


Слайд 10После выпуска новой версии стандарта BS 7799:2002, Часть 2 стандарт ISO

17999 пересмотрен как ISO 17999:2005, затем название изменено на ISO 27002:2005.
В июле 2007 года стандарт BS 7799, Часть 2 выпущен ISO как стандарт ISO 27001:2005.

Утверждение 27001 и 27002


Слайд 11Внедрение стандартов обеспечения ИБ, дает преимущества:
приобщение к лучшим мировым и

отечественным практикам;
упорядочение бизнес-процессов организации в рамках предметной области стандарта и более строгое их исполнение сотрудниками.

Преимущества и недостатки внедрения СМИБ в соответствии со стандартами


Слайд 12Излишняя формализация деятельности;
Бюрократизация;
Возрастающая нагрузка на исполнителей и аудиторов;
Несовершенство стандартов.

Недостатки стандартизации


Слайд 13

Вопрос 2: «Основные стандарты по управлению ИБ»


Слайд 14ГОСТ Р ИСО/МЭК 27000-2012 Информационная технология. Методы и средства обеспечения безопасности. Системы

менеджмента информационной безопасности. Общий обзор и терминология
ГОСТ Р ИСО/МЭК 27001-2006 Системы менеджмента информационной безопасности. Требования
ГОСТ Р ИСО/МЭК 27002-2012 Свод норм и правил менеджмента информационной безопасности
ГОСТ Р ИСО/МЭК 27003-2012 Системы менеджмента информационной безопасности. Руководство по реализации системы менеджмента информационной безопасности

НАЦИОНАЛЬНЫЕ СТАНДАРТЫ РФ


Слайд 15ГОСТ Р ИСО/МЭК 27004-2011 Менеджмент информационной безопасности. Измерения
ГОСТ Р ИСО/МЭК 27005-2010.

Менеджмент риска информационной безопасности
ГОСТ Р ИСО/МЭК 27006-2008. Требования к органам, осуществляющим аудит и сертификацию систем менеджмента информационной безопасности
ГОСТ Р ИСО/МЭК 27007-2014 Руководства по аудиту систем менеджмента ИБ.


Слайд 16ГОСТ Р ИСО/МЭК 27011-2012 Руководства по менеджменту ИБ для телекоммуникационных организаций на

основе ИСО/МЭК 27002.
ГОСТ Р ИСО/МЭК 27031-2012 Руководство по готовности информационно-коммуникационных технологий к обеспечению непрерывности бизнеса.
ГОСТ Р ИСО/МЭК 27033-2011 Безопасность сетей.
ГОСТ Р ИСО/МЭК 27037-2014 Руководства по идентификации, сбору, получению и хранению свидетельств, представленных в цифровой форме.
ГОСТ Р ИСО/МЭК 27013-2014 Руководство по совместному использованию стандартов ИСО/МЭК 27001 и ИСО/МЭК 20000-1.



Слайд 17ISO 27799:2008 Health informatics - Information security management in health using

ISO/IEC 27002
ГОСТ Р 54472-2011  Информатизация здоровья. Передача электронных медицинских карт. Часть 4. Безопасность


ГОСТ Р 54472-2011


Слайд 18Сделать большинство информационных активов наиболее понятными для менеджмента компании;
Выявлять основные угрозы

безопасности для существующих бизнес-процессов;
Рассчитывать риски и принимать решения на основе бизнес-целей компании;
Обеспечить эффективное управление системой в критичных ситуациях;
Находить и исправлять слабые места в системе ИБ).

Система управления ИБ на основе стандарта ISO 27001 для предприятия позволяет:


Слайд 19Определить личную ответственность.
Достигнуть снижения и оптимизации стоимости поддержки системы безопасности.


Продемонстрировать клиентам, партнерам, владельцам бизнеса свою приверженность к информационной безопасности.
Получить международное признание и повышение авторитета компании, как на внутреннем рынке, так и на внешних рынках
Подчеркнуть прозрачность и чистоту бизнеса перед законом благодаря соответствию стандарту.

Слайд 20Требования имеют общий характер и могут быть использованы широким кругом организаций.
По

стандарту проводится официальная сертификация СУИБ.
Сертификация позволяет показать деловым партнерам, инвесторам и клиентам, что в компании защита информации поставлена на высокий уровень и налажено эффективное управление информационной безопасностью.

Стандарт ISO 27001


Слайд 21Свод правил и рекомендаций по управлению системой безопасности для тех, кто

отвечает за ее создание, реализацию или обслуживание.
Перечислены меры и средства контроля и управления, как и в ISO 27001, но уже вместе с детальным объяснением передового опыта их реализации.

Стандарт ISO 27002


Слайд 22Гибкость и универсальность.
Набор лучших практик применим к любой организации, независимо

от формы собственности, вида деятельности, размера и внешних условий.
Помогает определить верное направление и не упустить из виду существенные моменты.

Достоинства ISO 27001-27002


Слайд 23Является слишком абстрактным и нечетко структурированным.
Недостаточно основательное его применение может

давать ложное чувство защищенности.
Описывает меры по обеспечению безопасности в общем виде, но не говорит о технических аспектах их реализации (USB-ключи, смарт-карты, и т.п.)

Недостатки ISO 27001


Слайд 27СТО БР ИББС РФ;
Стандарты CoBiT
ISO\IEC 18044/18045;
Британские стандарты BS 25999/25777.


Вопрос 3: «Отраслевые

стандарты и стандарты на отдельные процессы управления ИБ»

Слайд 28СТО БР ИББС — комплекс документов Банка России, описывающий единый подход

к построению системы обеспечения ИБ организаций банковской сферы с учётом требований российского законодательства.
Цель - обеспечить повышение доверия ко всей банковской системе РФ посредством установки единых требований по обеспечению ИБ кредитных организаций. 
Разработан с учетом основных отечественных и зарубежных стандартов в этой сфере.

СТО БР ИББС


Слайд 33Рекомендации в области стандартизации
Обеспечение ИБ организаций БС РФ. Методические рекомендации

по документации в области обеспечения ИБ в соответствии с требованиями СТО БР ИББС-1.0 (РС БР ИББС-2.0-2007)
Обеспечение ИБ организаций БС РФ. Руководство по самооценке соответствия ИБ организаций банковской системы РФ требованиям стандарта СТО БР ИББС-1.0 (РС БР ИББС-2.1-2007)
Обеспечение ИБ организаций БС РФ. Методика оценки рисков нарушения ИБ (РC БР ИББС-2.2-2009)


Слайд 34Рекомендации в области стандартизации
Обеспечение ИБ организаций БС РФ. Менеджмент инцидентов

информационной безопасности (РС БР ИББС-2.5-2014)
Обеспечение ИБ организаций БС РФ. Обеспечение информационной безопасности на стадиях жизненного цикла автоматизированных банковских систем (РС БР ИББС-2.6-2014).

Слайд 35Рекомендации в области стандартизации 2015 г
Обеспечение ИБ организаций БС РФ. Ресурсное

обеспечение информационной безопасности (РС БР ИББС-2.7-2015)
Обеспечение ИБ организаций БС РФ. Обеспечение информационной безопасности при использовании технологии виртуализации (РС БР ИББС-2.8-2015)


Слайд 36РС БР ИББС-2.3-2010. «Требования по обеспечению безопасности ПДн в ИСПДн организаций

БС РФ».
РС БР ИББС-2.4-2010. «Отраслевая частная модель угроз безопасности ПДн при их обработке в ИСПДн данных организаций БС РФ».

РС по защите ПДн:


Слайд 37Возможно значительно минимизировать количество  ИСПДн и уменьшить расходы на внедрение технических

решений.
Согласно Методическим рекомендациям по выполнению законодательных требований при обработке ПДн в организациях БС РФ, защищать нужно не по требованиям защиты ПДн, а по требованиям защиты банковской тайны.

Преимущества СТО БР ИББС при организации защиты ПДн в РФ


Слайд 38CoBiT (Control Objectives for Information and Related Technology («Задачи информационных и

смежных технологий») - пакет открытых документов, около 40 международных и национальных стандартов и руководств в области управления IT, аудита и IT-безопасности.

Стандарты CoBiT


Слайд 39Вводит показатели (метрики) для оценки эффективности реализации системы управления IT для

аудиторов IT-систем.
Оцениваются показатели соответствия компьютерной IT-системы принятым стандартам и требованиям:
достоверность информации, действенность,
конфиденциальность, целостность и доступность обрабатываемой в системе информации.

Показатели эффективности CoBiT


Слайд 40БР ставит своей задачей соответствовать уровню не ниже 4 "модели зрелости

управления информационными технологиями" в соответствии с классификацией стандарта COBIT.
Четвертый уровень ("управляемый") подразумевает, что:
обеспечиваются мониторинг и оценка соответствия используемых в организации процессов.
при выявлении низкой эффективности реализуемых процессов управления ИБ обеспечивается их оптимизация.
процессы управления ИБ находятся в стадии непрерывного совершенствования и основываются на хорошей практике.
средства автоматизации управления ИБ используются частично и в ограниченном объеме.

Реализация CoBiT в ИББС (пример)


Слайд 41Стандарт ISO/IEC TR 18044:2004 (ГОСТ Р ИСО/МЭК ТО 18044-2007) - Информационная

технология - Методы и средства обеспечения безопасности – Менеджмент инцидентов информационной безопасности.
Предназначен для использования организациями всех сфер деятельности при обеспечении информационной безопасности в процессе менеджмента инцидентов.

Стандарт ISO 18044


Слайд 42Отказ в обслуживании (зондирование сетевых адресов, полное заполнение сети трафиком ответных

сообщений, передача данных в непредусмотренном формате, одновременное открытие нескольких сеансов с системой, сервисом, сетью).
Сбор информации (зондирование системы, сканирование портов).
НСД (попытки извлечь файлы с паролями, расширение привилегий).


Примеры инцидентов ИБ


Слайд 43ГОСТ Р ИСО/МЭК 18045-2013  Методология оценки безопасности информационных технологий
Сопровождает ИСО/МЭК 15408 «Информационная

технология – методы и средства обеспечения безопасности – критерии оценки безопасности информационных технологий»

Стандарт ISO 18045


Слайд 44BS 25999-1:2006, «Управление непрерывностью бизнеса - Часть 1: Практические правила»
Определяет процесс,

принципы и терминологию в области управления непрерывностью бизнеса.
Описывает набор механизмов контроля и охватывает весь жизненный цикл процесса управления непрерывностью бизнеса.

Британские стандарты серии BS 25999 и BS 25777


Слайд 45Устанавливает требования к системе управления непрерывностью бизнеса, соблюдение которых может быть

объективно проверено.
Используя эти требования, компании могут проводить оценку существующей системы управления непрерывностью бизнеса, как самостоятельно, так и привлекая внешних консультантов.
На основании второй части стандарта сертификационные органы выдают заключение о соответствии системы управления непрерывностью бизнеса требованиям стандарта BS 25999.

BS 25999-2:2007 «Управление непрерывностью бизнеса - Часть 2: Спецификация»


Слайд 46Разработан на базе существующих стандартов обеспечения непрерывности бизнеса BS 25999 и

дополняющей их публичной спецификации PAS 77, - лучшая мировая практика в области обеспечения непрерывности ИТ сервисов.
Управление непрерывностью ИКТ обеспечивает их жизнеспособность, возможность их восстановления до заранее определенного уровня в необходимые сроки, согласованные с руководством организации.

BS 25777:2008, "Управление непрерывностью информационных и коммуникационных технологий – Практические правила"


Слайд 47Руководство по управлению непрерывностью ИТ сервисов объясняет принципы и некоторые рекомендуемые

методы управления ИТ сервисами.
Предназначено для использования людьми, ответственными за управление непрерывностью ИТ сервисами в организации.
ГОСТ Р 53647.8-2013  Менеджмент непрерывности бизнеса. Управление человеческими ресурсами

PAS 77:2006, "Управление непрерывностью ИТ сервисов"


Слайд 48ГОСТ Р ИСО/МЭК 13335-1-2006. «ИТ. Методы и средства обеспечения безопасности. Концепция

и модели менеджмента безопасности ИТ технологий».
ГОСТ Р ИСО/МЭК 13335-3 2007 «ИТ. Методы и средства обеспечения безопасности. Методы менеджмента безопасности информационных технологий»
ГОСТ Р ИСО/МЭК 13335-4 2007«ИТ. Методы и средства обеспечения безопасности. Выбор защитных мер».
ГОСТ Р ИСО/МЭК 13335-5 2007«ИТ. Методы и средства обеспечения безопасности. Руководство по менеджменту безопасности сети».


ISO/IEC 13335 (отменены)


Обратная связь

Если не удалось найти и скачать презентацию, Вы можете заказать его на нашем сайте. Мы постараемся найти нужный Вам материал и отправим по электронной почте. Не стесняйтесь обращаться к нам, если у вас возникли вопросы или пожелания:

Email: Нажмите что бы посмотреть 

Что такое ThePresentation.ru?

Это сайт презентаций, докладов, проектов, шаблонов в формате PowerPoint. Мы помогаем школьникам, студентам, учителям, преподавателям хранить и обмениваться учебными материалами с другими пользователями.


Для правообладателей

Яндекс.Метрика