Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

ИБ АСУ ТП NON-STOP. Серия 6. Управление информационной безопасностью АСУ ТП и способы его автоматизации

934 views

Published on

В рамках вебинара были рассмотрены основные процессы управления информационной безопасностью АСУ ТП, возможные варианты внедрение процессов управления ИБ АСУ ТП на предприятии и способы их автоматизации.

Дата вебинара 03 декабря 2015 года.
Запись доступна на канале YouTube: https://youtu.be/b4OJtTk0dB4
Докладчик: Юлия Добровольская

Published in: Services
  • Be the first to comment

  • Be the first to like this

ИБ АСУ ТП NON-STOP. Серия 6. Управление информационной безопасностью АСУ ТП и способы его автоматизации

  1. 1. Управление информационной безопасностью АСУ ТП Вебинар 03 декабря 2015 года Юлия Добровольская Ведущий аналитик 
 Департамента системной интеграции Уральский Центр Систем Безопасности
  2. 2. • Основные процессы управления информационной безопасностью АСУ ТП • Внедрение процессов управления ИБ АСУ ТП на предприятии • Автоматизация процессов управления информационной безопасностью АСУ ТП Содержание
  3. 3. Основные процессы управления ИБ • ISO/IEC 27001:2005 • 1.Процессный подход к управлению ИБ • 2.Использование модели PDCA: • «Планирование» • «Осуществление» • «Проверка» • «Действие» 3 Управление рисками ИБ Управление инцидентам и ИБ Управление активами Управление персоналом Управление соответствием требованиям ИБ Управление непрерывно стью
  4. 4. Основные процессы управления ИБ • Приказ ФСТЭК России № 31 • ГОСТ Р ИСО/МЭК 27001 • ISO/IEC 27002:2005 • ISO/IEC 27005:2008 • NIST SP 800-82 4 Управление рисками ИБ Управление инцидентам и ИБ Управление активами Управление персоналом Управление соответствием требованиям ИБ Управление непрерывно стью
  5. 5. Реализация процессов управления ИБ • Каждый процесс – набор связанных процедур, использующих ресурсы и имеющих свой результат 5 Оценка риска Идентификация риска Анализ риска Установление области оценки Обработка риска Мониторингианализриска
  6. 6. Реализация процессов управления ИБ 6 Инициация процесса Приказ о проведении оценки рисков ИБ План оценки рисков ИБ Определение целей и области оценки рисков и др. Оценивание рисков ИБ Оформление отчета об оценке рисков Опросные листы Отчет об оценке рисков Реестр рисков ИБ Опросные листы
  7. 7. Взаимосвязь процессов управления ИБ 7 Управление инцидентами ИБ Управление рисками ИБ Управление активами Управление непрерывностью Данные об инцидентах ИБ Данные об инцидентах ИБ Данные об активах Данные об активах Данные о рисках
  8. 8. Взаимодействие подразделений 8 Руководство • стратегическое управление • координация и контроль • выделение ресурсов Подразделение ИТ • сопровождении сетей АСУ ТП и обслуживание технических средств (РС,серверы,АСО) Подразделение эксплуатации • сопровождения АСУ ТП Подразделение ИБ • определение требований по ИБ АСУ ТП • подбор решений по обеспечению ИБ • внедрение и сопровождение системы защиты АСУ ТП
  9. 9. Внедрение процессов управления ИБ АСУ ТП 9 Формирование рабочей группы • Определение целей • Планирование Анализ существующих процессов • Идентификация процессов обеспечения ИБ • Разработка плана реализации Разработка процессов управления ИБ • Документирование процессов • Определение ролей и сфер ответственности Реализация процессов управления ИБ • Обучение персонала • Контроль выполнения
  10. 10. Проблемы внедрения системы управления ИБ АСУ ТП 10 Характеристика Проблемы Множество внешних требований 263-ФЗ,приказ ФСТЭК России №31, отраслевые требования,NIST,CIP NERC… -Пересечение требований -Затраты на соответствие Интеграция с системой корпоративного управления Цели,риски,… -Демонстрация результатов -Достоверность оценок Обширная область действия Люди,филиалы,процессы,АСУ ТП,ИС… -Контроль выполнения -Оценка текущего состояния Объем информации Источники –СЗИ,АСУ ТП,люди,… Хранение –БД,файлы,папки,… -Актуальность информации -Поиск и отчетность
  11. 11. Оптимизация процессов управления ИБ 11 Compliance Governance Risk Management • Выявление,анализ и приоритизация рисков • Обработка рисков • Мониторинг и пересмотр рисков Governance -
 Стратегическое управление • Определение целей бизнеса и контроль их достижения • Принятие руководящих решений Compliance Management • Соблюдение внутренних и внешних требований
  12. 12. 12
  13. 13. Возможности автоматизации процессов управления ИБ • Управление активами • учет активов АСУ ТП • назначение ответственных за активы • определение уровня критичности обрабатываемой в АСУ ТП информации • формирование актов классификации АСУ ТП • оповещение о необходимости произвести определение или пересмотр класса защищенности АСУ ТП • управление изменениями конфигурации АСУ ТП 13
  14. 14. Управление активами 14
  15. 15. Возможности автоматизации процессов управления ИБ • Управление рисками ИБ • инициация и контроль процесса оценки рисков ИБ • формирование модели нарушителя и модели угроз • системный анализ рисков для определения наиболее актуальных направлений обеспечения ИБ АСУ ТП • рациональная оценка ожидаемых потерь с целью обоснования необходимости внедрения дополнительных средств защиты информации • переоценка остаточных рисков после внедрения средств защиты 15
  16. 16. 16 Управление рисками ИБ
  17. 17. Возможности автоматизации процессов управления ИБ • Управление инцидентами ИБ • оперативное получение информации об инциденте ИБ АСУ ТП из внешних систем • использование актуальной информации о реализованной угрозе ИБ и активах для анализа инцидента ИБ АСУ ТП • инициация рабочего процесса обработки инцидента ИБ • корректировка статистических данных и управление знаниями по итогам инцидента ИБ 17
  18. 18. 18 Управление инцидентами ИБ
  19. 19. Возможности автоматизации процессов управления ИБ • Управление соответствием • оперативное представление внешней и внутренней нормативной документации • демонстрация свидетельств выполнения требований • демонстрация полноты реализации требования и охвата системы защиты • представление требуемой информации в агрегированном виде 19
  20. 20. Управление соответствием 20
  21. 21. Возможности автоматизации процессов управления ИБ • Управление персоналом • разработка и ведение планов обучения • размещение обучающих материалов и информирование персонала по вопросам обеспечения ИБ АСУ ТП • тестирование и хранение результатов тестирования работников по вопросам обеспечения ИБ АСУ ТП 21
  22. 22. 22 Управление персоналом
  23. 23. • Создание системы управления ИБ АСУ ТП позволит обеспечить адекватность процессов обеспечения ИБ АСУ ТП существующим рискам • Система управления ИБ АСУ ТП требует непрерывной поддержки • Использование средств автоматизация позволит повысить эффективность системы управления ИБ Выводы
  24. 24. Спасибо за внимание! Юлия Добровольская Ведущий аналитик ДСИ ООО «УЦСБ» jdobrovolskaya@USSC.ru

×