Стандарт ISO/IEC 27001:2013 – все слышали, мало кто видел
Сложность темы ИБ находит отражение в стандарте. Полное внедрение ISO 27001, с использованием всех рекомендаций - потребует годы для средней организации.
Как создать с нуля сбалансированную СУИБ, как выбрать только реально необходимые защитные меры и как правильно внедрить процессы ИБ?
ISO/IEC 27001 — международный стандарт по информационной безопасности, разработанный совместно Международной организацией по стандартизации и Международной электротехнической комиссией. Стандарт содержит требования в области информационной безопасности для создания, развития и поддержания Системы менеджмента информационной безопасности (СМИБ).
презентация для выступления на семинаре по теме: "Импортозамещени в сфере ИТ - подходы к автоматизации управления в организациях-исполнителях государственного оборонного заказа при максимальном сохранении вложенных инвестиций".
(http://www.rosoboronstandart.ru/seminar-10-11-marta-2015/)
Just created a slideshare presentation giving a basic introduction to ISO27001 and its Scope, Implementation & Application. You can see more slideshows on http://www.slideshare.net/ImranahmedIT or visit my website: http://imran-ahmed.co.uk
ISO/IEC 27001 — международный стандарт по информационной безопасности, разработанный совместно Международной организацией по стандартизации и Международной электротехнической комиссией. Стандарт содержит требования в области информационной безопасности для создания, развития и поддержания Системы менеджмента информационной безопасности (СМИБ).
презентация для выступления на семинаре по теме: "Импортозамещени в сфере ИТ - подходы к автоматизации управления в организациях-исполнителях государственного оборонного заказа при максимальном сохранении вложенных инвестиций".
(http://www.rosoboronstandart.ru/seminar-10-11-marta-2015/)
Just created a slideshare presentation giving a basic introduction to ISO27001 and its Scope, Implementation & Application. You can see more slideshows on http://www.slideshare.net/ImranahmedIT or visit my website: http://imran-ahmed.co.uk
Iso 27001 in images - sample slides from different levels of training, e.g. F...Stratos Lazaridis
ISO 27001: 2013 Foundation training course in Information Security Management
ISO/IEC 27001 is an international standard on how to manage information security.
The standard was originally published jointly by the International Organization for Standardization (ISO) and the International Electrotechnical Commission (IEC) in 2005
The standard was reviewed and then revised in 2013.
A European update of the standard was published in 2017.
Iso 27001 details requirements for establishing, implementing, maintaining, and continually improving an information security management system (ISMS), the aim of which is to help organizations make the information assets they hold more secure.
Organizations that meet the standard's requirements can choose to be certified by an accredited certification body following successful completion of an audit.
The effectiveness of the ISO/IEC 27001 certification process and the overall standard has been addressed in a recent large-scale study.
Here are some small steps to achieve ISO 27001 implementation.
I believe ISO 27001/2 is a key to establish security in the organizations and help the companies to keep the whole ISMS program running aligned with continues improvement.
As ISO 27001 has been identified by ICO and recognized by GCHQ/NCSC in the past as the key standard to support GDPR.
Privacy Trends: Key practical steps on ISO/IEC 27701:2019 implementationPECB
In this session, we will go through ISO/IEC 27701 and ISO/IEC 27001 key practical implementation steps and how they can help you to be compliant with the GDPR.
Our presenters, Peter Geelen and Stefan Mathuvis, will guide you through the implementer tasks with practical hints and tips and show you how an auditor will look at your implementation, searching for evidence and compliance.
In addition, we will match the ISO/IEC 27(7)01 requirements to complete the GDPR obligations as far as possible.
Starting from executive management to privacy policies, handling notifications, setting up awareness programs, controlling user access requests, over vendor management to incident management (data breaches) and continuous updates.
The webinar will cover:
• Quick recap on general ISO components and approach
• Implementing ISO/IEC 27001 with the ISO/IEC 27701 extension for GDPR compliance
• Do's and don’ts for implementation and audit
• The importance of evidence in the audit
• Managing audit expectations and the never ending audit cycle
Recorded webinar: https://youtu.be/HL-VUiCj4Ew
The security of information systems and business-critical information needs constant managing to ensure your operational continuity and data protection. ISO 27001 Information Security Management Systems certification allows you to stand out from the competition through strong information security measurement.
Introduction to Risk Management via the NIST Cyber Security FrameworkPECB
The cyber security profession has successfully established explicit guidance for practitioners to implement effective cyber security programs via the NIST Cyber Security Framework (CSF). The CSF provides both a roadmap and a measuring stick for effective cyber security. Application of the CSF within cyber is nothing new, but the resurgence of Enterprise Security Risk Management and Security Convergence highlight opportunities for expanded application for cyber, physical, and personnel security risks. This NIST CSF can help practitioners build a cross-pollenated understanding of holistic risk.
Main points covered:
• Understand the purpose, value, and application of the NIST CSF in familiar non-technical terms.
• Understand how the Functions and Categories of the NIST CSF (the CSF “Core”) and an organization's “current” and “target” profiles are relevant and valuable in a variety of sectors and environments.
• Understand how an organization’s physical and cyber security resources and stakeholders can align with the NIST CSF as a tool to achieve holistic security risk management.
Presenters:
David Feeney, CPP, PMP has 17 years of security industry experience assisting organizations with risk management matters specific to physical, personnel, and cyber security. He has 9 years of experience with service providers and 8 years of experience within enterprise security organizations. David has worked with industry leaders in the energy, technology, healthcare, and real estate sectors. Areas of specialization include Security Operations Center design and management, Security Systems design and implementation, and Enterprise Risk Management. David holds leadership positions in ASIS International and is also a member of the InfraGard FBI program. David holds Certification Protection Professional (CPP) and Project Management Professional (PMP) certifications.
Andrea LeStarge, MS has over ten years of experience in program management, risk analysis and curriculum development. Being specialized in Homeland Security, Andrea leverages her experience in formerly managing projects to support various Federal Government entities in identifying, detecting and responding to man-made, natural and cyber incidents. She has an established track record in recognizing security gaps and corrective risk mitigation options, while effectively communicating findings to stakeholders, private sector owners and operators, and first-responder personnel within tactical, operational and strategic levels. Overall, Andrea encompasses analytical tradecraft and demonstrates consistent, repeatable and defensible methodologies pertaining to risk and the elements of threat, vulnerability and consequence.
Recorded webinar: https://youtu.be/hxpuYtMQgf0
2022 Webinar - ISO 27001 Certification.pdfControlCase
ControlCase Introduction
What is ISO 27001?
What is ISO 27002?
What is ISO 27701, ISO 27017, & ISO 27018?
What is an ISMS?
What is ISO 27001 Certification?
Who Needs ISO 27001?
What is Covered in ISO 27001?
How Many Controls in ISO 27001?
What is the ISO 27001 Certification Process?
How Often Do You Need ISO 27001 Certification?
What are the Challenges to ISO 27001 Compliance?
Why ControlCase?
Certified in Risk and Information Systems Control™ (CRISC™) is the most current and rigorous assessment which is presently available to evaluate the risk management proficiency of IT professionals and other employees within an enterprise or financial institute.
CRISC help enterprises to understand business risk, and have the technical knowledge to implement appropriate IS controls.
This CRISC Certification training course accredited by ISACA is ideal for IT professionals, risk professionals, control professionals, business analysts, project managers, compliance, professionals and more.
To know more about CRISC Certification training worldwide,
please contact us at -
Email: support@invensislearning.com
Phone - US +1-910-726-3695,
Website: https://www.invensislearning.com
How can the ISO 27701 help to design, implement, operate and improve a privac...Hernan Huwyler, MBA CPA
- Applications, tools and software for the implementation and documentation of the new ISO 27701 for GDPR and DPA compliance
- Key control objectives, requirement based on the ISO 2700 on information security
- How to prepare for an independent certification
Iso 27001 in images - sample slides from different levels of training, e.g. F...Stratos Lazaridis
ISO 27001: 2013 Foundation training course in Information Security Management
ISO/IEC 27001 is an international standard on how to manage information security.
The standard was originally published jointly by the International Organization for Standardization (ISO) and the International Electrotechnical Commission (IEC) in 2005
The standard was reviewed and then revised in 2013.
A European update of the standard was published in 2017.
Iso 27001 details requirements for establishing, implementing, maintaining, and continually improving an information security management system (ISMS), the aim of which is to help organizations make the information assets they hold more secure.
Organizations that meet the standard's requirements can choose to be certified by an accredited certification body following successful completion of an audit.
The effectiveness of the ISO/IEC 27001 certification process and the overall standard has been addressed in a recent large-scale study.
Here are some small steps to achieve ISO 27001 implementation.
I believe ISO 27001/2 is a key to establish security in the organizations and help the companies to keep the whole ISMS program running aligned with continues improvement.
As ISO 27001 has been identified by ICO and recognized by GCHQ/NCSC in the past as the key standard to support GDPR.
Privacy Trends: Key practical steps on ISO/IEC 27701:2019 implementationPECB
In this session, we will go through ISO/IEC 27701 and ISO/IEC 27001 key practical implementation steps and how they can help you to be compliant with the GDPR.
Our presenters, Peter Geelen and Stefan Mathuvis, will guide you through the implementer tasks with practical hints and tips and show you how an auditor will look at your implementation, searching for evidence and compliance.
In addition, we will match the ISO/IEC 27(7)01 requirements to complete the GDPR obligations as far as possible.
Starting from executive management to privacy policies, handling notifications, setting up awareness programs, controlling user access requests, over vendor management to incident management (data breaches) and continuous updates.
The webinar will cover:
• Quick recap on general ISO components and approach
• Implementing ISO/IEC 27001 with the ISO/IEC 27701 extension for GDPR compliance
• Do's and don’ts for implementation and audit
• The importance of evidence in the audit
• Managing audit expectations and the never ending audit cycle
Recorded webinar: https://youtu.be/HL-VUiCj4Ew
The security of information systems and business-critical information needs constant managing to ensure your operational continuity and data protection. ISO 27001 Information Security Management Systems certification allows you to stand out from the competition through strong information security measurement.
Introduction to Risk Management via the NIST Cyber Security FrameworkPECB
The cyber security profession has successfully established explicit guidance for practitioners to implement effective cyber security programs via the NIST Cyber Security Framework (CSF). The CSF provides both a roadmap and a measuring stick for effective cyber security. Application of the CSF within cyber is nothing new, but the resurgence of Enterprise Security Risk Management and Security Convergence highlight opportunities for expanded application for cyber, physical, and personnel security risks. This NIST CSF can help practitioners build a cross-pollenated understanding of holistic risk.
Main points covered:
• Understand the purpose, value, and application of the NIST CSF in familiar non-technical terms.
• Understand how the Functions and Categories of the NIST CSF (the CSF “Core”) and an organization's “current” and “target” profiles are relevant and valuable in a variety of sectors and environments.
• Understand how an organization’s physical and cyber security resources and stakeholders can align with the NIST CSF as a tool to achieve holistic security risk management.
Presenters:
David Feeney, CPP, PMP has 17 years of security industry experience assisting organizations with risk management matters specific to physical, personnel, and cyber security. He has 9 years of experience with service providers and 8 years of experience within enterprise security organizations. David has worked with industry leaders in the energy, technology, healthcare, and real estate sectors. Areas of specialization include Security Operations Center design and management, Security Systems design and implementation, and Enterprise Risk Management. David holds leadership positions in ASIS International and is also a member of the InfraGard FBI program. David holds Certification Protection Professional (CPP) and Project Management Professional (PMP) certifications.
Andrea LeStarge, MS has over ten years of experience in program management, risk analysis and curriculum development. Being specialized in Homeland Security, Andrea leverages her experience in formerly managing projects to support various Federal Government entities in identifying, detecting and responding to man-made, natural and cyber incidents. She has an established track record in recognizing security gaps and corrective risk mitigation options, while effectively communicating findings to stakeholders, private sector owners and operators, and first-responder personnel within tactical, operational and strategic levels. Overall, Andrea encompasses analytical tradecraft and demonstrates consistent, repeatable and defensible methodologies pertaining to risk and the elements of threat, vulnerability and consequence.
Recorded webinar: https://youtu.be/hxpuYtMQgf0
2022 Webinar - ISO 27001 Certification.pdfControlCase
ControlCase Introduction
What is ISO 27001?
What is ISO 27002?
What is ISO 27701, ISO 27017, & ISO 27018?
What is an ISMS?
What is ISO 27001 Certification?
Who Needs ISO 27001?
What is Covered in ISO 27001?
How Many Controls in ISO 27001?
What is the ISO 27001 Certification Process?
How Often Do You Need ISO 27001 Certification?
What are the Challenges to ISO 27001 Compliance?
Why ControlCase?
Certified in Risk and Information Systems Control™ (CRISC™) is the most current and rigorous assessment which is presently available to evaluate the risk management proficiency of IT professionals and other employees within an enterprise or financial institute.
CRISC help enterprises to understand business risk, and have the technical knowledge to implement appropriate IS controls.
This CRISC Certification training course accredited by ISACA is ideal for IT professionals, risk professionals, control professionals, business analysts, project managers, compliance, professionals and more.
To know more about CRISC Certification training worldwide,
please contact us at -
Email: support@invensislearning.com
Phone - US +1-910-726-3695,
Website: https://www.invensislearning.com
How can the ISO 27701 help to design, implement, operate and improve a privac...Hernan Huwyler, MBA CPA
- Applications, tools and software for the implementation and documentation of the new ISO 27701 for GDPR and DPA compliance
- Key control objectives, requirement based on the ISO 2700 on information security
- How to prepare for an independent certification
При построении СМИБ согласно ИСО 27001, внедряется около 114 защитных мер. Условно эти меры можно разделить организационные, процессные и технические.
В докладе будут рассмотрены практические аспекты внедрения технических защитных мер и роли технических специалистов ИБ в рамках проекта внедрения СМИБ.
За какие технические защитные меры отвечают технические специалисты, какова их роль в команде внедрения, на что обращать внимание и т.п.
Positive Hack Days. Лукацкий. Публичные примеры кибервойнPositive Hack Days
Кибервойна давно шагнула со страниц фантастических романов в реальный мир. Что нас ждет сегодня и завтра? По каким сценариям будут развиваться кибернетические войны? Кибероружие - буря в социальных сетях или оружие массового поражения? Боевой потенциал кибервооружений различных стран мира. Мы их или они нас?
Алексей Лукацкий. Презентация - Безопасность критических инфраструктур. Трени...Oleg Demidov
Презентация доклада "Безопасность критических инфраструктур" была подготовлена консультантом по информационной безопасности Cisco Systems Алексеем Лукацким специально для тренингового курса ПИР-Центра «Глобальное управление интернетом и информационная безопасность для молодых специалистов», который прошел в Москве, Россия 17-19 марта 2014 г.
В презентации освещаются вопросы обеспечения информационной безопасности и кибербезопасности критических инфраструктур, сопоставляются национальные и международные подходы и практики нормативного регулирования в данной области, классифицируются основные типы угроз и примеры инцидентов с данными типами объектов, суммируются рекомендации по развитию данного направления регулирования на национальном и международном уровне.
Создание СУИБ в организации на примере 5 реализованных проектов LETA 2010-201...LETA IT-company
Презентация Акатьевой Марии,
заместителя директора департамента продуктов и услуг компании LETA
проведенная в рамках конференции «Грани ИБ Законодательство, процессы, технологии» 13-15 октября 2011 г. в «Атлас Парк-Отель»
На вебинаре участники ознакомились с актуальными проблемами, связанными с реализацией задач по сбору, анализу и корреляции событий информационной безопасности, регистрируемых в территориально-распределенных автоматизированных системах предприятий.
В рамках мероприятия были рассмотрены основные преимущества использования систем мониторинга, позволяющие повысить эффективность принятия решений по реагированию на инциденты безопасности
и также рассмотрена одна из возможных реализаций центра мониторинга событий безопасности (Security Operation Center, SOC) на базе программных продуктов HP ArcSight.
Мониторинг событий информационной безопасности на базе решений HP ArcSight ES...DialogueScience
Рассматриваются основные преимущества использования систем мониторинга, позволяющие повысить эффективность принятия решений по реагированию на инциденты безопасности.
Спикер:
Родион Чехарин,
Руководитель проекта технического департамента ЗАО «ДиалогНаука»
VII Уральский форум
Информационная безопасность банков
ТЕМАТИЧЕСКОЕ ЗАСЕДАНИЕ № 4
Обеспечение безопасности банковских приложений
на различных этапах жизненного цикла
Качалин Алексей Игоревич, заместитель генерального директора, ГК «Инфотекс»
Источник: http://ural.ib-bank.ru/materials_2015
Презентация на CyberCrimeCon про некоторые важные моменты построения SOC, включая вопросы ценообразования, оргштатной структуры, технологического стека, сервисной стратегии, Threat Intelligence и т.п.
Test Strategy: creation and optimization - QA Fest-2017 (Тестовая стратегия: ...Andrey Ladutko
Тест-менеджер ставит перед собой и командой долгосрочные и сложные цели. Например, как выбрать и соединить вместе изученные техники и виды тестирования, как понять, почему в одних условиях у нас получилось провести “качественное” тестирование, а в других нет? Как понять, будет ли эффективна автоматизация на проекте прежде, чем вложиться человека-годами в Фреймворк и тесты? Ответы на эти вопросы находятся в «стратегии тестирования». Она есть у каждой команды, пусть и не в осознанном и формализованном виде. Поэтому нужно научиться пользоваться этим инструментом, уметь как составлять тестовую стратегию с нуля на проекте, так и оптимизировать уже существующую стратегию.
QA Fest 2017. Андрей Ладутько.Тестовая стратегия: создание и оптимизацияQAFest
Тест-менеджер ставит перед собой и командой долгосрочные и сложные цели. Например, как выбрать и соединить вместе изученные техники и виды тестирования, как понять, почему в одних условиях у нас получилось провести “качественное” тестирование, а в других нет? Как понять, будет ли эффективна автоматизация на проекте прежде, чем вложиться человека-годами в Фреймворк и тесты? Ответы на эти вопросы находятся в «стратегии тестирования». Она есть у каждой команды, пусть и не в осознанном и формализованном виде. Поэтому нужно научиться пользоваться этим инструментом, уметь как составлять тестовую стратегию с нуля на проекте, так и оптимизировать уже существующую стратегию.
Similar to ИСО 27001 на практике, или будни внедренца (20)
Хакеры, скандальные утечки данных, целые отделы, занимающиеся вопросами ИБ в компании - все это больше из области теле-новостей про фирмы-гиганты. Но, "плачут не только богатые". У обычных небольших организаций, и у обычных людей - вопросы ИБ занимают все более важное место.
В докладе будут даны рекомендации по ИБ для самых обычных организаций - небольших фирм от 10 сотрудников. Как хоть немного защититься в этом сложном информационном мире. Поговорим об ИБ - без фанатизма, без сертификации ИСО 27001 и без консультантов от "большой четверки".
Роль Информационной Безопасности в управлении проектами или почему скрипач нуженAlexey Evmenkov
Все руководители проектов пристегиваются в машине, но редко кто думает об информационной безопасности, управляя своим проектом.
Что знают руководители проектов об информационной безопасности? То, что пароли должны быть сложными и существуют абстрактные политики про можно/нельзя?
В реальном мире - информационная безопасность (ИБ) - это огромный пласт практик: технических, организационных, управленческих.
В докладе будет рассмотрены аспекты ИБ в разрезе управления ИТ проектами. Автор обсудит вопросы - а стоит ли вкладываться в эту область на проекте - ресурсами, деньгами, временем? Если да, то почему это оправдает себя?
Роль Информационной Безопасности в управлении проектами или почему скрипач нужен
ИСО 27001 на практике, или будни внедренца
1. ИСО 27001 на практике,
или будни внедренца
СУИБ
Алексей Евменков, isqa.ru
30.03.2016
2. Аннотация
• Стандарт ISO/IEC 27001:2013 – все слышали,
мало кто видел
• Сложность темы ИБ находит отражение в
стандарте. Полное внедрение ISO 27001, с
использованием всех рекомендаций - потребует
годы для средней организации.
• Как создать с нуля сбалансированную СУИБ, как
выбрать только реально необходимые
защитные меры и как правильно внедрить
процессы ИБ?
4. Представление
• Специалист по ИБ (CISM), по
процессам и качеству в ИТ области
• Внедряю и подготавливаю к
сертификации - ИСО 27001 и 9001
• Первая в РБ ИСО 27001 сертификация
(в2008г, Tieto)
• Консалтинг и сертификации РБ,
Россия, Финляндия, Швеция,
Прибалтика
• Проекты интеграций компаний
• Профессиональный аудитор по ИБ
и процессам
5. Цель/Статус?
• Внедрить с нуля
• Уже внедряю, интересна
вот эта деталь..
• Давно все внедрено
• Нет, я только посмотреть)
6. Когда необходим ИСО 27001?
• Требование заказчика
• Обязательное условие для участия в тендере
• Заказчик хочет быть уверен в сохранности своих данных
• Желание организации
• Необходимо повысить защищенность от рисков
• Уменьшить количество и стоимость инцидентов
• Создать позитивный бизнес-образ, безопасный и
современный
8. Термины - ИБ
• Информационная Безопасность (ИБ) - свойство
информации сохранять конфиденциальность,
целостность и доступность.
• Иногда добавляются:
• Неотказуемость,
• Подотчетность
• Аутентичность
• Достоверность
Пример актива?
9. ISO 27001:2013 – что нового
• Более структурированный, уменьшено кол-во
контролов 133->114
• Термины перенесены в 27000 – вышла версия в
2016
• Гармонизация с другими стандартами (а 9001 в
свою очередь ввели понятие рисков)
• + владелец рисков
• - записи
• - превентивные
меры
Источник картинок: ISO27001 Academy
10. ISO 27001:2013 – что нового
В целом, более удобный и читабельный стандарт
Источник картинок: ISO27001 Academy
Хороший обзор «что нового» в ISO 27001:2013
11. СМИБ – общая схема
Планирование и мониторинг целей
Требования ИСО 27001
Политики и процедуры СМИБ
Корректирующие
имеры
Управление рисками
Аудиты
Измерения, метрики Комплекс
защитных
мер
12. СМИБ – защитные меры
ИБ в управлении персоналом
Управление активами
Управление доступом Организация ИБ
Криптография
Физическая безопасность
Антивирусная защита ПО
Резервное копирование
Логи и мониторинг
Управление сетевой
безопасностью
ИБ при разработке ПО
ИБ при работе с поставщиками
Управление инцидентами
Управление непрерывностью
бизнеса
Соответствие требованиям
регуляторов
114 защитных
мер
15. Как внедрять СУИБ
•Первоначальный аудит
•Планирование на основе аудита
•Обработка рисков
•Уточнение плана
•Внедрение защитных мер, согласно плана
•Запуск СУИБ
•Сертификация СУИБ
•Эксплуатация СУИБ
1
2
3
4
5
6
7
8
16. Первоначальный аудит
• Чеклист по основным элементам ИСО 27001, по
всем защитным мерам 27002
• Желательно привлечение технического
специалиста для проверки сети, технических
защитных мер
• Результат – набор замечаний, входной материал
для составления плана
1 аудит
17. Предварительный план
проекта
• Подготовка плана
• на основании результатов аудита
• чеклист аудита – и есть основа плана
• Список связанных под-проектов
• СКУД, охранная сигнализация, вентиляция и т.п.
2 план
18. Ценность анализа рисков
После трагедии 11 сентября
• В первые три месяца после атаки
количество машин выросло более чем на
5 %
• Увеличилось кол-во дорожных
инцидентов
• За 12 мес. погибло на 1600 человек
больше средних значений
• Что в 6 раз превышает общее количество
пассажиров (256), погибших в результате
авиакатастроф 2001 года
• В 2002–2005 гг. 2,5 млрд человек
воспользовались в США коммерческими
авиарейсами. Ни один из них не погиб в
крупной авиакатастрофе
3 риски
19. Ценность анализа рисков
• Экономия $, времени, ресурсов
• Улучшение планирования, повышение
эффективности
• Основание для принятия объективного решения
3 риски
20. Без рисков скучно
«Если бы наш мир когда-нибудь обрел полную
определенность, наша жизнь стала бы невыносимо
скучной»
Книга Понимать риски. Как выбирать правильный курс
3 риски
21. Риски Угроза: нарушение лицензионности,
использование чужого кода
Уязвимость: Из-за
отсутствия
необходимых знаний
у членов команды
Актив:
программные
компоненты
(deliverables)
Защитная мера:
проведение тренингов,
постоянная коммуникация,
процедурная поддержка
3 риски
23. Управление рисками
• Управление активами – основа для управления
рисками
• Количественное управление рисками
• Создание рисков через CIA модель
3 риски
24. Пример рассчета риска
Актив = Интернет
соединение
С I A
4 3 4
Lk Im E=Av*Lk*Im
2
ср.частота
4
Оч. серьезно
3.67*2*4=29.36
Av=3.67
Risk exposure range
(E=Av*Lk*Im)
Risk Rank
0-12 Low
13-24 Medium
25-64 High
Потеря интернет соединения -> из за выхода
из строя локального сетевого оборудования
29.36 = High risk
3 риски
25. Пример: хранение и
распространение контрафакта
• 9.21 КоАП «Нарушение авторского права, смежных прав и права
промышленной собственности» http://news.tut.by/society/481405.html
Актив: репутация Компании
Угроза: потеря репутации
компании, финансовые
потери
Уязвимость: неосведомленность сотрудников
Компании (неосмотрительное пользование
интернетом)
Анализ риска: штраф до 200БВ+300БВ (42млн+63млн=105млн)
Сотрудники часто пользуются торрентами, и позволяют с себя скачивать (т.е.
распространять). Риск СРЕДНИЙ (принимаем защитные меры)
Сотрудник заливает с торрента клип, публикует в VK.
Защитные меры:
• Немедленная нотификация сотрудников, объяснить ответственность сотруд-в
• Включение в регулярные тренинги правил работы в интрернете (торрент, соцсети+)
• Письмо в "отдел К" или OAЦ, что нам предпринять для защиты наших периметров
• Запустить под-проект в ИТ отделе – ограничение трафика торрентов
• Связаться с коллегами из ПВТ – перенять опыт
3 риски
26. Пример: указ №98
Указ № 98 «О совершенствовании порядка передачи сообщений электросвязи»
от 15.03.2016г http://42.tut.by/488762
Актив: репутация Компании
Угроза: потеря
коммуникации с
зарубежным заказчиком
Уязвимость: несоответствие текущих
конфигураций IP телефонии новому
законодательству (?)
Анализ риска: под ударом – IP телефония.
Владельцы Viber и Skype должны заключить договоры о взаимодействии с
белорусскими операторами?
Какие штрафы? Могут заблокировать IPs? Рекомендации ОАЦ?
Использования IP-телефонии для коммуникации с зарубежными заказчиками
Защитные меры:
• ? Мало информации
• Ждем разъяснений
3 риски
30. Определяем контекст
• Организация
• Большая-маленькая
• Один офис-несколько, в
разных локациях?
• Офис
• Опен-спейс/комнаты
• Делится с другими
организациями?
• Какие активы защищаем?
• Наличие серверной, закрытых
зон? (в первую очередь речь
об информации
• Средняя, 300 сотрудников
• Три офиса, в разных
городах
• И опен-спейс и комнаты
• Нет
• Да , серверная, склад,
финансовый отдел
Цель – очертить периметр, в котором будет
контролируемый уровень физич. безопасности
31. Разрабатываем
концепцию, описываем
• Раз офисов несколько, и вероятно дальнейшее
развитие, то разрабатывам стандарт физической
безопасности
• Минимальные требования, стартовая точка для всех
офисов
• Контент: физический периметр, зонирование, охранная
сигнализация, СКУД, видеонаблюдение и т.п.
• Разрабатываем политику физической
безопасности для центрального офиса
• Конкретика для конкретного офиса, где, кто, что
• Конфиденциальный документ
5 внедрение
33. Внедрение
• Доработка где требуется
• Дополнительные камеры видеонаблюдения
• Установка охранной сигнализации на закрытые зоны
• Бейджи?
• Строительные работы
• Публикация
• Тренинги для владельцев зон, для сотрудников
• Периодические проверки, корректировки
• Включить в периодические аудиты
5 внедрение
35. Еще пример - внедрение
технического аудита
• Penetration testing
• Анализ сети, конфигураций оборудования
• Делаем через проект – с привлечением
специалистов (заслуженных)
• Либо создаем внутреннюю команду из подходящих
специалистов
Кадры решают все
5 внедрение
36. На чем не стоит
(чрезмерно) заморачиваться
• Политика ИБ
• Становится формальностью при хорошем комплекте
документации
• Анализ со стороны руководства
• Замещается регулярными совещаниями с руководством
5 внедрение
37. Запуск СМИБ
• Управление целями в области ИБ, практическое
лидерство руководства организации
• Разработка и внедрение системы метрик ИБ
• Внутренние аудиты ИБ
• Тренинги, создание культуры ИБ в организации
• Анализ со стороны руководства
6 запуск
38. Сертификация СМИБ
• Требуемый уровень «международного
признания»
• Система аккредитации – ANAB, UKAS, DAkkS и др.
Орган сертификации Система
сертификации
BSI ANAB
BureauVeritas UKAS
Русский Регистр ANAB
DNV UKAS
БелГИСС DakkS
Список систем аккредитации: http://www.iaf.nu/articles/Accred_Body_Members_by_Name/52
7 сертификация
39. Эксплуатация
СМИБ
Прио Активность Пер. Комментарии
High Управление целями ИБ Cont. Регулярные совещания с руководством, внутренние
совещания. Планирование и улучшение СМИБ.
High Управление рисками Cont. Постоянный анализ рисков
High Управление инцидентами Cont. Регистрация и реагирование на инциденты
Med Внутренние аудиты Cont. Планирование и проведение аудитов
Med Технический аудит Cont. Анализ сети и конфигураций оборудования, pen. testing.
Med Измерение эффективности
защитных мер (метрики)
Cont. Разработка и внедрение метрик ИБ, отчетностьи
High BCP тестирование Year. Планы по обеспечению непрерывности бизнеса -
разработка и тестирование.
High Анализ со стороны руководства Year. Подготовка и проведение.
High Проекты ИБ Cont. Участие в ИБ проектах, например установка лог. и
мониторинга событий для критических ИС. Внедрение
DLP+
High Повышение осведомленности
персонала, тренинги ИБ
Cont. Программа тренингов ИБ на разных уровнях
High Взаимодействие с
заинтересованными сторонами
Cont. Письма / фидбек от сотрудников. Информация от
вендоров.
Low Анализ и обновление
документации СМИБ
Cont. Постоянная активность - актуализация и гармонизация
документации.
Med Подготовка и прохождение
сертификационных и
подтверждающих аудитов
Year. Как правило, запускается в виде отдельного под-
проекта.
8 эксплуатация
Что делает Менеджер ИБ
(команда ИБ после
сертификации?)
42. Авторский курс
Внедрение СМИБ
Расширенная практическая часть,
руководство по внедрению ИСО 27001
и защитных мер из ИСО 27002
3 дня, 6-8 апреля 2016г.
http://edu.softline.by/courses/smib.html
АлексейЕвменков, CISM
isqa.ru
evmenkov@gmail.com