SlideShare a Scribd company logo

ИСО 27001 и СМИБ. Теория и практика - обзор тренинга

Alexey Evmenkov
Alexey Evmenkov

ИСО 27001 и СМИБ. Теория и практика - обзор тренинга. Весь материал занимает 3х дневный тренинг.

Internet
1 of 98
Download to read offline
ИСО 27001 и СМИБ Теория и практика Алексей Евменков, CISM isqa.ru 06.04-08.04.2016
Информационная выборка слайдов, достаточна для краткого ознакомления с курсом
Описание курса Содержание курса • Краткая теоретическая база, фокус на основных понятиях • Расширенная практическая часть, руководство по внедрению ИСО 27001 и защитных мер из ИСО 27002 Аудитория • Руководители и специалисты по информационной безопасности • Специалисты, ответственные за внедрение СМИБ
Программа курса • Модуль 1 - Введение • Введение в ИБ и СМИБ, терминология • Серия стандартов ISO/IEC 27000, стандарт ISO/IEC 27001:2013 • Модуль 2 – Планирование СМИБ • Проект по внедрению СМИБ • Первичный аудит и GAP анализ • Предварительный план СМИБ • Организационные аспекты СМИБ, определение области применения СМИБ • Определение подходов к управлению активами • Управление рисками – методика и инструментарий • Разработка плана обработки рисков и финализация плана внедрения СМИБ • Модуль 3 – Внедрение СМИБ • Управление документированной информацией СМИБ • Процесс внедрения защитных мер • Политика ИБ • Управление активами, классификация информации • ИБ в управлении персоналом • Управление доступом (доступ к системам и приложениям, управление правами пользователей) • Физическая безопасность • ИБ в период эксплуатации (антивирусная защита, резервное копирование, мониторинг и др.) • Сетевая безопасность • ИБ при разработке и обслуживании ИС • ИБ в отношениях с поставщиками • Управление инцидентами ИБ • Управление непрерывностью бизнеса • Соответствие законодательным и договорным требованиям, интеллектуальная собственность • Модуль 4 – Запуск СМИБ • Управление целями в области ИБ, практическое лидерство руководства организации • Анализ со стороны руководства • Разработка и внедрение системы метрик ИБ • Внутренние аудиты информационной безопасности • Тренинги, создание культуры ИБ в организации • Модуль 5 – Сертификация СМИБ • Выбор сертифицирующего органа • Особенности процесса сертификации ИСО 27001 • Модуль 6 – Эксплуатация СМИБ • Роли руководителя и специалистов ИБ • План регулярных действий • Постоянное улучшение и развитие СМИБ
Цель курса • Дать базовое понимание по ИСО 27001 и СМИБ • Описать общие подходы по внедрению и эксплуатации СМИБ • Разъяснить практические аспекты внедрения отдельных защитных мер • С фокусом на запросы аудитории
Представление • Специалист по ИБ (CISM), по процессам и качеству в ИТ области • Внедряю и подготавливаю к сертификации - ИСО 27001 и 9001 • Первая в РБ ИСО 27001 сертификация (в2008г, Tieto) • Консалтинг и сертификации РБ, Россия, Финляндия, Швеция, Прибалтика • Проекты интеграций компаний • Профессиональный аудитор по ИБ и процессам
Модуль 1 Введение
Аннотация • Стандарт ISO/IEC 27001:2013 – все слышали, мало кто видел • Сложность темы ИБ находит отражение в стандарте. Полное внедрение ISO 27001, с использованием всех рекомендаций - потребует годы для средней организации. • Как создать с нуля сбалансированную СУИБ, как выбрать только реально необходимые защитные меры и как правильно внедрить процессы ИБ?
Термины ИБ
Информация • Информация – это актив, который, как и любой другой важный для бизнеса актив, представляет большую ценность для организации и, следовательно, нуждается в должной защите • Информация - сведения о лицах, предметах, фактах, событиях, явлениях и процессах независимо от формы их представления • Существует в разных формах – бумага, видео, звук
Информация • Основа для любой организации (ваши примеры) • Уровни доступа к информации – внутренняя, конфиденциальная, секретная • Способы работы с информацией • Создание, сохранение, копирование • Обработка, преобразование, передача • Уничтожение? Использование ненадлежащим способом? • Утеряна? Повреждена? • Организации сталкиваются с информационными рисками • Кража информации • Вторжение и уничтожение системных ресурсов • Подмена информации • Повреждение носителей информации
Информационная безопасность • Информационная Безопасность (ИБ) - свойство информации сохранять конфиденциальность, целостность и доступность. Пример - БД Примеры с фокусом на один из аттрибутов CIA
Практика – ИБ • Опишите ваши активы в контексте ИБ
СМИБ – общая схема Планирование и мониторинг целей Требования ИСО 27001 Политики и процедуры СМИБ Корректирующие имеры Управление рисками Аудиты Измерения, метрики Комплекс защитных мер
СМИБ – защитные меры, согласно ISO 27001 ИБ в управлении персоналом Управление активами Управление доступом Организация ИБ Криптография Физическая безопасность Антивирусная защита ПО Резервное копирование Логи и мониторинг Управление сетевой безопасностью ИБ при разработке ПО ИБ при работе с поставщиками Управление инцидентами Управление непрерывностью бизнеса Соответствие требованиям регуляторов 114 защитных мер
Другие стандарты и практики
Польза «широкого взгляда» • Взгляд с разных позиций, например: • COBIT – организационный фреймворк • ISO27001 - системный подход • NIST 800 – технические моменты • ITIL - для сервисныx организаций
ISO 27001:2013 – что нового • Более структурированный, уменьшено кол-во контролов 133->114 • Термины перенесены в 27000 – вышла версия в 2016 (платная зараза) • Гармонизация с другими стандартами (а 9001 в свою очередь ввели понятие рисков) • + владелец рисков • - записи • - превентивные меры Источник картинок: ISO27001 Academy
ISO 27001:2013 – что нового В целом, более удобный и читабельный стандарт Источник картинок: ISO27001 Academy Хороший обзор «что нового» в ISO 27001:2013
Когда необходим ИСО 27001? • Требование заказчика • Обязательное условие для участия в тендере • Заказчик хочет быть уверен в сохранности своих данных • Желание организации • Необходимо повысить защищенность от рисков • Уменьшить количество и стоимость инцидентов • Создать позитивный бизнес-образ, безопасный и современный
Модуль 2 Планирование СМИБ
План Модуля • Проект по внедрению СМИБ • Первичный аудит и GAP анализ • Предварительный план СМИБ • Организационные аспекты СМИБ, определение области применения СМИБ • Определение подходов к управлению активами • Управление рисками – методика и инструментарий • Разработка плана обработки рисков и финализация плана внедрения СМИБ
Проект по внедрению СМИБ
Проект по внедрению СМИБ • Проект – это целенаправленная, ограниченная во времени деятельность, осуществляемая для удовлетворения конкретных потребностей при наличии внешних и внутренних ограничений и использовании ограниченных ресурсов • Нет проекта, нет СМИБ • Что получим без проекта?
Аттрибуты проекта Проект предполагает: • конкретную цель, уникальность, разовость, ограниченность во времени и ресурсах • команду проекта, бюджет, ответственность, критерии успешности • Механизмы управления проектами – отслеживание статуса, коммуникацию, управление изменениями и т.п.
Общие фазы проекта по внедрению СМИБ
Факторы успешного запуска проекта • Заинтересованность со стороны руководства • Подготовленность со стороны инициаторов (если инициатива не со стороны руководства) • Понимание связи бизнеса и ИБ • Умение представить выгоды внедрения • Собственно, знания ИБ
Ложный успех • Вот вам бюджет, разберитесь сами, нас не беспокойте • Не забываем про проектный подход • Вовлеченность многих групп организации обязательна, это невозможно без лидерства руководства • У нас есть набор шаблонов/готовых документов СМИБ от другой организации • Мы купим услугу сертификации • Мы пригласим «хорошего» аудитора, сделаем для него культурную программу
Сколько будет стоить (по $, ресурсам, времени)? Простого ответа нет. Необходимо: • оценить – что необходимо руководству, работающая СМИБ или просто сертификат (здоровье или богатство, или и то и другое)? • описать общие фазы проекта, • объяснить вовлеченность групп сотрудников (ИТ, ИБ, руководство и т.д.) • предоставить самые общие рамки, основанные на здравом смысле (например, для организации в 100 сотрудников, с офисом на одном этаже – 8-12 мес) • более точный ответ – после аудита и анализа рисков
Результат запуска проекта Min • Описаны предварительная область действия (scope), цели проекта • Выделен бюджет на проведение аудита Max • Бюджет на весь проект (предварительный) • Организована команда проекта • Поддержка руководтва реальна (как понять реальность поддержи?)
Первичный аудит и GAP анализ
Первичный аудит и GAP анализ - начало • Команда аудиторов, задействование внешних экспертов (принцип беспристрастности) • Желательно привлечение технического специалиста для проверки сети, технических защитных мер • План аудита, планирование встреч, в конце – отчет • Результат – набор замечаний, входной материал для составления плана
Практика – проведение аудита • См. чеклист по основным элементам ИСО 27001, по всем защитным мерам 27002 • Задание – выбрать группу защитных мер, провести аудит, зафиксировать результат
Предварительный план СМИБ
Состав плана проекта • Общие активности (управление проектом, консультации) • Планирование СМИБ • Проведение аудита • Разработка Области действия СМИБ (документ) • Разработка Политики ИБ (документ) • Разработка Целей ИБ • Управление активами – общий список, приоритезация • Управление рисками • Разработка заявления о применимости СМИБ - SoA (документ)
Состав плана проекта • Разработка СМИБ • Детальный список защитных мер – разработка и внедрение • Разработка и внедрение метрик • Разработка и внедрение общей документации (руководство пользователя и др.) • Запуск СМИБ • Тренинги • Аудиты • Анализ со стороны руководства • Запуск защитных мер • Сертификация СМИБ
Сложности с под-проектами • Включать в общий бюджет? • Риск перерасхода и затягивания сроков • Стоимость сопоставимая со стоимостью проекта СМИБ • Сложность внедрения, необходимость привлекать разноплановых специалистов
Практика – работа с планом • См. пример плана • Задание – понять структуру, адаптировать для своей организации
Организационные аспекты СМИБ
5.3 Организация ИБ • Закрепление ролей и ответственностей в области ИБ • Закрепить роль Менеджера ИБ:) • Определить кто за что отвечает
Структура ИБ - пример
Определение области применения СМИБ
Область применения СМИБ • Процессы и сервисы (см. пример на след. слайде) • Организация (оргчарт) • Физическое расположение, офис • Адрес, схема офиса, планы этажей и т.п. • Сети и ИТ инфраструктура • Описание сети, схема LAN, W-Fi network и т.п. • Ссылка на реестр активов
Определение подходов к управлению активами
Управление активами • Актив - все что имеет ценность для организации и генерирует ее доход (другими словами это то, что создает положительный финансовый поток, либо сберегает средства). • Первый шаг в предверии управления рисками – управлять активами • Необходимо определить, что важно для организации
Что нужно защищать?
Управление активами • Составить категории активов • Определить владельцев активов • Оценить ценность активов
Пример списка активов ИТ компании
Пример определения ценности активов
Управление рисками – методика и инструментарий
Зачем анализировать риски?
Ценность анализа рисков • Экономия $, времени, ресурсов • Улучшение планирования, повышение эффективности • Основание для принятия объективного решения
Без рисков скучно «Если бы наш мир когда-нибудь обрел полную определенность, наша жизнь стала бы невыносимо скучной» Книга Понимать риски. Как выбирать правильный курс
Риски Угроза: нарушение лицензионности, использование чужого кода Уязвимость: Из-за отсутствия необходимых знаний у членов команды Актив: программные компоненты (deliverables) Защитная мера: проведение тренингов, постоянная коммуникация, процедурная поддержка
Процесс управления рисками 1 • Идентификация активов 2 • Идентификация уязвимостей и угроз, генерация рисков (посредством модели CIA) 3 • Анализ рисков 4 • Принятие решения по рискам (risk treatment) 5 • Мониторинг и контроль рисков
Практика – создание рисков через CIA модель • Задание – какой аттрибут CIA на картинке подвергается риску? • Задание – выбрать 2 актива, сгенерировать риски 2
Анализ рисков • Количественный анализ рисков • Уровень риска зависит от ценности актива, вероятности срабатывания риска и уровня (величины) возможного ущерба • Качественный анализ рисков • определяется категория риска (финансовый риск, репутационный риск, риск связанный с персоналом и др.) • оценивается влияние на возможную утрату конфиденциальности, целостности или доступности информации 3
Пример рассчета риска Актив = Интернет соединение С I A 4 3 4 Lk Im E=Av*Lk*Im 2 ср.частота 4 Оч. серьезно 3.67*2*4=29.36 Av=3.67 Risk exposure range (E=Av*Lk*Im) Risk Rank 0-12 Low 13-24 Medium 25-64 High Потеря интернет соединения -> из за выхода из строя локального сетевого оборудования 29.36 = High risk 3
Принятие решения по рискам (risk treatment) • После того как риск оценен, должно быть принято решение относительно его обработки (выбора и реализации мер и средств по минимизации риска) • Обязательно учитывать затраты на внедрение и сопровождение механизмов безопасности • Возможные решения: см. следующий слайд 4
Мониторинг рисков • Необходим регулярный контроль рисков • Новые риски? • Статус по старым рискам? • Результаты оценки рисков – руководству для принятия решений • Возможный механизм: • Менеджер ИБ готовит выборку рисков для анализа Командой/Комитетом ИБ • На совещании – коллективно принимаются решения, доводятся до руководства, до исполнителей 5
Зачем мониторить риски? • П.ч. они постоянно появляются:) • Например – ужесточение законодательства в области авторского права (сотрудники качают с торрентов?) • Вплоть до политических (в 2010г. сотрудники «ходили» на площадь, а руководство просчитывало риски) 5
Практика – полный цикл анализа рисков • Задание – завершить анализ рисков для 2х активов
Пример: хранение и распространение контрафакта • 9.21 КоАП «Нарушение авторского права, смежных прав и права промышленной собственности» http://news.tut.by/society/481405.html Актив: репутация Компании Угроза: потеря репутации компании, финансовые потери Уязвимость: неосведомленность сотрудников Компании (неосмотрительное пользование интернетом) Анализ риска: штраф до 200БВ+300БВ (42млн+63млн=105млн) Сотрудники часто пользуются торрентами, и позволяют с себя скачивать (т.е. распространять). Риск СРЕДНИЙ (принимаем защитные меры) Сотрудник заливает с торрента клип, публикует в VK. Защитные меры: • Немедленная нотификация сотрудников, объяснить ответственность сотруд-в • Включение в регулярные тренинги правил работы в интрернете (торрент, соцсети+) • Письмо в "отдел К" или OAЦ, что нам предпринять для защиты наших периметров • Запустить под-проект в ИТ отделе – ограничение трафика торрентов • Связаться с коллегами из ПВТ – перенять опыт
Ключевые факторы в управлении рисками • Управление активами – основа для управления рисками • Правильные активы (формулировка, владелец, ценность) • Количественное управление рисками • По крайней мере на первых порах • Создание рисков через CIA модель
Инструментальная поддержка управления рисками
Инструментарий для управления рисками • Возможно управление с помощью MS Excel • Для небольшого кол-ва рисков (10-50) • Для полноценной работы с рисками, рекомендуется приобрести специализированное ПО • Либо разработать свое, по аналогии с «классическим аналогом» - RA2 • Возможно имеет смысл рассмотреть https://rvision.pro Примеры инструментов: https://www.enisa.europa.eu/activities/risk- management/current-risk/risk-management-inventory/rm-ra-tools
Разработка плана обработки рисков и финализация плана внедрения СМИБ
Финализация плана внедрения СМИБ Результаты аудита (список действий) Результаты управления рисками (список действий) Область примен ения Цели ИБ Контекст План СМИБ
SoA – Заявление о применимости • Перечень всех защитных мер СМИБ • Чаще всего – из Приложения А • Указываются и обосновываются любые исключения • Приводятся причины для применения • Желательны ссылки на существующие документы • Является обязательным документом СМИБ • Номер версии SoA прописывается на сертификате
Практика – уточнение плана • Задание – финализировать план для избранных защитных мер
Модуль 3 Внедрение СМИБ
План Модуля • Управление документированной информацией СМИБ • Процесс внедрения защитных мер • Внедрение защитных мер (избранные защитные меры из списка в 114 мер)
Глаза боятся, руки делают
Определяем контекст • Организация • Большая-маленькая • Один офис-несколько, в разных локациях? • Офис • Опен-спейс/комнаты • Делится с другими организациями? • Какие активы защищаем? • Наличие серверной, закрытых зон? (в первую очередь речь об информации • Средняя, 300 сотрудников • Три офиса, в разных городах • И опен-спейс и комнаты • Нет • Да , серверная, склад, финансовый отдел Цель – очертить периметр, в котором будет контролируемый уровень физич. безопасности
А7.1.1. Проверка • Проверка личных данных – с согласия сотрудника • Но обязательная для определенных лиц • Может включать в себя: • подачу запроса в органы внутренних дел о наличии судимости сотрудника; • запрос в учреждение образования о подтверждении квалификации; • запрос рекомендаций с предыдущих мест работы.
Каким образом присваивается уровень конфиденциальности? • На основании ценности информации, владелец оценивает актив и присваивает соответствующий уровень конфиденциальности • В случае необходимости, владелец может осуществить оценку рисков, связанных с активом, для более точной оценки класса конфиденциальности • Уровень конфиденциальности информации может изменяться со временем. • Например, финансовые отчеты за прошлые периоды перестают быть конфиденциальными после их публикации. • Владелец информации отвечает за своевременный пересмотр уровня конфиденциальности.
Вопросы • Как классифицировать переписку по почте? • Разговор на проектном митинге?
Практика – составление списка «Приемлемых действий» • Задание – составить список приемлемых действий для главных активов/действий, в зависимости от уровня конфиденциальности
Базовые правила управления доступом • не создавать доступ “по умолчанию”; • “least privilege” и “need to know” - сотрудник должен иметь минимальный доступ, и только к той информации, которая ему совершенно необходима для выполнения своих должностных обязанностей.
Практика - вопросы • “Новенький” на проекте просит доступ к коду на SVN? • Коллега по аналогичному проекту просит доступ к reusable коду? • На ком держится выполнение правил управления доступом?
А9.2. Управление доступом пользователей • Регистрация/удаление пользователей • Должны быть созданы инструкции для исполнителей • Основаны на обязательном следовании требованиям политики управления доступом • Механика предоставления доступов • Базовый доступ на основании ролей - User rights pattern. • Обязательное согласование • Сам владелец актива может выдавать доступ • Определяются сроки - SLA
Что нельзя публиковать / распространять? Задекларировать в политике: • материалы класса Confidential и/или Secret • коммерческая тайна • угрожающую, клеветническую, непристойную …. запрещенную законодательством информацию • Запрещается выступать от имени организации без согласования с руководством
Принципы разработки безопасных систем • Здравый смысл • Управление изменениями • Управление рисками • Code Review, автоматический скан на уязвимости
Процесс управления инцидентами 1/3 • Обнаружение инцидента • Максимально простой способ донесения до Менеджера ИБ • Достаточно просто «голосом» • Регистрация – в ИС (например JIRA) • Классификация, быстрый анализ, быстрое реагирование • «Золотой час» • Расследование и диагностика • Привлечение требуемых специалистов • Разработка шагов по исправлению
Определения MTD, RTO и RPO
18.2.3. Анализ технического соответствия • Penetration testing • Анализ сети, конфигураций оборудования • Делаем через проект – с привлечением специалистов (заслуженных) • Либо создаем внутреннюю команду из подходящих специалистов Кадры решают все
На чем не стоит (чрезмерно) заморачиваться • Политика ИБ • Становится формальностью при хорошем комплекте документации • Анализ со стороны руководства • Замещается регулярными совещаниями с руководством
Модуль 4 Запуск СМИБ
План Модуля • Управление целями в области ИБ, практическое лидерство руководства организации • Анализ со стороны руководства • Разработка и внедрение системы метрик ИБ • Внутренние аудиты информационной безопасности • Тренинги, создание культуры ИБ в организации
7.2, 7.3 Тренинги, создание культуры ИБ в организации Создание культуры ИБ • Комиксы (при публикации новостей, новых документов) • Юмор — одна из основ для здоровой культуры компании • Некоторые шутки превращаются в истории, которые старожилы рассказывают новичкам. Не это ли культура компании?
Модуль 5 Сертификация СМИБ
Сертификация СМИБ • Требуемый уровень «международного признания» • Система аккредитации – ANAB, UKAS, DAkkS и др. Орган сертификации Система сертификации BSI ANAB BureauVeritas UKAS Русский Регистр ANAB DNV UKAS БелГИСС DakkS Список систем аккредитации: http://www.iaf.nu/articles/Accred_Body_Members_by_Name/52
Модуль 6 Эксплуатация СМИБ
Эксплуатация = жизнь • Эксплуатация СМИБ началась при старте проекта по внедрению СМИБ • Основной принцип – «осознавай для чего ты создан» • Для пользы бизнесу • Постоянный цикл • Уметь показывать пользу СМИБ (свою пользу) • Грамотно использовать совещания с руководством, не перегружать • Чем выше руководство, тем меньше пунктов
Эксплуатация = жизнь Знать (заранее) ответ на вопрос – что делает Команда ИБ и Менеджер ИБ после внедрения СМИБ/сертификации
Алексей Евменков, CISM isqa.ru evmenkov@gmail.com
а АлексейЕвменков, CISM isqa.ru evmenkov@gmail.com ИСО 27001 и СМИБ. Теория и практика. Авторский курс Расширенная практическая часть, полное руководство по внедрению СМИБ на основе ИСО 27001/27002

Recommended

Iso 27001 01_dmytriyev_kiev_2010_july
Iso 27001 01_dmytriyev_kiev_2010_julyIso 27001 01_dmytriyev_kiev_2010_july
Iso 27001 01_dmytriyev_kiev_2010_julyGlib Pakharenko
 
ИСО 27001 на практике, или будни внедренца
ИСО 27001 на практике, или будни внедренцаИСО 27001 на практике, или будни внедренца
ИСО 27001 на практике, или будни внедренцаAlexey Evmenkov
 
Introduction to NIST’s Risk Management Framework (RMF)
Introduction to NIST’s Risk Management Framework (RMF)Introduction to NIST’s Risk Management Framework (RMF)
Introduction to NIST’s Risk Management Framework (RMF)Donald E. Hester
 
A Software Architect's View On Diagramming
A Software Architect's View On DiagrammingA Software Architect's View On Diagramming
A Software Architect's View On Diagrammingmeghantaylor
 
日本における利用品質メトリクスの過去、現在、そして未来
日本における利用品質メトリクスの過去、現在、そして未来日本における利用品質メトリクスの過去、現在、そして未来
日本における利用品質メトリクスの過去、現在、そして未来ITOJUN
 
Security Incident Log Review Checklist by Dr Anton Chuvakin and Lenny Zeltser
Security Incident Log Review Checklist by Dr Anton Chuvakin and Lenny ZeltserSecurity Incident Log Review Checklist by Dr Anton Chuvakin and Lenny Zeltser
Security Incident Log Review Checklist by Dr Anton Chuvakin and Lenny ZeltserAnton Chuvakin
 
Построение СУИБ на основе ISO 27k
Построение СУИБ на основе ISO 27kПостроение СУИБ на основе ISO 27k
Построение СУИБ на основе ISO 27kSergey Chuchaev
 
SDL: Secure design principles
SDL: Secure design principlesSDL: Secure design principles
SDL: Secure design principlessluge
 

Recommended

Iso 27001 01_dmytriyev_kiev_2010_july
Iso 27001 01_dmytriyev_kiev_2010_julyIso 27001 01_dmytriyev_kiev_2010_july
Iso 27001 01_dmytriyev_kiev_2010_julyGlib Pakharenko
 
ИСО 27001 на практике, или будни внедренца
ИСО 27001 на практике, или будни внедренцаИСО 27001 на практике, или будни внедренца
ИСО 27001 на практике, или будни внедренцаAlexey Evmenkov
 
Introduction to NIST’s Risk Management Framework (RMF)
Introduction to NIST’s Risk Management Framework (RMF)Introduction to NIST’s Risk Management Framework (RMF)
Introduction to NIST’s Risk Management Framework (RMF)Donald E. Hester
 
A Software Architect's View On Diagramming
A Software Architect's View On DiagrammingA Software Architect's View On Diagramming
A Software Architect's View On Diagrammingmeghantaylor
 
日本における利用品質メトリクスの過去、現在、そして未来
日本における利用品質メトリクスの過去、現在、そして未来日本における利用品質メトリクスの過去、現在、そして未来
日本における利用品質メトリクスの過去、現在、そして未来ITOJUN
 
Security Incident Log Review Checklist by Dr Anton Chuvakin and Lenny Zeltser
Security Incident Log Review Checklist by Dr Anton Chuvakin and Lenny ZeltserSecurity Incident Log Review Checklist by Dr Anton Chuvakin and Lenny Zeltser
Security Incident Log Review Checklist by Dr Anton Chuvakin and Lenny ZeltserAnton Chuvakin
 
Построение СУИБ на основе ISO 27k
Построение СУИБ на основе ISO 27kПостроение СУИБ на основе ISO 27k
Построение СУИБ на основе ISO 27kSergey Chuchaev
 
SDL: Secure design principles
SDL: Secure design principlesSDL: Secure design principles
SDL: Secure design principlessluge
 
PECB Webinar: Cybersecurity Guidelines – Introduction to ISO 27032
PECB Webinar: Cybersecurity Guidelines – Introduction to ISO 27032PECB Webinar: Cybersecurity Guidelines – Introduction to ISO 27032
PECB Webinar: Cybersecurity Guidelines – Introduction to ISO 27032PECB
 
아키텍트가 알아야 할 12/97가지
아키텍트가 알아야 할 12/97가지아키텍트가 알아야 할 12/97가지
아키텍트가 알아야 할 12/97가지YoungSu Son
 
From NIST CSF 1.1 to 2.0.pdf
From NIST CSF 1.1 to 2.0.pdfFrom NIST CSF 1.1 to 2.0.pdf
From NIST CSF 1.1 to 2.0.pdfAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
ISO 27005 Risk Assessment
ISO 27005 Risk AssessmentISO 27005 Risk Assessment
ISO 27005 Risk AssessmentSmart Assessment
 
SOC2 Intro and Mindfulness
SOC2 Intro and MindfulnessSOC2 Intro and Mindfulness
SOC2 Intro and MindfulnessEmilyGladstoneCole
 
Comparison of ISO 22301 with BS 25999
Comparison of ISO 22301 with BS 25999Comparison of ISO 22301 with BS 25999
Comparison of ISO 22301 with BS 25999Steelhenge
 
Gouvernernance des SI IMAT
Gouvernernance des SI IMATGouvernernance des SI IMAT
Gouvernernance des SI IMATmoussadiom
 
Why ISO27001 For My Organisation
Why ISO27001 For My OrganisationWhy ISO27001 For My Organisation
Why ISO27001 For My OrganisationVigilant Software
 
NIST cybersecurity framework
NIST cybersecurity frameworkNIST cybersecurity framework
NIST cybersecurity frameworkShriya Rai
 
2022 Webinar - ISO 27001 Certification.pdf
2022 Webinar - ISO 27001 Certification.pdf2022 Webinar - ISO 27001 Certification.pdf
2022 Webinar - ISO 27001 Certification.pdfControlCase
 
ISO 27001 - IMPLEMENTATION CONSULTING
ISO 27001 - IMPLEMENTATION CONSULTINGISO 27001 - IMPLEMENTATION CONSULTING
ISO 27001 - IMPLEMENTATION CONSULTINGArul Nambi
 
Вопросы для интервью ISO 27001
Вопросы для интервью ISO 27001Вопросы для интервью ISO 27001
Вопросы для интервью ISO 27001Ivan Piskunov
 
IT서비스관리 표준, ISO20000의 이해
IT서비스관리 표준, ISO20000의 이해IT서비스관리 표준, ISO20000의 이해
IT서비스관리 표준, ISO20000의 이해에스티이지 (STEG)
 
NIST Cybersecurity Framework 101
NIST Cybersecurity Framework 101 NIST Cybersecurity Framework 101
NIST Cybersecurity Framework 101 Erick Kish, U.S. Commercial Service
 
Normes ISO 2700X et CISO MINDMAP 2022-23.pptx
Normes ISO 2700X et CISO MINDMAP 2022-23.pptxNormes ISO 2700X et CISO MINDMAP 2022-23.pptx
Normes ISO 2700X et CISO MINDMAP 2022-23.pptxAmorFranois
 
Introduction to SIEM.pptx
Introduction to SIEM.pptxIntroduction to SIEM.pptx
Introduction to SIEM.pptxneoalt
 
ISO 27001 How to use the ISMS Implementation Toolkit.pdf
ISO 27001 How to use the ISMS Implementation Toolkit.pdfISO 27001 How to use the ISMS Implementation Toolkit.pdf
ISO 27001 How to use the ISMS Implementation Toolkit.pdfAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Basic introduction to iso27001
Basic introduction to iso27001Basic introduction to iso27001
Basic introduction to iso27001Imran Ahmed
 
ISA/IEC 62443: Intro and How To
ISA/IEC 62443: Intro and How ToISA/IEC 62443: Intro and How To
ISA/IEC 62443: Intro and How ToJim Gilsinn
 
SOC 2 and You
SOC 2 and YouSOC 2 and You
SOC 2 and YouSchellman & Company
 
Практика внутреннего аудита СМИБ
Практика внутреннего аудита СМИБПрактика внутреннего аудита СМИБ
Практика внутреннего аудита СМИБAlexey Evmenkov
 
Iso 27001 внедрение технических защитных мер
Iso 27001 внедрение технических защитных мерIso 27001 внедрение технических защитных мер
Iso 27001 внедрение технических защитных мерAlexey Evmenkov
 

More Related Content

What's hot

PECB Webinar: Cybersecurity Guidelines – Introduction to ISO 27032
PECB Webinar: Cybersecurity Guidelines – Introduction to ISO 27032PECB Webinar: Cybersecurity Guidelines – Introduction to ISO 27032
PECB Webinar: Cybersecurity Guidelines – Introduction to ISO 27032PECB
 
아키텍트가 알아야 할 12/97가지
아키텍트가 알아야 할 12/97가지아키텍트가 알아야 할 12/97가지
아키텍트가 알아야 할 12/97가지YoungSu Son
 
Comparison of ISO 22301 with BS 25999
Comparison of ISO 22301 with BS 25999Comparison of ISO 22301 with BS 25999
Comparison of ISO 22301 with BS 25999Steelhenge
 
Gouvernernance des SI IMAT
Gouvernernance des SI IMATGouvernernance des SI IMAT
Gouvernernance des SI IMATmoussadiom
 
Why ISO27001 For My Organisation
Why ISO27001 For My OrganisationWhy ISO27001 For My Organisation
Why ISO27001 For My OrganisationVigilant Software
 
NIST cybersecurity framework
NIST cybersecurity frameworkNIST cybersecurity framework
NIST cybersecurity frameworkShriya Rai
 
2022 Webinar - ISO 27001 Certification.pdf
2022 Webinar - ISO 27001 Certification.pdf2022 Webinar - ISO 27001 Certification.pdf
2022 Webinar - ISO 27001 Certification.pdfControlCase
 
ISO 27001 - IMPLEMENTATION CONSULTING
ISO 27001 - IMPLEMENTATION CONSULTINGISO 27001 - IMPLEMENTATION CONSULTING
ISO 27001 - IMPLEMENTATION CONSULTINGArul Nambi
 
Вопросы для интервью ISO 27001
Вопросы для интервью ISO 27001Вопросы для интервью ISO 27001
Вопросы для интервью ISO 27001Ivan Piskunov
 
IT서비스관리 표준, ISO20000의 이해
IT서비스관리 표준, ISO20000의 이해IT서비스관리 표준, ISO20000의 이해
IT서비스관리 표준, ISO20000의 이해에스티이지 (STEG)
 
Normes ISO 2700X et CISO MINDMAP 2022-23.pptx
Normes ISO 2700X et CISO MINDMAP 2022-23.pptxNormes ISO 2700X et CISO MINDMAP 2022-23.pptx
Normes ISO 2700X et CISO MINDMAP 2022-23.pptxAmorFranois
 
Introduction to SIEM.pptx
Introduction to SIEM.pptxIntroduction to SIEM.pptx
Introduction to SIEM.pptxneoalt
 
Basic introduction to iso27001
Basic introduction to iso27001Basic introduction to iso27001
Basic introduction to iso27001Imran Ahmed
 
ISA/IEC 62443: Intro and How To
ISA/IEC 62443: Intro and How ToISA/IEC 62443: Intro and How To
ISA/IEC 62443: Intro and How ToJim Gilsinn
 

What's hot (20)

PECB Webinar: Cybersecurity Guidelines – Introduction to ISO 27032
PECB Webinar: Cybersecurity Guidelines – Introduction to ISO 27032PECB Webinar: Cybersecurity Guidelines – Introduction to ISO 27032
PECB Webinar: Cybersecurity Guidelines – Introduction to ISO 27032
 
아키텍트가 알아야 할 12/97가지
아키텍트가 알아야 할 12/97가지아키텍트가 알아야 할 12/97가지
아키텍트가 알아야 할 12/97가지
 
From NIST CSF 1.1 to 2.0.pdf
From NIST CSF 1.1 to 2.0.pdfFrom NIST CSF 1.1 to 2.0.pdf
From NIST CSF 1.1 to 2.0.pdf
 
ISO 27005 Risk Assessment
ISO 27005 Risk AssessmentISO 27005 Risk Assessment
ISO 27005 Risk Assessment
 
SOC2 Intro and Mindfulness
SOC2 Intro and MindfulnessSOC2 Intro and Mindfulness
SOC2 Intro and Mindfulness
 
Comparison of ISO 22301 with BS 25999
Comparison of ISO 22301 with BS 25999Comparison of ISO 22301 with BS 25999
Comparison of ISO 22301 with BS 25999
 
Gouvernernance des SI IMAT
Gouvernernance des SI IMATGouvernernance des SI IMAT
Gouvernernance des SI IMAT
 
Why ISO27001 For My Organisation
Why ISO27001 For My OrganisationWhy ISO27001 For My Organisation
Why ISO27001 For My Organisation
 
NIST cybersecurity framework
NIST cybersecurity frameworkNIST cybersecurity framework
NIST cybersecurity framework
 
2022 Webinar - ISO 27001 Certification.pdf
2022 Webinar - ISO 27001 Certification.pdf2022 Webinar - ISO 27001 Certification.pdf
2022 Webinar - ISO 27001 Certification.pdf
 
ISO 27001 - IMPLEMENTATION CONSULTING
ISO 27001 - IMPLEMENTATION CONSULTINGISO 27001 - IMPLEMENTATION CONSULTING
ISO 27001 - IMPLEMENTATION CONSULTING
 
Вопросы для интервью ISO 27001
Вопросы для интервью ISO 27001Вопросы для интервью ISO 27001
Вопросы для интервью ISO 27001
 
IT서비스관리 표준, ISO20000의 이해
IT서비스관리 표준, ISO20000의 이해IT서비스관리 표준, ISO20000의 이해
IT서비스관리 표준, ISO20000의 이해
 
NIST Cybersecurity Framework 101
NIST Cybersecurity Framework 101 NIST Cybersecurity Framework 101
NIST Cybersecurity Framework 101
 
Normes ISO 2700X et CISO MINDMAP 2022-23.pptx
Normes ISO 2700X et CISO MINDMAP 2022-23.pptxNormes ISO 2700X et CISO MINDMAP 2022-23.pptx
Normes ISO 2700X et CISO MINDMAP 2022-23.pptx
 
Introduction to SIEM.pptx
Introduction to SIEM.pptxIntroduction to SIEM.pptx
Introduction to SIEM.pptx
 
ISO 27001 How to use the ISMS Implementation Toolkit.pdf
ISO 27001 How to use the ISMS Implementation Toolkit.pdfISO 27001 How to use the ISMS Implementation Toolkit.pdf
ISO 27001 How to use the ISMS Implementation Toolkit.pdf
 
Basic introduction to iso27001
Basic introduction to iso27001Basic introduction to iso27001
Basic introduction to iso27001
 
ISA/IEC 62443: Intro and How To
ISA/IEC 62443: Intro and How ToISA/IEC 62443: Intro and How To
ISA/IEC 62443: Intro and How To
 
SOC 2 and You
SOC 2 and YouSOC 2 and You
SOC 2 and You
 

Similar to ИСО 27001 и СМИБ. Теория и практика - обзор тренинга

Практика внутреннего аудита СМИБ
Практика внутреннего аудита СМИБПрактика внутреннего аудита СМИБ
Практика внутреннего аудита СМИБAlexey Evmenkov
 
Iso 27001 внедрение технических защитных мер
Iso 27001 внедрение технических защитных мерIso 27001 внедрение технических защитных мер
Iso 27001 внедрение технических защитных мерAlexey Evmenkov
 
пр стандарты и «лучшие практики» в иб (прозоров)
пр стандарты и «лучшие практики» в иб (прозоров)пр стандарты и «лучшие практики» в иб (прозоров)
пр стандарты и «лучшие практики» в иб (прозоров)Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Helios - Тучин - Планирование первых шагов в ITSM
Helios - Тучин - Планирование первых шагов в ITSMHelios - Тучин - Планирование первых шагов в ITSM
Helios - Тучин - Планирование первых шагов в ITSMSergey Polazhenko
 
Politics
PoliticsPolitics
Politicscnpo
 
Описание программы "Школа мастеров"
Описание программы "Школа мастеров"Описание программы "Школа мастеров"
Описание программы "Школа мастеров"ECOPSY Consulting
 
пр Разработка комплекта документов по управлению ИБ (прозоров)
пр Разработка комплекта документов по управлению ИБ (прозоров)пр Разработка комплекта документов по управлению ИБ (прозоров)
пр Разработка комплекта документов по управлению ИБ (прозоров)Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Внедрение СУИБ, соответствующей ИСО 27001 в ИТ компании
Внедрение СУИБ, соответствующей ИСО 27001 в ИТ компанииВнедрение СУИБ, соответствующей ИСО 27001 в ИТ компании
Внедрение СУИБ, соответствующей ИСО 27001 в ИТ компанииSQALab
 
специалист по информационной безопасности
специалист по информационной безопасностиспециалист по информационной безопасности
специалист по информационной безопасностиKrasnov Aleksey
 
международные стандарты по управлению информационной безопасностью
международные стандарты по управлению информационной безопасностьюмеждународные стандарты по управлению информационной безопасностью
международные стандарты по управлению информационной безопасностьюAlexander Dorofeev
 
Проект внедрения КИС
Проект внедрения КИСПроект внедрения КИС
Проект внедрения КИСSergey Timofeev
 
ISsoft. Алексей Евменков. "Простая ИБ для непростых организаций"
ISsoft. Алексей Евменков. "Простая ИБ для непростых организаций"ISsoft. Алексей Евменков. "Простая ИБ для непростых организаций"
ISsoft. Алексей Евменков. "Простая ИБ для непростых организаций"Expolink
 
Вебинар по HP ArcSight 25.11.14
Вебинар по HP ArcSight 25.11.14Вебинар по HP ArcSight 25.11.14
Вебинар по HP ArcSight 25.11.14DialogueScience
 
Мониторинг событий информационной безопасности на базе решений HP ArcSight ES...
Мониторинг событий информационной безопасности на базе решений HP ArcSight ES...Мониторинг событий информационной безопасности на базе решений HP ArcSight ES...
Мониторинг событий информационной безопасности на базе решений HP ArcSight ES...DialogueScience
 
Стандарты по управлению ИБ (1).pptx
Стандарты по управлению ИБ (1).pptxСтандарты по управлению ИБ (1).pptx
Стандарты по управлению ИБ (1).pptxghdffds
 
Легковесный фреймворк для оценки качества на основе подхода SEMAT
Легковесный фреймворк для оценки качества на основе подхода SEMATЛегковесный фреймворк для оценки качества на основе подхода SEMAT
Легковесный фреймворк для оценки качества на основе подхода SEMATSQALab
 
СУИБ - проблемы внедрения v4
СУИБ - проблемы внедрения v4СУИБ - проблемы внедрения v4
СУИБ - проблемы внедрения v4a_a_a
 
QA Fest 2018. Андрей Ладутько. Доменное тестирование – новое или хорошо забыт...
QA Fest 2018. Андрей Ладутько. Доменное тестирование – новое или хорошо забыт...QA Fest 2018. Андрей Ладутько. Доменное тестирование – новое или хорошо забыт...
QA Fest 2018. Андрей Ладутько. Доменное тестирование – новое или хорошо забыт...QAFest
 
Модель зрелости процесса (мониторинг и оценка ИБ)
Модель зрелости процесса (мониторинг и оценка ИБ) Модель зрелости процесса (мониторинг и оценка ИБ)
Модель зрелости процесса (мониторинг и оценка ИБ) Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 

Similar to ИСО 27001 и СМИБ. Теория и практика - обзор тренинга (20)

Практика внутреннего аудита СМИБ
Практика внутреннего аудита СМИБПрактика внутреннего аудита СМИБ
Практика внутреннего аудита СМИБ
 
Iso 27001 внедрение технических защитных мер
Iso 27001 внедрение технических защитных мерIso 27001 внедрение технических защитных мер
Iso 27001 внедрение технических защитных мер
 
пр стандарты и «лучшие практики» в иб (прозоров)
пр стандарты и «лучшие практики» в иб (прозоров)пр стандарты и «лучшие практики» в иб (прозоров)
пр стандарты и «лучшие практики» в иб (прозоров)
 
Helios - Тучин - Планирование первых шагов в ITSM
Helios - Тучин - Планирование первых шагов в ITSMHelios - Тучин - Планирование первых шагов в ITSM
Helios - Тучин - Планирование первых шагов в ITSM
 
Politics
PoliticsPolitics
Politics
 
Описание программы "Школа мастеров"
Описание программы "Школа мастеров"Описание программы "Школа мастеров"
Описание программы "Школа мастеров"
 
пр Разработка комплекта документов по управлению ИБ (прозоров)
пр Разработка комплекта документов по управлению ИБ (прозоров)пр Разработка комплекта документов по управлению ИБ (прозоров)
пр Разработка комплекта документов по управлению ИБ (прозоров)
 
Внедрение СУИБ, соответствующей ИСО 27001 в ИТ компании
Внедрение СУИБ, соответствующей ИСО 27001 в ИТ компанииВнедрение СУИБ, соответствующей ИСО 27001 в ИТ компании
Внедрение СУИБ, соответствующей ИСО 27001 в ИТ компании
 
пр Cobit5 (обзор)
пр Cobit5 (обзор)пр Cobit5 (обзор)
пр Cobit5 (обзор)
 
специалист по информационной безопасности
специалист по информационной безопасностиспециалист по информационной безопасности
специалист по информационной безопасности
 
международные стандарты по управлению информационной безопасностью
международные стандарты по управлению информационной безопасностьюмеждународные стандарты по управлению информационной безопасностью
международные стандарты по управлению информационной безопасностью
 
Проект внедрения КИС
Проект внедрения КИСПроект внедрения КИС
Проект внедрения КИС
 
ISsoft. Алексей Евменков. "Простая ИБ для непростых организаций"
ISsoft. Алексей Евменков. "Простая ИБ для непростых организаций"ISsoft. Алексей Евменков. "Простая ИБ для непростых организаций"
ISsoft. Алексей Евменков. "Простая ИБ для непростых организаций"
 
Вебинар по HP ArcSight 25.11.14
Вебинар по HP ArcSight 25.11.14Вебинар по HP ArcSight 25.11.14
Вебинар по HP ArcSight 25.11.14
 
Мониторинг событий информационной безопасности на базе решений HP ArcSight ES...
Мониторинг событий информационной безопасности на базе решений HP ArcSight ES...Мониторинг событий информационной безопасности на базе решений HP ArcSight ES...
Мониторинг событий информационной безопасности на базе решений HP ArcSight ES...
 
Стандарты по управлению ИБ (1).pptx
Стандарты по управлению ИБ (1).pptxСтандарты по управлению ИБ (1).pptx
Стандарты по управлению ИБ (1).pptx
 
Легковесный фреймворк для оценки качества на основе подхода SEMAT
Легковесный фреймворк для оценки качества на основе подхода SEMATЛегковесный фреймворк для оценки качества на основе подхода SEMAT
Легковесный фреймворк для оценки качества на основе подхода SEMAT
 
СУИБ - проблемы внедрения v4
СУИБ - проблемы внедрения v4СУИБ - проблемы внедрения v4
СУИБ - проблемы внедрения v4
 
QA Fest 2018. Андрей Ладутько. Доменное тестирование – новое или хорошо забыт...
QA Fest 2018. Андрей Ладутько. Доменное тестирование – новое или хорошо забыт...QA Fest 2018. Андрей Ладутько. Доменное тестирование – новое или хорошо забыт...
QA Fest 2018. Андрей Ладутько. Доменное тестирование – новое или хорошо забыт...
 
Модель зрелости процесса (мониторинг и оценка ИБ)
Модель зрелости процесса (мониторинг и оценка ИБ) Модель зрелости процесса (мониторинг и оценка ИБ)
Модель зрелости процесса (мониторинг и оценка ИБ)
 

More from Alexey Evmenkov

ИБ - игра в долгую, или разговор о личном развии
ИБ - игра в долгую, или разговор о личном развииИБ - игра в долгую, или разговор о личном развии
ИБ - игра в долгую, или разговор о личном развииAlexey Evmenkov
 
Место управления рисками в СМИБ - ИСО 27001 и СТБ 34.101.х
Место управления рисками в СМИБ - ИСО 27001 и СТБ 34.101.хМесто управления рисками в СМИБ - ИСО 27001 и СТБ 34.101.х
Место управления рисками в СМИБ - ИСО 27001 и СТБ 34.101.хAlexey Evmenkov
 
СМИБ - игра в долгую
СМИБ - игра в долгуюСМИБ - игра в долгую
СМИБ - игра в долгуюAlexey Evmenkov
 
Простая ИБ для обычных организаций
Простая ИБ для обычных организацийПростая ИБ для обычных организаций
Простая ИБ для обычных организацийAlexey Evmenkov
 
ITSM Belarus2016. Интеграция ИБ и ИТ процессов
ITSM Belarus2016. Интеграция ИБ и ИТ процессовITSM Belarus2016. Интеграция ИБ и ИТ процессов
ITSM Belarus2016. Интеграция ИБ и ИТ процессовAlexey Evmenkov
 
Решение проблем с помощью RCA. Методики и инструменты.
Решение проблем с помощью RCA. Методики и инструменты.Решение проблем с помощью RCA. Методики и инструменты.
Решение проблем с помощью RCA. Методики и инструменты.Alexey Evmenkov
 
Роль Информационной Безопасности в управлении проектами или почему скрипач нужен
Роль Информационной Безопасности в управлении проектами или почему скрипач нуженРоль Информационной Безопасности в управлении проектами или почему скрипач нужен
Роль Информационной Безопасности в управлении проектами или почему скрипач нуженAlexey Evmenkov
 

More from Alexey Evmenkov (7)

ИБ - игра в долгую, или разговор о личном развии
ИБ - игра в долгую, или разговор о личном развииИБ - игра в долгую, или разговор о личном развии
ИБ - игра в долгую, или разговор о личном развии
 
Место управления рисками в СМИБ - ИСО 27001 и СТБ 34.101.х
Место управления рисками в СМИБ - ИСО 27001 и СТБ 34.101.хМесто управления рисками в СМИБ - ИСО 27001 и СТБ 34.101.х
Место управления рисками в СМИБ - ИСО 27001 и СТБ 34.101.х
 
СМИБ - игра в долгую
СМИБ - игра в долгуюСМИБ - игра в долгую
СМИБ - игра в долгую
 
Простая ИБ для обычных организаций
Простая ИБ для обычных организацийПростая ИБ для обычных организаций
Простая ИБ для обычных организаций
 
ITSM Belarus2016. Интеграция ИБ и ИТ процессов
ITSM Belarus2016. Интеграция ИБ и ИТ процессовITSM Belarus2016. Интеграция ИБ и ИТ процессов
ITSM Belarus2016. Интеграция ИБ и ИТ процессов
 
Решение проблем с помощью RCA. Методики и инструменты.
Решение проблем с помощью RCA. Методики и инструменты.Решение проблем с помощью RCA. Методики и инструменты.
Решение проблем с помощью RCA. Методики и инструменты.
 
Роль Информационной Безопасности в управлении проектами или почему скрипач нужен
Роль Информационной Безопасности в управлении проектами или почему скрипач нуженРоль Информационной Безопасности в управлении проектами или почему скрипач нужен
Роль Информационной Безопасности в управлении проектами или почему скрипач нужен
 

ИСО 27001 и СМИБ. Теория и практика - обзор тренинга

  • 1. ИСО 27001 и СМИБ Теория и практика Алексей Евменков, CISM isqa.ru 06.04-08.04.2016
  • 2. Информационная выборка слайдов, достаточна для краткого ознакомления с курсом
  • 3. Описание курса Содержание курса • Краткая теоретическая база, фокус на основных понятиях • Расширенная практическая часть, руководство по внедрению ИСО 27001 и защитных мер из ИСО 27002 Аудитория • Руководители и специалисты по информационной безопасности • Специалисты, ответственные за внедрение СМИБ
  • 4. Программа курса • Модуль 1 - Введение • Введение в ИБ и СМИБ, терминология • Серия стандартов ISO/IEC 27000, стандарт ISO/IEC 27001:2013 • Модуль 2 – Планирование СМИБ • Проект по внедрению СМИБ • Первичный аудит и GAP анализ • Предварительный план СМИБ • Организационные аспекты СМИБ, определение области применения СМИБ • Определение подходов к управлению активами • Управление рисками – методика и инструментарий • Разработка плана обработки рисков и финализация плана внедрения СМИБ • Модуль 3 – Внедрение СМИБ • Управление документированной информацией СМИБ • Процесс внедрения защитных мер • Политика ИБ • Управление активами, классификация информации • ИБ в управлении персоналом • Управление доступом (доступ к системам и приложениям, управление правами пользователей) • Физическая безопасность • ИБ в период эксплуатации (антивирусная защита, резервное копирование, мониторинг и др.) • Сетевая безопасность • ИБ при разработке и обслуживании ИС • ИБ в отношениях с поставщиками • Управление инцидентами ИБ • Управление непрерывностью бизнеса • Соответствие законодательным и договорным требованиям, интеллектуальная собственность • Модуль 4 – Запуск СМИБ • Управление целями в области ИБ, практическое лидерство руководства организации • Анализ со стороны руководства • Разработка и внедрение системы метрик ИБ • Внутренние аудиты информационной безопасности • Тренинги, создание культуры ИБ в организации • Модуль 5 – Сертификация СМИБ • Выбор сертифицирующего органа • Особенности процесса сертификации ИСО 27001 • Модуль 6 – Эксплуатация СМИБ • Роли руководителя и специалистов ИБ • План регулярных действий • Постоянное улучшение и развитие СМИБ
  • 5. Цель курса • Дать базовое понимание по ИСО 27001 и СМИБ • Описать общие подходы по внедрению и эксплуатации СМИБ • Разъяснить практические аспекты внедрения отдельных защитных мер • С фокусом на запросы аудитории
  • 6. Представление • Специалист по ИБ (CISM), по процессам и качеству в ИТ области • Внедряю и подготавливаю к сертификации - ИСО 27001 и 9001 • Первая в РБ ИСО 27001 сертификация (в2008г, Tieto) • Консалтинг и сертификации РБ, Россия, Финляндия, Швеция, Прибалтика • Проекты интеграций компаний • Профессиональный аудитор по ИБ и процессам
  • 8. Аннотация • Стандарт ISO/IEC 27001:2013 – все слышали, мало кто видел • Сложность темы ИБ находит отражение в стандарте. Полное внедрение ISO 27001, с использованием всех рекомендаций - потребует годы для средней организации. • Как создать с нуля сбалансированную СУИБ, как выбрать только реально необходимые защитные меры и как правильно внедрить процессы ИБ?
  • 10. Информация • Информация – это актив, который, как и любой другой важный для бизнеса актив, представляет большую ценность для организации и, следовательно, нуждается в должной защите • Информация - сведения о лицах, предметах, фактах, событиях, явлениях и процессах независимо от формы их представления • Существует в разных формах – бумага, видео, звук
  • 11. Информация • Основа для любой организации (ваши примеры) • Уровни доступа к информации – внутренняя, конфиденциальная, секретная • Способы работы с информацией • Создание, сохранение, копирование • Обработка, преобразование, передача • Уничтожение? Использование ненадлежащим способом? • Утеряна? Повреждена? • Организации сталкиваются с информационными рисками • Кража информации • Вторжение и уничтожение системных ресурсов • Подмена информации • Повреждение носителей информации
  • 12. Информационная безопасность • Информационная Безопасность (ИБ) - свойство информации сохранять конфиденциальность, целостность и доступность. Пример - БД Примеры с фокусом на один из аттрибутов CIA
  • 13. Практика – ИБ • Опишите ваши активы в контексте ИБ
  • 14. СМИБ – общая схема Планирование и мониторинг целей Требования ИСО 27001 Политики и процедуры СМИБ Корректирующие имеры Управление рисками Аудиты Измерения, метрики Комплекс защитных мер
  • 15. СМИБ – защитные меры, согласно ISO 27001 ИБ в управлении персоналом Управление активами Управление доступом Организация ИБ Криптография Физическая безопасность Антивирусная защита ПО Резервное копирование Логи и мониторинг Управление сетевой безопасностью ИБ при разработке ПО ИБ при работе с поставщиками Управление инцидентами Управление непрерывностью бизнеса Соответствие требованиям регуляторов 114 защитных мер
  • 16.
  • 18. Польза «широкого взгляда» • Взгляд с разных позиций, например: • COBIT – организационный фреймворк • ISO27001 - системный подход • NIST 800 – технические моменты • ITIL - для сервисныx организаций
  • 19. ISO 27001:2013 – что нового • Более структурированный, уменьшено кол-во контролов 133->114 • Термины перенесены в 27000 – вышла версия в 2016 (платная зараза) • Гармонизация с другими стандартами (а 9001 в свою очередь ввели понятие рисков) • + владелец рисков • - записи • - превентивные меры Источник картинок: ISO27001 Academy
  • 20. ISO 27001:2013 – что нового В целом, более удобный и читабельный стандарт Источник картинок: ISO27001 Academy Хороший обзор «что нового» в ISO 27001:2013
  • 21. Когда необходим ИСО 27001? • Требование заказчика • Обязательное условие для участия в тендере • Заказчик хочет быть уверен в сохранности своих данных • Желание организации • Необходимо повысить защищенность от рисков • Уменьшить количество и стоимость инцидентов • Создать позитивный бизнес-образ, безопасный и современный
  • 23. План Модуля • Проект по внедрению СМИБ • Первичный аудит и GAP анализ • Предварительный план СМИБ • Организационные аспекты СМИБ, определение области применения СМИБ • Определение подходов к управлению активами • Управление рисками – методика и инструментарий • Разработка плана обработки рисков и финализация плана внедрения СМИБ
  • 25. Проект по внедрению СМИБ • Проект – это целенаправленная, ограниченная во времени деятельность, осуществляемая для удовлетворения конкретных потребностей при наличии внешних и внутренних ограничений и использовании ограниченных ресурсов • Нет проекта, нет СМИБ • Что получим без проекта?
  • 26. Аттрибуты проекта Проект предполагает: • конкретную цель, уникальность, разовость, ограниченность во времени и ресурсах • команду проекта, бюджет, ответственность, критерии успешности • Механизмы управления проектами – отслеживание статуса, коммуникацию, управление изменениями и т.п.
  • 27. Общие фазы проекта по внедрению СМИБ
  • 28. Факторы успешного запуска проекта • Заинтересованность со стороны руководства • Подготовленность со стороны инициаторов (если инициатива не со стороны руководства) • Понимание связи бизнеса и ИБ • Умение представить выгоды внедрения • Собственно, знания ИБ
  • 29. Ложный успех • Вот вам бюджет, разберитесь сами, нас не беспокойте • Не забываем про проектный подход • Вовлеченность многих групп организации обязательна, это невозможно без лидерства руководства • У нас есть набор шаблонов/готовых документов СМИБ от другой организации • Мы купим услугу сертификации • Мы пригласим «хорошего» аудитора, сделаем для него культурную программу
  • 30. Сколько будет стоить (по $, ресурсам, времени)? Простого ответа нет. Необходимо: • оценить – что необходимо руководству, работающая СМИБ или просто сертификат (здоровье или богатство, или и то и другое)? • описать общие фазы проекта, • объяснить вовлеченность групп сотрудников (ИТ, ИБ, руководство и т.д.) • предоставить самые общие рамки, основанные на здравом смысле (например, для организации в 100 сотрудников, с офисом на одном этаже – 8-12 мес) • более точный ответ – после аудита и анализа рисков
  • 31. Результат запуска проекта Min • Описаны предварительная область действия (scope), цели проекта • Выделен бюджет на проведение аудита Max • Бюджет на весь проект (предварительный) • Организована команда проекта • Поддержка руководтва реальна (как понять реальность поддержи?)
  • 33. Первичный аудит и GAP анализ - начало • Команда аудиторов, задействование внешних экспертов (принцип беспристрастности) • Желательно привлечение технического специалиста для проверки сети, технических защитных мер • План аудита, планирование встреч, в конце – отчет • Результат – набор замечаний, входной материал для составления плана
  • 34. Практика – проведение аудита • См. чеклист по основным элементам ИСО 27001, по всем защитным мерам 27002 • Задание – выбрать группу защитных мер, провести аудит, зафиксировать результат
  • 36. Состав плана проекта • Общие активности (управление проектом, консультации) • Планирование СМИБ • Проведение аудита • Разработка Области действия СМИБ (документ) • Разработка Политики ИБ (документ) • Разработка Целей ИБ • Управление активами – общий список, приоритезация • Управление рисками • Разработка заявления о применимости СМИБ - SoA (документ)
  • 37. Состав плана проекта • Разработка СМИБ • Детальный список защитных мер – разработка и внедрение • Разработка и внедрение метрик • Разработка и внедрение общей документации (руководство пользователя и др.) • Запуск СМИБ • Тренинги • Аудиты • Анализ со стороны руководства • Запуск защитных мер • Сертификация СМИБ
  • 38. Сложности с под-проектами • Включать в общий бюджет? • Риск перерасхода и затягивания сроков • Стоимость сопоставимая со стоимостью проекта СМИБ • Сложность внедрения, необходимость привлекать разноплановых специалистов
  • 39. Практика – работа с планом • См. пример плана • Задание – понять структуру, адаптировать для своей организации
  • 41. 5.3 Организация ИБ • Закрепление ролей и ответственностей в области ИБ • Закрепить роль Менеджера ИБ:) • Определить кто за что отвечает
  • 44. Область применения СМИБ • Процессы и сервисы (см. пример на след. слайде) • Организация (оргчарт) • Физическое расположение, офис • Адрес, схема офиса, планы этажей и т.п. • Сети и ИТ инфраструктура • Описание сети, схема LAN, W-Fi network и т.п. • Ссылка на реестр активов
  • 46. Управление активами • Актив - все что имеет ценность для организации и генерирует ее доход (другими словами это то, что создает положительный финансовый поток, либо сберегает средства). • Первый шаг в предверии управления рисками – управлять активами • Необходимо определить, что важно для организации
  • 48. Управление активами • Составить категории активов • Определить владельцев активов • Оценить ценность активов
  • 53. Ценность анализа рисков • Экономия $, времени, ресурсов • Улучшение планирования, повышение эффективности • Основание для принятия объективного решения
  • 54. Без рисков скучно «Если бы наш мир когда-нибудь обрел полную определенность, наша жизнь стала бы невыносимо скучной» Книга Понимать риски. Как выбирать правильный курс
  • 55. Риски Угроза: нарушение лицензионности, использование чужого кода Уязвимость: Из-за отсутствия необходимых знаний у членов команды Актив: программные компоненты (deliverables) Защитная мера: проведение тренингов, постоянная коммуникация, процедурная поддержка
  • 56. Процесс управления рисками 1 • Идентификация активов 2 • Идентификация уязвимостей и угроз, генерация рисков (посредством модели CIA) 3 • Анализ рисков 4 • Принятие решения по рискам (risk treatment) 5 • Мониторинг и контроль рисков
  • 57. Практика – создание рисков через CIA модель • Задание – какой аттрибут CIA на картинке подвергается риску? • Задание – выбрать 2 актива, сгенерировать риски 2
  • 58. Анализ рисков • Количественный анализ рисков • Уровень риска зависит от ценности актива, вероятности срабатывания риска и уровня (величины) возможного ущерба • Качественный анализ рисков • определяется категория риска (финансовый риск, репутационный риск, риск связанный с персоналом и др.) • оценивается влияние на возможную утрату конфиденциальности, целостности или доступности информации 3
  • 59. Пример рассчета риска Актив = Интернет соединение С I A 4 3 4 Lk Im E=Av*Lk*Im 2 ср.частота 4 Оч. серьезно 3.67*2*4=29.36 Av=3.67 Risk exposure range (E=Av*Lk*Im) Risk Rank 0-12 Low 13-24 Medium 25-64 High Потеря интернет соединения -> из за выхода из строя локального сетевого оборудования 29.36 = High risk 3
  • 60. Принятие решения по рискам (risk treatment) • После того как риск оценен, должно быть принято решение относительно его обработки (выбора и реализации мер и средств по минимизации риска) • Обязательно учитывать затраты на внедрение и сопровождение механизмов безопасности • Возможные решения: см. следующий слайд 4
  • 61. Мониторинг рисков • Необходим регулярный контроль рисков • Новые риски? • Статус по старым рискам? • Результаты оценки рисков – руководству для принятия решений • Возможный механизм: • Менеджер ИБ готовит выборку рисков для анализа Командой/Комитетом ИБ • На совещании – коллективно принимаются решения, доводятся до руководства, до исполнителей 5
  • 62. Зачем мониторить риски? • П.ч. они постоянно появляются:) • Например – ужесточение законодательства в области авторского права (сотрудники качают с торрентов?) • Вплоть до политических (в 2010г. сотрудники «ходили» на площадь, а руководство просчитывало риски) 5
  • 63. Практика – полный цикл анализа рисков • Задание – завершить анализ рисков для 2х активов
  • 64. Пример: хранение и распространение контрафакта • 9.21 КоАП «Нарушение авторского права, смежных прав и права промышленной собственности» http://news.tut.by/society/481405.html Актив: репутация Компании Угроза: потеря репутации компании, финансовые потери Уязвимость: неосведомленность сотрудников Компании (неосмотрительное пользование интернетом) Анализ риска: штраф до 200БВ+300БВ (42млн+63млн=105млн) Сотрудники часто пользуются торрентами, и позволяют с себя скачивать (т.е. распространять). Риск СРЕДНИЙ (принимаем защитные меры) Сотрудник заливает с торрента клип, публикует в VK. Защитные меры: • Немедленная нотификация сотрудников, объяснить ответственность сотруд-в • Включение в регулярные тренинги правил работы в интрернете (торрент, соцсети+) • Письмо в "отдел К" или OAЦ, что нам предпринять для защиты наших периметров • Запустить под-проект в ИТ отделе – ограничение трафика торрентов • Связаться с коллегами из ПВТ – перенять опыт
  • 65. Ключевые факторы в управлении рисками • Управление активами – основа для управления рисками • Правильные активы (формулировка, владелец, ценность) • Количественное управление рисками • По крайней мере на первых порах • Создание рисков через CIA модель
  • 67. Инструментарий для управления рисками • Возможно управление с помощью MS Excel • Для небольшого кол-ва рисков (10-50) • Для полноценной работы с рисками, рекомендуется приобрести специализированное ПО • Либо разработать свое, по аналогии с «классическим аналогом» - RA2 • Возможно имеет смысл рассмотреть https://rvision.pro Примеры инструментов: https://www.enisa.europa.eu/activities/risk- management/current-risk/risk-management-inventory/rm-ra-tools
  • 68. Разработка плана обработки рисков и финализация плана внедрения СМИБ
  • 69. Финализация плана внедрения СМИБ Результаты аудита (список действий) Результаты управления рисками (список действий) Область примен ения Цели ИБ Контекст План СМИБ
  • 70. SoA – Заявление о применимости • Перечень всех защитных мер СМИБ • Чаще всего – из Приложения А • Указываются и обосновываются любые исключения • Приводятся причины для применения • Желательны ссылки на существующие документы • Является обязательным документом СМИБ • Номер версии SoA прописывается на сертификате
  • 71. Практика – уточнение плана • Задание – финализировать план для избранных защитных мер
  • 73. План Модуля • Управление документированной информацией СМИБ • Процесс внедрения защитных мер • Внедрение защитных мер (избранные защитные меры из списка в 114 мер)
  • 75. Определяем контекст • Организация • Большая-маленькая • Один офис-несколько, в разных локациях? • Офис • Опен-спейс/комнаты • Делится с другими организациями? • Какие активы защищаем? • Наличие серверной, закрытых зон? (в первую очередь речь об информации • Средняя, 300 сотрудников • Три офиса, в разных городах • И опен-спейс и комнаты • Нет • Да , серверная, склад, финансовый отдел Цель – очертить периметр, в котором будет контролируемый уровень физич. безопасности
  • 76. А7.1.1. Проверка • Проверка личных данных – с согласия сотрудника • Но обязательная для определенных лиц • Может включать в себя: • подачу запроса в органы внутренних дел о наличии судимости сотрудника; • запрос в учреждение образования о подтверждении квалификации; • запрос рекомендаций с предыдущих мест работы.
  • 77. Каким образом присваивается уровень конфиденциальности? • На основании ценности информации, владелец оценивает актив и присваивает соответствующий уровень конфиденциальности • В случае необходимости, владелец может осуществить оценку рисков, связанных с активом, для более точной оценки класса конфиденциальности • Уровень конфиденциальности информации может изменяться со временем. • Например, финансовые отчеты за прошлые периоды перестают быть конфиденциальными после их публикации. • Владелец информации отвечает за своевременный пересмотр уровня конфиденциальности.
  • 78. Вопросы • Как классифицировать переписку по почте? • Разговор на проектном митинге?
  • 79. Практика – составление списка «Приемлемых действий» • Задание – составить список приемлемых действий для главных активов/действий, в зависимости от уровня конфиденциальности
  • 80. Базовые правила управления доступом • не создавать доступ “по умолчанию”; • “least privilege” и “need to know” - сотрудник должен иметь минимальный доступ, и только к той информации, которая ему совершенно необходима для выполнения своих должностных обязанностей.
  • 81. Практика - вопросы • “Новенький” на проекте просит доступ к коду на SVN? • Коллега по аналогичному проекту просит доступ к reusable коду? • На ком держится выполнение правил управления доступом?
  • 82. А9.2. Управление доступом пользователей • Регистрация/удаление пользователей • Должны быть созданы инструкции для исполнителей • Основаны на обязательном следовании требованиям политики управления доступом • Механика предоставления доступов • Базовый доступ на основании ролей - User rights pattern. • Обязательное согласование • Сам владелец актива может выдавать доступ • Определяются сроки - SLA
  • 83. Что нельзя публиковать / распространять? Задекларировать в политике: • материалы класса Confidential и/или Secret • коммерческая тайна • угрожающую, клеветническую, непристойную …. запрещенную законодательством информацию • Запрещается выступать от имени организации без согласования с руководством
  • 84. Принципы разработки безопасных систем • Здравый смысл • Управление изменениями • Управление рисками • Code Review, автоматический скан на уязвимости
  • 85. Процесс управления инцидентами 1/3 • Обнаружение инцидента • Максимально простой способ донесения до Менеджера ИБ • Достаточно просто «голосом» • Регистрация – в ИС (например JIRA) • Классификация, быстрый анализ, быстрое реагирование • «Золотой час» • Расследование и диагностика • Привлечение требуемых специалистов • Разработка шагов по исправлению
  • 87. 18.2.3. Анализ технического соответствия • Penetration testing • Анализ сети, конфигураций оборудования • Делаем через проект – с привлечением специалистов (заслуженных) • Либо создаем внутреннюю команду из подходящих специалистов Кадры решают все
  • 88. На чем не стоит (чрезмерно) заморачиваться • Политика ИБ • Становится формальностью при хорошем комплекте документации • Анализ со стороны руководства • Замещается регулярными совещаниями с руководством
  • 90. План Модуля • Управление целями в области ИБ, практическое лидерство руководства организации • Анализ со стороны руководства • Разработка и внедрение системы метрик ИБ • Внутренние аудиты информационной безопасности • Тренинги, создание культуры ИБ в организации
  • 91. 7.2, 7.3 Тренинги, создание культуры ИБ в организации Создание культуры ИБ • Комиксы (при публикации новостей, новых документов) • Юмор — одна из основ для здоровой культуры компании • Некоторые шутки превращаются в истории, которые старожилы рассказывают новичкам. Не это ли культура компании?
  • 93. Сертификация СМИБ • Требуемый уровень «международного признания» • Система аккредитации – ANAB, UKAS, DAkkS и др. Орган сертификации Система сертификации BSI ANAB BureauVeritas UKAS Русский Регистр ANAB DNV UKAS БелГИСС DakkS Список систем аккредитации: http://www.iaf.nu/articles/Accred_Body_Members_by_Name/52
  • 95. Эксплуатация = жизнь • Эксплуатация СМИБ началась при старте проекта по внедрению СМИБ • Основной принцип – «осознавай для чего ты создан» • Для пользы бизнесу • Постоянный цикл • Уметь показывать пользу СМИБ (свою пользу) • Грамотно использовать совещания с руководством, не перегружать • Чем выше руководство, тем меньше пунктов
  • 96. Эксплуатация = жизнь Знать (заранее) ответ на вопрос – что делает Команда ИБ и Менеджер ИБ после внедрения СМИБ/сертификации
  • 98. а АлексейЕвменков, CISM isqa.ru evmenkov@gmail.com ИСО 27001 и СМИБ. Теория и практика. Авторский курс Расширенная практическая часть, полное руководство по внедрению СМИБ на основе ИСО 27001/27002