SlideShare a Scribd company logo

Презентація серії документів ISACA з впровадження Європейської Моделі Кібербезпеки

Alexey Yankovski
Alexey Yankovski

Київське відділення ISACA завершило переклад першого методологічного документа із серії документів ISACA з впровадження Європейскої моделі кібербезпеки. В даній презентації наведено стислий огляд першого документу. Охоплюються такі питання: -- Визначення Кібербезпеки -- Огляд стратегії кібербезпеки ЄС -- Обґрунтування впровадженні кібербезпеки -- Інтеграція управління кіберебзпекою в структури корпоративного управління -- Ризик менеджмент -- Надання впевненості та аудит -- Висновки для України

1 of 26
Download to read offline
Впровадження європейської кібербезпеки: загальний огляд 09.12.2015
Порядок денний • Коротко про ISACA • Про що цей документ? • Таксономія кібератак • Ландшафт європейської кібербезпеки • Принципи та напрямки стратегії кібербезпеки ЄС • Інтеграція кібербезпеки в корпоративне управління • Розробка бізнес-плану для впровадження кібербезпеки • Управління ризиками кібербезпеки • Управління стійкістю кібербезпеки • Надання впевненості щодо кібербезпеки • Висновки для України
Коротко про ISACA з 1969 року понад 200 відділень по всьому світу більше 115 000 членів у 180 країнах світу • надійне джерело знань, стандартів, співробітництва та підвищення кваліфікації для фахівців у галузі аудиту, підтвердження достовірності, безпеки, управління ризиками, конфіденційності та управління інформаційними системами • розвиває та підтверджує найбільш важливі для бізнесу навички та знання, поширюючи сертифікації, що визнаються у міжнародному масштабі: CSX®, CISA®, CISM®, CGEIT® і CRISC™ • пропонує фахівцям із кібербезпеки − широкий набір ресурсів Cybersecurity Nexus™ − настанови COBIT® 2 − COBIT для забезпечення захисту інформації − настанови щодо впровадження Основ знань із кібербезпеки Національного інституту стандартів і технології США (NIST Cybersecurity Framerwork) − різноманітні настанови та програми аудиту безпеки хмарних технологій, мобільних пристроїв, аутсорсингу
Про що цей документ? • Серія документів про впровадження європейської кібербезпеки – спрямована на впровадження кібербезпеки, виходячи з досвіду ЄС та асоційованих країн – включає практичні настанови, які відповідають європейським вимогам і передовому досвіду, згідно з діючими законами, стандартами та іншими настановами – містить посилання на релевантні документи ЄС, інші настанови, стандарти та джерела інформації • Серія складається з 5-ти документів – Загальний огляд (перекладено і буде представлено сьогодні) – Управління ризиками – Управління стійкістю – Надання впевненості – окремий документ Програма аудиту кібербезпеки • Загальний огляд містить – важливі визначення, огляд підходів ЄС щодо впровадження кібербезпеки – рекомендації з підготовки обґрунтування впровадження – ключові елементи моделі управління кібербезпекою
Серія документів про впровадження європейської кібербезпеки в контексті інших публікацій ISACA
Цільова аудиторія Серії документів про впровадження європейської кібербезпеки
Чинники, що впливають на необхідність посилення кібербезпеки
Визначення терміну «кібербезпека» • Термін «кібербезпека» стосується корпоративного управління, заходів захисту та механізмів надання впевненості щодо безпеки, які виходять за межі стандартної інформаційної безпеки. Кібербезпека зосереджується на особливих формах складних атак та охоплює їх технічний і соціальний аспекти. • Офіційне визначення ЄС • Визначення ISACA • Розширене визначення ISACA у публікації Трансформація кібербезпеки …Кібербезпека охоплює все, що захищає організації та фізичних осіб від умисних атак, порушень, інцидентів і їх наслідків. На практиці кібербезпека насамперед стосується тих типів атак, порушень та інцидентів, які є цільовими, високотехнологічними та складними у виявленні чи управлінні. Кібербезпека зосереджується на так званих складних спрямованих постійних загрозах (APT), кібервійнах і їх впливі на організації та людей.
Таксономія кібератак • Необхідно розрізняти інформаційну безпеку та кібербезпеку. • Різниця полягає в масштабах, мотивах, можливостях і методах атак.
Рівні складності та ризику
Аналіз рівня впливу: кібербезпека та інформаційна безпека
Ландшафт європейської кібербезпеки Програми та ініціативи ЄС у сфері кібербезпеки охоплюють наступне • Стратегію кібербезпеки, видану Європейською комісією, на якій ґрунтується низка національних стратегій • Директиву щодо мережевої та інформаційної безпеки (ЩОЙНО УЗГОДЖЕНИЙ НОВИЙ ЗАКОН ЄС) • агентство ENISA (настанови з інформаційної безпеки, нормативні документи, а також допомога з впровадженням) • цілу низку заходів, пов’язаних із кібербезпекою, в галузі науково- дослідних робіт, регулювання та управління в ЄС і його державах- членах, наприклад – 14 дій з кібербезпеки у Цифровому порядку денному для Європи – міжорганізаційну та міжнародну співпрацю – програму з досліджень і розвитку Горизонт 2020
Принципи стратегії кібербезпеки ЄС • розповсюдження цінностей, правил і норм ЄС на цифровий світ • захист фундаментальних прав і свобод людини, персональних даних і приватності • рівний доступ для всіх • демократичне та ефективне управління (multi-stakeholder governance: «цифровий світ не може контролюватися однією людиною чи організацією») • безпека – відповідальність кожного (shared responsibility)
Напрямки стратегії кібербезпеки ЄС • мінімальні вимоги для членів ЄС щодо – формулювання національних стратегій кібербезпеки та механізмів взаємодії – визначення відповідального агентства, створення CERT – впровадження механізмів ризик-менеджменту для органів державного управління та приватної критичної інфраструктури, а також інформування про інциденти • підвищення рівня обізнаності щодо кібербезпеки на всіх рівнях • розвиток передового досвіду та обміну інформацією на галузевому рівні зі залученням державно-приватного партнерства • стимулювання розвитку та прийняття галузевих стандартів безпеки • загальноєвропейські навчання з кібербезпеки (симуляція інцидентів) • підвищення взаємодії цивільного сектору, науковців і військових • покращення зв’язків між ENISA, Europol, CEPOL, EC3 та зацікавленими сторонами • інвестування в дослідження та технології кібербезпеки • http://ec.europa.eu/digital-agenda/en/news/eu-cybersecurity-plan-protect-open-internet- and-online-freedom-and-opportunity-cyber-security
Інтеграція кібербезпеки в корпоративне управління Кібербезпека є – невід’ємною частиною корпоративного управління, управління ризиками та забезпечення відповідності (Governance, Risk Management and Compliance) – юридично зобов’язуючою складовою фідуціарних обов’язків директорів і керівного складу організації Організації повинні працювати над інтегруванням кібербезпеки як міжфункціональної дисципліни в • інформаційну безпеку • традиційну корпоративну безпеку, включаючи фізичну • управління корпоративними ризиками • управління безперервністю ІТ-послуг (ITSCM) • управління безперервністю бізнесу (BCM) • захист критичної інфраструктури • управління надзвичайними ситуаціями на національному рівні • управління інцидентами та кризове управління на державному рівні
Впровадження кібербезпеки у структуру GRC GRC (governance, risk management, and compliance) – корпоративне управління, управління ризиками та забезпечення відповідності • належне управління, яке відповідає діючим принципам корпоративного управління • всеосяжне управлінням ризиками та загрозами кіберзлочинності та кібервоєн, об’єднане з діючими системами управління корпоративними ризиками (ERM) • забезпечення відповідності діючим і запланованим законам і регуляторним актам як на національних рівнях, так і на рівні ЄС • стійкість організаційних інфраструктур і персоналу • надання впевненості щодо інформації, процесів і заходів безпеки, пов’язаних з ними • тощо
Розробка бізнес-плану для впровадження кібербезпеки Впровадження кібербезпеки вимагає • волі керівництва, планування, стратегічного управління змінами Всеосяжний бізнес-план окреслює • ризики та вимоги • витрати та переваги • високорівневий план та концепцію управління кіберезпекою Важливо • використання аналітики щодо рівня загроз і їх наслідків • багато вимог мають цінність, рівень якої можливо виміряти та пов’язати з бізнес-цілями організації (наприклад, підвищення довіри клієнтів) • бізнес-план із кібербезпеки необхідно перекласти на мову ділового спілкування • кібербезпека є скоріше управлінським завданням, ніж технологічним • технології – це лише набір інструментів • організації повинні розглядати кібератаки як безсумнівний факт, а не ймовірність
Впровадження моделі корпоративного управління кібербезпекою на основі COBIT Ці сім інструментів реалізації COBIT 5 представляють усі аспекти кібербезпеки. Модель інструментів реалізації об’єднує технічну, соціальну та структурну складову корпоративного управління кібербезпекою.
Управління ризиками кібербезпеки
Управління стійкістю кібербезпеки Концепція стійкості є центральним елементом європейського бачення кібербезпеки. Властивість організації до відновлення та поглинання зовнішніх атак і подій, а також їх внутрішніх впливів Два аспекти стійкості • стратегія кіберезпеки • «системна» безпека – динамічна, гнучка модель управління, яка дозволяє постійно вдосконалювати кіберезпеку Використання концепцій PDCA, BCM, ITSCM.
Надання впевненості щодо кібербезпеки
Система контролю кібербезпеки Систему внутрішнього контролю, що забезпечує впевненість у кібербезпеці, необхідно розробляти та впроваджувати по низхідному принципу (зверху-вниз), згідно з корпоративним підходом до GRC в організації. Типова система контролю кібербезпеки включає в себе різні аспекти надання впевненості • принципи, політики та настанови • процеси і процедури • залежні від ризику контролі та показники • організаційну готовність • організаційне та технічне оцінювання • звітування, затвердження та обізнаність • тощо
Оцінювання, аудит та експертиза • самооцінка контролів управління та неформальні оцінки • незалежні експертизи внутрішніх контролів (часто здійснюються іншою функцією або функцією, відповідальною за управління ризиками) • інтеграція механізмів надання впевненості в кібербезпеці в програму внутрішнього аудиту • спроможності до аналітичної / дослідницької роботи та проведення розслідувань
14 дій із кібербезпеки Європейського Союзу Європейський Союз визначив звід із 14 дій для посилення кібербезпеки в державах-членах. Ці дії є частиною широкої всеосяжної програми під назвою Цифровий порядок денний для Європи. • Дія 28: посилення політики мережевої та інформаційної безпеки • Дія 29: боротьба з кібератаками на інформаційні системи • Дія 30: створення європейської платформи протидії кіберзлочинності • Дія 31: аналіз корисності створення Центру європейської протидії кіберзлочинності • Дія 32: посилення боротьби з кіберзлочинністю та кібератаками на міжнародному рівні • Дія 33: забезпечення готовності всього ЄС до дій із кібербезпеки • Дія 34: дослідження розширення норм інформування про порушення безпеки • Дія 35: настанови з впровадження правил забезпечення конфіденційності інформації в телекомунікаційних мережах • Дія 36: забезпечення звітування про незаконний зміст в Інтернеті та проведення інформаційно- роз’яснювальних кампаній щодо безпеки дітей в Інтернеті • Дія 37: заохочення саморегулювання при використанні онлайн-сервісів • Дія 38: впровадження в державах-членах пан’європейських команд реагування на комп’ютерні надзвичайні ситуації • Дія 39: проведення в державах-членах навчань у формі симуляції кібератак • Дія 40: запровадження в державах-членах «гарячих ліній» для скарг на шкідливий зміст • Дія 41: створення в державах-членах національних платформ для інформування про небезпеку • Дія 123: проект директиви про мережеву та інформаційну безпеку • Дія 124: стратегія кібербезпеки ЄС • Дія 125: розширення Міжнародного альянсу проти сексуального насильства над дітьми в Інтернеті
Висновки для України • кібербезпека є управлінським завданням, аніж технічним • необхідне використання стратегії і директиви ЄС, та міжнародних кращих практик при розробці української кіберстратегії та законодавства • необхідна активніша участь бізнесу в цьому процесі! • створення організації з кібербезпеки на засадах саморегулювання, а також галузевих стандартів • активне впровадження зрілих практик корпоративного управління та інтеграція в них питань кібербезпеки • незалежний аудит згідно з міжнародними стандартами замість КСЗІ
ДЯКУЮ ЗА УВАГУ! www.isaca.org.ua office@isaca.org.ua facebook.com/Kyiv.ISACA

Recommended

5 клас види дпм
5 клас види дпм5 клас види дпм
5 клас види дпм
Levxhenko Oksana
 
Оздоблення виробів із фанери та ДВП
Оздоблення виробів із фанери та ДВПОздоблення виробів із фанери та ДВП
Оздоблення виробів із фанери та ДВП
grigorevayana
 
18.05.2017 ISMS - Iryna Ivchenko
18.05.2017 ISMS - Iryna Ivchenko18.05.2017 ISMS - Iryna Ivchenko
18.05.2017 ISMS - Iryna Ivchenko
Anastasiia Konoplova
 
HACCP
HACCPHACCP
HACCP
ssusere5acba
 
Мультимедійна презентація " Історія вивчення клітини".
Мультимедійна презентація " Історія вивчення клітини".Мультимедійна презентація " Історія вивчення клітини".
Мультимедійна презентація " Історія вивчення клітини".
Olena Коленченко
 
Хімічний склад продуктів харчування
Хімічний склад продуктів харчуванняХімічний склад продуктів харчування
Хімічний склад продуктів харчування
kostyuchik
 
історія дизайну
історія дизайнуісторія дизайну
історія дизайнуGarri555
 
Презентація до уроку на тему "Надзвичайні ситуації воєнного характеру. Вража...
Презентація до уроку на тему "Надзвичайні ситуації воєнного характеру. Вража...Презентація до уроку на тему "Надзвичайні ситуації воєнного характеру. Вража...
Презентація до уроку на тему "Надзвичайні ситуації воєнного характеру. Вража...
Vasil Kiriliv
 

Recommended

5 клас види дпм
5 клас види дпм5 клас види дпм
5 клас види дпм
Levxhenko Oksana
 
Оздоблення виробів із фанери та ДВП
Оздоблення виробів із фанери та ДВПОздоблення виробів із фанери та ДВП
Оздоблення виробів із фанери та ДВП
grigorevayana
 
18.05.2017 ISMS - Iryna Ivchenko
18.05.2017 ISMS - Iryna Ivchenko18.05.2017 ISMS - Iryna Ivchenko
18.05.2017 ISMS - Iryna Ivchenko
Anastasiia Konoplova
 
HACCP
HACCPHACCP
HACCP
ssusere5acba
 
Мультимедійна презентація " Історія вивчення клітини".
Мультимедійна презентація " Історія вивчення клітини".Мультимедійна презентація " Історія вивчення клітини".
Мультимедійна презентація " Історія вивчення клітини".
Olena Коленченко
 
Хімічний склад продуктів харчування
Хімічний склад продуктів харчуванняХімічний склад продуктів харчування
Хімічний склад продуктів харчування
kostyuchik
 
історія дизайну
історія дизайнуісторія дизайну
історія дизайнуGarri555
 
Презентація до уроку на тему "Надзвичайні ситуації воєнного характеру. Вража...
Презентація до уроку на тему "Надзвичайні ситуації воєнного характеру. Вража...Презентація до уроку на тему "Надзвичайні ситуації воєнного характеру. Вража...
Презентація до уроку на тему "Надзвичайні ситуації воєнного характеру. Вража...
Vasil Kiriliv
 
АНАЛІЗ ТРУДОВИХ РЕСУРСІВ
АНАЛІЗ ТРУДОВИХ РЕСУРСІВАНАЛІЗ ТРУДОВИХ РЕСУРСІВ
АНАЛІЗ ТРУДОВИХ РЕСУРСІВДмитро Резніченко
 
змістовий модуль 1
змістовий модуль 1змістовий модуль 1
змістовий модуль 1
cdecit
 
Мозаїка з яєчної шкаралупи
Мозаїка з яєчної шкаралупиМозаїка з яєчної шкаралупи
Мозаїка з яєчної шкаралупи
kvitka17
 
5 клас Технологія побутової діяльності
5 клас Технологія побутової діяльності5 клас Технологія побутової діяльності
5 клас Технологія побутової діяльності
Andy Levkovich
 
Статеве розмноження. Будова і утворення статевих клітин.
Статеве розмноження. Будова і утворення статевих клітин.Статеве розмноження. Будова і утворення статевих клітин.
Статеве розмноження. Будова і утворення статевих клітин.
labinskiir-33
 
Характеристика тканин людини.
Характеристика тканин людини.Характеристика тканин людини.
Характеристика тканин людини.
labinskiir-33
 
мгсд тема 8 презентація
мгсд тема 8 презентаціямгсд тема 8 презентація
мгсд тема 8 презентація
cdecit
 
презентація до уроку "Будова і функції шкіри"
презентація до уроку "Будова і функції шкіри"презентація до уроку "Будова і функції шкіри"
презентація до уроку "Будова і функції шкіри"
Наталья Полищук
 
Лекція 2 етапи якості
Лекція 2 етапи якості Лекція 2 етапи якості
Лекція 2 етапи якості Pavlo Syrvatka
 
Майстер-клас по техніці айрис-фолдинг
Майстер-клас по техніці айрис-фолдинг Майстер-клас по техніці айрис-фолдинг
Майстер-клас по техніці айрис-фолдинг
Виктория Руснак
 
Технологія вирощування рослин та догляд за ними
Технологія вирощування рослин та догляд за нимиТехнологія вирощування рослин та догляд за ними
Технологія вирощування рослин та догляд за ними
Andy Levkovich
 
презентація до диплому
презентація до дипломупрезентація до диплому
презентація до дипломуFil2020
 
Presentation
PresentationPresentation
Presentation
nataushko123
 
лекція 2
лекція 2лекція 2
лекція 2
cit-cit
 
презентация1 (2Оцінка якості молока та молокопродуктів, що виробляються в Укр...
презентация1 (2Оцінка якості молока та молокопродуктів, що виробляються в Укр...презентация1 (2Оцінка якості молока та молокопродуктів, що виробляються в Укр...
презентация1 (2Оцінка якості молока та молокопродуктів, що виробляються в Укр...Alina Levo
 
Інтерактивне навчання математиці
Інтерактивне навчання математиціІнтерактивне навчання математиці
Інтерактивне навчання математиці
tetana38
 
Презентація:Внутрішня енергія та способи її зміни.Теплообмін.
Презентація:Внутрішня енергія та способи її зміни.Теплообмін.Презентація:Внутрішня енергія та способи її зміни.Теплообмін.
Презентація:Внутрішня енергія та способи її зміни.Теплообмін.
sveta7940
 
Акт перевірки ТВЦ "Україна" ДСНС
Акт перевірки ТВЦ "Україна" ДСНСАкт перевірки ТВЦ "Україна" ДСНС
Акт перевірки ТВЦ "Україна" ДСНС
Женьчик Симоненко
 
Сенсорні системи нюху,смаку, рівноваги, дотику.
Сенсорні системи нюху,смаку, рівноваги, дотику.Сенсорні системи нюху,смаку, рівноваги, дотику.
Сенсорні системи нюху,смаку, рівноваги, дотику.
labinskiir-33
 
Конспект уроку.doc
Конспект уроку.docКонспект уроку.doc
Конспект уроку.doc
Репетитор Історія України
 
Autorizados contratar propaganda_electoral
Autorizados contratar propaganda_electoralAutorizados contratar propaganda_electoral
Autorizados contratar propaganda_electoral
Freddy Mejia
 
Rahul c.v. no 1..doc with photo.doc origanal
Rahul c.v. no 1..doc with photo.doc origanalRahul c.v. no 1..doc with photo.doc origanal
Rahul c.v. no 1..doc with photo.doc origanalRAHUL TEKADE
 

More Related Content

What's hot

змістовий модуль 1
змістовий модуль 1змістовий модуль 1
змістовий модуль 1
cdecit
 
Мозаїка з яєчної шкаралупи
Мозаїка з яєчної шкаралупиМозаїка з яєчної шкаралупи
Мозаїка з яєчної шкаралупи
kvitka17
 
5 клас Технологія побутової діяльності
5 клас Технологія побутової діяльності5 клас Технологія побутової діяльності
5 клас Технологія побутової діяльності
Andy Levkovich
 
Статеве розмноження. Будова і утворення статевих клітин.
Статеве розмноження. Будова і утворення статевих клітин.Статеве розмноження. Будова і утворення статевих клітин.
Статеве розмноження. Будова і утворення статевих клітин.
labinskiir-33
 
Характеристика тканин людини.
Характеристика тканин людини.Характеристика тканин людини.
Характеристика тканин людини.
labinskiir-33
 
мгсд тема 8 презентація
мгсд тема 8 презентаціямгсд тема 8 презентація
мгсд тема 8 презентація
cdecit
 
презентація до уроку "Будова і функції шкіри"
презентація до уроку "Будова і функції шкіри"презентація до уроку "Будова і функції шкіри"
презентація до уроку "Будова і функції шкіри"
Наталья Полищук
 
Лекція 2 етапи якості
Лекція 2 етапи якості Лекція 2 етапи якості
Лекція 2 етапи якості Pavlo Syrvatka
 
Майстер-клас по техніці айрис-фолдинг
Майстер-клас по техніці айрис-фолдинг Майстер-клас по техніці айрис-фолдинг
Майстер-клас по техніці айрис-фолдинг
Виктория Руснак
 
Технологія вирощування рослин та догляд за ними
Технологія вирощування рослин та догляд за нимиТехнологія вирощування рослин та догляд за ними
Технологія вирощування рослин та догляд за ними
Andy Levkovich
 
презентація до диплому
презентація до дипломупрезентація до диплому
презентація до дипломуFil2020
 
Presentation
PresentationPresentation
Presentation
nataushko123
 
лекція 2
лекція 2лекція 2
лекція 2
cit-cit
 
презентация1 (2Оцінка якості молока та молокопродуктів, що виробляються в Укр...
презентация1 (2Оцінка якості молока та молокопродуктів, що виробляються в Укр...презентация1 (2Оцінка якості молока та молокопродуктів, що виробляються в Укр...
презентация1 (2Оцінка якості молока та молокопродуктів, що виробляються в Укр...Alina Levo
 
Інтерактивне навчання математиці
Інтерактивне навчання математиціІнтерактивне навчання математиці
Інтерактивне навчання математиці
tetana38
 
Презентація:Внутрішня енергія та способи її зміни.Теплообмін.
Презентація:Внутрішня енергія та способи її зміни.Теплообмін.Презентація:Внутрішня енергія та способи її зміни.Теплообмін.
Презентація:Внутрішня енергія та способи її зміни.Теплообмін.
sveta7940
 
Акт перевірки ТВЦ "Україна" ДСНС
Акт перевірки ТВЦ "Україна" ДСНСАкт перевірки ТВЦ "Україна" ДСНС
Акт перевірки ТВЦ "Україна" ДСНС
Женьчик Симоненко
 
Сенсорні системи нюху,смаку, рівноваги, дотику.
Сенсорні системи нюху,смаку, рівноваги, дотику.Сенсорні системи нюху,смаку, рівноваги, дотику.
Сенсорні системи нюху,смаку, рівноваги, дотику.
labinskiir-33
 
Конспект уроку.doc
Конспект уроку.docКонспект уроку.doc
Конспект уроку.doc
Репетитор Історія України
 

What's hot (20)

АНАЛІЗ ТРУДОВИХ РЕСУРСІВ
АНАЛІЗ ТРУДОВИХ РЕСУРСІВАНАЛІЗ ТРУДОВИХ РЕСУРСІВ
АНАЛІЗ ТРУДОВИХ РЕСУРСІВ
 
змістовий модуль 1
змістовий модуль 1змістовий модуль 1
змістовий модуль 1
 
Мозаїка з яєчної шкаралупи
Мозаїка з яєчної шкаралупиМозаїка з яєчної шкаралупи
Мозаїка з яєчної шкаралупи
 
5 клас Технологія побутової діяльності
5 клас Технологія побутової діяльності5 клас Технологія побутової діяльності
5 клас Технологія побутової діяльності
 
Статеве розмноження. Будова і утворення статевих клітин.
Статеве розмноження. Будова і утворення статевих клітин.Статеве розмноження. Будова і утворення статевих клітин.
Статеве розмноження. Будова і утворення статевих клітин.
 
Характеристика тканин людини.
Характеристика тканин людини.Характеристика тканин людини.
Характеристика тканин людини.
 
мгсд тема 8 презентація
мгсд тема 8 презентаціямгсд тема 8 презентація
мгсд тема 8 презентація
 
презентація до уроку "Будова і функції шкіри"
презентація до уроку "Будова і функції шкіри"презентація до уроку "Будова і функції шкіри"
презентація до уроку "Будова і функції шкіри"
 
Лекція 2 етапи якості
Лекція 2 етапи якості Лекція 2 етапи якості
Лекція 2 етапи якості
 
Майстер-клас по техніці айрис-фолдинг
Майстер-клас по техніці айрис-фолдинг Майстер-клас по техніці айрис-фолдинг
Майстер-клас по техніці айрис-фолдинг
 
Технологія вирощування рослин та догляд за ними
Технологія вирощування рослин та догляд за нимиТехнологія вирощування рослин та догляд за ними
Технологія вирощування рослин та догляд за ними
 
презентація до диплому
презентація до дипломупрезентація до диплому
презентація до диплому
 
Presentation
PresentationPresentation
Presentation
 
лекція 2
лекція 2лекція 2
лекція 2
 
презентация1 (2Оцінка якості молока та молокопродуктів, що виробляються в Укр...
презентация1 (2Оцінка якості молока та молокопродуктів, що виробляються в Укр...презентация1 (2Оцінка якості молока та молокопродуктів, що виробляються в Укр...
презентация1 (2Оцінка якості молока та молокопродуктів, що виробляються в Укр...
 
Інтерактивне навчання математиці
Інтерактивне навчання математиціІнтерактивне навчання математиці
Інтерактивне навчання математиці
 
Презентація:Внутрішня енергія та способи її зміни.Теплообмін.
Презентація:Внутрішня енергія та способи її зміни.Теплообмін.Презентація:Внутрішня енергія та способи її зміни.Теплообмін.
Презентація:Внутрішня енергія та способи її зміни.Теплообмін.
 
Акт перевірки ТВЦ "Україна" ДСНС
Акт перевірки ТВЦ "Україна" ДСНСАкт перевірки ТВЦ "Україна" ДСНС
Акт перевірки ТВЦ "Україна" ДСНС
 
Сенсорні системи нюху,смаку, рівноваги, дотику.
Сенсорні системи нюху,смаку, рівноваги, дотику.Сенсорні системи нюху,смаку, рівноваги, дотику.
Сенсорні системи нюху,смаку, рівноваги, дотику.
 
Конспект уроку.doc
Конспект уроку.docКонспект уроку.doc
Конспект уроку.doc
 

Viewers also liked

Autorizados contratar propaganda_electoral
Autorizados contratar propaganda_electoralAutorizados contratar propaganda_electoral
Autorizados contratar propaganda_electoral
Freddy Mejia
 
Rahul c.v. no 1..doc with photo.doc origanal
Rahul c.v. no 1..doc with photo.doc origanalRahul c.v. no 1..doc with photo.doc origanal
Rahul c.v. no 1..doc with photo.doc origanalRAHUL TEKADE
 
create
createcreate
create
dikri purnama
 
resume - Gary Rice 3
resume - Gary Rice 3resume - Gary Rice 3
resume - Gary Rice 3Gary Rice
 
UOxJS_FinalGroupProject
UOxJS_FinalGroupProjectUOxJS_FinalGroupProject
UOxJS_FinalGroupProjectLogan Thomas
 
Palas -HELOS
Palas -HELOSPalas -HELOS
Palas -HELOS
Ivan Rommel
 
2016_Portfolio_V32_Spreads
2016_Portfolio_V32_Spreads2016_Portfolio_V32_Spreads
2016_Portfolio_V32_SpreadsTori Luckenbach
 
Mobile networking
Mobile networkingMobile networking
Mobile networking
Dylan Ayala
 
Space sunlight
Space sunlightSpace sunlight
Space sunlight
imadamir
 
Nashville Invite
Nashville InviteNashville Invite
Nashville Invite
Dylan Ayala
 
ehernandez_SharkTankBusinessProject_070915
ehernandez_SharkTankBusinessProject_070915ehernandez_SharkTankBusinessProject_070915
ehernandez_SharkTankBusinessProject_070915Elizabeth Hernandez
 
Funeral Prayers sefardic - hebrew version
Funeral Prayers sefardic - hebrew versionFuneral Prayers sefardic - hebrew version
Funeral Prayers sefardic - hebrew version
Masada Memorial Chapels
 
Els productes més innovadors (1)
Els productes més innovadors (1)Els productes més innovadors (1)
Els productes més innovadors (1)
yfprofetecno
 
ScorecardsUnlimited_4.13.16
ScorecardsUnlimited_4.13.16ScorecardsUnlimited_4.13.16
ScorecardsUnlimited_4.13.16Tori Luckenbach
 
Crowdster: Enabling Social Navigation in Web-based Visaulization
Crowdster: Enabling Social Navigation in Web-based VisaulizationCrowdster: Enabling Social Navigation in Web-based Visaulization
Crowdster: Enabling Social Navigation in Web-based Visaulization
daemonwong9
 
life at ticketscript
life at ticketscriptlife at ticketscript
life at ticketscriptGradaMarie
 

Viewers also liked (20)

Autorizados contratar propaganda_electoral
Autorizados contratar propaganda_electoralAutorizados contratar propaganda_electoral
Autorizados contratar propaganda_electoral
 
Rahul c.v. no 1..doc with photo.doc origanal
Rahul c.v. no 1..doc with photo.doc origanalRahul c.v. no 1..doc with photo.doc origanal
Rahul c.v. no 1..doc with photo.doc origanal
 
create
createcreate
create
 
resume - Gary Rice 3
resume - Gary Rice 3resume - Gary Rice 3
resume - Gary Rice 3
 
UOxJS_FinalGroupProject
UOxJS_FinalGroupProjectUOxJS_FinalGroupProject
UOxJS_FinalGroupProject
 
Palas -HELOS
Palas -HELOSPalas -HELOS
Palas -HELOS
 
Onyekachi Chewe O Mutumba-CV.DOC
Onyekachi Chewe O Mutumba-CV.DOCOnyekachi Chewe O Mutumba-CV.DOC
Onyekachi Chewe O Mutumba-CV.DOC
 
2016_Portfolio_V32_Spreads
2016_Portfolio_V32_Spreads2016_Portfolio_V32_Spreads
2016_Portfolio_V32_Spreads
 
Mobile networking
Mobile networkingMobile networking
Mobile networking
 
Summary Statement
Summary StatementSummary Statement
Summary Statement
 
Space sunlight
Space sunlightSpace sunlight
Space sunlight
 
Nashville Invite
Nashville InviteNashville Invite
Nashville Invite
 
ehernandez_SharkTankBusinessProject_070915
ehernandez_SharkTankBusinessProject_070915ehernandez_SharkTankBusinessProject_070915
ehernandez_SharkTankBusinessProject_070915
 
Funeral Prayers sefardic - hebrew version
Funeral Prayers sefardic - hebrew versionFuneral Prayers sefardic - hebrew version
Funeral Prayers sefardic - hebrew version
 
Software & Web Development
Software & Web DevelopmentSoftware & Web Development
Software & Web Development
 
Els productes més innovadors (1)
Els productes més innovadors (1)Els productes més innovadors (1)
Els productes més innovadors (1)
 
CV_4__new
CV_4__newCV_4__new
CV_4__new
 
ScorecardsUnlimited_4.13.16
ScorecardsUnlimited_4.13.16ScorecardsUnlimited_4.13.16
ScorecardsUnlimited_4.13.16
 
Crowdster: Enabling Social Navigation in Web-based Visaulization
Crowdster: Enabling Social Navigation in Web-based VisaulizationCrowdster: Enabling Social Navigation in Web-based Visaulization
Crowdster: Enabling Social Navigation in Web-based Visaulization
 
life at ticketscript
life at ticketscriptlife at ticketscript
life at ticketscript
 

Similar to Презентація серії документів ISACA з впровадження Європейської Моделі Кібербезпеки

Cybersecurity Framework 021214 Final UA
Cybersecurity Framework 021214 Final UACybersecurity Framework 021214 Final UA
Cybersecurity Framework 021214 Final UA
Vlad Styran
 
Energy security v02_vv
Energy security v02_vvEnergy security v02_vv
Energy security v02_vv
Alexey Yankovski
 
Incident response - CompTia CSA+
Incident response - CompTia CSA+Incident response - CompTia CSA+
Incident response - CompTia CSA+
Shevchenko Andriy
 
IS Risk Governance&Management
IS Risk Governance&ManagementIS Risk Governance&Management
IS Risk Governance&Management
Anastasiia Konoplova
 
Необхідність реформи галузі захисту інформації в Україні
Необхідність реформи галузі захисту інформації в УкраїніНеобхідність реформи галузі захисту інформації в Україні
Необхідність реформи галузі захисту інформації в Україні
uisgslide
 
Комплексна кібербезпека
Комплексна кібербезпекаКомплексна кібербезпека
Комплексна кібербезпека
MMI Group
 
Рішення для автоматизації діяльності підрозділу інформаційної безпеки
Рішення для автоматизації діяльності підрозділу інформаційної безпекиРішення для автоматизації діяльності підрозділу інформаційної безпеки
Рішення для автоматизації діяльності підрозділу інформаційної безпеки
TechExpert
 
виникнення інформаційних технологій
виникнення інформаційних технологійвиникнення інформаційних технологій
виникнення інформаційних технологій
Irina Semenova
 
Комплексна кібербезпека для Банків
Комплексна кібербезпека для БанківКомплексна кібербезпека для Банків
Комплексна кібербезпека для Банків
MMI Group
 
Кращі практики керування ризиками хмарних технологій
Кращі практики керування ризиками хмарних технологійКращі практики керування ризиками хмарних технологій
Кращі практики керування ризиками хмарних технологій
Glib Pakharenko
 
Огляд атак на критичну інфраструктуру в Україні
Огляд атак на критичну інфраструктуру в УкраїніОгляд атак на критичну інфраструктуру в Україні
Огляд атак на критичну інфраструктуру в Україні
Glib Pakharenko
 
Кіберзагрози у фінансовій системі Європи та України.pdf
Кіберзагрози у фінансовій системі Європи та України.pdfКіберзагрози у фінансовій системі Європи та України.pdf
Кіберзагрози у фінансовій системі Європи та України.pdf
ssuser039bf6
 
Кібер-атаки на критичну інфраструктуру в Україні
Кібер-атаки на критичну інфраструктуру в УкраїніКібер-атаки на критичну інфраструктуру в Україні
Кібер-атаки на критичну інфраструктуру в Україні
Glib Pakharenko
 
ОСОБЛИВОСТІ ЗАСТОСУВАННЯ ШІ ЯК ОСНОВНОГО ДРАЙВЕРУ ЦИФРОВОЇ ТРАНСФОРМАЦІЇ У...
ОСОБЛИВОСТІ ЗАСТОСУВАННЯ ШІ ЯК ОСНОВНОГО ДРАЙВЕРУ ЦИФРОВОЇ ТРАНСФОРМАЦІЇ У...ОСОБЛИВОСТІ ЗАСТОСУВАННЯ ШІ ЯК ОСНОВНОГО ДРАЙВЕРУ ЦИФРОВОЇ ТРАНСФОРМАЦІЇ У...
ОСОБЛИВОСТІ ЗАСТОСУВАННЯ ШІ ЯК ОСНОВНОГО ДРАЙВЕРУ ЦИФРОВОЇ ТРАНСФОРМАЦІЇ У...
Олександр Мілютін
 
Тенденції розвитку кібербезпеки в Україні: регуляторні ініціативи
Тенденції розвитку кібербезпеки в Україні: регуляторні ініціативиТенденції розвитку кібербезпеки в Україні: регуляторні ініціативи
Тенденції розвитку кібербезпеки в Україні: регуляторні ініціативи
Asters
 
IT questions on the Supervisory Board Agenda
IT questions on the Supervisory Board AgendaIT questions on the Supervisory Board Agenda
IT questions on the Supervisory Board Agenda
Alexey Yankovski
 
Practical cyber security days
Practical cyber security daysPractical cyber security days
Practical cyber security days
Виктор Самусь
 
Practical cyber security day
Practical cyber security dayPractical cyber security day
Practical cyber security day
Виктор Самусь
 
BІМ технології в Україні
BІМ технології в УкраїніBІМ технології в Україні
BІМ технології в Україні
APPAU_Ukraine
 
Кваліфікаційні характеристики для ІТ-провесій
Кваліфікаційні характеристики для ІТ-провесійКваліфікаційні характеристики для ІТ-провесій
Кваліфікаційні характеристики для ІТ-провесій
Alexey Yankovski
 

Similar to Презентація серії документів ISACA з впровадження Європейської Моделі Кібербезпеки (20)

Cybersecurity Framework 021214 Final UA
Cybersecurity Framework 021214 Final UACybersecurity Framework 021214 Final UA
Cybersecurity Framework 021214 Final UA
 
Energy security v02_vv
Energy security v02_vvEnergy security v02_vv
Energy security v02_vv
 
Incident response - CompTia CSA+
Incident response - CompTia CSA+Incident response - CompTia CSA+
Incident response - CompTia CSA+
 
IS Risk Governance&Management
IS Risk Governance&ManagementIS Risk Governance&Management
IS Risk Governance&Management
 
Необхідність реформи галузі захисту інформації в Україні
Необхідність реформи галузі захисту інформації в УкраїніНеобхідність реформи галузі захисту інформації в Україні
Необхідність реформи галузі захисту інформації в Україні
 
Комплексна кібербезпека
Комплексна кібербезпекаКомплексна кібербезпека
Комплексна кібербезпека
 
Рішення для автоматизації діяльності підрозділу інформаційної безпеки
Рішення для автоматизації діяльності підрозділу інформаційної безпекиРішення для автоматизації діяльності підрозділу інформаційної безпеки
Рішення для автоматизації діяльності підрозділу інформаційної безпеки
 
виникнення інформаційних технологій
виникнення інформаційних технологійвиникнення інформаційних технологій
виникнення інформаційних технологій
 
Комплексна кібербезпека для Банків
Комплексна кібербезпека для БанківКомплексна кібербезпека для Банків
Комплексна кібербезпека для Банків
 
Кращі практики керування ризиками хмарних технологій
Кращі практики керування ризиками хмарних технологійКращі практики керування ризиками хмарних технологій
Кращі практики керування ризиками хмарних технологій
 
Огляд атак на критичну інфраструктуру в Україні
Огляд атак на критичну інфраструктуру в УкраїніОгляд атак на критичну інфраструктуру в Україні
Огляд атак на критичну інфраструктуру в Україні
 
Кіберзагрози у фінансовій системі Європи та України.pdf
Кіберзагрози у фінансовій системі Європи та України.pdfКіберзагрози у фінансовій системі Європи та України.pdf
Кіберзагрози у фінансовій системі Європи та України.pdf
 
Кібер-атаки на критичну інфраструктуру в Україні
Кібер-атаки на критичну інфраструктуру в УкраїніКібер-атаки на критичну інфраструктуру в Україні
Кібер-атаки на критичну інфраструктуру в Україні
 
ОСОБЛИВОСТІ ЗАСТОСУВАННЯ ШІ ЯК ОСНОВНОГО ДРАЙВЕРУ ЦИФРОВОЇ ТРАНСФОРМАЦІЇ У...
ОСОБЛИВОСТІ ЗАСТОСУВАННЯ ШІ ЯК ОСНОВНОГО ДРАЙВЕРУ ЦИФРОВОЇ ТРАНСФОРМАЦІЇ У...ОСОБЛИВОСТІ ЗАСТОСУВАННЯ ШІ ЯК ОСНОВНОГО ДРАЙВЕРУ ЦИФРОВОЇ ТРАНСФОРМАЦІЇ У...
ОСОБЛИВОСТІ ЗАСТОСУВАННЯ ШІ ЯК ОСНОВНОГО ДРАЙВЕРУ ЦИФРОВОЇ ТРАНСФОРМАЦІЇ У...
 
Тенденції розвитку кібербезпеки в Україні: регуляторні ініціативи
Тенденції розвитку кібербезпеки в Україні: регуляторні ініціативиТенденції розвитку кібербезпеки в Україні: регуляторні ініціативи
Тенденції розвитку кібербезпеки в Україні: регуляторні ініціативи
 
IT questions on the Supervisory Board Agenda
IT questions on the Supervisory Board AgendaIT questions on the Supervisory Board Agenda
IT questions on the Supervisory Board Agenda
 
Practical cyber security days
Practical cyber security daysPractical cyber security days
Practical cyber security days
 
Practical cyber security day
Practical cyber security dayPractical cyber security day
Practical cyber security day
 
BІМ технології в Україні
BІМ технології в УкраїніBІМ технології в Україні
BІМ технології в Україні
 
Кваліфікаційні характеристики для ІТ-провесій
Кваліфікаційні характеристики для ІТ-провесійКваліфікаційні характеристики для ІТ-провесій
Кваліфікаційні характеристики для ІТ-провесій
 

More from Alexey Yankovski

Cybersecurity training
Cybersecurity training Cybersecurity training
Cybersecurity training
Alexey Yankovski
 
шаблон стримування та відновдення 01 ay
шаблон стримування та відновдення 01 ayшаблон стримування та відновдення 01 ay
шаблон стримування та відновдення 01 ay
Alexey Yankovski
 
Comments to the Draft Law on Cybersecurity Fundamentals of Ukraine
Comments to the Draft Law on Cybersecurity Fundamentals of UkraineComments to the Draft Law on Cybersecurity Fundamentals of Ukraine
Comments to the Draft Law on Cybersecurity Fundamentals of Ukraine
Alexey Yankovski
 
Existing situation and proposed solutions to improve Cybersecurity in Ukraine
Existing situation and proposed solutions to improve Cybersecurity in UkraineExisting situation and proposed solutions to improve Cybersecurity in Ukraine
Existing situation and proposed solutions to improve Cybersecurity in Ukraine
Alexey Yankovski
 
Настанови з кібербезпеки
Настанови з кібербезпекиНастанови з кібербезпеки
Настанови з кібербезпеки
Alexey Yankovski
 
Isaca cybers security_law_v12_vv
Isaca cybers security_law_v12_vvIsaca cybers security_law_v12_vv
Isaca cybers security_law_v12_vv
Alexey Yankovski
 

More from Alexey Yankovski (6)

Cybersecurity training
Cybersecurity training Cybersecurity training
Cybersecurity training
 
шаблон стримування та відновдення 01 ay
шаблон стримування та відновдення 01 ayшаблон стримування та відновдення 01 ay
шаблон стримування та відновдення 01 ay
 
Comments to the Draft Law on Cybersecurity Fundamentals of Ukraine
Comments to the Draft Law on Cybersecurity Fundamentals of UkraineComments to the Draft Law on Cybersecurity Fundamentals of Ukraine
Comments to the Draft Law on Cybersecurity Fundamentals of Ukraine
 
Existing situation and proposed solutions to improve Cybersecurity in Ukraine
Existing situation and proposed solutions to improve Cybersecurity in UkraineExisting situation and proposed solutions to improve Cybersecurity in Ukraine
Existing situation and proposed solutions to improve Cybersecurity in Ukraine
 
Настанови з кібербезпеки
Настанови з кібербезпекиНастанови з кібербезпеки
Настанови з кібербезпеки
 
Isaca cybers security_law_v12_vv
Isaca cybers security_law_v12_vvIsaca cybers security_law_v12_vv
Isaca cybers security_law_v12_vv
 

Презентація серії документів ISACA з впровадження Європейської Моделі Кібербезпеки

  • 2. Порядок денний • Коротко про ISACA • Про що цей документ? • Таксономія кібератак • Ландшафт європейської кібербезпеки • Принципи та напрямки стратегії кібербезпеки ЄС • Інтеграція кібербезпеки в корпоративне управління • Розробка бізнес-плану для впровадження кібербезпеки • Управління ризиками кібербезпеки • Управління стійкістю кібербезпеки • Надання впевненості щодо кібербезпеки • Висновки для України
  • 3. Коротко про ISACA з 1969 року понад 200 відділень по всьому світу більше 115 000 членів у 180 країнах світу • надійне джерело знань, стандартів, співробітництва та підвищення кваліфікації для фахівців у галузі аудиту, підтвердження достовірності, безпеки, управління ризиками, конфіденційності та управління інформаційними системами • розвиває та підтверджує найбільш важливі для бізнесу навички та знання, поширюючи сертифікації, що визнаються у міжнародному масштабі: CSX®, CISA®, CISM®, CGEIT® і CRISC™ • пропонує фахівцям із кібербезпеки − широкий набір ресурсів Cybersecurity Nexus™ − настанови COBIT® 2 − COBIT для забезпечення захисту інформації − настанови щодо впровадження Основ знань із кібербезпеки Національного інституту стандартів і технології США (NIST Cybersecurity Framerwork) − різноманітні настанови та програми аудиту безпеки хмарних технологій, мобільних пристроїв, аутсорсингу
  • 4. Про що цей документ? • Серія документів про впровадження європейської кібербезпеки – спрямована на впровадження кібербезпеки, виходячи з досвіду ЄС та асоційованих країн – включає практичні настанови, які відповідають європейським вимогам і передовому досвіду, згідно з діючими законами, стандартами та іншими настановами – містить посилання на релевантні документи ЄС, інші настанови, стандарти та джерела інформації • Серія складається з 5-ти документів – Загальний огляд (перекладено і буде представлено сьогодні) – Управління ризиками – Управління стійкістю – Надання впевненості – окремий документ Програма аудиту кібербезпеки • Загальний огляд містить – важливі визначення, огляд підходів ЄС щодо впровадження кібербезпеки – рекомендації з підготовки обґрунтування впровадження – ключові елементи моделі управління кібербезпекою
  • 5. Серія документів про впровадження європейської кібербезпеки в контексті інших публікацій ISACA
  • 6. Цільова аудиторія Серії документів про впровадження європейської кібербезпеки
  • 7. Чинники, що впливають на необхідність посилення кібербезпеки
  • 8. Визначення терміну «кібербезпека» • Термін «кібербезпека» стосується корпоративного управління, заходів захисту та механізмів надання впевненості щодо безпеки, які виходять за межі стандартної інформаційної безпеки. Кібербезпека зосереджується на особливих формах складних атак та охоплює їх технічний і соціальний аспекти. • Офіційне визначення ЄС • Визначення ISACA • Розширене визначення ISACA у публікації Трансформація кібербезпеки …Кібербезпека охоплює все, що захищає організації та фізичних осіб від умисних атак, порушень, інцидентів і їх наслідків. На практиці кібербезпека насамперед стосується тих типів атак, порушень та інцидентів, які є цільовими, високотехнологічними та складними у виявленні чи управлінні. Кібербезпека зосереджується на так званих складних спрямованих постійних загрозах (APT), кібервійнах і їх впливі на організації та людей.
  • 9. Таксономія кібератак • Необхідно розрізняти інформаційну безпеку та кібербезпеку. • Різниця полягає в масштабах, мотивах, можливостях і методах атак.
  • 11. Аналіз рівня впливу: кібербезпека та інформаційна безпека
  • 12. Ландшафт європейської кібербезпеки Програми та ініціативи ЄС у сфері кібербезпеки охоплюють наступне • Стратегію кібербезпеки, видану Європейською комісією, на якій ґрунтується низка національних стратегій • Директиву щодо мережевої та інформаційної безпеки (ЩОЙНО УЗГОДЖЕНИЙ НОВИЙ ЗАКОН ЄС) • агентство ENISA (настанови з інформаційної безпеки, нормативні документи, а також допомога з впровадженням) • цілу низку заходів, пов’язаних із кібербезпекою, в галузі науково- дослідних робіт, регулювання та управління в ЄС і його державах- членах, наприклад – 14 дій з кібербезпеки у Цифровому порядку денному для Європи – міжорганізаційну та міжнародну співпрацю – програму з досліджень і розвитку Горизонт 2020
  • 13. Принципи стратегії кібербезпеки ЄС • розповсюдження цінностей, правил і норм ЄС на цифровий світ • захист фундаментальних прав і свобод людини, персональних даних і приватності • рівний доступ для всіх • демократичне та ефективне управління (multi-stakeholder governance: «цифровий світ не може контролюватися однією людиною чи організацією») • безпека – відповідальність кожного (shared responsibility)
  • 14. Напрямки стратегії кібербезпеки ЄС • мінімальні вимоги для членів ЄС щодо – формулювання національних стратегій кібербезпеки та механізмів взаємодії – визначення відповідального агентства, створення CERT – впровадження механізмів ризик-менеджменту для органів державного управління та приватної критичної інфраструктури, а також інформування про інциденти • підвищення рівня обізнаності щодо кібербезпеки на всіх рівнях • розвиток передового досвіду та обміну інформацією на галузевому рівні зі залученням державно-приватного партнерства • стимулювання розвитку та прийняття галузевих стандартів безпеки • загальноєвропейські навчання з кібербезпеки (симуляція інцидентів) • підвищення взаємодії цивільного сектору, науковців і військових • покращення зв’язків між ENISA, Europol, CEPOL, EC3 та зацікавленими сторонами • інвестування в дослідження та технології кібербезпеки • http://ec.europa.eu/digital-agenda/en/news/eu-cybersecurity-plan-protect-open-internet- and-online-freedom-and-opportunity-cyber-security
  • 15. Інтеграція кібербезпеки в корпоративне управління Кібербезпека є – невід’ємною частиною корпоративного управління, управління ризиками та забезпечення відповідності (Governance, Risk Management and Compliance) – юридично зобов’язуючою складовою фідуціарних обов’язків директорів і керівного складу організації Організації повинні працювати над інтегруванням кібербезпеки як міжфункціональної дисципліни в • інформаційну безпеку • традиційну корпоративну безпеку, включаючи фізичну • управління корпоративними ризиками • управління безперервністю ІТ-послуг (ITSCM) • управління безперервністю бізнесу (BCM) • захист критичної інфраструктури • управління надзвичайними ситуаціями на національному рівні • управління інцидентами та кризове управління на державному рівні
  • 16. Впровадження кібербезпеки у структуру GRC GRC (governance, risk management, and compliance) – корпоративне управління, управління ризиками та забезпечення відповідності • належне управління, яке відповідає діючим принципам корпоративного управління • всеосяжне управлінням ризиками та загрозами кіберзлочинності та кібервоєн, об’єднане з діючими системами управління корпоративними ризиками (ERM) • забезпечення відповідності діючим і запланованим законам і регуляторним актам як на національних рівнях, так і на рівні ЄС • стійкість організаційних інфраструктур і персоналу • надання впевненості щодо інформації, процесів і заходів безпеки, пов’язаних з ними • тощо
  • 17. Розробка бізнес-плану для впровадження кібербезпеки Впровадження кібербезпеки вимагає • волі керівництва, планування, стратегічного управління змінами Всеосяжний бізнес-план окреслює • ризики та вимоги • витрати та переваги • високорівневий план та концепцію управління кіберезпекою Важливо • використання аналітики щодо рівня загроз і їх наслідків • багато вимог мають цінність, рівень якої можливо виміряти та пов’язати з бізнес-цілями організації (наприклад, підвищення довіри клієнтів) • бізнес-план із кібербезпеки необхідно перекласти на мову ділового спілкування • кібербезпека є скоріше управлінським завданням, ніж технологічним • технології – це лише набір інструментів • організації повинні розглядати кібератаки як безсумнівний факт, а не ймовірність
  • 18. Впровадження моделі корпоративного управління кібербезпекою на основі COBIT Ці сім інструментів реалізації COBIT 5 представляють усі аспекти кібербезпеки. Модель інструментів реалізації об’єднує технічну, соціальну та структурну складову корпоративного управління кібербезпекою.
  • 20. Управління стійкістю кібербезпеки Концепція стійкості є центральним елементом європейського бачення кібербезпеки. Властивість організації до відновлення та поглинання зовнішніх атак і подій, а також їх внутрішніх впливів Два аспекти стійкості • стратегія кіберезпеки • «системна» безпека – динамічна, гнучка модель управління, яка дозволяє постійно вдосконалювати кіберезпеку Використання концепцій PDCA, BCM, ITSCM.
  • 22. Система контролю кібербезпеки Систему внутрішнього контролю, що забезпечує впевненість у кібербезпеці, необхідно розробляти та впроваджувати по низхідному принципу (зверху-вниз), згідно з корпоративним підходом до GRC в організації. Типова система контролю кібербезпеки включає в себе різні аспекти надання впевненості • принципи, політики та настанови • процеси і процедури • залежні від ризику контролі та показники • організаційну готовність • організаційне та технічне оцінювання • звітування, затвердження та обізнаність • тощо
  • 23. Оцінювання, аудит та експертиза • самооцінка контролів управління та неформальні оцінки • незалежні експертизи внутрішніх контролів (часто здійснюються іншою функцією або функцією, відповідальною за управління ризиками) • інтеграція механізмів надання впевненості в кібербезпеці в програму внутрішнього аудиту • спроможності до аналітичної / дослідницької роботи та проведення розслідувань
  • 24. 14 дій із кібербезпеки Європейського Союзу Європейський Союз визначив звід із 14 дій для посилення кібербезпеки в державах-членах. Ці дії є частиною широкої всеосяжної програми під назвою Цифровий порядок денний для Європи. • Дія 28: посилення політики мережевої та інформаційної безпеки • Дія 29: боротьба з кібератаками на інформаційні системи • Дія 30: створення європейської платформи протидії кіберзлочинності • Дія 31: аналіз корисності створення Центру європейської протидії кіберзлочинності • Дія 32: посилення боротьби з кіберзлочинністю та кібератаками на міжнародному рівні • Дія 33: забезпечення готовності всього ЄС до дій із кібербезпеки • Дія 34: дослідження розширення норм інформування про порушення безпеки • Дія 35: настанови з впровадження правил забезпечення конфіденційності інформації в телекомунікаційних мережах • Дія 36: забезпечення звітування про незаконний зміст в Інтернеті та проведення інформаційно- роз’яснювальних кампаній щодо безпеки дітей в Інтернеті • Дія 37: заохочення саморегулювання при використанні онлайн-сервісів • Дія 38: впровадження в державах-членах пан’європейських команд реагування на комп’ютерні надзвичайні ситуації • Дія 39: проведення в державах-членах навчань у формі симуляції кібератак • Дія 40: запровадження в державах-членах «гарячих ліній» для скарг на шкідливий зміст • Дія 41: створення в державах-членах національних платформ для інформування про небезпеку • Дія 123: проект директиви про мережеву та інформаційну безпеку • Дія 124: стратегія кібербезпеки ЄС • Дія 125: розширення Міжнародного альянсу проти сексуального насильства над дітьми в Інтернеті
  • 25. Висновки для України • кібербезпека є управлінським завданням, аніж технічним • необхідне використання стратегії і директиви ЄС, та міжнародних кращих практик при розробці української кіберстратегії та законодавства • необхідна активніша участь бізнесу в цьому процесі! • створення організації з кібербезпеки на засадах саморегулювання, а також галузевих стандартів • активне впровадження зрілих практик корпоративного управління та інтеграція в них питань кібербезпеки • незалежний аудит згідно з міжнародними стандартами замість КСЗІ
  • 26. ДЯКУЮ ЗА УВАГУ! www.isaca.org.ua office@isaca.org.ua facebook.com/Kyiv.ISACA