Київське відділення ISACA завершило переклад першого методологічного
документа із серії документів ISACA з впровадження Європейскої моделі кібербезпеки. В даній презентації наведено стислий огляд першого документу. Охоплюються такі питання:
-- Визначення Кібербезпеки
-- Огляд стратегії кібербезпеки ЄС
-- Обґрунтування впровадженні кібербезпеки
-- Інтеграція управління кіберебзпекою в структури корпоративного управління
-- Ризик менеджмент
-- Надання впевненості та аудит
-- Висновки для України
Visit masada memorial chapels more & other version of prayers. With an mission to provide affordable, effective and respectful services we provide prearranged services according to Halacha (Jewish Law) and Daat Torah. Local, independent Jewish funeral home to help you and your family.
Cybersecurity Framework 021214 Final UAVlad Styran
Методика з підвищення рівня інформаційної безпеки критично важливих об'єктів інфраструктури.
Переклад NIST Framework for Improving Critical Infrastructure Cybersecurity.
Перекладено та social thanks to: Cisco Ukraine.
Рішення для автоматизації діяльності підрозділу інформаційної безпекиTechExpert
Компанія TechExpert спільно з Агентством Активного Аудиту пропонує модуль «IT Risk Manager» (ITRM) на базі ПЗ GLPI з додатковими функціональними можливостями для підрозділу інформаційної безпеки.
Кіберзагрози у фінансовій системі Європи та України.pdfssuser039bf6
Більше інформації по темі «Практики ЄС щодо захисту фінансової системи від кіберзагроз» за посиланням: https://ek.biem.sumdu.edu.ua/erazmus-jean-monnet
ОСОБЛИВОСТІ ЗАСТОСУВАННЯ ШІ ЯК ОСНОВНОГО ДРАЙВЕРУ ЦИФРОВОЇ ТРАНСФОРМАЦІЇ У...Олександр Мілютін
Основні Теми та Ключові Тези:
Вступ та Контекст:
Всеукраїнський круглий стіл для здобувачів вищої освіти.
Особливості застосування штучного інтелекту в Україні.
Застосування ШІ в Різних Сферах:
ШІ використовується не тільки в професійній діяльності, але й у побуті.
Необхідність навчання для використання нових технологій.
Використання Готових Рішень та Їх Переваги:
Прискорення роботи та покращення результатів.
Обробка великих даних, створення стратегій, навчання ШІ для впровадження в бізнес-процеси.
Сфери Застосування ШІ:
Безпека та оборона, медицина, наука та освіта, енергетика, урядові послуги, транспорт.
Роль ШІ на Державному Рівні:
Кадровий резерв, підтримка розвитку, вплив на економіку та конкурентоспроможність.
Регулювання ШІ та Міжнародні Стандарти:
Artificial Intelligence Act, ризико-орієнтований підхід, регулювання на рівні ЄС.
Дорожня Карта Регулювання ШІ в Україні:
Міністерство цифрової трансформації, Bottom-Up підхід, етапи впровадження.
Принципи Регулювання ШІ в Україні:
Виваженість, сервісна функція, партнерство, продуктовий підхід, глобальна перспектива.
Заключення:
Презентація надає детальний огляд застосування штучного інтелекту в Україні, його вплив на різні сфери життя, а також розглядає питання регулювання та стандартизації в цій області. Олександр Мілютін акцентує увагу на необхідності навчання та адаптації до нових технологій, а також на важливості створення ефективних механізмів регулювання ШІ на державному рівні.
Тенденції розвитку кібербезпеки в Україні: регуляторні ініціативиAsters
Презентація з лекції партнера Астерс Юрія Котлярова та офіцера з інформаційної безпеки Астерс Олександра Макаревича у Правничій школі ЕВА-Астерс 23 жовтня 2018 р.
В кінці 2015 року, на запит Державного Агентства з Електронного Урядування, Київське відділення ISACA розробило кваліфікаційні вимоги до наступних ІТ професій:
- Аудитор Інформаційних Технологій
- Експерт з Корпоративного Управління Інформаційними Технологіями
- Спеціаліст з Кібербезпеки
Similar to Презентація серії документів ISACA з впровадження Європейської Моделі Кібербезпеки (20)
Настанови з кібербезпеки для бізнесу
Київське відділення ISACA, разом з Microsoft переклали на українську мову брошуру «Настанови з кібербезпеки від експертів», які було спільно розроблено Бельгійським Відділенням Міжнародної Торгової Палати, Федерацією підприємств Бельгії, Ernst & Young, корпорацією Майкрософт, Бельгійським відділенням ISACA, асоціацією L-SEC, та Бельгійським центром боротьби проти кіберзлочинності.
Ця брошура ознайомить вас із ключовими елементами інформаційної безпеки та забезпечить відповідними переліками контрольних питань, які допоможуть вам обрати правильний напрямок та сприятимуть впровадженню наданих у цій брошурі рекомендацій.
Документ розроблявся як максимально-адаптований для розуміння керівництвом і не містить технічних термінів.
Ми включили в документ контакти державних органів з якими можна зв'язатися в разі інциденту.
Сподіваємося, що ця настанова стане корисною для всіх відповідальних працівників компаній в нашій країні.
2. Порядок денний
• Коротко про ISACA
• Про що цей документ?
• Таксономія кібератак
• Ландшафт європейської кібербезпеки
• Принципи та напрямки стратегії кібербезпеки ЄС
• Інтеграція кібербезпеки в корпоративне управління
• Розробка бізнес-плану для впровадження кібербезпеки
• Управління ризиками кібербезпеки
• Управління стійкістю кібербезпеки
• Надання впевненості щодо кібербезпеки
• Висновки для України
3. Коротко про ISACA
з 1969 року
понад 200 відділень по всьому світу
більше 115 000 членів у 180 країнах світу
• надійне джерело знань, стандартів, співробітництва та підвищення
кваліфікації для фахівців у галузі аудиту, підтвердження достовірності,
безпеки, управління ризиками, конфіденційності та управління
інформаційними системами
• розвиває та підтверджує найбільш важливі для бізнесу навички та
знання, поширюючи сертифікації, що визнаються у міжнародному
масштабі: CSX®, CISA®, CISM®, CGEIT® і CRISC™
• пропонує фахівцям із кібербезпеки
− широкий набір ресурсів Cybersecurity Nexus™
− настанови COBIT® 2
− COBIT для забезпечення захисту інформації
− настанови щодо впровадження Основ знань із кібербезпеки
Національного інституту стандартів і технології США (NIST
Cybersecurity Framerwork)
− різноманітні настанови та програми аудиту безпеки хмарних технологій,
мобільних пристроїв, аутсорсингу
4. Про що цей документ?
• Серія документів про впровадження європейської кібербезпеки
– спрямована на впровадження кібербезпеки, виходячи з досвіду ЄС та
асоційованих країн
– включає практичні настанови, які відповідають європейським вимогам і
передовому досвіду, згідно з діючими законами, стандартами та іншими
настановами
– містить посилання на релевантні документи ЄС, інші настанови,
стандарти та джерела інформації
• Серія складається з 5-ти документів
– Загальний огляд (перекладено і буде представлено сьогодні)
– Управління ризиками
– Управління стійкістю
– Надання впевненості
– окремий документ Програма аудиту кібербезпеки
• Загальний огляд містить
– важливі визначення, огляд підходів ЄС щодо впровадження кібербезпеки
– рекомендації з підготовки обґрунтування впровадження
– ключові елементи моделі управління кібербезпекою
5. Серія документів про впровадження
європейської кібербезпеки
в контексті інших публікацій ISACA
8. Визначення терміну
«кібербезпека»
• Термін «кібербезпека» стосується корпоративного управління, заходів
захисту та механізмів надання впевненості щодо безпеки, які виходять
за межі стандартної інформаційної безпеки. Кібербезпека
зосереджується на особливих формах складних атак та охоплює їх
технічний і соціальний аспекти.
• Офіційне визначення ЄС
• Визначення ISACA
• Розширене визначення ISACA у публікації Трансформація кібербезпеки
…Кібербезпека охоплює все, що захищає організації та фізичних осіб від
умисних атак, порушень, інцидентів і їх наслідків. На практиці
кібербезпека насамперед стосується тих типів атак, порушень та
інцидентів, які є цільовими, високотехнологічними та складними у
виявленні чи управлінні. Кібербезпека зосереджується на так званих
складних спрямованих постійних загрозах (APT), кібервійнах і їх впливі на
організації та людей.
9. Таксономія кібератак
• Необхідно розрізняти інформаційну безпеку та кібербезпеку.
• Різниця полягає в масштабах, мотивах, можливостях і методах атак.
12. Ландшафт
європейської кібербезпеки
Програми та ініціативи ЄС у сфері кібербезпеки охоплюють наступне
• Стратегію кібербезпеки, видану Європейською комісією, на якій
ґрунтується низка національних стратегій
• Директиву щодо мережевої та інформаційної безпеки (ЩОЙНО
УЗГОДЖЕНИЙ НОВИЙ ЗАКОН ЄС)
• агентство ENISA (настанови з інформаційної безпеки, нормативні
документи, а також допомога з впровадженням)
• цілу низку заходів, пов’язаних із кібербезпекою, в галузі науково-
дослідних робіт, регулювання та управління в ЄС і його державах-
членах, наприклад
– 14 дій з кібербезпеки у Цифровому порядку денному для Європи
– міжорганізаційну та міжнародну співпрацю
– програму з досліджень і розвитку Горизонт 2020
13. Принципи
стратегії кібербезпеки ЄС
• розповсюдження цінностей, правил і норм ЄС на цифровий світ
• захист фундаментальних прав і свобод людини, персональних даних і
приватності
• рівний доступ для всіх
• демократичне та ефективне управління (multi-stakeholder governance:
«цифровий світ не може контролюватися однією людиною чи
організацією»)
• безпека – відповідальність кожного (shared responsibility)
14. Напрямки
стратегії кібербезпеки ЄС
• мінімальні вимоги для членів ЄС щодо
– формулювання національних стратегій кібербезпеки та механізмів
взаємодії
– визначення відповідального агентства, створення CERT
– впровадження механізмів ризик-менеджменту для органів державного
управління та приватної критичної інфраструктури, а також інформування
про інциденти
• підвищення рівня обізнаності щодо кібербезпеки на всіх рівнях
• розвиток передового досвіду та обміну інформацією на галузевому рівні зі
залученням державно-приватного партнерства
• стимулювання розвитку та прийняття галузевих стандартів безпеки
• загальноєвропейські навчання з кібербезпеки (симуляція інцидентів)
• підвищення взаємодії цивільного сектору, науковців і військових
• покращення зв’язків між ENISA, Europol, CEPOL, EC3 та зацікавленими
сторонами
• інвестування в дослідження та технології кібербезпеки
• http://ec.europa.eu/digital-agenda/en/news/eu-cybersecurity-plan-protect-open-internet-
and-online-freedom-and-opportunity-cyber-security
15. Інтеграція кібербезпеки
в корпоративне управління
Кібербезпека є
– невід’ємною частиною корпоративного управління, управління
ризиками та забезпечення відповідності (Governance, Risk Management
and Compliance)
– юридично зобов’язуючою складовою фідуціарних обов’язків директорів
і керівного складу організації
Організації повинні працювати над інтегруванням кібербезпеки як
міжфункціональної дисципліни в
• інформаційну безпеку
• традиційну корпоративну безпеку, включаючи фізичну
• управління корпоративними ризиками
• управління безперервністю ІТ-послуг (ITSCM)
• управління безперервністю бізнесу (BCM)
• захист критичної інфраструктури
• управління надзвичайними ситуаціями на національному рівні
• управління інцидентами та кризове управління на державному рівні
16. Впровадження кібербезпеки
у структуру GRC
GRC (governance, risk management, and compliance) –
корпоративне управління, управління ризиками та забезпечення відповідності
• належне управління, яке відповідає діючим принципам корпоративного
управління
• всеосяжне управлінням ризиками та загрозами кіберзлочинності та
кібервоєн, об’єднане з діючими системами управління корпоративними
ризиками (ERM)
• забезпечення відповідності діючим і запланованим законам і
регуляторним актам як на національних рівнях, так і на рівні ЄС
• стійкість організаційних інфраструктур і персоналу
• надання впевненості щодо інформації, процесів і заходів безпеки,
пов’язаних з ними
• тощо
17. Розробка бізнес-плану
для впровадження кібербезпеки
Впровадження кібербезпеки вимагає
• волі керівництва, планування, стратегічного управління змінами
Всеосяжний бізнес-план окреслює
• ризики та вимоги
• витрати та переваги
• високорівневий план та концепцію управління кіберезпекою
Важливо
• використання аналітики щодо рівня загроз і їх наслідків
• багато вимог мають цінність, рівень якої можливо виміряти та пов’язати
з бізнес-цілями організації (наприклад, підвищення довіри клієнтів)
• бізнес-план із кібербезпеки необхідно перекласти на мову ділового
спілкування
• кібербезпека є скоріше управлінським завданням, ніж технологічним
• технології – це лише набір інструментів
• організації повинні розглядати кібератаки як безсумнівний факт, а не
ймовірність
18. Впровадження
моделі корпоративного управління
кібербезпекою на основі COBIT
Ці сім інструментів
реалізації COBIT 5
представляють усі
аспекти кібербезпеки.
Модель інструментів
реалізації об’єднує
технічну, соціальну та
структурну складову
корпоративного
управління
кібербезпекою.
20. Управління
стійкістю кібербезпеки
Концепція стійкості є центральним елементом європейського бачення
кібербезпеки.
Властивість організації до відновлення та поглинання зовнішніх атак і
подій, а також їх внутрішніх впливів
Два аспекти стійкості
• стратегія кіберезпеки
• «системна» безпека – динамічна, гнучка модель управління, яка
дозволяє постійно вдосконалювати кіберезпеку
Використання концепцій PDCA, BCM, ITSCM.
22. Система контролю
кібербезпеки
Систему внутрішнього контролю, що забезпечує впевненість у
кібербезпеці, необхідно розробляти та впроваджувати по низхідному
принципу (зверху-вниз), згідно з корпоративним підходом до GRC в
організації.
Типова система контролю кібербезпеки включає в себе різні аспекти
надання впевненості
• принципи, політики та настанови
• процеси і процедури
• залежні від ризику контролі та показники
• організаційну готовність
• організаційне та технічне оцінювання
• звітування, затвердження та обізнаність
• тощо
23. Оцінювання,
аудит та експертиза
• самооцінка контролів управління та неформальні оцінки
• незалежні експертизи внутрішніх контролів (часто здійснюються іншою
функцією або функцією, відповідальною за управління ризиками)
• інтеграція механізмів надання впевненості в кібербезпеці в програму
внутрішнього аудиту
• спроможності до аналітичної / дослідницької роботи та проведення
розслідувань
24. 14 дій із кібербезпеки
Європейського Союзу
Європейський Союз визначив звід із 14 дій для посилення кібербезпеки в
державах-членах. Ці дії є частиною широкої всеосяжної програми під назвою
Цифровий порядок денний для Європи.
• Дія 28: посилення політики мережевої та інформаційної безпеки
• Дія 29: боротьба з кібератаками на інформаційні системи
• Дія 30: створення європейської платформи протидії кіберзлочинності
• Дія 31: аналіз корисності створення Центру європейської протидії кіберзлочинності
• Дія 32: посилення боротьби з кіберзлочинністю та кібератаками на міжнародному рівні
• Дія 33: забезпечення готовності всього ЄС до дій із кібербезпеки
• Дія 34: дослідження розширення норм інформування про порушення безпеки
• Дія 35: настанови з впровадження правил забезпечення конфіденційності інформації в
телекомунікаційних мережах
• Дія 36: забезпечення звітування про незаконний зміст в Інтернеті та проведення інформаційно-
роз’яснювальних кампаній щодо безпеки дітей в Інтернеті
• Дія 37: заохочення саморегулювання при використанні онлайн-сервісів
• Дія 38: впровадження в державах-членах пан’європейських команд реагування на комп’ютерні
надзвичайні ситуації
• Дія 39: проведення в державах-членах навчань у формі симуляції кібератак
• Дія 40: запровадження в державах-членах «гарячих ліній» для скарг на шкідливий зміст
• Дія 41: створення в державах-членах національних платформ для інформування про небезпеку
• Дія 123: проект директиви про мережеву та інформаційну безпеку
• Дія 124: стратегія кібербезпеки ЄС
• Дія 125: розширення Міжнародного альянсу проти сексуального насильства над дітьми в Інтернеті
25. Висновки для України
• кібербезпека є управлінським завданням, аніж технічним
• необхідне використання стратегії і директиви ЄС, та міжнародних
кращих практик при розробці української кіберстратегії та законодавства
• необхідна активніша участь бізнесу в цьому процесі!
• створення організації з кібербезпеки на засадах саморегулювання, а
також галузевих стандартів
• активне впровадження зрілих практик корпоративного управління та
інтеграція в них питань кібербезпеки
• незалежний аудит згідно з міжнародними стандартами замість КСЗІ