SlideShare a Scribd company logo

Александр Дмитриев - Практические аспекты внедрения системы менеджмента информационной безопасности в соответствии с требованиями ISO 27001

UISGCON
UISGCON
1 of 40
Практические аспекты внедрения системы менеджмента информационной безопасности в соответствии с требованиями ISO 27001 Александр Дмитриев Lead auditor ISO/IEC 27001, BS 25999, ISO 9001 Руководитель департамента «ИТ-сервисы и безопасность» Главный редактор журнала «Das Management» TÜV SÜD Ukraine LLC 2010-12 / Dmitriev slide 1
Защита информации vs Менеджмент информационной безопасности TÜV SÜD Ukraine LLC 2010-12 / Dmitriev slide 2
Защита информации и менеджмент ИБ Безостановочное предупреждение рисков по Обстоятельное решение базовым направлениям ИБ текущей проблемы ИБ Менеджмент ИБ Защита информации (ISO 27001) TÜV SÜD Ukraine LLC 2010-12 / Dmitriev slide 3
Защита информации и менеджмент ИБ ? «СУПЕР» Менеджмент ИБ (ISO 27001, ISF, CobiT, ITIL, IT-Grundschutz, NIST и др.) TÜV SÜD Ukraine LLC 2010-12 / Dmitriev slide 4
Защита информации. Ощущение и признаки успеха • Объем проделанной работы • Установка сложных систем защиты • Количество наказанных лиц • Количество и качество устранения инцидентов • Объем и качество документов, количество рисков • Воспитание боязни к службе ИБ Офицер ИБ Подразделения TÜV SÜD Ukraine LLC 2010-12 / Dmitriev slide 5
Менеджмент ИБ. Ощущение и признаки успеха • Обращения подразделений за помощью к ИБ • Ощутимые улучшения в документообороте • Уверенность в понимании карты рисков • Большинство инцидентов числятся в реестре рисков • Количество инцидентов прогнозируемо • Воспитание доверия (любви) Подразделения к службе ИБ Офицер ИБ TÜV SÜD Ukraine LLC 2010-12 / Dmitriev slide 6
Практические рекомендации по определению, расчету и анализу рисков TÜV SÜD Ukraine LLC 2010-12 / Dmitriev slide 7
Определение активов и рисков. Организация процесса Подразделение Документы Действие Руководство Стратегия и фин. план Область действия Служба «Х» Описания бизнес-процессов Подразделения в СМИБ Служба ИБ Правила определения Обучение Шаблон реестра Подразделения Таблицы частные Заполнение таблиц Служба ИБ Реестр сводный (проект) Сведение реестра Раб. группа ИБ Реестр сводный (Ц+Д) Выжимка реестра Служба ИБ Реестр сводный (К) Дополнение реестра TÜV SÜD Ukraine LLC 2010-12 / Dmitriev slide 8
Определение активов и рисков. Вопрос количества Непростой выбор: определить все возможные риски или закрыть те, которые вижу TÜV SÜD Ukraine LLC 2010-12 / Dmitriev slide 9
Выбор методики расчета рисков Отдельные методики расчета рисков. Частное мнение • РИСК = Балл от 1 до 10 • РИСК = ВЕРОЯТНОСТЬ * УЩЕРБ • РИСК = ВЕРОЯТНОСТЬ * (УЩЕРБ ПРЯМ. + КОСВ.) • РИСК = ВЕРОЯТНОСТЬ * УЩЕРБ * ВЕР. ОБНАРУЖ. • РИСК = Конф (1-3) * Цел (1-3) * Дост (1-3) • РИСК = MAX (Конф (1-3), Цел (1-3), Дост (1-3)) • РИСК = ВАЖН. АКТИВА (1-3) * Балл (1-3) • РИСК = ВАЖН. АКТИВА (1-3) * ВЕРОЯТНОСТЬ * УЩЕРБ TÜV SÜD Ukraine LLC 2010-12 / Dmitriev slide 10
Выбор методики расчета рисков Формула для расчета: РИСК = ВЕРОЯТНОСТЬ * УЩЕРБ Качественная Значение риска: баллы (от 1 до 63) Ресурсы: 10 ч/д Преимущества: • Простое применение Проблемы методики: • Отсутствие вывода для экономики безопасности Количественная Значение риска: деньги (1 520 грн) Вероятность Ущерб Ресурсы: 120 ч/д (0..1) X ($$$) Преимущества: • Доказательная экономика безопасности Проблемы методики: • Сложность получения данных для Значение риска экономических расчетов TÜV SÜD Ukraine LLC 2010-12 / Dmitriev slide 11
Расчет рисков. Выбор формулы Цель расчета: разделить риски по степени важности Минимальные требования к расчету: - Наличие вводных данных - Доверие к результату TÜV SÜD Ukraine LLC 2010-12 / Dmitriev slide 12
Отдельные рекомендации по оценке рисков • Каждое программное средство для офицера ИБ содержит свою методику оценки рисков Вывод: перед приобретением ПО ознакомиться с методикой • Оценка риска (цифра) должна отражать его опасность Вывод: не использовать методики с искажением свойства риска Актив Описание риска Вероят- Ущерб РИСК ОБЩИЙ ность РИСК Финансовая Потеря из-за хищения отчетность конкурентами Частичная потеря из-за сбоя 1 2 2 ? компьютеров 1 3 3 Случайное удаление информации собственным 1 2 2 4 персоналом Частичная потеря (искажение) из-за проникновения вирусов 3 3 9 TÜV SÜD Ukraine LLC 2010-12 / Dmitriev slide 13
Отдельные рекомендации по оценке рисков • Активы в реестре могут взаимно дополнять друг друга Вывод: не рекомендовано применять жесткое разделение • Ценность (важность) актива зачастую не используется Вывод: исключить ценность актива или сформулировать логику ее применения Актив Ценность Риск Вероят- Ущерб РИСК (1-3) ность (1-9) Потеря из-за хищения конкурентами Финансовая 1 2 2 отчетность 3 Частичная потеря (искажение) из-за (эл. папка) 3 3 9 ? проникновения вирусов Выход из строя из-за скачка 1 3 3 Прокси- напряжения сервер 1 Уничтожение из-за пожара ? 2 3 6 TÜV SÜD Ukraine LLC 2010-12 / Dmitriev slide 14
Наблюдения аудитов СМИБ. Выводы. Рекомендации. TÜV SÜD Ukraine LLC 2010-12 / Dmitriev slide 15
Результаты первичной диагностики Выборка: 18 компаний. Среднее значение по системе: 27% TÜV SÜD Ukraine LLC 2010-12 / Dmitriev slide 16
Направления безопасности. Хит-парад несоответствий A.10.10.4 Действия системного администратора Требование: Фиксировать действия системного администратора Возможное решение: • Определить активы или действия системного администратора, необходимые для фиксации • Применять технические средства 5 TÜV SÜD Ukraine LLC 2010-12 / Dmitriev slide 17
Направления безопасности. Хит-парад несоответствий A.9. Физическая безопасность и безопасность окружения Требование: Выполнять обслуживание согласно требованиям Возможное решение: • Уточнить собственные требования в паспортах к оборудованию 4 TÜV SÜD Ukraine LLC 2010-12 / Dmitriev slide 18
Направления безопасности. Хит-парад несоответствий А.15 Законодательные и другие требования Требование: Выполнять нормы законодательства Украины в области информационной безопасности Возможное решение: • Создать перечень норм • Получить консультации специалистов 3 TÜV SÜD Ukraine LLC 2010-12 / Dmitriev slide 19
Направления безопасности. Хит-парад несоответствий A.10.3.1 Менеджмент производительности Требование: Определять производительность. Не превышать запланированные мощности. Возможное решение: • Приобретать подходящие по мощности активы • Регулировать производительность 2 собственными требованиями TÜV SÜD Ukraine LLC 2010-12 / Dmitriev slide 20
Направления безопасности. Хит-парад несоответствий A.12.1 Приобретение информационных систем Требование: Приобретение ИС осуществлять при согласовании с ИБ Возможное решение: • Определить перечень ИС и других информационных активов, требующих согласования • Включить проверку ИБ в 1 процедуру закупок TÜV SÜD Ukraine LLC 2010-12 / Dmitriev slide 21
Наблюдения аудитов СМИБ TÜV SÜD Ukraine LLC 2010-12 / Dmitriev slide 22
Наблюдения аудитов СМИБ Требование предприятия: Передача конфиденциальной информации сторонним лицам запрещена без разрешения Дирекции по безопасности Факт: Аудитор хочет поделиться полезной информацией с пользователями и просит дать флешку. Пользователи во многих случаях дают флешки, на которых обнаруживается информация, имеющая гриф «Конфиденциально» Вывод: Нарушено собственное требование по безопасности. Класс несоответствия: критическое (А.15.2) Возможное решение: Приобретение двух флешек, одна из которых «гостевая» TÜV SÜD Ukraine LLC 2010-12 / Dmitriev slide 23
Наблюдения аудитов СМИБ Требование предприятия: Запрещено хранение паролей в открытом доступе. Факт: При внутреннем аудите обнаружено критическое несоответствие: сотрудник «Иванов» хранит пароли в рабочем блокноте, который хранится в столе. Вывод: Недостаточно оснований для несоответствия. Класс несоответствия: нет Рекомендовано детализировать запрет перечислениями недопустимых мест хранения. TÜV SÜD Ukraine LLC 2010-12 / Dmitriev slide 24
Наблюдения аудитов СМИБ Требование предприятия: Вся критическая информация компании должна резервироваться. Факт: Коммерческий директор ведет базу потенциальных клиентов в таблице Excel на своем ПК и никому ее не дает. Существует подозрение на наличие несоответствия. В процедуре по резервному копированию указаны источники для резервирования всей критической информации, базы потенциальных клиентов среди них нет Вывод: Нет оснований для формулировки несоответствия. Рекомендовано дополнить реестр рисков следующим: «Потеря базы потенциальных клиентов из-за …» TÜV SÜD Ukraine LLC 2010-12 / Dmitriev slide 25
Наблюдения аудитов СМИБ Требование предприятия: Учетная запись пользователя в ИС должна быть удалена в течении одного рабочего дня с момента его увольнения Факт: При анализе обнаружены две активные учетные записи пользователей, уволенных десять и двенадцать дней назад Вывод: Нарушено собственное требование по безопасности. Класс несоответствия: критическое (А.8.3). Предприятию необходимы данные учетные записи для доступа к информации в течении месяца Возможное решение: Рекомендовано изменить требование с одного до тридцати дней TÜV SÜD Ukraine LLC 2010-12 / Dmitriev slide 26
Наблюдения аудитов СМИБ Требование предприятия: Хранить информацию о выпуске продукции, в т.ч. электронные журналы ИС, в течении пяти лет с момента производства Факт: Произошла замена сервера, на котором хранятся логи. Данные по выпуску продукции за 2010 год отсутствуют. Информация также есть в бумажном виде Вывод: Нарушено собственное требование по безопасности. Класс несоответствия: некритическое (А.15.1.3) Возможное решение: Рекомендовано пересмотреть требования или ввести процедуру резервирования логов TÜV SÜD Ukraine LLC 2010-12 / Dmitriev slide 27
Позитивные и негативные примеры внедрения процессов СМИБ TÜV SÜD Ukraine LLC 2010-12 / Dmitriev slide 28
Поддержка документации СМИБ. Хит-парад негатива 1. Документы СМИБ противоречат действительности (на будущее) Пример: «Логи безопасности архивируются на сервере СМИБ», при этом сервер только в планах приобретения 2. В многих случаях употребляются общие фразы Пример: «Действия системного администратора фиксируются в журнале» 3. Документы СМИБ противоречат другим нормам компании Пример: процедура «Перемещение материальных активов» запрещает вынос флешек, при этом процедура «Сменные носители» позволяет 4. Формы документов противоречат требованиям компании по оформлению Примеры: процедуры именуют политиками, разделы процедуры не соответствуют внутреннему стандарту TÜV SÜD Ukraine LLC 2010-12 / Dmitriev slide 29
Поддержка документации СМИБ. Хит-парад позитива 1. Требования СМИБ максимально удобны для пользователя Пример: Большинство пользователей имеют единый сводный документ с перечнем требований к ним. Требования проиллюстрированы 2. Документы СМИБ минимальны по объему Пример: Всего около 20 документов. Объем документа не превышает 4 страниц 3. Все документы СМИБ размещены в эл. виде Пример: Утвержденные копии документов размещены в папках с распределением доступа 4. Значительная часть документов СМИБ не разрабатывалась, использовались существующие документы Пример: Требования по персоналу дополнены в существующую процедуру «Управление персоналом» TÜV SÜD Ukraine LLC 2010-12 / Dmitriev slide 30
Приобретение активов. Хит-парад негатива 1. Служба ИБ не может получить право на участие в процессе закупки Пример: Руководство считает службу ИБ лишним звеном в процессе 2. Не определен четкий перечень активов, которые необходимо оценивать Пример: Шкафы для архива приобретены, но отсутствуют замки, которые оказались необходимыми. Служба ИБ увидела в этом нарушение. Служба закупок не посчитала необходимым сообщать, т.к. шкафы, по их мнению, не информационные активы. 3. Оценка проводится формально из-за отсутствия ресурсов Пример: Мощность закупленного сервера оказалась крайне недостаточной. При закупке сервера служба ИБ формально поставила согласие на листе закупки. 4. Превышены желания службы ИБ в процессе закупки Пример: Служба ИБ запрещает в рамках служебной записки приобретать «1С- Предприятие» из-за наличия многих рисков TÜV SÜD Ukraine LLC 2010-12 / Dmitriev slide 31
Приобретение активов. Хит-парад позитива 1. Процесс закупки максимально логичен и автоматизирован Пример: ИС компании автоматически информирует службу ИБ о заявке на приобретение, руководство может одобрить покупку только после заполнения поля с рекомендациями 2. На большую часть активов разработаны требования (стандарт компании) Пример: При приобретении планшетов служба ИТ самостоятельно без согласования с ИБ приобретает дополнительные планшеты, полностью соответствующие требованиям по операционной системе, объеме памяти и др. 3. Существует отдельный процесс закупки по критичным активам Пример: Для определенного перечня активов проводится детальное исследование службой ИБ с целью определить соответствие потребностям бизнеса, риски, непредвиденные расходы. TÜV SÜD Ukraine LLC 2010-12 / Dmitriev slide 32
Менеджмент информационной безопасности Объем работ по внедрению СМИБ (ISO 27001) зависит только от Вас! TÜV SÜD Ukraine LLC 2010-12 / Dmitriev slide 33
Менеджмент информационной безопасности Объем работ по внедрению СМИБ (ISO 27001) зависит только от Вас! Основные причины, Максимальные Минимальные Влияние на влияющие на объем ресурсы ресурсы объем работ работ Область действия Все предприятие Отдельные площадки $$ Все продукты Отдельные продукты Количество активов 300-1000 10-80 $$ Количество рисков 500-3000 20-100 $$$ Количество и объем 80-100 процедур и 20-30 процедур и $$$ требований журналов журналов  100-2000 ч/д  30-50 ч/д TÜV SÜD Ukraine LLC 2010-12 / Dmitriev slide 34
Анализ применения программных средств для поддержки СМИБ в соответствии с требованиями ISO/IEC 27001. Для самостоятельного ознакомления TÜV SÜD Ukraine LLC 2010-12 / Dmitriev slide 35
ПО для системы менеджмента ИБ • EXCEL • Собственное ПО • DS Office, Россия • ИСОратник, Украина • GSTOOL, Германия • RMstudio, Англия TÜV SÜD Ukraine LLC 2010-12 / Dmitriev slide 36
ПО для системы менеджмента ИБ Выбор потребителя TÜV SÜD Ukraine LLC 2010-12 / Dmitriev slide 37
ПО для системы менеджмента ИБ Отдельные характеристики программного обеспечения Программный продукт Русификация Каталоги Стоимость, активов и категория рисков EXCEL ДА НЕТ $ DS Office, Россия ДА ДА $$$$ Собственное ПО ДА НЕТ $$$$$ ИСОратник, Украина ДА НЕТ $$ RMStudio, Англия НЕТ ДА $$$ GSTOOL, Германия НЕТ ДА $$$$$ TÜV SÜD Ukraine LLC 2010-12 / Dmitriev slide 38
ПО для системы менеджмента ИБ Базовые процессы автоматизации Процесс Кол-во предприятий Ведение реестра активов и рисков 27 Оценка рисков. Создание отчетов о рисках 23 Управление документацией СМИБ 15 Управление аудитами СМИБ 7 Инструктажи. Осведомленность персонала 4 Бюджетирование 1 TÜV SÜD Ukraine LLC 2010-12 / Dmitriev slide 39
Большое спасибо! Задавайте вопросы … Александр Дмитриев +38 050 419 69 11 Alexander.Dmitriev@tuv-sud.com.ua TÜV SÜD Ukraine LLC 2010-12 / Dmitriev slide 40

Recommended

управление риском почему не работает
управление риском почему не работаетуправление риском почему не работает
управление риском почему не работаетVladimir Gninyuk
 
Alexander Dmitriev - Практика построения ключевых процессов менеджмента инфор...
Alexander Dmitriev - Практика построения ключевых процессов менеджмента инфор...Alexander Dmitriev - Практика построения ключевых процессов менеджмента инфор...
Alexander Dmitriev - Практика построения ключевых процессов менеджмента инфор...UISGCON
 
Iso 27001 01_dmytriyev_kiev_2010_july
Iso 27001 01_dmytriyev_kiev_2010_julyIso 27001 01_dmytriyev_kiev_2010_july
Iso 27001 01_dmytriyev_kiev_2010_julyGlib Pakharenko
 
Разработка средств защиты в России и на Западе: разность подходов
Разработка средств защиты в России и на Западе: разность подходовРазработка средств защиты в России и на Западе: разность подходов
Разработка средств защиты в России и на Западе: разность подходовAleksey Lukatskiy
 
Цикл безопасной разработки
Цикл безопасной разработкиЦикл безопасной разработки
Цикл безопасной разработкиRISClubSPb
 
Построение процесса безопасной разработки
Построение процесса безопасной разработкиПостроение процесса безопасной разработки
Построение процесса безопасной разработкиPositive Development User Group
 
Безопасная разработка для руководителей
Безопасная разработка для руководителейБезопасная разработка для руководителей
Безопасная разработка для руководителейPositive Development User Group
 
пр Лучшие практики SOC
пр Лучшие практики SOCпр Лучшие практики SOC
пр Лучшие практики SOCAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 

Recommended

управление риском почему не работает
управление риском почему не работаетуправление риском почему не работает
управление риском почему не работаетVladimir Gninyuk
 
Alexander Dmitriev - Практика построения ключевых процессов менеджмента инфор...
Alexander Dmitriev - Практика построения ключевых процессов менеджмента инфор...Alexander Dmitriev - Практика построения ключевых процессов менеджмента инфор...
Alexander Dmitriev - Практика построения ключевых процессов менеджмента инфор...UISGCON
 
Iso 27001 01_dmytriyev_kiev_2010_july
Iso 27001 01_dmytriyev_kiev_2010_julyIso 27001 01_dmytriyev_kiev_2010_july
Iso 27001 01_dmytriyev_kiev_2010_julyGlib Pakharenko
 
Разработка средств защиты в России и на Западе: разность подходов
Разработка средств защиты в России и на Западе: разность подходовРазработка средств защиты в России и на Западе: разность подходов
Разработка средств защиты в России и на Западе: разность подходовAleksey Lukatskiy
 
Цикл безопасной разработки
Цикл безопасной разработкиЦикл безопасной разработки
Цикл безопасной разработкиRISClubSPb
 
Построение процесса безопасной разработки
Построение процесса безопасной разработкиПостроение процесса безопасной разработки
Построение процесса безопасной разработкиPositive Development User Group
 
Безопасная разработка для руководителей
Безопасная разработка для руководителейБезопасная разработка для руководителей
Безопасная разработка для руководителейPositive Development User Group
 
пр Лучшие практики SOC
пр Лучшие практики SOCпр Лучшие практики SOC
пр Лучшие практики SOCAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Измерение эффективности ИБ
Измерение эффективности ИБИзмерение эффективности ИБ
Измерение эффективности ИБAleksey Lukatskiy
 
Аутсорсинг ИБ. Области реального применения.
Аутсорсинг ИБ. Области реального применения.Аутсорсинг ИБ. Области реального применения.
Аутсорсинг ИБ. Области реального применения.LETA IT-company
 
Комплект документов по ISO 27001-2013
Комплект документов по ISO 27001-2013Комплект документов по ISO 27001-2013
Комплект документов по ISO 27001-2013Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
СУИБ - проблемы внедрения v4
СУИБ - проблемы внедрения v4СУИБ - проблемы внедрения v4
СУИБ - проблемы внедрения v4a_a_a
 
Оценка отдачи вложений в ИБ
Оценка отдачи вложений в ИБОценка отдачи вложений в ИБ
Оценка отдачи вложений в ИБAleksey Lukatskiy
 
Как обосновать затраты на ИБ?
Как обосновать затраты на ИБ?Как обосновать затраты на ИБ?
Как обосновать затраты на ИБ?Aleksey Lukatskiy
 
Построение СУИБ на основе ISO 27k
Построение СУИБ на основе ISO 27kПостроение СУИБ на основе ISO 27k
Построение СУИБ на основе ISO 27kSergey Chuchaev
 
Практика внутреннего аудита СМИБ
Практика внутреннего аудита СМИБПрактика внутреннего аудита СМИБ
Практика внутреннего аудита СМИБAlexey Evmenkov
 
Внутренняя угроза: выявление и защита с помощью ObserveIT
Внутренняя угроза: выявление и защита с помощью ObserveITВнутренняя угроза: выявление и защита с помощью ObserveIT
Внутренняя угроза: выявление и защита с помощью ObserveITBAKOTECH
 
Успешный проект внедрения Docsvision вертекс юнайтед
Успешный проект внедрения Docsvision вертекс юнайтедУспешный проект внедрения Docsvision вертекс юнайтед
Успешный проект внедрения Docsvision вертекс юнайтедDocsvision
 
Solar inView: Безопасность под контролем
Solar inView: Безопасность под контролемSolar inView: Безопасность под контролем
Solar inView: Безопасность под контролемSolar Security
 
Управление ИБ в условиях кризиса
Управление ИБ в условиях кризисаУправление ИБ в условиях кризиса
Управление ИБ в условиях кризисаAleksey Lukatskiy
 
пр все про Cobit5 для dlp expert 2013-12
пр все про Cobit5 для dlp expert 2013-12пр все про Cobit5 для dlp expert 2013-12
пр все про Cobit5 для dlp expert 2013-12Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
пр Разработка комплекта документов по управлению ИБ (прозоров)
пр Разработка комплекта документов по управлению ИБ (прозоров)пр Разработка комплекта документов по управлению ИБ (прозоров)
пр Разработка комплекта документов по управлению ИБ (прозоров)Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
суиб как способ поддержки бизнес целей предприятия
суиб как способ поддержки бизнес целей предприятиясуиб как способ поддержки бизнес целей предприятия
суиб как способ поддержки бизнес целей предприятияa_a_a
 
Бизнес-модели в деятельности безопасника
Бизнес-модели в деятельности безопасникаБизнес-модели в деятельности безопасника
Бизнес-модели в деятельности безопасникаAleksey Lukatskiy
 
ИСО 27001 на практике, или будни внедренца
ИСО 27001 на практике, или будни внедренцаИСО 27001 на практике, или будни внедренца
ИСО 27001 на практике, или будни внедренцаAlexey Evmenkov
 
Как построить систему ИБ в кризис; 3 способа снижения затрат на ИБ
Как построить систему ИБ в кризис; 3 способа снижения затрат на ИБКак построить систему ИБ в кризис; 3 способа снижения затрат на ИБ
Как построить систему ИБ в кризис; 3 способа снижения затрат на ИБInfoWatch
 
пр серия стандартов Iso 22301
пр серия стандартов Iso 22301пр серия стандартов Iso 22301
пр серия стандартов Iso 22301Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
AeroHills: Методики определения и работы с рисками в игровых проектах
AeroHills: Методики определения и работы с рисками в игровых проектахAeroHills: Методики определения и работы с рисками в игровых проектах
AeroHills: Методики определения и работы с рисками в игровых проектахDevGAMM Conference
 
D2 15 20 Белый кит проект внедрения 1с itil
D2 15 20 Белый кит проект внедрения 1с itilD2 15 20 Белый кит проект внедрения 1с itil
D2 15 20 Белый кит проект внедрения 1с itilAndrew Paymushkin
 
Статья: Зачем и кому нужны корпоративные социальные сети
Статья: Зачем и кому нужны корпоративные социальные сетиСтатья: Зачем и кому нужны корпоративные социальные сети
Статья: Зачем и кому нужны корпоративные социальные сетиANROM Social Business
 

More Related Content

What's hot

Измерение эффективности ИБ
Измерение эффективности ИБИзмерение эффективности ИБ
Измерение эффективности ИБAleksey Lukatskiy
 
Аутсорсинг ИБ. Области реального применения.
Аутсорсинг ИБ. Области реального применения.Аутсорсинг ИБ. Области реального применения.
Аутсорсинг ИБ. Области реального применения.LETA IT-company
 
СУИБ - проблемы внедрения v4
СУИБ - проблемы внедрения v4СУИБ - проблемы внедрения v4
СУИБ - проблемы внедрения v4a_a_a
 
Оценка отдачи вложений в ИБ
Оценка отдачи вложений в ИБОценка отдачи вложений в ИБ
Оценка отдачи вложений в ИБAleksey Lukatskiy
 
Как обосновать затраты на ИБ?
Как обосновать затраты на ИБ?Как обосновать затраты на ИБ?
Как обосновать затраты на ИБ?Aleksey Lukatskiy
 
Построение СУИБ на основе ISO 27k
Построение СУИБ на основе ISO 27kПостроение СУИБ на основе ISO 27k
Построение СУИБ на основе ISO 27kSergey Chuchaev
 
Практика внутреннего аудита СМИБ
Практика внутреннего аудита СМИБПрактика внутреннего аудита СМИБ
Практика внутреннего аудита СМИБAlexey Evmenkov
 
Внутренняя угроза: выявление и защита с помощью ObserveIT
Внутренняя угроза: выявление и защита с помощью ObserveITВнутренняя угроза: выявление и защита с помощью ObserveIT
Внутренняя угроза: выявление и защита с помощью ObserveITBAKOTECH
 
Успешный проект внедрения Docsvision вертекс юнайтед
Успешный проект внедрения Docsvision вертекс юнайтедУспешный проект внедрения Docsvision вертекс юнайтед
Успешный проект внедрения Docsvision вертекс юнайтедDocsvision
 
Solar inView: Безопасность под контролем
Solar inView: Безопасность под контролемSolar inView: Безопасность под контролем
Solar inView: Безопасность под контролемSolar Security
 
Управление ИБ в условиях кризиса
Управление ИБ в условиях кризисаУправление ИБ в условиях кризиса
Управление ИБ в условиях кризисаAleksey Lukatskiy
 
пр Разработка комплекта документов по управлению ИБ (прозоров)
пр Разработка комплекта документов по управлению ИБ (прозоров)пр Разработка комплекта документов по управлению ИБ (прозоров)
пр Разработка комплекта документов по управлению ИБ (прозоров)Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
суиб как способ поддержки бизнес целей предприятия
суиб как способ поддержки бизнес целей предприятиясуиб как способ поддержки бизнес целей предприятия
суиб как способ поддержки бизнес целей предприятияa_a_a
 
Бизнес-модели в деятельности безопасника
Бизнес-модели в деятельности безопасникаБизнес-модели в деятельности безопасника
Бизнес-модели в деятельности безопасникаAleksey Lukatskiy
 
ИСО 27001 на практике, или будни внедренца
ИСО 27001 на практике, или будни внедренцаИСО 27001 на практике, или будни внедренца
ИСО 27001 на практике, или будни внедренцаAlexey Evmenkov
 
Как построить систему ИБ в кризис; 3 способа снижения затрат на ИБ
Как построить систему ИБ в кризис; 3 способа снижения затрат на ИБКак построить систему ИБ в кризис; 3 способа снижения затрат на ИБ
Как построить систему ИБ в кризис; 3 способа снижения затрат на ИБInfoWatch
 
AeroHills: Методики определения и работы с рисками в игровых проектах
AeroHills: Методики определения и работы с рисками в игровых проектахAeroHills: Методики определения и работы с рисками в игровых проектах
AeroHills: Методики определения и работы с рисками в игровых проектахDevGAMM Conference
 

What's hot (20)

Измерение эффективности ИБ
Измерение эффективности ИБИзмерение эффективности ИБ
Измерение эффективности ИБ
 
Аутсорсинг ИБ. Области реального применения.
Аутсорсинг ИБ. Области реального применения.Аутсорсинг ИБ. Области реального применения.
Аутсорсинг ИБ. Области реального применения.
 
Комплект документов по ISO 27001-2013
Комплект документов по ISO 27001-2013Комплект документов по ISO 27001-2013
Комплект документов по ISO 27001-2013
 
СУИБ - проблемы внедрения v4
СУИБ - проблемы внедрения v4СУИБ - проблемы внедрения v4
СУИБ - проблемы внедрения v4
 
Оценка отдачи вложений в ИБ
Оценка отдачи вложений в ИБОценка отдачи вложений в ИБ
Оценка отдачи вложений в ИБ
 
Как обосновать затраты на ИБ?
Как обосновать затраты на ИБ?Как обосновать затраты на ИБ?
Как обосновать затраты на ИБ?
 
Построение СУИБ на основе ISO 27k
Построение СУИБ на основе ISO 27kПостроение СУИБ на основе ISO 27k
Построение СУИБ на основе ISO 27k
 
Практика внутреннего аудита СМИБ
Практика внутреннего аудита СМИБПрактика внутреннего аудита СМИБ
Практика внутреннего аудита СМИБ
 
Внутренняя угроза: выявление и защита с помощью ObserveIT
Внутренняя угроза: выявление и защита с помощью ObserveITВнутренняя угроза: выявление и защита с помощью ObserveIT
Внутренняя угроза: выявление и защита с помощью ObserveIT
 
Успешный проект внедрения Docsvision вертекс юнайтед
Успешный проект внедрения Docsvision вертекс юнайтедУспешный проект внедрения Docsvision вертекс юнайтед
Успешный проект внедрения Docsvision вертекс юнайтед
 
Solar inView: Безопасность под контролем
Solar inView: Безопасность под контролемSolar inView: Безопасность под контролем
Solar inView: Безопасность под контролем
 
Управление ИБ в условиях кризиса
Управление ИБ в условиях кризисаУправление ИБ в условиях кризиса
Управление ИБ в условиях кризиса
 
пр все про Cobit5 для dlp expert 2013-12
пр все про Cobit5 для dlp expert 2013-12пр все про Cobit5 для dlp expert 2013-12
пр все про Cobit5 для dlp expert 2013-12
 
пр Разработка комплекта документов по управлению ИБ (прозоров)
пр Разработка комплекта документов по управлению ИБ (прозоров)пр Разработка комплекта документов по управлению ИБ (прозоров)
пр Разработка комплекта документов по управлению ИБ (прозоров)
 
суиб как способ поддержки бизнес целей предприятия
суиб как способ поддержки бизнес целей предприятиясуиб как способ поддержки бизнес целей предприятия
суиб как способ поддержки бизнес целей предприятия
 
Бизнес-модели в деятельности безопасника
Бизнес-модели в деятельности безопасникаБизнес-модели в деятельности безопасника
Бизнес-модели в деятельности безопасника
 
ИСО 27001 на практике, или будни внедренца
ИСО 27001 на практике, или будни внедренцаИСО 27001 на практике, или будни внедренца
ИСО 27001 на практике, или будни внедренца
 
Как построить систему ИБ в кризис; 3 способа снижения затрат на ИБ
Как построить систему ИБ в кризис; 3 способа снижения затрат на ИБКак построить систему ИБ в кризис; 3 способа снижения затрат на ИБ
Как построить систему ИБ в кризис; 3 способа снижения затрат на ИБ
 
пр серия стандартов Iso 22301
пр серия стандартов Iso 22301пр серия стандартов Iso 22301
пр серия стандартов Iso 22301
 
AeroHills: Методики определения и работы с рисками в игровых проектах
AeroHills: Методики определения и работы с рисками в игровых проектахAeroHills: Методики определения и работы с рисками в игровых проектах
AeroHills: Методики определения и работы с рисками в игровых проектах
 

Viewers also liked

D2 15 20 Белый кит проект внедрения 1с itil
D2 15 20 Белый кит проект внедрения 1с itilD2 15 20 Белый кит проект внедрения 1с itil
D2 15 20 Белый кит проект внедрения 1с itilAndrew Paymushkin
 
Статья: Зачем и кому нужны корпоративные социальные сети
Статья: Зачем и кому нужны корпоративные социальные сетиСтатья: Зачем и кому нужны корпоративные социальные сети
Статья: Зачем и кому нужны корпоративные социальные сетиANROM Social Business
 
Онлайн конкурс для сотрудников: поиск и признание талантов
Онлайн конкурс для сотрудников: поиск и признание талантовОнлайн конкурс для сотрудников: поиск и признание талантов
Онлайн конкурс для сотрудников: поиск и признание талантовANROM Social Business
 
Внедрение процесса управления рисками (лекция в Стратоплан)
Внедрение процесса управления рисками (лекция в Стратоплан)Внедрение процесса управления рисками (лекция в Стратоплан)
Внедрение процесса управления рисками (лекция в Стратоплан)RiskGap
 
Украинские реалии Enterprise 2.0
Украинские реалии Enterprise 2.0Украинские реалии Enterprise 2.0
Украинские реалии Enterprise 2.0ANROM Social Business
 
Jive new way_tour_my_sap_24_may2011 final
Jive new way_tour_my_sap_24_may2011 finalJive new way_tour_my_sap_24_may2011 final
Jive new way_tour_my_sap_24_may2011 finalMark Yolton
 
Внедрение системы электронного обучения в ГБПОУ МО "Щелковский колледж"
Внедрение системы электронного обучения в ГБПОУ МО "Щелковский колледж"Внедрение системы электронного обучения в ГБПОУ МО "Щелковский колледж"
Внедрение системы электронного обучения в ГБПОУ МО "Щелковский колледж"lalex-85
 
Построение частного облака на примере использования Windows Server 2012R2 и ...
Построение частного облака на примере использования Windows Server 2012R2 и ...Построение частного облака на примере использования Windows Server 2012R2 и ...
Построение частного облака на примере использования Windows Server 2012R2 и ...TechExpert
 
Концептуальные методы в ИТ и бизнесе: перекрестное опыление
Концептуальные методы в ИТ и бизнесе: перекрестное опылениеКонцептуальные методы в ИТ и бизнесе: перекрестное опыление
Концептуальные методы в ИТ и бизнесе: перекрестное опылениеMikhail Andronov
 
Dmitriy Ponomarev - Thinking outside the box #uisgcon9
Dmitriy Ponomarev - Thinking outside the box #uisgcon9Dmitriy Ponomarev - Thinking outside the box #uisgcon9
Dmitriy Ponomarev - Thinking outside the box #uisgcon9UISGCON
 
Внедрение проектного управления на базе MS Project Online и MS Project Pro
Внедрение проектного управления на базе MS Project Online и MS Project ProВнедрение проектного управления на базе MS Project Online и MS Project Pro
Внедрение проектного управления на базе MS Project Online и MS Project ProИван Оберемок
 
Mikhail Emelyannikov - А Вы готовы обменять свою приватность на безопасность ...
Mikhail Emelyannikov - А Вы готовы обменять свою приватность на безопасность ...Mikhail Emelyannikov - А Вы готовы обменять свою приватность на безопасность ...
Mikhail Emelyannikov - А Вы готовы обменять свою приватность на безопасность ...UISGCON
 
Востребованность функций ИСУП. Результаты ежегодного исследования Young Crew ...
Востребованность функций ИСУП. Результаты ежегодного исследования Young Crew ...Востребованность функций ИСУП. Результаты ежегодного исследования Young Crew ...
Востребованность функций ИСУП. Результаты ежегодного исследования Young Crew ...Antony Filimonov
 
Внедрение DLP в компаниях с распределенной сетяью филиалов
Внедрение DLP в компаниях с распределенной сетяью филиаловВнедрение DLP в компаниях с распределенной сетяью филиалов
Внедрение DLP в компаниях с распределенной сетяью филиаловMFISoft
 
Концепция системы управления инновациями предприятия
Концепция системы управления инновациями предприятияКонцепция системы управления инновациями предприятия
Концепция системы управления инновациями предприятияMikhail Andronov
 
Vladimir Bezmaly - Расследование инцидентов в ОС Windows #uisgcon9
Vladimir Bezmaly - Расследование инцидентов в ОС Windows #uisgcon9Vladimir Bezmaly - Расследование инцидентов в ОС Windows #uisgcon9
Vladimir Bezmaly - Расследование инцидентов в ОС Windows #uisgcon9UISGCON
 

Viewers also liked (20)

D2 15 20 Белый кит проект внедрения 1с itil
D2 15 20 Белый кит проект внедрения 1с itilD2 15 20 Белый кит проект внедрения 1с itil
D2 15 20 Белый кит проект внедрения 1с itil
 
Статья: Зачем и кому нужны корпоративные социальные сети
Статья: Зачем и кому нужны корпоративные социальные сетиСтатья: Зачем и кому нужны корпоративные социальные сети
Статья: Зачем и кому нужны корпоративные социальные сети
 
Онлайн конкурс для сотрудников: поиск и признание талантов
Онлайн конкурс для сотрудников: поиск и признание талантовОнлайн конкурс для сотрудников: поиск и признание талантов
Онлайн конкурс для сотрудников: поиск и признание талантов
 
Emergency changes
Emergency changesEmergency changes
Emergency changes
 
Внедрение процесса управления рисками (лекция в Стратоплан)
Внедрение процесса управления рисками (лекция в Стратоплан)Внедрение процесса управления рисками (лекция в Стратоплан)
Внедрение процесса управления рисками (лекция в Стратоплан)
 
Украинские реалии Enterprise 2.0
Украинские реалии Enterprise 2.0Украинские реалии Enterprise 2.0
Украинские реалии Enterprise 2.0
 
Jive new way_tour_my_sap_24_may2011 final
Jive new way_tour_my_sap_24_may2011 finalJive new way_tour_my_sap_24_may2011 final
Jive new way_tour_my_sap_24_may2011 final
 
Автоматизация процессов управления конфигурациями и ИТ-активами
Автоматизация процессов управления конфигурациями и ИТ-активамиАвтоматизация процессов управления конфигурациями и ИТ-активами
Автоматизация процессов управления конфигурациями и ИТ-активами
 
Внедрение системы электронного обучения в ГБПОУ МО "Щелковский колледж"
Внедрение системы электронного обучения в ГБПОУ МО "Щелковский колледж"Внедрение системы электронного обучения в ГБПОУ МО "Щелковский колледж"
Внедрение системы электронного обучения в ГБПОУ МО "Щелковский колледж"
 
Построение частного облака на примере использования Windows Server 2012R2 и ...
Построение частного облака на примере использования Windows Server 2012R2 и ...Построение частного облака на примере использования Windows Server 2012R2 и ...
Построение частного облака на примере использования Windows Server 2012R2 и ...
 
Концептуальные методы в ИТ и бизнесе: перекрестное опыление
Концептуальные методы в ИТ и бизнесе: перекрестное опылениеКонцептуальные методы в ИТ и бизнесе: перекрестное опыление
Концептуальные методы в ИТ и бизнесе: перекрестное опыление
 
Dmitriy Ponomarev - Thinking outside the box #uisgcon9
Dmitriy Ponomarev - Thinking outside the box #uisgcon9Dmitriy Ponomarev - Thinking outside the box #uisgcon9
Dmitriy Ponomarev - Thinking outside the box #uisgcon9
 
пр Управление инцидентами ИБ (Dozor)
пр Управление инцидентами ИБ (Dozor)пр Управление инцидентами ИБ (Dozor)
пр Управление инцидентами ИБ (Dozor)
 
Внедрение проектного управления на базе MS Project Online и MS Project Pro
Внедрение проектного управления на базе MS Project Online и MS Project ProВнедрение проектного управления на базе MS Project Online и MS Project Pro
Внедрение проектного управления на базе MS Project Online и MS Project Pro
 
Mikhail Emelyannikov - А Вы готовы обменять свою приватность на безопасность ...
Mikhail Emelyannikov - А Вы готовы обменять свою приватность на безопасность ...Mikhail Emelyannikov - А Вы готовы обменять свою приватность на безопасность ...
Mikhail Emelyannikov - А Вы готовы обменять свою приватность на безопасность ...
 
Востребованность функций ИСУП. Результаты ежегодного исследования Young Crew ...
Востребованность функций ИСУП. Результаты ежегодного исследования Young Crew ...Востребованность функций ИСУП. Результаты ежегодного исследования Young Crew ...
Востребованность функций ИСУП. Результаты ежегодного исследования Young Crew ...
 
Внедрение DLP в компаниях с распределенной сетяью филиалов
Внедрение DLP в компаниях с распределенной сетяью филиаловВнедрение DLP в компаниях с распределенной сетяью филиалов
Внедрение DLP в компаниях с распределенной сетяью филиалов
 
Концепция системы управления инновациями предприятия
Концепция системы управления инновациями предприятияКонцепция системы управления инновациями предприятия
Концепция системы управления инновациями предприятия
 
Vladimir Bezmaly - Расследование инцидентов в ОС Windows #uisgcon9
Vladimir Bezmaly - Расследование инцидентов в ОС Windows #uisgcon9Vladimir Bezmaly - Расследование инцидентов в ОС Windows #uisgcon9
Vladimir Bezmaly - Расследование инцидентов в ОС Windows #uisgcon9
 
Андрей Бадин. С чего начать внедрение проектного управления?
Андрей Бадин. С чего начать внедрение проектного управления? Андрей Бадин. С чего начать внедрение проектного управления?
Андрей Бадин. С чего начать внедрение проектного управления?
 

Similar to Александр Дмитриев - Практические аспекты внедрения системы менеджмента информационной безопасности в соответствии с требованиями ISO 27001

ESET. Александр Зонов. "ESET. Просто. Удобно. Надежно"
ESET. Александр Зонов. "ESET. Просто. Удобно. Надежно"ESET. Александр Зонов. "ESET. Просто. Удобно. Надежно"
ESET. Александр Зонов. "ESET. Просто. Удобно. Надежно"Expolink
 
Как довести проект по информационной безопасности до ума
Как довести проект по информационной безопасности до умаКак довести проект по информационной безопасности до ума
Как довести проект по информационной безопасности до умаInfoWatch
 
7 cases of risk probality measurement
7 cases of risk probality measurement7 cases of risk probality measurement
7 cases of risk probality measurementAleksey Lukatskiy
 
пр зачем измерять информационную безопасность (прозоров)
пр зачем измерять информационную безопасность (прозоров)пр зачем измерять информационную безопасность (прозоров)
пр зачем измерять информационную безопасность (прозоров)Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Зачем измерять информационную безопасность
Зачем измерять информационную безопасностьЗачем измерять информационную безопасность
Зачем измерять информационную безопасностьInfoWatch
 
[Long 14-30] Владимир Гнинюк - В поисках взаимопонимания ИБ и Бизнеса
[Long 14-30] Владимир Гнинюк - В поисках взаимопонимания ИБ и Бизнеса[Long 14-30] Владимир Гнинюк - В поисках взаимопонимания ИБ и Бизнеса
[Long 14-30] Владимир Гнинюк - В поисках взаимопонимания ИБ и БизнесаUISGCON
 
подход к внедрению Dlp2
подход к внедрению Dlp2подход к внедрению Dlp2
подход к внедрению Dlp2Expolink
 
Лелюк Максим, Заместитель генерального директора «Д2 Страхование»: «ЦФТ -Стра...
Лелюк Максим, Заместитель генерального директора «Д2 Страхование»: «ЦФТ -Стра...Лелюк Максим, Заместитель генерального директора «Д2 Страхование»: «ЦФТ -Стра...
Лелюк Максим, Заместитель генерального директора «Д2 Страхование»: «ЦФТ -Стра...Банковское обозрение
 
Принципы защиты информации и метрики ИБ
Принципы защиты информации и метрики ИБПринципы защиты информации и метрики ИБ
Принципы защиты информации и метрики ИБАлександр Лысяк
 
Риски ИБ до и после облаков: что изменилось?
Риски ИБ до и после облаков: что изменилось?Риски ИБ до и после облаков: что изменилось?
Риски ИБ до и после облаков: что изменилось?Michael Kozloff
 
Как повысить результативность борьбы с фродом: опыт "Халык Банка"
Как повысить результативность борьбы с фродом: опыт "Халык Банка"Как повысить результативность борьбы с фродом: опыт "Халык Банка"
Как повысить результативность борьбы с фродом: опыт "Халык Банка"Vsevolod Shabad
 
ОТУС управление рисками - оценка
ОТУС управление рисками - оценкаОТУС управление рисками - оценка
ОТУС управление рисками - оценкаAlexei Sidorenko, CRMP
 
Подходы к безопасности программного обеспечения.
Подходы к безопасности программного обеспечения.Подходы к безопасности программного обеспечения.
Подходы к безопасности программного обеспечения.SelectedPresentations
 
Solar Security. Андрей Прозоров. "5 "почему" аутсорсинга ИБ"
Solar Security. Андрей Прозоров. "5 "почему" аутсорсинга ИБ"Solar Security. Андрей Прозоров. "5 "почему" аутсорсинга ИБ"
Solar Security. Андрей Прозоров. "5 "почему" аутсорсинга ИБ"Expolink
 
Valery Boronin on DLP Russia 2010
Valery Boronin on DLP Russia 2010Valery Boronin on DLP Russia 2010
Valery Boronin on DLP Russia 2010Valery Boronin
 
Risk Stories Seminar. XP Injection. Kiev. Ukraine
Risk Stories Seminar. XP Injection. Kiev. UkraineRisk Stories Seminar. XP Injection. Kiev. Ukraine
Risk Stories Seminar. XP Injection. Kiev. UkraineSergiy Povolyashko, PMP
 
Владимир Гнинюк - Управление Риском: Почему не работает?
Владимир Гнинюк - Управление Риском: Почему не работает?Владимир Гнинюк - Управление Риском: Почему не работает?
Владимир Гнинюк - Управление Риском: Почему не работает?UISGCON
 
Presentation IS criteria
Presentation IS criteriaPresentation IS criteria
Presentation IS criteriaa_a_a
 
Стандарты безопасности АСУ ТП и их применимость в России
Стандарты безопасности АСУ ТП и их применимость в РоссииСтандарты безопасности АСУ ТП и их применимость в России
Стандарты безопасности АСУ ТП и их применимость в РоссииAleksey Lukatskiy
 

Similar to Александр Дмитриев - Практические аспекты внедрения системы менеджмента информационной безопасности в соответствии с требованиями ISO 27001 (20)

ESET. Александр Зонов. "ESET. Просто. Удобно. Надежно"
ESET. Александр Зонов. "ESET. Просто. Удобно. Надежно"ESET. Александр Зонов. "ESET. Просто. Удобно. Надежно"
ESET. Александр Зонов. "ESET. Просто. Удобно. Надежно"
 
Как довести проект по информационной безопасности до ума
Как довести проект по информационной безопасности до умаКак довести проект по информационной безопасности до ума
Как довести проект по информационной безопасности до ума
 
7 cases of risk probality measurement
7 cases of risk probality measurement7 cases of risk probality measurement
7 cases of risk probality measurement
 
пр зачем измерять информационную безопасность (прозоров)
пр зачем измерять информационную безопасность (прозоров)пр зачем измерять информационную безопасность (прозоров)
пр зачем измерять информационную безопасность (прозоров)
 
Зачем измерять информационную безопасность
Зачем измерять информационную безопасностьЗачем измерять информационную безопасность
Зачем измерять информационную безопасность
 
[Long 14-30] Владимир Гнинюк - В поисках взаимопонимания ИБ и Бизнеса
[Long 14-30] Владимир Гнинюк - В поисках взаимопонимания ИБ и Бизнеса[Long 14-30] Владимир Гнинюк - В поисках взаимопонимания ИБ и Бизнеса
[Long 14-30] Владимир Гнинюк - В поисках взаимопонимания ИБ и Бизнеса
 
подход к внедрению Dlp2
подход к внедрению Dlp2подход к внедрению Dlp2
подход к внедрению Dlp2
 
Лелюк Максим, Заместитель генерального директора «Д2 Страхование»: «ЦФТ -Стра...
Лелюк Максим, Заместитель генерального директора «Д2 Страхование»: «ЦФТ -Стра...Лелюк Максим, Заместитель генерального директора «Д2 Страхование»: «ЦФТ -Стра...
Лелюк Максим, Заместитель генерального директора «Д2 Страхование»: «ЦФТ -Стра...
 
Принципы защиты информации и метрики ИБ
Принципы защиты информации и метрики ИБПринципы защиты информации и метрики ИБ
Принципы защиты информации и метрики ИБ
 
Риски ИБ до и после облаков: что изменилось?
Риски ИБ до и после облаков: что изменилось?Риски ИБ до и после облаков: что изменилось?
Риски ИБ до и после облаков: что изменилось?
 
Как повысить результативность борьбы с фродом: опыт "Халык Банка"
Как повысить результативность борьбы с фродом: опыт "Халык Банка"Как повысить результативность борьбы с фродом: опыт "Халык Банка"
Как повысить результативность борьбы с фродом: опыт "Халык Банка"
 
ОТУС управление рисками - оценка
ОТУС управление рисками - оценкаОТУС управление рисками - оценка
ОТУС управление рисками - оценка
 
Подходы к безопасности программного обеспечения.
Подходы к безопасности программного обеспечения.Подходы к безопасности программного обеспечения.
Подходы к безопасности программного обеспечения.
 
пр 5 почему аутсорсинга ИБ
пр 5 почему аутсорсинга ИБпр 5 почему аутсорсинга ИБ
пр 5 почему аутсорсинга ИБ
 
Solar Security. Андрей Прозоров. "5 "почему" аутсорсинга ИБ"
Solar Security. Андрей Прозоров. "5 "почему" аутсорсинга ИБ"Solar Security. Андрей Прозоров. "5 "почему" аутсорсинга ИБ"
Solar Security. Андрей Прозоров. "5 "почему" аутсорсинга ИБ"
 
Valery Boronin on DLP Russia 2010
Valery Boronin on DLP Russia 2010Valery Boronin on DLP Russia 2010
Valery Boronin on DLP Russia 2010
 
Risk Stories Seminar. XP Injection. Kiev. Ukraine
Risk Stories Seminar. XP Injection. Kiev. UkraineRisk Stories Seminar. XP Injection. Kiev. Ukraine
Risk Stories Seminar. XP Injection. Kiev. Ukraine
 
Владимир Гнинюк - Управление Риском: Почему не работает?
Владимир Гнинюк - Управление Риском: Почему не работает?Владимир Гнинюк - Управление Риском: Почему не работает?
Владимир Гнинюк - Управление Риском: Почему не работает?
 
Presentation IS criteria
Presentation IS criteriaPresentation IS criteria
Presentation IS criteria
 
Стандарты безопасности АСУ ТП и их применимость в России
Стандарты безопасности АСУ ТП и их применимость в РоссииСтандарты безопасности АСУ ТП и их применимость в России
Стандарты безопасности АСУ ТП и их применимость в России
 

More from UISGCON

Vladimir Kozak - Информационная безопасность и защита персональных данных в к...
Vladimir Kozak - Информационная безопасность и защита персональных данных в к...Vladimir Kozak - Информационная безопасность и защита персональных данных в к...
Vladimir Kozak - Информационная безопасность и защита персональных данных в к...UISGCON
 
Mikhail Kader - Можно ли обеспечить безопасность облачных вычислений? #uisgcon9
Mikhail Kader - Можно ли обеспечить безопасность облачных вычислений? #uisgcon9Mikhail Kader - Можно ли обеспечить безопасность облачных вычислений? #uisgcon9
Mikhail Kader - Можно ли обеспечить безопасность облачных вычислений? #uisgcon9UISGCON
 
Mark Arena - Cyber Threat Intelligence #uisgcon9
Mark Arena - Cyber Threat Intelligence #uisgcon9Mark Arena - Cyber Threat Intelligence #uisgcon9
Mark Arena - Cyber Threat Intelligence #uisgcon9UISGCON
 
Kimberly Zenz - Financial Options for Cyber Criminals #uisgcon9
Kimberly Zenz - Financial Options for Cyber Criminals #uisgcon9Kimberly Zenz - Financial Options for Cyber Criminals #uisgcon9
Kimberly Zenz - Financial Options for Cyber Criminals #uisgcon9UISGCON
 
Adrian Aldea - IBM X-Force 2013 Mid-Year Trend and Risk Report #uisgcon9
Adrian Aldea - IBM X-Force 2013 Mid-Year Trend and Risk Report #uisgcon9Adrian Aldea - IBM X-Force 2013 Mid-Year Trend and Risk Report #uisgcon9
Adrian Aldea - IBM X-Force 2013 Mid-Year Trend and Risk Report #uisgcon9UISGCON
 
Alex Eden - Не доверяй и проверяй
Alex Eden - Не доверяй и проверяйAlex Eden - Не доверяй и проверяй
Alex Eden - Не доверяй и проверяйUISGCON
 
Владимир Илибман - Межсетевые экраны следующего поколения. Определение и мето...
Владимир Илибман - Межсетевые экраны следующего поколения. Определение и мето...Владимир Илибман - Межсетевые экраны следующего поколения. Определение и мето...
Владимир Илибман - Межсетевые экраны следующего поколения. Определение и мето...UISGCON
 
Брудский Кузьма Ефимович - Несанкционированный доступ к персональным данным: ...
Брудский Кузьма Ефимович - Несанкционированный доступ к персональным данным: ...Брудский Кузьма Ефимович - Несанкционированный доступ к персональным данным: ...
Брудский Кузьма Ефимович - Несанкционированный доступ к персональным данным: ...UISGCON
 
Безмалый Владимир Федорович - Сервисы репутации в информационной безопасности
Безмалый Владимир Федорович - Сервисы репутации в информационной безопасности Безмалый Владимир Федорович - Сервисы репутации в информационной безопасности
Безмалый Владимир Федорович - Сервисы репутации в информационной безопасности UISGCON
 
Медведев Вячеслав Владимирович - Беззащитность участников систем дистанционно...
Медведев Вячеслав Владимирович - Беззащитность участников систем дистанционно...Медведев Вячеслав Владимирович - Беззащитность участников систем дистанционно...
Медведев Вячеслав Владимирович - Беззащитность участников систем дистанционно...UISGCON
 
Дмитрий Петращук - Аутсорсинг системы мониторинга событий информационной безо...
Дмитрий Петращук - Аутсорсинг системы мониторинга событий информационной безо...Дмитрий Петращук - Аутсорсинг системы мониторинга событий информационной безо...
Дмитрий Петращук - Аутсорсинг системы мониторинга событий информационной безо...UISGCON
 
Алексей Лукацкий - Как сформировать правильную модель сетевых угроз
Алексей Лукацкий - Как сформировать правильную модель сетевых угроз Алексей Лукацкий - Как сформировать правильную модель сетевых угроз
Алексей Лукацкий - Как сформировать правильную модель сетевых угроз UISGCON
 
Владимир Ткаченко - Эффективная программа повышения осведомленности в вопроса...
Владимир Ткаченко - Эффективная программа повышения осведомленности в вопроса...Владимир Ткаченко - Эффективная программа повышения осведомленности в вопроса...
Владимир Ткаченко - Эффективная программа повышения осведомленности в вопроса...UISGCON
 
Владимир Стыран - Пентест следующего поколения, который ваша компания не може...
Владимир Стыран - Пентест следующего поколения, который ваша компания не може...Владимир Стыран - Пентест следующего поколения, который ваша компания не може...
Владимир Стыран - Пентест следующего поколения, который ваша компания не може...UISGCON
 
Константин Корсун - Общественная организация UISG: что это и для чего?
Константин Корсун - Общественная организация UISG: что это и для чего? Константин Корсун - Общественная организация UISG: что это и для чего?
Константин Корсун - Общественная организация UISG: что это и для чего? UISGCON
 
Ajeet Singh - The FBI Overseas
Ajeet Singh - The FBI OverseasAjeet Singh - The FBI Overseas
Ajeet Singh - The FBI OverseasUISGCON
 
Short 1100 Jart Armin - The Pocket Botnet
Short 1100 Jart Armin - The Pocket BotnetShort 1100 Jart Armin - The Pocket Botnet
Short 1100 Jart Armin - The Pocket BotnetUISGCON
 
Short 11-00 Jart Armin - The Pocket Botnet
Short 11-00 Jart Armin - The Pocket BotnetShort 11-00 Jart Armin - The Pocket Botnet
Short 11-00 Jart Armin - The Pocket BotnetUISGCON
 
[Short 14-30] Владимир Илибман - Как отличить принтер от кофеварки
[Short 14-30] Владимир Илибман - Как отличить принтер от кофеварки[Short 14-30] Владимир Илибман - Как отличить принтер от кофеварки
[Short 14-30] Владимир Илибман - Как отличить принтер от кофеваркиUISGCON
 
[Short 11-30] Артем Гончар - Европейский опыт в защите персональных данных
[Short 11-30] Артем Гончар - Европейский опыт в защите персональных данных[Short 11-30] Артем Гончар - Европейский опыт в защите персональных данных
[Short 11-30] Артем Гончар - Европейский опыт в защите персональных данныхUISGCON
 

More from UISGCON (20)

Vladimir Kozak - Информационная безопасность и защита персональных данных в к...
Vladimir Kozak - Информационная безопасность и защита персональных данных в к...Vladimir Kozak - Информационная безопасность и защита персональных данных в к...
Vladimir Kozak - Информационная безопасность и защита персональных данных в к...
 
Mikhail Kader - Можно ли обеспечить безопасность облачных вычислений? #uisgcon9
Mikhail Kader - Можно ли обеспечить безопасность облачных вычислений? #uisgcon9Mikhail Kader - Можно ли обеспечить безопасность облачных вычислений? #uisgcon9
Mikhail Kader - Можно ли обеспечить безопасность облачных вычислений? #uisgcon9
 
Mark Arena - Cyber Threat Intelligence #uisgcon9
Mark Arena - Cyber Threat Intelligence #uisgcon9Mark Arena - Cyber Threat Intelligence #uisgcon9
Mark Arena - Cyber Threat Intelligence #uisgcon9
 
Kimberly Zenz - Financial Options for Cyber Criminals #uisgcon9
Kimberly Zenz - Financial Options for Cyber Criminals #uisgcon9Kimberly Zenz - Financial Options for Cyber Criminals #uisgcon9
Kimberly Zenz - Financial Options for Cyber Criminals #uisgcon9
 
Adrian Aldea - IBM X-Force 2013 Mid-Year Trend and Risk Report #uisgcon9
Adrian Aldea - IBM X-Force 2013 Mid-Year Trend and Risk Report #uisgcon9Adrian Aldea - IBM X-Force 2013 Mid-Year Trend and Risk Report #uisgcon9
Adrian Aldea - IBM X-Force 2013 Mid-Year Trend and Risk Report #uisgcon9
 
Alex Eden - Не доверяй и проверяй
Alex Eden - Не доверяй и проверяйAlex Eden - Не доверяй и проверяй
Alex Eden - Не доверяй и проверяй
 
Владимир Илибман - Межсетевые экраны следующего поколения. Определение и мето...
Владимир Илибман - Межсетевые экраны следующего поколения. Определение и мето...Владимир Илибман - Межсетевые экраны следующего поколения. Определение и мето...
Владимир Илибман - Межсетевые экраны следующего поколения. Определение и мето...
 
Брудский Кузьма Ефимович - Несанкционированный доступ к персональным данным: ...
Брудский Кузьма Ефимович - Несанкционированный доступ к персональным данным: ...Брудский Кузьма Ефимович - Несанкционированный доступ к персональным данным: ...
Брудский Кузьма Ефимович - Несанкционированный доступ к персональным данным: ...
 
Безмалый Владимир Федорович - Сервисы репутации в информационной безопасности
Безмалый Владимир Федорович - Сервисы репутации в информационной безопасности Безмалый Владимир Федорович - Сервисы репутации в информационной безопасности
Безмалый Владимир Федорович - Сервисы репутации в информационной безопасности
 
Медведев Вячеслав Владимирович - Беззащитность участников систем дистанционно...
Медведев Вячеслав Владимирович - Беззащитность участников систем дистанционно...Медведев Вячеслав Владимирович - Беззащитность участников систем дистанционно...
Медведев Вячеслав Владимирович - Беззащитность участников систем дистанционно...
 
Дмитрий Петращук - Аутсорсинг системы мониторинга событий информационной безо...
Дмитрий Петращук - Аутсорсинг системы мониторинга событий информационной безо...Дмитрий Петращук - Аутсорсинг системы мониторинга событий информационной безо...
Дмитрий Петращук - Аутсорсинг системы мониторинга событий информационной безо...
 
Алексей Лукацкий - Как сформировать правильную модель сетевых угроз
Алексей Лукацкий - Как сформировать правильную модель сетевых угроз Алексей Лукацкий - Как сформировать правильную модель сетевых угроз
Алексей Лукацкий - Как сформировать правильную модель сетевых угроз
 
Владимир Ткаченко - Эффективная программа повышения осведомленности в вопроса...
Владимир Ткаченко - Эффективная программа повышения осведомленности в вопроса...Владимир Ткаченко - Эффективная программа повышения осведомленности в вопроса...
Владимир Ткаченко - Эффективная программа повышения осведомленности в вопроса...
 
Владимир Стыран - Пентест следующего поколения, который ваша компания не може...
Владимир Стыран - Пентест следующего поколения, который ваша компания не може...Владимир Стыран - Пентест следующего поколения, который ваша компания не може...
Владимир Стыран - Пентест следующего поколения, который ваша компания не може...
 
Константин Корсун - Общественная организация UISG: что это и для чего?
Константин Корсун - Общественная организация UISG: что это и для чего? Константин Корсун - Общественная организация UISG: что это и для чего?
Константин Корсун - Общественная организация UISG: что это и для чего?
 
Ajeet Singh - The FBI Overseas
Ajeet Singh - The FBI OverseasAjeet Singh - The FBI Overseas
Ajeet Singh - The FBI Overseas
 
Short 1100 Jart Armin - The Pocket Botnet
Short 1100 Jart Armin - The Pocket BotnetShort 1100 Jart Armin - The Pocket Botnet
Short 1100 Jart Armin - The Pocket Botnet
 
Short 11-00 Jart Armin - The Pocket Botnet
Short 11-00 Jart Armin - The Pocket BotnetShort 11-00 Jart Armin - The Pocket Botnet
Short 11-00 Jart Armin - The Pocket Botnet
 
[Short 14-30] Владимир Илибман - Как отличить принтер от кофеварки
[Short 14-30] Владимир Илибман - Как отличить принтер от кофеварки[Short 14-30] Владимир Илибман - Как отличить принтер от кофеварки
[Short 14-30] Владимир Илибман - Как отличить принтер от кофеварки
 
[Short 11-30] Артем Гончар - Европейский опыт в защите персональных данных
[Short 11-30] Артем Гончар - Европейский опыт в защите персональных данных[Short 11-30] Артем Гончар - Европейский опыт в защите персональных данных
[Short 11-30] Артем Гончар - Европейский опыт в защите персональных данных
 

Александр Дмитриев - Практические аспекты внедрения системы менеджмента информационной безопасности в соответствии с требованиями ISO 27001

  • 1. Практические аспекты внедрения системы менеджмента информационной безопасности в соответствии с требованиями ISO 27001 Александр Дмитриев Lead auditor ISO/IEC 27001, BS 25999, ISO 9001 Руководитель департамента «ИТ-сервисы и безопасность» Главный редактор журнала «Das Management» TÜV SÜD Ukraine LLC 2010-12 / Dmitriev slide 1
  • 2. Защита информации vs Менеджмент информационной безопасности TÜV SÜD Ukraine LLC 2010-12 / Dmitriev slide 2
  • 3. Защита информации и менеджмент ИБ Безостановочное предупреждение рисков по Обстоятельное решение базовым направлениям ИБ текущей проблемы ИБ Менеджмент ИБ Защита информации (ISO 27001) TÜV SÜD Ukraine LLC 2010-12 / Dmitriev slide 3
  • 4. Защита информации и менеджмент ИБ ? «СУПЕР» Менеджмент ИБ (ISO 27001, ISF, CobiT, ITIL, IT-Grundschutz, NIST и др.) TÜV SÜD Ukraine LLC 2010-12 / Dmitriev slide 4
  • 5. Защита информации. Ощущение и признаки успеха • Объем проделанной работы • Установка сложных систем защиты • Количество наказанных лиц • Количество и качество устранения инцидентов • Объем и качество документов, количество рисков • Воспитание боязни к службе ИБ Офицер ИБ Подразделения TÜV SÜD Ukraine LLC 2010-12 / Dmitriev slide 5
  • 6. Менеджмент ИБ. Ощущение и признаки успеха • Обращения подразделений за помощью к ИБ • Ощутимые улучшения в документообороте • Уверенность в понимании карты рисков • Большинство инцидентов числятся в реестре рисков • Количество инцидентов прогнозируемо • Воспитание доверия (любви) Подразделения к службе ИБ Офицер ИБ TÜV SÜD Ukraine LLC 2010-12 / Dmitriev slide 6
  • 7. Практические рекомендации по определению, расчету и анализу рисков TÜV SÜD Ukraine LLC 2010-12 / Dmitriev slide 7
  • 8. Определение активов и рисков. Организация процесса Подразделение Документы Действие Руководство Стратегия и фин. план Область действия Служба «Х» Описания бизнес-процессов Подразделения в СМИБ Служба ИБ Правила определения Обучение Шаблон реестра Подразделения Таблицы частные Заполнение таблиц Служба ИБ Реестр сводный (проект) Сведение реестра Раб. группа ИБ Реестр сводный (Ц+Д) Выжимка реестра Служба ИБ Реестр сводный (К) Дополнение реестра TÜV SÜD Ukraine LLC 2010-12 / Dmitriev slide 8
  • 9. Определение активов и рисков. Вопрос количества Непростой выбор: определить все возможные риски или закрыть те, которые вижу TÜV SÜD Ukraine LLC 2010-12 / Dmitriev slide 9
  • 10. Выбор методики расчета рисков Отдельные методики расчета рисков. Частное мнение • РИСК = Балл от 1 до 10 • РИСК = ВЕРОЯТНОСТЬ * УЩЕРБ • РИСК = ВЕРОЯТНОСТЬ * (УЩЕРБ ПРЯМ. + КОСВ.) • РИСК = ВЕРОЯТНОСТЬ * УЩЕРБ * ВЕР. ОБНАРУЖ. • РИСК = Конф (1-3) * Цел (1-3) * Дост (1-3) • РИСК = MAX (Конф (1-3), Цел (1-3), Дост (1-3)) • РИСК = ВАЖН. АКТИВА (1-3) * Балл (1-3) • РИСК = ВАЖН. АКТИВА (1-3) * ВЕРОЯТНОСТЬ * УЩЕРБ TÜV SÜD Ukraine LLC 2010-12 / Dmitriev slide 10
  • 11. Выбор методики расчета рисков Формула для расчета: РИСК = ВЕРОЯТНОСТЬ * УЩЕРБ Качественная Значение риска: баллы (от 1 до 63) Ресурсы: 10 ч/д Преимущества: • Простое применение Проблемы методики: • Отсутствие вывода для экономики безопасности Количественная Значение риска: деньги (1 520 грн) Вероятность Ущерб Ресурсы: 120 ч/д (0..1) X ($$$) Преимущества: • Доказательная экономика безопасности Проблемы методики: • Сложность получения данных для Значение риска экономических расчетов TÜV SÜD Ukraine LLC 2010-12 / Dmitriev slide 11
  • 12. Расчет рисков. Выбор формулы Цель расчета: разделить риски по степени важности Минимальные требования к расчету: - Наличие вводных данных - Доверие к результату TÜV SÜD Ukraine LLC 2010-12 / Dmitriev slide 12
  • 13. Отдельные рекомендации по оценке рисков • Каждое программное средство для офицера ИБ содержит свою методику оценки рисков Вывод: перед приобретением ПО ознакомиться с методикой • Оценка риска (цифра) должна отражать его опасность Вывод: не использовать методики с искажением свойства риска Актив Описание риска Вероят- Ущерб РИСК ОБЩИЙ ность РИСК Финансовая Потеря из-за хищения отчетность конкурентами Частичная потеря из-за сбоя 1 2 2 ? компьютеров 1 3 3 Случайное удаление информации собственным 1 2 2 4 персоналом Частичная потеря (искажение) из-за проникновения вирусов 3 3 9 TÜV SÜD Ukraine LLC 2010-12 / Dmitriev slide 13
  • 14. Отдельные рекомендации по оценке рисков • Активы в реестре могут взаимно дополнять друг друга Вывод: не рекомендовано применять жесткое разделение • Ценность (важность) актива зачастую не используется Вывод: исключить ценность актива или сформулировать логику ее применения Актив Ценность Риск Вероят- Ущерб РИСК (1-3) ность (1-9) Потеря из-за хищения конкурентами Финансовая 1 2 2 отчетность 3 Частичная потеря (искажение) из-за (эл. папка) 3 3 9 ? проникновения вирусов Выход из строя из-за скачка 1 3 3 Прокси- напряжения сервер 1 Уничтожение из-за пожара ? 2 3 6 TÜV SÜD Ukraine LLC 2010-12 / Dmitriev slide 14
  • 15. Наблюдения аудитов СМИБ. Выводы. Рекомендации. TÜV SÜD Ukraine LLC 2010-12 / Dmitriev slide 15
  • 16. Результаты первичной диагностики Выборка: 18 компаний. Среднее значение по системе: 27% TÜV SÜD Ukraine LLC 2010-12 / Dmitriev slide 16
  • 17. Направления безопасности. Хит-парад несоответствий A.10.10.4 Действия системного администратора Требование: Фиксировать действия системного администратора Возможное решение: • Определить активы или действия системного администратора, необходимые для фиксации • Применять технические средства 5 TÜV SÜD Ukraine LLC 2010-12 / Dmitriev slide 17
  • 18. Направления безопасности. Хит-парад несоответствий A.9. Физическая безопасность и безопасность окружения Требование: Выполнять обслуживание согласно требованиям Возможное решение: • Уточнить собственные требования в паспортах к оборудованию 4 TÜV SÜD Ukraine LLC 2010-12 / Dmitriev slide 18
  • 19. Направления безопасности. Хит-парад несоответствий А.15 Законодательные и другие требования Требование: Выполнять нормы законодательства Украины в области информационной безопасности Возможное решение: • Создать перечень норм • Получить консультации специалистов 3 TÜV SÜD Ukraine LLC 2010-12 / Dmitriev slide 19
  • 20. Направления безопасности. Хит-парад несоответствий A.10.3.1 Менеджмент производительности Требование: Определять производительность. Не превышать запланированные мощности. Возможное решение: • Приобретать подходящие по мощности активы • Регулировать производительность 2 собственными требованиями TÜV SÜD Ukraine LLC 2010-12 / Dmitriev slide 20
  • 21. Направления безопасности. Хит-парад несоответствий A.12.1 Приобретение информационных систем Требование: Приобретение ИС осуществлять при согласовании с ИБ Возможное решение: • Определить перечень ИС и других информационных активов, требующих согласования • Включить проверку ИБ в 1 процедуру закупок TÜV SÜD Ukraine LLC 2010-12 / Dmitriev slide 21
  • 22. Наблюдения аудитов СМИБ TÜV SÜD Ukraine LLC 2010-12 / Dmitriev slide 22
  • 23. Наблюдения аудитов СМИБ Требование предприятия: Передача конфиденциальной информации сторонним лицам запрещена без разрешения Дирекции по безопасности Факт: Аудитор хочет поделиться полезной информацией с пользователями и просит дать флешку. Пользователи во многих случаях дают флешки, на которых обнаруживается информация, имеющая гриф «Конфиденциально» Вывод: Нарушено собственное требование по безопасности. Класс несоответствия: критическое (А.15.2) Возможное решение: Приобретение двух флешек, одна из которых «гостевая» TÜV SÜD Ukraine LLC 2010-12 / Dmitriev slide 23
  • 24. Наблюдения аудитов СМИБ Требование предприятия: Запрещено хранение паролей в открытом доступе. Факт: При внутреннем аудите обнаружено критическое несоответствие: сотрудник «Иванов» хранит пароли в рабочем блокноте, который хранится в столе. Вывод: Недостаточно оснований для несоответствия. Класс несоответствия: нет Рекомендовано детализировать запрет перечислениями недопустимых мест хранения. TÜV SÜD Ukraine LLC 2010-12 / Dmitriev slide 24
  • 25. Наблюдения аудитов СМИБ Требование предприятия: Вся критическая информация компании должна резервироваться. Факт: Коммерческий директор ведет базу потенциальных клиентов в таблице Excel на своем ПК и никому ее не дает. Существует подозрение на наличие несоответствия. В процедуре по резервному копированию указаны источники для резервирования всей критической информации, базы потенциальных клиентов среди них нет Вывод: Нет оснований для формулировки несоответствия. Рекомендовано дополнить реестр рисков следующим: «Потеря базы потенциальных клиентов из-за …» TÜV SÜD Ukraine LLC 2010-12 / Dmitriev slide 25
  • 26. Наблюдения аудитов СМИБ Требование предприятия: Учетная запись пользователя в ИС должна быть удалена в течении одного рабочего дня с момента его увольнения Факт: При анализе обнаружены две активные учетные записи пользователей, уволенных десять и двенадцать дней назад Вывод: Нарушено собственное требование по безопасности. Класс несоответствия: критическое (А.8.3). Предприятию необходимы данные учетные записи для доступа к информации в течении месяца Возможное решение: Рекомендовано изменить требование с одного до тридцати дней TÜV SÜD Ukraine LLC 2010-12 / Dmitriev slide 26
  • 27. Наблюдения аудитов СМИБ Требование предприятия: Хранить информацию о выпуске продукции, в т.ч. электронные журналы ИС, в течении пяти лет с момента производства Факт: Произошла замена сервера, на котором хранятся логи. Данные по выпуску продукции за 2010 год отсутствуют. Информация также есть в бумажном виде Вывод: Нарушено собственное требование по безопасности. Класс несоответствия: некритическое (А.15.1.3) Возможное решение: Рекомендовано пересмотреть требования или ввести процедуру резервирования логов TÜV SÜD Ukraine LLC 2010-12 / Dmitriev slide 27
  • 28. Позитивные и негативные примеры внедрения процессов СМИБ TÜV SÜD Ukraine LLC 2010-12 / Dmitriev slide 28
  • 29. Поддержка документации СМИБ. Хит-парад негатива 1. Документы СМИБ противоречат действительности (на будущее) Пример: «Логи безопасности архивируются на сервере СМИБ», при этом сервер только в планах приобретения 2. В многих случаях употребляются общие фразы Пример: «Действия системного администратора фиксируются в журнале» 3. Документы СМИБ противоречат другим нормам компании Пример: процедура «Перемещение материальных активов» запрещает вынос флешек, при этом процедура «Сменные носители» позволяет 4. Формы документов противоречат требованиям компании по оформлению Примеры: процедуры именуют политиками, разделы процедуры не соответствуют внутреннему стандарту TÜV SÜD Ukraine LLC 2010-12 / Dmitriev slide 29
  • 30. Поддержка документации СМИБ. Хит-парад позитива 1. Требования СМИБ максимально удобны для пользователя Пример: Большинство пользователей имеют единый сводный документ с перечнем требований к ним. Требования проиллюстрированы 2. Документы СМИБ минимальны по объему Пример: Всего около 20 документов. Объем документа не превышает 4 страниц 3. Все документы СМИБ размещены в эл. виде Пример: Утвержденные копии документов размещены в папках с распределением доступа 4. Значительная часть документов СМИБ не разрабатывалась, использовались существующие документы Пример: Требования по персоналу дополнены в существующую процедуру «Управление персоналом» TÜV SÜD Ukraine LLC 2010-12 / Dmitriev slide 30
  • 31. Приобретение активов. Хит-парад негатива 1. Служба ИБ не может получить право на участие в процессе закупки Пример: Руководство считает службу ИБ лишним звеном в процессе 2. Не определен четкий перечень активов, которые необходимо оценивать Пример: Шкафы для архива приобретены, но отсутствуют замки, которые оказались необходимыми. Служба ИБ увидела в этом нарушение. Служба закупок не посчитала необходимым сообщать, т.к. шкафы, по их мнению, не информационные активы. 3. Оценка проводится формально из-за отсутствия ресурсов Пример: Мощность закупленного сервера оказалась крайне недостаточной. При закупке сервера служба ИБ формально поставила согласие на листе закупки. 4. Превышены желания службы ИБ в процессе закупки Пример: Служба ИБ запрещает в рамках служебной записки приобретать «1С- Предприятие» из-за наличия многих рисков TÜV SÜD Ukraine LLC 2010-12 / Dmitriev slide 31
  • 32. Приобретение активов. Хит-парад позитива 1. Процесс закупки максимально логичен и автоматизирован Пример: ИС компании автоматически информирует службу ИБ о заявке на приобретение, руководство может одобрить покупку только после заполнения поля с рекомендациями 2. На большую часть активов разработаны требования (стандарт компании) Пример: При приобретении планшетов служба ИТ самостоятельно без согласования с ИБ приобретает дополнительные планшеты, полностью соответствующие требованиям по операционной системе, объеме памяти и др. 3. Существует отдельный процесс закупки по критичным активам Пример: Для определенного перечня активов проводится детальное исследование службой ИБ с целью определить соответствие потребностям бизнеса, риски, непредвиденные расходы. TÜV SÜD Ukraine LLC 2010-12 / Dmitriev slide 32
  • 33. Менеджмент информационной безопасности Объем работ по внедрению СМИБ (ISO 27001) зависит только от Вас! TÜV SÜD Ukraine LLC 2010-12 / Dmitriev slide 33
  • 34. Менеджмент информационной безопасности Объем работ по внедрению СМИБ (ISO 27001) зависит только от Вас! Основные причины, Максимальные Минимальные Влияние на влияющие на объем ресурсы ресурсы объем работ работ Область действия Все предприятие Отдельные площадки $$ Все продукты Отдельные продукты Количество активов 300-1000 10-80 $$ Количество рисков 500-3000 20-100 $$$ Количество и объем 80-100 процедур и 20-30 процедур и $$$ требований журналов журналов  100-2000 ч/д  30-50 ч/д TÜV SÜD Ukraine LLC 2010-12 / Dmitriev slide 34
  • 35. Анализ применения программных средств для поддержки СМИБ в соответствии с требованиями ISO/IEC 27001. Для самостоятельного ознакомления TÜV SÜD Ukraine LLC 2010-12 / Dmitriev slide 35
  • 36. ПО для системы менеджмента ИБ • EXCEL • Собственное ПО • DS Office, Россия • ИСОратник, Украина • GSTOOL, Германия • RMstudio, Англия TÜV SÜD Ukraine LLC 2010-12 / Dmitriev slide 36
  • 37. ПО для системы менеджмента ИБ Выбор потребителя TÜV SÜD Ukraine LLC 2010-12 / Dmitriev slide 37
  • 38. ПО для системы менеджмента ИБ Отдельные характеристики программного обеспечения Программный продукт Русификация Каталоги Стоимость, активов и категория рисков EXCEL ДА НЕТ $ DS Office, Россия ДА ДА $$$$ Собственное ПО ДА НЕТ $$$$$ ИСОратник, Украина ДА НЕТ $$ RMStudio, Англия НЕТ ДА $$$ GSTOOL, Германия НЕТ ДА $$$$$ TÜV SÜD Ukraine LLC 2010-12 / Dmitriev slide 38
  • 39. ПО для системы менеджмента ИБ Базовые процессы автоматизации Процесс Кол-во предприятий Ведение реестра активов и рисков 27 Оценка рисков. Создание отчетов о рисках 23 Управление документацией СМИБ 15 Управление аудитами СМИБ 7 Инструктажи. Осведомленность персонала 4 Бюджетирование 1 TÜV SÜD Ukraine LLC 2010-12 / Dmitriev slide 39
  • 40. Большое спасибо! Задавайте вопросы … Александр Дмитриев +38 050 419 69 11 Alexander.Dmitriev@tuv-sud.com.ua TÜV SÜD Ukraine LLC 2010-12 / Dmitriev slide 40