Информационная безопасность банка 3.0: Повышение эффективности в условиях эко...
Требования ISO к защите информации и украинские реали. Оценка защищенности информационных систем и процессов, наибольшие уязвимости.
1. Применение международных
стандартов в области
информационной безопасности.
Украинские реалии.
Владимир Ткаченко, CISA, CISSP,
Certified ISO 27001 Lead Auditor/ Certified ISO 27001 Lead
Implementer
Директор ООО «Агентство активного аудита»
2. 23.02.2015
Влияние нормативных и
регуляторных требований
Sarbanes- Oxley Act of 2002,
North American Electric Reliability
Corp./ Federal Energy Regulatory
Commission – Critical
Infrastructure Protection, Federal
Information Security management
Act
Basel II: International
Convergence of
Capital Measurement
and Capital
Standards: a Revised
Framework
Национальный банк
Украины
СОУ Н НБУ 65.1
СУИБ 1.0:2010
Directive 95/46 of the European
Parliament and the Council of 24
October 1995
Вопросы защиты ПДн при их
обработке, обмене и хранении в
странах-членах ЕС
Определить роли и обязанности по управлению уязвимостями
Идентифицировать ресурсы с помощью которых осуществлять процесс (коммерческое или бесплатное ПО, или оборудование)
Определить временные критерии оповещения и реакции на них
Оценить риск и предложить план действий по его обработке
Применить запланированные действия в соответствии с процессом управления изменениями или инцидентами
Если доступно обновление, протестировать его и оценить последствия его внедрения
Необходимо документировать весь процесс исправления уязвимости
Осуществлять постоянный мониторинг состояния уязвимости (в первую очередь для критических систем)
Разработать программу аудита СУИБ (цели согласно ISO 27001, реальных рисков (а где их брать?!), по результатам оценки эффективности или соответствие положениям требований безопасности)
Ограничить область аудита (что будет и не будет проверяться)
Определить риски аудита (что может быть не выявлено, и что принимать в качестве доказательства или не принимать)
Определить ресурсы для проведения аудита
Внедрить программу аудита (цели, область, методы ,команда, способы контроля)
Провести аудит (в основном применяются требования 19011:2011)