2. ВСТУП ТА МЕТА РОБОТИ
Cистема управління інформаційною безпекою (СУІБ) — частина загальної
системи управління, яка ґрунтується на підході, що враховує бізнес-ризики,
призначена для розроблення, впровадження, функціонування, моніторингу,
перегляду, підтримування та вдосконалення інформаційної безпеки (ІБ).
Метою докладу є проведення аналізу міжнародного стандарту ISO 27003 ISO/
IEC 27003:2010 «Інформаційні технології. Методи забезпечення безпеки.
Керівництво з впровадження системи управління інформаційної безпеки» та
визначення переваг його використання в корпоративних інформаційних системах.
3. РОЗПОВСЮДЖЕНІСТЬ МІЖНАРОДНИХ СТАНДАРТІВ В
ГАЛУЗІ УПРАВЛІННЯ ІНФОРМАЦІЙНОЮ БЕЗПЕКОЮ
China —
Manama
Hong Kong —
India —
— —
Turkey —
U. A. E. —
Широко розповсюджені
Розповсюджені
Не розповсюджені
4. МІЖНАРОДНА СТАНДАРТИЗАЦІЯ В ГАЛУЗІ ІБ
ISO/IEC 27000:2009 Інформаційні технології - Засоби забезпечення безпеки - Управління ІБ - Короткий
огляд і словник
ISO/IEC ISO/IEC 27001:2005 Інформаційні технології - Засоби забезпечення безпеки -
27005:2008 Системи управління ІБ - Вимоги
Інформаційні
технології -
ISO/IEC 27002:2005 Інформаційні технології - Засоби
Засоби
забезпечення безпеки - Звід практики для управління
забезпечення
ІБ (раніше ISO / IEC 17799:2005)
безпеки -
Ризик-
менеджмент ІБ ISO/IEC 27003:2010 Методи і засоби забезпечення безпеки - Системи управління ІБ
- Керівництво по реалізації системи управління ІБ
ISO/IEC 27004:2009 Інформаційні технології - Засоби забезпечення безпеки -
Вимірювання в управлінні ІБ
ISO/IEC 27006:2007 Інформаційні технології - Засоби забезпечення безпеки - Вимоги для органів, що
виконують аудит та сертифікацію систем управління ІБ
ISO/IEC 27007:2011 Інформаційні технології - Методи забезпечення безпеки - Настанови щодо
аудиту ІБ системи управління
ISO/IEC 27011:2008 Інформаційні технології - Засоби забезпечення безпеки - Настанови щодо
управління ІБ для телекомунікацій
ISO/IEC 27031:2011 Інформаційні технології - Методи забезпечення безпеки - Настанови щодо інформаційно-
комунікаційних технологій готовність до безперервності бізнесу
5. ISO/IEC 27003:2010
ДУМКА ЕКСПЕРТІВ
За допомогою ISO / IEC 27003:2010,
організація зможе розробити процес
Професор Едвард Хамфрі управління інформаційною безпекою, що
(Edward Humphreys) – дає зацікавленим сторонам впевненість у тому,
керівник робочої групи, що рівні ризиків для інформаційних активів
яка розробила стандарт будуть постійно
підтримуватися в допустимих межах,
встановлених організацією.
6. ISO/IEC 27003:2010
ЗАГАЛЬНІ ВІДОМОСТІ
надання практичної допомоги при реалізації СУІБ у
МЕТА СТАНДАРТУ межах організації відповідно до ISO/IEC 27001:2005
(реалізація СУІБ виконана у вигляді проекту)
v призначений для використання у корпоративних
системах, що впроваджують СУІБ;
МІЖНАРОДНИЙ
СТАНДАРТ v застосовується організаціями всіх типів і розмірів
(наприклад, комерційними підприємствами,
державними органами, некомерційними
організаціями).
7. ISO/IEC 27003:2010
ЗАГАЛЬНІ ВІДОМОСТІ
v фокусується на критичних аспектах, необхідних для
успішного проектування та впровадження СУІБ
відповідно до ISO/IEC 27001:2005;
v описує процес специфікації та проектування СУІБ з
моменту початку проектування до подання планів
МІЖНАРОДНИЙ впровадження системи;
СТАНДАРТ
v описує процес отримання затвердження з боку
керівництва впровадження СУІБ;
v визначає проект впровадження СУІБ;
v забезпечує керівництво планом проекту СУІБ.
9. ISO/IEC 27003:2010
ФАЗИ ПЛАНУВАННЯ ПРОЕКТУ СУІБ
Отримання Визначення Проведення
схвалення області дії, Проведення оцінки ризиків
Розробка
керівництва меж та аналізу та планування
системи СУІБ
для політики вимог ІБ обробки
запуску СУІБ СУІБ ризиків
Письмове
Схвалення Область Вимоги ІБ Кінцевий план
оповіщення про
керівництва для застосування та впровадження
ухвалу
запуску СУІБ межі СУІБ СУІБ
Інформаційні керівництва
активи застосування
СУІБ
Політика СУІБ
Результати оцінки План обробки
ІБ ризиків
Декларація про
застосовність,
включаючи мету
та вибрані засоби
управління
ШКАЛА ЧАСУ
10. ISO/IEC 27003:2010
ЩОДО ПРОЦЕСУ УПРАВЛІННЯ РИЗИКАМИ ІБ
Аналіз ресурсів СУІБ
Оцінка ризиків
План оброблення ризиків
Прийняття залишкових ризиків
Підтримка та
Впровадження плану ПЛАНУВАННЯ покращення процесу
оброблення ризиків управління ризиками ІБ
ВИКОНАННЯ ДІЯ
ПЕРЕВІРКА
Постійний моніторинг
та перегляд ризиків
11. ISO/IEC 27003:2010
ДЕ ЗАСТОСОВУЄТЬСЯ В УКРАЇНІ?
Департамент інформатизації Національного банку України розробив
Методичні рекомендації щодо впровадження системи управління інформаційною
безпекою та методики оцінки ризиків відповідно до стандартів Національного
банку України (прийнятий 03.03.2011).
Ці Методичні рекомендації щодо впровадження СУІБ розроблені на
основі міжнародного стандарту ISO/IEC 27003:2010 з
урахуванням особливостей банківської діяльності,
стандартів та вимог Національного банку України
з питань ІБ.
12. ISO/IEC 27003:2010
ПЕРЕВАГИ ЗАСТОСУВАННЯ В ПРАКТИЦІ
КОРПОРАТИВНИХ ІНФОРМАЦІЙНИХ СИСТЕМ
v оптимізувати вартість побудови та підтримання
системи ІБ;
v постійно відслідковувати та оцінювати ризики з
урахуванням цілій бізнесу;
v ефективно виявляти найбільш критичні ризики та
знижати ймовірність їх реалізації;
ЗАСТОСУВАННЯ v розробити ефективну політику ІБ;
МІЖНАРОДНОГО
v ефективно розробляти, впроваджувати та тестувати
СТАНДАРТУ
ДОЗВОЛИТЬ плани відновлення бізнесу;
v забезпечити розуміння питань ІБ керівництвом
та всіма працівниками підприємств, де впроваджується
СУІБ;
v забезпечити підвищення репутації та ринкової
привабливості підприємств;
