SlideShare a Scribd company logo

PERSICON consultancy - Basics and methodology BSI IT-Grundschutz

M
Michail Harwardt

Basics and methodology BSI IT-Grundschutz in Russian.

1 of 57
BSI IT-GRUNDSCHUTZ Cтандард по защитe информационных технологий в Германии
Михаил Гарвардт  Бакалавр по специальности „Security Management“ (Управление безопасностью)  Учёба на мастера „Security Management“ в специальном высшем учебном заведению Бранденбурга  Консультант по информационной безопасности, внедрению и тестированию безопасности  Начинающий аудитор по ISO 27001 на основе ИТ (информационной технологии) и мер защиты  Преподаватель Института экономики и права (HWR)  Контакт: – Адресс електронной почты: mharwardt@persicon.com 2 BSI IT-Grundschutz
PERSICON группе  PERSICON - это группа специализированных консалтинговых и аудиторских фирм в области информационной безопасности, соблюдения и защиты данных.  Фокусировка консультаций в среде ревизии, ИТ-права и -менеджмента.  Главное бюро в Берлине, а также во Франкфурте-на-Майне и Мюнхене. Берлин Франкфурт ИТ-право ам Маин ИТ-менеджмент Мюнхен ревизия 3 BSI IT-Grundschutz
Приоритеты обслуживания Наши приоритеты включают в себя следующие:  Консультированиe, тестированиe и сертификация информационной безопасности и защиты данных  Положение производственного или официального уполномоченного по защите данных  Создание концепция безопасности и проведения анализов риска  Дизайн, документациа и проверка систем внутреннего контроля  Консультации по достоверности аутсорсинговых процессов  Консультирование по вопросам управления чрезвычайных ситуаций  Обучение уполномоченных лиц по безопасности и защите информационных данных 4 BSI IT-Grundschutz
Рекомендации (фрагмент) Приватный сектор Общественный сектор  Deutsche Post  Федеральное министерство финансов  Deutsche Telekom (BMF)  Pfizer  Федеральное министерство внутренних  E.ON, RWE дел (BMI) / Федеральная академия государственного управления (BAköV)  Media-Saturn  Федеральное министерство  Bertelsmann экономического сотрудничества и  HOCHTIEF развития (BMZ)  MAN Nutzfahrzeuge  Федеральное ведомство по  Talanx Versicherungsgruppe/HDI Gerling информационной безопасности (BSI)  VHV Versicherungen  Различные провинциальные  Rolls Royce Mинистерствa и ведомствa из  Microsoft Баварии, Саксонии, Бранденбургa, Тюри нгии, Саксонии-Анхальт и Рейнланд- Пфальц 5 BSI IT-Grundschutz
Проeкты федерального ведомства по информационной безопасности (BSI) PERSICON поддерживает BSI в течение многих лет, постоянo развивая стандарты безопасности и программного обеспечения. Oни включают в себя следующие проекты:  Стратегическая концепция развития безопасных ИТ-продуктов от BSI  Создание модуля "Windows Server 2003" и „Client под Windows 7" для BSI руководствa по основным мерам защиты  Развитие BSI GSTOOL в версии 4,9 и 5,0, а также 6 BSI IT-Grundschutz
Обзор 1. Вступление 2. Структура по руководству базовой зашиты 3. ИТ-каталоги 4. ИТ-стандарты 5. Oбобщение 7 BSI IT-Grundschutz
Национальный стандарт BSI основная защита информационных технологий 8 BSI IT-Grundschutz
Федеральное ведомство по информационной безопасности (BSI)  Центральная национальная организация по вопросам безопасности в информационном обществе  Основана в 1991 году, как национальный орган по ИТ-безопасности  Местоположение: Бонн 9 BSI IT-Grundschutz
BSI основная защита ит (1)  Федеральное ведомство по информационной безопасности (BSI)  Признанный и известный стандарт в Германии  Справочное пособие и модель образа действий  Контрольные цели: – доступность – целостность – конфиденциальность  Сертифицируемый стандарт 10 BSI IT-Grundschutz
BSI oсновное руководство защиты ит (1) До 2004 года С октября 2005  Собрание папок  BSI стандарты – 100-1/2/3/4  BSI руководство по основным мерам защиты – модули и каталоги 11 BSI IT-Grundschutz
BSI oсновное руководство защиты ИТ (2)  Стандартные меры безопасности для типичных ИТ-архитектур  Персональные, технические, организационные и инфраструктурные аспекты  Первоначальное отсутствие деталированного и подробного анализа риска  Категории защиты: Требования защиты – нормальный – высокий Уровень безопасности – очень высокий очень высокий  Цели защиты: высокий – доступность – целостность нормальный – конфиденциальность Аспект безопасности 12 BSI IT-Grundschutz
Определение требований для защиты Пример:  нормальный – финансовое повреждение меньше чем 50.000 € евро или – время простоя более чем 24 часа.  высокий – финансовое повреждение лежит между 50.000 и 500.000 € евро или – время простоя не может превышать 24 часа.  очень высокий – финансовое повреждение составляет больше чем 500.000 € евро или – простои более 2 часов не могут допускаться. 13 BSI IT-Grundschutz
Определение целей защиты  Конфиденциальность – доступ только для зарегистрированных пользователей  Доступность – в нужное время, в нужном месте  Целостность – нет несанкционированного изменения (подлинность) 14 BSI IT-Grundschutz
Структура ИТ-руководства и основных мер защиты  Основные каталоги защиты – описание блоков, угроз и мер  100-1: Системы менеджмента для информационной безопасности – требования к системе и её управлению  100-2: Образ действий и подход к основным (базовым) мерам защиты – практическая реализация стандарта 100-1  100-3: Анализ риска на базе основной защиты ИТ – создание анализа риска для специальных систем и процессов  100-4: Менеджмент и управление при чрезвычайныx обстоятельстваx – Business Continuity Management 15 BSI IT-Grundschutz
Каталоги по руководству защиты информационных технологий 16 BSI IT-Grundschutz
Модульный принцип Каталоги Организация модуль = угрозы + меры 17 BSI IT-Grundschutz
Модули (1)  Каждый модуль содержит: – краткое описание рассматриваемых компонентов, образов, действий и ИТ-систем – перечень угроз в области безопасности, а также рекомендацию мер по их предотвращению  Все модули сгруппированы по их основе и мере защиты в следующих каталогах: – B 1: Решающие аспекты информационной безопасности – B 2: Безопасность и надежность инфраструктуры – B 3: Безопасность и надежность ИТ-систем – B 4: Безопасность и надежность ИТ-сетей – B 5: Безопасность и надежность приложений 18 BSI IT-Grundschutz
Модули (2) B 1: Решающие аспекты безопасности 16 B 2: Надежность инфраструктуры 12 B 3: Надежность ИТ-систем 23 B 4: Надежность ИТ-сетей 7 B 5: Надежность приложений 16 Всего 74 19 BSI IT-Grundschutz
Каталоги угроз (1)  Приводит подробное описание рискa и определениe правильного уровня угрозы.  Угрозы сгруппированы в пяти каталогах: – G 1: Форс-мажор (высшая сила) – G 2: Организационные дефекты – G 3: Неправильные или ошибочные действия персонала – G 4: Tехнический сбой – G 5: Умышленные или преднамеренные действия 20 BSI IT-Grundschutz
Каталоги угроз (2) G 1: Форс-мажор (высшая сила) 17 G 2: Организационные дефекты 140 G 3: Неправильные действия персонала 92 G 4: : Tехнический сбой 71 G 5: Умышленные действия 145 Всего 465 21 BSI IT-Grundschutz
Каталоги мер (1)  Описывает основные меры по защите информационных технологий  Все меры сгруппированны в 6 каталогах: – M 1: Инфраструктура – M 2: Организация – M 3: Персонал – M 4: Аппаратура и программное обеспечение – M 5: Коммуникация – M 6: Готовность к чрезвычайным ситуациям 22 BSI IT-Grundschutz
Каталоги мер (2) M1 Инфраструктура 69 M2 Организация 430 M3 Персонал 66 M4 Аппаратура и программное обеспечение 324 M5 Коммуникация 150 M6 Готовность к чрезвычайным ситуациям 109 Всего 1148 23 BSI IT-Grundschutz
Стандарт основной защиты Стандарт 100-1 24 BSI IT-Grundschutz
Стандарт 100-1 Обзор глав: 1. Введение 2. Введение в информационную безопасность 3. Oпределение и описание процесса 4. Принципы управления 5. Ресурсы для информационной безопасности 6. Вовлечение сотрудников в процесс обеспечения безопасности 7. Процесс информационной безопасности 8. Создание концепции безопасности 9. Основые меры защиты 25 BSI IT-Grundschutz
Стандарт 100-1  BSI 100-1 является редакционно переработанным руководством из стандарта ISO 27001 Темы:  Описание процесса и модели цикла  Управление принципов  Планирование и предоставление ресурсов  Вовлечение работников (обязательства, обучение, и.т.д.)  Внедрение процесса безопасности  Руководство по информационной безопасности, описание целей и стратегий для их реализации  Оперативное проведение и контроль информационной безопасности 26 BSI IT-Grundschutz
Стандарт 100-1 2. Введение в информационную безопасность  Обзор значительных стандартов по информационной безопасности – ISO 27000 – ISO 27001 – ISO 27002 – ISO 27005 – ISO 27006 – ISO 2700x  Каталоги и руководство по основным мерам защиты  Дополнительные стандарты – COBIT (Control Objectives for Information and Related Technology) – ITIL (IT Infrastructure Library) 27 BSI IT-Grundschutz
Стандарт 100-1 Каталоги и руководство по основным мерам защиты Каталоги базовой защиты и ИТ: Глава 1: Введение Глава 2: Слой модели и моделирование Глава 3: Глоссарий Глава 4: Роли Каталог модулей: Слой B1: решающие аспекты безопасности Слой B2: инфраструктура Слой B3: ИТ-системы Слой B4: ИТ-сети Слой B5: приложения Каталог всевозможных угроз Каталог всевозможных мер 28 BSI IT-Grundschutz
Стандарт 100-1 3. Определение и описание процесса Безопасность процесса  Принципы управления  Ресурсы  Персонал  Безопасность процесса Ресурсы ISMS Персонал Цикл информационной безопасности  Планирование и концепция  Приобретение (в случае необходимости) Принципы управления  Преобразование  Эксплуатация  Удаление (в случае необходимости)  Меры в крайнем случае 29 BSI IT-Grundschutz
Стандарт 100-1 PDCA-цикл 8. Концепт безопасности Концепция по охране и безопасности включает не только документы, но и документирование всех результатов, а также достижение определенного уровня защиты. Образ действий:  Определение объектов и целей для защиты  Анализ угроз и представление возможных сценарий  Анализ вероятности потенциального повреждения  Разработка мер по сокращению вероятности входа / размера ущерба  Предоставление средств и планирование мер по борьбe с повреждениями и предотвращением ущерба  Анализ собственного риска, согласование и утверждение остаточного риска 30 BSI IT-Grundschutz
Цикл концепции безопасности [PDCA-цикл] Планирование/проектирование Осуществление (P) (D) • Выбор метода для оценки риска • План осуществления и реализации концепции • Классификация рисков или повреждения безопасности • Оценка риска • Осуществление и преобразование мер по • Разработка стратегии в обращении с риском обеспечению безопасности • Выбор мер безопасности • Мониторинг и контроль реализации • Компилирование мер к предусмотрительности в случаии чрезвычайныx ситуаций • Обучение и повышение осведомленности (сенсибилизация) Оптимизация/улучшение Успех управления/контроль (A) (C) • Устранение неисправностей • Обнаружение инцидентов в области безопасности • Улучшение мер безопасности • Проверка соблюдений правил и требований • Обзор адекватности и эффективности мер безопасности • Доклады менеджмента 31 BSI IT-Grundschutz
Концепция безопасности Инициирование процесса по обеспечению безопасности Создание политики информационной безопасности и осуществление управления информационной безопасностью Разработка концепции безопасности Осуществление Реализация отсутствующих мер в области инфраструктуры, организации, персонала, технологий, коммуникации и готовности к чрезвычайным ситуациям - в частности: сенсибилизация и обучениe по вопросам информационной безопасности Поддерживание и постоянное обслуживание в процессе эксплуатации 32 BSI IT-Grundschutz
Стандарт основной защиты Стандарт 100-2 33 BSI IT-Grundschutz
Стандарт 100-2 Обзор глав: 1. Введение 2. Управление информационной безопасностью с основными мерами защиты ИТ 3. Инициирование процесса обеспечения безопасности 4. Создание концепции безопасности по основным мерам защиты ИТ 5. Осуществление концепции безопасности 6. Техническое обслуживание и постоянное совершенствование информационной безопасности 7. Сертификация по ISO 27001 на базе основных мер защиты ИТ 8. Приложение 34 BSI IT-Grundschutz
Инициирование процесса обеспечения безопасности Последовательность Ответственность управления Планирование Создание руководства по информационной безопасности Создание организации по информационной безопасности Предоставление и oбеспечение ресурсов Вовлечение всех сотрудников 35 BSI IT-Grundschutz
Структурный анализ  Ограничение рассматриваеммой информационной сети и структуры  Для создания концепции безопасности, необходимо проанализировать структуру информационной сети и как можно точнee продокументировать.  Результат представляет собой список всех: • помещений и зданий • ИТ-систем, приложений и видов информации • участники (пользователи, администраторы и т. д.) • коммуникационные сети и организационные правила • подробный и сгруппированний план всей информационной структуры  Группировка для улучшения чёткости 36 BSI IT-Grundschutz
Критерии группировки ИТ-систем Компоненты могут быть отнесены к той же группе, если компоненты:  того же типа,  одинаково сконфигурированы,  подключены к той же сети (например Switch),  находятся в ведении равных и общеадминистративных и инфраструктурных условиях  используют те же приложения или  имеют одинаковый уровень защиты. 37 BSI IT-Grundschutz
Документация и сбор групп  Учет групп следует за соответствующей схемой типа объекта группируемых объектов.  Например: группа компьютеров охватывается как (один) компьютер.  Все соответствующие сведения передаются при этом на всю группу. 38 BSI IT-Grundschutz
39 BSI IT-Grundschutz
40 BSI IT-Grundschutz
Требования к защите (1)  Установка и документация категорий уровня защиты для ранее определенных объектов (формирование структуры)  Категории защиты: – нормальный: влияниe повреждений ограничено и обозримо – высокий: влияние повреждений могут быть существенным – очень высокий: влияние повреждений может достичь катастрофических или угрожающих размеров  Цели защиты : – доступность – целостность – конфиденциальность 41 BSI IT-Grundschutz
Требования к защите (2)  Категории защиты: нормальный – высокий – очень высокий 1. Уровень защиты 3. Уровень защиты приложений и соединений информации 2. Уровень защиты 4. Уровень защиты 5. Уровень защиты ИТ-систем помещений здания 42 BSI IT-Grundschutz
Моделирование  Применение обязательных модулей (например, такие аспекты, как общий план действий в чрезвычайных случаях, также как и защитный менеджмент).  Изображение модулей на объектах из структурного анализа.  Альтернативa, использованиe дополнительных инструментов для моделирования.  Объекты, которые недостаточно моделированы, могут быть отмечены для дополнительного анализа.  Моделирование основной защиты результатом моделирования является список мер безопасности, который будет осуществляться (цель). 43 BSI IT-Grundschutz
Базовая проверка безопасности  Базовая проверка безопасности - это основная проверка безопасности по сравнению с фактическим положением.  Результатом моделирования является список мер, которыe должны быть использованы.  Проведение интервью по итогам реализации всех мер безопасности.  Краткий обзор уже (на данный момент) существующего уровня защиты. 44 BSI IT-Grundschutz
Дополнительный анализ защиты  При высоком или очень высоком уровне защиты.  При наличии дополнительного анализа.  Для аспектов и целей, у которых в основном руководстве защиты никакого модуля ещё не существует. Описание и медодика анализа риска в стандарте 100-3. 45 BSI IT-Grundschutz
Консолидация и преобразование мер  Последовательное осуществление защитных мер с помощью проектирования и анализа определённых дополнительных мер по мере необходимости.  Экспертиза с целью обеспечения качества. 46 BSI IT-Grundschutz
Поддержка и постоянное улучшение  Периодическая проверка эффективности и действенности используемых мер.  Обзор и оценка показателей по управлению.  Внутренние аудиты. 47 BSI IT-Grundschutz
Стандарт основной защиты Стандарт 100-3 48 BSI IT-Grundschutz
Дополнительный анализ защиты Критерии: 1. Tребование защиты считаются высокими или очень высокими. 2. В руководстве по основным мерам защиты нет никах предусмотренных или подходящих модулей. 3. Данные объекты пока не предусмaтривались в рамках основной защиты информационных технологий.  Проведение анализа риска 49 BSI IT-Grundschutz
Дополнительный анализ защиты определение требования защиты нормальный Уровень защиты руководство по основным мерам защиты высокий дополнительный очень высокий анализ защиты меры защиты консолидирование мер 50 BSI IT-Grundschutz
Анализ риска Последовательность Создание обзора всех угроз Определение дополнительных мер Оценка и рейтинг всех угроз Выбор мер и методики для обработки риска и угроз Консолидация мер и возвращение в общий процесс 51 BSI IT-Grundschutz
Дополнительный анализ защиты Инициализация процесса защиты Изображение: интеграция анализа риска в процесс защиты Постаянная поддержка процесса Построение структуры Установление Информационный поток Проверка и контроль требования защиты Обзор угроз Сертификация Моделирование Дополнительние угрозы Основной анализ Оценка угроз Дополнительный анализ Выбор мер и методики Реализация Консолидация мер и устранение угроз Базовая защита Анализ риска 52 BSI IT-Grundschutz
Заключение 53 BSI IT-Grundschutz
Основная методика защиты и процесс сертификации Последовательность Шаг 1 Шаг 2 1. Oграничение информационной сети 7. Аудит - Сертификационный аудит. 2. Структурный анализ Уполномоченный аудитор не участвует - полный и всеобщий учёт в подготовке аудита. информационной сети - группировка - создание плана сети Шаг 3 3. Определение уровня защиты 8. Сертификация 4. Анализ базовой защиты - Сертификация по национальному - моделирование по меркам базовой стандарту „BSI IT-Grundschutz“ на защиты основе интернационального стандартa - проверка правильности и наличия ISO 27001. уровня защиты - целевое и данное сравнение 5. Дополнительный анализ защиты - при высоком и очень высоком наличии Шаг 4 - дополнительный анализ потребностей 9. Ежегодные проверки (аудит). 6. Осуществление - консолидация и объединение мер 10. Повторная сертификация каждые три - oсуществление плана года. 54 BSI IT-Grundschutz
Создание концепции безопасности временное планирование Структурный анализ (1-3 месяцев) Определение уровня защиты (минимально 1 месяц) Моделирование и базовая проверка (6 месяцев) Планирование осуществляемых мер и реализация (от 6 месяцев до 1 года) Дополнительный анализ и реализации мер (от 2 до 4 месяцев)  Фактическое время проекта всегда индивидуально и может при необходимости Аудит отклоняться от запланированного. (от 2 до 3 месяцев)  Данные периоды показаны только для разъяснения приоритетов! 55 BSI IT-Grundschutz
Мы с удовольствием ответим на все унтересующие Вас вопросы! 56 BSI IT-Grundschutz
Спасибо за Ваше внимание! Михаил Гарвардт mharwardt@persicon.com Фридрихштрасе 188 | 10117 Берлин www.persicon.com _________________________________ Michail Harwardt mharwardt@persion.com Friedrichstraße 188 | 10117 Berlin www.persicon.com 57 BSI IT-Grundschutz

Recommended

иб
ибиб
иб
mitta21
 
Архитектура и стратегия информационной безопасности Cisco
Архитектура и стратегия информационной безопасности CiscoАрхитектура и стратегия информационной безопасности Cisco
Архитектура и стратегия информационной безопасности CiscoCisco Russia
 
Значимость интегрированной безопасности
Значимость интегрированной безопасностиЗначимость интегрированной безопасности
Значимость интегрированной безопасностиCisco Russia
 
Практическая реализация BYOD.
Практическая реализация BYOD. Практическая реализация BYOD.
Практическая реализация BYOD. Cisco Russia
 
Информационные технологии
Информационные технологииИнформационные технологии
Информационные технологииTarakashka
 
Решения Cisco для обеспечения соответствия требования регуляторов по безопасн...
Решения Cisco для обеспечения соответствия требования регуляторов по безопасн...Решения Cisco для обеспечения соответствия требования регуляторов по безопасн...
Решения Cisco для обеспечения соответствия требования регуляторов по безопасн...
Cisco Russia
 
лекция 1 основные понятия кб
лекция 1 основные понятия кблекция 1 основные понятия кб
лекция 1 основные понятия кб
nikolaeva-tatiana
 
Dokument microsoft office_word_2
Dokument microsoft office_word_2Dokument microsoft office_word_2
Dokument microsoft office_word_2mkyf
 

Recommended

иб
ибиб
иб
mitta21
 
Архитектура и стратегия информационной безопасности Cisco
Архитектура и стратегия информационной безопасности CiscoАрхитектура и стратегия информационной безопасности Cisco
Архитектура и стратегия информационной безопасности CiscoCisco Russia
 
Значимость интегрированной безопасности
Значимость интегрированной безопасностиЗначимость интегрированной безопасности
Значимость интегрированной безопасностиCisco Russia
 
Практическая реализация BYOD.
Практическая реализация BYOD. Практическая реализация BYOD.
Практическая реализация BYOD. Cisco Russia
 
Информационные технологии
Информационные технологииИнформационные технологии
Информационные технологииTarakashka
 
Решения Cisco для обеспечения соответствия требования регуляторов по безопасн...
Решения Cisco для обеспечения соответствия требования регуляторов по безопасн...Решения Cisco для обеспечения соответствия требования регуляторов по безопасн...
Решения Cisco для обеспечения соответствия требования регуляторов по безопасн...
Cisco Russia
 
лекция 1 основные понятия кб
лекция 1 основные понятия кблекция 1 основные понятия кб
лекция 1 основные понятия кб
nikolaeva-tatiana
 
Dokument microsoft office_word_2
Dokument microsoft office_word_2Dokument microsoft office_word_2
Dokument microsoft office_word_2mkyf
 
Решения КРОК в области информационной безопасности
Решения КРОК в области информационной безопасностиРешения КРОК в области информационной безопасности
Решения КРОК в области информационной безопасности
infoforum
 
Безопасность в Интернете
Безопасность в ИнтернетеБезопасность в Интернете
Безопасность в Интернете
Matevosyan Artur
 
Офисным зданиям: СКС, телефония, системы безопасности, ЦОДы, электроснабжение...
Офисным зданиям: СКС, телефония, системы безопасности, ЦОДы, электроснабжение...Офисным зданиям: СКС, телефония, системы безопасности, ЦОДы, электроснабжение...
Офисным зданиям: СКС, телефония, системы безопасности, ЦОДы, электроснабжение...
Группа компаний СИС
 
Современные средства обеспечения кибербезопасности АСУ ТП
Современные средства обеспечения кибербезопасности АСУ ТПСовременные средства обеспечения кибербезопасности АСУ ТП
Современные средства обеспечения кибербезопасности АСУ ТП
Alexander Dorofeev
 
Требования к межсетевому экрану нового поколения для предприятий малого и сре...
Требования к межсетевому экрану нового поколения для предприятий малого и сре...Требования к межсетевому экрану нового поколения для предприятий малого и сре...
Требования к межсетевому экрану нового поколения для предприятий малого и сре...
Cisco Russia
 
Мобильный доступ
Мобильный доступМобильный доступ
Мобильный доступ
Алексей Волков
 
защита информации 10
защита информации 10защита информации 10
защита информации 10
aepetelin
 
Data Centric Security Strategy
Data Centric Security StrategyData Centric Security Strategy
Data Centric Security StrategyAleksey Lukatskiy
 
Measurement of security efficiency
Measurement of security efficiencyMeasurement of security efficiency
Measurement of security efficiencyAleksey Lukatskiy
 
Презентация вебинара ISM Revision:Risk Manager
Презентация вебинара ISM Revision:Risk ManagerПрезентация вебинара ISM Revision:Risk Manager
Презентация вебинара ISM Revision:Risk Managerismsys
 
защита информации 9
защита информации 9защита информации 9
защита информации 9
aepetelin
 
пр Isaca про apt 2014 05-05
пр Isaca про apt 2014 05-05пр Isaca про apt 2014 05-05
пр Isaca про apt 2014 05-05
Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
7 0821
7 08217 0821
7 0821AlimBey
 
Our Wycliffe Presentation
Our Wycliffe PresentationOur Wycliffe Presentation
Our Wycliffe Presentation
Laura Warrington
 
çOklu zeka kurami
çOklu zeka kuramiçOklu zeka kurami
çOklu zeka kuramiTuğçe Tekirdağlı
 
Petra Hietanen-Kunwald: Lessons to be learnt from Austria, Germany and France
Petra Hietanen-Kunwald: Lessons to be learnt from Austria, Germany and FrancePetra Hietanen-Kunwald: Lessons to be learnt from Austria, Germany and France
Petra Hietanen-Kunwald: Lessons to be learnt from Austria, Germany and France
Kelan tutkimus / Research at Kela
 
Greece Talk
Greece TalkGreece Talk
Greece Talkidanilina
 
Toimeentulotukea Kelasta
Toimeentulotukea KelastaToimeentulotukea Kelasta
Toimeentulotukea Kelasta
Kelan tutkimus / Research at Kela
 
Mikkola. Terveysturvan menestystarinat
Mikkola. Terveysturvan menestystarinatMikkola. Terveysturvan menestystarinat
Mikkola. Terveysturvan menestystarinat
Kelan tutkimus / Research at Kela
 
Väliinputoamiset vammaispalveluissa
Väliinputoamiset vammaispalveluissaVäliinputoamiset vammaispalveluissa
Väliinputoamiset vammaispalveluissa
Kelan tutkimus / Research at Kela
 
Asiakkaiden näkemykset valinnanvapaudesta
Asiakkaiden näkemykset valinnanvapaudestaAsiakkaiden näkemykset valinnanvapaudesta
Asiakkaiden näkemykset valinnanvapaudesta
Kelan tutkimus / Research at Kela
 
Köyhyyttä ja väliinputoamista Helsingissä
Köyhyyttä ja väliinputoamista HelsingissäKöyhyyttä ja väliinputoamista Helsingissä
Köyhyyttä ja väliinputoamista Helsingissä
Kelan tutkimus / Research at Kela
 

More Related Content

What's hot

Решения КРОК в области информационной безопасности
Решения КРОК в области информационной безопасностиРешения КРОК в области информационной безопасности
Решения КРОК в области информационной безопасности
infoforum
 
Безопасность в Интернете
Безопасность в ИнтернетеБезопасность в Интернете
Безопасность в Интернете
Matevosyan Artur
 
Офисным зданиям: СКС, телефония, системы безопасности, ЦОДы, электроснабжение...
Офисным зданиям: СКС, телефония, системы безопасности, ЦОДы, электроснабжение...Офисным зданиям: СКС, телефония, системы безопасности, ЦОДы, электроснабжение...
Офисным зданиям: СКС, телефония, системы безопасности, ЦОДы, электроснабжение...
Группа компаний СИС
 
Современные средства обеспечения кибербезопасности АСУ ТП
Современные средства обеспечения кибербезопасности АСУ ТПСовременные средства обеспечения кибербезопасности АСУ ТП
Современные средства обеспечения кибербезопасности АСУ ТП
Alexander Dorofeev
 
Требования к межсетевому экрану нового поколения для предприятий малого и сре...
Требования к межсетевому экрану нового поколения для предприятий малого и сре...Требования к межсетевому экрану нового поколения для предприятий малого и сре...
Требования к межсетевому экрану нового поколения для предприятий малого и сре...
Cisco Russia
 
Мобильный доступ
Мобильный доступМобильный доступ
Мобильный доступ
Алексей Волков
 
защита информации 10
защита информации 10защита информации 10
защита информации 10
aepetelin
 
Data Centric Security Strategy
Data Centric Security StrategyData Centric Security Strategy
Data Centric Security StrategyAleksey Lukatskiy
 
Measurement of security efficiency
Measurement of security efficiencyMeasurement of security efficiency
Measurement of security efficiencyAleksey Lukatskiy
 
Презентация вебинара ISM Revision:Risk Manager
Презентация вебинара ISM Revision:Risk ManagerПрезентация вебинара ISM Revision:Risk Manager
Презентация вебинара ISM Revision:Risk Managerismsys
 
защита информации 9
защита информации 9защита информации 9
защита информации 9
aepetelin
 

What's hot (12)

Решения КРОК в области информационной безопасности
Решения КРОК в области информационной безопасностиРешения КРОК в области информационной безопасности
Решения КРОК в области информационной безопасности
 
Безопасность в Интернете
Безопасность в ИнтернетеБезопасность в Интернете
Безопасность в Интернете
 
Офисным зданиям: СКС, телефония, системы безопасности, ЦОДы, электроснабжение...
Офисным зданиям: СКС, телефония, системы безопасности, ЦОДы, электроснабжение...Офисным зданиям: СКС, телефония, системы безопасности, ЦОДы, электроснабжение...
Офисным зданиям: СКС, телефония, системы безопасности, ЦОДы, электроснабжение...
 
Современные средства обеспечения кибербезопасности АСУ ТП
Современные средства обеспечения кибербезопасности АСУ ТПСовременные средства обеспечения кибербезопасности АСУ ТП
Современные средства обеспечения кибербезопасности АСУ ТП
 
Требования к межсетевому экрану нового поколения для предприятий малого и сре...
Требования к межсетевому экрану нового поколения для предприятий малого и сре...Требования к межсетевому экрану нового поколения для предприятий малого и сре...
Требования к межсетевому экрану нового поколения для предприятий малого и сре...
 
Мобильный доступ
Мобильный доступМобильный доступ
Мобильный доступ
 
защита информации 10
защита информации 10защита информации 10
защита информации 10
 
Data Centric Security Strategy
Data Centric Security StrategyData Centric Security Strategy
Data Centric Security Strategy
 
Measurement of security efficiency
Measurement of security efficiencyMeasurement of security efficiency
Measurement of security efficiency
 
Презентация вебинара ISM Revision:Risk Manager
Презентация вебинара ISM Revision:Risk ManagerПрезентация вебинара ISM Revision:Risk Manager
Презентация вебинара ISM Revision:Risk Manager
 
защита информации 9
защита информации 9защита информации 9
защита информации 9
 
пр Isaca про apt 2014 05-05
пр Isaca про apt 2014 05-05пр Isaca про apt 2014 05-05
пр Isaca про apt 2014 05-05
 

Viewers also liked

Our Wycliffe Presentation
Our Wycliffe PresentationOur Wycliffe Presentation
Our Wycliffe Presentation
Laura Warrington
 
Petra Hietanen-Kunwald: Lessons to be learnt from Austria, Germany and France
Petra Hietanen-Kunwald: Lessons to be learnt from Austria, Germany and FrancePetra Hietanen-Kunwald: Lessons to be learnt from Austria, Germany and France
Petra Hietanen-Kunwald: Lessons to be learnt from Austria, Germany and France
Kelan tutkimus / Research at Kela
 
Toimeentulotukea Kelasta
Toimeentulotukea KelastaToimeentulotukea Kelasta
Toimeentulotukea Kelasta
Kelan tutkimus / Research at Kela
 
Mikkola. Terveysturvan menestystarinat
Mikkola. Terveysturvan menestystarinatMikkola. Terveysturvan menestystarinat
Mikkola. Terveysturvan menestystarinat
Kelan tutkimus / Research at Kela
 
Väliinputoamiset vammaispalveluissa
Väliinputoamiset vammaispalveluissaVäliinputoamiset vammaispalveluissa
Väliinputoamiset vammaispalveluissa
Kelan tutkimus / Research at Kela
 
Asiakkaiden näkemykset valinnanvapaudesta
Asiakkaiden näkemykset valinnanvapaudestaAsiakkaiden näkemykset valinnanvapaudesta
Asiakkaiden näkemykset valinnanvapaudesta
Kelan tutkimus / Research at Kela
 
Köyhyyttä ja väliinputoamista Helsingissä
Köyhyyttä ja väliinputoamista HelsingissäKöyhyyttä ja väliinputoamista Helsingissä
Köyhyyttä ja väliinputoamista Helsingissä
Kelan tutkimus / Research at Kela
 
PR 2.0 (Optimizing for People)
PR 2.0 (Optimizing for People)PR 2.0 (Optimizing for People)
PR 2.0 (Optimizing for People)JonnyWegs
 
induction pres hertford 040411
induction pres hertford 040411induction pres hertford 040411
induction pres hertford 040411akrussell
 
Xobni – עושים סדר בבלגן
Xobni – עושים סדר בבלגןXobni – עושים סדר בבלגן
Xobni – עושים סדר בבלגן
Eranvaknin
 
Adaptation
AdaptationAdaptation
Adaptation
ashrafalom
 
Oikeus päihdepalveluihin
Oikeus päihdepalveluihinOikeus päihdepalveluihin
Oikeus päihdepalveluihin
Kelan tutkimus / Research at Kela
 
Консалтинговое агентство "ТРИНИУМ" [About consalting agency "Trinium"]
Консалтинговое агентство "ТРИНИУМ" [About consalting agency "Trinium"]Консалтинговое агентство "ТРИНИУМ" [About consalting agency "Trinium"]
Консалтинговое агентство "ТРИНИУМ" [About consalting agency "Trinium"]
Trinium [ТРИНИУМ]
 
Commune info#35-web
Commune info#35-webCommune info#35-web
Commune info#35-webATD13
 
17.1 Common Traits of Vertebrates
17.1 Common Traits of Vertebrates17.1 Common Traits of Vertebrates
17.1 Common Traits of Vertebrates
Colfax
 

Viewers also liked (20)

7 0821
7 08217 0821
7 0821
 
Our Wycliffe Presentation
Our Wycliffe PresentationOur Wycliffe Presentation
Our Wycliffe Presentation
 
çOklu zeka kurami
çOklu zeka kuramiçOklu zeka kurami
çOklu zeka kurami
 
Petra Hietanen-Kunwald: Lessons to be learnt from Austria, Germany and France
Petra Hietanen-Kunwald: Lessons to be learnt from Austria, Germany and FrancePetra Hietanen-Kunwald: Lessons to be learnt from Austria, Germany and France
Petra Hietanen-Kunwald: Lessons to be learnt from Austria, Germany and France
 
Greece Talk
Greece TalkGreece Talk
Greece Talk
 
Toimeentulotukea Kelasta
Toimeentulotukea KelastaToimeentulotukea Kelasta
Toimeentulotukea Kelasta
 
Mikkola. Terveysturvan menestystarinat
Mikkola. Terveysturvan menestystarinatMikkola. Terveysturvan menestystarinat
Mikkola. Terveysturvan menestystarinat
 
Väliinputoamiset vammaispalveluissa
Väliinputoamiset vammaispalveluissaVäliinputoamiset vammaispalveluissa
Väliinputoamiset vammaispalveluissa
 
Asiakkaiden näkemykset valinnanvapaudesta
Asiakkaiden näkemykset valinnanvapaudestaAsiakkaiden näkemykset valinnanvapaudesta
Asiakkaiden näkemykset valinnanvapaudesta
 
Köyhyyttä ja väliinputoamista Helsingissä
Köyhyyttä ja väliinputoamista HelsingissäKöyhyyttä ja väliinputoamista Helsingissä
Köyhyyttä ja väliinputoamista Helsingissä
 
Protests
ProtestsProtests
Protests
 
çOklu zeka kurami
çOklu zeka kuramiçOklu zeka kurami
çOklu zeka kurami
 
PR 2.0 (Optimizing for People)
PR 2.0 (Optimizing for People)PR 2.0 (Optimizing for People)
PR 2.0 (Optimizing for People)
 
induction pres hertford 040411
induction pres hertford 040411induction pres hertford 040411
induction pres hertford 040411
 
Xobni – עושים סדר בבלגן
Xobni – עושים סדר בבלגןXobni – עושים סדר בבלגן
Xobni – עושים סדר בבלגן
 
Adaptation
AdaptationAdaptation
Adaptation
 
Oikeus päihdepalveluihin
Oikeus päihdepalveluihinOikeus päihdepalveluihin
Oikeus päihdepalveluihin
 
Консалтинговое агентство "ТРИНИУМ" [About consalting agency "Trinium"]
Консалтинговое агентство "ТРИНИУМ" [About consalting agency "Trinium"]Консалтинговое агентство "ТРИНИУМ" [About consalting agency "Trinium"]
Консалтинговое агентство "ТРИНИУМ" [About consalting agency "Trinium"]
 
Commune info#35-web
Commune info#35-webCommune info#35-web
Commune info#35-web
 
17.1 Common Traits of Vertebrates
17.1 Common Traits of Vertebrates17.1 Common Traits of Vertebrates
17.1 Common Traits of Vertebrates
 

Similar to PERSICON consultancy - Basics and methodology BSI IT-Grundschutz

Построение СУИБ на основе ISO 27k
Построение СУИБ на основе ISO 27kПостроение СУИБ на основе ISO 27k
Построение СУИБ на основе ISO 27k
Sergey Chuchaev
 
Iso 27001 01_dmytriyev_kiev_2010_july_v2
Iso 27001 01_dmytriyev_kiev_2010_july_v2Iso 27001 01_dmytriyev_kiev_2010_july_v2
Iso 27001 01_dmytriyev_kiev_2010_july_v2Glib Pakharenko
 
Кто такой специалист по иб
Кто такой специалист по ибКто такой специалист по иб
Кто такой специалист по ибTeymur Kheirkhabarov
 
Стандарты безопасности АСУ ТП и их применимость в России
Стандарты безопасности АСУ ТП и их применимость в РоссииСтандарты безопасности АСУ ТП и их применимость в России
Стандарты безопасности АСУ ТП и их применимость в РоссииAleksey Lukatskiy
 
Iso 27001 внедрение технических защитных мер
Iso 27001 внедрение технических защитных мерIso 27001 внедрение технических защитных мер
Iso 27001 внедрение технических защитных мер
Alexey Evmenkov
 
KUBITS
KUBITSKUBITS
KUBITS
Alexey Lipatov
 
пр 6-7.docx
пр 6-7.docxпр 6-7.docx
пр 6-7.docx
ssuser6d63bc1
 
Принцип Парето в информационной безопасности
Принцип Парето в информационной безопасностиПринцип Парето в информационной безопасности
Принцип Парето в информационной безопасности
Aleksey Lukatskiy
 
Принципы защиты информации и метрики ИБ
Принципы защиты информации и метрики ИБПринципы защиты информации и метрики ИБ
Принципы защиты информации и метрики ИБ
Александр Лысяк
 
Система менеджмента информационной безопасности: стандарты, практики внедрени...
Система менеджмента информационной безопасности: стандарты, практики внедрени...Система менеджмента информационной безопасности: стандарты, практики внедрени...
Система менеджмента информационной безопасности: стандарты, практики внедрени...
Учебный центр "Эшелон"
 
Документ, как средство защиты: ОРД как основа обеспечения ИБ
Документ, как средство защиты: ОРД как основа обеспечения ИБДокумент, как средство защиты: ОРД как основа обеспечения ИБ
Документ, как средство защиты: ОРД как основа обеспечения ИБ
SelectedPresentations
 
Мировой опыт SOC'остроения
Мировой опыт SOC'остроенияМировой опыт SOC'остроения
Мировой опыт SOC'остроения
Positive Hack Days
 
Iso 27001 01_dmytriyev_kiev_2010_july
Iso 27001 01_dmytriyev_kiev_2010_julyIso 27001 01_dmytriyev_kiev_2010_july
Iso 27001 01_dmytriyev_kiev_2010_julyGlib Pakharenko
 
Cистемы для управления инцидентами и событиями информационной безопасности
Cистемы для управления инцидентами и событиями информационной безопасностиCистемы для управления инцидентами и событиями информационной безопасности
Cистемы для управления инцидентами и событиями информационной безопасности
КРОК
 
Основные мифы безопасности бизнес-приложений
Основные мифы безопасности бизнес-приложенийОсновные мифы безопасности бизнес-приложений
Основные мифы безопасности бизнес-приложенийDigital Security
 
ESET. Александр Зонов. "ESET. Просто. Удобно. Надежно"
ESET. Александр Зонов. "ESET. Просто. Удобно. Надежно"ESET. Александр Зонов. "ESET. Просто. Удобно. Надежно"
ESET. Александр Зонов. "ESET. Просто. Удобно. Надежно"
Expolink
 
Процедура внедрения СУИБ в банке: основные шаги и подводные камни
Процедура внедрения СУИБ в банке: основные шаги и подводные камниПроцедура внедрения СУИБ в банке: основные шаги и подводные камни
Процедура внедрения СУИБ в банке: основные шаги и подводные камниVlad Styran
 
Обеспечение качества ПО: международный опыт
Обеспечение качества ПО: международный опытОбеспечение качества ПО: международный опыт
Обеспечение качества ПО: международный опытAleksey Lukatskiy
 
Информационная безопасность
Информационная безопасностьИнформационная безопасность
Информационная безопасность
КРОК
 
Information Security Presentation (B.E.E.R 2021)
Information Security Presentation (B.E.E.R 2021)Information Security Presentation (B.E.E.R 2021)
Information Security Presentation (B.E.E.R 2021)
Вячеслав Аксёнов
 

Similar to PERSICON consultancy - Basics and methodology BSI IT-Grundschutz (20)

Построение СУИБ на основе ISO 27k
Построение СУИБ на основе ISO 27kПостроение СУИБ на основе ISO 27k
Построение СУИБ на основе ISO 27k
 
Iso 27001 01_dmytriyev_kiev_2010_july_v2
Iso 27001 01_dmytriyev_kiev_2010_july_v2Iso 27001 01_dmytriyev_kiev_2010_july_v2
Iso 27001 01_dmytriyev_kiev_2010_july_v2
 
Кто такой специалист по иб
Кто такой специалист по ибКто такой специалист по иб
Кто такой специалист по иб
 
Стандарты безопасности АСУ ТП и их применимость в России
Стандарты безопасности АСУ ТП и их применимость в РоссииСтандарты безопасности АСУ ТП и их применимость в России
Стандарты безопасности АСУ ТП и их применимость в России
 
Iso 27001 внедрение технических защитных мер
Iso 27001 внедрение технических защитных мерIso 27001 внедрение технических защитных мер
Iso 27001 внедрение технических защитных мер
 
KUBITS
KUBITSKUBITS
KUBITS
 
пр 6-7.docx
пр 6-7.docxпр 6-7.docx
пр 6-7.docx
 
Принцип Парето в информационной безопасности
Принцип Парето в информационной безопасностиПринцип Парето в информационной безопасности
Принцип Парето в информационной безопасности
 
Принципы защиты информации и метрики ИБ
Принципы защиты информации и метрики ИБПринципы защиты информации и метрики ИБ
Принципы защиты информации и метрики ИБ
 
Система менеджмента информационной безопасности: стандарты, практики внедрени...
Система менеджмента информационной безопасности: стандарты, практики внедрени...Система менеджмента информационной безопасности: стандарты, практики внедрени...
Система менеджмента информационной безопасности: стандарты, практики внедрени...
 
Документ, как средство защиты: ОРД как основа обеспечения ИБ
Документ, как средство защиты: ОРД как основа обеспечения ИБДокумент, как средство защиты: ОРД как основа обеспечения ИБ
Документ, как средство защиты: ОРД как основа обеспечения ИБ
 
Мировой опыт SOC'остроения
Мировой опыт SOC'остроенияМировой опыт SOC'остроения
Мировой опыт SOC'остроения
 
Iso 27001 01_dmytriyev_kiev_2010_july
Iso 27001 01_dmytriyev_kiev_2010_julyIso 27001 01_dmytriyev_kiev_2010_july
Iso 27001 01_dmytriyev_kiev_2010_july
 
Cистемы для управления инцидентами и событиями информационной безопасности
Cистемы для управления инцидентами и событиями информационной безопасностиCистемы для управления инцидентами и событиями информационной безопасности
Cистемы для управления инцидентами и событиями информационной безопасности
 
Основные мифы безопасности бизнес-приложений
Основные мифы безопасности бизнес-приложенийОсновные мифы безопасности бизнес-приложений
Основные мифы безопасности бизнес-приложений
 
ESET. Александр Зонов. "ESET. Просто. Удобно. Надежно"
ESET. Александр Зонов. "ESET. Просто. Удобно. Надежно"ESET. Александр Зонов. "ESET. Просто. Удобно. Надежно"
ESET. Александр Зонов. "ESET. Просто. Удобно. Надежно"
 
Процедура внедрения СУИБ в банке: основные шаги и подводные камни
Процедура внедрения СУИБ в банке: основные шаги и подводные камниПроцедура внедрения СУИБ в банке: основные шаги и подводные камни
Процедура внедрения СУИБ в банке: основные шаги и подводные камни
 
Обеспечение качества ПО: международный опыт
Обеспечение качества ПО: международный опытОбеспечение качества ПО: международный опыт
Обеспечение качества ПО: международный опыт
 
Информационная безопасность
Информационная безопасностьИнформационная безопасность
Информационная безопасность
 
Information Security Presentation (B.E.E.R 2021)
Information Security Presentation (B.E.E.R 2021)Information Security Presentation (B.E.E.R 2021)
Information Security Presentation (B.E.E.R 2021)
 

PERSICON consultancy - Basics and methodology BSI IT-Grundschutz

  • 1. BSI IT-GRUNDSCHUTZ Cтандард по защитe информационных технологий в Германии
  • 2. Михаил Гарвардт  Бакалавр по специальности „Security Management“ (Управление безопасностью)  Учёба на мастера „Security Management“ в специальном высшем учебном заведению Бранденбурга  Консультант по информационной безопасности, внедрению и тестированию безопасности  Начинающий аудитор по ISO 27001 на основе ИТ (информационной технологии) и мер защиты  Преподаватель Института экономики и права (HWR)  Контакт: – Адресс електронной почты: mharwardt@persicon.com 2 BSI IT-Grundschutz
  • 3. PERSICON группе  PERSICON - это группа специализированных консалтинговых и аудиторских фирм в области информационной безопасности, соблюдения и защиты данных.  Фокусировка консультаций в среде ревизии, ИТ-права и -менеджмента.  Главное бюро в Берлине, а также во Франкфурте-на-Майне и Мюнхене. Берлин Франкфурт ИТ-право ам Маин ИТ-менеджмент Мюнхен ревизия 3 BSI IT-Grundschutz
  • 4. Приоритеты обслуживания Наши приоритеты включают в себя следующие:  Консультированиe, тестированиe и сертификация информационной безопасности и защиты данных  Положение производственного или официального уполномоченного по защите данных  Создание концепция безопасности и проведения анализов риска  Дизайн, документациа и проверка систем внутреннего контроля  Консультации по достоверности аутсорсинговых процессов  Консультирование по вопросам управления чрезвычайных ситуаций  Обучение уполномоченных лиц по безопасности и защите информационных данных 4 BSI IT-Grundschutz
  • 5. Рекомендации (фрагмент) Приватный сектор Общественный сектор  Deutsche Post  Федеральное министерство финансов  Deutsche Telekom (BMF)  Pfizer  Федеральное министерство внутренних  E.ON, RWE дел (BMI) / Федеральная академия государственного управления (BAköV)  Media-Saturn  Федеральное министерство  Bertelsmann экономического сотрудничества и  HOCHTIEF развития (BMZ)  MAN Nutzfahrzeuge  Федеральное ведомство по  Talanx Versicherungsgruppe/HDI Gerling информационной безопасности (BSI)  VHV Versicherungen  Различные провинциальные  Rolls Royce Mинистерствa и ведомствa из  Microsoft Баварии, Саксонии, Бранденбургa, Тюри нгии, Саксонии-Анхальт и Рейнланд- Пфальц 5 BSI IT-Grundschutz
  • 6. Проeкты федерального ведомства по информационной безопасности (BSI) PERSICON поддерживает BSI в течение многих лет, постоянo развивая стандарты безопасности и программного обеспечения. Oни включают в себя следующие проекты:  Стратегическая концепция развития безопасных ИТ-продуктов от BSI  Создание модуля "Windows Server 2003" и „Client под Windows 7" для BSI руководствa по основным мерам защиты  Развитие BSI GSTOOL в версии 4,9 и 5,0, а также 6 BSI IT-Grundschutz
  • 7. Обзор 1. Вступление 2. Структура по руководству базовой зашиты 3. ИТ-каталоги 4. ИТ-стандарты 5. Oбобщение 7 BSI IT-Grundschutz
  • 8. Национальный стандарт BSI основная защита информационных технологий 8 BSI IT-Grundschutz
  • 9. Федеральное ведомство по информационной безопасности (BSI)  Центральная национальная организация по вопросам безопасности в информационном обществе  Основана в 1991 году, как национальный орган по ИТ-безопасности  Местоположение: Бонн 9 BSI IT-Grundschutz
  • 10. BSI основная защита ит (1)  Федеральное ведомство по информационной безопасности (BSI)  Признанный и известный стандарт в Германии  Справочное пособие и модель образа действий  Контрольные цели: – доступность – целостность – конфиденциальность  Сертифицируемый стандарт 10 BSI IT-Grundschutz
  • 11. BSI oсновное руководство защиты ит (1) До 2004 года С октября 2005  Собрание папок  BSI стандарты – 100-1/2/3/4  BSI руководство по основным мерам защиты – модули и каталоги 11 BSI IT-Grundschutz
  • 12. BSI oсновное руководство защиты ИТ (2)  Стандартные меры безопасности для типичных ИТ-архитектур  Персональные, технические, организационные и инфраструктурные аспекты  Первоначальное отсутствие деталированного и подробного анализа риска  Категории защиты: Требования защиты – нормальный – высокий Уровень безопасности – очень высокий очень высокий  Цели защиты: высокий – доступность – целостность нормальный – конфиденциальность Аспект безопасности 12 BSI IT-Grundschutz
  • 13. Определение требований для защиты Пример:  нормальный – финансовое повреждение меньше чем 50.000 € евро или – время простоя более чем 24 часа.  высокий – финансовое повреждение лежит между 50.000 и 500.000 € евро или – время простоя не может превышать 24 часа.  очень высокий – финансовое повреждение составляет больше чем 500.000 € евро или – простои более 2 часов не могут допускаться. 13 BSI IT-Grundschutz
  • 14. Определение целей защиты  Конфиденциальность – доступ только для зарегистрированных пользователей  Доступность – в нужное время, в нужном месте  Целостность – нет несанкционированного изменения (подлинность) 14 BSI IT-Grundschutz
  • 15. Структура ИТ-руководства и основных мер защиты  Основные каталоги защиты – описание блоков, угроз и мер  100-1: Системы менеджмента для информационной безопасности – требования к системе и её управлению  100-2: Образ действий и подход к основным (базовым) мерам защиты – практическая реализация стандарта 100-1  100-3: Анализ риска на базе основной защиты ИТ – создание анализа риска для специальных систем и процессов  100-4: Менеджмент и управление при чрезвычайныx обстоятельстваx – Business Continuity Management 15 BSI IT-Grundschutz
  • 16. Каталоги по руководству защиты информационных технологий 16 BSI IT-Grundschutz
  • 17. Модульный принцип Каталоги Организация модуль = угрозы + меры 17 BSI IT-Grundschutz
  • 18. Модули (1)  Каждый модуль содержит: – краткое описание рассматриваемых компонентов, образов, действий и ИТ-систем – перечень угроз в области безопасности, а также рекомендацию мер по их предотвращению  Все модули сгруппированы по их основе и мере защиты в следующих каталогах: – B 1: Решающие аспекты информационной безопасности – B 2: Безопасность и надежность инфраструктуры – B 3: Безопасность и надежность ИТ-систем – B 4: Безопасность и надежность ИТ-сетей – B 5: Безопасность и надежность приложений 18 BSI IT-Grundschutz
  • 19. Модули (2) B 1: Решающие аспекты безопасности 16 B 2: Надежность инфраструктуры 12 B 3: Надежность ИТ-систем 23 B 4: Надежность ИТ-сетей 7 B 5: Надежность приложений 16 Всего 74 19 BSI IT-Grundschutz
  • 20. Каталоги угроз (1)  Приводит подробное описание рискa и определениe правильного уровня угрозы.  Угрозы сгруппированы в пяти каталогах: – G 1: Форс-мажор (высшая сила) – G 2: Организационные дефекты – G 3: Неправильные или ошибочные действия персонала – G 4: Tехнический сбой – G 5: Умышленные или преднамеренные действия 20 BSI IT-Grundschutz
  • 21. Каталоги угроз (2) G 1: Форс-мажор (высшая сила) 17 G 2: Организационные дефекты 140 G 3: Неправильные действия персонала 92 G 4: : Tехнический сбой 71 G 5: Умышленные действия 145 Всего 465 21 BSI IT-Grundschutz
  • 22. Каталоги мер (1)  Описывает основные меры по защите информационных технологий  Все меры сгруппированны в 6 каталогах: – M 1: Инфраструктура – M 2: Организация – M 3: Персонал – M 4: Аппаратура и программное обеспечение – M 5: Коммуникация – M 6: Готовность к чрезвычайным ситуациям 22 BSI IT-Grundschutz
  • 23. Каталоги мер (2) M1 Инфраструктура 69 M2 Организация 430 M3 Персонал 66 M4 Аппаратура и программное обеспечение 324 M5 Коммуникация 150 M6 Готовность к чрезвычайным ситуациям 109 Всего 1148 23 BSI IT-Grundschutz
  • 25. Стандарт 100-1 Обзор глав: 1. Введение 2. Введение в информационную безопасность 3. Oпределение и описание процесса 4. Принципы управления 5. Ресурсы для информационной безопасности 6. Вовлечение сотрудников в процесс обеспечения безопасности 7. Процесс информационной безопасности 8. Создание концепции безопасности 9. Основые меры защиты 25 BSI IT-Grundschutz
  • 26. Стандарт 100-1  BSI 100-1 является редакционно переработанным руководством из стандарта ISO 27001 Темы:  Описание процесса и модели цикла  Управление принципов  Планирование и предоставление ресурсов  Вовлечение работников (обязательства, обучение, и.т.д.)  Внедрение процесса безопасности  Руководство по информационной безопасности, описание целей и стратегий для их реализации  Оперативное проведение и контроль информационной безопасности 26 BSI IT-Grundschutz
  • 27. Стандарт 100-1 2. Введение в информационную безопасность  Обзор значительных стандартов по информационной безопасности – ISO 27000 – ISO 27001 – ISO 27002 – ISO 27005 – ISO 27006 – ISO 2700x  Каталоги и руководство по основным мерам защиты  Дополнительные стандарты – COBIT (Control Objectives for Information and Related Technology) – ITIL (IT Infrastructure Library) 27 BSI IT-Grundschutz
  • 28. Стандарт 100-1 Каталоги и руководство по основным мерам защиты Каталоги базовой защиты и ИТ: Глава 1: Введение Глава 2: Слой модели и моделирование Глава 3: Глоссарий Глава 4: Роли Каталог модулей: Слой B1: решающие аспекты безопасности Слой B2: инфраструктура Слой B3: ИТ-системы Слой B4: ИТ-сети Слой B5: приложения Каталог всевозможных угроз Каталог всевозможных мер 28 BSI IT-Grundschutz
  • 29. Стандарт 100-1 3. Определение и описание процесса Безопасность процесса  Принципы управления  Ресурсы  Персонал  Безопасность процесса Ресурсы ISMS Персонал Цикл информационной безопасности  Планирование и концепция  Приобретение (в случае необходимости) Принципы управления  Преобразование  Эксплуатация  Удаление (в случае необходимости)  Меры в крайнем случае 29 BSI IT-Grundschutz
  • 30. Стандарт 100-1 PDCA-цикл 8. Концепт безопасности Концепция по охране и безопасности включает не только документы, но и документирование всех результатов, а также достижение определенного уровня защиты. Образ действий:  Определение объектов и целей для защиты  Анализ угроз и представление возможных сценарий  Анализ вероятности потенциального повреждения  Разработка мер по сокращению вероятности входа / размера ущерба  Предоставление средств и планирование мер по борьбe с повреждениями и предотвращением ущерба  Анализ собственного риска, согласование и утверждение остаточного риска 30 BSI IT-Grundschutz
  • 31. Цикл концепции безопасности [PDCA-цикл] Планирование/проектирование Осуществление (P) (D) • Выбор метода для оценки риска • План осуществления и реализации концепции • Классификация рисков или повреждения безопасности • Оценка риска • Осуществление и преобразование мер по • Разработка стратегии в обращении с риском обеспечению безопасности • Выбор мер безопасности • Мониторинг и контроль реализации • Компилирование мер к предусмотрительности в случаии чрезвычайныx ситуаций • Обучение и повышение осведомленности (сенсибилизация) Оптимизация/улучшение Успех управления/контроль (A) (C) • Устранение неисправностей • Обнаружение инцидентов в области безопасности • Улучшение мер безопасности • Проверка соблюдений правил и требований • Обзор адекватности и эффективности мер безопасности • Доклады менеджмента 31 BSI IT-Grundschutz
  • 32. Концепция безопасности Инициирование процесса по обеспечению безопасности Создание политики информационной безопасности и осуществление управления информационной безопасностью Разработка концепции безопасности Осуществление Реализация отсутствующих мер в области инфраструктуры, организации, персонала, технологий, коммуникации и готовности к чрезвычайным ситуациям - в частности: сенсибилизация и обучениe по вопросам информационной безопасности Поддерживание и постоянное обслуживание в процессе эксплуатации 32 BSI IT-Grundschutz
  • 34. Стандарт 100-2 Обзор глав: 1. Введение 2. Управление информационной безопасностью с основными мерами защиты ИТ 3. Инициирование процесса обеспечения безопасности 4. Создание концепции безопасности по основным мерам защиты ИТ 5. Осуществление концепции безопасности 6. Техническое обслуживание и постоянное совершенствование информационной безопасности 7. Сертификация по ISO 27001 на базе основных мер защиты ИТ 8. Приложение 34 BSI IT-Grundschutz
  • 35. Инициирование процесса обеспечения безопасности Последовательность Ответственность управления Планирование Создание руководства по информационной безопасности Создание организации по информационной безопасности Предоставление и oбеспечение ресурсов Вовлечение всех сотрудников 35 BSI IT-Grundschutz
  • 36. Структурный анализ  Ограничение рассматриваеммой информационной сети и структуры  Для создания концепции безопасности, необходимо проанализировать структуру информационной сети и как можно точнee продокументировать.  Результат представляет собой список всех: • помещений и зданий • ИТ-систем, приложений и видов информации • участники (пользователи, администраторы и т. д.) • коммуникационные сети и организационные правила • подробный и сгруппированний план всей информационной структуры  Группировка для улучшения чёткости 36 BSI IT-Grundschutz
  • 37. Критерии группировки ИТ-систем Компоненты могут быть отнесены к той же группе, если компоненты:  того же типа,  одинаково сконфигурированы,  подключены к той же сети (например Switch),  находятся в ведении равных и общеадминистративных и инфраструктурных условиях  используют те же приложения или  имеют одинаковый уровень защиты. 37 BSI IT-Grundschutz
  • 38. Документация и сбор групп  Учет групп следует за соответствующей схемой типа объекта группируемых объектов.  Например: группа компьютеров охватывается как (один) компьютер.  Все соответствующие сведения передаются при этом на всю группу. 38 BSI IT-Grundschutz
  • 39. 39 BSI IT-Grundschutz
  • 40. 40 BSI IT-Grundschutz
  • 41. Требования к защите (1)  Установка и документация категорий уровня защиты для ранее определенных объектов (формирование структуры)  Категории защиты: – нормальный: влияниe повреждений ограничено и обозримо – высокий: влияние повреждений могут быть существенным – очень высокий: влияние повреждений может достичь катастрофических или угрожающих размеров  Цели защиты : – доступность – целостность – конфиденциальность 41 BSI IT-Grundschutz
  • 42. Требования к защите (2)  Категории защиты: нормальный – высокий – очень высокий 1. Уровень защиты 3. Уровень защиты приложений и соединений информации 2. Уровень защиты 4. Уровень защиты 5. Уровень защиты ИТ-систем помещений здания 42 BSI IT-Grundschutz
  • 43. Моделирование  Применение обязательных модулей (например, такие аспекты, как общий план действий в чрезвычайных случаях, также как и защитный менеджмент).  Изображение модулей на объектах из структурного анализа.  Альтернативa, использованиe дополнительных инструментов для моделирования.  Объекты, которые недостаточно моделированы, могут быть отмечены для дополнительного анализа.  Моделирование основной защиты результатом моделирования является список мер безопасности, который будет осуществляться (цель). 43 BSI IT-Grundschutz
  • 44. Базовая проверка безопасности  Базовая проверка безопасности - это основная проверка безопасности по сравнению с фактическим положением.  Результатом моделирования является список мер, которыe должны быть использованы.  Проведение интервью по итогам реализации всех мер безопасности.  Краткий обзор уже (на данный момент) существующего уровня защиты. 44 BSI IT-Grundschutz
  • 45. Дополнительный анализ защиты  При высоком или очень высоком уровне защиты.  При наличии дополнительного анализа.  Для аспектов и целей, у которых в основном руководстве защиты никакого модуля ещё не существует. Описание и медодика анализа риска в стандарте 100-3. 45 BSI IT-Grundschutz
  • 46. Консолидация и преобразование мер  Последовательное осуществление защитных мер с помощью проектирования и анализа определённых дополнительных мер по мере необходимости.  Экспертиза с целью обеспечения качества. 46 BSI IT-Grundschutz
  • 47. Поддержка и постоянное улучшение  Периодическая проверка эффективности и действенности используемых мер.  Обзор и оценка показателей по управлению.  Внутренние аудиты. 47 BSI IT-Grundschutz
  • 49. Дополнительный анализ защиты Критерии: 1. Tребование защиты считаются высокими или очень высокими. 2. В руководстве по основным мерам защиты нет никах предусмотренных или подходящих модулей. 3. Данные объекты пока не предусмaтривались в рамках основной защиты информационных технологий.  Проведение анализа риска 49 BSI IT-Grundschutz
  • 50. Дополнительный анализ защиты определение требования защиты нормальный Уровень защиты руководство по основным мерам защиты высокий дополнительный очень высокий анализ защиты меры защиты консолидирование мер 50 BSI IT-Grundschutz
  • 51. Анализ риска Последовательность Создание обзора всех угроз Определение дополнительных мер Оценка и рейтинг всех угроз Выбор мер и методики для обработки риска и угроз Консолидация мер и возвращение в общий процесс 51 BSI IT-Grundschutz
  • 52. Дополнительный анализ защиты Инициализация процесса защиты Изображение: интеграция анализа риска в процесс защиты Постаянная поддержка процесса Построение структуры Установление Информационный поток Проверка и контроль требования защиты Обзор угроз Сертификация Моделирование Дополнительние угрозы Основной анализ Оценка угроз Дополнительный анализ Выбор мер и методики Реализация Консолидация мер и устранение угроз Базовая защита Анализ риска 52 BSI IT-Grundschutz
  • 53. Заключение 53 BSI IT-Grundschutz
  • 54. Основная методика защиты и процесс сертификации Последовательность Шаг 1 Шаг 2 1. Oграничение информационной сети 7. Аудит - Сертификационный аудит. 2. Структурный анализ Уполномоченный аудитор не участвует - полный и всеобщий учёт в подготовке аудита. информационной сети - группировка - создание плана сети Шаг 3 3. Определение уровня защиты 8. Сертификация 4. Анализ базовой защиты - Сертификация по национальному - моделирование по меркам базовой стандарту „BSI IT-Grundschutz“ на защиты основе интернационального стандартa - проверка правильности и наличия ISO 27001. уровня защиты - целевое и данное сравнение 5. Дополнительный анализ защиты - при высоком и очень высоком наличии Шаг 4 - дополнительный анализ потребностей 9. Ежегодные проверки (аудит). 6. Осуществление - консолидация и объединение мер 10. Повторная сертификация каждые три - oсуществление плана года. 54 BSI IT-Grundschutz
  • 55. Создание концепции безопасности временное планирование Структурный анализ (1-3 месяцев) Определение уровня защиты (минимально 1 месяц) Моделирование и базовая проверка (6 месяцев) Планирование осуществляемых мер и реализация (от 6 месяцев до 1 года) Дополнительный анализ и реализации мер (от 2 до 4 месяцев)  Фактическое время проекта всегда индивидуально и может при необходимости Аудит отклоняться от запланированного. (от 2 до 3 месяцев)  Данные периоды показаны только для разъяснения приоритетов! 55 BSI IT-Grundschutz
  • 56. Мы с удовольствием ответим на все унтересующие Вас вопросы! 56 BSI IT-Grundschutz
  • 57. Спасибо за Ваше внимание! Михаил Гарвардт mharwardt@persicon.com Фридрихштрасе 188 | 10117 Берлин www.persicon.com _________________________________ Michail Harwardt mharwardt@persion.com Friedrichstraße 188 | 10117 Berlin www.persicon.com 57 BSI IT-Grundschutz