Документ охватывает концепции управления информационной безопасностью и процессный подход к оценке и обработке рисков. Он включает в себя стандарты, структуры и методические рекомендации для создания и внедрения систем менеджмента информационной безопасности, с акцентом на требования к безопасности и управление активами. Также подчеркивается важность систематичности и координации действий внутри организации для повышения эффективности работы.

1. УПРАВЛЕНИЕ ИНФОРМАЦИОННОЙ
БЕЗОПАСНОСТЬЮ
 Основы процессного подхода в области
информационной безопасности.
 Стандарты и структуры построения систем
информационной безопасности.
 Поведение оценки и разработка планов
обработки рисков информационной безопасности.

2. ОСНОВЫ ПРОЦЕССНОГО ПОДХОДА В ОБЛАСТИ
ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ

3.  Процесс - это совокупность взаимосвязанных и
взаимодействующих видов деятельности, которые
преобразуют входы в выходы
 Процессный подход - концепция управления, которая
рассматривает всю деятельность организации как набор
процессов.
 Управление организацией – управление процессами.
 Важной составляющей процесса, является систематичность
действий. Действия процесса должны быть повторяющимися,
а не случайными.
3/91
Определения
ПРОЦЕССНЫЙ ПОДХОД

4. 4/91
Принципы
ПРОЦЕССНЫЙ ПОДХОД
Принцип взаимосвязи процессов
Принцип востребованности процесса
Принцип документирования процессов
Принцип контроля процесса
Принцип ответственности за процесс

5.  Вход
 Выход
 Ресурсы
 Владелец
 Потребители и
поставщики
 Показатели
5/91
Ключевые элементы процесса
ПРОЦЕССНЫЙ ПОДХОД

6.  Координация действий различных подразделений в рамках процесса;
 Ориентация на результат процесса;
 Повышение результативности и эффективности работы организации;
 Прозрачность действий по достижению результата;
 Повышение предсказуемости результатов;
 Выявление возможностей для целенаправленного улучшения процессов;
 Устранение барьеров между функциональными подразделениями;
 Сокращение лишних вертикальных взаимодействий;
 Исключение невостребованных процессов;
 Сокращение временных и материальных затрат.
6/91
Преимущества
ПРОЦЕССНЫЙ ПОДХОД

7. СТАНДАРТЫ И СТРУКТУРЫ ПОСТРОЕНИЯ СИСТЕМ
ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ

8.  СТБ ISO/IEC 27001-2016 «Информационные технологии. Методы обеспечения
безопасности. Системы менеджмента информационной безопасности.
Требования».
 СТБ 34.101.41-2013 «Информационные технологии и безопасность.
Обеспечение информационной безопасности банков Республики Беларусь.
Общие положения».
 ТКП 483-2013 «Информационные технологии и безопасность. Безопасная
эксплуатация и надежное функционирование критически важных объектов
информатизации. Общие требования».
 «Методические рекомендации по обеспечению информационной
безопасности. Система менеджмента информационной безопасности»
http://oac.gov.by/files/files/kvoi/metod_recomend.docx.
8/91
Республика Беларусь
СТРУКТУРЫ СИСТЕМЫ ИБ

9. Область применения
Этапы внедрения СМИБ
Разработка (планирование) СМИБ
Внедрение СМИБ
Проверка СМИБ
Совершенствование СМИБ
Требования, предъявляемые к СМИБ
Требования к локальным нормативным правовым
актам организации
Требования к организации информационной
безопасности
Требования к управлению активами
Требования, связанные с персоналом
Требования к физической защите
Требования к функционированию средств обработки
информации, информационных систем и сетей
Требования к контролю доступа к СОИИСС
Требования к разработке, внедрению и обслуживанию
информационных систем
Требования к управлению инцидентами информационной
безопасности
Требования к информационной безопасности при
управлении непрерывностью основных процессов
организации
МЕТОДИЧЕСКИЕ РЕКОМЕНДАЦИИ ПО ОБЕСПЕЧЕНИЮ
ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ.
СИСТЕМА МЕНЕДЖМЕНТА ИНФОРМАЦИОННОЙ
БЕЗОПАСНОСТИ

10. «Информационные технологии и безопасность.
Обеспечение информационной безопасности
банков Республики Беларусь. Общие
положения»
 Распространяется на банки РБ.
 Устанавливает положения, концептуальную
схему, модели угроз и нарушителей ИБ.
 Предназначен для применения при
построении, проверке и оценке систем ИБ и
систем менеджмента ИБ банков.
10/91
СТБ 34.101.41
СТРУКТУРЫ СИСТЕМЫ ИБ

11. «Информационные технологии. Методы
обеспечения безопасности. Системы
менеджмента информационной безопасности.
Требования»
 Устанавливает требования к разработке,
внедрению, поддержанию и постоянному
улучшению СМИБ в контексте организации.
 Включает требования по оценке и
обработке рисков ИБ в соответствии с
потребностями организации.
 Носит общий характер и предназначен для
применения всеми организациями,
независимо от типа, размера или характера
деятельности.
11/91
СТБ ISO/IEC 27001
СТРУКТУРЫ СИСТЕМЫ ИБ

12. 12/91
ISO/IEC 27001
СИСТЕМА МЕНЕДЖМЕНТА ИБ

13. 13/91
Проект
разработки
и внедрения
СМИБ
7. Программа внедрения
СМИБ
3.
Инвентариза-
ция инфо-
активов
0. Start
2. Определить
область
применения
6. Разработать
программу
внедрения СМИБ
5b. Подготовить
план обработки
рисков
4. Оценка
риска
1. Получить
поддержку
руководства
N
N-1
Один из
проектов
программы
Реестр
План обработки
риска
Область
применения
Обоснование
для бизнеса
8. Система
менеджмента
информационной
безопасности
План проекта
План проекта
План проекта
11. Проверка
соответствия
5a.
Подготовить
положение о
применмости
Положение о
применимости
(SoA)
12.
Корректирующие
дествия
ISO/IEC 27002
13. Пред-
аудит
14.
Сертификаци
онный аудит
ISO/IEC 27001
Сертификат
ISO/IEC 27001
9. Свидетельства
функционирования
СМИБ
Copyright © 2016
ISO27k Forum Version 4
www.ISO27001security.com
Report
Report
Инциденты
Logs
Report
Отчеты по анализу
со стороны
руководства
Политики
Стандарты
Процедуры
Руководства
15.
Эксплуатация
СМИБ
16. Ежегодные
аудиторские
проверки
Report
Метрики
ISO/IEC 27005
ISO/IEC 27003
ISO/IEC 27004
10.
Внутренний
аудит СМИБ
Report
Report
BCP
Report
Отчеты по
аудиту
ISO 22301
НПА,
ТНПА,
договоры
Легенда
Деятельность
Международный
стандарт
Документ
или запись
Набор или
группа
Viacheslav Aksionov
Itsec.by

14.  Система менеджмента информационной безопасности (СМИБ) -
представляет модель для создания, внедрения,
функционирования, мониторинга, анализа, поддержки и
улучшения защиты информационных активов для достижения
деловых целей, основанную на оценке риска и на принятии
уровней риска организации, разработанную для эффективного
рассмотрения и управления рисками.
14/91
ISO/IEC 27001
СИСТЕМА МЕНЕДЖМЕНТА ИБ

15.  ISO 27001 обеспечивает модель для создания, внедрения,
эксплуатации, мониторинга, анализа, поддержания и
совершенствования менеджмента информационной безопасности.
 Принятие СМИБ должно быть стратегическим решением для
организации.
 На разработку и реализацию СМИБ организации влияют бизнес
потребности и цели, требования безопасности, применяемые
процессы, размер и структура организации.
 Реализация СМИБ должна масштабироваться и изменятся в
соответствии с потребностями организации.
15/91
ISO/IEC 27001
СИСТЕМА МЕНЕДЖМЕНТА ИБ
ISO/IEC 27001

16. 16/91
Структура стандарта СТБ ISO/IEC 27001-2016
СИСТЕМА МЕНЕДЖМЕНТА ИБ
4. Контекст организации
5. Лидерство
6. Планирование
7. Поддержка
8. Операционная деятельность
9. Оценивание пригодности
10. Улучшение
Приложение А – Перечень целей управления и средств управления (меры ЗИ)
PLAN
DO
CHECK
ACT

17. СИСТЕМА МЕНЕДЖМЕНТА ИБ
Структура стандарта СТБ ISO/IEC 27002 (меры)
ISO/IEC 27002
 ISO 27002 устанавливает руководящие и общие принципы
начинания, реализации, поддержания в рабочем состоянии и
улучшения управления защитой информации в организации.
 Цели, очерченные ISO 27002, дают общие руководящие
принципы по обычно принимаемым целям управления защитой
информации.
 Цели и средства управления ISO 27002 разработаны для
реализации, осуществляемой с целью выполнить требования,
выявленные оценкой рисков.
 ISO 27002 может служить в качестве практического руководства
по разработке организационных стандартов защиты и практик
эффективного управления защитой.

18.  включает в себя политики, процедуры, руководства и соответствующие
ресурсы и задачи, коллегиально управляемых организацией в целях защиты
ее информационных активов.
 представляет собой системный подход к разработке, внедрению,
функционированию, мониторингу, анализу, обеспечению и улучшению ИБ
организации для достижения бизнес-целей.
 основывается на оценке рисков и уровнях приемлемости рисков организации.
18/91
Система менеджмента ИБ (СМИБ)
УПРАВЛЕНИЕ ИБ

19. 19/91
4. Контекст организации
ISO/IEC 27001:2013
4.4 Система менеджмента информационной безопасности
4.3 Определение области применения системы менеджмента информационной безопасности
4.2 Понимание потребностей и ожиданий заинтересованных сторон
4.1 Понимание организации и ее контекста

20. 20/91
5. Лидерство
ISO/IEC 27001:2013
5.1 Лидерство и приверженность
5.2 Политика
5.3 Роли, обязанности и полномочия в организации

21. 21/91
6. Планирование
ISO/IEC 27001:2013
6.2 Цели информационной безопасности и
планирование их достижения
6.1 Действия по рассмотрению рисков и возможностей
6.1.1 Общие требования
6.1.2 Оценка риска
информационной безопасности
6.1.3 Обработка рисков
информационной безопасности

22. 22/91
7. Поддержка
ISO/IEC 27001:2013
7.1 Ресурсы
7.2 Компетентность
7.3 Осведомленность
7.4 Коммуникации
7.5 Документированная информация
• 7.5.1 Общие положения
• 7.5.2 Создание и обновление
• 7.5.3 Управление документированной информацией

23. 23/91
8. Операционная деятельность
ISO/IEC 27001:2013
8.1
Планирование и
управление
деятельностью
8.2 Оценка
рисков
информационной
безопасности
8.3 Обработка
риска
информационной
безопасности

24. 24/91
9. Оценивание пригодности
ISO/IEC 27001:2013
9.1 Мониторинг,
измерения,
анализ и
оценивание
9.2 Внутренний
аудит
9.3 Анализ со
стороны
руководства

25. 25/91
10. Улучшение
ISO/IEC 27001:2013
10.1
Несоответствия и
корректирующие
действия
10.2 Постоянное
улучшение

26. 26/91
Приложение А
ISO/IEC 27001:2013
А.5 Политики
информационной
безопасности
А.6 Организация
информационной
безопасности
А.7 Безопасность,
связанная с
персоналом
А.8 Управление
активами
А.9 Управление
доступом
А.10 Криптография
А.11 Физическая
безопасность и
защита от
окружающей среды
А.12 Операционная
деятельность по
обеспечению
безопасности
А.13 Безопасность
сети
А.14 Приобретение,
разработка и
сопровождение
систем
А.15
Взаимоотношения с
поставщиками
А.16 Управление
инцидентами в
области
информационной
безопасности
А.17 Аспекты
информационной
безопасности при
управлении
непрерывностью
бизнеса
А.18 Соответствие

27. 27/91
Приложение А
ISO/IEC 27001:2013
А.5 Политики
информационной
безопасности
А.5.1 Направляющая
роль руководства в
сфере
информационной
безопасности
А.6 Организация
информационной
безопасности
А.6.1 Внутренняя
организация
А.6.2 Мобильные
устройства и
удаленная работа
А.7 Безопасность,
связанная с
персоналом
А.7.1 До приема на
работу
А.7.2 Во время работы
А.7.3 Увольнение и
изменение должности
А.8 Управление
активами
А.8.1 Ответственность
за активы
А.8.2 Классификация
информации
А.8.3 Обращение с
носителями
информации
А.9 Управление
доступом
А.9.1 Бизнес-
требования к
управлению доступом
А.9.2 Управление
доступом
пользователей
А.9.3 Ответственность
пользователя
А.9.4 Управление
доступом к системам и
приложениям
А.10 Криптография
А.10.1
Криптографические
средства управления
А.11 Физическая
безопасность и защита
от окружающей среды
А.11.1 Зоны
безопасности
А.11.2 Оборудование
А.12 Операционная
деятельность по
обеспечению
безопасности
А.12.1 Рабочие
процедуры и
ответственность
А.12.2 Защита от
вредоносных
программ
А.12.3 Резервное
копирование
А.12.4 Регистрация и
мониторинг
А.12.5 Управление
операционным
программным
обеспечением
А.12.6 Управление
технической
уязвимостью
А.12.7 Аспекты аудита
информационных
систем
А.13 Безопасность
сети
А.13.1 Управление
безопасностью сети
А.13.2 Передача
информации
А.14 Приобретение,
разработка и
сопровождение
систем
А.14.1 Требования к
безопасности
информационных
систем
А.14.2 Безопасность
процессов разработки
и поддержки
А.14.3 Данные для
тестирования
А.15
Взаимоотношения с
поставщиками
А.15.1
Информационная
безопасность при
взаимоотношениях с
поставщиками
А.15.2 Управление
предоставлением
услуг поставщиком
А.16 Управление
инцидентами в
области
информационной
безопасности
А.16.1 Управление
инцидентами в
области
информационной
безопасности и
улучшения
А.17 Аспекты
информационной
безопасности при
управлении
непрерывностью
бизнеса
А.17.1 Непрерывность
информационной
безопасности
А.17.2 Избыточность А.18 Соответствие
А.18.1 Соответствие
законодательным и
договорным
требованиям
А.18.2 Анализ
информационной
безопасности

28. 28/91
А.5 Политики информационной безопасности
Приложение А - ISO/IEC 27001:2013
 А.5.1 Направляющая роль руководства в сфере
информационной безопасности

29. 29/91
А.6 Организация информационной безопасности
Приложение А - ISO/IEC 27001:2013
А.6.1 Внутренняя организация
А.6.2 Мобильные устройства и удаленная работа

30. 30/91
А.7 Безопасность, связанная с персоналом
Приложение А - ISO/IEC 27001:2013
А.7.1 До
приема на
работу
А.7.2 Во время
работы
А.7.3
Увольнение и
изменение
должности

31. 31/91
А.8 Управление активами
Приложение А - ISO/IEC 27001:2013
А.8.1
Ответственность
за активы
А.8.2
Классификация
информации
А.8.3 Обращение
с носителями
информации

32. 32/91
А.9 Управление доступом
Приложение А - ISO/IEC 27001:2013
А.9.1 Бизнес-
требования к
управлению
доступом
А.9.2 Управление
доступом
пользователей
А.9.3
Ответственность
пользователя

33. 33/91
А.9 Управление доступом
Приложение А - ISO/IEC 27001:2013
А.9.1 Бизнес-требования к управлению доступом
А.9.2 Управление доступом пользователей
А.9.3 Ответственность пользователя
А.9.4 Управление доступом к системам и приложениям

34. 34/91
А.10 Криптография
Приложение А - ISO/IEC 27001:2013
 А.10.1 Криптографические средства управления

35. 35/91
А.11 Физическая безопасность и защита от окружающей среды
Приложение А - ISO/IEC 27001:2013
 А.11.1 Зоны безопасности
 А.11.2 Оборудование

36. 36/91
А.12 Операционная деятельность по обеспечению безопасности
Приложение А - ISO/IEC 27001:2013
А.12.1 Рабочие
процедуры и
ответственность
А.12.2 Защита от
вредоносных
программ
А.12.3 Резервное
копирование
А.12.4 Регистрация
и мониторинг
А.12.5 Управление
операционным
программным
обеспечением
А.12.6 Управление
технической
уязвимостью
А.12.7 Аспекты
аудита
информационных
систем

37. 37/91
А.13 Безопасность сети
Приложение А - ISO/IEC 27001:2013
 А.13.1 Управление безопасностью сети
 А.13.2 Передача информации

38. 38/91
А.14 Приобретение, разработка и сопровождение систем
Приложение А - ISO/IEC 27001:2013
А.14.1 Требования
к безопасности
информационных
систем
А.14.2
Безопасность
процессов
разработки и
поддержки
А.14.3 Данные для
тестирования

39. 39/91
А.15 Взаимоотношения с поставщиками
Приложение А - ISO/IEC 27001:2013
 А.15.1 Информационная безопасность при
взаимоотношениях с поставщиками
 А.15.2 Управление предоставлением услуг поставщиком

40. 40/91
А.16 Управление инцидентами в области информационной
безопасности
Приложение А - ISO/IEC 27001:2013
 А.16.1 Управление инцидентами в области
информационной безопасности и улучшения

41. 41/91
А.17 Аспекты информационной безопасности при управлении
непрерывностью бизнеса
Приложение А - ISO/IEC 27001:2013
 А.17.1 Непрерывность информационной безопасности
 А.17.2 Избыточность

42. 42/91
А.18 Соответствие
Приложение А - ISO/IEC 27001:2013
 А.18.1 Соответствие законодательным и договорным
требованиям
 А.18.2 Анализ информационной безопасности

43. ПОВЕДЕНИЕ ОЦЕНКИ И РАЗРАБОТКА ПЛАНОВ
ОБРАБОТКИ РИСКОВ ИНФОРМАЦИОННОЙ
БЕЗОПАСНОСТИ

44. ОЦЕНКА И ОБРАБОТКА РИСКОВ ИБ
Когда безопасности достаточно?
• Сколько вы потеряете?
• Какой уровень (процент)
воздействия?
• Насколько вы уязвимы?
• Как риск может быть
снижен?
Вначале
мы
должны
понимать
риск

45. ОЦЕНКА И ОБРАБОТКА РИСКОВ ИБ
Еще раз вспомним
Шаг 3 – Оценка защитных мер
Определить потенциальные защитные меры и их стоимость
Шаг 2 – Оценка угроз и уязвимостей
Фаза 1 – Запустить автоматизированное средство оценки уязвимостей Фаза 2 – Проанализировать результаты
Шаг 1 – Инвентаризация, Определение, Требования
Фаза 1 – Идентифицировать критичные бизнес-
процессы
Фаза 2 – создать перечень активов
используемых в определенных бизнес-
процессах
Фаза 3 – Определить ценность данных активов

46. ОЦЕНКА И ОБРАБОТКА РИСКОВ ИБ
Еще раз вспомним
Шаг 5 – Мониторинг
Постоянный анализ новых угроз и изменения мер при необходимости. Значительные организационные
изменения должны привести к новой оценке рисков.
Шаг 4 – Коммуникация
Довести результаты соответствующим заинтересованным сторонам
Шаг 3 – Анализ, Решение/Обработка, Документирование
Фаза 1 – Проанализировать
перечень мер для каждой угрозы
Фаза 2 – выбрать наилучшие
меры для каждой угрозы
Фаза 3 – Документировать
процесс и результаты оценки

47. ОЦЕНКА РИСКОВ ИБ
СТБ 34.101.41
В банке должна быть принята / корректироваться методика оценки рисков нарушения ИБ / подход к оценке рисков нарушения ИБ.
В банке должны быть определены критерии принятия рисков нарушения ИБ и уровень допустимого риска нарушения ИБ.
Методика оценки рисков нарушения ИБ / подход к оценке рисков нарушения ИБ банка должна определять способ и порядок качественного или
количественного оценивания риска нарушения ИБ.
Порядок оценки рисков нарушения ИБ должен определять необходимые процедуры оценки рисков нарушения ИБ, а также последовательность их
выполнения.
Оценка рисков нарушения ИБ проводится для свойств ИБ всех информационных активов (типов информационных активов) области действия
СОИБ.
В банке рекомендуется создать и поддерживать в актуальном состоянии единый информационный ресурс (базу данных), содержащий
информацию об инцидентах ИБ.
Полученные в результате оценивания рисков нарушения ИБ величины рисков должны быть соотнесены с уровнем допустимого риска, принятого в
банке. Результатом выполнения указанной процедуры является документально оформленный перечень недопустимых рисков нарушения ИБ.
В банке должны быть документально определены роли, связанные с деятельностью по определению/коррекции методики оценки рисков
нарушения ИБ/подхода к оценке рисков нарушения ИБ, и назначены ответственные за выполнение указанных ролей.
В банке должны быть документально определены роли по оценке рисков нарушения ИБ и назначены ответственные за выполнение указанных
ролей.

48. ОБРАБОТКА РИСКОВ ИБ
СТБ 34.101.41
По каждому из рисков нарушения ИБ, который является недопустимым, должен быть
документально определен план, определяющий один из возможных способов его обработки:
•перенос риска на сторонние организации (например, путем страхования указанного риска);
•уход от риска (например, путем отказа от деятельности, выполнение которой приводит к по-явлению риска);
•осознанное принятие риска;
•формирование требований ИБ, снижающих риск нарушения ИБ до допустимого уровня и формирования планов по
их реализации.
Планы обработки рисков нарушения ИБ должны быть согласованы с руководителем службы
ИБ либо лицом, отвечающим в банке за обеспечение ИБ, и утверждены руководством.
Планы реализаций требований ИБ должны содержать последовательность и сроки реа-
лизации и внедрения организационных, технических и иных защитных мер.
В банке должны быть документально определены роли по разработке планов обработки
рисков нарушения ИБ и назначены ответственные за выполнение указанных ролей.