Похожие презентации:
Стандартизация в области управления ИБ
1. УПРАВЛЕНИЕ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТЬЮ
Лекция 2«Стандартизация в
области управления ИБ»
2. Вопросы:
1. Развитие стандартов в областиуправления ИБ.
2. Основные стандарты по
управлению ИБ.
3. Отраслевые стандарты и
стандарты на отдельные
процессы управления ИБ.
3. Вопрос 1: «Развитие стандартов в области управления ИБ»
ISO(International
Organization
for
Standardization) – Международная организация
по стандартизации. Разрабатывает технические
стандарты по всем направлениям бизнеса,
отраслям промышленности и технологиям.
Цели деятельности:
содействие развитию стандартизации;
облегчение международного товарообмена и
взаимопомощи;
расширение
сотрудничества
в
области
интеллектуальной, научной, технической и
экономической деятельности.
4. Некоторые сведения об ISO
Дата открытия – 26октября 1946 г.
Штаб
квартира
в
Женеве, Швейцария.
Ежегодно - более 1000 международных
стандартов.
Комитетами-членами
ISO
являются
национальные
организации
по
стандартизации.
5. ISO разрабатывает стандарты
ISO9000 – для менеджмента
качества,
ISO 14000 – для экологического
менеджмента,
ISO 27000 - для менеджмента
информационной безопасности.
6. Этапы развития стандартов ISO 27001 и 27002
7. Появление первого стандарта ИБ: IDC 1989
Министерствоторговли
и
промышленности
Великобритании
(DTI) разработало свод лучших
практик
по
обеспечению
безопасности».
IDC - подразделение DTI.
DTI
опубликовало в 1989 году
стандарт «User Code of Practice».
8. Британский стандарт (BS) 7799
В 1995 г. национальный британскийстандарт BS 7799.
BS 7799 часть 1. Рекомендательный
характер, набор лучших практик в
области обеспечения ИБ.
BS 7799 часть 2. Для сертификации.
Обязательные
требования,
не
входившие в часть 1.
9. Появление ISO 17999
В1999 г. ISO принимает за базу BS
7799: часть 1.
В 2000 году BS 7799:1:
стал ISO 17799,
получил статус международного
стандарта.
Изначально сертификации по ISO
17799 предусмотрено не было.
10. Утверждение 27001 и 27002
После выпуска новой версии стандартаBS 7799:2002, Часть 2 стандарт ISO
17999
пересмотрен
как
ISO
17999:2005, затем название изменено
на ISO 27002:2005.
В июле 2007 года стандарт BS 7799,
Часть 2 выпущен ISO как стандарт
ISO 27001:2005.
11. Преимущества и недостатки внедрения СМИБ в соответствии со стандартами
Внедрение стандартов обеспеченияИБ, дает преимущества:
приобщение к лучшим мировым и
отечественным практикам;
упорядочение
бизнес-процессов
организации в рамках предметной
области стандарта и более строгое
их исполнение сотрудниками.
12. Недостатки стандартизации
Излишняяформализация
деятельности;
Бюрократизация;
Возрастающая нагрузка на
исполнителей и аудиторов;
Несовершенство стандартов.
13. Вопрос 2: «Основные стандарты по управлению ИБ»
СтандартISO/IEC
Описание
27000
Обзор и словарь
27001
Системы менеджмента информационной безопасности Требования
27002
Свод правил по менеджменту информационной безопасности
27003
Руководство по внедрению системы менеджмента
информационной безопасности
27004
Менеджмент информационной безопасности – Измерения
27005
Менеджмент рисков
27006
Требования к органам аудита и сертификации
14. НАЦИОНАЛЬНЫЕ СТАНДАРТЫ РФ
ГОСТ Р ИСО/МЭК 27000-2012 Информационнаятехнология. Методы и средства обеспечения
безопасности. Системы менеджмента
информационной безопасности. Общий обзор и
терминология
ГОСТ Р ИСО/МЭК 27001-2006 Системы менеджмента
информационной безопасности. Требования
ГОСТ Р ИСО/МЭК 27002-2012 Свод норм и правил
менеджмента информационной безопасности
ГОСТ Р ИСО/МЭК 27003-2012 Системы менеджмента
информационной безопасности. Руководство по
реализации системы менеджмента информационной
безопасности
15.
ГОСТ Р ИСО/МЭК 27004-2011 Менеджментинформационной безопасности. Измерения
ГОСТ Р ИСО/МЭК 27005-2010. Менеджмент
риска информационной безопасности
ГОСТ Р ИСО/МЭК 27006-2008. Требования к
органам, осуществляющим аудит и
сертификацию систем менеджмента
информационной безопасности
ГОСТ Р ИСО/МЭК 27007-2014 Руководства по
аудиту систем менеджмента ИБ.
16.
ГОСТ Р ИСО/МЭК 27011-2012 Руководства поменеджменту ИБ для телекоммуникационных
организаций на основе ИСО/МЭК 27002.
ГОСТ Р ИСО/МЭК 27031-2012 Руководство по
готовности информационно-коммуникационных
технологий к обеспечению непрерывности бизнеса.
ГОСТ Р ИСО/МЭК 27033-2011 Безопасность сетей.
ГОСТ Р ИСО/МЭК 27037-2014 Руководства по
идентификации, сбору, получению и хранению
свидетельств, представленных в цифровой форме.
ГОСТ Р ИСО/МЭК 27013-2014 Руководство по
совместному использованию стандартов ИСО/МЭК
27001 и ИСО/МЭК 20000-1.
17. ГОСТ Р 54472-2011
ISO 27799:2008 Health informatics- Information security management
in health using ISO/IEC 27002
ГОСТ Р 54472-2011
Информатизация здоровья.
Передача электронных
медицинских карт. Часть 4.
Безопасность
18. Система управления ИБ на основе стандарта ISO 27001 для предприятия позволяет:
Сделатьбольшинство
информационных
активов
наиболее
понятными
для
менеджмента компании;
Выявлять основные угрозы безопасности для
существующих бизнес-процессов;
Рассчитывать риски и принимать решения на
основе бизнес-целей компании;
Обеспечить
эффективное
управление
системой в критичных ситуациях;
Находить
и исправлять слабые места в
системе ИБ).
19.
Определитьличную ответственность.
Достигнуть
снижения
и
оптимизации
стоимости поддержки системы безопасности.
Продемонстрировать
клиентам, партнерам,
владельцам бизнеса свою приверженность к
информационной безопасности.
Получить
международное
признание
и
повышение авторитета компании, как на
внутреннем рынке, так и на внешних рынках
Подчеркнуть прозрачность и чистоту бизнеса
перед законом благодаря соответствию
стандарту.
20. Стандарт ISO 27001
Требования имеют общий характер и могутбыть
использованы
широким
кругом
организаций.
По стандарту проводится официальная
сертификация СУИБ.
Сертификация позволяет показать деловым
партнерам, инвесторам и клиентам, что в
компании защита информации поставлена на
высокий уровень и налажено эффективное
управление информационной безопасностью.
21. Стандарт ISO 27002
Сводправил и рекомендаций по
управлению системой безопасности
для тех, кто отвечает за ее создание,
реализацию или обслуживание.
Перечислены
меры
и
средства
контроля и управления, как и в ISO
27001, но уже вместе с детальным
объяснением передового опыта их
реализации.
22. Достоинства ISO 27001-27002
Гибкостьи универсальность.
Набор лучших практик применим к
любой организации, независимо от
формы
собственности,
вида
деятельности, размера и внешних
условий.
Помогает
определить
верное
направление и не упустить из виду
существенные моменты.
23. Недостатки ISO 27001
Является слишком абстрактным инечетко структурированным.
Недостаточно основательное его
применение может давать ложное
чувство защищенности.
Описывает меры по обеспечению
безопасности в общем виде, но не
говорит о технических аспектах их
реализации (USB-ключи, смарткарты, и т.п.)
24.
25.
26.
27. Вопрос 3: «Отраслевые стандарты и стандарты на отдельные процессы управления ИБ»
СТОБР ИББС РФ;
Стандарты CoBiT
ISO\IEC 18044/18045;
Британские стандарты BS
25999/25777.
28. СТО БР ИББС
— комплекс документов БанкаРоссии, описывающий единый подход к
построению
системы
обеспечения
ИБ
организаций банковской сферы с учётом
требований российского законодательства.
Цель - обеспечить повышение доверия ко всей
банковской системе РФ посредством установки
единых требований по обеспечению ИБ
кредитных организаций.
Разработан с учетом основных отечественных
и зарубежных стандартов в этой сфере.
29.
30.
31.
32.
33. Рекомендации в области стандартизации
Обеспечение ИБ организаций БС РФ.Методические рекомендации по документации в
области обеспечения ИБ в соответствии с
требованиями СТО БР ИББС-1.0 (РС БР ИББС-2.02007)
Обеспечение ИБ организаций БС РФ. Руководство
по самооценке соответствия ИБ организаций
банковской системы РФ требованиям стандарта
СТО БР ИББС-1.0 (РС БР ИББС-2.1-2007)
Обеспечение ИБ организаций БС РФ. Методика
оценки рисков нарушения ИБ (РC БР ИББС-2.22009)
34. Рекомендации в области стандартизации
Обеспечение ИБ организаций БС РФ.Менеджмент инцидентов
информационной безопасности (РС
БР ИББС-2.5-2014)
Обеспечение ИБ организаций БС РФ.
Обеспечение информационной
безопасности на стадиях
жизненного цикла
автоматизированных банковских
систем (РС БР ИББС-2.6-2014).
35. Рекомендации в области стандартизации 2015 г
Обеспечение ИБ организаций БС РФ.Ресурсное обеспечение
информационной безопасности (РС
БР ИББС-2.7-2015)
Обеспечение ИБ организаций БС РФ.
Обеспечение информационной
безопасности при использовании
технологии виртуализации (РС БР
ИББС-2.8-2015)
36. РС по защите ПДн:
1. РС БР ИББС-2.3-2010. «Требованияпо обеспечению безопасности ПДн в
ИСПДн организаций БС РФ».
2. РС БР ИББС-2.4-2010. «Отраслевая
частная модель угроз безопасности
ПДн при их обработке в ИСПДн
данных организаций БС РФ».
37. Преимущества СТО БР ИББС при организации защиты ПДн в РФ
Возможнозначительно минимизировать
количество ИСПДн и уменьшить расходы
на внедрение технических решений.
Согласно Методическим рекомендациям
по
выполнению
законодательных
требований
при
обработке
ПДн
в
организациях БС РФ, защищать нужно не
по требованиям защиты ПДн, а по
требованиям защиты банковской тайны.
38. Стандарты CoBiT
CoBiT(Control
Objectives
for
Information and Related Technology
(«Задачи
информационных
и
смежных технологий») - пакет
открытых документов, около 40
международных и национальных
стандартов и руководств в области
управления
IT,
аудита
и
ITбезопасности.
39. Показатели эффективности CoBiT
Вводит показатели (метрики) для оценкиэффективности
реализации
системы
управления IT для аудиторов IT-систем.
Оцениваются
показатели
соответствия
компьютерной
IT-системы
принятым
стандартам и требованиям:
достоверность информации, действенность,
конфиденциальность,
целостность
и
доступность
обрабатываемой
в
системе
информации.
40. Реализация CoBiT в ИББС (пример)
БР ставит своей задачей соответствовать уровнюне ниже 4 "модели зрелости управления
информационными технологиями" в соответствии
с классификацией стандарта COBIT.
Четвертый уровень ("управляемый")
подразумевает, что:
обеспечиваются мониторинг и оценка соответствия
используемых в организации процессов.
при выявлении низкой эффективности реализуемых
процессов управления ИБ обеспечивается их оптимизация.
процессы управления ИБ находятся в стадии непрерывного
совершенствования и основываются на хорошей практике.
средства автоматизации управления ИБ используются
частично и в ограниченном объеме.
41. Стандарт ISO 18044
Стандарт ISO/IEC TR 18044:2004 (ГОСТ РИСО/МЭК ТО 18044-2007) Информационная технология - Методы и
средства обеспечения безопасности –
Менеджмент инцидентов
информационной безопасности.
Предназначен
для
использования
организациями всех сфер деятельности
при
обеспечении
информационной
безопасности в процессе менеджмента
инцидентов.
42. Примеры инцидентов ИБ
1. Отказ в обслуживании (зондированиесетевых адресов, полное заполнение сети
трафиком ответных сообщений, передача
данных в непредусмотренном формате,
одновременное открытие нескольких
сеансов с системой, сервисом, сетью).
2. Сбор информации (зондирование
системы, сканирование портов).
3. НСД (попытки извлечь файлы с паролями,
расширение привилегий).
43. Стандарт ISO 18045
ГОСТ Р ИСО/МЭК 18045-2013Методология оценки безопасности
информационных технологий
Сопровождает ИСО/МЭК 15408
«Информационная технология – методы и
средства обеспечения безопасности –
критерии оценки безопасности
информационных технологий»
44. Британские стандарты серии BS 25999 и BS 25777
1.BS 25999-1:2006, «Управление
непрерывностью бизнеса - Часть 1:
Практические правила»
Определяет
процесс,
принципы
и
терминологию в области управления
непрерывностью бизнеса.
Описывает набор механизмов контроля и
охватывает
весь
жизненный
цикл
процесса управления непрерывностью
бизнеса.
45. BS 25999-2:2007 «Управление непрерывностью бизнеса - Часть 2: Спецификация»
Устанавливаеттребования
к
системе
управления
непрерывностью
бизнеса,
соблюдение которых может быть объективно
проверено.
Используя эти требования, компании могут
проводить оценку существующей системы
управления непрерывностью бизнеса, как
самостоятельно, так и привлекая внешних
консультантов.
На основании второй части стандарта
сертификационные
органы
выдают
заключение
о
соответствии
системы
управления
непрерывностью
бизнеса
требованиям стандарта BS 25999.
46. BS 25777:2008, "Управление непрерывностью информационных и коммуникационных технологий – Практические правила"
Разработанна
базе
существующих
стандартов обеспечения непрерывности
бизнеса BS 25999 и дополняющей их
публичной спецификации PAS 77, - лучшая
мировая практика в области обеспечения
непрерывности ИТ сервисов.
Управление непрерывностью ИКТ
обеспечивает их жизнеспособность,
возможность их восстановления до заранее
определенного уровня в необходимые
сроки, согласованные с руководством
организации.
47. PAS 77:2006, "Управление непрерывностью ИТ сервисов"
Руководствопо управлению непрерывностью
ИТ
сервисов
объясняет
принципы
и
некоторые
рекомендуемые
методы
управления ИТ сервисами.
Предназначено для использования людьми,
ответственными
за
управление
непрерывностью
ИТ
сервисами
в
организации.
ГОСТ Р 53647.8-2013
Менеджмент непрерывности бизнеса.
Управление человеческими ресурсами
48. ISO/IEC 13335 (отменены)
ГОСТ Р ИСО/МЭК 13335-1-2006. «ИТ. Методы исредства обеспечения безопасности. Концепция и
модели менеджмента безопасности ИТ технологий».
ГОСТ Р ИСО/МЭК 13335-3 2007 «ИТ. Методы и
средства обеспечения безопасности. Методы
менеджмента безопасности информационных
технологий»
ГОСТ Р ИСО/МЭК 13335-4 2007«ИТ. Методы и
средства обеспечения безопасности. Выбор
защитных мер».
ГОСТ Р ИСО/МЭК 13335-5 2007«ИТ. Методы и
средства обеспечения безопасности. Руководство по
менеджменту безопасности сети».