Информационная безопасность, защита данных, управление рисками
Роман Никишов
ООО «Международная служба сертификации» (ООО «МСС»)
Ведущий аудитор
«Стандарт ISO 27001 как основа системы управления рисками информационной безопасности» (0)
1 Понятие «Информационная безопасность» (ИБ).
• «Три кита» информационной безопасности – конфиденциальность, целостность, доступность.
• Безопасность – сведение к разумному минимуму потерь конфиденциальности, целостности, доступности.
• Понятие «Риск» и концепция приемлемого уровня риска.
2 Системный подход к информационной безопасности.
• Методы Cyber Security как конкретные инструменты обеспечения информационной безопасности.
• ISMS (Information Security Management System) как система, обеспечивающая интеграцию и совместное применение инструментов Cyber Security на основе менеджмента рисков.
• Основные свойства ISMS: сбалансированность, воспроизводимость, динамичность.
4 Подход к управлению рисками в ISMS (стандарт ISO 27001).
• Концепция PDCA применительно к риск-менеджменту.
• Модель «Актив – Угроза – Уязвимость» для оценки рисков (методика «Галстук-бабочка»).
• Общая структура риск-менеджмента в ISMS.
• Алгоритм управления рисками: Анализ контекста => Идентификация активов => Выявление угроз => Анализ существующих мер управления => Оценка рисков => Решение о необходимости дополнительных мер (план обработки рисков) => Внедрение дополнительных мер => Мониторинг результативности.
5 Приложение А стандарта ISO 27001
• Приложение А – предопределённый набор мер управления (контролей) для минимизации рисков информационной безопасности.
• Связь рисков, методов обработки и контролей в «Положении о применимости» стандарта ISO 27001.
• Необходимость обоснования применимости и неприменимости контролей.
6 Пример управления рисками, инцидент с трояном-шифровальщиком
• Актив – база данных 1С.
• Угорзы: нелояльный персонал; доступ хакетров внутрь периметра; мейл-рассылки вредоносных программ.
• Меры защиты: firewall, антивирус, регламенты действия пользователей, резервное копирование.
• Уязвимость – отсутствие контроля за действиями пользователей, отсутствие проверки целостности резервных копий.
• План обработки рисков: внедрение SIEM системы; увеличение частоты резервного копирования; внедрение инструментов контроля целостности резервных копий.
• Реализация плана и мониторинг результативности мер (отслеживание эволюции риска).
7 Заключение
• ISMS – инструмент оптимизации затрат при обеспечении приемлемого уровня информационной безопасности.
Показать полностью...
• «Три кита» информационной безопасности – конфиденциальность, целостность, доступность.
• Безопасность – сведение к разумному минимуму потерь конфиденциальности, целостности, доступности.
• Понятие «Риск» и концепция приемлемого уровня риска.
2 Системный подход к информационной безопасности.
• Методы Cyber Security как конкретные инструменты обеспечения информационной безопасности.
• ISMS (Information Security Management System) как система, обеспечивающая интеграцию и совместное применение инструментов Cyber Security на основе менеджмента рисков.
• Основные свойства ISMS: сбалансированность, воспроизводимость, динамичность.
4 Подход к управлению рисками в ISMS (стандарт ISO 27001).
• Концепция PDCA применительно к риск-менеджменту.
• Модель «Актив – Угроза – Уязвимость» для оценки рисков (методика «Галстук-бабочка»).
• Общая структура риск-менеджмента в ISMS.
• Алгоритм управления рисками: Анализ контекста => Идентификация активов => Выявление угроз => Анализ существующих мер управления => Оценка рисков => Решение о необходимости дополнительных мер (план обработки рисков) => Внедрение дополнительных мер => Мониторинг результативности.
5 Приложение А стандарта ISO 27001
• Приложение А – предопределённый набор мер управления (контролей) для минимизации рисков информационной безопасности.
• Связь рисков, методов обработки и контролей в «Положении о применимости» стандарта ISO 27001.
• Необходимость обоснования применимости и неприменимости контролей.
6 Пример управления рисками, инцидент с трояном-шифровальщиком
• Актив – база данных 1С.
• Угорзы: нелояльный персонал; доступ хакетров внутрь периметра; мейл-рассылки вредоносных программ.
• Меры защиты: firewall, антивирус, регламенты действия пользователей, резервное копирование.
• Уязвимость – отсутствие контроля за действиями пользователей, отсутствие проверки целостности резервных копий.
• План обработки рисков: внедрение SIEM системы; увеличение частоты резервного копирования; внедрение инструментов контроля целостности резервных копий.
• Реализация плана и мониторинг результативности мер (отслеживание эволюции риска).
7 Заключение
• ISMS – инструмент оптимизации затрат при обеспечении приемлемого уровня информационной безопасности.
25 Февраля 10:00-10:30
Зал: Пресс-зал
Бронируйте билеты по выгодной цене
С 15 февраля будет повышение цены на билеты.
Вы можете сейчас забронировать себе билеты по выгодной цене, затем у вас будет 7 дней на оплату.
Для просмотра комментариев необходимо авторизоваться
Внимание! У вас нет прав на просмотр топика