🗊Внедрение СУИБ, соответствующей ИСО 27001, в ИТ компании Алексей Евменков. Tieto

Категория: Образование
Нажмите для полного просмотра!
Внедрение СУИБ, соответствующей ИСО 27001, в ИТ компании   Алексей Евменков. Tieto, слайд №1Внедрение СУИБ, соответствующей ИСО 27001, в ИТ компании   Алексей Евменков. Tieto, слайд №2Внедрение СУИБ, соответствующей ИСО 27001, в ИТ компании   Алексей Евменков. Tieto, слайд №3Внедрение СУИБ, соответствующей ИСО 27001, в ИТ компании   Алексей Евменков. Tieto, слайд №4Внедрение СУИБ, соответствующей ИСО 27001, в ИТ компании   Алексей Евменков. Tieto, слайд №5Внедрение СУИБ, соответствующей ИСО 27001, в ИТ компании   Алексей Евменков. Tieto, слайд №6Внедрение СУИБ, соответствующей ИСО 27001, в ИТ компании   Алексей Евменков. Tieto, слайд №7Внедрение СУИБ, соответствующей ИСО 27001, в ИТ компании   Алексей Евменков. Tieto, слайд №8Внедрение СУИБ, соответствующей ИСО 27001, в ИТ компании   Алексей Евменков. Tieto, слайд №9Внедрение СУИБ, соответствующей ИСО 27001, в ИТ компании   Алексей Евменков. Tieto, слайд №10Внедрение СУИБ, соответствующей ИСО 27001, в ИТ компании   Алексей Евменков. Tieto, слайд №11Внедрение СУИБ, соответствующей ИСО 27001, в ИТ компании   Алексей Евменков. Tieto, слайд №12Внедрение СУИБ, соответствующей ИСО 27001, в ИТ компании   Алексей Евменков. Tieto, слайд №13Внедрение СУИБ, соответствующей ИСО 27001, в ИТ компании   Алексей Евменков. Tieto, слайд №14Внедрение СУИБ, соответствующей ИСО 27001, в ИТ компании   Алексей Евменков. Tieto, слайд №15Внедрение СУИБ, соответствующей ИСО 27001, в ИТ компании   Алексей Евменков. Tieto, слайд №16Внедрение СУИБ, соответствующей ИСО 27001, в ИТ компании   Алексей Евменков. Tieto, слайд №17Внедрение СУИБ, соответствующей ИСО 27001, в ИТ компании   Алексей Евменков. Tieto, слайд №18Внедрение СУИБ, соответствующей ИСО 27001, в ИТ компании   Алексей Евменков. Tieto, слайд №19Внедрение СУИБ, соответствующей ИСО 27001, в ИТ компании   Алексей Евменков. Tieto, слайд №20Внедрение СУИБ, соответствующей ИСО 27001, в ИТ компании   Алексей Евменков. Tieto, слайд №21Внедрение СУИБ, соответствующей ИСО 27001, в ИТ компании   Алексей Евменков. Tieto, слайд №22Внедрение СУИБ, соответствующей ИСО 27001, в ИТ компании   Алексей Евменков. Tieto, слайд №23Внедрение СУИБ, соответствующей ИСО 27001, в ИТ компании   Алексей Евменков. Tieto, слайд №24Внедрение СУИБ, соответствующей ИСО 27001, в ИТ компании   Алексей Евменков. Tieto, слайд №25Внедрение СУИБ, соответствующей ИСО 27001, в ИТ компании   Алексей Евменков. Tieto, слайд №26Внедрение СУИБ, соответствующей ИСО 27001, в ИТ компании   Алексей Евменков. Tieto, слайд №27Внедрение СУИБ, соответствующей ИСО 27001, в ИТ компании   Алексей Евменков. Tieto, слайд №28Внедрение СУИБ, соответствующей ИСО 27001, в ИТ компании   Алексей Евменков. Tieto, слайд №29Внедрение СУИБ, соответствующей ИСО 27001, в ИТ компании   Алексей Евменков. Tieto, слайд №30Внедрение СУИБ, соответствующей ИСО 27001, в ИТ компании   Алексей Евменков. Tieto, слайд №31Внедрение СУИБ, соответствующей ИСО 27001, в ИТ компании   Алексей Евменков. Tieto, слайд №32Внедрение СУИБ, соответствующей ИСО 27001, в ИТ компании   Алексей Евменков. Tieto, слайд №33Внедрение СУИБ, соответствующей ИСО 27001, в ИТ компании   Алексей Евменков. Tieto, слайд №34Внедрение СУИБ, соответствующей ИСО 27001, в ИТ компании   Алексей Евменков. Tieto, слайд №35Внедрение СУИБ, соответствующей ИСО 27001, в ИТ компании   Алексей Евменков. Tieto, слайд №36Внедрение СУИБ, соответствующей ИСО 27001, в ИТ компании   Алексей Евменков. Tieto, слайд №37Внедрение СУИБ, соответствующей ИСО 27001, в ИТ компании   Алексей Евменков. Tieto, слайд №38

Содержание

Вы можете ознакомиться и скачать Внедрение СУИБ, соответствующей ИСО 27001, в ИТ компании Алексей Евменков. Tieto. Презентация содержит 38 слайдов. Презентации для любого класса можно скачать бесплатно. Если материал и наш сайт презентаций Вам понравились – поделитесь им с друзьями с помощью социальных кнопок и добавьте в закладки в своем браузере.

Слайды и текст этой презентации


Слайд 1





Внедрение СУИБ, соответствующей ИСО 27001, в ИТ компании 
Алексей Евменков. Tieto
Описание слайда:
Внедрение СУИБ, соответствующей ИСО 27001, в ИТ компании Алексей Евменков. Tieto

Слайд 2





План презентации
Введение
Теория
Практика
Заключение
Описание слайда:
План презентации Введение Теория Практика Заключение

Слайд 3






Введение
Описание слайда:
Введение

Слайд 4





Термины и определения
ИБ = Информационная Безопасность (information security): 
свойство информации сохранять конфиденциальность, целостность и доступность. [Источник: ГОСТ Р ИСО/МЭК 27001:2006]
СУИБ = Система Управления Информационной Безопасностью:
часть общей системы менеджмента, 
основанная на использовании методов оценки бизнес-рисков 
для разработки, внедрения,функционирования, мониторинга, анализа, поддержки и улучшения информационной безопасности. [Источник: ГОСТ Р ИСО/МЭК 27001:2006]
Альтернативное определение СУИБ: 
Система, основанная на управлении бизнес-рисками
Для защиты активов (assets) выбираются и внедряются соответствующие защитные меры (security controls)
Описание слайда:
Термины и определения ИБ = Информационная Безопасность (information security): свойство информации сохранять конфиденциальность, целостность и доступность. [Источник: ГОСТ Р ИСО/МЭК 27001:2006] СУИБ = Система Управления Информационной Безопасностью: часть общей системы менеджмента, основанная на использовании методов оценки бизнес-рисков для разработки, внедрения,функционирования, мониторинга, анализа, поддержки и улучшения информационной безопасности. [Источник: ГОСТ Р ИСО/МЭК 27001:2006] Альтернативное определение СУИБ: Система, основанная на управлении бизнес-рисками Для защиты активов (assets) выбираются и внедряются соответствующие защитные меры (security controls)

Слайд 5





Зачем необходима СУИБ?
Бизнес-риски срабатывают, а Вы о них даже не подозревали?
Ваши партнеры не считают Вас вполне надежными?
Ваша внутренняя информация не всегда под контролем?
Ваши процессы не совсем зрелые в области ИБ? 
Вы более пассивны чем проактивны в области ИБ?
У Вас воруют лаптопы?
Пора внедрять СУИБ !
Описание слайда:
Зачем необходима СУИБ? Бизнес-риски срабатывают, а Вы о них даже не подозревали? Ваши партнеры не считают Вас вполне надежными? Ваша внутренняя информация не всегда под контролем? Ваши процессы не совсем зрелые в области ИБ? Вы более пассивны чем проактивны в области ИБ? У Вас воруют лаптопы? Пора внедрять СУИБ !

Слайд 6





Преимущества сертифицированной СУИБ
Стандарт содержит разумную, выверенную последовательность действий, которую всегда можно подправить под собственные нужды
Один раз сертифицирован, признан везде!
Ежегодное подтверждение сертификата поддерживает тонус
Описание слайда:
Преимущества сертифицированной СУИБ Стандарт содержит разумную, выверенную последовательность действий, которую всегда можно подправить под собственные нужды Один раз сертифицирован, признан везде! Ежегодное подтверждение сертификата поддерживает тонус

Слайд 7





Основная причина сертификации СУИБ
Заказчик требует\повышение конкурентоспособности
Описание слайда:
Основная причина сертификации СУИБ Заказчик требует\повышение конкурентоспособности

Слайд 8





Сколько ИСО 27001 сертификатов в мире?
Описание слайда:
Сколько ИСО 27001 сертификатов в мире?

Слайд 9






Теория
Описание слайда:
Теория

Слайд 10





Семейство стандартов ИСО 27000
Описание слайда:
Семейство стандартов ИСО 27000

Слайд 11





Принципы ИСО 27001
Процессный подход
Цикл PDCA (Plan-Do-Check-Act)
Описание слайда:
Принципы ИСО 27001 Процессный подход Цикл PDCA (Plan-Do-Check-Act)

Слайд 12





Процессный подход
Описание слайда:
Процессный подход

Слайд 13





Процессный подход (пример)
Описание слайда:
Процессный подход (пример)

Слайд 14





Цикл PDCA (пример)
Описание слайда:
Цикл PDCA (пример)

Слайд 15





Риски – центральная тема СУИБ
Мало кто знает, что ...
За год от падения кокосов погибает в десятки раз больше людей, чем от акул
Часто мы боимся не то, что нужно
Мужчины поражаемы молнией в 4 раза более часто чем женщины
В жизни бывают странные закономерности
Шанс выйграть в лотерею обычно ~1 из 14млн. Шанс заболеть птичьим гриппом 1 из 100млн.
Наши ожидания и страхи зачастую иррациональны, пока не проанализируешь их
Описание слайда:
Риски – центральная тема СУИБ Мало кто знает, что ... За год от падения кокосов погибает в десятки раз больше людей, чем от акул Часто мы боимся не то, что нужно Мужчины поражаемы молнией в 4 раза более часто чем женщины В жизни бывают странные закономерности Шанс выйграть в лотерею обычно ~1 из 14млн. Шанс заболеть птичьим гриппом 1 из 100млн. Наши ожидания и страхи зачастую иррациональны, пока не проанализируешь их

Слайд 16





Риски – центральная тема СУИБ
Риски необходимо учитывать
Разные риски должны обрабатываться «по-разному»
СУИБ предоставляет набор инструментов по управлению рисками
Описание слайда:
Риски – центральная тема СУИБ Риски необходимо учитывать Разные риски должны обрабатываться «по-разному» СУИБ предоставляет набор инструментов по управлению рисками

Слайд 17





Управление рисками в СУИБ
Угроза - причина нежелательного инцидента, который может привести 
к негативным последствиям для организации .

Уязвимость – недостаток  нформационного ресурса или группы ресурсов, который способствует реализации угрозы. 

Риск - комбинация вероятности срабатывания угрозы через уязвимость, с последующим уроном для активов организации 

Защитная мера – действия по минимизации риска
Описание слайда:
Управление рисками в СУИБ Угроза - причина нежелательного инцидента, который может привести к негативным последствиям для организации . Уязвимость – недостаток нформационного ресурса или группы ресурсов, который способствует реализации угрозы. Риск - комбинация вероятности срабатывания угрозы через уязвимость, с последующим уроном для активов организации Защитная мера – действия по минимизации риска

Слайд 18





Управление рисками в СУИБ
Описание слайда:
Управление рисками в СУИБ

Слайд 19





Процесс оценки рисков
Описание слайда:
Процесс оценки рисков

Слайд 20





Список защитных мер (ИСО 27002)
Описание слайда:
Список защитных мер (ИСО 27002)

Слайд 21






Практика
Описание слайда:
Практика

Слайд 22





Вызовы при создании СУИБ
Необходимость в установлении специфических процессов
Например, измерение эффективности защитных мер, аудиты по безопасности
Создание комплекта документации
Шаблоны, практики, собственно сам документооборот
Необходимость в автоматизация процессов
Например, управление рисков очень трудоемко без автоматизации
Организационные аспекты
Ответственные за политики, тренинг персонала, как получить «вовлеченность менежмента» (management commitment) 
Сложный процесс сертификации
Описание слайда:
Вызовы при создании СУИБ Необходимость в установлении специфических процессов Например, измерение эффективности защитных мер, аудиты по безопасности Создание комплекта документации Шаблоны, практики, собственно сам документооборот Необходимость в автоматизация процессов Например, управление рисков очень трудоемко без автоматизации Организационные аспекты Ответственные за политики, тренинг персонала, как получить «вовлеченность менежмента» (management commitment) Сложный процесс сертификации

Слайд 23





Схема функционирования СУИБ
Описание слайда:
Схема функционирования СУИБ

Слайд 24





Пример определения угроз и уязвимостей
Фильтрация по доступным активам
Определение списка угроз для выделенного актива
Определение уязвимостей, посредством которых данная угроза может реализоваться
Описание слайда:
Пример определения угроз и уязвимостей Фильтрация по доступным активам Определение списка угроз для выделенного актива Определение уязвимостей, посредством которых данная угроза может реализоваться

Слайд 25





Пример оценки рисков
Описание слайда:
Пример оценки рисков

Слайд 26





Отчеты
Стандарт требует некоторые обязательные отчеты
Например план по обработке рисков (Risk Treatment Plan)
Положение о применимости (Statement of Applicability)
Важно динамическая генерация отчетов
Доступ к любой информации в базе
Описание слайда:
Отчеты Стандарт требует некоторые обязательные отчеты Например план по обработке рисков (Risk Treatment Plan) Положение о применимости (Statement of Applicability) Важно динамическая генерация отчетов Доступ к любой информации в базе

Слайд 27





ISMS Portal
Необходимо создать «единую точку входа» для всех сотрудников организации
Автоматизированный документооборот (версионность, workflows)
Описание слайда:
ISMS Portal Необходимо создать «единую точку входа» для всех сотрудников организации Автоматизированный документооборот (версионность, workflows)

Слайд 28





ISMS Portal - реализация
Описание слайда:
ISMS Portal - реализация

Слайд 29





ISMS Portal - примеры
Документация
Записи
Тренинги
Метрики
Аудиты
И т.д.

Управление инцидентами
Описание слайда:
ISMS Portal - примеры Документация Записи Тренинги Метрики Аудиты И т.д. Управление инцидентами

Слайд 30





ISMS Portal - примеры
Аудиты 
Записи об аудите
Несоответствия

Экзамены и оценка тренинга

Линки, объявления, календари, задачи и многое другое.
Описание слайда:
ISMS Portal - примеры Аудиты Записи об аудите Несоответствия Экзамены и оценка тренинга Линки, объявления, календари, задачи и многое другое.

Слайд 31





Inventory DB
Детальное управление активами
Оперативное отслеживание статуса активов
Возможность настройки под любые типы активов
Описание слайда:
Inventory DB Детальное управление активами Оперативное отслеживание статуса активов Возможность настройки под любые типы активов

Слайд 32





Inventory DB - реализация
Описание слайда:
Inventory DB - реализация

Слайд 33





Inventory DB - реализация
Описание слайда:
Inventory DB - реализация

Слайд 34






Заключение
Описание слайда:
Заключение

Слайд 35





ИБ и разработка ПО
Целый раздел защитных мер стандарта посвящен «правильной разработке ПО»: «Разработка, внедрение и обслуживание информационных систем»
В целом содержит здравые рекомендации по разработке 
Например «проверка достоверности входных данных», «целостность сообщений»
На практике все выливается финансовые возможности Ваши\заказчика
Также важен профессионализм Ваших разработчиков
Правила хорошего программирования покрывают большинство требований стандарта
Описание слайда:
ИБ и разработка ПО Целый раздел защитных мер стандарта посвящен «правильной разработке ПО»: «Разработка, внедрение и обслуживание информационных систем» В целом содержит здравые рекомендации по разработке Например «проверка достоверности входных данных», «целостность сообщений» На практике все выливается финансовые возможности Ваши\заказчика Также важен профессионализм Ваших разработчиков Правила хорошего программирования покрывают большинство требований стандарта

Слайд 36





Процесс сертификации
Тема для отдельного разговора (выбор сертифицирующего органа, общение с консалтерами, внутренняя организация)
Некоторые рекомендации:
Требует серьезного подхода, детального планирования, «вовлеченности руководства»
При отсутствии собственных специалистов по безопасности, проходивших сертификацию – рекомендуется нанять организацию – консалтера
Тренинги – основа работающей на практике СУИБ; также формально закрывает многие требования стандарта
Описание слайда:
Процесс сертификации Тема для отдельного разговора (выбор сертифицирующего органа, общение с консалтерами, внутренняя организация) Некоторые рекомендации: Требует серьезного подхода, детального планирования, «вовлеченности руководства» При отсутствии собственных специалистов по безопасности, проходивших сертификацию – рекомендуется нанять организацию – консалтера Тренинги – основа работающей на практике СУИБ; также формально закрывает многие требования стандарта

Слайд 37





Процесс сертификации
Описание слайда:
Процесс сертификации

Слайд 38





Вопросы и ответы

Спасибо за внимание! 
Вопросы?
Описание слайда:
Вопросы и ответы Спасибо за внимание! Вопросы?



Похожие презентации
Mypresentation.ru
Загрузить презентацию