Кібербезпека та іншідомени безпеки
стандарт ISO 27032:2012 “Information technology – Security
techniques – Guidelines for cybersecurity”
3.
Кібербезпека – цеодин з елементів
інформаційної безпеки
• Практично неможливо забезпечити захист від
кібератак без побудови системи управління
інформаційною безпекою
• Побудова системи управління інформаційною
безпекою не може бути одноразовим процесом
• Тільки постійне функціонування системи управління
інформаційною безпекою забезпечить ефективний
захист організації
• Захист окремих інформаційно-телекомунікаційних
систем не може забезпечити захист від кібератак
4.
Система управління
інформаційною безпекою
•побудована на основі аналізу та оцінки ризиків
для організації
• дозволяє ефективно з точки зору фінансів
забезпечувати достатній рівень захисту
• забезпечує постійний контроль захищеності
організації
• дозволяє ефективно використовувати та
планувати використання інформаційних
технологій в організації
5.
Термінологія
• Інформація зобмеженим доступом –
конфіденційна, персональні дані, комерційна
таємниця, службова інформація, тощо
Системи, які обробляють цю інформацію, часто
включають декілька інформаційно-телекомунікаційних
систем із забезпеченням обміну даними між ними та
підключені до загальнодоступних мереж; постійно
вдосконалюються
• Державна таємниця
Оброблення інформації здійснюється окремою
інформаційно-телекомунікаційною системою, без
підключення до загальнодоступних мереж; рідко
вдосконалюються
6.
Порівняння СУІБ таКСЗІ
Сфера використання
• СУІБ
• Бізнес-процеси, операційні
процеси, які забезпечують
діяльність організації
• Організація в цілому
• КСЗІ
• Інформаційно-
телекомунікаційна система
(ІТС)
-Може складатися з
окремих модулів із
забезпеченням обміну
інформацією
7.
Порівняння СУІБ таКСЗІ
Кінцева мета впровадження
• СУІБ
• Забезпечення ефективного
безперервного
функціонування СУІБ
• Можливе отримання
міжнародного сертифіката
відповідності
• КСЗІ
• Отримання сертифіката
або експертної оцінки КСЗІ
для окремої ІТС
8.
Порівняння СУІБ таКСЗІ
Дії при внесенні змін
• СУІБ
• Виконання оцінки ризиків
для зміненого процесу та
внесення змін до заходів
безпеки в разі необхідності
• Здійснення внутрішнього
аудиту та в разі необхідності
зовнішнього аудиту
• КСЗІ
• Створення нової КСЗІ та
отримання нового
сертифіката або експертної
оцінки КСЗІ для зміненої ІТС
9.
Порівняння СУІБ таКСЗІ
Супроводження та контроль
• СУІБ
• Мониторінг функціонування СУІБ
• Контроль процесу управління
інцидентами
• Внутрішній та зовнішній аудит
• Контроль з боку керівництва
організації
• Виконання оцінки ризиків не
рідше 1 разу на рік
• Постійне навчання працівників
• КСЗІ
• Інспекція ДСТСЗІ
10.
Стандарти- словники
Стандарти-вимоги
Стандарти-
настанови
Стандарти-
настанови длягалузі
27000
Огляд і словник
27001
Системи управління інформаційною безпекою. Вимоги
27005
Управління ризиками інформаційної безпеки
27007:2011
Настанова з аудиту систем управління інформаційною
безпекою
27004
Управління інформаційною безпекою. Вимірювання
27002
Звід практик щодо заходів інформаційної безпеки
27003
Настанова щодо впровадження системи управління
інформаційною безпекою
27010
Настанова з управління інформаційною безпекою для
комунікацій в середині сектора та між організаціями
27011
Настанова з управління інформаційною безпекою для
телекомунікаційних організацій на основі ISO/IEC 27002
27006
Вимоги до організацій, які надають послуги з аудиту і
сертифікації систем управління інформаційною безпекою
TR 27008
Настанова для аудиторів щодо заходів інформаційної
безпеки
27014
Корпоративне управління інформаційною безпекою
ISO/IEC TR 27016
Управління інформаційною безпекою. Організаційно-
економічні аспекти
27013
Настанова щодо інтегрованого впровадження ISO/IEC
27001 и ISO/IEC 20000-1
27017
Настанова щодо заходів інформаційної безпеки для
використання послуг хмарових обчислень на базі ISO/IEC
27002
27015
Настанова щодо управління інформаційною безпекою для
фінансових послуг
Стандарти-настанови щодо
заходів 2703х 2704х
11.
Впровадження СУІБ
• 1.Прийняття рішення керівництвом, що впровадження СУІБ є стратегічним
рішенням для організації, яка враховує потреби та цілі організації, вимоги
безпеки, застосовувані організаційні процеси, розмір і структуру організації.
• Важливо, щоб система управління інформаційною безпекою була частиною та
інтегрувалася в процеси організації та загальну структуру управління організації.
• 2. Визначення сфери застосування СУИБ
• 3. Визначення відповідальності керівництва та організаційних ролей і
повноважень
• 4. Опис організаційної структури та інформаційної інфраструктури, визначення та
опис бізнес процесів
• 5. Оцінка ризиків та план оброблення ризиків
• 6. Корегуючи та запобіжні дії.
• 7. Навчання та тренінг персоналу;
• 8. Управління інцидентами інформаційної безпеки
• 9. Перегляд СУІБ керівництвом банку
11
12.
Функціонування СУІБ
• Моніторингфункціонування СУІБ;
• Вимірювання ефективності СУІБ та оцінювання ризиків;
• Контроль документованої інформації та необхідних змін
• Внутрішній аудит СУІБ;
• Навчання та тренінг персоналу;
• Управління інцидентами інформаційної безпеки;
• Перегляд СУІБ керівництвом банку;
• Коректуючи та запобіжні дії.
12
13.
Система управління інформаційною
безпекоюоснована на процесном підході та
включає такі процеси (1/2):
• Політика інформаційної безпеки
• Внутрішня організація, в тому числі розподіл
обов`язків та повноважень, мобільне обладнання та
віддалена робота
• Безпека людських ресурсів
• Управління ресурсами (активами), в тому числі
класифікація інформації, поводження з носіями
• Контроль доступу
• Криптографія
• Фізична безпека та безпека інфраструктури
• Безпека експлуатації
14.
Система управління інформаційною
безпекоюоснована на процесном підході та
включає такі процеси (2/2):
• Безпека комунікацій
• Придбання, розроблення та підтримка
інформаційних систем
• Взаємовідносини з постачальниками
• Управління інцидентами інформаційної
безпеки
• Аспекти інформаційної безпеки управління
безперервністю бізнесу
• Відповідність
