Дмитрий Зарахович Александр Леуш InfoSafe МЕЖДУНАРОДНЫЕ СТАНДАРТЫ КАК МЕЖДУНАРОДНЫЕ СТАНДАРТЫ КАК ИНСТРУМЕНТ ПОВЫШЕНИЯ ЭФФЕКТИВНОСТИ ИНСТРУМЕНТ ПОВЫШЕНИЯ ЭФФЕКТИВНОСТИ БИЗНЕСА. БИЗНЕСА.
Welcome message from author
This document is posted to help you gain knowledge. Please leave a comment to let me know what you think about it! Share it to your friends and learn new things together.
Transcript
Дмитрий Зарахович
Александр Леуш
InfoSafe
МЕЖДУНАРОДНЫЕ СТАНДАРТЫ КАК МЕЖДУНАРОДНЫЕ СТАНДАРТЫ КАК ИНСТРУМЕНТ ПОВЫШЕНИЯ ИНСТРУМЕНТ ПОВЫШЕНИЯ
ЭФФЕКТИВНОСТИ БИЗНЕСА.ЭФФЕКТИВНОСТИ БИЗНЕСА.
Общие положения
Эффективность бизнеса напрямую зависит от его управляемости, и чем больше сфер охватывает эта управляемость, тем большую стабильность по отношению к негативным воздействиям имеет бизнес.
Под управляемостью понимается и общая управляемость организацией, и управляемость, направленная на ее информационную безопасность, и более частные вопросы, которые направленные на безопасность отдельных составляющих информационной системы.
На обеспечение управляемости (создание гарантированно управляемой системы) направлены требования ряда стандартов, таких как BS25999, ISO/IEC 27001, PCI DSS.
15.04.23
Стандарт ВS 25999
Стандарт BS 25999 – стандарт разработанный Британским институтом стандартов в 2007 году и описывает всеобъемлющий набор механизмов контроля и охватывает весь жизненный цикл процесса управления непрерывностью бизнеса.
Стандарт разработан специалистами-практиками, представителями всего мирового сообщества, на основе передового опыта в данной области, и пригоден для организаций всех типов и размеров.
Построенная на его основе система управления непрерывностью бизнеса (СУНБ) рассматривается стандартом как управленческий процесс который определяет потенциальные угрозы для организации и позволяет построить систему эффективно реагирующую на них с учетом ее интересов.
15.04.23
Управление непрерывность бизнеса
Понимание (анализ) бизнес процессов
организации
Обучение, поддержка, аудит
Выбор (разработка) стратегии
Разработка, построение и
внедрение системы
Управление непрерывностью
бизнеса
15.04.23
Составляющие стандарта
Управление непрерывностью
бизнеса
Часть 1: Практические правила
Часть 2: Спецификации
15.04.23
Часть 1: Практические правила
Определяет:
•процесс, принципы и терминологию в области управления непрерывностью бизнеса;
•закладывает основы для понимания, разработки и внедрения системы непрерывности бизнеса в организации и обеспечения уверенности в ее надежности со стороны клиентов и партнеров.
Часть 1: Практические правила
15.04.23
Часть 2: Спецификации
Cодержит:•общие рекомендации по управлению непрерывностью бизнеса;•устанавливает требования к системе управления непрерывностью бизнеса, причем только те, соблюдение которых может быть объективно проверено.
Используя эти требования, компании могут проводить оценку существующей системы управления непрерывностью бизнеса, как самостоятельно, так и привлекая внешних консультантов.
На основании именно второй части стандарта сертификационные органы будут выдавать заключение о соответствии системы управления непрерывностью бизнеса требованиям стандарта BS 25999.
Часть 2: Спецификации
15.04.23
Стандарт ISO/IEC 27001
Цель стандарта ISO/IEC 27001 предоставить модель для создания, внедрения, эксплуатации, мониторинга, анализа, сопровождения и совершенствования системы управления информационной безопасностью (СУИБ).
Реализация СУИБ масштабируется в соответствии с потребностями организации.
Простая ситуация требует простого решения по построению СУИБ.
15.04.23
Стандарт ISO/IEC 27001
Стандарт ISO/IEC 27001 устанавливает процессный подход к созданию, внедрению, эксплуатации, мониторингу анализу, сопровождению и совершенствованию СУИБ организации.
Организация должна идентифицировать и управлять многими активностями для того чтобы функционировать эффективно.
Любая активность, использующая ресурсы и управляемая с целью обеспечения трансформации входных данных в выходные можно рассматривать в качестве процессного подхода.
15.04.23
10
Процессный подход
Планирование (создание СУИБ)
Реализация (внедрение и эксплуатация
СУИБ)
Проверка (мониторинг и анализ СУИБ)
Действие (сопровождение и
совершенствование СУИБ)
1
4
2
3
2
1 3
4
1
2
3
4
15.04.23
11
Модель реализации
Создание
Определить область
действия СУИБ
Определить политику СУИБ
Определить подход к оценке
рисков
Определить риски
Оценить риски
Оценить возможности уменьшения
рисков
Разработать механизм контроля
рисков
Утвердить остаточные
риски
Получить разрешение
руководства на внедрение
СУИБ
Декларация о применимости
Внедрение и эксплуатация
Разработать план обработки
рисков
Реализовать план обработки
рисков
Разработать механизмы контроля
Определить как измерять
эффективность
Обучение
Управлять эксплуатацией
СУИБ
Управлять ресурсами
СУИБ
Разработать механизм контроля
рисков
Мониторинг и анализ
Проводить мониторинг
Проводить проверки
эффективности СУИБ
Измерять эффективность
механизмов контроля
Пересматривать риски
Проводить внутренний аудит
СУИБ
Проводить анализ СУИБ руководством
Обновлять планы обеспечения безопасности
Протоколировать действия
оказывающие влияние на СУИБ
Сопровождение и совершенствование
Внедрять усовершенствования
в СУИБ
Применять корректирующие
действия
Сообщать о предпринятых
корректирующих действий
Достигать целей усовершенствования
Создание и усовершенствование СУИБ (р.4) Управление документацией (р.4)
Управление документами
Управление записями
Ответственность руководства (р.5)
Одобрение руководством
Управление ресурсами
Выделение ресурсов
Обучение
Внутренние аудиты (р.6)
Анализ СУИБ руководством (р.7)
Совершенствование СУИБ (р.8)
Корректирующие действия
Предупреждающие действия
Раздел 4 Раздел 5 Раздел 6 Раздел 7 Раздел 8
15.04.23
12
Практическая реализации в процессах
Политика информационной безопасности
Определяет терминологию в рамках СУИБ
Определяет ответственность в рамках
СУИБКлассифицирует ресурсы
Обеспечение соответствующей защиты на основе оценки рисков
Целевое использование ресурсов организации
Управление доступом Антивирусная защита Межсетевой экран
Резервное копирование Лицензионная чистотаЗащита вербальных
коммуникаций
Защита физических носителей информации
при передаче за пределы организации
Учет компьютерной техники и оборудования
Входной контроль компьютерной техники и
ПО
Проведение технического обслуживания объектов
информационно-технической и
административной инфраструктуры
организации
Обучение в области информационной
безопасности
Обеспечение физической безопасности
Соблюдение требований охраны труда и пожарной
безопасности
Управление инцидентами
Установка и удаление ПО
Периодические проверки соответствия требованиям
Корректирующие и предупреждающие
действия
Анализ со стороны руководства
Организация удаленной работы
Обеспечение непрерывности бизнеса
Стандарт ISO/IEC 27001 позволяет создать общую модель управления. Вариант конкретной реализации организация определяет для себя самостоятельно.
15.04.23
Стандарт PCI DSS
Стандарт PCI DSS предъявляет требования к любому сетевому устройству (межсетевой экран, коммутатор, маршрутизатор, беспроводная точка доступа, средство защиты), серверу (веб-сервер, сервер баз данных, аутентификационный сервер, почтовый сервер, прокси сервер, NTP и DNS сервер) или приложению (разработанное самостоятельно, внутреннее и внешнее Интернент приложение) входящему в состав или подключенное к среде данных о держателях карт.
Среда данных о держателях карт – часть сетевой инфраструктуры, в которой циркулируют данные о держателях карт или критичные аутентификационные данные.
Стандарт описывает 12 требований к индустрии платежных карт, которые сгруппированы в 6 групп.
15.04.23
Стандарт PCI DSS
PCI DSS - стандарт защиты информации в индустрии платежных карт, разработанный международными платежными системами Visa и MasterCard который объединяет в себе требования ряда программ по защите информации, в частности:•Visa Europe & other regions: Account Information Security (AIS); •Visa USA: Cardholder Information Security (CISP); •MasterCard: Site Data Protection (SDP).
Требования стандарта PCI DSS распространяются на все компании, работающие с международными платежными системами Visa и MasterCard.
В зависимости от количества обрабатываемых транзакций, каждой компании присваивается определенный Уровень с соответствующим набором требований, которые они должны выполнять.
15.04.23
Безопасность сетевой инфраструктуры
Сетевая безопасность
Конфигурация межсетевого
экрана
Ст
анд
ар
ты
ко
нф
игур
ац
ии
За
пр
ет
со
еди
не
ни
я с
не
до
ве
ре
нны
ми
узл
ам
и и
се
тям
и
За
пр
ет
со
еди
не
ни
я
ко
мпо
не
нт
ов с
ет
и с
о
бщ
едо
ст
упны
ми
се
рве
ра
ми
За
пр
ет
пр
ям
ого
до
ст
упа
из в
не
шне
й
ср
еды
к к
ом
по
не
нт
ам
се
ти
Тр
ансл
яц
ия I
P
адр
есо
в
Системные пароли и параметры
безопасности
Ко
нт
ро
ль н
аст
ор
ек
Ст
анд
ар
ты
ко
нф
игур
ац
ий
Ши
фр
ова
ни
е к
ана
ла
уда
ле
нно
го
а
дм
ини
ст
ри
ро
ва
ни
я
Об
еспе
че
ни
е
бе
зо
па
сно
ст
и н
а
ур
овне
пр
ова
йд
ер
а
15.04.23
Безопасность данных о держателях карт (защита данных/управление доступом)
Данные о держателях карт
Без
опас
ност
ь хр
аним
ых
данн
ых
Без
опас
ност
ь да
нны
х о
держ
ател
ях к
арт
пе
реда
ваем
ых
чере
з от
кры
ты
е си
стем
ы
Огр
анич
ение
до
ступ
а к
данн
ым
Иде
нтиф
икац
ия
пол
ьзов
ател
ей
Огр
анич
ение
ф
изич
еско
го д
ост
упа
к да
нны
м
15.04.23
Поддержка программы управления уязвимостями
Управление уязвимостями
Антивирусное программное обеспечение
Безопасные системы и приложения
15.04.23
Контроль и тестирование сетевой инфраструктуры
Сетевая инфраструктура
Контроль доступа к данным
Проверка систем и процессов
обеспечения безопасности
15.04.23
Политика информационной безопасности
Поддерживать политику, определяющую правила информационной безопасности для сотрудников и партнеров.
В рамках требований Стандарта предусматриваются ежегодные аудиторские проверки компаний, а также ежеквартальные сканирования сетей. Целью аудита является проверка соответствия платежных систем компании и поддерживающей их ИТ- инфраструктуры требованиям стандарта PCI DSS.
Политика информационной
безопасности
15.04.23
Вывод
Использование оптимальной комбинации требований стандартов BS25999, ISO/IEC 27001, PCI DSS к различным элементам жизнедеятельности организации позволит ей создать комплексную систему управления всеми бизнес-процессами, начиная от общих организационных моментов, и заканчивая вопросами которые касаются ее технической инфраструктуры и конкретных вариантов ее реализации.
15.04.23
КонтактыКонтакты
03037, Украина, Киев, пр. Краснозвездный 54, тел.: +38 (044) 494-15-15 (многоканальный)Общая информация: [email protected]Отдел продаж: [email protected]Служба технической поддержки: [email protected]