SlideShare a Scribd company logo
1 of 30
Download to read offline
Прозоров Андрей
Ведущий эксперт по информационной безопасности
Стандарты и «лучшие
практики» в ИБ:
Чем отличается мировой опыт
от подходов российских
регуляторов?
Для DLP–Russia 09-2013
Понимание требований к ИБ
и применение «лучших
практик» крайне необходимо
для управления и
обеспечения ИБ
1. Куда развиваются требования и рекомендации по ИБ в
России и Мире?
2. В чем сходство и различия подходов к ИБ
в России и Мире?
О чем эта презентация?
Законодательство и подходы к
регулированию ИБ
Развитие ИТ
Научная база
Мировой опыт и «лучших практики»
Развитие в параллельных областях
знаний
(управление рисками, управление
проектами, управление ИТ, управление
непрерывностью и пр.)
Что влияет на развитие требований
и «лучших практик» ИБ?
Защита ПДн:
 152-ФЗ (07.2011) -> ПП 1119 -> Приказ ФСТЭК России №21
 Отмена ПП 781 и Приказа ФСТЭК России №58
Важные обновления:
 Переход от классов ИСПДн к Уровням защищенности ПДн
 Изменилась процедура выбора мер защиты, в том числе «с
учетом экономической целесообразности»
 Изменился (расширился) набор мер и средств защиты
 Появились дополнительные меры, направленные на снижение
актуальных угроз к 1 и 2 типа (НДВ)
 Пересмотрены требования к классам сертифицированных СЗИ
 Прописана возможность привлечения лицензиатов ФСТЭК для
выполнения работ ИБ
Изменения в подходах ИБ (РФ) 1
ФСТЭК России:
 Приказ №17 (ГосИС)
 Ожидаем:
 Методический документ. Меры защиты информации в
государственных информационных системах
(разъяснение требований Приказов ФСТЭК России № 17 и
№21)
 Порядок моделирования угроз безопасности информации
в информационных системах
 …
 Кстати, СТР-К никто не отменял…
Ожидаем обновления и расширения требований по НПС,
СТО БР ИББС, PCI DSS
Изменения в подходах ИБ (РФ) 2
Гармонизация требований к системам управления в ISO
Ожидаем обновление ISO 27001 и ISO 27002 (2013)
Ожидаем обновление PCI DSS
Обновились документы:
 COBIT 4.1 стал COBIT 5 (05-2012)
 SANS «20 Critical Security Controls for Effective Cyber
Defense» (v.4.1, 03-2013)
 NIST SP 800-53 «Security and Privacy Controls for Federal
Information Systems and Organizations» (v.4, 04-2013)
Смежные отрасли:
 PM: PMBOK обновлен до 5 версии (2013)
 BCM: Пересмотрен BS 25999 и утвержден ISO 22301 (2012)
 ITSM: Происходит «укрепление» ITILv3 и ISO 20000
Изменения в подходах ИБ (Мир)
1. Доступность и популярность документов
2. Удобная структура документов
3. Открытость, наличие ссылок на авторов
и возможность комментирования при разработке
4. Дополнительные ссылки, маппинг, обзор изменений
5. Рекомендации и обсуждение
6. Возможность сертификации специалистов и компаний
7. Ориентир на управление рисками
8. Процессный подход
9. Комплексность и Системность
10. Анализ и Контроль
11. Необходимость постоянного совершенствования
Что характерно «западным»
стандартам по ИБ? 1
В последних версиях документов:
Связь с целями бизнеса (+Governance), понимание
ожиданий заинтересованных лиц (stakeholder)
Фокус на «человеческий фактор» и Лидерство
Управление знаниями
Больше конкретики и примеров
Гармонизация с другими стандартами и «лучшими
практиками»
Что характерно «западным»
стандартам по ИБ? 2
СТО БР ИББС и
«переводные» ГОСТы
развиваются в правильном
направлении.
А что с подходом ФСТЭК?
В Мире:
 Управление рисками – важная идея в ИБ
 Много методических материалов и рекомендаций
 Организации могут сами выбирать допустимый уровень риска и
подход (принятие, снижение, передача и избегание риска).
В РФ:
 Рисковый подход набирает популярность
(но подход через «актуальные угрозы»)
 Практически нет методических материалов
 ИБ-специалисты пренебрежительно относятся к
управлению рисками
 Анализ рисков – формальное требование, а
не механизм выбора мер защиты
Управление рисками
Что в «западных стандартах»:
 Входы и Выходы процессов
 Связь процессов
 Ответственность (RACI-chart)
 Четкая последовательность шагов
 Документы и записи
Что в РФ:
 Необходимо «выискивать» процессы по тексту документа
 Упомянутых процессов стало больше (например,
упр.инцидентами и событиями, упр.конфигурацией и другие)
 Практически отсутствуют рекомендации и примеры
 Процессный подход сложен для понимания (особенно после
привычки использования «объектно-ориентированного» подхода)
Процессный подход
Комплексность и системность
1. Принципы, политики и подходы
2. Процессы
3. Орг.
структуры
4. Культура,
этика и
поведение
5. Информация
6. Сервисы,
инфраструктура
и приложения
7. Люди, и
компетенции
Ресурсы
Одна из лучших моделей комплексного подхода (COBIT5):
В РФ аналогов нет, комплексность и системность обычно
подразумевается, но не прописана в документах…
В Мире:
 Примеры: Аудит (внутренний и внешний), тестирование на
проникновение, измерение ИБ, анализ со стороны руководства
 Требования четко прописаны в основных комплексных
стандартах, много методических документов и рекомендаций
В РФ:
 Термины «контроль», «оценка эффективности», «анализ»,
«аудит» точно не определены и часто перепутаны.
Есть намек на аттестацию ИС…
 Нет методических материалов
 Нет работы «над ошибками»
Анализ и Контроль
В Мире: Совершенствование ИБ – важный и непрерывный процесс
В РФ:
 Требований по пересмотру ИБ и совершенствованию практически нет
(единичные упоминания без конкретных сроков пересмотра)
 Нет требований по пересмотру модели угроз
 Нет измеримых целей и задач ИБ
 Нет требований по измерениям ИБ
Совершенствование ИБ
ISO NIST COBIT5
Основной драйвер – новые
требования и санкции
регуляторов
В каком направлении
развиваются подходы к ИБ в
Мире?
ISO/IEC 27001:2005 «Information technology. Security techniques.
Information security management systems. Requirements»
(Система управления информационной безопасности.
Требования)
Аналог ГОСТ 27001:2006
ISO 27001
История изменений:
• 1995 год: разработан BS 7799-1
• 1998 год: разработан BS 7799-2
• 1999 год: пересмотр и гармонизация
BS 7799-1 и 2 с ISO 9001
• 2002 год: пересмотр BS 7799-2
(в частности, добавили PDCA)
• 2005 год: пересмотр BS 7799-2 и принятие в
качестве ISO 27001:2005
• Ожидаем ISO 27001:2013 (и 27002 тоже)
Акцент на «Interested parties» («заинтересованные лица»).
Странно, что не используется термин «stakeholders»
Вместо п.5 «Приверженство руководства» стал пункт «Лидерство»
п.5.2 «Управление ресурсами» перешел в п.7 «Поддержка» («Support»).
В нем про предоставление ресурсов, наличию компетенций, повышение
осведомленности и управление коммуникациями (новое)
Упрощен подход к оценке рисков и управлению документами
Пересмотрен перечень механизмов контроля: 6 новых, 24 убрали
Пересмотрен перечень и содержание доменов:
Отдельный акцент на безопасность моб.устройств и удаленную работу
ISO 27001-2013: Что нового?
A.5 Security Policies
A.6 Organization of information security
A.7 Human resource security
A.8 Asset management
A.9 Access control
A.10 Cryptography
A.11 Physical and environmental security
A.12 Operations security
A.13 Communications security
A.14 System acquisition, development and
maintenance
A.15 Supplier relationships
A.16 Information security incident management
A.17 Information security aspects of business
continuity management
A.18 Compliance
COBIT
Control Objectives for Information and Related Technology
Задачи информационных и смежных технологий
2005/720001998
Evolutionofscope
1996 2012
Governance of Enterprise IT
COBIT 5
IT Governance
COBIT4.0/4.1
Management
COBIT3
Control
COBIT2
Audit
COBIT1
Val IT 2.0
(2008)
Risk IT
(2009)
В основе лежат «5 принципов»
Простроена связь целей бизнеса с целями ИТ
Пересмотрены процессы
Пересмотрен комплексный подход
(enablers – «движущие силы»)
Разделены понятия «Governance» (руководство) и
«Management» (управление)
Много книг, в том числе дополнительные:
 COBIT5 for Information Security
 Securing Mobile Devices Using COBIT5 for IS
 Transforming cybersecurity Using COBIT5
 Vendor Management Using COBIT5
 Configuration Management Using COBIT 5
Маппинг с основными стандартами (ИТ и ИБ)
Много рекомендаций и примеров
COBIT5:Что нового?
В каком направлении
развиваются подходы к PM,
BCM и ITSM?
Свод знаний по управлению проектами PMBoK
(Project Management Body of Knowledge)
Разработчик - PMI (Институт управления проектами)
Переход с 4 версии (2008) на 5 (2013)
10 областей знаний:
 Project Integration Management – Управление интеграцией
 Project Scope Management – Управление содержанием
 Project Time Management – Управление временем
 Project Cost Management – Управление стоимостью
 Project Quality Management – Управление качеством
 Project Human Resource Management – Управление
человеческими ресурсами
 Project Communications Management – Управление коммуникациями
 Project Risk Management – Управление риском
 Project Procurement Management – Управление закупками
 Project Stakeholder management – Управление заинтересованными лицами
47 процессов
PMBOK® Guide
Полезно знать и использовать
при внедрении крупных
проектов по ИБ
Например, комплексные проекты по защите ПДн,
по внедрению СУИБ (ISO 27001), по внедрению СОИБ
(СТО БР ИББС) и пр.
PMBOK:А где ИБ?
 Пересмотрена терминология, гармонизировано с ISO 21500:2012,
упоминается Agile, пересмотрен подход к «Офису управления проектами»
 Добавлена новая область знаний Project Stakeholders management
(«Управление заинтересованными сторонами проекта»), в ней 2 новых
процесса и 2 процесса из области Project Communication management
(«Управление коммуникациями»). Стало 10 областей знаний.
 Добавлено 5 процессов: Plan Scope Management (Планирование содержания
проекта), Plan Schedule Management (Планирование управления
расписанием), Plan Cost Management (Планирование управления
стоимостью), Plan Stakeholder Management (Планирование управления
заинтересованными лицами), а также Manage Stakeholder Engagement
(Управление обязательствами).
Стало 47 процессов, «планирование» теперь в каждой области
 Процесс Проверки содержания (Verify Scope) переработан и переименован в
Подтверждение содержания (Validate Scope)
 Добавлена модель информационной иерархии DIKW
(data – information – knowledge - wisdom)
 Расширен перечень навыков «Soft skill»/«Emotional intelligence»
(Эмоциональный интеллект)
PMBOK:Что нового?
ISO 22301:2012 «Societal security. Business continuity
management systems. Requirements»
(Управление непрерывностью бизнеса. Требования)
BS 25999-2:2007 -> ISO 22301:2012
Гармонизация общей структуры
с другими системами управления в ISO
(общая часть аналогична ISO 27001)
ISO 22301
22301:А где ИБ?
Обеспечение непрерывности
бизнеса – одна из задач ИБ
(доступность информации)
IT Infrastructure Library — библиотека инфраструктуры ИТ
Актуальная версия: ITIL v3 (2007 год)
На основе ITIL разработан стандарт ISO 20000
Структура книг:
 Service Strategy (Стратегия услуг)
 Service Design (Проектирование услуг)
 Service Transition (Преобразование услуг)
 Service Operation (Эксплуатация услуг)
 Continual Service Improvement (Постоянное улучшение услуг )
ITIL
Нам интересны описание и рекомендации по следующим
процессам:
Управление инцидентами
Управление проблемами
Управление конфигурациями
Управление изменениями
Управление уровнем услуг
Управление доступностью
Управление непрерывностью
Управление доступом
Управление знаниями
Управление финансами
Процесс управления ИБ есть, но описан слабо…
ITIL:А где ИБ?
пр стандарты и «лучшие практики» в иб (прозоров)
http://www.infowatch.ru
@InfoWatchNews
http://dlp-expert.ru
@DLP_Expert
И контакты…
http://80na20.blogspot.ru
@3dwave

More Related Content

What's hot

Модель зрелости процесса (мониторинг и оценка ИБ)
Модель зрелости процесса (мониторинг и оценка ИБ) Модель зрелости процесса (мониторинг и оценка ИБ)
Модель зрелости процесса (мониторинг и оценка ИБ) Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
ИСО 27001 на практике, или будни внедренца
ИСО 27001 на практике, или будни внедренцаИСО 27001 на практике, или будни внедренца
ИСО 27001 на практике, или будни внедренцаAlexey Evmenkov
 
ИСО 27001 и СМИБ. Теория и практика - обзор тренинга
ИСО 27001 и СМИБ. Теория и практика - обзор тренингаИСО 27001 и СМИБ. Теория и практика - обзор тренинга
ИСО 27001 и СМИБ. Теория и практика - обзор тренингаAlexey Evmenkov
 
пр Разработка комплекта документов по управлению ИБ (прозоров)
пр Разработка комплекта документов по управлению ИБ (прозоров)пр Разработка комплекта документов по управлению ИБ (прозоров)
пр Разработка комплекта документов по управлению ИБ (прозоров)Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Добровольная система сертификации отрасли ИБ. 2012
Добровольная система сертификации отрасли ИБ. 2012Добровольная система сертификации отрасли ИБ. 2012
Добровольная система сертификации отрасли ИБ. 2012Евгений Родыгин
 
Iso 27001 01_dmytriyev_kiev_2010_july
Iso 27001 01_dmytriyev_kiev_2010_julyIso 27001 01_dmytriyev_kiev_2010_july
Iso 27001 01_dmytriyev_kiev_2010_julyGlib Pakharenko
 
Управление инцидентами информационной безопасности от А до Я
Управление инцидентами информационной безопасности от А до ЯУправление инцидентами информационной безопасности от А до Я
Управление инцидентами информационной безопасности от А до ЯDialogueScience
 
пр Сколько зарабатывают специалисты по ИБ в России 2016
пр Сколько зарабатывают специалисты по ИБ в России 2016пр Сколько зарабатывают специалисты по ИБ в России 2016
пр Сколько зарабатывают специалисты по ИБ в России 2016Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Роль Информационной Безопасности в управлении проектами или почему скрипач нужен
Роль Информационной Безопасности в управлении проектами или почему скрипач нуженРоль Информационной Безопасности в управлении проектами или почему скрипач нужен
Роль Информационной Безопасности в управлении проектами или почему скрипач нуженAlexey Evmenkov
 
Практика внутреннего аудита СМИБ
Практика внутреннего аудита СМИБПрактика внутреннего аудита СМИБ
Практика внутреннего аудита СМИБAlexey Evmenkov
 
Вопросы для интервью ISO 27001
Вопросы для интервью ISO 27001Вопросы для интервью ISO 27001
Вопросы для интервью ISO 27001Ivan Piskunov
 
Мониторинг своими руками
Мониторинг своими рукамиМониторинг своими руками
Мониторинг своими рукамиSergey Soldatov
 
UEBA – поведенческий анализ, а не то, что Вы подумали
UEBA – поведенческий анализ, а не то, что Вы подумалиUEBA – поведенческий анализ, а не то, что Вы подумали
UEBA – поведенческий анализ, а не то, что Вы подумалиAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 

What's hot (20)

Книга про измерения (ITSM)
Книга про измерения (ITSM)Книга про измерения (ITSM)
Книга про измерения (ITSM)
 
Модель зрелости процесса (мониторинг и оценка ИБ)
Модель зрелости процесса (мониторинг и оценка ИБ) Модель зрелости процесса (мониторинг и оценка ИБ)
Модель зрелости процесса (мониторинг и оценка ИБ)
 
ИСО 27001 на практике, или будни внедренца
ИСО 27001 на практике, или будни внедренцаИСО 27001 на практике, или будни внедренца
ИСО 27001 на практике, или будни внедренца
 
ИСО 27001 и СМИБ. Теория и практика - обзор тренинга
ИСО 27001 и СМИБ. Теория и практика - обзор тренингаИСО 27001 и СМИБ. Теория и практика - обзор тренинга
ИСО 27001 и СМИБ. Теория и практика - обзор тренинга
 
Principles for-info-sec-practitioners-poster [ru]
Principles for-info-sec-practitioners-poster [ru]Principles for-info-sec-practitioners-poster [ru]
Principles for-info-sec-practitioners-poster [ru]
 
пр Разработка комплекта документов по управлению ИБ (прозоров)
пр Разработка комплекта документов по управлению ИБ (прозоров)пр Разработка комплекта документов по управлению ИБ (прозоров)
пр Разработка комплекта документов по управлению ИБ (прозоров)
 
Добровольная система сертификации отрасли ИБ. 2012
Добровольная система сертификации отрасли ИБ. 2012Добровольная система сертификации отрасли ИБ. 2012
Добровольная система сертификации отрасли ИБ. 2012
 
Iso 27001 01_dmytriyev_kiev_2010_july
Iso 27001 01_dmytriyev_kiev_2010_julyIso 27001 01_dmytriyev_kiev_2010_july
Iso 27001 01_dmytriyev_kiev_2010_july
 
About TM for CISO (rus)
About TM for CISO (rus)About TM for CISO (rus)
About TM for CISO (rus)
 
Управление инцидентами информационной безопасности от А до Я
Управление инцидентами информационной безопасности от А до ЯУправление инцидентами информационной безопасности от А до Я
Управление инцидентами информационной безопасности от А до Я
 
пр Сколько зарабатывают специалисты по ИБ в России 2016
пр Сколько зарабатывают специалисты по ИБ в России 2016пр Сколько зарабатывают специалисты по ИБ в России 2016
пр Сколько зарабатывают специалисты по ИБ в России 2016
 
пр Про интегральные метрики ИБ
пр Про интегральные метрики ИБпр Про интегральные метрики ИБ
пр Про интегральные метрики ИБ
 
Роль Информационной Безопасности в управлении проектами или почему скрипач нужен
Роль Информационной Безопасности в управлении проектами или почему скрипач нуженРоль Информационной Безопасности в управлении проектами или почему скрипач нужен
Роль Информационной Безопасности в управлении проектами или почему скрипач нужен
 
Практика внутреннего аудита СМИБ
Практика внутреннего аудита СМИБПрактика внутреннего аудита СМИБ
Практика внутреннего аудита СМИБ
 
пр Модель зрелости Dlp
пр Модель зрелости Dlpпр Модель зрелости Dlp
пр Модель зрелости Dlp
 
Вопросы для интервью ISO 27001
Вопросы для интервью ISO 27001Вопросы для интервью ISO 27001
Вопросы для интервью ISO 27001
 
пр Стандарты ИБ. Непрерывность бизнеса, ISO 22301
пр Стандарты ИБ. Непрерывность бизнеса, ISO 22301пр Стандарты ИБ. Непрерывность бизнеса, ISO 22301
пр Стандарты ИБ. Непрерывность бизнеса, ISO 22301
 
Мониторинг своими руками
Мониторинг своими рукамиМониторинг своими руками
Мониторинг своими руками
 
UEBA – поведенческий анализ, а не то, что Вы подумали
UEBA – поведенческий анализ, а не то, что Вы подумалиUEBA – поведенческий анализ, а не то, что Вы подумали
UEBA – поведенческий анализ, а не то, что Вы подумали
 
People-Centric security (intro) rus
People-Centric security (intro) rusPeople-Centric security (intro) rus
People-Centric security (intro) rus
 

Viewers also liked

пр идеи и мысли из хорошей книги (черный лебедь)
пр идеи и мысли из хорошей книги (черный лебедь)пр идеи и мысли из хорошей книги (черный лебедь)
пр идеи и мысли из хорошей книги (черный лебедь)Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
пр Принцип 80 на 20 для обеспечения кибербезопасности
пр Принцип 80 на 20 для обеспечения кибербезопасности пр Принцип 80 на 20 для обеспечения кибербезопасности
пр Принцип 80 на 20 для обеспечения кибербезопасности Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
пр аналитика по утечкам информации (Data breach) 1.0 2013 11
пр аналитика по утечкам информации (Data breach) 1.0 2013 11пр аналитика по утечкам информации (Data breach) 1.0 2013 11
пр аналитика по утечкам информации (Data breach) 1.0 2013 11Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 

Viewers also liked (18)

пр Управление инцидентами ИБ (Dozor) v.2.1
пр Управление инцидентами ИБ (Dozor) v.2.1пр Управление инцидентами ИБ (Dozor) v.2.1
пр Управление инцидентами ИБ (Dozor) v.2.1
 
пр про SOC для ФСТЭК
пр про SOC для ФСТЭКпр про SOC для ФСТЭК
пр про SOC для ФСТЭК
 
пр Спроси эксперта про прогнозы ИБ
пр Спроси эксперта про прогнозы ИБпр Спроси эксперта про прогнозы ИБ
пр Спроси эксперта про прогнозы ИБ
 
Презентация про майндкарты (Mm)
Презентация про майндкарты (Mm)Презентация про майндкарты (Mm)
Презентация про майндкарты (Mm)
 
Mm Access Management (ITIL)
Mm Access Management (ITIL)Mm Access Management (ITIL)
Mm Access Management (ITIL)
 
пр 01.актуальный ландшафт угроз иб (jsoc нн) 2015 08-21
пр 01.актуальный ландшафт угроз иб (jsoc нн) 2015 08-21пр 01.актуальный ландшафт угроз иб (jsoc нн) 2015 08-21
пр 01.актуальный ландшафт угроз иб (jsoc нн) 2015 08-21
 
пр Актуальный ландшафт угроз ИБ 2015 08
пр Актуальный ландшафт угроз ИБ 2015 08пр Актуальный ландшафт угроз ИБ 2015 08
пр Актуальный ландшафт угроз ИБ 2015 08
 
пр Про измерение ИБ для VolgaBlob Trend 2015
пр Про измерение ИБ для VolgaBlob Trend 2015пр Про измерение ИБ для VolgaBlob Trend 2015
пр Про измерение ИБ для VolgaBlob Trend 2015
 
пр идеи и мысли из хорошей книги (черный лебедь)
пр идеи и мысли из хорошей книги (черный лебедь)пр идеи и мысли из хорошей книги (черный лебедь)
пр идеи и мысли из хорошей книги (черный лебедь)
 
тб меры защиты пдн при скзи (проект)
тб меры защиты пдн при скзи (проект)тб меры защиты пдн при скзи (проект)
тб меры защиты пдн при скзи (проект)
 
пр Принцип 80 на 20 для обеспечения кибербезопасности
пр Принцип 80 на 20 для обеспечения кибербезопасности пр Принцип 80 на 20 для обеспечения кибербезопасности
пр Принцип 80 на 20 для обеспечения кибербезопасности
 
пр стоимость утечки информации Iw для idc
пр стоимость утечки информации Iw для idcпр стоимость утечки информации Iw для idc
пр стоимость утечки информации Iw для idc
 
пр Процедура управление инцидентами иб (Small)
пр Процедура управление инцидентами иб (Small) пр Процедура управление инцидентами иб (Small)
пр Процедура управление инцидентами иб (Small)
 
пр аналитика по утечкам информации (Data breach) 1.0 2013 11
пр аналитика по утечкам информации (Data breach) 1.0 2013 11пр аналитика по утечкам информации (Data breach) 1.0 2013 11
пр аналитика по утечкам информации (Data breach) 1.0 2013 11
 
Про практику DLP (Код ИБ)
Про практику DLP (Код ИБ)Про практику DLP (Код ИБ)
Про практику DLP (Код ИБ)
 
Mm iso 27001 2013 +annex a
Mm iso 27001 2013 +annex aMm iso 27001 2013 +annex a
Mm iso 27001 2013 +annex a
 
пр лучшие практики иб (Nist, sans, cert, isaca...)
пр лучшие практики иб (Nist, sans, cert, isaca...)пр лучшие практики иб (Nist, sans, cert, isaca...)
пр лучшие практики иб (Nist, sans, cert, isaca...)
 
пр нужны ли Dlp системы для защиты пдн (прозоров)
пр нужны ли Dlp системы для защиты пдн (прозоров)пр нужны ли Dlp системы для защиты пдн (прозоров)
пр нужны ли Dlp системы для защиты пдн (прозоров)
 

Similar to пр стандарты и «лучшие практики» в иб (прозоров)

Cистемная инженерия безопасности объектов недвижимости и бизнес-процессов.
Cистемная инженерия безопасности объектов недвижимости и бизнес-процессов.Cистемная инженерия безопасности объектов недвижимости и бизнес-процессов.
Cистемная инженерия безопасности объектов недвижимости и бизнес-процессов.Yuri Bubnov
 
Solar Security. Андрей Прозоров. "Лучшие практики" в ИБ"
Solar Security. Андрей Прозоров. "Лучшие практики" в ИБ"Solar Security. Андрей Прозоров. "Лучшие практики" в ИБ"
Solar Security. Андрей Прозоров. "Лучшие практики" в ИБ"Expolink
 
ект до 2014 v2
ект до 2014 v2ект до 2014 v2
ект до 2014 v2Expolink
 
Шойдин (СоДИТ) "Подводные камни при внедрении СЭД"
Шойдин (СоДИТ) "Подводные камни при внедрении СЭД"Шойдин (СоДИТ) "Подводные камни при внедрении СЭД"
Шойдин (СоДИТ) "Подводные камни при внедрении СЭД"Expolink
 
Кризис результативности ИТ: фиксируем проблему, ищем решения
Кризис результативности ИТ: фиксируем проблему, ищем решенияКризис результативности ИТ: фиксируем проблему, ищем решения
Кризис результативности ИТ: фиксируем проблему, ищем решенияIBS
 
Presentation 9 11 12 (High School of Economics)
Presentation 9 11 12 (High School of Economics)Presentation 9 11 12 (High School of Economics)
Presentation 9 11 12 (High School of Economics)Alexei Blagirev
 
Новые требования ISO 9001 - ознакомительная презентация
Новые требования ISO 9001 - ознакомительная презентацияНовые требования ISO 9001 - ознакомительная презентация
Новые требования ISO 9001 - ознакомительная презентацияAndrey Olyenkov
 
Внедрение СУИБ, соответствующей ИСО 27001 в ИТ компании
Внедрение СУИБ, соответствующей ИСО 27001 в ИТ компанииВнедрение СУИБ, соответствующей ИСО 27001 в ИТ компании
Внедрение СУИБ, соответствующей ИСО 27001 в ИТ компанииSQALab
 
Solar Security. Андрей Прозоров. "5 "почему" аутсорсинга ИБ"
Solar Security. Андрей Прозоров. "5 "почему" аутсорсинга ИБ"Solar Security. Андрей Прозоров. "5 "почему" аутсорсинга ИБ"
Solar Security. Андрей Прозоров. "5 "почему" аутсорсинга ИБ"Expolink
 
Измерение эффективности ИБ
Измерение эффективности ИБИзмерение эффективности ИБ
Измерение эффективности ИБAleksey Lukatskiy
 
Зачем измерять информационную безопасность
Зачем измерять информационную безопасностьЗачем измерять информационную безопасность
Зачем измерять информационную безопасностьInfoWatch
 
пр зачем измерять информационную безопасность (прозоров)
пр зачем измерять информационную безопасность (прозоров)пр зачем измерять информационную безопасность (прозоров)
пр зачем измерять информационную безопасность (прозоров)Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Проектный офис. культура управления проектами
Проектный офис. культура управления проектамиПроектный офис. культура управления проектами
Проектный офис. культура управления проектамиЕвгений Пикулев
 
Anti-Malware. Илья Шабанов. "На что стоит обратить внимание при выборе DLP-си...
Anti-Malware. Илья Шабанов. "На что стоит обратить внимание при выборе DLP-си...Anti-Malware. Илья Шабанов. "На что стоит обратить внимание при выборе DLP-си...
Anti-Malware. Илья Шабанов. "На что стоит обратить внимание при выборе DLP-си...Expolink
 
CISSP new 2015 domain structure review (RUS)
CISSP new  2015 domain structure review (RUS)CISSP new  2015 domain structure review (RUS)
CISSP new 2015 domain structure review (RUS)Konstantin Beltsov
 
Is the best information security practices in Russia the illusion or the nece...
Is the best information security practices in Russia the illusion or the nece...Is the best information security practices in Russia the illusion or the nece...
Is the best information security practices in Russia the illusion or the nece...VladimirMinakov3
 
Iso 27001 внедрение технических защитных мер
Iso 27001  внедрение технических защитных мерIso 27001  внедрение технических защитных мер
Iso 27001 внедрение технических защитных мерAlexey Evmenkov
 
Стандарты по управлению ИБ (1).pptx
Стандарты по управлению ИБ (1).pptxСтандарты по управлению ИБ (1).pptx
Стандарты по управлению ИБ (1).pptxghdffds
 

Similar to пр стандарты и «лучшие практики» в иб (прозоров) (20)

Cистемная инженерия безопасности объектов недвижимости и бизнес-процессов.
Cистемная инженерия безопасности объектов недвижимости и бизнес-процессов.Cистемная инженерия безопасности объектов недвижимости и бизнес-процессов.
Cистемная инженерия безопасности объектов недвижимости и бизнес-процессов.
 
Solar Security. Андрей Прозоров. "Лучшие практики" в ИБ"
Solar Security. Андрей Прозоров. "Лучшие практики" в ИБ"Solar Security. Андрей Прозоров. "Лучшие практики" в ИБ"
Solar Security. Андрей Прозоров. "Лучшие практики" в ИБ"
 
ект до 2014 v2
ект до 2014 v2ект до 2014 v2
ект до 2014 v2
 
Шойдин (СоДИТ) "Подводные камни при внедрении СЭД"
Шойдин (СоДИТ) "Подводные камни при внедрении СЭД"Шойдин (СоДИТ) "Подводные камни при внедрении СЭД"
Шойдин (СоДИТ) "Подводные камни при внедрении СЭД"
 
Кризис результативности ИТ: фиксируем проблему, ищем решения
Кризис результативности ИТ: фиксируем проблему, ищем решенияКризис результативности ИТ: фиксируем проблему, ищем решения
Кризис результативности ИТ: фиксируем проблему, ищем решения
 
Presentation 9 11 12 (High School of Economics)
Presentation 9 11 12 (High School of Economics)Presentation 9 11 12 (High School of Economics)
Presentation 9 11 12 (High School of Economics)
 
Новые требования ISO 9001 - ознакомительная презентация
Новые требования ISO 9001 - ознакомительная презентацияНовые требования ISO 9001 - ознакомительная презентация
Новые требования ISO 9001 - ознакомительная презентация
 
Внедрение СУИБ, соответствующей ИСО 27001 в ИТ компании
Внедрение СУИБ, соответствующей ИСО 27001 в ИТ компанииВнедрение СУИБ, соответствующей ИСО 27001 в ИТ компании
Внедрение СУИБ, соответствующей ИСО 27001 в ИТ компании
 
Solar Security. Андрей Прозоров. "5 "почему" аутсорсинга ИБ"
Solar Security. Андрей Прозоров. "5 "почему" аутсорсинга ИБ"Solar Security. Андрей Прозоров. "5 "почему" аутсорсинга ИБ"
Solar Security. Андрей Прозоров. "5 "почему" аутсорсинга ИБ"
 
Измерение эффективности ИБ
Измерение эффективности ИБИзмерение эффективности ИБ
Измерение эффективности ИБ
 
Зачем измерять информационную безопасность
Зачем измерять информационную безопасностьЗачем измерять информационную безопасность
Зачем измерять информационную безопасность
 
пр зачем измерять информационную безопасность (прозоров)
пр зачем измерять информационную безопасность (прозоров)пр зачем измерять информационную безопасность (прозоров)
пр зачем измерять информационную безопасность (прозоров)
 
Павел Алферов, Интер РАО. Стратегия развития управления проектами в организации
Павел Алферов, Интер РАО. Стратегия развития управления проектами в организацииПавел Алферов, Интер РАО. Стратегия развития управления проектами в организации
Павел Алферов, Интер РАО. Стратегия развития управления проектами в организации
 
Обзор PMBOK 4
Обзор PMBOK 4Обзор PMBOK 4
Обзор PMBOK 4
 
Проектный офис. культура управления проектами
Проектный офис. культура управления проектамиПроектный офис. культура управления проектами
Проектный офис. культура управления проектами
 
Anti-Malware. Илья Шабанов. "На что стоит обратить внимание при выборе DLP-си...
Anti-Malware. Илья Шабанов. "На что стоит обратить внимание при выборе DLP-си...Anti-Malware. Илья Шабанов. "На что стоит обратить внимание при выборе DLP-си...
Anti-Malware. Илья Шабанов. "На что стоит обратить внимание при выборе DLP-си...
 
CISSP new 2015 domain structure review (RUS)
CISSP new  2015 domain structure review (RUS)CISSP new  2015 domain structure review (RUS)
CISSP new 2015 domain structure review (RUS)
 
Is the best information security practices in Russia the illusion or the nece...
Is the best information security practices in Russia the illusion or the nece...Is the best information security practices in Russia the illusion or the nece...
Is the best information security practices in Russia the illusion or the nece...
 
Iso 27001 внедрение технических защитных мер
Iso 27001  внедрение технических защитных мерIso 27001  внедрение технических защитных мер
Iso 27001 внедрение технических защитных мер
 
Стандарты по управлению ИБ (1).pptx
Стандарты по управлению ИБ (1).pptxСтандарты по управлению ИБ (1).pptx
Стандарты по управлению ИБ (1).pptx
 

More from Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001

More from Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001 (20)

NIST Cybersecurity Framework (CSF) 2.0: What has changed?
NIST Cybersecurity Framework (CSF) 2.0: What has changed?NIST Cybersecurity Framework (CSF) 2.0: What has changed?
NIST Cybersecurity Framework (CSF) 2.0: What has changed?
 
pr ISMS Documented Information (lite).pdf
pr ISMS Documented Information (lite).pdfpr ISMS Documented Information (lite).pdf
pr ISMS Documented Information (lite).pdf
 
ISO Survey 2022: ISO 27001 certificates (ISMS)
ISO Survey 2022: ISO 27001 certificates (ISMS)ISO Survey 2022: ISO 27001 certificates (ISMS)
ISO Survey 2022: ISO 27001 certificates (ISMS)
 
12 Best Privacy Frameworks
12 Best Privacy Frameworks12 Best Privacy Frameworks
12 Best Privacy Frameworks
 
Cybersecurity Frameworks for DMZCON23 230905.pdf
Cybersecurity Frameworks for DMZCON23 230905.pdfCybersecurity Frameworks for DMZCON23 230905.pdf
Cybersecurity Frameworks for DMZCON23 230905.pdf
 
My 15 Years of Experience in Using Mind Maps for Business and Personal Purposes
My 15 Years of Experience in Using Mind Maps for Business and Personal PurposesMy 15 Years of Experience in Using Mind Maps for Business and Personal Purposes
My 15 Years of Experience in Using Mind Maps for Business and Personal Purposes
 
From NIST CSF 1.1 to 2.0.pdf
From NIST CSF 1.1 to 2.0.pdfFrom NIST CSF 1.1 to 2.0.pdf
From NIST CSF 1.1 to 2.0.pdf
 
ISO 27001 How to use the ISMS Implementation Toolkit.pdf
ISO 27001 How to use the ISMS Implementation Toolkit.pdfISO 27001 How to use the ISMS Implementation Toolkit.pdf
ISO 27001 How to use the ISMS Implementation Toolkit.pdf
 
ISO 27001 How to accelerate the implementation.pdf
ISO 27001 How to accelerate the implementation.pdfISO 27001 How to accelerate the implementation.pdf
ISO 27001 How to accelerate the implementation.pdf
 
How to use ChatGPT for an ISMS implementation.pdf
How to use ChatGPT for an ISMS implementation.pdfHow to use ChatGPT for an ISMS implementation.pdf
How to use ChatGPT for an ISMS implementation.pdf
 
pr Privacy Principles 230405 small.pdf
pr Privacy Principles 230405 small.pdfpr Privacy Principles 230405 small.pdf
pr Privacy Principles 230405 small.pdf
 
ISO 27001:2022 Introduction
ISO 27001:2022 IntroductionISO 27001:2022 Introduction
ISO 27001:2022 Introduction
 
ISO 27001_2022 What has changed 2.0 for ISACA.pdf
ISO 27001_2022 What has changed 2.0 for ISACA.pdfISO 27001_2022 What has changed 2.0 for ISACA.pdf
ISO 27001_2022 What has changed 2.0 for ISACA.pdf
 
ISO 27005:2022 Overview 221028.pdf
ISO 27005:2022 Overview 221028.pdfISO 27005:2022 Overview 221028.pdf
ISO 27005:2022 Overview 221028.pdf
 
ISO 27001:2022 What has changed.pdf
ISO 27001:2022 What has changed.pdfISO 27001:2022 What has changed.pdf
ISO 27001:2022 What has changed.pdf
 
ISO Survey 2021: ISO 27001.pdf
ISO Survey 2021: ISO 27001.pdfISO Survey 2021: ISO 27001.pdf
ISO Survey 2021: ISO 27001.pdf
 
All about a DPIA by Andrey Prozorov 2.0, 220518.pdf
All about a DPIA by Andrey Prozorov 2.0, 220518.pdfAll about a DPIA by Andrey Prozorov 2.0, 220518.pdf
All about a DPIA by Andrey Prozorov 2.0, 220518.pdf
 
Supply management 1.1.pdf
Supply management 1.1.pdfSupply management 1.1.pdf
Supply management 1.1.pdf
 
Employee Monitoring and Privacy.pdf
Employee Monitoring and Privacy.pdfEmployee Monitoring and Privacy.pdf
Employee Monitoring and Privacy.pdf
 
GDPR RACI.pdf
GDPR RACI.pdfGDPR RACI.pdf
GDPR RACI.pdf
 

пр стандарты и «лучшие практики» в иб (прозоров)

  • 1. Прозоров Андрей Ведущий эксперт по информационной безопасности Стандарты и «лучшие практики» в ИБ: Чем отличается мировой опыт от подходов российских регуляторов? Для DLP–Russia 09-2013
  • 2. Понимание требований к ИБ и применение «лучших практик» крайне необходимо для управления и обеспечения ИБ
  • 3. 1. Куда развиваются требования и рекомендации по ИБ в России и Мире? 2. В чем сходство и различия подходов к ИБ в России и Мире? О чем эта презентация?
  • 4. Законодательство и подходы к регулированию ИБ Развитие ИТ Научная база Мировой опыт и «лучших практики» Развитие в параллельных областях знаний (управление рисками, управление проектами, управление ИТ, управление непрерывностью и пр.) Что влияет на развитие требований и «лучших практик» ИБ?
  • 5. Защита ПДн:  152-ФЗ (07.2011) -> ПП 1119 -> Приказ ФСТЭК России №21  Отмена ПП 781 и Приказа ФСТЭК России №58 Важные обновления:  Переход от классов ИСПДн к Уровням защищенности ПДн  Изменилась процедура выбора мер защиты, в том числе «с учетом экономической целесообразности»  Изменился (расширился) набор мер и средств защиты  Появились дополнительные меры, направленные на снижение актуальных угроз к 1 и 2 типа (НДВ)  Пересмотрены требования к классам сертифицированных СЗИ  Прописана возможность привлечения лицензиатов ФСТЭК для выполнения работ ИБ Изменения в подходах ИБ (РФ) 1
  • 6. ФСТЭК России:  Приказ №17 (ГосИС)  Ожидаем:  Методический документ. Меры защиты информации в государственных информационных системах (разъяснение требований Приказов ФСТЭК России № 17 и №21)  Порядок моделирования угроз безопасности информации в информационных системах  …  Кстати, СТР-К никто не отменял… Ожидаем обновления и расширения требований по НПС, СТО БР ИББС, PCI DSS Изменения в подходах ИБ (РФ) 2
  • 7. Гармонизация требований к системам управления в ISO Ожидаем обновление ISO 27001 и ISO 27002 (2013) Ожидаем обновление PCI DSS Обновились документы:  COBIT 4.1 стал COBIT 5 (05-2012)  SANS «20 Critical Security Controls for Effective Cyber Defense» (v.4.1, 03-2013)  NIST SP 800-53 «Security and Privacy Controls for Federal Information Systems and Organizations» (v.4, 04-2013) Смежные отрасли:  PM: PMBOK обновлен до 5 версии (2013)  BCM: Пересмотрен BS 25999 и утвержден ISO 22301 (2012)  ITSM: Происходит «укрепление» ITILv3 и ISO 20000 Изменения в подходах ИБ (Мир)
  • 8. 1. Доступность и популярность документов 2. Удобная структура документов 3. Открытость, наличие ссылок на авторов и возможность комментирования при разработке 4. Дополнительные ссылки, маппинг, обзор изменений 5. Рекомендации и обсуждение 6. Возможность сертификации специалистов и компаний 7. Ориентир на управление рисками 8. Процессный подход 9. Комплексность и Системность 10. Анализ и Контроль 11. Необходимость постоянного совершенствования Что характерно «западным» стандартам по ИБ? 1
  • 9. В последних версиях документов: Связь с целями бизнеса (+Governance), понимание ожиданий заинтересованных лиц (stakeholder) Фокус на «человеческий фактор» и Лидерство Управление знаниями Больше конкретики и примеров Гармонизация с другими стандартами и «лучшими практиками» Что характерно «западным» стандартам по ИБ? 2
  • 10. СТО БР ИББС и «переводные» ГОСТы развиваются в правильном направлении. А что с подходом ФСТЭК?
  • 11. В Мире:  Управление рисками – важная идея в ИБ  Много методических материалов и рекомендаций  Организации могут сами выбирать допустимый уровень риска и подход (принятие, снижение, передача и избегание риска). В РФ:  Рисковый подход набирает популярность (но подход через «актуальные угрозы»)  Практически нет методических материалов  ИБ-специалисты пренебрежительно относятся к управлению рисками  Анализ рисков – формальное требование, а не механизм выбора мер защиты Управление рисками
  • 12. Что в «западных стандартах»:  Входы и Выходы процессов  Связь процессов  Ответственность (RACI-chart)  Четкая последовательность шагов  Документы и записи Что в РФ:  Необходимо «выискивать» процессы по тексту документа  Упомянутых процессов стало больше (например, упр.инцидентами и событиями, упр.конфигурацией и другие)  Практически отсутствуют рекомендации и примеры  Процессный подход сложен для понимания (особенно после привычки использования «объектно-ориентированного» подхода) Процессный подход
  • 13. Комплексность и системность 1. Принципы, политики и подходы 2. Процессы 3. Орг. структуры 4. Культура, этика и поведение 5. Информация 6. Сервисы, инфраструктура и приложения 7. Люди, и компетенции Ресурсы Одна из лучших моделей комплексного подхода (COBIT5): В РФ аналогов нет, комплексность и системность обычно подразумевается, но не прописана в документах…
  • 14. В Мире:  Примеры: Аудит (внутренний и внешний), тестирование на проникновение, измерение ИБ, анализ со стороны руководства  Требования четко прописаны в основных комплексных стандартах, много методических документов и рекомендаций В РФ:  Термины «контроль», «оценка эффективности», «анализ», «аудит» точно не определены и часто перепутаны. Есть намек на аттестацию ИС…  Нет методических материалов  Нет работы «над ошибками» Анализ и Контроль
  • 15. В Мире: Совершенствование ИБ – важный и непрерывный процесс В РФ:  Требований по пересмотру ИБ и совершенствованию практически нет (единичные упоминания без конкретных сроков пересмотра)  Нет требований по пересмотру модели угроз  Нет измеримых целей и задач ИБ  Нет требований по измерениям ИБ Совершенствование ИБ ISO NIST COBIT5 Основной драйвер – новые требования и санкции регуляторов
  • 16. В каком направлении развиваются подходы к ИБ в Мире?
  • 17. ISO/IEC 27001:2005 «Information technology. Security techniques. Information security management systems. Requirements» (Система управления информационной безопасности. Требования) Аналог ГОСТ 27001:2006 ISO 27001 История изменений: • 1995 год: разработан BS 7799-1 • 1998 год: разработан BS 7799-2 • 1999 год: пересмотр и гармонизация BS 7799-1 и 2 с ISO 9001 • 2002 год: пересмотр BS 7799-2 (в частности, добавили PDCA) • 2005 год: пересмотр BS 7799-2 и принятие в качестве ISO 27001:2005 • Ожидаем ISO 27001:2013 (и 27002 тоже)
  • 18. Акцент на «Interested parties» («заинтересованные лица»). Странно, что не используется термин «stakeholders» Вместо п.5 «Приверженство руководства» стал пункт «Лидерство» п.5.2 «Управление ресурсами» перешел в п.7 «Поддержка» («Support»). В нем про предоставление ресурсов, наличию компетенций, повышение осведомленности и управление коммуникациями (новое) Упрощен подход к оценке рисков и управлению документами Пересмотрен перечень механизмов контроля: 6 новых, 24 убрали Пересмотрен перечень и содержание доменов: Отдельный акцент на безопасность моб.устройств и удаленную работу ISO 27001-2013: Что нового? A.5 Security Policies A.6 Organization of information security A.7 Human resource security A.8 Asset management A.9 Access control A.10 Cryptography A.11 Physical and environmental security A.12 Operations security A.13 Communications security A.14 System acquisition, development and maintenance A.15 Supplier relationships A.16 Information security incident management A.17 Information security aspects of business continuity management A.18 Compliance
  • 19. COBIT Control Objectives for Information and Related Technology Задачи информационных и смежных технологий 2005/720001998 Evolutionofscope 1996 2012 Governance of Enterprise IT COBIT 5 IT Governance COBIT4.0/4.1 Management COBIT3 Control COBIT2 Audit COBIT1 Val IT 2.0 (2008) Risk IT (2009)
  • 20. В основе лежат «5 принципов» Простроена связь целей бизнеса с целями ИТ Пересмотрены процессы Пересмотрен комплексный подход (enablers – «движущие силы») Разделены понятия «Governance» (руководство) и «Management» (управление) Много книг, в том числе дополнительные:  COBIT5 for Information Security  Securing Mobile Devices Using COBIT5 for IS  Transforming cybersecurity Using COBIT5  Vendor Management Using COBIT5  Configuration Management Using COBIT 5 Маппинг с основными стандартами (ИТ и ИБ) Много рекомендаций и примеров COBIT5:Что нового?
  • 22. Свод знаний по управлению проектами PMBoK (Project Management Body of Knowledge) Разработчик - PMI (Институт управления проектами) Переход с 4 версии (2008) на 5 (2013) 10 областей знаний:  Project Integration Management – Управление интеграцией  Project Scope Management – Управление содержанием  Project Time Management – Управление временем  Project Cost Management – Управление стоимостью  Project Quality Management – Управление качеством  Project Human Resource Management – Управление человеческими ресурсами  Project Communications Management – Управление коммуникациями  Project Risk Management – Управление риском  Project Procurement Management – Управление закупками  Project Stakeholder management – Управление заинтересованными лицами 47 процессов PMBOK® Guide
  • 23. Полезно знать и использовать при внедрении крупных проектов по ИБ Например, комплексные проекты по защите ПДн, по внедрению СУИБ (ISO 27001), по внедрению СОИБ (СТО БР ИББС) и пр. PMBOK:А где ИБ?
  • 24.  Пересмотрена терминология, гармонизировано с ISO 21500:2012, упоминается Agile, пересмотрен подход к «Офису управления проектами»  Добавлена новая область знаний Project Stakeholders management («Управление заинтересованными сторонами проекта»), в ней 2 новых процесса и 2 процесса из области Project Communication management («Управление коммуникациями»). Стало 10 областей знаний.  Добавлено 5 процессов: Plan Scope Management (Планирование содержания проекта), Plan Schedule Management (Планирование управления расписанием), Plan Cost Management (Планирование управления стоимостью), Plan Stakeholder Management (Планирование управления заинтересованными лицами), а также Manage Stakeholder Engagement (Управление обязательствами). Стало 47 процессов, «планирование» теперь в каждой области  Процесс Проверки содержания (Verify Scope) переработан и переименован в Подтверждение содержания (Validate Scope)  Добавлена модель информационной иерархии DIKW (data – information – knowledge - wisdom)  Расширен перечень навыков «Soft skill»/«Emotional intelligence» (Эмоциональный интеллект) PMBOK:Что нового?
  • 25. ISO 22301:2012 «Societal security. Business continuity management systems. Requirements» (Управление непрерывностью бизнеса. Требования) BS 25999-2:2007 -> ISO 22301:2012 Гармонизация общей структуры с другими системами управления в ISO (общая часть аналогична ISO 27001) ISO 22301
  • 26. 22301:А где ИБ? Обеспечение непрерывности бизнеса – одна из задач ИБ (доступность информации)
  • 27. IT Infrastructure Library — библиотека инфраструктуры ИТ Актуальная версия: ITIL v3 (2007 год) На основе ITIL разработан стандарт ISO 20000 Структура книг:  Service Strategy (Стратегия услуг)  Service Design (Проектирование услуг)  Service Transition (Преобразование услуг)  Service Operation (Эксплуатация услуг)  Continual Service Improvement (Постоянное улучшение услуг ) ITIL
  • 28. Нам интересны описание и рекомендации по следующим процессам: Управление инцидентами Управление проблемами Управление конфигурациями Управление изменениями Управление уровнем услуг Управление доступностью Управление непрерывностью Управление доступом Управление знаниями Управление финансами Процесс управления ИБ есть, но описан слабо… ITIL:А где ИБ?