2. ВАЖНО ПРАВИЛЬНО ПОНИМАТЬ НАЗНАЧЕНИЕ СТАНДАРТА ISO/IEC 27001

5. СВОЙСТВА ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ДОСТУПНОСТЬ И ЦЕЛОСТНОСТЬ до 90% проблем

6. СНИЖЕНИЕ И ОПТИМИЗАЦИЯ СТОИМОСТИ ПОДДЕРЖКИ СИСТЕМЫ БЕЗОПАСНОСТИ Активы Стоимость активов $ Риски Величина риска $ Принятие решения о мерах по снижению риска $ Финансирование ИБ Основная выгода внедрения стандарта ISO / IEC 27001:2005

7. Структура стандарта. УПРАВЛЕНИЕ РИСКАМИ Внедрение СМИБ Ответственность руководства Внутренний аудит Мониторинг СМИБ Улучшение СМИБ Направления безопасности Направления безопасности ОСНОВА НАПРАВЛЕНИЯ

9. Направления безопасности

10. Общая схема работы СМИБ I этап. СИСТЕМА УПРАВЛЕНИЯ РИСКАМИ II этап. определение направлений защиты III этап. реализация мер защиты ( $$$ ) Организационные Учебные Программные Аппаратные А15. Регламентированные требования А14. Непрерывность бизнеса А13. Инциденты А12. Владение информационной системой А11. Управление доступом А10. Компьютеры и сети А9. Физическая безопасность А8. Персонал А7. Работа с активами А6. Организация системы А5. Политика

11. Сложная методика = финансовые потери предприятия Риск менеджмент

12. Риск менеджмент Этапы обработки рисков 1 2 3

13. Риск менеджмент f. Определение и оценка вариантов обработки рисков Что можно сделать с существующими рисками? 1) применение соответствующих средств; 2) разумное и целевое принятие рисков, обеспечивающее их полное удовлетворение политикам организации и ее критериям принятия рисков (см. 4.2.1c)2)); 3) избегание рисков; 4) перенос связанных бизнес-рисков на другие стороны , например на страховщиков, поставщиков и пр.

14. Риск менеджмент G Принять м еры по снижению рисков Наиболее целесообразно выбирать меры согласно приложению А стандарта ISO 27001

15. h. Приказ высшего руководства о принятии остаточных рисков Высшее руководство принимает следующие риски Риск 1 - Величина 10 - Причина 1 Риск 2 - Величина 17 - Причина 2 Риск 3 - Величина 3 - Причина 3 Генеральный директор …. Дата Подпись Риск менеджмент

16. План работ по подготовке, внедрению и сертификации СМИБ

23. Особенности внедрения отдельных положений стандарта ISO/IEC 27001 на предприятиях стран СНГ

24. 4.2.1 ( h ) Приказ высшего руководства о принятии остаточных рисков Высшее руководство принимает следующие риски Риск 1 - Величина 10 - Причина 1 Риск 2 - Величина 17 - Причина 2 Риск 3 - Величина 3 - Причина 3 Генеральный директор …. Дата Подпись

25. Пункт 5.1.с Установка ролей и ответственности Работа СМИБ по требованиям ISO 27001 Комитет по ИТ-безопасности Много ошибок при работе эл. почты! Настаиваю на проверке! У нас нет общей концепции безопасности! Как принимать персонал? Каждый день фиксируем попытки проникновения на сервер! Нужно срочно установить файерволы в точках …. Персонал не знает правила инф. безо-пасности! Вышел закон о защите персональных данных. Надо учесть! Всем спасибо! Сейчас подробно опишем все наши проблемы, просчитаем риски и определим программу снижения рисков!

29. Пункт A.10.10.4 Действия системного администратора Действия системного администратора и системного оператора должны записываться в журнал Работа СМИБ по требованиям ISO 27001

31. Пункт A.13 Управление инцидентами информационной безопасности Важно, чтобы ни один инцидент не остался незамеченным! Работа СМИБ по требованиям ISO 27001

32. Пункт A.14 Непрерывность бизнеса Тестирование планов обеспечения непрерывности бизнеса Работа СМИБ по требованиям ISO 27001

33. Пункт A.15.1.2 Права интеллектуальной собственности Основа - соблюдение «Закона о защите авторских и смежных прав» Проблемные места: - Использование нелицензионного программного обеспечения - Незаконное использование авторских разработок Работа СМИБ по требованиям ISO 27001

34. Пункт A.15.1.5 Предотвращение нецелевого использования средств обработки информации Работа СМИБ по требованиям ISO 27001

35. Инструменты для внедрения СМИБ, опробованные на предприятиях Украины

36. АВТОМАТИЗИРОВАННЫЙ ВОПРОСНИК Раздел стандарт а ISO/IEC 27001 Процент выполнения требований конкретного раздела стандарта Процент выполнения всех требований стандарта Место для записи комментария по данному вопросу (описание подтверждения выполнения вопроса, № документа, местонахождение, др.) Вопрос Варианты ответа Пункт стандарта ISO/IEC 27001 Раздел библии-отеки ITIL

37. РЕЗУЛЬТАТ ОБСЛЕДОВАНИЯ ПРЕДПРИЯТИЯ

38. СРАВНЕНИЕ РЕЗУЛЬТАТОВ ОБСЛЕДОВАНИЯ www.bridgepoint.com.au

40. Методика ИТ-Грундшутц + каталоги

42. Пример описания процесса Внедрение ISO 27001 на базе ISO 9001 ISO 9001 = 10-30% ISO 27001

43. СИТУАЦИЯ В УКРАИНЕ ( ISO/IEC 27001 ) на примере отдельного сертификационного органа

44. Тенденция спроса по основным потребителям услуг СИТУАЦИЯ В УКРАИНЕ ( ISO/IEC 27001 )