Благодарю за внимание! Толстой Александр Иванович AITolstoj@mephi.ru 8(499)324-97-35

2.90M

Categories:

management law

law

Концептуальные подходы к управлению рисками информационной безопасности

1.

Учебная дисциплина
«Управление информационной
безопасностью»
Тема 2
Концептуальные подходы к
управлению ИБ
Толстой Александр Иванович
к.т.н., доцент
Доцент кафедры «Информационная безопасность банковских систем»
НИЯУ МИФИ,
Факультет «Кибернетика и информационная безопасность»,
кафедра
Москва, 2016

2.

УИБ
Тема 1
1.Исходная концептуальная схема обеспечения ИБ
Основные идеи новой концептуальной схемы (модели)
обеспечения ИБ:
Эффективность обеспечения ИБ определяется эффективностью управления
Основной целью деятельности службы ИБ организации является содействие бизнесу – целям
деятельности организации.
Активы могут рассматриваться только в контексте целей деятельности организации, но не
как иначе.
Деятельности организации сопутствует значительное число различных рисков – риски ИБ
один из видов рисков.
Менеджмент рисков ИБ – основа деятельности по обеспечению ИБ.
Управление инцидентами ИБ является элементом управления ИБ.
Контроль обеспечения ИБ является элементом управления ИБ:
2

3.

4.

УИБ
Тема 2
2.Концептуальные подходы к управлению
информационной безопасностью
• Почему «управление ИБ»?
• Нормативная база управления ИБ
• Термины и определения
• Управление ИБ организации
• Управление ИБ технологии (ИТТ)
• Система управления ИБ
• Политики ИБ
4

5.

УИБ
Тема 2
2.Концептуальные подходы к управлению ИБ
Почему «управление ИБ»?
1.Исходная концептуальная схема обеспечения ИБ
Современный подход:
управленчески-ориентированный
Информационная безопасность - состояние защищённости
информации, которое достигается обеспечением совокупности для
нее свойств доступности, целостности, конфиденциальности,
аутентичности, подотчетности, неотказуемости и
достоверности.
Обеспечение ИБ – это системный процесс, а не состояние.
Процессом надо управлять!
Эффективность обеспечения ИБ определяется эффективностью
управления
5

6.

УИБ
Тема 2
2.Концептуальные подходы к управлению ИБ
Нормативная база управления ИБ: стандарты (лучшая
практика)
В соответствие с этими стандартами обеспечение ИБ (ОИБ)
в любой организации заключается в выполнении следующих
действий:
• определение целей ОИБ;
• создание и эксплуатация эффективной СУИБ;
• расчет совокупности детализированных не только
качественных, но и количественных показателей для
оценки соответствия уровня ИБ заявленным целям;
• применение инструментария ОИБ и оценки ее текущего
состояния
6

7.

УИБ
Тема 2
2.Концептуальные подходы к управлению ИБ
Нормативная база управления ИБ: Стандарты серии ISO/IEC 27000:

8.

Cтандарты ISO 2700х (1):
Номер
и год принятия
27000:2014
27001:2013/
Cor 1:2014
27002:2013/
Cor 1:2014
27003:2010
27004:2009
27005:2011
27006:2011
27007:2011
27008:2011
27009
27010:2012
27011:2008
27013:2012
27014:2013
27015:2012
27016:2014
27017
Название
СУИБ. Обзор и основные термины
СУИБ. Требования (на основе BS 7799–2:2005)
Практические правила управления ИБ (ранее ISO/IEC 17799:2005)
Руководство по внедрению СУИБ (готовится новая редакция - ГНР)
Управление ИБ. Оценка СУИБ (ГНР)
Управление рисками ИБ (на основе BS 7799–3:2006) (ГНР)
Требования к органам, обеспечивающим аудит и сертификацию СУИБ (ГНР)
Руководство по аудиту СУИБ (ГНР)
Руководство по аудиту средств управления ИБ, реализованных в СУИБ (ГНР)
Использование и применение ISO/IEC 27001 при сертификации
аккредитованных третьих сторон для отдельного сектора/сервиса
Управление ИБ при коммуникации между секторами (в нескольких частях,
предоставляющих руководство по совместному использованию информации
о рисках ИБ, средствах управления, проблемах и/или инцидентах ИБ,
выходящих за границы отдельных секторов экономики и государств,
особенно в части, касающейся критичных инфраструктур) (ГНР)
Руководство по управлению ИБ для телекоммуникационных компаний на
основе ISO/IEC 27002 (ГНР)
Руководство по интегрированному внедрению ISO 27000 и ISO 20000-1 (ГНР)
Руководство ИБ
Руководство по внедрению СУИБ для финансовых сервисов (банков,
страховых компаний, кредитных организаций и т.д.)
Управление ИБ. Экономика организации
Практические правила для средств управления ИБ для сервисов облачных
вычислений на основе ISO/IEC 27002

9.

Стандарты ISO 2700х (2):
Практические правила для средств управления защитой данных в общедоступных
сервисах облачных вычислений
Руководство по управлению ИБ на базе ISO/IEC 27002 для систем управления
27019:2013
процессами, характерными для энергетической промышленности
27021
Компетентностные требования к профессионалам в области СУИБ
27023
Соответствие пересмотренных редакций ISO/IEC 27001 и ISO/IEC 27002
Руководство по готовности информационных и телекоммуникационных технологий
27031:2011
для обеспечения непрерывности бизнеса (на основе BS 25699:2006/2007)
27032:2012 Руководство по обеспечению кибербезопасности
27033–1:2009 Безопасность сетей. Часть 1. Общие положения и концепции (ГНР)
27033–2:2012 Руководство по проектированию и внедрению системы обеспечения
безопасности сетей
27033–3:2010 Базовые сетевые сценарии – угрозы, методы проектирования и средства
управления
27033
27033–4:2014 Обеспечение безопасности межсетевых взаимодействий при помощи
шлюзов безопасности
27033–5:2013 Обеспечение безопасности связи в сетях на основе использования
виртуальных частных сетей
27033–6 Защита беспроводного доступа к IP-сетям
27034–1:2011/Cor1:2014 Безопасность приложений. Часть 1. Обзор и основные
концепции в области обеспечения безопасности приложений
27034–2 Нормативная база организации
27034–3 Процесс управления безопасностью приложений
27034
27034–4 Оценка безопасности приложений
27034–5 Протоколы и структура управляющей информации для обеспечения
безопасности приложений (отдельно 5-1 для XML-схем)
27034–6 Руководство по обеспечению безопасности конкретных приложений
27018:2014

10.

Стандарты ISO 2700х (3):
27035:2011
27036
27037:2012
27038:2014
27039:2015
27040:2015
27041
27042
27043:2015
27044
27050
Управление инцидентами безопасности (заменил ISO/IEC ТR 18044) (готовится 3
новых части)
27036-1:2014 ОИБ при взаимоотношениях с другими организациями (поставщиками).
Часть 1: Обзор и концепции
27036-2:2014 Требования
27036-3:2013 Руководство по защите цепи поставок информационных и
коммуникационных технологий
27036 Руководство по защите облачных сервисов
Руководство по идентификации, сбору и/или получению и обеспечению сохранности
свидетельств, представленных в цифровой форме (на основе BS 10008:2008)
Спецификация для изданий, представленных в цифровой форме
Выбор, размещение и функционирование систем обнаружения и предотвращения
вторжений (вместо 18043:2006)
Безопасность хранения данных
Руководство по обеспечению применимости и адекватности методов исследования
свидетельств, представленных в цифровой форме
Руководство по анализу и интерпретации свидетельств, представленных в цифровой
форме
Принципы и процессы исследования свидетельств, представленных в цифровой
форме
Руководство по управлению информацией и событиями безопасности (SIEM)
27050-1 Обнаружение с помощью электронных средств. Часть 1. Обзор и концепции
27050-2 Рекомендации по руководству и управлению обнаружением с помощью
электронных средств
27050-3 Процессуальный кодекс обнаружения с помощью электронных средств
27050-4 Готовность ИТТ для обнаружения с помощью электронных средств

11.

Другие стандарты:
27789:2013 Аудит электронных медицинских записей
27799:2008 Управление ИБ в сфере здравоохранения (ГНР)
Управления ИБ для дистанционного обслуживания медицинских приборов и
11633-2:2009
медицинских инф.систем. Часть 2: Внедрение СУИБ
29147:2014 Обнаружение уязвимостей
30111:2013 Процессы устранения уязвимостей
Усовершенствование анализа уязвимостей ПО на базе ISO/IEC 15408 и ISO/IEC
20004:2012
18045 (готовится 2 новых части)
Рекомендации по избежанию уязвимостей в программных языках посредство
24772:2013
выбора и использования языка
Методология оценки безопасности ИТ (стандарт, сопровождающий ISO/IEC
18045:2008
15408)

12. Взаимосвязь стандартов

Российский стандарт
ГОСТ Р ИСО/МЭК 27000-2012
ГОСТ Р ИСО/МЭК 27001-2006
ГОСТ Р ИСО/МЭК 27002-2012
ГОСТ Р ИСО/МЭК 27003-2012
ГОСТ Р ИСО/МЭК 27004-2011
ГОСТ Р ИСО/МЭК 27005-2010
ГОСТ Р ИСО/МЭК 27006-2008
ГОСТ Р ИСО/МЭК 27007-2014
ГОСТ Р ИСО/МЭК 27011-2012
ГОСТ Р ИСО/МЭК 27013-2014
ГОСТ Р ИСО/МЭК 27031-2012
ГОСТ Р ИСО/МЭК 27033-1-2011
ГОСТ Р ИСО/МЭК 27033-3-2014
ГОСТ Р ИСО/МЭК 27034-1-2014
ГОСТ Р ИСО/МЭК 27037-2014
ГОСТ Р ИСО/МЭК 18045-2013
ГОСТ Р ИСО/МЭК 15408-1-2008
ГОСТ Р ИСО/МЭК 15408-2-2013
ГОСТ Р ИСО/МЭК 15408-3-2013
Международный
Британский
стандарт
стандарт
ISO/IEC 27000:2009
ISO/IEC 27001:2005
BS 7799-2:2002
ISO/IEC 27002:2005
BS 7799-1:2002
ISO/IEC 27003:2010
ISO/IEC 27004:2009
ISO/IEC 27005:2008
BS 7799-3:2005
ISO/IEC 27006:2007
ISO/IEC 27007:2011
ISO/IEC 27011:2008
ISO/IEC 27013:2012
ISO/IEC 27031:2011
ISO/IEC 27033-1:2009
ISO/IEC 27033-3:2010
ISO/IEC 27034-1:2011
ISO/IEC 27037:2012
ISO/IEC 18045:2008
ISO/IEC 15408-1:2005
ISO/IEC 15408-2:2008
ISO/IEC 15408-3:2008
12

13.

УИБ
Тема 2
2.Концептуальные подходы к управлению ИБ
Нормативная база управления ИБ: Стандарты серии ГОСТ Р ИСО/МЭК
27000:
1. ГОСТ Р ИСО/МЭК 27000-2012 ИТ. Методы и средства обеспечения
безопасности. Системы менеджмента ИБ. Общий обзор и
терминология».
2. ГОСТ Р ИСО/МЭК 27001-2006 ИТ. Методы и средства обеспечения
безопасности. Системы менеджмента ИБ. Требования.
3. ГОСТ Р ИСО/МЭК 27002-2012 ИТ. Методы и средства обеспечения
безопасности. Практические правила менеджмента ИБ.
4. ГОСТ Р ИСО/МЭК 27003-2012 ИТ. Методы и средства обеспечения
безопасности. Системы менеджмента ИБ. Руководство по
реализации системы менеджмента ИБ»
5. ГОСТ Р ИСО/МЭК 27011-2012 ИТ. Методы и средства обеспечения
безопасности. Руководства по менеджменту ИБ для
телекоммуникационных организаций на основе ИСО/МЭК 27002»
13

14.

УИБ
Тема 2
2.Концептуальные подходы к управлению ИБ
Нормативная база управления ИБ: Стандарты «управление ИБ ИТТ»:
1. ГОСТ Р ИСО/МЭК 13335-1-2006 ИТ. Методы и средства обеспечения
безопасности. Часть 1. Концепция и модели менеджмента
безопасности информационных и телекоммуникационных
технологий.
2. ГОСТ Р ИСО/МЭК ТО 13335-3-2007 ИТ. Методы и средства
обеспечения безопасности. Часть 3. Методы менеджмента
безопасности информационных технологий.
3. ГОСТ Р ИСО/МЭК 13335-4-2006 ИТ. Методы и средства обеспечения
безопасности. Часть 4. Выбор защитных мер.
4. ГОСТ Р ИСО/МЭК ТО 13335-5-2006 ИТ. Методы и средства
обеспечения безопасности. Часть 5. Руководство по менеджменту
безопасности сети.
5. ГОСТ Р ИСО/МЭК ТО 18044 – 2007 ИТ. Методы и средства
обеспечения безопасности. Менеджмент инцидентов
информационной безопасности.
14

15.

УИБ
Тема 2
2.Концептуальные подходы к управлению ИБ
Термины и определения
Обеспечение ИБ – это системный процесс, а не состояние.
Процессом надо управлять!
«управление» - осуществление совокупности непрерывных взаимосвязанных
воздействий на объект (управляемую систему), выбранных из множества
возможных воздействий на основании информации о поведении объекта и
состоянии внешней среды для достижения заданной цели;
Пояснения
• Control – исторически первый из применяемых в информационных технологиях
(ИТ) терминов, отражающий самые простейшие операции в области
управления, в большей степени с точки зрения технического аспекта
деятельности.
• Management – термин, который первоначально употреблялся в отношении
управления человеческими ресурсами; в настоящее время встречается в
сочетании с множеством понятий из области ИТ и имеет смысл организации и
регулирования какой-либо деятельности, т. е. ее администрирования.
• Governance – термин, который стал активно использоваться применительно
к ИТ только в последнем десятилетии; под ним обычно понимается
руководство по организации и контролю за какой-либо деятельностью. Это
слово переводится на русский как «власть, руководство, управление».
15

16.

УИБ
Тема 2
2.Концептуальные подходы к управлению ИБ
Термины и определения
Пояснения:
• Менеджмент –
• как особый вид профессионально осуществляемой деятельности,
направленной на достижение определенных целей путем рационального
использования материальных и трудовых ресурсов с применением
определенных научных подходов, принципов, функций и методов;
• объединение управленческой деятельности с кадровой политикой;
• состояние всей управленческой инфраструктуры в различных масштабах;
• процесс оптимизации человеческих, материальных и финансовых ресурсов
для достижения организационных целей;
• теория и практика научного и хозяйственного управления организацией в
условиях рынка;
• система научных знаний, составляющих теоретическую базу
практического опыта в области управления и имеющих
междисциплинарный характер;
• совокупность лиц, идентифицируемых с менеджерами, а также с органами
или аппаратом управления и т. п.
16

17.

УИБ
Тема 2
2.Концептуальные подходы к управлению ИБ
Термины и определения
Пояснения
• Менеджмент –
• способ (манера) обращения с людьми, власть и искусство управления, особого
рода административные навыки, орган управления;
• совокупность принципов, форм, методов, приемов и средств управления
производством и производственным персоналом с использованием
достижений науки управления ;
• искусство управления интеллектуальными, финансовыми, материальными
ресурсами ;
• эффективное и результативное достижение целей организации посредством
планирования, организации, лидерства (руководства) и контроля над
организационными ресурсами ;
• скоординированная деятельность по руководству и управлению организацией
[ГОСТ Р ИСО 9000-2001].
Выводы:
1.Иногда делают вывод, что понятие менеджмента шире, чем просто
управление.
2.Для ИБ более подходит термин «менеджмент ИБ»
17

18.

УИБ
Тема 2
2.Концептуальные подходы к управлению ИБ
Термины и определения
Обеспечение ИБ – это системный процесс, а не состояние.
Процессом надо управлять!
Определения:
«процесс» – это совокупность взаимосвязанных или взаимодействующих
видов деятельности, преобразующая входы в выходы и требующая
для этого определенных ресурсов и управляющих воздействий
(управления);
«бизнес-процесс» - множество из одной или нескольких
упорядоченных во времени, логически связанных и
завершенных видов деятельности, в совокупности
поддерживающих деятельность организации и
реализующих ее политику, направленную на
достижение поставленных целей;
18

19.

УИБ
Тема 2
2.Концептуальные подходы к ИБ
Термины и определения
Управление: процессный подход (улучшение процессов)
Процессный подход: циклическая модель (для структурирования всех процессов
управления и для обеспечения учета всех значимых элементов процессного
подхода) PDCA (от англ. Plan-Do-Check-Act – планируй – выполняй –
проверяй – действуй»)
Циклическая модель:
Предложена и развита двумя американскими учеными и специалистами в
теории управления качеством. Шухарт (Walter A. Shewhart) (1939 г.
«Статистические методы с точки зрения управления качеством»)
Пропагандировалась: Деминг (William Edwards Deming) в качестве основного
способа достижения непрерывного улучшения процессов (цикл PDSA).
19

20.

УИБ
Тема 2
Управление качеством результатов деятельности организации
Модель Шухарта (1939) – три стадии:
20

21.

УИБ
Тема 2
Управление качеством результатов деятельности организации
Модель Шухарта (1939) – три стадии (цикличность):
21

22.

Управление КБ: процессный подход
Управление качеством результатов деятельности организации
Модель Шухарта (1939) – три стадии
Цикличность:
Первый цикл – совершенствование «Спецификации»
Последующие циклы – совершенствование «Продукции»
22

23.

УИБ
Тема 2
Управление качеством результатов деятельности организации
Модель Деминга (-Шухарта) – четыре стадии
23

24.

УИБ
Тема 2
Управление качеством результатов деятельности организации
Модель Деминга (-Шухарта) – четыре стадии
PDCA – «планируй – сделай – проверь – действуй»
PDSA – «планируй – сделай – изучи – действуй»
24

25.

УИБ
Тема 2
Эталонная модель Деминга (-Шухарта) – Цикл Деминга
PDCA – «планируй – сделай – проверь – действуй»
ISO/TC 176/SC 2/N
544R2, ISO 9000
Introduction and
Support Package:
Guidance on Concept
and Use of the Process
Approach for
management systems,
13 may 2004»
25

26.

УИБ
Тема 2
Модель Деминга (-Шухарта) – Цикл Деминга (PDCA)
«ПЛАНИРОВАНИЕ»: установление целей и процессов,
необходимых для выработки результатов в соответствии с
требованиями клиентов и политики организации;
«ВЫПОЛНЕНИЕ» («реализация»): реализация запланированных
процессов и решений;
«ПРОВЕРКА»: контроль и измерение
процессов и производимых
продуктов относительно политик,
целей и требований к продукции и
отчетность о результатах;
«ДЕЙСТВИЕ» («совершенствование»):
принятие корректирующих и
превентивных мер для постоянного
совершенствования
функционирования процесса.
26

27.

УИБ
Тема 2
Модель Деминга (-Шухарта) – Цикл Деминга (PDCA)
ШИРОКОЕ применение («волшебный цикл»):
Национальные стандарты: ГОСТ Р ИСО/МЭК 27001-2012;
ГОСТ Р ИСО 90000 (качество);
ГОСТ Р ИСО 14000 (экология).
Отраслевые стандарты: СБР ИББС-1.0-2010 (Банк России);
автомобилестроение;
поставка и безопасность продуктов питания
Направления деятельности: безопасность (экономическая,
физическая, информационная и пр.)
В основе практики реализации
модели Деминга лежит
процессный подход
27

28.

УИБ
Тема 2
2.Концептуальные подходы к управлению ИБ
Термины и определения
Управление ИБ – Управление обеспечением ИБ
Управление ИБ:
совокупность целенаправленных действий, осуществляемых для
обеспечения нормального функционирования основных процессов и, в
конечном счете, достижения бизнес целей организации посредством
обеспечения защищенности ее информационной сферы.
Определение:
«информационная сфера» - представляет собой совокупность
информации, информационной инфраструктуры (состоит из баз
данных и знаний, систем связи и т. п.), субъектов, осуществляющих
сбор, формирование, распространение, хранение и использование
информации, а также системы регулирования возникающих при этом
отношений.
28

29.

УИБ
Тема 2
2.Концептуальные подходы к управлению ИБ
Термины и определения
Управление ИБ – Управление обеспечением ИБ
Различают:
Управление ИБ организации
Управление ИБ технологии (ИТТ)
Определение:
«Управление ИБ организации» - управление ИБ организации как циклический
процесс, состоящий из совокупности целенаправленных действий,
осуществляемых для достижения заявленных бизнес целей организации
посредством обеспечения защищенности ее информационной сферы, и
включающий :
осознание необходимости ОИБ,
постановку задачи по ОИБ,
оценку текущей ситуации и состояния объекта управления,
планирование мер по обработке рисков ИБ,
реализацию, внедрение и оценку эффективности соответствующих
защитных мероприятий и средств управления,
распределение ролей и ответственности в области ОИБ,
обучение и мотивацию сотрудников, выбор управляющих и корректирующих
воздействий и их реализацию.
29

30.

УИБ
Тема 2
2.Концептуальные подходы к управлению ИБ
Управление ИБ организации
Управление (обеспечением) ИБ организации
– это не разовое мероприятие. Его следует рассматривать как непрерывную
деятельность по постоянному поддержанию требуемого организацией
уровня ИБ, так как правильно управляемая ИБ – инструмент успешного
ведения бизнеса.
Основным предметом управления ИБ в организации являются следующие
области деятельности:
• планирование работ по ОИБ, включая разработку и продвижение
соответствующей документации;
• поддержка и участие в эксплуатации защитных мер;
• осуществление контроля за ОИБ и уровнем ИБ;
• совершенствование работ по ОИБ на основе собственного опыта и лучших
практик.
30

31.

УИБ
Тема 2
2.Концептуальные подходы к управлению ИБ
Управление ИБ организации
В целом процесс управления ИБ организации, носящий циклический характер,
заключается в следующем:
• описание объектов управления и защищаемых активов организации и сбор
данных об их состоянии;
• выявление и формализация возможных угроз ИБ и анализ рисков ИБ;
• оценка защищенности объектов управления (с выявлением уязвимостей) и
ее сравнение с требованиями по ОИБ организации, сформулированными в
Политике ИБ организации (ПолИБ);
• формирование управляющих воздействий;
• оценка результирующей деятельности по управлению ИБ.
Определение:
«Политика ИБ организации» - документация, определяющая высокоуровневые
цели, содержание и основные направления и устанавливающая правила,
процедуры, практические приемы и руководящие принципы обеспечения ИБ
активов организации, которыми она руководствуется в своей деятельности.
31

32.

УИБ
Тема 2
2.Концептуальные подходы к управлению ИБ
Управление ИБ организации
Цель управления ИБ в организации:
заключается в гарантировании того, что
соответствующие мероприятия по обеспечению ИБ
осуществляются таким образом, что в текущий момент
надлежащим образом:
1) снижены риски ИБ;
2) осуществляются инвестиции в обеспечение ИБ;
3) руководство ознакомлено со всеми осуществляемыми
мероприятиями;
4) верно сформулированы критерии оценки эффективности
обеспечения ИБ.
32

33.

УИБ
Тема 2
2.Концептуальные подходы к управлению ИБ
Управление ИБ организации
Уровни управления ИБ организации:
33

34.

УИБ
Тема 2
2.Концептуальные подходы к управлению ИБ
Управление ИБ технологии (ИТТ)
Управление обеспечением ИБ ИТТ организации
Процесс управления ИБ ИТТ :
• интегрируется в общий процесс управления ИТТ;
• основывается на определенных принципах (например,
изложенных в ГОСТ Р ИСО/МЭК 13335–1);
• имеет определенные этапы, например (ГОСТ Р ИСО/МЭК ТО
13335-3):
анализ требований по ОИБ ИТТ;
разработка плана выполнения этих требований;
реализация положений выработанного плана;
управление и административный контроль над процессом
управления ИБ ИТТ.
34

35.

УИБ
Тема 2
2.Концептуальные подходы к управлению ИБ
Управление ИБ технологии (ИТТ)
Этапы процесса управления обеспечением ИБ ИТТ
35

36.

УИБ
Тема 2
2.Концептуальные подходы к управлению ИБ
Система управления ИБ
Управление ИБ в организации включает в себя две важнейшие
составляющие:
- собственно сам процесс управления ИБ;
- систему управления ИБ (СУИБ) организации.
Определение:
«Система управления ИБ организации» часть общей системы управления организации, основанная на
подходе оценки и анализа бизнес-рисков,
предназначена (назначение СУИБ) для разработки, внедрения,
эксплуатации, постоянного контроля, анализа, поддержания и
улучшения системы обеспечения ИБ,
включающая (структура СУИБ) организационную структуру,
политику, планирование действий, обязанности,
установившийся порядок, процедуры, процессы и ресурсы в
области ИБ
36

37.

УИБ
Тема 2
2.Концептуальные подходы к управлению ИБ
Система управления ИБ: выполняет следующие функции:
• реализует целенаправленный, систематический и комплексный
подход к управлению ИБ защищаемых активов, что приводит к
повышению текущего уровня их защищенности;
• объединяет все применяемые в организации защитные и
организационные меры в единый, адекватный реальным угрозам
ИБ и управляемый комплекс, позволяющий достигать цели
обеспечения ИБ на уровне всей организации;
• позволяет четко установить, как взаимосвязаны процессы и
подсистемы обеспечения ИБ, кто за них отвечает, какие
финансовые и трудовые ресурсы необходимы для их
эффективного функционирования и т. д.;
• осуществляет процесс выполнения ПолИБ и позволяет находить
и устранять слабые места в обеспечении ИБ;
• охватывает людей, процессы и ИТ-структуру организации.
37

38.

УИБ
Тема 2
2.Концептуальные подходы к управлению ИБ
Система управления ИБ: Выгоды от использования СУИБ
(начало):
• обеспечение соответствия уровня ИБ законодательным,
отраслевым, контрактным, внутрикорпоративным
требованиям и целям бизнеса;
• доказательство стремления высшего руководства к ОИБ в
необходимом объеме для всей организации в соответствии
с установленными требованиями;
• повышение доверия партнеров, клиентов, заказчиков за
счет демонстрации высокого уровня ОИБ всем
заинтересованным сторонам;
• управляемое ОИБ и контролируемое управление ИБ
(особенно в критичных ситуациях);
38

39.

УИБ
Тема 2
2.Концептуальные подходы к управлению ИБ
Система управления ИБ: Выгоды от использования СУИБ
(продолжение):
• систематизация процессов ОИБ;
• расстановка приоритетов в области ИБ;
• достижение «прозрачности» в ОИБ;
• обеспечение понятности защищаемых активов для
руководства;
• выявление угроз ИБ для бизнес-процессов;
• достижение адекватности ОИБ существующим рискам;
• предупреждение возникновения инцидентов ИБ и снижение
ущерба в случае их возникновения;
• повышение культуры ИБ в организации;
39

40.

УИБ
Тема 2
2.Концептуальные подходы к управлению ИБ
Система управления ИБ: Выгоды от использования СУИБ
(окончание):
• интеграция защитных мер в бизнес-процессы;
• оптимизация (за счет формализации всех процессов ОИБ) и
обоснование расходов на ИБ;
• снижение финансовых рисков и рисков прямых потерь;
• снижение рисков для инвесторов за счет повышения
прозрачности процессов внутри организации;
• экономия времени, ресурсов и затрат на начальной стадии
сбора информации при проведении любых аудитов ИБ;
• создание информации, порождаемой в процессе
использования СУИБ, для всех заинтересованных сторон
• и т. д.
40

41.

УИБ
Тема 2
2.Концептуальные подходы к управлению ИБ
Система управления ИБ:
Формирование СУИБ:
1. Область действия СУИБ
2. Документальное обеспечение СУИБ
3. Поддержка СУИБ со стороны руководства организации
Методологическая основа СУИБ: процессный подход в рамках
управления ИБ:
1. Планирование СУИБ
2. Реализация СУИБ
3. Проверка СУИБ
4. Совершенствование СУИБ
Работа с процессами СУИБ
Стратегия построения и внедрения СУИБ
41

42.

43.

УИБ
Тема 2
2.Концептуальные подходы к управлению ИБ
Система управления ИБ:
Формирование СУИБ:
1.Область действия СУИБ
Это область и границы применения СУИБ в терминах
характеристик бизнеса, организации, ее расположения, ресурсов
и технологий (ГОСТ Р ИСО/МЭК 27001)
Область действия СУИБ организации включает:
• бизнес-процессы;
• технологии;
• активы (кадры, финансовые (денежные) средства, средства
вычислительной техники, телекоммуникационные средства,
различные виды информации, процессы, продукты и услуги,
предоставляемые всем заинтересованным сторонам – клиентам,
партнерам и т. д.);
• расположение (ограниченная и определяемая независимо часть
организации, то есть перечисление конкретных офисов, входящих
в область действия, или вся организация в целом);
43
• обоснование выбора данной области действия.

44.

45.

46.

УИБ
Тема 2
2.Концептуальные подходы к управлению ИБ
Система управления ИБ:
Формирование СУИБ:
2.Документальное обеспечение СУИБ
Любые процессы управления базируются на поддерживающем
их документальном обеспечении.
Неправильно организованный процесс разработки
документации, относящейся к СУИБ, может привести к
серьезному перерасходу ресурсов и, более того, может
снизить эффект от внедрения СУИБ.
В документацию СУИБ обычно включаются следующее
документы:
• политика СУИБ; руководства по процессам управления ИБ;
• документированные процедуры;
рабочие инструкции;
формы и шаблоны; планы работ;
спецификации;
• внешние документы (стандарты);
• отчетные документы и т. п.
46

47.

УИБ
Тема 2
2.Концептуальные подходы к управлению ИБ
«Политика ИБ» •совокупность требований и правил по ИБ для объекта ИБ, выработанных в
соответствии с требованиями руководящих и нормативных документов в
целях противодействия заданному множеству угроз ИБ, с учетом ценности
защищаемой информационной сферы;
•совокупность документированных правил, процедур, практических приемов
или руководящих принципов в области безопасности информации, которыми
руководствуется организация в своей деятельности;
•документация, определяющая высокоуровневые цели, содержание и основные
направления и устанавливающая правила, процедуры, практические приемы и
руководящие принципы обеспечения ИБ активов организации, которыми она
руководствуется в своей деятельности.
•одно или несколько правил, процедур, практических приемов в области
безопасности, которыми руководствуется организация в своей
деятельности;
•документированные решения в области обеспечения ИБ;
ПолИБ =
Что защищать (активы) + Отчего защищать (угрозы-уязвимости) + как
47
защищать (стратегия защиты)

48.

УИБ
Тема 4.1
2.Концептуальные подходы к управлению ИБ
Политика ИБ: Разработка и реализация политики ИБ
От чего
защищаем?
Как
контролируем?
Оценка
рисков ИБ
Что
защищаем?
Как
защищаем?
48

49.

50.

51.

УИБ
Тема 2
2.Концептуальные подходы к управлению ИБ
Система управления ИБ:
Формирование СУИБ:
3.Поддержка СУИБ со стороны
руководства организации
Руководство должно продемонстрировать свою поддержку
(приверженность, заинтересованность) разработки,
внедрения, обеспечения функционирования, мониторинга,
анализа и улучшения СУИБ посредством (ИСО/МЭК 27001):
• разработки и утверждения Политики СУИБ;
• обеспечения разработки целей и планов СУИБ;
• определения функций и ответственности в области ИБ;
• информирования сотрудников организации о важности
достижения целей ОИБ и соответствия ее требованиям
политики организации, об их ответственности перед
законом и необходимости непрерывного совершенствования
в реализации защитных мер;
51

52.

УИБ
Тема 2
2.Концептуальные подходы к управлению ИБ
Система управления ИБ:
Формирование СУИБ:
3.Поддержка СУИБ со стороны
руководства организации
Руководство должно продемонстрировать свою поддержку
(приверженность, заинтересованность) разработки,
внедрения, обеспечения функционирования, мониторинга,
анализа и улучшения СУИБ посредством (ИСО/МЭК 27001):
• предоставления необходимых и достаточных ресурсов для
внедрения, обеспечения функционирования, мониторинга,
анализа, поддержки и улучшения СУИБ;
• установления критериев принятия рисков ИБ и уровней их
приемлемости;
• обеспечения проведения внутренних аудитов СУИБ;
• проведения анализа СУИБ со стороны руководства.
52

53.

УИБ
Тема 2
2.Концептуальные подходы к управлению ИБ
Система управления ИБ:
Формирование СУИБ:
3.Поддержка СУИБ со стороны
руководства организации
Руководство организации должно обеспечить необходимую
квалификацию персонала, на который возложены
обязанности выполнения задач в рамках СУИБ за счет
реализации следующих мер:
• определения требуемого уровня знаний и навыков для
персонала, выполняющего работу, влияющую на СУИБ;
• организации обучения персонала или принятия других мер
(например, наем компетентного персонала) для
удовлетворения указанных потребностей;
• оценки результативность предпринятых действий;
• ведения записей об образовании, навыках, опыте и
квалификации сотрудников.
53

54.

55.

УИБ
Тема 2
2.Концептуальные подходы к управлению ИБ
Система управления ИБ:
Формирование СУИБ:
1. Область действия СУИБ
2. Документальное обеспечение СУИБ
3. Поддержка СУИБ со стороны руководства организации
Методологическая основа СУИБ: процессный подход в рамках
управления ИБ:
!!!!!!!!!!!!!!!!!!!!!!!!!
1. Планирование СУИБ
2. Реализация СУИБ
3. Проверка СУИБ
4. Совершенствование СУИБ
Работа с процессами СУИБ
Стратегия построения и внедрения СУИБ
55

56.

УИБ
Тема 2
2.Концептуальные подходы к управлению ИБ
Система управления ИБ:
Методологическая основа СУИБ: процессный подход в рамках управления
ИБ: 1.Планирование СУИБ; 2.Реализация СУИБ; 3.Проверка СУИБ;
4.Совершенствование СУИБ
56

57.

58.

59.

УИБ
Тема 2
2.Концептуальные подходы к управлению ИБ
Система управления ИБ:
Формирование СУИБ:
1. Область действия СУИБ
2. Документальное обеспечение СУИБ
3. Поддержка СУИБ со стороны руководства организации
Методологическая основа СУИБ: процессный подход в рамках
управления ИБ:
1. Планирование СУИБ
2. Реализация СУИБ
3. Проверка СУИБ
4. Совершенствование СУИБ
Работа с процессами СУИБ
!!!!!!!!!!!!!!!!!!!
Стратегия построения и внедрения СУИБ
59

60.

УИБ
Тема 2
2.Концептуальные подходы к управлению ИБ
Система управления ИБ:
Работа с процессами СУИБ: Основные процессы СУИБ
60

61.

62.

63.

УИБ
Тема 2
2.Концептуальные подходы к управлению ИБ
Система управления ИБ:
Стратегия построения и внедрения СУИБ
Два подхода:
1) построение и внедрение СУИБ в целом;
Достоинство: уже через небольшое время возможно
обеспечить логическую связь между процессами
управления ИБ и создать условия для работы СУИБ на всех
этапах цикла PDCA.
2) построение и внедрение процессов управления ИБ по
отдельности с последующим объединением их в единую
СУИБ.
Достоинство: процессы будут внедряться постепенно,
тщательнее будут отлаживаться и корректироваться в
соответствии с потребностями организации
63

64.

УИБ
Тема 2
Учебная дисциплина «Управление информационной безопасностью»
Направление подготовки: 10.04.01 «ИБ» (магистратура), Семестр: 2
Перечень тем:
Введение**
1. Концептуальные основы обеспечения ИБ*
2. Концептуальные подходы к управлению ИБ*
2.1. Документы ИБ. 2.2. Политики ИБ. 2.3.Угрозы ИБ**
3. Концептуальные подходы к управлению рисками*
4. Концептуальные подходы к управлению инцидентами*
5. Концептуальные подходы к контролю обеспечения ИБ*
Заочное обучение**:
7. Основы управления ИБ: освоение электронного образовательного курса
(ЭОК), содержащего лекционный материал:
Домашнее задание 1: Разработка ПолИБ (все группы)
Домашнее задание 2: Разработка Моделей угроз ИБ и нарушителя ИБ
(только Б02-44М)
64

65.

УИБ
Тема 2
Структура и содержание ЭОК:
Тема 1. Введение
Тема 2. Современные подходы к обеспечению ИБ.
Тема 3. Процессный подход в рамках управления ИБ.
Тема 4. Документы в области ИБ.
Тема 5. Политики ИБ.
Электронный образовательный курс «Управление ИБ»
1. БАЗОВАЯ ТЕРМИНОЛОГИЯ
1.1. Понятие «информационная безопасность»
1.2. Понятие «система»
1.3. Понятие «управление»
1.4. Понятие «процесс»
2. СТАНДАРТИЗАЦИЯ СИСТЕМ И ПРОЦЕССОВ УПРАВЛЕНИЯ ИБ
2.1. Серия стандартов 27000 «Информационная технология. Методы обеспечения безопасности»
2.2. Характеристики стандартов, относящихся к управлению ИБ
2.3. Стандарты на отдельные процессы управления ИБ и оценку безопасности ИТ
2.4. Отраслевые стандарты в области управления ИБ – стандарты Банка России
3. ПОЛИТИКА ИБ
3.1. Понятия ПолИБ
3.2. Виды ПолИБ
3.3. Основные требования и принципы, учитываемые при разработке и внедрении ПолИБ
3.4. Содержание политики ИБ
3.5. Жизненный цикл политики ИБ
3.6. Ответственность за исполнение ПолИБ
4. УПРАВЛЕНИЕ И СИСТЕМА УПРАВЛЕНИЯ ИБ
4.1. Необходимость управления ОИБ организации
4.2. Деятельность по ОИБ организации как процесс
4.3. Определение управления ИБ организации
4.4. Цель и задачи управления ИБ организации
4.5. Уровни и функциональная структура управления ИБ организации
4.6. Управление ИБ информационно-телекоммуникационных технологий организации
4.7. Система управления ИБ организации
4.8. Процессный подход в рамках управления ИБ
4.9. Работа с процессами СУИБ организации
4.10. Стратегии построения и внедрения СУИБ
65

66. Благодарю за внимание! Толстой Александр Иванович [email protected] 8(499)324-97-35

English Русский Rules