Презентация

Report
Информационна сигурност
в бизнес среда
ISO 27001/ISO 27002
Значимост за клиента
Значимост за клиента
S(X) = X + <новопридобити_знания>
Проактивност
Цвят на
очите
Пол
Име
Др.
X
Информационнен поток
x
v(x)
a(x)
S(x)
Инициализация
x
v(x)
a(x)
S(x)
Верификация
x
v(x)
a(x)
S(x)
Риск
x
v(x)
a(x)
S(x)
Информация
x
v(x)
a(x)
S(x)
Информационна сигурност
Генерализация
Диверсификация
Информация = стока
Информация = стока
Колко „струваме“?
x versus a(x)
v(x) versus a(x)
a(x) versus a(x)
2015, 5 ян. 02:42
Развитие на серията ISO 27000
ISO 27000
BS 7799-2
ISO 27001
PD 0003
BS 7799-1
1993
1995
ISO 27002
ISO 17799
1999
2000
2005
2007
2009
Серията ISO 27000
ISO 27000
Общ преглед и речник
ISO 27006
Изисквания към
сертифициращите органи
ISO 27001
Изисквания
ISO 27002
Кодекс на
добра практика
ISO 27033
Мрежова сигурност
ISO 27034
Сигурност на
приложенията
ISO 27003
Ръководство за
внедряване
ISO 27004
Измервания
ISO 27007
Указания за одит
ISO 27005
Управление на
риска
ISO 27002 / ISO 27001 Приложение А
Отдели / Наредби / Стандарти
• Нарастване обема на
информация
• Нарастване потока на
информация
• Нарастване на употребата на
публични мрежи
• Усъвършенстване на атаките
• Разширение на законови
норми и стандарти
Подкрепа от ръководството
Осигуряване на ресурси за
внедряване и поддръжка
(човешки, финансови, време)
Индустриални
изисквания
Пазарно предимство
IT отдел
Отдел по
организация и
документация
Оценка на риска
и определяне на
допустимите
нива на риск
Ръководство
Политика за сигурност и ясна
комуникация към персонала за
нуждата от нейното спазване
Определяне
на ролите и
отговорности
те в обхвата
на СУИС
Дефиниране на обхвата
Законодателство и регулация
Юридически съвет
Съответствие с правни
изисквания
• Местни закони
• Държавни закони
• Международни
споразумения
Ръководство
Съответствие със
стандарти и
договорености
• Индустриални
стандарти
• Задължения по
договореност
Технически съвет
Съображения за одит на
информационните
системи
• Контрол за одит
• Защита на
инструментите за
одит
• Защита от
неправомерен
достъп
Подход за анализ на риска
Вреда при
загубване
Конфиденциалност
Информацията е
достъпна само за
оторизиран персонал
Цялостност
Запазване точността и
пълнотата на
информацията
Достъпност
Оторизиран персонал
има достъп до
информацията при
нужда
ниска
средна
висока
Ограничено
въздействие
Значително
въздействие
Критично
въздействие
Ограничено
въздействие
Значително
въздействие
Критично
въздействие
Ограничено
въздействие
Значително
въздействие
Критично
въздействие
Анализ на риска, специфичен
за индустрията
ISO/IEC 13335 Управление на
сигурността на
информационните и
комуникационните
технологии
• Поставяне на цели за понижаване на риска
• Определяне на допустимото ниво на риска
• Оценка на възможностите за третиране на
риска
Създаване на инвентар на активите
Актив
Бележки
Собстве
ник
Местонахо
ждение
Цена на
замяната
Проектни
планове
Краткосро
чни
планове
CEO
CEO PC
висока
Данни за
персонал
а
Базов
актив
HR отдел
Локален
сървър S12
средна
IT отдел
Локален
сървър S2
средна
Email
сървър
Сигурност
(CIA)
Рисково
обобщение
Рискова
стойност
Контроли
Оценка на
контролите
Описване на всички важни активи на фирмата, физически и данни
2005 г. – собственик = отговорник
Сигурност (CIA – Confidentiality, Integrity, Availability) – Конфиденциалност, Цялостност, Достъпност
Идентифициране на риска
Актив
Бележки
Собстве
ник
Местонахо
ждение
Цена на
замяната
Сигурност
(CIA)
Рисково
обобщение
Рискова
стойност
Контроли
Заплахи
Проектни
планове
Краткосро CEO
чни
планове Актив
CEO PC
Данни за
персонал
а
Базов
актив
HR отдел
Локален
сървър S12
средна
IT отдел
Локален
сървър S2
средна
Email
сървър
висока
C: висока
I: висока
Уязвимости
A: средна
Ценна за
външни
лица
C: висока
Закон за
I: средна
защита на
Вероятност/Честота
A: ниска
личните
данни
C: висока
I: висока
A: висока
Ценна за
външни
лица
Риск
Оценка на
контролите
Оценка на риска
• Стойност на актива
• Вероятност и честота на заплахата/уязвимостта
• Щети от риска върху фирмата, нейните клиенти и партньори
Актив
Бележки
Собстве
ник
Местонахо
ждение
Цена на
замяната
Сигурност
(CIA)
Рисково
обобщение
Рискова
стойност
Проектни
планове
Краткосро
чни
планове
CEO
CEO PC
висока
C: висока
I: висока
A: средна
Ценна за
външни
лица
висока
Данни за
персонал
а
Базов
актив
HR отдел
Локален
сървър S12
средна
C: висока
I: средна
A: ниска
Закон за
защита на
личните
данни
средна
IT отдел
Локален
сървър S2
средна
C: висока
I: висока
A: висока
Ценна за
външни
лица
висока
Email
сървър
Контроли Оценка на
контролите
Приложими цели и контроли
Актив
Бележки
Проектни
планове
Данни за
персонал
а
Email
сървър
Собстве Местонахо
Риск ждение
ник
Цена на
замяната
Сигурност
(CIA)
Краткосро CEO
CEO PC
чни
Приемане на риска
планове
висока
C: висока
I: висока
A: средна
Ценна за
висока
5.1.1
външни
Контроли
вече в употреба
лица
Базов
Фирмен HR фирма
активПрехвърляне
съвет на риска
средна
C: висока
I: средна
A: ниска
Закон за
средна
прехвърл
защита
на Приложения
ено
ISO
27001
А
личните
данни
средна
C: висока
I: висока
A: висока
Ценна заISO 27002
висока
външни
лица
Снижаване на риска чрез
IT отдел
Локален
контроли сървър S2
Рисково
Рискова
Контроли
обобщение стойност
Контроли
(Прил. А)
5.1.1
Оценка на
контролите
Политика и процедури за контрол на риска
Роли на персонала
Политика на действие
Отговорности
Контрол
Правилно
внедряване
Процедура по следване
Записи
Поддръжка
Наблюдение на СУИС
• Вътрешни одити
• Мнение на заинтересовани страни
• Предложения за продукти и процедури
• Документи за нарушение
• Нови/неотразени уязвимости и заплахи
• Проследявания на предишни одити
• Организационни промени, засягащи СУИС
• Препоръки за подобрение
Моделът PDCA при ISO 27001
Планиране
(Plan)
Усъвършенстване
(Act)
Реализация
(Do)
Проверка
(Check)
КРАЙ
Презентация по курсов проект
„Значимост и осъществяване на информационна сигурност
в бизнес среда“
Мария Йотова, Фак.№24684
Мирослав Димитров, Фак.№24798
Презентация и курсов проект достъпни на
HTTP://WWW.ZIKSM.COM

similar documents