Презентация на тему Системы безопасности

надежной защиты бизнеса при условии минимизации затрат на обеспечение

безопасности, включая минимизацию затрат и усилий на поддержание системы безопасности в актуальном состоянии.

уровне защиты
Выполнение требований законодательства – построение системы защиты в

соответствии с требованиями Федерального закона № 152-ФЗ и другими стандартами
Централизованное управление всеми компонентами защиты

Формулировка задач, стоящих перед бизнесом в области безопасности

продуктов,
минимизацию требуемого уровня квалификации обслуживающего персонала и сокращение его

количества,
высвобождение ресурсов для других задач.

Формулировка задач, стоящих перед бизнесом в области безопасности

или груз на шее?
Текущая ситуация в области безопасности

оценку текущего уровня информационной безопасности для:
систематизации и упорядочивания существующих

мер защиты информации;
обоснования инвестиций в информационную безопасность;
подготовки ТЗ на разработку и создание системы безопасности, в том числе для приведения системы информационной безопасности в соответствие требованиям международных или российских стандартов и требований;
оценки уровня эффективности имеющейся системы безопасности.

безопасности
Учет и категорирование информационных ресурсов
Кадровые аспекты ИБ

Физическая защита информационных ресурсов
Управление технологическим процессом
Управление доступом
Закупка, разработка и сопровождение компонентов ИС
Управление инцидентами в области информационной безопасности
Обеспечение непрерывности работы и восстановления
Соответствие нормативным и руководящим документам

данных
Сетевые программные и аппаратные средства, в том числе сетевые

серверы
Файлы данных, базы данных, хранилища данных
Носители информации, в том числе бумажные носители
Прикладные и общесистемные программные средства
Программно-технические компоненты автоматизированных систем
Помещения, здания, сооружения
Платежные и информационные технологические процессы
Бизнес-процессы

автоматизации предприятия
Служба внутреннего контроля/аудита

Внешние пользователи:
Акционеры компании
Регулирующие органы
Страховые компании
Клиенты компании

организаций банковской системы РФ. Общие положения
Все процедуры должны

быть задокументированы.

Должны существовать процедуры действий на все возможные инциденты.

Все действия и инциденты должны отслеживаться и протоколироваться.

Все документы должны быть утверждены.

организаций банковской системы РФ. Общие положения
5.24. Для реализации

и поддержания ИБ в организации БС РФ необходима реализация четырех групп процессов:
планирование СОИБ организации БС РФ («планирование»);
реализация СОИБ организации БС РФ («реализация»);
мониторинг и анализ СОИБ организации БС РФ («проверка»);
поддержка и улучшение СОИБ организации БС РФ («совершенствование»).

соответствии с разработанными принципами классификации активов по их значимости,

правовым требованиям, важности и критичности для организации.
Должны быть определены ответственные за активы.
Стандарт ISO/IEC 27001. Обязательное приложение А. Требование А.7

Стандарт ISO/IEC 27001:2005 Требования к системе менеджмента информационной безопасности

бизнес-процессов и идентифицировать риски:
Идентифицировать активы.
Идентифицировать угрозы этим активам.
Идентифицировать уязвимости,

которые могут быть использованы этими угрозами.
Определить воздействие, которое может привести к потере конфиденциальности, целостности и доступности ресурсов.

Стандарт ISO/IEC 27001. Пункт 4.2.1 г)

Стандарт ISO/IEC 27001:2005 Требования к системе менеджмента информационной безопасности

на основе известных рисков, так и существующих бизнес-целей:
Оценить ущерб

бизнесу.
Оценить вероятность возникновения нарушения.
Оценить уровни рисков.
Определить, является ли риск приемлемым, или требуется обработка риска с использованием критериев принятия риска.
Стандарт ISO/IEC 27001. Пункт 4.2.1 д)

Стандарт ISO/IEC 27001:2005 Требования к системе менеджмента информационной безопасности

организаций банковской системы РФ. Общие положения
5.4. Наибольшими возможностями

для нанесения ущерба организации БС РФ обладает ее собственный персонал. В этом случае содержанием деятельности злоумышленника является прямое нецелевое использование предоставленного ему в порядке выполнения служебных обязанностей контроля над активами либо нерегламентированная деятельность для получения контроля над активами. При этом он будет стремиться к сокрытию следов своей деятельности.
Внешний злоумышленник, как правило, имеет сообщника (сообщников) внутри организации БС РФ.
Незлоумышленные действия собственных работников создают либо уязвимости ИБ, либо инциденты, влияющие на свойства доступности, целостности и конфиденциальности актива или параметры системы, которая этот актив поддерживает.

безопасности. Риск-менеджмент

организаций банковской системы РФ. Общие положения
Наиболее правильный и

эффективный способ добиться минимизации рисков нарушения ИБ организации БС РФ — разработать политику ИБ организации БС РФ и в соответствии с ней реализовать, эксплуатировать и совершенствовать СОИБ.

рисков









Принимаем остаточные риски




3. Утверждаем

Стандарт ISO/IEC 27001:2005 Требования к системе

менеджмента информационной безопасности. Риск-менеджмент

найма служащих
А.8.1.1 Роли и ответственность
А.8.1.2 Подбор и прием персонала
А.8.1.3

Условия работы

Пункт A.10.10.4 Действия системного администратора
Действия системного администратора и
системного оператора также должны записываться в журнал.

Стандарт ISO/IEC 27001:2005 Требования к системе менеджмента ИБ.
Работа СМИБ по требованиям ISO 27001

Правильное определение угроз и необходимых для работы компании персональных

данных позволяет сократить стоимость реализации закона в разы.


Обезличивание
Правильное определение действующих угроз
Правильный выбор ПО с исключением дублирования функций
Максимальное использование возможностей уже имеющихся в ИС средств защиты информации, возможностей ОС и прикладного ПО.
Сокращение количества АРМ, обрабатывающих ПДн.
Разделение ИС межсетевыми экранами на отдельные сегменты. Организация терминального доступа к ИСПДн.
Исключение из ИСПДн части ПДн, хранение их на бумажных или иных носителях.

И это не все!

Dr.Web Enterprise Security Suite)

определить принадлежность персональных данных конкретному субъекту.

Ст. 3 Федерального

закона № 152-ФЗ «О персональных данных», NIST SP800-122, Стандарт ISO 25237-2008
Абстрагирование ПДн — превращение их в менее точные — например, путем группирования общих или непрерывных характеристик.
Скрытие ПДн — удаление всей или части записи ПДн — ПДн не должны быть избыточными по отношению к цели.
Внесение шума в ПДн — добавление небольшого количество посторонней информации в ПДн.
Замена ПДн — перестановка полей одной записи ПДн теми же самыми полями другой аналогичной записи.
Разделение ПДн на части — использование таблиц перекрестных ссылок. Например, две таблицы: одна с Ф. И. О. и идентификатором субъекта ПДн, вторая — с тем же идентификатором субъекта ПДн и остальной частью ПДн
Использование специальных алгоритмов — например, маскирование ПДн или подмена отдельных символов другими. Идеальным вариантом является использование алгоритмов криптографического хеширования.
Псевдонимизация — удаление ассоциации с субъектом ПДн и добавление ассоциации между набором особенностей, касающихся субъекта ПДн, и одним или более псевдонимами.

Оптимизация стоимости защиты

станции пользователей
Оптимизация стоимости защиты

законодательства — построение системы защиты в соответствии с требованиями

Федерального закона № 152-ФЗ
Централизованное управление всеми компонентами защиты
Удобство и простота администрирования
Богатый функционал
Нетребовательность к ресурсам
Совместимость приложений

Оптимизация стоимости защиты — Требования к продуктам и системам

должна включать защиту всех узлов локальной сети:
рабочих станций;
файловых и

терминальных серверов;
шлюзов сети Интернет;
почтовых серверов.

Использование демилитаризованной зоны и средств проверки почтового трафика на уровне SMTP-шлюза повышает уровень защиты.

Вирусы

Шлюз сети Интернет
Межсетевой экран

SMTP-шлюз

Способы организации антивирусной защиты

рабочего времени, простоев оборудования и персонала за счет уменьшения

количества вирусных инцидентов в корпоративной сети
Повышение производительности труда путем снижения количества отвлекающих факторов
Оптимизация расходов на интернет-трафик и контроль за деятельностью сотрудников в сети Интернет

Программно-аппаратные комплексы