Презентация на тему: Краткий анализ различных стандартов управление ИБ ISO 27001, ISM3, ISF, ISO

Краткий анализ различных стандартов управление ИБ ISO 27001, ISM3, ISF, ISO 13335 и др.
Содержание
Стандарты управления безопасностью
Типы стандартов УИБ
ISO 27001
Стандарт ISO 27001
СУИБ
Ограничение ISO 27001
ISO 13335
Стандарт ISO TR 13335
Цели стандарта ISO TR 13335
Разделы стандарта ISO TR 13335
Особенности стандарта ISO TR 13335
Особенности стандарта ISO TR 13335
ISM3
Стандарт ISM3
Цель ISM3
Разные цели безопасности
Уровни зрелости ISM3
Ключевые отличия ISM3
Ключевые отличия ISM3
Отличия ISM3 от ISO 27001
Пример: ISM3 и ISO 27001
ISF SoGP
Стандарт ISF SoGP
Область применения ISF SoGP
Особенности ISF SoGP
Другие стандарты
Другие стандарты по УИБ
“ Невозможно решить проблему на том же уровне, на котором она возникла. Нужно стать выше этой проблемы, поднявшись на следующий уровень. ”
Не только безопасность
Краткий анализ различных стандартов управление ИБ ISO 27001, ISM3, ISF, ISO
Внедрение произойдет не завтра
Краткий анализ различных стандартов управление ИБ ISO 27001, ISM3, ISF, ISO
Краткий анализ различных стандартов управление ИБ ISO 27001, ISM3, ISF, ISO
1/35
Средняя оценка: 4.4/5 (всего оценок: 69)
Код скопирован в буфер обмена
Скачать (446 Кб)
1

Первый слайд презентации: Краткий анализ различных стандартов управление ИБ ISO 27001, ISM3, ISF, ISO 13335 и др

Алексей Лукацкий Бизнес-консультант по безопасности

Изображение слайда
2

Слайд 2: Содержание

Какие бывают стандарты управления безопасностью? Стандарты управления ИБ ISO 27001 ISO 13335 ISM3 ISF SoGP Какие другие стандарты существуют? Management vs. Governance Не увлекайтесь стандартами

Изображение слайда
3

Слайд 3: Стандарты управления безопасностью

Изображение слайда
4

Слайд 4: Типы стандартов УИБ

Ориентированные на процессы ISM3, CMMI, COBIT 4.0, ISO9001:2000, ITIL/ITSM Ориентированные на защитные меры ( Controls ) BSI-ITBPM, ISO27001:2005, ISO13335-4 Ориентированные на продукты ISO15408 Ориентированные на управление рисками AS/NZS 4360, CRAMM, EBIOS, ISO 27005, MAGERIT, MARION, MEHARI, OCTAVE, SP800-3 Ориентированные на лучшие практики ISO/IEC 17799:2000, COBIT, ISF-SoGP

Изображение слайда
5

Слайд 5: ISO 27001

Изображение слайда
6

Слайд 6: Стандарт ISO 27001

Название – «Методы обеспечения безопасности. Системы менеджмента информационной безопасности. Требования» В настоящем стандарте устанавливаются требования по созданию, внедрению, эксплуатации, мониторингу, анализу, поддержке и совершенствованию документально оформленной СМИБ в контексте общих бизнес-рисков организации Является стандартом в России (ГОСТ Р ИСО/МЭК 27001

Изображение слайда
7

Слайд 7: СУИБ

СУИБ (СМИБ) - та часть общей системы менеджмента, которая основана на подходе бизнес-рисков при создании, внедрении, функционировании, мониторинге, анализе, поддержке и совершенствовании информационной безопасности Целью построения СМИБ является обеспечение выбора адекватных и соответствующих мер (средств) контроля безопасности, с помощью которых обеспечивается адекватная защита информационных активов и создается доверие заинтересованных сторон

Изображение слайда
8

Слайд 8: Ограничение ISO 27001

Фокус на анализе рисков и построении СУИБ на основе проведенного анализа На сегодняшний день отсутствуют доказанные и воспроизводимые методы, позволяющие идентифицировать риски ИБ, оценить их вероятность и выбрать адекватные защитные меры ( controls ) Ориентация на внедрение защитной меры (control), а не достижении бизнес-цели

Изображение слайда
9

Слайд 9: ISO 13335

Изображение слайда
10

Слайд 10: Стандарт ISO TR 13335

Состоит из 5 частей Последние 3 части являются техническими отчетами ( TR ) ISO 13335-5:2001 входит в состав ISO 18028-1 Первая часть разработана в 1996 году В начале 2008/09 года будет входить в серию ISO 2700x как ISO 2700 5 4 из 5-ти частей Относится к техническому отчету 3-го типа Технический комитет собирает данные разного сорта из материалов, обычно публикуемых как международный стандарт (например, состояние дел в данной области) Не пересматривается до тех пор, пока не будет решено, что он не имеют больше ценности или полезности

Изображение слайда
11

Слайд 11: Цели стандарта ISO TR 13335

Главными целями стандарта являются: определить и описать понятия, связанные с управлением безопасностью ИТ определить отношения между управлением безопасностью ИТ и управлением ИТ вообще представить несколько моделей, которые могут использоваться для объяснения безопасности ИТ обеспечить общее руководство по управлению безопасностью ИТ

Изображение слайда
12

Слайд 12: Разделы стандарта ISO TR 13335

Часть 1 – Концепции и модели для управления безопасностью информационными и телекоммуникационными технологиями Часть 2 – Техники для управления рисками информационных и телекоммуникационных технологий Часть 3 – Техники для управления безопасностью ИТ Часть 4 – Выбор средств защиты Часть 5 – Руководящие принципы по сетевой безопасности – средства защиты для внешний коммуникаций

Изображение слайда
13

Слайд 13: Особенности стандарта ISO TR 13335

Не догма, а руководство к действию, которое может и должно адаптироваться Показывает место ИБ в иерархии целей, стратегий и политик в организации Помимо триады CIA учитываются Подотчетность ( accountability ), подлинность (authenticity) и адекватность (reliability) Имеет стыковку с другими стандартами ITIL/COBIT - Управление конфигурацией, управление изменениями, управление инцидентами и т.д. ISO 27001 – Процессный подход

Изображение слайда
14

Слайд 14: Особенности стандарта ISO TR 13335

Учитывает наличие Комитета управления ИТ и Совета безопасности ИТ Учитывает не только технологические аспекты. Например, Рекомендации привлекать финансовой департамент, аудиторские подразделения и т.д. к разработке политике безопасности Учет социологических и даже экологических аспектов при выборе защитных мер Содержит методологию выбора средств защиты

Изображение слайда
15

Слайд 15: ISM3

Изображение слайда
16

Слайд 16: Стандарт ISM3

Название – «Модель зрелости управления информационной безопасностью» (ISM3, ISM-cubed ) Разработан ISM3 Consortium Текущая версия – 2-я Расширяет принципы контроля качества ISO 9001 применительно к системам управления информационной безопасности Процессно-ориентированный стандарт Опирается на ISO 9000, ITIL, CMMI и ISO 27001 Совместим со стандартами COBIT, ISO, NIST, OCTAVE, OWASP и другими

Изображение слайда
17

Слайд 17: Цель ISM3

Цель СУИБ –предотвращать и отражать атаки, ошибки и аварии, которые могут подвергнуть опасности безопасность информационных систем и поддерживаемых ими организационных процессов

Изображение слайда
18

Слайд 18: Разные цели безопасности

Общие Пример: Оптимизация использования информации, денег, людей, времени и инфраструктуры Стратегические Пример: Координировать ИБ, ФБ и безопасность рабочего пространства Тактические Пример: Определить метрики, ориентированные на результат и оптимальность его достижения Операционные Идентифицировать и защитить активы Управлять жизненным циклом измерения ИБ ISO 27001

Изображение слайда
19

Слайд 19: Уровни зрелости ISM3

5 уровней зрелости Undefined Defined Managed (соответствует сертификации по ISO 9001 ) Controlled Optimized Каждому уровню соответствует набор мер, процедур, процессов, рекомендаций и т.д. Имеются определенные стыковки с моделями зрелости COBIT и CMMI Пользователь может выбрать нужный ему уровень зрелости

Изображение слайда
20

Слайд 20: Ключевые отличия ISM3

Измеримые цели ИБ и использование метрик для измерения их достижения Позволяет создавать KPI, SLA безопасности для аутсорсинга Ориентирован на компании разного масштаба, включая SMB Смотрит на безопасность, как на процесс, который с течением времени улучшается, но никогда не достигает 100%-ой безопасности Описывает различные варианты последствий инцидентов Прямой и непрямой, финансовый и нефинансовый ущерб

Изображение слайда
21

Слайд 21: Ключевые отличия ISM3

Различные методы выбора защищаемых процессов Уровень зрелости Оценка угроз Оценка рисков Оценка защищенности Business Impact Analysis И т.д. Описывает различные бизнес-цели и связывает их с целями безопасности Учет различных ролей в компании Заказчик, стратегический, тактический и оперативный менеджмент, владелец процесса, владелец актива и др.

Изображение слайда
22

Слайд 22: Отличия ISM3 от ISO 27001

Связь с бизнес-целями Учитывает уровни зрелости организации Отсутствует бинарная логика «соответствует / не соответствует» Ориентация на пользователя (включая топ-менеджмент), а не на аудитора Не так зависит от интерпретации со стороны аудитора Не ограничивается триадой CIA Позволяет измерять эффективность СУИБ Не требует анализа риска Но допускает Различные варианты описания процессов Не так известен

Изображение слайда
23

Слайд 23: Пример: ISM3 и ISO 27001

Цель: «Число человеко-часов в результате простоя в результате вирусной атаки должно быть менее 10 за год» Достижение цели измеримо Возможно изменение метрики для перехода на более высокий уровень зрелости Прост для понимания Цель: внедрение мер по предотвращению вредоносного кода Цель измерима только бинарной логикой (Реализовано / Нет) Не связана с бизнесом Непонятна руководству Отсутствует «движение» (прогресс)

Изображение слайда
24

Слайд 24: ISF SoGP

Изображение слайда
25

Слайд 25: Стандарт ISF SoGP

Название – « Standard of Good Practice for Information Security » (ISF SoGP ) Разработан Information Security Forum Текущая версия – от 2007-го года Опирается на ISO 27002, COBIT v4.1, SOX, PCI DSS, Basel II и др. 372 страницы (!)

Изображение слайда
26

Слайд 26: Область применения ISF SoGP

ISF SoGP покрывает 6 аспектов ИБ: Управление безопасностью Окружение конечного пользователя Критичные бизнес-приложения Разработка систем Сети Инсталляция компьютеров

Изображение слайда
27

Слайд 27: Особенности ISF SoGP

Широкий охват различных аспектов ИБ Приложения, КПК, Instant Messaging, аутсорсинг, управление патчами, флешки, удаленная поддержка систем, VoIP, беспроводной доступ и т.д. Отличная систематизация материала Принцип Цель Защитные меры Лучшие практики и рекомендации Дополнительная информации Ориентация на анализ рисков Измерение эффективности проводится на соответствие ISF SoGP

Изображение слайда
28

Слайд 28: Другие стандарты

Изображение слайда
29

Слайд 29: Другие стандарты по УИБ

SPE20003 Нидерланды AS/NZS 4444 Австралия и Новая Зеландия SS627799 Дания и Швеция Canadian Handbook on Information Technology Security СТО БР ИББС-1.0-2006 Россия ITU-T X.1051 Специальные публикации NIST 800 (12, 14, 18)

Изображение слайда
30

Слайд 30: Невозможно решить проблему на том же уровне, на котором она возникла. Нужно стать выше этой проблемы, поднявшись на следующий уровень. ”

Альберт Эйнштейн © 2006 Cisco Systems, Inc. All rights reserved. Cisco Confidential Presentation_ID

Изображение слайда
31

Слайд 31: Не только безопасность

Стандарты Governance для ИТ AS8015 ( будущий ISO): Corporate Governance of ICT AS8016: Projects AS8017: Operations AS8019: Information Стандарты де юре управления ИТ ISO 20000: ITSM ISO 17799 & ISO 27001: Info Security Стандарты де-факто управления ИТ ITIL Prince 2 CoBiT PMBoK Gateway ValIT GAISP Другие связанные формальные стандарты ISO9000 (Quality) … VERS (Records) ISO 15489 (Records) AS 4360 (Risk) Национальные и международные бизнес-требования OECD Principles of Corporate Governance IFRS … Basel II COSO Sarbanes Oxley UK Combined Code (1998) & Turnbull Report (1999) EU 8 th directive on company law Records Keeping laws (anti) spam laws Freedom of Information Privacy laws Не только безопасность

Изображение слайда
32

Слайд 32

Заключение

Изображение слайда
33

Слайд 33: Внедрение произойдет не завтра

Изображение слайда
34

Слайд 34

Вопросы? Дополнительные вопросы Вы можете задать по электронной почте security-request@cisco.com или по телефону: +7 495 961-1410

Изображение слайда
35

Последний слайд презентации: Краткий анализ различных стандартов управление ИБ ISO 27001, ISM3, ISF, ISO

Изображение слайда