Upload
others
View
18
Download
0
Embed Size (px)
Citation preview
Управление и Информационна сигурност
Отговорност наръководството
Измервания, анализи иподобряване
Управление наресурсите
Продукт/услуга
Бизнес цели
Реализация на ПродуктУслуга Инфор-мация
Изход
Заи
нте
ресо
ван
и
стр
ан
и
Изи
скв
ан
ия
Процесен Модел
Непрекъснато подобряване на системата за управление
За
ин
тер
ес
ов
ан
и с
тра
ни
Уд
ов
ле
тво
ре
ни
е
Вход
Системен подходСистемен подход
� Взаимосвързани и развиващи се части и подсистеми� Вътрешна йерархия� Процесите се разглеждат на принципа от общото към
частното - отражение на реалния обект� Основни цели, разделени на подцели/задачи� Управленски решения - след анализ на ситуации от
миналото и оценка на възможни последствия
Качество – стандарти ISO 9000
Серията от стандарти ISO 9000 описват набор от правила и практики, реализирането на които позволява създаване и поддържане на система, осигуряваща непрекъснато изискваното качество, както и неговото подобряване. � Стандартизираните системи за управление се
разработват на основата на системния подход и стандарти за съответната област, а самите стандарти са разработени и се развиват на базата на практически опит и наблюдения на експерти. Стандартите дават една рамка, която можем да използваме за да опишем, подобрим и направим устойчива нашата СУ.
Качество Качество –– стандарти ISO 9000стандарти ISO 9000
� ISО 9000:2000 Системи за управление на качеството-Основни понятия и речник
� ISО 9001:2000 Системи за управление на качеството –Изисквания
� ISО 9004:2000 Системи за управление на качеството –Ръководство по подобряване на резулатите
� ISО 19011:2002 - Указания за одит на системи за управление на качеството и/или за управление на околната среда
Качество – принципи на управление
1) Насоченост към потребителя2) Лидерство3) Въвличане на хората4) Процесен подход5) Системен подход към управлението6) Непрекъснато подобряване7) Вземане на решения, основани на факти8) Взаимноизгодни отношения с доставчиците
Системен Системен подходподход
PDCA PDCA -- цикълцикъл
Корекции
ACT
Проверка
CHECK
Планиране
PLAN
Изпълнение
DO
ЦелиЦели РезултатиРезултати
Управление на качеството
Координирани дейности, за ръководене и
контрол в една организация по отношение
на качеството
Управлението на качеството включва:◦ политика◦ цели◦ планиране◦ оперативно управление◦ осигуряване◦ подобряване
Документи � Политика � Цели� Задачи
� Наръчник по качеството� Таблица на цитиране на
документите по УК
� Процеси (7)� Длъжностни
характеристики� Процедури (6)
� Работни инструкции (8)
� Записи по качество, съгласно изискванията на процеси, процедури, инструкции; бланки
� Технически архив� Нормативна библиотека
НК
Системни и процесни
процедури
Работни процедури (инструкции),
методики, изисквания
Записи, външна комуникация, стандарти, закони, нормативи и пр.
ПолитикаЦели
Процедури
КАКВО ?◦ Какво представлява целта на производството,
услугата или административната дейност◦ Какво се прави за постигане на тази цел◦ Какво е необходимо да се направи, ако целта не
бъде постигнатаКОЙ ?◦ Кой изпълнява дейностите◦ Кой трябва да контролира изпълнението◦ Кой проверява специфичния продукт, издава
документите и т.н.
Процедури
КАК ?◦ Как се изпълнява дейността◦ Как се изпитва продуктът или оценява услугата◦ Как се събират и регистрират данните◦ Как се оценява ефективността
КОГА ?◦ Кога се изпълнява процедурата◦ Кога да се изпълни конкретна операция◦ Кога да се проведат изпитанията и т.н.
Управление наУправление на сигурносттасигурносттанана информациятаинформацията
СъдържаниеСъдържание
1. Предизвикателствата пред бизнеса 1. Предизвикателствата пред бизнеса
2. Принципи на управление на сигурността2. Принципи на управление на сигурността
3. Модели на системи за управление3. Модели на системи за управление
4. Системи за управление на сигурността на информацията
4. Системи за управление на сигурността на информацията
Глобални цели на управлението на Глобални цели на управлението на
бизнесабизнеса
� Осигуряване на непрекъснатост /стабилност/ на бизнеса
� Минимизиране на щетите за бизнеса
� Максимизиране на възвръщаемостта на инвестициите
Global Compact
11 СЕПТЕМВРИ, 2001
Сигурността е
водещ фактор във
всички сектори на
глобалната
икономика и
нашия живот.
Ключови елементи в Ключови елементи в
изграждането на системата за изграждането на системата за
сигурностсигурност
� E-government приложения и услуги. � Защита на информационната инфраструктура с
национално значение. � Неприкосновеност - необходимост от защита на
личните данни.
Принципи за сигурност Принципи за сигурност
1) ОсъзнаванеДа бъде осъзната необходимостта от сигурност на инфорационните системи и мрежи и с какво те спомагат за изграждане на сигурна бизнес среда.
2) Отговорност Отговорност за сигурността на информационни системи и мрежи.
3) Оценка на рискаПрилагане на механизми за оценка на риска.
Принципи за сигурност Принципи за сигурност
4) Проектиране и внедряване на системи за сигурностСигурността да бъде включена като един от ключовите елементи в структурата на информационните системи и мрежи.
5) Управление на сигурността Изчерпателен подход в управлението на сигурността.
6) Реакция Навременна намеса и сътрудничество за предотвратяване, откриване и реакция при инциденти по сигурността.
Принципи Принципи за сигурност за сигурност
7) Демократичност Сигурността на информационните системи и мрежи трябва да бъде съвместима с ценностите на демократичното общество.
8) ЕтичностУважение към законовите права на другите.
9) Периодична оценка Преглед и периодична оценка на сигурността на информационните системи и мрежи и изработване на подходящи промени в политиката за сигурност, включвайки подходящи практики, мерки и процедури за сигурността.
Системи за управлениеСистеми за управление
......
Околна
средаКомуни-
кации с
клиенти
Социална
отговорност
Здраве и
безопасностСигурностЧовешки ресурси
КачествоФинанси
Система за управление наСистема за управление на сигурността сигурността
нана информациятаинформацията ISO/IEC 27001ISO/IEC 27001
Какво представлява Какво представлява
информационната сигурност информационната сигурност ??
Конфиденциалност Confidentiality
Цялостност Integrity
Наличност Availability
Източници за определяне на Източници за определяне на
изискванията за сигурносттаизискванията за сигурността
� правни, законови, регулаторни � договорни изисквания, � оценката на рисковете� принципи, цели и бизнес изисквания
Информационна сигурностИнформационна сигурност
Административна сигурностАдминистративна сигурност IT-СигурностIT-Сигурност
Data Centre-СигурностData Centre-Сигурност Комуникационна сигурностКомуникационна сигурност
55%45%
Информационна сигурност Информационна сигурност --
СтруктураСтруктура
Физическа сигурностФизическа сигурност Непрекъснатост на управлениетоНепрекъснатост на управлението
Контрол, от гледна точка на Контрол, от гледна точка на
законодателството за защита законодателството за защита
на:на:
� данните и тайната на личната информация;� записите на организацията;� правата на интелектуална собственост.
НайНай--добра практика за сигурност добра практика за сигурност
включва:включва:
� политиката за сигурност;� разпределение на отговорностите по
сигурността;� осведоменост, образование и обучение по
сигурност;� правилна обработка в приложенията;� управление на техническата уязвимост;� управление на инцидентите със сигурността; � управление на непрекъснатостта на бизнеса;� усъвършенствания
СериятаСерията ISO/IEC 27000ISO/IEC 27000
� ISO 27000 – Принципи и речник (в разработка)
� ISO 27001 – ISMS изисквания (BS7799 – Част 2)
� ISO 27002 – (ISO/ IEC 17799:2005)
� ISO 27003 – ISMS Ръководство за приложение (2007)
� ISO 27004 – ISMS Метрики и измерване (2007)
� ISO 27005 – ISMS Управление на риска
� ISO 27006 – 27010 – за бъдещо ползване
1995
1998
BS 7799 Част 1
BS 7799 Част 2
Шведски стандарт SS 62 77 99 Част 1 & 21999Ново издание на BS 7799 Част 1 & 2
Декември 2000 ISO/IEC 17799:2000
2001 Нов BS 7799-2 (проект)
2002Нов BS 7799-2
2005 ISO/IEC 27001:2005 ISO/IEC 17799:2005
Развитие на Развитие на ISMSISMS стандартастандарта(BS7799(BS7799 -- ISOISO/IEC /IEC 17799 17799 -- ISO/IEC 27001:2005ISO/IEC 27001:2005))
2007
2007
200X
ISO 27003
ISO 27004
ISO 27005
ISO 270002008
Ключови точки на сигурността Ключови точки на сигурността
� Сигурността спомага за изпълнение на мисията на организацията
� Сигурността е неделим елемент от управлението� Сигурността трябва да бъде Cost-Effective� Собственика на системата носят отговорност относно
сигурността извън тяхната организация� Отговорностите за сигурността трябва да бъдат ясно
формулирани � Сигурността изисква изчерпателен и цялостен подход � Сигурността трябва да бъде периодически оценявана � Сигурността е ограничена от факторите на социалната
среда
ISO/IEC 27001:2005ISO/IEC 27001:2005Пет задължителни изисквания
� Раздел 4 – Общи изисквания и изисквания към документацията◦ Общи изисквания ◦ Установяване и поддръжка◦ Изисквания към документацията
“Организацията трябва да изгради, внедри, поддържа и непрекъснато да подобрява документираната ISMS. ISMS изцяло в контекст на бизнес активите и риска на организацията. За целите на този стандарт използваните процеси се основават на PDCA модела...”
ISO/IEC 27001:2005ISO/IEC 27001:2005
� Раздел 5 –Отговорност на ръководството◦ Съпричастност на ръководството◦ Управление на ресурсите
� Раздел 6 – Вътрешен ISMS oдит
� Раздел 7 – Преглед от ръководството на ISMS◦ Преглед на входните данни◦ Преглед на изходните данни
� Раздел 8 – Подобряване на ISMS◦ Непрекъснато подобряване ◦ Коригиращи действия ◦ Превантивни действия
ISO/IEC 27001:2005ISO/IEC 27001:2005
Анекс A- Контроли на управлението � A.5- Политика на сигурността� A.6- Организационна и информационна сигурност � A.7- Управление на активите � A.8- Сигурност на човешките ресурси � A.9- Физическа сигурност и защита от околната
среда� A.10- Управление на комуникациите � A.11- Контрол на достъп� A.12- Информационни системи, изграждане и
поддръжка� A.13- сигурност на информацията при инциденти � A.14- Управление на непрекъснатостта на бизнеса� A.15- Съответствие
Plan Do Check Act Cycle (PDCA)Plan Do Check Act Cycle (PDCA)
Критични фактори за успехКритични фактори за успех
� Опитът показва, че следните фактори са критични за успешното внедряване на информационната сигурност вътре в организацията:◦ Политиката на сигурност, цели и дейности, които
оказват влияние върху бизнес целите на организацията◦ Подходът на внедряване на сигурността, който е
съставна част от културата на организацията ◦ Видима поддръжка и съпричастност от страна на
ръководството ◦ Правилно разбиране на изискванията за сигурност,
оценяването на риска и управлението на риска ◦ Ефективен маркетинг на идеологията за необходимост
от сигурност, възприет и осъзнат от всички мениджъри и служители ◦ Предоставяне на информация относно политиката за
сигурност до всички служители◦ Осигуряване на подходящо обучение
ISO/IEC 27002:2007ISO/IEC 27002:2007
� 11 точки за контрол на риска;
� 39 основни категории сигурност;
� 133 контроли на сигурността.
Схема на ISO/IEC 27001
Изграждане и поддържане на
системата
Контрол на достъп
Класифициранe на активите и
контрол
Политика за сигурност
Организационна сигурност
Сигурност на персонала
Сигурност нафизическо ниво
Управление на непрекъснатостта
на бизнеса
Съответствие
Управление на комуникациите
Оценка на рискаОценка на риска
АктивАктив СтойностСтойност ЗаплахаЗаплаха Уязвимост Уязвимост ВероятВероят--ност ност
РискРиск СтепенСтепен
Web Web SiteSite
88 ДостъпДостъп--ностност
ВирусВирус
33
55
66
88
152152
240240
44
11
Оценка на рискаОценка на риска
АктивАктив СтойностСтойност ЗаплахаЗаплаха Уязвимост Уязвимост ВероятВероят--ност ност
РискРиск СтепенСтепен
EE--mail mail ServiceService
66 ДостъпДостъп--ностност
ВирусВирус
44
55
33
88
7272
240240
66
11
Оценка на рискаОценка на риска
АктивАктив СтойностСтойност ЗаплахаЗаплаха Уязвимост Уязвимост ВероятВероят--ност ност
РискРиск СтепенСтепен
File File Sharing Sharing ServiceService
99 ВирусВирус
ЗахранЗахран--ваневане
66
33
33
44
162162
108108
33
55
Оценка на рискаОценка на риска
� Всички с оценка над 100 да се
определят контроли
� Да се преизчисли риска след
прилагане на приложените контроли
Anti-Spam
Engine
Входяща поща
Филтриране