1 / 22

Information Security Management

Information Security Management. Nikolay Nedyalkov E-mail: n.nedyalkov@iseca.org Mobile: +359 888 786616. Стандарти за управление. Процесен подход Постигането на бизнес-целите е по-ефективно, когато използваните ресурси и дейности се управляват като процес Видове системи за управление

alesia
Download Presentation

Information Security Management

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Information Security Management Nikolay Nedyalkov E-mail: n.nedyalkov@iseca.org Mobile: +359 888 786616 Асоциация за информационна сигурност www.iseca.org

  2. Стандарти за управление • Процесен подход • Постигането на бизнес-целите е по-ефективно, когато използваните ресурси и дейности се управляват като процес • Видове системи за управление • Система за управление на качеството (СУК) ISO 9001:2000 • Система за управление на околната среда (СУОС) ISO 14001:2004 • Системи за безопасни условия на труд OHSAS • Системи за безопасно производство на хранителни продукти HACCAP • Интегрирани системи за управление

  3. Цикъл на Деминг (PDCA) • Етапи на внедряване и поддръжка на система за управление • Планиране / Plan – разработват се необходимите документи за работата на системата (СУ) • Действие / Do – внедряване на СУ • Проверка / Check – оценка и измерване на дейностите спрямо целите • Усъвършенстане / Act – предприемане на коригиращи и превантивни действия

  4. Система за управление на информационната сигурност • Част от общата система за управление • Целта е да се разработят, внедрят, инициират, наблюдават и подобряват дейности, свързани с информационната сигурност • Базирана на подхода за бизнес риска

  5. Термини и дефиниции • Политика по информационната сигурност • Наръчник по информационна сигурност • Процедури по информационна сигурност • Контрола по информационна сигурност • Декларация за приложимост – описва целите и механизмите на контрол, които са приложими към СУИС в дадена организация. Базира се на резултатите от извършен анализ за оценка и третиране на риска

  6. Структура на ISO 27001:2005 • Обхват • Връзки • Термини и дефиниции • Система за управление на информационната сигурност (СУИС) • Отговорност на ръководството • Вътрешни одити • Преглед на Ръководството на СУИС • Подобрения на СУИС Приложение A: Цели по контрола и контроли (задължително) Приложение B: Указания за приложението на стандарта (информативно) Приложение C:Съответствия между EN ISO 9001:2000, EN 14001:2004 (информативно)

  7. ISO 27001:2005 - Клауза 1 1. Обхват 1.1. Общи положения За какво се отнася стандарта 1.2. Приложение Изискванията на стандарта са така описани, че да са приложими за всякакъв вид организации. Ако все пак някои са нерелевантни поради типа и/или дейността на организацията, по това изискване може да се направи изключение. Тези изключения трябва да бъдат обносновани. Това е описано в Декларацията за приложимост. Не могат да се правят изключения по клаузи 4, 5, 6, 7 и 8.

  8. ISO 27001:2005 - Клауза 4 - I 4. Система за управление на информационната сигурност (СУИС) 4.1. Общи изисквания 4.2. Създаване и управление на СУИС 4.2.1.Създаване на СУИС • Определя се обхвата и Политиката по СУИС. • Дефинира се подхода при оценка на риска • Идентификация, оценка и възможности за третиране на рисковете • Избират се контроли за третиране на риска • Разработва се Декларация за приложимост

  9. ISO 27001:2005 - Клауза 4 - II 4.2.2. Внедряване и действие на СУИС • Разработване и внедряване на План за третиране на риска • Внедряване на избраните в 4.2.1. контроли и процедурите за тяхното прилагане • Внедряване на програма за обучение и осъзнатост • Управление на дейността и ресурсите в организацията 4.2.3. Наблюдение и преглед на СУИС • Изпълнение на процедури и контроли за наблюдение • Извършване на прегледи на ефективността • Извършване на прегледи на нивото на остатъчния и приемливия риск • Планиране и провеждане на вътрешни одити • Провеждане на Прегледи от ръководството на СУИС • Водене на записи за събития, които могат да въздействат на СУИС

  10. ISO 27001:2005 - Клауза 4 - III 4.2.3. Поддръжка и подобрение на СУИС • Внедряване на идентифицираните подобрения • Предприемане на подходящи превантивни и коригиращи действия • Комуникиране на действията си и резултатите от тях към заинтересованите страни • Гарантиране, че подобренията постигат набелязаните цели 4.3. Изисквания към документацията 4.3.1. Общи изисквания – СУИС трябва да включва: • Политика по сигурността и цели по контрола • Доклад за оценка на риска • План за третиране на риска • Документирани процедури по СУИС • Записи, изисквани от стандарта • Декларация за приложимост

  11. ISO 27001:2005 - Клауза 4 - IV 4.3.2. Контрол на документите Необходимо е да се внедри специална процедура за това. • Кой одобрява документите • Преглед, актуализиране и при нужда – повторна оценка • Идентифициране на промените от версия към версия и достъп до актуалните версии • Създаване на предпоставки за идентифициране на вътрешни и външни документи • Контролиране на разпространението 4.3.3. Контрол на записите Записите трябва да бъдат създавани, за да се гарантира изпълнението на изискванията на стандарта. Трябва да се гарантира тяхната необратимост и контрол. Нуждата им в конкретните области и обемът им се определя от Ръководството. (Пример:mail log, документи от одит, разрешения за физически достъп и т.н.)

  12. ISO 27001:2005 - Клауза 5 • Отговорност на ръководството 5.1 Ангажираност на ръководството 5.2 Управление на ресурсите 5.2.1 Осигуряване на ресурсите 5.2.2 Обучение, осъзнатост, компетентност

  13. ISO 27001:2005 - Клауза 6 6. Вътрешни одити на СУИС Организацията трябва да провежда вътрешни одити на СУИС на планирани интервали, за да определи дали целите по контрола, контролите, процесите и процедурите СУИС.

  14. ISO 27001:2005 - Клауза 7 7. Преглед от ръководството на СУИС 7.1 Общи положения 7.2 Входни данни за Прегледа 7.3 Изходни данни от Прегледа

  15. 7.2 Входни данни за Прегледа А) Резултати от одити и прегледи на СУИС Б) Обратна връзка от заинтересованите страни В) Технологии, продукти или процедури, които могат да бъдат използвани от организацията за подобряването на действието и ефективността на СУИС

  16. 7.2 Входни данни за Прегледа Г) Статут на превантивните и коригиращите действия Д) Уязвими места или заплахи, които не са били правилно третирани при предишните оценки на риска Е) Уязвими места или заплахи, които не са били правилно третирани при предишните оценки на риска Ж) Проследващи действия от предишни прегледи от ръководството З) Промени, които имат въздействие върху СУИС И) Препоръки за подобрения

  17. 7.3 Изходни данни за Прегледа 7.3. Изходни данни от Прегледа а) Подобрения на ефективността на СУИС б) Изменения на процедури, които влияят на информационната сигурност за да се отговори на вътрешни или външни събития, които могат да въздействат върху СУИС, включително промени в:

  18. 7.3 Изходни данни за Прегледа • Бизнес изискванията • Изискванията по сигурността • Бизнес процесите, които удволетворяват настоящите бизнес изисквания • Законови и нормативни изисквания • Нива на риска и/или нива на оценка на риск В) Необходими ресурси

  19. ISO 27001:2005 - Клауза 8 8. Подобрение на СУИС 8.1 Непрекъснато подобрение 8.2 Корегиращи действия 8.3 Превантивните действия

  20. Сравнения между BS 7799 и ISO 27001 • Ролята на ръководството за определяне на остатъчните рискове • Структурираност на декларацията за приложимост • Увеличен акцент върху измерването на ефиктивността на контролите и целите на управление • Клауза 6 и 7 - нови • Акцент върху оценката на риска, ролите и отговорностите

  21. Въпроси Асоциация за информационна сигурност www.iseca.org

  22. Одити • Целта на одита е да открие достоверни доказателства за правилното функциониране на внедрената система за управление • Видове одити • Сертификационен • Контролен • Партньор – от втора страна • Вътрешен • Процес на сертификация • Проектиране, разработка и внедряване на системата • Одитиране от акредитирна сертифицираща организация • Поддържане и усъвършенстване на системата • Ресертификация

More Related