Системы безопасности

бизнеса при условии минимизации затрат на обеспечение безопасности, включая минимизацию

затрат и усилий на поддержание системы безопасности в актуальном состоянии.

требований законодательства – построение системы защиты в соответствии с требованиями

Федерального закона № 152-ФЗ и другими стандартами
Централизованное управление всеми компонентами защиты

Формулировка задач, стоящих перед бизнесом в области безопасности

уровня квалификации обслуживающего персонала и сокращение его количества,
высвобождение ресурсов для

других задач.

Формулировка задач, стоящих перед бизнесом в области безопасности

на шее?
Текущая ситуация в области безопасности

уровня информационной безопасности для:
систематизации и упорядочивания существующих мер защиты информации;
обоснования

инвестиций в информационную безопасность;
подготовки ТЗ на разработку и создание системы безопасности, в том числе для приведения системы информационной безопасности в соответствие требованиям международных или российских стандартов и требований;
оценки уровня эффективности имеющейся системы безопасности.

и категорирование информационных ресурсов
Кадровые аспекты ИБ
Физическая защита информационных

ресурсов
Управление технологическим процессом
Управление доступом
Закупка, разработка и сопровождение компонентов ИС
Управление инцидентами в области информационной безопасности
Обеспечение непрерывности работы и восстановления
Соответствие нормативным и руководящим документам

и аппаратные средства, в том числе сетевые серверы
Файлы данных, базы

данных, хранилища данных
Носители информации, в том числе бумажные носители
Прикладные и общесистемные программные средства
Программно-технические компоненты автоматизированных систем
Помещения, здания, сооружения
Платежные и информационные технологические процессы
Бизнес-процессы

внутреннего контроля/аудита

Внешние пользователи:
Акционеры компании
Регулирующие органы
Страховые компании
Клиенты компании

системы РФ. Общие положения
Все процедуры должны быть задокументированы.

Должны существовать

процедуры действий на все возможные инциденты.

Все действия и инциденты должны отслеживаться и протоколироваться.

Все документы должны быть утверждены.

системы РФ. Общие положения
5.24. Для реализации и поддержания ИБ

в организации БС РФ необходима реализация четырех групп процессов:
планирование СОИБ организации БС РФ («планирование»);
реализация СОИБ организации БС РФ («реализация»);
мониторинг и анализ СОИБ организации БС РФ («проверка»);
поддержка и улучшение СОИБ организации БС РФ («совершенствование»).

разработанными принципами классификации активов по их значимости, правовым требованиям, важности

и критичности для организации.
Должны быть определены ответственные за активы.
Стандарт ISO/IEC 27001. Обязательное приложение А. Требование А.7

Стандарт ISO/IEC 27001:2005 Требования к системе менеджмента информационной безопасности

идентифицировать риски:
Идентифицировать активы.
Идентифицировать угрозы этим активам.
Идентифицировать уязвимости, которые могут быть

использованы этими угрозами.
Определить воздействие, которое может привести к потере конфиденциальности, целостности и доступности ресурсов.

Стандарт ISO/IEC 27001. Пункт 4.2.1 г)

Стандарт ISO/IEC 27001:2005 Требования к системе менеджмента информационной безопасности

известных рисков, так и существующих бизнес-целей:
Оценить ущерб бизнесу.
Оценить вероятность возникновения

нарушения.
Оценить уровни рисков.
Определить, является ли риск приемлемым, или требуется обработка риска с использованием критериев принятия риска.
Стандарт ISO/IEC 27001. Пункт 4.2.1 д)

Стандарт ISO/IEC 27001:2005 Требования к системе менеджмента информационной безопасности

системы РФ. Общие положения
5.4. Наибольшими возможностями для нанесения ущерба

организации БС РФ обладает ее собственный персонал. В этом случае содержанием деятельности злоумышленника является прямое нецелевое использование предоставленного ему в порядке выполнения служебных обязанностей контроля над активами либо нерегламентированная деятельность для получения контроля над активами. При этом он будет стремиться к сокрытию следов своей деятельности.
Внешний злоумышленник, как правило, имеет сообщника (сообщников) внутри организации БС РФ.
Незлоумышленные действия собственных работников создают либо уязвимости ИБ, либо инциденты, влияющие на свойства доступности, целостности и конфиденциальности актива или параметры системы, которая этот актив поддерживает.

системы РФ. Общие положения
Наиболее правильный и эффективный способ добиться

минимизации рисков нарушения ИБ организации БС РФ — разработать политику ИБ организации БС РФ и в соответствии с ней реализовать, эксплуатировать и совершенствовать СОИБ.

риски




3. Утверждаем

Стандарт ISO/IEC 27001:2005 Требования к системе менеджмента информационной безопасности.

Риск-менеджмент

Роли и ответственность
А.8.1.2 Подбор и прием персонала
А.8.1.3 Условия работы

Пункт A.10.10.4

Действия системного администратора
Действия системного администратора и
системного оператора также должны записываться в журнал.

Стандарт ISO/IEC 27001:2005 Требования к системе менеджмента ИБ.
Работа СМИБ по требованиям ISO 27001

угроз и необходимых для работы компании персональных данных позволяет сократить

стоимость реализации закона в разы.


Обезличивание
Правильное определение действующих угроз
Правильный выбор ПО с исключением дублирования функций
Максимальное использование возможностей уже имеющихся в ИС средств защиты информации, возможностей ОС и прикладного ПО.
Сокращение количества АРМ, обрабатывающих ПДн.
Разделение ИС межсетевыми экранами на отдельные сегменты. Организация терминального доступа к ИСПДн.
Исключение из ИСПДн части ПДн, хранение их на бумажных или иных носителях.

И это не все!

Security Suite)

персональных данных конкретному субъекту.

Ст. 3 Федерального закона № 152-ФЗ

«О персональных данных», NIST SP800-122, Стандарт ISO 25237-2008
Абстрагирование ПДн — превращение их в менее точные — например, путем группирования общих или непрерывных характеристик.
Скрытие ПДн — удаление всей или части записи ПДн — ПДн не должны быть избыточными по отношению к цели.
Внесение шума в ПДн — добавление небольшого количество посторонней информации в ПДн.
Замена ПДн — перестановка полей одной записи ПДн теми же самыми полями другой аналогичной записи.
Разделение ПДн на части — использование таблиц перекрестных ссылок. Например, две таблицы: одна с Ф. И. О. и идентификатором субъекта ПДн, вторая — с тем же идентификатором субъекта ПДн и остальной частью ПДн
Использование специальных алгоритмов — например, маскирование ПДн или подмена отдельных символов другими. Идеальным вариантом является использование алгоритмов криптографического хеширования.
Псевдонимизация — удаление ассоциации с субъектом ПДн и добавление ассоциации между набором особенностей, касающихся субъекта ПДн, и одним или более псевдонимами.

Оптимизация стоимости защиты

стоимости защиты

построение системы защиты в соответствии с требованиями Федерального закона №

152-ФЗ
Централизованное управление всеми компонентами защиты
Удобство и простота администрирования
Богатый функционал
Нетребовательность к ресурсам
Совместимость приложений

Оптимизация стоимости защиты — Требования к продуктам и системам

защиту всех узлов локальной сети:
рабочих станций;
файловых и терминальных серверов;
шлюзов сети

Интернет;
почтовых серверов.

Использование демилитаризованной зоны и средств проверки почтового трафика на уровне SMTP-шлюза повышает уровень защиты.

Вирусы

Шлюз сети Интернет
Межсетевой экран

SMTP-шлюз

Способы организации антивирусной защиты

простоев оборудования и персонала за счет уменьшения количества вирусных инцидентов

в корпоративной сети
Повышение производительности труда путем снижения количества отвлекающих факторов
Оптимизация расходов на интернет-трафик и контроль за деятельностью сотрудников в сети Интернет

Программно-аппаратные комплексы