Застосування iso/iec 27003:2010 в Україні
TRANSCRIPT
ЗАСТОСУВАННЯ МІЖНАРОДНОГО СТАНДАРТУ ISO/IEC 27003:2010 У ПРАКТИЦІ КОРПОРАТИВНИХ СИСТЕМ УКРАЇНИ
Замула Олександр Андрійович Черниш Владислав Ігорович
ВСТУП ТА МЕТА РОБОТИ
Cистема управління інформаційною безпекою (СУІБ) — частина загальної
системи управління, яка ґрунтується на підході, що враховує бізнес-ризики, призначена для розроблення, впровадження, функціонування, моніторингу, перегляду, підтримування та вдосконалення інформаційної безпеки (ІБ).
Метою докладу є проведення аналізу міжнародного стандарту ISO 27003 ISO/
IEC 27003:2010 «Інформаційні технології. Методи забезпечення безпеки. Керівництво з впровадження системи управління інформаційної безпеки» та визначення переваг його використання в корпоративних інформаційних системах.
РОЗПОВСЮДЖЕНІСТЬ МІЖНАРОДНИХ СТАНДАРТІВ В ГАЛУЗІ УПРАВЛІННЯ ІНФОРМАЦІЙНОЮ БЕЗПЕКОЮ
Manama
Turkey — U. A. E. —
—
China — Hong Kong — India —
—
Широко розповсюджені
Розповсюджені
Не розповсюджені
ISO/IEC 27000:2009 Інформаційні технології - Засоби забезпечення безпеки - Управління ІБ - Короткий огляд і словник
ISO/IEC 27001:2005 Інформаційні технології - Засоби забезпечення безпеки - Системи управління ІБ - Вимоги
ISO/IEC 27005:2008 Інформаційні технології - Засоби
забезпечення безпеки - Ризик-
менеджмент ІБ
ISO/IEC 27002:2005 Інформаційні технології - Засоби забезпечення безпеки - Звід практики для управління
ІБ (раніше ISO / IEC 17799:2005)
ISO/IEC 27003:2010 Методи і засоби забезпечення безпеки - Системи управління ІБ
- Керівництво по реалізації системи управління ІБ
ISO/IEC 27004:2009 Інформаційні технології - Засоби забезпечення безпеки - Вимірювання в управлінні ІБ
ISO/IEC 27006:2007 Інформаційні технології - Засоби забезпечення безпеки - Вимоги для органів, що виконують аудит та сертифікацію систем управління ІБ
ISO/IEC 27011:2008 Інформаційні технології - Засоби забезпечення безпеки - Настанови щодо управління ІБ для телекомунікацій
ISO/IEC 27007:2011 Інформаційні технології - Методи забезпечення безпеки - Настанови щодо аудиту ІБ системи управління
ISO/IEC 27031:2011 Інформаційні технології - Методи забезпечення безпеки - Настанови щодо інформаційно-комунікаційних технологій готовність до безперервності бізнесу
МІЖНАРОДНА СТАНДАРТИЗАЦІЯ В ГАЛУЗІ ІБ
ISO/IEC 27003:2010 ДУМКА ЕКСПЕРТІВ
Професор Едвард Хамфрі (Edward Humphreys) – керівник робочої групи, яка розробила стандарт
За допомогою ISO / IEC 27003:2010, організація зможе розробити процес
управління інформаційною безпекою, що дає зацікавленим сторонам впевненість у тому, що рівні ризиків для інформаційних активів
будуть постійно підтримуватися в допустимих межах,
встановлених організацією.
ISO/IEC 27003:2010 ЗАГАЛЬНІ ВІДОМОСТІ
v призначений для використання у корпоративних системах, що впроваджують СУІБ;
v застосовується організаціями всіх типів і розмірів (наприклад, комерційними підприємствами, державними органами, некомерційними організаціями).
МІЖНАРОДНИЙ СТАНДАРТ
МЕТА СТАНДАРТУ надання практичної допомоги при реалізації СУІБ у межах організації відповідно до ISO/IEC 27001:2005 (реалізація СУІБ виконана у вигляді проекту)
ISO/IEC 27003:2010 ЗАГАЛЬНІ ВІДОМОСТІ
v фокусується на критичних аспектах, необхідних для успішного проектування та впровадження СУІБ відповідно до ISO/IEC 27001:2005;
v описує процес специфікації та проектування СУІБ з моменту початку проектування до подання планів впровадження системи;
v описує процес отримання затвердження з боку керівництва впровадження СУІБ;
v визначає проект впровадження СУІБ;
v забезпечує керівництво планом проекту СУІБ.
МІЖНАРОДНИЙ СТАНДАРТ
ISO/IEC 27003:2010 ЗАГАЛЬНІ ВІДОМОСТІ
В МІЖНАРОДНОМУ СТАНДАРТІ:
Приведені рекомендації та роз’яснення
АЛЕ
Не вказано ніяких вимог
ISO/IEC 27003:2010 ФАЗИ ПЛАНУВАННЯ ПРОЕКТУ СУІБ
Отримання схвалення керівництва для запуску СУІБ
Визначення області дії, меж та політики СУІБ
Проведення аналізу вимог ІБ
Проведення оцінки ризиків та планування обробки ризиків
Розробка системи СУІБ
Схвалення керівництва для запуску СУІБ
Область застосування та межі СУІБ
Політика СУІБ
Вимоги ІБ
Інформаційні активи
Результати оцінки ІБ
Письмове оповіщення про
ухвалу керівництва застосування
СУІБ
План обробки ризиків
Декларація про застосовність, включаючи мету та вибрані засоби управління
Кінцевий план впровадження
СУІБ
ШКАЛА ЧАСУ
ISO/IEC 27003:2010 ЩОДО ПРОЦЕСУ УПРАВЛІННЯ РИЗИКАМИ ІБ
ПЛАНУВАННЯ
ВИКОНАННЯ
ПЕРЕВІРКА
ДІЯ
Аналіз ресурсів СУІБ Оцінка ризиків
План оброблення ризиків Прийняття залишкових ризиків
Впровадження плану оброблення ризиків
Постійний моніторинг та перегляд ризиків
Підтримка та покращення процесу управління ризиками ІБ
ISO/IEC 27003:2010 ДЕ ЗАСТОСОВУЄТЬСЯ В УКРАЇНІ?
Департамент інформатизації Національного банку України розробив Методичні рекомендації щодо впровадження системи управління інформаційною безпекою та методики оцінки ризиків відповідно до стандартів Національного банку України (прийнятий 03.03.2011).
Ці Методичні рекомендації щодо впровадження СУІБ розроблені на основі міжнародного стандарту ISO/IEC 27003:2010 з урахуванням особливостей банківської діяльності, стандартів та вимог Національного банку України з питань ІБ.
ISO/IEC 27003:2010 ПЕРЕВАГИ ЗАСТОСУВАННЯ В ПРАКТИЦІ КОРПОРАТИВНИХ ІНФОРМАЦІЙНИХ СИСТЕМ
v оптимізувати вартість побудови та підтримання системи ІБ; v постійно відслідковувати та оцінювати ризики з урахуванням цілій бізнесу; v ефективно виявляти найбільш критичні ризики та знижати ймовірність їх реалізації; v розробити ефективну політику ІБ; v ефективно розробляти, впроваджувати та тестувати плани відновлення бізнесу; v забезпечити розуміння питань ІБ керівництвом та всіма працівниками підприємств, де впроваджується СУІБ; v забезпечити підвищення репутації та ринкової привабливості підприємств;
ЗАСТОСУВАННЯ МІЖНАРОДНОГО СТАНДАРТУ ДОЗВОЛИТЬ
ДЯКУЮ ЗА УВАГУ.