USAID Finance for Economic Development (FED) Program

Workshop: “IT Governance in Banks”May 27, 2014

Information Security Management

Երևան - Երևան - 20120144

Կոմիտաս ՍտեփանյանԿոմիտաս Ստեփանյան

Where do we start?Where do we start?

The Foundation of Information SecurityThe Foundation of Information Security

The Information Security FunctionsThe Information Security Functions

Managing Information SecurityManaging Information Security

ԲովանդակությունԲովանդակություն

– Ինչ տեսակի ակտիվներ կան ՏՏ Ինչ տեսակի ակտիվներ կան ՏՏ համակարգերումհամակարգերում??

– Որոնք են ամենակարևորներըՈրոնք են ամենակարևորները??

– Կարիք կա արդյոք դրանք պաշտպանելուԿարիք կա արդյոք դրանք պաշտպանելու

– Տեղեկատվական անվտանգությանՏեղեկատվական անվտանգության((ՏԱՏԱ)) կարիքը կարիքը

– Ինչպես հասնել ՏԱ Ինչպես հասնել ՏԱ CIA CIA հայեցակարգի հայեցակարգի իրականցմանըիրականցմանը

– Որոնք են հաջողության չափիչներըՈրոնք են հաջողության չափիչները

– ՎտանգներՎտանգներ

– Ինչպես պաշտպանվելԻնչպես պաշտպանվել

– Անվտանգության հայեցակարգ և մոտեցումներԱնվտանգության հայեցակարգ և մոտեցումներ

Կազմակերպության ակտիվներ

• Hardware (Ֆիզիկական ակտիվներ)

• Ծրագրեր

• Data and information

• Անձնակազմ, ով մատուցում է ՏՏ

ծառայություններ

• Համակարգեր

• Ինֆրակառուցվածք

NIST SP 800-30

Տեղեկատվական ակտիվներ

Տեղեկատվությունը ևս ակտիվ Տեղեկատվությունը ևս ակտիվ է, որը ինչպես մյուս կարևոր է, որը ինչպես մյուս կարևոր բիզնես ակտիվներ ունի բիզնես ակտիվներ ունի արժեք կազմակերպության արժեք կազմակերպության համար, և հետևաբար պետք է համար, և հետևաբար պետք է համարժեք պաշտպանվիհամարժեք պաշտպանվի

» ISO/IEC17799: 2000ISO/IEC17799: 2000

Ինչու է տեղեկատվությունը ամենակարևոր ակտիվներից մեկը

• Բիզնեսի պահանջներ– Հաճախորդներ / գործընկերներ / բաժնետերեր– Մարկետինգ– Վստահություն– Ներքին կառավարում, որոշումներ

• Իրավական պահանջներ• Այլ

Բիզնեսի անընդհատություն

Բիզնեսի անընդհատություն

,

Օրենսդրության Իրավական ակտերի

,

Օրենսդրության Իրավական ակտերի

պահանջների բավարարում

պահանջների բավարարում

• ՏԱ-ն պաշտպանում է տեղեկատվությունը տարբեր վտանգներից՝ ապահովելով– Բիզնեսի անընդհատությունը– Նվազեցնելով վնասի չափը, եթե...– Ավելացնելով ROI-ն և հնարավորությունները

Ինչի համար է ՏԱ-ը

Հուսալի, կայուն, անխափան Հուսալի, կայուն, անխափան ծառայություններծառայություններ

Q: Ինչքան պետք է յուրաքանչյուր կազմակերպություն ծախսի ՏԱ համար?

A: …??????… ՄԼՆ / Ամիս

Տեղեկատվական անվտանգության ծախսեր

Q: Ինչքան պետք է յուրաքանչյուր կազմակերպություն ծախսի ՏԱ համար?

A: …??????… ՄԼՆ / Տարի

Ինչի համար կազմակերպությունը ունի ՏԱ կարիք

Օրինակ -> Մոտ 10 մլն/օր -> Մեկ օրվա աշխատանքային ժամը 8 -> 1.25 մլն/ ժամ -> 10% եկամուտ = 125,000 / ժամ

BusinessBusiness-- impact impact վերլուծությունվերլուծություն

Ինչքան է արժենում մեկ ժամը, երբ աշխատակիցը չի կարողանում օգտվել անհրաժեշտ տեղեկատվությունից?

…. Այլ օրինակ…

• Ինչքան է մոտավար արժեքը, երբ հակերային հարձակում/վիրուսային վարակում է տեղի ունենում?– Ինչ ծավալի տեղեկատվություն է վնասվում, կորչում, որը

հետո պետք է վերականգնել – մարդ/ժամ– Ինչքան մարդ/ժամ է ծախսվում վիրուսը մաքրելու համար– Ինչքան ժամանակ ծառայությունները չեն աշխատում– Հաճախորդների բավարարվածությունը– Կազմակերպության հեղինակությունը

Այսպիսով կազմակերպությունը ծախսում է XYZ գումար, հարձակմանը, կամ վիրուսային վարակման համար

Տեղեկատվական անվտանգության մոտեցումները

ՏԱ-ը երեք հիմնական հաշտանիշների միաժամանակյա ապահովումն է.

•Confidentiality - Գաղտնիություն– Ապահովում է տեղեկատվության օգտագործումը

միայն իրավասու օգտագործողներին

•Integrity - Ամբողջականություն– Ապահովում է տեղեկատվության ճշտությունը և

լրիվությունը

•Availability - Հասանելիություն– Ապահովում է տեղեկատվության հասանելիությունը

իրավասու օգտագործողներին՝ հենց դրա կարիքը լինի

Հաջողության գրավականը

• Գործընթացներ/Քաղաքականություն/կանոնակարգեր– Հստակ– Ամբողջական– Համապատասխան– իրավական,ստանդարտ,

լավագույն փորձ և այլն

• Մարդիկ/անձնակազմ– Տեղեկացվածություն (ՏԱ նվազագույն

պահանջների իմացություն) – Կարգ ու կանոն (Discipline)

• Տեխնոլոգիաներ– Մեխանիզմներ, գործիքներ, լուծումներ– Կառավարչական լուծումներ

Ինչ է վտանգը?

Կարղ է տեղի ունենա մի բան, որը վատ հետևանք կունենա, օրինակ կխափանի ցանի աշխատանքը

ՕգտագործողՕգտագործող

Հաքեր/չարամիտ Հաքեր/չարամիտ

գործողություններգործողություններ

ՎիրուսՎիրուս

Սպամ Սպամ

ԱյլԱյլ

Հիմնական գործոնները որոնք մեծացնում են վտանգների թիվը

• Ինտերնետի արագություն/հասանելիությունը բոլորինԻնտերնետի արագություն/հասանելիությունը բոլորին

• Real-time Real-time ինտերնետ լուծումներինտերնետ լուծումներ

• OnlineOnline գործառույթներ գործառույթներ

Այսօրվա վտանգները

– Սոց ցանցերՍոց ցանցեր– Social EngineeringSocial Engineering– Համակարգային Համակարգային

սխալներսխալներ– Ցանցային սխալներՑանցային սխալներ– Web Web վտանգներվտանգներ– Մարդկային գործոնՄարդկային գործոն

Այս բոլորը ինձ չի Այս բոլորը ինձ չի վերաբերվում...վերաբերվում...

Ինչպես պաշտպանվել

• , Անհրաժեշտ է հսկողությոսւն որը , Անհրաժեշտ է հսկողությոսւն որը նշանակում է նշանակում է

– PPolicy & Process security control to provide guideline olicy & Process security control to provide guideline and framework and framework

– PPeople to control user behavioreople to control user behavior

– TTechnology will be a tool in order to enforced Policy echnology will be a tool in order to enforced Policy throughout the organization effectively.throughout the organization effectively.

Policy & Process Control

• Policy Compliance – ISO 17799//27001

• Compliance Checking– CobiT Audit Tools

• NIST security standard guideline– NIST – 800 series

• Organization Control– Business Continuity Plan

Անձնակազմի հսկողություն

• Անվտանգության իմացության դասընթացներ• Ուսուցման անընդհատություն

– Տեղեկացում, ուսուցում

• Պատասխանատվությունների հսկողություն– Ես գիտեմ որ... պատասխանատու եմ...

Չըըըըըըը..գիտեի, կներեք . . . Չըըըըըըը..գիտեի, կներեք . . .

Տեխնոլոգիակն հսկողություն

• Computer Security is the process of preventing and detecting unauthorized use of your computer

• Prevention - helps you to stop unauthorized users (intruders) from accessing any part of you computer network

• Detection - helps you to determine whether or not someone attempted to break into your system, if they were successful, and what they may have done.

• Network and Host Based Security– Security Devices (Hardware) or Security Software

Anti-Spam

Source: Symantec/ Brightmail

ԵԶՐԱԿԱՑՈՒԹՅՈՒՆԵԶՐԱԿԱՑՈՒԹՅՈՒՆ

Համակարգեր՝ առանց որակի/արտադրողականության կորստի

PPTPPT Policy - People –TechnologyPolicy - People –Technology

Մեքենայի արգելակները նրա համար Մեքենայի արգելակները նրա համար չեն, որ մեքենան դանդաղ ընթանա՝ չեն, որ մեքենան դանդաղ ընթանա՝

հակառակըհակառակը – նրա համար են, որ – նրա համար են, որ մեքենան մեքենան արագ և անվտանգ ընթանաարագ և անվտանգ ընթանա......

Ինչի՞ համար են Ինչի՞ համար են մեքենայի արգելակներըմեքենայի արգելակները

ՏԱ-ն նրա համար չէ, որ ՏԱ-ն նրա համար չէ, որ դանդաղացնի, դանդաղացնի,

խանգարի կազմակերպությանը՝ խանգարի կազմակերպությանը՝

հակառակը նրա համար է,հակառակը նրա համար է, որ որ օգնի օգնի

կազմակերպության անվտանգ, ապահով կազմակերպության անվտանգ, ապահով

զարգացմանը զարգացմանը առանց ռիսկերի...առանց ռիսկերի...

ԵԶՐԱԿԱՑՈՒԹՅՈՒՆԵԶՐԱԿԱՑՈՒԹՅՈՒՆ

Treat your password like you Treat your password like you treat your toothbrush. Never treat your toothbrush. Never give it to anyone else to use, give it to anyone else to use, and change it every few and change it every few months.months.

ՀիշեքՀիշեք