презентация для выступления на семинаре по теме: "Импортозамещени в сфере ИТ - подходы к автоматизации управления в организациях-исполнителях государственного оборонного заказа при максимальном сохранении вложенных инвестиций". (http://www.rosoboronstandart.ru/seminar-10-11-marta-2015/)

1. Построение системы управления
информационной безопасностью на основе
международных стандартов ISO 27xxx
Чучаев Сергей Викторович
к.т.н., эксперт по сертификации СМИБ на соответствие ISO 27001,
член МОО «Ассоциация руководителей служб информационной безопасности»
1

2. Кто владеет информацией - владеет
миром
(Френсис Бэкон)
а также:
Натан Ротшильд,
Уинстон Черчилль, ….
2

3. Что такое информационная
безопасность?
ИНФОРМАЦИЯ
Доступность
Информационная безопасность (information
security): сохранение конфиденциальности,
целостности и доступности информации.
Примечание — Также сюда могут быть включены
другие свойства, такие как подлинность,
подотчётность, неотказуемость и достоверность.
ISO/IEC 27000:2014, п.2.33
Информационная безопасность организации; ИБ организации: Состояние
защищенности интересов организации в условиях угроз в информационной
сфере.
Примечание — Защищенность достигается обеспечением совокупности свойств
информационной безопасности — конфиденциальностью, целостностью, доступностью
информационных активов и инфраструктуры организации. Приоритетность свойств
информационной безопасности определяется значимостью информационных активов
для интересов (целей) организации.
ГОСТ Р 53114-2008, п. 3.2.1
3

4. Как происходит нарушение
безопасности
ISO/IEC 13335-1:2006. Концепция и модели менеджмента безопасности
информационных и телекоммуникационных технологий
Легенда:
S – защитные меры (контроль)
V – уязвимости
T – угрозы
R – риск
RR – остаточный риск
4
Риск информационной безопасности ассоциируется с вероятностью того, что
имеющиеся угрозы будут материализоваться с использованием уязвимостей
некоторого информационного актива или группы таких активов, принося вред
организации.

5. Информационная безопасность
или ИТ-безопасность
0
5
10
15
20
25
30
35
40
ИТ
Организация/
документация
Физическая
безопасность
Поставщики
Персонал
Правоваязащита
Количество мер управления по
основным направления
в ISO 27001 (%)
5

6. Системный подход
к информационной безопасности
Процессы
Персонал
Технологии
6

7. Цели внедрения системы управления
информационной безопасностью
Выполнение
(соблюдение –
compliance) внешних
требований
Минимизация
финансовых потерь
Оптимизация бизнес-
процессов
Повышение имиджа
(маркетинговый ход)
7

8. Основы для построения СМИБ
ISO 270xx – серия международных стандартов,
определяющих порядок внедрения, развития и
поддержки системы менеджмента информационной
безопасности
CobiT – представляет собой пакет открытых
документов в области управления IT, аудита и IT-
безопасности
ITIL, ISO 200xx – библиотека документов, описывающая
процессы идентификации, планирования, разработки
и поддержки ИТ сервисов в организации
NIST SP 800 Series – серия из более чем 100 документов
по ИТ безопасности
8

9. Некоторые факты об ISO 27001
• ISO 27001 обеспечивает методологию управления
информационной безопасностью в организации.
• ISO 27001 может быть реализован в любой организации,
независимо от вида собственности или размера.
• ISO 27001 создавался на протяжении двух десятилетий (первая
версия BSI 7799-2 вышла в 1998 году) с участием лучших
мировых экспертов в области информационной безопасности.
• ISO 27001 предназначен для целей сертификации, т.е.
независимый орган по сертификации может подтвердить, что
организация внедрила СМИБ в соответствии с требованиями
ISO 27001.
• ISO 27001 является наиболее популярным стандартом
информационной безопасности во всем мире, и многие
компании сертифицированы на соответствие требованиям ISO
27001 (на конец 2012 года было выдано 19577 сертификатов)
9

10. 27001
27002 27000
27004
27011
Отраслевое применение
Телекоммуникации
Финансовые сервисы
Межсекторное
взаимодействие
27003
27005
Управление
рисками
31000
Guide 73
27006
Сертификация
27007
27008
19011
Руководящие указания
по аудиту СМИБ
17021
Руководство по ИБ
Измерения
Свод правил
Требования
Руководство по внедрению
27001+20000-1
Термины и
определения
Требования к органам,
Обеспечивающим аудит и
сертификацию СМИБ
Руководящие указания для
аудиторов по оценке
органов управления
Руководство по аудиту
систем менеджмента
Требования к органам
по сертификации
Словарь
Принципы и
руководство
27016 Организационная экономика
27018
Облачные сервисы
17000
Словарь и основные принципы
31010
Оценка рисков
Отраслевое
применение ISO 27001
27010
27009
27013
27014
27015
Энергетические
сервисные программы27019
27017
ПДн в публичных
облачных сервисах
27x расширение:
27032
27033
27034 и т.д.
Оценка соответствия
Семейство стандартов
ISO/IEC 27k
10

11. Мифы о ISO 270xx
1. Внедрение стандарта приведет к ненужному увеличению
документооборота.
Документация является важной частью реализации требований
ISO 27001, но документация не является самоцелью.
Какие цели может преследовать документирование
деятельности:
• Подтверждение соответствия, т.е. обеспечение
документального подтверждения того, что требования и
установленные цели в действительности выполнены;
• Распространение и сохранения опыта, накопленного
организации (управление знаниями);
• Передача информации как внутри, так и вовне
организации.
Руководство ИТ подразделения Персонал
11

12. Мифы о ISO 270xx
2. Информационная безопасность – это деятельность отдела ИТ
2.1. В понятие безопасность входит не только управление ИТ, но
и управление человеческими ресурсами, физическая
безопасность и т.д
2.2. ИТ подразделение не должен выступать в роли проводника
при построении СУИБ.
- это противоречит принципам независимости.
- у ИТ другие цели и задачи (обеспечить непрерывность
предоставления услуг)
Руководство ИТ подразделения Персонал
12

13. 13
Генеральный
директор
ЗГД по
безопасности
Служба ИБ Служба ИТ
Функциональное
взаимодействие
Организационная
подчиненность
Определение требований,
контроль, предложения по
совершенствованию
Принятие решений,
выделение ресурсов
Реализация
мероприятий по
программно-аппаратной
защите
ЗОНЫ ОТВЕТСТВЕННОСТИ
ЗГД по ИТ
Мифы о ISO 270xx
Пример организационной структуры

14. Мифы о ISO 270xx
3. "Стандарт требует ..."
«Стандарт требует ежеквартальную смену паролей»,
«Стандарт требует проведение проверки персонала на
полиграфе»…
ISO 27001 устанавливает требования к процессу создания,
внедрения, поддержания функционирования и непрерывного
улучшения системы менеджмента информационной
безопасности.
Все остальное – это лучшие практики, описанные в
различного рода документах (NIST SP 800 series, ISO 27002 и
т.д.) и их конкретное применение зависит от организации
Руководство ИТ подразделения Персонал
14

15. Мифы о ISO 270xx
4. Единственная польза от стандарта – это получение
сертификата
Использование сертификата для участия в тендерных
процедурах, либо как средства подтверждения для
существующих и потенциальных потребителей способности
организации защитить их информацию
Руководство ИТ подразделения Персонал
15

16. Почему внедрение ИБ может быть
полезно ИТ
Внедрение ИБ
Экономьте свое
время
Разговаривайте с
руководством на
языке бизнеса
Защитите себя
Стройте свою
карьеру
16

17. Процесс внедрения СМИБ
Получение
одобрения
руководства для
запуска проекта
Установление
проекта (не
обязательный шаг)
Определение
требований
Перечень требований:
законодательных,
регуляторных, и
контрактных (4.1, 4.2)
План проекта
17

18. Процесс внедрения СМИБ
Определение
области
распространения,
целей и
ответственности
Внедрение
поддерживающих
процедур
Разработка
процесса оценки и
обработки риска
Методология оценки
риска
Политика
информационной
безопасности, область
распространения
Цели в области
информационной
безопасности
Процедуры управления
документами,
внутреннего аудита и
т.д.
Критерии принятия
риска
18

19. Процесс внедрения СМИБ
Проведение оценки
и обработки рисков
Разработка профиля
безопасности
Принятие
остаточного риска и
разработка плана
внедрения
управляющих мер
План обработки риска
Таблица оценки рисков
(6.1.2),
Таблица обработки
рисков (6.1.3)
Отчет об оценке и
обработке рисков (6.1.3)
Заявление о
применимости
управляющих мер
(6.1.3)
Принятие остаточных
рисков
19

20. Процесс внедрения СМИБ
Внедрение всех
необходимых мер
управления
Подготовка
программы
обучения и
информирования
персонала в области
ИБ
«Выполнение»
СМИБ
Различные записи,
требуемые
документами СМИБ
Записи
подтверждающие
внедрении
Записи об обучении
20

21. Процесс внедрения СМИБ
Проведение
внутренних аудитов
Анализ высшего
руководства
Сертификация
СМИБ
Отчет о внутреннем
аудите
Отчет об анализе ВР
Корректирующие
действия
21

22. Управление рисками
Управление рисками ИБ представляет
собой непрерывный процесс,
обеспечивающий выявление, оценку и
минимизацию рисков от реализации
угроз информационной безопасности,
направленных на активы организации.
Управление рисками ИБ позволяет:
• получить актуальное представление
об уровне обеспечения
информационной безопасности
организации в текущий момент,
• определить наиболее уязвимые места
в обеспечении защиты информации
организации,
• определить стоимостное обоснование
затрат на обеспечение ИБ,
• минимизировать издержки на
обеспечение ИБ.
22

23. Оценка риска
“Старая методология” (ISO 27001:2005)
Идентификация активов
Идентификация требований бизнеса и законодательства
Оценивание идентифицированных активов с учетом
идентифицированных требований бизнеса и
законодательства, а также последствий нарушения их
конфиденциальности, целостности и доступности
Идентификация значимых угроз и уязвимостей
идентифицированных активов
Оценка вероятности реализации угроз и уязвимостей.
1
2
3
4
5
23

24. Оценка риска
Актив
Цен-
ность
Риск Угроза
Уязви-
мость
Риск
Владе-
лец
Персональ-
ные данные
работников
4
Похищение данных
злоумышленниками
Н Н 4
ОКПопадание в открытый доступ из-за
ошибки оператора
С В 7
Искажение данных вирусом С С 6
Ценность
актива
Уровень угроз
Низкая Средняя Высокая
Уровень уязвимостей
Н С В Н С В Н С В
0 0 1 2 1 2 3 2 3 4
1 1 2 3 2 3 4 3 4 5
2 2 3 4 3 4 5 4 5 6
3 3 4 5 4 5 6 5 6 7
4 4 5 6 5 6 7 6 7 8
24

25. Оценка риска
Воздейст-
вие на
бизнес
Вероятность инцидента
Очень
низкая
Низкая Средняя Высокое
Очень
высокое
Очень
низкое 0 1 2 3 4
Низкое
1 2 3 4 5
Среднее
2 3 4 5 6
Высокое
3 4 5 6 7
Очень
высокое 4 5 6 7 8
25

26. Оценка риска
“Новая методология” (ISO 27001:2013)
ISO 27001:2013 не устанавливает каких либо требований к
методике оценке рисков, давая организациям право
использовать любую методологию. Например, указанных в ISO
31010:2009, приложение А.
Методология «Актив-уязвимость-угроза-риск», установленная
в ISO 27001:2005 также может использоваться и дает
возможность сохранить преемственность с предыдущими
наработками
Актив
Цен-
ность Риск Угроза
Уязви-
мость
Риск …
Владе-
лец
риска
Персональ-
ные данные
работников
4
Похищение данных
злоумышленниками (личное дело)
Н Н 4 … ОК
Попадание в открытый доступ из-за
ошибки оператора
С В 7 … ОК
Искажение данных вирусом С С 6 … ИТ
26

27. Способы обработки рисков
0
1
2
3
4
5
6
7
8
9
Принятие риска Снижение риска Избегание риска Передача риска
27
Приемлемый
уровень риска

28. Меры управления
А.5 Политика в области безопасности А.12 Менеджмент компьютеров и сетей
А.6 Организация системы безопасности А.13 Безопасность коммуникаций
А7 Безопасность и персонал А.14 Приобретение, разработка и
обслуживание информационных систем
А.8 Классификация активов и управление А.15 Взаимоотношения с поставщиками
А.9 Управление доступом к системе А.16 Менеджмент инцидентов
А.10 Криптография А.17 Обеспечение непрерывности
бизнеса
А.11 Физическая и внешняя безопасность А.18 Соответствие законодательству
Версия ISO 27001 Классов Мер управления Статус приложения
2005 11 133 обязательное
2013 14 113 нормативное
ISO 27001:2013. Приложение А

29. Примеры мер управления
A.6 Организация системы информационной безопасности
A.6.1 Внутренняя организация
Задача: создать управленческую инфраструктуру, которая бы инициировала
и управляла внедрением и функционированием системы информационной
безопасности в рамках организации
A.6.1.1 Роли и
ответственность в
системе
информационной
безопасности
Должна быть определена и назначена вся
необходимая для системы
информационной безопасности
ответственность.
Не по теме, но заставляет задуматься:
У Вас определены права и ответственность системных администраторов в
части регистрации пользователей, установки ПО, обновлений, доступа к
сетевому оборудованию и т.д.?
29

30. Примеры мер управления
A.8 Управление активами
A.8.1 Управление активами
Задача: идентифицировать активы организации и определить
соответствующую ответственность, связанную с их защитой.
A.8.1.4 Возврат актива Все сотрудники и сторонние пользователи
должны вернуть все активы организации в
ее распоряжение по окончании действия
трудовых соглашений
У Вас ведётся учет ноутбуков, передаваемых сотрудникам?
У Вас ведётся учет USB-flash накопителей, передаваемых сотрудникам?
Существует процедура выдачи и возврата («движение материальных
активов»)?
30

31. Примеры мер управления
A.8 Управление активами
A.8.2 Классификация информации
Задача: гарантировать, что информация имеет уровень защиты,
соответствующий ее значимости для организации.
A.8.2.3 Управление активами Должны быть разработаны и внедрены
процедуры для управления активами в
соответствии с принятой в организации
классификацией информации.
Обработка конфиденциальной информации на компьютерах (например,
разработка конфиденциальных документов) соответствует требованиям?
31

32. Примеры мер управления
A.8 Управление активами
A.8.3 Управление носителями информации
Задача: предотвратить несанкционированное раскрытие, изменение,
удаление или порчу информации, хранящейся на определенном носителе.
A.8.3.1 Управление съемными
носителями
Должны быть внедрены процедуры
управления сменными носителями в
соответствии с принятой в организации
классификацией информации.
Вы знаете кто и какую информацию переписывает на сменные носители?
Вы знаете какие сменные носители подключаются к компьютерам?
32

33. Примеры мер управления
A.9 Управление доступом
A.9.2 Управление доступом пользователей
Задача: гарантировать доступ только авторизованных пользователей и
предотвратить несанкционированный доступ к системам и услугам.
A.9.2.1 Регистрация
пользователей и
отмена регистрации
Должен быть внедрен надлежащим
образом оформленный процесс
регистрации и отмены регистрации
пользователей, обеспечивающий
возможность назначения прав доступа.
Как Вы регистрируете права доступа? По телефонному звонку? По
электронному письму в «свободной форме»?
33

34. Примеры мер управления
A.9 Управление доступом
A.9.2 Управление доступом пользователей
Задача: гарантировать доступ только авторизованных пользователей и
предотвратить несанкционированный доступ к системам и услугам.
A.9.2.3 Управление
привилегированными
правами
Назначение и использование
привилегированных прав доступа должно
быть ограниченным и управляемым.
Ваши системные администраторы имеют доступ ко всем информационным
системам по учетной записи AD?
Ваши системные администраторы исполняют работу не связанную с
необходимостью привилегированного доступа (пишут служебную записку в
Word, читают «свежую прессу» в интернете) под учетной записью
«Администратор»?
34

35. Примеры мер управления
A.9 Управление доступом
A.9.2 Управление доступом пользователей
Задача: гарантировать доступ только авторизованных пользователей и
предотвратить несанкционированный доступ к системам и услугам.
A.9.2.6 Удаление или
изменение прав
пользователя
Права доступа всех сотрудников и
сторонних исполнителей к информации и
устройствам обработки информации
должны удаляться по окончании действия
Как Вы удаляете уволившегося пользователя? Откуда Вы берете информацию
об увольнениях?
Как Вы изменяете права доступа сотрудников при переходе из одного
подразделение в другое?
35

36. Примеры мер управления
A.9 Управление доступом
A.9.3 Обязанности пользователя
Задача: сделать пользователей ответственными за сохранение их
информации для аутентификации.
A.9.3.1 Использование
секретной
информации для
аутентификации
Пользователям должно быть установлено
требование следовать правилам
организации в использовании секретной
информации для аутентификации
Ваши пользователи хранят пароли на клейких листочках на мониторе?
У Вас настроены групповые политики, устанавливающие сложность и длину
паролей?
У Вас запрещено передавать свой пароль другим пользователям и
администраторам?
36

37. Примеры мер управления
A.9 Управление доступом
A.9.4 Управление доступом к системе и приложениям
Задача: предотвратить несанкционированный доступ к системам и
приложениям.
A.9.4.2 Безопасные
процедуры входа в
систему
Там, где это требуется политикой
управления доступом, доступ к системам и
приложениям должен осуществляться в
соответствии с безопасной процедурой
входа в систему.
Все ли информационные системы требуют идентификации и аутентификации?
Не используются ли «общие» учетные записи для входа в систему?
37

38. Примеры мер управления
A.11 Физическая безопасность и защита от природных угроз
A.11.1 Охраняемая территория
Задача: предотвратить несанкционированный физический доступ,
повреждение и воздействие на информацию и средства для обработки
информации организации.
A.11.1.1 Физический периметр
безопасности
Периметры безопасности должны быть
определены и использоваться для защиты
мест нахождения ценной или особо важной
информации и средств для обработки
информации.
Ограничен ли доступ в серверную?
Ограничен ли доступ в бухгалтерию?
Ограничен ли доступ в ОК (часть ОК, где обрабатывается ПДн)?
38

39. Примеры мер управления
A.11 Физическая безопасность и защита от природных угроз
A.11.2 Оборудование
Задача: предотвратить потерю, повреждение, кражу или компрометацию
активов и нарушение деятельности организации.
A.11.2.5 Вынос активов Оборудование, информация или
программное обеспечение не должны быть
выноситься за пределы территории без
предварительного разрешения.
Установлены правила выноса ноутбуков? Кто и как проверяет на «выходе»?
Установлены ли правила хранения дисков с ПО?
39

40. Примеры мер управления
A.11 Физическая безопасность и защита от природных угроз
A.11.2 Оборудование
Задача: предотвратить потерю, повреждение, кражу или компрометацию
активов и нарушение деятельности организации.
A.11.2.6 Безопасность
оборудования и
активов вне
территории
Меры обеспечения безопасности должны
применяться к активам вне территории,
принимая во внимание различные риски
работы вне помещения организации.
Выдавая пользователю ноутбук для деловой поездки, ему объясняют правила
обращения с ним?
По исследованиям InfoWatch на первых местах среди «ошибок сотрудников ведущих к
потерям информации»:
1. Потеря съемных носителей;
2. Потеря мобильных устройств (в т.ч. в результате кражи).
40

41. Примеры мер управления
A.11 Физическая безопасность и защита от природных угроз
A.11.2 Оборудование
Задача: предотвратить потерю, повреждение, кражу или компрометацию
активов и нарушение деятельности организации.
A.11.2.7 Безопасное
списание или
повторное
использование
оборудования
Все единицы оборудования, содержащие
носители данных, должны быть проверены,
чтобы гарантировать, что любые ценные
данные и имеющее лицензию программное
обеспечение удалены или надлежащим
образом переписаны до списания или
повторного использования.
На сданном после поездки ноутбуке стираются данные?
При передаче компьютера новому сотруднику (в т.ч. при использование HDD в
виде запчастей) стираются ли данные предыдущего сотрудника? Степень
надежности? Кто определяет какой компьютер может пойти какому
пользователю («старый» компьютер директора -> ведущему специалисту)?
41

42. Примеры мер управления
A.11 Физическая безопасность и защита от природных угроз
A.11.2 Оборудование
Задача: предотвратить потерю, повреждение, кражу или компрометацию
активов и нарушение деятельности организации.
A.11.2.8 Оставленное без
присмотра
пользовательское
оборудование
Пользователи должны гарантировать, что
у оставленного без присмотра
оборудования имеется соответствующая
защита.
Установлено ли групповыми политиками включение заставки при отсутствии
активности? Выход из режима заставки требует ввода пароля?
42

43. Примеры мер управления
A.12 Безопасный ввод в эксплуатацию
A.12.1 Эксплуатационные процедуры и обязанности
Задача: гарантировать надлежащую и безопасную эксплуатацию средств
обработки информации
A.12.1.2 Управление
изменениями
Изменения в организации, бизнес-
процессах, средствах для обработки
информации и системах, которые влияют
на информационную безопасность,
должны быть управляемыми.
Участвует ли сотрудник, отвечающий за безопасность в согласовании закупки
и внедрения нового сервера, ПО и т.д.? У него есть соответствующие навыки и
квалификация или он подписывает «по формальному признаку»?
43

44. Примеры мер управления
A.12 Безопасный ввод в эксплуатацию
A.12.4 Регистрация и мониторинг
Задача: фиксировать события, чтобы обеспечивать доказательства
A.12.4.3 Регистрация действий
администраторов и
операторов
Должны быть зарегистрированы действия
системных администраторов и операторов,
логи должны быть защищены и регулярно
просматриваться.
Ведётся ли регистрация действий администраторов?
Администраторы имеют доступ к журналам?
Установлены права и ответственность на доступ к журналам?
44

45. Примеры мер управления
A.13 Сетевая безопасность
A.13.2 Передача информации
Задача: обеспечить безопасность информации, передаваемой внутри
организации и за ее пределы
A.13.2.3 Передача
электронных
сообщений
Информация, передаваемая электронными
сообщениями, должна быть
соответственным образом защищена.
Информация о бенефициарах в головную компанию передается в защищенном
виде? (например, зашифрована с помощью средств криптографии)
45

46. Примеры мер управления
A.14 Приобретение, разработка и обслуживание систем
A.14.1 Требования по безопасности информационных систем
Задача: гарантировать, что информационная безопасность является
неотъемлемой частью информационных систем в течение всего их
жизненного цикла. Это также относится и к требованиям для
информационных систем, которые предоставляют сервисы в общедоступных
сетях.
A.14.1.1 Анализ и
спецификация
требований по
информационной
безопасности
Требования, связанные с информационной
безопасностью должны быть включены в
требования для новых информационных
систем или расширения к существующим
информационным системам
Включаются? Кто их разрабатывает? Имеет ли сотрудник соответствующие
навыки и опыт? Установлены ли требованиям к навыкам и опыту в его ДИ?
46

47. Примеры мер управления
A.15 Отношения с поставщиками
A.15.1 Информационная безопасность в отношениях с поставщиками
Задача: гарантировать защиту активов организации, которые доступны
поставщикам
A.15.1.1 Политика
информационной
безопасности в
отношениях с
поставщиками
Требования по информационной
безопасности для снижения рисков,
связанных с доступом поставщиков к
активам организации, должны быть
согласованы с поставщиками и
документированы
Установлены требования по ИБ для обслуживания сторонними поставщиками
информационных систем предприятия (например, 1С:Бухгалтерия)? Эти
требования согласованы с поставщиками, доведены до них?
47

48. Примеры мер управления
A.16 Управление инцидентами в сфере информационной безопасности
A.16.1 Управление инцидентами информационной безопасности и улучшения
Задача: избегать нарушений законодательных, нормативных и иных
обязательных требований или договорных обязательств, имеющих
отношение к информационной безопасности, а также любых требований по
безопасности
A.16.1.7 Сбор
свидетельств
Организация должна определить и применять
процедуры для идентификации, сбора,
получения и сохранения информации, которая
может служить в качестве свидетельств
Собирается ли информация о событиях ИБ? Установлены процедуры сбора,
хранения и т.д.?
48

49. Примеры мер управления
A.18 Соответствие
A.18.1 Соответствие законодательным и договорными требованиям
Задача: гарантировать последовательный и результативный подход к
управлению инцидентами информационной безопасности, включая
информирование о событиях, связанных с безопасностью, и уязвимостях
A.18.1.2 Права интеллекту-
альной собственности
Соответствующие процедуры должны
быть внедрены, чтобы гарантировать
соответствие законодательным,
нормативным и договорным требованиям,
связанным с правами на
интеллектуальную собственность и
использованием программных продуктов,
являющихся чей-то собственностью
Кто исследует реальные потребности пользователей в части ПО?
49

50. Примеры мер управления
A.18 Соответствие
A.18.2 Анализ информационной безопасности
Задача: гарантировать последовательный и результативный подход к
управлению инцидентами информационной безопасности, включая
информирование о событиях, связанных с безопасностью, и уязвимостях
A.18.1.2 Независимый
анализ
информационной
безопасности
Подход организации к управлению
информационной безопасностью и его
реализация (т. е. целевые задачи, средства
управления, политики, процессы и процедуры
по информационной безопасности) должны
анализироваться независимым образом в
запланированные интервалы времени или в
тех случаях, когда происходят существенные
изменения.
Кто проводит проверку результативности внедренных мер безопасности?
50

51. СПАСИБО ЗА ВНИМАНИЕ!
Чучаев Сергей Викторович
ChuchaevSV@gmai.com
51