8. 8
Модель PDCA для управления ИБ
Создание
(PLAN)
Мониторинг
и анализ
(CHECK)
Обеспечение
и улучшение
(ACT)
Внедрение и
управление
(DO)
Заинтере-
сованные
стороны
Требования к
СМИБ
Заинтере-
сованные
стороны
Управляемая
СМИБ
Постоянное улучшение СМИБ
10. ISO 27001:2013
Системный
подход
10
PLAN
4 Контекст организации
• Понятие контекста.
• Ожидания заинтересованных сторон.
• Область распространения СМИБ.
5 Лидерство
• Приверженность руководства.
• Политика ИБ.
• Роли, ответственность и полномочия.
6 Планирование
• Оценка риска и возможностей.
• Цели ИБ.
7 Поддержка
• Ресурсы.
• Компетенция.
• Осведомленность.
• Коммуникации.
• Документируемая информация.
DO
8 Операционная деятельность
• Планирование и контроль операций.
• Оценка рисков.
• Обработка рисков.
CHECK
9 Производительность и оценка
•Мониторинг, измерение, анализ и
оценка.
•Внутренний аудит.
•Анализ со стороны руководства.
ACT
10 Улучшения
•Несоответствия и корректирующие
действия.
•Постоянное улучшение.
11. Система документации СМИБ
11
Политика ИБ
Детальные
политики ИБ
Положения об
отделах
Процедуры
ИБ
Внутренние
стандарты
ИБ
Свод правил
для
сотрудников
Должностные
инструкции
для всех сотрудников для конкретных специалистов
12. Кратко
12
Политика определяет куда движемся
Процедура определяет действия
Стандарт фиксирует целевое состояние
Свод правил определяет требования к
сотрудникам
13. Как проверять ИБ?
13
Процессы
(как работает СМИБ?)
Технологии
(хорошо защищены?)
1. Тестирование на проникновение
2. Анализ уязвимостей
3. Анализ конфигурации
1. Наблюдение
2. Интервью
3. Проход по процессу
4. Выборочное тестирование контролей
5. Полное тестирование контролей