Оптимизация инвестиций в решения информационной безопасности

Скачать презентацию "Оптимизация инвестиций в решения информационной безопасности".

 

 

Информация хранящаяся в базах данных - это важная часть бизнеса. Защищая информацию Вы защищаете свой бизнес.

Что прежде всего интересует руководителя организации в сфере информационной безопасности (ИБ):

Какие финансовые средства (и другие ресурсы) расходуются на ИБ ?

Оптимальны ли затраты на ИБ?

Какие выбрать направления развития корпоративной системы защиты информации?

Как эффективно управлять инвестированием в защиту информации?

Как оценить эффективность нового проекта в области защиты информации?

Концепции современной Информационной Безопасности (ИБ)

Цели информационной безопасности

Защита в глубину (Defence in the Depht)

• Взлом на одном уровне, не компрометирует всей системы защиты
• На каждом уровне используются разные методы технологии защиты

Защита изнутри

Нормативные требования

Банковский сектор

• Принятые НБУ Стандарты управления информационной безопасностью - 65.1 СУІБ 1.0:2010, СУІБ 2.0:2010 на базе международных стандартов ISO/IEC 27001, ISO/IEC 27005
• Payment Card Industry Data Security Standard (PCI DSS) - стандарт защиты информации в индустрии платёжных карт, разработанный международными платёжными системами Visa и MasterCard.

Персональные данные

• С 1 января 2011 г. вступил в действие закон Украины № 2297-VI "О защите персональных данных"

Рекомендации по управлению ИБ

• CobiT (Control Objectives for Information and related Technology) – это набор стандартов и рекомендаций, разработанный ISACA (Information Systems Audit and Control Association) и ITGI (IT Governance Institute), определяющий цели контроля ИТ, которые следует использовать для управления ИБ.
• NIST Special Publication 800-39 - Managing Information Security Risk (March 2011)

Управление рисками ИБ

CISA Review Manual 2006 дает следующее определение управления рисками: "Управление рисками это процесс выявления уязвимостей и угроз информационным ресурсам, используемых организацией для достижения бизнес-целей, и принятия решений, какие контрмеры, если таковые имеются, необходимо принять для снижении риска до приемлемого уровня, в зависимости от ценности информационного ресурса в организации."

Оптимизация затрат на защиту данных

Что прежде всего интересует руководителя организации в сфере информационной безопасности (ИБ):

Какие финансовые средства (и другие ресурсы) расходуются на ИБ ?

Оптимальны ли затраты на ИБ?

Какие выбрать направления развития корпоративной системы защиты информации?

Как эффективно управлять инвестированием в защиту информации?

Как оценить эффективность нового проекта в области защиты информации?

Худшая практика

Универсальных рецептов оптимальной защиты данных не существует. Почему?

• Одной и той же бизнес цели можно достичь различным способом. Достичь приемлемого уровня защиты бизнес данных можно при помощи разных средств и методов.
• То решение которое будет оптимальным для одной организации может совершенно не подойти для другой.
• Одни и те же нормативные требования (например требования PCI DSS) можно удовлетворить различными способами.
• Существуют различные методы и технологии управления рисками ИБ. Для каждого бизнеса подходящими могут оказаться не все рекомендуемые технологии.

Худшая практика №1

Высшее руководство не интересуется защитой данных - информационная безопасность не в его сфере ответственности и на основной бизнес она не влияет. Подразделение ИБ - это вспомогательная служба.

Худшая практика №2

Руководители бизнес подразделений уверены в том, что информационная безопасность - это сфера ответственности подразделений ИБ или ИТ а данные вообще не являются ценным бизнес активом.

Худшая практика №3

Вся деятельность касающаяся защиты данных, осуществляется только департаментом (или отделом) информационной безопасности.
Их главная задача не мешать остальным (бизнес) подразделениям.

Худшая практика №4

Пользователи сосредоточены исключительно на своих задачах - защита данных их не касается. Они считают, что все эти пароли и ограничения прав доступа только мешают им выполнять свою работу.

Худшая практика №5

Бизнес процессы не документируются, и анализ возможных рисков, которые могут негативно повлиять на бизнес не делается - так или иначе все предусмотреть невозможно.

Худшая практика №6

Нет смысла разрабатывать собственную корпоративную политику ИБ и контролировать ее выполнение, - все равно никто не будет ею руководствоваться.
Для отчета перед руководством можно взять типовой образец.

Худшая практика №7

Средства защиты данных и различные услуги по обеспечению ИБ приобретаются и внедряются без каких-либо исследований, без подготовки показателей эффективности, позволяющих определить отдачу от инвестиций. Все равно все покупается в рамках бюджета.

Для защиты от одинаковых угроз можно использовать разные методы

Для выбора оптимального метода защиты данных (на определенном уровне) нужны знания и опыт как в области информационной безопасности, так и в предметной области, к примеру в СУБД Oracle.

Наши предложения по ИБ

• Обследование текущего состояния безопасности информационных систем, в том числе серверов баз данных, серверов приложений и других компонентов ИС;
• Предоставление рекомендаций по улучшению текущего состояния безопасности;
• Группы рекомендаций:
  1. Выполнить срочно, требуются минимальные ресурсы, без дополнительных финансовых затрат;
  2. Выполнить побыстрее, требуются определенные ресурсы, но без финансовых затрат;
  3. Желательно выполнить, требуются ресурсы, финансовые затраты - отдельные проекты.

Наша специализация

• Разработка и согласование планов проектов по совершенствованию состояния безопасности;
• Разработка архитектуры решений согласно рекомендациям корпорации Oracle, используя лучшие мировые практики и наш собственный опыт;
• Рекомендации по выбору продуктов и технологий; Оценка стоимости;
• Выполнение всех необходимых работ по установке и конфигурации продуктов Oracle;
• Обучение пользователей; Документирование; Техническая поддержка систем.