ISMS audit and implementation
- 1. ISO/IEC 27001:2013. ОСОБЕННОСТИ АУДИТА И РЕАЛИЗАЦИИ ТРЕБОВАНИЙ СТАНДАРТА В РЕСПУБЛИКЕ БЕЛАРУСЬ: памятка для Compliance менеджера Вячеслав Аксёнов Enterprise Security Architect
- 2. 2/91 4. Контекст организации 5. Лидерство 6. Планирование 7. Поддержка 8. Операционная деятельность 9. Оценивание пригодности 10. Улучшение Приложение А – Перечень целей управления и средств управления (меры ЗИ) PLAN DO CHECK ACT Система менеджмента ИБ
- 3. 3/91 А.5 Политики информационной безопасности А.6 Организация информационной безопасности А.7 Безопасность, связанная с персоналом А.8 Управление активами А.9 Управление доступом А.10 Криптография А.11 Физическая безопасность и защита от окружающей среды А.12 Операционная деятельность по обеспечению безопасности А.13 Безопасность сети А.14 Приобретение, разработка и сопровождение систем А.15 Взаимоотношения с поставщиками А.16 Управление инцидентами в области информационной безопасности А.17 Аспекты информационной безопасности при управлении непрерывностью бизнеса А.18 Соответствие Приложение А
- 4. Контекст организации 4.3 Определение области применения СМИБ Организация должна определить границы и применимость СМИБ, чтобы установить область ее применения. При определении области применения, организация должна рассматривать: a) внешние и внутренние факторы, указанные в 4.1; b) требования, указанные в 4.2; c) взаимосвязи и зависимости между деятельностью, выполняемой организацией, и деятельностью других организаций. Область применения должна быть доступна и поддерживаться в виде документированной информации. Документированная информация (documented information) - информация, для которой требуется, чтобы она управлялась и поддерживалась в рабочем состоянии организацией, и носитель, на котором она содержится Ссылка для скачивания
- 5. Политика 5.2 Политика Высшее руководство должно установить политику ИБ, которая: a) соответствует назначению организации; b) включает цели ИБ, (см. 6.2) или служит основой для установления целей ИБ; c) включает обязательства соответствовать применимым требованиям, относящимся к ИБ; и d) включает обязательство постоянно улучшать СМИБ.
- 6. Положение о применимости 6.1.3 Обработка рисков ИБ Организация должна определить и применять процесс обработки риска ИБ для: ...... d) разработки положения о применимости (SoA), которое содержит необходимые средства управления (см. 6.1.3, перечисления b) c)) и обоснования их включения (независимо от того, внедрены они или нет), а также обоснования исключений средств управления из приложения А; ЗТ – законодательные требования; ДО – договорные обязательства; ТС – требования заинтересованных сторон; ЛП - лучшие практики в области ИБ; ОР – результаты оценки рисков Ссылка для скачивания
- 7. Документированная информация 7.5.3 Управление документированной информацией Документированная информация, требуемая СМИБ и настоящим стандартом, должна находиться под управлением для обеспечения того, что она: a) доступна и приемлема для использования, где и когда это необходимо; b) адекватно защищена (например, от нарушения конфиденциальности, ненадлежащего использования или нарушения целостности). СМИБ СИБ КВОИ СЗИ ИС СОИБ
- 8. Анализ со стороны руководства 9.3 Анализ со стороны руководства Высшее руководство должно анализировать СМИБ организации через запланированные интервалы времени для обеспечения ее постоянной приемлемости, адекватности и результативности. Анализ со стороны руководства должен включать следующее: a) статус статус дейтсвий, проводимых по результатам предыдущих анализов со стороны руководства; b) изменения в соответствующих внешних и внутренних факторах, касающихся СМИБ; c) обратную связь о текущем состоянии ИБ, включая тенденции в: 1) несоответствиях и корректирующих действиях; 2) результатах мониторинга и измерений; 3) результатах аудитов; 4) результатах достижения целей ИБ; d) обратную связь от заинтересованных сторон; e) результаты оценки рисков и статус выполнения плана обработки рисков; и f) возможности для постоянного улучшения. Выходы анализа со стороны руководства должны включать решения и действия, связанные с реализацией возможностей для постоянного улучшения и любыми потребностями в изменениях СМИБ. Организация должна сохранять результаты анализа со стороны руководства как документированную информацию. Ссылка для скачивания
- 9. А.18.1 Соответствие законодательным и договорным требованиям Защита коммерческой тайны Техническая и криптографическая защита ИС (СЗИ ИС, средства защиты) Техническая и криптографическая защита КВОИ Защита персональных данных
- 10. Положение о защите коммерческой тайны (ответственный, меры + перечень сведений) Обязанность по соблюдению режима в трудовом договоре Обязательство о неразглашении (с работниками) Соглашение о конфиденциальности (с контрагентами) Закон РБ от 05.01.2013 г. № 16-З «О коммерческой тайне» Защита коммерческой тайны
- 11. Положение о технической и криптографической защите информации Указ Президента РБ от 16.04.2013 № 196 (в редакции Указа Президента РБ от 09.12.2019 № 449) Положение о порядке технической и криптографической защиты информации в информационных системах, предназначенных для обработки информации, распространение и (или) предоставление которой ограничено Приказ ОАЦ от 20.02.2020 № 66 (в редакции приказа от 12.11.2021 № 195) Положение о порядке аттестации систем защиты информации информационных систем, предназначенных для обработки информации, распространение и (или) предоставление которой ограничено Приказ ОАЦ от 20.02.2020 № 66 Технический регламент Республики Беларусь «Информационные технологии. Средства защиты информации. Информационная безопасность» (ТР 2013/027/BY) Постановление Совета Министров РБ 15.05.2013 № 375 (в редакции постановления Совета Министров РБ 12.03.2020 № 145) Перечень государственных стандартов, взаимосвязанных с техническим регламентом Республики Беларусь «Информационные технологии. Средства защиты информации. Информационная безопасность» (TP 2013/027/BY) Приказ ОАЦ от 12.03.2020 № 77 ТЗИ и КЗИ Детальная информация была в презентации Владимира Анищенко «Технические меры по защите персональных данных в ИС»
- 12. Положение о технической и криптографической защите информации Указ Президента Республики Беларусь 16.04.2013 № 196 (в редакции Указа Президента Республики Беларусь 09.12.2019 № 449) Положение о порядке отнесения объектов информатизации к критически важным объектам информатизации Указ Президента Республики Беларусь 16.04.2013 № 196 (в редакции Указа Президента Республики Беларусь 09.12.2019 № 449) Показатели уровня вероятного ущерба национальным интересам Республики Беларусь в политической, экономической, социальной, информационной, экологической и иных сферах в случае создания угроз информационной безопасности либо в результате возникновения рисков информационной безопасности в отношении объекта информатизации, не предназначенного для проведения работ с использованием государственных секретов (его составляющих элементов) Приказ Оперативно-аналитического центра при Президенте Республики Беларусь 20.02.2020 № 65 Форма заключения о соответствии объекта информатизации критериям отнесения объектов информатизации к критически важным и показателям уровня вероятного ущерба национальным интересам Республики Беларусь Приложение 1 к приказу Оперативно- аналитического центра при Президенте Республики Беларусь 20.02.2020 № 66 Положение о порядке технической и криптографической защиты информации, обрабатываемой на критически важных объектах информатизации Приказ Оперативно-аналитического центра при Президенте Республики Беларусь 20.02.2020 № 66 Форма заключения об объединении критически важных объектов информатизации Приложение 2 к приказу Оперативно- аналитического центра при Президенте Республики Беларусь 20.02.2020 № 66 • Положение о порядке технической и криптографической защиты информации в информационных системах, предназначенных для обработки информации, распространение и (или) предоставление которой ограничено; • Положение о порядке аттестации систем защиты информации информационных систем, предназначенных для обработки информации, распространение и (или) предоставление которой ограничено Обеспечение безопасности КВОИ Детальная информация была в презентации Владимира Анищенко «Технические меры по защите персональных данных в ИС»
- 13. Закон РБ от 07.05.2021 г. № 99-З «О защите персональных данных» Ответственный за осуществление внутреннего контроля за обработкой ПДн Политика в отношении обработки ПДн + ознакомление с ней работников Порядок доступа к ПДн Техническая и криптографическая защита ПДн в порядке, установленном ОАЦ Согласие субъекта ПДн + исключения Право на отзыв согласия Право на получение информации, касающейся обработки ПДн, и изменение ПДн Право на получение информации о предоставлении ПДн третьим лицам Право требовать прекращения обработки ПДн и (или) их удаления Право на обжалование действий (бездействия) и решений оператора, связанных с обработкой ПДн Положение о порядке ТЗИ и КЗИ… Приказ ОАЦ от 20.02.2020 № 66 (в редакции приказа №195) Положение о порядке ТЗИ и КЗИ КВОИ. Приказ ОАЦ от 20.02.2020 № 66 Если субъектов ПДн >500 тыс https://etalonline.by/document/?regnum=u02103200&q_id=4273220 Защита персональных данных Детальная информация была в презентации Владимира Анищенко «Технические меры по защите персональных данных в ИС»
- 15. СПАСИБО ЗА ВНИМАНИЕ! Вячеслав Аксёнов Enterprise Security Architect