Міжнародні стандарти інформаційної безпеки.

Конфіденційність (Confidentiality)

Доступність (Availability)

Автентифікація (Authentication)

Цілісність (Integrity)

Ризик = Ймовірність події х Наслідки

Ризик = Вразливість - Заходи захисту

Ризик = Кількість активів х Кількість загроз

Ризик = Час простою х Вартість відновлення

Стандарт встановлює вимоги до процесів і контролів, а не є продуктом

Стандарт - це конкретна програма або антивірус, який треба встановити

Стандарти потрібні лише для того, щоб обрати найкраще обладнання

Купівля сертифікованого продукту автоматично робить компанію відповідною стандарту

Виключно для аудиту банківських транзакцій

Для створення та управління Системою менеджменту інформаційної безпеки (ISMS)

Для технічного налаштування фаєрволів

Як посібник з написання коду для розробників ПЗ

Впровадження нових парольних політик

Моніторинг, внутрішні аудити та аналіз ефективності заходів

Оновлення політик після виявлення недоліків

Визначення контексту організації та цілей безпеки

ISO 27002 використовується тільки в медицині

ISO 27002 замінює ISO 27001 у малих компаніях

ISO 27001 містить вимоги до системи, а ISO 27002 - це детальний каталог заходів (контролів)

ISO 27001 є необов'язковим, а ISO 27002 - законом

Використання страхування або аутсорсингу послуг

Встановлення додаткових паролів на сервери

Видалення цінного активу, щоб загроза зникла

Ігнорування ризику через його низьку ймовірність

Recover (Відновлення)

Protect (Захист)

Detect (Виявлення)

Identify (Індентифікація)

Будь-яка організація, де є більше 100 комп'ютерів

Компанія, що обробляє дані платіжних карток

Тільки розробники мобільних ігор

Будь-яка державна установа

Рекламні брошури про безпеку компанії

Лише усне запевнення директора компанії

Кількість встановлених антивірусів

Політики, журнали доступу, реєстри ризиків та звіти про інциденти

Вчителі та учні отримують лише ті права доступу, що необхідні для їхньої роботи/навчання

Кожен учень має права адміністратора на всіх шкільних комп'ютерах

Паролі до всіх систем мають бути однаковими для зручності

Ніхто не має доступу до електронних журналів

Identify (Ідентифікація)

Protect (Захист)

Respind (Реагування)

Recover (Відновлення)

Визначені пріоритети та план робіт із захисту

Лише список вразливостей програмного забезпечення

Список купленого обладнання

Сертифікат відповідності ISO 27001

Для легшого проведення аудитів, укладання контрактів та довіри між партнерами

Щоб програмісти могли писати код однією мовою програмування

Щоб перекладати терміни безпеки на іноземні мови

Щоб заборонити використанння нестандартних паролів

Інвентаризація активів

Стримування, усунення та відновлення

Підготовка

Засвоєння уроків

Шифрування жорстких дисків ноутбуків

Навчання співробіників розпізнаванню фішингових листів

Встановлення камер відеоспостереження в серверній

Налаштування автоматичного створення резервних копій

Системи безпеки завжди працює без жодних збоїв

Витрати на ІТ-відділ щомісяця залишаються однаковими

Компанія знає, як діяти в різних ситуаціях, і результати заходів є очікуваними

Програми безпеки самі передбачають майбутні атаки

Глобально визнаний фреймворк для побудови програми кібербезпеки

Обов'язковий державний стандарт України

Стандарт виключно для фізичної охорони будівель

Інструкція з ремонту комп'ютерного обладнання

Звільнення всіх адміністарторів мережі

Інвентаризація: які є пристрої, акаунти, сервіси та дані

Відлючення інтернету в усьому закладі

Купівля найдорожчого антивірусу

Тому що загрози постійно змінюються і вимагають регулярного перегляду захисту

Тому що ліцензії на програмне забезпечення треба поновлювати щороку

Тому що це дозволяє ІТ-фахівцям завжди мати роботу

Стандарти забороняють завершувати налаштування систем

NIST SP 800-61

CIS Controls

PCI DSS

ISO/IEC 27001

Слабке місце в системі (наприклад, слабкий пароль або відсутність оновлень)

Ймовірність того, що хакер атакує сайт

Людина або програма, яка хоче завдати шкоди

Розмір штрафу за витік персональних даних

Використання лише операційної системи Windows

Заборона на використання будь-яких хмарних сервісів

Обов'язкова наявність паперових архівів для всіх транзакцій

Захист даних власників карток шляхом шифрування

Просто фіксація інциденту в журналі

Впровадження коригувальних дій та вдосконалення політик на основі аналізу

Початок реальної атаки на систему

Вимкнення всіх систем контролю для перевірки їхньої надійності

Для сертифікації фізичних замків на дверях

Для детальної інструкції з налаштування роутерів Cisco

Для розрахунку зарплат фахівців з кібербезпеки

Як методологія для побудови процесу управління ризиками

Protect (Захист)

Detect (Виявлення)

Recover (Відновлення)

Identify (Ідентифікація)

Примусове безкоштовне навчання персоналу державними органами

Автоматичне блокування всіх комп'ютерів у компанії

Тільки усне попередження від банку

Штрафи, втрата контрактів та підвищені комісії за транзакції

Заборона використання будь-яких кольорів у презентаціях

Встановлення потужнішого блоку живлення на сервери

Заміна всіх дротових клавіатур на бездротові

Регулярне навчання персоналу та учнів правилам роботи з поштою