ინფორმაციული უსაფრთხოება მიზნები, დაგეგმვა, დანერგვა

Slides:

Advertisements

Similar presentations

Information Technology Management (ITM101) Week 01: Introduction Matthew W. Stephan: CISM, CISSP, CGEIT, CRISC, PMP.

Advertisements

DoD Information Assurance Certification

North American Leadership Conference Dallas, Texas USA April 13-14, 2013 Hyatt Regency.

Security and Personnel

APAC Defense Forum Learning and IT Capacity Building for Defense Sector.

1 Information Security Management Working in Iraq Bill Casti, CQA, SSCP, CISM, CISA, CITP, ITIL Foundations ASQ Section 0511 Northern Virginia 20 June.

Insider Threats Stephen Helms Jen Hugg Matt McNealy.

Security Organization

Security Certification

Third Annual Shopping on the Job: ISACA’s Online Holiday Shopping and Workplace Internet Safety Survey Commissioned by ISACA ( November 2010.

Security Certifications

ISACA Wellington: 2014 Strategy. Background ISACA’s vision: Trust in, and value from, information and information systems ISACA’s mission: For professionals.

The Top Ten of Security. Ten best practices for securing your network. Ten best security web sites. Eight certifications.

Certification and Training Presented by Sam Jeyandran.

Why Information Governance….instead of Records & Information Management? Angela Fares, RHIA, CRM, CISA, CGEIT, CRISC, CISM or

© 2007 ISACA ® All Rights Reserved DAMA-NCR Chapter Meeting March 11, 2008.

1 Homologues Group Meeting Slovenia, October 2009 Republika SlovenijaEuropean Union Ljubljana, October 2009 Introduction to IT audits PART II IT.

Cybersecurity nexus (CSX)

Natick Public Schools Technology Presentation February 6, 2006 Dennis Roche, CISA Director of Technology.

Corporate Presentation Protecting the ABCs of your business. TM TECHNOLOGICS & CONTROLS 11.

Slide Heading Enhanced Professional Development Skills Norm Kelson, CPA, CISA, CGEIT The Kelson Group November 18, 2009 © The Kelson Group, 2009.

OVERVIEW OF INFORMATION SYSTEM (IS) AUDITING NORHAFIZAH BINTI ABDUL MUDALIP YAP YONG TECK TAN YUAN JUE TAY QIU JIE GROUP MEMBER:

Cyber Security Actual needs & future trends Vlastimil Červený.

Mahesh S. Sonavane SunGard VP – Information Security & BCM

Hosted by Staffing Security Positions How To Choose The Right Personnel Jeffrey Posluns, CISA, CISSP, SSCP, CCNP, GSEC SecuritySage Inc.

Ali Pabrai, CISSP, CSCS ecfirst, chairman & ceo Preparing for a HIPAA Security Audit.

Training of Information Security for Common Users Dr. Francisco Eduardo Rivera FAA SALT Conference, February 18, 2004.

Audit Management. Resource allocation/prioritazion/planning/execution/ reassignments Evaluating audit quality/peer reviews Best practices identification.

Push Partner Program: Private Sector Helping the Public Sector Push Partner Program: Private Sector Helping the Public Sector August 2010 Robbie Roberts.

Information and Cyber Security

C.E.S.A.R YOUR business, OUR business C.E.S.A.R is a private institution that creates products, processes, services and innovative companies using Information.

BSI Management Systems CIS. November 2008 Maureen Sumner-Smith Regional Director CEMEA - Emerging Markets.

Role and Objectives of the Cybersecurity Bureau კიბერუსაფრთხოების ბიურო Cyber Security Bureau Speaker: Mari Malvenishvili GITI 2015.

Global Accountancy Education Benchmarking Development for SEEPAD WB REPARIS, Vienna March 14, 2006 Accountancy Education in the Region Presentation by.

MTRS3 Solutions and Services (SME, IL). MTRS in a nutshell  A security consulting company specialising in high risk environments (SME)  Main fields.

MANAGING RISK. IMPROVING PERFORMANCE. Prerequisites: Understanding of basic Internal Auditing methods and philosophies. Effective construction management.

Information Security and Technology Overview Presented By: Enterprise Risk Management (ERM) Division Jill Martucci, CISA, SSCP, Senior Allison Hall, Experienced.

Information Security Principles and Practices by Mark Merkow and Jim Breithaupt Chapter 3: Certification Programs and the Common Body of Knowledge.

Chapter 3 “A Case Study of Effectively Implemented Information Systems Security Policy[1]” John Doran, CST554, Spring 2008.

France Ireland Norway Sweden Finland Estonia Latvia Spain Portugal Belgium Netherlands Germany Switzerland Italy Czech Rep Slovakia Austria Poland Ukraine.

WELCOME TO. Emmanuel Ofori Boateng, cisa Cism, Cgeit, Deputy IT Head, Ecobank Ghana.

نبذة عن دورات الترقي الوظيفي

Why Choose Exera to Secure your Business?

Dr. Yeffry Handoko Putra, M.T

Cyber Security and Georgia. New Challenges

IS4680 Security Auditing for Compliance

Agenda 1 Nov :00 – 17:00 An introduction to Robotic Process Automation and its role in Service Delivery James Matcher 9 Nov 2016 Integrating Kepner-Tregoe.

DoD Information Assurance Certification

EDUCAUSE/Internet2 Computer & Network Security Task Force

WHAT IS BEHIND GEORGIA’S RAPID CYBERSECURITY DEVELOPMENT

The Internal Audit Role in assessing Cybersecurity

Information Systems Audit and Control Association

How to Successfully Leverage Professional Associations

Team 1: 32 responses Team 2: 55 responses Team 3: 29 responses

Web Application Development Company - Sara Analytics Pvt. Ltd.

Fire Extinguisher Sales & Service

Pass CISM Exam In First Attempt | Isaca CISM Real Exam Questions - Realexamdumps.com

Information governance and information security

سیستم مدیریت امنیت اطلاعات

Frameworks, Standards, Guidelines, and Best Practices

Privacy and EU GDPR Ayilur Ramnath

مبانی ممیزی فناوری اطلاعات

Secretary for Information Security

,. . ' ;; '.. I I tI I t : /..: /.. ' : ····t I 'h I.;.; '..'.. I ' :".:".

Security week 1 Introductions Class website Syllabus review

Calgary Outsourced Computer Support.

Calgary Outsourced Computer Support –

Calgary Outsourced Computer Support –

VOIP Calgary Services -

Presentation transcript:

ინფორმაციული უსაფრთხოება მიზნები, დაგეგმვა, დანერგვა საქართველო, თბილისი 2016 www.dea.gov.ge

რა არის ინფორმაცია? ინფორმაცია არის აქტივი, რომელსაც, სხვა აქტივების მსგავსად, გააჩნია კონკრეტული ფასეულობა და მოითხოვს შესაბამის დაცვას. ცოდნა ან მონაცემები, რომელიც კონკრეტულ ფასეულობას წარმოადგენს.

ინფორმაციის ტიპები ქაღალდზე ნაბეჭდი და ნაწერი; ელექტრონულად შენახული; ფოსტის ან ელექტრონული საშუალებებით გადაეცეს; ნაჩვენები იყოს ვიდეოში; ნაჩვენები / გამოქვეყნებული; ზეპირსიტყვიერი. რა სახითაც არ უნდა იყოს წარმოდგენილი და რა სახითაც არ უნდა ინახებოდეს ან ხდებოდეს მისი გაზიარება, ინფორმაცია ყოველთვის საჭიროებს სათანადო დაცვას.

ინფორმაციის მახასიათებლები ISO 27001 განსაზღვრავს ინფორმაციულ უსაფრთხოებას როგორც ინფორმაციის კონფიდენციალურობის, მთლიანობის და ხელმისაწვდომობის შენარჩუნება და დაცვა. კონფიდენციალურობა მახასიათებლები იმისა, რომ ინფორმაცია არ არის ხელმისაწვდომი არაავტორიზებული ინდივიდების, სუბიექტებისა ან პროცესებისათვის;

ინფორმაციის მახასიათებლები ISO 27001 განსაზღვრავს ინფორმაციულ უსაფრთხოებას როგორც ინფორმაციის კონფიდენციალურობის, მთლიანობის და ხელმისაწვდომობის შენარჩუნება და დაცვა. კონფიდენციალურობა მთლიანობა ხელმისაწვდომობა მახასიათებლები იმისა, რომ ინფორმაცია არ არის ხელმისაწვდომი არაავტორიზებული ინდივიდების, სუბიექტებისა ან პროცესებისათვის; აქტივის სიზუსტის და სრულყოფილების დაცვის მახასიათებელი თვისება; ავტორიზებული სუბიექტის მიერ მოთხოვნის შესაბამისად ხელმისაწვდომობისა და გამოყენებადობის მახასიათებლები;

უსაფრთხოების რისკები პროცესები არ აღწევენ თავიანთ მიზნებს; არასწორი ინფორმაციის საფუძველზე ოპერირება. საქმიანობის წყვეტა; ფინანსური ზარალი; დაინტერესებული მხარეების ნდობის დაკარგვა; ინტელექტუალური და მატერიალური საკუთრების დაკარგვა; რეპუტაცი ული რისკები; საკანონმდებლო შეუსაბამობა (პერსონალური მონაცემები, ინფორმაციული უსაფრთხოება); ...

საფრთხეები თანამშრომლები; გარე მხარეები; ტექნოლოგიური საფრთხეები უსაფრთხოების საკითხებში დაბალი ინფორმირებულობა; ბუნებრივი მოვლენები, მაგ. ხანძარი, წყალდიდობა, მიწისძვრა. ჰაკერების ხელსაწყოების და ვირუსების სირთულისა და ეფექტურობის ზრდა; ...

რა არის ინფორმაციული უსაფრთხოება? ინფორმაციის მახასიათებლების კონფიდენციალურობის, ხელმისაწვდომობის და მთლიანობის სათანადო დონეზე უზრუნველყოფა. უსაფრთხოება პროცესია და არა პროდუქტი.

რა არის ინფორმაციული უსაფრთხოების მართვის სისტემა? ინფორმაციის მახასიათებლების კონფიდენციალურობის, ხელმისაწვდომობის და მთლიანობის სათანადო დონეზე უზრუნველყოფა. ინფორმაციული უსაფრთხოება არის “ორგანიზაციული ამოცანა” და არა “IT პრობლემა”; უზრუნველყოფს ინფორმაციული რისკების მართვას; უზრუნველყოფს ბიზნეს-უწყვეტობას; ახდენს ფინანსური დანაკარგების მინიმიზაციას; უზრუნველყოფს ინვესტიციის/რესურსების ოპტიმიზაცია; ზრდის შესაძლებლობებს ....

როგორი ? რამდენად ძლიერი ? ინფორმაციული უსაფრთხოება გვჭირდება ? კითხვა როგორი ? რამდენად ძლიერი ? ინფორმაციული უსაფრთხოება გვჭირდება ?

კითხვა ვინ ? განსაზღვრავს რამდენად ძლიერი ინფორმაციული უსაფრთხოება გვჭირდება ?

მფლობელი (Owner) მოიცავს ყველა ტიპის ორგანიზაციას (მაგ. კომერციულ ორგანიზაციებს, სამთავრობო უწყებებს, არასამთავრობო ორგანიზაციებს). სტანდარტი განსაზღვრავს იუმს-ის ჩამოყალიბების, დანერგვის, ფუნქციონიონირების, მონიტორინგის, განხილვის, მხარდაჭერის და გაუმჯობესების დოკუმენტირებულ მოთხოვნებს ორგანიზაციაში არსებული ზოგადი ბიზნეს-რისკების გათვალისწინებით. იუმს-ის დანუშნულებაა ინფორმაციული აქტივების დამცავი, ადეკვატური და პროპორციული უსაფრთხოების კონტროლის მექანიზმების დანერგვა. რომლებიც განისაზღვრება შესაბამისი მფლობელების მიერ. პირი ან სტრუქტურული ერთეული, რომელსაც გააჩნია ინფორმაციის, პროცესის მართვის დადასტურებული უფლება.

არის ინსტრუმენტი და არა მიზანი ინფორმაციული უსაფრთხოების მართვის სისტემა ისევე როგორც სხვა მართვის სისტემები არის ინსტრუმენტი და არა მიზანი

მართვის სისტემები ISO 9001 ხარისის მართვის სისტემა;

ყველა მართვის სისტემა მათ შორის ISO 27001 მოიცავს ყველა ტიპის ორგანიზაციას (მაგ. კომერციულ ორგანიზაციებს, სამთავრობო უწყებებს, არასამთავრობო ორგანიზაციებს). სტანდარტი განსაზღვრავს იუმს-ის ჩამოყალიბების, დანერგვის, ფუნქციონიონირების, მონიტორინგის, განხილვის, მხარდაჭერის და გაუმჯობესების დოკუმენტირებულ მოთხოვნებს ორგანიზაციაში არსებული ზოგადი ბიზნეს-რისკების გათვალისწინებით.

ISO 27001 მოიცავს ყველა ტიპის ორგანიზაციას (მაგ. კომერციულ ორგანიზაციებს, სამთავრობო უწყებებს, არასამთავრობო ორგანიზაციებს). სტანდარტი განსაზღვრავს იუმს-ის ჩამოყალიბების, დანერგვის, ფუნქციონიონირების, მონიტორინგის, განხილვის, მხარდაჭერის და გაუმჯობესების დოკუმენტირებულ მოთხოვნებს ორგანიზაციაში არსებული ზოგადი ბიზნეს-რისკების გათვალისწინებით. იუმს-ის დანუშნულებაა ინფორმაციული აქტივების დამცავი, ადეკვატური და პროპორციული უსაფრთხოების კონტროლის მექანიზმების დანერგვა. რომლებიც განისაზღვრება შესაბამისი მფლობელების მიერ. პირი ან სტრუქტურული ერთეული, რომელსაც გააჩნია აქტივის მართვის დადასტურებული უფლება.

ISO 27001 Plan, Do, Check, Act (PDCA) პროცესისადმი მიდგომა და მოდელი; პროცესზე ორიენტირებული მიდგომა; პროცესების მუდმივი გაუმჯობესება; მოიცავს ინფორმაციულ უსაფრთხოებას და არა მხოლოდ IT უსაფრთხოებას; ითვალისწინებს ადამიანებს, პროცესებს, ტექნოლოგიებს;

PDCA მიდგომა

კონტექსტი - გარემოს შესწავლა და დაინტერესებული მხარეები დაინტერესებული მხარეების მოლოდინი და მოთხოვნები საკანონმდებლო გარემო ორგანიზაციული კულტურა გადაწყვეტილების მიღება კომუნიკაციის კულტურა სერვისები, პროდუქტები შესაძლებლობები თანამშრომელთა კომპეტენცია სხვა დამატებითი ფაქტორები (პოლიტიკური მდგომარეობა, ფინანსური, სოციალური ფაქტორები, და ა.შ.)

გავრცელების სფერო ფიზიკური ადგილმდებარეობა; ორგანიზაციული / სტრუქტურული ერთეულები; პროცესები; პროდუქტები; და ა.შ.

მიმართულებები ინფორმაციული უსაფრთხოების პოლიტიკა შესაბამისობა ინფორმაციული უსაფრთხოების ორგანიზება ბიზნეს უწყვეტობის მართვა აქტივების მართვა კონფიდენციალურობა მთლიანობა ინციდენტების მართვა ადამიანური რესურსების უსაფრთხოება ინფორმაცია ხელმისაწვდომობა დამუშავება და მხარდაჭერა ფიზიკური უსაფრთხოება წვდომის კონტროლი კომუნიკაციები და საოპერაციო მართვა

ინფორმაციული უსაფრთხოება არის “ორგანიზაციული ამოცანა” და არა “IT პრობლემა”;

დანერგვის შედეგები მართვადი რისკები ინფორმაციული უსაფრთხოების კუთხით. ბიზნეს-უწყვეტობას უზრუნველყოფა; ფინანსური დანაკარგების შემცირება; ინვესტიციის/რესურსების ოპტიმიზაცია; ....

საკანომდებლო მოთხოვნები

კრიტიკული ინფორმაციული სისტემის სუბიექტი? სახელმწიფო ორგანო ან იურიდიული პირი, რომლის ინფორმაციული სისტემის უწყვეტი ფუნქციონირება მნიშვნელოვანია ქვეყნის თავდაცვისათვის ან/და ეკონომიკური უსაფრთხოებისათვის, სახელმწიფო ხელისუფლების ან/და საზოგადოებრივი ცხოვრების შენარჩუნებისათვის საქართველოს კანონი ინფორმაციული უსაფრთხოების შესახებ

საკანონმდებლო მოთხოვნებთან შესაბამისობა საქართველოს კანონი ინფორმაციული უსაფრთხოების შესახებ 2012 წლის 5 ივნისი. №6391- Iს კრიტიკული ინფორმაციული სისტემის სუბიექტების ნუსხის დამტკიცების შესახებ საქართველოს პრეზიდენტის ბრძანებულება №157 11/03/2013 ინფორმაციული უსაფრთხოების მინიმალური მოთხოვნების შესახებ მონაცემთა გაცვლის სააგენტოს თავმჯდომარის ბრძანება №2 04/02/2013 ინფორმაციული აქტივების მართვის წესების შესახებ მონაცემთა გაცვლის სააგენტოს თავმჯდომარის ბრძანება №7 07/02/2013 მონაცემთა გაცვლის სააგენტოს კომპიუტერულ ინციდენტებზე დახმარების ჯგუფის შესახებ მონაცემთა გაცვლის სააგენტოს თავმჯდომარის ბრძანება №5 07/02/2013 კრიტიკული ინფორმაციული სისტემის სუბიექტის ინფორმაციული უსაფრთხოების მენეჯერისათვის მინიმალური სტანდარტების დამტკიცების შესახებ მონაცემთა გაცვლის სააგენტოს თავმჯდომარის ბრძანება №4 07/02/2013 ქსელური სენსორის კონფიგურაციის წესების შესახებ მონაცემთა გაცვლის სააგენტოს თავმჯდომარის ბრძანება №3 07/02/2013 ინფორმაციული უსაფრთხოების აუდიტის ჩატარების უფლებამოსილების მქონე პირთა და ორგანიზაციათა მიერ ავტორიზაციის გავლის წესის, ავტორიზაციის პროცედურებისა და ავტორიზაციის საფასურის შესახებ მონაცემთა გაცვლის სააგენტოს თავმჯდომარის ბრძანება №6 07/02/2013 ინფორმაციული უსაფრთხოების აუდიტის ჩატარების წესის შესახებ მონაცემთა გაცვლის სააგენტოს თავმჯდომარის ბრძანება №1 07/02/2013

მინიმალური მოთხოვნები წელი 1: ინფორმაციული უსაფრთხოების დაგეგმვა; აქტივების აღწერა, რისკების შეფასება, რისკების მოპყრობა; წელი 2: ინფორმაციული უსაფრთხოების დანერგვა: კონტროლის მექანიზმების დანერგვა, ბიუჯეტირება, ადამიანური რესურსების გამოყოფა; წელი 3: მონიტორინგი და გაუმჯობესება: შიდა აუდიტი, კონტროლების შეფასება; ხელმძღვანელობის მიერ გადახედვა

საკანონმდებლო მოთხოვნების მიმოხილვა მინიმალური მოთხოვნები პოლიტიკა + მინიმალური მოთხოვნები; ინფორმაციული უსაფრთხოების შინასამსახურებრივი გამოყენების წესები; ინფორმაციული აქტივების მართვა; ინფორმაციული უსაფრთხოების მენეჯერი; ინფორმაციული უსაფრთხოების აუდიტი ორგანიზაციული როლები კომპიუტერული უსაფრთხოების სპეციალისტი ; კომპიუტერული ინციდენტის მართვა;

მონაცემთა გაცვლის სააგენტო

მონაცემთა გაცვლის სააგენტო დაარსდა 2010 წელს იუსტიციის სამინისტრო ინფორმაციული უსაფრთხოების პოლიტიკის განვითარება, დანერგვა, მონიტორინგი CERT.GOV.GE (Computer Emergency Response Team) Public Sector + Subject of Critical Infrastructure Systems State Secret Military

ინფორმაციული უსაფრთხოების ძირითადი მიმართულებები ინფორმაციული უსაფრთხოების რჩევები ინფორმაციული უსაფრთხოების დოკუმენტაციის მიმოხილვა: პოლიტიკა, გეგმები, აუდიტის შედეგები, გავრცელების სფერო 39 ინფორმაციული უსაფრთხოების მართვის სისტემის დანერგვა პროექტები: სერვისების განვითარების სააგენტო, საჯარო რეესტრის სააგენტო 2 სერტიფიცირებული ტრენინგები მართვის სისტემებში ინფორმაციული უსაფრთხოების მართვის სისტემის შესავალი, დანერგვა და შიდა აუდიტი, სასერთიფიკაციო გამოცდა >250 NATO SPS Project Trained Professionals from Afghanistan, Macedonia, Moldova, Montenegro, Azerbaijan x2, Ukraine, Mongolia >150 ინფორმაციული სისტემები აუდიტი ინფორმაციული სისტემების აუდიტის სერვისი 1

ინფორმაციული უსაფრთხოების და პოლიტიკის სამართველო ინფორმაციული უსაფრთხოების ჯგუფი All Team Members are BSI Certified Professionals: BSI/ISO 27001 (Information Security) LI/LA 5 Member of Team BSI/ISO 22301 (Business Continuity) LI/LA 4 Member of Team BSI/ISO 9001 (Quality Management) LA ISO 31000 (Risk Management) CISM (Certified Information Security Manager) 4 Member of Team CISA (Certified Information System Auditor) 2 Member of Team CRISC (Certified in Risk and Information Systems Control) 1 Member of Team CGEIT (Certified in the Governance of Enterprise IT) 3 Member of Team

ინფორმაციული უსაფრთხოების და პოლიტიკის სამართველო CERT.GOV.GE All Team Members are SANS Certified Professionals: SANS GIAC Certified Professionals 2 Member of Team Systems and Network Auditor (GSNA) 2 Member of Team Trained by Terena (TI) 2 Member of Team

მონაცემთა გაცვლის სააგენტო ინფორმაციული უსაფრთხოების დაგეგმვა და კონსალტინგი; დანერგვის წინა და შემდგომი მიმოხილვა; ინფორმაციული უსაფრთხოების სტანდარტთან და ინფორმაციული უსაფრთხოების შესახებ კანონთან შესაბამისობის მიმოხილვა (აუდიტი). მონაცემთა გაცვლის სააგენტო - თქვენი მეგზური ინფორმაციული უსაფრთხოების დარგში

გმადლობთ ყურადღებისთვის