1 / 10

Aleksey Kvasnikov IS services manager, Russia & CIS

Aleksey Kvasnikov IS services manager, Russia & CIS. Опыт внедрения системы управления информационной безопасностью в ESAB Россия. ESAB – это :. Высококачественные расходные материалы для сварки и резки металлов Оборудование для сварки и резки металлов

manny
Download Presentation

Aleksey Kvasnikov IS services manager, Russia & CIS

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Aleksey KvasnikovIS services manager,Russia & CIS Опыт внедрения системы управления информационной безопасностью в ESABРоссия

  2. ESAB – это: • Высококачественные расходные материалы для сварки и резки металлов • Оборудование для сварки и резки металлов • Годовой доход в 2009 – 1031,4млн. фунтов • Число сотрудников - 8581

  3. На момент начала проекта: • Процессная модель работы не была формализована • Многие процессы существовали на уровне “repeatable”

  4. Требования аудита: • Система управления информационной безопасностью должна быть “эквивалентна ISO27001” • Должна быть определена процессная модель работы отдела IT.

  5. Стандарт ISO / IEC 27001:2005 • Определяет общую модель системы управления информационной безопасности (ISMS) • Основывается на цикле Plan – Do - Check – Act • Определяет цели управления и средства управления (control objectives & controls) Risk = Impact x Probability Управление риском: • Уменьшение риска • Принятие риска • Избежание риска • Передача риска третьей стороне

  6. Дополнительные документы: • ISO17799 – практические правила и средства управления информационной безопасностью • ISO20000 – стандарт, описывающий систему управления IT сервисами • ITIL – “хорошие” практики разработки процессов и системы управления IT сервисами • COBIT – цели процессов, контроли, метрики

  7. Внутренние документы, описывающие требования HQ: • Раздел “IT Security” документа ”GLOBAL FINANCIAL PROCESS & CONTROL FRAMEWORK” • Чек-лист, Internal Control Questionnaire • Чек-лист Global Information risk assessment

  8. Список приоритетных для HQ контролейИБ • Access control: процедуры создания / удаления пользователей, процедуры предоставления доступа к информационным системам • IT disaster recovery plan • Процедуры резервного копирования • Должен быть разработан список информационных систем компании, бизнес - владельцев этих систем, классификация систем по CIA • Учетные записи пользователей должны быть индивидуальными • IT персонал должен использовать отдельные учетные записи для администрирования систем и для обычной работы в системах • Наличие антивирусной программы на серверах и рабочих местах • Наличие межсетевого экрана • Периодическое сканирование уязвимостей основных серверов

  9. Service delivery processes Service Level Management Information Security Management Resolution processes Incident Management Problem Management Реализованная процессная модель Service Desk Control processes Release processes • Security controls: • Access control • Asset management • Business continuity management • Compliance • IS acquisition, development, • maintenance Configuration Management Release Management Change Management

  10. Алексей Квасников Спасибо за внимание!

More Related