Стандарт ISO/IEC 27001:2013 – все слышали, мало кто видел
Сложность темы ИБ находит отражение в стандарте. Полное внедрение ISO 27001, с использованием всех рекомендаций - потребует годы для средней организации.
Как создать с нуля сбалансированную СУИБ, как выбрать только реально необходимые защитные меры и как правильно внедрить процессы ИБ?
Роль Информационной Безопасности в управлении проектами или почему скрипач нужен
ИСО 27001 на практике, или будни внедренца
1. ИСО 27001 на практике,
или будни внедренца
СУИБ
Алексей Евменков, isqa.ru
30.03.2016
2. Аннотация
• Стандарт ISO/IEC 27001:2013 – все слышали,
мало кто видел
• Сложность темы ИБ находит отражение в
стандарте. Полное внедрение ISO 27001, с
использованием всех рекомендаций - потребует
годы для средней организации.
• Как создать с нуля сбалансированную СУИБ, как
выбрать только реально необходимые
защитные меры и как правильно внедрить
процессы ИБ?
4. Представление
• Специалист по ИБ (CISM), по
процессам и качеству в ИТ области
• Внедряю и подготавливаю к
сертификации - ИСО 27001 и 9001
• Первая в РБ ИСО 27001 сертификация
(в2008г, Tieto)
• Консалтинг и сертификации РБ,
Россия, Финляндия, Швеция,
Прибалтика
• Проекты интеграций компаний
• Профессиональный аудитор по ИБ
и процессам
5. Цель/Статус?
• Внедрить с нуля
• Уже внедряю, интересна
вот эта деталь..
• Давно все внедрено
• Нет, я только посмотреть)
6. Когда необходим ИСО 27001?
• Требование заказчика
• Обязательное условие для участия в тендере
• Заказчик хочет быть уверен в сохранности своих данных
• Желание организации
• Необходимо повысить защищенность от рисков
• Уменьшить количество и стоимость инцидентов
• Создать позитивный бизнес-образ, безопасный и
современный
8. Термины - ИБ
• Информационная Безопасность (ИБ) - свойство
информации сохранять конфиденциальность,
целостность и доступность.
• Иногда добавляются:
• Неотказуемость,
• Подотчетность
• Аутентичность
• Достоверность
Пример актива?
9. ISO 27001:2013 – что нового
• Более структурированный, уменьшено кол-во
контролов 133->114
• Термины перенесены в 27000 – вышла версия в
2016
• Гармонизация с другими стандартами (а 9001 в
свою очередь ввели понятие рисков)
• + владелец рисков
• - записи
• - превентивные
меры
Источник картинок: ISO27001 Academy
10. ISO 27001:2013 – что нового
В целом, более удобный и читабельный стандарт
Источник картинок: ISO27001 Academy
Хороший обзор «что нового» в ISO 27001:2013
11. СМИБ – общая схема
Планирование и мониторинг целей
Требования ИСО 27001
Политики и процедуры СМИБ
Корректирующие
имеры
Управление рисками
Аудиты
Измерения, метрики Комплекс
защитных
мер
12. СМИБ – защитные меры
ИБ в управлении персоналом
Управление активами
Управление доступом Организация ИБ
Криптография
Физическая безопасность
Антивирусная защита ПО
Резервное копирование
Логи и мониторинг
Управление сетевой
безопасностью
ИБ при разработке ПО
ИБ при работе с поставщиками
Управление инцидентами
Управление непрерывностью
бизнеса
Соответствие требованиям
регуляторов
114 защитных
мер
15. Как внедрять СУИБ
•Первоначальный аудит
•Планирование на основе аудита
•Обработка рисков
•Уточнение плана
•Внедрение защитных мер, согласно плана
•Запуск СУИБ
•Сертификация СУИБ
•Эксплуатация СУИБ
1
2
3
4
5
6
7
8
16. Первоначальный аудит
• Чеклист по основным элементам ИСО 27001, по
всем защитным мерам 27002
• Желательно привлечение технического
специалиста для проверки сети, технических
защитных мер
• Результат – набор замечаний, входной материал
для составления плана
1 аудит
17. Предварительный план
проекта
• Подготовка плана
• на основании результатов аудита
• чеклист аудита – и есть основа плана
• Список связанных под-проектов
• СКУД, охранная сигнализация, вентиляция и т.п.
2 план
18. Ценность анализа рисков
После трагедии 11 сентября
• В первые три месяца после атаки
количество машин выросло более чем на
5 %
• Увеличилось кол-во дорожных
инцидентов
• За 12 мес. погибло на 1600 человек
больше средних значений
• Что в 6 раз превышает общее количество
пассажиров (256), погибших в результате
авиакатастроф 2001 года
• В 2002–2005 гг. 2,5 млрд человек
воспользовались в США коммерческими
авиарейсами. Ни один из них не погиб в
крупной авиакатастрофе
3 риски
19. Ценность анализа рисков
• Экономия $, времени, ресурсов
• Улучшение планирования, повышение
эффективности
• Основание для принятия объективного решения
3 риски
20. Без рисков скучно
«Если бы наш мир когда-нибудь обрел полную
определенность, наша жизнь стала бы невыносимо
скучной»
Книга Понимать риски. Как выбирать правильный курс
3 риски
21. Риски Угроза: нарушение лицензионности,
использование чужого кода
Уязвимость: Из-за
отсутствия
необходимых знаний
у членов команды
Актив:
программные
компоненты
(deliverables)
Защитная мера:
проведение тренингов,
постоянная коммуникация,
процедурная поддержка
3 риски
23. Управление рисками
• Управление активами – основа для управления
рисками
• Количественное управление рисками
• Создание рисков через CIA модель
3 риски
24. Пример рассчета риска
Актив = Интернет
соединение
С I A
4 3 4
Lk Im E=Av*Lk*Im
2
ср.частота
4
Оч. серьезно
3.67*2*4=29.36
Av=3.67
Risk exposure range
(E=Av*Lk*Im)
Risk Rank
0-12 Low
13-24 Medium
25-64 High
Потеря интернет соединения -> из за выхода
из строя локального сетевого оборудования
29.36 = High risk
3 риски
25. Пример: хранение и
распространение контрафакта
• 9.21 КоАП «Нарушение авторского права, смежных прав и права
промышленной собственности» http://news.tut.by/society/481405.html
Актив: репутация Компании
Угроза: потеря репутации
компании, финансовые
потери
Уязвимость: неосведомленность сотрудников
Компании (неосмотрительное пользование
интернетом)
Анализ риска: штраф до 200БВ+300БВ (42млн+63млн=105млн)
Сотрудники часто пользуются торрентами, и позволяют с себя скачивать (т.е.
распространять). Риск СРЕДНИЙ (принимаем защитные меры)
Сотрудник заливает с торрента клип, публикует в VK.
Защитные меры:
• Немедленная нотификация сотрудников, объяснить ответственность сотруд-в
• Включение в регулярные тренинги правил работы в интрернете (торрент, соцсети+)
• Письмо в "отдел К" или OAЦ, что нам предпринять для защиты наших периметров
• Запустить под-проект в ИТ отделе – ограничение трафика торрентов
• Связаться с коллегами из ПВТ – перенять опыт
3 риски
26. Пример: указ №98
Указ № 98 «О совершенствовании порядка передачи сообщений электросвязи»
от 15.03.2016г http://42.tut.by/488762
Актив: репутация Компании
Угроза: потеря
коммуникации с
зарубежным заказчиком
Уязвимость: несоответствие текущих
конфигураций IP телефонии новому
законодательству (?)
Анализ риска: под ударом – IP телефония.
Владельцы Viber и Skype должны заключить договоры о взаимодействии с
белорусскими операторами?
Какие штрафы? Могут заблокировать IPs? Рекомендации ОАЦ?
Использования IP-телефонии для коммуникации с зарубежными заказчиками
Защитные меры:
• ? Мало информации
• Ждем разъяснений
3 риски
30. Определяем контекст
• Организация
• Большая-маленькая
• Один офис-несколько, в
разных локациях?
• Офис
• Опен-спейс/комнаты
• Делится с другими
организациями?
• Какие активы защищаем?
• Наличие серверной, закрытых
зон? (в первую очередь речь
об информации
• Средняя, 300 сотрудников
• Три офиса, в разных
городах
• И опен-спейс и комнаты
• Нет
• Да , серверная, склад,
финансовый отдел
Цель – очертить периметр, в котором будет
контролируемый уровень физич. безопасности
31. Разрабатываем
концепцию, описываем
• Раз офисов несколько, и вероятно дальнейшее
развитие, то разрабатывам стандарт физической
безопасности
• Минимальные требования, стартовая точка для всех
офисов
• Контент: физический периметр, зонирование, охранная
сигнализация, СКУД, видеонаблюдение и т.п.
• Разрабатываем политику физической
безопасности для центрального офиса
• Конкретика для конкретного офиса, где, кто, что
• Конфиденциальный документ
5 внедрение
33. Внедрение
• Доработка где требуется
• Дополнительные камеры видеонаблюдения
• Установка охранной сигнализации на закрытые зоны
• Бейджи?
• Строительные работы
• Публикация
• Тренинги для владельцев зон, для сотрудников
• Периодические проверки, корректировки
• Включить в периодические аудиты
5 внедрение
35. Еще пример - внедрение
технического аудита
• Penetration testing
• Анализ сети, конфигураций оборудования
• Делаем через проект – с привлечением
специалистов (заслуженных)
• Либо создаем внутреннюю команду из подходящих
специалистов
Кадры решают все
5 внедрение
36. На чем не стоит
(чрезмерно) заморачиваться
• Политика ИБ
• Становится формальностью при хорошем комплекте
документации
• Анализ со стороны руководства
• Замещается регулярными совещаниями с руководством
5 внедрение
37. Запуск СМИБ
• Управление целями в области ИБ, практическое
лидерство руководства организации
• Разработка и внедрение системы метрик ИБ
• Внутренние аудиты ИБ
• Тренинги, создание культуры ИБ в организации
• Анализ со стороны руководства
6 запуск
38. Сертификация СМИБ
• Требуемый уровень «международного
признания»
• Система аккредитации – ANAB, UKAS, DAkkS и др.
Орган сертификации Система
сертификации
BSI ANAB
BureauVeritas UKAS
Русский Регистр ANAB
DNV UKAS
БелГИСС DakkS
Список систем аккредитации: http://www.iaf.nu/articles/Accred_Body_Members_by_Name/52
7 сертификация
39. Эксплуатация
СМИБ
Прио Активность Пер. Комментарии
High Управление целями ИБ Cont. Регулярные совещания с руководством, внутренние
совещания. Планирование и улучшение СМИБ.
High Управление рисками Cont. Постоянный анализ рисков
High Управление инцидентами Cont. Регистрация и реагирование на инциденты
Med Внутренние аудиты Cont. Планирование и проведение аудитов
Med Технический аудит Cont. Анализ сети и конфигураций оборудования, pen. testing.
Med Измерение эффективности
защитных мер (метрики)
Cont. Разработка и внедрение метрик ИБ, отчетностьи
High BCP тестирование Year. Планы по обеспечению непрерывности бизнеса -
разработка и тестирование.
High Анализ со стороны руководства Year. Подготовка и проведение.
High Проекты ИБ Cont. Участие в ИБ проектах, например установка лог. и
мониторинга событий для критических ИС. Внедрение
DLP+
High Повышение осведомленности
персонала, тренинги ИБ
Cont. Программа тренингов ИБ на разных уровнях
High Взаимодействие с
заинтересованными сторонами
Cont. Письма / фидбек от сотрудников. Информация от
вендоров.
Low Анализ и обновление
документации СМИБ
Cont. Постоянная активность - актуализация и гармонизация
документации.
Med Подготовка и прохождение
сертификационных и
подтверждающих аудитов
Year. Как правило, запускается в виде отдельного под-
проекта.
8 эксплуатация
Что делает Менеджер ИБ
(команда ИБ после
сертификации?)
42. Авторский курс
Внедрение СМИБ
Расширенная практическая часть,
руководство по внедрению ИСО 27001
и защитных мер из ИСО 27002
3 дня, 6-8 апреля 2016г.
http://edu.softline.by/courses/smib.html
АлексейЕвменков, CISM
isqa.ru
evmenkov@gmail.com