Стандарт ISO/IEC 27001:2013 – все слышали, мало кто видел Сложность темы ИБ находит отражение в стандарте. Полное внедрение ISO 27001, с использованием всех рекомендаций - потребует годы для средней организации. Как создать с нуля сбалансированную СУИБ, как выбрать только реально необходимые защитные меры и как правильно внедрить процессы ИБ?

1. ИСО 27001 на практике,
или будни внедренца
СУИБ
Алексей Евменков, isqa.ru
30.03.2016

2. Аннотация
• Стандарт ISO/IEC 27001:2013 – все слышали,
мало кто видел
• Сложность темы ИБ находит отражение в
стандарте. Полное внедрение ISO 27001, с
использованием всех рекомендаций - потребует
годы для средней организации.
• Как создать с нуля сбалансированную СУИБ, как
выбрать только реально необходимые
защитные меры и как правильно внедрить
процессы ИБ?

3. Аннотация2
Глаза боятся, руки делают

4. Представление
• Специалист по ИБ (CISM), по
процессам и качеству в ИТ области
• Внедряю и подготавливаю к
сертификации - ИСО 27001 и 9001
• Первая в РБ ИСО 27001 сертификация
(в2008г, Tieto)
• Консалтинг и сертификации РБ,
Россия, Финляндия, Швеция,
Прибалтика
• Проекты интеграций компаний
• Профессиональный аудитор по ИБ
и процессам

5. Цель/Статус?
• Внедрить с нуля
• Уже внедряю, интересна
вот эта деталь..
• Давно все внедрено
• Нет, я только посмотреть)

6. Когда необходим ИСО 27001?
• Требование заказчика
• Обязательное условие для участия в тендере
• Заказчик хочет быть уверен в сохранности своих данных
• Желание организации
• Необходимо повысить защищенность от рисков
• Уменьшить количество и стоимость инцидентов
• Создать позитивный бизнес-образ, безопасный и
современный

7. Термины

8. Термины - ИБ
• Информационная Безопасность (ИБ) - свойство
информации сохранять конфиденциальность,
целостность и доступность.
• Иногда добавляются:
• Неотказуемость,
• Подотчетность
• Аутентичность
• Достоверность
Пример актива?

9. ISO 27001:2013 – что нового
• Более структурированный, уменьшено кол-во
контролов 133->114
• Термины перенесены в 27000 – вышла версия в
2016
• Гармонизация с другими стандартами (а 9001 в
свою очередь ввели понятие рисков)
• + владелец рисков
• - записи
• - превентивные
меры
Источник картинок: ISO27001 Academy

10. ISO 27001:2013 – что нового
В целом, более удобный и читабельный стандарт
Источник картинок: ISO27001 Academy
Хороший обзор «что нового» в ISO 27001:2013

11. СМИБ – общая схема
Планирование и мониторинг целей
Требования ИСО 27001
Политики и процедуры СМИБ
Корректирующие
имеры
Управление рисками
Аудиты
Измерения, метрики Комплекс
защитных
мер

12. СМИБ – защитные меры
ИБ в управлении персоналом
Управление активами
Управление доступом Организация ИБ
Криптография
Физическая безопасность
Антивирусная защита ПО
Резервное копирование
Логи и мониторинг
Управление сетевой
безопасностью
ИБ при разработке ПО
ИБ при работе с поставщиками
Управление инцидентами
Управление непрерывностью
бизнеса
Соответствие требованиям
регуляторов
114 защитных
мер

13. Как внедрять СУИБ

14. Как внедрять СУИБ
• Как проект
• Команда проекта, бюджет, ответственность

15. Как внедрять СУИБ
•Первоначальный аудит
•Планирование на основе аудита
•Обработка рисков
•Уточнение плана
•Внедрение защитных мер, согласно плана
•Запуск СУИБ
•Сертификация СУИБ
•Эксплуатация СУИБ
1
2
3
4
5
6
7
8

16. Первоначальный аудит
• Чеклист по основным элементам ИСО 27001, по
всем защитным мерам 27002
• Желательно привлечение технического
специалиста для проверки сети, технических
защитных мер
• Результат – набор замечаний, входной материал
для составления плана
1 аудит

17. Предварительный план
проекта
• Подготовка плана
• на основании результатов аудита
• чеклист аудита – и есть основа плана
• Список связанных под-проектов
• СКУД, охранная сигнализация, вентиляция и т.п.
2 план

18. Ценность анализа рисков
После трагедии 11 сентября
• В первые три месяца после атаки
количество машин выросло более чем на
5 %
• Увеличилось кол-во дорожных
инцидентов
• За 12 мес. погибло на 1600 человек
больше средних значений
• Что в 6 раз превышает общее количество
пассажиров (256), погибших в результате
авиакатастроф 2001 года
• В 2002–2005 гг. 2,5 млрд человек
воспользовались в США коммерческими
авиарейсами. Ни один из них не погиб в
крупной авиакатастрофе
3 риски

19. Ценность анализа рисков
• Экономия $, времени, ресурсов
• Улучшение планирования, повышение
эффективности
• Основание для принятия объективного решения
3 риски

20. Без рисков скучно
«Если бы наш мир когда-нибудь обрел полную
определенность, наша жизнь стала бы невыносимо
скучной»
Книга Понимать риски. Как выбирать правильный курс
3 риски

21. Риски Угроза: нарушение лицензионности,
использование чужого кода
Уязвимость: Из-за
отсутствия
необходимых знаний
у членов команды
Актив:
программные
компоненты
(deliverables)
Защитная мера:
проведение тренингов,
постоянная коммуникация,
процедурная поддержка
3 риски

22. Что нужно защищать?

23. Управление рисками
• Управление активами – основа для управления
рисками
• Количественное управление рисками
• Создание рисков через CIA модель
3 риски

24. Пример рассчета риска
Актив = Интернет
соединение
С I A
4 3 4
Lk Im E=Av*Lk*Im
2
ср.частота
4
Оч. серьезно
3.67*2*4=29.36
Av=3.67
Risk exposure range
(E=Av*Lk*Im)
Risk Rank
0-12 Low
13-24 Medium
25-64 High
Потеря интернет соединения -> из за выхода
из строя локального сетевого оборудования
29.36 = High risk
3 риски

25. Пример: хранение и
распространение контрафакта
• 9.21 КоАП «Нарушение авторского права, смежных прав и права
промышленной собственности» http://news.tut.by/society/481405.html
Актив: репутация Компании
Угроза: потеря репутации
компании, финансовые
потери
Уязвимость: неосведомленность сотрудников
Компании (неосмотрительное пользование
интернетом)
Анализ риска: штраф до 200БВ+300БВ (42млн+63млн=105млн)
Сотрудники часто пользуются торрентами, и позволяют с себя скачивать (т.е.
распространять). Риск СРЕДНИЙ (принимаем защитные меры)
Сотрудник заливает с торрента клип, публикует в VK.
Защитные меры:
• Немедленная нотификация сотрудников, объяснить ответственность сотруд-в
• Включение в регулярные тренинги правил работы в интрернете (торрент, соцсети+)
• Письмо в "отдел К" или OAЦ, что нам предпринять для защиты наших периметров
• Запустить под-проект в ИТ отделе – ограничение трафика торрентов
• Связаться с коллегами из ПВТ – перенять опыт
3 риски

26. Пример: указ №98
Указ № 98 «О совершенствовании порядка передачи сообщений электросвязи»
от 15.03.2016г http://42.tut.by/488762
Актив: репутация Компании
Угроза: потеря
коммуникации с
зарубежным заказчиком
Уязвимость: несоответствие текущих
конфигураций IP телефонии новому
законодательству (?)
Анализ риска: под ударом – IP телефония.
Владельцы Viber и Skype должны заключить договоры о взаимодействии с
белорусскими операторами?
Какие штрафы? Могут заблокировать IPs? Рекомендации ОАЦ?
Использования IP-телефонии для коммуникации с зарубежными заказчиками
Защитные меры:
• ? Мало информации
• Ждем разъяснений
3 риски

27. Уточнение плана
(создание плана обработки рисков)
Вопрос. До какой степени внедрять защитные
меры ИСО 27002?
4 план+

28. Как внедрять защитные меры
• Например физическую безопасность
• Или непрерывность бизнеса (BCP)
• Или инциденты
5 внедрение

29. 5 внедрениеТяжелый и легкие
подходы

30. Определяем контекст
• Организация
• Большая-маленькая
• Один офис-несколько, в
разных локациях?
• Офис
• Опен-спейс/комнаты
• Делится с другими
организациями?
• Какие активы защищаем?
• Наличие серверной, закрытых
зон? (в первую очередь речь
об информации
• Средняя, 300 сотрудников
• Три офиса, в разных
городах
• И опен-спейс и комнаты
• Нет
• Да , серверная, склад,
финансовый отдел
Цель – очертить периметр, в котором будет
контролируемый уровень физич. безопасности

31. Разрабатываем
концепцию, описываем
• Раз офисов несколько, и вероятно дальнейшее
развитие, то разрабатывам стандарт физической
безопасности
• Минимальные требования, стартовая точка для всех
офисов
• Контент: физический периметр, зонирование, охранная
сигнализация, СКУД, видеонаблюдение и т.п.
• Разрабатываем политику физической
безопасности для центрального офиса
• Конкретика для конкретного офиса, где, кто, что
• Конфиденциальный документ
5 внедрение

32. Примеры
5 внедрение

33. Внедрение
• Доработка где требуется
• Дополнительные камеры видеонаблюдения
• Установка охранной сигнализации на закрытые зоны
• Бейджи?
• Строительные работы
• Публикация
• Тренинги для владельцев зон, для сотрудников
• Периодические проверки, корректировки
• Включить в периодические аудиты
5 внедрение

34. Повторить цикл для
следующей защитной меры:)
5 внедрение

35. Еще пример - внедрение
технического аудита
• Penetration testing
• Анализ сети, конфигураций оборудования
• Делаем через проект – с привлечением
специалистов (заслуженных)
• Либо создаем внутреннюю команду из подходящих
специалистов
Кадры решают все
5 внедрение

36. На чем не стоит
(чрезмерно) заморачиваться
• Политика ИБ
• Становится формальностью при хорошем комплекте
документации
• Анализ со стороны руководства
• Замещается регулярными совещаниями с руководством
5 внедрение

37. Запуск СМИБ
• Управление целями в области ИБ, практическое
лидерство руководства организации
• Разработка и внедрение системы метрик ИБ
• Внутренние аудиты ИБ
• Тренинги, создание культуры ИБ в организации
• Анализ со стороны руководства
6 запуск

38. Сертификация СМИБ
• Требуемый уровень «международного
признания»
• Система аккредитации – ANAB, UKAS, DAkkS и др.
Орган сертификации Система
сертификации
BSI ANAB
BureauVeritas UKAS
Русский Регистр ANAB
DNV UKAS
БелГИСС DakkS
Список систем аккредитации: http://www.iaf.nu/articles/Accred_Body_Members_by_Name/52
7 сертификация

39. Эксплуатация
СМИБ
Прио Активность Пер. Комментарии
High Управление целями ИБ Cont. Регулярные совещания с руководством, внутренние
совещания. Планирование и улучшение СМИБ.
High Управление рисками Cont. Постоянный анализ рисков
High Управление инцидентами Cont. Регистрация и реагирование на инциденты
Med Внутренние аудиты Cont. Планирование и проведение аудитов
Med Технический аудит Cont. Анализ сети и конфигураций оборудования, pen. testing.
Med Измерение эффективности
защитных мер (метрики)
Cont. Разработка и внедрение метрик ИБ, отчетностьи
High BCP тестирование Year. Планы по обеспечению непрерывности бизнеса -
разработка и тестирование.
High Анализ со стороны руководства Year. Подготовка и проведение.
High Проекты ИБ Cont. Участие в ИБ проектах, например установка лог. и
мониторинга событий для критических ИС. Внедрение
DLP+
High Повышение осведомленности
персонала, тренинги ИБ
Cont. Программа тренингов ИБ на разных уровнях
High Взаимодействие с
заинтересованными сторонами
Cont. Письма / фидбек от сотрудников. Информация от
вендоров.
Low Анализ и обновление
документации СМИБ
Cont. Постоянная активность - актуализация и гармонизация
документации.
Med Подготовка и прохождение
сертификационных и
подтверждающих аудитов
Year. Как правило, запускается в виде отдельного под-
проекта.
8 эксплуатация
Что делает Менеджер ИБ
(команда ИБ после
сертификации?)

40. Заключение

41. Дисклаймер

42. Авторский курс
Внедрение СМИБ
Расширенная практическая часть,
руководство по внедрению ИСО 27001
и защитных мер из ИСО 27002
3 дня, 6-8 апреля 2016г.
http://edu.softline.by/courses/smib.html
АлексейЕвменков, CISM
isqa.ru
evmenkov@gmail.com