1

Современные подходы к защите конфиденциальной информации организации, типовые ошибки и выявленные несоответствия

Конгресс ИТ директоров «Белые ночи» 2015

Мялковский Игорь КонстантиновичCIO club Санкт-Петербурга, GlobalCIO, АРСИБ, CIO Excellence EU 40 популярных статей в журналах: ИТ-менеджер, Директор по безопасности , ПДн 3 патента, 3 учебника, 15 научных статей, 2 авторских курса лекций ВАС, 3 НИР медаль Гос комитета по науке и технике РФ за лучшую научную работу года

im@trinity.su, security@trinitygroup.ru 8-800-200-5960, 8 812 3275960#2803, +7 911 910 70 39Личный блог: http://3nity.ru/ «Обеспечение безопасности информации»

2

Идеология:Бессистемные знания и действия

бесполезны.

Путь:Системное знание оформленное в

убеждение, подкрепленное опытом, позволяет некоторое

время оставаться уверенным и устойчивым к внешним

воздействиям

ЗАДАЧА

Требуется: эффективное типовое решение по защите конфиденциальной информации организации, предприятия (холдинга)

Условия: зависимость от законов,методических указаний и рекомендаций регуляторов, центральной организации, соседей, доступных средств,технологии обработки и защиты КИимеющихся технических средств

Ожидания: задействовать имеющиеся меры и средства защиты, снизить издержки

3

Требования и рекомендации к защите КИ

Международные соглашения

Директива ЕС 95\46\ЕС от 24.10.95, Ген ассамблея ООН А\66\359 -14.09.2011

Европейская конвенция 28.01.81 + 160-ФЗ-2005 о её ратификации

Рекомендации Организации экономического сотрудничества и развития

Законы и стандарты

Конституция, УК, ГК, ТК, КоАП РФ новый проектИСО27001\17799, 20000 -управление ИБ, 9001, 9004, ITIL Service Orientation, COBIT

152-ФЗ-06 (9-я ред), 99–ФЗ-11 о лицензировании, 125-ФЗ сроки хранения ПДн, СТО БР ИББС -1.0 2010, ИББС 2.3-2010 - ИСПДн банков, СТР-К - есть новый проект

ГОСТ 13335-4-07, 50739, 15408, 28147, 51583 – Порядок создания АС в защищенном исполнении, 50922ГОСТ Р 51275-2006 модель угроз

Постановления Правительства РФ

от 17.11.2007 781 обр ПДн в ИСПДн, 687 от 15.09.08 без ср авт, 211 от 21.03.12 - муницип и гос

от 06.07.2008 № 512 - биометрия, от 13.06.12 № 584 - платежные системы от 01.11.12 № 1119 - Требования ПП РФ

от 04.09.95 870– правилазасекр, от 16.04.12 313 - о лицензировании

Приказы и рекомендации регуляторов

от 01.12.2009 № 630– Административный регламент Роскомнадзора, № 08 от 17.07.2008 (форма уведомления)

Приказы ФСТЭК № 58, 55\86\20 РПриказы ФСТЭК: 21 от 18.02.13, 17 от 11.02.13Роскомнадзора от 28.03.08 № 154 – реестр операторов , Меры обезличивания

Метод 2 приказа ФСТЭК по моделям угроз + 2 регламента ФСБ: 149\6\6\ и 149\54-144 от 21.02.08 по шифрованию 40-ФЗ (95),116-ФЗ (25.07.02), ФСБ: Пр.105 -09,106 - 09 по лиценз ср-в шифрования

4

Меры и средства защиты информации от НСД и утечек по техническим каналамВыбрать на основании результатов предпроектного обследования

Меры и средства защиты информации от НСД и утечек по техническим каналамВыбрать на основании результатов предпроектного обследования

Орг-правовыеОрг-правовые

Определение границ контролируемой (демилитаризованной) зоны и обеспечение ее режима функционирования

Определение границ контролируемой (демилитаризованной) зоны и обеспечение ее режима функционирования

Организация контроля и ограничение доступа в выделенные помещения и к обрабатываемой информации (ПДн)

Организация контроля и ограничение доступа в выделенные помещения и к обрабатываемой информации (ПДн)

Использование на объекте ТСЗИ и ВТСС, прошедших проверку соответствия по ст. 19.2.2 152-ФЗ

Использование на объекте ТСЗИ и ВТСС, прошедших проверку соответствия по ст. 19.2.2 152-ФЗ

Привлечение к проектам организаций, имеющих лицензии и опыт данной деятельности

Привлечение к проектам организаций, имеющих лицензии и опыт данной деятельности

Категорирование и аттестация*объектов обработки инф и выделенных помещений на соответствие требованиям защиты

Категорирование и аттестация*объектов обработки инф и выделенных помещений на соответствие требованиям защиты

Внедрение регламентов работы ИСПДн и ролевых инструкций (сокращать запреты вида «Категорически запрещено», раскрывать суть инструкции для принятия решений на месте): изменять привычки

Внедрение регламентов работы ИСПДн и ролевых инструкций (сокращать запреты вида «Категорически запрещено», раскрывать суть инструкции для принятия решений на месте): изменять привычки

Активные способыАктивные способыПассивные способыПассивные способы

Установка комплексных системзащиты от НСД на ТС ИСПДн икабельные линии связи

Установка комплексных системзащиты от НСД на ТС ИСПДн икабельные линии связи

Экранирование помещений обработки конфиденциальной инф и ПДн, ТСПИ и отходящих от них соединительных линий

Экранирование помещений обработки конфиденциальной инф и ПДн, ТСПИ и отходящих от них соединительных линий

Заземление ТС ИСПДн и экранов отходящих от них линий

Заземление ТС ИСПДн и экранов отходящих от них линий

Звуко - и виброизоляция помещений обработки конф инф (ПДн) и механических узлов ТС

Звуко - и виброизоляция помещений обработки конф инф (ПДн) и механических узлов ТС

Фильтрация информационныхсигналов в силовых и слаботочныхсетях

Фильтрация информационныхсигналов в силовых и слаботочныхсетях

Фильтрация сигналов, передаваемых по сетям передачи данных

Фильтрация сигналов, передаваемых по сетям передачи данных

Установка автономных илистабилизированных источников,а также устройств гарантированного питания ТС ИСПДн и СЗПДн

Установка автономных илистабилизированных источников,а также устройств гарантированного питания ТС ИСПДн и СЗПДн

Использование специальных конструкций оконных блоков, специальных пленок, жалюзи и штор

Использование специальных конструкций оконных блоков, специальных пленок, жалюзи и штор

Пространственное электромагнитноезашумление закладных устройств и ПЭМИ

Пространственное электромагнитноезашумление закладных устройств и ПЭМИ

Эл, акустическое и вибрационноезашумление каналов связи, сети эл питания и строительных конструкций

Эл, акустическое и вибрационноезашумление каналов связи, сети эл питания и строительных конструкций

Защита доступа мобильных устройствЗащита доступа мобильных устройств

Рекомендации по настройкам существующих ТСЗИ и приобретение

Рекомендации по настройкам существующих ТСЗИ и приобретение

Применение настроек имеющихся ТСЗИ*Применение настроек имеющихся ТСЗИ*

Разрушающее воздействие на средства съема сигналами большой мощности

Разрушающее воздействие на средства съема сигналами большой мощности

Внедрение средств гарантированногоуничтожения информации, например www.Runtex.ru

Внедрение средств гарантированногоуничтожения информации, например www.Runtex.ru

Шифрование информации, передаваемой по каналам связи вне КЗ

Шифрование информации, передаваемой по каналам связи вне КЗ

Технические Технические

Применение систем контроля доступа, аутентификации загрузки, DLP,оперативного расследования инцидентов безопасности

Применение систем контроля доступа, аутентификации загрузки, DLP,оперативного расследования инцидентов безопасности

5

Пугаем народ по новому: кому сколько за что не обязательно

Тест драйв

Ст. КоАП

Содержание статьи Максимальная мера руб

Было Стало*

5.39 Отказ в предоставлении гражданину информации (о том, как организация обрабатывает его ПДн)

3000 13.11.2: Нет доступа к ПДн15 000 - 30 00020 000 - 40 000

13.11 Нарушение установленного законом порядка обработки информации о гражданах (напр. отсутствие согласия)

10 000 13.11.3: Несоблюдение требований: 100

000 -200 000 (если инцидент без УК)

13.12 Использование ТСЗИ, не прошедших проверку… (несертифицированных)

20 000 + лишение лицензии,

приостановление деятельности на 90

суток

Без изм

19.5 Невыполнение предписания регулятора

20000 Без изм

19.7 Непредставление или не полное предоставление уведомления

5000 Без изм* Станет с 01.07.14г. Проект КоАП предварительно согласован с Правительством, передан РКН на рассмотрение в ГД

Где поставить запятые?

6

Тест драйв

Ответственность ЮЛ по новому

Обработка ПДн с нарушением требований к содержанию согласия субъектов ПДн

15 000 – 50 000 р

Обработка ПДн без согласия субъектов ПДн (если оно нужно)

30 000 - 50 000 р

Незаконная обработка специальных категорий ПДн в случаях, не предусмотренных законодательством

150 000 ..300 000 р

Ст. 13.11.2. Непредоставление оператором информации и (или) доступа к сведениям, предусмотренным законодательством РФ о ПДн:• Необеспечение неограниченного доступа к политике в области ПДн и сведениях о реализуемых

мерах защиты - 15 000 - 30 000р• Непредоставление субъекту ПДн информации, касающейся обработки его ПДн: 20 000 - 40 000 р

Положение об обработке и защите ПДн

Ст. 13.11.3. Несоблюдение требований законодательства РФ по ОБИ ПДн (если инциденты без УК):• Невыполнение обязанностей по соблюдению условий, обеспечивающих сохранность ПДн при

хранении мат носителей - 25 000 - 50 000р• Невыполнение обязанностей по защите ПДн при автоматизированной обработке: 100 000 - 200 000 р• Инциденты с ПДн в гос и муницип учреждениях (штраф на ДЛ): 30 000 – 50 000 р

Россия вновь победит, но надо опять немного пострадатьНезнание закона не освобождает от ответственности, а знание - освобождает

7

Тест драйв

Ответственность за разглашение КТ 38-ФЗ от 12.03.14 – изменения в 98-ФЗ от 01.10.14

Ст. ГК РФ 98-ФЗ

Содержание статьи Максимальная мера руб

Было Стало*

3.2 Изменено содержание:

Инф, составляющая

секрет производства

(ноу хау)

Инф, которая имеет действительную или

потенциальную коммерческую ценность в

силу ее неизвестности третьим лицам

6.1 1. Права на КТ возникают с момента установления режима КТ

2. Обладатель имеет право требовать от ФЛ охраны этой КТ

требовать возмещения убытков

11 О возмещении убытков

Руководитель орг. Возмещает орг убытки, причиненные его

виновными действиями. Размер определяется

гражданским законодательством

Убытки не возмещаются, если работодатель не соблюдал меры ОБИ, и в следствие непреодолимой силы

8

1. Рынок ИБ становится более сложным

2. Двигатели рынка ИБ по убыванию доли:

- законодательство о защите ПДн 152-ФЗ- нац платежная система PCI DSS- защита от кибератак (мы вступили в эпоху информационных войн с использованием ИТ)

3. Контроль над средствами IPS (предотвращения вторжений) – ФСБ – сертификация

4. Отрасли отходят от прямого соблюдения 152-ФЗ в направлении специальных тайн

5. Ст. 19.2.3 152-ФЗ остается действующей

Ключевые тенденции информзащиты 2015

9

Идеология подхода:

1. Ориентироваться на системный подход к защите информации

2. Рассматривать АСЗИ вместе с СУИБ и с подсистемой обеспечения безопасности информации

3. КИ защищать в рамках одного проекта защиты КТ, СТ, ноу-хау и ПДн (> 44 видов тайн), гос тайна - отдельно.

4. Творчески опираться на законодательство, используя результаты проверок

5. Учитывать влияние других систем безопасности на АСЗИ (физической, финансовой, пожарной, экологической, ядерной и пр.)

6. Ограничения ИБ согласовывать с людьми, привлекая их к проекту

7. Применять, где возможно, численные методы оценки ИБ и экспертов

8. Внедрять мониторинговые средства

10

Одних стараний для эффективной ИБ не достаточно Должна быть стратегия

Защита КИ

(КТ и ПДн) на 80% по Парето + ИСО 9004 + мониторинг защиты

Защита ПДн по 152-ФЗ

Единые технология

обработки инф и ТСЗИ на базе существующих

средств ИТ и ИБ Защита КТ

по ИСО 27001\17799,

СТР-К

Стратегия в Плане защиты инф

Если у Вас нет плана, Вы планируете неудачу

2 цели АСЗИ:

1. Предотвратить инциденты2. Обеспечить результативное

расследование инцидента

Задача 3-Х: систематическая работа с людьми, орг-правовая, ТСЗИ

11

МНЕНИЕ ЭКСПЕРТОВ:Мероприятия по защите КИ сочетают в себе реализацию

правовых, организационных и технических (технологических) мер.

Все они равнозначны!

Невыполнение одних сводит

на нет результаты других.

Рекомендации СоДИТ, выработанные на заседании экспертов 6 февраля 2009 г. при участии Межрегиональной общественной организации «Ассоциация защиты информации» и Института Современного Развития, АРСИБ.

Меры (направления защиты) различаются по весу в зависимости от отрасли (банки – правовые, коммерч - технические, гос- правовые и орг)

12

Меры - направления защиты КИ

1.Организационно-правовая работа с персоналом + инструктажи + обучение

2. ОРД

4. ТСЗИ

3.Технология обработки КИ – бизнес процессы

5. Использовать то, что уже есть (делается, сделано)

Если Вы большую часть времени честны, то это, может быть, только потому, что у Вас не было возможности обмануть

Самюэль Бендахан. Швейцарский Федеральный институт технологии, Лозанна

152-ФЗ ИСО27001\17799

ПП1119 ПП 687

Пр ФСТЭК 2118.02.13

Пр ФСТЭК 1711.02.13

ИСО20000SLA

ИСО9004

РКН: Методы обезличивания

13.12.13

ГОСТ РО 0043-003\004-2012*

149-ФЗ СТР-К

* Аттестация добровольно, обязательная отменена Пр 58 ФСТЭК

КоАП (проект изм.2014)

13

Из чего состоит защита КИ? Новые требования

То, что сделали ИТ-шники, ИБ-шники защищают.Не лучше ли планировать и делать это одновременно?

Метод указания МЗСР

Метод указания ФНС

14

Из чего состоит защита КИ?

Конфиденциальность Целостность Доступность

Аутентичность – подтверждение подлинности и достоверности эл

документов

Неотказуемость – невозможность отрицания совершенных действий

ИСО 27001\17799, СТР-К

Не ищи виновного, а ищи того, кто исправит

Корреспонденция и ОРД

Внутренние документы: договоры, нормативы, справки,

учет кадров

Управление взаимодействием с клиентами

Работа с обращениями граждан Автоматизация сервисных

служб (SLA)

Разработка проектно-сметной документации

Решение прикладных задач (управление ресурсами)Работа с документами и данными

Подотчетность – обеспечение идентификации + регистрация

действий

Политика ИБ по

8 ОТЛИЧИй ПДн от КИ (КТ, СТ)

ПДн Коммерческая (служебная) тайна

1. Требуется согласие субъекта

Решение о закрытии информации принимает руководство организации для гос тайны установлен регламент, какие сведения к ней относить

2. Режим «строго конфиденциально» Гриф секретности или пометка

3. Распространение с согласия субъекта

Только по решению руководства или регламенту организации

4. При внедрении СЗПДн поверх СЗКИ могут меняться технология обработки информации

Технология обработки формируются на стадии создания организации

5. При внедрении СЗПДн переломить чужие привычки не удается, приходится убеждать

Как правило, обработка КИ выполняется по жестким регламентам принудительно

6. Уничтожаются по достижении целей \ сроков обработки. Субъекту извещение

По достижении целей обработки архивируются или уничтожаются установленным порядком по акту

7. Требуется точное знание источника ПДн- доказать при проверке и в суде,

Знать откуда получена КИ – не обязательное требование

8. Ответственность административная по ст. 13.11, 13.12 КоАП РФ и уголовная по ст. 137, 140, 171 УК РФ за распространение ПДн

Дисциплинарная по Правилам трудового распорядка, уголовная по ст. 139 ГК, 183 УК (за разглашение коммерческой тайны)

Россия вновь победит, но надо опять немного пострадать

ДСП

16

Что? Биометрические ПДн

152-ФЗ ст. 11ГОСТ Р ИСО/МЭК 19794-5-2006Автоматическая идентификация. Идентификация биометрическая. Форматы обмена биометрическими данными. Часть 5. Данные изображения лицаISO 24745 - Biometric Template Protection

17

От кого ?

«Люди мало задумываются над тем, какое количество конфиденциальной информации они разглашают непреднамеренно» Мария Дубовицкая, IBM Research Zurich

Текучка

Праздники

По дороге домой

Случайно потеряла

Стикеры на месте

_ Случайные?

_ Из любопытства?

_ А что если?

_ Злоумышленники?

Степень «злонамеренности» растет в зависимости от сложности защиты.

18

Текучка

Праздники

По дороге домой

Случайно потеряла

Стикеры на месте

1 Случайные – не знали

2 Из любопытства

3 А что если взломать?

4 Злоумышленники

Инсайдеры – 58% инцидентов ИБ, бывшие сотрудники – 7%, клиенты и партнеры - 18%

Источник: Clearswift Securelab.ru

«Люди мало задумываются над тем, какое количество конфиденциальной информации они разглашают непреднамеренно» Мария Дубовицкая, IBM Research Zurich

От кого ?

19

Конфиденциальность Целостность Доступность

Аутентичность – подтверждение подлинности и достоверности эл

документов

Неотказуемость – невозможность отрицания совершенных действий

Ввод, создание документа

Получение прав доступа к ИС

Утверждение, (визирование)Передача

Распространение, сбор, классификация

Использование

Изменение УничтожениеАрхивированиеSAAS

Концепция систематического ОБИ КИ в процессе жизненного цикла на примере СЭД

ИСО 27001, 17799, COBIT, СТР-К

Что защищаем в СЭД?

Конфиденциальность Целостность Доступность

Аутентичность – подтверждение подлинности и достоверности эл

документов

Неотказуемость – невозможность отрицания совершенных действий

ИСО 27001\17799

Не ищи виновного, а ищи того, кто исправит

Корреспонденция и ОРД

Внутренние документы: договоры, нормативы, справки, учет кадров

Управление взаимодействием с клиентами

Работа с обращениями граждан Автоматизация сервисных служб

(SLA)

Разработка проектно-сметной документации

Решение прикладных задач (управление ресурсами)Работа с документами и данными

Подотчетность – обеспечение идентификации + регистрация

действий

21

Защита ПДн в

жизненном цикле ПДн поступили из

Паспортного стола USB накопитель

(шифр)

ПДн из ТСЖ на бумажных носителях

ПДн поступили из Социального центра – список на бумажн

носителе

Субъект лично, оригиналы документов

Паспортные данные, адрес,

жилплощадь, тлф Пасп данные, сведения о

проживающих

ФИО, дата рожд, дата нач и оконч льготы по оплате

коммунальных услуг

Пасп данные, сведения о

льготах

XOR

Сбор

Накопление

Систематизация и запись (ввод в

ИСПДн)

Работники, допущенные

приказом от 29.07.11 №197

...

...

Хранение

Подано уведомление оператора об

обработке ПДн

Группа процессов использования

ПДн

Журнал «ИТ – менеджер», июль 2012г «Жизнь ПДн», И. Мялковский, А. Шехурдин

Источники ПДн

22

Жизненный цикл ПДн

Поступил запрос (обращение) на уточнение ПДн

V

Уточнение (обновление, изменение)

Извлечение

Передача (распространение, предоставление,

доступ)

Блокирование Обезличивание Удаление

Уничтожение

Поступил запрос (обращение) на блокирование,

обезличивание или удаление ПДн

Цели или сроки обработки ПДн

достигнуты

V

XOR

V

V

ПДн уничтожены

V

Использование измененных ПДн

ПДн переданы третьей стороне

V

Сроки по 152-ФЗ ст. 21 или по табл 5

Заключения о рез обследования

объекта

Субъект ПДн или организация по ст. 20

152-ФЗ Субъект ПДн

V

Работники по приказу от 29.07.11 №197 с

оформлением акта об уничтожении

В соотв с Регламентом действий при обращениях и

запросах

Использование

Принято решение об использовании

ПДн

Работники, допущенные

приказом от 29.07.11 №197 ...

Администраторы ИСПДн

Уточнение (обновление, изменение)

V

Подано уведомление оператора об изменениях

обработки ПДн

V

Подача уведомления об

изменениях перечня ПДн

Журнал «ИТ – менеджер», июль 2012г «Жизнь ПДн», И. Мялковский, А. Шехурдин

23

Зачем? Уровень защищенности или?

ТерминГде

встречается?

Что это?

Уровень значимости информаци

и

Приказ 17 Абстрактная величина. «определяется степенью возможного ущерба для обладателя информации (заказчика) и (или) оператора от нарушения конфиденциальности, целостности или доступности информации.»

Уровень защищенно

сти информаци

и

149-ФЗ,Приказ 17

Абстрактная величина, определения нет.Некое состояние системы, при котором выполняются определенные требования к ИБ информации в ней.

Уровень защищенно

сти ПДн

152-ФЗ, ПП1119, Приказ 17, Приказ 21

Конкретный показатель (1-4). «Комплексный показатель, характеризующий требования, исполнение которых обеспечивает нейтрализацию определенных угроз безопасности ПДн при их обработке в ИСПДн»

Уровень защищенно

сти ИС

152-ФЗ Абстрактная величина, определения нет.некое состояние системы, при котором выполняются определенные требования к ИБ в ней.

Класс защищенно

сти ИС

Приказ 17  СТР-К

Конкретный показатель (1-4).«Классификация информационной системы проводится в зависимости от значимости обрабатываемой в ней информации и масштаба информационной системы (федеральный, региональный, объектовый)»

24

Соответствие ПП 1119 \Пр ФСТЭК 21\17 и ПП РФ 781 \ Пр 58Информационное сообщение ФСТЭК по защите ПДн от 20.11.12 № 240\24\4669

СЗИ, сертифицированные для защиты ПДн в соответствии с требованиям 1.0

усл.об.

усл.об.

могут применяться для защиты ПДн в соответствии с требованиям 2.0

для защиты ИСПДн до 1 класса К1

УЗ1

ИСПДн до 1 уровня защищенности включительно

УЗ2

УЗ3

для защиты ИСПДн до 2 классаК2

УЗ4ИСПДн 4 уровня защищенности включительно

К3К4

классы защиты СЗИ в соответствии с Требованиями из комплекта 1.0

усл.об.

усл.об.

могут применяться для защиты ПДн в соответствии с требованиям 2.0

4 класс защиты СОВ и САЗ могут применяться для защиты ИСПДн 3 и 4 класса

К1

УЗ1 ИСПДн 1 и 2 уровня защищенности  

ИСПДн 3 уровня защищенности (с актуальными угрозами 2-ого типа или

подключенные к Интернет)

УЗ2

УЗ3*

5 класс защиты СОВ и САЗ могут применяться для защиты ИСПДн 2 класса

К2 УЗ3- ИСПДн 3 уровня защищенности (с неактуальными угрозами 2-ого типа или

не подключенные к Интернет)

6 класс защиты СОВ и САЗ могут применяться для защиты ИСПДн 1 класса

К3УЗ4 ИСПДн 4 уровня защищенности

К4

Изменения требований к системам обнаружения вторжений (СОВ) и к средствам антивирусной защиты (САЗ) с привязкой их к уровням защищенности ИСПДн

Средства защиты с наличием в сертификате ФСТЭК упоминаний классов ИСПДн

25

Какой подход к защите

конфиденциальной информации правильный?

26

Какой?

Комплексный

Инновационный

Процессный

Системный

Упрощенный

Рациональный

Оптимальный

27

Тест драйв

Управлять защитой: должны действовать измеримые механизмы, позволяющие осуществлять мониторинг и оценку типов, объемов и влияний инцидентов и отклонений, связанных с ИБЖурнал IT news? 11/09/12 # 14(196) с 23 (Мнение экспертов)

ГК «Техносерв»: «Необходимо получить целостную СЗИ, интегрированную в объект информатизации, подобрать оптимальное решение и режим работы как СЗИ, так и АИС в целом. СЗИ создается исходя из предпосылок: невозможно обеспечить требуемый уровень защищенности ИС исключительно одним средством или мерой или простой их совокупностью». Необходимо их системное согласование

Законодательство, ученые и исполнители проектов об этом

ПП от 01.11.12№ 1119: «Система защиты персональных данных включает в себя организационные и (или) технические меры, определенные с учетом актуальных угроз безопасности персональных данных и информационных технологий, используемых в информационных системах. ????

Доктрина ИБ РФ

28

29

Комплексный

1. Взят из практики, обыденного (бытового) сознания

2. Объект - набор элементов, без учета связей и динамики

развития

3. Не учитывает воздействия метасистемы и внешней среды

4. Не учитывает историю и память системы

5. Позволяет объединить несколько систем без рассмотрения

достижений цели полисистемы

6. Субъективный с перечислением составных частей объекта

7. Комплекс – всегда может быть рассмотрен, как система, но не

каждая система - комплекс

8. Автоматические программные комплексы: ГОСТ 34 и 2

Обязательно ли в России соблюдать технические ГОСТы?- 184-ФЗ

30

Системный

1. Рассматривать АСЗИ, как систему, элемент метасистемы –

ИТ инфраструктуры. Свойства системы не равны свойствам

ее элементов (целостный аспект)

2. Выделять и анализировать систему по частям (элементам и

связям) в динамике развития (структурный аспект)

3. Анализировать внешние воздействия на систему,

сопоставлять функции системы с влиянием внешних

условий (функциональный аспект)

4. Учитывать историю и перспективы системы

(исторический аспект)

5. Автоматизированная система: ГОСТ 34 и 19

Все сложное – неправда! Григорий Сковорода, украинский философ

31

От идеальности в бюджетную реальность

Комплексный

Инновационный

ПроцессныйСистемный

Упрощенный

Рациональный

Оптимальный

Если -------------------

------------------- ИТС

Если ---------------------

32

лет безупречной работы на рынке информационных технологий

ИТ инфраструктура

АСЗИ

Миссия

Стратегия (Политика ИБ) защиты КИ

(КТ+ПДн):подходы

Технология обработки и защиты инф

Вспомогательные

подсистемы АСЗИ

Цели

ТСЗИ

Люди

ОРД

Если смотреть на АСЗИ как на систему - взаимоувязанную целями защиты совокупность эелментов, то сразу закономерно возникает

желание ее оценивать, измерять

Предмет: Автоматизированная система защиты информации (коммерческой, служебной, спец тайны и персональных данных)

Требования законов,Бизнес-факторы Рекомендации, указания регуляторов, Региональные условия,Зависимость от других оргганизаций

Особенности взаимоотношений с контрагентами (партнерами, поставщиками, клиентами)

А у нас коммерческой тайны нет!!! ??? И нам нечего скрывать по МСФО!!!

А нам не нужна защита КТ, только ПДн!?

Это не СУИБ!

34

Автоматизированная система защиты информации и ПДн

- подсистема информационной инфраструктуры

Цели АСЗИ\ПДн:

1. Предотвратить инциденты ИБ (утечки, НСД, сбои АСЗИ)

2. Оперативно (мгновенно до неск. часов) расследовать инцидент

Люди: персонал, допущенный к обработке ПДн и КТ

Программно-аппаратные средства защиты информации (сертифицированные)

ИСПДн и подсистемы обработки конф инф.

Организационно –распорядительные документы (внедренные в делопроизводство)

Технология обработки инф: регламенты, процессы

Источники внешних воздействий:

1. Инсайдеры и внешние нарушители2. Законодательство3. Местные условия размещения ИСПДн и

АСЗИ4. Другие подсистемы безопасности

(физической, экономической, пожарной)

35

Достичь разумного (обоснованного с участием экспертов или с помощью расчетов и измерений) соответствия:

Требование к идеальному проекту защиты информации

Значений параметров (характеристик)

уровня защищенности информации

Значений параметров (характеристик) эффективности основных процессов обработки

информации~На основе применения субъективного

(определенного опытным путем) правила Парето: 80% положительного эффекта достигается 20% усилий, а оставшиеся 20% - оставшимися 80% усилий (читай материальных затрат, иногда и

моральных)

Ставьте перед собой цели по больше – не промахнетесь!

36

ССП АСЗИ в виде дерева взаимосвязанных целей, функций, мер и средств защитыПредотврат

итьРасследоват

ь

Требования ИСО 27001, СТРК, ФСТЭК к защите инф

Функции АСЗИ, выполняемые людьми и техническими

средствами

Определить кто и что из ТСЗИ какую функцию выполняет, исключая

пересечения функций (не целесообразно 2 антивирусных

системы)Выбрать опережающие показатели

исполнения каждой функции и задать критерии их оценки в каталоге услуг

SLA

Организовать контроль исполнения (мониторинг) по ИСО 9004 с внесением

изменений в АСЗИ

Уровень целей АСЗИ

Уровень стандартных требований к защите КИ

Уровень функций АСЗИ

Уровень средств АСЗИ

Уровень оценки эффективности инвестиций в АСЗИ

Уровень ИТС и модернизации АСЗИ

37

ССП эффективности АСЗИ в виде дерева взаимосвязанных целей, функций, мер и средств защиты

Предотвратить

Расследовать

Конф

ид

енц

иал

ьность

Цел

остн

ость

Досту

пность

Ауте

нти

чнос

ть

Неотк

азу

ем

ость

Под

отч

ето

ст

ь

Кри

пто

защ

ит

а

Ан

тиви

русн

ая

МС

Э

Сегм

ен

тиров

ан

ие

Неп

реры

вн

ое

ул

учш

ен

ие

качест

ва п

о

ИС

О 9

00

4

Реги

страц

ии

и

учета

Уп

равл

ен

ия

дост

уп

ом

Защ

ита

м

аш

ин

ны

х

носи

тел

ей

Доверен

ная

загр

узк

а

Защ

ита

ви

рту

ал

ьн

ой

ср

ед

ы

Применять ТСЗИ , исключая возможные пересечения функций защиты

…

38

Кри

пто

защ

ит

а t

зад

ерж

ки

Ан

тиви

русн

ая

МС

Э

Сегм

ен

тиров

ан

ие

Неп

реры

вн

ое

ул

учш

ен

ие

качест

ва п

о

ИС

О 9

00

4

Реги

страц

ии

и

учета

Уп

равл

ен

ия

дост

уп

ом

Защ

ита

м

аш

ин

ны

х

носи

тел

ей

Доверен

ная

загр

узк

а

Защ

ита

ви

рту

ал

ьн

ой

ср

ед

ы

Принцип привязки показателей функциональных элементов к подсистемам АСЗИ по методу ССП

Вр

ем

я з

ад

ер

жки

Вр

ем

я

восста

новл

ени

я

посл

е и

нц

ид

ента

Вр

ем

я р

еакц

ии

на

инц

ид

ент

Вр

ем

я

восста

новл

ени

я

посл

е с

боя

Вр

ем

я б

езо

тказн

ой

р

аб

оты

Вр

ем

я

раб

ото

способ

ности

Вр

ем

я в

нед

рени

я

новы

х с

вой

ств

А

СЗ

И

Сто

им

ость

в р

уб

лях

З\п

об

сл

уж

иваю

щего

пер

сонал

а

Сто

им

ость

ИТС

Сто

им

ость

скр

ыты

х

затр

ат

Выбрать KPI для создания каталога услуг службы ИБ

39

Реализация системного подхода - ССП

1. Выбрать самое важное и то, от чего следует отказаться при создании АСЗИ (ПДн), выявить пересекающиеся функции подсистем, их показатели.

2. Метод системы сбалансированных показателей (ССП):- разделить стратегические цели, задачи, критерии, показатели и

средства их достижения на элементарные части, - ограничиться самыми важными, - добиться сбалансированности частей - получить возможность явно и оперативно отслеживать изменения

показателей и степень их влияния на стратегические цели.

Сбалансированность показателей = очевидность, непосредственность влияния их (функций АСЗИ) друг на друга.

Если не сильно доверяем устройству, даем ему кусочки безопасных сервисовОдинаково защищать булавки и брильянты – одинаково плохо

40

Показатели ССП защиты КИ и ПДн

Опережающие показатели при мониторинге: среднее время простоя подсистемы, стоимость потерь в результате реализации угрозы, количество инцидентов за период, количество успешно раскрытых, коэффициент готовности АСЗИ

Результирующие - при подведении итогов: суммарное время восстановления обработки информации, стоимость затрат на восстановление за период (год) …

Опережающие показатели «раннего предупреждения» АСЗИ формируются путем разбиения сложных показателей достижения целей АСЗИ на простые составляющие показателей подсистем. Финансовые цели достигаются нефинансовыми показателями, а сама стратегия – не только правила игры, но и путь с правилами его прохождения.

Какие?

Как?

Если цели АСЗИ (ПДн) будут казаться не достижимыми вашим подчиненным, они не будут стараться достичь их

41

Контроль или мониторинг?

Вместо бесцельного контроля - процессный подход к управлению безопасностью по ИСО 9004 + SLA (ИСО 20000):

• учет реакций по обратным связям системы мониторинга.• контроль и накопление значений показателей ССП;• систематические аудиты, каждый из которых не ограничивать

простыми проверкой соответствия, а поднимать планку заданного показателя. В противном случае всякий контроль теряет смысл и становится бедствием для подчиненных, превращается в формальность и постепенно умирает при очередной смене власти.

Процессы аудитов, мониторинга должны быть нацелены на полезный для бизнеса результат по COBIT

Любой показатель не имеет собственной оценки. Все рассматривать через систему ценностей бизнеса: финансовые показатели не опережающие

42

До какой степени защищаться? МОЖНО ЛИ ИЗМЕРИТЬ ИБ?

Создание АСЗИ (ПДн) - по принципу Парето 80/20 < 10..20% бюджета

Обеспечить оперативность расследования (реакции) на каждый инцидент

Обеспечить непрерывное повышение качества АСЗИ по ИСО9004 взамен бесцельного контроля по ПП 1119 от 01.11.12

Он (Валико) мне сказал: «Такую неприязнь испытываю к потерпевшему, что кушать не могу»

Источник: ИТ менеджер 07.2012 « Процессный подход – современный подход к управлению организацией при управлении качеством»

43

Типовые несоответствия в актах проверок

• Нет понимания, что произошло - «я ничего не делала»!

• Доступ в помещение ~ доступ к инф (мусорные корзины, уборщица и т.п.)

• Общие принтеры, внешние e-mail: gmail.ru, mail.ru Одноклассники, Facebook, Twitter, ICQ, Skype

• Мобильные устройства, VIP + VPN

• Беспроводные под паролями, но пароли на стенке рядом, то же АРМ

• У кого больше доступ, тот и большую угрозу представляет – VIP смартфоны

• Утиль: старые CD, DVD, винчестеры, флэшки…, мусорные корзины с ПДн

• Сервер в ремонт вместе с базой ПДн (управление персоналом)

• Групповые рассылки e-mail - вся клиентская база (поздравления)

• Фото, доска почета, видеокамера в зале - не биометрия

• А ксерокопия паспорта – не ПДн

• СКУД защищать не нужно

• TeamViewer, ICQ, RA admin… не проверяются

• Разные места хранения ПДн + «ищи сам, что нужно»

В ИТ или ИБ проекте важно точно знать, что делаешь и почему делаешь именно так

44

Несоответствия в Ростове на Дону и Челябинске

1. Неправильное хранение сертифицированного ПО и документации

2. Отсутствие контролируемого доступа в помещения ИСПДн и где

размещены СКЗИ - средства криптозащиты информации

3. Нет документов, подтверждающих установку СКЗИ - не выполнены

требования по монтированию и настройке СКЗИ

4. Нет эксплуатационных документов на СКЗИ

5. Отсутствует учет СКЗИ

6. Отсутствует описание системы защиты информации

7. Нет модели угроз и действий потенциального нарушителя

8. Нет документов о защите инф в ИСПДн и порядка восстановления инф.

ИСПДн после взлома\уничтожения

9. Не проведено обучение пользователей работе с СКЗИ (нет документов,

подтверждающих проведение обучения)

10. Не определен порядок (частота, ответственные, сроки) проведения

внутреннего аудита соответствия требования к защите ПДн

Кому нужна защита одних прав в ущерб другим?

45

Типовые «грабли» проектов

• Когда проверят, тогда и будем думать• Внедрение АСЗИ (ПДн) само упорядочит дела в организации;• Пути защиты инф у нас уникальны• АСЗИ (ПДн) до уровня системы охраны или видеонаблюдения• С людьми работать не обязательно• Зачем меня ограничили, ведь я все это знаю?

• Разработка и исполнение регламентов для галочки, все равно никому это не нужно

• Доведение защищенности до абсурда, граничащего с физической невозможностью соблюсти все собственно разработанные нормы и эксплуатировать внедренные средства.

Опыт без теории – пересечение болота с уверенностью, что до болота была же твердая почва

Нету денег!!!

46

У нас нечего защищать!

Нету

денег!!!

47

Среднее распределение статей бюджета на ИБ

Источник: ИТ-менеджер, №02, 2014

Консалтинг в области информационной безопасности• Аудит и создание системы защиты персональных данных (ФЗ-152),

организационно-распорядительных документов;• Построение моделей угроз безопасности в соответствии с методикой

ФСТЭК;• Создание системы защиты персональных данных;• Комплект шаблонов организационно-распорядительных документов для

обработки и защиты персональных данных;• Внедрение механизмов мониторинга и оценки инцидентов и отклонений.

Инфраструктурные решения для защиты, мониторинга и контроля:

• Решения для защиты периметра сети и безопасной передачи данных:

- средства доверенной загрузки;- средства резервного копирования;- сетевые сканеры, защитные межсетевые экраны;- шлюзы VPN.

• Защита от инсайдеров (DLP-решения);• Средства доверенной загрузки, антивирусное ПО, средства

защиты от НСД (несанкционированный доступ).• Системы охранного видеонаблюдения.

Информационная безопасность

46

Телефон8 800 200 5960

Москва+ 7 (495) 232-92-30

Санкт-Петербург+7 (812) 327-59-60

Екатеринбург +7 (343) 378-41-50

Сайт www.trinitygroup.ru

Технический форумwww.3nity.ru Обеспечение безопасности информации

Технический блогwww.blog.trinitygroup.ru

Электронная почтаinfo@trinitygroup.ru

+7 (812) 327-59-60 доб.2803 i.myalkovskiy@trinitygroup.ruim@trinity.su

Мялковский Игорь КонстантиновичРуководитель проектов защиты информации

Все народные мудрости - от глупости