Внедрение СУИБ на основе ISO/IEC 27001

Внедрение СУИБ на основе ISO27001

Валентин Сысоев, CISM Менеджер проектов "Агентство Активного Аудита“

Директор по коммуникациям Киевского отделения ISACA

Содержание

• Нормативные и регуляторные требования

• Основные понятия, суть и место ИБ в структуре компании

• Этапы внедрения процессов и системы управления информационной безопасностью

• Примеры и методика

25.09.2013 © Валентин Сысоев, CISM 2

Нормативные и

регуляторные требования в

области информационной

безопасности

Нормативные и регуляторные требования

ISO27001

ISO27002

ISO9001

SOX (Sec.404)

NERC/FERC- CIP, FISMA,

NIST

PCI DSS v. 2.0

PA-DSS v.2.0

Basel II (III)

EU Data Protection Directive (Directive 95/46/EC)

Sarbanes- Oxley Act of 2002, North American

Electric Reliability Corp./ Federal Energy

Regulatory Commission – Critical Infrastructure

Protection, Federal Information Security

management Act

Basel II: International Convergence

of Capital Measurement and Capital

Standards: a Revised Framework

Национальный банк СОУ Н НБУ 65.1 СУИБ 1.0:2010

Directive 95/46 of the European Parliament

and the Council of 24 October 1995

Вопросы защиты ПДн при их обработке,

обмене и хранении в странах-членах ЕС


Основные понятия, суть и

место ИБ в структуре

компании

Определение ИБ

Информация –

данные наделенные смыслом и целью.

Информация занимает позицию наравне с другими критическими ресурсами организации, и требует должного внимания, осторожности,

благоразумия, защиты и т.д.

Информационная безопасность становится критическим фактором для выживания бизнеса, причем для адекватной защиты информации

эта проблема должна рассматриваться на уровне Правления компании, наравне с критическими бизнес функциями организации.


Суть информационной безопасности

Информация

Конфиденциальность

Только уполномоченные лица

получают доступ к информации

Доступность

Важная информация доступна,

когда она необходима

Целостность

Информация достоверная и

целостная


Суть информационной безопасности (продолжение)

Информационная безопасность – это

процесс управления (а не

технические средства), который, в

свою очередь, является одним из

важнейших элементов

корпоративного управления.

IT безопасность

• Вирусы, DDOS, системные ошибки, сбой оборудования

Технологии

• Системы, оборудование, архитектура

Информационная безопасность

• Действия уволенного сотрудника, ограбление, рейдерские

атаки, человеческие ошибки

Управление,

• Политики, стандарты, процедуры, процессы, риски,

осведомленность, непрерывность



© Валентин Сысоев, CISM 9

АКТИВЫ

Угроза

СИСТЕМА БЕЗОПАСНОСТИ

НЕДОСТАТКИ

25.09.2013



Электронная документация

Информационные услуги (сервисы)

Информационные системы

Бумажная документация

Средства для обработки информации

25.09.2013



Управление нормативной безопасностью

Управление непрерывностью бизнеса

Управление инцидентами

Управление безопасностью разработки информационных систем

Управление доступом

Управление безопасностью электронной информации

Управление физической безопасностью

Управления безопасностью для собственного персонала

Управления безопасностью для третьих лиц

Управление безопасностью информации на бумажных носителях

25.09.2013

http://magazine.hrm.ru/hrm/hrm_new_forum.nsf/015EBDBAB41E8D74C325786200444A8B/$File/icon150.jpg

ИБ



Методика и этапы внедрения

системы управления ИБ

(СУИБ)

Этап 1 Анализ текущего состояния

ИБ

1.1 Сбор информации, изучение структуры бизнеса и процессов

предприятия

1.2 Изучение политик и стандартов, требований

к обеспечению информационной


1.3 Изучение действующих практик и

процессов к обеспечению

информационной безопасности

1.4 Оценка соответствия СУИБ требованиям 27001

Этап 2 Мероприятия по организации ИБ

2.1 Обязательства руководства по

управлению информационной

безопасностью

2.2 Назначение ответственных лиц за

внедрение и функционирование

СУИБ

2.3 Определить сферу и пределы

использования СУИБ

2.4 Определить политику

информационной безопасности

Этап 3 Инвентаризация и

классификация активов

3.1 Описание бизнес процессов и функций,

определение используемых активов

в БП (бизнес актив)

3.2 Определение и согласование

владельцев бизнес активов

3.3 Определение влияния на бизнес и оценка критичности

бизнес активов

3.4 Описание бизнес активов

3.5 Согласование и составление Реестра

информационных активов

Этап 4 Оценка и Обработка рисков

4.1 Определение уязвимостей и угроз

4.2 Оценка вероятности реализации угроз

4.3 Оценка уровней информационных

рисков

4.4 Выбор мер защиты для снижения рисков

4.5 Определения подходов обработки

рисков

Этап 5 Дорожная карта

51 Составление Плана обработки рисков и

Положения о применимости

5.2 Составление Плана внедрения СУИБ

5.3 Составление рекомендаций по внедрению СУИБ

5.3 Реализация планов внедрения СУИБ

Этап 6 Внедрение мероприятий по

мониторингу эффективности

СУИБ

6.1 Разработка документации по

проведению внутреннего аудита

СУИБ

6.2 Разработка документации по

проверке процесса оценки рисков


Методика и этапы внедрения СУИБ

Цели:

Основной целью этого этапа является изучение структуры бизнеса и процессов предприятия, определение требований информационной безопасности и специфики бизнес процессов. Получить экспертную оценку действующих процессов управления и организации ИБ, определить степень соответствия ISO27001.

© Валентин Сысоев, CISM

Анализ текущего состояния ИБ

Этапы и методика

•Изучение видов деятельности предприятия

•Изучение организационной структуры предприятия

•Изучение структуры бизнес процессов предприятия

Сбор информации, изучение структуры бизнеса и процессов предприятия

•Изучение требований бизнеса к ИБ

•Изучение требований политик и стандартов ИБ Изучение политик и стандартов, требований к обеспечению информационной безопасности

•Изучение процессов и процедур ИБ

•Изучение требований ИБ к допустимому использованию активов Изучение действующих практик и процессов к обеспечению информационной безопасности

•Выявление основных мер безопасности

•Оценка соответствия ИБ внутренним политикам и процедурам

•Оценка соответствия внедренных процессов управления ИБ стандартам ISO27001\27002 Оценка соответствия СУИБ требованиям 27001

0% 20% 40% 60% 80%

Основные процессы управления

Политика в области безопасности

Организация системы безопасности

Классификация активов и управление

Безопасность и персонал

Физическая и внешняя безопасность

Менеджмент компьютеров и сетей

Управление доступом к системе

Приобретение, разработка и обслуживание информационных систем

Менеджмент инцидентов информационной безопасности

Обеспечение непрерывности бизнеса

Соответствие законодательству

Разделы

стандарта

Процент выполнения

требований разделов

стандарта

25.09.2013 15 25.09.2013


Мероприятия по организации ИБ Цели:

Основной целью этого этапа является установление обязательства руководства по управлению информационной безопасностью, назначение ответственных лиц за внедрение и функционирование СУИБ, определить сферу и пределы использования СУИБ, определить политику информационной безопасности

На этом этапе проводятся организационные работы и проводится следующие действия

• Создание Комитета по обеспечению информационной безопасности (или Риск комитет)

• Создание Концепция управления информационной безопасностью;

• Создание Руководства по определению ролей и ответственных за организацию

информационной безопасности;

• Создание Политики информационной безопасности


Объекты

Инженерная инфраструктура

Оборудование

ПО\Базы данных

IT сервисы

Бизнес активы


Инвентаризация и классификация активов Цели:

Основной целью этого этапа является описание бизнес процессов и функций, выявление информационных активов, которые используются бизнесом для выполнения процесса (бизнес активы), и дальнейшее их описание: инвентаризация аппаратных, программных, инфраструктурных ресурсов и объектов.


Необходимы для выполнения БП

зависят от

используют

размещены на

поддерживаются

находятся на

ERP, клиент банк, e-mail,

сеть, AD, удаленный доступ

SQL, Oracle, ПО ERP SAP

сервер, маршрутизатор,хаб

электропитание, охлаждение

серверная, ЦОД, архив

Описание бизнес процессов, определение

используемых активов в процесса (бизнес актив)

Определение и согласование владельцев бизнес

активов

Описание бизнес активов: инвентаризация

аппаратных, программных, инфр. ресурсов

Согласование и составление Реестра

информационных активов

Цели:

Определение влияния на бизнес и оценка критичности дает понимание того, какой информационный актив является критическим для бизнеса, максимально возможный ущерб, в случае нарушения его работ, а так же степень зависимости бизнеса от информационного актива.


Определение влияния на бизнес и оценка критичности активов

Определение возможного ущерба для

бизнеса

•Финансовый ущерб

•Операционный ущерб

•Ущерб, связанный с потребителем

•Ущерб, связанный с сотрудниками

Оценка критичности

актива

•Конфиденциальность

•Целостность

•Доступность

Общая классификация

актива

•Критичный

•Средний

•Малый

Критичность информационного актива за тремя свойствами информации (конфиденциальность, целостность, доступность) определяется на основании влияния на бизнес в случае инцидентов ИБ по таким критериям: • финансовый ущерб • операционный ущерб • ущерб, связанный с потребителем • ущерб, связанный с сотрудниками


20% + 11% to 20% 6% to 10% 1% to 5% Меньше 1%

X$20m+ $1m to $20m $100K to $1m $10K to $100K Меньше $10K



X25% + 11% to 25% 6% to 10% 1% to 5% Меньше 1%

X

Критична

втрата

Серйозна

втрата

Значна втрата

контролю

Умеренная

потеря

Минимальная

потеря

X

Потеря контроля над

управлением (например,

нарушениями принятия решений)

F3

Взыскание / юридическая

ответственность (например,

нарушения нормативно-правовых

или договорных обязательств)

F4

Непредвиденные расходы

(например, возмещение

расходов)

F1Потеря продаж, заказов и

контрактов

F2

Потери материальных

активов (например,

мошенничество, кража денег)

F5

Снижение стоимости акции

(например, внезапная потеря

стоимости акций)

O1

E

Операционные

Рейтинг Оценки Ущерба

Конфиденциальность

Финансовые

Рейтинг оценки ущерба

A-критический, B-высокий, C-средний, D-низкий, E-малыйТип ущербаRef.

A B C D

Цели:

Идентификация угроз и уязвимостей критических информационных активов, выявление, анализ и уменьшение рисков до приемлемого уровня для бизнеса.

Управление рисками включает в себя анализ рисков, оценку, обработку, принятие и мониторинг риска и является основой для последующего создания Плана обработки рисков - плана действий информационной безопасности предприятия.


Оценка и Обработка рисков


Определение объемов и границ

Выявление рисков

Анализ рисков

Оценка рисков

Принятие остаточного риска

Избежание риска

Уменьшение риска

Передача риска

Принятие риска

Мо

ни

тор

ин

г р

иск

ов

Цели:

Предоставить рекомендации по мерам безопасности для уменьшения или устранения рисков, рекомендации относительно необходимых изменений СУИБ. Уменьшение рисков включает в себя: приоритезацию рисков, оценку мероприятий по снижению рисков для информационного актива, рассмотрение возможных затрат и выгод, выбор стратегии обработки рисков, разработка плана обработки рисков и планирование необходимых изменений СУИБ.


Дорожная карта


Січ. Лют. Бер. Квіт. Трав. Черв. Лип. Серп. Вер.

57 180 дней ААА, ДС

58 Done ААА

59 60 дней ААА

60 5.2.1 Политика управления изменениями

61 5.2.2 Положение о Комитете управления изменениями

62 5.2.3 Руководство по управлению изменениями

63 5.2.4 Политика распределения ролей и обязанностей в процессе управления изменениями

64 5.2.5 Политика приобретения, разработки и поддержки прикладного программного обеспечения

65 30 дней ДС

66 90 дней ИТ

67 5.4.1 Приобретение сетевого и серверного оборудования для разграничения сред разработки и тестирования

68 5.4.2 Сегментация сети

69 5.4.3 Разграничения среды разработки, опытной и промышленной эксплуатации

70 90 дней ИТ

71 5.5.1 Процедура внедрения изменений 90 дней ААА

72 5.5.2 Процедура внедрения срочных изменений 90 дней ААА

73 5.5.3 Процедура опытной эксплуатации изменений 90 дней ААА

74 5.5.4 Процедура внедрения релизов 90 дней ААА

75

76 60 дней ААА, ДС




80 30 дней ДС

5. Внедрение процесса Управления изменениями

5.1 Проведение аудита процесса приобретения, разработки и поддержки информационных активов

5.4 Организация ИТ инфраструктуры

ІІI квартал 2013ОтветственныйID Срок

I квартал 2013 ІI квартал 2013Задание

Сокращения: ДС - Деркач Сергей, РСП - Руководители структурных подразделений

6.2 Разработать Соглашение о конфиденциальности

6.3 Разработать Обязательства "Обязательства о неразглашении работникам третьих Компаний

6.4 Утверждение, введение и распространение среди заинтересованных лиц

6. Организовать процесс безопасной работы с Внешними сторонами

5.5 Утверждение и внедрение процедур по управлению изменениями

5.2 Разработка политик и руководств по организации процесса управления изменениями

5.3 Утверждение, введение и распространение среди заинтересованных лиц

5.5 Разработка процедур по управлению изменениями

6.1 Разработать Политику взаимодействия с третьими сторонами

Дорожная карта

Оценка защищенности

Оценка рисков

Аудит Используя результаты аудита, оценки рисков и оценки защищенности на предыдущих

этапах, разрабатываются рекомендации по таким направлениям: • Построение/оптимизация процессов ИБ/ИТ и организационной структуры

• Автоматизация процессов ИБ/ИТ

• Создание/изменение документации и договоров

• Требования к знаниям и квалификации персонала

• Внедрение метрик (KPI, SPI) для оценки эффективности процессов ИБ\ИТ

После согласования рекомендаций с руководством, разрабатывается Дорожная карта с указанием этапов и зависимостей по построению и оптимизации процессов ИБ/ИТ.

Рис.1 Пример дорожной карты

Внедрение процессов СУИБ



пользователей

Распределение обязанностей

Разграниче-ние доступа

Управление предоставлением

доступа

Безопасность платформ

Защита ОС

Защита сетевых компонентов

Защита базового ПО

Защита прикладного ПО

Защита рабочих станций

Устойчивость инфраструктуры

Устойчивость аппаратного обеспечения

Устойчивость програмного обеспечения

Устойчи-вость центров

обработки данных (серверных помещений

Управление изменениями

Управление изменениями

Распределение среды

Планирование и процесс ввода в эксплуата-цию

Использова-ние услуг третьих

сторон

Управление взаимодействием с поставщиками

Управление услугами, которые предоставляются

третьими сторонами

Мониторинг безопасности

Мониторинг событий


Управление инцидентами безопасности

Соответствие техническим требованиям

Тестирова-ние на проникнове-ние в

систему

Управление критически-ми

ситуациями

Мероприятия обеспечения

беспрерыв-ности ИТ процессов

Мероприятия по восстановле-нию

после аварий

Управление кризисными ситуациями

Основные задания организации ИТ

Владение информационными

активами

Классификация информационных

активов Архитектура ИТ

Управление конфигурацией

Операционные процедуры и зоны

ответственности

Соответствие внутренним

требованиям

Осведомлен-ность пользователей



Внедрение мероприятий по мониторингу эффективности СУИБ

Цели:

Мониторинг и оценка эффективности системы управления информационной безопасностью - это системный процесс получения и оценки объективных данных о текущем состоянии систем, действиях и событиях происходящих в ней, устанавливающий уровень их соответствия определенным критериям.

Код I.IA2

Процесс Аутентификация для удаленного администрирования сетевых устройств и серверов

Риск Риск финансовых и репутационных потерь при реализации угроз безопасности (вредные воздействия скоординированных злоумышленников, получение несанкционированного доступа к системам и сетям и т.д. и т.п.), которые эксплуатируют уязвимость, того что при удаленном администрировании серверов и сетевых устройств не проводится идентификация оборудования.

Меры безопасности В случае когда допускается удаленное администрирование серверов и сетевых устройств, все оборудование, с которого будет производиться удаленное администрирование, должно проходить идентификацию для проверки подлинности.

Требования Смотреть на Смотреть что

Удаленный доступ к системе, особенно системными администраторами, вносит дополнительный риск несанкционированного доступа. Следовательно, необходимо ограничить удаленный доступ только с определенных устройств. Выполнение этого мероприятия безопасности должно обеспечивать связь для администрирования системы только из известных мест или оборудования. Идентификатор (например MAC-адрес или IP-адрес) можно использовать, чтобы указать, разрешено ли этому оборудованию подключаться к сети. Эти идентификаторы должны четко указать, к какой сети разрешается подключить оборудование.

• Область удаленного администрирования. • Анализ рисков. • Узлы(в сети), откуда было выполнено удаленное администрирование.

• Политика для удаленного администрирования. • Рассмотрены ли вопросы удаленного администрирования. • Является ли узел физически защищенным.

Выполнение

Дата тестирования

Кем выполняется тестирование

Отдел

Местонахождение доказательств

Оценка (эффективные, неэффективные)

Вывод


Вопросы?


Documents

Внедрение СУИБ на основе ISO/IEC 27001