Embed Size (px)
Citation preview
Управление информационной безопасностью АСУ ТП
Вебинар 03 декабря 2015 года
Юлия Добровольская Ведущий аналитик
Департамента системной интеграции Уральский Центр Систем Безопасности
• Основные процессы управления информационной безопасностью АСУ ТП
• Внедрение процессов управления ИБ АСУ ТП на предприятии
• Автоматизация процессов управления информационной безопасностью АСУ ТП
Содержание
Основные процессы управления ИБ
• ISO/IEC 27001:2005 • 1. Процессный подход к управлению ИБ
• 2. Использование модели PDCA:
• «Планирование»
• «Осуществление»
• «Проверка»
• «Действие»
3
УправлениерискамиИБ
Управлениеинцидентам
иИБ
Управлениеактивами
Управлениеперсоналом
УправлениесоответствиемтребованиямИБ
Управлениенепрерывно
стью
Основные процессы управления ИБ
• Приказ ФСТЭК России № 31 • ГОСТ Р ИСО/МЭК 27001 • ISO/IEC 27002:2005 • ISO/IEC 27005:2008 • NIST SP 800-82
4
УправлениерискамиИБ
Управлениеинцидентам
иИБ
Управлениеактивами
Управлениеперсоналом
УправлениесоответствиемтребованиямИБ
Управлениенепрерывно
стью
Реализация процессов управления ИБ
• Каждый процесс – набор связанных процедур, использующих ресурсы и имеющих свой результат
5
Оценка риска
Идентификация риска
Анализ риска
Установление области оценки
Обработка риска
Мониторинг и анализ
риска
Реализация процессов управления ИБ
6
Инициацияпроцесса
ПриказопроведенииоценкирисковИБ
ПланоценкирисковИБ
Определениецелейиобластиоценкирискови
др.
ОцениваниерисковИБ
Оформлениеотчетаобоценке
рисков
Опросныелисты
Отчетобоценкерисков
РеестррисковИБ
Опросныелисты
Взаимосвязь процессов управления ИБ
7
УправлениеинцидентамиИБ
УправлениерискамиИБ
Управлениеактивами
Управлениенепрерывностью
ДанныеобинцидентахИБ
ДанныеобинцидентахИБ
Данныеобактивах
Данныеобактивах
Данныеорисках
Взаимодействие подразделений
8
Руководство • стратегическое управление • координация и контроль • выделение ресурсов
Подразделение ИТ • сопровождении сетей АСУ ТП и обслуживание технических средств (РС, серверы, АСО)
Подразделениеэксплуатации• сопровождения АСУ ТП
Подразделение ИБ • определение требований по ИБ АСУ ТП • подбор решений по обеспечению ИБ • внедрение и сопровождение системы защиты АСУ ТП
Внедрение процессов управления ИБ АСУ ТП
9
Формирование рабочей группы
• Определение целей• Планирование
Анализ существующих
процессов
• Идентификация процессов обеспечения ИБ
• Разработка плана реализации
Разработка процессов
управления ИБ
• Документирование процессов• Определение ролей и сфер
ответственности
Реализация процессов
управления ИБ
• Обучение персонала• Контроль
выполнения
Проблемы внедрения системы управления ИБ АСУ ТП
10
Характеристика ПроблемыМножество внешних требований 263-ФЗ, приказ ФСТЭК России №31, отраслевые требования, NIST, CIP NERC…
- Пересечение требований - Затраты на соответствие
Интеграция с системой корпоративного управления Цели, риски, …
- Демонстрация результатов - Достоверность оценок
Обширная область действия Люди, филиалы, процессы, АСУ ТП, ИС…
- Контроль выполнения - Оценка текущего состояния
Объем информации Источники – СЗИ, АСУ ТП, люди, … Хранение – БД, файлы, папки, …
- Актуальность информации - Поиск и отчетность
Оптимизация процессов управления ИБ
11
ComplianceGovernance
Risk Management • Выявление, анализ и приоритизация рисков
• Обработка рисков • Мониторинг и пересмотр рисков
Governance - Стратегическое управление • Определение целей бизнеса и контроль их достижения
• Принятие руководящих решений
Compliance Management • Соблюдение внутренних и внешних требований
12
Возможности автоматизации процессов управления ИБ
• Управление активами • учет активов АСУ ТП
• назначение ответственных за активы
• определение уровня критичности обрабатываемой в АСУ ТП информации
• формирование актов классификации АСУ ТП
• оповещение о необходимости произвести определение или пересмотр класса защищенности АСУ ТП
• управление изменениями конфигурации АСУ ТП
13
Управление активами
14
Возможности автоматизации процессов управления ИБ
• Управление рисками ИБ • инициация и контроль процесса оценки рисков ИБ • формирование модели нарушителя и модели угроз • системный анализ рисков для определения наиболее актуальных направлений обеспечения ИБ АСУ ТП
• рациональная оценка ожидаемых потерь с целью обоснования необходимости внедрения дополнительных средств защиты информации
• переоценка остаточных рисков после внедрения средств защиты
15
16
Управление рисками ИБ
Возможности автоматизации процессов управления ИБ
• Управление инцидентами ИБ • оперативное получение информации об инциденте ИБ АСУ ТП из внешних систем
• использование актуальной информации о реализованной угрозе ИБ и активах для анализа инцидента ИБ АСУ ТП
• инициация рабочего процесса обработки инцидента ИБ • корректировка статистических данных и управление знаниями по итогам инцидента ИБ
17
18
Управление инцидентами ИБ
Возможности автоматизации процессов управления ИБ
• Управление соответствием • оперативное представление внешней и внутренней нормативной документации
• демонстрация свидетельств выполнения требований • демонстрация полноты реализации требования и охвата системы защиты
• представление требуемой информации в агрегированном виде
19
Управление соответствием
20
Возможности автоматизации процессов управления ИБ
• Управление персоналом • разработка и ведение планов обучения • размещение обучающих материалов и информирование персонала по вопросам обеспечения ИБ АСУ ТП
• тестирование и хранение результатов тестирования работников по вопросам обеспечения ИБ АСУ ТП
21
22
Управление персоналом
• Создание системы управления ИБ АСУ ТП позволит обеспечить адекватность процессов обеспечения ИБ АСУ ТП существующим рискам
• Система управления ИБ АСУ ТП требует непрерывной поддержки
• Использование средств автоматизация позволит повысить эффективность системы управления ИБ
Выводы
Спасибо за внимание!Юлия Добровольская
Ведущий аналитик ДСИ ООО «УЦСБ»
