Критерии выбора решений по информационной безопасности

Владимир Ткаченко Директор ООО «Агентство активного аудита»

Семинар Решения IBM для обеспечения информационной безопасности

Практическая реализация защиты ИТ инфраструктуры предприятия

Типичные заблуждения при реализации защиты ИТ инфраструктуры предприятия

ISO 27001 – открытие для ИТ директоров предприятий

ISO 18044 – откровение для ИТ и бизнеса

CoBIT – это что-то только у «них там на западе» и «у нас не работает»

Купим Антивирус, WEB-фильтр, IDS/IPS, DLP (нужное подчеркнуть) и все будет ок

Как определить потребность в продуктах ИБ?

ISO 27001 – открытие для ИТ директоров предприятий

ISO 18044 – откровение для ИТ и бизнеса

CoBIT – это что-то только у «них там на западе» и «у нас не работает»

Купим Антивирус, WEB-фильтр, IDS/IPS, DLP (нужное подчеркнуть) и все будет ок

Данные для принятия решения

Описание

Анализ ИТ рисков Позволяет определить наиболее критичные ресурсы подверженные наиболее вероятному перечню угроз + возможность оптимально резервировать ресурсы для решения задач ИБ, возможность измерить риск в бизнес терминах - процесс, требующий ресурсов (квалификация и методология)

Статистика инцидентов ИТ (ИБ)

Объективная совокупность фактов, позволяющая проводить статистический анализ характера и особенностей инцидентов, а также их природы

Внутренний или внешний аудит ИТ

Оценить, а, где это возможно, сравнить выполнение процессов с политикой СУИБ (требованиями стандартов и/или регуляторов), целями и практическим опытом и доложить результаты менеджменту (руководству) для анализа.

Тест на проникновение

Достаточно быстрый способ определить РЕАЛЬНЫЕ уязвимые места в инфраструктуре и определить процессы ИТ, требующие улучшения. + относительно быстро (до 1-2 мес), возможно охватить большинство критичных ресурсов и процессов (в том числе аспекты физической безопасности) - ограниченный финансовый ресурс

23.02.2012 © Валерий Сысоев, Агентство

Активного Аудита 5

Анализ рисков ИТ

Идентификация информационных

активов и определение их ценности

Оценка угроз Определение

контрмер

Оценка уязвимостей

Оценка риска Анализ

защищенности

Остаточный риск

План обработки рисков

План обработки рисков (фрагмент)

План действий ISO (СОУ НБУ) Риски Документация Проект

20

12

Внедрение мониторинга событий

информационной безопасности

- Регистрация данных аудита

- Разработать

процедуры мониторинга

использования средств обработки

информации

- Обеспечить регистрацию действий

администратора и операторов

систем

- Обеспечить регистрацию сбоев в

системе

-Обеспечить

синхронизацию времени

А.10.10

Риск финансових и репутационных потерь при реализации угроз типа

хакинг, получение несанкционированного доступа к системе и сети

предприятия, которые эксплуатируют уязвимости отсутствия журналов

регистрации событий (аудита)

A

И.А

П-1

Руководство по

пониторингу и

протоколированию

событий в

информационных

системах

Внедрить

систему SIEM (Security

information and event

management) – которая

позволит обеспечить

анализ и сохранность

журналов регистрации

событий (аудита) в

системах систем, а

также регистрацию

действий

администратора и

пользователей.

Риск финансових и репутационных потерь при реализации угроз типа

хакинг, получение несанкционированного доступа к системе и сети

предприятия, которые эксплуатируют уязвимость отсутствия

возможности ведения журналов регистрации событий (аудита)

A

И.А

П-2

Риск финансових и репутационных потерь при реализации угроз типа

хакинг, получение несанкционированного доступа к системе и сети

предприятия, которые эксплуатируют уязвимости того, что информация

журналов регистрации событий (аудита) не защищена от

несанкционированного доступа.

A

И.А

П -4

20

12

Процесс приобретения, разработки и

поддержки ИС (ПО)

- разработка бізнес-требований к ИС

(ПО)

- криптографические средства

защиты

- обеспечение безопасности

системных файлов

- безопасность

процессов разработки и сервісного

обслуживания

- управление уязвимостями

технических средств

А.12.1

А.12.2

А.12.3

А.12.4

А.12.5

А.12.6

Не внедрена и не применяется политика периодического пересмотра и

применения обновлений (заплаток), предоставляемых

производителями лицензионных ОС и ПО

B

И.ЗЦ

-4

Руководство по

обеспечению

безопасности при

разработке и принятию

в эксплуатацию ПО

Политика работы с

третьими сторонами

(аутсорсинга)

аутсорсингу

Руководство по

управлению

изменениями в

информационной

системе

Установка сервера упр

авления изменениями

Требуется внедрить

сканер уязвимостей,

который обеспечит

процесс проверки

актуальных

уязвимостей, и

наличия последних

обновлений в системах

и бізнес-приложениях

Проводить внешний

тест на

проникновение мини

мум 1 раз в год

Риск финансових и репутационных потерь при реализации угроз типа

хакинг, раскрытие и/или кража информации составляющей

коммерческую тайну, который эксплуатирует отсутствие проверки

целостности файлов в ИС

B

И.ЗЦ

-6

Риск финансових и репутационных потерь при реализации угроз типа

человеческих ошибок, получения НСД к системам и сети и т.д., который

эксплуатирует отсутствие управления конфигурацией

A

О.У

К-1

Риск финансових и репутационных потерь при реализации угроз типа

человеческих ошибок, получения НСД к системам и сети и т.д., который

эксплуатирует отсутствие контроля изменений конфигурации

A

О.У

К-3

Риск финансових и репутационных потерь при реализации угроз типа

человеческих ошибок, вредоносного кода (черви, вирусы и т.д.),

который эксплуатирует уязвимость отсутствия процесса принятия в

эксплуатацию и поддержки информационной системы.

A

О.С

О-1

Управление конфигурацией на стадии разработки ИС не следует

положенням, определенным в "Управлении конфигурацией" (О.УК) A

О.С

О-

3

Риск финансових и репутационных потерь при реализации угроз типа

человеческих ошибок, вредоносного кода (черви, вирусы и т.д.),

который эксплуатирует уязвимость отсутствия процесса

периодического анали за потенциальных уязвимостей и актуальних

обновлений в системе.

B

О.С

О-5

IBM InfoSphere Guardium Database Security

• Мониторинг

• Регистрация действий

• Аудит

• Защита протоколов

IBM Tivoli

• Управление разграничением полномочий

• Управление доступом к приложениям

• Мониторинг изменений в инфраструктуре

• Централизованное управление политиками безопасности и криптографическими средствами

Совет: Из первых рук (если выбрали производителя, спросите у него)

Формат – чем точнее проблема, тем точнее решение

Предпроектное обследование - опытная эксплуатация наше все!!!

Результат:

• менеджмент и сотрудники представляют масштабы изменений и необходимые ресурсы для интеграции решения в систему управления информационной безопасностью предприятия и планируют внедрение с учетом анализа рисков

Идентификация функционала

Как облегчить задачу

Как еще облегчить задачу

… и получить финансирование проекта Расчитать Return On Security Investment

Return On Security Investment (ROSI) – используется для расчета

возврата финансовых инвестиций в информационную безопасностьна

основе финансовой выгоды и стоимости инвестиций

Non-financial benefits

Нефинансовые выгоды от инвестиций –

Укрепление репутации компании как «надежной

и безопасной» (мечта маркетолога)

Повышение морального духа сострудников их

опыта и знаний

Привлечение внимания со стороны средств

масс-медиа в качестве "лидера отрасли”

Соответствие требованиям законодательства и

регуляторов

Удовлетворенные клиенты

Финансовые выгоды

Финансовые выгоды от инвестиций в ИБ –

Сокращение затрат, связанных с инцидентами ИБ

Снижение финансовых обязательств связанных с

нарушениями регулятивных требований

Снижение стоимости владения информационными

активами

Снижение операционных расходов (поддерживаем

только критичные приложения)

Повышение прибыльности от ИТ инфраструктуры

Затраты на ИБ

Затраты на ИБ –

Стоимость квалифицированных специалистов

Стоимость мероприятий по обеспечению

безопасности и их поддержка

Накладные расходы

Обучение и повышение квалификации (или

осведомленности) сотрудников

Затраты на реакцию на инциденты

Как с этой фигней взлететь?

Определить стоимость

мер защиты

Определить стоимость инцидента

ИБ (ИТ)

Рассчитать финансовые

выгоды

Рассчитать ROSI

ROSI в бизнес кейс

Запитання

v.tkachenko@auditagency.com.ua

www.auditagency.com.ua

044 2281588