Практика построения ключевых процессов
менеджмента информационной безопасности на
основе требований ISO/IEC 27001

Алексан...
Процесс приобретения новых активов

TÜV SÜD Ukraine LLC

2013 / Dmitriev
slide 2
Процесс приобретения новых активов
Направления работ службы ИБ при
приобретении новых активов
•
•
•

Закупка оборудования ...
Процесс приобретения новых активов

Этап Описание этапа

Ответственный

1

Инициация покупки

2

Определение принадлежност...
Процесс приобретения новых активов

Разработка стандарта на
закупки
Раздел 1. Обязательные
требования
Раздел 2. Рекомендац...
Мониторинг СМИБ

TÜV SÜD Ukraine LLC

2013 / Dmitriev
slide 6
Карта мониторинга СМИБ

• Пункты стандарта ISO/IEC 27001
+
• Журналы , логи, видеозаписи,
аудиозаписи, счетчики, техническ...
Карта мониторинга СМИБ
• Пункты стандарта ISO/IEC 27001
+
• Журналы , логи, видеозаписи, аудиозаписи, счетчики,
технически...
Карта мониторинга СМИБ
• Пункты стандарта ISO/IEC 27001
+
• Журналы , логи, видеозаписи, аудиозаписи, счетчики,
технически...
Карта мониторинга СМИБ

График мониторинга
Средства мониторинга
А.6
А.7
А.8
А.9

TÜV SÜD Ukraine LLC

1мес

1день

1день

...
Документация СМИБ

TÜV SÜD Ukraine LLC

2013 / Dmitriev
slide 11
Разработка документации

Очень большой
объем
документации
СМИБ. Что-то
требует
стандарт, что-то
нужно мне
самому…

TÜV SÜD...
Разработка документации
Вариант структуры документации
•

Управленческие процедуры

•

Технические процедуры

•

Записи уп...
Разработка документации
Управленческие процедуры (стандарт на разработку документов, управление
документацией, записями; к...
Разработка документации – ISMS Manual
Основные
требования
(ISO 27001)

Оценка рисков

Риски критичные

Риски приемлемые

Н...
Разработка документации
Хорошая практика при разработки инструкций
Запрещено:
•
Самостоятельно устанавливать ПО
•
Хранить ...
Поддержка документации СМИБ. Хит-парад негатива
1. Документы СМИБ противоречат действительности (на будущее)
Пример: «Логи...
Поддержка документации СМИБ. Хит-парад позитива
1. Требования СМИБ максимально удобны для пользователя
Пример: Большинство...
Внутренний аудит

TÜV SÜD Ukraine LLC

2013 / Dmitriev
slide 19
Виды аудита ИБ

Варианты аудита системы безопасности
• Плановый внутренний аудит
• Внеплановый внутренний аудит
• Поиск уг...
Внутренний аудит
Требование ISO 27001 – плановый аудит
В голове!

Где Вы храните
пароли?

TÜV SÜD Ukraine LLC

2013 / Dmit...
Виды аудита ИБ

Плановый внутренний аудит
Проводится согласно предварительно утвержденной программе.
Проверяемые подраздел...
Виды аудита ИБ

Внеплановый внутренний аудит
Может
быть
проведен
без
оповещения
проверяемых
подразделений. Критерии аудита...
Виды аудита ИБ

Поиск угроз (рисков)
В рамках данного вида аудита производится поиск угроз,
существующих относительно конк...
Виды аудита ИБ

Моделирование угроз
Аудит проводиться при моделировании реального риска. Данный
вид аудита может проводить...
Менеджмент программы аудита

Элементы ISO 27001
Подразделения

4.2.1 ….
4.2.2
5.1
5.2.1…

А5

А6

А7

П

Технический отдел...
Документация аудита СМИБ
№

Этап

Документация

1

Подбор и обучение команды аудиторов

2

Разработка годовой программы вн...
Выводы аудитора

Некритические отклонения
(в архив)

Критические отклонения
(презентация руководству)

TÜV SÜD Ukraine LLC...
Имидж внутреннего аудитора

Шаг первый:
выбор образа
ОСНОВНАЯ ЦЕЛЬ –
создание подходящей (удобной)
атмосферы для достижени...
Имидж внутреннего аудитора

Шаг первый:
выбор образа
ВАРИАНТЫ
•Медсестра
•Доктор
•Адвокат компании
•Автослесарь
•Нотариус
...
Имидж внутреннего аудитора

Шаг второй:
создание образа
ЭЛЕМЕНТЫ
•Методы аудита
•Методы общения
•Коммуникации
•Культура де...
Имидж внутреннего аудитора

Шаг второй:
создание образа
•Методы аудита (плановый аудит, расследование
инцидентов)
•Стиль о...
Несоответствия СМИБ

TÜV SÜD Ukraine LLC

2013 / Dmitriev
slide 33
Несоответствия СМИБ
Факт:
При аудите цеха ХХ обнаружено, что
производство в нем не ведется. При этом он
включен в область ...
Несоответствия СМИБ
Требование предприятия:
Подписывать со всеми сторонними лицами
соглашения о конфиденциальности, кроме
...
Несоответствия СМИБ
Требования предприятия:
Отдел ИБ обязан обеспечивать информационную
безопасность при подготовке тендер...
Несоответствия СМИБ
Требование компании:
Все носители информации до перемещения, списания
либо уничтожения должны быть про...
Несоответствия СМИБ
Требование предприятия:
Конфиденциальная информация не должна
передаваться неавторизованным лицам.
Фак...
Несоответствия СМИБ
Требование предприятия:
Проводить аудиты ИБ во всех компаниях-поставщиках
ИТ-решений.
Факт:
Существует...
Несоответствия СМИБ
Требование компании:
Отправка коммерческих предложений должно
осуществляться только с формате pdf посл...
Несоответствия СМИБ
Требование предприятия:
Открытый доступ через WI FI должен быть доступен только в
комнатах переговоров...
Несоответствия СМИБ
30

Анализ
распределения
несоответствий

29

25

20
18
15

14

10

9

2

TÜV SÜD Ukraine LLC

7

5

5
...
Новая версия стандарта ISO 27001:2013
(для самостоятельного изучения)

TÜV SÜD Ukraine LLC

2013 / Dmitriev
slide 43
Стандарт ISO/IEC 27001:2013

ISO/IEC 27001:2013
Дата выпуска:
25 сентября 2013 года
Edition: 2 (Monolingual)
ICS: 35.040
S...
Стандарт ISO/IEC 27001:2013

Проект стандарта ISO/IEC 27001 (2013)
Опубликован на странице
"Security & IT Management Assoc...
Стандарт ISO/IEC 27001:2013
Структура основных требований приведена в соответствии с
Директивами ISO/IEC
2005
1. Область п...
Стандарт ISO/IEC 27001:2013
Структура Приложения А
2005
А.5 Политика в области безопасности
А.6 Организация системы безопа...
Стандарт ISO/IEC 27001:2013
Цели системы менеджмента информационной безопасности
2005
4.3 Documentation requirements
4.3.1...
Стандарт ISO/IEC 27001:2013
Цели системы менеджмента информационной безопасности
Что проверяется при аудите?
1.Наличие док...
Стандарт ISO/IEC 27001:2013
Подход к описанию рисков
2005

2013

4.2.1 Создать СМИБ

6.1.2 Information security risk asses...
Стандарт ISO/IEC 27001:2013
Согласование и принятие рисков
2005
4.2 Создание и менеджмент СМЗИ
4.2.1 Создать СМЗИ

2013
6....
Стандарт ISO/IEC 27001:2013
Появилась четкая связка рисков и SoA

Оценка рисков

TÜV SÜD Ukraine LLC

План по обработке

S...
Стандарт ISO/IEC 27001:2013
Появилась четкая связка рисков и SoA
Выводы:
1.Возможно делать больше исключений в SoA. При эт...
Стандарт ISO/IEC 27001:2013
Назначение владельцев
2005

2013

4.2.1 Создать СМИБ

6.1.2 Information security risk assessme...
Стандарт ISO/IEC 27001:2013
Назначение владельцев
По новой версии необходимо назначить владельцев рисков
Определение владе...
Стандарт ISO/IEC 27001:2013
Мониторинг и измерение результативности
2005
4.2.3 Постоянно контролировать и
анализировать СМ...
Стандарт ISO/IEC 27001:2013
Управление документами и записями
2005
4.3.2 Управление документами

2013
7.5 Документированна...
Стандарт ISO/IEC 27001:2013
Коммуникации и оргструктура СМИБ
2005
Приведены в различных пунктах
стандарта

2013
7.4 Commun...
Стандарт ISO/IEC 27001:2013
Структура Приложения А
2013
Новые требования в рамках Приложения А
A.6.1.4 Information securit...
Стандарт ISO/IEC 27001:2013
A.6.1.4 Information security in project management
Information security shall be addressed in ...
Стандарт ISO/IEC 27001:2013
A.12.6.2 Restrictions on software installation

TÜV SÜD Ukraine LLC

2013 / Dmitriev
slide 61
Стандарт ISO/IEC 27001:2013
A.14.2.8 System security testing

TÜV SÜD Ukraine LLC

2013 / Dmitriev
slide 62
Стандарт ISO/IEC 27001:2013
A.16.1.4 Assessment and decision of information
security events
2005

2013

Инцидент

Инцидент...
Стандарт ISO/IEC 27001:2013
A.17.1.2 Implementing information security continuity
The organization shall establish,
docume...
Стандарт ISO/IEC 27001:2013
A.17.2.1 Availability of information processing facilities
Information processing facilities
s...
Стандарт ISO/IEC 27001:2013
Структура Приложения А (Удаленные требования)
6.2.2 Addressing security when dealing with cust...
Стандарт ISO/IEC 27001:2013

РЕКОМЕНДАЦИИ ПО ПЕРЕХОДУ НА НОВУЮ ВЕРСИЮ
ISO 27’ 2005

Базовая версия

План

100%

2005

1 го...
Большое спасибо!
Задавайте вопросы …
Александр Дмитриев
+38 050 419 69 11
a.dmitriev@tms-ua.com
www.tms-ua.com
www.sitma.p...
Upcoming SlideShare
Loading in...5
×

Alexander Dmitriev - Практика построения ключевых процессов менеджмента информационной безопасности на основе требований ISO/IEC 27001 #uisgcon9

966

Published on

0 Comments
2 Likes
Statistics
Notes
  • Be the first to comment

No Downloads
Views
Total Views
966
On Slideshare
0
From Embeds
0
Number of Embeds
9
Actions
Shares
0
Downloads
0
Comments
0
Likes
2
Embeds 0
No embeds

No notes for slide
  • В последние годы сложилась практика, при которой основным критерием надежности поставщика продукции или услуг является наличие у него сертификата соответствия Системы Менеджмента Качества требованиям международного стандарта ИСО 9001. Данный сертификат подтверждает наличие на предприятии контролируемых условий для выпуска продукции такого качества, при котором достигается удовлетворенность потребителя.
  • Alexander Dmitriev - Практика построения ключевых процессов менеджмента информационной безопасности на основе требований ISO/IEC 27001 #uisgcon9

    1. 1. Практика построения ключевых процессов менеджмента информационной безопасности на основе требований ISO/IEC 27001 Александр Дмитриев Lead auditor ISO/IEC 27001, ISO 22301, ISO/IEC 20000 Руководитель департамента «ИТ-сервисы и безопасность» Главный редактор журнала «Das Management» TÜV SÜD Ukraine LLC 2013 / Dmitriev slide 1
    2. 2. Процесс приобретения новых активов TÜV SÜD Ukraine LLC 2013 / Dmitriev slide 2
    3. 3. Процесс приобретения новых активов Направления работ службы ИБ при приобретении новых активов • • • Закупка оборудования и ПО Разработка/доработка ПО Перемещение активов TÜV SÜD Ukraine LLC 2013 / Dmitriev slide 3
    4. 4. Процесс приобретения новых активов Этап Описание этапа Ответственный 1 Инициация покупки 2 Определение принадлежности к информационным активам Информирование о приобретении информационного актива службу информационной безопасности Определение требований по информационной безопасности Проверка требований по информационной безопасности Оценка или переоценка рисков, связанных с данным активом Подготовка рекомендаций план мероприятий по данному активу с учетом реальных информационных рисков Принятие решения о приобретении Выполнение мероприятий по обработке рисков, связанных с данным активом Контроль за уровнем рисков, связанных с данным активом Представитель структурной единицы предприятия Представитель структурной единицы предприятия Представитель структурной единицы предприятия 3 4 5 6 7 8 9 10 TÜV SÜD Ukraine LLC Офицер по информационной безопасности Офицер по информационной безопасности Офицер по информационной безопасности Офицер по информационной безопасности Генеральный директор Служба ИТ или Канцелярия Офицер по информационной безопасности Исполнитель Срок 1 день Служба ИТ, Канцелярия Служба ИТ, Канцелярия 1 день 1 день 1 день 1 день Структурная единица предприятия Согласно плана Согласно плана 2013 / Dmitriev slide 4
    5. 5. Процесс приобретения новых активов Разработка стандарта на закупки Раздел 1. Обязательные требования Раздел 2. Рекомендации TÜV SÜD Ukraine LLC 2013 / Dmitriev slide 5
    6. 6. Мониторинг СМИБ TÜV SÜD Ukraine LLC 2013 / Dmitriev slide 6
    7. 7. Карта мониторинга СМИБ • Пункты стандарта ISO/IEC 27001 + • Журналы , логи, видеозаписи, аудиозаписи, счетчики, технические средства, др. TÜV SÜD Ukraine LLC 2013 / Dmitriev slide 7
    8. 8. Карта мониторинга СМИБ • Пункты стандарта ISO/IEC 27001 + • Журналы , логи, видеозаписи, аудиозаписи, счетчики, технические средства, др. А.9. Физическая безопасность • • • • • • • TÜV SÜD Ukraine LLC Записи камер видеонаблюдения (М02, М06, М07, М14, М15, М16, М17) Журнал инцидентов ФБ Актуальная схема расположения активов Журнал доступа сторонних организаций Журналы доступа в серверные и архивы бумажной документации Акты ликвидации/ передачи активов Журнал регистрации обслуживания оборудования 2013 / Dmitriev slide 8
    9. 9. Карта мониторинга СМИБ • Пункты стандарта ISO/IEC 27001 + • Журналы , логи, видеозаписи, аудиозаписи, счетчики, технические средства, др. А.10. Менеджмент ИТ TÜV SÜD Ukraine LLC • • • DLP (отчеты …) Журнал действий системного администратора Логи … 2013 / Dmitriev slide 9
    10. 10. Карта мониторинга СМИБ График мониторинга Средства мониторинга А.6 А.7 А.8 А.9 TÜV SÜD Ukraine LLC 1мес 1день 1день 1день 1день 1день 1мес A 1день A 1мес 1день 1день 1день 2013 / Dmitriev slide 10
    11. 11. Документация СМИБ TÜV SÜD Ukraine LLC 2013 / Dmitriev slide 11
    12. 12. Разработка документации Очень большой объем документации СМИБ. Что-то требует стандарт, что-то нужно мне самому… TÜV SÜD Ukraine LLC 2013 / Dmitriev slide 12
    13. 13. Разработка документации Вариант структуры документации • Управленческие процедуры • Технические процедуры • Записи управленческие • Записи технические • Инструкции, положения TÜV SÜD Ukraine LLC 2013 / Dmitriev slide 13
    14. 14. Разработка документации Управленческие процедуры (стандарт на разработку документов, управление документацией, записями; корректирующие и предупреждающие мероприятия; внутренний аудит; управление персоналом и др.) Технические процедуры (приобретение, развитие и поддержка информационных систем; управление доступом; регистрация и анализ инцидентов; резервное копирование; управление съемными носителями и др.) Записи управленческие (отчеты о внутренних аудитах; анализ СМИБ со стороны высшего руководства; отчет об анализе рисков; отчет о работе комитета по информационной безопасности; отчет о состоянии корректирующих и предупреждающих действий; договора; личные дела сотрудников и др.) Записи технические (реестр активов; план предприятия; план физического размещения активов; план компьютерной сети; журнал регистрации резервного копирования; журнал регистрации факта технического контроля после изменений в операционной системе; логи информационных систем; логи системного администратора; журнал регистрации инцидентов; журнал регистрации тестов по непрерывности бизнеса и др.) Инструкции, положения (правила работы с ПК, правила работы с информационной системой, правила обращения с паролями, инструкция по восстановлению данных из резервных копий, политика удаленного доступа, правила работы с переносным оборудованием и др.) TÜV SÜD Ukraine LLC 2013 / Dmitriev slide 14
    15. 15. Разработка документации – ISMS Manual Основные требования (ISO 27001) Оценка рисков Риски критичные Риски приемлемые Направления безопасности (ISO 27001) Направления К Процедуры СМИБ TÜV SÜD Ukraine LLC Направления П Руководство СМИБ 2013 / Dmitriev slide 15
    16. 16. Разработка документации Хорошая практика при разработки инструкций Запрещено: • Самостоятельно устанавливать ПО • Хранить на локальных дисках информацию по проектам Рекомендовано: • Проверять все съемные носители на наличие вирусов • Выключать ПК по завершении рабочего дня Дополнительно TÜV SÜD Ukraine LLC 2013 / Dmitriev slide 16
    17. 17. Поддержка документации СМИБ. Хит-парад негатива 1. Документы СМИБ противоречат действительности (на будущее) Пример: «Логи безопасности архивируются на сервере СМИБ», при этом сервер только в планах приобретения 2. В многих случаях употребляются общие фразы Пример: «Действия системного администратора фиксируются в журнале» 3. Документы СМИБ противоречат другим нормам компании Пример: процедура «Перемещение материальных активов» запрещает вынос флешек, при этом процедура «Сменные носители» позволяет 4. Формы документов противоречат требованиям компании по оформлению Примеры: процедуры именуют политиками, разделы процедуры не соответствуют внутреннему стандарту TÜV SÜD Ukraine LLC 2013 / Dmitriev slide 17
    18. 18. Поддержка документации СМИБ. Хит-парад позитива 1. Требования СМИБ максимально удобны для пользователя Пример: Большинство пользователей имеют единый сводный документ с перечнем требований к ним. Требования проиллюстрированы 2. Документы СМИБ минимальны по объему Пример: Всего около 20 документов. Объем документа не превышает 4 страниц 3. Все документы СМИБ размещены в эл. виде Пример: Утвержденные копии документов размещены в папках с распределением доступа 4. Значительная часть документов СМИБ не разрабатывалась, использовались существующие документы Пример: Требования по персоналу дополнены в существующую процедуру «Управление персоналом» TÜV SÜD Ukraine LLC 2013 / Dmitriev slide 18
    19. 19. Внутренний аудит TÜV SÜD Ukraine LLC 2013 / Dmitriev slide 19
    20. 20. Виды аудита ИБ Варианты аудита системы безопасности • Плановый внутренний аудит • Внеплановый внутренний аудит • Поиск угроз • Моделирование угроз TÜV SÜD Ukraine LLC 2013 / Dmitriev slide 20
    21. 21. Внутренний аудит Требование ISO 27001 – плановый аудит В голове! Где Вы храните пароли? TÜV SÜD Ukraine LLC 2013 / Dmitriev slide 21
    22. 22. Виды аудита ИБ Плановый внутренний аудит Проводится согласно предварительно утвержденной программе. Проверяемые подразделения заранее оповещаются о дате и критериях аудита. Плановые аудиты планируются на основании годовой программы аудита безопасности. TÜV SÜD Ukraine LLC 2013 / Dmitriev slide 22
    23. 23. Виды аудита ИБ Внеплановый внутренний аудит Может быть проведен без оповещения проверяемых подразделений. Критерии аудита могут быть сформулированы при внезапном посещении проверяемого подразделения. Внеплановые аудиты не включаются в общую годовую программу аудитов безопасности. TÜV SÜD Ukraine LLC 2013 / Dmitriev slide 23
    24. 24. Виды аудита ИБ Поиск угроз (рисков) В рамках данного вида аудита производится поиск угроз, существующих относительно конкретного актива или активов. TÜV SÜD Ukraine LLC 2013 / Dmitriev slide 24
    25. 25. Виды аудита ИБ Моделирование угроз Аудит проводиться при моделировании реального риска. Данный вид аудита может проводиться для выявления реальных последствий риска. TÜV SÜD Ukraine LLC 2013 / Dmitriev slide 25
    26. 26. Менеджмент программы аудита Элементы ISO 27001 Подразделения 4.2.1 …. 4.2.2 5.1 5.2.1… А5 А6 А7 П Технический отдел П Служба качества П П Р Служба делопроизводства Участок синтеза П П П Р Участок упаковки П П Р Склады П ЦЛМ П П 1 В 2 в 3 В П 4 Р П Дата П Отдел снабжения А12 В Служба ИТ А8 TÜV SÜD Ukraine LLC А9 А10 В П В П А11 5 В 8 11 2 П 1 2013 / Dmitriev slide 26
    27. 27. Документация аудита СМИБ № Этап Документация 1 Подбор и обучение команды аудиторов 2 Разработка годовой программы внутренних аудитов Состав группы аудита Сертификаты или другие свидетельства обучения Проект годовой программы аудита безопасности 3 Утверждение группы аудиторов и годового плана аудитов высшим руководством Утвержденная группа аудита и программа аудита 4 Разработка плана ОПРЕДЕЛЕННОГО аудита - определение области (подразделений) - определение критериев (ISO 27001, внутренние правила, политики и процедуры ИБ) Проведение аудита в подразделениях согласно графика - Фиксирование свидетельств аудита - Подготовка протокола отклонений Разработка отчета об аудите Планы аудитов 7 Разработка корректирующих и предупреждающих мероприятий План корректирующих и/или предупреждающих мероприятий 8 Проверка выполнения мероприятий Отметка о выполнении или невыполнении мероприятий 9 Анализ результативности мероприятий 2013 / Dmitriev Оценка результативности мероприятий slide 27 5 6 TÜV SÜD Ukraine LLC Рукописные записи или аудиозаписи Заполненные протоколы отклонений Отчет об аудите
    28. 28. Выводы аудитора Некритические отклонения (в архив) Критические отклонения (презентация руководству) TÜV SÜD Ukraine LLC 2013 / Dmitriev slide 28
    29. 29. Имидж внутреннего аудитора Шаг первый: выбор образа ОСНОВНАЯ ЦЕЛЬ – создание подходящей (удобной) атмосферы для достижения целей внутреннего аудита TÜV SÜD Ukraine LLC 2013 / Dmitriev slide 29 29
    30. 30. Имидж внутреннего аудитора Шаг первый: выбор образа ВАРИАНТЫ •Медсестра •Доктор •Адвокат компании •Автослесарь •Нотариус •Налоговый инспектор •Сотрудник спецслужбы •… TÜV SÜD Ukraine LLC 2013 / Dmitriev slide 30 30
    31. 31. Имидж внутреннего аудитора Шаг второй: создание образа ЭЛЕМЕНТЫ •Методы аудита •Методы общения •Коммуникации •Культура делопроизводства •Формулировка выводов •Формат отчета руководству •Внешний вид TÜV SÜD Ukraine LLC 2013 / Dmitriev slide 31 31
    32. 32. Имидж внутреннего аудитора Шаг второй: создание образа •Методы аудита (плановый аудит, расследование инцидентов) •Стиль общения (доверительный, жесткий) •Коммуникации (раздел в интранет, прямые контакты для решения проблемных ситуаций) •Культура делопроизводства (детализация, история «пациента») •Формулировка выводов (все отклонения, предложения по КД и ПД, риски) •Формат отчета руководству (риски, обезличенные результаты, только критичные риски) •Внешний вид (всегда аккуратный) TÜV SÜD Ukraine LLC 2013 / Dmitriev slide 32 32
    33. 33. Несоответствия СМИБ TÜV SÜD Ukraine LLC 2013 / Dmitriev slide 33
    34. 34. Несоответствия СМИБ Факт: При аудите цеха ХХ обнаружено, что производство в нем не ведется. При этом он включен в область действия. При анализе текста области действия выявлено, что в нее включены продукты, которые планируются к выпуску в данном цеху. Вывод: Несоответствие требованиям стандарта ISO 27001 Нарушено собственное требование по безопасности. Класс несоответствия: критическое (4.2.1) TÜV SÜD Ukraine LLC 2013 / Dmitriev slide 34
    35. 35. Несоответствия СМИБ Требование предприятия: Подписывать со всеми сторонними лицами соглашения о конфиденциальности, кроме зарубежных Факт: При проверке выявилось, что в цеху идет внедрение автоматизированной линии, использующей критические базы данных компании. Работу осуществляет компании из России. Специалисты данной компании не подписали соглашение о конфиденциальности. Вывод: Рекомендовано – либо убрать исключение либо внести риск в реестр рисков, связанный с посещением компании зарубежными представителями TÜV SÜD Ukraine LLC 2013 / Dmitriev slide 35
    36. 36. Несоответствия СМИБ Требования предприятия: Отдел ИБ обязан обеспечивать информационную безопасность при подготовке тендерных пакетов Факт: Отдел ИБ не знает о процессе создания тендерных пакетов. По их словам никто не обращался с жалобами. В планах отдела ИБ, а также в документации СМИБ не найдено идентифицированных рисков или каких-либо действий по обеспечению ИБ в данном процессе. Тендерные пакеты готовятся еженедельно, участвуют 6 подразделений. Вывод: Нарушено собственное требование по безопасности. Класс несоответствия: критическое (А.15.1.3) TÜV SÜD Ukraine LLC 2013 / Dmitriev slide 36
    37. 37. Несоответствия СМИБ Требование компании: Все носители информации до перемещения, списания либо уничтожения должны быть проверены службой ИБ Факт: В коридоре складируется старая компьютерная техника. Начало складирования – 4-5 месяцев. После общения с ИТ выяснено, что они используют запасные части в т.ч. и жесткие диски для ремонта других ПК. Служба ИБ знает о данном складе и надеется на то, что ИТ удаляет данные с жестких дисков. Вывод: Нарушено собственное требование по безопасности. Класс несоответствия: критическое (А.15.1.3) Рекомендовано создать правило по проверке носителей информации службой ИБ TÜV SÜD Ukraine LLC 2013 / Dmitriev slide 37
    38. 38. Несоответствия СМИБ Требование предприятия: Конфиденциальная информация не должна передаваться неавторизованным лицам. Факт: На сетевом, открытом для всех, диске обнаружена конфиденциальная информация. После выяснения причин оказалось, что диск используется для передачи больших объемов данных между подразделения. Согласно правил отдел ИБ должен обеспечивать безопасность этого диска. Отдел ИБ говорит, что этим должны заниматься в ИТ. ИТ говорит обратное. Вывод: Нарушено собственное требование по безопасности. Класс несоответствия: некритическое (А.15.1.3) Рекомендовано четко установить правила по работе с диском, а также определить порядок его мониторинга . TÜV SÜD Ukraine LLC 2013 / Dmitriev slide 38
    39. 39. Несоответствия СМИБ Требование предприятия: Проводить аудиты ИБ во всех компаниях-поставщиках ИТ-решений. Факт: Существует компания-поставщик информационной системы, которая не пускает к себе. При этом в договре имеется соответствующий пункт. Факт обращения по поводу проверки и факт отказа от нее имеется. Вывод: Рекомендовано сообщить официально о факте отказа поставщику, оценить возможные причины отказа и спрогнозировать риски. TÜV SÜD Ukraine LLC 2013 / Dmitriev slide 39
    40. 40. Несоответствия СМИБ Требование компании: Отправка коммерческих предложений должно осуществляться только с формате pdf после распечатки и сканирования. Факт: Предложения направляются в формате word, т.к. существующий сканер находится в другом отделе и нет возможности оперативно отсканировать и отправить клиенту данные. Вывод: Нарушено собственное требование по безопасности. Класс несоответствия: некритическое (А.15.1.3) Рекомендовано рассмотреть вопрос установки сканера во все отделы продаж либо установка общего мощного сканера в коридоре. TÜV SÜD Ukraine LLC 2013 / Dmitriev slide 40
    41. 41. Несоответствия СМИБ Требование предприятия: Открытый доступ через WI FI должен быть доступен только в комнатах переговоров. Факт: По факту обнаружен открытый доступ и в других помещениях компании. Вывод: Нарушено собственное требование по безопасности. Класс несоответствия: некритическое (А.15.1.3) Рекомендовано скорректировать/смягчить требования по данному вопросу либо реализовать технически невозможность доступа в других помещениях TÜV SÜD Ukraine LLC 2013 / Dmitriev slide 41
    42. 42. Несоответствия СМИБ 30 Анализ распределения несоответствий 29 25 20 18 15 14 10 9 2 TÜV SÜD Ukraine LLC 7 5 5 0 8 2 0 0 0 0 3 1 2 2013 / Dmitriev slide 42
    43. 43. Новая версия стандарта ISO 27001:2013 (для самостоятельного изучения) TÜV SÜD Ukraine LLC 2013 / Dmitriev slide 43
    44. 44. Стандарт ISO/IEC 27001:2013 ISO/IEC 27001:2013 Дата выпуска: 25 сентября 2013 года Edition: 2 (Monolingual) ICS: 35.040 Status: Published Stage: 60.60 (2013-09-25) TC/SC: ISO/IEC JTC 1/SC 27 Number of Pages: 23 TÜV SÜD Ukraine LLC 2013 / Dmitriev slide 44
    45. 45. Стандарт ISO/IEC 27001:2013 Проект стандарта ISO/IEC 27001 (2013) Опубликован на странице "Security & IT Management Association (SITMA)": www.facebook.com/groups/sitma/ TÜV SÜD Ukraine LLC 2013 / Dmitriev slide 45
    46. 46. Стандарт ISO/IEC 27001:2013 Структура основных требований приведена в соответствии с Директивами ISO/IEC 2005 1. Область применения 2. Нормативные ссылки 3. Термины и определения 4. Система информационной безопасности 5. Обязательства руководства 6. Внутренние аудиты 7. Анализ системы менеджмента 8. Совершенствование TÜV SÜD Ukraine LLC 2013 0 Введение 1 Область применения 2 Нормативные ссылки 3 Термины и определения 4 Установление контекста 5 Ответственность руководства 6 Планирование 7 Поддержка 8 Эксплуатация 9 Измерение результативности 10 Улучшение 2013 / Dmitriev slide 46
    47. 47. Стандарт ISO/IEC 27001:2013 Структура Приложения А 2005 А.5 Политика в области безопасности А.6 Организация системы безопасности A.7 Классификация активов и управление A.8 Безопасность и персонал A.9 Физическая и внешняя безопасность A.10 Менеджмент компьютеров и сетей A.11 Управление доступом к системе A.12 Приобретение, разработка и обслуживание информационных систем A.13 Менеджмент инцидентов A.14 Обеспечение непрерывности бизнеса A.15 Соответствие законодательству 2013 A.5 Политика в области безопасности A.6 Организация системы безопасности A.7 Безопасность и персонал A.8 Классификация активов и управление A.9 Управление доступом к системе A.10 Криптография A.11 Физическая и внешняя безопасность A.12 Менеджмент компьютеров и сетей A.13 Безопасность коммуникаций A.14 Приобретение, разработка и обслуживание информационных систем A.15 Взаимоотношения с поставщиками A.16 Менеджмент инцидентов A.17 Обеспечение непрерывности бизнеса A.18 Соответствие законодательству Формально количество требований уменьшилось со 133 до 113 TÜV SÜD Ukraine LLC 2013 / Dmitriev slide 47
    48. 48. Стандарт ISO/IEC 27001:2013 Цели системы менеджмента информационной безопасности 2005 4.3 Documentation requirements 4.3.1 General The ISMS documentation shall include: a) documented statements of the ISMS policy and objectives; 2013 5.1 Leadership and commitment Top management shall demonstrate leadership by: a) ensuring … information security objectives are established and are compatible with the strategic direction В новой версии однозначно требуется установить цели СМИБ TÜV SÜD Ukraine LLC 2013 / Dmitriev slide 48
    49. 49. Стандарт ISO/IEC 27001:2013 Цели системы менеджмента информационной безопасности Что проверяется при аудите? 1.Наличие документированных целей (KPI) 2.Результат их достижения (оценка KPI) Минимальная регулярность – 1 раз в год Рекомендации по выбору целей – материалы МИБ 2 / Донецк TÜV SÜD Ukraine LLC 2013 / Dmitriev slide 49
    50. 50. Стандарт ISO/IEC 27001:2013 Подход к описанию рисков 2005 2013 4.2.1 Создать СМИБ 6.1.2 Information security risk assessment d) Выявить риски. d) Выявить риски информационной безопасности 2) Выявить угрозы для этих активов. 3) Выявить уязвимые места, которые могут быть использованы угрозами. Версия 2005 – описание риска через угрозы и уязвимости Новая версия – нет требований к текстовому описанию рисков В новой версии при описание риска предоставляется полная свобода TÜV SÜD Ukraine LLC 2013 / Dmitriev slide 50
    51. 51. Стандарт ISO/IEC 27001:2013 Согласование и принятие рисков 2005 4.2 Создание и менеджмент СМЗИ 4.2.1 Создать СМЗИ 2013 6.1.3 Information security risk treatment h) Получить утверждение руководства предлагаемого остаточного риска. f) obtain risk owner’s approval of the information security risk treatment plan and the acceptance of the residual information security risks. Требуется «Положение о принятии рисков» Необходимо утверждение рисков с владельцами рисков Плюс новой версии: нет необходимости принимать остаточные риски руководством Минус: возможно понадобиться включать в процесс согласования многих (иногда) всех руководителей подразделений TÜV SÜD Ukraine LLC 2013 / Dmitriev slide 51
    52. 52. Стандарт ISO/IEC 27001:2013 Появилась четкая связка рисков и SoA Оценка рисков TÜV SÜD Ukraine LLC План по обработке SoA 2013 / Dmitriev slide 52
    53. 53. Стандарт ISO/IEC 27001:2013 Появилась четкая связка рисков и SoA Выводы: 1.Возможно делать больше исключений в SoA. При этом можно сослаться на то, что при оценке рисков не определены «красные» риски по разделу XX 2.Даты должны быть логичными: 01.04.2013 (оценка рисков), 13.05.2013 (план по обработке рисков), 01.07.2013 (SoA) 3.Возможен более частый пересмотр SoA (при частом пересмотре или значительной корректировке плана по обработке рисков) Рекомендации: 1.Рекомендовано не злоупотреблять исключениями из SoA 2.Рекомендовано иметь общий документ (ISMS Manual) с общим описанием большинства пунктов Приложения А TÜV SÜD Ukraine LLC 2013 / Dmitriev slide 53
    54. 54. Стандарт ISO/IEC 27001:2013 Назначение владельцев 2005 2013 4.2.1 Создать СМИБ 6.1.2 Information security risk assessment d) Выявить риски. d) Identify the information security risks. Выявить активы в рамках области СМИБ, а также владельцев этих активов Версия 2005 – Назначение владельцев активов 2) Identify the risk owners. Новая версия – Назначение владельцев рисков По новой версии необходимо назначить владельцев рисков TÜV SÜD Ukraine LLC 2013 / Dmitriev slide 54
    55. 55. Стандарт ISO/IEC 27001:2013 Назначение владельцев По новой версии необходимо назначить владельцев рисков Определение владельцев рисков можно сделать следующим образом: 1.Назначить «владельца актива» «владельцем всех рисков» по данному активу (переименовать колонку в реестре активов) 2.Назначить «владельцев рисков» дополнительно к «владельцам актива» (ввести новую колонку в реестре активов) 3.Назначить по каждому риску «владельца» исходя из профиля риска. Например ИТ, персонал, физ. безопасность, другое. (прописать в руководстве по СМИБ профили рисков) + владелец риска TÜV SÜD Ukraine LLC 2013 / Dmitriev slide 55
    56. 56. Стандарт ISO/IEC 27001:2013 Мониторинг и измерение результативности 2005 4.2.3 Постоянно контролировать и анализировать СМИБ a) Выполнять процедуры постоянного контроля и анализа… 1) быстро обнаруживать ошибки в результатах обработки… 4) помогать обнаруживать события путем использования индикаторов… b) Предпринимать регулярный анализ результативности СМИБ… 2013 9.1 Monitoring, measurement, analysis and evaluation The organization shall determine: a) what needs to be monitored … b) the methods for monitoring… c) when the monitoring and measuring … d) who shall monitor and measure… e) when the results shall be analyzed… f) who shall analyse these results В новой версии более четко указаны требования по мониторингу и измерению результативности TÜV SÜD Ukraine LLC 2013 / Dmitriev slide 56
    57. 57. Стандарт ISO/IEC 27001:2013 Управление документами и записями 2005 4.3.2 Управление документами 2013 7.5 Документированная информация 4.3.3 Управление записями В новой версии нет требования по наличию документированной процедуры по управлению документацией и записями TÜV SÜD Ukraine LLC 2013 / Dmitriev slide 57
    58. 58. Стандарт ISO/IEC 27001:2013 Коммуникации и оргструктура СМИБ 2005 Приведены в различных пунктах стандарта 2013 7.4 Communication The organization shall determine the need for internal and external communications relevant to the information security management system including: a) on what to communicate; b) when to communicate; c) with whom to communicate; d) who shall communicate; and e) the processes by which communication shall be effected. В новой версии более четко устанавливаются процедуры коммуникации (оргструктура и правила коммуникации) TÜV SÜD Ukraine LLC 2013 / Dmitriev slide 58
    59. 59. Стандарт ISO/IEC 27001:2013 Структура Приложения А 2013 Новые требования в рамках Приложения А A.6.1.4 Information security in project management A.12.6.2 Restrictions on software installation A.14.2.1 Secure development policy A.14.2.5 System development procedures A.14.2.6 Secure development environment A.14.2.8 System security testing A.15.1.1 Information security policy for supplier relationships A.15.1.3 Information and communication technology supply chain A.16.1.4 Assessment and decision of information security events A.17.1.2 Implementing information security continuity A.17.2.1 Availability of information processing facilities TÜV SÜD Ukraine LLC 2013 / Dmitriev slide 59
    60. 60. Стандарт ISO/IEC 27001:2013 A.6.1.4 Information security in project management Information security shall be addressed in project management, regardless of the type of the project Выводы: В каком-либо документе требуется указать: 1.В какие типы проектов будет вовлекаться Служба ИБ 2.Какие именно действия будет осуществлять служба ИБ в данных проектах Рекомендации: 1.Рекомендовано минимально участвовать во всех проектах, связанных с информацией как минимум на стадии создания плана проекта TÜV SÜD Ukraine LLC 2013 / Dmitriev slide 60
    61. 61. Стандарт ISO/IEC 27001:2013 A.12.6.2 Restrictions on software installation TÜV SÜD Ukraine LLC 2013 / Dmitriev slide 61
    62. 62. Стандарт ISO/IEC 27001:2013 A.14.2.8 System security testing TÜV SÜD Ukraine LLC 2013 / Dmitriev slide 62
    63. 63. Стандарт ISO/IEC 27001:2013 A.16.1.4 Assessment and decision of information security events 2005 2013 Инцидент Инцидент Расследован Расследован Причины / выводы TÜV SÜD Ukraine LLC 2013 / Dmitriev slide 63
    64. 64. Стандарт ISO/IEC 27001:2013 A.17.1.2 Implementing information security continuity The organization shall establish, document, implement and maintain processes, procedures and controls to guarantee the required level of continuity for information security during an adverse situation Вывод: Необходимо включить в планы непрерывности бизнеса раздел, связанный с поддержкой соответствующего уровня информационной безопасности TÜV SÜD Ukraine LLC 2013 / Dmitriev slide 64
    65. 65. Стандарт ISO/IEC 27001:2013 A.17.2.1 Availability of information processing facilities Information processing facilities shall be implemented with redundancy sufficient to meet availability requirements Выводы: 1.Необходимо создать перечень или перечни оборудования, необходимого при критичных ситуациях 2.Все указанное оборудование должно быть в наличии и в работоспособном состоянии TÜV SÜD Ukraine LLC 2013 / Dmitriev slide 65
    66. 66. Стандарт ISO/IEC 27001:2013 Структура Приложения А (Удаленные требования) 6.2.2 Addressing security when dealing with customers 10.4.2 Controls against mobile code 10.7.3 Information handling procedures 10.7.4 Security of system documentation 10.8.5 Business information systems 10.9.3 Publicly available information 11.4.2 User authentication for external connections 11.4.3 Equipment identification in networks 11.4.4 Remote diagnostic and configuration port protection 11.4.6 Network connection control 11.4.7 Network routing control 12.2.1 Input data validation 12.2.2 Control of internal processing 12.2.3 Message integrity 12.2.4 Output data validation 11.5.5 Session time out 11.5.6 Limitation of connection time 11.6.2 Sensitive system isolation 12.5.4 Information leakage 14.1.2 Business continuity and risk assessment 14.1.3 Developing and implementing business continuity plans 14.1.4 Business continuity planning framework 15.1.5 Prevention of misuse of information processing facilities 15.3.2 Protection of information systems audit tools TÜV SÜD Ukraine LLC 2013 / Dmitriev slide 66
    67. 67. Стандарт ISO/IEC 27001:2013 РЕКОМЕНДАЦИИ ПО ПЕРЕХОДУ НА НОВУЮ ВЕРСИЮ ISO 27’ 2005 Базовая версия План 100% 2005 1 год 100% + сертификат 2005 1 год > 60% 2005 Дополнение < 60% 2013 Полный пересмотр TÜV SÜD Ukraine LLC 2013 / Dmitriev slide 67
    68. 68. Большое спасибо! Задавайте вопросы … Александр Дмитриев +38 050 419 69 11 a.dmitriev@tms-ua.com www.tms-ua.com www.sitma.pro TÜV SÜD Ukraine LLC 2013 / Dmitriev slide 68

    ×