Практические аспекты внедрения                       системы менеджмента информационной                                   ...
Защита информации                      vs                      Менеджмент информационной безопасностиTÜV SÜD Ukraine LLC  ...
Защита информации и менеджмент ИБ          Безостановочное      предупреждение рисков по        Обстоятельное решение     ...
Защита информации и менеджмент ИБ                                          ?                              «СУПЕР» Менеджме...
Защита информации. Ощущение и признаки успеха                                  • Объем проделанной работы                 ...
Менеджмент ИБ. Ощущение и признаки успеха                                  • Обращения подразделений                      ...
Практические рекомендации по                      определению, расчету и анализу                      рисковTÜV SÜD Ukrain...
Определение активов и рисков. Организация процесса          Подразделение      Документы                   Действие       ...
Определение активов и рисков. Вопрос количестваНепростой выбор: определить все возможные рискиили закрыть те, которые вижу...
Выбор методики расчета рисковОтдельные методики расчета рисков. Частное мнение                      •   РИСК = Балл от 1 д...
Выбор методики расчета рисковФормула для расчета: РИСК = ВЕРОЯТНОСТЬ * УЩЕРБКачественная                                  ...
Расчет рисков. Выбор формулыЦель расчета: разделить риски по степени важностиМинимальные требования к расчету:- Наличие вв...
Отдельные рекомендации по оценке рисков• Каждое программное средство для офицера ИБ содержит свою  методику оценки рисковВ...
Отдельные рекомендации по оценке рисков• Активы в реестре могут взаимно дополнять друг друга  Вывод: не рекомендовано прим...
Наблюдения аудитов СМИБ.                      Выводы. Рекомендации.TÜV SÜD Ukraine LLC                              2010-1...
Результаты первичной диагностикиВыборка: 18 компаний. Среднее значение по системе: 27%TÜV SÜD Ukraine LLC                 ...
Направления безопасности. Хит-парад несоответствийA.10.10.4 Действия системного администратора                            ...
Направления безопасности. Хит-парад несоответствийA.9. Физическая безопасность и безопасность окружения                   ...
Направления безопасности. Хит-парад несоответствийА.15 Законодательные и другие требования                                ...
Направления безопасности. Хит-парад несоответствийA.10.3.1 Менеджмент производительности                                  ...
Направления безопасности. Хит-парад несоответствийA.12.1 Приобретение информационных систем                               ...
Наблюдения аудитов СМИБTÜV SÜD Ukraine LLC       2010-12 / Dmitriev                          slide 22
Наблюдения аудитов СМИБ                      Требование предприятия:                      Передача конфиденциальной информ...
Наблюдения аудитов СМИБ                      Требование предприятия:                      Запрещено хранение паролей в отк...
Наблюдения аудитов СМИБ                      Требование предприятия:                      Вся критическая информация компа...
Наблюдения аудитов СМИБ                      Требование предприятия:                      Учетная запись пользователя в ИС...
Наблюдения аудитов СМИБ                      Требование предприятия:                      Хранить информацию о выпуске про...
Позитивные и негативные примеры                      внедрения процессов СМИБTÜV SÜD Ukraine LLC                          ...
Поддержка документации СМИБ. Хит-парад негатива1. Документы СМИБ противоречат действительности (на будущее)Пример: «Логи б...
Поддержка документации СМИБ. Хит-парад позитива1. Требования СМИБ максимально удобны для пользователяПример: Большинство п...
Приобретение активов. Хит-парад негатива1. Служба ИБ не может получить право на участие в процессе закупкиПример: Руководс...
Приобретение активов. Хит-парад позитива1. Процесс закупки максимально логичен и автоматизированПример: ИС компании автома...
Менеджмент информационной безопасностиОбъем работ по внедрениюСМИБ (ISO 27001)зависит только от Вас!TÜV SÜD Ukraine LLC   ...
Менеджмент информационной безопасности                      Объем работ по внедрению                      СМИБ (ISO 27001)...
Анализ применения программных средств                      для поддержки СМИБ в соответствии с                      требов...
ПО для системы менеджмента ИБ                         •   EXCEL                         •   Собственное ПО                ...
ПО для системы менеджмента ИБВыбор потребителяTÜV SÜD Ukraine LLC             2010-12 / Dmitriev                          ...
ПО для системы менеджмента ИБОтдельные характеристики программного обеспеченияПрограммный продукт     Русификация     Ката...
ПО для системы менеджмента ИББазовые процессы автоматизацииПроцесс                                    Кол-во              ...
Большое спасибо!                      Задавайте вопросы …                            Александр Дмитриев                   ...
Upcoming SlideShare
Loading in …5
×

Александр Дмитриев - Практические аспекты внедрения системы менеджмента информационной безопасности в соответствии с требованиями ISO 27001

980 views

Published on

0 Comments
2 Likes
Statistics
Notes
  • Be the first to comment

No Downloads
Views
Total views
980
On SlideShare
0
From Embeds
0
Number of Embeds
6
Actions
Shares
0
Downloads
0
Comments
0
Likes
2
Embeds 0
No embeds

No notes for slide

Александр Дмитриев - Практические аспекты внедрения системы менеджмента информационной безопасности в соответствии с требованиями ISO 27001

  1. 1. Практические аспекты внедрения системы менеджмента информационной безопасности в соответствии с требованиями ISO 27001 Александр Дмитриев Lead auditor ISO/IEC 27001, BS 25999, ISO 9001 Руководитель департамента «ИТ-сервисы и безопасность» Главный редактор журнала «Das Management»TÜV SÜD Ukraine LLC 2010-12 / Dmitriev slide 1
  2. 2. Защита информации vs Менеджмент информационной безопасностиTÜV SÜD Ukraine LLC 2010-12 / Dmitriev slide 2
  3. 3. Защита информации и менеджмент ИБ Безостановочное предупреждение рисков по Обстоятельное решение базовым направлениям ИБ текущей проблемы ИБ Менеджмент ИБ Защита информации (ISO 27001)TÜV SÜD Ukraine LLC 2010-12 / Dmitriev slide 3
  4. 4. Защита информации и менеджмент ИБ ? «СУПЕР» Менеджмент ИБ (ISO 27001, ISF, CobiT, ITIL, IT-Grundschutz, NIST и др.)TÜV SÜD Ukraine LLC 2010-12 / Dmitriev slide 4
  5. 5. Защита информации. Ощущение и признаки успеха • Объем проделанной работы • Установка сложных систем защиты • Количество наказанных лиц • Количество и качество устранения инцидентов • Объем и качество документов, количество рисков • Воспитание боязни к службе ИБ Офицер ИБПодразделенияTÜV SÜD Ukraine LLC 2010-12 / Dmitriev slide 5
  6. 6. Менеджмент ИБ. Ощущение и признаки успеха • Обращения подразделений за помощью к ИБ • Ощутимые улучшения в документообороте • Уверенность в понимании карты рисков • Большинство инцидентов числятся в реестре рисков • Количество инцидентов прогнозируемо • Воспитание доверия (любви)Подразделения к службе ИБ Офицер ИБTÜV SÜD Ukraine LLC 2010-12 / Dmitriev slide 6
  7. 7. Практические рекомендации по определению, расчету и анализу рисковTÜV SÜD Ukraine LLC 2010-12 / Dmitriev slide 7
  8. 8. Определение активов и рисков. Организация процесса Подразделение Документы Действие Руководство Стратегия и фин. план Область действия Служба «Х» Описания бизнес-процессов Подразделения в СМИБ Служба ИБ Правила определения Обучение Шаблон реестра Подразделения Таблицы частные Заполнение таблиц Служба ИБ Реестр сводный (проект) Сведение реестра Раб. группа ИБ Реестр сводный (Ц+Д) Выжимка реестра Служба ИБ Реестр сводный (К) Дополнение реестраTÜV SÜD Ukraine LLC 2010-12 / Dmitriev slide 8
  9. 9. Определение активов и рисков. Вопрос количестваНепростой выбор: определить все возможные рискиили закрыть те, которые вижуTÜV SÜD Ukraine LLC 2010-12 / Dmitriev slide 9
  10. 10. Выбор методики расчета рисковОтдельные методики расчета рисков. Частное мнение • РИСК = Балл от 1 до 10 • РИСК = ВЕРОЯТНОСТЬ * УЩЕРБ • РИСК = ВЕРОЯТНОСТЬ * (УЩЕРБ ПРЯМ. + КОСВ.) • РИСК = ВЕРОЯТНОСТЬ * УЩЕРБ * ВЕР. ОБНАРУЖ. • РИСК = Конф (1-3) * Цел (1-3) * Дост (1-3) • РИСК = MAX (Конф (1-3), Цел (1-3), Дост (1-3)) • РИСК = ВАЖН. АКТИВА (1-3) * Балл (1-3) • РИСК = ВАЖН. АКТИВА (1-3) * ВЕРОЯТНОСТЬ * УЩЕРБTÜV SÜD Ukraine LLC 2010-12 / Dmitriev slide 10
  11. 11. Выбор методики расчета рисковФормула для расчета: РИСК = ВЕРОЯТНОСТЬ * УЩЕРБКачественная Значение риска: баллы (от 1 до 63) Ресурсы: 10 ч/д Преимущества: • Простое применение Проблемы методики: • Отсутствие вывода для экономики безопасностиКоличественная Значение риска: деньги (1 520 грн) Вероятность Ущерб Ресурсы: 120 ч/д (0..1) X ($$$) Преимущества: • Доказательная экономика безопасности Проблемы методики: • Сложность получения данных для Значение риска экономических расчетовTÜV SÜD Ukraine LLC 2010-12 / Dmitriev slide 11
  12. 12. Расчет рисков. Выбор формулыЦель расчета: разделить риски по степени важностиМинимальные требования к расчету:- Наличие вводных данных- Доверие к результатуTÜV SÜD Ukraine LLC 2010-12 / Dmitriev slide 12
  13. 13. Отдельные рекомендации по оценке рисков• Каждое программное средство для офицера ИБ содержит свою методику оценки рисковВывод: перед приобретением ПО ознакомиться с методикой• Оценка риска (цифра) должна отражать его опасностьВывод: не использовать методики с искажением свойства риска Актив Описание риска Вероят- Ущерб РИСК ОБЩИЙ ность РИСК Финансовая Потеря из-за хищения отчетность конкурентами Частичная потеря из-за сбоя 1 2 2 ? компьютеров 1 3 3 Случайное удаление информации собственным 1 2 2 4 персоналом Частичная потеря (искажение) из-за проникновения вирусов 3 3 9TÜV SÜD Ukraine LLC 2010-12 / Dmitriev slide 13
  14. 14. Отдельные рекомендации по оценке рисков• Активы в реестре могут взаимно дополнять друг друга Вывод: не рекомендовано применять жесткое разделение• Ценность (важность) актива зачастую не используется Вывод: исключить ценность актива или сформулировать логику ее применения Актив Ценность Риск Вероят- Ущерб РИСК (1-3) ность (1-9) Потеря из-за хищения конкурентами Финансовая 1 2 2 отчетность 3 Частичная потеря (искажение) из-за (эл. папка) 3 3 9 ? проникновения вирусов Выход из строя из-за скачка 1 3 3 Прокси- напряжения сервер 1 Уничтожение из-за пожара ? 2 3 6TÜV SÜD Ukraine LLC 2010-12 / Dmitriev slide 14
  15. 15. Наблюдения аудитов СМИБ. Выводы. Рекомендации.TÜV SÜD Ukraine LLC 2010-12 / Dmitriev slide 15
  16. 16. Результаты первичной диагностикиВыборка: 18 компаний. Среднее значение по системе: 27%TÜV SÜD Ukraine LLC 2010-12 / Dmitriev slide 16
  17. 17. Направления безопасности. Хит-парад несоответствийA.10.10.4 Действия системного администратора Требование: Фиксировать действия системного администратора Возможное решение: • Определить активы или действия системного администратора, необходимые для фиксации • Применять технические средства 5TÜV SÜD Ukraine LLC 2010-12 / Dmitriev slide 17
  18. 18. Направления безопасности. Хит-парад несоответствийA.9. Физическая безопасность и безопасность окружения Требование: Выполнять обслуживание согласно требованиям Возможное решение: • Уточнить собственные требования в паспортах к оборудованию 4TÜV SÜD Ukraine LLC 2010-12 / Dmitriev slide 18
  19. 19. Направления безопасности. Хит-парад несоответствийА.15 Законодательные и другие требования Требование: Выполнять нормы законодательства Украины в области информационной безопасности Возможное решение: • Создать перечень норм • Получить консультации специалистов 3TÜV SÜD Ukraine LLC 2010-12 / Dmitriev slide 19
  20. 20. Направления безопасности. Хит-парад несоответствийA.10.3.1 Менеджмент производительности Требование: Определять производительность. Не превышать запланированные мощности. Возможное решение: • Приобретать подходящие по мощности активы • Регулировать производительность 2 собственными требованиямиTÜV SÜD Ukraine LLC 2010-12 / Dmitriev slide 20
  21. 21. Направления безопасности. Хит-парад несоответствийA.12.1 Приобретение информационных систем Требование: Приобретение ИС осуществлять при согласовании с ИБ Возможное решение: • Определить перечень ИС и других информационных активов, требующих согласования • Включить проверку ИБ в 1 процедуру закупокTÜV SÜD Ukraine LLC 2010-12 / Dmitriev slide 21
  22. 22. Наблюдения аудитов СМИБTÜV SÜD Ukraine LLC 2010-12 / Dmitriev slide 22
  23. 23. Наблюдения аудитов СМИБ Требование предприятия: Передача конфиденциальной информации сторонним лицам запрещена без разрешения Дирекции по безопасности Факт: Аудитор хочет поделиться полезной информацией с пользователями и просит дать флешку. Пользователи во многих случаях дают флешки, на которых обнаруживается информация, имеющая гриф «Конфиденциально» Вывод: Нарушено собственное требование по безопасности. Класс несоответствия: критическое (А.15.2) Возможное решение: Приобретение двух флешек, одна из которых «гостевая»TÜV SÜD Ukraine LLC 2010-12 / Dmitriev slide 23
  24. 24. Наблюдения аудитов СМИБ Требование предприятия: Запрещено хранение паролей в открытом доступе. Факт: При внутреннем аудите обнаружено критическое несоответствие: сотрудник «Иванов» хранит пароли в рабочем блокноте, который хранится в столе. Вывод: Недостаточно оснований для несоответствия. Класс несоответствия: нет Рекомендовано детализировать запрет перечислениями недопустимых мест хранения.TÜV SÜD Ukraine LLC 2010-12 / Dmitriev slide 24
  25. 25. Наблюдения аудитов СМИБ Требование предприятия: Вся критическая информация компании должна резервироваться. Факт: Коммерческий директор ведет базу потенциальных клиентов в таблице Excel на своем ПК и никому ее не дает. Существует подозрение на наличие несоответствия. В процедуре по резервному копированию указаны источники для резервирования всей критической информации, базы потенциальных клиентов среди них нет Вывод: Нет оснований для формулировки несоответствия. Рекомендовано дополнить реестр рисков следующим: «Потеря базы потенциальных клиентов из-за …»TÜV SÜD Ukraine LLC 2010-12 / Dmitriev slide 25
  26. 26. Наблюдения аудитов СМИБ Требование предприятия: Учетная запись пользователя в ИС должна быть удалена в течении одного рабочего дня с момента его увольнения Факт: При анализе обнаружены две активные учетные записи пользователей, уволенных десять и двенадцать дней назад Вывод: Нарушено собственное требование по безопасности. Класс несоответствия: критическое (А.8.3). Предприятию необходимы данные учетные записи для доступа к информации в течении месяца Возможное решение: Рекомендовано изменить требование с одного до тридцати днейTÜV SÜD Ukraine LLC 2010-12 / Dmitriev slide 26
  27. 27. Наблюдения аудитов СМИБ Требование предприятия: Хранить информацию о выпуске продукции, в т.ч. электронные журналы ИС, в течении пяти лет с момента производства Факт: Произошла замена сервера, на котором хранятся логи. Данные по выпуску продукции за 2010 год отсутствуют. Информация также есть в бумажном виде Вывод: Нарушено собственное требование по безопасности. Класс несоответствия: некритическое (А.15.1.3) Возможное решение: Рекомендовано пересмотреть требования или ввести процедуру резервирования логовTÜV SÜD Ukraine LLC 2010-12 / Dmitriev slide 27
  28. 28. Позитивные и негативные примеры внедрения процессов СМИБTÜV SÜD Ukraine LLC 2010-12 / Dmitriev slide 28
  29. 29. Поддержка документации СМИБ. Хит-парад негатива1. Документы СМИБ противоречат действительности (на будущее)Пример: «Логи безопасности архивируются на сервере СМИБ», при этом сервертолько в планах приобретения2. В многих случаях употребляются общие фразыПример: «Действия системного администратора фиксируются в журнале»3. Документы СМИБ противоречат другим нормам компанииПример: процедура «Перемещение материальных активов» запрещает выносфлешек, при этом процедура «Сменные носители» позволяет4. Формы документов противоречат требованиям компании по оформлениюПримеры: процедуры именуют политиками, разделы процедуры не соответствуютвнутреннему стандартуTÜV SÜD Ukraine LLC 2010-12 / Dmitriev slide 29
  30. 30. Поддержка документации СМИБ. Хит-парад позитива1. Требования СМИБ максимально удобны для пользователяПример: Большинство пользователей имеют единый сводный документ с перечнемтребований к ним. Требования проиллюстрированы2. Документы СМИБ минимальны по объемуПример: Всего около 20 документов. Объем документа не превышает 4 страниц3. Все документы СМИБ размещены в эл. видеПример: Утвержденные копии документов размещены в папках с распределениемдоступа4. Значительная часть документов СМИБ не разрабатывалась, использовалисьсуществующие документыПример: Требования по персоналу дополнены в существующую процедуру«Управление персоналом»TÜV SÜD Ukraine LLC 2010-12 / Dmitriev slide 30
  31. 31. Приобретение активов. Хит-парад негатива1. Служба ИБ не может получить право на участие в процессе закупкиПример: Руководство считает службу ИБ лишним звеном в процессе2. Не определен четкий перечень активов, которые необходимо оцениватьПример: Шкафы для архива приобретены, но отсутствуют замки, которые оказалисьнеобходимыми. Служба ИБ увидела в этом нарушение. Служба закупок не посчиталанеобходимым сообщать, т.к. шкафы, по их мнению, не информационные активы.3. Оценка проводится формально из-за отсутствия ресурсовПример: Мощность закупленного сервера оказалась крайне недостаточной. Призакупке сервера служба ИБ формально поставила согласие на листе закупки.4. Превышены желания службы ИБ в процессе закупкиПример: Служба ИБ запрещает в рамках служебной записки приобретать «1С-Предприятие» из-за наличия многих рисковTÜV SÜD Ukraine LLC 2010-12 / Dmitriev slide 31
  32. 32. Приобретение активов. Хит-парад позитива1. Процесс закупки максимально логичен и автоматизированПример: ИС компании автоматически информирует службу ИБ о заявке наприобретение, руководство может одобрить покупку только после заполнения поля срекомендациями2. На большую часть активов разработаны требования (стандарт компании)Пример: При приобретении планшетов служба ИТ самостоятельно без согласования сИБ приобретает дополнительные планшеты, полностью соответствующиетребованиям по операционной системе, объеме памяти и др.3. Существует отдельный процесс закупки по критичным активамПример: Для определенного перечня активов проводится детальное исследованиеслужбой ИБ с целью определить соответствие потребностям бизнеса, риски,непредвиденные расходы.TÜV SÜD Ukraine LLC 2010-12 / Dmitriev slide 32
  33. 33. Менеджмент информационной безопасностиОбъем работ по внедрениюСМИБ (ISO 27001)зависит только от Вас!TÜV SÜD Ukraine LLC 2010-12 / Dmitriev slide 33
  34. 34. Менеджмент информационной безопасности Объем работ по внедрению СМИБ (ISO 27001) зависит только от Вас!Основные причины, Максимальные Минимальные Влияние навлияющие на объем ресурсы ресурсы объем работработОбласть действия Все предприятие Отдельные площадки $$ Все продукты Отдельные продуктыКоличество активов 300-1000 10-80 $$Количество рисков 500-3000 20-100 $$$Количество и объем 80-100 процедур и 20-30 процедур и $$$требований журналов журналов  100-2000 ч/д  30-50 ч/дTÜV SÜD Ukraine LLC 2010-12 / Dmitriev slide 34
  35. 35. Анализ применения программных средств для поддержки СМИБ в соответствии с требованиями ISO/IEC 27001. Для самостоятельного ознакомленияTÜV SÜD Ukraine LLC 2010-12 / Dmitriev slide 35
  36. 36. ПО для системы менеджмента ИБ • EXCEL • Собственное ПО • DS Office, Россия • ИСОратник, Украина • GSTOOL, Германия • RMstudio, АнглияTÜV SÜD Ukraine LLC 2010-12 / Dmitriev slide 36
  37. 37. ПО для системы менеджмента ИБВыбор потребителяTÜV SÜD Ukraine LLC 2010-12 / Dmitriev slide 37
  38. 38. ПО для системы менеджмента ИБОтдельные характеристики программного обеспеченияПрограммный продукт Русификация Каталоги Стоимость, активов и категория рисковEXCEL ДА НЕТ $DS Office, Россия ДА ДА $$$$Собственное ПО ДА НЕТ $$$$$ИСОратник, Украина ДА НЕТ $$RMStudio, Англия НЕТ ДА $$$GSTOOL, Германия НЕТ ДА $$$$$TÜV SÜD Ukraine LLC 2010-12 / Dmitriev slide 38
  39. 39. ПО для системы менеджмента ИББазовые процессы автоматизацииПроцесс Кол-во предприятийВедение реестра активов и рисков 27Оценка рисков. Создание отчетов о рисках 23Управление документацией СМИБ 15Управление аудитами СМИБ 7Инструктажи. Осведомленность персонала 4Бюджетирование 1TÜV SÜD Ukraine LLC 2010-12 / Dmitriev slide 39
  40. 40. Большое спасибо! Задавайте вопросы … Александр Дмитриев +38 050 419 69 11 Alexander.Dmitriev@tuv-sud.com.uaTÜV SÜD Ukraine LLC 2010-12 / Dmitriev slide 40

×