Your SlideShare is downloading. ×
Александр Дмитриев - Практические аспекты внедрения системы менеджмента информационной безопасности в соответствии с требованиями ISO 27001
Upcoming SlideShare
Loading in...5
×

Thanks for flagging this SlideShare!

Oops! An error has occurred.

×
Saving this for later? Get the SlideShare app to save on your phone or tablet. Read anywhere, anytime – even offline.
Text the download link to your phone
Standard text messaging rates apply

Александр Дмитриев - Практические аспекты внедрения системы менеджмента информационной безопасности в соответствии с требованиями ISO 27001

572

Published on

0 Comments
2 Likes
Statistics
Notes
  • Be the first to comment

No Downloads
Views
Total Views
572
On Slideshare
0
From Embeds
0
Number of Embeds
0
Actions
Shares
0
Downloads
0
Comments
0
Likes
2
Embeds 0
No embeds

Report content
Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
No notes for slide

Transcript

  • 1. Практические аспекты внедрения системы менеджмента информационной безопасности в соответствии с требованиями ISO 27001 Александр Дмитриев Lead auditor ISO/IEC 27001, BS 25999, ISO 9001 Руководитель департамента «ИТ-сервисы и безопасность» Главный редактор журнала «Das Management»TÜV SÜD Ukraine LLC 2010-12 / Dmitriev slide 1
  • 2. Защита информации vs Менеджмент информационной безопасностиTÜV SÜD Ukraine LLC 2010-12 / Dmitriev slide 2
  • 3. Защита информации и менеджмент ИБ Безостановочное предупреждение рисков по Обстоятельное решение базовым направлениям ИБ текущей проблемы ИБ Менеджмент ИБ Защита информации (ISO 27001)TÜV SÜD Ukraine LLC 2010-12 / Dmitriev slide 3
  • 4. Защита информации и менеджмент ИБ ? «СУПЕР» Менеджмент ИБ (ISO 27001, ISF, CobiT, ITIL, IT-Grundschutz, NIST и др.)TÜV SÜD Ukraine LLC 2010-12 / Dmitriev slide 4
  • 5. Защита информации. Ощущение и признаки успеха • Объем проделанной работы • Установка сложных систем защиты • Количество наказанных лиц • Количество и качество устранения инцидентов • Объем и качество документов, количество рисков • Воспитание боязни к службе ИБ Офицер ИБПодразделенияTÜV SÜD Ukraine LLC 2010-12 / Dmitriev slide 5
  • 6. Менеджмент ИБ. Ощущение и признаки успеха • Обращения подразделений за помощью к ИБ • Ощутимые улучшения в документообороте • Уверенность в понимании карты рисков • Большинство инцидентов числятся в реестре рисков • Количество инцидентов прогнозируемо • Воспитание доверия (любви)Подразделения к службе ИБ Офицер ИБTÜV SÜD Ukraine LLC 2010-12 / Dmitriev slide 6
  • 7. Практические рекомендации по определению, расчету и анализу рисковTÜV SÜD Ukraine LLC 2010-12 / Dmitriev slide 7
  • 8. Определение активов и рисков. Организация процесса Подразделение Документы Действие Руководство Стратегия и фин. план Область действия Служба «Х» Описания бизнес-процессов Подразделения в СМИБ Служба ИБ Правила определения Обучение Шаблон реестра Подразделения Таблицы частные Заполнение таблиц Служба ИБ Реестр сводный (проект) Сведение реестра Раб. группа ИБ Реестр сводный (Ц+Д) Выжимка реестра Служба ИБ Реестр сводный (К) Дополнение реестраTÜV SÜD Ukraine LLC 2010-12 / Dmitriev slide 8
  • 9. Определение активов и рисков. Вопрос количестваНепростой выбор: определить все возможные рискиили закрыть те, которые вижуTÜV SÜD Ukraine LLC 2010-12 / Dmitriev slide 9
  • 10. Выбор методики расчета рисковОтдельные методики расчета рисков. Частное мнение • РИСК = Балл от 1 до 10 • РИСК = ВЕРОЯТНОСТЬ * УЩЕРБ • РИСК = ВЕРОЯТНОСТЬ * (УЩЕРБ ПРЯМ. + КОСВ.) • РИСК = ВЕРОЯТНОСТЬ * УЩЕРБ * ВЕР. ОБНАРУЖ. • РИСК = Конф (1-3) * Цел (1-3) * Дост (1-3) • РИСК = MAX (Конф (1-3), Цел (1-3), Дост (1-3)) • РИСК = ВАЖН. АКТИВА (1-3) * Балл (1-3) • РИСК = ВАЖН. АКТИВА (1-3) * ВЕРОЯТНОСТЬ * УЩЕРБTÜV SÜD Ukraine LLC 2010-12 / Dmitriev slide 10
  • 11. Выбор методики расчета рисковФормула для расчета: РИСК = ВЕРОЯТНОСТЬ * УЩЕРБКачественная Значение риска: баллы (от 1 до 63) Ресурсы: 10 ч/д Преимущества: • Простое применение Проблемы методики: • Отсутствие вывода для экономики безопасностиКоличественная Значение риска: деньги (1 520 грн) Вероятность Ущерб Ресурсы: 120 ч/д (0..1) X ($$$) Преимущества: • Доказательная экономика безопасности Проблемы методики: • Сложность получения данных для Значение риска экономических расчетовTÜV SÜD Ukraine LLC 2010-12 / Dmitriev slide 11
  • 12. Расчет рисков. Выбор формулыЦель расчета: разделить риски по степени важностиМинимальные требования к расчету:- Наличие вводных данных- Доверие к результатуTÜV SÜD Ukraine LLC 2010-12 / Dmitriev slide 12
  • 13. Отдельные рекомендации по оценке рисков• Каждое программное средство для офицера ИБ содержит свою методику оценки рисковВывод: перед приобретением ПО ознакомиться с методикой• Оценка риска (цифра) должна отражать его опасностьВывод: не использовать методики с искажением свойства риска Актив Описание риска Вероят- Ущерб РИСК ОБЩИЙ ность РИСК Финансовая Потеря из-за хищения отчетность конкурентами Частичная потеря из-за сбоя 1 2 2 ? компьютеров 1 3 3 Случайное удаление информации собственным 1 2 2 4 персоналом Частичная потеря (искажение) из-за проникновения вирусов 3 3 9TÜV SÜD Ukraine LLC 2010-12 / Dmitriev slide 13
  • 14. Отдельные рекомендации по оценке рисков• Активы в реестре могут взаимно дополнять друг друга Вывод: не рекомендовано применять жесткое разделение• Ценность (важность) актива зачастую не используется Вывод: исключить ценность актива или сформулировать логику ее применения Актив Ценность Риск Вероят- Ущерб РИСК (1-3) ность (1-9) Потеря из-за хищения конкурентами Финансовая 1 2 2 отчетность 3 Частичная потеря (искажение) из-за (эл. папка) 3 3 9 ? проникновения вирусов Выход из строя из-за скачка 1 3 3 Прокси- напряжения сервер 1 Уничтожение из-за пожара ? 2 3 6TÜV SÜD Ukraine LLC 2010-12 / Dmitriev slide 14
  • 15. Наблюдения аудитов СМИБ. Выводы. Рекомендации.TÜV SÜD Ukraine LLC 2010-12 / Dmitriev slide 15
  • 16. Результаты первичной диагностикиВыборка: 18 компаний. Среднее значение по системе: 27%TÜV SÜD Ukraine LLC 2010-12 / Dmitriev slide 16
  • 17. Направления безопасности. Хит-парад несоответствийA.10.10.4 Действия системного администратора Требование: Фиксировать действия системного администратора Возможное решение: • Определить активы или действия системного администратора, необходимые для фиксации • Применять технические средства 5TÜV SÜD Ukraine LLC 2010-12 / Dmitriev slide 17
  • 18. Направления безопасности. Хит-парад несоответствийA.9. Физическая безопасность и безопасность окружения Требование: Выполнять обслуживание согласно требованиям Возможное решение: • Уточнить собственные требования в паспортах к оборудованию 4TÜV SÜD Ukraine LLC 2010-12 / Dmitriev slide 18
  • 19. Направления безопасности. Хит-парад несоответствийА.15 Законодательные и другие требования Требование: Выполнять нормы законодательства Украины в области информационной безопасности Возможное решение: • Создать перечень норм • Получить консультации специалистов 3TÜV SÜD Ukraine LLC 2010-12 / Dmitriev slide 19
  • 20. Направления безопасности. Хит-парад несоответствийA.10.3.1 Менеджмент производительности Требование: Определять производительность. Не превышать запланированные мощности. Возможное решение: • Приобретать подходящие по мощности активы • Регулировать производительность 2 собственными требованиямиTÜV SÜD Ukraine LLC 2010-12 / Dmitriev slide 20
  • 21. Направления безопасности. Хит-парад несоответствийA.12.1 Приобретение информационных систем Требование: Приобретение ИС осуществлять при согласовании с ИБ Возможное решение: • Определить перечень ИС и других информационных активов, требующих согласования • Включить проверку ИБ в 1 процедуру закупокTÜV SÜD Ukraine LLC 2010-12 / Dmitriev slide 21
  • 22. Наблюдения аудитов СМИБTÜV SÜD Ukraine LLC 2010-12 / Dmitriev slide 22
  • 23. Наблюдения аудитов СМИБ Требование предприятия: Передача конфиденциальной информации сторонним лицам запрещена без разрешения Дирекции по безопасности Факт: Аудитор хочет поделиться полезной информацией с пользователями и просит дать флешку. Пользователи во многих случаях дают флешки, на которых обнаруживается информация, имеющая гриф «Конфиденциально» Вывод: Нарушено собственное требование по безопасности. Класс несоответствия: критическое (А.15.2) Возможное решение: Приобретение двух флешек, одна из которых «гостевая»TÜV SÜD Ukraine LLC 2010-12 / Dmitriev slide 23
  • 24. Наблюдения аудитов СМИБ Требование предприятия: Запрещено хранение паролей в открытом доступе. Факт: При внутреннем аудите обнаружено критическое несоответствие: сотрудник «Иванов» хранит пароли в рабочем блокноте, который хранится в столе. Вывод: Недостаточно оснований для несоответствия. Класс несоответствия: нет Рекомендовано детализировать запрет перечислениями недопустимых мест хранения.TÜV SÜD Ukraine LLC 2010-12 / Dmitriev slide 24
  • 25. Наблюдения аудитов СМИБ Требование предприятия: Вся критическая информация компании должна резервироваться. Факт: Коммерческий директор ведет базу потенциальных клиентов в таблице Excel на своем ПК и никому ее не дает. Существует подозрение на наличие несоответствия. В процедуре по резервному копированию указаны источники для резервирования всей критической информации, базы потенциальных клиентов среди них нет Вывод: Нет оснований для формулировки несоответствия. Рекомендовано дополнить реестр рисков следующим: «Потеря базы потенциальных клиентов из-за …»TÜV SÜD Ukraine LLC 2010-12 / Dmitriev slide 25
  • 26. Наблюдения аудитов СМИБ Требование предприятия: Учетная запись пользователя в ИС должна быть удалена в течении одного рабочего дня с момента его увольнения Факт: При анализе обнаружены две активные учетные записи пользователей, уволенных десять и двенадцать дней назад Вывод: Нарушено собственное требование по безопасности. Класс несоответствия: критическое (А.8.3). Предприятию необходимы данные учетные записи для доступа к информации в течении месяца Возможное решение: Рекомендовано изменить требование с одного до тридцати днейTÜV SÜD Ukraine LLC 2010-12 / Dmitriev slide 26
  • 27. Наблюдения аудитов СМИБ Требование предприятия: Хранить информацию о выпуске продукции, в т.ч. электронные журналы ИС, в течении пяти лет с момента производства Факт: Произошла замена сервера, на котором хранятся логи. Данные по выпуску продукции за 2010 год отсутствуют. Информация также есть в бумажном виде Вывод: Нарушено собственное требование по безопасности. Класс несоответствия: некритическое (А.15.1.3) Возможное решение: Рекомендовано пересмотреть требования или ввести процедуру резервирования логовTÜV SÜD Ukraine LLC 2010-12 / Dmitriev slide 27
  • 28. Позитивные и негативные примеры внедрения процессов СМИБTÜV SÜD Ukraine LLC 2010-12 / Dmitriev slide 28
  • 29. Поддержка документации СМИБ. Хит-парад негатива1. Документы СМИБ противоречат действительности (на будущее)Пример: «Логи безопасности архивируются на сервере СМИБ», при этом сервертолько в планах приобретения2. В многих случаях употребляются общие фразыПример: «Действия системного администратора фиксируются в журнале»3. Документы СМИБ противоречат другим нормам компанииПример: процедура «Перемещение материальных активов» запрещает выносфлешек, при этом процедура «Сменные носители» позволяет4. Формы документов противоречат требованиям компании по оформлениюПримеры: процедуры именуют политиками, разделы процедуры не соответствуютвнутреннему стандартуTÜV SÜD Ukraine LLC 2010-12 / Dmitriev slide 29
  • 30. Поддержка документации СМИБ. Хит-парад позитива1. Требования СМИБ максимально удобны для пользователяПример: Большинство пользователей имеют единый сводный документ с перечнемтребований к ним. Требования проиллюстрированы2. Документы СМИБ минимальны по объемуПример: Всего около 20 документов. Объем документа не превышает 4 страниц3. Все документы СМИБ размещены в эл. видеПример: Утвержденные копии документов размещены в папках с распределениемдоступа4. Значительная часть документов СМИБ не разрабатывалась, использовалисьсуществующие документыПример: Требования по персоналу дополнены в существующую процедуру«Управление персоналом»TÜV SÜD Ukraine LLC 2010-12 / Dmitriev slide 30
  • 31. Приобретение активов. Хит-парад негатива1. Служба ИБ не может получить право на участие в процессе закупкиПример: Руководство считает службу ИБ лишним звеном в процессе2. Не определен четкий перечень активов, которые необходимо оцениватьПример: Шкафы для архива приобретены, но отсутствуют замки, которые оказалисьнеобходимыми. Служба ИБ увидела в этом нарушение. Служба закупок не посчиталанеобходимым сообщать, т.к. шкафы, по их мнению, не информационные активы.3. Оценка проводится формально из-за отсутствия ресурсовПример: Мощность закупленного сервера оказалась крайне недостаточной. Призакупке сервера служба ИБ формально поставила согласие на листе закупки.4. Превышены желания службы ИБ в процессе закупкиПример: Служба ИБ запрещает в рамках служебной записки приобретать «1С-Предприятие» из-за наличия многих рисковTÜV SÜD Ukraine LLC 2010-12 / Dmitriev slide 31
  • 32. Приобретение активов. Хит-парад позитива1. Процесс закупки максимально логичен и автоматизированПример: ИС компании автоматически информирует службу ИБ о заявке наприобретение, руководство может одобрить покупку только после заполнения поля срекомендациями2. На большую часть активов разработаны требования (стандарт компании)Пример: При приобретении планшетов служба ИТ самостоятельно без согласования сИБ приобретает дополнительные планшеты, полностью соответствующиетребованиям по операционной системе, объеме памяти и др.3. Существует отдельный процесс закупки по критичным активамПример: Для определенного перечня активов проводится детальное исследованиеслужбой ИБ с целью определить соответствие потребностям бизнеса, риски,непредвиденные расходы.TÜV SÜD Ukraine LLC 2010-12 / Dmitriev slide 32
  • 33. Менеджмент информационной безопасностиОбъем работ по внедрениюСМИБ (ISO 27001)зависит только от Вас!TÜV SÜD Ukraine LLC 2010-12 / Dmitriev slide 33
  • 34. Менеджмент информационной безопасности Объем работ по внедрению СМИБ (ISO 27001) зависит только от Вас!Основные причины, Максимальные Минимальные Влияние навлияющие на объем ресурсы ресурсы объем работработОбласть действия Все предприятие Отдельные площадки $$ Все продукты Отдельные продуктыКоличество активов 300-1000 10-80 $$Количество рисков 500-3000 20-100 $$$Количество и объем 80-100 процедур и 20-30 процедур и $$$требований журналов журналов  100-2000 ч/д  30-50 ч/дTÜV SÜD Ukraine LLC 2010-12 / Dmitriev slide 34
  • 35. Анализ применения программных средств для поддержки СМИБ в соответствии с требованиями ISO/IEC 27001. Для самостоятельного ознакомленияTÜV SÜD Ukraine LLC 2010-12 / Dmitriev slide 35
  • 36. ПО для системы менеджмента ИБ • EXCEL • Собственное ПО • DS Office, Россия • ИСОратник, Украина • GSTOOL, Германия • RMstudio, АнглияTÜV SÜD Ukraine LLC 2010-12 / Dmitriev slide 36
  • 37. ПО для системы менеджмента ИБВыбор потребителяTÜV SÜD Ukraine LLC 2010-12 / Dmitriev slide 37
  • 38. ПО для системы менеджмента ИБОтдельные характеристики программного обеспеченияПрограммный продукт Русификация Каталоги Стоимость, активов и категория рисковEXCEL ДА НЕТ $DS Office, Россия ДА ДА $$$$Собственное ПО ДА НЕТ $$$$$ИСОратник, Украина ДА НЕТ $$RMStudio, Англия НЕТ ДА $$$GSTOOL, Германия НЕТ ДА $$$$$TÜV SÜD Ukraine LLC 2010-12 / Dmitriev slide 38
  • 39. ПО для системы менеджмента ИББазовые процессы автоматизацииПроцесс Кол-во предприятийВедение реестра активов и рисков 27Оценка рисков. Создание отчетов о рисках 23Управление документацией СМИБ 15Управление аудитами СМИБ 7Инструктажи. Осведомленность персонала 4Бюджетирование 1TÜV SÜD Ukraine LLC 2010-12 / Dmitriev slide 39
  • 40. Большое спасибо! Задавайте вопросы … Александр Дмитриев +38 050 419 69 11 Alexander.Dmitriev@tuv-sud.com.uaTÜV SÜD Ukraine LLC 2010-12 / Dmitriev slide 40

×