SlideShare uses cookies to improve functionality and performance, and to provide you with relevant advertising. If you continue browsing the site, you agree to the use of cookies on this website. See our User Agreement and Privacy Policy.
SlideShare uses cookies to improve functionality and performance, and to provide you with relevant advertising. If you continue browsing the site, you agree to the use of cookies on this website. See our Privacy Policy and User Agreement for details.
Successfully reported this slideshow.
Activate your 14 day free trial to unlock unlimited reading.
При построении СМИБ согласно ИСО 27001, внедряется около 114 защитных мер. Условно эти меры можно разделить организационные, процессные и технические.
В докладе будут рассмотрены практические аспекты внедрения технических защитных мер и роли технических специалистов ИБ в рамках проекта внедрения СМИБ.
За какие технические защитные меры отвечают технические специалисты, какова их роль в команде внедрения, на что обращать внимание и т.п.
При построении СМИБ согласно ИСО 27001, внедряется около 114 защитных мер. Условно эти меры можно разделить организационные, процессные и технические.
В докладе будут рассмотрены практические аспекты внедрения технических защитных мер и роли технических специалистов ИБ в рамках проекта внедрения СМИБ.
За какие технические защитные меры отвечают технические специалисты, какова их роль в команде внедрения, на что обращать внимание и т.п.
3.
Наш контекст: ИСО 27001 и СМИБ
• ИСО 27001 – международный стандарт, на основе которого строится
Система Менеджмента Информационной Безопасности (СМИБ)
• Базовая схема СМИБ:
Планирование и мониторинг целей
Требования ИСО 27001
Политики и процедуры СМИБ
Корректирующие
имеры
Управление рисками
Аудиты
Измерения, метрики Комплекс
защитных
мер
ИБ в управлении
персоналом
Управление активами
Управление доступом Организация ИБ
Криптография
Физическая
безопасность
Антивирусная защита
ПО
Резервное
копирование
Логи и мониторинг
Управление сетевой
безопасностью
ИБ при разработке ПО
ИБ при работе с
поставщиками
Управление
инцидентами
Управление
непрерывностью
бизнеса
Соответствие
требованиям
регуляторов
~114 защитных мер
3
4.
Что такое «технические защитные меры»?
Технические защитные меры?
• Меры, реализуемые
посредством ИТ
решений/инструментов.
• Ответственность и ресурсы
как правило – со стороны ИТ
• Например, внедрение
антивирусной защиты,
безопасная архитектура
сети, разделение
(segregation) в сетях,
внедрение DLP и т.п. 4
ИБ в управлении персоналом
Управление активами
Управление доступом
Организация ИБ
Криптография
Физическая безопасность
(оборудование)
Антивирусная защита ПО
Резервное копирование
Логи и мониторинг
Управление сетевой
безопасностью
ИБ при разработке ПО
ИБ при работе с
поставщиками
Управление инцидентами
Управление непрерывностью
бизнеса (резервирование)
Соответствие требованиям
регуляторов
Мобильные устройства и
удаленная работа
Защитные меры ИСО 27002 (в произвольном порядке):
Техническая мера Косвенно техническая мера Нетехническая мера
Легенда:
5.
Кто такие технические специалисты?
• Сотрудники ИТ отдела - системные администраторы
• Сотрудники ИБ отдела – специалисты по пентесту, «технари»
• Сотрудники других отделов, участвующих во внедрении
технических защитных мер СМИБ
5
7.
Точки соприкосновения ИБ и ИТ
(в контексте внедрения СМИБ)
7
Инициация и планирование Разработка и внедрение Эксплуатация
• Проведение первоначального
технического аудита
• Планирование технических
защитных мер
• Руководство в технических
проектах
• Подтверджение в каждой
процедуре, с участием ИТ
• Тренинги для технических
специалистов
• Эксплуатация, оптимизация
и модернизация
технических защитных мер
• Пентесты
• Разбор инцидентов и
рисков
• BCP
8.
Характеристика технич. специалиста
• Любит
• Тишину, отсутствие излишнего
внимания к своей персоне
• Заниматься «непонятными»
задачами (вроде
«конфигурирования железки»)
• Не любит
• Публичности
• Взаимодействия с руководством,
политики
• Взаимодействия ни с кем
8
9.
Взаимодейстивие: ИБ -> ИТ
• Изучи «птичий язык»
• Хотя бы на уровне терминов, лучше с
пониманием
• Уважение
• Простое человеческое уважение
• Впишись в общие планы
• (желательно) твои активности должны
вписываться в общие планы развития ИТ
отдела, и приносить пользу
• Договоренности
• Фиксируй, конструктивно привлекай
руководство, сохраняй прозрачность 9
10.
Взаимодейстивие: ИТ -> ИБ
• Уважение
• Пойми контекст
• Нужно знать структуру СМИБ, общие
планы по развитию
• В идеале, нужно понимать как ИБ
смотрит на проект
• Предугадывай
• Проактивность – предотвращает
проблемы
10
11.
Природа конфликта интересов ИТ и ИБ
11
ИБ ИТ
Основные
функции
Обеспечение безопасности
информации:
конфиденциальность,
целостность и доступность
Обеспечение мобильности,
скорости, доступности,
целостности систем
Цель Защита информации Удобство использования
для бизнеса
Метод
достижения
Ограничение Открытость
13.
Управление активами
• Инвентаризация «железа», ПО, управление лицензиями
• Использование сканеров, базы конфигураций
• Классификация информации, владельцы информации
• Определить за что отвечает ИТ, провести тренинги
• Проработать основные бизнес-процессы – открытие/закрытие проекта
(выдача/сдача оборудования, ПО/лицензий)
• Безопасное удаление информации с носителей
• С использованием спец. ПО
• Физическое удаление носителей информации (HDD, бумага)
• Приемлемое использование активов
• Печать через PIN, шифрование носителей инф-ии, настройка средств
коммуникации и т.п.
13
14.
Управление доступом
• Управление доступом - обеспечение того, чтобы доступ к активам
был санкционирован и ограничен
• Первично – процессное обеспечение (need to know, least privilege)
• Техническая реализация вторична
• IdM, IAM – редко встречаются в чистом виде, чаще заменяются
набором ручных процедур и полуавтоматических решений
• Active directory
• Стандартные чеклисты по созданию/удалению пользователей
• RACI матрицы, User rights pattern
14
15.
Управление доступом - сложности
• Ревью прав – сложная техническая задача
• Но одна из критически важных (перемещение
сотрудников между проектами, уход и тп)
• Реальные задачи
• Увольнение сис.админа (хорошая проверка)
• Управление правами заказчика внутри сети компании
• Многоплановость управления доступом
• Управление паролями
• Удаленный доступ
• Управление доступом при обмене информацией
• Доступ к физическим активам (доступ в помещения, доступ к оборудованию).
15
16.
Сетевая безопасность
• Безопасная архитектура сети
• Сеть должна быть спроектирована, постоянно оптимизироваться (в
зависимости от оборудования, бизнес-потребностей, реальности)
• Процесс внедрения изменений (change mgmt.), управление доступом к
конфигурациям
• WiFi – одно из слабых мест
• Логгирование действий, защита логов
• Отдельная тема: ISO/IEC 27033-1/6 Network security, NIST SP 800-53
• Безопасность ИТ сервисов
• Определить что ИТ предоставляет бизнесу, SLA
• Последовательно развивать ИБ в отдельных ИС (принудительная
аутентификация, безопасный вход в ИС, закрытие активных сессий и др)
16
17.
Пентесты
• В рамках «18.2.3. Анализ
технического соответствия»
• Делаем через проект – с
привлечением специалистов
(заслуженных)
17
Кадры решают все
• Либо создаем внутреннюю команду из подходящих специалистов
• Базовое обучение,
• Разработка методики,
• Тесты, в согласовании с ИТ
18.
Другое
• Физическая безопасность (обслуживание оборудования, СКУД и др)
• Антивирус
• Бэкапирование
• Логгинг и мониторинг (защита от админов)
• Обновления системного ПО
• Поддержка раздельных сред разработки,
тестирования, прод
• Лучше все внедрять как проекты
18
19.
Последовательность внедрения
технических мер
• Определяется общим планом внедрения СМИБ
• Тот в свою очередь – анализом рисков
• В некоторых крупных организациях (как правило банки,
госорганизации) – дело лоббирования, бюджета и случая
• Пример последовательности:
• Управление активами (что защищаем?)
• Безопасная сеть (архитектура, firewalls, VPN)
• Антивирусы, резервное копирование
• Управление доступом
• Все остальное 19
20.
Внедрение ИБ инструментов
По поводу применения различных ИБ инструментов (DLP,
SIEM и т.д)
• Инструментов и их производителей много
• Критерии выбора:
• Анализ рисков – основа для принятия любого решения
• Общая стратегия ИБ – посыл со стороны бизнеса
• Лишний бюджет ?:) – тут уж что интереснее
20
21.
Внедрение ИБ инструментов – какой
инструмент нужен?
NIST Cybersecurity Framework – матрица возможных решений
21
22.
Внедрение ИБ инструментов – текущий рынок
22По материалам презентации Российская rasputitsa как объяснение будущего отечественной отрасли ИБ от Aleksey Lukatskiy