Successfully reported this slideshow.

Iso 27001 внедрение технических защитных мер

0

Share

1 of 24
1 of 24

Iso 27001 внедрение технических защитных мер

0

Share

Download to read offline

При построении СМИБ согласно ИСО 27001, внедряется около 114 защитных мер. Условно эти меры можно разделить организационные, процессные и технические.
В докладе будут рассмотрены практические аспекты внедрения технических защитных мер и роли технических специалистов ИБ в рамках проекта внедрения СМИБ.
За какие технические защитные меры отвечают технические специалисты, какова их роль в команде внедрения, на что обращать внимание и т.п.

При построении СМИБ согласно ИСО 27001, внедряется около 114 защитных мер. Условно эти меры можно разделить организационные, процессные и технические.
В докладе будут рассмотрены практические аспекты внедрения технических защитных мер и роли технических специалистов ИБ в рамках проекта внедрения СМИБ.
За какие технические защитные меры отвечают технические специалисты, какова их роль в команде внедрения, на что обращать внимание и т.п.

More Related Content

Viewers also liked

Related Books

Free with a 14 day trial from Scribd

See all

Iso 27001 внедрение технических защитных мер

  1. 1. ISO 27001: внедрение технических защитных мер Алексей Евменков, isqa.ru
  2. 2. Контекст
  3. 3. Наш контекст: ИСО 27001 и СМИБ • ИСО 27001 – международный стандарт, на основе которого строится Система Менеджмента Информационной Безопасности (СМИБ) • Базовая схема СМИБ: Планирование и мониторинг целей Требования ИСО 27001 Политики и процедуры СМИБ Корректирующие имеры Управление рисками Аудиты Измерения, метрики Комплекс защитных мер ИБ в управлении персоналом Управление активами Управление доступом Организация ИБ Криптография Физическая безопасность Антивирусная защита ПО Резервное копирование Логи и мониторинг Управление сетевой безопасностью ИБ при разработке ПО ИБ при работе с поставщиками Управление инцидентами Управление непрерывностью бизнеса Соответствие требованиям регуляторов ~114 защитных мер 3
  4. 4. Что такое «технические защитные меры»? Технические защитные меры? • Меры, реализуемые посредством ИТ решений/инструментов. • Ответственность и ресурсы как правило – со стороны ИТ • Например, внедрение антивирусной защиты, безопасная архитектура сети, разделение (segregation) в сетях, внедрение DLP и т.п. 4 ИБ в управлении персоналом Управление активами Управление доступом Организация ИБ Криптография Физическая безопасность (оборудование) Антивирусная защита ПО Резервное копирование Логи и мониторинг Управление сетевой безопасностью ИБ при разработке ПО ИБ при работе с поставщиками Управление инцидентами Управление непрерывностью бизнеса (резервирование) Соответствие требованиям регуляторов Мобильные устройства и удаленная работа Защитные меры ИСО 27002 (в произвольном порядке): Техническая мера Косвенно техническая мера Нетехническая мера Легенда:
  5. 5. Кто такие технические специалисты? • Сотрудники ИТ отдела - системные администраторы • Сотрудники ИБ отдела – специалисты по пентесту, «технари» • Сотрудники других отделов, участвующих во внедрении технических защитных мер СМИБ 5
  6. 6. Технические специалисты
  7. 7. Точки соприкосновения ИБ и ИТ (в контексте внедрения СМИБ) 7 Инициация и планирование Разработка и внедрение Эксплуатация • Проведение первоначального технического аудита • Планирование технических защитных мер • Руководство в технических проектах • Подтверджение в каждой процедуре, с участием ИТ • Тренинги для технических специалистов • Эксплуатация, оптимизация и модернизация технических защитных мер • Пентесты • Разбор инцидентов и рисков • BCP
  8. 8. Характеристика технич. специалиста • Любит • Тишину, отсутствие излишнего внимания к своей персоне • Заниматься «непонятными» задачами (вроде «конфигурирования железки») • Не любит • Публичности • Взаимодействия с руководством, политики • Взаимодействия ни с кем 8
  9. 9. Взаимодейстивие: ИБ -> ИТ • Изучи «птичий язык» • Хотя бы на уровне терминов, лучше с пониманием • Уважение • Простое человеческое уважение • Впишись в общие планы • (желательно) твои активности должны вписываться в общие планы развития ИТ отдела, и приносить пользу • Договоренности • Фиксируй, конструктивно привлекай руководство, сохраняй прозрачность 9
  10. 10. Взаимодейстивие: ИТ -> ИБ • Уважение • Пойми контекст • Нужно знать структуру СМИБ, общие планы по развитию • В идеале, нужно понимать как ИБ смотрит на проект • Предугадывай • Проактивность – предотвращает проблемы 10
  11. 11. Природа конфликта интересов ИТ и ИБ 11 ИБ ИТ Основные функции Обеспечение безопасности информации: конфиденциальность, целостность и доступность Обеспечение мобильности, скорости, доступности, целостности систем Цель Защита информации Удобство использования для бизнеса Метод достижения Ограничение Открытость
  12. 12. Технические защитные меры
  13. 13. Управление активами • Инвентаризация «железа», ПО, управление лицензиями • Использование сканеров, базы конфигураций • Классификация информации, владельцы информации • Определить за что отвечает ИТ, провести тренинги • Проработать основные бизнес-процессы – открытие/закрытие проекта (выдача/сдача оборудования, ПО/лицензий) • Безопасное удаление информации с носителей • С использованием спец. ПО • Физическое удаление носителей информации (HDD, бумага) • Приемлемое использование активов • Печать через PIN, шифрование носителей инф-ии, настройка средств коммуникации и т.п. 13
  14. 14. Управление доступом • Управление доступом - обеспечение того, чтобы доступ к активам был санкционирован и ограничен • Первично – процессное обеспечение (need to know, least privilege) • Техническая реализация вторична • IdM, IAM – редко встречаются в чистом виде, чаще заменяются набором ручных процедур и полуавтоматических решений • Active directory • Стандартные чеклисты по созданию/удалению пользователей • RACI матрицы, User rights pattern 14
  15. 15. Управление доступом - сложности • Ревью прав – сложная техническая задача • Но одна из критически важных (перемещение сотрудников между проектами, уход и тп) • Реальные задачи • Увольнение сис.админа (хорошая проверка) • Управление правами заказчика внутри сети компании • Многоплановость управления доступом • Управление паролями • Удаленный доступ • Управление доступом при обмене информацией • Доступ к физическим активам (доступ в помещения, доступ к оборудованию). 15
  16. 16. Сетевая безопасность • Безопасная архитектура сети • Сеть должна быть спроектирована, постоянно оптимизироваться (в зависимости от оборудования, бизнес-потребностей, реальности) • Процесс внедрения изменений (change mgmt.), управление доступом к конфигурациям • WiFi – одно из слабых мест • Логгирование действий, защита логов • Отдельная тема: ISO/IEC 27033-1/6 Network security, NIST SP 800-53 • Безопасность ИТ сервисов • Определить что ИТ предоставляет бизнесу, SLA • Последовательно развивать ИБ в отдельных ИС (принудительная аутентификация, безопасный вход в ИС, закрытие активных сессий и др) 16
  17. 17. Пентесты • В рамках «18.2.3. Анализ технического соответствия» • Делаем через проект – с привлечением специалистов (заслуженных) 17 Кадры решают все • Либо создаем внутреннюю команду из подходящих специалистов • Базовое обучение, • Разработка методики, • Тесты, в согласовании с ИТ
  18. 18. Другое • Физическая безопасность (обслуживание оборудования, СКУД и др) • Антивирус • Бэкапирование • Логгинг и мониторинг (защита от админов) • Обновления системного ПО • Поддержка раздельных сред разработки, тестирования, прод • Лучше все внедрять как проекты 18
  19. 19. Последовательность внедрения технических мер • Определяется общим планом внедрения СМИБ • Тот в свою очередь – анализом рисков • В некоторых крупных организациях (как правило банки, госорганизации) – дело лоббирования, бюджета и случая • Пример последовательности: • Управление активами (что защищаем?) • Безопасная сеть (архитектура, firewalls, VPN) • Антивирусы, резервное копирование • Управление доступом • Все остальное 19
  20. 20. Внедрение ИБ инструментов По поводу применения различных ИБ инструментов (DLP, SIEM и т.д) • Инструментов и их производителей много • Критерии выбора: • Анализ рисков – основа для принятия любого решения • Общая стратегия ИБ – посыл со стороны бизнеса • Лишний бюджет ?:) – тут уж что интереснее 20
  21. 21. Внедрение ИБ инструментов – какой инструмент нужен? NIST Cybersecurity Framework – матрица возможных решений 21
  22. 22. Внедрение ИБ инструментов – текущий рынок 22По материалам презентации Российская rasputitsa как объяснение будущего отечественной отрасли ИБ от Aleksey Lukatskiy
  23. 23. Вместо заключения 23
  24. 24. АлексейЕвменков, CISM isqa.ru evmenkov@gmail.com Авторский курс: Внедрение СМИБ Расширенная практическая часть, полное руководство по внедрению ИСО 27001 и защитных мер из ИСО 27002 3х дневный курс, 8-10 июня 2016г. http://edu.softline.by/courses/smib.html

Editor's Notes

  • Очень важно участие тех.спец. на начальном этапе – initial audit. По сути, аудит бессмысленен без технаря.
  • Уважение – почему хороший руководитель – только лишь по одной причине – уважение к подчиненным/сотрудникам
  • СМИБ – огромная система, техмеры занимают 15-30 % только. Нужно видеть общую картину.
  • Несколько преувеличено, но природа такая
  • В подпунктах – что может потребоваться со стороны ИТ
    ИТ отвечает как правило за ключевые бизнес системы (JIRA, SVN и тп)
  • ×