1.
ISO 27001: внедрение
технических защитных мер
Алексей Евменков,
isqa.ru

2.
Контекст

3.
Наш контекст: ИСО 27001 и СМИБ
• ИСО 27001 – международный стандарт, на основе которого строится
Система Менеджмента Информационной Безопасности (СМИБ)
• Базовая схема СМИБ:
Планирование и мониторинг целей
Требования ИСО 27001
Политики и процедуры СМИБ
Корректирующие
имеры
Управление рисками
Аудиты
Измерения, метрики Комплекс
защитных
мер
ИБ в управлении
персоналом
Управление активами
Управление доступом Организация ИБ
Криптография
Физическая
безопасность
Антивирусная защита
ПО
Резервное
копирование
Логи и мониторинг
Управление сетевой
безопасностью
ИБ при разработке ПО
ИБ при работе с
поставщиками
Управление
инцидентами
Управление
непрерывностью
бизнеса
Соответствие
требованиям
регуляторов
~114 защитных мер
3

4.
Что такое «технические защитные меры»?
Технические защитные меры?
• Меры, реализуемые
посредством ИТ
решений/инструментов.
• Ответственность и ресурсы
как правило – со стороны ИТ
• Например, внедрение
антивирусной защиты,
безопасная архитектура
сети, разделение
(segregation) в сетях,
внедрение DLP и т.п. 4
ИБ в управлении персоналом
Управление активами
Управление доступом
Организация ИБ
Криптография
Физическая безопасность
(оборудование)
Антивирусная защита ПО
Резервное копирование
Логи и мониторинг
Управление сетевой
безопасностью
ИБ при разработке ПО
ИБ при работе с
поставщиками
Управление инцидентами
Управление непрерывностью
бизнеса (резервирование)
Соответствие требованиям
регуляторов
Мобильные устройства и
удаленная работа
Защитные меры ИСО 27002 (в произвольном порядке):
Техническая мера Косвенно техническая мера Нетехническая мера
Легенда:

5.
Кто такие технические специалисты?
• Сотрудники ИТ отдела - системные администраторы
• Сотрудники ИБ отдела – специалисты по пентесту, «технари»
• Сотрудники других отделов, участвующих во внедрении
технических защитных мер СМИБ
5

6.
Технические
специалисты

7.
Точки соприкосновения ИБ и ИТ
(в контексте внедрения СМИБ)
7
Инициация и планирование Разработка и внедрение Эксплуатация
• Проведение первоначального
технического аудита
• Планирование технических
защитных мер
• Руководство в технических
проектах
• Подтверджение в каждой
процедуре, с участием ИТ
• Тренинги для технических
специалистов
• Эксплуатация, оптимизация
и модернизация
технических защитных мер
• Пентесты
• Разбор инцидентов и
рисков
• BCP

8.
Характеристика технич. специалиста
• Любит
• Тишину, отсутствие излишнего
внимания к своей персоне
• Заниматься «непонятными»
задачами (вроде
«конфигурирования железки»)
• Не любит
• Публичности
• Взаимодействия с руководством,
политики
• Взаимодействия ни с кем
8

9.
Взаимодейстивие: ИБ -> ИТ
• Изучи «птичий язык»
• Хотя бы на уровне терминов, лучше с
пониманием
• Уважение
• Простое человеческое уважение
• Впишись в общие планы
• (желательно) твои активности должны
вписываться в общие планы развития ИТ
отдела, и приносить пользу
• Договоренности
• Фиксируй, конструктивно привлекай
руководство, сохраняй прозрачность 9

10.
Взаимодейстивие: ИТ -> ИБ
• Уважение
• Пойми контекст
• Нужно знать структуру СМИБ, общие
планы по развитию
• В идеале, нужно понимать как ИБ
смотрит на проект
• Предугадывай
• Проактивность – предотвращает
проблемы
10

11.
Природа конфликта интересов ИТ и ИБ
11
ИБ ИТ
Основные
функции
Обеспечение безопасности
информации:
конфиденциальность,
целостность и доступность
Обеспечение мобильности,
скорости, доступности,
целостности систем
Цель Защита информации Удобство использования
для бизнеса
Метод
достижения
Ограничение Открытость

12.
Технические защитные
меры

13.
Управление активами
• Инвентаризация «железа», ПО, управление лицензиями
• Использование сканеров, базы конфигураций
• Классификация информации, владельцы информации
• Определить за что отвечает ИТ, провести тренинги
• Проработать основные бизнес-процессы – открытие/закрытие проекта
(выдача/сдача оборудования, ПО/лицензий)
• Безопасное удаление информации с носителей
• С использованием спец. ПО
• Физическое удаление носителей информации (HDD, бумага)
• Приемлемое использование активов
• Печать через PIN, шифрование носителей инф-ии, настройка средств
коммуникации и т.п.
13

14.
Управление доступом
• Управление доступом - обеспечение того, чтобы доступ к активам
был санкционирован и ограничен
• Первично – процессное обеспечение (need to know, least privilege)
• Техническая реализация вторична
• IdM, IAM – редко встречаются в чистом виде, чаще заменяются
набором ручных процедур и полуавтоматических решений
• Active directory
• Стандартные чеклисты по созданию/удалению пользователей
• RACI матрицы, User rights pattern
14

15.
Управление доступом - сложности
• Ревью прав – сложная техническая задача
• Но одна из критически важных (перемещение
сотрудников между проектами, уход и тп)
• Реальные задачи
• Увольнение сис.админа (хорошая проверка)
• Управление правами заказчика внутри сети компании
• Многоплановость управления доступом
• Управление паролями
• Удаленный доступ
• Управление доступом при обмене информацией
• Доступ к физическим активам (доступ в помещения, доступ к оборудованию).
15

16.
Сетевая безопасность
• Безопасная архитектура сети
• Сеть должна быть спроектирована, постоянно оптимизироваться (в
зависимости от оборудования, бизнес-потребностей, реальности)
• Процесс внедрения изменений (change mgmt.), управление доступом к
конфигурациям
• WiFi – одно из слабых мест
• Логгирование действий, защита логов
• Отдельная тема: ISO/IEC 27033-1/6 Network security, NIST SP 800-53
• Безопасность ИТ сервисов
• Определить что ИТ предоставляет бизнесу, SLA
• Последовательно развивать ИБ в отдельных ИС (принудительная
аутентификация, безопасный вход в ИС, закрытие активных сессий и др)
16

17.
Пентесты
• В рамках «18.2.3. Анализ
технического соответствия»
• Делаем через проект – с
привлечением специалистов
(заслуженных)
17
Кадры решают все
• Либо создаем внутреннюю команду из подходящих специалистов
• Базовое обучение,
• Разработка методики,
• Тесты, в согласовании с ИТ

18.
Другое
• Физическая безопасность (обслуживание оборудования, СКУД и др)
• Антивирус
• Бэкапирование
• Логгинг и мониторинг (защита от админов)
• Обновления системного ПО
• Поддержка раздельных сред разработки,
тестирования, прод
• Лучше все внедрять как проекты
18

19.
Последовательность внедрения
технических мер
• Определяется общим планом внедрения СМИБ
• Тот в свою очередь – анализом рисков
• В некоторых крупных организациях (как правило банки,
госорганизации) – дело лоббирования, бюджета и случая
• Пример последовательности:
• Управление активами (что защищаем?)
• Безопасная сеть (архитектура, firewalls, VPN)
• Антивирусы, резервное копирование
• Управление доступом
• Все остальное 19

20.
Внедрение ИБ инструментов
По поводу применения различных ИБ инструментов (DLP,
SIEM и т.д)
• Инструментов и их производителей много
• Критерии выбора:
• Анализ рисков – основа для принятия любого решения
• Общая стратегия ИБ – посыл со стороны бизнеса
• Лишний бюджет ?:) – тут уж что интереснее
20

21.
Внедрение ИБ инструментов – какой
инструмент нужен?
NIST Cybersecurity Framework – матрица возможных решений
21

22.
Внедрение ИБ инструментов – текущий рынок
22По материалам презентации Российская rasputitsa как объяснение будущего отечественной отрасли ИБ от Aleksey Lukatskiy

23.
Вместо заключения
23

24.
АлексейЕвменков, CISM
isqa.ru
evmenkov@gmail.com
Авторский курс: Внедрение СМИБ
Расширенная практическая часть,
полное руководство по внедрению
ИСО 27001 и защитных мер из ИСО 27002
3х дневный курс, 8-10 июня 2016г.
http://edu.softline.by/courses/smib.html