Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

Iso 27001 внедрение технических защитных мер

4,059 views

Published on

При построении СМИБ согласно ИСО 27001, внедряется около 114 защитных мер. Условно эти меры можно разделить организационные, процессные и технические.
В докладе будут рассмотрены практические аспекты внедрения технических защитных мер и роли технических специалистов ИБ в рамках проекта внедрения СМИБ.
За какие технические защитные меры отвечают технические специалисты, какова их роль в команде внедрения, на что обращать внимание и т.п.

Published in: Technology
  • Be the first to comment

  • Be the first to like this

Iso 27001 внедрение технических защитных мер

  1. 1. ISO 27001: внедрение технических защитных мер Алексей Евменков, isqa.ru
  2. 2. Контекст
  3. 3. Наш контекст: ИСО 27001 и СМИБ • ИСО 27001 – международный стандарт, на основе которого строится Система Менеджмента Информационной Безопасности (СМИБ) • Базовая схема СМИБ: Планирование и мониторинг целей Требования ИСО 27001 Политики и процедуры СМИБ Корректирующие имеры Управление рисками Аудиты Измерения, метрики Комплекс защитных мер ИБ в управлении персоналом Управление активами Управление доступом Организация ИБ Криптография Физическая безопасность Антивирусная защита ПО Резервное копирование Логи и мониторинг Управление сетевой безопасностью ИБ при разработке ПО ИБ при работе с поставщиками Управление инцидентами Управление непрерывностью бизнеса Соответствие требованиям регуляторов ~114 защитных мер 3
  4. 4. Что такое «технические защитные меры»? Технические защитные меры? • Меры, реализуемые посредством ИТ решений/инструментов. • Ответственность и ресурсы как правило – со стороны ИТ • Например, внедрение антивирусной защиты, безопасная архитектура сети, разделение (segregation) в сетях, внедрение DLP и т.п. 4 ИБ в управлении персоналом Управление активами Управление доступом Организация ИБ Криптография Физическая безопасность (оборудование) Антивирусная защита ПО Резервное копирование Логи и мониторинг Управление сетевой безопасностью ИБ при разработке ПО ИБ при работе с поставщиками Управление инцидентами Управление непрерывностью бизнеса (резервирование) Соответствие требованиям регуляторов Мобильные устройства и удаленная работа Защитные меры ИСО 27002 (в произвольном порядке): Техническая мера Косвенно техническая мера Нетехническая мера Легенда:
  5. 5. Кто такие технические специалисты? • Сотрудники ИТ отдела - системные администраторы • Сотрудники ИБ отдела – специалисты по пентесту, «технари» • Сотрудники других отделов, участвующих во внедрении технических защитных мер СМИБ 5
  6. 6. Технические специалисты
  7. 7. Точки соприкосновения ИБ и ИТ (в контексте внедрения СМИБ) 7 Инициация и планирование Разработка и внедрение Эксплуатация • Проведение первоначального технического аудита • Планирование технических защитных мер • Руководство в технических проектах • Подтверджение в каждой процедуре, с участием ИТ • Тренинги для технических специалистов • Эксплуатация, оптимизация и модернизация технических защитных мер • Пентесты • Разбор инцидентов и рисков • BCP
  8. 8. Характеристика технич. специалиста • Любит • Тишину, отсутствие излишнего внимания к своей персоне • Заниматься «непонятными» задачами (вроде «конфигурирования железки») • Не любит • Публичности • Взаимодействия с руководством, политики • Взаимодействия ни с кем 8
  9. 9. Взаимодейстивие: ИБ -> ИТ • Изучи «птичий язык» • Хотя бы на уровне терминов, лучше с пониманием • Уважение • Простое человеческое уважение • Впишись в общие планы • (желательно) твои активности должны вписываться в общие планы развития ИТ отдела, и приносить пользу • Договоренности • Фиксируй, конструктивно привлекай руководство, сохраняй прозрачность 9
  10. 10. Взаимодейстивие: ИТ -> ИБ • Уважение • Пойми контекст • Нужно знать структуру СМИБ, общие планы по развитию • В идеале, нужно понимать как ИБ смотрит на проект • Предугадывай • Проактивность – предотвращает проблемы 10
  11. 11. Природа конфликта интересов ИТ и ИБ 11 ИБ ИТ Основные функции Обеспечение безопасности информации: конфиденциальность, целостность и доступность Обеспечение мобильности, скорости, доступности, целостности систем Цель Защита информации Удобство использования для бизнеса Метод достижения Ограничение Открытость
  12. 12. Технические защитные меры
  13. 13. Управление активами • Инвентаризация «железа», ПО, управление лицензиями • Использование сканеров, базы конфигураций • Классификация информации, владельцы информации • Определить за что отвечает ИТ, провести тренинги • Проработать основные бизнес-процессы – открытие/закрытие проекта (выдача/сдача оборудования, ПО/лицензий) • Безопасное удаление информации с носителей • С использованием спец. ПО • Физическое удаление носителей информации (HDD, бумага) • Приемлемое использование активов • Печать через PIN, шифрование носителей инф-ии, настройка средств коммуникации и т.п. 13
  14. 14. Управление доступом • Управление доступом - обеспечение того, чтобы доступ к активам был санкционирован и ограничен • Первично – процессное обеспечение (need to know, least privilege) • Техническая реализация вторична • IdM, IAM – редко встречаются в чистом виде, чаще заменяются набором ручных процедур и полуавтоматических решений • Active directory • Стандартные чеклисты по созданию/удалению пользователей • RACI матрицы, User rights pattern 14
  15. 15. Управление доступом - сложности • Ревью прав – сложная техническая задача • Но одна из критически важных (перемещение сотрудников между проектами, уход и тп) • Реальные задачи • Увольнение сис.админа (хорошая проверка) • Управление правами заказчика внутри сети компании • Многоплановость управления доступом • Управление паролями • Удаленный доступ • Управление доступом при обмене информацией • Доступ к физическим активам (доступ в помещения, доступ к оборудованию). 15
  16. 16. Сетевая безопасность • Безопасная архитектура сети • Сеть должна быть спроектирована, постоянно оптимизироваться (в зависимости от оборудования, бизнес-потребностей, реальности) • Процесс внедрения изменений (change mgmt.), управление доступом к конфигурациям • WiFi – одно из слабых мест • Логгирование действий, защита логов • Отдельная тема: ISO/IEC 27033-1/6 Network security, NIST SP 800-53 • Безопасность ИТ сервисов • Определить что ИТ предоставляет бизнесу, SLA • Последовательно развивать ИБ в отдельных ИС (принудительная аутентификация, безопасный вход в ИС, закрытие активных сессий и др) 16
  17. 17. Пентесты • В рамках «18.2.3. Анализ технического соответствия» • Делаем через проект – с привлечением специалистов (заслуженных) 17 Кадры решают все • Либо создаем внутреннюю команду из подходящих специалистов • Базовое обучение, • Разработка методики, • Тесты, в согласовании с ИТ
  18. 18. Другое • Физическая безопасность (обслуживание оборудования, СКУД и др) • Антивирус • Бэкапирование • Логгинг и мониторинг (защита от админов) • Обновления системного ПО • Поддержка раздельных сред разработки, тестирования, прод • Лучше все внедрять как проекты 18
  19. 19. Последовательность внедрения технических мер • Определяется общим планом внедрения СМИБ • Тот в свою очередь – анализом рисков • В некоторых крупных организациях (как правило банки, госорганизации) – дело лоббирования, бюджета и случая • Пример последовательности: • Управление активами (что защищаем?) • Безопасная сеть (архитектура, firewalls, VPN) • Антивирусы, резервное копирование • Управление доступом • Все остальное 19
  20. 20. Внедрение ИБ инструментов По поводу применения различных ИБ инструментов (DLP, SIEM и т.д) • Инструментов и их производителей много • Критерии выбора: • Анализ рисков – основа для принятия любого решения • Общая стратегия ИБ – посыл со стороны бизнеса • Лишний бюджет ?:) – тут уж что интереснее 20
  21. 21. Внедрение ИБ инструментов – какой инструмент нужен? NIST Cybersecurity Framework – матрица возможных решений 21
  22. 22. Внедрение ИБ инструментов – текущий рынок 22По материалам презентации Российская rasputitsa как объяснение будущего отечественной отрасли ИБ от Aleksey Lukatskiy
  23. 23. Вместо заключения 23
  24. 24. АлексейЕвменков, CISM isqa.ru evmenkov@gmail.com Авторский курс: Внедрение СМИБ Расширенная практическая часть, полное руководство по внедрению ИСО 27001 и защитных мер из ИСО 27002 3х дневный курс, 8-10 июня 2016г. http://edu.softline.by/courses/smib.html

×