Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

Простая ИБ для обычных организаций

1,942 views

Published on

Хакеры, скандальные утечки данных, целые отделы, занимающиеся вопросами ИБ в компании - все это больше из области теле-новостей про фирмы-гиганты. Но, "плачут не только богатые". У обычных небольших организаций, и у обычных людей - вопросы ИБ занимают все более важное место.
В докладе будут даны рекомендации по ИБ для самых обычных организаций - небольших фирм от 10 сотрудников. Как хоть немного защититься в этом сложном информационном мире. Поговорим об ИБ - без фанатизма, без сертификации ИСО 27001 и без консультантов от "большой четверки".

  • Be the first to comment

  • Be the first to like this

Простая ИБ для обычных организаций

  1. 1. Простая ИБ для обычных организаций Алексей Евменков, Директор ИБ ISsoft, блоггер isqa.ru
  2. 2. Представление • Специалист по ИБ (CISM), по процессам и качеству в ИТ области • Внедряю и подготавливаю к сертификации - ИСО 27001 и 9001 • Первая в РБ ИСО 27001 сертификация (в2008г, Tieto) • Консалтинг и сертификации ИСО 27001 - РБ, Россия, Финляндия, Швеция, Прибалтика • Последний крупный проект (март 2017г.) ИСО 27001 сертификация компании Exadel. • Директор ИБ в компании Issoft • Веду блог по ИБ и процессам isqa.ru 2
  3. 3. Что такое обычная организация? • Штат 10-30 человек • Нет выделенного ИТ отдела • Максимум роль ИТ специалиста, либо «приходящий спец» • Простейшая ИТ инфраструктура • Несколько комп-ров объединены в сеть, без домена • Серверная в виде старого (ненужного) ком-ра под пустым столом • Система железа и ПО выстраивалась по «историческим причинам» • Нелицензионное ПО • Не то что ИБ, но и ИТ не слышали/не знают 3 Не думайте, что если вы – ИТ или финансовая компания, то у вас все хорошо с ИБ:)
  4. 4. Из жизни • Сервера – в шкафу (обычный встроенный шкаф, с раздвижными дверьми) • Летом бывает вылетает. Пожарник не видел. • Серверная на кухне. Сотрудники ставят кофе на корпус сервера • В серверной – коммутационные трубы под потолком 4
  5. 5. Современный контекст • Мир меняется, очень быстро • ИТ уже пришел, даже в небольшие организации • Когда-то ИТ был супер-новым, прогрессивным • ИБ подбирается, точно так же, как когда-то ИТ • Сегодня на ИБ смотрят как на что-то прогрессивное, хотя оно должно стать очевидной частью бизнеса Но как бизнес смотрит на ИТ и ИБ: 5 По данным «Лаборатории Касперского», 41% небольших организаций в России считают киберугрозы одним из главных бизнес-рисков. Несмотря на это, IT-стратегия не входит в число приоритетов малого и среднего бизнеса и занимает лишь 5-ое место по значимости после продуктовой, финансовой, маркетинговой и операционной стратегий. Источник: http://www.kaspersky.ru/news?id=207733803
  6. 6. Какие риски / проблемы? Прошлые сотрудники пользуются вашими активами как своими История поимки шпиона — как уволенный сотрудник 3 месяца воровал информацию у компании 6 Ваши конкуренты легко узнают ваши секреты • Выручка торговых точек, информация по клиентам Замедленная мина нелицензионного ПО «Исторически сложившаяся» инфраструктура ждет своего шанса упасть (речь не идет о целенаправленном взломе) Халатность сотрудников – крупнейшая дыра • Как правило ущерб больше чем от намеренных действий
  7. 7. Идеальное решение? 7
  8. 8. Идеальная ИБ = полномасштабная СМИБ + сертификация ИСО 27001 Планирование и мониторинг целей Требования ИСО 27001 Политики и процедуры СМИБ Корректирующиеимеры Управление рисками Аудиты Измерения, метрики Комплекс защитных мер ИБ в управлении персоналом Управление активами Управление доступом Организация ИБ Криптография Физическая безопасность Антивирусная защита ПО Резервное копирование Логи и мониторинг Управление сетевой безопасностью ИБ при разработке ПО ИБ при работе с поставщиками Управление инцидентами Управление непрерывностью бизнеса Соответствие требованиям регуляторов ~114 защитных мер 8
  9. 9. Процесс внедрения добра 9
  10. 10. Сбалансированное решение Траты на устранение рисков не должны превышать потенциальных потерь от этих рисков 10
  11. 11. Определите и оцените активы Проанализи руйте риски для активов Внедрите защитные меры Мониторинг и улучшения 11 1 2 3 4
  12. 12. 12 Что такое актив?
  13. 13. 13 Правильно, информация!
  14. 14. Шаг 1: Определить и оценить активы • Мало кто задумывается о ценности информации • Еще меньше – оценивает активы • Владелец бизнеса – чувствует, но не оценивает • Зачем оценивать? • Чтобы понять, что нужно защищать 14
  15. 15. • База клиентов – имеется в любой организации • Центральная бизнес программа (база) • Финансовые и стратегические документы • бюджеты, планы развития, договоренности • Договора с контрагентами? • Персональные данные сотрудников (трудовые книжки, дела)? • Материалы заказчика? • Для организации оказывающей юридические услуги? 15 Примеры реальных активов
  16. 16. Как оценить активы • Составить список активов – простая таблица • Ранжировать по ценности • Можно оценить по критериям • Уточните ценность - задайте вопросы – что будет если актив: • «Сольется» конкурентам • Сломается • Будет недоступным в течение дня • На выходе: фокусная группа активов, с которой нужно работать в первую очередь 16
  17. 17. Шаг 2: Проанализировать риски Это просто – посмотрите на актив через призму CIA 17 База клиентов Актив Конфиденциальность: раскрытие базы конкурентам – по умыслу Угрозы Конфиденциальность: раскрытие базы конкурентам – случайно Целостность: потеря базы (удалена) Доступность: база недоступна в рабочее время Недостаточная защита с юридич. точки зрения Уязвимости Нет управления доступом к базе Процедура работы с базой не содержит правил ИБ Отсутствуют тренинги ИБ Неправильно сконфигурированная сеть
  18. 18. Угрозы – понятны, уязвимости как найти 18
  19. 19. Шаг 3: Внедрить защитные меры 19 База клиентов Актив Конфиденциальность: раскрытие базы конкурентам – по умыслу Недостаточная защита с юридич. точки зрения Нет управления доступом к базе Процедура работы с базой не содержит правил ИБ Отсутствуют тренинги ИБ Неправильно сконфигурированная сеть Положение о коммерческой тайне - на подпись каждому сотруднику Политика управления доступом – роли, ревью прав Установлен регламент работы с базой – только через терминальный доступ, только в рабочее время, под определенными ролями Тренировать сотрудников – с объяснением причин, следствий. С проверкой знаний. Заказать пен.тест. Или лучше – заказать ИТ/ИБ аудит, для анализа инфраструктуры и процессов.
  20. 20. • По халатности – забыли удалить учетку уволившегося сотрудника • Тот (вероятно от нечего делать), продолжил «работать» с базой клиентов • Заметили случайно • Приняли меры, но немного не те, и не так • См. детальный анализ в посте на FB Кейс: уволенный сотрудник 3 месяца воровал информацию у компании Вопрос решился бы вот этой защитной мерой 20Источник: История поимки шпиона — как уволенный сотрудник 3 месяца воровал информацию у компании База клиентов Актив Конфиденциальность: раскрытие базы конкурентам – по умыслу Политика управления доступом – роли, ревью прав
  21. 21. Шаг 4: Мониторинг и контроль • Выделить роль, отвечающую за ИБ • Это может быть владелец бизнеса, либо сис.админ • В ответственности – следить за выполнением уже принятых защитных мер • Проводить тренинги (и сам поймешь лучше) 21
  22. 22. Риски, с которыми вы практически ничего не можете сделать • Центральная программа, на которой держится весь бизнес • Разрабатывается на 1С, внутренним программистом, или приходящим программистом • Программист имеет полный (!) доступ ко всему 22 Выстроить процесс разработки ПО – включая управление требованиями, тестирование на тестовых данных, никакого доступа к реальным данным (прод) Организовать роли, периодическое ревью прав (владельцы бизнеса не знают кто живет у них в системе!) И .. психологические меры к программисту) – отдельный специальный NDA, личная беседа, периодический контроль
  23. 23. 23 Так как построить простую ИБ?
  24. 24. 24 Принцип разумных трат в жизни, работе, защите своих активов Идеальный принцип для обычной организации в деле ИБ:)
  25. 25. Еще немного о правильном, помимо ИСО 27001 25 NISTIR 7621 Small Business Information Security: The Fundamentals
  26. 26. Крепко держим свою информацию! 26
  27. 27. АлексейЕвменков, CISM isqa.ru evmenkov@gmail.com Авторский курс: Внедрение СМИБ Расширенная практическая часть, полное руководство по внедрению ИСО 27001 и защитных мер из ИСО 27002 3х дневный курс, 24-26 мая 2017г. http://edu.softline.by/courses/smib.html

×