Внедрение СУИБ на основе ISO/IEC 27001

Внедрение СУИБ на основе ISO27001
Валентин Сысоев, CISM
Менеджер проектов "Агентство Активного Аудита“
Директор по коммуникациям Киевского отделения ISACA

Содержание
• Нормативные и регуляторные требования
• Основные понятия, суть и место ИБ в структуре компании
• Этапы внедрения процессов и системы управления
информационной безопасностью
• Примеры и методика
25.09.2013 © Валентин Сысоев, CISM 2

Нормативные и
регуляторные требования в
области информационной
безопасности

Нормативные и регуляторные требования
ISO27001
ISO27002
ISO9001
SOX
(Sec.404)
NERC/FERC-
CIP, FISMA,
NIST
PCI DSS v. 2.0
PA-DSS v.2.0
Basel II (III)
EU Data
Protection
Directive
(Directive
95/46/EC)
Sarbanes- Oxley Act of 2002, North American
Electric Reliability Corp./ Federal Energy
Regulatory Commission – Critical Infrastructure
Protection, Federal Information Security
management Act
Basel II: International Convergence
of Capital Measurement and Capital
Standards: a Revised Framework
Национальный банк
СОУ Н НБУ 65.1 СУИБ 1.0:2010
Directive 95/46 of the European Parliament
and the Council of 24 October 1995
Вопросы защиты ПДн при их обработке,
обмене и хранении в странах-членах ЕС

Основные понятия, суть и
место ИБ в структуре
компании

Определение ИБ
Информация –
данные наделенные смыслом и целью.
Информация занимает позицию наравне с другими критическими
ресурсами организации, и требует должного внимания, осторожности,
благоразумия, защиты и т.д.
Информационная безопасность становится критическим фактором
для выживания бизнеса, причем для адекватной защиты информации
эта проблема должна рассматриваться на уровне Правления
компании, наравне с критическими бизнес функциями организации.

Суть информационной безопасности
Информация
Конфиденциальность
Только уполномоченные лица
получают доступ к
информации
Доступность
Важная информация доступна,
когда она необходима
Целостность
Информация достоверная и
целостная

(продолжение)
Информационная безопасность – это
процесс управления (а не
технические средства), который, в
свою очередь, является одним из
важнейших элементов
корпоративного управления.
IT безопасность
• Вирусы, DDOS, системные ошибки, сбой оборудования
Технологии
• Системы, оборудование, архитектура
Информационная безопасность
• Действия уволенного сотрудника, ограбление, рейдерские
атаки, человеческие ошибки
Управление,
• Политики, стандарты, процедуры, процессы, риски,
осведомленность, непрерывность

© Валентин Сысоев, CISM 9
АКТИВЫ
Угроза
СИСТЕМА БЕЗОПАСНОСТИ
НЕДОСТАТКИ
25.09.2013

Электронная документация
Информационные услуги (сервисы)
Информационные системы
Бумажная документация
Средства для обработки информации
25.09.2013

Управление нормативной безопасностью
Управление непрерывностью бизнеса
Управление инцидентами
Управление безопасностью разработки информационных систем
Управление доступом
Управление безопасностью электронной информации
Управление физической безопасностью
Управления безопасностью для собственного персонала
Управления безопасностью для третьих лиц
Управление безопасностью информации на бумажных носителях
25.09.2013

ИБ

Методика и этапы внедрения
системы управления ИБ
(СУИБ)

Этап 1 Анализ
текущего состояния
ИБ
1.1 Сбор информации,
изучение структуры
бизнеса и процессов
предприятия
1.2 Изучение политик и
стандартов, требований
к обеспечению
информационной
1.3 Изучение
действующих практик и
процессов к
обеспечению
1.4 Оценка
соответствия СУИБ
требованиям 27001
Этап 2 Мероприятия
по организации ИБ
2.1 Обязательства
руководства по
управлению
безопасностью
2.2 Назначение
ответственных лиц за
внедрение и
функционирование
СУИБ
2.3 Определить сферу и
пределы
использования СУИБ
2.4 Определить
политику
Этап 3
Инвентаризация и
классификация
активов
3.1 Описание бизнес
процессов и функций,
определение
используемых активов
в БП (бизнес актив)
3.2 Определение и
согласование
владельцев бизнес
активов
3.3 Определение
влияния на бизнес и
оценка критичности
бизнес активов
3.4 Описание бизнес
активов
3.5 Согласование и
составление Реестра
информационных
активов
Этап 4 Оценка и
Обработка рисков
4.1 Определение
уязвимостей и угроз
4.2 Оценка вероятности
реализации угроз
4.3 Оценка уровней
рисков
4.4 Выбор мер защиты
для снижения рисков
4.5 Определения
подходов обработки
рисков
Этап 5 Дорожная
карта
51 Составление Плана
обработки рисков и
Положения о
применимости
5.2 Составление Плана
внедрения СУИБ
5.3 Составление
рекомендаций по
внедрению СУИБ
5.3 Реализация планов
внедрения СУИБ
Этап 6 Внедрение
мероприятий по
мониторингу
эффективности
СУИБ
6.1 Разработка
документации по
проведению
внутреннего аудита
СУИБ
6.2 Разработка
документации по
проверке процесса
оценки рисков
Методика и этапы внедрения СУИБ

Цели:
Основной целью этого этапа является изучение структуры бизнеса и процессов предприятия,
определение требований информационной безопасности и специфики бизнес процессов.
Получить экспертную оценку действующих процессов управления и организации ИБ,
определить степень соответствия ISO27001.
© Валентин Сысоев, CISM
Анализ текущего состояния ИБ
Этапы и методика
•Изучение видов деятельности предприятия
•Изучение организационной структуры предприятия
•Изучение структуры бизнес процессов предприятия
Сбор информации, изучение структуры бизнеса
и процессов предприятия
•Изучение требований бизнеса к ИБ
•Изучение требований политик и стандартов ИБ
Изучение политик и стандартов, требований к
обеспечению информационной безопасности
•Изучение процессов и процедур ИБ
•Изучение требований ИБ к допустимому использованию активов
Изучение действующих практик и процессов к
обеспечению информационной безопасности
•Выявление основных мер безопасности
•Оценка соответствия ИБ внутренним политикам и процедурам
•Оценка соответствия внедренных процессов управления ИБ стандартам ISO2700127002
Оценка соответствия СУИБ требованиям 27001
0% 20% 40% 60% 80%
Основные процессы управления
Политика в области безопасности
Организация системы безопасности
Классификация активов и управление
Безопасность и персонал
Физическая и внешняя безопасность
Менеджмент компьютеров и сетей
Управление доступом к системе
Приобретение, разработка и обслуживание информационных систем
Менеджмент инцидентов информационной безопасности
Обеспечение непрерывности бизнеса
Соответствие законодательству
Разделы
стандарта
Процент выполнения
требований разделов
стандарта
25.09.2013 1525.09.2013

Мероприятия по организации ИБ
Цели:
Основной целью этого этапа является установление обязательства руководства по управлению
информационной безопасностью, назначение ответственных лиц за внедрение и
функционирование СУИБ, определить сферу и пределы использования СУИБ, определить
политику информационной безопасности
На этом этапе проводятся организационные работы и проводится следующие действия
• Создание Комитета по обеспечению информационной безопасности (или Риск комитет)
• Создание Концепция управления информационной безопасностью;
• Создание Руководства по определению ролей и ответственных за организацию
информационной безопасности;
• Создание Политики информационной безопасности

Объекты
Инженерная инфраструктура
Оборудование
ПОБазы данных
IT сервисы
Бизнес
активы
Инвентаризация и классификация активов
Цели:
Основной целью этого этапа является описание бизнес процессов и функций, выявление
информационных активов, которые используются бизнесом для выполнения процесса (бизнес
активы), и дальнейшее их описание: инвентаризация аппаратных, программных,
инфраструктурных ресурсов и объектов.
Необходимы для выполнения БП
зависят от
используют
размещены на
поддерживаются
находятся на
ERP, клиент банк, e-mail,
сеть, AD, удаленный доступ
SQL, Oracle, ПО ERP SAP
сервер, маршрутизатор,хаб
электропитание, охлаждение
серверная, ЦОД, архив
Описание бизнес процессов, определение
используемых активов в процесса (бизнес актив)
Определение и согласование владельцев бизнес
активов
Описание бизнес активов: инвентаризация
аппаратных, программных, инфр. ресурсов
Согласование и составление Реестра
информационных активов

Цели:
Определение влияния на бизнес и оценка критичности дает понимание того, какой
информационный актив является критическим для бизнеса, максимально возможный ущерб, в
случае нарушения его работ, а так же степень зависимости бизнеса от информационного
актива.
Определение влияния на бизнес и оценка
критичности активов
Определение
возможного
ущерба для
бизнеса
•Финансовый ущерб
•Операционный ущерб
•Ущерб, связанный с потребителем
•Ущерб, связанный с сотрудниками
Оценка
критичности
актива
•Конфиденциальность
•Целостность
•Доступность
Общая
классификация
актива
•Критичный
•Средний
•Малый
Критичность информационного
актива за тремя свойствами
информации (конфиденциальность,
целостность, доступность)
определяется на основании влияния
на бизнес в случае инцидентов ИБ
по таким критериям:
• финансовый ущерб
• операционный ущерб
• ущерб, связанный с потребителем
• ущерб, связанный с сотрудниками
20% + 11% to 20% 6% to 10% 1% to 5% Меньше 1%
X
$20m+ $1mto $20m $100K to $1m $10K to $100K Меньше $10K
X
X
X
25% + 11% to 25% 6% to 10% 1% to 5% Меньше 1%
X
Критична
втрата
Серйозна
втрата
Значна втрата
контролю
Умеренная
потеря
Минимальная
потеря
X
Потеря контроля над
управлением (например,
нарушениями принятия решений)
F3
Взыскание / юридическая
ответственность (например,
нарушения нормативно-правовых
или договорных обязательств)
F4
Непредвиденные расходы
(например, возмещение
расходов)
F1
Потеря продаж, заказов и
контрактов
F2
Потери материальных
активов (например,
мошенничество, кража денег)
F5
Снижение стоимости акции
(например, внезапная потеря
стоимости акций)
O1
E
Операционные
Рейтинг Оценки Ущерба
Конфиденциальность
Финансовые
Рейтинг оценки ущерба
A-критический, B-высокий, C-средний, D-низкий, E-малыйТип ущербаRef.
A B C D

Цели:
Идентификация угроз и уязвимостей критических информационных активов, выявление,
анализ и уменьшение рисков до приемлемого уровня для бизнеса.
Управление рисками включает в себя анализ рисков, оценку, обработку, принятие и
мониторинг риска и является основой для последующего создания Плана обработки рисков -
плана действий информационной безопасности предприятия.
Оценка и Обработка рисков
Определение объемов и границ
Выявление рисков
Анализ рисков
Оценка рисков
Принятие остаточного риска
Избежание
риска
Уменьшение
риска
Передача
риска
Принятие
риска
Мониторингрисков

Цели:
Предоставить рекомендации по мерам безопасности для уменьшения или устранения рисков,
рекомендации относительно необходимых изменений СУИБ. Уменьшение рисков включает в себя:
приоритезацию рисков, оценку мероприятий по снижению рисков для информационного актива,
рассмотрение возможных затрат и выгод, выбор стратегии обработки рисков, разработка плана обработки
рисков и планирование необходимых изменений СУИБ.
Дорожная карта
Січ. Лют. Бер. Квіт. Трав. Черв. Лип. Серп. Вер.
57 180 дней ААА, ДС
58 Done ААА
59 60 дней ААА
60 5.2.1 Политика управления изменениями
61 5.2.2 Положение о Комитете управления изменениями
62 5.2.3 Руководство по управлению изменениями
63 5.2.4 Политика распределения ролей и обязанностей в процессе управления изменениями
64 5.2.5 Политика приобретения, разработки и поддержки прикладного программного обеспечения
65 30 дней ДС
66 90 дней ИТ
67 5.4.1 Приобретение сетевого и серверного оборудования для разграничения сред разработки и тестирования
68 5.4.2 Сегментация сети
69 5.4.3 Разграничения среды разработки, опытной и промышленной эксплуатации
70 90 дней ИТ
71 5.5.1 Процедура внедрения изменений 90 дней ААА
72 5.5.2 Процедура внедрения срочных изменений 90 дней ААА
73 5.5.3 Процедура опытной эксплуатации изменений 90 дней ААА
74 5.5.4 Процедура внедрения релизов 90 дней ААА
75
76 60 дней ААА, ДС
80 30 дней ДС
5. Внедрение процесса Управления изменениями
5.1 Проведение аудита процесса приобретения, разработки и поддержки информационных активов
5.4 Организация ИТ инфраструктуры
ІІI квартал 2013
ОтветственныйID Срок
I квартал 2013 ІI квартал 2013Задание
Сокращения: ДС - Деркач Сергей, РСП - Руководители структурных подразделений
6.2 Разработать Соглашение о конфиденциальности
6.3 Разработать Обязательства "Обязательства о неразглашении работникам третьих Компаний
6.4 Утверждение, введение и распространение среди заинтересованных лиц
6. Организовать процесс безопасной работы с Внешними сторонами
5.5 Утверждение и внедрение процедур по управлению изменениями
5.2 Разработка политик и руководств по организации процесса управления изменениями
5.3 Утверждение, введение и распространение среди заинтересованных лиц
5.5 Разработка процедур по управлению изменениями
6.1 Разработать Политику взаимодействия с третьими сторонами
Дорожная карта
Оценка
защище
нности
Оценка
рисков
Аудит
Используя результаты аудита, оценки рисков и оценки защищенности на предыдущих
этапах, разрабатываются рекомендации по таким направлениям:
• Построение/оптимизация процессов ИБ/ИТ и организационной структуры
• Автоматизация процессов ИБ/ИТ
• Создание/изменение документации и договоров
• Требования к знаниям и квалификации персонала
• Внедрение метрик (KPI, SPI) для оценки эффективности процессов ИБИТ
После согласования рекомендаций с руководством, разрабатывается Дорожная карта с
указанием этапов и зависимостей по построению и оптимизации процессов ИБ/ИТ.
Рис.1 Пример дорожной карты

Внедрение процессов СУИБ
Управление
доступом
доступом
пользователей
Распределение
обязанностей
Разграниче-ние
доступа
предоставлением
доступа
Безопасность
платформ
Защита ОС
Защита сетевых
компонентов
Защита базового
ПО
Защита
прикладного ПО
Защита рабочих
станций
Устойчивость
инфраструктуры
аппаратного
обеспечения
програмного
Устойчи-вость
центров
обработки данных
(серверных
помещений
изменениями
изменениями
Распределение
среды
Планирование и
процесс ввода в
эксплуата-цию
Использова-ние
услуг третьих
сторон
взаимодействием
с поставщиками
услугами, которые
предоставляются
третьими
сторонами
Мониторинг
Мониторинг
событий
инцидентами
Соответствие
техническим
требованиям
Тестирова-ние на
проникнове-ние в
систему
критически-ми
ситуациями
Мероприятия
беспрерыв-ности
ИТ процессов
Мероприятия по
восстановле-нию
после аварий
кризисными
ситуациями
Основные задания организации ИТ
Владение
информационными
активами
Классификация
активов
Архитектура ИТ
конфигурацией
Операционные
процедуры и зоны
ответственности
Соответствие
внутренним
требованиям
Осведомлен-ность
пользователей

Внедрение мероприятий по мониторингу
эффективности СУИБ
Цели:
Мониторинг и оценка эффективности системы управления информационной безопасностью - это
системный процесс получения и оценки объективных данных о текущем состоянии систем, действиях и
событиях происходящих в ней, устанавливающий уровень их соответствия определенным критериям.
Код I.IA2
Процесс Аутентификация для удаленного администрирования сетевых устройств и серверов
Риск
Риск финансовых и репутационных потерь при реализации угроз безопасности (вредные воздействия скоординированных
злоумышленников, получение несанкционированного доступа к системам и сетям и т.д. и т.п.), которые эксплуатируют уязвимость, того
что при удаленном администрировании серверов и сетевых устройств не проводится идентификация оборудования.
Меры безопасности
В случае когда допускается удаленное администрирование серверов и сетевых устройств, все оборудование, с которого будет
производиться удаленное администрирование, должно проходить идентификацию для проверки подлинности.
Требования Смотреть на Смотреть что
Удаленный доступ к системе, особенно системными
администраторами, вносит дополнительный риск
несанкционированного доступа. Следовательно,
необходимо ограничить удаленный доступ только с
определенных устройств. Выполнение этого мероприятия
безопасности должно обеспечивать связь для
администрирования системы только из известных мест
или оборудования. Идентификатор (например MAC-
адрес или IP-адрес) можно использовать, чтобы указать,
разрешено ли этому оборудованию подключаться к сети.
Эти идентификаторы должны четко указать, к какой сети
разрешается подключить оборудование.
• Область удаленного администрирования.
• Анализ рисков.
• Узлы(в сети), откуда было выполнено удаленное
администрирование.
• Политика для удаленного администрирования.
• Рассмотрены ли вопросы удаленного администрирования.
• Является ли узел физически защищенным.
Выполнение
Дата тестирования
Кем выполняется тестирование
Отдел
Местонахождение доказательств
Оценка (эффективные, неэффективные)
Вывод

Вопросы?

Внедрение СУИБ на основе ISO/IEC 27001

Recommended

Recommended

More Related Content

What's hot

What's hot (20)

Viewers also liked

Viewers also liked (20)

Similar to Внедрение СУИБ на основе ISO/IEC 27001

Similar to Внедрение СУИБ на основе ISO/IEC 27001 (20)

More from Dmitry Savchenko

More from Dmitry Savchenko (20)

Внедрение СУИБ на основе ISO/IEC 27001