Конференция "Код ИБ" 2017 | Минск

1. Простая ИБ
для непростых
организаций
Алексей Евменков,
Директор ИБ ISsoft, блоггер isqa.ru

2. Представление
• Специалист по ИБ (CISM), по процессам и качеству
в ИТ области
• Внедряю и подготавливаю к сертификации -
ИСО 27001 и 9001
• Первая в РБ ИСО 27001 сертификация (в2008г, Tieto)
• Консалтинг и сертификации ИСО 27001 - РБ, Россия,
Финляндия, Швеция, Прибалтика
• Последний крупный проект - ИСО 27001 сертификация
компании Exadel.
• Директор ИБ в компании ISsoft
• Веду блог по ИБ и процессам isqa.ru
2

3. Простая / непростая организация?
• Простая организация (в терминах ИБ) – организация с
решенными базовыми проблемами – организационные,
процессные, ИТ
• Непростая организация – чуть более зрелая)
3

4. Что такое «простая» организация?
• Штат 10-30 человек
• Нет выделенного ИТ отдела
• Максимум роль ИТ специалиста, либо
«приходящий спец»
• Простейшая ИТ инфраструктура
• Несколько комп-ров объединены в сеть, без
домена
• Серверная в виде старого (ненужного) ком-ра
под пустым столом
• Система железа и ПО выстраивалась по
«историческим причинам»
• Нелицензионное ПО
• Не то что ИБ, но и ИТ не слышали/не знают
4

5. Из жизни простой
организации
• Сервера – в шкафу (обычный встроенный
шкаф, с раздвижными дверьми)
• Летом бывает вылетает. Пожарник не видел.
• Серверная на кухне. Сотрудники ставят
кофе на корпус сервера
• В серверной – коммутационные трубы
под потолком
5

6. Какие риски / проблемы простой организации?
Прошлые сотрудники пользуются вашими активами как своими
История поимки шпиона — как уволенный сотрудник 3 месяца воровал
информацию у компании
6
Ваши конкуренты легко узнают ваши секреты
• Выручка торговых точек, информация по клиентам
Замедленная мина нелицензионного ПО
«Исторически сложившаяся» инфраструктура ждет своего шанса
упасть (речь не идет о целенаправленном взломе)
Халатность сотрудников – крупнейшая дыра
• Как правило ущерб больше чем от намеренных действий

7. • Для простой организации первая задача –
выстроить базис
• Организация, процессы, инфраструктура
• Это важнее ИБ, п.ч. ИБ строится на базисе
7

8. Какие риски / проблемы непростой
организации?
8
• Проблемы? Их много. Исторически сложились
• Главная проблема - отсутствие системного
подхода к ИБ

9. Идеальное решение?
9

10. Идеальная ИБ = полномасштабная СМИБ +
сертификация ИСО 27001
Планирование и мониторинг целей
Требования ИСО 27001
Политики и процедуры СМИБ
Корректирующиеимеры
Управление рисками
Аудиты
Измерения, метрики
Комплекс
защитных мер
ИБ в управлении
персоналом
Управление активами
Управление доступом Организация ИБ
Криптография
Физическая
безопасность
Антивирусная защита
ПО
Резервное
копирование
Логи и мониторинг
Управление сетевой
безопасностью
ИБ при разработке ПО
ИБ при работе с
поставщиками
Управление
инцидентами
Управление
непрерывностью
бизнеса
Соответствие
требованиям
регуляторов
~114 защитных мер
10

11. Процесс внедрения
добра
11

12. Всем нужно сбалансированное решение
Траты на устранение рисков не должны превышать
потенциальных потерь от этих рисков
12
Разработка базиса ИБ
Предугадывание проблем:)

13. 13
Принцип разумных трат
в жизни, работе, защите своих активов
Идеальный принцип для простой и
непростой организации в деле ИБ:)

14. Как предугадывать проблемы?
Следить за трендами, релевантными для организации

15. Тренды ИБ
Регуляторы – закручивание гаек – по примеру Европы, России
Управление рисками–когда-нибудь мы научимся:) как финансам
Нехватка специалистов ИБ
Динамическое отслеживание технических угроз – все более
важно.
ЦОДы, облака и связанные с ними угрозы
Цифровая устойчивость – жить под постоянной атакой

16. Определите
и оцените
активы
Проанализи
руйте риски
для активов
Внедрите
защитные
меры
Мониторинг
и улучшения
16
1
2
3
4
Базис ИБ

17. 17
Что такое актив?

18. 18
Правильно, информация!

19. Шаг 1: Определить и оценить активы
• Мало кто задумывается о ценности информации
• Еще меньше – оценивает активы
• Владелец бизнеса – чувствует, но не оценивает
• Зачем оценивать?
• Чтобы понять, что нужно защищать
19

20. • База клиентов – имеется в любой организации
• Центральная бизнес программа (база)
• Финансовые и стратегические документы
• бюджеты, планы развития, договоренности
• Договора с контрагентами?
• Персональные данные сотрудников (трудовые книжки, дела)?
• Материалы заказчика?
• Для организации оказывающей юридические услуги?
20
Примеры реальных активов

21. Как оценить активы
• Составить список активов – простая таблица
• Ранжировать по ценности
• Можно оценить по критериям
• Уточните ценность - задайте вопросы – что будет если актив:
• «Сольется» конкурентам
• Сломается
• Будет недоступным в течение дня
• На выходе: фокусная группа активов,
с которой нужно работать в первую очередь
21

22. Шаг 2: Проанализировать риски
Это просто – посмотрите на актив через призму CIA
22
База
клиентов
Актив
Конфиденциальность: раскрытие
базы конкурентам – по умыслу
Угрозы
Конфиденциальность: раскрытие
базы конкурентам – случайно
Целостность: потеря базы
(удалена)
Доступность: база недоступна в
рабочее время
Недостаточная защита с юридич.
точки зрения
Уязвимости
Нет управления доступом к базе
Процедура работы с базой не
содержит правил ИБ
Отсутствуют тренинги ИБ
Неправильно
сконфигурированная сеть

23. Угрозы – понятны, уязвимости как найти
23

24. Шаг 3: Внедрить защитные меры
24
База клиентов
Актив
Конфиденциальность: раскрытие
базы конкурентам – по умыслу
Недостаточная защита с юридич.
точки зрения
Нет управления доступом к базе
Процедура работы с базой не
содержит правил ИБ
Отсутствуют тренинги ИБ
Неправильно
сконфигурированная сеть
Положение о коммерческой тайне - на подпись
каждому сотруднику
Политика управления доступом – роли, ревью
прав
Установлен регламент работы с базой – только
через терминальный доступ, только в рабочее
время, под определенными ролями
Тренировать сотрудников – с объяснением
причин, следствий. С проверкой знаний.
Заказать пен.тест.
Или лучше – заказать ИТ/ИБ аудит, для анализа
инфраструктуры и процессов.

25. • По халатности – забыли удалить
учетку уволившегося сотрудника
• Тот (вероятно от нечего делать),
продолжил «работать» с базой
клиентов
• Заметили случайно
• Приняли меры, но немного не те, и
не так
• См. детальный анализ в посте на FB
Кейс: уволенный сотрудник 3 месяца
воровал информацию у компании
Вопрос решился бы вот этой защитной мерой
25Источник: История поимки шпиона — как уволенный сотрудник 3 месяца воровал информацию у компании
База клиентов
Актив
Конфиденциальность: раскрытие
базы конкурентам – по умыслу
Политика управления доступом – роли, ревью
прав

26. Шаг 4: Мониторинг и контроль
• Выделить роль, отвечающую за ИБ
• В ответственности – следить за выполнением уже принятых
защитных мер
• В помощь: программа аудитов, сбор метрик
• Проводить тренинги (и сам поймешь лучше)
26

27. Риски, с которыми вы практически ничего
не можете сделать
• Центральная программа, на
которой держится весь
бизнес
• Разрабатывается на 1С,
внутренним программистом,
или приходящим
программистом
• Программист имеет полный
(!) доступ ко всему
27
Выстроить процесс разработки ПО – включая управление
требованиями, тестирование на тестовых данных, никакого доступа к
реальным данным (прод)
Организовать роли, периодическое ревью прав (владельцы бизнеса не
знают кто живет у них в системе!)
И .. психологические меры к программисту) – отдельный специальный
NDA, личная беседа, периодический контроль

28. 28
Так как построить
простую ИБ?

29. Всем нужно сбалансированное решение
Траты на устранение рисков не должны превышать
потенциальных потерь от этих рисков
29
Разработка базиса ИБ
Предугадывание проблем:)

30. 30
• Простой базис, как велик
• Не сильно дорогой, местами эффективный
(эффектный?:)
• Предугадывающий проблемы организации

31. Для любителей «ненапряжного» перфекционизма
31
NISTIR 7621 Small Business Information Security: The Fundamentals

32. Крепко держим свою информацию!
32

33. АлексейЕвменков, CISM
isqa.ru
evmenkov@gmail.com
Авторский курс: Внедрение СМИБ
Расширенная практическая часть,
полное руководство по внедрению
ИСО 27001 и защитных мер из ИСО 27002
3х дневный курс, 14-16 июня 2017г.
http://edu.softline.by/courses/smib.html