Jet Infosystem

1,078 views

Published on

Published in: Business, Technology
0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total views
1,078
On SlideShare
0
From Embeds
0
Number of Embeds
139
Actions
Shares
0
Downloads
37
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide

Jet Infosystem

  1. 1. Управление инцидентами как часть оперативного управления ИБ: подходы и опыт Джет Датриева Мария Руководитель направления Security Operation Center Центр Информационной Инфосистемы Джет Безопасности December 3, 2008 mdatrieva@jet.msk.su
  2. 2. Комплексное обеспечение ИБ Насколько можно доверять построенной СОИБ? 12/3/08 ©  Инфосистемы Джет 2
  3. 3. Центр оперативного управления ИБ It’s not enough to be secure, you have to prove you’re secure.TM Центр оперативного управления ИБ (Security Operation Center, SOC) – позволяет в режиме реального времени контролировать и оперативно управлять информационной безопасностью, позволяет быть уверенным в том, что требуемый уровень обеспечения ИБ достигнут и поддерживается, позволяет достигать установленные KPI эффективности обеспечения ИБ 12/3/08 ©  Инфосистемы Джет 3
  4. 4. Центр оперативного управления ИБ Контроль Мониторинг Управление соответствия состояния ИБ инцидентами ИБ требованиям •  Управление •  Определить событиями ИБ внутренний •  Аудит действий стандарт пользователей •  Управление •  Постоянно уязвимостями контролировать соблюдение стандартов 12/3/08 ©  Инфосистемы Джет 4
  5. 5. Основные заблуждения «В Багдаде все спокойно» ●  Отсутствие данных по инцидентам ИБ – скорее всего не признак отсутствия инцидентов, а признак отсутствия знаний об их наличии ●  Инциденты ИБ – Фиксируется менее 20% нарушений Процесс управления инцидентами является необязательным и покупка средства автоматизации обработки событий ИБ может решить все задачи ●  Это разные задачи ●  Сначала процесс, а затем его автоматизация Инциденты ИБ – это только компьютерные инциденты ●  Не путайте вопросы ответственности и исполнения ●  Затопление серверной – тоже инцидент ИБ «У нас все регламенты есть» ●  Рабочие? Актуальны? Выполняются? Регулярно тестируются? 12/3/08 ●  Бумажка это не процесс ©  Инфосистемы Джет 5
  6. 6. Задачи процесса ●  Регистрация и учет инцидентов ИБ, сбор и обеспечение сохранности и целостности доказательств инцидентов ●  Координация реагирования на инцидент ●  Эффективное разрешение инцидентов ●  Минимизация ущерба (финансовые потери, юридические взыскания, потеря репутации, дезорганизация рабочих процессов и т.д.) ●  Обучение персонала Компании действиям по обнаружению, устранению последствий и предотвращению инцидентов ИБ ●  Поддержка в актуальном состоянии планов по разрешению ●  Анализ произошедших инцидентов с целью усовершенствования защитных мер для обеспечения безопасности ●  Анализ разрешения инцидентов с целью усовершенствования процесса 12/3/08 ©  Инфосистемы Джет 6
  7. 7. Управление инцидентами ИБ Комплексный процессный подход, основанный на международных стандартах и общепринятых практиках / 12/3/08 ©  Инфосистемы Джет 7
  8. 8. Стандарты и практики •  ISO/IEC 27001:2005 Information security management system. Requirements •  ISO/IEC TR 18044 Information security incident management •  CMU/SEI-2004-TR-015 Defining incident management processes for CSIRT CSIRTs: A Work in Progress – Описание процесса «Управление инцидентами» •  CMU/SEI-2003-HB-002 Handbook for Computer Security Incident Response Teams (CSIRTs) – Руководство CSIRT •  CMU/SEI-2003-HB-001 Organizational Models for Computer Security Incident Response Teams (CSIRTs) – Организационная модель CSIRT •  NIST SP 800-61 Computer security incident handling guide 12/3/08 ©  Инфосистемы Джет 8
  9. 9. Подготовительный этап •            … •  ( ) •  •  •  12/3/08 •  ©  Инфосистемы Джет 9
  10. 10. Разрешение инцидентов – , . . , , , •  (Detection) •  (Containment) •  (Eradication) •  (Recovery) 12/3/08 ©  Инфосистемы Джет 10
  11. 11. Анализ и корректировка       Подготовительный этап: Корректирующие и предупреждающие действия:   Принятые решения недостаточны   Устранение несоответствий   Применяемые планы   Недопущение будущих неэффективны несоответствий   Повторение имеющихся несоответствий 12/3/08 ©  Инфосистемы Джет 11
  12. 12. Особенность процессов управления инцидентами ●  Удобство разработанного процесса для всех его участников Любое «неудобство» процесса может оказаться катастрофическим ●  В каждой организации процесс управления инцидентами уникален ●  Поддержка руководством В процесс вовлечено несколько подразделений 12/3/08 ©  Инфосистемы Джет 12
  13. 13. Наши проекты По управлению инцидентами ИБ, в том числе в рамках СУИБ, PSI DSS: •  МТТ •  РОСНО •  ЦБИ •  КОКК (Компания объединенных кредитных карточек) •  Владивостокский морской торговый порт По построению Центра оперативного управления ИБ •  Вымпелком •  Мэрия Москвы (Система мониторинга событий ИБ информационных систем и ресурсов города Москвы, СМ СоИБ ) 12/3/08 ©  Инфосистемы Джет 13
  14. 14. Задачи СМ СоИБ ●  Комплексный сбор и анализ событий безопасности ●  Накапливание и применение опыта противодействия угрозам в масштабах города ●  Контроль выполнения требований ИБ, предъявляемых к объектам информатизации города ●  Организация отлаженного взаимодействия при обеспечении ИБ 12/3/08 ©  Инфосистемы Джет 14
  15. 15. Процесс функционирования СМ СоИБ 1 Сбор информации с объектов мониторинга 2 Передача информации в ЦМ СоИБ 3 Анализ собранной информации (агрегация, корреляция, выявление новых угроз и уязвимостей) 4 Обнаружение и реагирование на СоИБ 5 Сбор статистики СоИБ / накопление опыта 12/3/08 ©  Инфосистемы Джет 15
  16. 16. Типовой сценарий реагирования •  0 •  1 •  2 •  3 •  4 •  5 •  6 12/3/08 ©  Инфосистемы Джет 16
  17. 17. Центр оперативного управления ИБ Контроль Мониторинг Управление соответствия состояния ИБ инцидентами ИБ требованиям •  Управление •  Определить событиями ИБ внутренний •  Аудит действий стандарт пользователей •  Управление •  Постоянно уязвимостями контролировать соблюдение стандартов 12/3/08 ©  Инфосистемы Джет 17
  18. 18. Получаемые выгоды при внедрении Центра оперативного управления ИБ ●  Гарантии обеспечения ИБ ●  Инструмент оперативного и проактивного управления ИБ ●  Эффективное управление инцидентами ИБ ●  Отсутствие конфликтов с Законом и отраслевыми регуляторами ●  Управление операционными рисками ●  Обоснование затрат на ИБ 12/3/08 ©  Инфосистемы Джет 18
  19. 19. Преимущества работы с Джет   -   -   , ●  Проектирование, внедрение и техническая поддержка   Центра оперативного управления ИБ: 12/3/08 ©  Инфосистемы Джет 19  
  20. 20. Ваши вопросы? Управление инцидентами как часть оперативного управления ИБ: подходы и опыт Джет Датриева Мария Руководитель направления Security Operation Center Центр Информационной Безопасности Спасибо за внимание! mdatrieva@jet.msk.su 12/3/08 ©  Инфосистемы Джет 20

×