Документ описывает специфику реализации системы управления информационной безопасностью (СУИБ) в организации на примере пяти проектов, проведенных в 2010-2011 годах. Основное внимание уделяется внедрению стандартов ISO 27001 и автоматизации процессов управления с учётом требований законодательства и методик ITIL. Выводы подчёркивают уникальность каждого проекта, необходимость квалифицированного подхода консультантов и важность вовлечения высшего руководства.

1. Создание СУИБ в организации на
примере 5 реализованных проектов LETA
2010-2011гг.
Акатьева Мария,
Заместитель директора департамента
продуктов и услуг компании LETA
Август 2011 +7 (495) 921 1410 / www.leta.ru

2. СОДЕРЖАНИЕ
• Специфика реализации СУИБ в 2010 – 2011
годах
• Практика внедрения СУИБ
• Выводы
+7 (495) 921 1410 / www.leta.ru 2

3. СПЕЦИФИКА РЕАЛИЗАЦИИ СУИБ 2010 – 2011
ГОД
Система управления ИБ
СУИБ
Под Практические
сертификацию задачи
управления ИБ
+7 (495) 921 1410 / www.leta.ru 3

4. СПЕЦИФИКА РЕАЛИЗАЦИИ СУИБ 2010 –
2011 ГОД
• Автоматизация процессов управления
• Более сжатые сроки реализации
(ранее разработка СУИБ – 12 месяцев, сейчас - ~ 6
месяцев)
• СУИБ востребована в связке с набором
стандартов и практик
(ФЗ 152, ITIL, СТО БР ИББС и т.д.)
+7 (495) 921 1410 / www.leta.ru 4

5. СПЕЦИФИКА РЕАЛИЗАЦИИ СУИБ 2010 –
2011 ГОД
• Аутсорсинг процессов СУИБ
(контроль уязвимостей, обучение, аудиты и т.д.)
• Задача – сертификация не является
первоочередной задачей
(за 2010 – 2011 год было проведено всего 5 новых
сертификаций по сведениям BSI)
• «Один СУИБ – два Исполнителя»: Компания -
аудитор и Компания - интегратор
• Каждый СУИБ уникален!
+7 (495) 921 1410 / www.leta.ru 5

6. ОБЩИЕ ЭТАПЫ РЕАЛИЗАЦИИ ПРОЕКТА
Обследов
ание
Сертифик Границы
ация проекта
СУИБ
Анализ
Внедрени
рисков
е СУИБ
ИБ
Проектир
ование
СУИБ
+7 (495) 921 1410 / www.leta.ru 6

7. ОПЫТ ПРОВЕДЕННЫХ ПРОЕКТОВ
• СУИБ в соответствии с ISO 27001 + ФЗ 152 +
автоматизация
(крупная газовая компания, крупный урановый холдинг)
• СУИБ в соответствии с ГОСТ Р ИСО МЭК
27001:2006 + автоматизация
(крупная нефтяная компания)
• СУИБ в соответствии ISO 27001 + ITIL +
автоматизация
(крупная авиационная компания)
• СУИБ в соответствии с ISO 27001 + сертификация
(ЗАО «Лета»)
+7 (495) 921 1410 / www.leta.ru 7

8. • СУИБ в соответствии с
ISO 27001 + ФЗ 152 + автоматизация
(газовая компания, крупный урановый
холдинг)
+7 (495) 921 1410 / www.leta.ru 8

9. ОБЩИЕ СВЕДЕНИЯ
• Площадки: 1 площадка, Москва
• Длительность проекта: 10 месяцев
• Ключевые цели - Внедрение СУИБ в
проекта: соответствии с ISO 27001 и
ФЗ 152
- Автоматизация ряда
процессов СУИБ
- Сертификация
+7 (495) 921 1410 / www.leta.ru 9

10. ОСОБЕННОСТИ ПРОЕКТА
• Выполнение в ходе проекта двух задач –
соответствие ISO 27001 и ФЗ 152
(подход «от процессов управления»)
• Разработка критериев выбора бизнес-процессов
для внедрения СУИБ, согласование области с
высшим руководством
• Разработка ТЗ на каждый из процессов ИБ и
согласование ТЗ с ключевыми ответственными
• … (проект находится в процессе выполнения)
+7 (495) 921 1410 / www.leta.ru 10

11. ОСОБЕННОСТИ ПРОЕКТА
• Выбор области внедрения и сертификации СУИБ
Операционные бизнес-
процессы
Управляющие бизнес-
процессы
Операционные бизнес- Бизнес-процессы
процессы развития
Обеспечивающие
бизнес-процессы
Обязательны для включения в ОД СУИБ
Желательны для включения в ОД СУИБ
Не обязательны для включения в ОД СУИБ
+7 (495) 921 1410 / www.leta.ru 11

12. ОСОБЕННОСТИ ПРОЕКТА
• Разработка ТЗ на СУИБ
+7 (495) 921 1410 / www.leta.ru 12

13. КЛЮЧЕВЫЕ РЕЗУЛЬТАТЫ ПРОЕКТА
• Планы по ИБ Экономия ресурсов
разработаны с учетом
внедрения ISO 27001 и на стадии обследования!
ФЗ 152
• Выбрана область Обоснование выбора
деятельности внедрения перед высшим
и сертификации СУИБ руководством!
Экономия времени
• Разработано
техническое задание на на согласование!
все процессы СУИБ Понимание СУИБ рабочей
группой!
+7 (495) 921 1410 / www.leta.ru 13

14. • СУИБ в соответствии с
ГОСТ Р ИСО МЭК 27001:2006 + автоматизация
(крупная нефтяная компания)
+7 (495) 921 1410 / www.leta.ru 14

15. ОБЩИЕ СВЕДЕНИЯ
• Площадки: 1 площадка, Москва
• Длительность проекта: 3 месяца
• Ключевые цели - Внедрение СУИБ в
проекта: соответствии с ГОСТ Р
ИСО/МЭК 27001—2006
- Автоматизация процессов
управления активами и
рисками ИБ
+7 (495) 921 1410 / www.leta.ru 15

16. ОСОБЕННОСТИ ПРОЕКТА
• Разработка СУИБ проводилась на
соответствие требованиям ГОСТ Р
ИСО/МЭК 27001—2006
• Уникальная разработка
автоматизированной системы
управления жизненным циклом СУИБ
на базе решений продуктов Altiris:
 Altiris CMDB – инвентаризация активов
 Altiris SMP – портальное решение
 Symantec Workflow – организация
взаимодействия
• Разработка полного комплекта
документации для соответствия
требованиям стандарта ГОСТ Р
+7 (495) 921 1410 / www.leta.ru 16

17. ОСОБЕННОСТИ ПРОЕКТА
• Разработка и проектирование процесса управления
активами на базе международного стандарта ISO 27005
+7 (495) 921 1410 / www.leta.ru 17

18. ОСОБЕННОСТИ ПРОЕКТА
• Автоматизация процесса управления рисками ИБ
+7 (495) 921 1410 / www.leta.ru 18

19. ОСОБЕННОСТИ СИСТЕМЫ
Неактуал Problem_creator
ьна
Вторичные Редактирован
П
ктивы из системы ие проблемы
CMDB
Отклонена П
На Неактуал
Регистрация ен
А повторное
проблемы П
согласован Р
ие Risk_creator
Неактуал
Problem_creator М
ьна
Редактирован
ие риска
Согласование НЕТ М Внедрена
П
проблемы
Зарегистриров Приводит к
На М Внедряется
ана Problem_reviewer П новому
повторное
риску? Р
согласован
Подтверждена ДА ие М К внедрению
Регистрация Отклонен Р
М Предложена
риска А
Risk_creator
Risk_creator Первичные К обработке Регистрация и
активы из редактирован
Р
системы ие мер
CMDB Согласование контроля
Р
A Активы риска Control_creator
Зарегистрирован
Принятие
Risk_reviewer решения по
П Проблемы (уязвимости) обработке
риска
Р Риски Risk_approver
Р
М Меры обработки рисков Конец жизненного цикла объекта
Принят
+7 (495) 921 1410 / www.leta.ru 19

20. ОСОБЕННОСТИ ПРОЕКТА
• Разработана ролевая модель процесса
управления рисками:
 Problem Creator - Работник, идентифицирующий
проблемы
 Problem Reviewer - Работник, подтверждающий наличие
проблем
 Risk Creator - Работник, идентифицирующий риски
 Risk Reviewer - Работник, подтверждающий наличие
риска
 Control Creator - Работник, определяющий меры
контроля (обработки) риска
 Risk Approver - Работник, принимающий решение об
обработке риска
+7 (495) 921 1410 / www.leta.ru 20

21. ОСОБЕННОСТИ ПРОЕКТА
Разработано:
14 – политик , 14 – процедур, 8 - прочих документов
+7 (495) 921 1410 / www.leta.ru 21

22. КЛЮЧЕВЫЕ РЕЗУЛЬТАТЫ
• Запущена в эксплуатацию Облегчение ОИБ работы
система управления с самыми трудоемкими
жизненным циклом СУИБ процессами СУИБ!
• Разработана четкая схема Оперативное
действий ИБ в случае управление риском по
выявления, оценки и факту его появления!
утверждения мер по
обработке рисков ИБ
• Достигнуто соответствие СУИБ готова к
требованиям ГОСТ Р, СУИБ сертификации !
готова к сертификации !
+7 (495) 921 1410 / www.leta.ru 22

23. • СУИБ в соответствии с
ISO 27001 + ITIL + автоматизация
(крупная авиационная компания)
+7 (495) 921 1410 / www.leta.ru 23

24. ОБЩИЕ СВЕДЕНИЯ
• Площадки: 1 площадка, Москва
• Длительность проекта: 8 месяцев
• Ключевые цели - Выстраивание сквозных
проекта: процессов управления между
ИТ и ИБ в соответствии с ISO
27001
- Интеграция требований по ИБ
в ИТ процессы Организации
- Разработка требований по ИБ
на уровне Корпорации
+7 (495) 921 1410 / www.leta.ru 24

25. ОСОБЕННОСТИ ПРОЕКТА
• Проведение GAP-анализа и выбор приоритетных
для внедрения процессов СУИБ (подход «от
процессов обеспечения»)
• Разработка процессов СУИБ в соответствии с
требованиями ISO 27001:2005 и ITIL c учетом
специфики госучреждения
• Автоматизация процессов на базе решений:
 Manage Engine Service Desk Plus
(доработка интерфейсов и взаимосвязей)
 MaxPatrol
+7 (495) 921 1410 / www.leta.ru 25

26. АВТОМАТИЗИРОВАННЫЕ ПРОЦЕССЫ
+7 (495) 921 1410 / www.leta.ru 26

27. ОСОБЕННОСТИ ПРОЕКТА
• Разработка процессов управления
инцидентами и изменениями с точки зрения
ИБ
+7 (495) 921 1410 / www.leta.ru 27

28. ОСОБЕННОСТИ ПРОЕКТА
• Внедрено автоматизированное решение по
идентификации, анализу и обработке уязвимостей ИБ
+7 (495) 921 1410 / www.leta.ru 28

29. ОСОБЕННОСТИ ПРОЕКТА
+7 (495) 921 1410 / www.leta.ru 29

30. КЛЮЧЕВЫЕ РЕЗУЛЬТАТЫ
• Разработан корпоративный Утверждение требований
стандарт по управлению ИБ по ИБ в Корпорации!
• Разработано более 20 Интеграции ИБ в
документов в соответствии с процессы ИТ!
требованиями ISO 27001:2005
и рекомендациями ITIL
• Проведена доработка Manage
Engine под задачи ИБ
Удобная автоматизация!
• Внедрение процесса
управления уязвимостями на
базе MaxPatrol
+7 (495) 921 1410 / www.leta.ru 30

31. • СУИБ в соответствии с
ISO 27001 + сертификация
(ЗАО «Лета»)
+7 (495) 921 1410 / www.leta.ru 31

32. ОБЩИЕ СВЕДЕНИЯ
• Площадки: 1 площадка, Москва
• Длительность проекта: 12 месяцев
• Ключевые цели - Обеспечение защиты
проекта: персональных данных и
клиентской информации
посредством внедрения СУИБ
- Сертификация СУИБ на
соответствие ISO 27001
- Разработка инструмента по
оценке рисков ИБ
+7 (495) 921 1410 / www.leta.ru 32

33. ОСОБЕННОСТИ ПРОЕКТА
• Внедрение СУИБ в наиболее критичной области
«Выполнение проектов по ИБ
(проектирование, внедрение, консалтинг, поддержка)
• Высокая занятость персонала – распределение
обязанностей по разработке процессов
• Организация работы с основным поставщиком ИТ
услуг (требования по ИБ)
• Выделение процессов для проведения испытаний
с целью дальнейшего развития услуг по
консалтингу СУИБ
+7 (495) 921 1410 / www.leta.ru 33

34. ОСОБЕННОСТИ ПРОЕКТА
• Автоматизация процесса оценки рисков ИБ
Аsset Inventory Risk Assessment
Module Module
Reports
+7 (495) 921 1410 / www.leta.ru 34

35. ОСОБЕННОСТИ ПРОЕКТА
• Система измерения эффективности
+7 (495) 921 1410 / www.leta.ru 35

36. ОСОБЕННОСТИ ПРОЕКТА
• Портал СУИБ
+7 (495) 921 1410 / www.leta.ru 36

37. ОСОБЕННОСТИ ПРОЕКТА
• Спланированная работа по подготовке к сертификации
Успешная
сертификация
+7 (495) 921 1410 / www.leta.ru 37

38. КЛЮЧЕВЫЕ РЕЗУЛЬТАТЫ ПРОЕКТА
• Разработаны все процессы СУИБ в
соответствии с ISO 2700Х:
 ISO/IEC 27001:2005
 ISO/IEC 27002:2005
 ISO/IEC 27003:2010
 ISO/IEC 27004:2009
 ISO/IEC 27005:2011
• Успешная сертификация и самые
лучшие отзывы BSI
• Улучшение идеологии ряда
процессов СУИБ
• Разработан уникальный
инструмент для анализа рисков ИБ!
• «Сапожник в сапогах»
+7 (495) 921 1410 / www.leta.ru 38

39. ВЫВОДЫ
• Внедрение СУИБ – практическая задача
улучшения процессов ИБ!
• СУИБ должен обеспечивать соответствие
ряду требований одновременно
(СТО БР, 2194-У, ФЗ 152, ITIL, ГОСТ и т.д.)
• Выбор области деятельности должен быть
подтвержден высшим руководством и
реально значим для бизнеса Компании!
+7 (495) 921 1410 / www.leta.ru 39

40. ВЫВОДЫ
• Разработка ТЗ на СУИБ позволят сэкономить
время и силы на согласования каждого
отдельного процесса и позволяет
формализовать точное ожидание у всех
участников проекта по СУИБ
• Управляющие процессы могут быть
автоматизированы и удобны в работе!
+7 (495) 921 1410 / www.leta.ru 40

41. ВЫВОДЫ
Задачи каждого СУИБ уникальны,
что требует высокого уровня
квалификации консультантов!
Наш опыт – залог
успеха!
Практические
задачи
управления ИБ
+7 (495) 921 1410 / www.leta.ru 41

42. КОНТАКТНАЯ ИНФОРМАЦИЯ
Спасибо!
LETA IT-company
109129, Россия, Москва, ул. 8-я Текстильщиков, д.11, стр. 2
Тел./факс: +7 (495) 921-1410
Единая служба сервисной поддержки: + 7 (495) 921-1410
www.leta.ru
© 2010 LETA IT-company. All rights reserved.
This presentation is for informational purposes only. LETA IT-company makes no warranties, express or implied, in this summary.
42