Стандарты безопасности АСУ ТП и их применимость в РоссииAleksey Lukatskiy
Similar to Александр Дмитриев - Практические аспекты внедрения системы менеджмента информационной безопасности в соответствии с требованиями ISO 27001 (20)
[Short 11-30] Артем Гончар - Европейский опыт в защите персональных данных
Александр Дмитриев - Практические аспекты внедрения системы менеджмента информационной безопасности в соответствии с требованиями ISO 27001
1. Практические аспекты внедрения
системы менеджмента информационной
безопасности
в соответствии с требованиями ISO 27001
Александр Дмитриев
Lead auditor ISO/IEC 27001, BS 25999, ISO 9001
Руководитель департамента «ИТ-сервисы и безопасность»
Главный редактор журнала «Das Management»
TÜV SÜD Ukraine LLC 2010-12 / Dmitriev
slide 1
2. Защита информации
vs
Менеджмент информационной безопасности
TÜV SÜD Ukraine LLC 2010-12 / Dmitriev
slide 2
3. Защита информации и менеджмент ИБ
Безостановочное
предупреждение рисков по Обстоятельное решение
базовым направлениям ИБ текущей проблемы ИБ
Менеджмент ИБ Защита информации
(ISO 27001)
TÜV SÜD Ukraine LLC 2010-12 / Dmitriev
slide 3
4. Защита информации и менеджмент ИБ
?
«СУПЕР» Менеджмент ИБ
(ISO 27001, ISF, CobiT, ITIL, IT-Grundschutz, NIST и др.)
TÜV SÜD Ukraine LLC 2010-12 / Dmitriev
slide 4
5. Защита информации. Ощущение и признаки успеха
• Объем проделанной работы
• Установка сложных систем
защиты
• Количество наказанных лиц
• Количество и качество
устранения инцидентов
• Объем и качество
документов, количество
рисков
• Воспитание боязни к службе
ИБ
Офицер ИБ
Подразделения
TÜV SÜD Ukraine LLC 2010-12 / Dmitriev
slide 5
6. Менеджмент ИБ. Ощущение и признаки успеха
• Обращения подразделений
за помощью к ИБ
• Ощутимые улучшения в
документообороте
• Уверенность в понимании
карты рисков
• Большинство инцидентов
числятся в реестре рисков
• Количество инцидентов
прогнозируемо
• Воспитание доверия (любви)
Подразделения к службе ИБ
Офицер ИБ
TÜV SÜD Ukraine LLC 2010-12 / Dmitriev
slide 6
7. Практические рекомендации по
определению, расчету и анализу
рисков
TÜV SÜD Ukraine LLC 2010-12 / Dmitriev
slide 7
8. Определение активов и рисков. Организация процесса
Подразделение Документы Действие
Руководство Стратегия и фин. план Область действия
Служба «Х» Описания бизнес-процессов Подразделения в СМИБ
Служба ИБ Правила определения Обучение
Шаблон реестра
Подразделения Таблицы частные Заполнение таблиц
Служба ИБ Реестр сводный (проект) Сведение реестра
Раб. группа ИБ Реестр сводный (Ц+Д) Выжимка реестра
Служба ИБ Реестр сводный (К) Дополнение реестра
TÜV SÜD Ukraine LLC 2010-12 / Dmitriev
slide 8
9. Определение активов и рисков. Вопрос количества
Непростой выбор: определить все возможные риски
или закрыть те, которые вижу
TÜV SÜD Ukraine LLC 2010-12 / Dmitriev
slide 9
11. Выбор методики расчета рисков
Формула для расчета: РИСК = ВЕРОЯТНОСТЬ * УЩЕРБ
Качественная Значение риска: баллы (от 1 до 63)
Ресурсы: 10 ч/д
Преимущества:
• Простое применение
Проблемы методики:
• Отсутствие вывода для экономики
безопасности
Количественная Значение риска: деньги (1 520 грн)
Вероятность Ущерб
Ресурсы: 120 ч/д
(0..1) X ($$$) Преимущества:
• Доказательная экономика безопасности
Проблемы методики:
• Сложность получения данных для
Значение риска
экономических расчетов
TÜV SÜD Ukraine LLC 2010-12 / Dmitriev
slide 11
12. Расчет рисков. Выбор формулы
Цель расчета: разделить риски по степени важности
Минимальные требования к расчету:
- Наличие вводных данных
- Доверие к результату
TÜV SÜD Ukraine LLC 2010-12 / Dmitriev
slide 12
13. Отдельные рекомендации по оценке рисков
• Каждое программное средство для офицера ИБ содержит свою
методику оценки рисков
Вывод: перед приобретением ПО ознакомиться с методикой
• Оценка риска (цифра) должна отражать его опасность
Вывод: не использовать методики с искажением свойства риска
Актив Описание риска Вероят- Ущерб РИСК ОБЩИЙ
ность РИСК
Финансовая Потеря из-за хищения
отчетность конкурентами
Частичная потеря из-за сбоя
1 2 2 ?
компьютеров 1 3 3
Случайное удаление
информации собственным 1 2 2
4
персоналом
Частичная потеря (искажение)
из-за проникновения вирусов 3 3 9
TÜV SÜD Ukraine LLC 2010-12 / Dmitriev
slide 13
14. Отдельные рекомендации по оценке рисков
• Активы в реестре могут взаимно дополнять друг друга
Вывод: не рекомендовано применять жесткое разделение
• Ценность (важность) актива зачастую не используется
Вывод: исключить ценность актива или сформулировать логику ее
применения
Актив Ценность Риск Вероят- Ущерб РИСК
(1-3) ность (1-9)
Потеря из-за хищения конкурентами
Финансовая 1 2 2
отчетность 3 Частичная потеря (искажение) из-за
(эл. папка) 3 3 9
? проникновения вирусов
Выход из строя из-за скачка
1 3 3
Прокси- напряжения
сервер 1 Уничтожение из-за пожара
? 2 3 6
TÜV SÜD Ukraine LLC 2010-12 / Dmitriev
slide 14
17. Направления безопасности. Хит-парад несоответствий
A.10.10.4 Действия системного администратора
Требование:
Фиксировать действия
системного администратора
Возможное решение:
• Определить активы или
действия системного
администратора,
необходимые для фиксации
• Применять технические
средства
5
TÜV SÜD Ukraine LLC 2010-12 / Dmitriev
slide 17
18. Направления безопасности. Хит-парад несоответствий
A.9. Физическая безопасность и безопасность окружения
Требование:
Выполнять обслуживание
согласно требованиям
Возможное решение:
• Уточнить собственные
требования в паспортах к
оборудованию
4
TÜV SÜD Ukraine LLC 2010-12 / Dmitriev
slide 18
19. Направления безопасности. Хит-парад несоответствий
А.15 Законодательные и другие требования
Требование:
Выполнять нормы
законодательства Украины в
области информационной
безопасности
Возможное решение:
• Создать перечень норм
• Получить консультации
специалистов
3
TÜV SÜD Ukraine LLC 2010-12 / Dmitriev
slide 19
20. Направления безопасности. Хит-парад несоответствий
A.10.3.1 Менеджмент производительности
Требование:
Определять
производительность.
Не превышать
запланированные мощности.
Возможное решение:
• Приобретать подходящие по
мощности активы
• Регулировать
производительность
2 собственными требованиями
TÜV SÜD Ukraine LLC 2010-12 / Dmitriev
slide 20
21. Направления безопасности. Хит-парад несоответствий
A.12.1 Приобретение информационных систем
Требование:
Приобретение ИС
осуществлять при
согласовании с ИБ
Возможное решение:
• Определить перечень ИС и
других информационных
активов, требующих
согласования
• Включить проверку ИБ в
1 процедуру закупок
TÜV SÜD Ukraine LLC 2010-12 / Dmitriev
slide 21
23. Наблюдения аудитов СМИБ
Требование предприятия:
Передача конфиденциальной информации сторонним
лицам запрещена без разрешения Дирекции по
безопасности
Факт:
Аудитор хочет поделиться полезной информацией с
пользователями и просит дать флешку. Пользователи
во многих случаях дают флешки, на которых
обнаруживается информация, имеющая гриф
«Конфиденциально»
Вывод:
Нарушено собственное требование по безопасности.
Класс несоответствия: критическое (А.15.2)
Возможное решение:
Приобретение двух флешек, одна из которых
«гостевая»
TÜV SÜD Ukraine LLC 2010-12 / Dmitriev
slide 23
24. Наблюдения аудитов СМИБ
Требование предприятия:
Запрещено хранение паролей в открытом доступе.
Факт:
При внутреннем аудите обнаружено критическое
несоответствие: сотрудник «Иванов» хранит пароли в
рабочем блокноте, который хранится в столе.
Вывод:
Недостаточно оснований для несоответствия. Класс
несоответствия: нет
Рекомендовано детализировать запрет
перечислениями недопустимых мест хранения.
TÜV SÜD Ukraine LLC 2010-12 / Dmitriev
slide 24
25. Наблюдения аудитов СМИБ
Требование предприятия:
Вся критическая информация компании должна
резервироваться.
Факт:
Коммерческий директор ведет базу потенциальных
клиентов в таблице Excel на своем ПК и никому ее не
дает. Существует подозрение на наличие
несоответствия. В процедуре по резервному
копированию указаны источники для резервирования
всей критической информации, базы потенциальных
клиентов среди них нет
Вывод:
Нет оснований для формулировки несоответствия.
Рекомендовано дополнить реестр рисков следующим:
«Потеря базы потенциальных клиентов из-за …»
TÜV SÜD Ukraine LLC 2010-12 / Dmitriev
slide 25
26. Наблюдения аудитов СМИБ
Требование предприятия:
Учетная запись пользователя в ИС должна быть
удалена в течении одного рабочего дня с момента его
увольнения
Факт:
При анализе обнаружены две активные учетные
записи пользователей, уволенных десять и двенадцать
дней назад
Вывод:
Нарушено собственное требование по безопасности.
Класс несоответствия: критическое (А.8.3).
Предприятию необходимы данные учетные записи для
доступа к информации в течении месяца
Возможное решение:
Рекомендовано изменить требование с одного до
тридцати дней
TÜV SÜD Ukraine LLC 2010-12 / Dmitriev
slide 26
27. Наблюдения аудитов СМИБ
Требование предприятия:
Хранить информацию о выпуске продукции, в т.ч.
электронные журналы ИС, в течении пяти лет с
момента производства
Факт:
Произошла замена сервера, на котором хранятся логи.
Данные по выпуску продукции за 2010 год отсутствуют.
Информация также есть в бумажном виде
Вывод:
Нарушено собственное требование по безопасности.
Класс несоответствия: некритическое (А.15.1.3)
Возможное решение:
Рекомендовано пересмотреть требования или ввести
процедуру резервирования логов
TÜV SÜD Ukraine LLC 2010-12 / Dmitriev
slide 27
28. Позитивные и негативные примеры
внедрения процессов СМИБ
TÜV SÜD Ukraine LLC 2010-12 / Dmitriev
slide 28
29. Поддержка документации СМИБ. Хит-парад негатива
1. Документы СМИБ противоречат действительности (на будущее)
Пример: «Логи безопасности архивируются на сервере СМИБ», при этом сервер
только в планах приобретения
2. В многих случаях употребляются общие фразы
Пример: «Действия системного администратора фиксируются в журнале»
3. Документы СМИБ противоречат другим нормам компании
Пример: процедура «Перемещение материальных активов» запрещает вынос
флешек, при этом процедура «Сменные носители» позволяет
4. Формы документов противоречат требованиям компании по оформлению
Примеры: процедуры именуют политиками, разделы процедуры не соответствуют
внутреннему стандарту
TÜV SÜD Ukraine LLC 2010-12 / Dmitriev
slide 29
30. Поддержка документации СМИБ. Хит-парад позитива
1. Требования СМИБ максимально удобны для пользователя
Пример: Большинство пользователей имеют единый сводный документ с перечнем
требований к ним. Требования проиллюстрированы
2. Документы СМИБ минимальны по объему
Пример: Всего около 20 документов. Объем документа не превышает 4 страниц
3. Все документы СМИБ размещены в эл. виде
Пример: Утвержденные копии документов размещены в папках с распределением
доступа
4. Значительная часть документов СМИБ не разрабатывалась, использовались
существующие документы
Пример: Требования по персоналу дополнены в существующую процедуру
«Управление персоналом»
TÜV SÜD Ukraine LLC 2010-12 / Dmitriev
slide 30
31. Приобретение активов. Хит-парад негатива
1. Служба ИБ не может получить право на участие в процессе закупки
Пример: Руководство считает службу ИБ лишним звеном в процессе
2. Не определен четкий перечень активов, которые необходимо оценивать
Пример: Шкафы для архива приобретены, но отсутствуют замки, которые оказались
необходимыми. Служба ИБ увидела в этом нарушение. Служба закупок не посчитала
необходимым сообщать, т.к. шкафы, по их мнению, не информационные активы.
3. Оценка проводится формально из-за отсутствия ресурсов
Пример: Мощность закупленного сервера оказалась крайне недостаточной. При
закупке сервера служба ИБ формально поставила согласие на листе закупки.
4. Превышены желания службы ИБ в процессе закупки
Пример: Служба ИБ запрещает в рамках служебной записки приобретать «1С-
Предприятие» из-за наличия многих рисков
TÜV SÜD Ukraine LLC 2010-12 / Dmitriev
slide 31
32. Приобретение активов. Хит-парад позитива
1. Процесс закупки максимально логичен и автоматизирован
Пример: ИС компании автоматически информирует службу ИБ о заявке на
приобретение, руководство может одобрить покупку только после заполнения поля с
рекомендациями
2. На большую часть активов разработаны требования (стандарт компании)
Пример: При приобретении планшетов служба ИТ самостоятельно без согласования с
ИБ приобретает дополнительные планшеты, полностью соответствующие
требованиям по операционной системе, объеме памяти и др.
3. Существует отдельный процесс закупки по критичным активам
Пример: Для определенного перечня активов проводится детальное исследование
службой ИБ с целью определить соответствие потребностям бизнеса, риски,
непредвиденные расходы.
TÜV SÜD Ukraine LLC 2010-12 / Dmitriev
slide 32
34. Менеджмент информационной безопасности
Объем работ по внедрению
СМИБ (ISO 27001)
зависит только от Вас!
Основные причины, Максимальные Минимальные Влияние на
влияющие на объем ресурсы ресурсы объем работ
работ
Область действия Все предприятие Отдельные площадки $$
Все продукты Отдельные продукты
Количество активов 300-1000 10-80 $$
Количество рисков 500-3000 20-100 $$$
Количество и объем 80-100 процедур и 20-30 процедур и $$$
требований журналов журналов
100-2000 ч/д 30-50 ч/д
TÜV SÜD Ukraine LLC 2010-12 / Dmitriev
slide 34
35. Анализ применения программных средств
для поддержки СМИБ в соответствии с
требованиями ISO/IEC 27001.
Для самостоятельного ознакомления
TÜV SÜD Ukraine LLC 2010-12 / Dmitriev
slide 35
36. ПО для системы менеджмента ИБ
• EXCEL
• Собственное ПО
• DS Office, Россия
• ИСОратник, Украина
• GSTOOL, Германия
• RMstudio, Англия
TÜV SÜD Ukraine LLC 2010-12 / Dmitriev
slide 36
37. ПО для системы менеджмента ИБ
Выбор потребителя
TÜV SÜD Ukraine LLC 2010-12 / Dmitriev
slide 37
38. ПО для системы менеджмента ИБ
Отдельные характеристики программного обеспечения
Программный продукт Русификация Каталоги Стоимость,
активов и категория
рисков
EXCEL ДА НЕТ $
DS Office, Россия ДА ДА $$$$
Собственное ПО ДА НЕТ $$$$$
ИСОратник, Украина ДА НЕТ $$
RMStudio, Англия НЕТ ДА $$$
GSTOOL, Германия НЕТ ДА $$$$$
TÜV SÜD Ukraine LLC 2010-12 / Dmitriev
slide 38
39. ПО для системы менеджмента ИБ
Базовые процессы автоматизации
Процесс Кол-во
предприятий
Ведение реестра активов и рисков 27
Оценка рисков. Создание отчетов о рисках 23
Управление документацией СМИБ 15
Управление аудитами СМИБ 7
Инструктажи. Осведомленность персонала 4
Бюджетирование 1
TÜV SÜD Ukraine LLC 2010-12 / Dmitriev
slide 39
40. Большое спасибо!
Задавайте вопросы …
Александр Дмитриев
+38 050 419 69 11
Alexander.Dmitriev@tuv-sud.com.ua
TÜV SÜD Ukraine LLC 2010-12 / Dmitriev
slide 40