Требования ISO к защите информации и украинские реали. Оценка защищенности информационных систем и процессов, наибольшие уязвимости.

1. Применение международных
стандартов в области
информационной безопасности.
Украинские реалии.
Владимир Ткаченко, CISA, CISSP,
Certified ISO 27001 Lead Auditor/ Certified ISO 27001 Lead
Implementer
Директор ООО «Агентство активного аудита»

2. 23.02.2015
Влияние нормативных и
регуляторных требований
Sarbanes- Oxley Act of 2002,
North American Electric Reliability
Corp./ Federal Energy Regulatory
Commission – Critical
Infrastructure Protection, Federal
Information Security management
Act
Basel II: International
Convergence of
Capital Measurement
and Capital
Standards: a Revised
Framework
Национальный банк
Украины
СОУ Н НБУ 65.1
СУИБ 1.0:2010
Directive 95/46 of the European
Parliament and the Council of 24
October 1995
Вопросы защиты ПДн при их
обработке, обмене и хранении в
странах-членах ЕС

3. Обзор стандартов и нормативных актов,
требующих оценки защищенности
23.02.2015 © ООО «Агентство активного аудита» 3
Нормативный акт
(международный
стандарт)
Оценка
защищенности
(аудит)
Анализ
рисков
Сканирование
уязвимостей
Тест на
проникновение
ISOIEC 27001:2013,
ISOIEC 27002:2013
Раздел 9 Раздел 6 Раздел 12.6, 12.7 Раздел 18.2
СОУ Н НБУ 65.1 СУИБ
1.0:2010,
СОУ Н НБУ 65.1 СУИБ
2.0:2010
Раздел 6 Раздел 4 Раздел 12.6 Раздел 15.2
ISOIEC 27007:2011
ISOIEC 19011:2011
Весь стандарт
В части
касающейся СУИБ
Согласно
ISO/IEC 27001
Раздел 7.2.3.3.1 -
ISOIEC 27032:2012
Раздел 13.3.5 Раздел 11.2 Раздел 9.3 Раздел 13.3.5
PCI DSS v.3.0
(PA-DSS v.3.0)
Весь стандарт Требование
6.2
Требование 6.2,
11.1, 11.2
Требование 11.3

4. Требования
по тестированию ISO 27001 (27002)
(управление уязвимостями)
23.02.2015 © ООО «Агентство активного аудита» 4
Раздел 12.6 – определяет процесс управления
уязвимостями для снижения вероятности
реализации рисков их эксплуатации
Контроль
изменений
Защита на
уровне ОС и
протоколов
Управление
обновлениями
Тестирование
Для организации процесса предлагается:
 Определить роли и обязанности
 Определить как выполнять процесс (коммерческое
или бесплатное ПО, или оборудование)
 Определить критерии оповещения и реакции на них
 Оценить риск и предложить варианты обработки
 Выполнить действия в соответствии с процессом
управления изменениями или инцидентами
 Если есть обновление, протестировать его и оценить
последствия его внедрения
 Необходимо документировать весь процесс
 Проводить постоянный мониторинг состояния
уязвимости (в первую очередь для критических
систем)
Если нет обновления:
+ По возможности - отключить
уязвимый сервис или функцию
+ Внедрить доп. Меры защиты (если
возможно)
+ Усилить мониторинг за уязвимой
системой
+ Информировать персонал об
уязвимости

5. Требования по тестированию ISO 27001 (27002)
(техническое соответствие)
23.02.2015 © ООО «Агентство активного аудита» 5
Раздел 18.2 – определяет соответствие политикам
и стандартам безопасности и техническое
соответствие. Нас интересует 18.2.1 и 18.2.3
Для организации процесса предлагается:
 Проводить его вручную или автоматизированно с
последующей интерпретацией результатов
специалистом
 Предъявить повышенные требования к квалификации
(например, обследование защищенности ОС)
 Как правило, выполнять с привлечением третьей
стороны
Что получим?
1) «Мгновенный снимок» (на самом деле не совсем ;-) системы или
совокупности систем в определенном состоянии в определенное время
2) Результат ограничивается теми элементами системы (или систем),
которые участвовали в процессе проникновения
3) Тестирование на проникновение не заменяет оценку рисков

6. Требования по аудиту ISO 27007:2011
23.02.2015 © ООО «Агентство активного аудита» 6
ISOIEC 27007:2011 – Информационные технологии – Методы обеспечения
безопасности – Руководство по аудиту СУИБ
Для организации процесса предлагается:
 Разработать программу аудита СУИБ
 Ограничить область аудита
 Определить риски аудита
 Определить ресурсы для проведения аудита
 Реализовать программу аудита
 Провести аудит
Зачем это «лирическое отступление»?
1) См. способы организации и отчетности
2) Чтобы понять как правильно организовать процесс с ПОЛЕЗНЫМ
результатом

7. Требования по кибербезопасности
ISOIEC 27032:2012
23.02.2015 © ООО «Агентство активного аудита» 7
ISOIEC 27032:2012 – Информационные технологии – Методы обеспечения
безопасности – Руководство по обеспечению кибербезопасности

8. Требования по кибербезопасности
ISOIEC 27032:2012
23.02.2015 © ООО «Агентство активного аудита» 8
ISOIEC 27032:2012 – Информационные технологии – Методы обеспечения
безопасности – Руководство по обеспечению кибербезопасности
Стандарт предлагает пути устранения рисков кибербезопасности, таких как:
 Атаки методами социальной инженерии
 Хакинг
 Зловредное ПО (malware)
 Шпионское ПО и другое потенциально небезопасное (нежелательное) ПО
 Атаки организованных групп кибермошенников через Internet
(подготовка к обнаружению, идентификация и предотвращение))
Также стандарт определяет способы распространения информации об инцидентах,
координацию между участниками процесса при реакции на инциденты и в
основном применяются требования 19011:2011)
Требования к тестам косвенно описаны в 12.2 (3) 13.3.5 (13.5.6) = 13.6 j
Регулярно тестировать безопасность
- Критических приложений;
- Операционных систем;
- Систем управления базами данных

9. Требования по сканированию PCI DSS
23.02.2015 © ООО «Агентство активного аудита» 9
Требование 6.2 :
6.2.а – необходимо наличие процесса идентификации и
назначения уровней риска обнаруженным уязвимостям.
(Ранее в версии 2.0 предлагалось «высоким» уровнем риска
считать уязвимости с уровнем 4,0 и выше по CVSS) c 30/06/2012
– это становилось обязательным требованием. На данный
момент разрешается использовать внутрикорпоративную
шкалу рисков.)
Требование 11.1 :
Следует ежеквартально проверять наличие
беспроводных точек доступа и отслеживать
неавторизованные беспроводные точки доступа
(801.11).
Common Vulnerability Scoring System (CVSS-SIG) – Общая система учета
уязвимостей - это метод ранжирования уязвимостей ИТ систем
http://www.first.org/cvss

10. Требования по сканированию PCI DSS
23.02.2015 © ООО «Агентство активного аудита»
1
Требование 11.2.1 (внутреннее сканирование)
Необходимо проводить ежеквартальное внутреннее
сканирование сегмента сети и систем, где хранятся и
обрабатываются данные держателей пластиковых карт
«ИНТЕРЕСНЫЕ ДЕТАЛИ»:
11.2.1.a
Убедиться ,что сканирование проводилось ежеквартально за
период 12 месяцев (должно быть 4 отчета)
11.2.1.b
Убедиться, что процесс сканирования учитывает повторное
сканирование после устранения уязвимостей с уровнем
риска «высокий» (соблюдена норма 6.2)
11.2.1.с
Внутреннее сканирование может проводить
квалифицированный персонал другого подразделения или
третья сторона при этом наличие QSA/ASV не требуется

11. Требования по сканированию PCI DSS
23.02.2015 © ООО «Агентство активного аудита»
1
Требование 11.2.2 (внешнее сканирование)
Необходимо проводить ежеквартальное внешнее
сканирование с помощью компании - авторизованного
вендора (Approved Scanning Vendor – ASV). Статус
выдается и поддерживается комитетом по безопасности
индустрии пластиковых карт (Plastic Card Industry Security
Standard Counsil – PCI SSC)
«ИНТЕРЕСНЫЕ ДЕТАЛИ»:
Сканирование можно проводить
ASV «классически» по договору – дорого и медленно
ASV SaaS – быстро и оптимально по затратам
https://www.pcisecuritystandards.org/approved_companies_providers/approved_scanning_ve
ndors.php

12. Решения по сканированию PCI DSS
23.02.2015 © ООО «Агентство активного аудита»
1
Беспроводные сети и внутреннее сканирование 11.1, 11.2.1
- Силами подразделения ИБ (или ИТ)
- Внешняя компания (необязательно ASV/QSA)
Внешнее сканирование 11.2.2
- Только внешняя компания ASV
Сканирование после внесения изменений (внешнее и внутреннее) 11.2.3
- Силами подразделения ИБ (или ИТ)
- Внешняя компания (необязательно ASV/QSA)
Оптимальный по финансам способ организации сканирования
- ПО для сканирования
- Аппаратный сканер (реальный или виртуальный)
- Услуга внешней компании (необязательно ASV/QSA для внутреннего
сканирования)
- Услуга SaaS от ASV

13. Требования по тестированию PCI DSS
23.02.2015 © ООО «Агентство активного аудита»
1
Требование 11.3 (тестирование на проникновение)
Необходимо проводить ежегодно (а также при
значительных изменениях в инфраструктуре) внутренний и
внешний тест на проникновение на уровне сети (включая
ОС) и приложения(ний)
«ИНТЕРЕСНЫЕ ДЕТАЛИ»:
11.3.1 Внешнее тестирование на проникновение
 тест проводился ежегодно (должен быть отчет)
 квалифицированным персоналом или третьей
стороной при этом наличие QSA/ASV не требуется
11.3.2 Внутреннее тестирование на проникновение
 тест проводился ежегодно (должен быть отчет).
 квалифицированным персоналом другого
подразделения или третьей стороной при этом наличие
QSA/ASV не требуется
11.3.3 Повторное тестирование, если обнаружены
эксплуатируемые уязвимости

14. 23.02.2015 14
Стандарты разные нужны.
Стандарты разные важны
© Володимир Ткаченко, CISA, CISSP, ISO 27001 LA, ISO 27001 LI - Агентство Активного Аудиту
Бизнес-процессы
описаны, контролируются
и документация ведется
Критичность определена,
риски оценены, имеют
владельцев и обработаны.
Процессы ИБ действуют.
Критерии непрерывности
определены, критичность
оценена.
Планы BC/DR разработаны и
протестированы.
Организация и управление ИТ
в соответствии с целями
бизнеса
Оптимизация и повышение
производительности.
ISO 27032:2012
ISO 27033-1(6)

15. Вопросы
info@auditagency.com.ua
www.auditagency.com.ua
044 228 15 88