Внедрение СУИБ на основе ISO27001

Валентин Сысоев, CISM

Менеджер проектов "Агентство Активного Аудита“
Директор по коммуникациям Киевского отделения ISACA
 Содержание

• Нормативные и регуляторные требования

• Основные понятия, суть и место ИБ в структуре компании

• Этапы внедрения процессов и системы управления

информационной безопасностью
• Примеры и методика

25.09.2013 © Валентин Сысоев, CISM 2

 Нормативные и
регуляторные требования в
области информационной
безопасности
 Нормативные и регуляторные требования

ISO27001
PCI DSS v. 2.0
ISO27002
PA-DSS v.2.0
ISO9001

Sarbanes- Oxley Act of 2002, North American SOX

Electric Reliability Corp./ Federal Energy (Sec.404) Basel II: International Convergence
Regulatory Commission – Critical Infrastructure NERC/FERC- Basel II (III) of Capital Measurement and Capital
Protection, Federal Information Security CIP, FISMA, Standards: a Revised Framework
management Act NIST

EU Data Directive 95/46 of the European Parliament

Национальный банк Protection and the Council of 24 October 1995
СОУ Н НБУ 65.1 СУИБ 1.0:2010 Directive
(Directive Вопросы защиты ПДн при их обработке,
95/46/EC) обмене и хранении в странах-членах ЕС

25.09.2013 © Валентин Сысоев, CISM 4

Основные понятия, суть и
место ИБ в структуре
компании
 Определение ИБ

Информация –
данные наделенные смыслом и целью.

Информация занимает позицию наравне с другими критическими

ресурсами организации, и требует должного внимания, осторожности,
благоразумия, защиты и т.д.

Информационная безопасность становится критическим фактором

для выживания бизнеса, причем для адекватной защиты информации
эта проблема должна рассматриваться на уровне Правления
компании, наравне с критическими бизнес функциями организации.

25.09.2013 © Валентин Сысоев, CISM 6

 Суть информационной безопасности

Доступность

Важная информация доступна,

когда она необходима

Конфиденциальность Целостность
Только уполномоченные лица
Информация достоверная и
получают доступ к
целостная
информации

Информация

25.09.2013 © Валентин Сысоев, CISM 7

 Суть информационной безопасности
(продолжение)
Управление,
• Политики, стандарты, процедуры, процессы, риски,
осведомленность, непрерывность
Информационная безопасность
• Действия уволенного сотрудника, ограбление, рейдерские
атаки, человеческие ошибки

Технологии
• Системы, оборудование, архитектура
IT безопасность
• Вирусы, DDOS, системные ошибки, сбой оборудования

Информационная безопасность – это

процесс управления (а не
технические средства), который, в
свою очередь, является одним из
важнейших элементов
корпоративного управления.

25.09.2013 © Валентин Сысоев, CISM 8

 Суть информационной безопасности
(продолжение)

НЕДОСТАТКИ

Угроза

АКТИВЫ
СИСТЕМА БЕЗОПАСНОСТИ

25.09.2013 © Валентин Сысоев, CISM 9

 Суть информационной безопасности
(продолжение)

Информационные системы

Информационные услуги (сервисы)

Электронная документация

Средства для обработки информации

Бумажная документация

25.09.2013 © Валентин Сысоев, CISM 10

 Суть информационной безопасности
(продолжение)

Управление физической безопасностью

Управление безопасностью электронной информации

Управление безопасностью разработки информационных систем

Управление безопасностью информации на бумажных носителях

Управления безопасностью для третьих лиц

Управления безопасностью для собственного персонала

Управление инцидентами

Управление нормативной безопасностью

Управление доступом

Управление непрерывностью бизнеса

25.09.2013 © Валентин Сысоев, CISM 11

 Суть информационной безопасности
(продолжение)

ИБ

25.09.2013 © Валентин Сысоев, CISM 12

Методика и этапы внедрения
системы управления ИБ
(СУИБ)
 Методика и этапы внедрения СУИБ

1.3 Изучение
1.2 Изучение политик и
Этап 1 Анализ 1.1 Сбор информации,
стандартов, требований
действующих практик и
1.4 Оценка
изучение структуры процессов к
текущего состояния бизнеса и процессов
к обеспечению
обеспечению
соответствия СУИБ
информационной требованиям 27001
ИБ предприятия
безопасности
информационной
безопасности

2.1 Обязательства 2.2 Назначение

2.4 Определить
Этап 2 Мероприятия руководства по ответственных лиц за 2.3 Определить сферу и
политику
управлению внедрение и пределы
по организации ИБ информационной
информационной функционирование использования СУИБ
безопасности
безопасностью СУИБ

Этап 3 3.1 Описание бизнес

3.2 Определение и 3.3 Определение 3.5 Согласование и
Инвентаризация и процессов и функций,
согласование влияния на бизнес и 3.4 Описание бизнес составление Реестра
определение
классификация владельцев бизнес оценка критичности активов информационных
используемых активов
активов бизнес активов активов
активов в БП (бизнес актив)

Этап 4 Оценка и 4.3 Оценка уровней 4.5 Определения

4.1 Определение 4.2 Оценка вероятности 4.4 Выбор мер защиты
информационных подходов обработки
Обработка рисков уязвимостей и угроз реализации угроз для снижения рисков
рисков рисков

51 Составление Плана
Этап 5 Дорожная 5.3 Составление
обработки рисков и 5.2 Составление Плана 5.3 Реализация планов
рекомендаций по
карта Положения о внедрения СУИБ внедрения СУИБ
внедрению СУИБ
применимости

Этап 6 Внедрение
6.1 Разработка
мероприятий по документации по
6.2 Разработка
документации по
мониторингу проведению
проверке процесса
внутреннего аудита
эффективности СУИБ
оценки рисков
СУИБ

25.09.2013 © Валентин Сысоев, CISM 14

 Анализ текущего состояния ИБ
Цели:
Основной целью этого этапа является изучение структуры бизнеса и процессов предприятия,
определение требований информационной безопасности и специфики бизнес процессов.
Получить экспертную оценку действующих процессов управления и организации ИБ,
определить степень соответствия ISO27001.
Этапы и методика
•Изучение видов деятельности предприятия
Сбор информации, изучение структуры бизнеса •Изучение организационной структуры предприятия
и процессов предприятия •Изучение структуры бизнес процессов предприятия

•Изучение требований бизнеса к ИБ

Изучение политик и стандартов, требований к
обеспечению информационной безопасности
Изучение действующих практик и процессов к
обеспечению информационной безопасности
Оценка соответствия СУИБ требованиям 27001
•Изучение требований политик и стандартов ИБ
•Изучение процессов и процедур ИБ
•Изучение требований ИБ к допустимому использованию активов
•Выявление основных мер безопасности
•Оценка соответствия ИБ внутренним политикам и процедурам
•Оценка соответствия внедренных процессов управления ИБ стандартам ISO27001\27002

Соответствие законодательству
Процент выполнения
Обеспечение непрерывности бизнеса
требований разделов
Менеджмент инцидентов информационной безопасности
стандарта
Приобретение, разработка и обслуживание информационных систем
Управление доступом к системе
Менеджмент компьютеров и сетей
Физическая и внешняя безопасность
Безопасность и персонал
Разделы Классификация активов и управление
стандарта Организация системы безопасности
Политика в области безопасности
Основные процессы управления

0% 20% 40% 60% 80%

25.09.2013
25.09.2013 © Валентин Сысоев, CISM 15
 Мероприятия по организации ИБ
Цели:
Основной целью этого этапа является установление обязательства руководства по управлению
информационной безопасностью, назначение ответственных лиц за внедрение и
функционирование СУИБ, определить сферу и пределы использования СУИБ, определить
политику информационной безопасности

Этапы и методика
На этом этапе проводятся организационные работы и проводится следующие действия
• Создание Комитета по обеспечению информационной безопасности (или Риск комитет)
• Создание Концепция управления информационной безопасностью;
• Создание Руководства по определению ролей и ответственных за организацию
информационной безопасности;
• Создание Политики информационной безопасности

25.09.2013 © Валентин Сысоев, CISM 16

 Инвентаризация и классификация активов
Цели:
Основной целью этого этапа является описание бизнес процессов и функций, выявление
информационных активов, которые используются бизнесом для выполнения процесса (бизнес
активы), и дальнейшее их описание: инвентаризация аппаратных, программных,
инфраструктурных ресурсов и объектов.
Этапы и методика
Объекты серверная, ЦОД, архив

Согласование и составление Реестра

находятся на
информационных активов Инженерная инфраструктура электропитание, охлаждение

поддерживаются
Оборудование сервер, маршрутизатор,хаб

размещены на
Описание бизнес активов: инвентаризация ПО\Базы данных
SQL, Oracle, ПО ERP SAP
аппаратных, программных, инфр. ресурсов
используют IT сервисы сеть, AD, удаленный доступ

зависят от Бизнес
активы ERP, клиент банк, e-mail,

Определение и согласование владельцев бизнес

Необходимы для выполнения БП
активов

Описание бизнес процессов, определение

используемых активов в процесса (бизнес актив)

25.09.2013 © Валентин Сысоев, CISM 17

 Определение влияния на бизнес и оценка
критичности активов
Цели:
Определение влияния на бизнес и оценка критичности дает понимание того, какой
информационный актив является критическим для бизнеса, максимально возможный ущерб, в
случае нарушения его работ, а так же степень зависимости бизнеса от информационного
актива.
Этапы и методика

•Финансовый ущерб Рейтинг Оценки Ущерба

Определение
возможного •Операционный ущерб Конфиденциальность
Рейтинг оценки ущерба
ущерба для •Ущерб, связанный с потребителем Ref. Тип ущерба A-критический, B-высокий, C-средний, D-низкий, E-малый
бизнеса •Ущерб, связанный с сотрудниками A B C D E
Финансовые Критичность информационного
Потеря продаж, заказов и
20% + 11% to 20% 6% to 10% 1% to 5% Меньше 1%
актива за тремя свойствами
F1
контрактов X информации (конфиденциальность,
Потери материальных $20m+ $1m to $20m $100K to $1m $10K to $100K Меньше $10K целостность, доступность)
F2 активов (например, определяется на основании влияния
Оценка •Конфиденциальность мошенничество, кража денег) X на бизнес в случае инцидентов ИБ
Взыскание / юридическая $20m+ $1m to $20m $100K to $1m $10K to $100K Меньше $10K
критичности •Целостность ответственность (например, по таким критериям:
актива •Доступность F3
• финансовый ущерб
нарушения нормативно-правовых
или договорных обязательств)
X
Непредвиденные расходы $20m+ $1m to $20m $100K to $1m $10K to $100K Меньше $10K
• операционный ущерб
F4 (например, возмещение • ущерб, связанный с потребителем
расходов) X • ущерб, связанный с сотрудниками
Снижение стоимости акции 25% + 11% to 25% 6% to 10% 1% to 5% Меньше 1%

F5 (например, внезапная потеря

стоимости акций) X
Общая •Критичный Операционные
Критична Серйозна Значна втрата Умеренная Минимальная
классификация •Средний Потеря контроля над втрата втрата контролю потеря потеря
актива •Малый O1 управлением (например,
нарушениями принятия решений) X

25.09.2013 © Валентин Сысоев, CISM 18

 Оценка и Обработка рисков
Цели:
Идентификация угроз и уязвимостей критических информационных активов, выявление,
анализ и уменьшение рисков до приемлемого уровня для бизнеса.
Управление рисками включает в себя анализ рисков, оценку, обработку, принятие и
мониторинг риска и является основой для последующего создания Плана обработки рисков -
плана действий информационной безопасности предприятия.
Этапы и методика

Определение объемов и границ

Выявление рисков

Анализ рисков

Мониторинг рисков
Оценка рисков

Избежание Уменьшение Передача Принятие

риска риска риска риска

Принятие остаточного риска

25.09.2013 © Валентин Сысоев, CISM 19

 Дорожная карта
Цели:
Предоставить рекомендации по мерам безопасности для уменьшения или устранения рисков,
рекомендации относительно необходимых изменений СУИБ. Уменьшение рисков включает в себя:
приоритезацию рисков, оценку мероприятий по снижению рисков для информационного актива,
рассмотрение возможных затрат и выгод, выбор стратегии обработки рисков, разработка плана обработки
рисков и планирование необходимых изменений СУИБ.
Этапы и методика
Аудит
Используя результаты аудита, оценки рисков и оценки защищенности на предыдущих Оценка
этапах, разрабатываются рекомендации по таким направлениям: рисков
• Построение/оптимизация процессов ИБ/ИТ и организационной структуры
• Автоматизация процессов ИБ/ИТ
Оценка
защище
• Создание/изменение документации и договоров нности
• Требования к знаниям и квалификации персонала
• Внедрение метрик (KPI, SPI) для оценки эффективности процессов ИБ\ИТ

После согласования рекомендаций с руководством, разрабатывается Дорожная карта с

указанием этапов и зависимостей по построению и оптимизации процессов ИБ/ИТ. Дорожная карта
Задание I квартал 2013 ІI квартал 2013 ІІI квартал 2013
ID Срок Ответственный
Сокращения: ДС - Деркач Сергей, РСП - Руководители структурных подразделений Січ. Лют. Бер. Квіт. Трав. Черв. Лип. Серп. Вер.
57 5. Внедрение процесса Управления изменениями 180 дней ААА, ДС
58 5.1 Проведение аудита процесса приобретения, разработки и поддержки информационных активов Done ААА
59 5.2 Разработка политик и руководств по организации процесса управления изменениями 60 дней ААА
60 5.2.1 Политика управления изменениями
61 5.2.2 Положение о Комитете управления изменениями
62 5.2.3 Руководство по управлению изменениями
63 5.2.4 Политика распределения ролей и обязанностей в процессе управления изменениями
64 5.2.5 Политика приобретения, разработки и поддержки прикладного программного обеспечения
65 5.3 Утверждение, введение и распространение среди заинтересованных лиц 30 дней ДС
66 5.4 Организация ИТ инфраструктуры 90 дней ИТ
67 5.4.1 Приобретение сетевого и серверного оборудования для разграничения сред разработки и тестирования
68 5.4.2 Сегментация сети
69 5.4.3 Разграничения среды разработки, опытной и промышленной эксплуатации
70 5.5 Разработка процедур по управлению изменениями 90 дней ИТ
71 5.5.1 Процедура внедрения изменений 90 дней ААА
72 5.5.2 Процедура внедрения срочных изменений 90 дней ААА
73 5.5.3 Процедура опытной эксплуатации изменений 90 дней ААА
74 5.5.4 Процедура внедрения релизов 90 дней ААА
75 5.5 Утверждение и внедрение процедур по управлению изменениями
76 6. Организовать процесс безопасной работы с Внешними сторонами 60 дней ААА, ДС
77 6.1 Разработать Политику взаимодействия с третьими сторонами 30 дней ААА
78 6.2 Разработать Соглашение о конфиденциальности 30 дней ААА
79 6.3 Разработать Обязательства "Обязательства о неразглашении работникам третьих Компаний 30 дней ААА
80 6.4 Утверждение, введение и распространение среди заинтересованных лиц 30 дней ДС
Рис.1 Пример дорожной карты
25.09.2013 © Валентин Сысоев, CISM 20
 Внедрение процессов СУИБ

Использова-ние Управление
Управление Безопасность Устойчивость Управление Мониторинг
услуг третьих критически-ми
доступом платформ инфраструктуры изменениями безопасности
сторон ситуациями

Устойчивость Мониторинг
Управление Защита ОС событий Мероприятия
аппаратного Управление
доступом Управление безопасности обеспечения
обеспечения изменениями
пользователей взаимодействием беспрерыв-ности
Защита сетевых с поставщиками Управление ИТ процессов
компонентов Устойчивость инцидентами
Распределение програмного безопасности
обязанностей обеспечения Распределение
Защита базового среды Соответствие Мероприятия по
ПО
техническим восстановле-нию
Разграниче-ние Управление требованиям после аварий
доступа Защита Устойчи-вость
услугами, которые
прикладного ПО центров
Планирование и предоставляются
обработки данных Тестирова-ние на
процесс ввода в третьими
Управление (серверных проникнове-ние в Управление
эксплуата-цию сторонами
предоставлением Защита рабочих помещений систему кризисными
доступа станций ситуациями

Основные задания организации ИТ

Владение Классификация Операционные Соответствие

Управление Осведомлен-ность
информационными информационных Архитектура ИТ процедуры и зоны внутренним
конфигурацией пользователей
активами активов ответственности требованиям

25.09.2013 © Валентин Сысоев, CISM 21

 Внедрение мероприятий по мониторингу
эффективности СУИБ
Цели:
Мониторинг и оценка эффективности системы управления информационной безопасностью - это
системный процесс получения и оценки объективных данных о текущем состоянии систем, действиях и
событиях происходящих в ней, устанавливающий уровень их соответствия определенным критериям.
Этапы и методика
Код I.IA2
Процесс Аутентификация для удаленного администрирования сетевых устройств и серверов

Риск финансовых и репутационных потерь при реализации угроз безопасности (вредные воздействия скоординированных
Риск злоумышленников, получение несанкционированного доступа к системам и сетям и т.д. и т.п.), которые эксплуатируют уязвимость, того
что при удаленном администрировании серверов и сетевых устройств не проводится идентификация оборудования.

В случае когда допускается удаленное администрирование серверов и сетевых устройств, все оборудование, с которого будет
Меры безопасности
производиться удаленное администрирование, должно проходить идентификацию для проверки подлинности.

Требования Смотреть на Смотреть что

Удаленный доступ к системе, особенно системными

администраторами, вносит дополнительный риск
несанкционированного доступа. Следовательно, • Область удаленного администрирования.
необходимо ограничить удаленный доступ только с • Анализ рисков.
определенных устройств. Выполнение этого мероприятия • Узлы(в сети), откуда было выполнено удаленное • Политика для удаленного администрирования.
безопасности должно обеспечивать связь для администрирование. • Рассмотрены ли вопросы удаленного администрирования.
администрирования системы только из известных мест • Является ли узел физически защищенным.
или оборудования. Идентификатор (например MAC-
адрес или IP-адрес) можно использовать, чтобы указать,
разрешено ли этому оборудованию подключаться к сети.
Эти идентификаторы должны четко указать, к какой сети
разрешается подключить оборудование.

Выполнение
Дата тестирования
Кем выполняется тестирование
Отдел
Местонахождение доказательств
Оценка (эффективные, неэффективные)
Вывод

25.09.2013 © Валентин Сысоев, CISM 22

 Вопросы?

25.09.2013 © Валентин Сысоев, CISM 23