Семинар по информационной безопасности

«Информационная безопасность 3.0. Начало»

Практический опыт специалиста по ИБ: от проблем взаимодействия служб ИТ и ИБ до проверок регуляторов

Сергей Кубан Эксперт по информационной безопасности

| 22/11/2013 |

2

Главные вопросы безопасника

Обоснование необходимости ИБ и защита

затрат на информационную безопасность

Соответствие нормативным требованиям.

Подготовка и прохождение проверок

регуляторов

Взаимодействие служб ИБ и ИТ

Как организовать систему обеспечения

информационной безопасности

3

Несколько слов о себе: карьера

Несколько слов о себе: Мои проекты

Разработка,

внедрение и

сертификация

системы

менеджмента ИБ

по ISO 27001

ГУП "Водоканал Санкт-Петербурга"

Построение

системы защиты

персональных

данных

ООО «В Контакте»

ГУП «Водоканал Санкт-Петербурга»

ООО «Европа Отель»

ОАО «Банк Санкт-Петербург»

ООО «Объединенные пивоварни Хейнекен»

Администрация Смоленской области

Страховые компании, поликлиники и медицинские центры

Санкт-Петербурга

Комплексные

системы ИБ

Банк России

Газпром

Правительство Ленинградской области

Правительство Казахстана

Транснефть

4

Взаимодействие служб ИБ и ИТ. Личные качества «безопасника»

ШЕСТЬ СПОСОБОВ РАСПОЛАГАТЬ К СЕБЕ ЛЮДЕЙ:

Правило 1: Проявляйте искренний интерес к другим

людям.

Правило 2: Улыбайтесь!

Правило 3: Помните, что для человека звук его имени

является самым сладким и самым важным звуком

человеческой речи.

Правило 4: Будьте хорошим слушателем. Поощряйте

других рассказывать вам о себе.

Правило 5: Ведите разговор в кругу интересов вашего

собеседника.

Правило 6: Давайте людям почувствовать их

значительность — и делайте это искренне.

5

Взаимодействие служб ИБ и ИТ. Личные качества «безопасника»

Девять способов, как изменить человека, не нанося ему обиды и не

вызывая негодования

Правило 1. Начинайте с похвалы и искреннего признания достоинства

человека.

Правило 2. Обращайте внимание людей на их ошибки, делая это в косвенной

форме.

Правило 3. Прежде, чем критиковать другого, скажите о своих собственных

ошибках.

Правило 4. Задавайте вопросы вместо того, чтобы отдавать приказы.

Правило 5. Дайте возможность человеку спасти свое лицо.

Правило 6. Хвалите человека за каждый даже самый скромный успех и

будьте при этом искренни в своем признании и щедры на похвалы.

Правило 7. Создайте человеку доброе имя, чтобы он стал жить в

соответствии с ним.

Правило 8. Пользуйтесь поощрением. Сделайте так, чтобы недостаток,

который вы хотите в человеке исправить, выглядел легко исправимым, а

дело, которым вы хотите его увлечь, легко выполнимым.

Правило 9. Делайте так, чтобы людям было приятно исполнить то, что вы

хотите.

6

КОНФЛИКТЫ ИНТЕРЕСОВ МЕЖДУ ПОДРАЗДЕЛЕНИЯМИ

Основной конфликт интересов:

у ИТ-подразделения – задача по обеспечению непрерывного

функционирования АС, целостности и своевременной доступности

информации

у ИБ - обеспечение конфиденциальности, целостности и доступности

информации в соответствии с предоставленными пользователю

полномочиями

Конфликт на основе межличностных отношений

между работниками ИБ и ИТ- подразделения при обеспечении

информационной безопасности

Знания, необходимые руководителю (работнику) Службы ИБ для организации взаимодействия с ИТ-службами

ИТ- инфраструктура компании

Основные бизнес-процессы компании

Персонал ИТ-служб, их задачи и функции, функциональная нагрузка

Риски и уязвимости информационных активов

Основы обеспечения информационной безопасности на всех уровнях

автоматизированной системы:

Физический, Сетевой, Операционных систем, СУБД, Приложений.

Как избежать конфликтов между подразделениями ИБ и ИТ и организовать эффективное их взаимодействие в области обеспечения информационной

безопасности компании?

1. СИБ и ИТ-подразделения совместно должны провести:

а) Организационно-правовые мероприятия по разработке внутренних нормативных

документов, в которых будет четко регламентированы разделения функций подразделений

по обеспечению информационной безопасности.

Примеры таких документов:

– Политика информационной безопасности компании;

– Положения о подразделениях ИБ и ИТ;

– Должностные инструкции сотрудников, участвующих в обеспечении ИБ.

б) Мероприятия по выбору средств защиты информации, их тестированию в корпоратвиной

сети компании, что позволит избежать взаимных претензий при дальнейшей эксплуатации

средств защиты.

Как избежать конфликтов между подразделениями ИБ и ИТ и организовать эффективное их взаимодействие в области обеспечения информационной безопасности компании?

2. Руководитель подразделения по ИБ должен иметь авторитет среди

сотрудников ИТ-подразделения, который достигается:

a) Высоким профессионализмом в области ИТ-технологий и информационной

безопасности, знанием бизнес-процессов компании, что позволяет при проведении

мероприятий по обеспечению ИБ оптимально распределить силы и средства ИТ-

подразделения без ущерба выполнениях его основных задач и функций, а также

находить “золотую середину” между обеспечением эффективной защиты информации и

непрерывным функционированием АС, своевременной доступности информации.

б) Участием в ИТ-проектах, проводимых ИТ-подразделением, отстаивание перед

высшим руководством их целесообразность, снижение рисков при их внедрении.

в) Обеспечением кадровой безопасности ИТ-подразделения, а именно недопущение

ухода из компании ключевых ИТ-специалистов, что достигается обоснованием перед

высшим руководством необходимости материального стимулирования работников ИТ-

подразделения, повышением их квалификации в ИТ и ИБ

Как избежать конфликтов между подразделениями ИБ и ИТ и организовать эффективное их взаимодействие в области обеспечения информационной безопасности компании?

3. Службе ИБ проводить с сотрудниками ИТ-подразделения занятия

по ИБ, разъяснения о необходимости реализации планируемых

мероприятий по ИБ

4. В компании должен быть решен вопрос с выравниванием оплаты

труда между сотрудниками служб ИБ и ИТ

5. Руководитель ИБ должен подчиняться генеральному директору

или заместителю по безопасности (начальнику СБ)

Как организовать систему обеспечения информационной безопасности: Методологическая основа

80% успеха – организационно-правовые мероприятия, 20% - технические

12

1.Международные стандарты:

ISO/IEC 27001:2005 Информационные технологии. Методы обеспечения

безопасности. Системы управления информационной безопасностью. Требования.

ISO/IEC 27002:2005 Информационные технологии. Методы обеспечения

безопасности. Практические правила управления информационной безопасностью

(ранее ISO/IEC 17799:2005).

2.Российские стандарты:

ГОСТ Р ИСО/МЭК 27001-2006. Информационная технология. Методы и средства

обеспечения безопасности. Системы менеджмента информационной безопасности.

Требования

ГОСТ Р ИСО/МЭК 17799-2005. Информационные технологии. Методы обеспечения

безопасности. Практические правила управления информационной безопасностью

3. ITIL (библиотека передового опыта организации ИТ). Книга «Управление

безопасностью (Security Management).

13

Управление рисками на основе ISO 27001

Активы Стоимость

активов

$

Риски Величина

риска

$

Принятие

решения о мерах

по снижению

риска

$ Финансирование

ИБ

Выявление основных угроз, рисков безопасности для существующих

бизнес-процессов Предприятия

Демонстрация клиентам и партнерам приверженности к

информационной безопасности при исполнении договорных отношений

Международное признание и повышение авторитета Предприятия

Доказательство соответствия законодательным требованиям.

Демонстрация соответствия контрольно-надзорным органам и

аудиторам

Снижение и оптимизация стоимости системы безопасности

Снижение информационных рисков для активов Предприятия

Эффективное управление системой в критичных ситуациях

Четкое определение личной ответственности за ИБ

Интеграция подсистемы безопасности в бизнес-процессы и интеграция с

ИСО 9001:2008

Ценности внедрения СМИБ по ISO 27001:2005

Анализ защищенности,

управление уязвимостями.

Контроль соответствия

нормативным требованиям

MaxPatrol

Информационные

ресурсы Общества

Контроль доступа к

периферийным устройствам

и съемным носителям,

защита от утечек

Lumension,

Websense, InfoWatch,

SearchInform

Система оперативного

мониторинга безопасности,

управления инцидентами

и угрозами HP Arcsight

User

Централизованное управление

идентификационными данными и

доступом IBM Identity Manager

Интернет

Защита от утечек

информации, контроль

и блокировка доступа к

запрещенным

Интернет-ресурсам:

Websense,

InfoWatch,

SearchInform

Анализ внутренних

ресурсов

Анализ внешних

ресурсов

Защита сетевого

периметра

Межсетевой экран

Предотвращение

вторжений

Checkpoint,

IBM IPS,

Cisco ASA,

StoneGate: FW, IPS

Защищенный

удаленный

доступ, VPN

StoneGаte,

АПКШ«Континент»,

АП «Континент»

…и все-таки без 20% не обойтись

Обоснование значимости ИБ и затрат на информационную безопасность

Отказ от птичьего и использование общего с бизнесом языка

Эффективный процесс взаимодействия со всеми бизнес -подразделениями

Внедрение системы внутреннего маркетинга ИБ

Выход на руководство

Измерение эффективности процесса ИБ.

«Единственный способ влиять на кого - либо – выяснить, что нужно этому

человеку, и показать, как он этого может добиться »:

как безопасно внедрить новые информационные технологии улучшающие

бизнес-процессы компании: электронный документооборот, удаленный

доступ работников, электронный обмен с контрагентами, мобильные

устройства, облачные технологии, беспроводные сети и пр.

как минимизировать вмешательство государственных органов, регуляторов в

деятельность компании или их последствия: штрафы, приостановление

деятельности и пр.

признание и повышение авторитета компании со стороны партнеров,

клиентов

17

Методы обоснования

Провести количественный или качественный анализ рисков

информационных активов и их воздействие на бизнес-процессы

Обосновать риски связанные с несоответствием законодательству и

иным нормативным требованиям

Выявить бизнес-потребности компании и помочь им воплотиться

Проводить повышение осведомленности руководства и работников в

области ИБ

Определить метрики определения эффективности информационной

безопасности

Оказание услуг по информационной безопасности: подразделениям

компании, контрагентам, клиентам, партнерам,

18

Прохождение проверок регуляторов

Роскомнадзор:

1. Подготовить сценарий проверки- ЧТО и КАК показываем регуляторам:

какие подразделения, помещения, документы (оригиналы) и

дополнительные документы, работников подразделений.

2. Провести обучение работников, проинструктировать что отвечать

регуляторам (- минимум информации).

3. Ознакомиться с Уведомлением о проверке и приказом Роскомнадзора.

Выявить запрашиваемые документы в Организации.

4. Подготовить требуемые копии документов, сопроводительное письмо и

пояснительную записку о состоянии Предприятия в сфере обработки и

защиты персональных данных:

- руководителю организации (уполномоченному представителю

организации на время проверки);

- Роскомнадзору.

5. В момент проведения проверки пригласите представителей компании,

оказывающих услуги по созданию системы защиты персональных данных.

19

20

Опись локальных нормативно-правовых и организационно-распорядительных документов по организации работы с персональными данными в ГУП «Водоканал Санкт-Петербурга»

№ п/п

Наименование документа №№ страниц

примечание

Учредительные документы

1 Копия устава ГУП «Водоканал Санкт-Петербурга» (новая редакция) от 12.11.08. №1897-РЗ

1-13

Письма, подписанные уполномоченным лицом

1 Письмо о назначении компетентного уполномоченного от ГУП «Водоканал Санкт-Петербурга» на время проверки от 16.05.11. № 17-12-619/11

24

Внутренняя нормативная документация, регламентирующая процесс получения, хранения и уничтожения персональных данных работников, граждан и лиц, состоящих в гражданско-правовых отношениях с ГУП «Водоканал Санкт-Петербурга»

1 Копия Приказа «О введении в действие Положения о персональных данных в ГУП «Водоканал Санкт-Петербурга» от 03.03.09. №42

38-40

2 Копия Положения о персональных данных в ГУП «Водоканал Санкт-Петербурга» (приложение к приказу от 03.03.09. №42)

41-54

Внутренняя нормативная документация, регламентирующая допуск сотрудников к кадровым, бухгалтерским и иным документам и программам, содержащим персональные данные работников, граждан и лиц, состоящих в гражданско-правовых отношениях с ГУП «Водоканал Санкт-Петербурга»

1 Копия Положения о персональных данных в ГУП «Водоканал Санкт-Петербурга» (приложение к приказу от 03.03.09. №42)

41-54

2 Копия списка работников ГУП «Водоканал Санкт-Петербурга», допущенных к работе с персональными данными (утверждено 15.04.11. заместителем генерального директора по производству)

91-92

Должностные инструкции сотрудников, имеющих доступ к персональным данным работников, граждан и лиц, состоящих в гражданско-правовых отношениях с ГУП «Водоканал Санкт-Петербурга»

1 Копия должностной инструкции руководителя направления кадрового делопроизводства Департамента персонала от 02.06.09. № ДИ16-2

123-125

Соглашение (обязательство) о неразглашении персональных данных, заключаемое между сотрудниками и ГУП «Водоканал Санкт-Петербурга»

2 Копия трудового договора между работодателем и работником (приложение 1 к ПВТР)

168-178

Документы, регламентирующие порядок фиксации, хранения и уничтожения персональных данных посетителей, проверяемых на посту охраны

1 Копия Распоряжения Директора по безопасности от 18.05.11. №07-13-261/11 о введении в действие Журнала учета посетителей ГУП «Водоканал Санкт-Петербурга»

183-184

2 Образец Журнала учета посетителей ГУП «Водоканал Санкт-Петербурга»

185-186

Документы, регламентирующие передачу и уничтожение бумажных, электронных носителей, содержащих персональные данные

1 Копия Положения об организации работы по обеспечению защиты конфиденциальной информации в ГУП «Водоканал Санкт-Петербурга» (приложение 2 к приказу генерального

187-195

На что Роскомнадзор обращает внимание при проверках:

Отсутствие (низкое качество) локальных правовых актов, регламентирующих

процесс обработки ПДн в организации.

Отсутствие существенного условия об обеспечении конфиденциальности и

безопасности ПДн в договоре, на основании которого обработка ПДн поручается

третьим лицам.

Передача ПДн третьим лицам без согласия субъектов персональных данных.

Обработка специальных категорий ПДн и биометрических ПДн в нарушение требований законодательства РФ.

Неправомерная обработка персональных данных за пределами разрешённого срока обработки.

Работники и их представители должны быть ознакомлены под роспись с документами работодателя, устанавливающими порядок обработки персональных данных работников, а также об их правах и обязанностях в этой области.

21

Семинар по информационной безопасности

«Информационная безопасность 3.0. Начало»

СПАСИБО ЗА ВНИМАНИЕ ! Сергей Кубан serge.kuban@gmail.com

| 22/11/2013 |