Построение СУИБ на основе iso 27k

1

Построение системы управления информационной безопасностью на основе

международных стандартов ISO 27xxx

Чучаев Сергей Викторович. . ., к т н эксперт по сертификации СМИБ на соответствие ISO 27001, член « »МОО Ассоциация руководителей служб информационной безопасности

2

- Кто владеет информацией владеет миром( Френсис Бэкон) : а также , Натан Ротшильд , ….Уинстон Черчилль

3

Что такое информационная?безопасность

ИНФОРМАЦИЯ

Конфиденциальность

Доступность

Целостность

Информационная безопасность(information security): сохранение, конфиденциальности целостности и .доступности информации — Примечание Также сюда могут быть , включены другие свойства такие как, , подлинность подотчётность .неотказуемость и достоверностьISO/IEC 27000:2014, .п 2.33

;Информационная безопасность организации : ИБ организации Состояние защищенности интересов организации в условиях угроз .в информационной сфере — Примечание Защищенность достигается обеспечением совокупности — , свойств информационной безопасности конфиденциальностью, целостностью доступностью информационных активов и инфраструктуры. организации Приоритетность свойств информационной безопасности определяется значимостью информационных активов для интересов( ) .целей организации 53114-2008, . 3.2.1ГОСТ Р п

4

Как происходит нарушение безопасности

ISO/IEC 13335-1:2006. Концепция и модели менеджмента безопасности информационных и телекоммуникационных технологий

Легенда:

S – защитные меры (контроль)V – уязвимостиT – угрозыR – рискRR – остаточный риск

Риск информационной безопасности ассоциируется с вероятностью того, чтоимеющиеся угрозы будут материализоваться с использованием уязвимостей некоторого информационного актива или группы таких активов, принося вред

организации.

5

Информационная безопасность -или ИТ безопасностьИ

Т

Орг

аниз

ация

/ ...

Физ

ичес

кая

безо

...

Пос

тавщ

ики

Пер

сона

л

Пра

вова

я за

щит

а

0

5

10

15

20

25

30

35

40

Количество мер управления по основным направления

в ISO 27001 (%)

6

Системный подход к информационной безопасности

Процессы

Персонал

Технологии

7

Цели внедрения системы управления информационной безопасностью

Выполнение( – соблюдениеcompliance) внешнихтребований

Минимизация финансовых потерь Оптимизация-бизнес процессов

Повышениеимиджа ( маркетинговый)ход

8

Основы для построения СМИБ

ISO 270xx – , серия международных стандартов , определяющих порядок внедрения развития и поддержки системы менеджмента информационнойбезопасностиCobiT – представляет собой пакет открытыхдокументов IT, IT-в области управления аудита ибезопасностиITIL, ISO 200xx – библиотека , документов , описывающая процессы идентификации, планирования разработки и поддержки ИТ сервисов в организацииNIST SP 800 Series – 100 серия из более чем документов по ИТ безопасности

9

Некоторые факты об ISO 27001• ISO 27001 обеспечивает методологию управления . информационной безопасностью в организации• ISO 27001 может быть реализован в любой, организации независимо от вида собственности или.размера• ISO 27001 создавался на протяжении двух ( десятилетий первая версия BSI 7799-2 вышла в 1998 ) году с участием лучших мировых экспертов в области .информационной безопасности• ISO 27001 , .предназначен для целей сертификации т е. независимый орган по сертификации может, подтвердить что организация внедрила СМИБ в ISO 27001.соответствии с требованиями• ISO 27001 является наиболее популярным стандартом , информационной безопасности во всем мире и многие компании сертифицированы на соответствие требованиям ISO 27001 ( 2012 на конец года было 19577 )выдано сертификатов

10

27001

27002 27000

27004

27011

Отраслевое применение

Телекоммуникации

Финансовые сервисы

Межсекторное взаимодействие

27003

27005

Управление рисками

31000

Guide 73

27006

Сертификация

27007

27008

19011

Руководящие указания по аудиту СМИБ

17021

Руководство по ИБ

Измерения

Свод правил

ТребованияРуководство по внедрению

27001+20000-1

Термины и определения

Требования к органам, Обеспечивающим аудит и сертификацию СМИБ

Руководящие указания для аудиторов по оценке органов управления

Руководство по аудитусистем менеджмента

Требования к органам по сертификации

Словарь

Принципы и руководство

27016 Организационная экономика

27018

Облачные сервисы

17000

Словарь и основные принципы

31010Оценка рисков

Отраслевое применение ISO 27001

27010

27009

27013

27014

27015

Энергетические сервисные программы27019

27017

ПДн в публичных облачных сервисах

27x расширение:2703227033

27034 и т.д.

Оценка соответствия

Семейство стандартов ISO/IEC 27k

11

Мифы о ISO 270xx1. Внедрение стандарта приведет к ненужному увеличению.документооборота

Документация является важной частью реализации требованийISO 27001, . но документация не является самоцелью

Какие цели может преследовать документирование:деятельности• , . . Подтверждение соответствия т е обеспечение , документального подтверждения того что требования и ;установленные цели в действительности выполнены• ,Распространение и сохранения опыта накопленного ( );организации управление знаниями• , Передача информации как внутри так и вовне.организации

Руководство ИТ подразделения Персонал

12

Мифы о ISO 270xx2. – Информационная безопасность это деятельность отдела ИТ

2.1. В понятие безопасность входит не только , управление ИТ но и управление человеческими, .ресурсами физическая безопасность и т д

2.2. ИТ подразделение не должен выступать в роли . проводника при построении СУИБ- .это противоречит принципам независимости- ( у ИТ другие цели и задачи обеспечить ) непрерывность предоставления услуг


13

Генеральный директор

ЗГД по безопасности

Служба ИБ Служба ИТ

Функциональное взаимодействие

Организационная подчиненность

Определение требований, контроль, предложения по

совершенствованию

Принятие решений, выделение ресурсов

Реализация мероприятий по

программно-аппаратной защите

ЗОНЫ ОТВЕТСТВЕННОСТИ

ЗГД по ИТ

Мифы о ISO 270xx Пример организационной структуры

14

Мифы о ISO 270xx3. " ..."Стандарт требует« », Стандарт требует ежеквартальную смену паролей« Стандарт требует проведение проверки персонала »…на полиграфе

ISO 27001 устанавливает требования к процессу, , создания внедрения поддержания функционирования и непрерывного улучшения системы менеджмента информационной. безопасности – , Все остальное это лучшие практики описанные в (различного рода документах NIST SP 800 series, ISO 27002 и . .) т д и их конкретное применение зависит оторганизацииРуководство ИТ подразделения Персонал

15

Мифы о ISO 270xx4. – Единственная польза от стандарта это получение

сертификата

Использование сертификата для участия в тендерных, процедурах либо как средства подтверждения для существующих и потенциальных потребителей способности организации защитить их информацию


16

Почему внедрение ИБ может быть полезно ИТ

Внедрение ИБ

Экономьте свое время

Разговаривайте с руководством на

языке бизнесаЗащитите себя Стройте свою

карьеру

17

Процесс внедрения СМИБ

Получение одобрения

руководства для запуска проекта

Установление проекта (не

обязательный шаг)

Определение требований

Перечень требований: законодательных, регуляторных, и

контрактных (4.1, 4.2)

План проекта

PLAN

18


Определение области

распространения, целей и

ответственности

Внедрение поддерживающих

процедур

Разработка процесса оценки и обработки риска

Методология оценки риска

Политика информационной

безопасности, область распространения

Цели в области информационной

безопасности

Процедуры управления документами,

внутреннего аудита и т.д.

Критерии принятия риска

PLAN

19


Проведение оценки и обработки рисков

Разработка профиля безопасности

Принятие остаточного риска и

разработка плана внедрения

управляющих мер

План обработки риска

Таблица оценки рисков (6.1.2),

Таблица обработки рисков (6.1.3)

Отчет об оценке и обработке рисков (6.1.3)

Заявление о применимости

управляющих мер (6.1.3)

Принятие остаточных рисков

PLAN

20


Внедрение всех необходимых мер

управления

Подготовка программы обучения и

информирования персонала в области

ИБ

«Выполнение» СМИБ

Различные записи, требуемые

документами СМИБ

Записи подтверждающие

внедренииЗаписи об обучении

DO

21


Проведение внутренних аудитов

Анализ высшего руководства

Сертификация СМИБ

Отчет о внутреннем аудите Отчет об анализе ВР

Корректирующие действия

ACTCHECK

22

Управление рисками

Управление рисками ИБ представляет , собой непрерывный процесс , обеспечивающий выявление оценку и минимизацию рисков от реализации угроз , информационной безопасности . направленных на активы организации

:Управление рисками ИБ позволяет• получить актуальное представление об уровне обеспечения информационной безопасности организации в текущий,момент• определить наиболее уязвимые места в обеспечении защиты информации,организации• определить стоимостное обоснование ,затрат на обеспечение ИБ• минимизировать издержки на .обеспечение ИБ

23

Оценка риска

“ Старая методология” (ISO 27001:2005) Идентификация активов

Идентификация требований бизнеса изаконодательства Оценивание идентифицированных активов с учетом идентифицированных требований , бизнеса и законодательства а также , последствий нарушения их конфиденциальности целостности и доступности Идентификация значимых угроз и уязвимостей идентифицированных активов

Оценка вероятности реализации угроз и.уязвимостей

1

2

3

4

5

24

Оценка рискаАктив Цен-

ность Риск Угроза Уязви-мость Риск Владе-

лец

Персональ-ные данные работников

4

Похищение данных злоумышленниками Н Н 4

ОКПопадание в открытый доступ из-за ошибки оператора С В 7

Искажение данных вирусом С С 6

Ценность актива

Уровень угрозНизкая Средняя Высокая

Уровень уязвимостейН С В Н С В Н С В

0 0 1 2 1 2 3 2 3 41 1 2 3 2 3 4 3 4 52 2 3 4 3 4 5 4 5 63 3 4 5 4 5 6 5 6 74 4 5 6 5 6 7 6 7 8

25


Воздейст- вие набизнес

Вероятность инцидента Оченьнизкая Низкая Средняя Высокое Очень

высокое Оченьнизкое 0 1 2 3 4Низкое 1 2 3 4 5Среднее 2 3 4 5 6Высокое 3 4 5 6 7

Оченьвысокое 4 5 6 7 8

26


“ Новая методология” (ISO 27001:2013)ISO 27001:2013 не устанавливает каких либо , требований к методике оценке рисков давая . организациям право использовать любую методологию, Например указанных в ISO 31010:2009, .приложение А « - - - », Методология Актив уязвимость угроза риск установленная в ISO 27001:2005 также может использоваться и дает возможность сохранить преемственность с предыдущими наработками

АктивЦен-ность Риск Угроза Уязви-

мость Риск …Владе-

лец риска

Персональ-ные данные работников

4

Похищение данных злоумышленниками (личное дело) Н Н 4 … ОК

Попадание в открытый доступ из-за ошибки оператора С В 7 … ОК

Искажение данных вирусом С С 6 … ИТ

27

Способы обработки рисков

Принятие риска Снижение риска Избегание риска Передача риска0

1

2

3

4

5

6

7

8

9 Приемлемый уровень риска

Меры управления

А.5 Политика в области безопасности А.12 Менеджмент компьютеров и сетейА.6 Организация системы безопасности А.13 Безопасность коммуникацийА7 Безопасность и персонал А.14 Приобретение, разработка и

обслуживание информационных системА.8 Классификация активов и управление А.15 Взаимоотношения с поставщикамиА.9 Управление доступом к системе А.16 Менеджмент инцидентовА.10 Криптография А.17 Обеспечение непрерывности

бизнесаА.11 Физическая и внешняя безопасность

А.18 Соответствие законодательству

Версия ISO 27001 Классов Мер управления Статус приложения

2005 11 133 обязательное

2013 14 113 нормативное

ISO 27001:2013. Приложение А

29

Примеры мер управления

A.6 Организация системы информационной безопасностиA.6.1 Внутренняя организация: , Задача создать управленческую инфраструктуру которая бы инициировала и управляла внедрением и функционированием системы информационной безопасности в рамках организацииA.6.1.1 Роли и ответственность в системе информационной безопасности

Должна быть определена и назначена вся необходимая для системы информационной . безопасности ответственность

, :Не по теме но заставляет задуматься У Вас определены права и ответственность системных , администраторов в части регистрации пользователей установки, , . .?ПО обновлений доступа к сетевому оборудованию и т д

30


A.8 Управление активамиA.8.1 Управление активами: Задача идентифицировать активы организации и определить , . соответствующую ответственность связанную с их защитой

A.8.1.4 Возврат актива Все сотрудники и сторонние пользователи должны вернуть все активы организации в ее распоряжение по окончании действия трудовых соглашений

, ? У Вас ведётся учет ноутбуков передаваемых сотрудникам У Вас ведётся учет USB-flash , накопителей передаваемых? сотрудникам Существует процедура выдачи и возврата(« »)?движение материальных активов

31


A.8 Управление активамиA.8.2 Классификация информации: , , Задача гарантировать что информация имеет уровень защиты . соответствующий ее значимости для организацииA.8.2.3 Управлениеактивами

Должны быть разработаны и внедрены процедуры для управления активами в соответствии с принятой в организации . классификацией информации

Обработка конфиденциальной информации на компьютерах( , ) например разработка конфиденциальных документов ? соответствует требованиям

32


A.8 Управление активамиA.8.3 Управление носителями информации: , Задача предотвратить несанкционированное раскрытие, , изменение удаление или порчу информации хранящейся на . определенном носителеA.8.3.1 Управление съемныминосителями

Должны быть внедрены процедуры управления сменными носителями в соответствии с принятой в организации классификацией. информации

Вы знаете кто и какую информацию переписывает на сменные? носители Вы знаете какие сменные носители подключаются к?компьютерам

33


A.9 Управление доступомA.9.2 Управление доступом пользователей: Задача гарантировать доступ только авторизованных пользователей и предотвратить несанкционированный доступ к . системам и услугамA.9.2.1 Регистрация пользователей и отмена регистрации

Должен быть внедрен надлежащим образом оформленный процесс регистрации и отмены регистрации, пользователей обеспечивающий возможность назначения прав.доступа

? ? Как Вы регистрируете права доступа По телефонному звонку « »?По электронному письму в свободной форме

34


A.9 Управление доступомA.9.2 Управление доступом пользователей: Задача гарантировать доступ только авторизованных пользователей и предотвратить несанкционированный доступ к . системам и услугамA.9.2.3 Управлениепривилегированны ми правами

Назначение и использование привилегированных прав доступа должно быть ограниченным и управляемым.

Ваши системные администраторы имеют доступ ко всем информационным системам по учетной записи AD? Ваши системные администраторы исполняют работу не связанную с необходимостью привилегированного доступа( пишут служебную записку в Word, « » читают свежую прессу винтернете) « »? под учетной записью Администратор

35


A.9 Управление доступомA.9.2 Управление доступом пользователей: Задача гарантировать доступ только авторизованных пользователей и предотвратить несанкционированный доступ к . системам и услугамA.9.2.6 Удаление или изменение правпользователя

Права доступа всех сотрудников и сторонних исполнителей к информации и устройствам обработки информации должны удаляться по окончании действия

? Как Вы удаляете уволившегося пользователя Откуда Вы берете ?информацию об увольнениях Как Вы изменяете права доступа сотрудников при переходе из ?одного подразделение в другое

36


A.9 Управление доступомA.9.3 Обязанности пользователя: Задача сделать пользователей ответственными за сохранение их . информации для аутентификацииA.9.3.1 Использование секретной информации дляаутентификации

Пользователям должно быть установлено требование следовать правилам организации в использовании секретной информации для аутентификации

Ваши пользователи хранят пароли на клейких листочках на?мониторе , У Вас настроены групповые политики устанавливающие ?сложность и длину паролей У Вас запрещено передавать свой пароль другим пользователям и?администраторам

37


A.9 Управление доступомA.9.4 Управление доступом к системе и приложениям: Задача предотвратить несанкционированный доступ к системам . и приложениямA.9.4.2 Безопасные процедуры входа всистему

, Там где это требуется политикой , управления доступом доступ к системам и приложениям должен осуществляться в соответствии с безопасной процедурой входа в. систему

Все ли информационные системы требуют идентификации и?аутентификации « » Не используются ли общие учетные записи для входа в?систему

38


A.11 Физическая безопасность и защита от природных угрозA.11.1 Охраняемая территория: Задача предотвратить несанкционированный физический, доступ повреждение и воздействие на информацию и средства . для обработки информации организацииA.11.1.1 Физический периметр безопасности

Периметры безопасности должны быть определены и использоваться для защиты мест нахождения ценной или особо важной информации и средств для . обработки информации

?Ограничен ли доступ в серверную ?Ограничен ли доступ в бухгалтерию ( , )?Ограничен ли доступ в ОК часть ОК где обрабатывается ПДн

39


A.11 Физическая безопасность и защита от природных угрозA.11.2 Оборудование: , , Задача предотвратить потерю повреждение кражу или . компрометацию активов и нарушение деятельности организации

A.11.2.5 Вынос активов , Оборудование информация или программное обеспечение не должны быть выноситься за пределы территории без . предварительного разрешения

? Установлены правила выноса ноутбуков Кто и как проверяет на« »? выходе ?Установлены ли правила хранения дисков с ПО

40



A.11.2.6 Безопасность оборудования и активов вне территории

Меры обеспечения безопасности должны применяться к активам вне, территории принимая во внимание различные риски работы вне . помещения организации

, Выдавая пользователю ноутбук для деловой поездки ему ?объясняют правила обращения с ним

По исследованиям InfoWatch « на первых местах среди ошибок »:сотрудников ведущих к потерям информации1. Потеря съемных носителей;2. Потеря мобильных устройств (в т.ч. в результате кражи).

41



A.11.2.7 Безопасное списание или повторное использование оборудования

, Все единицы оборудования , содержащие носители данных должны , , быть проверены чтобы гарантировать что любые ценные данные и имеющее лицензию программное обеспечение удалены или надлежащим образом переписаны до списания или . повторного использования ?На сданном после поездки ноутбуке стираются данные ( . . При передаче компьютера новому сотруднику в т ч при использование HDD ) в виде запчастей стираются ли данные ? ? предыдущего сотрудника Степень надежности Кто определяет (« » какой компьютер может пойти какому пользователю старый -компьютер директора > )?ведущему специалисту

42



A.11.2.8 Оставленное без присмотра пользовательское оборудование

Пользователи должны, гарантировать что у оставленного без присмотра оборудования . имеется соответствующая защита

Установлено ли групповыми политиками включение заставки при ? отсутствии активности Выход из режима заставки требует ввода?пароля

43


A.12 Безопасный ввод в эксплуатациюA.12.1 Эксплуатационные процедуры и обязанности: Задача гарантировать надлежащую и безопасную эксплуатацию средств обработки информацииA.12.1.2 Управление изменениями , -Изменения в организации бизнес, процессах средствах для обработки , информации и системах которые влияют на информационную, безопасность должны быть. управляемыми

, Участвует ли сотрудник отвечающий за безопасность в , . .? согласовании закупки и внедрения нового сервера ПО и т д У него есть соответствующие навыки и квалификация или он « »?подписывает по формальному признаку

44


A.12 Безопасный ввод в эксплуатациюA.12.4 Регистрация и мониторинг: , Задача фиксировать события чтобы обеспечиватьдоказательстваA.12.4.3 Регистрация действий администраторов и операторов

Должны быть зарегистрированы действия системных , администраторов и операторов логи должны быть защищены и . регулярно просматриваться

? Ведётся ли регистрация действий администраторов ?Администраторы имеют доступ к журналам ?Установлены права и ответственность на доступ к журналам

45


A.13 Сетевая безопасностьA.13.2 Передача информации: , Задача обеспечить безопасность информации передаваемой внутри организации и за ее пределыA.13.2.3 Передача электронных сообщений

, Информация передаваемая , электронными сообщениями должна быть соответственным . образом защищена

Информация о бенефициарах в головную компанию передается в ? ( , защищенном виде например зашифрована с помощью средств)криптографии

46


A.14 , Приобретение разработка и обслуживание системA.14.1 Требования по безопасности информационных систем: , Задача гарантировать что информационная безопасность является неотъемлемой частью информационных систем в . течение всего их жизненного цикла Это также относится и к , требованиям для информационных систем которые . предоставляют сервисы в общедоступных сетяхA.14.1.1 Анализ и спецификация требований по информационной безопасности

, Требования связанные с информационной безопасностью должны быть включены в требования для новых информационных систем или расширения к существующим информационным системам

? ? Включаются Кто их разрабатывает Имеет ли сотрудник ? соответствующие навыки и опыт Установлены ли требованиям к ?навыкам и опыту в его ДИ

47


A.15 Отношения с поставщикамиA.15.1 Информационная безопасность в отношениях споставщиками: , Задача гарантировать защиту активов организации которые доступны поставщикамA.15.1.1 Политика информационной безопасности в отношениях с поставщиками

Требования по информационной , безопасности для снижения рисков связанных с доступом поставщиков , к активам организации должны быть согласованы с поставщиками идокументированы

Установлены требования по ИБ для обслуживания сторонними ( , поставщиками информационных систем предприятия например1 : )? , С Бухгалтерия Эти требования согласованы с поставщиками ? доведены до них

48


A.16 Управление инцидентами в сфере информационной безопасностиA.16.1 Управление инцидентами информационной безопасности и улучшения: , Задача избегать нарушений законодательных нормативных и , иных обязательных требований или договорных обязательств , имеющих отношение к информационной безопасности а также любых требований по безопасностиA.16.1.7 Сборсвидетельств

Организация должна определить и применять процедуры для, , идентификации сбора получения и , сохранения информации которая может служить в качестве свидетельств

? Собирается ли информация о событиях ИБ Установлены , . .?процедуры сбора хранения и т д

49


A.18 СоответствиеA.18.1 Соответствие законодательным и договорными требованиям: Задача гарантировать последовательный и результативный подход к управлению инцидентами информационной, , безопасности включая информирование о событиях связанных с, безопасностью и уязвимостяхA.18.1.2 -Права интеллекту альнойсобственности

Соответствующие процедуры , должны быть внедрены чтобы гарантировать соответствие, законодательным нормативным и , договорным требованиям связанным с правами на интеллектуальную собственность и использованием программных, - продуктов являющихся чей то собственностью

?Кто исследует реальные потребности пользователей в части ПО

50


A.18 СоответствиеA.18.2 Анализ информационной безопасности: Задача гарантировать последовательный и результативный подход к управлению инцидентами информационной, , безопасности включая информирование о событиях связанных с, безопасностью и уязвимостяхA.18.1.2 Независимый анализинформационно й безопасности

Подход организации к управлению информационной безопасностью и его ( . . , реализация т е целевые задачи , , средства управления политики процессы и процедуры по ) информационной безопасности должны анализироваться независимым образом в запланированные интервалы времени , или в тех случаях когда происходят . существенные изменения

Кто проводит проверку результативности внедренных мер?безопасности

51

!СПАСИБО ЗА ВНИМАНИЕ

Чучаев Сергей Викторович[email protected]

Построение СУИБ на основе iso 27k

Technology