Информационная безопасность крупной

корпорации

С чего начать и чем закончить?

Сергей Солдатов

Преамбула

• В презентации НЕ БУДЕТ:• Конкретных решений конкретных вендоров

• Названий конкретных компаний

• Привязки к отрасли

• Но БУДЕТ:• Альтернативный взгляд на привычные вещи

• Многие моменты проверены на практике

• Возможны гиперболы

Краткий план

• Эволюция подходов к обеспечению ИБ в Компании: с чего обычно начинают, к чему со временем приходят

• Типовые заблуждения

• Как можно делать ИБ, если понимания в ее необходимости нет

• Как развить понимание необходимости ИБ

Эволюция ИБ в Компаниии типовые заблуждения

Эволюция ИБ в Компании (по видению)

«Что бы поделать?»

• Участие везде

• Нет стратегии

• Не определена ответственность

«Против ИТ»

• Выполнение технических сервисов ИТ

• «Конфликт интересов» с ИТ

• Низкое качество сервисов ИТ для потребителей

• Уклон в сопровождение инфраструктуры

• Нет мониторинга

• Нет аудита

«Сервис ИТ»

• Выполнение технических сервисов ИТ

• Па факту –подразделение ИТ

• Уклон в сопровождение систем ИБ

• Мониторинг инфраструктуры

• Аудит инфраструктуры (?)

«Сервис бизнеса»

• Все технические сервисы переданы в ИТ

• Технический сервис ЭБ

• Уклон в мониторинг бизнес-транзакций

• Аудит соответствия

Эволюция ИБ в Компании (по видению)

«Что бы поделать?»

• Участие везде

• Нет стратегии

• Не определена ответственность

«Против ИТ»

• Выполнение технических сервисов ИТ

• «Конфликт интересов» с ИТ

• Низкое качество сервисов ИТ для потребителей

• Уклон в сопровождение инфраструктуры

• Нет мониторинга

• Нет аудита

«Сервис ИТ»

• Выполнение технических сервисов ИТ

• Па факту –подразделение ИТ

• Уклон в сопровождение систем ИБ

• Мониторинг инфраструктуры

• Аудит инфраструктуры (?)

«Сервис бизнеса»

• Все технические сервисы переданы в ИТ

• Технический сервис ЭБ

• Уклон в мониторинг бизнес-транзакций

• Аудит соответствия

Эволюция ИБ в Компании (по модели OSI?)

• Различные вариантыЧто бы поделать?

• Сетевое оборудование (маршрутизаторы, МЭ, АСО*, VPN)

• Почтовые шлюзы, HTTP(S)/FTP-прокси

• Выделенные системы ИБ (IDS/IPS, сканеры, пр.)Инфраструктура

• Мониторинг работы бизнес-пользователей

• Контроль Проектов и Изменений

Бизнес-приложения

• Анализ бизнес-процессов, прогнозирование сценариев атак\мошенничества, проектирование контролей ИБ

• Расследование инцидентов ИБ => корректировка контролей

• Аудит и оценка эффективности контролей ИБ

Бизнес-процессы

* Активное сетевое оборудование

Эволюция ИБ в Компании (глазами пользователей)

А они есть?

Полностью незаметно

Полное непонимание

Исключительно негатив

Полный или частичный

запрет всего

Вредительство

Как к ИТ

Неотличимо от ИТ

Равноправная БФ

Экспертиза в предметной

области

Помощь

« К а р а т е л ь н а я » ф у н к ц и я

«По видению» -- «По модели OSI» --«По отношению пользователей»

? Против ИТ Сервис ИТ Сервис бизнеса

Инфраструктура Бизнес-приложения? Бизнес-процессы

? Негатив Как к ИТ Равноправная БФ

Шкала времени

Этап становления («?»)

• Compliance – все

• Активный поиск врагов…

• Подмена «соответствует» на «безопасно»

• … и они находятся рядом

• Парадоксальные выводы

Индикаторы Проблемы Последствия

«Против ИТ». Индикаторы, Проблемы и последствия.

• СИБ сама обслуживает системы ИБ.

• «Навесные решения»

• Нет общего SLA с ИТ перед бизнесом

• Рассогласование работы оборудования ИТ и ИБ

• Неоптимальные решения

• Высокие накладные расходы на коммуникации

• Низкий уровень доступности сервисов ИТ

• Высокая трудоемкость обеспечения качества сервиса

Индикаторы Проблемы Последствия

Основные заблужденияКорпоративный стандарт неприкосновенен

Это такой же контроль, как и любой другой.

Compliance – основа построения СУИБ

Compliance – побочный продукт

Основная угроза - ИТНелояльность админа не компенсируется исключительно техническими контролями.

«Доверенно» == «Самостоятельно»

Нехватка ресурсов => снижение уровня сервиса => снижениеуровня ИБ

Потребность в сервисе – личное желание (не желание) пользователя

Пользователь решает свои бизнес задачи(без понимания бизнес-процессов утверждать обратное –безосновательно, в т.ч. и права «в прок»)

Основной уклон в запрещениеИмея минимальный доступ к информации (чтение) всегдаможно ее унести

Цель управления Инцидентами – найти нарушителя

Цель – выработать и реализовать меры по не повторению

Сервис вместо отсутствия

Защита данных

в ИС

Защита данных на АРМ

Контроль АРМ*

Информационныепотоки с и на

Мотивированный нарушитель:Запрет не остановит мотивированного нарушителя, однако отсутствие запрета позволит эффективно его выявить и собрать доказательную базу

«Нарушитель»

Непросвещенный пользователь:Эффективнее использовать другие мероприятия (обучение, оценка знаний, пентесты социнженерии)

ИБ только тогда эффективна, когда интегрирована на всех уровнях бизнес-процесса => каждый его участник несет свой вклад в обеспечение ИБ => эффективность ИБ достигается только при участии каждого, когда каждый играет правильную роль правильно.

* АРМ == Endpoint

«Против ИТ». Индикаторы, Проблемы и последствия.

• СИБ сама обслуживает системы ИБ.

• «Навесные решения»

• Нет общего SLA с ИТ перед бизнесом

• Рассогласование работы оборудования ИТ и ИБ

• Неоптимальные решения

• Высокие накладные расходы на коммуникации

• Низкий уровень доступности сервисов ИТ

• Высокая трудоемкость обеспечения качества сервиса

Индикаторы Проблемы Последствия

«Сервис ИТ». Индикаторы, Проблемы и последствия.

• СИБ сама обслуживает системы ИБ.

• «Навесные решения»

• Есть общий SLA с ИТ

• Согласованная работа систем ИТ и ИБ

• Неоптимальные решения

• Оптимизированы коммуникации

• Нормальный уровень сервиса

• Нормальная трудоемкость

Индикаторы Проблемы Последствия

«Сервис ИТ». Индикаторы, Проблемы и последствия.

• СИБ сама обслуживает системы ИБ.

• «Навесные решения»

• Есть общий SLA с ИТ

• Согласованная работа систем ИТ и ИБ

• Неоптимальные решения

• Оптимизированы коммуникации

• Нормальный уровень сервиса

• Нормальная трудоемкость

Индикаторы Проблемы Последствия

Переходный период «инфраструктурной» к «бизнес-процессной» ИБ

IDPS VM FW

Сетевая ИБ

MС

ACA

CM

CM

Бизнес-приложения

Переходный период «инфраструктурной» к «бизнес-процессной» ИБ

IDPS VM FW

Сетевая ИБ

MС

ACA

CM

CM

Бизнес-приложения

Пр

оек

ты

Изм

енен

ия

Целевое состояние и пути к нему

Целевое состояние ИБ («процессная ИБ»)

Бизнес-процесс 1

Бизнес-процесс 2

Бизнес-процесс i

Бизнес-процессы ИТ

Бизнес-процессы безопасности

Бизнес-процесс 1

Бизнес-процесс 2

Бизнес-процесс i

Бизнес-процессы ИТ

Безопасность

Безопасность

Безопасность

Безопасность

Си

стем

а у

пр

авл

ени

я

Обеспечение инфраструктурной ИБ

Распределение обязанностей внутри ИТ

IDPS

VM

FW

С ACА

уди

т

Изм

енен

ия

Пр

оек

ты

Mо

ни

тор

ин

г

VM

Operations ИТ Operations ИБ

Бизнес-приложения

Инфраструктура

Проекты. Что это такое?Проект Изменение

Формально стартованНе имеет формального старта, но дату поступления запроса

Выполняется выделенной проектной командой

Выполняется ресурсами существующих операционных подразделений

Всегда финансируется отдельноВыполняется в рамках существующих сервисных договоров

Операционные подразделения –члены проектной команды, могут выполнять любые работы

Операционные подразделения выполняют работы, заявленные в их SLA в соответствии с требованиями эксплуатационной документации (Инструкции администраторов и т.п.)

Сроки регулируются планом проекта

Сроки регулируются SLA

Предпосылки ИБ в проектах

Интегрированная безопасность эффективнее «навесной»

Вопросы безопасности

адресовать непосредственно в

проекте

Эксперт по ИБ – в составе проектной

команды

Дополнительно:

• Требования безопасности не всегда очевидны

• Зачастую следует выбирать компромиссное решение, основанное на анализе рисков

• Требуется хорошая экспертиза в предметной области

ИБ в проектах

Что есть в наличии:• NIST SP800-64R2: Security Considerations in the System Development

Life Cycle

Бизнес-потребность

ИТ

Бизнес

ИБАнализ рисков*

Разработка ИТ-решения Информационная

система

Реализовано в системе Требуетсядополнительно

Необходимые контроли безопасности

Дорабтки

Аудит

ИБ

* Автоматизируемого БП

Аудит в проектах, и не только

Аудит соответствия Тест на проникновение

Проверяет соответствие требованиям\критериям

Проверка возможности осуществления атаки

Легко автоматизируется Не очень

Не требователен к квалификации

Требует практический опыт

Приводит к изменению в системе

Приводит к изменению требований\критериев

Заключение об участии в проектах

• Очевидный способ выхода на уровень бизнес-процессов

• Очевидный способ строить интегрированную безопасность

• Очевидный способ участвовать в построении целевой архитектуры ИТ

• Очевидный способ «идти в ногу» с ИТ

Что делать пришедшему в поле?

Типовой план

• Определение ключевых бизнес-процессов

• Изучение бизнес-процессов

• Определение рисков

• Определение мероприятий по снижению рисков (1)

• Выявление существующих контрольных процедур (2)

• Gap-анализ (1) и (2)

• План построения нового, доработки существующего

Что делать?

• Аудит:• Интервью

• Изучение ОРД и пр. *РД

• Технологический аудит

• Справочники контролей:• NIST SP800-53

• ISO 2700*

• CobIT

• ….

• Взять у кого это уже есть

Чем делать?

Типовой план

• Определение ключевых бизнес-процессов

• Изучение бизнес-процессов

• Определение рисков

• Определение мероприятий по снижению рисков (1)

• Выявление существующих контрольных процедур (2)

• Gap-анализ (1) и (2)

• План построения нового, доработки существующего

Что делать?

• Аудит:• Интервью

• Изучение ОРД и пр. *РД

• Технологический аудит

• Справочники контролей:• NIST SP800-53

• ISO 2700*

• CobIT

• ….

• Взять у кого это уже есть

Чем делать?

неТиповой план

Мониторинг Инфраструктура Периметр Зоны Внутри*.info

Управление инцидентами

1 Первый контроль ИБ

РасследованияПланирование

2

3

4

Новые контроли ИБ

Интеграция в процессы

ij

k

Мониторинг бизнес-приложений

Мониторинг транзакций

Аудит

СУИБ == совокупность контролей из operations

http://reply-to-all.blogspot.ru/2013/01/blog-post.html

Основные заблужденияПридумывание СУИБ можно поручить Интегратору (*)

Если вам известно мало, то Интегратору – еще меньше

Комплексный подходВажно давать как можно больше результата, как можно раньше. Актуальность решения может значительно меняться во времени

Compliance и сертифицированные решения – основа ИБ

Соответствовать не значит быть безопасным.

Выбор лучших в классе Интегрированность\Управляемость - важнее

Все можно зааутсорсить Закон сохранения трудоемкости\сложностиhttp://reply-to-all.blogspot.ru/2012/04/blog-post_19.html

Борьба с атаками нулевого дня Оставьте это производителям ПОhttp://reply-to-all.blogspot.ru/2014/03/0-day-apt.html

Борьба с АНБ Оставьте это ФСБhttp://reply-to-all.blogspot.ru/2014/01/blog-post_15.html

Функциональные тендеры Простое превращение CapEx в OpExhttp://reply-to-all.blogspot.ru/2014/04/blog-post.html

Сервис вместо отсутствия: продолжение

Мотивированный нарушитель: не останавливается запретом

«Нарушитель»

Пользователь

Работа с Интернет Работа на АРММинимум функционалаМинимум полномочийМинимум …..

Альтернативные маршруты в Интернет

Работа на альтернативных АРМ

Прощай, периметр! Прощай, данные! Здравствуй, зло «из дома»!

П р о щ а й , к о н т р о л ь !

Что можно аутсорсить (критерии)?

• Критичность сервиса

• Ситуация с предложением на рынке

• Внутренние компетенции

• Степень соответствия Стратегии

• Степень формализации требований

• Себестоимость

• Стоимость управления и контроля

Выработали критерии

Пропустили через них все работы

Определили что продать

Проводите такую оценку регулярно

http://reply-to-all.blogspot.ru/2012/02/blog-post.html

Инсорсинг == Аутсорсинг || Аутстаффинг ?

Нап

рав

лен

ие

1

Нап

рав

лен

ие

2

Нап

рав

ле

ни

е i

Нап

рав

лен

ие

n

Лидер 1 Лидер 2 Лидер i Лидер n

С т р а т е г и я Корпорация

ИнсорсерАутстаффинг

Аутсорсинг

Штат

Спасибо за Ваше внимание!

Сергей Солдатов, CISA, CISSP

reply-to-all.blogspot.com