ИСО 27001 на практике, или будни внедренца

ИСО 27001 на практике, или будни

внедренца СУИБАлексей Евменков, isqa.ru

30.03.2016

Аннотация• Стандарт ISO/IEC 27001:2013 – все слышали,

мало кто видел• Сложность темы ИБ находит отражение в

стандарте. Полное внедрение ISO 27001, с использованием всех рекомендаций - потребует годы для средней организации.

• Как создать с нуля сбалансированную СУИБ, как выбрать только реально необходимые защитные меры и как правильно внедрить процессы ИБ?

Аннотация2Глаза боятся, руки делают

Представление• Специалист по ИБ (CISM), по

процессам и качеству в ИТ области• Внедряю и подготавливаю к

сертификации - ИСО 27001 и 9001• Первая в РБ ИСО 27001 сертификация

(в2008г, Tieto)• Консалтинг и сертификации РБ,

Россия, Финляндия, Швеция, Прибалтика

• Проекты интеграций компаний• Профессиональный аудитор по ИБ

и процессам

Цель/Статус?• Внедрить с нуля

• Уже внедряю, интересна вот эта деталь..

• Давно все внедрено

• Нет, я только посмотреть)

Когда необходим ИСО 27001?

• Требование заказчика• Обязательное условие для участия в тендере• Заказчик хочет быть уверен в сохранности своих данных

• Желание организации• Необходимо повысить защищенность от рисков• Уменьшить количество и стоимость инцидентов• Создать позитивный бизнес-образ, безопасный и

современный

Термины

Термины - ИБ• Информационная Безопасность (ИБ) - свойство

информации сохранять конфиденциальность, целостность и доступность.

• Иногда добавляются:• Неотказуемость,• Подотчетность• Аутентичность• Достоверность

Пример актива?

ISO 27001:2013 – что нового• Более структурированный, уменьшено кол-во

контролов 133->114• Термины перенесены в 27000 – вышла версия в

2016• Гармонизация с другими стандартами (а 9001 в

свою очередь ввели понятие рисков)• + владелец рисков• - записи • - превентивные

меры

Источник картинок: ISO27001 Academy

ISO 27001:2013 – что новогоВ целом, более удобный и читабельный стандарт

Источник картинок: ISO27001 Academy

Хороший обзор «что нового» в ISO 27001:2013

СМИБ – общая схемаПланирование и мониторинг целей

Требования ИСО 27001

Политики и процедуры СМИБ

Корр

екти

рую

щие

им

еры

Управление рисками

Аудиты

Измерения, метрики Комплекс защитных

мер

СМИБ – защитные мерыИБ в управлении персоналом

Управление активами

Управление доступом Организация ИБ

Криптография

Физическая безопасность

Антивирусная защита ПО

Резервное копирование

Логи и мониторинг

Управление сетевой безопасностью

ИБ при разработке ПО

ИБ при работе с поставщиками

Управление инцидентами

Управление непрерывностью бизнеса

Соответствие требованиям регуляторов

114 защитных мер

Как внедрять СУИБ

Как внедрять СУИБ• Как проект• Команда проекта, бюджет, ответственность

Как внедрять СУИБ

• Первоначальный аудит• Планирование на основе аудита• Обработка рисков• Уточнение плана • Внедрение защитных мер, согласно плана• Запуск СУИБ• Сертификация СУИБ• Эксплуатация СУИБ

12345678

Первоначальный аудит• Чеклист по основным элементам ИСО 27001, по

всем защитным мерам 27002• Желательно привлечение технического

специалиста для проверки сети, технических защитных мер

• Результат – набор замечаний, входной материал для составления плана

1 аудит

Предварительный план проекта• Подготовка плана

• на основании результатов аудита • чеклист аудита – и есть основа плана

• Список связанных под-проектов• СКУД, охранная сигнализация, вентиляция и т.п.

2 план

Ценность анализа рисковПосле трагедии 11 сентября• В первые три месяца после атаки количество

машин выросло более чем на 5 %• Увеличилось кол-во дорожных инцидентов• За 12 мес. погибло на 1600 человек больше

средних значений• Что в 6 раз превышает общее количество

пассажиров (256), погибших в результате авиакатастроф 2001 года

• В 2002–2005 гг. 2,5 млрд человек воспользовались в США коммерческими авиарейсами. Ни один из них не погиб в крупной авиакатастрофе

3 риски

Ценность анализа рисков• Экономия $, времени, ресурсов• Улучшение планирования, повышение

эффективности• Основание для принятия объективного решения

3 риски

Без рисков скучно«Если бы наш мир когда-нибудь обрел полную определенность, наша жизнь стала бы невыносимо скучной»

Книга Понимать риски. Как выбирать правильный курс

3 риски

Риски Угроза: нарушение лицензионности, использование чужого кода

Уязвимость: Из-за отсутствия необходимых знаний у членов команды

Актив: программные компоненты (deliverables)

Защитная мера: проведение тренингов, постоянная коммуникация, процедурная поддержка

3 риски

Что нужно защищать?

Управление рисками• Управление активами – основа для управления

рисками• Количественное управление рисками• Создание рисков через CIA модель

3 риски

Пример рассчета риска

Актив = Интернет соединение

С I A

4 3 4

Lk Im E=Av*Lk*Im

2 ср.частота

4 Оч. серьезно 3.67*2*4=29.36

Av=3.67

Risk exposure range (E=Av*Lk*Im)

Risk Rank

0-12 Low

13-24 Medium

25-64 High

Потеря интернет соединения -> из за выхода из строя локального сетевого оборудования

29.36 = High risk

3 риски

Пример: хранение и распространение контрафакта• 9.21 КоАП «Нарушение авторского права, смежных прав и права

промышленной собственности» http://news.tut.by/society/481405.htmlАктив: репутация Компании

Угроза: потеря репутации компании, финансовые потери

Уязвимость: неосведомленность сотрудников Компании (неосмотрительное пользование интернетом)

Анализ риска: штраф до 200БВ+300БВ (42млн+63млн=105млн)Сотрудники часто пользуются торрентами, и позволяют с себя скачивать (т.е. распространять). Риск СРЕДНИЙ (принимаем защитные меры)

Сотрудник заливает с торрента клип, публикует в VK.

Защитные меры: • Немедленная нотификация сотрудников, объяснить ответственность сотруд-в• Включение в регулярные тренинги правил работы в интрернете (торрент, соцсети+)• Письмо в "отдел К" или OAЦ, что нам предпринять для защиты наших периметров• Запустить под-проект в ИТ отделе – ограничение трафика торрентов• Связаться с коллегами из ПВТ – перенять опыт

3 риски

Пример: указ №98Указ № 98 «О совершенствовании порядка передачи сообщений электросвязи» от 15.03.2016г http://42.tut.by/488762

Актив: репутация КомпанииУгроза: потеря коммуникации с зарубежным заказчиком

Уязвимость: несоответствие текущих конфигураций IP телефонии новому законодательству (?)

Анализ риска: под ударом – IP телефония. Владельцы Viber и Skype должны заключить договоры о взаимодействии с белорусскими операторами?Какие штрафы? Могут заблокировать IPs? Рекомендации ОАЦ?

Использования IP-телефонии для коммуникации с зарубежными заказчиками

Защитные меры: • ? Мало информации• Ждем разъяснений

3 риски

Уточнение плана (создание плана обработки рисков)Вопрос. До какой степени внедрять защитные меры ИСО 27002?

4 план+

Как внедрять защитные меры• Например физическую безопасность• Или непрерывность бизнеса (BCP)• Или инциденты

5 внедрение

5 внедрениеТяжелый и легкие подходы

Определяем контекст

• Организация• Большая-маленькая• Один офис-несколько, в

разных локациях?

• Офис• Опен-спейс/комнаты• Делится с другими

организациями?

• Какие активы защищаем?• Наличие серверной, закрытых

зон? (в первую очередь речь об информации

• Средняя, 300 сотрудников• Три офиса, в разных

городах

• И опен-спейс и комнаты• Нет

• Да , серверная, склад, финансовый отдел

Цель – очертить периметр, в котором будет контролируемый уровень физич. безопасности

Разрабатываем концепцию, описываем• Раз офисов несколько, и вероятно дальнейшее

развитие, то разрабатывам стандарт физической безопасности

• Минимальные требования, стартовая точка для всех офисов

• Контент: физический периметр, зонирование, охранная сигнализация, СКУД, видеонаблюдение и т.п.

• Разрабатываем политику физической безопасности для центрального офиса

• Конкретика для конкретного офиса, где, кто, что• Конфиденциальный документ

5 внедрение

Примеры5 внедрение

Внедрение

• Доработка где требуется• Дополнительные камеры видеонаблюдения• Установка охранной сигнализации на закрытые зоны• Бейджи?• Строительные работы

• Публикация• Тренинги для владельцев зон, для сотрудников• Периодические проверки, корректировки

• Включить в периодические аудиты

5 внедрение

Повторить цикл для следующей защитной меры:)

5 внедрение

Еще пример - внедрение технического аудита

• Penetration testing• Анализ сети, конфигураций оборудования

• Делаем через проект – с привлечением специалистов (заслуженных)

• Либо создаем внутреннюю команду из подходящих специалистов

Кадры решают все

5 внедрение

На чем не стоит (чрезмерно) заморачиваться• Политика ИБ

• Становится формальностью при хорошем комплекте документации

• Анализ со стороны руководства • Замещается регулярными совещаниями с руководством

5 внедрение

Запуск СМИБ

• Управление целями в области ИБ, практическое лидерство руководства организации

• Разработка и внедрение системы метрик ИБ• Внутренние аудиты ИБ• Тренинги, создание культуры ИБ в организации• Анализ со стороны руководства

6 запуск

Сертификация СМИБ• Требуемый уровень «международного

признания»• Система аккредитации – ANAB, UKAS, DAkkS и др.

Орган сертификации Система сертификации

BSI ANABBureauVeritas UKASРусский Регистр ANABDNV UKASБелГИСС DakkS

Список систем аккредитации: http://www.iaf.nu/articles/Accred_Body_Members_by_Name/52

7 сертификация

ЭксплуатацияСМИБПрио Активность Пер. КомментарииHigh Управление целями ИБ Cont. Регулярные совещания с руководством, внутренние

совещания. Планирование и улучшение СМИБ.High Управление рисками Cont. Постоянный анализ рисковHigh Управление инцидентами Cont. Регистрация и реагирование на инцидентыMed Внутренние аудиты Cont. Планирование и проведение аудитовMed Технический аудит Cont. Анализ сети и конфигураций оборудования, pen. testing.Med Измерение эффективности

защитных мер (метрики)Cont. Разработка и внедрение метрик ИБ, отчетностьи

High BCP тестирование Year. Планы по обеспечению непрерывности бизнеса - разработка и тестирование.

High Анализ со стороны руководства Year. Подготовка и проведение.High Проекты ИБ Cont. Участие в ИБ проектах, например установка лог. и

мониторинга событий для критических ИС. Внедрение DLP+

High Повышение осведомленности персонала, тренинги ИБ

Cont. Программа тренингов ИБ на разных уровнях

High Взаимодействие с заинтересованными сторонами

Cont. Письма / фидбек от сотрудников. Информация от вендоров.

Low Анализ и обновление документации СМИБ

Cont. Постоянная активность - актуализация и гармонизация документации.

Med Подготовка и прохождение сертификационных и подтверждающих аудитов

Year. Как правило, запускается в виде отдельного под-проекта.

8 эксплуатация

Что делает Менеджер ИБ (команда ИБ после

сертификации?)

Заключение

Дисклаймер

Авторский курсВнедрение СМИБ

Расширенная практическая часть, руководство по внедрению ИСО 27001

и защитных мер из ИСО 27002

3 дня, 6-8 апреля 2016г.http://edu.softline.by/courses/smib.html

Алексей Евменков, CISMisqa.ruevmenkov@gmail.com