пр стандарты и «лучшие практики» в иб (прозоров)

Прозоров АндрейВедущий эксперт по информационной безопасности

Стандарты и «лучшие практики» в ИБ:Чем отличается мировой опыт от подходов российских регуляторов?

Для DLP–Russia 09-2013

Понимание требований к ИБ и применение «лучших

практик» крайне необходимо для управления и обеспечения ИБ

1. Куда развиваются требования и рекомендации по ИБ в России и Мире?

2. В чем сходство и различия подходов к ИБв России и Мире?

О чем эта презентация?

Законодательство и подходы к регулированию ИБ

Развитие ИТ

Научная база

Мировой опыт и «лучших практики»

Развитие в параллельных областях знаний(управление рисками, управление проектами, управление ИТ, управление непрерывностью и пр.)

Что влияет на развитие требований и «лучших практик» ИБ?

Защита ПДн:

152-ФЗ (07.2011) -> ПП 1119 -> Приказ ФСТЭК России №21 Отмена ПП 781 и Приказа ФСТЭК России №58

Важные обновления: Переход от классов ИСПДн к Уровням защищенности ПДн Изменилась процедура выбора мер защиты, в том числе «с учетом

экономической целесообразности» Изменился (расширился) набор мер и средств защиты Появились дополнительные меры, направленные на снижение

актуальных угроз к 1 и 2 типа (НДВ) Пересмотрены требования к классам сертифицированных СЗИ Прописана возможность привлечения лицензиатов ФСТЭК для

выполнения работ ИБ

Изменения в подходах ИБ (РФ) 1

ФСТЭК России: Приказ №17 (ГосИС) Ожидаем:

Методический документ. Меры защиты информации в государственных информационных системах(разъяснение требований Приказов ФСТЭК России № 17 и №21)

Порядок моделирования угроз безопасности информации в информационных системах

… Кстати, СТР-К никто не отменял…

Ожидаем обновления и расширения требований по НПС, СТО БР ИББС, PCI DSS

Изменения в подходах ИБ (РФ) 2

Гармонизация требований к системам управления в ISO

Ожидаем обновление ISO 27001 и ISO 27002 (2013)

Ожидаем обновление PCI DSS

Обновились документы: COBIT 4.1 стал COBIT 5 (05-2012) SANS «20 Critical Security Controls for Effective Cyber

Defense» (v.4.1, 03-2013) NIST SP 800-53 «Security and Privacy Controls for Federal

Information Systems and Organizations» (v.4, 04-2013)

Смежные отрасли: PM: PMBOK обновлен до 5 версии (2013) BCM: Пересмотрен BS 25999 и утвержден ISO 22301 (2012) ITSM: Происходит «укрепление» ITILv3 и ISO 20000

Изменения в подходах ИБ (Мир)

1. Доступность и популярность документов

2. Удобная структура документов

3. Открытость, наличие ссылок на авторови возможность комментирования при разработке

4. Дополнительные ссылки, маппинг, обзор изменений

5. Рекомендации и обсуждение

6. Возможность сертификации специалистов и компаний

7. Ориентир на управление рисками

8. Процессный подход

9. Комплексность и Системность

10. Анализ и Контроль

11. Необходимость постоянного совершенствования

Что характерно «западным» стандартам по ИБ? 1

Уже давно

В последних версиях документов:

Связь с целями бизнеса (+Governance), понимание ожиданий заинтересованных лиц (stakeholder)

Фокус на «человеческий фактор» и Лидерство

Управление знаниями

Больше конкретики и примеров

Гармонизация с другими стандартами и «лучшими практиками»

Что характерно «западным» стандартам по ИБ? 2

СТО БР ИББС и «переводные» ГОСТы развиваются в правильном направлении.А что с подходом ФСТЭК?

В Мире: Управление рисками – важная идея в ИБ Много методических материалов и рекомендаций Организации могут сами выбирать допустимый уровень риска и

подход (принятие, снижение, передача и избегание риска).

В РФ: Рисковый подход набирает популярность

(но подход через «актуальные угрозы») Практически нет методических материалов ИБ-специалисты пренебрежительно относятся к

управлению рисками Анализ рисков – формальное требование, а

не механизм выбора мер защиты

Управление рисками

Что в «западных стандартах»: Входы и Выходы процессов Связь процессов Ответственность (RACI-chart) Четкая последовательность шагов Документы и записи

Что в РФ: Необходимо «выискивать» процессы по тексту документа Упомянутых процессов стало больше (например,

упр.инцидентами и событиями, упр.конфигурацией и другие) Практически отсутствуют рекомендации и примеры Процессный подход сложен для понимания (особенно после

привычки использования «объектно-ориентированного» подхода)

Процессный подход

Комплексность и системность

1. Принципы, политики и подходы

2. Процессы3. Орг.

структуры

4. Культура, этика и

поведение

5. Информация6. Сервисы,

инфраструктура и приложения

7. Люди, и компетенции

Ресурсы

Одна из лучших моделей комплексного подхода (COBIT5):

В РФ аналогов нет, комплексность и системность обычно подразумевается, но не прописана в документах…

В Мире: Примеры: Аудит (внутренний и внешний), тестирование на

проникновение, измерение ИБ, анализ со стороны руководства Требования четко прописаны в основных комплексных

стандартах, много методических документов и рекомендаций

В РФ: Термины «контроль», «оценка эффективности», «анализ»,

«аудит» точно не определены и часто перепутаны.Есть намек на аттестацию ИС…

Нет методических материалов Нет работы «над ошибками»

Анализ и Контроль

В Мире: Совершенствование ИБ – важный и непрерывный процесс

В РФ: Требований по пересмотру ИБ и совершенствованию практически нет

(единичные упоминания без конкретных сроков пересмотра) Нет требований по пересмотру модели угроз Нет измеримых целей и задач ИБ Нет требований по измерениям ИБ

Совершенствование ИБ

ISO NIST COBIT5

Основной драйвер – новые требования и санкции

регуляторов

В каком направлении развиваются подходы к ИБ в Мире?

ISO/IEC 27001:2005 «Information technology. Security techniques. Information security management systems. Requirements» (Система управления информационной безопасности. Требования)

Аналог ГОСТ 27001:2006

ISO 27001

История изменений:• 1995 год: разработан BS 7799-1• 1998 год: разработан BS 7799-2 • 1999 год: пересмотр и гармонизация

BS 7799-1 и 2 с ISO 9001• 2002 год: пересмотр BS 7799-2

(в частности, добавили PDCA)• 2005 год: пересмотр BS 7799-2 и принятие в

качестве ISO 27001:2005

• Ожидаем ISO 27001:2013 (и 27002 тоже)

Акцент на «Interested parties» («заинтересованные лица»).Странно, что не используется термин «stakeholders»

Вместо п.5 «Приверженство руководства» стал пункт «Лидерство»

п.5.2 «Управление ресурсами» перешел в п.7 «Поддержка» («Support»).В нем про предоставление ресурсов, наличию компетенций, повышение осведомленности и управление коммуникациями (новое)

Упрощен подход к оценке рисков и управлению документами

Пересмотрен перечень механизмов контроля: 6 новых, 24 убрали

Пересмотрен перечень и содержание доменов:

Отдельный акцент на безопасность моб.устройств и удаленную работу

ISO 27001-2013: Что нового?

A.5 Security PoliciesA.6 Organization of information securityA.7 Human resource securityA.8 Asset managementA.9 Access controlA.10 Cryptography A.11 Physical and environmental securityA.12 Operations security

A.13 Communications securityA.14 System acquisition, development and maintenanceA.15 Supplier relationshipsA.16 Information security incident managementA.17 Information security aspects of business continuity managementA.18 Compliance

COBITControl Objectives for Information and Related TechnologyЗадачи информационных и смежных технологий

2005/720001998

Evo

lutio

n of

sco

pe

1996 2012

Governance of Enterprise IT

COBIT 5

IT Governance

COBIT4.0/4.1

Management

COBIT3

Control

COBIT2

Audit

COBIT1

Val IT 2.0(2008)

Risk IT(2009)

В основе лежат «5 принципов»

Простроена связь целей бизнеса с целями ИТ

Пересмотрены процессы

Пересмотрен комплексный подход (enablers – «движущие силы»)

Разделены понятия «Governance» (руководство) и«Management» (управление)

Много книг, в том числе дополнительные: COBIT5 for Information Security Securing Mobile Devices Using COBIT5 for IS Transforming cybersecurity Using COBIT5 Vendor Management Using COBIT5 Configuration Management Using COBIT 5 

Маппинг с основными стандартами (ИТ и ИБ)

Много рекомендаций и примеров

COBIT5:Что нового?

В каком направлении развиваются подходы к PM, BCM и ITSM?

Свод знаний по управлению проектами PMBoK(Project Management Body of Knowledge)Разработчик - PMI (Институт управления проектами)

Переход с 4 версии (2008) на 5 (2013)

10 областей знаний: Project Integration Management – Управление интеграцией Project Scope Management – Управление содержанием Project Time Management – Управление временем Project Cost Management – Управление стоимостью Project Quality Management – Управление качеством Project Human Resource Management – Управление

человеческими ресурсами Project Communications Management – Управление коммуникациями Project Risk Management – Управление риском Project Procurement Management – Управление закупками Project Stakeholder management – Управление заинтересованными лицами

47 процессов

PMBOK® Guide

Полезно знать и использовать при внедрении крупных

проектов по ИБ

Например, комплексные проекты по защите ПДн,по внедрению СУИБ (ISO 27001), по внедрению СОИБ

(СТО БР ИББС) и пр.

PMBOK:А где ИБ?

Пересмотрена терминология, гармонизировано с ISO 21500:2012, упоминается Agile, пересмотрен подход к «Офису управления проектами»

Добавлена новая область знаний Project Stakeholders management («Управление заинтересованными сторонами проекта»), в ней 2 новых процесса и 2 процесса из области Project Communication management («Управление коммуникациями»). Стало 10 областей знаний.

Добавлено 5 процессов: Plan Scope Management (Планирование содержания проекта), Plan Schedule Management (Планирование управления расписанием), Plan Cost Management (Планирование управления стоимостью), Plan Stakeholder Management (Планирование управления заинтересованными лицами), а также Manage Stakeholder Engagement (Управление обязательствами).Стало 47 процессов, «планирование» теперь в каждой области

Процесс Проверки содержания (Verify Scope) переработан и переименован в Подтверждение содержания (Validate Scope)

Добавлена модель информационной иерархии DIKW(data – information – knowledge - wisdom) 

Расширен перечень навыков «Soft skill»/«Emotional intelligence» (Эмоциональный интеллект)

PMBOK:Что нового?

ISO 22301:2012 «Societal security. Business continuity management systems. Requirements»(Управление непрерывностью бизнеса. Требования)

BS 25999-2:2007 -> ISO 22301:2012

Гармонизация общей структуры с другими системами управления в ISO(общая часть аналогична ISO 27001)

ISO 22301

22301:А где ИБ?

Обеспечение непрерывности бизнеса – одна из задач ИБ

(доступность информации)

IT Infrastructure Library — библиотека инфраструктуры ИТ

Актуальная версия: ITIL v3 (2007 год)

На основе ITIL разработан стандарт ISO 20000

Структура книг: Service Strategy (Стратегия услуг) Service Design (Проектирование услуг) Service Transition (Преобразование услуг) Service Operation (Эксплуатация услуг) Continual Service Improvement (Постоянное улучшение услуг )

ITIL

Нам интересны описание и рекомендации по следующим процессам:

Управление инцидентами

Управление проблемами

Управление конфигурациями

Управление изменениями

Управление уровнем услуг

Управление доступностью

Управление непрерывностью

Управление доступом

Управление знаниями

Управление финансами

Процесс управления ИБ есть, но описан слабо…

ITIL:А где ИБ?

http://www.infowatch.ru

@InfoWatchNews

http://dlp-expert.ru

@DLP_Expert

И контакты…

http://80na20.blogspot.ru

@3dwave