Применение международных стандартов в области информационной безопасности. Украинские реалии. Владимир Ткаченко, CISA, CISSP, Certified ISO 27001 Lead Auditor/ Certified ISO 27001 Lead Implementer Директор ООО «Агентство активного аудита»
Применение международных стандартов в области
информационной безопасности. Украинские реалии.
Владимир Ткаченко, CISA, CISSP, Certified ISO 27001 Lead Auditor/ Certified ISO 27001 Lead Implementer
Директор ООО «Агентство активного аудита»
ISO27001ISO27002ISO9001
SOX (Sec.404)
NERC/FERC- CIP,
FISMA, NIST
PCI DSS v. 3.0PA-DSS v. 3.0
EU Data Protection Directive (Directive 95/46/EC)
15.04.2023
Влияние нормативных и регуляторных требований
Sarbanes- Oxley Act of 2002, North American Electric Reliability Corp./ Federal Energy Regulatory Commission – Critical Infrastructure Protection, Federal Information Security management Act
Basel II: International Convergence of Capital Measurement and Capital Standards: a Revised Framework
Национальный банк Украины
СОУ Н НБУ 65.1 СУИБ 1.0:2010
Directive 95/46 of the European Parliament and the Council of 24 October 1995 Вопросы защиты ПДн при их обработке, обмене и хранении в странах-членах ЕС
Обзор стандартов и нормативных актов, требующих оценки защищенности
15.04.2023 © ООО «Агентство активного аудита» 3
Нормативный акт (международный
стандарт)
Оценка защищенности
(аудит)Анализ рисков
Сканирование уязвимостей
Тест на проникновение
ISO\IEC 27001:2013,ISO\IEC 27002:2013
Раздел 9 Раздел 6 Раздел 12.6, 12.7 Раздел 18.2
СОУ Н НБУ 65.1 СУИБ 1.0:2010,
СОУ Н НБУ 65.1 СУИБ 2.0:2010
Раздел 6 Раздел 4 Раздел 12.6 Раздел 15.2
ISO\IEC 27007:2011ISO\IEC 19011:2011
Весь стандартВ части касающейся СУИБ
Согласно ISO/IEC 27001
Раздел 7.2.3.3.1 -
ISO\IEC 27032:2012Раздел 13.3.5 Раздел 11.2 Раздел 9.3 Раздел 13.3.5
PCI DSS v.3.0(PA-DSS v.3.0)
Весь стандарт Требование 6.2
Требование 6.2, 11.1, 11.2
Требование 11.3
Требования по тестированию ISO 27001 (27002)
(управление уязвимостями)
15.04.2023 © ООО «Агентство активного аудита» 4
Раздел 12.6 – определяет процесс управления уязвимостями для снижения вероятности реализации рисков их эксплуатации
Контроль изменений
Защита на уровне ОС и протоколов
Управление обновлениями Тестирование
Для организации процесса предлагается: Определить роли и обязанности
Определить как выполнять процесс (коммерческое или бесплатное ПО, или оборудование)
Определить критерии оповещения и реакции на них
Оценить риск и предложить варианты обработки
Выполнить действия в соответствии с процессом управления изменениями или инцидентами
Если есть обновление, протестировать его и оценить последствия его внедрения
Необходимо документировать весь процесс
Проводить постоянный мониторинг состояния уязвимости (в первую очередь для критических систем)
Если нет обновления:+ По возможности - отключить
уязвимый сервис или функцию+ Внедрить доп. Меры защиты (если
возможно) + Усилить мониторинг за уязвимой
системой+ Информировать персонал об
уязвимости
Требования по тестированию ISO 27001 (27002)(техническое соответствие)
15.04.2023 © ООО «Агентство активного аудита» 5
Раздел 18.2 – определяет соответствие политикам и стандартам безопасности и техническое соответствие. Нас интересует 18.2.1 и 18.2.3Для организации процесса предлагается: Проводить его вручную или автоматизированно с
последующей интерпретацией результатов специалистом
Предъявить повышенные требования к квалификации (например, обследование защищенности ОС)
Как правило, выполнять с привлечением третьей стороны
Что получим?1) «Мгновенный снимок» (на самом деле не совсем ;-) системы или
совокупности систем в определенном состоянии в определенное время2) Результат ограничивается теми элементами системы (или систем),
которые участвовали в процессе проникновения3) Тестирование на проникновение не заменяет оценку рисков
Требования по аудиту ISO 27007:2011
15.04.2023 © ООО «Агентство активного аудита» 6
ISO\IEC 27007:2011 – Информационные технологии – Методы обеспечения безопасности – Руководство по аудиту СУИБ
Для организации процесса предлагается: Разработать программу аудита СУИБ
Ограничить область аудита
Определить риски аудита
Определить ресурсы для проведения аудита
Реализовать программу аудита
Провести аудит
Зачем это «лирическое отступление»?1) См. способы организации и отчетности2) Чтобы понять как правильно организовать процесс с ПОЛЕЗНЫМ
результатом
Требования по кибербезопасности ISO\IEC 27032:2012
15.04.2023 © ООО «Агентство активного аудита» 7
ISO\IEC 27032:2012 – Информационные технологии – Методы обеспечения безопасности – Руководство по обеспечению кибербезопасности
Требования по кибербезопасности ISO\IEC 27032:2012
15.04.2023 © ООО «Агентство активного аудита» 8
ISO\IEC 27032:2012 – Информационные технологии – Методы обеспечения безопасности – Руководство по обеспечению кибербезопасности
Стандарт предлагает пути устранения рисков кибербезопасности, таких как: Атаки методами социальной инженерии Хакинг Зловредное ПО (malware) Шпионское ПО и другое потенциально небезопасное (нежелательное) ПО Атаки организованных групп кибермошенников через Internet (подготовка к обнаружению, идентификация и предотвращение))
Также стандарт определяет способы распространения информации об инцидентах, координацию между участниками процесса при реакции на инциденты и в основном применяются требования 19011:2011)
Требования к тестам косвенно описаны в 12.2 (3) 13.3.5 (13.5.6) = 13.6 jРегулярно тестировать безопасность- Критических приложений;- Операционных систем;- Систем управления базами данных
Требования по сканированию PCI DSS
15.04.2023 © ООО «Агентство активного аудита» 9
Требование 6.2 :6.2.а – необходимо наличие процесса идентификации и назначения уровней риска обнаруженным уязвимостям. (Ранее в версии 2.0 предлагалось «высоким» уровнем риска считать уязвимости с уровнем 4,0 и выше по CVSS) c 30/06/2012 – это становилось обязательным требованием. На данный момент разрешается использовать внутрикорпоративную шкалу рисков.)
Требование 11.1 :Следует ежеквартально проверять наличие беспроводных точек доступа и отслеживать неавторизованные беспроводные точки доступа (801.11).
Common Vulnerability Scoring System (CVSS-SIG) – Общая система учета уязвимостей - это метод ранжирования уязвимостей ИТ систем http://www.first.org/cvss
Требования по сканированию PCI DSS
15.04.2023 © ООО «Агентство активного аудита» 10
Требование 11.2.1 (внутреннее сканирование)Необходимо проводить ежеквартальное внутреннее сканирование сегмента сети и систем, где хранятся и обрабатываются данные держателей пластиковых карт
«ИНТЕРЕСНЫЕ ДЕТАЛИ»:11.2.1.aУбедиться ,что сканирование проводилось ежеквартально за период 12 месяцев (должно быть 4 отчета)11.2.1.bУбедиться, что процесс сканирования учитывает повторное сканирование после устранения уязвимостей с уровнем риска «высокий» (соблюдена норма 6.2)11.2.1.сВнутреннее сканирование может проводить квалифицированный персонал другого подразделения или третья сторона при этом наличие QSA/ASV не требуется
Требования по сканированию PCI DSS
15.04.2023 © ООО «Агентство активного аудита» 11
Требование 11.2.2 (внешнее сканирование)Необходимо проводить ежеквартальное внешнее сканирование с помощью компании - авторизованного вендора (Approved Scanning Vendor – ASV). Статус выдается и поддерживается комитетом по безопасности индустрии пластиковых карт (Plastic Card Industry Security Standard Counsil – PCI SSC)
«ИНТЕРЕСНЫЕ ДЕТАЛИ»:Сканирование можно проводитьASV «классически» по договору – дорого и медленноASV SaaS – быстро и оптимально по затратам
https://www.pcisecuritystandards.org/approved_companies_providers/approved_scanning_vendors.php
Решения по сканированию PCI DSS
15.04.2023 © ООО «Агентство активного аудита» 12
Беспроводные сети и внутреннее сканирование 11.1, 11.2.1- Силами подразделения ИБ (или ИТ)- Внешняя компания (необязательно ASV/QSA)
Внешнее сканирование 11.2.2- Только внешняя компания ASV
Сканирование после внесения изменений (внешнее и внутреннее) 11.2.3- Силами подразделения ИБ (или ИТ)- Внешняя компания (необязательно ASV/QSA)
Оптимальный по финансам способ организации сканирования- ПО для сканирования - Аппаратный сканер (реальный или виртуальный)- Услуга внешней компании (необязательно ASV/QSA для внутреннего
сканирования)- Услуга SaaS от ASV
Требования по тестированию PCI DSS
15.04.2023 © ООО «Агентство активного аудита» 13
Требование 11.3 (тестирование на проникновение)Необходимо проводить ежегодно (а также при значительных изменениях в инфраструктуре) внутренний и внешний тест на проникновение на уровне сети (включая ОС) и приложения(ний)
«ИНТЕРЕСНЫЕ ДЕТАЛИ»:11.3.1 Внешнее тестирование на проникновение тест проводился ежегодно (должен быть отчет) квалифицированным персоналом или третьей
стороной при этом наличие QSA/ASV не требуется11.3.2 Внутреннее тестирование на проникновение тест проводился ежегодно (должен быть отчет). квалифицированным персоналом другого
подразделения или третьей стороной при этом наличие QSA/ASV не требуется
11.3.3 Повторное тестирование, если обнаружены эксплуатируемые уязвимости
15.04.2023 14
Стандарты разные нужны. Стандарты разные важны
© Володимир Ткаченко, CISA, CISSP, ISO 27001 LA, ISO 27001 LI - Агентство Активного Аудиту
Бизнес-процессы описаны, контролируются и документация ведется
Критичность определена, риски оценены, имеют владельцев и обработаны.Процессы ИБ действуют.
Критерии непрерывности определены, критичность оценена.Планы BC/DR разработаны и протестированы.
Организация и управление ИТ в соответствии с целями бизнесаОптимизация и повышение производительности.
ISO 27032:2012ISO 27033-1(6)
Вопросы
www.auditagency.com.ua
044 228 15 88