ISO 27001: внедрение технических защитных мер Алексей Евменков, isqa.ru
ISO 27001: внедрение технических защитных мер
Алексей Евменков, isqa.ru
Контекст
3
Наш контекст: ИСО 27001 и СМИБ• ИСО 27001 – международный стандарт, на основе которого строится
Система Менеджмента Информационной Безопасности (СМИБ)• Базовая схема СМИБ:
Планирование и мониторинг целей
Требования ИСО 27001
Политики и процедуры СМИБ
Корр
екти
рую
щие
им
еры
Управление рисками
Аудиты
Измерения, метрики Комплекс защитных
мер
ИБ в управлении персоналом
Управление активами
Управление доступом Организация ИБ
Криптография
Физическая безопасность
Антивирусная защита ПО
Резервное копирование
Логи и мониторинг
Управление сетевой безопасностью
ИБ при разработке ПО
ИБ при работе с поставщиками
Управление инцидентами
Управление непрерывностью
бизнеса
Соответствие требованиям регуляторов
~114 защитных мер
4
Что такое «технические защитные меры»?
Технические защитные меры?• Меры, реализуемые
посредством ИТ решений/инструментов.
• Ответственность и ресурсы как правило – со стороны ИТ
• Например, внедрение антивирусной защиты, безопасная архитектура сети, разделение (segregation) в сетях, внедрение DLP и т.п.
ИБ в управлении персоналом
Управление активами
Управление доступом
Организация ИБ
Криптография
Физическая безопасность (оборудование)
Антивирусная защита ПО
Резервное копирование
Логи и мониторинг
Управление сетевой безопасностью
ИБ при разработке ПО
ИБ при работе с поставщиками
Управление инцидентами
Управление непрерывностью бизнеса (резервирование)Соответствие требованиям
регуляторов
Мобильные устройства и удаленная работа
Защитные меры ИСО 27002 (в произвольном порядке):
Техническая мера Косвенно техническая мера Нетехническая мера
Легенда:
5
Кто такие технические специалисты?
• Сотрудники ИТ отдела - системные администраторы• Сотрудники ИБ отдела – специалисты по пентесту, «технари»• Сотрудники других отделов, участвующих во внедрении
технических защитных мер СМИБ
Технические специалисты
7
Точки соприкосновения ИБ и ИТ (в контексте внедрения СМИБ)
Инициация и планирование Разработка и внедрение Эксплуатация
• Проведение первоначального технического аудита
• Планирование технических защитных мер
• Руководство в технических проектах
• Подтверджение в каждой процедуре, с участием ИТ
• Тренинги для технических специалистов
• Эксплуатация, оптимизация и модернизация технических защитных мер
• Пентесты• Разбор инцидентов и
рисков• BCP
8
Характеристика технич. специалиста
• Любит• Тишину, отсутствие излишнего
внимания к своей персоне• Заниматься «непонятными» задачами
(вроде «конфигурирования железки»)
• Не любит• Публичности• Взаимодействия с руководством,
политики• Взаимодействия ни с кем
9
Взаимодейстивие: ИБ -> ИТ• Изучи «птичий язык»
• Хотя бы на уровне терминов, лучше с пониманием
• Уважение • Простое человеческое уважение
• Впишись в общие планы • (желательно) твои активности должны
вписываться в общие планы развития ИТ отдела, и приносить пользу
• Договоренности • Фиксируй, конструктивно привлекай
руководство, сохраняй прозрачность
10
Взаимодейстивие: ИТ -> ИБ• Уважение• Пойми контекст
• Нужно знать структуру СМИБ, общие планы по развитию
• В идеале, нужно понимать как ИБ смотрит на проект
• Предугадывай• Проактивность – предотвращает
проблемы
11
Природа конфликта интересов ИТ и ИБ
ИБ ИТОсновные функции
Обеспечение безопасности информации: конфиденциальность, целостность и доступность
Обеспечение мобильности, скорости, доступности, целостности систем
Цель Защита информации Удобство использования для бизнеса
Метод достижения
Ограничение Открытость
12
Технические защитные меры
13
Управление активами• Инвентаризация «железа», ПО, управление лицензиями
• Использование сканеров, базы конфигураций
• Классификация информации, владельцы информации• Определить за что отвечает ИТ, провести тренинги• Проработать основные бизнес-процессы – открытие/закрытие проекта
(выдача/сдача оборудования, ПО/лицензий)
• Безопасное удаление информации с носителей• С использованием спец. ПО
• Физическое удаление носителей информации (HDD, бумага)• Приемлемое использование активов
• Печать через PIN, шифрование носителей инф-ии, настройка средств коммуникации и т.п.
14
Управление доступом• Управление доступом - обеспечение того, чтобы доступ к активам
был санкционирован и ограничен• Первично – процессное обеспечение (need to know, least privilege) • Техническая реализация вторична• IdM, IAM – редко встречаются в чистом виде, чаще заменяются
набором ручных процедур и полуавтоматических решений• Active directory• Стандартные чеклисты по созданию/удалению пользователей• RACI матрицы, User rights pattern
15
Управление доступом - сложности
• Ревью прав – сложная техническая задача• Но одна из критически важных (перемещение
сотрудников между проектами, уход и тп)• Реальные задачи
• Увольнение сис.админа (хорошая проверка)• Управление правами заказчика внутри сети компании
• Многоплановость управления доступом• Управление паролями • Удаленный доступ• Управление доступом при обмене информацией• Доступ к физическим активам (доступ в помещения, доступ к оборудованию).
16
Сетевая безопасность• Безопасная архитектура сети
• Сеть должна быть спроектирована, постоянно оптимизироваться (в зависимости от оборудования, бизнес-потребностей, реальности)
• Процесс внедрения изменений (change mgmt.), управление доступом к конфигурациям
• WiFi – одно из слабых мест• Логгирование действий, защита логов• Отдельная тема: ISO/IEC 27033-1/6 Network security, NIST SP 800-53
• Безопасность ИТ сервисов• Определить что ИТ предоставляет бизнесу, SLA• Последовательно развивать ИБ в отдельных ИС (принудительная
аутентификация, безопасный вход в ИС, закрытие активных сессий и др)
17
Пентесты
• В рамках «18.2.3. Анализ технического соответствия»
• Делаем через проект – с привлечением специалистов (заслуженных) Кадры решают все
• Либо создаем внутреннюю команду из подходящих специалистов• Базовое обучение, • Разработка методики, • Тесты, в согласовании с ИТ
18
Другое• Физическая безопасность (обслуживание оборудования, СКУД и др)• Антивирус• Бэкапирование• Логгинг и мониторинг (защита от админов)• Обновления системного ПО• Поддержка раздельных сред разработки,
тестирования, прод
• Лучше все внедрять как проекты
19
Последовательность внедрения технических мер• Определяется общим планом внедрения СМИБ
• Тот в свою очередь – анализом рисков
• В некоторых крупных организациях (как правило банки, госорганизации) – дело лоббирования, бюджета и случая
• Пример последовательности:• Управление активами (что защищаем?)• Безопасная сеть (архитектура, firewalls, VPN)• Антивирусы, резервное копирование• Управление доступом• Все остальное
20
Внедрение ИБ инструментовПо поводу применения различных ИБ инструментов (DLP, SIEM и т.д)• Инструментов и их производителей много• Критерии выбора:
• Анализ рисков – основа для принятия любого решения• Общая стратегия ИБ – посыл со стороны бизнеса• Лишний бюджет ?:) – тут уж что интереснее
21
Внедрение ИБ инструментов – какой инструмент нужен?NIST Cybersecurity Framework – матрица возможных решений
22
Внедрение ИБ инструментов – текущий рынок
По материалам презентации Российская rasputitsa как объяснение будущего отечественной отрасли ИБ от Aleksey Lukatskiy
23
Вместо заключения
Алексей Евменков, [email protected]
Авторский курс: Внедрение СМИБ
Расширенная практическая часть, полное руководство по внедрению ИСО 27001 и защитных мер из ИСО 27002
3х дневный курс, 8-10 июня 2016г.http://edu.softline.by/courses/smib.html