Аудит и «отправная точка безопасности» согласно ISO Владимир Булдыжов, CISM

Однажды Директор спросил Инь Фу Во про защиту от внутренних угроз. Тот сказал: – Во внешнем мире есть сто человек, которые хотели бы заполучить конфиденциальную информацию из вашей сети. И есть пять, которые способны это сделать. Но эти сто вряд ли встретятся с этими пятью. Ещё Учитель сказал: – А в вашей внутренней сети есть пять пользователей, которые хотели бы заполучить конфиденциальную информацию. И есть сто, которые могут это сделать. И они уже встретились. * * * Однажды Сисадмин пожаловался Учителю: – Наш Директор совершенно не разбирается в ИТ. Я не могу ему объяснить. И его указания всегда такие нелепые. Инь Фу Во ответил: – Это нормальный порядок вещей. Его забота – люди и деньги. Твоя забота – техника и программы. Вы разговариваете на разных языках. Сисадмин согласился и спросил: – Как нам изучить язык друг друга? – Это почти невозможно, – сказал Учитель. – Для этого Директору пришлось бы несколько лет проработать сисадмином, но он не пожелает. Для этого тебе пришлось бы несколько лет проработать руководителем, но тебя не допустят. – Как же понять друг друга тем, кто говорит на разных языках? – спросил Сисадмин. Инь Фу Во ответил: – Специально для этих целей создан промежуточный язык, доступный обоим. Имя ему – "ГОСТ " (примечание: ISO 27002). – Как просто! – воскликнул Сисадмин и ушёл просветлённый. Общий язык – залог успеха

Общий язык – залог успеха. Альтернативный перевод ISO Рабочая группа Понимание и адаптация стандарта – залог его превращения из абстрактной методики в повседневный инструмент и настольную книгу специалиста по информационной безопасности. Преследуя цели популяризации стандарта, рабочая группа bezpeka в 2007 г. выполнила независимый перевод ISO 17799:2005, который впоследствии был переименован организацией ISO в стандарт ISO

Общий язык – залог успеха ИБ не является продуктом, услугой или разовым пакетом мероприятий, – это непрерывный системный комплексный процесс. Этот процесс интегрирован во все бизнес-процессы предприятия, требует участия всех без исключения сотрудников предприятия, от владельца до уборщицы, и этим процессом нужно управлять постоянно. Стопроцентная ИБ недостижима. Термин «обеспечение безопасности» устарел. Сейчас говорят об управлении безопасностью. Данное управление – оптимизационная задача поиска компромисса между уровнем защиты и её ценой. Причем, ценой являются как разовые инвестиции, так и постоянные. Как капитальные затраты, так и затраты в виде дополнительных неудобств для сотрудников, например, режим доступа, пароли, санкции, задержки, шифрование, других ограничения при использовании техники и сервисов. Оптимальность инвестиций можно достичь, только применяя методы управления рисками. Умная служба ИБ распределяет ресурсы в соответствии с величиной рисков, а не конкретных нарушений. Мудрая служба, кроме того, делает управление ИБ прозрачным для высшего руководства компании и инвесторов и предоставляет им инструменты управления инвестициями и проектами по снижению рисков. Этот тезис скорее закладывает основу для дальнейшего развития ИБ, чем предоставляет рецепт немедленных действий. Тем не менее, опытный безопасник умеет извлекать не только ситуативную пользу из «жареного петуха», но и формировать импульс для укрепления ИБ в долговременной перспективе.

Начинаем применять ISO «в лоб» ISO требует применение анализа рисков. Какую методику анализа рисков выбрать? Сложные методики непонятны для руководства организаций и требуют высокой квалификации службы ИБ. Простые методики субъективны, не обеспечивают повторяемости результатов и независимости от конкретного исполнителя, а также воспринимаются как «шаманство», то есть, являются больше искусством, чем наукой. Не начинайте с анализа рисков, начните с «отправной точки». ISO 27002, ранее известный как ISO 17799, вводит очень удачное понятие «starting point». Отправная точка ИБ – это состояние системы управления ИБ, при котором внедрены самые важные средства управления ИБ, и организация готова к внедрению управления рисками «Отправная точка» во многом созвучна понятию «базовая безопасность». Однако термин baseline security концентрируется на конфигурации инфраструктуры, часто упуская из виду управленческие процессы. Ликвидировать угрозы всегда выгоднее, рассматривая их корневые причины. А такой причиной, вне зависимости от вида угрозы, всегда является пресловутый человеческий фактор.

Отправная точка ISO Разработка и внедрение документов политик информационной безопасности. 2.Распределение обязанностей по информационной безопасности. 3.Повышение осведомленности, обучение и тренинги по информационной безопасности 4.Правильная обработка в приложениях 5.Управление техническими уязвимостями Управление техническими уязвимостями 6.Управление непрерывностью бизнеса. 7.Управление инцидентами ИБ. Защита личной информации. Защита записей организации Защита прав интеллектуальной собственности

Классификация средств управления ИБ по IS Governance предупреждающие (превентивные, preventive) – или, как теперь модно говорить, проактивные, – это наиболее эффективные средства управления (например, повышение осведомленности персонала, режим доступа, шифрование и т. п.); исправляющие (коррекционные, corrective) – реактивные, имеют наибольшую область охвата рисков (резервирование и восстановление данных, оборудования, программного обеспечения, персонала); обнаруживающие (детектирующие, detective) – реактивные, используются для мониторинга и расследований нарушений (журналы событий, системы мониторинга, оповещений, анализа, организационный процесс отчетности об инцидентах ИБ и т. п.). Вне зависимости от природы средства управления ИБ, они очень логично разбиваются на следующие группы: Данные средства присутствуют в программно-аппаратных средствах и организационных мерах. Подобная классификация облегчает приоритизацию мероприятий.

Отправная точка. Разработка и внедрение политики ИБ Политика ИБ – это один документ или несколько? Главный, корневой документ в области ИБ предприятия называется «Политика ИБ». Чтобы не «раздувать» размер документа (оптимальным считается 5-10 страниц), подчиненные, уточняющие, дополняющие и расширяющие документы также называются политиками (policy), но уже в конкретных областях. Например, политика управления активами, доступом или безопасностью персонала. С другой стороны, термин «политика ИБ» чаще всего употребляется в собирательном значении – это все требования предприятия в области ИБ, вне зависимости от того, в каких документах они представлены, и задокументированы ли вообще.. Номенклатура документации Политики ИБ, стратегия ИБПолитика ИБ, стандарт предприятия Положения, инструкции, правила, стандарты Положения, инструкции, правила IS Governance ДСТУ Процедуры, workflowПорядки, рабочие инструкции Руководства (guidance)Описания

Отправная точка. Распределение обязанностей по ИБ ИБ не является функцией только служб ИБ и ИТ, но также обязанностью всех сотрудников предприятия. Особое внимание следует уделять руководителям, менеджерам среднего и высшего звена. Например, опытный руководитель всегда знает, что защищать в своем подразделении, но не всегда знает, от чего и как. Следует возложить ответственность за оценку и классификацию данных, а также за режим доступа к ним на их владельцев. Проще говоря, на владельцев соответствующих бизнес-процессов, иначе говоря, на руководителей подразделений. При этом конкретные технические действия по управлению режимом доступа должны применяться персоналом ИТ или ИБ на основании заявок владельцев данных. Такое разделение обязанностей позволяет создать необходимую основу для защиты от утечки информации, вне зависимости, внедряется ли какое-либо техническое решение, наподобие модных дорогих решений класса DLP

Повышение осведомленности, обучение и тренинги по ИБ Наиболее эффективны тренинги и презентации. Но также может и должно быть ознакомление в рамках подписания обязательств при получении доступа, подтверждение условий пользования услугой в рамках корпоративной системы ServiceDesk. Это могут быть ссылки на нормативные документы по ИБ, публикуемые как можно чаще, но уместно и т.п.: 1.Logon message (AD). 2.Screensaver. 3.IFRAME или ссылка на домашней странице. 4.Новости информационной безопасности (почтовая рассылка, RSS и т.п.). 5.Информационный раздел на внутреннем корпоративном сайте. 6.Тест на знание правил и требований ИБ.

Повышение осведомленности, обучение и тренинги по ИБ 1.Семинар в рамках тренинга. 2.Презентация в рамках тренинга. 3.Моделирование ситуаций (элементы ролевой игры). 4.Ознакомление новых сотрудников с политикой (под роспись). 5.Ознакомление сотрудников с политикой при перемещениях (под роспись). 6.Внеочередное ознакомление нарушителей с политикой (под роспись). 7.Рубрика в периодическом корпоративном издании. 8.Специализированная стенгазета, постер, настенный календарь. 9.Специализированный раздаточный материал (handouts): бюллетень, брошюра, настольный календарь, листовки. 10. Публикация основных требований и контактных данных на прочих носителях информации с корпоративным стилем, включая предметы: блокноты, пакеты, шариковые ручки и т. д. 11. Видеоролик со звуком (тренинг и публикация в интранет). 12. Конкурсы, тесты, викторины на знание требований ИБ в различных форматах. Оффлайновые форматы повышения осведомленности

Официальная независимая сертификация – средство гарантирования уровня и статуса специалиста. Ассоциация ISACA проводит сертификацию специалистов в области аудита (CISA), информационной безопасности (CISM) и управления ИТ (CGEIT). Данные программы имеют аккредитацию ANSI. На базе филиала (chapter-in-formation) и компании Ernst&Young функционирует сертификационный центр CISA/CISM. Для сертификации необходима сдача экзамена CISM, проводимого в форме теста на бумаге, подписание ряда обязательств, а также документально подтвержденный опыт в информационной безопасности не менее 5 лет. Подготовка к сертификации CISM: Целевая аудитория тренинга – не технический менеджмент среднего и высшего звена. Обучение и сертификация CISM

Отправная точка. Управление техническими уязвимостями Любое программное обеспечение содержит дыры, то есть, брак. Будем называть вещи своими именами. Красивые термины «уязвимость», «переполнение буфера» только напускают туман на не-ИТ-шника. В то время как ничем иным, кроме брака, данные недоработки не являются. Конкуренция и отсутствие культуры безопасности заставляют разработчиков гнаться за прибылью и продавать «сырые» продукты. Кто должен отвечать за patch management? Для больших структур ИТ с высокими требованиями непрерывности бизнеса тестирование обновлений целесообразно вменить в обязанности не администраторов систем Microsoft (SUS/WUS/WSUS, SMS/MOM/System Center), а администраторов конкретных серверов и прикладных сервисов.

Выводы по «отправной точке» Привычный «джентльменский набор» безопасности ИТ – штатные средства операционных систем, Active Directory, антивирус, антиспам, брандмауэр, VPN, NAC или NAP, шифрование, IDS/IPS и другие решения – охватывает далеко не полный спектр угроз ИБ и заведомо в неполной мере. Специалист, предоставляющий только такой набор как средство комплексной безопасности, продаёт клиенту или работодателю вместо продукта «безопасность» продукт «чувство ложной защищенности». В дополнение к данному техническому набору, как минимум, необходимо внедрение перечисленных базовых организационных процессов ИБ. Такое внедрение позволит многим организациям увидеть реальную картину текущего состояния их информационной безопасности, в короткие сроки «подняться с колен» и увидеть перспективу для дальнейшего наведения порядка. Безопасность ИТ – это ещё не информационная безопасность.

Экспресс-тест по определению потребности и зрелости ИБ Для тех, у кого совсем мало времени…

vladimir (a) buldyzhov.com Спасибо за внимание! Вопросы?