Проблемы зрелости информационной безопасности в крупных отечественных компаниях

Подходы к построению системы защиты информации Подход «сверху». Начало со стадии проектирования ИС. Как минимум, использование аудита и анализа рисков. Нужно повышать зрелость компании. На практике системы защиты информации строятся «снизу». Первоочередные меры, безотлагательные внедрения. Расследования. Недостаточная осознанность руководства?

Информационная безопасность – это не продукт, не решение и даже не услуга. Это постоянная кропотливая работа. Трудно переоценить важность системного подхода, отдельной службы ИБ в организации. О чём мы говорим?

Современные тенденции в области ИБ Постоянно расширяющееся взаимопроникновение и взаимосвязь угроз. Нарушение одного вида легко приводит к нарушениям другого: а) вредоносное ПО скрытно отправляет конфиденциальную информацию в Интернет (взаимосвязь: нарушение целостности приводит к утечке), а также рассылает спам (взаимосвязь: затрата ресурсов), б) утечка информации (например, паролей, адресов ) обуславливает заражение вирусами, взлом, спам (взаимосвязь: утечка приводит к нарушению целостности, отказу в доступе, потере рабочего времени), в) заражение вредоносным ПО происходит через развлекательные и другие неслужебные сайты (взаимосвязь: потери рабочего времени приводят к нарушению целостности информации и доступности служб и так далее).

Обоснование важности ИБ для руководства От 19 утечек информации только в сентябре 2007 года пострадали около 9 миллионов человек. Долгосрочные издержки на их ликвидацию приближаются к отметке в 2 миллиарда долларов.

Service Delivery: Управление уровнем обслуживания Финансовое управление ИТ Управление мощностями Управление непрерывностью Управление доступностью Service Support: Служба поддержки Управление инцидентами Управление проблемами Управление изменениями Управление релизами Управление конфигурациями ITIL Publication Framework: Интеграция IT Service Management и IT Security Management. Реальный опыт. Результаты начала интеграции: - разрешительный механизм ИБ (ISO) реально заработал - увеличился поток сообщений об уязвимостях и нарушениях ИБ - обеспечения непрерывности бизнеса и ИТ-услуг Дальнейшие направления интеграции: - SLA

Реальные примеры повышения эффективности защиты информации при внедрении управления ИТ-услугами - SLA уменьшает вероятность оказания пользователю (клиенту) лишней, опасной с точки зрения ИБ услуги. - ServiceDesk предоставляет возможность полноценно реализовать разрешительную систему. - ServiceDesk повышает полноту охвата и оперативность управления инцидентами.

Проблемы и тенденции управления конфиденциальной информацией Концепции и технологии PKI, VPN и SSL эффективны и перспективны. Перспективна защита IM-переписки. Системы управления доступом к внешним носителям и портам управляют не информацией, а пользователями, их полномочиями. Тенденция: комплексные решения DLP. Маркирование информации, контроль на границах сети, посекторное шифрование HDD, автом. обучение пользователей (Symantec Vontu, McAffee Safeboot –пример интеграции).

Модели зрелости управления ИТ и ИБ Уровень зрелости CobiT (ITIL)Год Уровень зрелости Gartner (ИБ)Год 0Не существующий 1Начальный нулевой (штатные средства) 2Повторяющийся20051тех. проблема (простые средства)2005 3Документированный20082орг. проблема (политика, аудит)2006 4Управляемый3корп. культура (CISO, CSIRT, SLA)2008 5Оптимизируемый CobiT (ITIL): 1. начальный 2. повторяющийся 3. документированный Gartner (ИБ): 1. тех. проблема 2. орг. проблема (аудит, политика) 3. корп. культура

Подход «снизу» к внедрению системы защиты информации Необходимые условия для старта: - организация отдельной службы защиты информации; - кредит доверия высшего руководства предприятия (организации), который выражается, например, в утвержденной инструкции по ИБ.

Подход «снизу» к внедрению системы защиты информации Первоочередные меры: - обработка инцидентов, учет и классификация нарушений ИБ; - внедрение политик управления паролями; - разделение сетей и зон доверия; - внедрение решений по мониторингу активности; - корпоративный антивирус, антиспам (стоит внимания MS ForeFront), PKI, VPN. Кредит доверияДебет успеха - внедрение учета полномочий;

Внедрение политики информационной безопасности Если пытаться внедрять Политику в незрелой организации, Политика не будет работать. Есть явления девальвации стандартов управления ИТ и ИБ. Своевременность внедрения политик и стандартов – залог их успеха. Удобство использования – главный критерий принятия политик руководителями и пользователями.

Значение стандартов ИТ 1. Не должен стоять вопрос, какой стандарт выбрать. ISO 17799:2005: появился раздел «Управление инцидентами». ISO 27001:2005 использует подходы CobiT и т. д. ISO, ITIL и CobiT непротиворечивы, могут и должны использоваться совместно. Каждый силен в своем: ITIL – в управлении ИТ-услугами, CobiT – в измерениях (эффективности и т. п.), ISO 27001/17799/13335 – в ИБ. ISO, CobiT и ITIL будут гармонизированы ISO в ближайшие 2-3 года. Нужно также рассматривать и другие стандарты ИТ, как специфичные, так и абстрактные. ISO 20000/BS (управление услугами ИТ) коррелирует с ITIL. 2. Если уже имеется система управления процессами по ISO 9001 или 14001, то ISO 27001:2005 рекомендует «дополнить» данную систему элементами системы управления ИБ. 3. Наиболее наглядный пример выгоды от сертификации по ISO для бизнеса – повышение инвестиционной привлекательности. Западные инвесторы и биржи требуют соответствие ISO, Акту Сарбанеса-Оксли, заключения об аудите одного из членов big4.

Независимый перевод ISO 27002:2007 (17799:2005)