ВНЕДРЕНИЕ MICROSOFT TMG КАК ИНСТРУМЕНТА УПРАВЛЕНИЯ
РИСКАМИ ИБ
Андрей Зеренков Зам. директора департамента ИБ
Oberon [email protected]
Задача управления рисками ИБ
ПОСТАНОВКА ЗАДАЧИ
Риск – способность одной или нескольких угроз использовать одну или несколько уязвимостей и характеризуется: Вероятностью происхождения инцидента
Ущербом в случае его происхождения
Управление рисками – процесс выявления, контроля и минимизации или устранения рисков безопасности, оказывающих влияние на информационные системы, в рамках допустимых затрат
Существующие подходы к управлению рисками Для некритичных систем – соответствие нормативам, стандартам и
лучшим практикам – минимальная необходимость в оценке рисков
Для критичных систем – неформальная качественная оценка рисков при особом внимании наиболее критичным системам
Если бизнес построен на информационных активах и риски ИБ являются основными – формальный подход и численные методы
ПРОЦЕСС УПРАВЛЕНИЯ РИСКАМИ ИБ
Планирование Реализация
Проверка Действие
Политика и методология управления рисками
Выполнение оценки рисков:
– инвентаризация активов,
– составление профилей угроз и уязвимостей,
– оценка эффективности контрмер и потенциального
ущерба,
– определение допустимого уровня остаточных рисков
Обработка рисков и контроль их минимизации
Принятие решения по каждому риску:
– проигнорировать,
– избежать,
– передать внешней стороне,
– минимизировать
Разработка и внедрение плана обработки рисков
Отслеживание функционирования механизмов
контроля
Контролирование изменений факторов риска
(активов, угроз, уязвимостей)
Проведение аудитов и выполнение контролирующих
процедур
По результатам непрерывного мониторинга и
проводимых проверок выполняется
– переоценка величины рисков
– корректировка политики и методологии управления
рисками
– корректировка плана обработки рисков
УПРАВЛЕНИЕ РИСКАМИ ИБ КАК БИЗНЕС-ЗАДАЧА
Управление рисками согласно уровню зрелости (информированности и степени осознания проблем ИБ) На начальном уровне – фрагментарные меры по обеспечению ИБ,
инициируемые и реализуемые ИТ специалистами под свою личную ответственность
На втором уровне (определена ответственность за ИБ) – применение интегрированных решений с централизованным управлением и внедрение отдельных процессов управления ИБ
Третий уровень – применение процессного подхода к управлению ИБ согласно стандартам. Система управления ИБ – как необходимый составной элемент системы управления организацией. Однако отсутствует базовый элемент – процессы управления рисками
Для организаций с наивысшей степенью осознания проблем ИБ характерно применение формализованного подхода к управлению рисками ИБ – наличие документированных процессов планирования, реализации, мониторинга и совершенствования
Управление рисками
Выявление рисков
ДЕКОМПОЗИЦИЯ ЗАДАЧ
Определить актуальные угрозы – необходимо знать от чего необходимо защищаться – создать модель угроз ИБ
Выявить слабые места, то есть уязвимости информационных ресурсов – провести аудит ИБ
Сопоставить угрозы с уязвимостями и выявить риски ИБ Риск – способность одной или нескольких угроз использовать одну или
несколько уязвимостей
Оценить риски, провести поиск и выбор решений для каждого риска
Оценить трудозатраты и составить план внедрения с учётом стоимости рисков
Провести внедрение согласно выработанному плану
Убедиться в эффективности принятых мер
ОТ ЧИСТОЙ ТЕОРИИ – К ГОЛОЙ ПРАКТИКЕ
Информационные ресурсы (активы) – это сложный программно-аппаратный комплекс, следовательно – уязвимы «по определению» Периодический аудит ИБ призван выявлять/подтверждать наличие
уязвимостей
Эксперты ИБ информируют о выявлении новых уязвимостей
Заинтересованность в несанкционированном доступе к активам и их использованию со стороны кибер-преступников – несомненна Параноидальный подход – защищать всё от всего
Обычный подход – разрешено всё, что не запрещено явным образом
Разумный подход – запрещено всё, что не разрешено явным образом
Стратегическая задача – обеспечить активам защиту приемлемого уровня при условии ограничений на материальные и человеческие ресурсы
РАБОЧАЯ СХЕМА
Информационные ресурсы
Кибер преступники
Уязвимости
Владелец ресурса
РАБОЧАЯ СХЕМА
Информационные ресурсы
Кибер преступники
Владелец ресурса
Уязвимости
РАБОЧАЯ СХЕМА
Информационные ресурсы
Кибер преступники
Владелец ресурса
Уязвимости
Возможности Microsoft TMG
Кибер преступники
Internet
Внутренние сотрудники
Мобильные пользователи
Внутренние информационные
ресурсы
ФУНКЦИОНАЛ MICROSOFT FOREFRONT TMG
Регулярно обновляемая защита на периметре: От Интернет-угроз – фильтрация HTTP/HTTPS-трафика от вирусов,
сетевых червей, троянских программ, шпионов и других вредоносных программ
Расширенная очистка почтового трафика – интеграция с Microsoft Exchange Server в роли пограничного транспортного сервера и Forefront Protection 2010 for Exchange Server
От внешних атак – при помощи технологии Network Inspection System
Обеспечение безопасности коммуникаций: Удалённый доступ к корпоративным ресурсам
Организация виртуальных частных сетей (VPN)
Удобное управление
Отчёты
…
С ТОЧКИ ЗРЕНИЯ УПРАВЛЕНИЯ РИСКАМИ ИБ
Аудит ИБ однозначно нужен – вы должны знать все уязвимости своих ресурсов
Задача выявления рисков (сопоставление угроз и уязвимостей) существенно упрощается, так как TMG: Перекрывает на периметре известные Microsoft внешние угрозы, включая:
Сетевые атаки и эксплойты – NIS
Вредоносные программы и URL-ссылки – Web-фильтрация
Обеспечивает надёжную защиту публикуемых приложений и коммуникаций с внешними пользователями
Оставшиеся риски преимущественно связаны с внутренними угрозами
Соответственно уменьшается и задача поиска и выбора решений – только по оставшимся рискам
Внедрение контрмер по рискам, минимизируемым при помощи Microsoft Forefront TMG – поставляется «в комплекте»
Microsoft ведёт постоянный мониторинг новых внешних угроз, предоставляя обновление по ним – автоматизировано
Заключение
…
Microsoft Forefront TMG существенно упрощает и удешевляет задачу управления рисками информационной безопасности за счёт автоматизированного применения контрмер от внешних угроз Но это не является причиной отказа от других продуктов
Человек – и самая сильная, и самая слабая стороны одновременно (и с точки зрения защиты, и с точки зрения нападения) Обеспечение информационной безопасности – это комплекс
организационно-технических мер, обязательно учитывающий воздействие человеческого фактора
Используйте опыт профессионалов – мы поделимся и опытом, и практикой На взаимовыгодных условиях, разумеется
БЛАГОДАРЮ ЗА ВНИМАНИЕ! ВОПРОСЫ?
Андрей Зеренков Зам. директора департамента ИБ
Oberon [email protected]