24
ISO 27001: внедрение технических защитных мер Алексей Евменков, isqa.ru
ISO 27001: внедрение технических защитных мер
Алексей Евменков, isqa.ru
Контекст
Наш контекст: ИСО 27001 и СМИБ • ИСО 27001 – международный стандарт, на основе которого строится
Система Менеджмента Информационной Безопасности (СМИБ) • Базовая схема СМИБ:
Планирование и мониторинг целей
Требования ИСО 27001
Политики и процедуры СМИБ
Корр
екти
рую
щие
им
еры
Управление рисками
Аудиты
Измерения, метрики Комплекс защитных
мер
ИБ в управлении персоналом
Управление активами
Управление доступом Организация ИБ
Криптография
Физическая безопасность
Антивирусная защита ПО
Резервное копирование
Логи и мониторинг
Управление сетевой безопасностью
ИБ при разработке ПО
ИБ при работе с поставщиками
Управление инцидентами
Управление непрерывностью
бизнеса
Соответствие требованиям регуляторов
~114 защитных мер
3
Что такое «технические защитные меры»?
Технические защитные меры? • Меры, реализуемые
посредством ИТ решений/инструментов.
• Ответственность и ресурсы как правило – со стороны ИТ
• Например, внедрение антивирусной защиты, безопасная архитектура сети, разделение (segregation) в сетях, внедрение DLP и т.п.
4
ИБ в управлении персоналом
Управление активами
Управление доступом
Организация ИБ
Криптография
Физическая безопасность (оборудование)
Антивирусная защита ПО
Резервное копирование
Логи и мониторинг
Управление сетевой безопасностью
ИБ при разработке ПО
ИБ при работе с поставщиками
Управление инцидентами
Управление непрерывностью бизнеса (резервирование) Соответствие требованиям
регуляторов
Мобильные устройства и удаленная работа
Защитные меры ИСО 27002 (в произвольном порядке):
Техническая мера Косвенно техническая мера Нетехническая мера
Легенда:
Кто такие технические специалисты? • Сотрудники ИТ отдела - системные администраторы • Сотрудники ИБ отдела – специалисты по пентесту, «технари» • Сотрудники других отделов, участвующих во внедрении
технических защитных мер СМИБ
5
Технические специалисты
Точки соприкосновения ИБ и ИТ (в контексте внедрения СМИБ)
7
Инициация и планирование Разработка и внедрение Эксплуатация
• Проведение первоначального технического аудита
• Планирование технических защитных мер
• Руководство в технических проектах
• Подтверджение в каждой процедуре, с участием ИТ
• Тренинги для технических специалистов
• Эксплуатация, оптимизация и модернизация технических защитных мер
• Пентесты • Разбор инцидентов и
рисков • BCP
Характеристика технич. специалиста
• Любит • Тишину, отсутствие излишнего
внимания к своей персоне • Заниматься «непонятными»
задачами (вроде «конфигурирования железки»)
• Не любит • Публичности • Взаимодействия с руководством,
политики • Взаимодействия ни с кем
8
Взаимодейстивие: ИБ -> ИТ • Изучи «птичий язык»
• Хотя бы на уровне терминов, лучше с пониманием
• Уважение • Простое человеческое уважение
• Впишись в общие планы • (желательно) твои активности должны
вписываться в общие планы развития ИТ отдела, и приносить пользу
• Договоренности • Фиксируй, конструктивно привлекай
руководство, сохраняй прозрачность
9
Взаимодейстивие: ИТ -> ИБ • Уважение • Пойми контекст
• Нужно знать структуру СМИБ, общие планы по развитию
• В идеале, нужно понимать как ИБ смотрит на проект
• Предугадывай • Проактивность – предотвращает
проблемы
10
Природа конфликта интересов ИТ и ИБ
11
ИБ ИТ Основные функции
Обеспечение безопасности информации: конфиденциальность, целостность и доступность
Обеспечение мобильности, скорости, доступности, целостности систем
Цель Защита информации Удобство использования для бизнеса
Метод достижения
Ограничение Открытость
Технические защитные меры
Управление активами • Инвентаризация «железа», ПО, управление лицензиями
• Использование сканеров, базы конфигураций • Классификация информации, владельцы информации
• Определить за что отвечает ИТ, провести тренинги • Проработать основные бизнес-процессы – открытие/закрытие проекта
(выдача/сдача оборудования, ПО/лицензий) • Безопасное удаление информации с носителей
• С использованием спец. ПО • Физическое удаление носителей информации (HDD, бумага) • Приемлемое использование активов
• Печать через PIN, шифрование носителей инф-ии, настройка средств коммуникации и т.п. 13
Управление доступом • Управление доступом - обеспечение того, чтобы доступ к активам
был санкционирован и ограничен • Первично – процессное обеспечение (need to know, least privilege) • Техническая реализация вторична • IdM, IAM – редко встречаются в чистом виде, чаще заменяются
набором ручных процедур и полуавтоматических решений • Active directory • Стандартные чеклисты по созданию/удалению пользователей • RACI матрицы, User rights pattern
14
Управление доступом - сложности
• Ревью прав – сложная техническая задача
• Но одна из критически важных (перемещение сотрудников между проектами, уход и тп)
• Реальные задачи • Увольнение сис.админа (хорошая проверка) • Управление правами заказчика внутри сети компании
• Многоплановость управления доступом • Управление паролями • Удаленный доступ • Управление доступом при обмене информацией • Доступ к физическим активам (доступ в помещения, доступ к оборудованию).
15
Сетевая безопасность • Безопасная архитектура сети
• Сеть должна быть спроектирована, постоянно оптимизироваться (в зависимости от оборудования, бизнес-потребностей, реальности)
• Процесс внедрения изменений (change mgmt.), управление доступом к конфигурациям
• WiFi – одно из слабых мест • Логгирование действий, защита логов • Отдельная тема: ISO/IEC 27033-1/6 Network security, NIST SP 800-53
• Безопасность ИТ сервисов • Определить что ИТ предоставляет бизнесу, SLA • Последовательно развивать ИБ в отдельных ИС (принудительная
аутентификация, безопасный вход в ИС, закрытие активных сессий и др)
16
Пентесты
• В рамках «18.2.3. Анализ технического соответствия»
• Делаем через проект – с привлечением специалистов (заслуженных)
17
Кадры решают все • Либо создаем внутреннюю команду из подходящих специалистов
• Базовое обучение, • Разработка методики, • Тесты, в согласовании с ИТ
Другое • Физическая безопасность (обслуживание оборудования, СКУД и др) • Антивирус • Бэкапирование • Логгинг и мониторинг (защита от админов) • Обновления системного ПО • Поддержка раздельных сред разработки,
тестирования, прод
• Лучше все внедрять как проекты
18
Последовательность внедрения технических мер • Определяется общим планом внедрения СМИБ
• Тот в свою очередь – анализом рисков
• В некоторых крупных организациях (как правило банки, госорганизации) – дело лоббирования, бюджета и случая
• Пример последовательности: • Управление активами (что защищаем?) • Безопасная сеть (архитектура, firewalls, VPN) • Антивирусы, резервное копирование • Управление доступом • Все остальное
19
Внедрение ИБ инструментов По поводу применения различных ИБ инструментов (DLP, SIEM и т.д) • Инструментов и их производителей много • Критерии выбора:
• Анализ рисков – основа для принятия любого решения • Общая стратегия ИБ – посыл со стороны бизнеса • Лишний бюджет ?:) – тут уж что интереснее
20
Внедрение ИБ инструментов – какой инструмент нужен? NIST Cybersecurity Framework – матрица возможных решений
21
Внедрение ИБ инструментов – текущий рынок
22 По материалам презентации Российская rasputitsa как объяснение будущего отечественной отрасли ИБ от Aleksey Lukatskiy
Вместо заключения
23
Алексей Евменков, CISM isqa.ru [email protected]
Авторский курс: Внедрение СМИБ
Расширенная практическая часть, полное руководство по внедрению ИСО 27001 и защитных мер из ИСО 27002 3х дневный курс, 8-10 июня 2016г. http://edu.softline.by/courses/smib.html
