ИСО 27001 на практике, или будни внедренца
TRANSCRIPT
![Page 1: ИСО 27001 на практике, или будни внедренца](https://reader030.vdocuments.mx/reader030/viewer/2022020113/5874608a1a28abab198b5055/html5/thumbnails/1.jpg)
ИСО 27001 на практике, или будни
внедренца СУИБАлексей Евменков, isqa.ru
30.03.2016
![Page 2: ИСО 27001 на практике, или будни внедренца](https://reader030.vdocuments.mx/reader030/viewer/2022020113/5874608a1a28abab198b5055/html5/thumbnails/2.jpg)
Аннотация• Стандарт ISO/IEC 27001:2013 – все слышали,
мало кто видел• Сложность темы ИБ находит отражение в
стандарте. Полное внедрение ISO 27001, с использованием всех рекомендаций - потребует годы для средней организации.
• Как создать с нуля сбалансированную СУИБ, как выбрать только реально необходимые защитные меры и как правильно внедрить процессы ИБ?
![Page 3: ИСО 27001 на практике, или будни внедренца](https://reader030.vdocuments.mx/reader030/viewer/2022020113/5874608a1a28abab198b5055/html5/thumbnails/3.jpg)
Аннотация2Глаза боятся, руки делают
![Page 4: ИСО 27001 на практике, или будни внедренца](https://reader030.vdocuments.mx/reader030/viewer/2022020113/5874608a1a28abab198b5055/html5/thumbnails/4.jpg)
Представление• Специалист по ИБ (CISM), по
процессам и качеству в ИТ области• Внедряю и подготавливаю к
сертификации - ИСО 27001 и 9001• Первая в РБ ИСО 27001 сертификация
(в2008г, Tieto)• Консалтинг и сертификации РБ,
Россия, Финляндия, Швеция, Прибалтика
• Проекты интеграций компаний• Профессиональный аудитор по ИБ
и процессам
![Page 5: ИСО 27001 на практике, или будни внедренца](https://reader030.vdocuments.mx/reader030/viewer/2022020113/5874608a1a28abab198b5055/html5/thumbnails/5.jpg)
Цель/Статус?• Внедрить с нуля
• Уже внедряю, интересна вот эта деталь..
• Давно все внедрено
• Нет, я только посмотреть)
![Page 6: ИСО 27001 на практике, или будни внедренца](https://reader030.vdocuments.mx/reader030/viewer/2022020113/5874608a1a28abab198b5055/html5/thumbnails/6.jpg)
Когда необходим ИСО 27001?
• Требование заказчика• Обязательное условие для участия в тендере• Заказчик хочет быть уверен в сохранности своих данных
• Желание организации• Необходимо повысить защищенность от рисков• Уменьшить количество и стоимость инцидентов• Создать позитивный бизнес-образ, безопасный и
современный
![Page 7: ИСО 27001 на практике, или будни внедренца](https://reader030.vdocuments.mx/reader030/viewer/2022020113/5874608a1a28abab198b5055/html5/thumbnails/7.jpg)
Термины
![Page 8: ИСО 27001 на практике, или будни внедренца](https://reader030.vdocuments.mx/reader030/viewer/2022020113/5874608a1a28abab198b5055/html5/thumbnails/8.jpg)
Термины - ИБ• Информационная Безопасность (ИБ) - свойство
информации сохранять конфиденциальность, целостность и доступность.
• Иногда добавляются:• Неотказуемость,• Подотчетность• Аутентичность• Достоверность
Пример актива?
![Page 9: ИСО 27001 на практике, или будни внедренца](https://reader030.vdocuments.mx/reader030/viewer/2022020113/5874608a1a28abab198b5055/html5/thumbnails/9.jpg)
ISO 27001:2013 – что нового• Более структурированный, уменьшено кол-во
контролов 133->114• Термины перенесены в 27000 – вышла версия в
2016• Гармонизация с другими стандартами (а 9001 в
свою очередь ввели понятие рисков)• + владелец рисков• - записи • - превентивные
меры
Источник картинок: ISO27001 Academy
![Page 10: ИСО 27001 на практике, или будни внедренца](https://reader030.vdocuments.mx/reader030/viewer/2022020113/5874608a1a28abab198b5055/html5/thumbnails/10.jpg)
ISO 27001:2013 – что новогоВ целом, более удобный и читабельный стандарт
Источник картинок: ISO27001 Academy
Хороший обзор «что нового» в ISO 27001:2013
![Page 11: ИСО 27001 на практике, или будни внедренца](https://reader030.vdocuments.mx/reader030/viewer/2022020113/5874608a1a28abab198b5055/html5/thumbnails/11.jpg)
СМИБ – общая схемаПланирование и мониторинг целей
Требования ИСО 27001
Политики и процедуры СМИБ
Корр
екти
рую
щие
им
еры
Управление рисками
Аудиты
Измерения, метрики Комплекс защитных
мер
![Page 12: ИСО 27001 на практике, или будни внедренца](https://reader030.vdocuments.mx/reader030/viewer/2022020113/5874608a1a28abab198b5055/html5/thumbnails/12.jpg)
СМИБ – защитные мерыИБ в управлении персоналом
Управление активами
Управление доступом Организация ИБ
Криптография
Физическая безопасность
Антивирусная защита ПО
Резервное копирование
Логи и мониторинг
Управление сетевой безопасностью
ИБ при разработке ПО
ИБ при работе с поставщиками
Управление инцидентами
Управление непрерывностью бизнеса
Соответствие требованиям регуляторов
114 защитных мер
![Page 13: ИСО 27001 на практике, или будни внедренца](https://reader030.vdocuments.mx/reader030/viewer/2022020113/5874608a1a28abab198b5055/html5/thumbnails/13.jpg)
Как внедрять СУИБ
![Page 14: ИСО 27001 на практике, или будни внедренца](https://reader030.vdocuments.mx/reader030/viewer/2022020113/5874608a1a28abab198b5055/html5/thumbnails/14.jpg)
Как внедрять СУИБ• Как проект• Команда проекта, бюджет, ответственность
![Page 15: ИСО 27001 на практике, или будни внедренца](https://reader030.vdocuments.mx/reader030/viewer/2022020113/5874608a1a28abab198b5055/html5/thumbnails/15.jpg)
Как внедрять СУИБ
• Первоначальный аудит• Планирование на основе аудита• Обработка рисков• Уточнение плана • Внедрение защитных мер, согласно плана• Запуск СУИБ• Сертификация СУИБ• Эксплуатация СУИБ
12345678
![Page 16: ИСО 27001 на практике, или будни внедренца](https://reader030.vdocuments.mx/reader030/viewer/2022020113/5874608a1a28abab198b5055/html5/thumbnails/16.jpg)
Первоначальный аудит• Чеклист по основным элементам ИСО 27001, по
всем защитным мерам 27002• Желательно привлечение технического
специалиста для проверки сети, технических защитных мер
• Результат – набор замечаний, входной материал для составления плана
1 аудит
![Page 17: ИСО 27001 на практике, или будни внедренца](https://reader030.vdocuments.mx/reader030/viewer/2022020113/5874608a1a28abab198b5055/html5/thumbnails/17.jpg)
Предварительный план проекта• Подготовка плана
• на основании результатов аудита • чеклист аудита – и есть основа плана
• Список связанных под-проектов• СКУД, охранная сигнализация, вентиляция и т.п.
2 план
![Page 18: ИСО 27001 на практике, или будни внедренца](https://reader030.vdocuments.mx/reader030/viewer/2022020113/5874608a1a28abab198b5055/html5/thumbnails/18.jpg)
Ценность анализа рисковПосле трагедии 11 сентября• В первые три месяца после атаки количество
машин выросло более чем на 5 %• Увеличилось кол-во дорожных инцидентов• За 12 мес. погибло на 1600 человек больше
средних значений• Что в 6 раз превышает общее количество
пассажиров (256), погибших в результате авиакатастроф 2001 года
• В 2002–2005 гг. 2,5 млрд человек воспользовались в США коммерческими авиарейсами. Ни один из них не погиб в крупной авиакатастрофе
3 риски
![Page 19: ИСО 27001 на практике, или будни внедренца](https://reader030.vdocuments.mx/reader030/viewer/2022020113/5874608a1a28abab198b5055/html5/thumbnails/19.jpg)
Ценность анализа рисков• Экономия $, времени, ресурсов• Улучшение планирования, повышение
эффективности• Основание для принятия объективного решения
3 риски
![Page 20: ИСО 27001 на практике, или будни внедренца](https://reader030.vdocuments.mx/reader030/viewer/2022020113/5874608a1a28abab198b5055/html5/thumbnails/20.jpg)
Без рисков скучно«Если бы наш мир когда-нибудь обрел полную определенность, наша жизнь стала бы невыносимо скучной»
Книга Понимать риски. Как выбирать правильный курс
3 риски
![Page 21: ИСО 27001 на практике, или будни внедренца](https://reader030.vdocuments.mx/reader030/viewer/2022020113/5874608a1a28abab198b5055/html5/thumbnails/21.jpg)
Риски Угроза: нарушение лицензионности, использование чужого кода
Уязвимость: Из-за отсутствия необходимых знаний у членов команды
Актив: программные компоненты (deliverables)
Защитная мера: проведение тренингов, постоянная коммуникация, процедурная поддержка
3 риски
![Page 22: ИСО 27001 на практике, или будни внедренца](https://reader030.vdocuments.mx/reader030/viewer/2022020113/5874608a1a28abab198b5055/html5/thumbnails/22.jpg)
Что нужно защищать?
![Page 23: ИСО 27001 на практике, или будни внедренца](https://reader030.vdocuments.mx/reader030/viewer/2022020113/5874608a1a28abab198b5055/html5/thumbnails/23.jpg)
Управление рисками• Управление активами – основа для управления
рисками• Количественное управление рисками• Создание рисков через CIA модель
3 риски
![Page 24: ИСО 27001 на практике, или будни внедренца](https://reader030.vdocuments.mx/reader030/viewer/2022020113/5874608a1a28abab198b5055/html5/thumbnails/24.jpg)
Пример рассчета риска
Актив = Интернет соединение
С I A
4 3 4
Lk Im E=Av*Lk*Im
2 ср.частота
4 Оч. серьезно 3.67*2*4=29.36
Av=3.67
Risk exposure range (E=Av*Lk*Im)
Risk Rank
0-12 Low
13-24 Medium
25-64 High
Потеря интернет соединения -> из за выхода из строя локального сетевого оборудования
29.36 = High risk
3 риски
![Page 25: ИСО 27001 на практике, или будни внедренца](https://reader030.vdocuments.mx/reader030/viewer/2022020113/5874608a1a28abab198b5055/html5/thumbnails/25.jpg)
Пример: хранение и распространение контрафакта• 9.21 КоАП «Нарушение авторского права, смежных прав и права
промышленной собственности» http://news.tut.by/society/481405.htmlАктив: репутация Компании
Угроза: потеря репутации компании, финансовые потери
Уязвимость: неосведомленность сотрудников Компании (неосмотрительное пользование интернетом)
Анализ риска: штраф до 200БВ+300БВ (42млн+63млн=105млн)Сотрудники часто пользуются торрентами, и позволяют с себя скачивать (т.е. распространять). Риск СРЕДНИЙ (принимаем защитные меры)
Сотрудник заливает с торрента клип, публикует в VK.
Защитные меры: • Немедленная нотификация сотрудников, объяснить ответственность сотруд-в• Включение в регулярные тренинги правил работы в интрернете (торрент, соцсети+)• Письмо в "отдел К" или OAЦ, что нам предпринять для защиты наших периметров• Запустить под-проект в ИТ отделе – ограничение трафика торрентов• Связаться с коллегами из ПВТ – перенять опыт
3 риски
![Page 26: ИСО 27001 на практике, или будни внедренца](https://reader030.vdocuments.mx/reader030/viewer/2022020113/5874608a1a28abab198b5055/html5/thumbnails/26.jpg)
Пример: указ №98Указ № 98 «О совершенствовании порядка передачи сообщений электросвязи» от 15.03.2016г http://42.tut.by/488762
Актив: репутация КомпанииУгроза: потеря коммуникации с зарубежным заказчиком
Уязвимость: несоответствие текущих конфигураций IP телефонии новому законодательству (?)
Анализ риска: под ударом – IP телефония. Владельцы Viber и Skype должны заключить договоры о взаимодействии с белорусскими операторами?Какие штрафы? Могут заблокировать IPs? Рекомендации ОАЦ?
Использования IP-телефонии для коммуникации с зарубежными заказчиками
Защитные меры: • ? Мало информации• Ждем разъяснений
3 риски
![Page 27: ИСО 27001 на практике, или будни внедренца](https://reader030.vdocuments.mx/reader030/viewer/2022020113/5874608a1a28abab198b5055/html5/thumbnails/27.jpg)
Уточнение плана (создание плана обработки рисков)Вопрос. До какой степени внедрять защитные меры ИСО 27002?
4 план+
![Page 28: ИСО 27001 на практике, или будни внедренца](https://reader030.vdocuments.mx/reader030/viewer/2022020113/5874608a1a28abab198b5055/html5/thumbnails/28.jpg)
Как внедрять защитные меры• Например физическую безопасность• Или непрерывность бизнеса (BCP)• Или инциденты
5 внедрение
![Page 29: ИСО 27001 на практике, или будни внедренца](https://reader030.vdocuments.mx/reader030/viewer/2022020113/5874608a1a28abab198b5055/html5/thumbnails/29.jpg)
5 внедрениеТяжелый и легкие подходы
![Page 30: ИСО 27001 на практике, или будни внедренца](https://reader030.vdocuments.mx/reader030/viewer/2022020113/5874608a1a28abab198b5055/html5/thumbnails/30.jpg)
Определяем контекст
• Организация• Большая-маленькая• Один офис-несколько, в
разных локациях?
• Офис• Опен-спейс/комнаты• Делится с другими
организациями?
• Какие активы защищаем?• Наличие серверной, закрытых
зон? (в первую очередь речь об информации
• Средняя, 300 сотрудников• Три офиса, в разных
городах
• И опен-спейс и комнаты• Нет
• Да , серверная, склад, финансовый отдел
Цель – очертить периметр, в котором будет контролируемый уровень физич. безопасности
![Page 31: ИСО 27001 на практике, или будни внедренца](https://reader030.vdocuments.mx/reader030/viewer/2022020113/5874608a1a28abab198b5055/html5/thumbnails/31.jpg)
Разрабатываем концепцию, описываем• Раз офисов несколько, и вероятно дальнейшее
развитие, то разрабатывам стандарт физической безопасности
• Минимальные требования, стартовая точка для всех офисов
• Контент: физический периметр, зонирование, охранная сигнализация, СКУД, видеонаблюдение и т.п.
• Разрабатываем политику физической безопасности для центрального офиса
• Конкретика для конкретного офиса, где, кто, что• Конфиденциальный документ
5 внедрение
![Page 32: ИСО 27001 на практике, или будни внедренца](https://reader030.vdocuments.mx/reader030/viewer/2022020113/5874608a1a28abab198b5055/html5/thumbnails/32.jpg)
Примеры5 внедрение
![Page 33: ИСО 27001 на практике, или будни внедренца](https://reader030.vdocuments.mx/reader030/viewer/2022020113/5874608a1a28abab198b5055/html5/thumbnails/33.jpg)
Внедрение
• Доработка где требуется• Дополнительные камеры видеонаблюдения• Установка охранной сигнализации на закрытые зоны• Бейджи?• Строительные работы
• Публикация• Тренинги для владельцев зон, для сотрудников• Периодические проверки, корректировки
• Включить в периодические аудиты
5 внедрение
![Page 34: ИСО 27001 на практике, или будни внедренца](https://reader030.vdocuments.mx/reader030/viewer/2022020113/5874608a1a28abab198b5055/html5/thumbnails/34.jpg)
Повторить цикл для следующей защитной меры:)
5 внедрение
![Page 35: ИСО 27001 на практике, или будни внедренца](https://reader030.vdocuments.mx/reader030/viewer/2022020113/5874608a1a28abab198b5055/html5/thumbnails/35.jpg)
Еще пример - внедрение технического аудита
• Penetration testing• Анализ сети, конфигураций оборудования
• Делаем через проект – с привлечением специалистов (заслуженных)
• Либо создаем внутреннюю команду из подходящих специалистов
Кадры решают все
5 внедрение
![Page 36: ИСО 27001 на практике, или будни внедренца](https://reader030.vdocuments.mx/reader030/viewer/2022020113/5874608a1a28abab198b5055/html5/thumbnails/36.jpg)
На чем не стоит (чрезмерно) заморачиваться• Политика ИБ
• Становится формальностью при хорошем комплекте документации
• Анализ со стороны руководства • Замещается регулярными совещаниями с руководством
5 внедрение
![Page 37: ИСО 27001 на практике, или будни внедренца](https://reader030.vdocuments.mx/reader030/viewer/2022020113/5874608a1a28abab198b5055/html5/thumbnails/37.jpg)
Запуск СМИБ
• Управление целями в области ИБ, практическое лидерство руководства организации
• Разработка и внедрение системы метрик ИБ• Внутренние аудиты ИБ• Тренинги, создание культуры ИБ в организации• Анализ со стороны руководства
6 запуск
![Page 38: ИСО 27001 на практике, или будни внедренца](https://reader030.vdocuments.mx/reader030/viewer/2022020113/5874608a1a28abab198b5055/html5/thumbnails/38.jpg)
Сертификация СМИБ• Требуемый уровень «международного
признания»• Система аккредитации – ANAB, UKAS, DAkkS и др.
Орган сертификации Система сертификации
BSI ANABBureauVeritas UKASРусский Регистр ANABDNV UKASБелГИСС DakkS
Список систем аккредитации: http://www.iaf.nu/articles/Accred_Body_Members_by_Name/52
7 сертификация
![Page 39: ИСО 27001 на практике, или будни внедренца](https://reader030.vdocuments.mx/reader030/viewer/2022020113/5874608a1a28abab198b5055/html5/thumbnails/39.jpg)
ЭксплуатацияСМИБПрио Активность Пер. КомментарииHigh Управление целями ИБ Cont. Регулярные совещания с руководством, внутренние
совещания. Планирование и улучшение СМИБ.High Управление рисками Cont. Постоянный анализ рисковHigh Управление инцидентами Cont. Регистрация и реагирование на инцидентыMed Внутренние аудиты Cont. Планирование и проведение аудитовMed Технический аудит Cont. Анализ сети и конфигураций оборудования, pen. testing.Med Измерение эффективности
защитных мер (метрики)Cont. Разработка и внедрение метрик ИБ, отчетностьи
High BCP тестирование Year. Планы по обеспечению непрерывности бизнеса - разработка и тестирование.
High Анализ со стороны руководства Year. Подготовка и проведение.High Проекты ИБ Cont. Участие в ИБ проектах, например установка лог. и
мониторинга событий для критических ИС. Внедрение DLP+
High Повышение осведомленности персонала, тренинги ИБ
Cont. Программа тренингов ИБ на разных уровнях
High Взаимодействие с заинтересованными сторонами
Cont. Письма / фидбек от сотрудников. Информация от вендоров.
Low Анализ и обновление документации СМИБ
Cont. Постоянная активность - актуализация и гармонизация документации.
Med Подготовка и прохождение сертификационных и подтверждающих аудитов
Year. Как правило, запускается в виде отдельного под-проекта.
8 эксплуатация
Что делает Менеджер ИБ (команда ИБ после
сертификации?)
![Page 40: ИСО 27001 на практике, или будни внедренца](https://reader030.vdocuments.mx/reader030/viewer/2022020113/5874608a1a28abab198b5055/html5/thumbnails/40.jpg)
Заключение
![Page 41: ИСО 27001 на практике, или будни внедренца](https://reader030.vdocuments.mx/reader030/viewer/2022020113/5874608a1a28abab198b5055/html5/thumbnails/41.jpg)
Дисклаймер
![Page 42: ИСО 27001 на практике, или будни внедренца](https://reader030.vdocuments.mx/reader030/viewer/2022020113/5874608a1a28abab198b5055/html5/thumbnails/42.jpg)
Авторский курсВнедрение СМИБ
Расширенная практическая часть, руководство по внедрению ИСО 27001
и защитных мер из ИСО 27002
3 дня, 6-8 апреля 2016г.http://edu.softline.by/courses/smib.html
Алексей Евменков, [email protected]