Внедрение СУИБ, соответствующей ИСО 27001 в ИТ компании
TRANSCRIPT
![Page 1: Внедрение СУИБ, соответствующей ИСО 27001 в ИТ компании](https://reader031.vdocuments.mx/reader031/viewer/2022012406/55d57226bb61eba14c8b45e0/html5/thumbnails/1.jpg)
Внедрение СУИБ, соответствующей ИСО 27001, в ИТ компании
Алексей Евменков. Tieto
![Page 2: Внедрение СУИБ, соответствующей ИСО 27001 в ИТ компании](https://reader031.vdocuments.mx/reader031/viewer/2022012406/55d57226bb61eba14c8b45e0/html5/thumbnails/2.jpg)
План презентации
• Введение
• Теория
• Практика
• Заключение
![Page 3: Внедрение СУИБ, соответствующей ИСО 27001 в ИТ компании](https://reader031.vdocuments.mx/reader031/viewer/2022012406/55d57226bb61eba14c8b45e0/html5/thumbnails/3.jpg)
Введение
![Page 4: Внедрение СУИБ, соответствующей ИСО 27001 в ИТ компании](https://reader031.vdocuments.mx/reader031/viewer/2022012406/55d57226bb61eba14c8b45e0/html5/thumbnails/4.jpg)
Термины и определения
• ИБ = Информационная Безопасность (information security): – свойство информации сохранять конфиденциальность, целостность и
доступность. [Источник: ГОСТ Р ИСО/МЭК 27001:2006]
• СУИБ = Система Управления Информационной Безопасностью:– часть общей системы менеджмента, – основанная на использовании методов оценки бизнес-рисков – для разработки, внедрения,функционирования, мониторинга, анализа,
поддержки и улучшения информационной безопасности. [Источник: ГОСТ Р ИСО/МЭК 27001:2006]
• Альтернативное определение СУИБ: – Система, основанная на управлении бизнес-рисками– Для защиты активов (assets) выбираются и внедряются соответствующие
защитные меры (security controls)
![Page 5: Внедрение СУИБ, соответствующей ИСО 27001 в ИТ компании](https://reader031.vdocuments.mx/reader031/viewer/2022012406/55d57226bb61eba14c8b45e0/html5/thumbnails/5.jpg)
Зачем необходима СУИБ?
• Бизнес-риски срабатывают, а Вы о них даже не подозревали?
• Ваши партнеры не считают Вас вполне надежными?
• Ваша внутренняя информация не всегда под контролем?
• Ваши процессы не совсем зрелые в области ИБ?
• Вы более пассивны чем проактивны в области ИБ?
• У Вас воруют лаптопы?
Пора внедрять СУИБ !
![Page 6: Внедрение СУИБ, соответствующей ИСО 27001 в ИТ компании](https://reader031.vdocuments.mx/reader031/viewer/2022012406/55d57226bb61eba14c8b45e0/html5/thumbnails/6.jpg)
Преимущества сертифицированной СУИБ
• Стандарт содержит разумную, выверенную последовательность действий, которую всегда можно подправить под собственные нужды
• Один раз сертифицирован, признан везде!
• Ежегодное подтверждение сертификата поддерживает тонус
![Page 7: Внедрение СУИБ, соответствующей ИСО 27001 в ИТ компании](https://reader031.vdocuments.mx/reader031/viewer/2022012406/55d57226bb61eba14c8b45e0/html5/thumbnails/7.jpg)
Основная причина сертификации СУИБ
• Заказчик требует\повышение конкурентоспособности
![Page 8: Внедрение СУИБ, соответствующей ИСО 27001 в ИТ компании](https://reader031.vdocuments.mx/reader031/viewer/2022012406/55d57226bb61eba14c8b45e0/html5/thumbnails/8.jpg)
Сколько ИСО 27001 сертификатов в мире?
![Page 9: Внедрение СУИБ, соответствующей ИСО 27001 в ИТ компании](https://reader031.vdocuments.mx/reader031/viewer/2022012406/55d57226bb61eba14c8b45e0/html5/thumbnails/9.jpg)
Теория
![Page 10: Внедрение СУИБ, соответствующей ИСО 27001 в ИТ компании](https://reader031.vdocuments.mx/reader031/viewer/2022012406/55d57226bb61eba14c8b45e0/html5/thumbnails/10.jpg)
Семейство стандартов ИСО 27000
![Page 11: Внедрение СУИБ, соответствующей ИСО 27001 в ИТ компании](https://reader031.vdocuments.mx/reader031/viewer/2022012406/55d57226bb61eba14c8b45e0/html5/thumbnails/11.jpg)
Принципы ИСО 27001
• Процессный подход
• Цикл PDCA (Plan-Do-Check-Act)
![Page 12: Внедрение СУИБ, соответствующей ИСО 27001 в ИТ компании](https://reader031.vdocuments.mx/reader031/viewer/2022012406/55d57226bb61eba14c8b45e0/html5/thumbnails/12.jpg)
Процессный подход
12
ПроцессВход Выход
Управляющее воздействие
Ресурсы
![Page 13: Внедрение СУИБ, соответствующей ИСО 27001 в ИТ компании](https://reader031.vdocuments.mx/reader031/viewer/2022012406/55d57226bb61eba14c8b45e0/html5/thumbnails/13.jpg)
Процессный подход (пример)
13
ВнутреннийАудит
Вход:
- Название отдела, - План,- Имена аудиторов и аудируемых,- Информация об отделе
Выход:
- Отчет по аудиту
-Список несоответствий
-Всеобщее удовлетворение (satisfaction)
Управление: процедура
«Внутренний аудит»
Ресурсы:
-Аудиторы
-Аудируемые
![Page 14: Внедрение СУИБ, соответствующей ИСО 27001 в ИТ компании](https://reader031.vdocuments.mx/reader031/viewer/2022012406/55d57226bb61eba14c8b45e0/html5/thumbnails/14.jpg)
Цикл PDCA (пример)
14
Планирование Аудитов
Осуществление аудитов
Устранение несоответствий, планирование превентивных действий
Проверка на соответствие требованиям ИБ
![Page 15: Внедрение СУИБ, соответствующей ИСО 27001 в ИТ компании](https://reader031.vdocuments.mx/reader031/viewer/2022012406/55d57226bb61eba14c8b45e0/html5/thumbnails/15.jpg)
Риски – центральная тема СУИБ
• Мало кто знает, что ...
• За год от падения кокосов погибает в десятки раз больше людей, чем от акул
– Часто мы боимся не то, что нужно
• Мужчины поражаемы молнией в 4 раза более часто чем женщины
– В жизни бывают странные закономерности
• Шанс выйграть в лотерею обычно ~1 из 14млн. Шанс заболеть птичьим гриппом 1 из 100млн.
– Наши ожидания и страхи зачастую иррациональны, пока не проанализируешь их
![Page 16: Внедрение СУИБ, соответствующей ИСО 27001 в ИТ компании](https://reader031.vdocuments.mx/reader031/viewer/2022012406/55d57226bb61eba14c8b45e0/html5/thumbnails/16.jpg)
Риски – центральная тема СУИБ
• Риски необходимо учитывать
• Разные риски должны обрабатываться «по-разному»
• СУИБ предоставляет набор инструментов по управлению рисками
![Page 17: Внедрение СУИБ, соответствующей ИСО 27001 в ИТ компании](https://reader031.vdocuments.mx/reader031/viewer/2022012406/55d57226bb61eba14c8b45e0/html5/thumbnails/17.jpg)
Управление рисками в СУИБ
• Угроза - причина нежелательного инцидента, который может привести к негативным последствиям для организации .
• Уязвимость – недостаток нформационного ресурса или группы ресурсов, который способствует реализации угрозы.
• Риск - комбинация вероятности срабатывания угрозы через уязвимость, с последующим уроном для активов организации
• Защитная мера – действия по минимизации риска
Некто может пробраться в офис и украсть лаптоп
•Нет системы доступа в офис•Отсутствуют кабели-замки для компьютеров
Некто проникнет в офис и украдет компьютер по причине отсутствия
кабеля-замка
Внедрить в практику использование специальных
кабелей-замков для всех портативных компьютеров
![Page 18: Внедрение СУИБ, соответствующей ИСО 27001 в ИТ компании](https://reader031.vdocuments.mx/reader031/viewer/2022012406/55d57226bb61eba14c8b45e0/html5/thumbnails/18.jpg)
Управление рисками в СУИБ
![Page 19: Внедрение СУИБ, соответствующей ИСО 27001 в ИТ компании](https://reader031.vdocuments.mx/reader031/viewer/2022012406/55d57226bb61eba14c8b45e0/html5/thumbnails/19.jpg)
Процесс оценки рисков
Активы
Уязвимости
Угрозы Вероятности Риски
Категоризациярисков
x =
Определение ценности Активов
![Page 20: Внедрение СУИБ, соответствующей ИСО 27001 в ИТ компании](https://reader031.vdocuments.mx/reader031/viewer/2022012406/55d57226bb61eba14c8b45e0/html5/thumbnails/20.jpg)
Организация ИБ
Разработка, внедрение и обслуживание информационных систем
Управление инцидентами ИБ
Контроль доступаУправление непрерывностью бизнеса
Соответствие требованиям
Персонал
Политика безопасности
Управление активами
Управление средствами коммуникации
Физическая защита
Список защитных мер (ИСО 27002)
![Page 21: Внедрение СУИБ, соответствующей ИСО 27001 в ИТ компании](https://reader031.vdocuments.mx/reader031/viewer/2022012406/55d57226bb61eba14c8b45e0/html5/thumbnails/21.jpg)
Практика
![Page 22: Внедрение СУИБ, соответствующей ИСО 27001 в ИТ компании](https://reader031.vdocuments.mx/reader031/viewer/2022012406/55d57226bb61eba14c8b45e0/html5/thumbnails/22.jpg)
Вызовы при создании СУИБ
• Необходимость в установлении специфических процессов– Например, измерение эффективности защитных мер, аудиты по
безопасности
• Создание комплекта документации– Шаблоны, практики, собственно сам документооборот
• Необходимость в автоматизация процессов– Например, управление рисков очень трудоемко без автоматизации
• Организационные аспекты– Ответственные за политики, тренинг персонала, как получить
«вовлеченность менежмента» (management commitment)
• Сложный процесс сертификации
![Page 23: Внедрение СУИБ, соответствующей ИСО 27001 в ИТ компании](https://reader031.vdocuments.mx/reader031/viewer/2022012406/55d57226bb61eba14c8b45e0/html5/thumbnails/23.jpg)
Схема функционирования СУИБ
Требования ИСО 27001
Защитные меры
Аудиты
Анализ со стороны руководства
Управление рисками
Политики и процедуры
Ко
рр
екти
рую
щи
е и
п
ред
упр
ежд
ающ
ие
дей
ств
ия
![Page 24: Внедрение СУИБ, соответствующей ИСО 27001 в ИТ компании](https://reader031.vdocuments.mx/reader031/viewer/2022012406/55d57226bb61eba14c8b45e0/html5/thumbnails/24.jpg)
Пример определения угроз и уязвимостей
• Фильтрация по доступным активам
• Определение списка угроз для выделенного актива
• Определение уязвимостей, посредством которых данная угроза может реализоваться
![Page 25: Внедрение СУИБ, соответствующей ИСО 27001 в ИТ компании](https://reader031.vdocuments.mx/reader031/viewer/2022012406/55d57226bb61eba14c8b45e0/html5/thumbnails/25.jpg)
Пример оценки рисков
![Page 26: Внедрение СУИБ, соответствующей ИСО 27001 в ИТ компании](https://reader031.vdocuments.mx/reader031/viewer/2022012406/55d57226bb61eba14c8b45e0/html5/thumbnails/26.jpg)
Отчеты
• Стандарт требует некоторые обязательные отчеты
– Например план по обработке рисков (Risk Treatment Plan)
– Положение о применимости (Statement of Applicability)
• Важно динамическая генерация отчетов
• Доступ к любой информации в базе
![Page 27: Внедрение СУИБ, соответствующей ИСО 27001 в ИТ компании](https://reader031.vdocuments.mx/reader031/viewer/2022012406/55d57226bb61eba14c8b45e0/html5/thumbnails/27.jpg)
ISMS Portal
• Необходимо создать «единую точку входа» для всех сотрудников организации
• Автоматизированный документооборот (версионность, workflows)
![Page 28: Внедрение СУИБ, соответствующей ИСО 27001 в ИТ компании](https://reader031.vdocuments.mx/reader031/viewer/2022012406/55d57226bb61eba14c8b45e0/html5/thumbnails/28.jpg)
ISMS Portal - реализация
![Page 29: Внедрение СУИБ, соответствующей ИСО 27001 в ИТ компании](https://reader031.vdocuments.mx/reader031/viewer/2022012406/55d57226bb61eba14c8b45e0/html5/thumbnails/29.jpg)
29
ISMS Portal - примеры
• Документация
• Записи
– Тренинги– Метрики– Аудиты– И т.д.
• Управление инцидентами
![Page 30: Внедрение СУИБ, соответствующей ИСО 27001 в ИТ компании](https://reader031.vdocuments.mx/reader031/viewer/2022012406/55d57226bb61eba14c8b45e0/html5/thumbnails/30.jpg)
30
ISMS Portal - примеры
• Аудиты
– Записи об аудите– Несоответствия
• Экзамены и оценка тренинга
• Линки, объявления, календари, задачи и многое другое.
![Page 31: Внедрение СУИБ, соответствующей ИСО 27001 в ИТ компании](https://reader031.vdocuments.mx/reader031/viewer/2022012406/55d57226bb61eba14c8b45e0/html5/thumbnails/31.jpg)
Inventory DB
• Детальное управление активами
• Оперативное отслеживание статуса активов
• Возможность настройки под любые типы активов
![Page 32: Внедрение СУИБ, соответствующей ИСО 27001 в ИТ компании](https://reader031.vdocuments.mx/reader031/viewer/2022012406/55d57226bb61eba14c8b45e0/html5/thumbnails/32.jpg)
Inventory DB - реализация
![Page 33: Внедрение СУИБ, соответствующей ИСО 27001 в ИТ компании](https://reader031.vdocuments.mx/reader031/viewer/2022012406/55d57226bb61eba14c8b45e0/html5/thumbnails/33.jpg)
Inventory DB - реализация
![Page 34: Внедрение СУИБ, соответствующей ИСО 27001 в ИТ компании](https://reader031.vdocuments.mx/reader031/viewer/2022012406/55d57226bb61eba14c8b45e0/html5/thumbnails/34.jpg)
Заключение
![Page 35: Внедрение СУИБ, соответствующей ИСО 27001 в ИТ компании](https://reader031.vdocuments.mx/reader031/viewer/2022012406/55d57226bb61eba14c8b45e0/html5/thumbnails/35.jpg)
ИБ и разработка ПО
• Целый раздел защитных мер стандарта посвящен «правильной разработке ПО»: «Разработка, внедрение и обслуживание информационных систем»
• В целом содержит здравые рекомендации по разработке – Например «проверка достоверности входных данных», «целостность
сообщений»
• На практике все выливается финансовые возможности Ваши\заказчика
• Также важен профессионализм Ваших разработчиков– Правила хорошего программирования покрывают большинство требований
стандарта
![Page 36: Внедрение СУИБ, соответствующей ИСО 27001 в ИТ компании](https://reader031.vdocuments.mx/reader031/viewer/2022012406/55d57226bb61eba14c8b45e0/html5/thumbnails/36.jpg)
Процесс сертификации
• Тема для отдельного разговора (выбор сертифицирующего органа, общение с консалтерами, внутренняя организация)
Некоторые рекомендации:
• Требует серьезного подхода, детального планирования, «вовлеченности руководства»
• При отсутствии собственных специалистов по безопасности, проходивших сертификацию – рекомендуется нанять организацию – консалтера
• Тренинги – основа работающей на практике СУИБ; также формально закрывает многие требования стандарта
![Page 37: Внедрение СУИБ, соответствующей ИСО 27001 в ИТ компании](https://reader031.vdocuments.mx/reader031/viewer/2022012406/55d57226bb61eba14c8b45e0/html5/thumbnails/37.jpg)
Процесс сертификации
![Page 38: Внедрение СУИБ, соответствующей ИСО 27001 в ИТ компании](https://reader031.vdocuments.mx/reader031/viewer/2022012406/55d57226bb61eba14c8b45e0/html5/thumbnails/38.jpg)
Вопросы и ответы
Спасибо за внимание!
Вопросы?