1

Сравнение подходов к защите конфиденциальной информации коммерческих

организаций

Лекция 2

Руководитель проектов защиты информации ТРИНИТИ СОЛЮШНС, г. Москва

Мялковский Игорь Константинович im@trinity.su, security@trinitygroup.ru 8-800-200-5960, 8 812 3275960#2803, +7 911 910 70 39CIO club Санкт-Петербурга, АРСИБЛичный блог: http://3nity.ru/ «Обеспечение безопасности информации» 40 популярных статей в журналах: ИТ-менеджер, Директор по безопасности , ПДн 3 патента, 3 учебника, 15 научных статей, 2 авторских курса лекций ВАС, 3 НИР медаль Гос комитета по науке и технике РФ за лучшую научную работу года

2

Тест драйв

Сложнее всего ничего не делать. Необходимо время в этом

убедиться

Можно безопасно смотреть на Солнце. Но аккуратно

Всеобщий принцип свободы и независимости: можно все, что хотите, и с Вами может случиться все, что угодно

А ЧТО БУДЕТ, ЕСЛИ НЕ ЗАЩИЩАТЬ ПДН?

3

Пугаем народ по новому: кому сколько за что не обязательно

Тест драйв

Ст. КоАП

Содержание статьи Максимальная мера руб

Было Стало*

5.39 Отказ в предоставлении гражданину информации (о том, как организация обрабатывает его ПДн)

3000 13.11.2: Нет доступа к ПДн15 000 - 30 00020 000 - 40 000

13.11 Нарушение установленного законом порядка обработки информации о гражданах (напр. отсутствие согласия)

10 000 13.11.3: Несоблюдение требований: 100

000 -200 000 (если инцидент без УК)

13.12 Использование ТСЗИ, не прошедших проверку… (несертифицированных)

20 000 + лишение лицензии,

приостановление деятельности на 90

суток

Без изм

19.5 Невыполнение предписания регулятора

20000 Без изм

19.7 Непредставление или не полное предоставление уведомления

5000 Без изм* Станет с 01.07.14г. Проект КоАП предварительно согласован с Правительством, передан РКН на рассмотрение в ГД

Где поставить запятые?

4

Тест драйв

Ответственность ЮЛ по новому

Обработка ПДн с нарушением требований к содержанию согласия субъектов ПДн

15 000 – 50 000 р

Обработка ПДн без согласия субъектов ПДн (если оно нужно)

30 000 - 50 000 р

Незаконная обработка специальных категорий ПДн в случаях, не предусмотренных законодательством

150 000 ..300 000 р

Ст. 13.11.2. Непредоставление оператором информации и (или) доступа к сведениям, предусмотренным законодательством РФ о ПДн:• Необеспечение неограниченного доступа к политике в области ПДн и сведениях о реализуемых

мерах защиты - 15 000 - 30 000р• Непредоставление субъекту ПДн информации, касающейся обработки его ПДн: 20 000 - 40 000 р

Положение об обработке и защите ПДн

Ст. 13.11.3. Несоблюдение требований законодательства РФ по ОБИ ПДн (если инциденты без УК):• Невыполнение обязанностей по соблюдению условий, обеспечивающих сохранность ПДн при

хранении мат носителей - 25 000 - 50 000р• Невыполнение обязанностей по защите ПДн при автоматизированной обработке: 100 000 - 200 000 р• Инциденты с ПДн в гос и муницип учреждениях (штраф на ДЛ): 30 000 – 50 000 р

Россия вновь победит, но надо опять немного пострадатьНезнание закона не освобождает от ответственности, а знание - освобождает

5

Тест драйв

Ответственность за разглашение КТ 38-ФЗ от 12.03.14 – изменения в 98-ФЗ от 01.10.14

Ст. ГК РФ 98-ФЗ

Содержание статьи Максимальная мера руб

Было Стало*

3.2 Изменено содержание: Инф, составляющая

секрет производства

(ноу хау)

Инф, которая имеет действительную или

потенциальную коммерческую ценность в

силу ее неизвестности третьим лицам

6.1 1. Права на КТ возникают с момента установления режима КТ

2. Обладатель имеет право требовать от ФЛ охраны этой КТ

требовать возмещения убытков

11 О возмещении убытков Руководитель орг. Возмещает орг убытки,

причиненные его виновными действиями.

Размер определяется гражданским

законодательством

Убытки не возмещаются, если работодатель не соблюдал меры ОБИ, и в следствие непреодолимой силы

6

Можно ли защититься на

100%?

Какие ОРД оформлять? С чего начинать?

Сами или нанимать и

можно удаленно?

Можно ли КИ (ПДн) защитить без

модернизации ИТ-инфраструктуры?

Что в инфраструктуре

менять?

ПДн или конфиденциал

ьная информация?

Можно ли безопасность

измерять?

Что такое модель угроз?

Что делать с тем, что уже

есть?Чем отличается

автоматизированная система от

автоматического комплекса?

Создавать систему или

комплекс защиты?

Сложнее всего тем, кто пытается законы РФ соблюдать

Обязательно ли по стандартам?

Над чем ломают голову CIO и CISO?

7

1. Рынок ИБ становится более сложным2. Двигатели рынка ИБ по убыванию доли: - законодательство о защите ПДн 152-ФЗ - нац платежная система PCI DSS - защита от кибератак (мы вступили в эпоху

информационных войн с использованием ИТ)

4. Контроль над средствами IPS (предотвращения вторжений) – ФСБ – сертификация

5. Отрасли отходят от прямого соблюдения 152-ФЗ в направлении специальных тайн

6. Ст. 19.2.3 152-ФЗ остается действующей

Ключевые тенденции ИБ 2014..2015

8

Идеология подхода:1. Ориентироваться на системный подход к защите информации2. Рассматривать АСЗИ вместе с СУИБ и с подсистемой

обеспечения безопасности информации3. КИ защищать в рамках одного проекта защиты КТ, СТ, ноу-хау

и ПДн (> 44 видов тайн), гос тайна - отдельно.

4. Творчески опираться на законодательство, используя результаты проверок

5. Учитывать влияние других систем безопасности на АСЗИ (физической, финансовой, пожарной, экологической, ядерной и пр.)

6. Ограничения ИБ согласовывать с людьми, привлекая их к проекту

7. Применять, где возможно, численные методы оценки ИБ и экспертов

8. Внедрять мониторинговые средства

9

Одних стараний для эффективной ИБ не достаточно Должна быть стратегия

Защита КИ

(КТ и ПДн) на 80% по Парето + ИСО 9004 + мониторинг защиты

Защита ПДн по 152-ФЗ

Единые технология

обработки инф и ТСЗИ на базе

существующих средств ИТ и ИБ Защита КТ

по ИСО 27001\17799,

СТР-К

Стратегия в Плане защиты инфЕсли у Вас нет плана, Вы планируете неудачу

2 цели АСЗИ: 1. Предотвратить инциденты2. Обеспечить результативное

расследование инцидента

Задача 3-Х: систематическая работа с людьми, орг-правовая, ТСЗИ

Можно ли это померить?

Сколько это может стоить?

Сколько допустимо потратить?Как обосновать руководству?

10

МНЕНИЕ ЭКСПЕРТОВ:Мероприятия по защите КИ сочетают в себе реализацию правовых, организационных и

технических (технологических) мер.

Все они равнозначны!

Невыполнение одних сводит

на нет результаты других.Рекомендации СоДИТ, выработанные на заседании экспертов 6 февраля 2009 г. при участии Межрегиональной общественной организации «Ассоциация защиты информации» и Института Современного Развития, АРСИБ.

Меры (направления защиты) различаются по весу в зависимости от отрасли (банки – правовые, коммерч - технические, гос- правовые и орг)

11

Меры - направления защиты КИ

1.Организационно-правовая работа с персоналом + инструктажи + обучение2. ОРД

4. ТСЗИ

3.Технология обработки КИ – бизнес процессы

5. Использовать то, что уже есть (делается, сделано)

Если Вы большую часть времени честны, то это, может быть, только потому, что у Вас не было возможности обмануть Самюэль Бендахан. Швейцарский Федеральный институт технологии, Лозанна

12

СУТЬ ПРОБЛЕМЫ ЗАЩИТЫ ИНФОРМАЦИИ

1. Что защищать?

2. От кого?

3. Чем?

4. Как?

5. Зачем?

6. Что потом?

13

152-ФЗ ИСО27001\17799

ПП1119 ПП 687

Пр ФСТЭК 2118.02.13

Пр ФСТЭК 1711.02.13

ИСО20000SLA

ИСО9004

РКН: Методы обезличивания

13.12.13

ГОСТ РО 0043-003\004-2012*

149-ФЗ СТР-К

* Аттестация добровольно, обязательная отменена Пр 58 ФСТЭК

КоАП (проект изм.2014)

Из чего состоит защита КИ? Новые требования

То, что сделали ИТ-шники, ИБ-шники защищают.Не лучше ли планировать и делать это одновременно?

Метод указания МЗСР

Метод указания ФНС

14

Из чего состоит защита КИ?

Конфиденциальность Целостность Доступность

Аутентичность – подтверждение подлинности и достоверности эл

документов

Неотказуемость – невозможность отрицания совершенных действий

ИСО 27001\17799, СТР-К

Не ищи виновного, а ищи того, кто исправит

Корреспонденция и ОРД

Внутренние документы: договоры, нормативы, справки,

учет кадров

Управление взаимодействием с клиентами

Работа с обращениями граждан Автоматизация сервисных

служб (SLA)

Разработка проектно-сметной документации

Решение прикладных задач (управление ресурсами)Работа с документами и данными

Подотчетность – обеспечение идентификации + регистрация

действий

Политика ИБ по

8 ОТЛИЧИЙ ПДН ОТ КИ (КТ, СТ)

ПДн Коммерческая (служебная) тайна

1. Требуется согласие субъекта

Решение о закрытии информации принимает руководство организации для гос тайны установлен регламент, какие сведения к ней относить

2. Режим «строго конфиденциально» Гриф секретности или пометка

3. Распространение с согласия субъекта

Только по решению руководства или регламенту организации

4. При внедрении СЗПДн поверх СЗКИ могут меняться технология обработки информации

Технология обработки формируются на стадии создания организации

5. При внедрении СЗПДн переломить чужие привычки не удается, приходится убеждать

Как правило, обработка КИ выполняется по жестким регламентам принудительно

6. Уничтожаются по достижении целей \ сроков обработки. Субъекту извещение

По достижении целей обработки архивируются или уничтожаются установленным порядком по акту

7. Требуется точное знание источника ПДн- доказать при проверке и в суде,

Знать откуда получена КИ – не обязательное требование

8. Ответственность административная по ст. 13.11, 13.12 КоАП РФ и уголовная по ст. 137, 140, 171 УК РФ за распространение ПДн

Дисциплинарная по Правилам трудового распорядка, уголовная по ст. 139 ГК, 183 УК (за разглашение коммерческой тайны)

Россия вновь победит, но надо опять немного пострадать

ДСП

16

Что? Биометрические ПДн

152-ФЗ ст. 11ГОСТ Р ИСО/МЭК 19794-5-2006Автоматическая идентификация. Идентификация биометрическая. Форматы обмена биометрическими данными. Часть 5. Данные изображения лицаISO 24745 - Biometric Template Protection

17

От кого ?

Люди мало задумываются над тем, какое количество конфиденциальной информации они разглашают непреднамеренно Мария Дубовицкая, IBM Research Zurich

Текучка

Праздники

По дороге домой

Случайно потеряла

Стикеры на месте

_ Случайные?

_ Из любопытства?

_ А что если?

_ Злоумышленники?

Степень «злонамеренности» растет в зависимости от сложности защиты.

18

От кого ?Люди мало задумываются над тем, какое количество конфиденциальной информации они разглашают непреднамеренно Мария Дубовицкая, IBM Research Zurich

Текучка

Праздники

По дороге домой

Случайно потеряла

Стикеры на месте

1 Случайные – не знали

2 Из любопытства

3 А что если взломать?

4 Злоумышленники

Инсайдеры – 58% инцидентов ИБ, бывшие сотрудники – 7%, клиенты и партнеры - 18%Источник: Clearswift Securelab.ru

19

Конфиденциальность Целостность Доступность

Аутентичность – подтверждение подлинности и достоверности эл

документов

Неотказуемость – невозможность отрицания совершенных действий

Ввод, создание документа

Получение прав доступа к ИС

Утверждение, (визирование)Передача

Распространение, сбор, классификация

Использование

Изменение УничтожениеАрхивированиеSAAS

Чем и как? Концепция систематической безопасной обработки в ЖЦ КИ (КТ и ПДн) Secret Documents Lifecycle в СЭД

ИСО 27001, 17799, COBIT, СТР-К

20

Жизненный цикл ПДн

ПДн поступили из Паспортного стола

USB накопитель (шифр)

ПДн из ТСЖ на бумажных носителях

ПДн поступили из Социального центра – список на бумажн

носителе

Субъект лично, оригиналы документов

Паспортные данные, адрес,

жилплощадь, тлф Пасп данные, сведения о

проживающих

ФИО, дата рожд, дата нач и оконч льготы по оплате

коммунальных услуг

Пасп данные, сведения о

льготах

XOR

Сбор

Накопление

Систематизация и запись (ввод в

ИСПДн)

Работники, допущенные

приказом от 29.07.11 №197

...

...

Хранение

Подано уведомление оператора об

обработке ПДн

Группа процессов использования

ПДн

Журнал «ИТ – менеджер», июль 2012г «Жизнь ПДн», И. Мялковский, А. Шехурдин

Источники ПДн

21

Жизненный цикл ПДн

Поступил запрос (обращение) на уточнение ПДн

V

Уточнение (обновление, изменение)

Извлечение

Передача (распространение, предоставление,

доступ)

Блокирование Обезличивание Удаление

Уничтожение

Поступил запрос (обращение) на блокирование,

обезличивание или удаление ПДн

Цели или сроки обработки ПДн

достигнуты

V

XOR

V

V

ПДн уничтожены

V

Использование измененных ПДн

ПДн переданы третьей стороне

V

Сроки по 152-ФЗ ст. 21 или по табл 5

Заключения о рез обследования

объекта

Субъект ПДн или организация по ст. 20

152-ФЗ Субъект ПДн

V

Работники по приказу от 29.07.11 №197 с

оформлением акта об уничтожении

В соотв с Регламентом действий при обращениях и

запросах

Использование

Принято решение об использовании

ПДн

Работники, допущенные

приказом от 29.07.11 №197 ...

Администраторы ИСПДн

Уточнение (обновление, изменение)

V

Подано уведомление оператора об изменениях

обработки ПДн

V

Подача уведомления об

изменениях перечня ПДн

Журнал «ИТ – менеджер», июль 2012г «Жизнь ПДн», И. Мялковский, А. Шехурдин

22

Зачем? Уровень защищенности или?

ТерминГде

встречается?

Что это?

Уровень значимости информаци

и

Приказ 17 Абстрактная величина. «определяется степенью возможного ущерба для обладателя информации (заказчика) и (или) оператора от нарушения конфиденциальности, целостности или доступности информации.»

Уровень защищенно

сти информаци

и

149-ФЗ,Приказ 17

Абстрактная величина, определения нет.Некое состояние системы, при котором выполняются определенные требования к ИБ информации в ней.

Уровень защищенно

сти ПДн

152-ФЗ, ПП1119, Приказ 17, Приказ 21

Конкретный показатель (1-4). «Комплексный показатель, характеризующий требования, исполнение которых обеспечивает нейтрализацию определенных угроз безопасности ПДн при их обработке в ИСПДн»

Уровень защищенно

сти ИС

152-ФЗ Абстрактная величина, определения нет.некое состояние системы, при котором выполняются определенные требования к ИБ в ней.

Класс защищенно

сти ИС

Приказ 17  СТР-К

Конкретный показатель (1-4).«Классификация информационной системы проводится в зависимости от значимости обрабатываемой в ней информации и масштаба информационной системы (федеральный, региональный, объектовый)»

23

Соответствие ПП 1119 \Пр ФСТЭК 21\17 и ПП РФ 781 \ Пр 58Информационное сообщение ФСТЭК по защите ПДн от 20.11.12 № 240\24\4669

СЗИ, сертифицированные для защиты ПДн в соответствии с требованиям 1.0

усл.об.

усл.об.

могут применяться для защиты ПДн в соответствии с требованиям 2.0

для защиты ИСПДн до 1 класса К1

УЗ1

ИСПДн до 1 уровня защищенности включительно

УЗ2

УЗ3

для защиты ИСПДн до 2 классаК2

УЗ4ИСПДн 4 уровня защищенности включительно

К3К4

классы защиты СЗИ в соответствии с Требованиями из комплекта 1.0

усл.об.

усл.об.

могут применяться для защиты ПДн в соответствии с требованиям 2.0

4 класс защиты СОВ и САЗ могут применяться для защиты ИСПДн 3 и 4 класса

К1

УЗ1 ИСПДн 1 и 2 уровня защищенности  

ИСПДн 3 уровня защищенности (с актуальными угрозами 2-ого типа или

подключенные к Интернет)

УЗ2

УЗ3*

5 класс защиты СОВ и САЗ могут применяться для защиты ИСПДн 2 класса

К2 УЗ3- ИСПДн 3 уровня защищенности (с неактуальными угрозами 2-ого типа или

не подключенные к Интернет)

6 класс защиты СОВ и САЗ могут применяться для защиты ИСПДн 1 класса

К3УЗ4 ИСПДн 4 уровня защищенности

К4

Изменения требований к системам обнаружения вторжений (СОВ) и к средствам антивирусной защиты (САЗ) с привязкой их к уровням защищенности ИСПДн

Средства защиты с наличием в сертификате ФСТЭК упоминаний классов ИСПДн

24

Тест драйв

Что потом? Административный регламент РКН – что проверяют?

1. Не осуществляет контроль технической защиты ИСПДн 2. Все документы запрашиваются только на основании мотивированного письменного запроса3. Имеет право получать доступ к ИСПДн. 4. Имеет право применять меры по приостановлению или прекращению деятельности при

нарушении 152- ‐ФЗ5. Имеет право обращаться в Миэкономразвития для привлечения ФСТЭК и ФСБ к проверке 6. ФСТЭК контролирует только гос предприятия. Корпоративные только по решению

Правительства РФ7. Срок проверки – не более 20 рабочих дней

Приказ 630 01.12.2009 ФС НСС ИТ МК

РКН не является источником права!

25

Право на неприкосновенность частной жизни?Конституция РФ, гл.2, ст 23. Каждый имеет право на неприкосновенность частной... + ст. 24, 251. Каждый имеет право на неприкосновенность частной жизни, личную и семейную тайну, защиту своей чести и доброго имени.2. Каждый имеет право на тайну переписки, телефонных переговоров, почтовых, телеграфных и иных сообщений. Ограничение этого права допускается только на основании судебного решения.152-ФЗ, 99-ФЗ от 07.05.13, ГК РФ ст. 152, Всеобщая декларация прав человека, Европейская конвенция о защите прав человека и основных свобод, Международный пакт о гражданских и политических правах, УК РФ ст. 137 «Неприкосновенность частной жизни», Семейный кодекс

1. Можно ли читать электронную почту сотрудников?

2. Можно ли читать сведения сотрудников из их мобильных телефонов, используемых в режиме BYOD, например, при использовании корпоративных MDM систем?

ИТ менеджер, 04.2014, апрель–май, ст. Рустэм Хайретдинов, www.allcio.ru

26

Какой подход к защите

конфиденциальной информации правильный?

27

Какой?

Комплексный

Инновационный

ПроцессныйСистемный

Упрощенный

РациональныйОптимальный

28

29

Доктрина ИБ РФ

22 раза в Доктрине упоминается Комплекс мер и средств ИБ 5 раз – Уровень информационной безопасности

Тест драйв

Управлять защитой: должны действовать измеримые механизмы, позволяющие осуществлять мониторинг и оценку типов, объемов и влияний инцидентов и отклонений, связанных с ИБЖурнал IT news? 11/09/12 # 14(196) с 23 (Мнение экспертов)

ГК «Техносерв»: «Необходимо получить целостную СЗИ, интегрированную в объект информатизации, подобрать оптимальное решение и режим работы как СЗИ, так и АИС в целом. СЗИ создается исходя из предпосылок: невозможно обеспечить требуемый уровень защищенности ИС исключительно одним средством или мерой или простой их совокупностью». Необходимо их системное согласование

Что об этом говорят законодательство, ученые и СМИ?

ПП от 01.11.12№ 1119: «Система защиты персональных данных включает в себя организационные и (или) технические меры, определенные с учетом актуальных угроз безопасности персональных данных и информационных технологий, используемых в информационных системах. ????

Даже комплексный анализ – часть общего решения. Intelligent Enterprice 09/2011

30

31

Комплексный1. Взят из практики, обыденного (бытового) сознания2. Объект - набор элементов, без учета связей и динамики

развития 3. Не учитывает воздействия метасистемы и внешней

среды 4. Не учитывает историю и память системы5. Позволяет объединить несколько систем без

рассмотрения достижений цели полисистемы6. Субъективный с перечислением составных частей

объекта7. Комплекс – всегда может быть рассмотрен, как система,

но не каждая система - комплекс8. Автоматические программные комплексы: ГОСТ 34 и 2

Обязательно ли в России соблюдать технические ГОСТы?- 184-ФЗ

32

Системный

1. Рассматривать АСЗИ, как систему, элемент метасистемы – ИТ инфраструктуры. Свойства системы не равны свойствам ее элементов (целостный аспект)

2. Выделять и анализировать систему по частям (элементам и связям) в динамике развития (структурный аспект)

3. Анализировать внешние воздействия на систему, сопоставлять функции системы с влиянием внешних условий (функциональный аспект)

4. Учитывать историю и перспективы системы, (исторический аспект)

5. Автоматизированная система: ГОСТ 34 и 19

Все сложное – неправда! Григорий Сковорода, украинский философ

33

От идеальности в бюджетную реальность

Комплексный

Инновационный

ПроцессныйСистемный

Упрощенный

РациональныйОптимальный

Если -------------------------------------- ИТС

Если ---------------------

34

лет безупречной работы на рынке информационных технологий

ИТ инфраструктура

АСЗИ

Миссия

Стратегия (Политика ИБ) защиты КИ

(КТ+ПДн):подходы

Технология обработки и защиты инф

Вспомогательные

подсистемы АСЗИ

Цели

ТСЗИ

Люди

ОРД

Если смотреть на АСЗИ как на систему - взаимоувязанную целями защиты совокупность эелментов, то сразу закономерно возникает

желание ее оценивать, измерять

Предмет: Автоматизированная система защиты информации (коммерческой, служебной, спец тайны и персональных данных)

Требования законов,Бизнес-факторы Рекомендации, указания регуляторов, Региональные условия,Зависимость от других оргганизаций

Особенности взаимоотношений с контрагентами (партнерами, поставщиками, клиентами)

А у нас коммерческой тайны нет!!! ??? И нам нечего скрывать по МСФО!!!

А нам не нужна защита КТ, только ПДн!?

Это не СУИБ!

36

Достичь разумного (обоснованного с участием экспертов или с помощью расчетов и измерений) соответствия:

Требование к идеальному проекту защиты информации

Значений параметров (характеристик)

уровня защищенности информации

Значений параметров (характеристик) эффективности основных процессов обработки

информации~На основе применения субъективного

(определенного опытным путем) правила Парето: 80% положительного эффекта достигается 20% усилий, а оставшиеся 20% - оставшимися 80% усилий (читай материальных затрат, иногда и

моральных)

Ставьте перед собой цели по больше – не промахнетесь!

37

ССП АСЗИ в виде дерева взаимосвязанных целей, функций, мер и средств защитыПредотврат

итьРасследоват

ь

Конф

ид

енц

иал

ьность

Цел

остн

ость

Досту

пность

Ауте

нти

чнос

ть

Неотк

азу

ем

ость

Под

отч

ето

ст

ь

Кри

пто

защ

ит

а

Ан

тиви

русн

ая

МС

Э

Сегм

ен

тиров

ан

ие

Неп

реры

вн

ое

ул

учш

ен

ие

качест

ва п

о

ИС

О 9

00

4

Реги

страц

ии

и

учета

Уп

равл

ен

ия

дост

уп

ом

Защ

ита

м

аш

ин

ны

х

носи

тел

ей

Доверен

ная

загр

узк

а

Защ

ита

ви

рту

ал

ьн

ой

ср

ед

ы

Рассматривать ТСЗИ в аспекте исключения пересечений функций защиты

А где пресловутая работа с людьми и управление персоналом?

…

38

РЕАЛИЗАЦИЯ СИСТЕМНОГО ПОДХОДА - ССП

1. Выбрать самое важное и то, от чего следует отказаться при создании АСЗИ (ПДн), выявить пересекающиеся функции подсистем, их показатели.

2. Метод системы сбалансированных показателей (ССП):- разделить стратегические цели, задачи, критерии, показатели и

средства их достижения на элементарные части, - ограничиться самыми важными, - добиться сбалансированности частей - получить возможность явно и оперативно отслеживать изменения

показателей и степень их влияния на стратегические цели.

Сбалансированность показателей = очевидность, непосредственность влияния их (функций АСЗИ) друг на друга.

Если не сильно доверяем устройству, даем ему кусочки безопасных сервисовОдинаково защищать булавки и брильянты – одинаково плохо

39

Показатели ССП защиты КИ и ПДн

Опережающие показатели при мониторинге: среднее время простоя подсистемы, стоимость потерь в результате реализации угрозы, количество инцидентов за период, количество успешно раскрытых, коэффициент готовности АСЗИРезультирующие - при подведении итогов: суммарное время восстановления обработки информации, стоимость затрат на восстановление за период (год) …

Опережающие показатели «раннего предупреждения» АСЗИ формируются путем разбиения сложных показателей достижения целей АСЗИ на простые составляющие показателей подсистем. Финансовые цели достигаются нефинансовыми показателями, а сама стратегия – не только правила игры, но и путь с правилами его прохождения.

Какие?

Как?

Если цели АСЗИ (ПДн) будут казаться не достижимыми вашим подчиненным, они не будут стараться достичь их

40

ДО КАКОЙ СТЕПЕНИ ЗАЩИЩАТЬСЯ?

МОЖНО ЛИ ИЗМЕРИТЬ ИБ?Создание АСЗИ (ПДн) - по принципу Парето 80/20 < 10..20% бюджета

Обеспечить оперативность расследования (реакции) на каждый инцидент

Обеспечить непрерывное повышение качества АСЗИ по ИСО9004 взамен бесцельного контроля по ПП 1119 от 01.11.12Он (Валико) мне сказал: «Такую неприязнь испытываю к потерпевшему, что кушать не могу»

Источник: ИТ менеджер 07.2012 « Процессный подход – современный подход к управлению организацией при управлении качеством»

41

Контроль или мониторинг? Вместо бесцельного контроля - процессный подход к управлению безопасностью по ИСО 9004 + SLA (ИСО 20000): • учет реакций по обратным связям системы мониторинга.• контроль и накопление значений показателей ССП;• систематические аудиты, каждый из которых не ограничивать

простыми проверкой соответствия, а поднимать планку заданного показателя. В противном случае всякий контроль теряет смысл и становится бедствием для подчиненных, превращается в формальность и постепенно умирает при очередной смене власти.

Процессы аудитов, мониторинга должны быть нацелены на полезный для бизнеса результат по COBIT

Любой показатель не имеет собственной оценки. Все рассматривать через систему ценностей бизнеса: финансовые показатели не опережающие

42

Типовые несоответствияНет понимания, что произошло - «я ничего не делала»!

Доступ в помещение ~ доступ к инф (мусорные корзины, уборщица и т.п.)

Общие принтеры, внешние e-mail: gmail.ru, mail.ru Одноклассники, Facebook, Twitter, ICQ, Skype

Мобильные устройства, VIP + VPN

Беспроводные под паролями, но пароли на стенке рядом, то же АРМ

У кого больше доступ, тот и большую угрозу представляет – VIP смартфоны

Утиль: старые CD, DVD, винчестеры, флэшки…, мусорные корзины с ПДн

Сервер в ремонт вместе с базой ПДн (управление персоналом)

Групповые рассылки e-mail - вся клиентская база (поздравления)

Фото, доска почета, видеокамера в зале - не биометрия

А ксерокопия паспорта – не ПДн

СКУД защищать не нужно

TeamViewer, ICQ, RA admin… не проверяются

Разные места хранения ПДн + «ищи сам, что нужно»

В ИТ или ИБ проекте важно точно знать, что делаешь и почему делаешь именно так

43

Несоответствия в Ростове на Дону и Челябинске

1. Неправильное хранение сертифицированного ПО и документации 2. Отсутствие контролируемого доступа в помещения ИСПДн и где

размещены СКЗИ - средства криптозащиты информации3. Нет документов, подтверждающих установку СКЗИ - не выполнены

требования по монтированию и настройке СКЗИ4. Нет эксплуатационных документов на СКЗИ5. Отсутствует учет СКЗИ 6. Отсутствует описание системы защиты информации 7. Нет модели угроз и действий потенциального нарушителя 8. Нет документов о защите инф в ИСПДн и порядка восстановления инф.

ИСПДн после взлома\уничтожения 9. Не проведено обучение пользователей работе с СКЗИ (нет документов,

подтверждающих проведение обучения)10.Не определен порядок (частота, ответственные, сроки) проведения

внутреннего аудита соответствия требования к защите ПДн

Кому нужна защита одних прав в ущерб другим?

44

Типовые «грабли» проектов

• Когда проверят, тогда и будем думать• Внедрение АСЗИ (ПДн) само упорядочит дела в

организации;• Пути защиты инф у нас уникальны• АСЗИ (ПДн) до уровня системы охраны или

видеонаблюдения• С людьми работать не обязательно• Зачем меня ограничили, ведь я все это знаю?• Разработка и исполнение регламентов

для галочки, все равно никому это не нужно

• Доведение защищенности до абсурда, граничащего с физической невозможностью соблюсти все собственно разработанные нормы и эксплуатировать внедренные средства.

Опыт без теории – пересечение болота с уверенностью, что до болота была же твердая почва

Нету денег!!!

45

Можно ли использовать настройки имеющихся средств?

*С эволюционной точки зрения высокоморальное поведение - не рациональная стратегия выживания. Хитрость и умение быстро адаптироваться к обстоятельствам, иметь гармонию с окружающей средой дает большие шансы на успех и победу

Ст.19.2.3 152-ФЗ-06: Обеспечение безопасности ПДн достигаетсяприменением прошедших в установленном порядке процедуру оценки соответствия средств защиты информацииПП РФ 1119 01.11.12: использование средств защиты информации, прошедших процедуру оценки соответствия требованиям законодательства РФ в области ОБИ, в случае, когда применение таких средств необходимо для нейтрализации актуальных угроз.

46

Мялковский Игорь Константинович

Руководитель проектов защиты информации

Форум:

i.myalkovskiy@trinitygroup.ruim@trinity.su

www.trinitygroup.ru

ЕДИНЫЙ Телефон по России

8 800 200 5960 Санкт-Петербург

+7 (812) 327-59-60Москва

+7 (495) 232-92-30Екатеринбург

+7 (343) 378-41-50

Все народные мудрости - от глупости

http://3nity.ru/ «Обеспечение безопасности информации»