iso 27001 внедрение технических защитных мер
TRANSCRIPT
![Page 1: Iso 27001 внедрение технических защитных мер](https://reader030.vdocuments.mx/reader030/viewer/2022012313/587460a51a28abab198b50a9/html5/thumbnails/1.jpg)
ISO 27001: внедрение технических защитных мер
Алексей Евменков, isqa.ru
![Page 2: Iso 27001 внедрение технических защитных мер](https://reader030.vdocuments.mx/reader030/viewer/2022012313/587460a51a28abab198b50a9/html5/thumbnails/2.jpg)
Контекст
![Page 3: Iso 27001 внедрение технических защитных мер](https://reader030.vdocuments.mx/reader030/viewer/2022012313/587460a51a28abab198b50a9/html5/thumbnails/3.jpg)
3
Наш контекст: ИСО 27001 и СМИБ• ИСО 27001 – международный стандарт, на основе которого строится
Система Менеджмента Информационной Безопасности (СМИБ)• Базовая схема СМИБ:
Планирование и мониторинг целей
Требования ИСО 27001
Политики и процедуры СМИБ
Корр
екти
рую
щие
им
еры
Управление рисками
Аудиты
Измерения, метрики Комплекс защитных
мер
ИБ в управлении персоналом
Управление активами
Управление доступом Организация ИБ
Криптография
Физическая безопасность
Антивирусная защита ПО
Резервное копирование
Логи и мониторинг
Управление сетевой безопасностью
ИБ при разработке ПО
ИБ при работе с поставщиками
Управление инцидентами
Управление непрерывностью
бизнеса
Соответствие требованиям регуляторов
~114 защитных мер
![Page 4: Iso 27001 внедрение технических защитных мер](https://reader030.vdocuments.mx/reader030/viewer/2022012313/587460a51a28abab198b50a9/html5/thumbnails/4.jpg)
4
Что такое «технические защитные меры»?
Технические защитные меры?• Меры, реализуемые
посредством ИТ решений/инструментов.
• Ответственность и ресурсы как правило – со стороны ИТ
• Например, внедрение антивирусной защиты, безопасная архитектура сети, разделение (segregation) в сетях, внедрение DLP и т.п.
ИБ в управлении персоналом
Управление активами
Управление доступом
Организация ИБ
Криптография
Физическая безопасность (оборудование)
Антивирусная защита ПО
Резервное копирование
Логи и мониторинг
Управление сетевой безопасностью
ИБ при разработке ПО
ИБ при работе с поставщиками
Управление инцидентами
Управление непрерывностью бизнеса (резервирование)Соответствие требованиям
регуляторов
Мобильные устройства и удаленная работа
Защитные меры ИСО 27002 (в произвольном порядке):
Техническая мера Косвенно техническая мера Нетехническая мера
Легенда:
![Page 5: Iso 27001 внедрение технических защитных мер](https://reader030.vdocuments.mx/reader030/viewer/2022012313/587460a51a28abab198b50a9/html5/thumbnails/5.jpg)
5
Кто такие технические специалисты?
• Сотрудники ИТ отдела - системные администраторы• Сотрудники ИБ отдела – специалисты по пентесту, «технари»• Сотрудники других отделов, участвующих во внедрении
технических защитных мер СМИБ
![Page 6: Iso 27001 внедрение технических защитных мер](https://reader030.vdocuments.mx/reader030/viewer/2022012313/587460a51a28abab198b50a9/html5/thumbnails/6.jpg)
Технические специалисты
![Page 7: Iso 27001 внедрение технических защитных мер](https://reader030.vdocuments.mx/reader030/viewer/2022012313/587460a51a28abab198b50a9/html5/thumbnails/7.jpg)
7
Точки соприкосновения ИБ и ИТ (в контексте внедрения СМИБ)
Инициация и планирование Разработка и внедрение Эксплуатация
• Проведение первоначального технического аудита
• Планирование технических защитных мер
• Руководство в технических проектах
• Подтверджение в каждой процедуре, с участием ИТ
• Тренинги для технических специалистов
• Эксплуатация, оптимизация и модернизация технических защитных мер
• Пентесты• Разбор инцидентов и
рисков• BCP
![Page 8: Iso 27001 внедрение технических защитных мер](https://reader030.vdocuments.mx/reader030/viewer/2022012313/587460a51a28abab198b50a9/html5/thumbnails/8.jpg)
8
Характеристика технич. специалиста
• Любит• Тишину, отсутствие излишнего
внимания к своей персоне• Заниматься «непонятными» задачами
(вроде «конфигурирования железки»)
• Не любит• Публичности• Взаимодействия с руководством,
политики• Взаимодействия ни с кем
![Page 9: Iso 27001 внедрение технических защитных мер](https://reader030.vdocuments.mx/reader030/viewer/2022012313/587460a51a28abab198b50a9/html5/thumbnails/9.jpg)
9
Взаимодейстивие: ИБ -> ИТ• Изучи «птичий язык»
• Хотя бы на уровне терминов, лучше с пониманием
• Уважение • Простое человеческое уважение
• Впишись в общие планы • (желательно) твои активности должны
вписываться в общие планы развития ИТ отдела, и приносить пользу
• Договоренности • Фиксируй, конструктивно привлекай
руководство, сохраняй прозрачность
![Page 10: Iso 27001 внедрение технических защитных мер](https://reader030.vdocuments.mx/reader030/viewer/2022012313/587460a51a28abab198b50a9/html5/thumbnails/10.jpg)
10
Взаимодейстивие: ИТ -> ИБ• Уважение• Пойми контекст
• Нужно знать структуру СМИБ, общие планы по развитию
• В идеале, нужно понимать как ИБ смотрит на проект
• Предугадывай• Проактивность – предотвращает
проблемы
![Page 11: Iso 27001 внедрение технических защитных мер](https://reader030.vdocuments.mx/reader030/viewer/2022012313/587460a51a28abab198b50a9/html5/thumbnails/11.jpg)
11
Природа конфликта интересов ИТ и ИБ
ИБ ИТОсновные функции
Обеспечение безопасности информации: конфиденциальность, целостность и доступность
Обеспечение мобильности, скорости, доступности, целостности систем
Цель Защита информации Удобство использования для бизнеса
Метод достижения
Ограничение Открытость
![Page 12: Iso 27001 внедрение технических защитных мер](https://reader030.vdocuments.mx/reader030/viewer/2022012313/587460a51a28abab198b50a9/html5/thumbnails/12.jpg)
12
Технические защитные меры
![Page 13: Iso 27001 внедрение технических защитных мер](https://reader030.vdocuments.mx/reader030/viewer/2022012313/587460a51a28abab198b50a9/html5/thumbnails/13.jpg)
13
Управление активами• Инвентаризация «железа», ПО, управление лицензиями
• Использование сканеров, базы конфигураций
• Классификация информации, владельцы информации• Определить за что отвечает ИТ, провести тренинги• Проработать основные бизнес-процессы – открытие/закрытие проекта
(выдача/сдача оборудования, ПО/лицензий)
• Безопасное удаление информации с носителей• С использованием спец. ПО
• Физическое удаление носителей информации (HDD, бумага)• Приемлемое использование активов
• Печать через PIN, шифрование носителей инф-ии, настройка средств коммуникации и т.п.
![Page 14: Iso 27001 внедрение технических защитных мер](https://reader030.vdocuments.mx/reader030/viewer/2022012313/587460a51a28abab198b50a9/html5/thumbnails/14.jpg)
14
Управление доступом• Управление доступом - обеспечение того, чтобы доступ к активам
был санкционирован и ограничен• Первично – процессное обеспечение (need to know, least privilege) • Техническая реализация вторична• IdM, IAM – редко встречаются в чистом виде, чаще заменяются
набором ручных процедур и полуавтоматических решений• Active directory• Стандартные чеклисты по созданию/удалению пользователей• RACI матрицы, User rights pattern
![Page 15: Iso 27001 внедрение технических защитных мер](https://reader030.vdocuments.mx/reader030/viewer/2022012313/587460a51a28abab198b50a9/html5/thumbnails/15.jpg)
15
Управление доступом - сложности
• Ревью прав – сложная техническая задача• Но одна из критически важных (перемещение
сотрудников между проектами, уход и тп)• Реальные задачи
• Увольнение сис.админа (хорошая проверка)• Управление правами заказчика внутри сети компании
• Многоплановость управления доступом• Управление паролями • Удаленный доступ• Управление доступом при обмене информацией• Доступ к физическим активам (доступ в помещения, доступ к оборудованию).
![Page 16: Iso 27001 внедрение технических защитных мер](https://reader030.vdocuments.mx/reader030/viewer/2022012313/587460a51a28abab198b50a9/html5/thumbnails/16.jpg)
16
Сетевая безопасность• Безопасная архитектура сети
• Сеть должна быть спроектирована, постоянно оптимизироваться (в зависимости от оборудования, бизнес-потребностей, реальности)
• Процесс внедрения изменений (change mgmt.), управление доступом к конфигурациям
• WiFi – одно из слабых мест• Логгирование действий, защита логов• Отдельная тема: ISO/IEC 27033-1/6 Network security, NIST SP 800-53
• Безопасность ИТ сервисов• Определить что ИТ предоставляет бизнесу, SLA• Последовательно развивать ИБ в отдельных ИС (принудительная
аутентификация, безопасный вход в ИС, закрытие активных сессий и др)
![Page 17: Iso 27001 внедрение технических защитных мер](https://reader030.vdocuments.mx/reader030/viewer/2022012313/587460a51a28abab198b50a9/html5/thumbnails/17.jpg)
17
Пентесты
• В рамках «18.2.3. Анализ технического соответствия»
• Делаем через проект – с привлечением специалистов (заслуженных) Кадры решают все
• Либо создаем внутреннюю команду из подходящих специалистов• Базовое обучение, • Разработка методики, • Тесты, в согласовании с ИТ
![Page 18: Iso 27001 внедрение технических защитных мер](https://reader030.vdocuments.mx/reader030/viewer/2022012313/587460a51a28abab198b50a9/html5/thumbnails/18.jpg)
18
Другое• Физическая безопасность (обслуживание оборудования, СКУД и др)• Антивирус• Бэкапирование• Логгинг и мониторинг (защита от админов)• Обновления системного ПО• Поддержка раздельных сред разработки,
тестирования, прод
• Лучше все внедрять как проекты
![Page 19: Iso 27001 внедрение технических защитных мер](https://reader030.vdocuments.mx/reader030/viewer/2022012313/587460a51a28abab198b50a9/html5/thumbnails/19.jpg)
19
Последовательность внедрения технических мер• Определяется общим планом внедрения СМИБ
• Тот в свою очередь – анализом рисков
• В некоторых крупных организациях (как правило банки, госорганизации) – дело лоббирования, бюджета и случая
• Пример последовательности:• Управление активами (что защищаем?)• Безопасная сеть (архитектура, firewalls, VPN)• Антивирусы, резервное копирование• Управление доступом• Все остальное
![Page 20: Iso 27001 внедрение технических защитных мер](https://reader030.vdocuments.mx/reader030/viewer/2022012313/587460a51a28abab198b50a9/html5/thumbnails/20.jpg)
20
Внедрение ИБ инструментовПо поводу применения различных ИБ инструментов (DLP, SIEM и т.д)• Инструментов и их производителей много• Критерии выбора:
• Анализ рисков – основа для принятия любого решения• Общая стратегия ИБ – посыл со стороны бизнеса• Лишний бюджет ?:) – тут уж что интереснее
![Page 21: Iso 27001 внедрение технических защитных мер](https://reader030.vdocuments.mx/reader030/viewer/2022012313/587460a51a28abab198b50a9/html5/thumbnails/21.jpg)
21
Внедрение ИБ инструментов – какой инструмент нужен?NIST Cybersecurity Framework – матрица возможных решений
![Page 22: Iso 27001 внедрение технических защитных мер](https://reader030.vdocuments.mx/reader030/viewer/2022012313/587460a51a28abab198b50a9/html5/thumbnails/22.jpg)
22
Внедрение ИБ инструментов – текущий рынок
По материалам презентации Российская rasputitsa как объяснение будущего отечественной отрасли ИБ от Aleksey Lukatskiy
![Page 23: Iso 27001 внедрение технических защитных мер](https://reader030.vdocuments.mx/reader030/viewer/2022012313/587460a51a28abab198b50a9/html5/thumbnails/23.jpg)
23
Вместо заключения
![Page 24: Iso 27001 внедрение технических защитных мер](https://reader030.vdocuments.mx/reader030/viewer/2022012313/587460a51a28abab198b50a9/html5/thumbnails/24.jpg)
Алексей Евменков, [email protected]
Авторский курс: Внедрение СМИБ
Расширенная практическая часть, полное руководство по внедрению ИСО 27001 и защитных мер из ИСО 27002
3х дневный курс, 8-10 июня 2016г.http://edu.softline.by/courses/smib.html