Александр ДмитриевLead auditor ISO/IEC 27001, BS 25999, ISO 9001Главный редактор журнала “Das Management”Член Международной федерации журналистов

ISO/IEC 27001управление информационной безопасностью

ВАЖНО ПРАВИЛЬНО ПОНИМАТЬ НАЗНАЧЕНИЕ СТАНДАРТА

ISO/IEC 27001

АКТИВЫ – АКТИВЫ – основные объекты основные объекты информационной безопасностиинформационной безопасности

Актив (asset) – все, что имеет ценность для организации

ISO/IEC 13335-1:2004

Информационный актив – материальный или нематериальный объект, который:- является информацией или содержит информацию,- имеет ценность для организации.

Информационные активы:Простые активы• Законодательная база• Технологические регламенты• Тендерные предложения• Рабочие журналы• Отчеты для руководства• Электронные документы• Документы на бумажном носителе

Сложные активы• Компьютер службы сбыта с коммерческой

информацией по потребителям• Сервер, обеспечивающий электронный

документооборот предприятия• Архив (помещение) с документами на бумажных

носителях• Генеральный директор, в голове у которого план

перспективной и оперативной деятельности

ОБЪЕКТЫ СИСТЕМЫ МЕНЕДЖМЕНТА ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ

СВОЙСТВА ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ

ДОСТУПНОСТЬ И ЦЕЛОСТНОСТЬдо 90% проблем

СНИЖЕНИЕ И ОПТИМИЗАЦИЯ СТОИМОСТИ ПОДДЕРЖКИ СИСТЕМЫ БЕЗОПАСНОСТИ

Активы Стоимостьактивов

$

Риски Величина риска

$Принятие

решения о мерах по снижению

риска

$Финансирование

ИБ

Основная выгода внедрения стандартаОсновная выгода внедрения стандарта ISO/IEC 27001:2005

Структура стандарта.

УПРАВЛЕНИЕ РИСКАМИ

Вн

ед

ре

ни

е С

МИ

Б

Отв

етс

тве

нн

ос

ть

ру

ков

од

ств

а

Вн

утр

ен

ни

й а

уди

т

Мо

ни

тор

ин

г С

МИ

Б

Ул

уч

шен

ие

СМ

ИБНаправления безопасности Направления безопасности

ОСНОВА

НАПРАВЛЕНИЯ

Структура стандарта

Общие положения:1. Область применения2. Нормативные ссылки3. Термины и определения

4. Система информационной безопасности5. Обязательства руководства6. Внутренние аудиты системы менеджмента 7. Анализ системы менеджмента информационной

безопасности руководством 8. Совершенствование системы менеджмента

информационной безопасности

Приложение А. (Обязательное)- Требования А.5-А.15

ОСНОВА

НАПРАВЛЕНИЯ

Направления безопасности

А.5 Политика в области безопасности

А.6 Организация системы безопасности

A.7 Классификация активов и управление A.8

Безопасность и персонал

A.9 Физическая и

внешняя безопасность

A.10 Менеджмент компьютеров

и сетей

A.11 Управление доступом к системе

A.12 Приобретение, разработка и

обслуживание информационной

системы

A.13 Менеджмент инцидентов информационной безопасности

A.14 Обеспечение непрерывности бизнеса

A.15 Соответствие законодательству

Общая схема работы СМИБ

I этап. СИСТЕМА УПРАВЛЕНИЯ РИСКАМИ

II этап. определение направлений защиты

III этап. реализация мер защиты ($$$)

Организационные Учебные Программные Аппаратные

А5. Политика

А6. Организация системы

А7. Работа с активами

А8. Персонал

А9. Физическая безопасность

А10. Компьютеры и сети

А11. Управление доступом

А12. Владение информационной системой

А13. Инциденты

А14. Непрерывность бизнеса

А15. Регламентированные требования

Вероят-ность

Ущерб

Оче

нь

ни

зкая

Ни

зкая

Сред

няя

Вы

сока

я

Оче

нь

высо

кая

Низкий 1 3 5 7 9 Средний 3 9 15 21 27 Высокий 5 15 25 35 45 Очень высокий

7 21 35 49 63

Сложная методика = финансовые потери предприятия

Риск менеджмент

Риск менеджмент

Этапы обработки рисков

1 2 3

Риск менеджмент

f. Определение и оценка вариантов обработки рисков

Что можно сделать с существующими рисками?

1) применение соответствующих средств;

2) разумное и целевое принятие рисков, обеспечивающее их полное удовлетворение политикам организации и ее критериям принятия рисков (см. 4.2.1c)2));

3) избегание рисков;

4) перенос связанных бизнес-рисков на другие стороны , например на страховщиков, поставщиков и пр.

Риск менеджмент

G Принять меры по снижению рисков

Наиболее целесообразно выбирать меры согласно приложению А стандарта ISO 27001

Актив

Вл

адел

ец

Угроза

Уязвим

ость

Вероятность

возникнове

ния

Ущ

ерб

Вел

ичина р

иска

Ме

ры по

снижению

рисков

Операционнаясистема

Системныйадминистратор

Вирусы УязвимостьОС

5 5 25 А.9.2.4А.10.4.1-А.10.4.2А.11.x.x

h. Приказ высшего руководства о принятии остаточных рисков

Высшее руководство принимает следующие риски

Риск 1 - Величина 10 - Причина 1

Риск 2 - Величина 17 - Причина 2

Риск 3 - Величина 3 - Причина 3

Генеральный директор ….

Дата Подпись

Риск менеджмент

План работ по подготовке, внедрению и сертификации СМИБ

Первый этап. Управленческий• Осознать цели и выгоды внедрения СМИБ • Получить поддержку руководства на внедрение и ввод в

эксплуатацию системы менеджмента информационной безопасности (СМИБ)

• Распределить ответственность по СМИБ

Второй этап. Организационный• Создать группу по внедрению и поддержке СМИБ• Обучить группу по внедрению и поддержке СМИБ• Определить область действия СМИБ

Алгоритм внедрения СМИБ.

Третий этап. Первоначальный анализ СМИБ• Провести анализ существующей СМИБ• Определить перечень работ по доработке существующей СМИБ

Четвертый этап. Определение политики и целей СМИБ• Определить политику СМИБ• Определить цели СМИБ по каждому процессу СМИБ

Пятый этап. Сравнение текущей ситуации со стандартом• Провести обучение ответственных за СМИБ требованиям стандарта• Проработать требования стандарта • Сравнить требования стандарта с существующим положением дел

Алгоритм внедрения СМИБ.

Шестой этап. Планирование внедрения СМИБ• Определить перечень мероприятий для достижения требований

стандарта• Разработать руководство по информационной безопасности

Седьмой этап. Внедрение системы управления рисками• Разработать процедуру по идентификации рисков• Идентифицировать и ранжировать активы• Каталог «Модули» методики ИТ-Грундшутц• Определить ответственных за активы• Оценить активы• Идентифицировать угрозы и уязвимости активов• Каталог «Угрозы» методики ИТ-Грундшутц• Рассчитать и ранжировать риски• Разработать план по снижению рисков • Каталог «Меры защиты» методики ИТ-Грундшутц• Определить неприменимые контроли (направления)

безопасности из приложения А• Разработать положение о применимости контролей

Алгоритм внедрения СМИБ.

Восьмой этап. Разработка документации СМИБ• Определить перечень документов (процедур, записей, инструкций)

для разработки• Разработка процедур и других документов- управленческие процедуры (стандарт на разработку документов, управление документацией, записями;

корректирующие и предупреждающие мероприятия; внутренний аудит; управление персоналом и др.)- технические процедуры (приобретение, развитие и поддержка информационных систем; управление доступом;

регистрация и анализ инцидентов; резервное копирование; управление съемными носителями и др.)- записи управленческие (отчеты о внутренних аудитах; анализ СМИБ со стороны высшего руководства; отчет об

анализе рисков; отчет о работе комитета по информационной безопасности; отчет о состоянии корректирующих и предупреждающих действий; договора; личные дела сотрудников и др.)

- записи технические (реестр активов; план предприятия; план физического размещения активов; план компьютерной сети; журнал регистрации резервного копирования; журнал регистрации факта технического контроля после изменений в операционной системе; логи информационных систем; логи системного администратора; журнал регистрации инцидентов; журнал регистрации тестов по непрерывности бизнеса и др.)

- инструкции, положения (правила работы с ПК, правила работы с информационной системой, правила обращения с паролями, инструкция по восстановлению данных из резервных копий, политика удаленного доступа, правила работы с переносным оборудованием и др.)

• Разработка и введение в действие документов СМИБ

Алгоритм внедрения СМИБ.

Девятый этап. Обучение персонала• Обучение руководителей подразделений требованиям ИБ• Обучение всего персонала требованиям ИБ

Десятый этап. Разработка и принятие мер по обеспечению работы СМИБ

• Внедрение средств защиты - административных - учебных - технических

Алгоритм внедрения СМИБ.

Одиннадцатый этап. Внутренний аудит СМИБ• Подбор команды внутреннего аудита СМИБ• Планирование внутреннего аудита СМИБ• Проведение внутреннего аудита СМИБ

Двенадцатый этап. Анализ СМИБ со стороны высшего руководства

• Проведение анализа СМИБ со стороны высшего руководства

Тринадцатый этап. Официальный запуск СМИБ• Приказ о введении в действие СМИБ

Четырнадцатый этап. Оповещение заинтересованных сторон• Информирование клиентов, партнеров, СМИ о запуске СМИБ

Алгоритм внедрения СМИБ.

Особенности внедрения отдельных положений стандарта

ISO/IEC 27001

на предприятиях стран СНГ

4.2.1 (h) Приказ высшего руководства о принятии остаточных рисков

Высшее руководство принимает следующие риски

Риск 1 - Величина 10 - Причина 1

Риск 2 - Величина 17 - Причина 2

Риск 3 - Величина 3 - Причина 3

Генеральный директор ….

Дата Подпись

Пункт 5.1.с Установка ролей и ответственности

Комитет по ИТ-безопасности

Много ошибок при работе эл. почты! Настаиваю на проверке!

У нас нет общей концепции безопасности! Как принимать персонал?

Каждый день фиксируем попытки проникновения на сервер! Нужно срочно установить файерволы в точках ….

Персонал не знает правила инф. безо-пасности!

Вышел закон о защите персональных данных. Надо учесть!

Всем спасибо!

Сейчас подробно опишем все наши проблемы, просчитаем риски и определим программу снижения рисков!

Работа СМИБ по требованиям ISO 27001

Офицер ИБ – кто он?

Личное дело: Mr. Smith № 096775

Базовое образование:

- Информационные технологии

- Информационная безопасность

Дополнительное обучение:

- Экономика предприятия

- Международный стандарт по системам управления ИБ

(требования, внедрение, аудит)

- Ежегодный обмен опытом в области ИБ

Черты характера:

- Коммуникабельность, Творческое мышление, Сдержанность

Стаж работы и другие условия:

- на предприятии – 5 лет

- в должности руководителя – 3 года

- знания в области ИТ

- авторитет на предприятии

TOP SECRET

Информационная безопасность – выше, чем:

- Служба ИТ

- Служба делопроизводства

Первый руководитель

Уполномоченныйпо ИБ

Зам. директора Зам. директора

Служба ИТСлужба

делопроизводства

Рекомендация !

Пункт A.9. Физическая безопасность и безопасность окружения

Территория

• Периметр

• Особо важные зоны

• Зоны общего доступа

Оборудование

• Основное

• Вспомогательное

Работа СМИБ по требованиям ISO 27001

Пункт A.10.10.4 Действия системного администратора

Действия системного администратора исистемного оператора должны записываться в журнал

Работа СМИБ по требованиям ISO 27001

Пункт A.11.3.3 Политика чистого рабочего стола и экрана

Рабочие столРабочие стол пользователя не должен содержать конфиденциальную информацию во время присутствия посторонних лиц• Работа не более чем с 1-м конфиденциальным документом• Правило помещения документов в стол или переворачивания документов при входе постороннего• По окончании работы пользователь должен убрать со стола все документы

Работа СМИБ по требованиям ISO 27001

Пункт A.13 Управление инцидентами информационной безопасности

Важно, чтобы ни один инцидент не остался незамеченным!

Работа СМИБ по требованиям ISO 27001

Пункт A.14 Непрерывность бизнеса

Тестирование планов обеспечения непрерывности бизнеса

Работа СМИБ по требованиям ISO 27001

Пункт A.15.1.2 Права интеллектуальной собственности

Основа - соблюдение

«Закона о защите авторских и смежных прав»

Проблемные места:

- Использование нелицензионного программного обеспечения

- Незаконное использование авторских разработок

Работа СМИБ по требованиям ISO 27001

Пункт A.15.1.5 Предотвращение нецелевого использования средств обработки информации

Работа СМИБ по требованиям ISO 27001

Инструменты для внедрения СМИБ, опробованные на предприятиях Украины

АВТОМАТИЗИРОВАННЫЙ ВОПРОСНИК

Раздел стандарта ISO/IEC 27001

Процент выполнения требований конкретного раздела стандарта

Процент выполнения всех требований стандарта

Место для записи комментария по данному вопросу (описание

подтверждения выполнения вопроса, № документа, местонахождение, др.)

Вопрос Варианты ответа

Пункт стандарта

ISO/IEC 27001

Раздел библии-отеки

ITIL

РЕЗУЛЬТАТ ОБСЛЕДОВАНИЯ ПРЕДПРИЯТИЯ

СРАВНЕНИЕ РЕЗУЛЬТАТОВ ОБСЛЕДОВАНИЯ

www.bridgepoint.com.auwww.bridgepoint.com.au

Методика ИТ-Грундшутц

• Методика «ИТ-Грундшутц» - это методика по созданию системы менеджмента информационной безопасности.

• Методика разработана германским правительственным федеральным офисом по информационной безопасности (BSI).

• Документы методики «ИТ-грундшутц» находятся в открытом доступе на сайте www.bsi.de

• Методика состоит из «СТАНДАРТОВ» и «КАТАЛОГОВ»

wwwwww..bsibsi..dede

Методика ИТ-Грундшутц

+ каталоги

Методика ИТ-Грундшутц

Каталоги:

• Часть M. Модули. Описывает активы и действия по внедрению СМИБ

• Часть Т. Угрозы. Подробное описание угроз, использованных в Части М. Каталог угроз к многочисленным активам.

• Часть S. Методы защиты. Описание методов защиты, использованных в Части T. Каталог мероприятий по снижению угроз.

Пример описания процесса

Производственныйотдел

Начальник

Формированиетехнологической

карты

Цех

Начальник

Формированиеплана заказов

Технологическая карта

Расчетсебестоимости

Заявка

Заявка наприобретен

иематериалов

Заявка навыдачубумаги

Отдел снабжения

Менеджер

Приобретениематериалов

Склад

Кладовщик

Выдача бумаги

Планзаказов

Цех

Начальник

ФормированиеГрафика работ на

смену

Графикработ

насмену

Заданиена

выполнениестор.работ

Производственныйотдел

Технолог

Формированиезаявки на расчет

(2ч.)

Сторонниепоставщики

Информация постоимости услуг

Руководство

Директор

Утверждениезаказа-спецификаци

и

Заказ-специфик

ацияутвержд

ен

34

5 7 9 9

КТ12: Дата утверждениязаказа-спецификации

КТ13: Датаформирования

технологической карты

КТ14: Датаформирования плана

заказов

Внедрение ISO 27001 на базе ISO 9001

ISO 9001 = 10-30% ISO 27001

39

350

160

50

100

150

200

250

300

350

I SO/ I EC 27001

Сертификация Обучение Консалтинг

СИТУАЦИЯ В УКРАИНЕ (ISO/IEC 27001)на примере отдельного сертификационного органа

Тенденция спроса по основным потребителям услуг

31

3943

15

2421

912

15

26

1412 12 10 9

7

1 0

0

5

10

15

20

25

30

35

40

45

Обучение

Консалтинг

Сертификация

СИТУАЦИЯ В УКРАИНЕ (ISO/IEC 27001)

Алгоритм внедрения СМИБАлгоритм внедрения СМИБ

Разработка документации СМИБРазработка документации СМИБ

Особенности внедрения на отечественных Особенности внедрения на отечественных предприятияхпредприятиях

Диагностический аудит СМИБДиагностический аудит СМИБ

Внедрение системы риск-менеджментаВнедрение системы риск-менеджмента

Разработка подробного плана работ по внедрению

Внутренний аудит СМИБ

www.das-management.infowww.das-management.info

www.das-management.infowww.das-management.info

МЕЖДУНАРОДНЫЕ, ЕВРОПЕЙСКИЕ, МЕЖДУНАРОДНЫЕ, ЕВРОПЕЙСКИЕ, ОТРАСЛЕВЫЕ СТАНДАРТЫ И ДИРЕКТИВЫОТРАСЛЕВЫЕ СТАНДАРТЫ И ДИРЕКТИВЫ

НАЦИОНАЛЬНЫЕ НОРМЫ НАЦИОНАЛЬНЫЕ НОРМЫ

МЕТОДЫ И ИНСТРУМЕНТЫ МЕНЕДЖМЕНТАМЕТОДЫ И ИНСТРУМЕНТЫ МЕНЕДЖМЕНТА

ПРОИЗВОДСТВЕННАЯ ПРАКТИКАПРОИЗВОДСТВЕННАЯ ПРАКТИКА

ВНЕДРЕНИЕ СИСТЕМ МЕНЕДЖМЕНТАВНЕДРЕНИЕ СИСТЕМ МЕНЕДЖМЕНТА

ОБУЧЕНИЕ, КОНСАЛТИНГ, СЕРТИФИКАЦИЯОБУЧЕНИЕ, КОНСАЛТИНГ, СЕРТИФИКАЦИЯ

МАТЕРИАЛЫ ISO 9001 AUDITING PRACTICES МАТЕРИАЛЫ ISO 9001 AUDITING PRACTICES GROUP GROUP