ИСО 27001 и СМИБ. Теория и практика - обзор тренинга
-
Upload
alexey-evmenkov -
Category
Internet
-
view
255 -
download
5
Transcript of ИСО 27001 и СМИБ. Теория и практика - обзор тренинга
![Page 2: ИСО 27001 и СМИБ. Теория и практика - обзор тренинга](https://reader034.fdocuments.net/reader034/viewer/2022042611/587460a51a28abab198b50ab/html5/thumbnails/2.jpg)
Информационная выборка слайдов, достаточна для краткого ознакомления с курсом
![Page 3: ИСО 27001 и СМИБ. Теория и практика - обзор тренинга](https://reader034.fdocuments.net/reader034/viewer/2022042611/587460a51a28abab198b50ab/html5/thumbnails/3.jpg)
Описание курсаСодержание курса
• Краткая теоретическая база, фокус на основных понятиях
• Расширенная практическая часть, руководство по внедрению ИСО 27001 и защитных мер из ИСО 27002
Аудитория
• Руководители и специалисты по информационной безопасности
• Специалисты, ответственные за внедрение СМИБ
![Page 4: ИСО 27001 и СМИБ. Теория и практика - обзор тренинга](https://reader034.fdocuments.net/reader034/viewer/2022042611/587460a51a28abab198b50ab/html5/thumbnails/4.jpg)
Программа курса• Модуль 1 - Введение
• Введение в ИБ и СМИБ, терминология• Серия стандартов ISO/IEC 27000, стандарт ISO/IEC
27001:2013
• Модуль 2 – Планирование СМИБ• Проект по внедрению СМИБ• Первичный аудит и GAP анализ• Предварительный план СМИБ• Организационные аспекты СМИБ, определение
области применения СМИБ• Определение подходов к управлению активами• Управление рисками – методика и инструментарий• Разработка плана обработки рисков и финализация
плана внедрения СМИБ
• Модуль 3 – Внедрение СМИБ• Управление документированной информацией
СМИБ• Процесс внедрения защитных мер• Политика ИБ• Управление активами, классификация информации• ИБ в управлении персоналом• Управление доступом (доступ к системам и
приложениям, управление правами пользователей)• Физическая безопасность• ИБ в период эксплуатации (антивирусная защита,
резервное копирование, мониторинг и др.)• Сетевая безопасность• ИБ при разработке и обслуживании ИС• ИБ в отношениях с поставщиками• Управление инцидентами ИБ
• Управление непрерывностью бизнеса• Соответствие законодательным и договорным
требованиям, интеллектуальная собственность
• Модуль 4 – Запуск СМИБ• Управление целями в области ИБ, практическое
лидерство руководства организации• Анализ со стороны руководства• Разработка и внедрение системы метрик ИБ• Внутренние аудиты информационной безопасности• Тренинги, создание культуры ИБ в организации
• Модуль 5 – Сертификация СМИБ• Выбор сертифицирующего органа• Особенности процесса сертификации ИСО 27001
• Модуль 6 – Эксплуатация СМИБ • Роли руководителя и специалистов ИБ• План регулярных действий • Постоянное улучшение и развитие СМИБ
![Page 5: ИСО 27001 и СМИБ. Теория и практика - обзор тренинга](https://reader034.fdocuments.net/reader034/viewer/2022042611/587460a51a28abab198b50ab/html5/thumbnails/5.jpg)
Цель курса
• Дать базовое понимание по ИСО 27001 и СМИБ
• Описать общие подходы по внедрению и эксплуатации СМИБ
• Разъяснить практические аспекты внедрения отдельных защитных мер• С фокусом на запросы аудитории
![Page 6: ИСО 27001 и СМИБ. Теория и практика - обзор тренинга](https://reader034.fdocuments.net/reader034/viewer/2022042611/587460a51a28abab198b50ab/html5/thumbnails/6.jpg)
Представление• Специалист по ИБ (CISM), по
процессам и качеству в ИТ области
• Внедряю и подготавливаю к сертификации - ИСО 27001 и 9001• Первая в РБ ИСО 27001 сертификация
(в2008г, Tieto)
• Консалтинг и сертификации РБ, Россия, Финляндия, Швеция, Прибалтика
• Проекты интеграций компаний
• Профессиональный аудитор по ИБ и процессам
![Page 7: ИСО 27001 и СМИБ. Теория и практика - обзор тренинга](https://reader034.fdocuments.net/reader034/viewer/2022042611/587460a51a28abab198b50ab/html5/thumbnails/7.jpg)
Модуль 1Введение
![Page 8: ИСО 27001 и СМИБ. Теория и практика - обзор тренинга](https://reader034.fdocuments.net/reader034/viewer/2022042611/587460a51a28abab198b50ab/html5/thumbnails/8.jpg)
Аннотация
• Стандарт ISO/IEC 27001:2013 – все слышали, мало кто видел
• Сложность темы ИБ находит отражение в стандарте. Полное внедрение ISO 27001, с использованием всех рекомендаций - потребует годы для средней организации.
• Как создать с нуля сбалансированную СУИБ, как выбрать только реально необходимые защитные меры и как правильно внедрить процессы ИБ?
![Page 9: ИСО 27001 и СМИБ. Теория и практика - обзор тренинга](https://reader034.fdocuments.net/reader034/viewer/2022042611/587460a51a28abab198b50ab/html5/thumbnails/9.jpg)
Термины ИБ
![Page 10: ИСО 27001 и СМИБ. Теория и практика - обзор тренинга](https://reader034.fdocuments.net/reader034/viewer/2022042611/587460a51a28abab198b50ab/html5/thumbnails/10.jpg)
Информация
• Информация – это актив, который, как и любой другой важный для бизнеса актив, представляет большую ценность для организации и, следовательно, нуждается в должной защите
• Информация - сведения о лицах, предметах, фактах, событиях, явлениях и процессах независимо от формы их представления
• Существует в разных формах – бумага, видео, звук
![Page 11: ИСО 27001 и СМИБ. Теория и практика - обзор тренинга](https://reader034.fdocuments.net/reader034/viewer/2022042611/587460a51a28abab198b50ab/html5/thumbnails/11.jpg)
Информация• Основа для любой организации (ваши примеры)
• Уровни доступа к информации – внутренняя, конфиденциальная, секретная
• Способы работы с информацией• Создание, сохранение, копирование• Обработка, преобразование, передача• Уничтожение? Использование ненадлежащим способом?• Утеряна? Повреждена?
• Организации сталкиваются с информационными рисками • Кража информации• Вторжение и уничтожение системных ресурсов• Подмена информации• Повреждение носителей информации
![Page 12: ИСО 27001 и СМИБ. Теория и практика - обзор тренинга](https://reader034.fdocuments.net/reader034/viewer/2022042611/587460a51a28abab198b50ab/html5/thumbnails/12.jpg)
Информационная безопасность
• Информационная Безопасность (ИБ) - свойство информации сохранять конфиденциальность, целостность и доступность.
Пример - БД
Примеры с фокусом на один из аттрибутов CIA
![Page 13: ИСО 27001 и СМИБ. Теория и практика - обзор тренинга](https://reader034.fdocuments.net/reader034/viewer/2022042611/587460a51a28abab198b50ab/html5/thumbnails/13.jpg)
Практика – ИБ
• Опишите ваши активы в контексте ИБ
![Page 14: ИСО 27001 и СМИБ. Теория и практика - обзор тренинга](https://reader034.fdocuments.net/reader034/viewer/2022042611/587460a51a28abab198b50ab/html5/thumbnails/14.jpg)
СМИБ – общая схемаПланирование и мониторинг целей
Требования ИСО 27001
Политики и процедуры СМИБ
Ко
рр
екти
рую
щи
е и
мер
ы
Управление рисками
Аудиты
Измерения, метрики Комплекс защитных
мер
![Page 15: ИСО 27001 и СМИБ. Теория и практика - обзор тренинга](https://reader034.fdocuments.net/reader034/viewer/2022042611/587460a51a28abab198b50ab/html5/thumbnails/15.jpg)
СМИБ – защитные меры, согласно ISO 27001
ИБ в управлении персоналом
Управление активами
Управление доступом Организация ИБ
Криптография
Физическая безопасность
Антивирусная защита ПО
Резервное копирование
Логи и мониторинг
Управление сетевой безопасностью
ИБ при разработке ПО
ИБ при работе с поставщиками
Управление инцидентами
Управление непрерывностью бизнеса
Соответствие требованиям регуляторов
114 защитных мер
![Page 16: ИСО 27001 и СМИБ. Теория и практика - обзор тренинга](https://reader034.fdocuments.net/reader034/viewer/2022042611/587460a51a28abab198b50ab/html5/thumbnails/16.jpg)
![Page 17: ИСО 27001 и СМИБ. Теория и практика - обзор тренинга](https://reader034.fdocuments.net/reader034/viewer/2022042611/587460a51a28abab198b50ab/html5/thumbnails/17.jpg)
Другие стандарты и практики
![Page 18: ИСО 27001 и СМИБ. Теория и практика - обзор тренинга](https://reader034.fdocuments.net/reader034/viewer/2022042611/587460a51a28abab198b50ab/html5/thumbnails/18.jpg)
Польза «широкого взгляда»
• Взгляд с разных позиций, например: • COBIT – организационный фреймворк
• ISO27001 - системный подход
• NIST 800 – технические моменты
• ITIL - для сервисныx организаций
![Page 19: ИСО 27001 и СМИБ. Теория и практика - обзор тренинга](https://reader034.fdocuments.net/reader034/viewer/2022042611/587460a51a28abab198b50ab/html5/thumbnails/19.jpg)
ISO 27001:2013 – что нового• Более структурированный, уменьшено кол-во
контролов 133->114
• Термины перенесены в 27000 – вышла версия в 2016 (платная зараза)
• Гармонизация с другими стандартами (а 9001 в свою очередь ввели понятие рисков)
• + владелец рисков
• - записи
• - превентивные меры
Источник картинок: ISO27001 Academy
![Page 20: ИСО 27001 и СМИБ. Теория и практика - обзор тренинга](https://reader034.fdocuments.net/reader034/viewer/2022042611/587460a51a28abab198b50ab/html5/thumbnails/20.jpg)
ISO 27001:2013 – что новогоВ целом, более удобный и читабельный стандарт
Источник картинок: ISO27001 Academy
Хороший обзор «что нового» в ISO 27001:2013
![Page 21: ИСО 27001 и СМИБ. Теория и практика - обзор тренинга](https://reader034.fdocuments.net/reader034/viewer/2022042611/587460a51a28abab198b50ab/html5/thumbnails/21.jpg)
Когда необходим ИСО 27001?
• Требование заказчика• Обязательное условие для участия в тендере• Заказчик хочет быть уверен в сохранности своих данных
• Желание организации• Необходимо повысить защищенность от рисков• Уменьшить количество и стоимость инцидентов• Создать позитивный бизнес-образ, безопасный и
современный
![Page 22: ИСО 27001 и СМИБ. Теория и практика - обзор тренинга](https://reader034.fdocuments.net/reader034/viewer/2022042611/587460a51a28abab198b50ab/html5/thumbnails/22.jpg)
Модуль 2Планирование СМИБ
![Page 23: ИСО 27001 и СМИБ. Теория и практика - обзор тренинга](https://reader034.fdocuments.net/reader034/viewer/2022042611/587460a51a28abab198b50ab/html5/thumbnails/23.jpg)
План Модуля• Проект по внедрению СМИБ
• Первичный аудит и GAP анализ
• Предварительный план СМИБ
• Организационные аспекты СМИБ, определение области применения СМИБ
• Определение подходов к управлению активами
• Управление рисками – методика и инструментарий
• Разработка плана обработки рисков и финализация плана внедрения СМИБ
![Page 24: ИСО 27001 и СМИБ. Теория и практика - обзор тренинга](https://reader034.fdocuments.net/reader034/viewer/2022042611/587460a51a28abab198b50ab/html5/thumbnails/24.jpg)
Проект по внедрению СМИБ
![Page 25: ИСО 27001 и СМИБ. Теория и практика - обзор тренинга](https://reader034.fdocuments.net/reader034/viewer/2022042611/587460a51a28abab198b50ab/html5/thumbnails/25.jpg)
Проект по внедрению СМИБ
• Проект – это целенаправленная, ограниченная во времени деятельность, осуществляемая для удовлетворения конкретных потребностей при наличии внешних и внутренних ограничений и использовании ограниченных ресурсов
• Нет проекта, нет СМИБ• Что получим без проекта?
![Page 26: ИСО 27001 и СМИБ. Теория и практика - обзор тренинга](https://reader034.fdocuments.net/reader034/viewer/2022042611/587460a51a28abab198b50ab/html5/thumbnails/26.jpg)
Аттрибуты проекта
Проект предполагает:
• конкретную цель, уникальность, разовость, ограниченность во времени и ресурсах
• команду проекта, бюджет, ответственность, критерии успешности
• Механизмы управления проектами – отслеживание статуса, коммуникацию, управление изменениями и т.п.
![Page 27: ИСО 27001 и СМИБ. Теория и практика - обзор тренинга](https://reader034.fdocuments.net/reader034/viewer/2022042611/587460a51a28abab198b50ab/html5/thumbnails/27.jpg)
Общие фазы проекта по внедрению СМИБ
![Page 28: ИСО 27001 и СМИБ. Теория и практика - обзор тренинга](https://reader034.fdocuments.net/reader034/viewer/2022042611/587460a51a28abab198b50ab/html5/thumbnails/28.jpg)
Факторы успешного запуска проекта• Заинтересованность со стороны руководства
• Подготовленность со стороны инициаторов (если инициатива не со стороны руководства)• Понимание связи бизнеса и ИБ
• Умение представить выгоды внедрения
• Собственно, знания ИБ
![Page 29: ИСО 27001 и СМИБ. Теория и практика - обзор тренинга](https://reader034.fdocuments.net/reader034/viewer/2022042611/587460a51a28abab198b50ab/html5/thumbnails/29.jpg)
Ложный успех
• Вот вам бюджет, разберитесь сами, нас не беспокойте• Не забываем про проектный подход• Вовлеченность многих групп организации
обязательна, это невозможно без лидерства руководства
• У нас есть набор шаблонов/готовых документов СМИБ от другой организации
• Мы купим услугу сертификации
• Мы пригласим «хорошего» аудитора, сделаем для него культурную программу
![Page 30: ИСО 27001 и СМИБ. Теория и практика - обзор тренинга](https://reader034.fdocuments.net/reader034/viewer/2022042611/587460a51a28abab198b50ab/html5/thumbnails/30.jpg)
Сколько будет стоить (по $, ресурсам, времени)?Простого ответа нет. Необходимо:
• оценить – что необходимо руководству, работающая СМИБ или просто сертификат (здоровье или богатство, или и то и другое)?
• описать общие фазы проекта,
• объяснить вовлеченность групп сотрудников (ИТ, ИБ, руководство и т.д.)
• предоставить самые общие рамки, основанные на здравом смысле (например, для организации в 100 сотрудников, с офисом на одном этаже – 8-12 мес)
• более точный ответ – после аудита и анализа рисков
![Page 31: ИСО 27001 и СМИБ. Теория и практика - обзор тренинга](https://reader034.fdocuments.net/reader034/viewer/2022042611/587460a51a28abab198b50ab/html5/thumbnails/31.jpg)
Результат запуска проекта
Min
• Описаны предварительная область действия (scope), цели проекта
• Выделен бюджет на проведение аудита
Max
• Бюджет на весь проект (предварительный)
• Организована команда проекта
• Поддержка руководтва реальна (как понять реальность поддержи?)
![Page 32: ИСО 27001 и СМИБ. Теория и практика - обзор тренинга](https://reader034.fdocuments.net/reader034/viewer/2022042611/587460a51a28abab198b50ab/html5/thumbnails/32.jpg)
Первичный аудит и GAP анализ
![Page 33: ИСО 27001 и СМИБ. Теория и практика - обзор тренинга](https://reader034.fdocuments.net/reader034/viewer/2022042611/587460a51a28abab198b50ab/html5/thumbnails/33.jpg)
Первичный аудит и GAP анализ -начало• Команда аудиторов, задействование внешних
экспертов (принцип беспристрастности)
• Желательно привлечение технического специалиста для проверки сети, технических защитных мер
• План аудита, планирование встреч, в конце –отчет
• Результат – набор замечаний, входной материал для составления плана
![Page 34: ИСО 27001 и СМИБ. Теория и практика - обзор тренинга](https://reader034.fdocuments.net/reader034/viewer/2022042611/587460a51a28abab198b50ab/html5/thumbnails/34.jpg)
Практика – проведение аудита
• См. чеклист по основным элементам ИСО 27001, по всем защитным мерам 27002
• Задание – выбрать группу защитных мер, провести аудит, зафиксировать результат
![Page 35: ИСО 27001 и СМИБ. Теория и практика - обзор тренинга](https://reader034.fdocuments.net/reader034/viewer/2022042611/587460a51a28abab198b50ab/html5/thumbnails/35.jpg)
Предварительный план СМИБ
![Page 36: ИСО 27001 и СМИБ. Теория и практика - обзор тренинга](https://reader034.fdocuments.net/reader034/viewer/2022042611/587460a51a28abab198b50ab/html5/thumbnails/36.jpg)
Состав плана проекта• Общие активности (управление проектом, консультации)• Планирование СМИБ
• Проведение аудита• Разработка Области действия СМИБ (документ)• Разработка Политики ИБ (документ)• Разработка Целей ИБ• Управление активами – общий список, приоритезация• Управление рисками• Разработка заявления о применимости СМИБ - SoA (документ)
![Page 37: ИСО 27001 и СМИБ. Теория и практика - обзор тренинга](https://reader034.fdocuments.net/reader034/viewer/2022042611/587460a51a28abab198b50ab/html5/thumbnails/37.jpg)
Состав плана проекта
• Разработка СМИБ• Детальный список защитных мер – разработка и
внедрение• Разработка и внедрение метрик• Разработка и внедрение общей документации
(руководство пользователя и др.)
• Запуск СМИБ• Тренинги• Аудиты• Анализ со стороны руководства• Запуск защитных мер
• Сертификация СМИБ
![Page 38: ИСО 27001 и СМИБ. Теория и практика - обзор тренинга](https://reader034.fdocuments.net/reader034/viewer/2022042611/587460a51a28abab198b50ab/html5/thumbnails/38.jpg)
Сложности с под-проектами
• Включать в общий бюджет?• Риск перерасхода и затягивания сроков
• Стоимость сопоставимая со стоимостью проекта СМИБ
• Сложность внедрения, необходимость привлекать разноплановых специалистов
![Page 39: ИСО 27001 и СМИБ. Теория и практика - обзор тренинга](https://reader034.fdocuments.net/reader034/viewer/2022042611/587460a51a28abab198b50ab/html5/thumbnails/39.jpg)
Практика – работа с планом
• См. пример плана
• Задание – понять структуру, адаптировать для своей организации
![Page 40: ИСО 27001 и СМИБ. Теория и практика - обзор тренинга](https://reader034.fdocuments.net/reader034/viewer/2022042611/587460a51a28abab198b50ab/html5/thumbnails/40.jpg)
Организационные аспекты СМИБ
![Page 41: ИСО 27001 и СМИБ. Теория и практика - обзор тренинга](https://reader034.fdocuments.net/reader034/viewer/2022042611/587460a51a28abab198b50ab/html5/thumbnails/41.jpg)
5.3 Организация ИБ
• Закрепление ролей и ответственностей в области ИБ• Закрепить роль Менеджера ИБ:)
• Определить кто за что отвечает
![Page 42: ИСО 27001 и СМИБ. Теория и практика - обзор тренинга](https://reader034.fdocuments.net/reader034/viewer/2022042611/587460a51a28abab198b50ab/html5/thumbnails/42.jpg)
Структура ИБ - пример
![Page 43: ИСО 27001 и СМИБ. Теория и практика - обзор тренинга](https://reader034.fdocuments.net/reader034/viewer/2022042611/587460a51a28abab198b50ab/html5/thumbnails/43.jpg)
Определение области применения СМИБ
![Page 44: ИСО 27001 и СМИБ. Теория и практика - обзор тренинга](https://reader034.fdocuments.net/reader034/viewer/2022042611/587460a51a28abab198b50ab/html5/thumbnails/44.jpg)
Область применения СМИБ
• Процессы и сервисы (см. пример на след. слайде)
• Организация (оргчарт)
• Физическое расположение, офис • Адрес, схема офиса, планы этажей и т.п.
• Сети и ИТ инфраструктура• Описание сети, схема LAN, W-Fi network и т.п.
• Ссылка на реестр активов
![Page 45: ИСО 27001 и СМИБ. Теория и практика - обзор тренинга](https://reader034.fdocuments.net/reader034/viewer/2022042611/587460a51a28abab198b50ab/html5/thumbnails/45.jpg)
Определение подходов к управлению активами
![Page 46: ИСО 27001 и СМИБ. Теория и практика - обзор тренинга](https://reader034.fdocuments.net/reader034/viewer/2022042611/587460a51a28abab198b50ab/html5/thumbnails/46.jpg)
Управление активами
• Актив - все что имеет ценность для организации и генерирует ее доход (другими словами это то, что создает положительный финансовый поток, либо сберегает средства).
• Первый шаг в предверии управления рисками –управлять активами
• Необходимо определить, что важно для организации
![Page 47: ИСО 27001 и СМИБ. Теория и практика - обзор тренинга](https://reader034.fdocuments.net/reader034/viewer/2022042611/587460a51a28abab198b50ab/html5/thumbnails/47.jpg)
Что нужно защищать?
![Page 48: ИСО 27001 и СМИБ. Теория и практика - обзор тренинга](https://reader034.fdocuments.net/reader034/viewer/2022042611/587460a51a28abab198b50ab/html5/thumbnails/48.jpg)
Управление активами
• Составить категории активов
• Определить владельцев активов
• Оценить ценность активов
![Page 49: ИСО 27001 и СМИБ. Теория и практика - обзор тренинга](https://reader034.fdocuments.net/reader034/viewer/2022042611/587460a51a28abab198b50ab/html5/thumbnails/49.jpg)
Пример списка активов ИТ компании
![Page 50: ИСО 27001 и СМИБ. Теория и практика - обзор тренинга](https://reader034.fdocuments.net/reader034/viewer/2022042611/587460a51a28abab198b50ab/html5/thumbnails/50.jpg)
Пример определения ценности активов
![Page 51: ИСО 27001 и СМИБ. Теория и практика - обзор тренинга](https://reader034.fdocuments.net/reader034/viewer/2022042611/587460a51a28abab198b50ab/html5/thumbnails/51.jpg)
Управление рисками –методика и инструментарий
![Page 52: ИСО 27001 и СМИБ. Теория и практика - обзор тренинга](https://reader034.fdocuments.net/reader034/viewer/2022042611/587460a51a28abab198b50ab/html5/thumbnails/52.jpg)
Зачем анализировать риски?
![Page 53: ИСО 27001 и СМИБ. Теория и практика - обзор тренинга](https://reader034.fdocuments.net/reader034/viewer/2022042611/587460a51a28abab198b50ab/html5/thumbnails/53.jpg)
Ценность анализа рисков
• Экономия $, времени, ресурсов
• Улучшение планирования, повышение эффективности
• Основание для принятия объективного решения
![Page 54: ИСО 27001 и СМИБ. Теория и практика - обзор тренинга](https://reader034.fdocuments.net/reader034/viewer/2022042611/587460a51a28abab198b50ab/html5/thumbnails/54.jpg)
Без рисков скучно
«Если бы наш мир когда-нибудь обрел полную определенность, наша жизнь стала бы невыносимо скучной»
Книга Понимать риски. Как выбирать правильный курс
![Page 55: ИСО 27001 и СМИБ. Теория и практика - обзор тренинга](https://reader034.fdocuments.net/reader034/viewer/2022042611/587460a51a28abab198b50ab/html5/thumbnails/55.jpg)
РискиУгроза: нарушение лицензионности, использование чужого кода
Уязвимость: Из-за отсутствия необходимых знаний у членов команды
Актив: программные компоненты (deliverables)
Защитная мера: проведение тренингов, постоянная коммуникация, процедурная поддержка
![Page 56: ИСО 27001 и СМИБ. Теория и практика - обзор тренинга](https://reader034.fdocuments.net/reader034/viewer/2022042611/587460a51a28abab198b50ab/html5/thumbnails/56.jpg)
Процесс управления рисками
1• Идентификация активов
2
• Идентификация уязвимостей и угроз, генерация рисков (посредством модели CIA)
3• Анализ рисков
4• Принятие решения по рискам (risk treatment)
5• Мониторинг и контроль рисков
![Page 57: ИСО 27001 и СМИБ. Теория и практика - обзор тренинга](https://reader034.fdocuments.net/reader034/viewer/2022042611/587460a51a28abab198b50ab/html5/thumbnails/57.jpg)
Практика – создание рисков через CIA модель• Задание – какой аттрибут CIA на картинке
подвергается риску?
• Задание – выбрать 2 актива, сгенерировать риски
2
![Page 58: ИСО 27001 и СМИБ. Теория и практика - обзор тренинга](https://reader034.fdocuments.net/reader034/viewer/2022042611/587460a51a28abab198b50ab/html5/thumbnails/58.jpg)
Анализ рисков• Количественный анализ рисков
• Уровень риска зависит от ценности актива, вероятности срабатывания риска и уровня (величины) возможного ущерба
• Качественный анализ рисков• определяется категория риска (финансовый риск,
репутационный риск, риск связанный с персоналом и др.)
• оценивается влияние на возможную утрату конфиденциальности, целостности или доступности информации
3
![Page 59: ИСО 27001 и СМИБ. Теория и практика - обзор тренинга](https://reader034.fdocuments.net/reader034/viewer/2022042611/587460a51a28abab198b50ab/html5/thumbnails/59.jpg)
Пример рассчета риска
Актив = Интернет соединение
С I A
4 3 4
Lk Im E=Av*Lk*Im
2ср.частота
4 Оч. серьезно
3.67*2*4=29.36Av=3.67
Risk exposure range (E=Av*Lk*Im)
Risk Rank
0-12 Low
13-24 Medium
25-64 High
Потеря интернет соединения -> из за выхода из строя локального сетевого оборудования
29.36 = High risk
3
![Page 60: ИСО 27001 и СМИБ. Теория и практика - обзор тренинга](https://reader034.fdocuments.net/reader034/viewer/2022042611/587460a51a28abab198b50ab/html5/thumbnails/60.jpg)
Принятие решения по рискам (risk treatment)• После того как риск оценен, должно быть
принято решение относительно его обработки (выбора и реализации мер и средств по минимизации риска)
• Обязательно учитывать затраты на внедрение и сопровождение механизмов безопасности
• Возможные решения: см. следующий слайд
4
![Page 61: ИСО 27001 и СМИБ. Теория и практика - обзор тренинга](https://reader034.fdocuments.net/reader034/viewer/2022042611/587460a51a28abab198b50ab/html5/thumbnails/61.jpg)
Мониторинг рисков• Необходим регулярный контроль рисков
• Новые риски?
• Статус по старым рискам?
• Результаты оценки рисков – руководству для принятия решений
• Возможный механизм:• Менеджер ИБ готовит выборку рисков для анализа
Командой/Комитетом ИБ
• На совещании – коллективно принимаются решения, доводятся до руководства, до исполнителей
5
![Page 62: ИСО 27001 и СМИБ. Теория и практика - обзор тренинга](https://reader034.fdocuments.net/reader034/viewer/2022042611/587460a51a28abab198b50ab/html5/thumbnails/62.jpg)
Зачем мониторить риски?• П.ч. они постоянно появляются:)
• Например – ужесточение законодательства в области авторского права (сотрудники качают с торрентов?)
• Вплоть до политических (в 2010г. сотрудники «ходили» на площадь, а руководство просчитывало риски)
5
![Page 63: ИСО 27001 и СМИБ. Теория и практика - обзор тренинга](https://reader034.fdocuments.net/reader034/viewer/2022042611/587460a51a28abab198b50ab/html5/thumbnails/63.jpg)
Практика – полный цикл анализа рисков• Задание – завершить анализ рисков для 2х
активов
![Page 64: ИСО 27001 и СМИБ. Теория и практика - обзор тренинга](https://reader034.fdocuments.net/reader034/viewer/2022042611/587460a51a28abab198b50ab/html5/thumbnails/64.jpg)
Пример: хранение и распространение контрафакта• 9.21 КоАП «Нарушение авторского права, смежных прав и права
промышленной собственности» http://news.tut.by/society/481405.html
Актив: репутация Компании
Угроза: потеря репутации компании, финансовые потери
Уязвимость: неосведомленность сотрудников Компании (неосмотрительное пользование интернетом)
Анализ риска: штраф до 200БВ+300БВ (42млн+63млн=105млн)Сотрудники часто пользуются торрентами, и позволяют с себя скачивать (т.е. распространять). Риск СРЕДНИЙ (принимаем защитные меры)
Сотрудник заливает с торрента клип, публикует в VK.
Защитные меры: • Немедленная нотификация сотрудников, объяснить ответственность сотруд-в• Включение в регулярные тренинги правил работы в интрернете (торрент, соцсети+)• Письмо в "отдел К" или OAЦ, что нам предпринять для защиты наших периметров• Запустить под-проект в ИТ отделе – ограничение трафика торрентов• Связаться с коллегами из ПВТ – перенять опыт
![Page 65: ИСО 27001 и СМИБ. Теория и практика - обзор тренинга](https://reader034.fdocuments.net/reader034/viewer/2022042611/587460a51a28abab198b50ab/html5/thumbnails/65.jpg)
Ключевые факторы в управлении рисками• Управление активами – основа для управления
рисками• Правильные активы (формулировка, владелец,
ценность)
• Количественное управление рисками• По крайней мере на первых порах
• Создание рисков через CIA модель
![Page 66: ИСО 27001 и СМИБ. Теория и практика - обзор тренинга](https://reader034.fdocuments.net/reader034/viewer/2022042611/587460a51a28abab198b50ab/html5/thumbnails/66.jpg)
Инструментальная поддержка управления рисками
![Page 67: ИСО 27001 и СМИБ. Теория и практика - обзор тренинга](https://reader034.fdocuments.net/reader034/viewer/2022042611/587460a51a28abab198b50ab/html5/thumbnails/67.jpg)
Инструментарий для управления рисками• Возможно управление с помощью MS Excel
• Для небольшого кол-ва рисков (10-50)
• Для полноценной работы с рисками, рекомендуется приобрести специализированное ПО• Либо разработать свое, по аналогии с «классическим
аналогом» - RA2
• Возможно имеет смысл рассмотреть https://rvision.pro
Примеры инструментов: https://www.enisa.europa.eu/activities/risk-management/current-risk/risk-management-inventory/rm-ra-tools
![Page 68: ИСО 27001 и СМИБ. Теория и практика - обзор тренинга](https://reader034.fdocuments.net/reader034/viewer/2022042611/587460a51a28abab198b50ab/html5/thumbnails/68.jpg)
Разработка плана обработки рисков и финализация плана внедрения СМИБ
![Page 69: ИСО 27001 и СМИБ. Теория и практика - обзор тренинга](https://reader034.fdocuments.net/reader034/viewer/2022042611/587460a51a28abab198b50ab/html5/thumbnails/69.jpg)
Финализация плана внедрения СМИБ
Результаты аудита(список действий)
Результаты управления рисками
(список действий)
Область примен
ения
Цели ИБ
Контекст
План СМИБ
![Page 70: ИСО 27001 и СМИБ. Теория и практика - обзор тренинга](https://reader034.fdocuments.net/reader034/viewer/2022042611/587460a51a28abab198b50ab/html5/thumbnails/70.jpg)
SoA – Заявление о применимости
• Перечень всех защитных мер СМИБ • Чаще всего – из Приложения А
• Указываются и обосновываются любые исключения
• Приводятся причины для применения
• Желательны ссылки на существующие документы
• Является обязательным документом СМИБ• Номер версии SoA прописывается на сертификате
![Page 71: ИСО 27001 и СМИБ. Теория и практика - обзор тренинга](https://reader034.fdocuments.net/reader034/viewer/2022042611/587460a51a28abab198b50ab/html5/thumbnails/71.jpg)
Практика – уточнение плана • Задание – финализировать план для избранных
защитных мер
![Page 72: ИСО 27001 и СМИБ. Теория и практика - обзор тренинга](https://reader034.fdocuments.net/reader034/viewer/2022042611/587460a51a28abab198b50ab/html5/thumbnails/72.jpg)
Модуль 3Внедрение СМИБ
![Page 73: ИСО 27001 и СМИБ. Теория и практика - обзор тренинга](https://reader034.fdocuments.net/reader034/viewer/2022042611/587460a51a28abab198b50ab/html5/thumbnails/73.jpg)
План Модуля• Управление документированной информацией СМИБ
• Процесс внедрения защитных мер
• Внедрение защитных мер (избранные защитные меры из списка в 114 мер)
![Page 74: ИСО 27001 и СМИБ. Теория и практика - обзор тренинга](https://reader034.fdocuments.net/reader034/viewer/2022042611/587460a51a28abab198b50ab/html5/thumbnails/74.jpg)
Глаза боятся, руки делают
![Page 75: ИСО 27001 и СМИБ. Теория и практика - обзор тренинга](https://reader034.fdocuments.net/reader034/viewer/2022042611/587460a51a28abab198b50ab/html5/thumbnails/75.jpg)
Определяем контекст
• Организация• Большая-маленькая
• Один офис-несколько, в разных локациях?
• Офис• Опен-спейс/комнаты
• Делится с другими организациями?
• Какие активы защищаем?• Наличие серверной, закрытых
зон? (в первую очередь речь об информации
• Средняя, 300 сотрудников
• Три офиса, в разных городах
• И опен-спейс и комнаты
• Нет
• Да , серверная, склад, финансовый отдел
Цель – очертить периметр, в котором будет контролируемый уровень физич. безопасности
![Page 76: ИСО 27001 и СМИБ. Теория и практика - обзор тренинга](https://reader034.fdocuments.net/reader034/viewer/2022042611/587460a51a28abab198b50ab/html5/thumbnails/76.jpg)
А7.1.1. Проверка• Проверка личных данных – с согласия сотрудника
• Но обязательная для определенных лиц
• Может включать в себя:• подачу запроса в органы внутренних дел о наличии
судимости сотрудника;
• запрос в учреждение образования о подтверждении квалификации;
• запрос рекомендаций с предыдущих мест работы.
![Page 77: ИСО 27001 и СМИБ. Теория и практика - обзор тренинга](https://reader034.fdocuments.net/reader034/viewer/2022042611/587460a51a28abab198b50ab/html5/thumbnails/77.jpg)
Каким образом присваивается уровень конфиденциальности?• На основании ценности информации, владелец
оценивает актив и присваивает соответствующий уровень конфиденциальности
• В случае необходимости, владелец может осуществить оценку рисков, связанных с активом, для более точной оценки класса конфиденциальности
• Уровень конфиденциальности информации может изменяться со временем. • Например, финансовые отчеты за прошлые периоды
перестают быть конфиденциальными после их публикации.
• Владелец информации отвечает за своевременный пересмотр уровня конфиденциальности.
![Page 78: ИСО 27001 и СМИБ. Теория и практика - обзор тренинга](https://reader034.fdocuments.net/reader034/viewer/2022042611/587460a51a28abab198b50ab/html5/thumbnails/78.jpg)
Вопросы• Как классифицировать переписку по почте?
• Разговор на проектном митинге?
![Page 79: ИСО 27001 и СМИБ. Теория и практика - обзор тренинга](https://reader034.fdocuments.net/reader034/viewer/2022042611/587460a51a28abab198b50ab/html5/thumbnails/79.jpg)
Практика – составление списка «Приемлемых действий»
• Задание – составить список приемлемых действий для главных активов/действий, в зависимости от уровня конфиденциальности
![Page 80: ИСО 27001 и СМИБ. Теория и практика - обзор тренинга](https://reader034.fdocuments.net/reader034/viewer/2022042611/587460a51a28abab198b50ab/html5/thumbnails/80.jpg)
Базовые правила управления доступом• не создавать доступ “по умолчанию”;
• “least privilege” и “need to know” - сотрудник должен иметь минимальный доступ, и только к той информации, которая ему совершенно необходима для выполнения своих должностных обязанностей.
![Page 81: ИСО 27001 и СМИБ. Теория и практика - обзор тренинга](https://reader034.fdocuments.net/reader034/viewer/2022042611/587460a51a28abab198b50ab/html5/thumbnails/81.jpg)
Практика - вопросы
• “Новенький” на проекте просит доступ к коду на SVN?
• Коллега по аналогичному проекту просит доступ к reusable коду?
• На ком держится выполнение правил управления доступом?
![Page 82: ИСО 27001 и СМИБ. Теория и практика - обзор тренинга](https://reader034.fdocuments.net/reader034/viewer/2022042611/587460a51a28abab198b50ab/html5/thumbnails/82.jpg)
А9.2. Управление доступом пользователей
• Регистрация/удаление пользователей• Должны быть созданы инструкции для исполнителей
• Основаны на обязательном следовании требованиям политики управления доступом
• Механика предоставления доступов• Базовый доступ на основании
ролей - User rights pattern.
• Обязательное согласование
• Сам владелец актива может выдавать доступ
• Определяются сроки - SLA
![Page 83: ИСО 27001 и СМИБ. Теория и практика - обзор тренинга](https://reader034.fdocuments.net/reader034/viewer/2022042611/587460a51a28abab198b50ab/html5/thumbnails/83.jpg)
Что нельзя публиковать / распространять?
Задекларировать в политике:
• материалы класса Confidential и/или Secret
• коммерческая тайна
• угрожающую, клеветническую, непристойную …. запрещенную законодательством информацию
• Запрещается выступать от имени организации без согласования с руководством
![Page 84: ИСО 27001 и СМИБ. Теория и практика - обзор тренинга](https://reader034.fdocuments.net/reader034/viewer/2022042611/587460a51a28abab198b50ab/html5/thumbnails/84.jpg)
Принципы разработки безопасных систем • Здравый смысл
• Управление изменениями
• Управление рисками
• Code Review, автоматический скан на уязвимости
![Page 85: ИСО 27001 и СМИБ. Теория и практика - обзор тренинга](https://reader034.fdocuments.net/reader034/viewer/2022042611/587460a51a28abab198b50ab/html5/thumbnails/85.jpg)
Процесс управления инцидентами 1/3• Обнаружение инцидента
• Максимально простой способ донесения до Менеджера ИБ
• Достаточно просто «голосом»
• Регистрация – в ИС (например JIRA)
• Классификация, быстрый анализ, быстрое реагирование• «Золотой час»
• Расследование и диагностика• Привлечение требуемых специалистов• Разработка шагов по исправлению
![Page 86: ИСО 27001 и СМИБ. Теория и практика - обзор тренинга](https://reader034.fdocuments.net/reader034/viewer/2022042611/587460a51a28abab198b50ab/html5/thumbnails/86.jpg)
Определения MTD, RTO и RPO
![Page 87: ИСО 27001 и СМИБ. Теория и практика - обзор тренинга](https://reader034.fdocuments.net/reader034/viewer/2022042611/587460a51a28abab198b50ab/html5/thumbnails/87.jpg)
18.2.3. Анализ технического соответствия• Penetration testing
• Анализ сети, конфигураций оборудования
• Делаем через проект – с привлечением специалистов (заслуженных)• Либо создаем внутреннюю команду из подходящих
специалистов
Кадры решают все
![Page 88: ИСО 27001 и СМИБ. Теория и практика - обзор тренинга](https://reader034.fdocuments.net/reader034/viewer/2022042611/587460a51a28abab198b50ab/html5/thumbnails/88.jpg)
На чем не стоит (чрезмерно) заморачиваться• Политика ИБ
• Становится формальностью при хорошем комплекте документации
• Анализ со стороны руководства • Замещается регулярными совещаниями с руководством
![Page 89: ИСО 27001 и СМИБ. Теория и практика - обзор тренинга](https://reader034.fdocuments.net/reader034/viewer/2022042611/587460a51a28abab198b50ab/html5/thumbnails/89.jpg)
Модуль 4Запуск СМИБ
![Page 90: ИСО 27001 и СМИБ. Теория и практика - обзор тренинга](https://reader034.fdocuments.net/reader034/viewer/2022042611/587460a51a28abab198b50ab/html5/thumbnails/90.jpg)
План Модуля• Управление целями в области ИБ, практическое
лидерство руководства организации
• Анализ со стороны руководства
• Разработка и внедрение системы метрик ИБ
• Внутренние аудиты информационной безопасности
• Тренинги, создание культуры ИБ в организации
![Page 91: ИСО 27001 и СМИБ. Теория и практика - обзор тренинга](https://reader034.fdocuments.net/reader034/viewer/2022042611/587460a51a28abab198b50ab/html5/thumbnails/91.jpg)
7.2, 7.3 Тренинги, создание культуры ИБ в организации
Создание культуры ИБ
• Комиксы (при публикации новостей, новых документов)
• Юмор — одна из основ для здоровой культуры компании
• Некоторые шутки превращаются в истории, которые старожилы рассказывают новичкам. Не это ли культура компании?
![Page 92: ИСО 27001 и СМИБ. Теория и практика - обзор тренинга](https://reader034.fdocuments.net/reader034/viewer/2022042611/587460a51a28abab198b50ab/html5/thumbnails/92.jpg)
Модуль 5Сертификация
СМИБ
![Page 93: ИСО 27001 и СМИБ. Теория и практика - обзор тренинга](https://reader034.fdocuments.net/reader034/viewer/2022042611/587460a51a28abab198b50ab/html5/thumbnails/93.jpg)
Сертификация СМИБ
• Требуемый уровень «международного признания»
• Система аккредитации – ANAB, UKAS, DAkkS и др.
Орган сертификации Система сертификации
BSI ANAB
BureauVeritas UKAS
Русский Регистр ANAB
DNV UKAS
БелГИСС DakkS
Список систем аккредитации: http://www.iaf.nu/articles/Accred_Body_Members_by_Name/52
![Page 94: ИСО 27001 и СМИБ. Теория и практика - обзор тренинга](https://reader034.fdocuments.net/reader034/viewer/2022042611/587460a51a28abab198b50ab/html5/thumbnails/94.jpg)
Модуль 6Эксплуатация
СМИБ
![Page 95: ИСО 27001 и СМИБ. Теория и практика - обзор тренинга](https://reader034.fdocuments.net/reader034/viewer/2022042611/587460a51a28abab198b50ab/html5/thumbnails/95.jpg)
Эксплуатация = жизнь
• Эксплуатация СМИБ началась при старте проекта по внедрению СМИБ
• Основной принцип – «осознавай для чего ты создан»• Для пользы бизнесу
• Постоянный цикл
• Уметь показывать пользу СМИБ (свою пользу)
• Грамотно использовать совещания с руководством, не перегружать• Чем выше руководство, тем меньше пунктов
![Page 96: ИСО 27001 и СМИБ. Теория и практика - обзор тренинга](https://reader034.fdocuments.net/reader034/viewer/2022042611/587460a51a28abab198b50ab/html5/thumbnails/96.jpg)
Эксплуатация = жизньЗнать (заранее) ответ на вопрос – что делает Команда ИБ и Менеджер ИБ после внедрения СМИБ/сертификации
![Page 98: ИСО 27001 и СМИБ. Теория и практика - обзор тренинга](https://reader034.fdocuments.net/reader034/viewer/2022042611/587460a51a28abab198b50ab/html5/thumbnails/98.jpg)
а
Алексей Евменков, [email protected]
ИСО 27001 и СМИБ. Теория и практика.Авторский курс
Расширенная практическая часть, полное руководство по внедрению СМИБ на основе ИСО 27001/27002