МЕТРИКИ ЭФФЕКТИВНОСТИ СУИБ. К ЧЕМУ СТРЕМИТСЯ, КАК ОЦЕНИВАТЬ - ЕГОРОВА АННА ГЕОРГИЕВНА, НАЧАЛЬНИК ДС В ОПКИИТ 31 МАЯ 2019 ГОДА
←
→
Транскрипция содержимого страницы
Если ваш браузер не отображает страницу правильно, пожалуйста, читайте содержимое страницы ниже
Ассоциация по сертификации «Русский Регистр» Метрики эффективности СУИБ. К чему стремится, как оценивать. Егорова Анна Георгиевна, Начальник ДС в ОПКиИТ 31 мая 2019 года
Информационная безопасность «Кто владеет информацией - «У каждой информации своя цена, тот владеет миром» но и у каждой цены – своя Н. Ротшильд информация» В. Коняхин «Бережёного Бог бережёт» Русская пословица
РУССКИЙ РЕГИСТР / RUSSIAN REGISTER РУССКИЙ РЕГИСТР / RUSSIAN REGISTER ИБ предприятия - это комплекс организационных и технических мер, направленных на защиту корпоративных данных.
РУССКИЙ РЕГИСТР / RUSSIAN REGISTER РУССКИЙ РЕГИСТР / RUSSIAN REGISTER Важно: Безопасность – не только и не столько техническая проблема! К сожалению, непредсказуемость поведения человека может уничтожить самые безопасные информационные системы.
РУССКИЙ РЕГИСТР / RUSSIAN REGISTER РУССКИЙ РЕГИСТР / RUSSIAN REGISTER Угрозам подвергаются данные о составе, статусе и деятельности компании. Источниками таких угроз являются её конкуренты, коррупционеры и преступники. Особую ценность для них представляет ознакомление с охраняемой информацией, а также ее модификация в целях причинения финансового ущерба.
РУССКИЙ РЕГИСТР / RUSSIAN REGISTER РУССКИЙ РЕГИСТР / RUSSIAN REGISTER Главная роль Системы управления информационной безопасностью (Information Security Management System, СУИБ) - обеспечение конфиденциальности, целостности и доступности информации за счет применения процесса менеджмента рисков.
РУССКИЙ РЕГИСТР / RUSSIAN REGISTER РУССКИЙ РЕГИСТР / RUSSIAN REGISTER Означает, что информация не Свойство быть Конфиден- может быть доступным и циальность доступна или применимым по раскрыта требованию неуполномоченным уполномоченного лицам, субъектам субъекта Доступность или процессам Целостность Означает защиту точности и полноты активов Слово не воробей – вылетит не поймаешь Хороша ложка к обеду Из крошек кучка, из капель море.
РУССКИЙ РЕГИСТР / RUSSIAN REGISTER РУССКИЙ РЕГИСТР / RUSSIAN REGISTER Основными свойствами ИБ являются: • конфиденциальность информации, т.е. необходимость введения ограничений доступа к данной информации для определенного круга лиц; • невозможность несанкционированного доступа к информации, т.е. ознакомления с конфиденциальной информацией посторонних лиц;
РУССКИЙ РЕГИСТР / RUSSIAN REGISTER РУССКИЙ РЕГИСТР / RUSSIAN REGISTER • целостность информации и связанных с ней процессов (создание, ввод, обработка и вывод), которая заключается в ее существовании в неискаженном виде (неизмененном по отношению к некоторому фиксированному ее состоянию);
РУССКИЙ РЕГИСТР / RUSSIAN REGISTER РУССКИЙ РЕГИСТР / RUSSIAN REGISTER • доступность информации, т.е. способность обеспечивать своевременный и беспрепятственный доступ лиц к интересующей их информации; • минимизация рисков информационной безопасности путем выполнения компенсационных мероприятий; • учет всех процессов, связанных с рисками.
РУССКИЙ РЕГИСТР / RUSSIAN REGISTER РУССКИЙ РЕГИСТР / RUSSIAN REGISTER Систему составляют организационные структуры, политика, действия по планированию, обязанности, процедуры, процессы и ресурсы.
РУССКИЙ РЕГИСТР / RUSSIAN REGISTER РУССКИЙ РЕГИСТР / RUSSIAN REGISTER «Безопасность - это процесс, а не результат» Брюс Шнайер
РУССКИЙ РЕГИСТР / RUSSIAN REGISTER «Если вы можете измерить то, о чем говорите, и выразить это в числах, то вы что-то знаете об этом предмете; если же вы не в состоянии ни измерить, ни выразить это в числах, то ваши знания предмета скудны и неудовлетворительны.» Уильям Томсон (лорд Кельвин) физик
РУССКИЙ РЕГИСТР / RUSSIAN REGISTER РУССКИЙ РЕГИСТР / RUSSIAN REGISTER Измерение процесса Использование метрик, их регулярная оценка и сопоставление с целевыми значениями (KPI). Процесс оценки результативности и эффективности мер по обеспечению и управлению информационной безопасностью часть СМИБ.
РУССКИЙ РЕГИСТР / RUSSIAN REGISTER Нужно правильно выбрать метрики Перед выбором метрик необходимо сформировать цели, достижение которых мы собираемся измерять
РУССКИЙ РЕГИСТР / RUSSIAN REGISTER ЦЕЛИ 1. Уменьшить и оптимизировать стоимость поддержки системы безопасности. ХОЧУ тратить деньги только на те направления безопасности, которые закроют самые опасные риски для предприятия.
РУССКИЙ РЕГИСТР / RUSSIAN REGISTER 2. Информационные активы должны стать понятными для высшего руководства компании
РУССКИЙ РЕГИСТР / RUSSIAN REGISTER 4. Риски должны просчитываться и решения должны приниматься на основе бизнес-целей компании, в первую очередь финансовых целей.
РУССКИЙ РЕГИСТР / RUSSIAN REGISTER 5. Управление информационными активами предприятия в критичных ситуациях должно стать эффективным благодаря разработке, внедрению и тестированию планов по восстановлению бизнеса.
РУССКИЙ РЕГИСТР / RUSSIAN REGISTER 6. Должен проводиться процесс выполнения политики безопасности (находить и исправлять слабые места в системе информационной безопасности в регулярном режиме). 7. Должна быть обеспечена прозрачность и чистота бизнеса перед законом.
РУССКИЙ РЕГИСТР / RUSSIAN REGISTER 8. Должна появится надежная защита от рейдерских атак. 9. Подсистема информационной безопасности должна интегрироваться в общую систему менеджмента.
РУССКИЙ РЕГИСТР / RUSSIAN REGISTER 10. Предприятие должно получить международное признание и повысить авторитет, как на внутреннем рынке, так и на внешних рынках и т.д.
РУССКИЙ РЕГИСТР / RUSSIAN REGISTER Можно начать изобретать «велосипед»
РУССКИЙ РЕГИСТР / RUSSIAN REGISTER А можно использовать «лучшие мировые практики».
РУССКИЙ РЕГИСТР / RUSSIAN REGISTER Стандарты: Серии ISO/IEC 20000, Серии ISO/IEC 27000, В России законодательно закреплено применение международных стандартов - «Международные стандарты должны использоваться полностью или частично в качестве основы для разработки проектов технических регламентов...» (в ред. ФЗ от 18.07.2009 N 189-ФЗ) Следовательно, для создания эффективной системы менеджмента могут быть применены международные стандарты дополняющие действующие национальные требования.
РУССКИЙ РЕГИСТР / RUSSIAN REGISTER ISO/IEC 27001 ЯЗЫК СТАНДАРТА ПРОСТ И СЛОЖЕН
РУССКИЙ РЕГИСТР / RUSSIAN REGISTER Стандарт состоит из трех частей Первая часть «Общие положения» содержит информацию о предназначении стандарта, его связи с другими стандарта по ИБ, а также термины и определения.;
РУССКИЙ РЕГИСТР / RUSSIAN REGISTER Вторая часть «Требования к СМИБ» является основной. Она выдвигает обязательные для выполнения требования к СМИБ и позволяет на их основе построить эффективную систему.
РУССКИЙ РЕГИСТР / RUSSIAN REGISTER Общие требования размещаются всего на девяти страницах и разделены на следующие разделы: 4. Контекст организации 5. Лидерство 6. Планирование 7. Поддержка 8. Эксплуатация 9. Оценка результативности 10. Улучшение
РУССКИЙ РЕГИСТР / RUSSIAN REGISTER Третья часть стандарта «Приложение А. Цели управления и элементы управления».
REGISTER Чтобы понять как работает стандарт рассмотрим достаточно простую схему, представляющую его основу 1-я ступень. Управленческая Орг.структура и Управление ресурсами УПРАВЛЕНИЕ Управление Внутренние Анализ Улучшен ответственность РИСКАМИ документацией аудиты системы ие за ИБ высшим системы / RUSSIAN руководством 2-я ступень. Определение направлений защиты 27001 А.6 Организация информационной А.12 Безопасность при обработке А.14 Приобретение, разработка и А.11 Физическая безопасность и А.16 Управление инцидентами в А.5 Политика информационной А.18 Соответствие требованиям А.17 Аспекты информационной безопасности при управлении РЕГИСТРISO/IEC А.7 Вопросы безопасности, защита окружающей среды А.8 Управление активами непрерывностью бизнеса А.15 Взаимоотношения с связанные с персоналом сфере информационной А.13 Безопасность связи А.9 Контроль доступа А.10 Криптография поддержка систем поставщиками безопасности безопасности безопасности информации ISO/IEC 17799, РУССКИЙ 3-я ступень. Реализация мер защиты рекомендации Организационные Учебные Программные Аппаратные ISF и др. • Назначение ответственных за ИБ в • Внутренний курс • Регулярное • Установка подразделениях «Требования предприятия обновление видеокамер • Разработка политики по ИБ» антивирусного ПО • Ремонт резервного копирования • Курс Microsoft • Установка системы существующей электронного локальной сети документооборота
РУССКИЙ РЕГИСТР / RUSSIAN REGISTER Схема работает в три этапа На первом этапе строятся управленческие процессы. Среди них самым важным является процесс управления рисками. Управленческие процессы в регулярном режиме закрутят механизм отслеживания и оценки существующих и вновь появляющихся рисков. В результате реализации первого этапа можно видеть все риски и выделить наиболее серьезные. Другими словами, четко определяем, чего должны опасаться. когда выявлено, что угрожает перебираем все направления безопасности, которые могут привести к возникновению на практике тех самых опасных рисков. Эти направления перечислены в стандарте в Приложении А. Наряду с элементами управления для компьютеров и компьютерных сетей в стандарте уделяется большое внимание вопросам разработки политики безопасности, работе с персоналом (прием на работу, обучение, увольнение с работы), обеспечению непрерывности производственного процесса, юридическим требованиям.
Второй этап работы схемы заключается в четком РУССКИЙ РЕГИСТР / RUSSIAN REGISTER определении направлений информационной безопасности А.5 Политика информационной безопасности А.6 Организация информационной безопасности А.7 Вопросы безопасности, связанные с персоналом А.8 Управление активами А.9 А.10 А.11 Физическая А.12 А.13 Контроль Криптография безопасность и Безопасность Безопасность доступа защита при обработке связи окружающей информации среды А.14 Приобретение, разработка и А.15 Взаимоотношения с поддержка систем поставщиками А.16 Управление инцидентами в сфере информационной безопасности А.17 Аспекты информационной безопасности при управлении непрерывностью бизнеса А.18 Соответствие требованиям Всего их 114, но для простоты и удобства они сгруппированы в 13 групп.
РУССКИЙ РЕГИСТР / RUSSIAN REGISTER В результате реализации второго этапа - знаем по каким направлениям возможно или необходимо обеспечивать информационную безопасность. Либо это будут направления, связанные с персоналом, или физической защитой, или компьютерной техникой. Российские традиции таковы, что данные направления не определяются объективно, с учетом важности того или иного направления. Служба ИТ как правило просит средства только на компьютерную технику, в то время, как гораздо эффективнее и менее затратно вкладывать средства в повышение компьютерной грамотности персонала. На данном этапе завершается главная роль стандарта ISO 27001.
РУССКИЙ РЕГИСТР / RUSSIAN REGISTER Третий этап – технический. Для его реализации не существует единой методики или стандарта. В этот момент каждое предприятие исходя из своих финансовых возможностей принимает решение либо о покупке техники, ПО, обучении персонала, усилении пропускного режима или выбирает другие меры. На этом этапе выбираются конкретные поставщики конкретных мероприятий.
РУССКИЙ РЕГИСТР / RUSSIAN REGISTER Исходя из собственного опыта и опыта коллег Часто задаваемые вопросы и непонимание отдельных пунктов стандарта: 1. Наличие налаженных контактов с различными инстанциями, работающими в России в области информационной безопасности. Таковыми могут быть силовые структуры – МВД и ФСБ, консалтинговые фирмы, работающие в области безопасности, сертификационные общества, форумы по информационной безопасности.
РУССКИЙ РЕГИСТР / RUSSIAN REGISTER 2. Наличие независимого пересмотра (надзора) системы менеджмента информационной безопасности. Для этого можно привлечь сертификационный орган, консалтинговую компанию либо представителей предприятия-партнера. 3. Наличие актуального и полного реестра информационных активов предприятия. Это остаточно большой объем работ и многие предприятия «запускают» актуализацию реестра.
РУССКИЙ РЕГИСТР / RUSSIAN REGISTER 4. Требования по информационной безопасности должны применяться и выполняться при приеме абсолютно всего персонала на работу. Это могут быть требования о несудимости, о наличии компьютерных навыков, личностные качества. 5. Во время работы весь персонал периодически должен проходить обучение или инструктаж по информационной безопасности.
РУССКИЙ РЕГИСТР / RUSSIAN REGISTER 6. При увольнении сотрудника должны быть четко проверены по реестру и возвращены все информационные активы, которые были доступны ему во время работы. 7. Физическая безопасность предприятия не должна ограничиваться сохранностью материальных активов. В рамках физической безопасности должны быть решены проблемы с утечкой или повреждением нематериальных информационных активов.
РУССКИЙ РЕГИСТР / RUSSIAN REGISTER 8. При разработке программного обеспечения для собственных нужд необходимо разделять среду разработки, тестирования и эксплуатации программного обеспечения. Другими словами, запрещается разрабатывать программный продукт и работать с ним на одном компьютере. Возможно понадобится приобрести новые компьютеры для реализации данного требования.
РУССКИЙ РЕГИСТР / RUSSIAN REGISTER 9. Должны быть разработаны и должны выполняться требования по информационной безопасности для услуг третьих сторон. Таких как Интернет-провайдеров, консультантов, привлекаемых технических специалистов других предприятий.
РУССКИЙ РЕГИСТР / RUSSIAN REGISTER 10. Любое устройство, содержащее информацию, перед отправкой в ремонт, на склад, в утилизацию должно быть обработано с точки зрения удаления всей имеющейся на нем информации. 11. Системная документация ко всему оборудованию, имеющему отношение к информации должна быть в наличии, должна быть доступна в нужный момент времени и не должна быть доступна третьим лицам.
РУССКИЙ РЕГИСТР / RUSSIAN REGISTER 12. Необходимо учитывать требования по информационной безопасности не только к компьютерным информационным системам, но к простым факсам, телетайпам и телефонам.
РУССКИЙ РЕГИСТР / RUSSIAN REGISTER 13. Все действия системных администраторов должны фиксироваться. Это особенно сложный пункт. Но его необходимость продиктована тем, что системные администраторы по роду своей деятельности постоянно корректируют (конфигурируют) настройки информационных систем. Уход с работы подобного сотрудника приведет к серьезным финансовым последствиям для предприятия. Наличие записей о проделанных работах поможет новому системному администратору оперативно получить управление информационной системой и решать задачи по ремонту и наладке системы.
РУССКИЙ РЕГИСТР / RUSSIAN REGISTER 14. На всем предприятии должна применяться политика чистого рабочего стола (мебель) и экрана компьютера. Т.к. именно таким образом происходит большое количество утечек информации. 15. На предприятии должны быть разработаны планы по восстановлению бизнеса. Камнем преткновения зачастую является их обязательное тестирование.
РУССКИЙ РЕГИСТР / RUSSIAN REGISTER 16. Предприятие должно соблюдать законодательные требования например часть 4 Гражданского Кодекса РФ, т.е. следуя стандарту предприятие не может использовать нелицензионное программное обеспечение 17. На предприятии полностью должны быть устранены случаи нецелевого использования средств обработки информации. Т.е. запрещены игры, частные прогулки по Интернету, поиск рефератов и др.
РУССКИЙ РЕГИСТР / RUSSIAN REGISTER Типичные ошибки в части построения СУИБ - не четко определены владельцы процессов и активов компании, а также роли и ответственность в области ИБ; - недостаточное понимание высшим руководством вопросов СУИБ в следствии того, что назначенные лица или структурные подразделения, ответственные за обеспечение функционирования СУИБ по различным причинам не проводят реальное обучение руководителей высшего и среднего звена компании;
РУССКИЙ РЕГИСТР / RUSSIAN REGISTER - недостаточный уровень (вес, значимость) должностных лиц в иерархии компании, непосредственно отвечающих за СУИБ, в том числе за организацию обучения персонала по ИБ и проведение внутренних аудитов; - назначение ответственными за СУИБ в структурных подразделениях по принципу: кто недозагружен работой, кого не жалко или в назидание (наказание);
РУССКИЙ РЕГИСТР / RUSSIAN REGISTER - формальный подход ответственных (координаторов) СУИБ в структурных подразделениях (филиалах) компании, когда главным критерием обеспечения функционирования СУИБ является только ее документальное (бумажное) оформление, т.е. работа по СУИБ – для внутренних и внешних проверяющих;
РУССКИЙ РЕГИСТР / RUSSIAN REGISTER - в условиях периодически меняющейся структуры компании реальная работа по актуализации информационных активов и их фактических владельцев, оценке и анализу рисков не ведется, переписываются предыдущие версии Реестров и Отчетов;
РУССКИЙ РЕГИСТР / RUSSIAN REGISTER - непонимание и невовлеченность 100% персонала в СУИБ, ошибочное представление персонала о том, что они занимаются своим делом (секретарь, бухгалтерия, кадры, договорники, экономисты, охрана и т.п), а специалисты по ИБ пусть занимаются своими. Ментальное непонимание персоналом того, что ИБ – сквозной процесс и присутствует практически во всех сферах деятельности компании.
РУССКИЙ РЕГИСТР / RUSSIAN REGISTER Управление ИБ – это циклический процесс, включающий осознание степени необходимости защиты информации и постановку задач; сбор и анализ данных о состоянии ИБ в организации; оценку информационных рисков; планирование мер по обработке рисков; реализацию и внедрение соответствующих механизмов контроля, распределение ролей и ответственности, обучение и мотивацию персонала, оперативную работу по осуществлению защитных мероприятий; мониторинг функционирования механизмов контроля, оценку их эффективности и соответствующие корректирующие воздействия.
РУССКИЙ РЕГИСТР / RUSSIAN REGISTER Как понять руководству компании – выполняет ли внедренная СУИБ поставленные задачи, является ли эффективной? - руководству компании необходимо найти время и предоставить возможность обучить себя вопросам СУИБ, чтобы качественно контролировать ее функционирование; - обеспечить исполнение требований стандарта по регулярному анализу функционирования СУИБ в компании (филиалах и структурных подразделениях); .
РУССКИЙ РЕГИСТР / RUSSIAN REGISTER - сравнить количественно-качественную динамику выявленных ранее несоответствий и инцидентов ИБ, - оценить правильность определения коренных причин их возникновения, а тем более повторения; - внимательно читать Отчеты по внутренним аудитам и сравнивать их с предыдущими на глубину до 3-4 лет; .
РУССКИЙ РЕГИСТР / RUSSIAN REGISTER - сравнить результаты плановых проверок регуляторов в области ИБ, наличие (отсутствие) предписаний контрольно- надзорных органов; - организовать регулярный опрос (анкетирование) работников, клиентов, партнеров по опасному бизнесу.
РУССКИЙ РЕГИСТР / RUSSIAN REGISTER Какие показатели и метрики определяют зрелость компании в вопросах управления ИБ? - соотношение принятых и обрабатываемых рисков ИБ; - рост/снижение событий (инцидентов ИБ); - постоянное улучшение СУИБ компании
РУССКИЙ РЕГИСТР / RUSSIAN REGISTER Руководитель обязан контролировать ситуацию в своей организации, подразделении, проекте и во взаимоотношениях с заказчиками. Это означает быть осведомленным о том, что происходит, своевременно узнавать обо всех нештатных ситуациях и представлять себе, какие действия надо будет предпринять, в том или ином случае.
РУССКИЙ РЕГИСТР / RUSSIAN REGISTER В организации существует несколько уровней управления, начиная с менеджеров высшего звена и заканчивая конкретным исполнителями, и на каждом уровне ситуация должна оставаться под контролем. Другими словами, должна быть выстроена вертикаль управления и процессы управления.
РУССКИЙ РЕГИСТР / RUSSIAN REGISTER На выбор подхода к оценке рисков в организации, помимо характера ее бизнеса и уровня информатизации бизнес процессов, также оказывает влияние ее уровень зрелости. Управление рисками ИБ – это бизнес задача, инициируемая руководством организации в силу своей информированности и степени осознания проблем ИБ, смысл которой заключается в защите бизнеса от реально существующих угроз ИБ.
РУССКИЙ РЕГИСТР / RUSSIAN REGISTER По степени осознания прослеживаются несколько уровней зрелости организаций, которые в определенной степени соотносятся с уровнями зрелости, определяемыми в COBIT и других стандартах. На начальном уровне осознание как таковое отсутствует, в организации предпринимаются фрагментарные меры по обеспечению ИБ, инициируемые и реализуемые ИТ-специалистами под свою ответственность.
РУССКИЙ РЕГИСТР / RUSSIAN REGISTER На втором уровне в организации определена ответственность за ИБ, делаются попытки применения интегрированных решений с централизованным управлением и внедрения отдельных процессов управления ИБ. Третий уровень характеризуется применением процессного подхода к управлению ИБ, описанного в стандартах.
РУССКИЙ РЕГИСТР / RUSSIAN REGISTER Система управления ИБ становится настолько значимой для организации, что рассматриваться как необходимый составной элемент системы управления организацией. Однако полноценной системы управления ИБ еще не существует, т.к. отсутствует базовый элемент этой системы – процессы управления рисками. Для организаций с наивысшей степенью осознания проблем ИБ характерно применение формализованного подхода к управлению рисками ИБ, отличающегося наличием документированных процессов планирования, реализации, мониторинга и совершенствования.
РУССКИЙ РЕГИСТР / RUSSIAN REGISTER Мероприятия для контроля эффективности внедренной ИБ
РУССКИЙ РЕГИСТР / RUSSIAN REGISTER Мероприятия: - изучать стандарты, анализировать на применимость к предприятию; - проводить постоянную оценку и анализа рисков ИБ, в соответствии с выбранной методикой (на основе лучших практик); - проводить внутренние и внешние аудиты через запланированные промежутки времени; - проводить регулярно (не реже одного раза в год) или при изменении организационно-штатной структуры компании анализ функционирования СУИБ, исходными данными для которого являются в том числе результаты аудитов; - обеспечить постоянный контроль за деятельностью назначенных должностных лиц, отвечающих за функционирование СУИБ в структурных подразделениях и компании в целом.
РУССКИЙ РЕГИСТР / RUSSIAN REGISTER Эффективность процесса управления рисками ИБ определяется точностью и полнотой анализа и оценки факторов риска, а также эффективностью используемых в организации механизмов принятия управленческих решений и контроля их исполнения.
РУССКИЙ РЕГИСТР / RUSSIAN REGISTER Сертификация СУИБ Под сертификацией СУИБ организации по требованиям (ГОСТ Р) ИСО/МЭК 27001 понимается комплекс организационно- технических мероприятий, проводимых независимыми экспертами, в результате которых, посредством специального «Сертификата соответствия», подтверждается наличие и надлежащее функционирование всех рекомендуемых Стандартом механизмов контроля, применимых в данной организации.
РУССКИЙ РЕГИСТР / RUSSIAN REGISTER Процедура сертификации оказывает серьезное мотивирующее и мобилизующее воздействие на персонал компании: повышается уровень осведомленности сотрудников, эффективнее выявляются и устраняются недостатки и несоответствия в системе управления ИБ, что в перспективе означает для организации снижение среднестатистического ущерба от инцидентов безопасности, а также сокращение накладных расходов на эксплуатацию информационных систем.
РУССКИЙ РЕГИСТР / RUSSIAN REGISTER В результате сертификации организация получает ряд преимуществ: - происходит официальная регистрация СУИБ организации в реестре авторитетных органов, что укрепляет имидж компании, повышает интерес со стороны потенциальных клиентов, инвесторов, кредиторов и т.п. - в результате успешной сертификации расширяется сфера деятельности компании за счет получения возможности участия в тендерах и развития бизнеса, в том числе на международном уровне.
РУССКИЙ РЕГИСТР / RUSSIAN REGISTER Сертификация предусматривает комплексный аудит СУИБ в реальных условиях функционирования с целью проверки наличия рекомендуемых Стандартом механизмов контроля, оценки полноты и правильности их реализации, а также их адекватности существующим рискам.
РУССКИЙ РЕГИСТР / RUSSIAN REGISTER Задача аудитора провести анализ адекватности и реализации основных задач ИБ
РУССКИЙ РЕГИСТР / RUSSIAN REGISTER Пример из практики аудита: Проверка политик безопасности в области предотвращения несанкционированного доступа к базе данных организации через локальную вычислительную сеть (ЛВС) организации. Проводится анализ: – механизмов безопасности на организационном уровне, политики безопасности организации по обеспечению режима ИБ; – критических элементов сетевой инфраструктуры организации (межсетевых экранов, серверов, осуществляющих управление межсетевым взаимодействием, почтовых и DNS-серверов и т.д.); – доступности внешних сетевых адресов ЛВС организации из сети Интернет; – доступности к ресурсам ЛВС организации изнутри.
РУССКИЙ РЕГИСТР / RUSSIAN REGISTER Пример из практики аудита: Чек-лист оценки организационно-распорядительных документов, регламентирующих организацию работ по защите конфиденциальной информации и персональных данных Приложение к отчету о проверки № Заполнил: Аудитор № Комментарии Наименование документа Основание КИ ПДн Примечание п/п Приказы Приказ о назначении работника (структурного подразделения), ответственного за обеспечение 1 ФСТЭК + + безопасности конфиденциальной информации, в том числе ПДн Приказ о назначении работника (структурного В случае 2 подразделения), ответственного за выполнение работ по ФСБ + использован технической и криптографической защите ПДн ия СКЗИ Приказ о составе комиссии по классификации 3 ФСТЭК + автоматизированных систем Приказ о составе комиссии по классификации 4 + информационных систем персональных данных Приказ о выделении помещения (помещений) в котором производится обработка конфиденциальной информации, Роскомнад 5 в том числе ПДн (в соответствии с тем в каких отделах, зор, + + подразделениях организации обрабатываются ПДн). ФСТЭК Приложение: список допущенных сотрудников
РУССКИЙ РЕГИСТР / RUSSIAN REGISTER Пример из практики аудита: Положение о подразделении, осуществляющем функции 3 ФСТЭК + При наличии по организации защиты персональных данных Положение (инструкция) о резервировании и 4 восстановлении работоспособности ТС и ПО, баз данных ФСТЭК + + и средств СЗПДн Руководства Руководство пользователя по эксплуатации технических и 1 программных средств защиты конфиденциальной ФСТЭК + + информации Руководство администратора по эксплуатации 2 технических и программных средств защиты ФСТЭК + + конфиденциальной информации Руководство пользователя по обеспечению безопасности 3 ФСТЭК + ИСПДн Руководство администратора по обеспечению 4 ФСТЭК + безопасности ИСПДн Журналы Журнал учета бумажных и съемных носителей 1 ФСТЭК + + конфиденциальной информации, в том числе ПДн Возможно Журнал регистрации и учета обращений субъектов ведение в 2 ФСТЭК + персональных данных электронной форме Журнал ознакомления ответственных за обеспечение безопасности ПДн, за выполнение работ по защите ПДн под 3 расписку с Типовыми требованиями и другими документами, ФСБ + регламентирующими организацию и обеспечение безопасности ПДн при их обработке в ИСПДн В случае Журнал учета криптосредств, эксплуатационной и 4 ФСБ + использования технической документации к ним СКЗИ В случае 5 Журнал учета ключевых носителей ФСБ + использования СКЗИ
РУССКИЙ РЕГИСТР / RUSSIAN REGISTER Пример из практики аудита: Модели 1 Модель угроз безопасности информации ФСТЭК + 2 Модель нарушителя ФСТЭК + 3 Частная модель угроз безопасности ПДн ФСТЭК + Планы 1 План мероприятий по технической защите информации ФСТЭК + + 2 План мероприятий по защите персональных данных ФСТЭК + План внутренних проверок состояния защиты 3 ФСТЭК + конфиденциальной информации План внутренних проверок состояния защиты 4 ФСТЭК + персональных данных Планы устранения недостатков, выявленных в ходе 5 ФСТЭК + + проверок вопросов защиты информации
РУССКИЙ РЕГИСТР / RUSSIAN REGISTER Пример из практики аудита: Стандарты на микроклимат в серверной: Российские СН 512-78 (п.3) предъявляют следующие требования к микроклимату: Температура воздуха в помещениях - 20°±2 °С (не более 25 °С). При подаче охлажденного воздуха непосредственно в устройства (стойки с аппаратурой) температура его на входе не должна быть ниже 14 °С. Относительная влажность воздуха - 20-70 % (не более 75 % в холодный период, в теплый для 25 °С - не более 65 %, для 24 °С и ниже - не более 70 %). Оптимальная скорость потока воздуха - 0,2 м/с (не более 0,3 м/с для холодного, 0,5 м/с для теплого периодов). Запыленность воздуха помещений не должна превышать: в серверной - 0,75 мг/м³, с размерами частиц не более 3 мкм (атм. пыль, сажа, дым, споры, асбест); в помещениях обработки данных - 2 мг/м³. Американский стандарт TIA 942 (п.5.3.5.): Температура воздуха по сухому термометру: от +20 °С до + 25°С (не более 25 °С) Точка нормальной настройки: +22 °С Контрольный диапазон изменений: ±1 °С Относительная влажность воздуха: от 40% до 50% Точка росы: не более +21 °С Скорость изменения температуры: не более +5 °С в час
РУССКИЙ РЕГИСТР / RUSSIAN REGISTER Пример из практики аудита: 21.00-22.00 Проверка соответствия Понимание потребностей и ожиданий Подразделения по ИТ 4.2.1 заинтересованных сторон эксплуатации и 4.2.2 Оценка рисков инфраструктуре 4.3 Разработка, внедрение и обслуживание (2 смена) А.6.1 информационных систем Дежурный по смене А.9.2 Приемлемое использование носителей Эстрих Ольга Владимировна А.10 информации А.12 Управление доступом к системе и приложениям Руководитель группы: А.15 Техническое обслуживание оборудования Егорова А.Г. Безопасность прикладных сервисов в общедоступных сетях Необслуживаемое пользовательское оборудование Документированные процедуры эксплуатации Защита записей Конфиденциальность и защита персональных данных Безопасность зданий, производственных помещений и оборудования Соответствие требованиям
РУССКИЙ РЕГИСТР / RUSSIAN REGISTER Пример из практики аудита: 0 Проверка соответствия Физический периметр безопасности Главный энергетик А.11 A.11.1.2 Физические средства управления входом А.13 A.11.1.3 Работа в зонах безопасности А.14 A.11.1.5 Вспомогательное оборудование/службы Аудитор: A.11.2.2 обеспечения A.11.2.3 Кабельная безопасность A.11.2.4 Техническое обслуживание оборудования (в том числе A.11.2.6 генератор) А.16 А.17 А.18.1.3 Безопасность оборудования и активов вне территории организации Управление инцидентами ИБ Управление непрерывностью бизнеса
РУССКИЙ РЕГИСТР / RUSSIAN REGISTER Пример из практики аудита: Во всех подразделениях проверяется соответствие следующим разделам стандарта ИСО 27001 и реализация контролей: 5.2. f) Доведение Политика в области ИБ до сведения персонала 5.3. a) Определение ответственности и полномочий по обеспечению соответствия СМИБ требованиям стандарта 6.2 d) Доведение целей в области ИБ должны доводиться до сведения персонала A.9.4.1 Ограничение доступа к информации A.11.1.3 Безопасность зданий, производственных помещений и оборудования A.11.2.9 Политика «чистого стола» и «чистого экрана» A.12.2.1 Средства управления, направленные против вредоносных программ A.12.3.1 Резервное копирование информации A.12.4.4 Синхронизация часов A.12.6.2 Ограничения по установке программного обеспечения A.13.1.3 Разделение в сетях A.13.2.3 Электронный обмен сообщениями A.16.1.7 Сбор свидетельств о событиях в сфере ИБ
РУССКИЙ РЕГИСТР / RUSSIAN REGISTER Аудиторы оценивают модель системы информационной безопасности предприятия - как совокупность внешних и внутренних факторов, их влияние на состояние ИБ предприятия и обеспечение сохранности ресурсов, согласно воздействия между следующими факторами:
РУССКИЙ РЕГИСТР / RUSSIAN REGISTER • угрозами ИБ, которые характеризуются вероятностью возникновения и реализации; • уязвимостью системы ИБ, влияющей на вероятность реализации угрозы; • рисками, отражающими предполагаемый ущерб в результате реализации угрозы ИБ.
РУССКИЙ РЕГИСТР / RUSSIAN REGISTER В ходе проверки используются традиционные методы: наблюдение, сбор объективных свидетельств, опрос, обобщение, анализ и др.
РУССКИЙ РЕГИСТР / RUSSIAN REGISTER При аудите используются различные источники информации, в том числе: результаты опроса персонала (опрос персонала проводится с учетом требований ГОСТ Р ИСО 19011); результаты наблюдения за процессами и деятельностью; документы (политика, цели, планы, реестры, положения, карты процессов, процедуры, инструкции, лицензии, разрешения и др.); записи, в том числе содержащие свидетельства результативного функционирования СМК; сведения, полученные из других источников, например: отзывы потребителей, рейтинги поставщиков; компьютеризированные базы данных и WEB-сайты.
РУССКИЙ РЕГИСТР / RUSSIAN REGISTER Информация и материальные ресурсы, которые анализируются: речевая информация; информация, хранимая и обрабатываемая посредством средств связи в виде различных носителей; документы на бумажных носителях; технические средства связи и информатизации; помещения, предназначенные для обсуждения, обработки и хранения информации; информационные системы в целом, включая системы связи; документация на технические и программные средства связи и информатизации; программные средства.
РУССКИЙ РЕГИСТР / RUSSIAN REGISTER Процедура сертификации СУИБ
РУССКИЙ РЕГИСТР / RUSSIAN REGISTER ЭТАПЫ СЕРТИФИКАЦИИ СИСТЕМ МЕНЕДЖМЕНТА ИБ
РУССКИЙ РЕГИСТР / RUSSIAN REGISTER РУССКИЙ РЕГИСТР ПРЕДСТАВЛЯЕТ ИНТЕРЕСЫ РОССИЙСКОГО БИЗНЕСА В МЕЖДУНАРОДНЫХ И ОТРАСЛЕВЫХ ОРГАНИЗАЦИЯХ
ПРЕИМУЩЕСТВА СОТРУДНИЧЕСТВА С РУССКИМ РЕГИСТРОМ Полное международное и национальное Весь комплекс услуг в области оценки признание соответствия Близость офисов Русского Регистра в Международный уровень экспертов РФ и мире Нахождение центрального офиса в Узнаваемость и престижность бренда России (г. Санкт-Петербург) Русского Регистра Доступ к эксклюзивным передовым Минимизация политических рисков услугам
СПАСИБО ЗА ВНИМАНИЕ! ВОПРОСЫ? Тел.:+7 812 670 90 01, доп. 794 egorova@rusregister.ru www.rusregister.ru
Вы также можете почитать