Проблемы зрелости информационной безопасности в крупных отечественных компаниях Подходы к построению системы защиты информации Подход «сверху». Начало со стадии проектирования ИС. Как минимум, использование аудита и анализа рисков. На практике системы защиты информации строятся «снизу». Первоочередные меры, безотлагательные внедрения. Расследования. Недостаточная осознанность руководства? Нужно повышать зрелость компании. О чём мы говорим? Информационная безопасность – это не продукт, не решение и даже не услуга. Это постоянная кропотливая работа. Трудно переоценить важность системного подхода, отдельной службы ИБ в организации. Современные тенденции в области ИБ Постоянно расширяющееся взаимопроникновение и взаимосвязь угроз. Нарушение одного вида легко приводит к нарушениям другого: а) вредоносное ПО скрытно отправляет конфиденциальную информацию в Интернет (взаимосвязь: нарушение целостности приводит к утечке), а также рассылает спам (взаимосвязь: затрата ресурсов), б) утечка информации (например, паролей, адресов e-mail) обуславливает заражение вирусами, взлом, спам (взаимосвязь: утечка приводит к нарушению целостности, отказу в доступе, потере рабочего времени), в) заражение вредоносным ПО происходит через развлекательные и другие неслужебные сайты (взаимосвязь: потери рабочего времени приводят к нарушению целостности информации и доступности служб и так далее). Обоснование важности ИБ для руководства От 19 утечек информации только в сентябре 2007 года пострадали около 9 миллионов человек. Долгосрочные издержки на их ликвидацию приближаются к отметке в 2 миллиарда долларов. http://corp.cnews.ru/reviews/index.shtml?2007/10/09/269626 Интеграция IT Service Management и IT Security Management. Реальный опыт. ITIL Publication Framework: Service Delivery: • Управление уровнем обслуживания • Финансовое управление ИТ • Управление мощностями • Управление непрерывностью • Управление доступностью Service Support: • Служба поддержки • Управление инцидентами • Управление проблемами • Управление изменениями • Управление релизами • Управление конфигурациями Результаты начала интеграции: - разрешительный механизм ИБ (ISO) реально заработал - увеличился поток сообщений об уязвимостях и нарушениях ИБ Дальнейшие направления интеграции: - SLA - обеспечения непрерывности бизнеса и ИТ-услуг Реальные примеры повышения эффективности защиты информации при внедрении управления ИТ-услугами - SLA уменьшает вероятность оказания пользователю (клиенту) лишней, опасной с точки зрения ИБ услуги. - ServiceDesk предоставляет возможность полноценно реализовать разрешительную систему. - ServiceDesk повышает полноту охвата и оперативность управления инцидентами. Проблемы и тенденции управления конфиденциальной информацией Концепции и технологии PKI, VPN и SSL эффективны и перспективны. Перспективна защита IM-переписки. Системы управления доступом к внешним носителям и портам управляют не информацией, а пользователями, их полномочиями. Тенденция: комплексные решения DLP. Маркирование информации, контроль на границах сети, посекторное шифрование HDD, автом. обучение пользователей (Symantec Vontu, McAffee Safeboot –пример интеграции). Модели зрелости управления ИТ и ИБ Уровень зрелости CobiT (ITIL) Уровень зрелости Gartner (ИБ) Год 0 Не существующий 1 Начальный 2003 0 нулевой (штатные средства) 2 Повторяющийся 2005 1 тех. проблема (простые средства) 2005 3 Документированный 2008 2 орг. проблема (политика, аудит) 2006 4 Управляемый 3 корп. культура (CISO, CSIRT, SLA) 2008 5 Оптимизируемый CobiT (ITIL): 1. начальный 2. повторяющийся Gartner (ИБ): 1. тех. проблема 2002 Год 2003 2004 3. документированный 2. орг. проблема (аудит, политика) 2005 2006 3. корп. культура 2007 2008 2009 Подход «снизу» к внедрению системы защиты информации Необходимые условия для старта: - организация отдельной службы защиты информации; - кредит доверия высшего руководства предприятия (организации), который выражается, например, в утвержденной инструкции по ИБ. Подход «снизу» к внедрению системы защиты информации Первоочередные меры: - обработка инцидентов, учет и классификация нарушений ИБ; - внедрение политик управления паролями; - внедрение учета полномочий; - разделение сетей и зон доверия; - внедрение решений по мониторингу активности; - корпоративный антивирус, антиспам (стоит внимания MS ForeFront), PKI, VPN. Кредит доверия Дебет успеха Внедрение политики информационной безопасности Если пытаться внедрять Политику в незрелой организации, Политика не будет работать. Есть явления девальвации стандартов управления ИТ и ИБ. Своевременность внедрения политик и стандартов – залог их успеха. Удобство использования – главный критерий принятия политик руководителями и пользователями. Значение стандартов ИТ 1. Не должен стоять вопрос, какой стандарт выбрать. • ISO 20000/BS 15000 (управление услугами ИТ) коррелирует с ITIL. • ISO 17799:2005: появился раздел «Управление инцидентами». • ISO 27001:2005 использует подходы CobiT и т. д. ISO, ITIL и CobiT непротиворечивы, могут и должны использоваться совместно. Каждый силен в своем: ITIL – в управлении ИТ-услугами, CobiT – в измерениях (эффективности и т. п.), ISO 27001/17799/13335 – в ИБ. ISO, CobiT и ITIL будут гармонизированы ISO в ближайшие 2-3 года. Нужно также рассматривать и другие стандарты ИТ, как специфичные, так и абстрактные. 2. Если уже имеется система управления процессами по ISO 9001 или 14001, то ISO 27001:2005 рекомендует «дополнить» данную систему элементами системы управления ИБ. 3. Наиболее наглядный пример выгоды от сертификации по ISO для бизнеса – повышение инвестиционной привлекательности. • Западные инвесторы и биржи требуют соответствие ISO, Акту Сарбанеса-Оксли, заключения об аудите одного из членов big4. Независимый перевод ISO 27002:2007 (17799:2005) http://bezpeka.ladimir.kiev.ua/