Слайд 1 - Центр информационной безопасности

Проблемы зрелости
информационной безопасности
в крупных отечественных компаниях
Подходы к построению системы защиты информации
Подход «сверху». Начало со стадии
проектирования ИС. Как минимум,
использование аудита и анализа рисков.
На практике системы защиты информации
строятся «снизу». Первоочередные меры,
безотлагательные внедрения.
Расследования.
Недостаточная осознанность руководства?
Нужно повышать зрелость компании.
О чём мы говорим?
Информационная безопасность – это не
продукт, не решение и даже не услуга.
Это постоянная кропотливая работа.
Трудно переоценить важность системного
подхода, отдельной службы ИБ в
организации.
Современные тенденции в области ИБ
Постоянно расширяющееся
взаимопроникновение и взаимосвязь угроз.
Нарушение одного вида легко приводит к нарушениям другого:
а) вредоносное ПО скрытно отправляет конфиденциальную
информацию в Интернет (взаимосвязь: нарушение целостности
приводит к утечке), а также рассылает спам (взаимосвязь: затрата
ресурсов),
б) утечка информации (например, паролей, адресов e-mail)
обуславливает заражение вирусами, взлом, спам (взаимосвязь: утечка
приводит к нарушению целостности, отказу в доступе, потере рабочего
времени),
в) заражение вредоносным ПО происходит через
развлекательные и другие неслужебные сайты (взаимосвязь: потери
рабочего времени приводят к нарушению целостности информации и
доступности служб и так далее).
Обоснование важности ИБ для руководства
От 19 утечек информации только в
сентябре 2007 года пострадали около 9
миллионов человек.
Долгосрочные издержки на их ликвидацию
приближаются к отметке в 2 миллиарда
долларов.
http://corp.cnews.ru/reviews/index.shtml?2007/10/09/269626
Интеграция IT Service Management и IT Security Management.
Реальный опыт.
ITIL Publication Framework:
Service Delivery:
• Управление уровнем обслуживания
• Финансовое управление ИТ
• Управление мощностями
• Управление непрерывностью
• Управление доступностью
Service Support:
• Служба поддержки
• Управление инцидентами
• Управление проблемами
• Управление изменениями
• Управление релизами
• Управление конфигурациями
Результаты начала интеграции:
- разрешительный механизм ИБ (ISO) реально заработал
- увеличился поток сообщений об уязвимостях и нарушениях ИБ
Дальнейшие направления интеграции:
- SLA
- обеспечения непрерывности бизнеса и ИТ-услуг
Реальные примеры повышения эффективности защиты
информации при внедрении управления ИТ-услугами
- SLA уменьшает вероятность оказания
пользователю (клиенту) лишней, опасной с
точки зрения ИБ услуги.
- ServiceDesk предоставляет возможность
полноценно реализовать разрешительную
систему.
- ServiceDesk повышает полноту охвата и
оперативность управления инцидентами.
Проблемы и тенденции управления конфиденциальной
информацией
Концепции и технологии PKI, VPN и SSL эффективны
и перспективны. Перспективна защита IM-переписки.
Системы управления доступом к внешним
носителям и портам управляют не информацией,
а пользователями, их полномочиями.
Тенденция: комплексные решения DLP.
Маркирование информации, контроль на
границах сети, посекторное шифрование HDD,
автом. обучение пользователей (Symantec Vontu,
McAffee Safeboot –пример интеграции).
Модели зрелости управления ИТ и ИБ
Уровень
зрелости
CobiT (ITIL)
Уровень
зрелости
Gartner (ИБ)
Год
0
Не существующий
1
Начальный
2003
0
нулевой (штатные средства)
2
Повторяющийся
2005
1
тех. проблема (простые средства)
2005
3
Документированный
2008
2
орг. проблема (политика, аудит)
2006
4
Управляемый
3
корп. культура (CISO, CSIRT, SLA)
2008
5
Оптимизируемый
CobiT (ITIL):
1. начальный
2. повторяющийся
Gartner (ИБ): 1. тех. проблема
2002
Год
2003
2004
3. документированный
2. орг. проблема (аудит, политика)
2005
2006
3. корп. культура
2007
2008
2009
Подход «снизу» к внедрению системы защиты информации
Необходимые условия для старта:
- организация отдельной службы защиты
информации;
- кредит доверия высшего руководства
предприятия (организации), который
выражается, например, в утвержденной
инструкции по ИБ.
Подход «снизу» к внедрению системы защиты информации
Первоочередные меры:
- обработка инцидентов, учет и классификация
нарушений ИБ;
- внедрение политик управления паролями;
- внедрение учета полномочий;
- разделение сетей и зон доверия;
- внедрение решений по мониторингу активности;
- корпоративный антивирус, антиспам (стоит
внимания MS ForeFront), PKI, VPN.
Кредит доверия
Дебет успеха
Внедрение политики информационной безопасности
Если пытаться внедрять Политику в
незрелой организации, Политика не будет
работать.
Есть явления девальвации стандартов управления
ИТ и ИБ. Своевременность внедрения политик и
стандартов – залог их успеха.
Удобство использования – главный
критерий принятия политик
руководителями и пользователями.
Значение стандартов ИТ
1. Не должен стоять вопрос, какой стандарт выбрать.
• ISO 20000/BS 15000 (управление услугами ИТ) коррелирует с ITIL.
• ISO 17799:2005: появился раздел «Управление инцидентами».
• ISO 27001:2005 использует подходы CobiT и т. д.
ISO, ITIL и CobiT непротиворечивы, могут и должны использоваться совместно.
Каждый силен в своем: ITIL – в управлении ИТ-услугами, CobiT –
в измерениях (эффективности и т. п.), ISO 27001/17799/13335 – в ИБ.
ISO, CobiT и ITIL будут гармонизированы ISO в ближайшие 2-3 года.
Нужно также рассматривать и другие стандарты ИТ, как специфичные, так и
абстрактные.
2. Если уже имеется система управления процессами по ISO 9001
или 14001, то ISO 27001:2005 рекомендует «дополнить» данную
систему элементами системы управления ИБ.
3. Наиболее наглядный пример выгоды от сертификации по ISO
для бизнеса – повышение инвестиционной привлекательности.
• Западные инвесторы и биржи требуют соответствие ISO, Акту Сарбанеса-Оксли,
заключения об аудите одного из членов big4.
Независимый перевод ISO 27002:2007 (17799:2005)
http://bezpeka.ladimir.kiev.ua/