Presentation IS criteria
- 1. Семинар Решения IBM для обеспечения информационной безопасности Критерии выбора решений по информационной безопасности Владимир Ткаченко Директор ООО «Агентство активного аудита»
- 2. Практическая реализация защиты ИТ инфраструктуры предприятия
- 3. Типичные заблуждения при реализации защиты ИТ инфраструктуры предприятия ISO 27001 – открытие для ИТ директоров предприятий ISO 18044 – откровение для ИТ и бизнеса CoBIT – это что-то только у «них там на западе» и «у нас не работает» Купим Антивирус, WEB-фильтр, IDS/IPS, DLP (нужное подчеркнуть) и все будет ок
- 4. Как определить потребность в продуктах ИБ? Данные для Описание принятия решения Анализ ИТ рисков Позволяет определить наиболее критичные ресурсы подверженные наиболее вероятному перечню угроз + возможность оптимально резервировать ресурсы для решения задач ИБ, возможность измерить риск в бизнес терминах - процесс, требующий ресурсов (квалификация и методология) Статистика Объективная совокупность фактов, позволяющая проводить инцидентов ИТ (ИБ) статистический анализ характера и особенностей инцидентов, а также их природы Внутренний или Оценить, а, где это возможно, сравнить выполнение процессов с внешний аудит ИТ политикой СУИБ (требованиями стандартов и/или регуляторов), целями и практическим опытом и доложить результаты менеджменту ISO 27001 – открытие для ИТ директоров предприятий (руководству) для анализа. ISO Тест на 18044 – откровение для ИТ испособ определить РЕАЛЬНЫЕ уязвимые места в Достаточно быстрый бизнеса CoBIT – это проникновение что-то только у «них там на западе» ИТ,«у нас не работает» инфраструктуре и определить процессы и требующие улучшения. + относительно быстро (до 1-2 мес), возможно охватить большинство Купим Антивирус, WEB-фильтр, IDS/IPS, DLP том числе аспекты физической критичных ресурсов и процессов (в (нужное подчеркнуть) и все будет ок безопасности) - ограниченный финансовый ресурс
- 5. Анализ рисков ИТ Идентификация информационных Определение Оценка угроз активов и определение контрмер их ценности Оценка Анализ Оценка риска уязвимостей защищенности План обработки Остаточный рисков риск © Валерий Сысоев, Агентство 23.02.2012 Активного Аудита 5
- 6. План обработки рисков (фрагмент) План действий ISO (СОУ НБУ) Риски Документация Проект Риск финансових и репутационных потерь при реализации угроз типа И.АП-1 Внедрение мониторинга событий хакинг, получение несанкционированного доступа к системе и сети A Внедрить информационной безопасности предприятия, которые эксплуатируют уязвимости отсутствия журналов регистрации событий (аудита) систему SIEM (Security - Регистрация данных аудита Риск финансових и репутационных потерь при реализации угроз типа information and event - Разработать И.АП-2 хакинг, получение несанкционированного доступа к системе и сети management) – которая процедуры мониторинга A Руководство по предприятия, которые эксплуатируют уязвимость отсутствия позволит обеспечить использования средств обработки пониторингу и возможности ведения журналов регистрации событий (аудита) анализ и сохранность 2012 информации протоколированию А.10.10 журналов регистрации - Обеспечить регистрацию действий событий в событий (аудита) в администратора и операторов информационных Риск финансових и репутационных потерь при реализации угроз типа системах систем, а систем системах хакинг, получение несанкционированного доступа к системе и сети также регистрацию И.АП -4 - Обеспечить регистрацию сбоев в предприятия, которые эксплуатируют уязвимости того, что информация A действий системе журналов регистрации событий (аудита) не защищена от администратора и -Обеспечить несанкционированного доступа. пользователей. синхронизацию времени Не внедрена и не применяется политика периодического пересмотра и И.ЗЦ-4 применения обновлений (заплаток), предоставляемых B производителями лицензионных ОС и ПО Риск финансових и репутационных потерь при реализации угроз типа И.ЗЦ-6 хакинг, раскрытие и/или кража информации составляющей B Установка сервера упр коммерческую тайну, который эксплуатирует отсутствие проверки Руководство по Процесс приобретения, разработки и авления изменениями целостности файлов в ИС обеспечению поддержки ИС (ПО) Требуется внедрить Риск финансових и репутационных потерь при реализации угроз типа безопасности при О.УК-1 - разработка бізнес-требований к ИС сканер уязвимостей, человеческих ошибок, получения НСД к системам и сети и т.д., который A разработке и принятию (ПО) который обеспечит А.12.1 эксплуатирует отсутствие управления конфигурацией в эксплуатацию ПО - криптографические средства процесс проверки А.12.2 Риск финансових и репутационных потерь при реализации угроз типа Политика работы с О.УК-3 защиты актуальных 2012 А.12.3 человеческих ошибок, получения НСД к системам и сети и т.д., который A третьими сторонами - обеспечение безопасности уязвимостей, и А.12.4 эксплуатирует отсутствие контроля изменений конфигурации (аутсорсинга) системных файлов наличия последних А.12.5 Риск финансових и репутационных потерь при реализации угроз типа аутсорсингу - безопасность обновлений в системах О.СО-1 А.12.6 человеческих ошибок, вредоносного кода (черви, вирусы и т.д.), Руководство по процессов разработки и сервісного A и бізнес-приложениях который эксплуатирует уязвимость отсутствия процесса принятия в управлению обслуживания Проводить внешний эксплуатацию и поддержки информационной системы. изменениями в - управление уязвимостями тест на О.СО- Управление конфигурацией на стадии разработки ИС не следует информационной A 3 технических средств проникновение мини положенням, определенным в "Управлении конфигурацией" (О.УК) системе Риск финансових и репутационных потерь при реализации угроз типа мум 1 раз в год человеческих ошибок, вредоносного кода (черви, вирусы и т.д.), О.СО-5 который эксплуатирует уязвимость отсутствия процесса B периодического анали за потенциальных уязвимостей и актуальних обновлений в системе.
- 7. IBM InfoSphere Guardium Database Security • Мониторинг • Регистрация действий • Аудит • Защита протоколов IBM Tivoli • Управление разграничением полномочий • Управление доступом к приложениям • Мониторинг изменений в инфраструктуре • Централизованное управление политиками безопасности и криптографическими средствами
- 8. Идентификация функционала Совет: Из первых рук (если выбрали производителя, спросите у него) Формат – чем точнее проблема, тем точнее решение Предпроектное обследование - опытная эксплуатация наше все!!! Результат: • менеджмент и сотрудники представляют масштабы изменений и необходимые ресурсы для интеграции решения в систему управления информационной безопасностью предприятия и планируют внедрение с учетом анализа рисков
- 10. Как еще облегчить задачу … и получить финансирование проекта Расчитать Return On Security Investment Return On Security Investment (ROSI) – используется для расчета возврата финансовых инвестиций в информационную безопасностьна основе финансовой выгоды и стоимости инвестиций
- 11. Non-financial benefits Нефинансовые выгоды от инвестиций – Укрепление репутации компании как «надежной и безопасной» (мечта маркетолога) Повышение морального духа сострудников их опыта и знаний Привлечение внимания со стороны средств масс-медиа в качестве "лидера отрасли” Соответствие требованиям законодательства и регуляторов Удовлетворенные клиенты
- 12. Финансовые выгоды Финансовые выгоды от инвестиций в ИБ – Сокращение затрат, связанных с инцидентами ИБ Снижение финансовых обязательств связанных с нарушениями регулятивных требований Снижение стоимости владения информационными активами Снижение операционных расходов (поддерживаем только критичные приложения) Повышение прибыльности от ИТ инфраструктуры
- 13. Затраты на ИБ Затраты на ИБ – Стоимость квалифицированных специалистов Стоимость мероприятий по обеспечению безопасности и их поддержка Накладные расходы Обучение и повышение квалификации (или осведомленности) сотрудников Затраты на реакцию на инциденты
- 14. Как с этой фигней взлететь? Определить стоимость мер защиты Определить ROSI в стоимость бизнес кейс инцидента ИБ (ИТ) Рассчитать Рассчитать финансовые ROSI выгоды
- 15. Запитання v.tkachenko@auditagency.com.ua www.auditagency.com.ua 044 2281588