Рахметов Р. для ООО «Интеллектуальная безопасность» (Security Vision), 2020
Цикл лекций по дисциплине «Автоматизация процессов управления информационной безопасностью»
Минимизация рисков информационной безопасности – обоснование для внедрения процессов управления ИБ и реализации конкретных защитных мер (организационных, технических, физических).
Основные международные стандарты практического обеспечения информационной безопасности, включающие в себя описание организационных и технических требований для разработки целостной системы обеспечения и управления информационной безопасностью:
-
ISO/IEC 27001:2013 Information security management systems – Requirements («Системы менеджмента информационной безопасности – Требования»);
-
NIST SP 800-53 rev.5 Security and Privacy Controls for Information Systems and Organizations («Меры обеспечения безопасности и конфиденциальности для информационных систем и организаций», редакция 5);
-
CIS TOP-20 Controls («20 лучших мер защиты»).
Серия стандартов ISO/IEC 27000
ISO - International Organization for Standardization, Международная организация по стандартизации
IEC - International Electrotechnical Commission, Международная электротехническая комиссия
Принятые РФ стандарты ISO/IEC имеют префикс ГОСТ Р ИСО/МЭК, например ГОСТ Р ИСО/МЭК 27001-2006.
Наиболее интересные стандарты в серии ISO 27xxx, посвященной внедрению Системы менеджмента информационной безопасности (СМИБ):
ISO 27000 — СМИБ. Обзор и глоссарий
ISO 27001 — СМИБ. Требования
ISO 27002 — СМИБ. Свод практических правил для обеспечения мер ИБ
ISO 27003 — СМИБ. Руководство по внедрению СМИБ
ISO 27004 — СМИБ. Мониторинг, измерения, анализ и оценка
ISO 27005 — СМИБ. Управление рисками информационной безопасности
ISO 27018 — Свод практических правил по защите персональных данных в публичных облаках
ISO 27031 — Руководство по готовности информационно-коммуникационных технологий к обеспечению непрерывности бизнеса
ISO 27032 — Руководство по кибербезопасности
ISO 27035 — Управление инцидентами информационной безопасности
ISO 27036 — Информационная безопасность при взаимоотношениях с поставщиками
ISO 27039 — Выбор, настройка и работа с системами обнаружения и предотвращения вторжений
ISO 27043 — Принципы и процессы расследования инцидентов информационной безопасности
Основные фазы построения СМИБ по ISO 27xxx:
-
Оценка необходимости и потребности компании в мерах ЗИ путем оценки рисков и моделирования угроз/нарушителей
-
Внедрение и обеспечение процессов ИБ, мер защиты и иных контрмер для противодействия выявленным актуальным угрозам
-
Мониторинг и регулярный пересмотр эффективности работы СМИБ
-
Непрерывное совершенствование СМИБ.
Ключевые компоненты СМИБ:
-
Локальные нормативные акты (ЛНА)
-
Сотрудники с определенными должностными обязанностями
-
Процессы управления:
1. Внедрением ЛНА
2. Повышением квалификации и осведомленности сотрудников
3. Планированием
4. Внедрением мер защиты
5. Текущей деятельностью
6. Оценкой эффективности
7. Анализом со стороны руководства
8. Совершенствованием
Ключевые компоненты СМИБ:
-
Локальные нормативные акты (ЛНА)
-
Сотрудники с определенными должностными обязанностями
-
Процессы управления:
1. Внедрением ЛНА
2. Повышением квалификации и осведомленности сотрудников
3. Планированием
4. Внедрением мер защиты
5. Текущей деятельностью
6. Оценкой эффективности
7. Анализом со стороны руководства
8. Совершенствованием
Процессы обеспечения ИБ по стандарту ISO/IEC 27001:2013:
-
процесс создания и поддержки документального обеспечения деятельности по защите информации (политики, стандарты, регламенты, процедуры, инструкции)
-
процесс управления учетными записями пользователей и администраторов информационных систем
-
процесс разграничения и контроля прав логического доступа к информационным системам, реализация принципа минимизации полномочий
-
процесс проверки (скрининга) персонала при приеме на работу, обучение персонала принципам и политикам информационной безопасности компании, контроль выполнения требований информационной безопасности сотрудниками в процессе работы
-
процесс управления активами (инвентаризация, назначение владельцев и ответственных, контроль на всех стадиях жизненного цикла активов), включая управление устройствами (стационарными, мобильными)
-
процесс классификации информации по степени критичности и уровням необходимости соблюдения конфиденциальности, целостности, доступности
-
процесс криптографической защиты информации при использовании, хранении и передаче
-
процесс обеспечения физической безопасности и контроль физического доступа к объектам информационных систем
-
операционные процессы обеспечения информационной безопасности: контроль изменений, контроль конфигураций, контроль разработки и внедрения информационных систем
-
процесс защиты от вредоносного программного обеспечения
-
процесс обеспечения непрерывности бизнеса и восстановления работоспособности информационных систем и данных после сбоев
-
процесс аудита и мониторинга событий информационной безопасности
-
процесс управления инцидентами информационной безопасности
-
процесс управления уязвимостями в используемом программном обеспечении (сканирование, оценка, устранение путем обновления или наложенными средствами защиты)
-
процесс обеспечения сетевой безопасности (сегментирование ЛВС, фильтрация трафика, аутентификация устройств), включая обеспечение информационной безопасности при использовании «облачных» сервисов
-
процесс обеспечения информационной безопасности на всех стадиях жизненного цикла информационных систем, включая поддержку цикла безопасной разработки и внедрения программного обеспечения
-
процесс контроля информационного взаимодействия с поставщиками, клиентами, подрядчиками
-
процесс управления соответствием нормативным требованиям, предъявляемым к компании
-
процесс проведения независимых аудитов и тестов информационной безопасности.
Каждый процесс разбит на подпроцессы для детализации требований. Например, процесс обеспечения физической безопасности и контроль физического доступа к объектам информационных систем состоит из следующих подпроцессов:
-
Создание периметра физической безопасности (защита помещений, где хранится и обрабатывается важная информация)
-
Меры контроля физического доступа (СКУД, турникеты, замки и т.д.)
-
Защита помещений, комнат, участков зданий
-
Защита от внешних воздействий (стихийные бедствия, физические атаки)
-
Контроль работы в защищенных помещениях
-
Контроль зон возможного пребывания посторонних лиц (зоны погрузки/доставки должны быть ограничены)
-
Физическая защита оборудования
-
Защита от сбоев систем электроснабжения, вентиляции, кондиционирования
-
Физическая защита структурированных кабельных систем (СКС)
-
Обслуживание оборудования (очистка, охлаждение, питание)
-
Защита от физического выноса оборудования из здания
-
Защита оборудования за пределами контролируемых зон (бекапы, ЦОДы, удаленная работа на корпоративных ноутбуках)
-
Надежное удаление информации перед утилизацией/продажей оборудования
-
Защита оборудования, находящегося без присмотра (блокировка рабочих станций)
-
Политика «чистого рабочего стола», защита носителей/распечаток, доступ к принтерам
Документ NIST SP 800-53 (ревизия №5, Сентябрь 2020)
-
входит в NIST Cybersecurity Framework наряду с документами по управлению рисками (NIST SP 800-39, 800-37, 800-30) и логически с ними связан;
-
описывает конкретные шаги для минимизации рисков ИБ, выявленных на предыдущих этапах;
-
дополнения: NIST SP 800-53A (методы оценки внедренных мер), NIST SP 800-53B (базовые уровни мер).
Меры защиты по NIST SP 800-53:
-
контроль доступа
-
осведомленность и обучение
-
аудит и подотчетность
-
оценка, авторизация и мониторинг
-
управление конфигурациями
-
планирование непрерывности операций
-
идентификация и аутентификация
-
реагирование на инциденты
-
обслуживание систем
-
защита носителей информации
-
физическая безопасность и защита от стихийных бедствий
-
планирование
-
управление программой обеспечения информационной безопасности
-
кадровая безопасность
-
обработка и защита персональных данных
-
оценка рисков
-
приобретение систем и сервисов
-
защита систем и средств коммуникации
-
целостность систем и информации
-
управление цепочками поставок.
Все меры защиты, описанные в стандарте NIST SP 800-53, включают в себя также и конкретные шаги по реализации соответствующей меры. Например, мера защиты «Контроль доступа» включает в себя следующие действия:
-
создание политик и процедур контроля доступа
-
управление учетными записями
-
защиту доступа
-
контроль потоков информации
-
разделение и минимизацию полномочий
-
контроль неудачных попыток аутентификации
-
уведомление об осуществляемом мониторинге и правилах работы с информационными системами
-
уведомление о предыдущих попытках аутентификации
-
контроль количества параллельных сессий
-
блокировку сессии пользователя после периода бездействия
-
принудительный разрыв сессии по тайм-ауту или определенному условию
-
определение списка возможных действий без прохождения идентификации или аутентификации
-
использование меток безопасности и конфиденциальности
-
контроль удаленного и беспроводного доступа
-
контроль доступа мобильных устройств
-
использование внешних систем
-
предоставление общего доступа к информации
-
предоставление публично доступного контента
-
защита от массового извлечения данных
-
принятие решений о контроле доступа
-
применение контролера доступа (Reference Monitor).
Документ «CIS TOP-20 Controls»
Разработан некоммерческой организацией CIS (Center for Internet Security). Обновляется регулярно, последняя версия 7.1 (2020 г.). Кроме теоретических рекомендаций, выпускает практические документы – Benchmarks (бенчмарки, «золотые стандарты») с перечнем конкретных действий по настройке ОС, ПО, СЗИ.
Документ «CIS TOP-20 Controls» содержит 20 наиболее эффективных мер защиты (технических, организационных), разделенных на группы:
Базовые:
-
Инвентаризация и контроль аппаратных активов
-
Инвентаризация и контроль программных активов
-
Непрерывное управление уязвимостями
-
Контроль использования административных полномочий
-
Защищенная настройка ПО и АО на устройствах
-
Мониторинг и анализ журналов доступа (логов)
Основные:
-
Защита email-клиентов и браузеров
-
Защита от ВПО
-
Ограничение и контроль использования сетевых портов, сервисов и протоколов
-
Возможности по восстановлению данных
-
Защищенная настройка сетевых устройств (межсетевые экраны, маршрутизаторы, коммутаторы)
-
Защита информационного периметра
-
Защита данных
-
Контролируемый доступ на основе принципа служебной необходимости
-
Контроль беспроводного доступа
-
Мониторинг и контроль учетных записей
Организационные:
-
Программа повышения осведомленности и обучение сотрудников
-
Безопасность прикладного ПО (безопасная разработка)
-
Управление и реагирование на инциденты
-
Тесты на проникновение и тесты «Red Team»
Все меры защиты содержат в себе 5-10 подпунктов с конкретизацией меры. Например, мера №14 «Контролируемый доступ на основе принципа служебной необходимости» состоит из подпунктов:
-
Сегментация ЛВС на основе важности данных, обрабатываемых в каждом из сегментов (VLAN)
-
Фильтрация трафика между сегментами сети
-
Запрет на взаимодействие между клиентскими устройствами (для блокировки распространения ВПО)
-
Шифрование всей важной информации в процессе передачи
-
Автоматизированный поиск важной информации в сети (для обновления списка защищаемых активов)
-
Защита информации с применением списков контроля доступа (ACL, Access Control List)
-
Контроль доступа к информации (например, с применением DLP)
-
Шифрование всей важной информации в процессе хранения
-
Детальное логирование всех фактов доступа и изменения важной информации
Этапы выстраивания системы управления информационной безопасностью:
-
Изучение бизнеса компании, включая бизнес-процессы, используемые технологии, средства защиты
-
Выявление рисков, угроз, применимых регуляторных норм
-
Выбор наиболее подходящих стандартов, рекомендаций и лучших практик для выстраивания процессов ИБ конкретно в данной компании
-
Составление списка мер защиты (организационные, технические, физические), которые закрывают выявленные риски и угрозы
-
Дополнение списка мерами, которые продиктованы регуляторными нормами
-
Разработка и утверждение локальной (внутренней) нормативной документации (сначала политики и стандарты ИБ, затем по мере необходимости регламенты, процедуры, инструкции – с индексами документов, грифом, сквозной нумерацией, историей изменений, версионностью, списком согласовавших и утвердивших)
-
Повторный анализ имеющихся СЗИ – реализуют ли они все выявленные необходимые меры защиты?
-
Выбор новых СЗИ и/или модернизация старых. Экономическое обоснование затрат (инвестиций) в СЗИ. Приобретение СЗИ
-
Набор сотрудников в подразделение защиты информации (для работы с конкретными технологиями и средствами ИБ)
-
Внедрение СЗИ (силами подрядчиков или самостоятельно), первичная настройка
-
Контроль выполнения ЛНА с помощью СЗИ. Контроль минимизации рисков до заданного уровня (снижение количества инцидентов). Тюнинг СЗИ
-
Непрерывное улучшение, охват все больших объектов бизнеса и ИТ-инфраструктуры
Экономическое обоснование затрат (инвестиций) в СЗИ. Приобретение СЗИ
CAPEX – capital expenditure, капитальные расходы (сервер, ПК, коробочное СЗИ)
OPEX – operational expenditure, операционные расходы (облако, аренда ЦОД, использование СЗИ по подписке)
ROSI – Return on Security Investment, возврат инвестиций в безопасность – экономическая эффективность СЗИ. Если ROSI > 1, то вложение в СЗИ оправдано.
ROSI = (ARO*SLE*MF – TCO) / TCO
ARO - annualized rate of occurrence, среднее количество инцидентов в год в соответствии со статистическими данными
SLE - single loss expectancy, ожидаемые разовые потери, т.е. «стоимость» одного инцидента
MF - mitigation factor, фактор снижения угрозы с помощью СЗИ (в %)
TCO - total cost of ownership, совокупная стоимость владения СЗИ, включающая в себя стоимость самого СЗИ, затрат на внедрение, техподдержку вендора, регулярные обновления, зарплату администрирующего СЗИ персонала.
Пример:
DDoS-атаки происходят 10 раз в год, ущерб от одной DDoS-атаки = 1000000 рублей, MF = 90% по заявлению производителя анти-DDoS решения, TCO = (2000000 рублей само СЗИ + 1500000 рублей годовая з/п администратора ИБ + внедрение 300000 рублей) = 3800000 руб.
ROSI = (10*1000000*0.9 – 3800000) / 3800000 = 1.37.
