Презентация на тему: » Информационная безопасность как часть бизнеса. Комплексный подход к построению систем управления безопасностью Буйдов Александр Заместитель генерального.» — Транскрипт:
1 Информационная безопасность как часть бизнеса. Комплексный подход к построению систем управления безопасностью Буйдов Александр Заместитель генерального директора, КРОК
2 Информационная безопасность как корпоративный бизнес-процесс Насколько актуальна и экономически обоснована система защиты? Насколько система ИБ ориентирована на бизнес? Насколько очевидны для руководства задачи ИБ? Основная цель ИБ – предоставление бизнесу доступной и достоверной информации
3 Бизнес-цели, Цели и Задачи Информационной Безопасности Цели: повышение привлекательности услуг на внутреннем и внешнем рынках повышение доверия со стороны инвесторов страхование своих информационных рисков повышение стабильности функционирования организации предотвращение и/или снижение ущерба от инцидентов информационной безопасности
Аудит бизнес процессов с точки зрения ИБ. С чего начинать?
4 Особенности существующих систем ИБ Низкая вовлеченность руководства в процесс планирования и управления ИБ Отсутствие системы управления информационными рисками Существующие системы информационной безопасности не учитывают современные угрозы и уязвимости –Внутренние нарушители –Ошибки или халатность персонала –Целостность программных сред (защита от администратора)… Затраты на ИБ не всегда эффективны или обоснованы
5 Особенности существующих систем ИБ Отсутствие или не актуальность организационно – распорядительной документации Сложность и многообразие информационных систем (Лоскутная автоматизация) Высокие профессиональные требования к обслуживающему персоналу Средства защиты информации (особенно отечественные) не успевают за развитием информационных технологий
6 Внедрение СУИБ по ISO ISO гарантия правильного внедрения процессов управления ИБ, соответствующих мировому уровню качества Сертификация СУИБ по требованиям ISO/IEC 27001: позволяет организациям: построить комплексную систему обеспечения информационной безопасности выработать долговременную стратегию развития системы ИБ проводить комплексные, эффективные и экономически обоснованные меры по обеспечению информационной безопасности повысить степень привлекательности организации на внутреннем и внешнем рынках получить официальный и признаваемый во всем мире сертификат, который будет служить важным показателем надежности организации в глазах клиентов, партнеров, акционеров, аудиторов, государственных и контролирующих органов
7 Внедрение СУИБ по ISO Мониторинг и аудит Процедуры мониторинга Регулярная проверка эффектиности Внутренний аудит Сопровождение и улучшение Внедрение улучшений Корректирующие и превентивные действия Внедрение и эксплуатация Разработка и реализация плана по минимизации рисков Внедрение механизмов контроля Планирование и организация Определение границ СУИБ Определение политики Идентификация рисков Оценка рисков Выбор задач управления Декларация применимости
Бизнес-процесс с подпроцессами в Visio (пример)
8 Информационная безопасность как часть бизнеса. Комплексный подход к построению систем управления безопасностью Буйдов Александр Заместитель генерального директора, КРОК
Источник: www.myshared.ru
Иб как бизнес процесс
Для того, чтобы войти в профиль, или зарегистрироваться, нужно согласие на обработку персональных данных
Построение процессов ИБ: от черного ящика к управлению рисками
В наше время развитых технологий возможности автоматизации процессов позволяют кратно повышать эффективность работы департаментов ИБ. Вот пара цифр в подтверждение. Клиенты InfoWatch рассказывают об ускорении расследований в 3-4 раза благодаря визуальной аналитике данных DLP, о возможности за один день собрать и проанализировать документы, которые необходимо защищать.
Что нужно предпринять с управленческой точки зрения прежде, чем браться за автоматизацию процессов в своем департаменте ИБ? Какие задачи по-прежнему прерогатива людей-профессионалов, а с какими поможет справится искусственный интеллект? На этом мероприятии мы будем подробно говорить о процессах и управлении, об изменениях в подходах в связи с цифровой трансформацией в компаниях, о типичных ошибках, связанных с оптимизацией процессов ИБ, и, наоборот, лучших практиках в этой области.
- Как подготовиться к внедрению DLP и систем мониторинга: правила установления режима мониторинга и контроля
- Какие с точки зрения методологии нужно выстроить процессы, чтобы защита от утечек работала, как часы
- Что предусмотреть при категорировании конфиденциальной информации и как правильно зафиксировать и внедрить правила обращения с конфиденциальной информацией и ресурсами
- Как измерить эффективность процесса защиты от утечек и выстроить план развития
Сегодняшнее мероприятие ведет Ирина Зиновкина, директор по консалтингу компании InfoWatch. Она расскажет какие процессы нужно выстроить, чтобы построить корректную систему обеспечения защиты от утечек. При этом необходим процессный подход к ИБ.
Процесс защиты от утечек в различных организациях может состоять абсолютно из разных элементов. На слайде изображено как это может выглядеть. Но есть то, что обязательно должно быть у всех.
Обследование информационных активов
Чтобы эффективно защищать, надо четко понимать что мы защищаем, для этого следует провести скрупулезное обследование информации, которая есть в бизнес-подразделениях, как что обрабатывается. Обычно результат этого обследования собирается в некий реестр информационных активов.
Обследование можно проводить несколькими путями: первый – очное либо онлайн интервью с представителями бизнес-подразделений. У них надо узнать, как они обрабатывают информацию, куда ее передают, где хранят. Это достаточно ресурсоемкий процесс, поэтому у представителей служб ИБ нет столько времени, людей сложно вытащить на интервью, все очень заняты. Кроме того, зачастую бизнес не всегда достаточно открыт для ИБ-сотрудников.
Второй метод – это опросные листы, этот метод более удобный, менее трудозатратный, он может проводится также и с группой сотрудников. Один может что-то забыть, второй – вспомнит, подхватит, напомнит. Ну и у сотрудников разных должностей могут быть разные функциональные задачи, и они более полно ответят на вопросы. Вы по этому опросному листу сможете представить примерную картину.
В идеальном случае вы сможете с ходу заполнить реестр информационных активов, но, если вам вдруг что-то непонятно, вы с этим опросным лисом сможете вернуться и выстроить беседу более предметно. Это сокращает трудозатраты и помогает бизнесу корректнее ответить на вопросы.
AutoDLP не идентично обследованию бизнес-процессов. Потому что модуль AutoDLP умеет много полезных вещей таких, как кластеризация документов, он умеет обучаться на документах заказчиков, он помогает регулярно актуализировать политики. Но при этом он не может заменить обследование бизнес-процессов. Он не понимает такие атрибуты, что и в какой период времени и куда должно передаваться.
Потому что часто бывает, что какой-то документ, например, передается в строго определенное время, допустим, один раз в квартал, а все, что выходит за эти сроки — это уже инциденты ИБ. Именно поэтому AutoDLP является тут хорошим помощником в этом обследовании, хорошим инструментом для настройки политик, но заместить полноценно данное обследование бизнес-процессов он не сможет.
Категорирование информации — это процесс базовый. Есть некие категории, которые где-то задокументированы. Они могут называться по-разному: К-1, К-2, а могут C-1 (от слова confidentional), могут называться коммерческой тайной, персональными данными и т.д. Но категорирование информации это в принципе очень важно для того, чтобы люди понимали, как работать с той или иной информацией. Когда категории есть на бумаге — это хорошо, но зачастую случается, что люди неверно проставляют категорию, не понимают, к какой категории отнести информацию и не знают, как с ней правильно работать.
Когда мы дойдем до легитимности, то узнаем, что в судах бывает такая ситуация, когда сотрудник говорит, что он не знал, что данная информация относится к этой конкретной категории, а не к другой, он не знал, что с этой категорией нельзя так работать. Поэтому процесс категорирования должен быть выстроен максимально прозрачно.
Оценка рисков
Об оценке рисков сейчас стало очень модно говорить. Это очень полезная вещь, особенно, когда речь идет про защиту от утечек. Рискоориентированный подход сильно сокращает трудозатраты и помогает сконцентрироваться на действительно важных вещах.
Что следует делать? Во-первых, следует оценить критичность той информации, которая была выявлена. Тут может быть два подхода: качественный и количественный. Качественный — это тогда, когда мы разделяем на некоторые уровни, например, 1, 2, 3. или по цветам: зеленый, желтый, красный.
Критерии критичности тоже обычно выбираются в зависимости от того, что конкретно важно для данной организации. Часто проводят оценку критичности на первом этапе вместе с обследованием, т.е. во время интервью спрашивают, как бизнес оценивает критичность той информации, которую обрабатывают.
Потому что люди, которые с ней работают, больше понимают, что именно может принести им ущерб. Правда случается, что люди бросаются из крайности в крайность. То они говорят, что у них вообще нет никакой критичной информации, несмотря на то, что они работают с базами персональных данных клиентов. И этот большой объем персональных данных они не считают критичным. Либо, наоборот, говорят о том, что у них нет некритичной информации, потому что считают, что, если у них обрабатывается некритичная информация, то это означает, что они плохо работают.
Если вести разговор о количественном подходе, когда информацию пытаются посчитать в деньгах. Это можно сделать, посчитать какой ущерб принесет потеря информации, но это очень трудозатратно.
Актуальная сценарии утечки находятся полностью на стороне ИБ и ИТ. Здесь нужно оценить какие нарушители к данным каналам имеют доступ и какие меры защиты к каждому каналу применены, какова вероятность утечки. На выходе получаем матрицу рисков.
Но сегодня на этом подробно останавливаться не будем. Оценка рисков, на самом деле, поможет не только безопасникам, но и поможет обосновать некоторые бюджеты на ИБ.
Представители бизнес-подразделений сразу видят какие активы у них реально критичны и видят каналы, по которым может произойти утечка конкретной информации.
Обеспечение легитимности использования DLP
Легитимность – это то, с чем сталкивается практически любая организация, которая создает или использует DLP-систему. Судебная система такова, что мы не всегда может предсказать результат того или иного дела, даже если дела похожи. Два разных судьи не обязательно решат эти дела одинаково. Все зависит от множества факторов. Самые показательные примеры связаны с коммерческой тайной.
Какой судья как решил – так и будет. Это касается и грифования. Легитимность в контексте DLP – это то, на что следует обращать особое внимание.
Если вы ставите DLP-систему в тайне от пользователей, если человек провинится, то всегда можно найти за что сотрудника можно уволить. Скорее всего люди все равно узнают о DLP-системе, при этом эмоциональный фон изменится значительно в худшую сторону. Это еще больше испортит отношения бизнеса с ИБ. Им не будет понятно для чего за ними следят, что является целью мониторинга.
Это не освобождает вас от ответственности за нарушение конституционных прав. Для того, чтобы у нас все было правильно и корректно необходимо все правильно зафиксировать, правильно составить всю документацию.
Чтобы обеспечить легитимность, так же следует запретить отработку личной информации на рабочих ресурсах. Если вы это официально не запретите, то и мониторинг становится не совсем законным. Если сотрудник на свой страх и риск продолжает такую обработку, то совет – не на всякий случай использовать подобные инциденты в судах.
Что касается установления режима мониторинга и контроля, то это самый легко выполнимый пункт.
Раньше множество судебных дел касалось увольнения сотрудника, который затем шел в суд за восстановлением. Теперь нарастает число дел, касаемых привлечений за разглашение коммерческой тайны. Теперь не работник является инициатором судебного заседания, а компания.
Разработка необходимых подпроцессов
В системе защиты от утечек должны быть разработаны необходимые подпроцессы.
Управление доступом – это один из базовых ИБ-процессов, всем известно как здесь все должно быть выстроено. Когда речь идет про защиту от утечек, данный процесс должен быть выстроен максимально корректно.
Регламенты и расследование инцидентов, но тот путь, по которому идет инцидент, связанный с утечками, он немного другой, нежели инциденты с ИБ. Поэтому его стоит документировать, поскольку у нас всегда есть некие обязательства, в том числе судебные. Мы должны оперативно расследовать инциденты, при этом всё должно быть правильно оформлено. Суд в первую очередь смотрит, как у вас оформлено служебное расследование, есть ли все документы, подписи, в какой срок вы запросили объяснительны записки. Правильно должны быть разграничены права между подразделениями, чтобы каждое отвечало за свою сферу деятельности, когда речь идет об утечках, то в процессе участвуют не только сотрудники ИБ-подразделения, но и кадры, а также экономическая и внутренняя безопасность, юристы и другие службы.
Источник: smb.ixbt.com
СУИБ: как работает система управления информационной безопасностью
Вместе с ростом актуальности кибербезопасности в бизнесе, растет и количество стереотипов относительно того, как она реализуется на практике. Для многих ИБ – это набор программ и утилит, которые достаточно просто включить «из коробки», и компания автоматически станет защищенной. Для других – это набор регламентов и указов, то есть – соответствие комплаенсу, которое, если и не убережет от хакеров, то точно убережет от штрафа.
Но истина, как это часто бывает, находится посередине: информационная безопасность это комплекс мер и решений, направленных на защиту бизнес-процессов компании от киберрисков. И эффективная защита в этом контексте невозможна без системы управления ИБ.
Без отлаженной системы управления информационной безопасностью нет гарантии того, что таргетируемые ИС инциденты будут замечены и проработаны. Низкий уровень взаимодействия между самими ИС может привести к тому, что инцидент и вовсе не будет таргетирован.
В этой статье будут рассмотрены основные составляющие системы управления информационной безопасностью с точки зрения бизнеса, лучшие практики и регламенты, которыми можно руководствоваться при построении СУИБ.
Основа системы УИБ
В основе любого управления процессами лежат не программные средства, а регламент, который содержит в себе информацию о:
- порядке взаимодействия и реагирования на инциденты;
- угрозах и рисках, которые актуальны для конкретной компании.
На основе этой информации подбираются технические решения для защиты. Это могут быть как универсальные, базовые решения, вроде антивируса или системы аутентификации, так и более продвинутые системы разных классов и направления.
Руководитель службы исследований, кибераналитики и развития Группы Т1
СУИБ – это не система, в которой есть консоль управления и кнопка «включить безопасность», а зрелый менеджмент в ИБ, методология создания, внедрения и оценки эффективности механизмов ИБ. Для перехода к СУИБ необходим определенный уровень зрелости организации, процессов и наличие риск-ориентированного подхода.
Анализ рисков через определение стоимости активов компании является сердцем системы управления ИБ. СУИБ дает возможность увидеть зависимость бизнес-рисков от рисков ИБ, что в свою очередь позволяет принимать более взвешенные решения для бизнеса в условиях цифровизации и увеличения атак на ИТ-инфраструктуры. Среди других преимуществ можно выделить повышение конкурентоспособности компании и уровня надежности для клиентов, митигацию репутационных рисков, погружение руководства компании в вопросы ИБ, а также прозрачность управления через критерии оценки эффективности выполняемых мероприятий (KPI/SLA) и бюджета ИБ.
После того, как кибербезопасность выстроена на административном уровне, наступает очередь технического. Подбираются и интегрируются соответствующие системы, налаживается их взаимодействие между собой, создаются правила детекции или реагирования для информационных систем.
Поскольку интеграция СУИБ, в большей степени, характерна для зрелых, с точки зрения кибербезопасности, компаний, важную роль здесь играет подход ИБ-руководителей к работе над защитой компании. Если CISO способен не только управлять ИБ-службой, но и транслировать важность кибербезопасности для остальных топ-менеджеров компании, сама система будет работать на порядок эффективнее, особенно в контексте развития новых программных продуктов компании.
Критерии выбора средств СУИБ
Если оставить за скобками вопрос оптимизации бюджета на информационную безопасность, то самый простой способ для компании – это обращение к крупному вендору, в линейке продуктов которого есть большинство необходимых систем. Этот подход привлекателен тем, что участие компании сводится к минимуму, поскольку вендор обладает достаточным уровнем компетенций, его продукты гарантированно взаимодействуют между собой, и проблем с интеграцией этих систем в инфраструктуру компании возникнуть не должно.
Однако, практика показывает, что бюджет на информационную безопасность в компании редко позволяет «разгуляться», и большинство специалистов стремятся найти не только эффективные, но и бюджетные решения. Критерии выбора таких решений можно посмотреть в российских и международных стандартах.
Руководитель отдела информационной безопасности Цифроматики
Создание эффективной СУИБ — это индивидуальный подход для каждой организации. При внедрении СУИБ, в основном, стоит руководствоваться рекомендациями стандарта ISO/IEC 27001 и лучшими практиками, которые описаны стандартом ISO/IEC 27002, а также иными отраслевыми стандартами. При этом важно не просто внедрить рекомендованные практики, а оптимизировать процессы СУИБ так, чтобы они реально работали в организации.
Стоит также отдельно выделить такой критерий, как специфика отрасли, в которой работает компания. Если говорить об «обучаемых» системах с кастомными правилами и регламентами, то некоторые вендоры предлагают решения, которые наиболее оптимальны для конкретных отраслей.
Важную роль играет также вопрос совместимости тех или иных решений. Чем сложнее наладить взаимодействие – тем дольше и сложнее будет процесс внедрения СУИБ. Это особенно актуально для компаний, которые выстраивают насыщенную оборону и используют с десяток и более решений разного класса.
Аналитик информационной безопасности в компании R-Vision
Основные критерии, на которые стоит опираться при выборе СУИБ, это присутствие необходимого функционала в продукте, гибкость интеграции и подключения к различным системам. Кроме этого, важными критериями являются возможность использования нескольких направлений безопасности в одном продукте, например, расширенные возможности аутентификации и антивирусная защита из одной “коробки”, а также наличие сертификата регулятора и, при необходимости, способность самостоятельной настройки и внедрения системы. По сути система управления ИБ может состоять как из продуктов нескольких вендоров, так и из решений одного вендора. При выборе СУИБ стоит учитывать и такой фактор, как профессиональные навыки штата ИБ-специалистов: смогут ли они подобрать несколько решений от разных разработчиков так, чтобы охватить весь спектр защиты информации в организации, и возможно даже самостоятельно настроить эти системы.
Технические компоненты СУИБ
С точки зрения технического оснащения СУИБ главным критерием является степень покрытия целевых систем средствами обнаружения и реагирования на инциденты. Поэтому к инструментам « первой необходимости» традиционно относят антивирусы, межсетевые экраны, инструменты защиты почтовых сервисов и анти-DDoS, а также ряд других решений. Для зрелых компаний характерно использование более продвинутых инструментов, к которым можно отнести системы сбора данных с конечных точек, анализаторы трафика, системы контроля доступа и другие.
Архитектор компании RooX
В целевом представлении в СУИБ (SIEM) попадают события со всего оборудования и ПО, в частности, обеспечивающего и контролирующего доступы к системе, этакое всевидящее око, но это всегда баланс приоритетов и возможностей. Одна из стратегий — это начать процесс внедрения с типовых подключений, так как многие рыночные решения уже проинтегрированы между собой. Например, подключать:
- сетевую инфраструктуру (маршрутизаторы, межсетевые экраны и т.д.)
- системы обнаружения и предотвращения вторжений (IPS/IDS)
- системы предотвращения утечек информации (DLP)
- системное ПО
- системы контроля доступа клиентов (CIAM, SSO) и сотрудников (IDM, службы каталогов.
В идеальном случае, уместно снабдить СУИБ не только средствами детекции, визуализации и реагирования, но и аналитики, к которым можно отнести доступ к TI-платформам и другим аналитическим базам, которые позволяют обеспечить высокий уровень актуальности знаний об угрозах «сегодняшнего дня».
Вывод
СУИБ – это не «коробочное решение», которое можно просто купить и развернуть в компании. Это, в первую очередь, процессы и регламенты, которые говорят о зрелости компании с точки зрения кибербезопасности, стратегическом подходе к реализации ИБ в рамках защиты бизнес-процессов.
Директор по развитию бизнеса компании «Гарда Технологии»
Информационную безопасность в компании можно рассматривать по-разному. При этом, для каждой точки зрения можно найти контраргументы. Традиционно об ИБ говорили как о гигиене, в последнее время модно «преподносить» как конкурентное преимущество. Еще один вариант «упаковки» – средство защиты от недопустимых последствий.
Можно просто представить ИБ как «налог» на то, что компания работает в цифровом пространстве. Последствия кибератак для одних компаний несет уход с рынка и разорение, а для других проходит почти бесследно, несмотря на утечки данных и простои инфраструктуры.
При этом, так же как страховой полис не спасает от самой аварии или пожара, так и выстроенная система ИБ с высокой, но не 100% вероятностью может предотвратить или смягчить последствия кибератаки. В среднем по рынку ситуация напоминает бег от медведя, когда ты должен быть более защищен, чем аналогичные компании, и тогда есть вероятность, что хакеры скорее придут к ним. Но тут встает вопрос о том, как повысить эффективность в зависимости от точки зрения, затрат или вложений в ИБ. Решить оптимизационную задачу и можно выстраивая систему управления ИБ. Вот только она не является каким-то волшебным программным продуктом, а представляет собой планомерную работу по выявлению реальных рисков компании, выбора способов снижения возможностей их реализации, и только в конце – внедрение систем и построение процессов ИБ.
Осознание рисков и готовность их нивелировать – это драйвер, который лежит в основе обеспечения информационной безопасности на зрелом уровне. При этом организации, для которых кибербезопасность стала насущным вопросом, скорее всего, не ограничатся одним « нормативным» введением СУИБ в свою деятельность, но будут использовать и практики безопасной разработки, другие решения из мира кибербезопасности, которые в комплексе кратно повысят уровень защищенности компании.
Источник: securitymedia.org
