Solar Security. Андрей Прозоров. "Лучшие практики" в ИБ"

«Лучшие практики» в ИБ
.
SOC-Forum Astana 2017
Прозоров Андрей, CISM
Руководитель экспертного направления, Solar Security
Мой блог: 80na20.blogspot.com
Мой твиттер: twitter.com/3dwave

solarsecurity.ru +7 (499) 755-07-70
Мы любим Википедию
2
Лучшая практика (англ. Best practice) — формализация
уникального успешного практического опыта.
Согласно идее лучшей практики, в любой деятельности
существует оптимальный способ достижения цели, и
этот способ, оказавшийся эффективным в одном месте,
может оказаться столь же эффективным и в другом.
В литературе по менеджменту англ. термин часто
переводится на русский как передовой опыт.

Уровень готовности к «лучшим
практикам»
3

Чего не хватает?
4

solarsecurity.ru +7 (499) 755-07-70 5
ISMS
+Governance
+ITSM
+BCMS
Обеспечени
е
(operations)
Управление
проектами

ISMS
+Governance
+ITSM
+BCMS
Обеспечени
е
(operations)
Управление
проектами
SOC

Все ИБшники знают ISO, NIST и SANS
7

Все в COBIT5

ISO 27001
NIST
Как я пришел к COBIT5?
ITIL
BS 25999
COBIT 4.1
• Управление непрерывностью • Детализированные меры ИБ
• Много документов для разных
задач ИБ
COBIT 5
• Модель зрелости процессов
• Связь ИТ и бизнеса
• Важные процессы
(конфигурация, инциденты
и проблемы, изменения…)
• Комплексная ИБ
• PDCA
• «Процессный подход»

Проблема завышенных ожиданий…
10
❖ Слишком много «воды»
❖ Слишком много процессов и мер ИБ. Что действительно
нужно? С чего начать?
❖ Слишком общие (универсальные) положения
❖ Просто взять «лучшие практики» и применить не
получится…

Стандарты и «лучшие практики» - источник
вдохновения для специалистов…

• Outsourcing Professional Body of Knowledge
- OPBOK Version 10
• ISO 37500-2014 Guidance on outsourcing
• NOA Outsourcing Life Cycle
• Книги серии ITIL (особенно Service Strategy)
• NIST SP 800-35 Guide to Information
Technology Security Services
• PCI DSS."Information Supplement: Third-
Party Security Assurance"
• Vendor Management Using COBIT5
• Стандарты серии ISO/IEC 27036 Information
security for supplier relationships...
• Группа мер "A.15 Supplier relationships" из
ISO 27002-2013
«Лучшие практики» по аутсорсингу

«Лучшие практики» SOC
13
❖ PMBOK и PRINCE2
❖ Большие гайды по SOC: MITRE,
SANS, HP, IBM, Ernst & Young и пр.
❖ ITSM: ITIL и COBIT5
❖ Рекомендации по расследованию
инцидентов: NIST, CERT, SANS,
Microsoft, и пр.
❖ Документы регуляторов
(например. ГОССОПКА)
❖ Опыт коллег (например,
http://www.soc-club.ru)
❖ Если вы MSSP, то стоит посмотреть
стандарты по аутсорсингу (OPBOK,
ISO 37500, NOA)

Поговорим про идеи из «лучших практик»
14
1. Удовлетворение потребностей заинтересованных лиц
2. Постоянное совершенствования
3. Процессный подход
4. Комплексный подход
5. Аутсорсинг ИБ
6. Измерение ИБ
7. Soft sklls и Майндкарты

15

ISO 27001-2013
ISO 27001-2013 п.4.2 «Понимание потребностей и
ожиданий заинтересованных сторон»:
«Организация должна определить:
a) заинтересованные стороны, которые имеют отношение к системе
менеджмента информационной безопасности, а также
b) требования этих заинтересованных сторон, имеющих отношение к
информационной безопасности.
ПРИМЕЧАНИЕ Требования заинтересованных сторон могут включать в
себя законодательные, нормативные требования и договорные
обязательства»
COBIT5: «Предприятия существуют для того, чтобы
создавать ценность для заинтересованных сторон»

Области знаний и процессы PMBOK5
10.Управление коммуникацией
проекта
13.Управление
заинтересованными сторонами
проекта
10.1 Планирование
управления коммуникациями
10.2 Управление коммуникациями
10.3 Контроль коммуникаций
13.1 Определение
заинтересованных сторон
13.2 Планирование
управления заинтересованными
сторонами
13.3 Управление вовлечением
13.4 Контроль вовлечения

Пример матрицы власти / интересов

Заинтересованные стороны по COBIT5
Внутренние заинтересованные
стороны
Внешние заинтересованные
стороны
• Совет директоров
• Исполнительный директор (CEO)
• Финансовый директор (CFO)
• Директор по ИТ (CIO)
• Директор по рискам (CRO)
• Высшее руководство
• Владельцы бизнес-процессов
• Бизнес-менеджеры
• Менеджеры по рискам
• Менеджеры по безопасности
• Менеджеры услуг
• Менеджеры по персоналу (HR)
• Внутренние аудиторы
• Менеджеры по персональным данным
• Пользователи ИТ
• Менеджеры по ИТ
• И пр.
• Бизнес-партнеры
• Поставщики
• Акционеры
• Представители регулирующих
органов/власти
• Внешние пользователи
• Клиенты
• Организации по стандартизации
• Внешние аудиторы
• Консультанты
• И пр.

«Meeting Stakeholder Needs»
Предприятия существуют для того,
чтобы создавать ценность для
(стейкхолдеры), путем поддержания
баланса между получением выгоды и
оптимизацией рисков и ресурсов.

21

Совершенствование по ISO 27001-2013
22
• 4.4 СУИБ: Организация должна разработать, внедрить,
поддерживать и постоянно совершенствовать СУИБ.
• 5.2 Политика: Высшее руководство должно разработать
политику информационной безопасности, которая … d)
включает в себя обязательства по постоянному
улучшению СУИБ.
• 10.2 Постоянное улучшение: Организация должна
постоянно улучшать пригодность, адекватность и
результативность СУИБ.

Модели процесса совершенствования
ISO
NIST
COBIT5
ITIL

Цикл OODA (НОРД), петля Бойда
24
❖ Цикл НОРД (англ. OODA, O – observe, O – orient, D – decide, A –
act) – концепция, разработанная Джоном Бойдом в 1995 году для
армии США, также известная как «петля Бойда».
❖ Модель НОРД предполагает многократное повторение петли
действий: происходит реализация принципа обратной связи.
Согласно Бойду, любые процессы, соответствующие реальности,
действуют в непрерывном цикле, постоянно взаимодействуют с
окружающей средой и учитывают её постоянные изменения.
❖ Существует два основных способа достижения победы над
противником: сделать свои циклы действий более быстрыми
или улучшить качество принимаемых решений.

Цикл OODA (НОРД), петля Бойда
25
• Наблюдение (Observation)
• Ориентация / Оценка
(Orientation)
• Выбор Решения и
планирование (Decision)
• Действие (Action)

26

Процессный подход
• «Любой вид деятельности,
использующий ресурсы и
управляемый для того, чтобы
обеспечить возможность
преобразования входов в выход,
можно считать процессом».
• Применение системы процессов в
рамках организации вместе с
идентификацией и
взаимодействием этих процессов,
а также управлением может быть
определено как «процессный
подход»»

Что важно?
– Владелец
– Входы и Выходы
– Связь процессов
– Ответственность (RACI-
chart)
– Четкая
последовательность
шагов
– Чтозапускает процесс
(три ггеры)?
– Документы и записи
– Метрики и KPI

Процессы COBIT5
29

SS SD ST SO CSI
• Стратегическое
управление ИТ-
услугами
• Управление
портфелем услуг
финансами для
ИТ-услуг
спросом
взаимоотноше-
ниями с
бизнесом
• Координация
проектирования
каталогом услуг
уровнем услуг
доступностью
мощностями
непрерывнос-
тью ИТ-
сервисов
информацион-
ной
безопасностью
подрядчиками
• Планирование и
поддержка
преобразования
изменениями
сервисными
активами и
конфигурациям
и
релизами и
развертыванием
• Подтверждение
и тестирование
услуг
• Оценка
изменения
знаниями
событиями
инцидентами
запросами на
обслуживание
проблемами
доступом
Функции:
• Служба поддержки
пользователей
технической
поддержкой
эксплуатацией ИТ
приложениями
• Семишаговый
процесс
совершенство
вания
Процессы и функции ITIL v3
30

R – Responsible (Ответственные исполнители)
A – Accountable (Подотчетный, единственный ответственный)
C – Consulted (Консультирующий до исполнения)
I – Informed (Информируемый, оповещается после исполнения)

33

Подход COBIT5
34
1. Принципы, политики и подходы
2. Процессы
3. Орг.
структуры
4. Культура,
этика и
поведение
5. Информация
6. Сервисы,
инфраструктура
и приложения
7. Люди, и
компетенции
Ресурсы

SOC
35
Люди Процессы
Знания Технологии
SOC

Процессы SOC. Да, их больше, чем кажется
36
• Инвентаризация и контроль конфигураций
• Анализ угроз / рисков
• Выявление уязвимостей и контроль их устранения
• Тестирование на проникновение
• Threat Hunting
• Контроль выполнения требований (аудит)
• Анализ кода приложений
• Управление событиями ИБ
• Управление инцидентами
• Управление знаниями
• Управление проблемами
• Управление изменениями
• Обучение и повышение осведомленности
• Управление уровнем услуг
• ...

37

Типовые услуги аутсорсинга ИБ
1. Эксплуатация средств мониторинга и защиты
информации, развернутых в организации (IDS/IPS,
МСЭ, SIEM и пр.)
2. Предоставление в аренду и эксплуатация средств
мониторинга и защиты информации (сканеры
уязвимостей, средства защиты от DDoS-атак, WAF,
sandbox и пр.)
3. Реализация отдельных процессов ИБ (мониторинг
событий и реагирование на инциденты, обучение и
повышение осведомленности персонала, тестирование
на проникновение и пр.)

Общий подход к аутсорсингу
1. Долговременное сотрудничество. На аутсорсинг
передаются непрофильные и/или сложные процессы ИБ
(например, мониторинг событий и реагирование на
инциденты ИБ).
2. Среднесрочное сотрудничество. На аутсорсинг временно
передаются сложные технологические процессы ИБ до тех
пор, пока не будет реализован соответствующий процесс
внутри организации (например, при построении
собственного SOC).
3. Кратковременное сотрудничество. Усиление собственной
ИБ услугами аутсорсинга на время проведения крупных
мероприятий, характерных увеличением рисков ИБ
(например, политические саммиты, выборы, спортивные
соревнования, международные конкурсы и другое).

Причина аутсорсинга в РФ
40

Причины перехода на аутсорсинг
Кадровые
• Отсутствие необходимых
квалифицированных и мотивированных
кадров внутри организации
• Необходимость высвобождения
ключевых специалистов для других
проектов и задач
• Необходимость снижения зависимости
от собственных работников
организации
• Четкое разграничение ответственности
Технологические
• Повышение общего уровня ИБ за счет
использования современных
технологий и методологий
• Возможность обеспечения отдельных
процессов ИБ в режиме 24х7
Экономические
• Повышение прозрачности и предсказуемости
расходов на ИБ
• Оптимизация расходов на ИБ
• Удобное масштабирование (расширение и
уменьшение объема услуг), OPEX
• Финансовая ответственность Провайдера
(обычно неустойка, но может быть и
возмещение ущерба)
Временные
• Возможность быстрого усиления ИБ
• Возможность быстрого внедрения отдельных
процессов ИБ (втч и для compliance)
• Возможность быстрого повышения уровня
зрелости отдельных процессов ИБ

Аутсорсинг Инсорсинг
Длительность
внедрения процесса ИБ
Обычно 2-6 недели В зависимости от процесса. Если процесс и
технологии новые и сложные, то может
занять от месяца до нескольких лет
Уровень компетенций
персонала
Очень высокий
(экспертная среда)
Низкий / Средний / Высокий
Затраты Предсказуемые, OpEx CapEx и OpEx. Некоторые расходы могут
быть скрытыми
Источник методологий Провайдер услуг Заказчик / Консультант
Режим работы Обычно 24х7 Обычно 8х5 или 12х5
Возможности по
реагированию и
гибкость
Формальные, в рамках SLA Полные
Понимание контекста Низкое Высокое
Зависимость от
сложившейся «плохой»
практики
Низкое Высокое
Доступ к ИС и СЗИ Внешний Внутренний
Проектные риски Низкие Средние / Высокие
Ключевые отличия

Основа аутсорсинга ИБ -
доверие...

Про доверие и безопасность
• Репутация поставщика услуг
(рекомендации, опыт и экспертиза)
• Прозрачность процессов
• "Сапожник с сапогами",
возможность внешних аудитов
• Пилоты
• Стресс-тесты

Критерии выбора Поставщика

Вопросы для согласования

47

Измерения по 27001
9.1 Мониторинг, измерение, анализ и оценка
Организация должна оценивать состояние информационной безопасности и
результативность СУИБ.
Организация должна определить:
a) что необходимо отслеживать и измерять, в том числе процессы информационной
безопасности и элементы управления;
b) методы мониторинга, измерения, анализа и оценки, в зависимости от
обстоятельств, в целях обеспечения достоверных результатов;
ПРИМЕЧАНИЕ Выбранные методы должны производить сопоставимые и
воспроизводимые результаты, которые будут достоверными.
c) когда должны проводиться действия по мониторингу и измерениям;
d) кто должен осуществлять мониторинг и измерения;
e) когда результаты мониторинга и измерений должны быть проанализированы и
оценены;
f) кто должен анализировать и оценивать эти результаты.
Организация должна сохранять соответствующую документированную информацию в
качестве подтверждения результатов мониторинга и измерений

Базовые термины
❖ Измерение – выраженное в количественных
величинах сокращение неопределенности на
основании одного или нескольких наблюдений
❖ Метрика – технически или процедурно измеряемая
величина, характеризующая объект управления
(процедура, услуга, исполнитель и пр.)
❖ Ключевой показатель (KPI) – метрика, которая
используется для оценки состояния объекта
управления. При этом важно, что метрика сама по
себе не может являться или не являться KPI – она
может использоваться в таком качестве, если ей
сопоставлены соответствующие критерии оценки.

Про уровень зрелости
До тех пор пока Вы не начнете регулярно
измерять ИБ, рано переходить к оценке
эффективности ИБ

Если ИБ измеряет ИБ для себя
51
ITU-T X.1208 NIST SP 800-55 rev.1 ISO 27004-2009 CIS Security
Metrics v1.1.0
Forrester
1. Vulnerability management
2. Audit log maintenance
3. Incident response
4. Mean time to mitigate vulnerabilities
5. Security patch program deployment
6. Mean time to patch
7. Mean time to complete a configuration change
8. Risk assessment coverage
9. Malware detection and treatment program
coverage
10. Contingency planning coverage
11. Security assessment
12. Security pledge
13. Remote access control with security gateway
14. Remote access control with security function for
intrusion prevention or intrusion detection
15. Wireless access control
16. Personnel security
17. Personally identifiable information (PII) protection
18. Back-up data protection
19. Certified security management system (e.g.,
ISMS) coverage
20. Secure server deployment
21. Spam receipt ratio
22. Organization's awareness programme
23. Security training and education
24. Cybersecurity role and responsibility
25. Malware infection
26. Personally identifiable information leakage
27. Security budget as a percentage of ICT budget
28. Ratio of authorized device
29. Ratio of authorized software
30. Application software security
1. Security Budget
2. Vulnerability
3. Remote Access
Control
4. Security Training
5. Audit Record Review
6. C&A Completion
7. Configuration Changes
8. Contingency Plan
Testing
9. User Accounts
10. Incident Response
11. Maintenance
12. Media Sanitization
13. Physical Security
Incidents
14. Planning
15. Personnel Security
Screening
16. Risk Assessment
Vulnerability
17. Service Acquisition
Contract
18. System and
Communication
Protection
19. System and
Information Integrity
1. ISMS Training
2. Password
Policies
3. ISMS Review
Process
4. ISMS Continual
Improvement
Information
Security Incident
Management
5. Management
Commitment
6. Protection
Against
Malicious Code
7. Physical Entry
Controls
8. Log Files Review
9. Management of
Periodic
Maintenance
10. Security in Third
Party
Agreements
1. Incident
Management
2. Vulnerability
Management
3. Patch
Management
4. Configuration
Management
5. Change
Management
6. Application
Security
7. Financial
Metrics
8. Future
Functions
1. Business
Continuity
2. Security
Configuration
Management
3. Identity
Management
4. Incident
Response
5. Security
Awareness
Почему такие наборы?
Примеров мало, очень мало
Не все домены (не комплексно)
Есть «любимые» метрики/домены
В основном технические метрики
А что показывать руководству?

Принципы измерения
1. «Нет» измерениям ради измерений
2. Экономическая целесообразность
3. Необходимая точность
4. «Лучшие практики» лишь ориентир
5. Измерение ИБ – это процесс
6. Системный и комплексный подход
7. Иерархия метрик
8. Границы допустимого
9. Максимальная автоматизация
10. Визуализация результатов
Группа
принципов
Описание Номера
Принципы
результативности
Помогают
правильно
производить
измерения
№ 4, 5, 6
Принципы
эффективности
Помогают
рационально
использовать
ресурсы
№ 2, 3, 9,
10
Принципы
ценности
Помогают
получать
значимые
результаты
№ 1, 7, 8
http://80na20.blogspot.ru/2015/09/10.html

Шаги по построению системы измерения ИБ
1. Решить, что готовы к измерению ИБ
2. Определить заинтересованных лиц и их
ожидания
3. Определить перечень внутренних и
внешних требований
4. Определить цели измерений ИБ
5. Определить перечень возможных
источников данных
6. Определить группы (домены) метрик и
показателей
7. Определить перечень метрик и
8. Определить перечень интегральных
9. Определитель средние значения метрик и
показателей для вашей отрасли
10. Определить граничные значения
11. Попробовать собрать результаты
измерений
12. Пересмотреть систему метрик и
13. Еще раз попробовать собрать результаты
измерений
14. Провести анализ представленных данных
15. Пересмотреть граничные значения
16. Представить результаты заинтересованным
лицам
17. Принять управленческое решение по
результатам анализа (при необходимости)
18. Окончательно утвердить перечень метрик
и показателей, граничные и целевые
значения
19. Утвердить периодичность оценки и формат
представления данных
20. Регулярно пересматривать и
совершенствовать систему измерения ИБ

Примеры метрик ITSM (для SOC)
54
• Актуальность данных в CMDB
по итогам аудита
• Доля аварийных изменений за
период
• Доля инцидентов, решенных 1й
линией
• Доля инцидентов, решенных с
помощью стандартных
решений (базы знаний)
• Среднее время устранения
инцидентов
• Суммарная продолжительность
критичных инцидентов,
вызванных изменениями
• Своевременность обработки
инцидентов и запросов
• Оперативность обработки
изменений и запросов
• Количество обращений
пользователей за период
• Максимальная
продолжительность разовой
недоступности услуги

55

Опрос ISACA про навыки специалистов по ИБ
56

Навыки по COBIT5
57
• Лидерство
• Процессное мышление
• Системное мышление
• Стратегическое мышление
• Ориентация на задачи бизнеса
• Абстрактное мышление
• Ориентир на решение проблемы
• Аналитическое мышление, внимание к деталям
• Навыки управления проектами и персоналом
• Навыки управления временем
• Этичное поведение
• Сильные коммуникативные навыки

«Затачивайте пилу»
Личная ответственность,
Проактивность и Лидерство
Тайм-менеджмент Работа с информацией
и Майнд-карты
Понимание
стейкхолдеров, win-win
Нетворкинг

Спасибо за внимание!
Прозоров Андрей, CISM
Мой блог: 80na20.blogspot.com
Мой твиттер: twitter.com/3dwave
Моя почта: a.prozorov@solarsecurity.ru

Solar Security. Андрей Прозоров. "Лучшие практики" в ИБ"

Recommended

Recommended

More Related Content

What's hot

What's hot (20)

Similar to Solar Security. Андрей Прозоров. "Лучшие практики" в ИБ"

Similar to Solar Security. Андрей Прозоров. "Лучшие практики" в ИБ" (20)

More from Expolink

More from Expolink (20)

Solar Security. Андрей Прозоров. "Лучшие практики" в ИБ"