1. Семинар
Решения IBM для обеспечения информационной безопасности
Критерии выбора решений по
информационной безопасности
Владимир Ткаченко
Директор ООО «Агентство активного аудита»
3. Типичные заблуждения при реализации защиты ИТ инфраструктуры
предприятия
ISO 27001 – открытие для ИТ директоров предприятий
ISO 18044 – откровение для ИТ и бизнеса
CoBIT – это что-то только у «них там на западе» и «у нас не работает»
Купим Антивирус, WEB-фильтр, IDS/IPS, DLP (нужное подчеркнуть) и
все будет ок
4. Как определить потребность в продуктах ИБ?
Данные для Описание
принятия решения
Анализ ИТ рисков Позволяет определить наиболее критичные ресурсы подверженные
наиболее вероятному перечню угроз
+ возможность оптимально резервировать ресурсы для решения задач
ИБ, возможность измерить риск в бизнес терминах
- процесс, требующий ресурсов (квалификация и методология)
Статистика Объективная совокупность фактов, позволяющая проводить
инцидентов ИТ (ИБ) статистический анализ характера и особенностей инцидентов, а также их
природы
Внутренний или Оценить, а, где это возможно, сравнить выполнение процессов с
внешний аудит ИТ политикой СУИБ (требованиями стандартов и/или регуляторов), целями и
практическим опытом и доложить результаты менеджменту
ISO 27001 – открытие для ИТ директоров предприятий
(руководству) для анализа.
ISO
Тест на 18044 – откровение для ИТ испособ определить РЕАЛЬНЫЕ уязвимые места в
Достаточно быстрый бизнеса
CoBIT – это
проникновение что-то только у «них там на западе» ИТ,«у нас не работает»
инфраструктуре и определить процессы и требующие улучшения.
+ относительно быстро (до 1-2 мес), возможно охватить большинство
Купим Антивирус, WEB-фильтр, IDS/IPS, DLP том числе аспекты физической
критичных ресурсов и процессов (в
(нужное подчеркнуть) и
все будет ок безопасности)
- ограниченный финансовый ресурс
6. План обработки рисков (фрагмент)
План действий ISO (СОУ НБУ) Риски Документация Проект
Риск финансових и репутационных потерь при реализации угроз типа
И.АП-1
Внедрение мониторинга событий хакинг, получение несанкционированного доступа к системе и сети
A Внедрить
информационной безопасности предприятия, которые эксплуатируют уязвимости отсутствия журналов
регистрации событий (аудита) систему SIEM (Security
- Регистрация данных аудита
Риск финансових и репутационных потерь при реализации угроз типа information and event
- Разработать
И.АП-2
хакинг, получение несанкционированного доступа к системе и сети management) – которая
процедуры мониторинга A Руководство по
предприятия, которые эксплуатируют уязвимость отсутствия позволит обеспечить
использования средств обработки пониторингу и
возможности ведения журналов регистрации событий (аудита) анализ и сохранность
2012
информации протоколированию
А.10.10 журналов регистрации
- Обеспечить регистрацию действий событий в
событий (аудита) в
администратора и операторов информационных
Риск финансових и репутационных потерь при реализации угроз типа системах систем, а
систем системах
хакинг, получение несанкционированного доступа к системе и сети также регистрацию
И.АП -4
- Обеспечить регистрацию сбоев в
предприятия, которые эксплуатируют уязвимости того, что информация A действий
системе
журналов регистрации событий (аудита) не защищена от администратора и
-Обеспечить
несанкционированного доступа. пользователей.
синхронизацию времени
Не внедрена и не применяется политика периодического пересмотра и
И.ЗЦ-4
применения обновлений (заплаток), предоставляемых B
производителями лицензионных ОС и ПО
Риск финансових и репутационных потерь при реализации угроз типа
И.ЗЦ-6
хакинг, раскрытие и/или кража информации составляющей
B Установка сервера упр
коммерческую тайну, который эксплуатирует отсутствие проверки Руководство по
Процесс приобретения, разработки и авления изменениями
целостности файлов в ИС обеспечению
поддержки ИС (ПО) Требуется внедрить
Риск финансових и репутационных потерь при реализации угроз типа безопасности при
О.УК-1
- разработка бізнес-требований к ИС сканер уязвимостей,
человеческих ошибок, получения НСД к системам и сети и т.д., который A разработке и принятию
(ПО) который обеспечит
А.12.1 эксплуатирует отсутствие управления конфигурацией в эксплуатацию ПО
- криптографические средства процесс проверки
А.12.2 Риск финансових и репутационных потерь при реализации угроз типа Политика работы с
О.УК-3
защиты актуальных
2012
А.12.3 человеческих ошибок, получения НСД к системам и сети и т.д., который A третьими сторонами
- обеспечение безопасности уязвимостей, и
А.12.4 эксплуатирует отсутствие контроля изменений конфигурации (аутсорсинга)
системных файлов наличия последних
А.12.5 Риск финансових и репутационных потерь при реализации угроз типа аутсорсингу
- безопасность обновлений в системах
О.СО-1
А.12.6 человеческих ошибок, вредоносного кода (черви, вирусы и т.д.), Руководство по
процессов разработки и сервісного A и бізнес-приложениях
который эксплуатирует уязвимость отсутствия процесса принятия в управлению
обслуживания Проводить внешний
эксплуатацию и поддержки информационной системы. изменениями в
- управление уязвимостями тест на
О.СО-
Управление конфигурацией на стадии разработки ИС не следует информационной
A
3
технических средств проникновение мини
положенням, определенным в "Управлении конфигурацией" (О.УК) системе
Риск финансових и репутационных потерь при реализации угроз типа мум 1 раз в год
человеческих ошибок, вредоносного кода (черви, вирусы и т.д.),
О.СО-5
который эксплуатирует уязвимость отсутствия процесса B
периодического анали за потенциальных уязвимостей и актуальних
обновлений в системе.
7. IBM InfoSphere Guardium Database Security
• Мониторинг
• Регистрация действий
• Аудит
• Защита протоколов
IBM Tivoli
• Управление разграничением полномочий
• Управление доступом к приложениям
• Мониторинг изменений в инфраструктуре
• Централизованное управление политиками безопасности и
криптографическими средствами
8. Идентификация функционала
Совет: Из первых рук (если выбрали производителя,
спросите у него)
Формат – чем точнее проблема, тем точнее решение
Предпроектное обследование - опытная эксплуатация
наше все!!!
Результат:
• менеджмент и сотрудники представляют масштабы
изменений и необходимые ресурсы для интеграции
решения в систему управления информационной
безопасностью предприятия и планируют внедрение
с учетом анализа рисков
10. Как еще облегчить задачу
… и получить финансирование проекта
Расчитать Return On Security Investment
Return On Security Investment (ROSI) – используется для расчета
возврата финансовых инвестиций в информационную безопасностьна
основе финансовой выгоды и стоимости инвестиций
11. Non-financial benefits
Нефинансовые выгоды от инвестиций –
Укрепление репутации компании как «надежной
и безопасной» (мечта маркетолога)
Повышение морального духа сострудников их
опыта и знаний
Привлечение внимания со стороны средств
масс-медиа в качестве "лидера отрасли”
Соответствие требованиям законодательства и
регуляторов
Удовлетворенные клиенты
12. Финансовые выгоды
Финансовые выгоды от инвестиций в ИБ –
Сокращение затрат, связанных с инцидентами ИБ
Снижение финансовых обязательств связанных с
нарушениями регулятивных требований
Снижение стоимости владения информационными
активами
Снижение операционных расходов (поддерживаем
только критичные приложения)
Повышение прибыльности от ИТ инфраструктуры
13. Затраты на ИБ
Затраты на ИБ –
Стоимость квалифицированных специалистов
Стоимость мероприятий по обеспечению
безопасности и их поддержка
Накладные расходы
Обучение и повышение квалификации (или
осведомленности) сотрудников
Затраты на реакцию на инциденты
14. Как с этой фигней взлететь?
Определить
стоимость
мер защиты
Определить
ROSI в стоимость
бизнес кейс инцидента
ИБ (ИТ)
Рассчитать
Рассчитать
финансовые
ROSI
выгоды