SlideShare ist ein Scribd-Unternehmen logo

Infosecurity management in the Enterprise

Sergey Soldatov
Sergey Soldatov

Presentation took plase at the CIASO Forum 2014: http://infosecurity-forum.ru/programme.php

Business
1 von 37
Downloaden Sie, um offline zu lesen
Информационная безопасность крупной корпорации С чего начать и чем закончить? Сергей Солдатов
Преамбула • В презентации НЕ БУДЕТ: • Конкретных решений конкретных вендоров • Названий конкретных компаний • Привязки к отрасли • Но БУДЕТ: • Альтернативный взгляд на привычные вещи • Многие моменты проверены на практике • Возможны гиперболы
Краткий план • Эволюция подходов к обеспечению ИБ в Компании: с чего обычно начинают, к чему со временем приходят • Типовые заблуждения • Как можно делать ИБ, если понимания в ее необходимости нет • Как развить понимание необходимости ИБ
Эволюция ИБ в Компании и типовые заблуждения
Эволюция ИБ в Компании (по видению) «Что бы поделать?» • Участие везде • Нет стратегии • Не определена ответственность «Против ИТ» • Выполнение технических сервисов ИТ • «Конфликт интересов» с ИТ • Низкое качество сервисов ИТ для потребителей • Уклон в сопровождение инфраструктуры • Нет мониторинга • Нет аудита «Сервис ИТ» • Выполнение технических сервисов ИТ • Па факту – подразделение ИТ • Уклон в сопровождение систем ИБ • Мониторинг инфраструктуры • Аудит инфраструктуры (?) «Сервис бизнеса» • Все технические сервисы переданы в ИТ • Технический сервис ЭБ • Уклон в мониторинг бизнес-транзакций • Аудит соответствия
Эволюция ИБ в Компании (по видению) «Что бы поделать?» • Участие везде • Нет стратегии • Не определена ответственность «Против ИТ» • Выполнение технических сервисов ИТ • «Конфликт интересов» с ИТ • Низкое качество сервисов ИТ для потребителей • Уклон в сопровождение инфраструктуры • Нет мониторинга • Нет аудита «Сервис ИТ» • Выполнение технических сервисов ИТ • Па факту – подразделение ИТ • Уклон в сопровождение систем ИБ • Мониторинг инфраструктуры • Аудит инфраструктуры (?) «Сервис бизнеса» • Все технические сервисы переданы в ИТ • Технический сервис ЭБ • Уклон в мониторинг бизнес-транзакций • Аудит соответствия
Эволюция ИБ в Компании (по модели OSI?) • Различные вариантыЧто бы поделать? • Сетевое оборудование (маршрутизаторы, МЭ, АСО*, VPN) • Почтовые шлюзы, HTTP(S)/FTP-прокси • Выделенные системы ИБ (IDS/IPS, сканеры, пр.) Инфраструктура • Мониторинг работы бизнес-пользователей • Контроль Проектов и Изменений Бизнес- приложения • Анализ бизнес-процессов, прогнозирование сценариев атакмошенничества, проектирование контролей ИБ • Расследование инцидентов ИБ => корректировка контролей • Аудит и оценка эффективности контролей ИБ Бизнес-процессы * Активное сетевое оборудование
Эволюция ИБ в Компании (глазами пользователей) А они есть? Полностью незаметно Полное непонимание Исключительно негатив Полный или частичный запрет всего Вредительство Как к ИТ Неотличимо от ИТ Равноправная БФ Экспертиза в предметной области Помощь « К а р а т е л ь н а я » ф у н к ц и я
«По видению» -- «По модели OSI» -- «По отношению пользователей» ? Против ИТ Сервис ИТ Сервис бизнеса Инфраструктура Бизнес-приложения? Бизнес-процессы ? Негатив Как к ИТ Равноправная БФ Шкала времени
Этап становления («?») • Compliance – все • Активный поиск врагов… • Подмена «соответствует» на «безопасно» • … и они находятся рядом • Парадоксальные выводы Индикаторы Проблемы Последствия
«Против ИТ». Индикаторы, Проблемы и последствия. • СИБ сама обслуживает системы ИБ. • «Навесные решения» • Нет общего SLA с ИТ перед бизнесом • Рассогласование работы оборудования ИТ и ИБ • Неоптимальные решения • Высокие накладные расходы на коммуникации • Низкий уровень доступности сервисов ИТ • Высокая трудоемкость обеспечения качества сервиса Индикаторы Проблемы Последствия
Основные заблуждения Корпоративный стандарт неприкосновенен Это такой же контроль, как и любой другой. Compliance – основа построения СУИБ Compliance – побочный продукт Основная угроза - ИТ Нелояльность админа не компенсируется исключительно техническими контролями. «Доверенно» == «Самостоятельно» Нехватка ресурсов => снижение уровня сервиса => снижение уровня ИБ Потребность в сервисе – личное желание (не желание) пользователя Пользователь решает свои бизнес задачи (без понимания бизнес-процессов утверждать обратное – безосновательно, в т.ч. и права «в прок») Основной уклон в запрещение Имея минимальный доступ к информации (чтение) всегда можно ее унести Цель управления Инцидентами – найти нарушителя Цель – выработать и реализовать меры по не повторению
Сервис вместо отсутствия Защита данных в ИС Защита данных на АРМ Контроль АРМ* Информационные потоки с и на Мотивированный нарушитель: Запрет не остановит мотивированного нарушителя, однако отсутствие запрета позволит эффективно его выявить и собрать доказательную базу «Нарушитель» Непросвещенный пользователь: Эффективнее использовать другие мероприятия (обучение, оценка знаний, пентесты социнженерии) ИБ только тогда эффективна, когда интегрирована на всех уровнях бизнес-процесса => каждый его участник несет свой вклад в обеспечение ИБ => эффективность ИБ достигается только при участии каждого, когда каждый играет правильную роль правильно. * АРМ == Endpoint
«Против ИТ». Индикаторы, Проблемы и последствия. • СИБ сама обслуживает системы ИБ. • «Навесные решения» • Нет общего SLA с ИТ перед бизнесом • Рассогласование работы оборудования ИТ и ИБ • Неоптимальные решения • Высокие накладные расходы на коммуникации • Низкий уровень доступности сервисов ИТ • Высокая трудоемкость обеспечения качества сервиса Индикаторы Проблемы Последствия
«Сервис ИТ». Индикаторы, Проблемы и последствия. • СИБ сама обслуживает системы ИБ. • «Навесные решения» • Есть общий SLA с ИТ • Согласованная работа систем ИТ и ИБ • Неоптимальные решения • Оптимизированы коммуникации • Нормальный уровень сервиса • Нормальная трудоемкость Индикаторы Проблемы Последствия
«Сервис ИТ». Индикаторы, Проблемы и последствия. • СИБ сама обслуживает системы ИБ. • «Навесные решения» • Есть общий SLA с ИТ • Согласованная работа систем ИТ и ИБ • Неоптимальные решения • Оптимизированы коммуникации • Нормальный уровень сервиса • Нормальная трудоемкость Индикаторы Проблемы Последствия
Переходный период «инфраструктурной» к «бизнес-процессной» ИБ IDPS VM FW Сетевая ИБ MС ACA CM CM Бизнес-приложения
Переходный период «инфраструктурной» к «бизнес-процессной» ИБ IDPS VM FW Сетевая ИБ MС ACA CM CM Бизнес-приложения Проекты Изменения
Целевое состояние и пути к нему
Целевое состояние ИБ («процессная ИБ») Бизнес-процесс 1 Бизнес-процесс 2 Бизнес-процесс i Бизнес-процессы ИТ Бизнес-процессы безопасности Бизнес-процесс 1 Бизнес-процесс 2 Бизнес-процесс i Бизнес-процессы ИТ Безопасность Безопасность Безопасность Безопасность Системауправления
Обеспечение инфраструктурной ИБ
Распределение обязанностей внутри ИТ IDPS VM FW С AC Аудит Изменения Проекты Mониторинг VM Operations ИТ Operations ИБ Бизнес-приложения Инфраструктура
Проекты. Что это такое? Проект Изменение Формально стартован Не имеет формального старта, но дату поступления запроса Выполняется выделенной проектной командой Выполняется ресурсами существующих операционных подразделений Всегда финансируется отдельно Выполняется в рамках существующих сервисных договоров Операционные подразделения – члены проектной команды, могут выполнять любые работы Операционные подразделения выполняют работы, заявленные в их SLA в соответствии с требованиями эксплуатационной документации (Инструкции администраторов и т.п.) Сроки регулируются планом проекта Сроки регулируются SLA
Предпосылки ИБ в проектах Интегрированная безопасность эффективнее «навесной» Вопросы безопасности адресовать непосредственно в проекте Эксперт по ИБ – в составе проектной команды Дополнительно: • Требования безопасности не всегда очевидны • Зачастую следует выбирать компромиссное решение, основанное на анализе рисков • Требуется хорошая экспертиза в предметной области
ИБ в проектах Что есть в наличии: • NIST SP800-64R2: Security Considerations in the System Development Life Cycle Бизнес- потребность ИТ Бизнес ИБ Анализ рисков* Разработка ИТ-решения Информационная система Реализовано в системе Требуется дополнительно Необходимые контроли безопасности Дорабтки Аудит ИБ * Автоматизируемого БП
Аудит в проектах, и не только Аудит соответствия Тест на проникновение Проверяет соответствие требованиямкритериям Проверка возможности осуществления атаки Легко автоматизируется Не очень Не требователен к квалификации Требует практический опыт Приводит к изменению в системе Приводит к изменению требованийкритериев
Заключение об участии в проектах • Очевидный способ выхода на уровень бизнес-процессов • Очевидный способ строить интегрированную безопасность • Очевидный способ участвовать в построении целевой архитектуры ИТ • Очевидный способ «идти в ногу» с ИТ
Что делать пришедшему в поле?
Типовой план • Определение ключевых бизнес- процессов • Изучение бизнес-процессов • Определение рисков • Определение мероприятий по снижению рисков (1) • Выявление существующих контрольных процедур (2) • Gap-анализ (1) и (2) • План построения нового, доработки существующего Что делать? • Аудит: • Интервью • Изучение ОРД и пр. *РД • Технологический аудит • Справочники контролей: • NIST SP800-53 • ISO 2700* • CobIT • …. • Взять у кого это уже есть Чем делать?
Типовой план • Определение ключевых бизнес- процессов • Изучение бизнес-процессов • Определение рисков • Определение мероприятий по снижению рисков (1) • Выявление существующих контрольных процедур (2) • Gap-анализ (1) и (2) • План построения нового, доработки существующего Что делать? • Аудит: • Интервью • Изучение ОРД и пр. *РД • Технологический аудит • Справочники контролей: • NIST SP800-53 • ISO 2700* • CobIT • …. • Взять у кого это уже есть Чем делать?
неТиповой план Мониторинг Инфраструктура Периметр Зоны Внутри*.info Управление инцидентами 1 Первый контроль ИБ Расследования Планирование 2 3 4 Новые контроли ИБ Интеграция в процессы i j k Мониторинг бизнес-приложений Мониторинг транзакций Аудит
СУИБ == совокупность контролей из operations http://reply-to-all.blogspot.ru/2013/01/blog-post.html
Основные заблуждения Придумывание СУИБ можно поручить Интегратору (*) Если вам известно мало, то Интегратору – еще меньше Комплексный подход Важно давать как можно больше результата, как можно раньше. Актуальность решения может значительно меняться во времени Compliance и сертифицированные решения – основа ИБ Соответствовать не значит быть безопасным. Выбор лучших в классе ИнтегрированностьУправляемость - важнее Все можно зааутсорсить Закон сохранения трудоемкостисложности http://reply-to-all.blogspot.ru/2012/04/blog-post_19.html Борьба с атаками нулевого дня Оставьте это производителям ПО http://reply-to-all.blogspot.ru/2014/03/0-day-apt.html Борьба с АНБ Оставьте это ФСБ http://reply-to-all.blogspot.ru/2014/01/blog-post_15.html Функциональные тендеры Простое превращение CapEx в OpEx http://reply-to-all.blogspot.ru/2014/04/blog-post.html
Сервис вместо отсутствия: продолжение Мотивированный нарушитель: не останавливается запретом «Нарушитель» Пользователь Работа с Интернет Работа на АРМ Минимум функционала Минимум полномочий Минимум ….. Альтернативные маршруты в Интернет Работа на альтернативных АРМ Прощай, периметр! Прощай, данные! Здравствуй, зло «из дома»! П р о щ а й , к о н т р о л ь !
Что можно аутсорсить (критерии)? • Критичность сервиса • Ситуация с предложением на рынке • Внутренние компетенции • Степень соответствия Стратегии • Степень формализации требований • Себестоимость • Стоимость управления и контроля Выработали критерии Пропустили через них все работы Определили что продать Проводите такую оценку регулярно http://reply-to-all.blogspot.ru/2012/02/blog-post.html
Инсорсинг == Аутсорсинг || Аутстаффинг ? Направление1 Направление2 Направлениеi Направлениеn Лидер 1 Лидер 2 Лидер i Лидер n С т р а т е г и я Корпорация Инсорсер Аутстаффинг Аутсорсинг Штат
Спасибо за Ваше внимание! Сергей Солдатов, CISA, CISSP reply-to-all.blogspot.com

Empfohlen

IDM - это непросто!
IDM - это непросто!IDM - это непросто!
IDM - это непросто!Sergey Soldatov
 
Мониторинг своими руками
Мониторинг своими рукамиМониторинг своими руками
Мониторинг своими рукамиSergey Soldatov
 
Avanpost idm пацифика 2016
Avanpost idm пацифика 2016Avanpost idm пацифика 2016
Avanpost idm пацифика 2016Diana Frolova
 
ITSM Belarus2016. Интеграция ИБ и ИТ процессов
ITSM Belarus2016. Интеграция ИБ и ИТ процессовITSM Belarus2016. Интеграция ИБ и ИТ процессов
ITSM Belarus2016. Интеграция ИБ и ИТ процессовAlexey Evmenkov
 
Особенности анализа в проектах по разработке сервисов
Особенности анализа в проектах по разработке сервисовОсобенности анализа в проектах по разработке сервисов
Особенности анализа в проектах по разработке сервисовSQALab
 
Рамочные диаграммы процессов в арсенале аналитика
Рамочные диаграммы процессов в арсенале аналитикаРамочные диаграммы процессов в арсенале аналитика
Рамочные диаграммы процессов в арсенале аналитикаSQALab
 
СМИБ - игра в долгую
СМИБ - игра в долгуюСМИБ - игра в долгую
СМИБ - игра в долгуюAlexey Evmenkov
 
Простая ИБ для обычных организаций
Простая ИБ для обычных организацийПростая ИБ для обычных организаций
Простая ИБ для обычных организацийAlexey Evmenkov
 

Empfohlen

IDM - это непросто!
IDM - это непросто!IDM - это непросто!
IDM - это непросто!Sergey Soldatov
 
Мониторинг своими руками
Мониторинг своими рукамиМониторинг своими руками
Мониторинг своими рукамиSergey Soldatov
 
Avanpost idm пацифика 2016
Avanpost idm пацифика 2016Avanpost idm пацифика 2016
Avanpost idm пацифика 2016Diana Frolova
 
ITSM Belarus2016. Интеграция ИБ и ИТ процессов
ITSM Belarus2016. Интеграция ИБ и ИТ процессовITSM Belarus2016. Интеграция ИБ и ИТ процессов
ITSM Belarus2016. Интеграция ИБ и ИТ процессовAlexey Evmenkov
 
Особенности анализа в проектах по разработке сервисов
Особенности анализа в проектах по разработке сервисовОсобенности анализа в проектах по разработке сервисов
Особенности анализа в проектах по разработке сервисовSQALab
 
Рамочные диаграммы процессов в арсенале аналитика
Рамочные диаграммы процессов в арсенале аналитикаРамочные диаграммы процессов в арсенале аналитика
Рамочные диаграммы процессов в арсенале аналитикаSQALab
 
СМИБ - игра в долгую
СМИБ - игра в долгуюСМИБ - игра в долгую
СМИБ - игра в долгуюAlexey Evmenkov
 
Простая ИБ для обычных организаций
Простая ИБ для обычных организацийПростая ИБ для обычных организаций
Простая ИБ для обычных организацийAlexey Evmenkov
 
2015 02 пм качалин sdl
2015 02 пм качалин sdl2015 02 пм качалин sdl
2015 02 пм качалин sdlAlexey Kachalin
 
Опасная разработка. Дорожная карта движения к катастрофе
Опасная разработка. Дорожная карта движения к катастрофеОпасная разработка. Дорожная карта движения к катастрофе
Опасная разработка. Дорожная карта движения к катастрофеSelectedPresentations
 
Решение проблем с помощью RCA. Методики и инструменты.
Решение проблем с помощью RCA. Методики и инструменты.Решение проблем с помощью RCA. Методики и инструменты.
Решение проблем с помощью RCA. Методики и инструменты.Alexey Evmenkov
 
Практика внутреннего аудита СМИБ
Практика внутреннего аудита СМИБПрактика внутреннего аудита СМИБ
Практика внутреннего аудита СМИБAlexey Evmenkov
 
пр все про Cobit5 для dlp expert 2013-12
пр все про Cobit5 для dlp expert 2013-12пр все про Cobit5 для dlp expert 2013-12
пр все про Cobit5 для dlp expert 2013-12Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
лекция безопасная разработка приложений
лекция безопасная разработка приложенийлекция безопасная разработка приложений
лекция безопасная разработка приложенийAlexander Kolybelnikov
 
Безопасность и сертификация банковского ПО
Безопасность и сертификация банковского ПОБезопасность и сертификация банковского ПО
Безопасность и сертификация банковского ПОAlex Babenko
 
Шаблонизируй это. Как паттерны требований облегчают жизнь аналитика
Шаблонизируй это. Как паттерны требований облегчают жизнь аналитикаШаблонизируй это. Как паттерны требований облегчают жизнь аналитика
Шаблонизируй это. Как паттерны требований облегчают жизнь аналитикаSQALab
 
Цикл безопасной разработки SDL
Цикл безопасной разработки SDLЦикл безопасной разработки SDL
Цикл безопасной разработки SDLAlex Babenko
 
ИБ - игра в долгую, или разговор о личном развии
ИБ - игра в долгую, или разговор о личном развииИБ - игра в долгую, или разговор о личном развии
ИБ - игра в долгую, или разговор о личном развииAlexey Evmenkov
 
Шаблоны трассировок бизнес-требований на больших кросс-проектных продуктах
Шаблоны трассировок бизнес-требований на больших кросс-проектных продуктахШаблоны трассировок бизнес-требований на больших кросс-проектных продуктах
Шаблоны трассировок бизнес-требований на больших кросс-проектных продуктахSQALab
 
Построение процесса безопасной разработки
Построение процесса безопасной разработкиПостроение процесса безопасной разработки
Построение процесса безопасной разработкиPositive Development User Group
 
Добровольная система сертификации отрасли ИБ. 2012
Добровольная система сертификации отрасли ИБ. 2012Добровольная система сертификации отрасли ИБ. 2012
Добровольная система сертификации отрасли ИБ. 2012Евгений Родыгин
 
Книга про измерения (ITSM)
Книга про измерения (ITSM)Книга про измерения (ITSM)
Книга про измерения (ITSM)Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
пр Разработка комплекта документов по управлению ИБ (прозоров)
пр Разработка комплекта документов по управлению ИБ (прозоров)пр Разработка комплекта документов по управлению ИБ (прозоров)
пр Разработка комплекта документов по управлению ИБ (прозоров)Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Безопасная разработка приложений на практике
Безопасная разработка приложений на практикеБезопасная разработка приложений на практике
Безопасная разработка приложений на практикеPointlane
 
Ломать и строить. PHDays 2015
Ломать и строить. PHDays 2015Ломать и строить. PHDays 2015
Ломать и строить. PHDays 2015Alexey Kachalin
 
Автоматизация выполнения задач в проектах Business Continuity Management (BCM...
Автоматизация выполнения задач в проектах Business Continuity Management (BCM...Автоматизация выполнения задач в проектах Business Continuity Management (BCM...
Автоматизация выполнения задач в проектах Business Continuity Management (BCM...КРОК
 
Безопасная разработка для руководителей
Безопасная разработка для руководителейБезопасная разработка для руководителей
Безопасная разработка для руководителейPositive Development User Group
 
Навыки современного руководителя проектов
Навыки современного руководителя проектовНавыки современного руководителя проектов
Навыки современного руководителя проектовSQALab
 
модульный под к документир V5
модульный под к документир V5модульный под к документир V5
модульный под к документир V5Sergey Soldatov
 
Безопасность мобильных устройств
Безопасность мобильных устройствБезопасность мобильных устройств
Безопасность мобильных устройствSergey Soldatov
 

Weitere ähnliche Inhalte

Was ist angesagt?

2015 02 пм качалин sdl
2015 02 пм качалин sdl2015 02 пм качалин sdl
2015 02 пм качалин sdlAlexey Kachalin
 
Опасная разработка. Дорожная карта движения к катастрофе
Опасная разработка. Дорожная карта движения к катастрофеОпасная разработка. Дорожная карта движения к катастрофе
Опасная разработка. Дорожная карта движения к катастрофеSelectedPresentations
 
Решение проблем с помощью RCA. Методики и инструменты.
Решение проблем с помощью RCA. Методики и инструменты.Решение проблем с помощью RCA. Методики и инструменты.
Решение проблем с помощью RCA. Методики и инструменты.Alexey Evmenkov
 
Практика внутреннего аудита СМИБ
Практика внутреннего аудита СМИБПрактика внутреннего аудита СМИБ
Практика внутреннего аудита СМИБAlexey Evmenkov
 
лекция безопасная разработка приложений
лекция безопасная разработка приложенийлекция безопасная разработка приложений
лекция безопасная разработка приложенийAlexander Kolybelnikov
 
Безопасность и сертификация банковского ПО
Безопасность и сертификация банковского ПОБезопасность и сертификация банковского ПО
Безопасность и сертификация банковского ПОAlex Babenko
 
Шаблонизируй это. Как паттерны требований облегчают жизнь аналитика
Шаблонизируй это. Как паттерны требований облегчают жизнь аналитикаШаблонизируй это. Как паттерны требований облегчают жизнь аналитика
Шаблонизируй это. Как паттерны требований облегчают жизнь аналитикаSQALab
 
Цикл безопасной разработки SDL
Цикл безопасной разработки SDLЦикл безопасной разработки SDL
Цикл безопасной разработки SDLAlex Babenko
 
ИБ - игра в долгую, или разговор о личном развии
ИБ - игра в долгую, или разговор о личном развииИБ - игра в долгую, или разговор о личном развии
ИБ - игра в долгую, или разговор о личном развииAlexey Evmenkov
 
Шаблоны трассировок бизнес-требований на больших кросс-проектных продуктах
Шаблоны трассировок бизнес-требований на больших кросс-проектных продуктахШаблоны трассировок бизнес-требований на больших кросс-проектных продуктах
Шаблоны трассировок бизнес-требований на больших кросс-проектных продуктахSQALab
 
Построение процесса безопасной разработки
Построение процесса безопасной разработкиПостроение процесса безопасной разработки
Построение процесса безопасной разработкиPositive Development User Group
 
Добровольная система сертификации отрасли ИБ. 2012
Добровольная система сертификации отрасли ИБ. 2012Добровольная система сертификации отрасли ИБ. 2012
Добровольная система сертификации отрасли ИБ. 2012Евгений Родыгин
 
пр Разработка комплекта документов по управлению ИБ (прозоров)
пр Разработка комплекта документов по управлению ИБ (прозоров)пр Разработка комплекта документов по управлению ИБ (прозоров)
пр Разработка комплекта документов по управлению ИБ (прозоров)Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Безопасная разработка приложений на практике
Безопасная разработка приложений на практикеБезопасная разработка приложений на практике
Безопасная разработка приложений на практикеPointlane
 
Ломать и строить. PHDays 2015
Ломать и строить. PHDays 2015Ломать и строить. PHDays 2015
Ломать и строить. PHDays 2015Alexey Kachalin
 
Автоматизация выполнения задач в проектах Business Continuity Management (BCM...
Автоматизация выполнения задач в проектах Business Continuity Management (BCM...Автоматизация выполнения задач в проектах Business Continuity Management (BCM...
Автоматизация выполнения задач в проектах Business Continuity Management (BCM...КРОК
 
Безопасная разработка для руководителей
Безопасная разработка для руководителейБезопасная разработка для руководителей
Безопасная разработка для руководителейPositive Development User Group
 
Навыки современного руководителя проектов
Навыки современного руководителя проектовНавыки современного руководителя проектов
Навыки современного руководителя проектовSQALab
 

Was ist angesagt? (20)

2015 02 пм качалин sdl
2015 02 пм качалин sdl2015 02 пм качалин sdl
2015 02 пм качалин sdl
 
Опасная разработка. Дорожная карта движения к катастрофе
Опасная разработка. Дорожная карта движения к катастрофеОпасная разработка. Дорожная карта движения к катастрофе
Опасная разработка. Дорожная карта движения к катастрофе
 
Решение проблем с помощью RCA. Методики и инструменты.
Решение проблем с помощью RCA. Методики и инструменты.Решение проблем с помощью RCA. Методики и инструменты.
Решение проблем с помощью RCA. Методики и инструменты.
 
Практика внутреннего аудита СМИБ
Практика внутреннего аудита СМИБПрактика внутреннего аудита СМИБ
Практика внутреннего аудита СМИБ
 
пр все про Cobit5 для dlp expert 2013-12
пр все про Cobit5 для dlp expert 2013-12пр все про Cobit5 для dlp expert 2013-12
пр все про Cobit5 для dlp expert 2013-12
 
лекция безопасная разработка приложений
лекция безопасная разработка приложенийлекция безопасная разработка приложений
лекция безопасная разработка приложений
 
Безопасность и сертификация банковского ПО
Безопасность и сертификация банковского ПОБезопасность и сертификация банковского ПО
Безопасность и сертификация банковского ПО
 
Шаблонизируй это. Как паттерны требований облегчают жизнь аналитика
Шаблонизируй это. Как паттерны требований облегчают жизнь аналитикаШаблонизируй это. Как паттерны требований облегчают жизнь аналитика
Шаблонизируй это. Как паттерны требований облегчают жизнь аналитика
 
Цикл безопасной разработки SDL
Цикл безопасной разработки SDLЦикл безопасной разработки SDL
Цикл безопасной разработки SDL
 
ИБ - игра в долгую, или разговор о личном развии
ИБ - игра в долгую, или разговор о личном развииИБ - игра в долгую, или разговор о личном развии
ИБ - игра в долгую, или разговор о личном развии
 
Шаблоны трассировок бизнес-требований на больших кросс-проектных продуктах
Шаблоны трассировок бизнес-требований на больших кросс-проектных продуктахШаблоны трассировок бизнес-требований на больших кросс-проектных продуктах
Шаблоны трассировок бизнес-требований на больших кросс-проектных продуктах
 
Построение процесса безопасной разработки
Построение процесса безопасной разработкиПостроение процесса безопасной разработки
Построение процесса безопасной разработки
 
Добровольная система сертификации отрасли ИБ. 2012
Добровольная система сертификации отрасли ИБ. 2012Добровольная система сертификации отрасли ИБ. 2012
Добровольная система сертификации отрасли ИБ. 2012
 
Книга про измерения (ITSM)
Книга про измерения (ITSM)Книга про измерения (ITSM)
Книга про измерения (ITSM)
 
пр Разработка комплекта документов по управлению ИБ (прозоров)
пр Разработка комплекта документов по управлению ИБ (прозоров)пр Разработка комплекта документов по управлению ИБ (прозоров)
пр Разработка комплекта документов по управлению ИБ (прозоров)
 
Безопасная разработка приложений на практике
Безопасная разработка приложений на практикеБезопасная разработка приложений на практике
Безопасная разработка приложений на практике
 
Ломать и строить. PHDays 2015
Ломать и строить. PHDays 2015Ломать и строить. PHDays 2015
Ломать и строить. PHDays 2015
 
Автоматизация выполнения задач в проектах Business Continuity Management (BCM...
Автоматизация выполнения задач в проектах Business Continuity Management (BCM...Автоматизация выполнения задач в проектах Business Continuity Management (BCM...
Автоматизация выполнения задач в проектах Business Continuity Management (BCM...
 
Безопасная разработка для руководителей
Безопасная разработка для руководителейБезопасная разработка для руководителей
Безопасная разработка для руководителей
 
Навыки современного руководителя проектов
Навыки современного руководителя проектовНавыки современного руководителя проектов
Навыки современного руководителя проектов
 

Andere mochten auch

модульный под к документир V5
модульный под к документир V5модульный под к документир V5
модульный под к документир V5Sergey Soldatov
 
Безопасность мобильных устройств
Безопасность мобильных устройствБезопасность мобильных устройств
Безопасность мобильных устройствSergey Soldatov
 
PHDays '14 Cracking java pseudo random sequences by egorov & soldatov
PHDays '14 Cracking java pseudo random sequences by egorov & soldatovPHDays '14 Cracking java pseudo random sequences by egorov & soldatov
PHDays '14 Cracking java pseudo random sequences by egorov & soldatovSergey Soldatov
 
Opensource vs. Non-opensource
Opensource vs. Non-opensourceOpensource vs. Non-opensource
Opensource vs. Non-opensourceSergey Soldatov
 
Примерные критерии оценки IDM
Примерные критерии оценки IDMПримерные критерии оценки IDM
Примерные критерии оценки IDMSergey Soldatov
 
Система управления учетными записями (IDM). Информационная безопасность.
Система управления учетными записями (IDM). Информационная безопасность. Система управления учетными записями (IDM). Информационная безопасность.
Система управления учетными записями (IDM). Информационная безопасность. Softline
 
Некриптографическое исследование носителей православной криптографии
Некриптографическое исследование носителей православной криптографииНекриптографическое исследование носителей православной криптографии
Некриптографическое исследование носителей православной криптографииSergey Soldatov
 

Andere mochten auch (9)

модульный под к документир V5
модульный под к документир V5модульный под к документир V5
модульный под к документир V5
 
Безопасность мобильных устройств
Безопасность мобильных устройствБезопасность мобильных устройств
Безопасность мобильных устройств
 
PHDays '14 Cracking java pseudo random sequences by egorov & soldatov
PHDays '14 Cracking java pseudo random sequences by egorov & soldatovPHDays '14 Cracking java pseudo random sequences by egorov & soldatov
PHDays '14 Cracking java pseudo random sequences by egorov & soldatov
 
Opensource vs. Non-opensource
Opensource vs. Non-opensourceOpensource vs. Non-opensource
Opensource vs. Non-opensource
 
Примерные критерии оценки IDM
Примерные критерии оценки IDMПримерные критерии оценки IDM
Примерные критерии оценки IDM
 
Вопросы к DLP
Вопросы к DLPВопросы к DLP
Вопросы к DLP
 
Система управления учетными записями (IDM). Информационная безопасность.
Система управления учетными записями (IDM). Информационная безопасность. Система управления учетными записями (IDM). Информационная безопасность.
Система управления учетными записями (IDM). Информационная безопасность.
 
Некриптографическое исследование носителей православной криптографии
Некриптографическое исследование носителей православной криптографииНекриптографическое исследование носителей православной криптографии
Некриптографическое исследование носителей православной криптографии
 
A Threat Hunter Himself
A Threat Hunter HimselfA Threat Hunter Himself
A Threat Hunter Himself
 

Ähnlich wie Infosecurity management in the Enterprise

Обеспечение защиты информации на стадиях жизненного цикла ИС
Обеспечение защиты информации на стадиях жизненного цикла ИСОбеспечение защиты информации на стадиях жизненного цикла ИС
Обеспечение защиты информации на стадиях жизненного цикла ИСSelectedPresentations
 
ИСО 27001 на практике, или будни внедренца
ИСО 27001 на практике, или будни внедренцаИСО 27001 на практике, или будни внедренца
ИСО 27001 на практике, или будни внедренцаAlexey Evmenkov
 
Как оценить пользу от ИБ и увязать с нею инвестиции в безопасность
Как оценить пользу от ИБ и увязать с нею инвестиции в безопасностьКак оценить пользу от ИБ и увязать с нею инвестиции в безопасность
Как оценить пользу от ИБ и увязать с нею инвестиции в безопасностьVsevolod Shabad
 
Управление изменениями в сложных информационных системах
Управление изменениями в сложных информационных системах Управление изменениями в сложных информационных системах
Управление изменениями в сложных информационных системах Valery Bychkov
 
ISsoft. Алексей Евменков. "Простая ИБ для непростых организаций"
ISsoft. Алексей Евменков. "Простая ИБ для непростых организаций"ISsoft. Алексей Евменков. "Простая ИБ для непростых организаций"
ISsoft. Алексей Евменков. "Простая ИБ для непростых организаций"Expolink
 
Дашборды по ИБ для топ-менеджмента
Дашборды по ИБ для топ-менеджментаДашборды по ИБ для топ-менеджмента
Дашборды по ИБ для топ-менеджментаAleksey Lukatskiy
 
ЛОМАТЬ И СТРОИТЬ, И СНОВА ЛОМАТЬ
ЛОМАТЬ И СТРОИТЬ, И СНОВА ЛОМАТЬЛОМАТЬ И СТРОИТЬ, И СНОВА ЛОМАТЬ
ЛОМАТЬ И СТРОИТЬ, И СНОВА ЛОМАТЬPositive Hack Days
 
Вебинар по HP ArcSight 25.11.14
Вебинар по HP ArcSight 25.11.14Вебинар по HP ArcSight 25.11.14
Вебинар по HP ArcSight 25.11.14DialogueScience
 
Мониторинг событий информационной безопасности на базе решений HP ArcSight ES...
Мониторинг событий информационной безопасности на базе решений HP ArcSight ES...Мониторинг событий информационной безопасности на базе решений HP ArcSight ES...
Мониторинг событий информационной безопасности на базе решений HP ArcSight ES...DialogueScience
 
Презентация по ИБ для руководства компании
Презентация по ИБ для руководства компанииПрезентация по ИБ для руководства компании
Презентация по ИБ для руководства компанииAleksey Lukatskiy
 
Как сэкономить, вложив в информационную безопасность?
Как сэкономить, вложив в информационную безопасность? Как сэкономить, вложив в информационную безопасность?
Как сэкономить, вложив в информационную безопасность? Ivan Piskunov
 
YVG Consulting - ИТ Аудит
YVG Consulting - ИТ АудитYVG Consulting - ИТ Аудит
YVG Consulting - ИТ АудитYuriy Gudz
 
Solar Security. Андрей Прозоров. "5 "почему" аутсорсинга ИБ"
Solar Security. Андрей Прозоров. "5 "почему" аутсорсинга ИБ"Solar Security. Андрей Прозоров. "5 "почему" аутсорсинга ИБ"
Solar Security. Андрей Прозоров. "5 "почему" аутсорсинга ИБ"Expolink
 
Выход из зазеркалья. Информационная безопасность которая приносит деньги.
Выход из зазеркалья. Информационная безопасность которая приносит деньги.Выход из зазеркалья. Информационная безопасность которая приносит деньги.
Выход из зазеркалья. Информационная безопасность которая приносит деньги.Expolink
 
Politics
PoliticsPolitics
Politicscnpo
 
Интегрировать сторонний продукт или пилить самим? К вопросу о выборе системы ...
Интегрировать сторонний продукт или пилить самим? К вопросу о выборе системы ...Интегрировать сторонний продукт или пилить самим? К вопросу о выборе системы ...
Интегрировать сторонний продукт или пилить самим? К вопросу о выборе системы ...WG_ Events
 
Интеграционные решения – развиваемся дальше
Интеграционные решения – развиваемся дальшеИнтеграционные решения – развиваемся дальше
Интеграционные решения – развиваемся дальшеКРОК
 

Ähnlich wie Infosecurity management in the Enterprise (20)

пр Про интегральные метрики ИБ
пр Про интегральные метрики ИБпр Про интегральные метрики ИБ
пр Про интегральные метрики ИБ
 
Обеспечение защиты информации на стадиях жизненного цикла ИС
Обеспечение защиты информации на стадиях жизненного цикла ИСОбеспечение защиты информации на стадиях жизненного цикла ИС
Обеспечение защиты информации на стадиях жизненного цикла ИС
 
ИСО 27001 на практике, или будни внедренца
ИСО 27001 на практике, или будни внедренцаИСО 27001 на практике, или будни внедренца
ИСО 27001 на практике, или будни внедренца
 
Как оценить пользу от ИБ и увязать с нею инвестиции в безопасность
Как оценить пользу от ИБ и увязать с нею инвестиции в безопасностьКак оценить пользу от ИБ и увязать с нею инвестиции в безопасность
Как оценить пользу от ИБ и увязать с нею инвестиции в безопасность
 
Управление изменениями в сложных информационных системах
Управление изменениями в сложных информационных системах Управление изменениями в сложных информационных системах
Управление изменениями в сложных информационных системах
 
ISsoft. Алексей Евменков. "Простая ИБ для непростых организаций"
ISsoft. Алексей Евменков. "Простая ИБ для непростых организаций"ISsoft. Алексей Евменков. "Простая ИБ для непростых организаций"
ISsoft. Алексей Евменков. "Простая ИБ для непростых организаций"
 
Дашборды по ИБ для топ-менеджмента
Дашборды по ИБ для топ-менеджментаДашборды по ИБ для топ-менеджмента
Дашборды по ИБ для топ-менеджмента
 
SOC vs SIEM
SOC vs SIEMSOC vs SIEM
SOC vs SIEM
 
ЛОМАТЬ И СТРОИТЬ, И СНОВА ЛОМАТЬ
ЛОМАТЬ И СТРОИТЬ, И СНОВА ЛОМАТЬЛОМАТЬ И СТРОИТЬ, И СНОВА ЛОМАТЬ
ЛОМАТЬ И СТРОИТЬ, И СНОВА ЛОМАТЬ
 
Вебинар по HP ArcSight 25.11.14
Вебинар по HP ArcSight 25.11.14Вебинар по HP ArcSight 25.11.14
Вебинар по HP ArcSight 25.11.14
 
Мониторинг событий информационной безопасности на базе решений HP ArcSight ES...
Мониторинг событий информационной безопасности на базе решений HP ArcSight ES...Мониторинг событий информационной безопасности на базе решений HP ArcSight ES...
Мониторинг событий информационной безопасности на базе решений HP ArcSight ES...
 
Презентация по ИБ для руководства компании
Презентация по ИБ для руководства компанииПрезентация по ИБ для руководства компании
Презентация по ИБ для руководства компании
 
Как сэкономить, вложив в информационную безопасность?
Как сэкономить, вложив в информационную безопасность? Как сэкономить, вложив в информационную безопасность?
Как сэкономить, вложив в информационную безопасность?
 
YVG Consulting - ИТ Аудит
YVG Consulting - ИТ АудитYVG Consulting - ИТ Аудит
YVG Consulting - ИТ Аудит
 
пр 5 почему аутсорсинга ИБ
пр 5 почему аутсорсинга ИБпр 5 почему аутсорсинга ИБ
пр 5 почему аутсорсинга ИБ
 
Solar Security. Андрей Прозоров. "5 "почему" аутсорсинга ИБ"
Solar Security. Андрей Прозоров. "5 "почему" аутсорсинга ИБ"Solar Security. Андрей Прозоров. "5 "почему" аутсорсинга ИБ"
Solar Security. Андрей Прозоров. "5 "почему" аутсорсинга ИБ"
 
Выход из зазеркалья. Информационная безопасность которая приносит деньги.
Выход из зазеркалья. Информационная безопасность которая приносит деньги.Выход из зазеркалья. Информационная безопасность которая приносит деньги.
Выход из зазеркалья. Информационная безопасность которая приносит деньги.
 
Politics
PoliticsPolitics
Politics
 
Интегрировать сторонний продукт или пилить самим? К вопросу о выборе системы ...
Интегрировать сторонний продукт или пилить самим? К вопросу о выборе системы ...Интегрировать сторонний продукт или пилить самим? К вопросу о выборе системы ...
Интегрировать сторонний продукт или пилить самим? К вопросу о выборе системы ...
 
Интеграционные решения – развиваемся дальше
Интеграционные решения – развиваемся дальшеИнтеграционные решения – развиваемся дальше
Интеграционные решения – развиваемся дальше
 

Mehr von Sergey Soldatov

Metrics in Security Operations
Metrics in Security OperationsMetrics in Security Operations
Metrics in Security OperationsSergey Soldatov
 
Сколько надо SOC?
Сколько надо SOC?Сколько надо SOC?
Сколько надо SOC?Sergey Soldatov
 
От мониторинга к форенсике и обратно
От мониторинга к форенсике и обратноОт мониторинга к форенсике и обратно
От мониторинга к форенсике и обратноSergey Soldatov
 
Роботы среди нас!
Роботы среди нас!Роботы среди нас!
Роботы среди нас!Sergey Soldatov
 
How MITRE ATT&CK helps security operations
How MITRE ATT&CK helps security operationsHow MITRE ATT&CK helps security operations
How MITRE ATT&CK helps security operationsSergey Soldatov
 
Практика обнаружения атак, использующих легальные инструменты
Практика обнаружения атак, использующих легальные инструментыПрактика обнаружения атак, использующих легальные инструменты
Практика обнаружения атак, использующих легальные инструментыSergey Soldatov
 
Reducing cyber risks in the era of digital transformation
Reducing cyber risks in the era of digital transformationReducing cyber risks in the era of digital transformation
Reducing cyber risks in the era of digital transformationSergey Soldatov
 
Kaspersky managed protection
Kaspersky managed protectionKaspersky managed protection
Kaspersky managed protectionSergey Soldatov
 
Hunting Lateral Movement in Windows Infrastructure
Hunting Lateral Movement in Windows InfrastructureHunting Lateral Movement in Windows Infrastructure
Hunting Lateral Movement in Windows InfrastructureSergey Soldatov
 
Трудовые будни охотника на угрозы
Трудовые будни охотника на угрозыТрудовые будни охотника на угрозы
Трудовые будни охотника на угрозыSergey Soldatov
 
Охота на угрозы на BIS summit 2016
Охота на угрозы на BIS summit 2016Охота на угрозы на BIS summit 2016
Охота на угрозы на BIS summit 2016Sergey Soldatov
 
Threat hunting as SOC process
Threat hunting as SOC processThreat hunting as SOC process
Threat hunting as SOC processSergey Soldatov
 
How to catch your “hacker” or makeshift security
How to catch your “hacker” or makeshift securityHow to catch your “hacker” or makeshift security
How to catch your “hacker” or makeshift securitySergey Soldatov
 
Drive by-download attack evolution zero nights v3
Drive by-download attack evolution zero nights v3Drive by-download attack evolution zero nights v3
Drive by-download attack evolution zero nights v3Sergey Soldatov
 

Mehr von Sergey Soldatov (14)

Metrics in Security Operations
Metrics in Security OperationsMetrics in Security Operations
Metrics in Security Operations
 
Сколько надо SOC?
Сколько надо SOC?Сколько надо SOC?
Сколько надо SOC?
 
От мониторинга к форенсике и обратно
От мониторинга к форенсике и обратноОт мониторинга к форенсике и обратно
От мониторинга к форенсике и обратно
 
Роботы среди нас!
Роботы среди нас!Роботы среди нас!
Роботы среди нас!
 
How MITRE ATT&CK helps security operations
How MITRE ATT&CK helps security operationsHow MITRE ATT&CK helps security operations
How MITRE ATT&CK helps security operations
 
Практика обнаружения атак, использующих легальные инструменты
Практика обнаружения атак, использующих легальные инструментыПрактика обнаружения атак, использующих легальные инструменты
Практика обнаружения атак, использующих легальные инструменты
 
Reducing cyber risks in the era of digital transformation
Reducing cyber risks in the era of digital transformationReducing cyber risks in the era of digital transformation
Reducing cyber risks in the era of digital transformation
 
Kaspersky managed protection
Kaspersky managed protectionKaspersky managed protection
Kaspersky managed protection
 
Hunting Lateral Movement in Windows Infrastructure
Hunting Lateral Movement in Windows InfrastructureHunting Lateral Movement in Windows Infrastructure
Hunting Lateral Movement in Windows Infrastructure
 
Трудовые будни охотника на угрозы
Трудовые будни охотника на угрозыТрудовые будни охотника на угрозы
Трудовые будни охотника на угрозы
 
Охота на угрозы на BIS summit 2016
Охота на угрозы на BIS summit 2016Охота на угрозы на BIS summit 2016
Охота на угрозы на BIS summit 2016
 
Threat hunting as SOC process
Threat hunting as SOC processThreat hunting as SOC process
Threat hunting as SOC process
 
How to catch your “hacker” or makeshift security
How to catch your “hacker” or makeshift securityHow to catch your “hacker” or makeshift security
How to catch your “hacker” or makeshift security
 
Drive by-download attack evolution zero nights v3
Drive by-download attack evolution zero nights v3Drive by-download attack evolution zero nights v3
Drive by-download attack evolution zero nights v3
 

Infosecurity management in the Enterprise

  • 1. Информационная безопасность крупной корпорации С чего начать и чем закончить? Сергей Солдатов
  • 2. Преамбула • В презентации НЕ БУДЕТ: • Конкретных решений конкретных вендоров • Названий конкретных компаний • Привязки к отрасли • Но БУДЕТ: • Альтернативный взгляд на привычные вещи • Многие моменты проверены на практике • Возможны гиперболы
  • 3. Краткий план • Эволюция подходов к обеспечению ИБ в Компании: с чего обычно начинают, к чему со временем приходят • Типовые заблуждения • Как можно делать ИБ, если понимания в ее необходимости нет • Как развить понимание необходимости ИБ
  • 4. Эволюция ИБ в Компании и типовые заблуждения
  • 5. Эволюция ИБ в Компании (по видению) «Что бы поделать?» • Участие везде • Нет стратегии • Не определена ответственность «Против ИТ» • Выполнение технических сервисов ИТ • «Конфликт интересов» с ИТ • Низкое качество сервисов ИТ для потребителей • Уклон в сопровождение инфраструктуры • Нет мониторинга • Нет аудита «Сервис ИТ» • Выполнение технических сервисов ИТ • Па факту – подразделение ИТ • Уклон в сопровождение систем ИБ • Мониторинг инфраструктуры • Аудит инфраструктуры (?) «Сервис бизнеса» • Все технические сервисы переданы в ИТ • Технический сервис ЭБ • Уклон в мониторинг бизнес-транзакций • Аудит соответствия
  • 6. Эволюция ИБ в Компании (по видению) «Что бы поделать?» • Участие везде • Нет стратегии • Не определена ответственность «Против ИТ» • Выполнение технических сервисов ИТ • «Конфликт интересов» с ИТ • Низкое качество сервисов ИТ для потребителей • Уклон в сопровождение инфраструктуры • Нет мониторинга • Нет аудита «Сервис ИТ» • Выполнение технических сервисов ИТ • Па факту – подразделение ИТ • Уклон в сопровождение систем ИБ • Мониторинг инфраструктуры • Аудит инфраструктуры (?) «Сервис бизнеса» • Все технические сервисы переданы в ИТ • Технический сервис ЭБ • Уклон в мониторинг бизнес-транзакций • Аудит соответствия
  • 7. Эволюция ИБ в Компании (по модели OSI?) • Различные вариантыЧто бы поделать? • Сетевое оборудование (маршрутизаторы, МЭ, АСО*, VPN) • Почтовые шлюзы, HTTP(S)/FTP-прокси • Выделенные системы ИБ (IDS/IPS, сканеры, пр.) Инфраструктура • Мониторинг работы бизнес-пользователей • Контроль Проектов и Изменений Бизнес- приложения • Анализ бизнес-процессов, прогнозирование сценариев атакмошенничества, проектирование контролей ИБ • Расследование инцидентов ИБ => корректировка контролей • Аудит и оценка эффективности контролей ИБ Бизнес-процессы * Активное сетевое оборудование
  • 8. Эволюция ИБ в Компании (глазами пользователей) А они есть? Полностью незаметно Полное непонимание Исключительно негатив Полный или частичный запрет всего Вредительство Как к ИТ Неотличимо от ИТ Равноправная БФ Экспертиза в предметной области Помощь « К а р а т е л ь н а я » ф у н к ц и я
  • 9. «По видению» -- «По модели OSI» -- «По отношению пользователей» ? Против ИТ Сервис ИТ Сервис бизнеса Инфраструктура Бизнес-приложения? Бизнес-процессы ? Негатив Как к ИТ Равноправная БФ Шкала времени
  • 10. Этап становления («?») • Compliance – все • Активный поиск врагов… • Подмена «соответствует» на «безопасно» • … и они находятся рядом • Парадоксальные выводы Индикаторы Проблемы Последствия
  • 11. «Против ИТ». Индикаторы, Проблемы и последствия. • СИБ сама обслуживает системы ИБ. • «Навесные решения» • Нет общего SLA с ИТ перед бизнесом • Рассогласование работы оборудования ИТ и ИБ • Неоптимальные решения • Высокие накладные расходы на коммуникации • Низкий уровень доступности сервисов ИТ • Высокая трудоемкость обеспечения качества сервиса Индикаторы Проблемы Последствия
  • 12. Основные заблуждения Корпоративный стандарт неприкосновенен Это такой же контроль, как и любой другой. Compliance – основа построения СУИБ Compliance – побочный продукт Основная угроза - ИТ Нелояльность админа не компенсируется исключительно техническими контролями. «Доверенно» == «Самостоятельно» Нехватка ресурсов => снижение уровня сервиса => снижение уровня ИБ Потребность в сервисе – личное желание (не желание) пользователя Пользователь решает свои бизнес задачи (без понимания бизнес-процессов утверждать обратное – безосновательно, в т.ч. и права «в прок») Основной уклон в запрещение Имея минимальный доступ к информации (чтение) всегда можно ее унести Цель управления Инцидентами – найти нарушителя Цель – выработать и реализовать меры по не повторению
  • 13. Сервис вместо отсутствия Защита данных в ИС Защита данных на АРМ Контроль АРМ* Информационные потоки с и на Мотивированный нарушитель: Запрет не остановит мотивированного нарушителя, однако отсутствие запрета позволит эффективно его выявить и собрать доказательную базу «Нарушитель» Непросвещенный пользователь: Эффективнее использовать другие мероприятия (обучение, оценка знаний, пентесты социнженерии) ИБ только тогда эффективна, когда интегрирована на всех уровнях бизнес-процесса => каждый его участник несет свой вклад в обеспечение ИБ => эффективность ИБ достигается только при участии каждого, когда каждый играет правильную роль правильно. * АРМ == Endpoint
  • 14. «Против ИТ». Индикаторы, Проблемы и последствия. • СИБ сама обслуживает системы ИБ. • «Навесные решения» • Нет общего SLA с ИТ перед бизнесом • Рассогласование работы оборудования ИТ и ИБ • Неоптимальные решения • Высокие накладные расходы на коммуникации • Низкий уровень доступности сервисов ИТ • Высокая трудоемкость обеспечения качества сервиса Индикаторы Проблемы Последствия
  • 15. «Сервис ИТ». Индикаторы, Проблемы и последствия. • СИБ сама обслуживает системы ИБ. • «Навесные решения» • Есть общий SLA с ИТ • Согласованная работа систем ИТ и ИБ • Неоптимальные решения • Оптимизированы коммуникации • Нормальный уровень сервиса • Нормальная трудоемкость Индикаторы Проблемы Последствия
  • 16. «Сервис ИТ». Индикаторы, Проблемы и последствия. • СИБ сама обслуживает системы ИБ. • «Навесные решения» • Есть общий SLA с ИТ • Согласованная работа систем ИТ и ИБ • Неоптимальные решения • Оптимизированы коммуникации • Нормальный уровень сервиса • Нормальная трудоемкость Индикаторы Проблемы Последствия
  • 17. Переходный период «инфраструктурной» к «бизнес-процессной» ИБ IDPS VM FW Сетевая ИБ MС ACA CM CM Бизнес-приложения
  • 18. Переходный период «инфраструктурной» к «бизнес-процессной» ИБ IDPS VM FW Сетевая ИБ MС ACA CM CM Бизнес-приложения Проекты Изменения
  • 19. Целевое состояние и пути к нему
  • 20. Целевое состояние ИБ («процессная ИБ») Бизнес-процесс 1 Бизнес-процесс 2 Бизнес-процесс i Бизнес-процессы ИТ Бизнес-процессы безопасности Бизнес-процесс 1 Бизнес-процесс 2 Бизнес-процесс i Бизнес-процессы ИТ Безопасность Безопасность Безопасность Безопасность Системауправления
  • 22. Распределение обязанностей внутри ИТ IDPS VM FW С AC Аудит Изменения Проекты Mониторинг VM Operations ИТ Operations ИБ Бизнес-приложения Инфраструктура
  • 23. Проекты. Что это такое? Проект Изменение Формально стартован Не имеет формального старта, но дату поступления запроса Выполняется выделенной проектной командой Выполняется ресурсами существующих операционных подразделений Всегда финансируется отдельно Выполняется в рамках существующих сервисных договоров Операционные подразделения – члены проектной команды, могут выполнять любые работы Операционные подразделения выполняют работы, заявленные в их SLA в соответствии с требованиями эксплуатационной документации (Инструкции администраторов и т.п.) Сроки регулируются планом проекта Сроки регулируются SLA
  • 24. Предпосылки ИБ в проектах Интегрированная безопасность эффективнее «навесной» Вопросы безопасности адресовать непосредственно в проекте Эксперт по ИБ – в составе проектной команды Дополнительно: • Требования безопасности не всегда очевидны • Зачастую следует выбирать компромиссное решение, основанное на анализе рисков • Требуется хорошая экспертиза в предметной области
  • 25. ИБ в проектах Что есть в наличии: • NIST SP800-64R2: Security Considerations in the System Development Life Cycle Бизнес- потребность ИТ Бизнес ИБ Анализ рисков* Разработка ИТ-решения Информационная система Реализовано в системе Требуется дополнительно Необходимые контроли безопасности Дорабтки Аудит ИБ * Автоматизируемого БП
  • 26. Аудит в проектах, и не только Аудит соответствия Тест на проникновение Проверяет соответствие требованиямкритериям Проверка возможности осуществления атаки Легко автоматизируется Не очень Не требователен к квалификации Требует практический опыт Приводит к изменению в системе Приводит к изменению требованийкритериев
  • 27. Заключение об участии в проектах • Очевидный способ выхода на уровень бизнес-процессов • Очевидный способ строить интегрированную безопасность • Очевидный способ участвовать в построении целевой архитектуры ИТ • Очевидный способ «идти в ногу» с ИТ
  • 29. Типовой план • Определение ключевых бизнес- процессов • Изучение бизнес-процессов • Определение рисков • Определение мероприятий по снижению рисков (1) • Выявление существующих контрольных процедур (2) • Gap-анализ (1) и (2) • План построения нового, доработки существующего Что делать? • Аудит: • Интервью • Изучение ОРД и пр. *РД • Технологический аудит • Справочники контролей: • NIST SP800-53 • ISO 2700* • CobIT • …. • Взять у кого это уже есть Чем делать?
  • 30. Типовой план • Определение ключевых бизнес- процессов • Изучение бизнес-процессов • Определение рисков • Определение мероприятий по снижению рисков (1) • Выявление существующих контрольных процедур (2) • Gap-анализ (1) и (2) • План построения нового, доработки существующего Что делать? • Аудит: • Интервью • Изучение ОРД и пр. *РД • Технологический аудит • Справочники контролей: • NIST SP800-53 • ISO 2700* • CobIT • …. • Взять у кого это уже есть Чем делать?
  • 31. неТиповой план Мониторинг Инфраструктура Периметр Зоны Внутри*.info Управление инцидентами 1 Первый контроль ИБ Расследования Планирование 2 3 4 Новые контроли ИБ Интеграция в процессы i j k Мониторинг бизнес-приложений Мониторинг транзакций Аудит
  • 32. СУИБ == совокупность контролей из operations http://reply-to-all.blogspot.ru/2013/01/blog-post.html
  • 33. Основные заблуждения Придумывание СУИБ можно поручить Интегратору (*) Если вам известно мало, то Интегратору – еще меньше Комплексный подход Важно давать как можно больше результата, как можно раньше. Актуальность решения может значительно меняться во времени Compliance и сертифицированные решения – основа ИБ Соответствовать не значит быть безопасным. Выбор лучших в классе ИнтегрированностьУправляемость - важнее Все можно зааутсорсить Закон сохранения трудоемкостисложности http://reply-to-all.blogspot.ru/2012/04/blog-post_19.html Борьба с атаками нулевого дня Оставьте это производителям ПО http://reply-to-all.blogspot.ru/2014/03/0-day-apt.html Борьба с АНБ Оставьте это ФСБ http://reply-to-all.blogspot.ru/2014/01/blog-post_15.html Функциональные тендеры Простое превращение CapEx в OpEx http://reply-to-all.blogspot.ru/2014/04/blog-post.html
  • 34. Сервис вместо отсутствия: продолжение Мотивированный нарушитель: не останавливается запретом «Нарушитель» Пользователь Работа с Интернет Работа на АРМ Минимум функционала Минимум полномочий Минимум ….. Альтернативные маршруты в Интернет Работа на альтернативных АРМ Прощай, периметр! Прощай, данные! Здравствуй, зло «из дома»! П р о щ а й , к о н т р о л ь !
  • 35. Что можно аутсорсить (критерии)? • Критичность сервиса • Ситуация с предложением на рынке • Внутренние компетенции • Степень соответствия Стратегии • Степень формализации требований • Себестоимость • Стоимость управления и контроля Выработали критерии Пропустили через них все работы Определили что продать Проводите такую оценку регулярно http://reply-to-all.blogspot.ru/2012/02/blog-post.html
  • 36. Инсорсинг == Аутсорсинг || Аутстаффинг ? Направление1 Направление2 Направлениеi Направлениеn Лидер 1 Лидер 2 Лидер i Лидер n С т р а т е г и я Корпорация Инсорсер Аутстаффинг Аутсорсинг Штат
  • 37. Спасибо за Ваше внимание! Сергей Солдатов, CISA, CISSP reply-to-all.blogspot.com