2. Преамбула
• В презентации НЕ БУДЕТ:
• Конкретных решений конкретных вендоров
• Названий конкретных компаний
• Привязки к отрасли
• Но БУДЕТ:
• Альтернативный взгляд на привычные вещи
• Многие моменты проверены на практике
• Возможны гиперболы
3. Краткий план
• Эволюция подходов к обеспечению ИБ в Компании: с чего
обычно начинают, к чему со временем приходят
• Типовые заблуждения
• Как можно делать ИБ, если понимания в ее необходимости нет
• Как развить понимание необходимости ИБ
5. Эволюция ИБ в Компании (по видению)
«Что бы
поделать?»
• Участие везде
• Нет стратегии
• Не определена
ответственность
«Против ИТ»
• Выполнение
технических сервисов
ИТ
• «Конфликт
интересов» с ИТ
• Низкое качество
сервисов ИТ для
потребителей
• Уклон в
сопровождение
инфраструктуры
• Нет мониторинга
• Нет аудита
«Сервис ИТ»
• Выполнение
технических сервисов
ИТ
• Па факту –
подразделение ИТ
• Уклон в
сопровождение
систем ИБ
• Мониторинг
инфраструктуры
• Аудит
инфраструктуры (?)
«Сервис бизнеса»
• Все технические
сервисы переданы в
ИТ
• Технический сервис
ЭБ
• Уклон в мониторинг
бизнес-транзакций
• Аудит соответствия
6. Эволюция ИБ в Компании (по видению)
«Что бы
поделать?»
• Участие везде
• Нет стратегии
• Не определена
ответственность
«Против ИТ»
• Выполнение
технических сервисов
ИТ
• «Конфликт
интересов» с ИТ
• Низкое качество
сервисов ИТ для
потребителей
• Уклон в
сопровождение
инфраструктуры
• Нет мониторинга
• Нет аудита
«Сервис ИТ»
• Выполнение
технических сервисов
ИТ
• Па факту –
подразделение ИТ
• Уклон в
сопровождение
систем ИБ
• Мониторинг
инфраструктуры
• Аудит
инфраструктуры (?)
«Сервис бизнеса»
• Все технические
сервисы переданы в
ИТ
• Технический сервис
ЭБ
• Уклон в мониторинг
бизнес-транзакций
• Аудит соответствия
7. Эволюция ИБ в Компании (по модели OSI?)
• Различные вариантыЧто бы поделать?
• Сетевое оборудование (маршрутизаторы, МЭ, АСО*, VPN)
• Почтовые шлюзы, HTTP(S)/FTP-прокси
• Выделенные системы ИБ (IDS/IPS, сканеры, пр.)
Инфраструктура
• Мониторинг работы бизнес-пользователей
• Контроль Проектов и Изменений
Бизнес-
приложения
• Анализ бизнес-процессов, прогнозирование сценариев
атакмошенничества, проектирование контролей ИБ
• Расследование инцидентов ИБ => корректировка контролей
• Аудит и оценка эффективности контролей ИБ
Бизнес-процессы
* Активное сетевое оборудование
8. Эволюция ИБ в Компании (глазами пользователей)
А они есть?
Полностью
незаметно
Полное
непонимание
Исключительно
негатив
Полный или
частичный
запрет всего
Вредительство
Как к ИТ
Неотличимо
от ИТ
Равноправная
БФ
Экспертиза в
предметной
области
Помощь
« К а р а т е л ь н а я » ф у н к ц и я
9. «По видению» -- «По модели OSI» --
«По отношению пользователей»
? Против ИТ Сервис ИТ Сервис бизнеса
Инфраструктура Бизнес-приложения? Бизнес-процессы
? Негатив Как к ИТ Равноправная БФ
Шкала времени
10. Этап становления («?»)
• Compliance – все
• Активный поиск
врагов…
• Подмена
«соответствует» на
«безопасно»
• … и они находятся
рядом
• Парадоксальные
выводы
Индикаторы Проблемы Последствия
11. «Против ИТ». Индикаторы, Проблемы и последствия.
• СИБ сама
обслуживает
системы ИБ.
• «Навесные
решения»
• Нет общего SLA с
ИТ перед
бизнесом
• Рассогласование
работы
оборудования ИТ
и ИБ
• Неоптимальные
решения
• Высокие
накладные
расходы на
коммуникации
• Низкий уровень
доступности
сервисов ИТ
• Высокая
трудоемкость
обеспечения
качества сервиса
Индикаторы Проблемы Последствия
12. Основные заблуждения
Корпоративный стандарт
неприкосновенен
Это такой же контроль, как и любой другой.
Compliance – основа построения
СУИБ
Compliance – побочный продукт
Основная угроза - ИТ
Нелояльность админа не компенсируется исключительно
техническими контролями.
«Доверенно» ==
«Самостоятельно»
Нехватка ресурсов => снижение уровня сервиса => снижение
уровня ИБ
Потребность в сервисе – личное
желание (не желание)
пользователя
Пользователь решает свои бизнес задачи
(без понимания бизнес-процессов утверждать обратное –
безосновательно, в т.ч. и права «в прок»)
Основной уклон в запрещение
Имея минимальный доступ к
информации (чтение) всегда
можно ее унести
Цель управления Инцидентами
– найти нарушителя
Цель – выработать и реализовать
меры по не повторению
13. Сервис вместо отсутствия
Защита
данных
в ИС
Защита
данных
на АРМ
Контроль
АРМ*
Информационные
потоки с и на
Мотивированный нарушитель:
Запрет не остановит
мотивированного нарушителя,
однако отсутствие запрета
позволит эффективно его
выявить и собрать
доказательную базу
«Нарушитель»
Непросвещенный пользователь:
Эффективнее использовать другие
мероприятия (обучение, оценка
знаний, пентесты социнженерии)
ИБ только тогда эффективна, когда интегрирована на
всех уровнях бизнес-процесса => каждый его участник
несет свой вклад в обеспечение ИБ => эффективность ИБ
достигается только при участии каждого, когда каждый
играет правильную роль правильно.
* АРМ == Endpoint
14. «Против ИТ». Индикаторы, Проблемы и последствия.
• СИБ сама
обслуживает
системы ИБ.
• «Навесные
решения»
• Нет общего SLA с
ИТ перед
бизнесом
• Рассогласование
работы
оборудования ИТ
и ИБ
• Неоптимальные
решения
• Высокие
накладные
расходы на
коммуникации
• Низкий уровень
доступности
сервисов ИТ
• Высокая
трудоемкость
обеспечения
качества сервиса
Индикаторы Проблемы Последствия
15. «Сервис ИТ». Индикаторы, Проблемы и последствия.
• СИБ сама
обслуживает
системы ИБ.
• «Навесные
решения»
• Есть общий SLA с
ИТ
• Согласованная
работа систем ИТ
и ИБ
• Неоптимальные
решения
• Оптимизированы
коммуникации
• Нормальный
уровень сервиса
• Нормальная
трудоемкость
Индикаторы Проблемы Последствия
16. «Сервис ИТ». Индикаторы, Проблемы и последствия.
• СИБ сама
обслуживает
системы ИБ.
• «Навесные
решения»
• Есть общий SLA с
ИТ
• Согласованная
работа систем ИТ
и ИБ
• Неоптимальные
решения
• Оптимизированы
коммуникации
• Нормальный
уровень сервиса
• Нормальная
трудоемкость
Индикаторы Проблемы Последствия
22. Распределение обязанностей внутри ИТ
IDPS
VM
FW
С AC
Аудит
Изменения
Проекты
Mониторинг
VM
Operations ИТ Operations ИБ
Бизнес-приложения
Инфраструктура
23. Проекты. Что это такое?
Проект Изменение
Формально стартован
Не имеет формального старта, но дату
поступления запроса
Выполняется выделенной
проектной командой
Выполняется ресурсами существующих
операционных подразделений
Всегда финансируется отдельно
Выполняется в рамках существующих
сервисных договоров
Операционные подразделения –
члены проектной команды, могут
выполнять любые работы
Операционные подразделения выполняют
работы, заявленные в их SLA в соответствии с
требованиями эксплуатационной
документации (Инструкции администраторов
и т.п.)
Сроки регулируются планом
проекта
Сроки регулируются SLA
24. Предпосылки ИБ в проектах
Интегрированная
безопасность
эффективнее
«навесной»
Вопросы
безопасности
адресовать
непосредственно в
проекте
Эксперт по ИБ – в
составе проектной
команды
Дополнительно:
• Требования безопасности не всегда очевидны
• Зачастую следует выбирать компромиссное решение, основанное на
анализе рисков
• Требуется хорошая экспертиза в предметной области
25. ИБ в проектах
Что есть в наличии:
• NIST SP800-64R2: Security Considerations in the System Development
Life Cycle
Бизнес-
потребность
ИТ
Бизнес
ИБ
Анализ
рисков*
Разработка
ИТ-решения Информационная
система
Реализовано в системе Требуется
дополнительно
Необходимые контроли безопасности
Дорабтки
Аудит
ИБ
* Автоматизируемого БП
26. Аудит в проектах, и не только
Аудит соответствия Тест на проникновение
Проверяет соответствие
требованиямкритериям
Проверка возможности осуществления
атаки
Легко автоматизируется Не очень
Не требователен к
квалификации
Требует практический опыт
Приводит к изменению в
системе
Приводит к изменению
требованийкритериев
27. Заключение об участии в проектах
• Очевидный способ выхода на уровень бизнес-процессов
• Очевидный способ строить интегрированную безопасность
• Очевидный способ участвовать в построении целевой
архитектуры ИТ
• Очевидный способ «идти в ногу» с ИТ
29. Типовой план
• Определение ключевых бизнес-
процессов
• Изучение бизнес-процессов
• Определение рисков
• Определение мероприятий по
снижению рисков (1)
• Выявление существующих
контрольных процедур (2)
• Gap-анализ (1) и (2)
• План построения нового,
доработки существующего
Что делать?
• Аудит:
• Интервью
• Изучение ОРД и пр. *РД
• Технологический аудит
• Справочники контролей:
• NIST SP800-53
• ISO 2700*
• CobIT
• ….
• Взять у кого это уже есть
Чем делать?
30. Типовой план
• Определение ключевых бизнес-
процессов
• Изучение бизнес-процессов
• Определение рисков
• Определение мероприятий по
снижению рисков (1)
• Выявление существующих
контрольных процедур (2)
• Gap-анализ (1) и (2)
• План построения нового,
доработки существующего
Что делать?
• Аудит:
• Интервью
• Изучение ОРД и пр. *РД
• Технологический аудит
• Справочники контролей:
• NIST SP800-53
• ISO 2700*
• CobIT
• ….
• Взять у кого это уже есть
Чем делать?
31. неТиповой план
Мониторинг Инфраструктура Периметр Зоны Внутри*.info
Управление
инцидентами
1 Первый контроль ИБ
Расследования
Планирование
2
3
4
Новые контроли ИБ
Интеграция в
процессы
i
j
k
Мониторинг
бизнес-приложений
Мониторинг
транзакций
Аудит
32. СУИБ == совокупность контролей из operations
http://reply-to-all.blogspot.ru/2013/01/blog-post.html
33. Основные заблуждения
Придумывание СУИБ можно
поручить Интегратору (*)
Если вам известно мало, то Интегратору – еще меньше
Комплексный подход
Важно давать как можно больше результата, как можно
раньше. Актуальность решения может значительно меняться
во времени
Compliance и сертифицированные
решения – основа ИБ
Соответствовать не значит быть безопасным.
Выбор лучших в классе ИнтегрированностьУправляемость - важнее
Все можно зааутсорсить Закон сохранения трудоемкостисложности
http://reply-to-all.blogspot.ru/2012/04/blog-post_19.html
Борьба с атаками нулевого дня Оставьте это производителям ПО
http://reply-to-all.blogspot.ru/2014/03/0-day-apt.html
Борьба с АНБ Оставьте это ФСБ
http://reply-to-all.blogspot.ru/2014/01/blog-post_15.html
Функциональные тендеры Простое превращение CapEx в OpEx
http://reply-to-all.blogspot.ru/2014/04/blog-post.html
34. Сервис вместо отсутствия: продолжение
Мотивированный нарушитель:
не останавливается запретом
«Нарушитель»
Пользователь
Работа с Интернет Работа на АРМ
Минимум функционала
Минимум полномочий
Минимум …..
Альтернативные
маршруты в
Интернет
Работа на
альтернативных
АРМ
Прощай, периметр! Прощай, данные! Здравствуй, зло «из дома»!
П р о щ а й , к о н т р о л ь !
35. Что можно аутсорсить (критерии)?
• Критичность сервиса
• Ситуация с предложением на рынке
• Внутренние компетенции
• Степень соответствия Стратегии
• Степень формализации требований
• Себестоимость
• Стоимость управления и контроля
Выработали
критерии
Пропустили через
них все работы
Определили что
продать
Проводите такую
оценку регулярно
http://reply-to-all.blogspot.ru/2012/02/blog-post.html
36. Инсорсинг == Аутсорсинг || Аутстаффинг ?
Направление1
Направление2
Направлениеi
Направлениеn
Лидер 1 Лидер 2 Лидер i Лидер n
С т р а т е г и я Корпорация
Инсорсер
Аутстаффинг
Аутсорсинг
Штат
37. Спасибо за Ваше внимание!
Сергей Солдатов, CISA, CISSP
reply-to-all.blogspot.com