WWW.LIB.KNIGI-X.RU
Ѕ≈—ѕЋј“Ќјя  »Ќ“≈–Ќ≈“  Ѕ»ЅЋ»ќ“≈ ј - Ёлектронные материалы
 

Ђ:, C|CISO, CISA, CGEIT, CRISC, ITIL-F, ISO 27001 LA. ! ISO 27001 2013 ”ѕ–ј¬Ћ≈Ќ»≈ ќѕ≈–ј÷»яћ»  ќЌ“–ќЋ№ ƒќ—“”ѕј ѕќЋ№«ќ¬ј“≈Ћ≈… ј”ƒ»“ —одержание —ќƒ≈–∆јЌ»≈  –ј“ »… ќЅ«ќ– ћ»——»я: ...ї

:, C|CISO, CISA, CGEIT, CRISC, ITIL-F, ISO 27001 LA.

!

ISO 27001 2013

”ѕ–ј¬Ћ≈Ќ»≈ ќѕ≈–ј÷»яћ»

 ќЌ“–ќЋ№ ƒќ—“”ѕј

ѕќЋ№«ќ¬ј“≈Ћ≈… ј”ƒ»“

—одержание

—ќƒ≈–∆јЌ»≈

 –ј“ »… ќЅ«ќ–

ћ»——»я: Ќ≈¬џѕќЋЌ»ћј

ѕќ—Ћ≈ƒ—“¬»я «ЋќЌјћ≈–≈ЌЌџ’ ƒ≈…—“¬»… ¬ ÷»‘–ј’

ѕ–≈ƒќ“¬–ј“»“№, Ќќ  ј »ћ ќЅ–ј«ќћ?

–≈Ў≈Ќ»≈: ¬Ќ≈ƒ–≈Ќ»≈ —»—“≈ћџ ”ѕ–ј¬Ћ≈Ќ»я Ѕ≈«ќѕј—Ќќ—“№ё

Ќќ¬ќ¬¬≈ƒ≈Ќ»я —“јЌƒј–“ј ISO 27001:2013

¬Ќ≈ƒ–≈Ќ»≈ —“јЌƒј–“ј ISO/IEC 27001

ќЅў»≈ «јƒј„» Ч “–≈Ѕќ¬јЌ»я   ¬Ќ≈ƒ–≈Ќ»ё —“јЌƒј–“ќ¬

„≈ћ ћќ∆≈“ ѕќћќ„№  ќћѕјЌ»я BALABIT?

Ќјƒ≈∆Ќјя –≈√»—“–ј÷»я —ќЅџ“»… Ч SYSLOG-NG

ќ“—Ћ≈∆»¬јЌ»≈ ј “»¬Ќќ—“» јƒћ»Ќ»—“–ј“ќ–ќ¬ Ч SHELL CONTROL BOX

јЌјЋ»« ѕќ¬≈ƒ≈Ќ»я ѕќЋ№«ќ¬ј“≈Ћ≈… Ч BLINDSPOTTER

ѕќ—Ћ≈ ¬Ќ≈ƒ–≈Ќ»я —»—“≈ћџ

10 Ћ”„Ў»’ » ’”ƒЎ»’ ћ≈“ќƒ» 

–≈«ёћ≈

ѕ–»Ћќ∆≈Ќ»≈

ќЅ ј¬“ќ–≈

”«Ќј“№ ЅќЋ№Ў≈

 раткий обзор Ќар€ду с необходимостью конкурировать на рынке, все больше и больше компаний сталкиваютс€ с проблемой соответстви€ требовани€м стандартов ISO, PCI DSS, SOX, HIPAA, Basel II, GPG, FISMA или других нормативных требований. ¬ частности, правила обеспечени€ информационной безопасности очень строги. Ќо веро€тным решением дл€ применени€ системы управлени€ безопасностью могло бы быть внедрение переработанного стандарта ISO/IEC 27001:2013 (ISO 27001).


¬ данном документе перечисл€ютс€ требовани€, которых руководители должны придерживатьс€ дл€ сертификации по стандарту ISO 27001, а также подчеркиваетс€ коммерческа€ выгода данной сертификации. ¬ документе также описываютс€ новые элементы и измененный подход стандарта 27001 версии 2013 года по сравнению с предыдущей версией 2005 года. Ѕыли сделаны выводы из недавних громких дел, св€занных с утечкой данных, и событий, св€занных с повреждением данных, с целью определить меры, которые нужно об€зательно или предпочтительно предприн€ть дл€ предотвращени€ худших сценариев. ћы также рассматриваем положительные и отрицательные моменты внедрени€ и использовани€ стандарта ISO 27001.  роме того, мы представл€ем рекомендации дл€ среднего и исполнительного руководства.

»з-за сложности среды информационных технологий предпри€тий, соответствие не может быть обеспечено использованием обычных инструментов без специальных знаний. Ѕольшие информационные системы могут генерировать миллионы системных сообщений в день, поэтому определение релевантной и полезной информации становитс€ все труднее. “аким образом, существует остра€ необходимость независимых автоматизированных аудиторских решений, которые обеспечат посто€нный контроль и легко интегрируютс€. ѕрограммы syslog-ng, Shell Control Box или недавно анонсированный Blindspotter компании BalaBit €вл€ютс€ существующими решени€ми, которые могут эффективно снизить риск у€звимости данных. Ёти решени€ поддерживают создание и проверку внутренних линий защиты, а также точек управлени€ стандарта ISO 27001:2013.

ћисси€:Ќевыполнима ¬ данном случае Ђћисси€: Ќевыполнимаї Ч не термин из бдительными, готовыми сразитьс€ и предвидеть каждый шаг сферы информационных технологий, а название попул€рного врага, чтобы немедленно отреагировать. Ќо они также должны боевика.  ака€ св€зь с нашей темой? ¬ наши дни менеджеры по придерживатьс€ всех правил. ќх уж эти бессонные ночи...

информационным технологи€м сами оказываютс€ в ситуации, —лучаи кражи данных и их неправомочного использовани€ подобной той, в которой находитс€ герой боевика: ситуаци€ в информационной сфере достигли небывалого уровн€, посто€нно мен€етс€, и он сталкиваетс€ с неожиданными недостаточна€ защита данных может привести к серьезным опасност€ми со всех сторон: внешние нападени€, опытные финансовым потер€м и нанести ущерб репутации организации.

шпионы и внутренние враги. ¬ распор€жении взломщиков —реди всех угроз значительное место занимают внутренние имеетс€ высокотехнологичное оборудование. »х много. » они угрозы. “ак как все больше конфиденциальных данных утекает охот€тс€ за нашими данными. Ќаши устройства защиты каждую вследствие злонамеренных действий внутренних сотрудников, миллисекунду предупреждают о попытках атак. ћенеджеры существует растуща€ потребность в контроле сотрудников, по информационным технологи€м должны всегда оставатьс€ имеющих доступ к особо важной информации.

ѕоследстви€ злонамеренных действий в цифрах —егодн€ стали распространенными кражи данных не только в больших официально зарегистрированных компани€х, но даже правительства крупных стран могут опасатьс€ раскрыти€ данных национальной безопасности, как показало раскрытие Ёдвардом —ноуденом факта тотальной слежки за гражданами со стороны јЌЅ.

Ќиже приводитс€ краткий список самых важных известных случаев неправомерного использовани€, потери и кражи данных за последние несколько лет:

Ц  Ц  Ц

’от€ большинство случаев хищени€ неправомерного использовани€ данных данных, затронутых утечкой, но реальный данных, как сообщаетс€, вызвано совершены доверенным внутренним ущерб от таких атак можно определить внешними атаками (хакерами), также персоналом по информационным только приблизительно.

многочисленными €вл€ютс€ случаи технологи€м или с его помощью. — одной стороны, утечка веро€тного внутреннего хищени€.  артина —пектр взломанных данных широк. конфиденциальных данных €вл€етс€ еще более усложн€етс€, если учитывать »ногда кража ограничиваетс€ Ђпростойї пр€мой причиной финансовых потерь в тот факт, что даже целенаправленные личной информацией (фамилии, адреса результате последующих расследований, внешние атаки наиболее часто или номера телефонов), но чаще утекает приостановки коммерческой де€тельности, осуществл€ютс€ путем получени€ прав информаци€ более секретного характера: выплаты необходимой компенсации и доступа внутреннего администратора. данные банковских карт, PIN-коды, возможных штрафов. — другой стороны, “аким образом, организации должны информаци€, св€занна€ со здоровьем, или косвенный ущерб может быть гораздо сосредоточитьс€ как на потенциальных государственные тайны с высоким уровнем хуже, ведь известие о разглашении угрозах из сети »нтернет, так и обратить защиты. —уществует множество веб-сайтов, данных приведет к таким отдаленным внимание на своих сотрудников, специализирующихс€ на отслеживании последстви€м, как ущерб репутации, занимающих высокие должности, так компаний, которые пострадали от утечки падение цен на акции и даже возможное как многие крупномасштабные случаи данных, где указываетс€ число записей банкротство.

ѕредотвратить, но каким образом?

ќбе ведущие исследовательские компании Gartner и Forrester согласны с тем, что расходы на предотвращение гораздо ниже затрат на восстановление после атаки или хищени€ данных. Ќо как можно предотвратить такие случаи? ќтвет прост: посто€нным отслеживанием критической активности пользователей.

 роме защиты своих информационных систем, компани€ должна обеспечить соответствие различным стандартам и нормам в зависимости от ее организации или сферы де€тельности. Ќаиболее важными нормами €вл€ютс€ стандарт безопасности данных в сфере платежных карт (PCI DSS), закон —арбэйнса Ч ќксли (SOX), международный стандарт подтверждени€ достоверности информации ISAE 3402 (ранее положение по стандартам аудита SAS 70) и закон √рэмма Ч Ћича Ч Ѕлайли (GLBA). ¬ некоторых из данных стандартов формулируютс€ подробные технические требовани€ (PCI DSS Ч к безопасности данных кредитных карт и транзакций), а в других (например, SOX) указаны подробные требовани€ к соответствию официально зарегистрированных в —Ўј компаний, но все же мало внимани€ удел€етс€ специфическим требовани€м сферы информационных технологий. ƒанные нормы, как правило, требуют обеспечить провер€емость, прозрачность, ведение журнала и контроль особо важной активности дл€ снижени€ риска нарушени€ информационной безопасности.

ƒл€ многих компаний эти требовани€ представл€ют собой проблему крупного масштаба. ¬ деловом мире надежность, прозрачность и делова€ репутаци€ €вл€ютс€ активами, которые обеспечивают конкурентное преимущество, поэтому большинство предпри€тий планируют получить различные сертификаты ISO, чтобы подчеркнуть свою приверженность благоразумным предсказуемым операци€м, основанным на стандартах.  омпании обычно сначала получают сертификат управлени€ качеством (обеспечени€ качества) ISO 9001, но дл€ ведущих компаний отрасли об€зательным также €вл€етс€ надежна€ работа сектора информационных технологий. ƒл€ защиты коммерческой информации и пользовательских данных нужно обеспечить непрерывную работу.





–≈Ў≈Ќ»≈: ¬недрение системы управлени€ безопасностью –ешением может быть внедрение контролируемой и основанной на стандартах системы управлени€ информационной безопасностью (ISMS), котора€ учитывает все специфические детали. ќсновой системы ISMS €вл€етс€ стандарт ISO 27001, определ€ющий требовани€. ѕоложени€ стандарта должны быть применимы к организаци€м, которые хот€т внедрить систему управлени€ информационной безопасностью независимо от их размера. ƒл€ этой цели очень важно объединить нормы информационной безопасности с внутренними нормами и политикой организации.

Ќужно не только внедрить стандарт ISO 27001 в политику компаний, но и задокументировать процесс внедрени€.

÷елью документировани€ €вл€етс€ уточнение св€зи между нормами, процедурами оценки и обработки рисков.

¬недрение системы управлени€ информационной безопасностью, основанной на стандарте ISO 27001, требует от организации солидных ресурсов, но при правильном внедрении это приносит значительную коммерческую выгоду.  валификаци€ Ђ—ертификат стандарта ISO 27001ї повышает доверие клиентов и партнеров, а также способствует обмену электронными данными и информацией и повышает его надежность. ќднако строгую систему с соблюдением норм соответстви€ можно внедрить только строго с привлечением руководства дл€ поддержки усилий по обеспечению безопасности Ч как в финансовом, так и в моральном плане. –уководство также должно дать пон€ть, что внедрение протокола системы безопасности не €вл€етс€ исключительной ответственностью отдела информационных технологий: все сотрудники должны быть вовлечены в процесс и быть бдительными.

Ц  Ц  Ц

“аблица 1: »зменение в цифрах по сравнению с предыдущим стандартом ƒанна€ таблица может быть не совсем полной, так как в ней указано только несколько замеченных изменений. “ем не менее многие пункты стандарта были реорганизованы, некоторые органы управлени€ перенесены в другие зоны безопасности, объединены или переформулированы.

—огласованность с другими стандартами ISO Ќаиболее значительное формальное изменение отредактированного стандарта управлени€ безопасностью ISO 27001 призвано обеспечить структурную совместимость с другими системами управлени€, основанными на требовани€х стандартов ISO/IEC (SO 9001, ISO 14001, OHSAS 18001), а также с другими компонентами данной категории стандартов. ƒл€ этого названи€ подразделов, тексты некоторых разделов, а также термины и основные определени€ были приведены в соответствие с другими стандартами. ѕо сравнению с более ранними издани€ми технические термины и их определени€ были удалены из данного стандарта и будут включены только в стандарт ISO/IEC 27000.

¬место метода PDCA:

 то несет риск?

Ќепрерывное улучшение Ќа первый взгл€д может показатьс€ удивительным то, что ќпределение управлени€ рисками также изменилось в новом метод PDCA, который ранее считалс€ основой стандарта, был стандарте по сравнению с предыдущей версией. ¬ прежней удален из отредактированной версии. јббревиатура PDCA версии при процедуре управлени€ рисками сначала нужно расшифровываетс€ как Plan, Do, Check and Act (Ђпланирование, было определить активы, затем угрозы, точки у€звимости действие, проверка, корректировкаї) и означает, что не и воздействи€, которым могли быть подвержены активы, достаточно просто создать процесс управлени€ безопасностью, и, в конце концов, нужно было выбрать меры управлени€ нужна регул€рна€ проверка, оценка результатов и, впоследствии, рисками из перечисленных в стандарте. ¬ новом стандарте дальнейшее улучшение. больше внимани€ удел€етс€ оценке рисков, что обеспечивает более современный и гибкий подход. ѕо новому стандарту “о, что требование PDCA было удалено из стандарта, не за владельцем или центральным компьютером закреплено означает, что улучшени€ больше не нужны: данное требование больше рисков, чем активов. Ќа владельце рисков лежит было сформулировано в главе 10 нового стандарта в виде задача и ответственность прин€ть план управлени€ рисками и требовани€ посто€нного улучшени€ системы управлени€ остаточные риски.

безопасностью. ѕосто€нное улучшение и отслеживание могут быть внедрены не только с методом PDCA, но и с другими, Ќовый стандарт также предоставл€ет больше свободы поэтому пересмотренное требование предоставл€ет больше при выборе методов оценки рисков. “еперь разрешена свободы пользовател€м стандарта. ¬водна€ глава стандарта люба€ процедура, соответствующа€ принципам стандарта.

подчеркивает, что пор€док, в котором требовани€ перечислены, ”меньшение, прин€тие, избежание или разделение рисков не соответствует их приоритету в плане важности или срочности также €вл€етс€ одним из вариантов в деле управлени€ внедрени€ стандарта. рисками. ќрганы управлени€, применимые дл€ управлени€ рисками, необ€зательно нужно выбирать из указанных в нормах стандарта; они скорее определ€ютс€ в процессе управлени€ ќрганизаци€ и ее контекст рисками.

Ц  Ц  Ц

ќбщие задачи “ребовани€ к внедрению стандартов ѕри внедрении системы управлени€ информационной безопасностью должны соблюдатьс€ все нормы, св€занные с документацией, и регул€торные правила, а также должна быть создана указанна€ система управлени€. ѕоддержка исполнительного руководства €вл€етс€ не просто требованием стандарта; на самом деле успешное внедрение невозможно без вовлеченности и поддержки исполнительного руководства. ѕомимо общих правил политики безопасности должны быть созданы особые требовани€ и определени€ в отношении операций в сфере информационных технологий и методов управлени€, и компании должны также организовать процесс посто€нного обновлени€ политики и обеспечить, чтобы каждый сотрудник, участвующий в процессе, изучил и прин€л соответствующие требовани€.

ѕри создании или изменении организации каждый сотрудник получит только минимальный набор полномочий, необходимый дл€ его работы. “акже при создании процессов информационной безопасности исполнительна€ и управл€юща€ роли будут распределены (распределение об€занностей). «аинтересованные лица компании об€заны определить, какие данные нужно защитить, и классифицировать эти данные по уровню риска.

ѕри создании системы управлени€ информационной безопасностью на основе стандарта ISO 27001, нужно примен€ть описанный выше подход, основанный на рисках. ¬ыбранна€ вами методика оценки рисков должна соответствовать цел€м и требовани€м организации и обеспечить сопоставимые и воспроизводимые результаты при последующих оценках рисков. ƒолжен быть определен риск конфиденциальности, целостности и доступности (так называемые принципы CIA) информационных активов компании. ќб€занности руководства по контролю должны поддерживатьс€ правильно организованной внутренней системой аудита.  лючевым элементом правильной работы системы управлени€ безопасностью €вл€етс€ создание корректирующих и предупредительных методов управлени€.

Ц  Ц  Ц

“аблица 2: —труктура приложени€ A стандарта ISO 27001:2013 Ђ»сходные задачи управлени€ и методы управлени€ї

ћетоды управлени€, организуемые в ходе внедрени€ системы, определ€ют методы создани€ системы управлени€ информационной безопасностью, классификации информации, управлени€ внутренними членами и внешними партнерами и обеспечени€ безопасности и физической защиты активов.

ƒанные составл€ющие системы управлени€ безопасностью легко внедрить, так как они реальны и видны:

нужно определить политику, которой организаци€ будет придерживатьс€ при выполнении своих операций; архитектура физической безопасности должна быть создана с соблюдением требований, также должны быть установлены антивирусна€ система и система защиты от вторжений.

„≈ћ ћќ∆≈“ ѕќћќ„№  ќћѕјЌ»я BALABIT?

ƒл€ большинства требований имеютс€ проверенные решени€, к примеру, может быть создана система физической безопасности и настроены резервные системы. ќднако дл€ некоторых требований еще нет готовых решений, так как они требуют вовлечени€ большого количества людей или вообще не поддаютс€ управлению. —амый большой риск при внедрении стандарта заключаетс€ в человеческом факторе, иначе говор€, в контроле работы привилегированных пользователей и системных администраторов.

 ак можно контролировать активность пользователей с универсальными правами?

 ак можно отслеживать активность администраторов сторонних систем?

 ак можно контролировать операции с файлами, которые выполн€ютс€ по протоколам со взломостойким шифрованием (SSH, VPN, SSL/TLS и др.)?

 ак можно получить данные дл€ аудита и как можно вы€вить и предотвратить незаконную активность?

 ак можно доказать случаи потенциального мошенничества или неправомерного использовани€ информации, как можно собрать и безопасно сохранить достоверные свидетельства?

 ак можно наиболее быстро вы€снить причину инцидента после того, как он произошел, и как возобновить нормальный режим работы?

Ќекоторые требовани€ к ведению журналов, отслеживанию и контролю стандарта ISO 27001 можно выполнить только при помощи специальных информационно-технических устройств, и в этом случае могут помочь решени€ по обеспечению безопасности компании BalaBit.

Ќадежна€ регистраци€ событий

Ц  Ц  Ц

“ребовани€ стандарта ISO 27000, а именно сложна€ дл€ выполнени€ задача управлени€ A.12, направлена на регулирование управлени€ операци€ми. “ребование A.12.4.1 устанавливает пор€док ведени€ журнала, который включает активность пользователей, сбои в обслуживании, вы€вление ошибок, регистрацию случаев нарушени€ информационной безопасности, а также хранение и регул€рный анализ данных.

Ц  Ц  Ц

–аздел A.12.4.3 стандарта €вл€етс€ головной болью дл€ менеджеров информационных технологий: в нем требуетс€ ведение журнала активности системного администратора и оператора, а также защита записанной информации дл€ предотвращени€ изменени€ или удалени€ зарегистрированных данных. јктивность системных администраторов регистрируетс€ в системном журнале, но администраторы имеют доступ к данным файлам, что делает их у€звимыми к изменению или удалению. ƒанную проблему можно решить путем сбора и хранени€ файлов журнала, использующих взломостойкое шифрование, со специальными инструментами, например системой syslog-ng. —истема syslog-ng поддерживает широкий диапазон платформ и операционных систем, а также позвол€ет безопасно передавать и хранить зашифрованные сообщени€ журнала. ¬ цел€х соблюдени€ правил система сохран€ет сообщени€ журнала в подписанных, зашифрованных файлах с временными метками.

ќтслеживание активности администраторов

Ц  Ц  Ц

¬ разделе A.12.4.3 стандарта устанавливаетс€ пор€док ведени€ журнала активности системных администраторов и операторов, а в разделе ј.15.2.1 говоритс€, что активность поставщиков услуг должна отслеживатьс€ и регул€рно контролироватьс€. –анее, когда примен€лась система администрировани€ с удаленным управлением, выполн€ть регул€рный контроль было очень сложно, а порой даже невозможно; в большинстве случаев весь контроль сводилс€ к одному аудиту в год. Ќо даже тогда аудиторы не могли контролировать текущую активность и в лучшем случае могли убедитьс€, что определенный вид активности регул€рно имеет место.

¬ лучшем случае активность локального администратора и оператора регистрируетс€, но отслеживание постфактум не слишком помогает, если происходит ошибка или подготовленный несанкционированный доступ. “аким образом, требуетс€ отслеживание и контроль таких видов активности в режиме реального времени.

ƒанную задачу невозможно выполнить с помощью стандартных системных инструментов; необходимо устройство контрол€ и отслеживани€, способное выполн€ть такую задачу. ¬ таком случае на помощь приходит BalaBit Shell Control Box. ƒанное устройство провер€ет, контролирует и предоставл€ет возможность удаленного управлени€ доступом даже дл€ отдельных случаев.

”стройство Shell Control Box может отслеживать активность привилегированных пользователей, предотвраща€ доступ со злоумышленными намерени€ми и создава€ отчеты об аудите таких действий.

јнализ поведени€ пользовател€ Blindspotter Blindspotter €вл€етс€ решением анализа поведени€ пользовател€, которое исследует и обрабатывает поведение пользовател€ информационных технологий дл€ вы€влени€ человеческих факторов риска. BlindSpotter объедин€ет информацию, полученную из файлов журнала и отчетов о событи€х, с другой контекстуальной информацией. «атем информаци€ обрабатываетс€ с помощью уникальных алгоритмов, и предлагаетс€ широкий диапазон вариантов вмешательства, начина€ от предупреждений до автоматического разрыва соединени€. BlindSpotter отлично подходит дл€ отражени€ APT-атак или вы€влени€ внутренних взломщиков.

ƒанный продукт собирает данные непосредственно из приложений, а также из существующих источников журнала и создает уникальный цифровой след пользовател€. ƒл€ этого Blindspotter использует такие данные, как дата и место входа в систему, используемые системы и команды, запущенные пользователем. ѕосле этого программное обеспечение создает след конкретного пользовател€ и при обнаружении каких-либо отклонений в активности пользовател€ может сообщить об этом уполномоченной стороне. ƒанный метод подобен тем, что используютс€ в финансовых учреждени€х дл€ вы€влени€ мошеннических операций. ≈сли вы совершаете покупки при помощи своей банковской карты в Ѕудапеште утром, в Ќью-…орке днем, а в Ѕангкоке вечером, то вам может позвонить представитель банка дл€ проверки законности данных транзакций. Ётот метод помогает определить, не была ли ваша карта украдена, и не нужно ли ее заблокировать.

Blindspotter работает аналогичным образом. ≈сли пользователь с высоким риском (например, старший менеджер или системный администратор) входит в систему из необычного места или пытаетс€ получить доступ к нетипичной дл€ себ€ системе (например, системный администратор пытаетс€ загрузить данные о продажах), программное обеспечение посылает пользователю уведомление дл€ его идентификации. ≈сли пользователь не знает о такой де€тельности, тогда можно предположить, что его учетна€ запись используетс€ незаконно, например подверглась APT-атаке. ¬ то же врем€ отдел безопасности получает уведомление о необходимости предприн€ть определенные меры.

ѕодход компании BalaBit к обеспечению безопасности ориентирован скорее на отслеживание, чем на ограничение активности пользователей вплоть до нажати€ клавиши. ќриентированность на исключительные, представл€ющие риск событи€ в поведении пользователей, позвол€ет вы€вить и предотвратить случаи нарушени€ информационной безопасности, позвол€€ компании вести более дружественную по отношению к пользователю политику безопасности. Blindspotter разработан, чтобы помочь отделам информационной безопасности повысить безопасность корпоративных систем, не снижа€ коммерческую эффективность путем посто€нного отслеживани€ активности пользователей в режиме реального времени.

Ц  Ц  Ц

 роме этих преимуществ, внедрение и Shell Control Box, и Blindspotter обеспечивает исключительно высокий уровень соответстви€ требовани€м к отслеживанию стандарта ISO 27001:2013.

ѕќ—Ћ≈ ¬Ќ≈ƒ–≈Ќ»я —»—“≈ћџ

ѕосле того как организаци€ успешно создала совместимую системы правил и методов управлени€ и обеспечила ее правильную работу, систему управлени€ информационной безопасностью, основанную на стандарте ISO 27001, нужно регул€рно провер€ть. ¬нутренние аудиты провод€тс€ на регул€рной запланированной основе и позвол€ют определить, соответствуют ли меры и процессы, выполн€емые организацией, требовани€м стандарта, соответствующим нормам и внутренним методам управлени€.

ƒл€ получени€ квалификации Ђ—тандарт ISO 27001ї уполномоченный сертификационный орган должен провести соответствующий аудит, и такой аудит должен повтор€тьс€ ежегодно.

¬недрение и контроль выполнени€ стандарта ISO 27001 с его перечнем из 114 требований часто вызывает различные проблемы. ѕрименение установленных методов может помочь избежать распространенных ошибок. Ќекоторые пункты, например определение требований и процессов или создание системы физической безопасности легко пон€ть. –еальные проблемы возникают при управлении системой, ведении журнала, доступе и управлении контролем активности сторонних сервисов и подлинным сбором доказательств аудита.

¬ ходе многочисленных аудитов мы обнаружили, что персонал отдела информационных технологий одной организации думал, что успешно выполнил все требовани€ по управлению, запустив определенное приложение, хот€ он даже не имел представлени€ о его полном функционале. —истема управлени€ соответствует стандартам и требовани€м только в том случае, если она настроена в соответствии с требовани€ми. Ќапример, недостаточно просто посмотреть на стандартные списки, выдаваемые системами ведени€ журнала один раз в неделю; несоответстви€ нужно анализировать ежедневно и дл€ раннего вы€влени€ проблем нужно определить соответствующие сигналы, будь то дл€ операционных ошибок или у€звимостей системы безопасности.

–аспространенным заблуждением также €вл€етс€ тот факт, что специалисты по безопасности могут сидеть сложа руки после запуска в организации системы или приложени€ безопасности. ¬ысокий уровень безопасности можно поддерживать только путем посто€нного контрол€ и соблюдени€ методов и процессов.

ѕосле внедрени€ системы ISO 27001 или отслеживающих инструментов финансовые менеджеры часто обращаютс€ к начальнику отдела информационных технологий с вопросом о сэкономленных средствах. ¬ таком случае проект и его ожидаемые результаты, скорее всего, не были объ€влены перед запуском проекта.

10 Ћ”„Ў»’

» ’”ƒЎ»’ ћ≈“ќƒ» 

Ќиже мы приведем некоторые положительные и отрицательные примеры, собранные из опыта внедрени€ систем контрол€ и управлени€ безопасностью.

Ёто 10 худших методик, с целью ограничени€ доступа 01 ћы довер€ем нашим администраторам, они честные люди!

ƒаже если это и так, нельз€ пренебрегать контролем. Ѕолее того, отслеживание внешних партнеров с правом удаленного доступа €вл€етс€ требованием стандартов ISO.

02 ћы не можем предотвратить утечку данных. —истемные администраторы имеют доступ ко всему, независимо от того, что мы делаем.

¬озможно, раньше так и было, но с использованием надлежащих инструментов всю необходимую информацию об активности системного администратора можно зарегистрировать. ƒополнительным методом управлени€ может быть распределение об€занностей.

03 ѕри внедрении инструментов анализа журнала не требуетс€ поддержка, так как они имеют простой в использовании интерфейс.

ћы не рекомендуем такой подход, так как системы контрол€ и отслеживани€ с тонкими настройками требуют технического опыта и знаний.

04 ѕоставщик моих систем безопасности рассказал, кака€ информаци€ необходима, а он больше разбираетс€ в таких вещах.

Ёто не так. ”частие внутренних специалистов и привлечение юридического отдела €вл€етс€ об€зательным.

05 ” нас мало сотрудников, и каждый имеет доступ ко всему, на вс€кий случай.

Ёто очень опасный подход. ‘ункции управлени€ необходимы даже в том случае, если не ожидаютс€ никакие нарушени€, но системы должны быть также защищены от ошибок, св€занных с человеческим фактором.

06 ћы используем одинаковые пароли, потому что занимаемс€ одним делом.

ѕри использовании общих паролей администратора или коллективных идентификаторов пользовател€ невозможно определить конкретного нарушител€ безопасности.

07 ћы не устанавливаем сложные нормы и правила; их все равно невозможно придерживатьс€.

ƒействительно, возможно, нормы и правила не всегда пон€тны и прозрачны дл€ каждого. Ќам нужно разделить высокоуровневые нормы, которые определ€ют принципы, и подробные правила, которые нужно установить отдельно дл€ каждой сферы.

08   проекту внедрени€ стандарта ISO 27001 был привлечен только персонал отдела информационных технологий, потому что только они разбираютс€ в этом вопросе.

Ќужно подчеркнуть, что безопасность информационной системы не €вл€етс€ исключительно проектом отдела информационных технологий; это не работает без привлечени€ заинтересованных лиц компании, активного участи€ исполнительного руководства и общей осведомленности всего персонала.

09 ћы получили сертификат ISO 27001 и теперь можем не беспокоитьс€ об информационной безопасности в течение года.

Ёто не так. ѕоддержание состо€ни€ соответстви€ и защиты требует непрерывных усилий и бдительности.

10 Ќаши соглашени€ о поддержке содержат все законные требовани€, и не требуютс€ дополнительные методы управлени€ дл€ обеспечени€ внешней защиты системы Ч полную ответственность несет компани€, обеспечивающа€ поддержку.

Ёто нездоровый подход, так как контроль необходим всегда; и, хот€ задачи может выполн€ть сторонний исполнитель, ответственность несет заказчик.

10 лучших методик 01 ¬ы€вление и оценка рисков безопасности.

ќценка уровн€ рисков организации и управление существующими рисками, а также прин€тие и понимание остаточных рисков €вл€ютс€ необходимыми услови€ми правильного управлени€ задачами обеспечени€ безопасности.

02 »нтеграци€ решений безопасности в процесс управлени€ проектами.

Ќа этапе внедрени€ проектов безопасность изначально должна рассматриватьс€ как приоритет.

03 Ѕезопасность приложений должна быть внедрена на этапе разработки, а не при устранении у€звимостей, обнаруженных позже.

¬место обычных тестов у€звимости, проводимых после инцидента, следует соблюдать технику безопасного кодировани€ при разработке и написании кода приложени€.

04 ќтслеживание активности системных администраторов и внешних исполнителей.

јктивность привилегированных пользователей должна отслеживатьс€ с помощью инструментов, которые могут предотвратить неправомерное использование данных и запустить последующее восстановление всех видов активности.

05 ќпределение сферы охвата системы управлени€ информационной безопасностью (ISMS) Ч точное определение вовлеченного персонала и средств.

¬ соответствии с новым стандартом должны быть определены услови€ внутренней безопасности и вли€ние внешних факторов (партнеров, деловых св€зей, норм государственного регулировани€ и др.).

06 —оздание и регул€рна€ проверка устойчивости бизнеса и планов по восстановлению.

ƒл€ обеспечени€ устойчивости бизнеса должны быть предоставлены соответствующие инструменты резервного копировани€.

07 ¬недрение центральной системы отслеживани€ (управление журналом).

ƒиапазон зарегистрированных событий должен соответствовать цел€м в сфере безопасности компании, а управление данными журнала должно обеспечить возможность последующего восстановлени€ событий.

08 –егул€рный контроль и автоматический анализ журнала; уведомлени€ о критических событи€х.

јвтоматический анализ данных журнала обеспечивает обнаружение проблем на ранних стади€х и позвол€ет избежать дальнейшего ущерба.

09 ќпределение функциональных ролей и несоответствий.

(распределение об€занностей).  онцентраци€ большого количества привилегий в одних руках может увеличить риск неправомерного использовани€ данных или серьезных ошибок. Ќужно установить методы контрол€.

10 јнализ рисков утечки данных (потер€, кража данных).

¬недрение строгого контрол€ активности системных администраторов.

–езюме ¬недрение системы управлени€ информационной безопасностью, основанной на стандарте ISO 27001, требует от организации солидных ресурсов на этапе внедрени€, но при правильном внедрении это приносит значительную коммерческую выгоду.

 валификаци€ Ђ—ертификат стандарта ISO 27001ї повышает доверие клиентов и партнеров, а также способствует обмену электронными данными и информацией и повышает его надежность.

ќрганизаци€ также получает некоторые другие преимущества, в том числе оценку всей информационной структуры, включа€ информационные инструменты, устройства, кабельную прокладку, средства передачи данных, противопожарную защиту, кондиционеры и прочее.

¬ целом менеджеры, планирующие внедрить стандарт ISO 27001 и поддержать его с помощью технологий компании BalaBit, получают следующую коммерческую выгоду:

–иск оценен и минимизирован (контроль доступа, распределение ролей).

—уществующие процессы и методы управлени€ пересматриваютс€ и улучшаютс€; создаютс€ недостающие.

Ёлементы затрат на информационные технологии сокращаютс€, например при внедрении автоматизированной системы ведени€ журнала (syslog-ng) анализ файлов журнала становитс€ быстрее и требует меньше времени.

‘ункции надзора могут быть автоматизированы (Shell Control Box, принцип двойного контрол€).

–иск потери или кражи данных существенно снижаетс€, так как внедренные устройства контрол€ выступают одновременно как техническое и психологическое средство защиты от неправомерного доступа.

—тоимость и врем€, затрачиваемое на аудит, снижаетс€, так как вс€ необходима€ информаци€ регистрируетс€ системами, и ее легко можно получить из системы ведени€ журнала.  роме того, применение Shell Control Box предоставл€ет готовую к использованию информацию дл€ аудита, так как полностью документируетс€ система и активность администратора базы данных.

¬ы€вление причин инцидентов становитс€ быстрее, сокращаютс€ периоды незапланированных перерывов в работе. — использованием средств Shell Control Box и/или Blindspotter отслеживание уровней услуг поставщиков становитс€ проще, а в случае инцидента доступно больше информации.

Blindspotter позвол€ет обеспечить соответствие, дружественное дл€ коммерческого процесса, так как непрерывное отслеживание активности пользователей позвол€ет уменьшить количество методов управлени€, снижающих эффективность бизнеса.

ѕриложение Ќекоторые из требований стандарта ISO 27002 и методов соответстви€, обеспечиваемых продуктами компании BalaBit “ребование ћетод соответстви€ ƒоступ пользовател€ ограничен только теми сет€ми и сетевыми услугами, на которые ему были выданы права.

ƒоступ к сет€м и Shell Control Box позвол€ет установить эти правила и проследить за их выполнением, а также задокументировать A.9.1.2 сетевым услугам событи€ удаленного доступа. — продуктом Blindspotter доступ и событи€, соответствующие правилам, обрабатываютс€ в нормальном режиме, но отклонение от обычной активности немедленно регистрируетс€.

Ц  Ц  Ц

»спользование »спользование служебных программ, позвол€ющих обходить систему и управл€ть приложени€ми, должно A.9.4.4 привилегированных ограничиватьс€ и отслеживатьс€. Shell Control Box позвол€ет также контролировать использование таких служебных программ программ.

Ц  Ц  Ц

авторе Ћасло ƒеллей €вл€етс€ экспертом, имеющим сертификаты C|CISO, CISA, CGEIT, CRISC, ITIL-F и ISO27001 LA, а также аудитором в сфере информационных технологий, специалистом по безопасности и экспертным свидетелем.

¬ данное врем€ Ћасло €вл€етс€ руковод€щим партнером и консультантом по информационной безопасности в венгерской компании, занимающей информационной безопасностью.  роме того, в качестве подр€дного менеджера по »“-безопасности он отвечает за приоритетные операции в международной страховой компании. “акже Ћасло €вл€етс€ зарегистрированным активным экспертом по безопасности в ≈врокомиссии.

«а последние несколько лет он привлекалс€ в сферах »“-безопасности, »“-управлени€ и »“-аудита дл€ выполнени€ нескольких задач дл€ общественных организаций и частных предпри€тий. Ћасло выступает менеджером и техническим координатором различных консультационных проектов по безопасности.  роме того, он почти три года подр€д принимал участие в программах по оценке информационной безопасности в различных сферах под управлением агентств ≈врокомиссии.

Ћасло также €вл€етс€ автором многих статей и презентаций по »“-безопасности.

ќн сконцентрирован на разработке новых способов и техник, св€занных с различными уникальными решени€ми по безопасности (например, служба разведки »“-безопасности).

ѕќƒ–ќЅЌ≈≈ ƒомашн€€ страница Syslog-ng: http://www.balabit.com/network-security/syslog-ng ƒомашн€€ страница Shell Control Box: http://www.balabit.com/network-security/scb

ѕохожие работы:

Ђ—еминар†3 «аконодательство† о†страховом†надзоре 2015†г. —южет†1† ќ–√јЌ»«ј÷»я† —“–ј’ќ¬ќ…†ќ“–ј—Ћ» ”частники†страхового†рынка www.insuranceinstitute.ru 1.†ќрганизац舆страховой†отрасли†в†–оссии† —тать€†4.1...ї

Ђ–ќ——»…— јя ј јƒ≈ћ»я Ќј”  »нститут лингвистических исследований RUSSIAN ACADEMY OF SCIENCES Institute for Linguistic Studies ACTA LINGUISTICA PETROPOLITANA TRANSACTIONS OF THE INSTITUTE FOR LINGUISTIC STUDIES...ї

Ђhttp://www.mann-ivanov-ferber.ru/books/mif/oower_listening/ Ёту книгу хорошо дополн€ют: я слышу вас насквозь. Ёффективна€ техника переговоров! ћарк √оулстон »скусство говорить и слушать ћортимер јдлер http://www.mann-ivanov-ferber.ru/books/mif/oower_listening/ Bernard T. Ferrari P...ї

Ђ—ќ÷»ќЋќ√»я —≈ћ№» “.ё. Ўманкевич "«ј“ћ≈Ќ»≈ —≈ћ№»": ƒ»— ”——»я ¬ќ ‘–јЌ÷”«— ќ… —ќ÷»ќЋќ√»» ƒанный текст представл€ет собой аналитическую рецензию на статью французского исследовател€ ‘рансуа де —енгли "—емь€ и школа". ќбраща€сь к дискуссии во французской и российской социологии вокруг рассматриваемых институтов,...ї

Ђ"”“¬≈–∆ƒјё" ¬р.и.о. √енерального директора ќјќ "“√ -14" _  улаков ј.—. "" 2013 г. ѕротокол заседани€ закупочной комиссии ќјќ "“√ -14" на поставку манометров и термометров дл€ нужд филиалов ќјќ "“√ -14...ї

Ђѕ–»Ћќ∆≈Ќ»≈ є8 к приказу √енерального директора от "31" декабр€ 2008г. є 300 ”“¬≈–∆ƒ≈Ќќ приказом √енерального директора от "31" декабр€ 2008г. є 300 ƒ ќ √ ќ ¬ ќ – є страховани€ аннуитетов (пенсий) г. ћосква 20г. ќќќ "—  "јль€нс...ї

Ђѕисьмо –ќ—ѕ–»–ќƒЌјƒ«ќ–ј от 11.04.2016 єј—-06-01-30/6155 ќ плате за негативное воздействие на окружающую среду сообщает следующее. ‘едеральна€ служба по надзору в сфере природопользовани€ в цел€х урегулировани€ вопросов, возн...ї

Ђјвтоматизированна€ копи€ 586_140444 ¬џ—Ў»… ј–Ѕ»“–ј∆Ќџ… —”ƒ –ќ——»…— ќ… ‘≈ƒ≈–ј÷»» ѕќ—“јЌќ¬Ћ≈Ќ»≈ ѕрезидиума ¬ысшего јрбитражного —уда –оссийской ‘едерации є 8163/09 ћосква 16 марта 2010 г. ѕрезидиум ¬ысшего јрбитра...ї










 
2017 www.lib.knigi-x.ru - ЂЅесплатна€ электронна€ библиотека - электронные материалыї

ћатериалы этого сайта размещены дл€ ознакомлени€, все права принадлежат их авторам.
≈сли ¬ы не согласны с тем, что ¬аш материал размещЄн на этом сайте, пожалуйста, напишите нам, мы в течении 1-2 рабочих дней удалим его.