WWW.LIB.KNIGI-X.RU
БЕСПЛАТНАЯ  ИНТЕРНЕТ  БИБЛИОТЕКА - Электронные матриалы
 

«:, C|CISO, CISA, CGEIT, CRISC, ITIL-F, ISO 27001 LA. ! ISO 27001 2013 УПРАВЛЕНИЕ ОПЕРАЦИЯМИ КОНТРОЛЬ ДОСТУПА ПОЛЬЗОВАТЕЛЕЙ АУДИТ Содержание СОДЕРЖАНИЕ КРАТКИЙ ОБЗОР МИССИЯ: ...»

:, C|CISO, CISA, CGEIT, CRISC, ITIL-F, ISO 27001 LA.

!

ISO 27001 2013

УПРАВЛЕНИЕ ОПЕРАЦИЯМИ

КОНТРОЛЬ ДОСТУПА

ПОЛЬЗОВАТЕЛЕЙ АУДИТ

Содержание

СОДЕРЖАНИЕ

КРАТКИЙ ОБЗОР

МИССИЯ: НЕВЫПОЛНИМА

ПОСЛЕДСТВИЯ ЗЛОНАМЕРЕННЫХ ДЕЙСТВИЙ В ЦИФРАХ

ПРЕДОТВРАТИТЬ, НО КАКИМ ОБРАЗОМ?

РЕШЕНИЕ: ВНЕДРЕНИЕ СИСТЕМЫ УПРАВЛЕНИЯ БЕЗОПАСНОСТЬЮ

НОВОВВЕДЕНИЯ СТАНДАРТА ISO 27001:2013

ВНЕДРЕНИЕ СТАНДАРТА ISO/IEC 27001

ОБЩИЕ ЗАДАЧИ — ТРЕБОВАНИЯ К ВНЕДРЕНИЮ СТАНДАРТОВ

ЧЕМ МОЖЕТ ПОМОЧЬ КОМПАНИЯ BALABIT?

НАДЕЖНАЯ РЕГИСТРАЦИЯ СОБЫТИЙ — SYSLOG-NG

ОТСЛЕЖИВАНИЕ АКТИВНОСТИ АДМИНИСТРАТОРОВ — SHELL CONTROL BOX

АНАЛИЗ ПОВЕДЕНИЯ ПОЛЬЗОВАТЕЛЕЙ — BLINDSPOTTER

ПОСЛЕ ВНЕДРЕНИЯ СИСТЕМЫ

10 ЛУЧШИХ И ХУДШИХ МЕТОДИК

РЕЗЮМЕ

ПРИЛОЖЕНИЕ

ОБ АВТОРЕ

УЗНАТЬ БОЛЬШЕ

Краткий обзор Наряду с необходимостью конкурировать на рынке, все больше и больше компаний сталкиваются с проблемой соответствия требованиям стандартов ISO, PCI DSS, SOX, HIPAA, Basel II, GPG, FISMA или других нормативных требований. В частности, правила обеспечения информационной безопасности очень строги. Но вероятным решением для применения системы управления безопасностью могло бы быть внедрение переработанного стандарта ISO/IEC 27001:2013 (ISO 27001).


В данном документе перечисляются требования, которых руководители должны придерживаться для сертификации по стандарту ISO 27001, а также подчеркивается коммерческая выгода данной сертификации. В документе также описываются новые элементы и измененный подход стандарта 27001 версии 2013 года по сравнению с предыдущей версией 2005 года. Были сделаны выводы из недавних громких дел, связанных с утечкой данных, и событий, связанных с повреждением данных, с целью определить меры, которые нужно обязательно или предпочтительно предпринять для предотвращения худших сценариев. Мы также рассматриваем положительные и отрицательные моменты внедрения и использования стандарта ISO 27001. Кроме того, мы представляем рекомендации для среднего и исполнительного руководства.

Из-за сложности среды информационных технологий предприятий, соответствие не может быть обеспечено использованием обычных инструментов без специальных знаний. Большие информационные системы могут генерировать миллионы системных сообщений в день, поэтому определение релевантной и полезной информации становится все труднее. Таким образом, существует острая необходимость независимых автоматизированных аудиторских решений, которые обеспечат постоянный контроль и легко интегрируются. Программы syslog-ng, Shell Control Box или недавно анонсированный Blindspotter компании BalaBit являются существующими решениями, которые могут эффективно снизить риск уязвимости данных. Эти решения поддерживают создание и проверку внутренних линий защиты, а также точек управления стандарта ISO 27001:2013.

Миссия:Невыполнима В данном случае «Миссия: Невыполнима» — не термин из бдительными, готовыми сразиться и предвидеть каждый шаг сферы информационных технологий, а название популярного врага, чтобы немедленно отреагировать. Но они также должны боевика. Какая связь с нашей темой? В наши дни менеджеры по придерживаться всех правил. Ох уж эти бессонные ночи...

информационным технологиям сами оказываются в ситуации, Случаи кражи данных и их неправомочного использования подобной той, в которой находится герой боевика: ситуация в информационной сфере достигли небывалого уровня, постоянно меняется, и он сталкивается с неожиданными недостаточная защита данных может привести к серьезным опасностями со всех сторон: внешние нападения, опытные финансовым потерям и нанести ущерб репутации организации.

шпионы и внутренние враги. В распоряжении взломщиков Среди всех угроз значительное место занимают внутренние имеется высокотехнологичное оборудование. Их много. И они угрозы. Так как все больше конфиденциальных данных утекает охотятся за нашими данными. Наши устройства защиты каждую вследствие злонамеренных действий внутренних сотрудников, миллисекунду предупреждают о попытках атак. Менеджеры существует растущая потребность в контроле сотрудников, по информационным технологиям должны всегда оставаться имеющих доступ к особо важной информации.

Последствия злонамеренных действий в цифрах Сегодня стали распространенными кражи данных не только в больших официально зарегистрированных компаниях, но даже правительства крупных стран могут опасаться раскрытия данных национальной безопасности, как показало раскрытие Эдвардом Сноуденом факта тотальной слежки за гражданами со стороны АНБ.

Ниже приводится краткий список самых важных известных случаев неправомерного использования, потери и кражи данных за последние несколько лет:

–  –  –

Хотя большинство случаев хищения неправомерного использования данных данных, затронутых утечкой, но реальный данных, как сообщается, вызвано совершены доверенным внутренним ущерб от таких атак можно определить внешними атаками (хакерами), также персоналом по информационным только приблизительно.

многочисленными являются случаи технологиям или с его помощью. С одной стороны, утечка вероятного внутреннего хищения. Картина Спектр взломанных данных широк. конфиденциальных данных является еще более усложняется, если учитывать Иногда кража ограничивается «простой» прямой причиной финансовых потерь в тот факт, что даже целенаправленные личной информацией (фамилии, адреса результате последующих расследований, внешние атаки наиболее часто или номера телефонов), но чаще утекает приостановки коммерческой деятельности, осуществляются путем получения прав информация более секретного характера: выплаты необходимой компенсации и доступа внутреннего администратора. данные банковских карт, PIN-коды, возможных штрафов. С другой стороны, Таким образом, организации должны информация, связанная со здоровьем, или косвенный ущерб может быть гораздо сосредоточиться как на потенциальных государственные тайны с высоким уровнем хуже, ведь известие о разглашении угрозах из сети Интернет, так и обратить защиты. Существует множество веб-сайтов, данных приведет к таким отдаленным внимание на своих сотрудников, специализирующихся на отслеживании последствиям, как ущерб репутации, занимающих высокие должности, так компаний, которые пострадали от утечки падение цен на акции и даже возможное как многие крупномасштабные случаи данных, где указывается число записей банкротство.

Предотвратить, но каким образом?

Обе ведущие исследовательские компании Gartner и Forrester согласны с тем, что расходы на предотвращение гораздо ниже затрат на восстановление после атаки или хищения данных. Но как можно предотвратить такие случаи? Ответ прост: постоянным отслеживанием критической активности пользователей.

Кроме защиты своих информационных систем, компания должна обеспечить соответствие различным стандартам и нормам в зависимости от ее организации или сферы деятельности. Наиболее важными нормами являются стандарт безопасности данных в сфере платежных карт (PCI DSS), закон Сарбэйнса — Оксли (SOX), международный стандарт подтверждения достоверности информации ISAE 3402 (ранее положение по стандартам аудита SAS 70) и закон Грэмма — Лича — Блайли (GLBA). В некоторых из данных стандартов формулируются подробные технические требования (PCI DSS — к безопасности данных кредитных карт и транзакций), а в других (например, SOX) указаны подробные требования к соответствию официально зарегистрированных в США компаний, но все же мало внимания уделяется специфическим требованиям сферы информационных технологий. Данные нормы, как правило, требуют обеспечить проверяемость, прозрачность, ведение журнала и контроль особо важной активности для снижения риска нарушения информационной безопасности.

Для многих компаний эти требования представляют собой проблему крупного масштаба. В деловом мире надежность, прозрачность и деловая репутация являются активами, которые обеспечивают конкурентное преимущество, поэтому большинство предприятий планируют получить различные сертификаты ISO, чтобы подчеркнуть свою приверженность благоразумным предсказуемым операциям, основанным на стандартах. Компании обычно сначала получают сертификат управления качеством (обеспечения качества) ISO 9001, но для ведущих компаний отрасли обязательным также является надежная работа сектора информационных технологий. Для защиты коммерческой информации и пользовательских данных нужно обеспечить непрерывную работу.





РЕШЕНИЕ: Внедрение системы управления безопасностью Решением может быть внедрение контролируемой и основанной на стандартах системы управления информационной безопасностью (ISMS), которая учитывает все специфические детали. Основой системы ISMS является стандарт ISO 27001, определяющий требования. Положения стандарта должны быть применимы к организациям, которые хотят внедрить систему управления информационной безопасностью независимо от их размера. Для этой цели очень важно объединить нормы информационной безопасности с внутренними нормами и политикой организации.

Нужно не только внедрить стандарт ISO 27001 в политику компаний, но и задокументировать процесс внедрения.

Целью документирования является уточнение связи между нормами, процедурами оценки и обработки рисков.

Внедрение системы управления информационной безопасностью, основанной на стандарте ISO 27001, требует от организации солидных ресурсов, но при правильном внедрении это приносит значительную коммерческую выгоду. Квалификация «Сертификат стандарта ISO 27001» повышает доверие клиентов и партнеров, а также способствует обмену электронными данными и информацией и повышает его надежность. Однако строгую систему с соблюдением норм соответствия можно внедрить только строго с привлечением руководства для поддержки усилий по обеспечению безопасности — как в финансовом, так и в моральном плане. Руководство также должно дать понять, что внедрение протокола системы безопасности не является исключительной ответственностью отдела информационных технологий: все сотрудники должны быть вовлечены в процесс и быть бдительными.

–  –  –

Таблица 1: Изменение в цифрах по сравнению с предыдущим стандартом Данная таблица может быть не совсем полной, так как в ней указано только несколько замеченных изменений. Тем не менее многие пункты стандарта были реорганизованы, некоторые органы управления перенесены в другие зоны безопасности, объединены или переформулированы.

Согласованность с другими стандартами ISO Наиболее значительное формальное изменение отредактированного стандарта управления безопасностью ISO 27001 призвано обеспечить структурную совместимость с другими системами управления, основанными на требованиях стандартов ISO/IEC (SO 9001, ISO 14001, OHSAS 18001), а также с другими компонентами данной категории стандартов. Для этого названия подразделов, тексты некоторых разделов, а также термины и основные определения были приведены в соответствие с другими стандартами. По сравнению с более ранними изданиями технические термины и их определения были удалены из данного стандарта и будут включены только в стандарт ISO/IEC 27000.

Вместо метода PDCA:

Кто несет риск?

Непрерывное улучшение На первый взгляд может показаться удивительным то, что Определение управления рисками также изменилось в новом метод PDCA, который ранее считался основой стандарта, был стандарте по сравнению с предыдущей версией. В прежней удален из отредактированной версии. Аббревиатура PDCA версии при процедуре управления рисками сначала нужно расшифровывается как Plan, Do, Check and Act («планирование, было определить активы, затем угрозы, точки уязвимости действие, проверка, корректировка») и означает, что не и воздействия, которым могли быть подвержены активы, достаточно просто создать процесс управления безопасностью, и, в конце концов, нужно было выбрать меры управления нужна регулярная проверка, оценка результатов и, впоследствии, рисками из перечисленных в стандарте. В новом стандарте дальнейшее улучшение. больше внимания уделяется оценке рисков, что обеспечивает более современный и гибкий подход. По новому стандарту То, что требование PDCA было удалено из стандарта, не за владельцем или центральным компьютером закреплено означает, что улучшения больше не нужны: данное требование больше рисков, чем активов. На владельце рисков лежит было сформулировано в главе 10 нового стандарта в виде задача и ответственность принять план управления рисками и требования постоянного улучшения системы управления остаточные риски.

безопасностью. Постоянное улучшение и отслеживание могут быть внедрены не только с методом PDCA, но и с другими, Новый стандарт также предоставляет больше свободы поэтому пересмотренное требование предоставляет больше при выборе методов оценки рисков. Теперь разрешена свободы пользователям стандарта. Вводная глава стандарта любая процедура, соответствующая принципам стандарта.

подчеркивает, что порядок, в котором требования перечислены, Уменьшение, принятие, избежание или разделение рисков не соответствует их приоритету в плане важности или срочности также является одним из вариантов в деле управления внедрения стандарта. рисками. Органы управления, применимые для управления рисками, необязательно нужно выбирать из указанных в нормах стандарта; они скорее определяются в процессе управления Организация и ее контекст рисками.

–  –  –

Общие задачи Требования к внедрению стандартов При внедрении системы управления информационной безопасностью должны соблюдаться все нормы, связанные с документацией, и регуляторные правила, а также должна быть создана указанная система управления. Поддержка исполнительного руководства является не просто требованием стандарта; на самом деле успешное внедрение невозможно без вовлеченности и поддержки исполнительного руководства. Помимо общих правил политики безопасности должны быть созданы особые требования и определения в отношении операций в сфере информационных технологий и методов управления, и компании должны также организовать процесс постоянного обновления политики и обеспечить, чтобы каждый сотрудник, участвующий в процессе, изучил и принял соответствующие требования.

При создании или изменении организации каждый сотрудник получит только минимальный набор полномочий, необходимый для его работы. Также при создании процессов информационной безопасности исполнительная и управляющая роли будут распределены (распределение обязанностей). Заинтересованные лица компании обязаны определить, какие данные нужно защитить, и классифицировать эти данные по уровню риска.

При создании системы управления информационной безопасностью на основе стандарта ISO 27001, нужно применять описанный выше подход, основанный на рисках. Выбранная вами методика оценки рисков должна соответствовать целям и требованиям организации и обеспечить сопоставимые и воспроизводимые результаты при последующих оценках рисков. Должен быть определен риск конфиденциальности, целостности и доступности (так называемые принципы CIA) информационных активов компании. Обязанности руководства по контролю должны поддерживаться правильно организованной внутренней системой аудита. Ключевым элементом правильной работы системы управления безопасностью является создание корректирующих и предупредительных методов управления.

–  –  –

Таблица 2: Структура приложения A стандарта ISO 27001:2013 «Исходные задачи управления и методы управления»

Методы управления, организуемые в ходе внедрения системы, определяют методы создания системы управления информационной безопасностью, классификации информации, управления внутренними членами и внешними партнерами и обеспечения безопасности и физической защиты активов.

Данные составляющие системы управления безопасностью легко внедрить, так как они реальны и видны:

нужно определить политику, которой организация будет придерживаться при выполнении своих операций; архитектура физической безопасности должна быть создана с соблюдением требований, также должны быть установлены антивирусная система и система защиты от вторжений.

ЧЕМ МОЖЕТ ПОМОЧЬ КОМПАНИЯ BALABIT?

Для большинства требований имеются проверенные решения, к примеру, может быть создана система физической безопасности и настроены резервные системы. Однако для некоторых требований еще нет готовых решений, так как они требуют вовлечения большого количества людей или вообще не поддаются управлению. Самый большой риск при внедрении стандарта заключается в человеческом факторе, иначе говоря, в контроле работы привилегированных пользователей и системных администраторов.

Как можно контролировать активность пользователей с универсальными правами?

Как можно отслеживать активность администраторов сторонних систем?

Как можно контролировать операции с файлами, которые выполняются по протоколам со взломостойким шифрованием (SSH, VPN, SSL/TLS и др.)?

Как можно получить данные для аудита и как можно выявить и предотвратить незаконную активность?

Как можно доказать случаи потенциального мошенничества или неправомерного использования информации, как можно собрать и безопасно сохранить достоверные свидетельства?

Как можно наиболее быстро выяснить причину инцидента после того, как он произошел, и как возобновить нормальный режим работы?

Некоторые требования к ведению журналов, отслеживанию и контролю стандарта ISO 27001 можно выполнить только при помощи специальных информационно-технических устройств, и в этом случае могут помочь решения по обеспечению безопасности компании BalaBit.

Надежная регистрация событий

–  –  –

Требования стандарта ISO 27000, а именно сложная для выполнения задача управления A.12, направлена на регулирование управления операциями. Требование A.12.4.1 устанавливает порядок ведения журнала, который включает активность пользователей, сбои в обслуживании, выявление ошибок, регистрацию случаев нарушения информационной безопасности, а также хранение и регулярный анализ данных.

–  –  –

Раздел A.12.4.3 стандарта является головной болью для менеджеров информационных технологий: в нем требуется ведение журнала активности системного администратора и оператора, а также защита записанной информации для предотвращения изменения или удаления зарегистрированных данных. Активность системных администраторов регистрируется в системном журнале, но администраторы имеют доступ к данным файлам, что делает их уязвимыми к изменению или удалению. Данную проблему можно решить путем сбора и хранения файлов журнала, использующих взломостойкое шифрование, со специальными инструментами, например системой syslog-ng. Система syslog-ng поддерживает широкий диапазон платформ и операционных систем, а также позволяет безопасно передавать и хранить зашифрованные сообщения журнала. В целях соблюдения правил система сохраняет сообщения журнала в подписанных, зашифрованных файлах с временными метками.

Отслеживание активности администраторов

–  –  –

В разделе A.12.4.3 стандарта устанавливается порядок ведения журнала активности системных администраторов и операторов, а в разделе А.15.2.1 говорится, что активность поставщиков услуг должна отслеживаться и регулярно контролироваться. Ранее, когда применялась система администрирования с удаленным управлением, выполнять регулярный контроль было очень сложно, а порой даже невозможно; в большинстве случаев весь контроль сводился к одному аудиту в год. Но даже тогда аудиторы не могли контролировать текущую активность и в лучшем случае могли убедиться, что определенный вид активности регулярно имеет место.

В лучшем случае активность локального администратора и оператора регистрируется, но отслеживание постфактум не слишком помогает, если происходит ошибка или подготовленный несанкционированный доступ. Таким образом, требуется отслеживание и контроль таких видов активности в режиме реального времени.

Данную задачу невозможно выполнить с помощью стандартных системных инструментов; необходимо устройство контроля и отслеживания, способное выполнять такую задачу. В таком случае на помощь приходит BalaBit Shell Control Box. Данное устройство проверяет, контролирует и предоставляет возможность удаленного управления доступом даже для отдельных случаев.

Устройство Shell Control Box может отслеживать активность привилегированных пользователей, предотвращая доступ со злоумышленными намерениями и создавая отчеты об аудите таких действий.

Анализ поведения пользователя Blindspotter Blindspotter является решением анализа поведения пользователя, которое исследует и обрабатывает поведение пользователя информационных технологий для выявления человеческих факторов риска. BlindSpotter объединяет информацию, полученную из файлов журнала и отчетов о событиях, с другой контекстуальной информацией. Затем информация обрабатывается с помощью уникальных алгоритмов, и предлагается широкий диапазон вариантов вмешательства, начиная от предупреждений до автоматического разрыва соединения. BlindSpotter отлично подходит для отражения APT-атак или выявления внутренних взломщиков.

Данный продукт собирает данные непосредственно из приложений, а также из существующих источников журнала и создает уникальный цифровой след пользователя. Для этого Blindspotter использует такие данные, как дата и место входа в систему, используемые системы и команды, запущенные пользователем. После этого программное обеспечение создает след конкретного пользователя и при обнаружении каких-либо отклонений в активности пользователя может сообщить об этом уполномоченной стороне. Данный метод подобен тем, что используются в финансовых учреждениях для выявления мошеннических операций. Если вы совершаете покупки при помощи своей банковской карты в Будапеште утром, в Нью-Йорке днем, а в Бангкоке вечером, то вам может позвонить представитель банка для проверки законности данных транзакций. Этот метод помогает определить, не была ли ваша карта украдена, и не нужно ли ее заблокировать.

Blindspotter работает аналогичным образом. Если пользователь с высоким риском (например, старший менеджер или системный администратор) входит в систему из необычного места или пытается получить доступ к нетипичной для себя системе (например, системный администратор пытается загрузить данные о продажах), программное обеспечение посылает пользователю уведомление для его идентификации. Если пользователь не знает о такой деятельности, тогда можно предположить, что его учетная запись используется незаконно, например подверглась APT-атаке. В то же время отдел безопасности получает уведомление о необходимости предпринять определенные меры.

Подход компании BalaBit к обеспечению безопасности ориентирован скорее на отслеживание, чем на ограничение активности пользователей вплоть до нажатия клавиши. Ориентированность на исключительные, представляющие риск события в поведении пользователей, позволяет выявить и предотвратить случаи нарушения информационной безопасности, позволяя компании вести более дружественную по отношению к пользователю политику безопасности. Blindspotter разработан, чтобы помочь отделам информационной безопасности повысить безопасность корпоративных систем, не снижая коммерческую эффективность путем постоянного отслеживания активности пользователей в режиме реального времени.

–  –  –

Кроме этих преимуществ, внедрение и Shell Control Box, и Blindspotter обеспечивает исключительно высокий уровень соответствия требованиям к отслеживанию стандарта ISO 27001:2013.

ПОСЛЕ ВНЕДРЕНИЯ СИСТЕМЫ

После того как организация успешно создала совместимую системы правил и методов управления и обеспечила ее правильную работу, систему управления информационной безопасностью, основанную на стандарте ISO 27001, нужно регулярно проверять. Внутренние аудиты проводятся на регулярной запланированной основе и позволяют определить, соответствуют ли меры и процессы, выполняемые организацией, требованиям стандарта, соответствующим нормам и внутренним методам управления.

Для получения квалификации «Стандарт ISO 27001» уполномоченный сертификационный орган должен провести соответствующий аудит, и такой аудит должен повторяться ежегодно.

Внедрение и контроль выполнения стандарта ISO 27001 с его перечнем из 114 требований часто вызывает различные проблемы. Применение установленных методов может помочь избежать распространенных ошибок. Некоторые пункты, например определение требований и процессов или создание системы физической безопасности легко понять. Реальные проблемы возникают при управлении системой, ведении журнала, доступе и управлении контролем активности сторонних сервисов и подлинным сбором доказательств аудита.

В ходе многочисленных аудитов мы обнаружили, что персонал отдела информационных технологий одной организации думал, что успешно выполнил все требования по управлению, запустив определенное приложение, хотя он даже не имел представления о его полном функционале. Система управления соответствует стандартам и требованиям только в том случае, если она настроена в соответствии с требованиями. Например, недостаточно просто посмотреть на стандартные списки, выдаваемые системами ведения журнала один раз в неделю; несоответствия нужно анализировать ежедневно и для раннего выявления проблем нужно определить соответствующие сигналы, будь то для операционных ошибок или уязвимостей системы безопасности.

Распространенным заблуждением также является тот факт, что специалисты по безопасности могут сидеть сложа руки после запуска в организации системы или приложения безопасности. Высокий уровень безопасности можно поддерживать только путем постоянного контроля и соблюдения методов и процессов.

После внедрения системы ISO 27001 или отслеживающих инструментов финансовые менеджеры часто обращаются к начальнику отдела информационных технологий с вопросом о сэкономленных средствах. В таком случае проект и его ожидаемые результаты, скорее всего, не были объявлены перед запуском проекта.

10 ЛУЧШИХ

И ХУДШИХ МЕТОДИК

Ниже мы приведем некоторые положительные и отрицательные примеры, собранные из опыта внедрения систем контроля и управления безопасностью.

Это 10 худших методик, с целью ограничения доступа 01 Мы доверяем нашим администраторам, они честные люди!

Даже если это и так, нельзя пренебрегать контролем. Более того, отслеживание внешних партнеров с правом удаленного доступа является требованием стандартов ISO.

02 Мы не можем предотвратить утечку данных. Системные администраторы имеют доступ ко всему, независимо от того, что мы делаем.

Возможно, раньше так и было, но с использованием надлежащих инструментов всю необходимую информацию об активности системного администратора можно зарегистрировать. Дополнительным методом управления может быть распределение обязанностей.

03 При внедрении инструментов анализа журнала не требуется поддержка, так как они имеют простой в использовании интерфейс.

Мы не рекомендуем такой подход, так как системы контроля и отслеживания с тонкими настройками требуют технического опыта и знаний.

04 Поставщик моих систем безопасности рассказал, какая информация необходима, а он больше разбирается в таких вещах.

Это не так. Участие внутренних специалистов и привлечение юридического отдела является обязательным.

05 У нас мало сотрудников, и каждый имеет доступ ко всему, на всякий случай.

Это очень опасный подход. Функции управления необходимы даже в том случае, если не ожидаются никакие нарушения, но системы должны быть также защищены от ошибок, связанных с человеческим фактором.

06 Мы используем одинаковые пароли, потому что занимаемся одним делом.

При использовании общих паролей администратора или коллективных идентификаторов пользователя невозможно определить конкретного нарушителя безопасности.

07 Мы не устанавливаем сложные нормы и правила; их все равно невозможно придерживаться.

Действительно, возможно, нормы и правила не всегда понятны и прозрачны для каждого. Нам нужно разделить высокоуровневые нормы, которые определяют принципы, и подробные правила, которые нужно установить отдельно для каждой сферы.

08 К проекту внедрения стандарта ISO 27001 был привлечен только персонал отдела информационных технологий, потому что только они разбираются в этом вопросе.

Нужно подчеркнуть, что безопасность информационной системы не является исключительно проектом отдела информационных технологий; это не работает без привлечения заинтересованных лиц компании, активного участия исполнительного руководства и общей осведомленности всего персонала.

09 Мы получили сертификат ISO 27001 и теперь можем не беспокоиться об информационной безопасности в течение года.

Это не так. Поддержание состояния соответствия и защиты требует непрерывных усилий и бдительности.

10 Наши соглашения о поддержке содержат все законные требования, и не требуются дополнительные методы управления для обеспечения внешней защиты системы — полную ответственность несет компания, обеспечивающая поддержку.

Это нездоровый подход, так как контроль необходим всегда; и, хотя задачи может выполнять сторонний исполнитель, ответственность несет заказчик.

10 лучших методик 01 Выявление и оценка рисков безопасности.

Оценка уровня рисков организации и управление существующими рисками, а также принятие и понимание остаточных рисков являются необходимыми условиями правильного управления задачами обеспечения безопасности.

02 Интеграция решений безопасности в процесс управления проектами.

На этапе внедрения проектов безопасность изначально должна рассматриваться как приоритет.

03 Безопасность приложений должна быть внедрена на этапе разработки, а не при устранении уязвимостей, обнаруженных позже.

Вместо обычных тестов уязвимости, проводимых после инцидента, следует соблюдать технику безопасного кодирования при разработке и написании кода приложения.

04 Отслеживание активности системных администраторов и внешних исполнителей.

Активность привилегированных пользователей должна отслеживаться с помощью инструментов, которые могут предотвратить неправомерное использование данных и запустить последующее восстановление всех видов активности.

05 Определение сферы охвата системы управления информационной безопасностью (ISMS) — точное определение вовлеченного персонала и средств.

В соответствии с новым стандартом должны быть определены условия внутренней безопасности и влияние внешних факторов (партнеров, деловых связей, норм государственного регулирования и др.).

06 Создание и регулярная проверка устойчивости бизнеса и планов по восстановлению.

Для обеспечения устойчивости бизнеса должны быть предоставлены соответствующие инструменты резервного копирования.

07 Внедрение центральной системы отслеживания (управление журналом).

Диапазон зарегистрированных событий должен соответствовать целям в сфере безопасности компании, а управление данными журнала должно обеспечить возможность последующего восстановления событий.

08 Регулярный контроль и автоматический анализ журнала; уведомления о критических событиях.

Автоматический анализ данных журнала обеспечивает обнаружение проблем на ранних стадиях и позволяет избежать дальнейшего ущерба.

09 Определение функциональных ролей и несоответствий.

(распределение обязанностей). Концентрация большого количества привилегий в одних руках может увеличить риск неправомерного использования данных или серьезных ошибок. Нужно установить методы контроля.

10 Анализ рисков утечки данных (потеря, кража данных).

Внедрение строгого контроля активности системных администраторов.

Резюме Внедрение системы управления информационной безопасностью, основанной на стандарте ISO 27001, требует от организации солидных ресурсов на этапе внедрения, но при правильном внедрении это приносит значительную коммерческую выгоду.

Квалификация «Сертификат стандарта ISO 27001» повышает доверие клиентов и партнеров, а также способствует обмену электронными данными и информацией и повышает его надежность.

Организация также получает некоторые другие преимущества, в том числе оценку всей информационной структуры, включая информационные инструменты, устройства, кабельную прокладку, средства передачи данных, противопожарную защиту, кондиционеры и прочее.

В целом менеджеры, планирующие внедрить стандарт ISO 27001 и поддержать его с помощью технологий компании BalaBit, получают следующую коммерческую выгоду:

Риск оценен и минимизирован (контроль доступа, распределение ролей).

Существующие процессы и методы управления пересматриваются и улучшаются; создаются недостающие.

Элементы затрат на информационные технологии сокращаются, например при внедрении автоматизированной системы ведения журнала (syslog-ng) анализ файлов журнала становится быстрее и требует меньше времени.

Функции надзора могут быть автоматизированы (Shell Control Box, принцип двойного контроля).

Риск потери или кражи данных существенно снижается, так как внедренные устройства контроля выступают одновременно как техническое и психологическое средство защиты от неправомерного доступа.

Стоимость и время, затрачиваемое на аудит, снижается, так как вся необходимая информация регистрируется системами, и ее легко можно получить из системы ведения журнала. Кроме того, применение Shell Control Box предоставляет готовую к использованию информацию для аудита, так как полностью документируется система и активность администратора базы данных.

Выявление причин инцидентов становится быстрее, сокращаются периоды незапланированных перерывов в работе. С использованием средств Shell Control Box и/или Blindspotter отслеживание уровней услуг поставщиков становится проще, а в случае инцидента доступно больше информации.

Blindspotter позволяет обеспечить соответствие, дружественное для коммерческого процесса, так как непрерывное отслеживание активности пользователей позволяет уменьшить количество методов управления, снижающих эффективность бизнеса.

Приложение Некоторые из требований стандарта ISO 27002 и методов соответствия, обеспечиваемых продуктами компании BalaBit Требование Метод соответствия Доступ пользователя ограничен только теми сетями и сетевыми услугами, на которые ему были выданы права.

Доступ к сетям и Shell Control Box позволяет установить эти правила и проследить за их выполнением, а также задокументировать A.9.1.2 сетевым услугам события удаленного доступа. С продуктом Blindspotter доступ и события, соответствующие правилам, обрабатываются в нормальном режиме, но отклонение от обычной активности немедленно регистрируется.

–  –  –

Использование Использование служебных программ, позволяющих обходить систему и управлять приложениями, должно A.9.4.4 привилегированных ограничиваться и отслеживаться. Shell Control Box позволяет также контролировать использование таких служебных программ программ.

–  –  –

авторе Ласло Деллей является экспертом, имеющим сертификаты C|CISO, CISA, CGEIT, CRISC, ITIL-F и ISO27001 LA, а также аудитором в сфере информационных технологий, специалистом по безопасности и экспертным свидетелем.

В данное время Ласло является руководящим партнером и консультантом по информационной безопасности в венгерской компании, занимающей информационной безопасностью. Кроме того, в качестве подрядного менеджера по ИТ-безопасности он отвечает за приоритетные операции в международной страховой компании. Также Ласло является зарегистрированным активным экспертом по безопасности в Еврокомиссии.

За последние несколько лет он привлекался в сферах ИТ-безопасности, ИТ-управления и ИТ-аудита для выполнения нескольких задач для общественных организаций и частных предприятий. Ласло выступает менеджером и техническим координатором различных консультационных проектов по безопасности. Кроме того, он почти три года подряд принимал участие в программах по оценке информационной безопасности в различных сферах под управлением агентств Еврокомиссии.

Ласло также является автором многих статей и презентаций по ИТ-безопасности.

Он сконцентрирован на разработке новых способов и техник, связанных с различными уникальными решениями по безопасности (например, служба разведки ИТ-безопасности).

ПОДРОБНЕЕ Домашняя страница Syslog-ng: http://www.balabit.com/network-security/syslog-ng Домашняя страница Shell Control Box: http://www.balabit.com/network-security/scb



Похожие работы:

«Семинар 3 Законодательство  о страховом надзоре 2015 г. Сюжет 1  ОРГАНИЗАЦИЯ  СТРАХОВОЙ ОТРАСЛИ Участники страхового рынка www.insuranceinstitute.ru 1. Организация страховой отрасли в России  Статья 4.1...»

«РОССИЙСКАЯ АКАДЕМИЯ НАУК Институт лингвистических исследований RUSSIAN ACADEMY OF SCIENCES Institute for Linguistic Studies ACTA LINGUISTICA PETROPOLITANA TRANSACTIONS OF THE INSTITUTE FOR LINGUISTIC STUDIES...»

«http://www.mann-ivanov-ferber.ru/books/mif/oower_listening/ Эту книгу хорошо дополняют: Я слышу вас насквозь. Эффективная техника переговоров! Марк Гоулстон Искусство говорить и слушать Мортимер Адлер http://www.mann-ivanov-ferber.ru/books/mif/oower_listening/ Bernard T. Ferrari P...»

«СОЦИОЛОГИЯ СЕМЬИ Т.Ю. Шманкевич "ЗАТМЕНИЕ СЕМЬИ": ДИСКУССИЯ ВО ФРАНЦУЗСКОЙ СОЦИОЛОГИИ Данный текст представляет собой аналитическую рецензию на статью французского исследователя Франсуа де Сенгли "Семья и школа". Обращаясь к дискуссии во французской и российской социологии вокруг рассматриваемых институтов,...»

«"УТВЕРЖДАЮ" Вр.и.о. Генерального директора ОАО "ТГК-14" _ Кулаков А.С. "" 2013 г. Протокол заседания закупочной комиссии ОАО "ТГК-14" на поставку манометров и термометров для нужд филиалов ОАО "ТГК-14...»

«ПРИЛОЖЕНИЕ №8 к приказу Генерального директора от "31" декабря 2008г. № 300 УТВЕРЖДЕНО приказом Генерального директора от "31" декабря 2008г. № 300 Д О Г О В О Р № страхования аннуитетов (пенсий) г. Москва 20г. ООО "СК "Альянс...»

«Письмо РОСПРИРОДНАДЗОРА от 11.04.2016 №АС-06-01-30/6155 О плате за негативное воздействие на окружающую среду сообщает следующее. Федеральная служба по надзору в сфере природопользования в целях урегулирования вопросов, возн...»

«Автоматизированная копия 586_140444 ВЫСШИЙ АРБИТРАЖНЫЙ СУД РОССИЙСКОЙ ФЕДЕРАЦИИ ПОСТАНОВЛЕНИЕ Президиума Высшего Арбитражного Суда Российской Федерации № 8163/09 Москва 16 марта 2010 г. Президиум Высшего Арбитра...»








 
2017 www.lib.knigi-x.ru - «Бесплатная электронная библиотека - электронные матриалы»

Материалы этого сайта размещены для ознакомления, все права принадлежат их авторам.
Если Вы не согласны с тем, что Ваш материал размещён на этом сайте, пожалуйста, напишите нам, мы в течении 1-2 рабочих дней удалим его.