1 / 28

Технология аудита ИБ в соответствии с ISO 17799 (BS 7799, part 2) Практика применения в России

Технология аудита ИБ в соответствии с ISO 17799 (BS 7799, part 2) Практика применения в России. Сергей Симонов Москва 2002. Корпоративные стандарты (собственная разработка). 43. Формальные критерии оценки функционирования системы ИБ. Замечания аудиторов. 40.

laura-bass
Download Presentation

Технология аудита ИБ в соответствии с ISO 17799 (BS 7799, part 2) Практика применения в России

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Технология аудита ИБ в соответствии с ISO 17799 (BS 7799, part 2)Практика применения в России Сергей Симонов Москва 2002

  2. Корпоративные стандарты (собственная разработка) 43 Формальные критерии оценки функционирования системы ИБ Замечания аудиторов 40 Стандарты лучшей мировой практики (например, BS7799/ISO17799) 29 Число инцидентов в области безопасности 22 Финансовые потери в результате инцидентов 22 Расходы на ИБ 16 Эффективность в достижении поставленных целей 14 Половина организаций не использует формальные критерии оценки качества системы ИБ

  3. Использование ISO 17799 в мире ФС – Финансовый сектор ГИ – Госсектор и инфраструктура ПТ – Промышленность и торговля КС – Коммуникации и сфера услуг 49% организаций, использующих стандарт, провели процедуру независимой сертификации

  4. Концепция ISO 17799(Code of Practice of Information Security Management) • Особенности: • Стандарт представляет собой • набор качественных рекомендаций • Методики аудита разрабатываются • заинтересованными организациями • Рад важных и трудоемких этапов в • стандарте не специфицирован • (анализ бизнес-процессов, анализ • рисков)

  5. Схема аудита в соответствии с BS 7799 (part 2) • Документация должна содержать: • политику безопасности; • границы защищаемой системы; • оценки рисков; • управление рисками; • описание инструментария управления ИБ; • ведомость соответствия — документ, в котором оценивается соответствие требованиям стандартов поставленных целей в • области ИБ и средств управления ИБ.

  6. Политика информационной безопасности Цель: Сформулировать цель и обеспечить поддержку мер в области информационной безопасности со стороны руководства организации • Документ, в котором изложена политика ИБ, должен быть доступен всем сотрудникам, отвечающим за обеспечение режима ИБ. Должны быть рассмотрены следующие вопросы: • ·       определение ИБ; • ·       причины, по которым ИБ имеет большое значение для организации; • ·       цели и показатели ИБ, допускающие возможность измерения.

  7. Области, охватываемые политикой ИБ

  8. Организации защиты Инфраструктура ИБ Цель: Эффективная система управления ИБ в организации • соответствующая структура управления • комплексный подход к проблемам ИБ, совместная работу аудиторов, • пользователей и администраторов для более эффективного решения • проблем Обеспечение безопасности при доступе сторонних пользователей и организаций Цель: Обеспечить безопасность информационных ресурсов организации, к которым имеют доступ посторонние. провести анализ рисков нарушения защиты, чтобы определить требования к средствам контроля

  9. Классификация и управление информационными ресурсами Ответственность за ресурсы Цель: Обеспечить надлежащую защиту ресурсов организации. Все основные информационные ресурсы должны быть учтены и иметь ответственных. Кроме того, следует назначить ответственных за реализацию соответствующих защитных мер. Классификация информации Цель: Обеспечить надлежащий уровень защиты информационных ресурсов

  10. Системауправления персоналом Вопросы безопасности в должностных инструкциях доступу к ресурсам Цели: Уменьшить риск ошибок персонала, краж, мошенничества илинезаконного использования ресурсов. Обучение пользователей Цель: Убедиться в том, что пользователи осведомлены об угрозах нарушения режима ИБ и понимают значение защиты, а также имеют необходимые навыки для нормального функционирования системы безопасности организации. Реагирование на события, таящие угрозу безопасности Цель: Минимизация ущерба от нарушений режима ИБ и недопущение повторений инцидентов.

  11. Физическая защита Защита периметра Цель: Предотвратить несанкционированный доступ к СВТ, сервисам, их повреждение и вмешательство в работу. Защита оборудования Цель: Предотвратить потерю, повреждение и компрометацию ресурсов, а также перебои в работе организации.

  12. Администрирование информационной системы (1) Правила эксплуатации и ответственные за их соблюдение Цель: Обеспечить правильную и надежную работу информационных систем. Проектирование информационных систем и их приемка Цель: Свести риск отказов информационных систем к минимуму Защита от вредоносного программного обеспечения Цель: Обеспечить целостность данных и программ

  13. Администрирование информационной системы (2) Обслуживание систем Цель: Обеспечить целостность и доступностьинформационных сервисов. Сетевое администрирование Цель: Обеспечить защиту информации в сетях Защита носителей информации Цель: Предотвратить повреждение информационных ресурсов и перебои в работе организации. Обмен данными и программным обеспечением Цель: Предотвратить потери, модификацию и несанкционированное использование данных.

  14. Управление доступом (1) Управление доступом к служебной информации Цель: Обеспечить контроль доступа к информации Управление доступом пользователей Цель: Предотвратить несанкционированный доступ к информационной системе. Обязанности пользователей Цель: Предотвратить несанкционированный доступ пользователей. Управление доступом к сети Цель: Предотвратить несанкционированный доступ к сервисам, включенным в сеть.

  15. Управление доступом (2) Управление доступом к компьютерам Цель: Предотвратить несанкционированный доступ к компьютерам. Управление доступом к приложениям Цель: Предотвратить несанкционированный доступ к информации, хранимой в информационных системах. Слежение за доступом к системам и их использованием Цель: Выявить несанкционированные действия пользователей

  16. Учетная запись пользователя и пароль 82% Смарт-карта 19% Жетоны 10% Биометрия 2% Практика управления доступом Контроль и регистрация инцидентов в области ИБ Идентификация пользователей

  17. Разработка и сопровождение информационных систем Требования к подсистеме ИБ Цель: Обеспечить встраивание средств защиты в ИС. Средства обеспечения ИБ в прикладных системах Цель: Предотвратить потерю, модификацию и несанкцио- нированное использование данных в прикладных системах. Защита файлов Цель: Обеспечить информационную безопасность при разработке и поддержке информационных систем. Безопасность в среде разработки и эксплуатационной Цель: Обеспечить информационную безопасность прикладного ПО и данных.

  18. Планирование бесперебойной работы организации Вопросы планирования бесперебойной работы организации Цель: Составить планы предотвращение перебоев в работе организации

  19. Проверка на соответствие формальным требованиям Выполнение требований действующего законодательства Цель: Избежать нарушений договорных обязательств и требований действующего законодательства при поддержании режима ИБ. Проверка режима ИБ на соответствие политике безопасности Цель: Обеспечить соответствие режима ИБ политике и стандартам безопасности организации Меры безопасности при тестировании Цель: Минимизировать вмешательство в процесс тестирования и воздействие тестирования на штатную работу.

  20. Современные зарубежные технологии аудита ИБ в России 1. Технологии аудита представляют интерес для реальных собственников информационных ресурсов 2. Потенциальные заказчики негативно относятся к привлечению сторонних аудиторов (посторонним не доверяют) • Наибольший интерес представляют технологии внутреннего аудита, методические материалы, обучение специалистов • В области методологии наибольший интерес российских • специалистов вызывают технологии анализа рисков, позволяющие • ответить на следующие вопросы: • Как составить полный список угроз ИБ и оценить их параметры ? • Как оценить ценности ресурсов ? • Как оценнить эффективность контрмер ?

  21. Элементы технологий анализа рисков Модель ИС с точки зрения безопасности Оценка ценности информационных ресурсов Оценка рисков и уязвимостей Контрмеры и их эффективность

  22. ПО для внутреннего аудита информационной безопасности ПО базового уровня(ISO 17799) • COBRA • RiskPAC, • BSS ПО для полного анализа рисков • CRAMM • MARION • RISKWATCH • АванГард

  23. Выбирается система критериев для оценки ценности ресурсов различных типов с позиции организации Оценка ценности ресурсов Построение модели с позиции ИБ Выделяются угрозы и уязвимости, присутствующие в данной ИС Оценка угроз и уязвимостей Оценка значений на основе исследования факторов риска с использованием фактографической БД Измерение рисков Оценка потенциального вредоносного воздействия на ресурсы: оборудование, данные, ПО Выбор контрмер Анализ эффективности возможных вариантов контрмер Инструментальные средства для анализа рисков Методы: CRAMM, RiskWatch, Авангард

  24. Опыт применения CRAMM в России Основные потребители – Банковские структуры • Достоинства: • хорошо апробированный метод • удачная система моделирования ИТ • обширная БД для оценки рисков и выбора контрмер • возможность использования как средства аудита • Недостатки: • большой объем отчетов • сравнительно высокая трудоемкость

  25. Российское ПО анализа рисков Недостатки зарубежного ПО с точки зрения Российского потребителя: • Большой объем отчетных материалов (более 1000 страниц) на иностранных языках, выполненных в соответствии с зарубежными стандартами • Применимость методов к отечественным реалиям не очевидна • Нет механизмов «тонкой подстройки» к отечественным требованиям

  26. Заключение • В российских стандартах и РД в области ИБ аспект рисков, их допустимого уровня, ответственность за принятие определенного уровня рисков, не рассматривается. Отсюда существенные различия в методологии аудита (аттестации) информационных систем • Современные зарубежные технологии аудита ИБ представляют • интерес для реальных собственников информационных ресурсов, • однако они негативно относятся к привлечению сторонних аудиторов • Для проведения внутреннего аудита целесообразно использовать специализированное ПО • Использование ПО требует высокой квалификации аналитика, достаточно длительного периода обучения и опыта применения

  27. Мыпредлагаем: Зарубежное и отечественное ПО анализа рисков Консалтинг в области анализа рисков Разработка методик внутреннего аудита ИБ Разработку заказных методик анализа рисков Уникальные технологии анализа рисков

  28. Вопросы Тел.: (095) 737-8866 Факс: (095) 931-9242 Email: security@compulink.ru Http://www.usp-compulink.ru

More Related