Как внедрить эффективную систему
управления информационной
безопасностью предприятия
Пошаговая методика
Павел Мельников, Pointlane
Конференция «Информационные технологии в
управлении - прогнозируемые риски и возможности»
О чем будем говорить
• Зачем нужно обеспечивать ИБ
• Основные угрозы и риски современного
предприятия
• Как внедрить систему управления информационной
безопасностью
• Измерение эффективности
www.pointlane.ru
2
Обо мне
• 16 лет в информационной безопасности
• Более 7 лет в банках (Альфа-банк, Societe Generale,
HSBC, JP Morgan)
• Создал службу ИБ «с нуля» в российском HSBC
• Директор по развитию Pointlane
• CISSP, CISA
www.pointlane.ru
3
Термин информационная безопасность
• Различные определения
• «Безопасность – это процесс»
• Безопасность информации - деятельность,
направленная на предотвращение или
существенное затруднение несанкционированного
доступа к информации (или воздействия на
информацию)
• ИБ – технологическое обеспечение целостности,
конфиденциальности и доступности
www.pointlane.ru
4
Термин информационная безопасность
• Информационная безопасность - состояние
защищенности интересов стейкхолдеров
предприятия в информационной сфере,
определяющихся совокупностью
сбалансированных интересов личности, общества,
государства и бизнеса (Алексей Лукацкий)
• Применим к любой организации
www.pointlane.ru
5
Стейкхолдеры – заинтересованные
стороны
Внутренние
Внешние
Регуляторы
• Руководство
• Учредители
• ФСТЭК
• Юристы
• Акционеры
• ФСБ
• Внутренний
• Клиенты
• РКН
контроль
• ИБ
• ИТ
• Пользователи
www.pointlane.ru
• Партнеры
• Аудиторы
• Государство
6
Интересы стейкхолдеров
Акционеры
Больше прибыли
ИТ
Меньше перебоев
www.pointlane.ru
Пользователи
Комфортнее работать
ИБ
Больше контроля
Регуляторы
Больше штрафов
Юристы
Меньше штрафов
7
Информационная сфера
• Информационная сфера представляет собой
совокупность информации, информационной
инфраструктуры, субъектов, осуществляющих
сбор, формирование, распространение и
использование информации, а также системы
регулирования возникающих при этом
общественных отношений
Доктрина информационной безопасности Российской Федерации
www.pointlane.ru
8
Зачем ИБ руководителю
• Проверки регуляторов:
• Снижение возможных штрафов
• Снижение ответственности
• Доступность и достоверность информации при принятии решений
• Снижение репутационных рисков
• Удар по имиджу
• Увольнение высоко квалифицированных кадров
• Бесперебойность работы ключевых систем
• Предотвращение краж
• Предотвращение утечек конфиденциальной информации
www.pointlane.ru
9
Угрозы ИБ. Упрощенная модель
• Упрощенная модель для руководителя
www.pointlane.ru
10
Угрозы ИБ. Взгляд специалиста
• Модели угроз
• ГОСТ Р 51901.1-2002 «Менеджмент риска. Анализ риска
технологических систем»
• ГОСТ Р 13335-3-2007 «Методы менеджмента
безопасности информационных технологий»
• Базовая модель ФСТЭК
• Отраслевые модели
• Отраслевая частная модель угроз безопасности ПДн при
их обработке в ИСПД организаций банковской системы
Российской Федерации" (РС БР ИББС-2.4-2010)
www.pointlane.ru
11
Специфика актуальных угроз ИБ
• Для государственных органов/компаний
• Не соответствие требованиям законодательства
• Отсутствие сертификатов, аттестатов и лицензий
• Для бизнеса
• Утечка конфиденциальной информации
• Ущерб репутации -> отток клиентов
www.pointlane.ru
12
Оценка рисков
• Западные методики (NIST SP800-3, OCTAVE,
Microsoft, Cisco)
• ГОСТ Р 51901.1-2002 «Менеджмент риска. Анализ
риска технологических систем»
• РС БР ИББС-2.2-2009 «Обеспечение
информационной безопасности организаций
банковской системы Российской Федерации.
Методика оценки рисков нарушения
информационной безопасности»
www.pointlane.ru
13
Проблемы при оценке рисков
• Как определить вероятность угрозы
• Экспертный метод
• На основании статистики
• Как определить возможный ущерб
• Для нематериальных активов
• Какой подход выбрать
• Качественный
• Количественный
• Утвердить выбранный подход в качестве политики или
регламента
www.pointlane.ru
14
Комитет по рискам ИБ
• Основная цель: создать инструмент
периодического коллегиального обсуждения ИБ
• Заручиться поддержкой
• Описать регламент его работы
• Согласовать и внедрить
• Дальше будет уже проще
• Ежемесячное обсуждение и приоритезация задач
• Выработка решений
www.pointlane.ru
15
Комитет по рискам ИБ
• Кого включить в комитет
Представители ключевых бизнес-подразделений
Юристы
Финансисты
Отдел кадров
Внутренний контроль (аудит) / СБ
IT
• Что обсуждать
•
•
•
•
•
•
• Отчеты по метрикам
• Текущие задачи
• Вносить инициативы/проекты/новые угрозы
www.pointlane.ru
16
ИБ: Что должен делать руководитель
• Поставить цели по обеспечению ИБ для всего предприятия
• Обеспечить поддержку для службы ИБ и соответствующий
приоритет задач, связанных с ИБ для всех структурных
подразделений
• Обеспечить финансирование деятельности службы ИБ
• Установить ответственность за невыполнение требований
ИБ
• Учредить комитет по ИБ или рискам ИБ
• Определить отчетность службы ИБ
• Контролировать деятельность службы ИБ
• Реализовывать ответственность тех, кто нарушил
требования ИБ
www.pointlane.ru
17
Руководитель службы ИБ
• Определить стратегию и политику ИБ
• Произвести инвентаризацию и категоризацию
информационных активов в соответствии с выбранной
методикой
• Разработать план мероприятий по защите выявленных
критичных активов
• Реализовать защитные меры
• Обучать персонал
• Оценить эффективность внедренных защитных мер
• Проводить аудит
• Постоянно улучшать созданную СУИБ
www.pointlane.ru
18
Метрики и отчетность
• Что не измеряется, то нельзя улучшить
• Не надо бояться «быть прозрачным»
• Основная цель: строгое постоянство и
периодичность
• Максимальный эффект: выбрать 5-7 KPI и сделать
по ним постоянную отчетность
www.pointlane.ru
19
Как сделать переворот в сознании
• Регуляторные требования
• Негативный или позитивный опыт других игроков
рынка
• Исследования рынка
• IDC, Gartner, PWC, E&Y, GroupIB
• Громкие утечки и годовые отчеты по ним
• RSA, Verizon
• Делаем ИБ для клиентов бизнеса
www.pointlane.ru
20
Как сделать переворот в сознании
• На примере банка
• Руководство очень внимательно относится к
конфиденциальности информации о размере своей
компенсации
• Сотрудники начинают по другому смотреть на
многие вещи, если они преподносятся через
концепцию «моя информация» и «мои деньги», а не
компании.
www.pointlane.ru
21
Стратегия роста
• Нацеленность на задачи бизнеса
• Поднятие престижа подразделения в глазах бизнеса
• Максимальная прозрачность
• Выход за рамки организации
• Повышение осведомленности клиентов
• Проверка обработки ваших данных у контрагентов
www.pointlane.ru
22
Стратегия роста
• Поэтапный рост:
• Начальный этап: «заворачивание» важных
процессов на себя
• В среднесрочной перспективе: постепенный отказ
от участия в процессах
• В долгосрочной: переход на стандартизацию и
контроль выполнения стандартов
www.pointlane.ru
23
Быстрые победы
• Пилотная DLP & Content filtering
• Достаточно для увольняющихся
• Mobile office
• Пилотный pentest
• Либо для демонстрации текущего уровня защищенности
• Либо в цикле:
• Внедрение быстрых контролей и процедур
• Повторный pentest
• Программа повышения осведомленности
www.pointlane.ru
24
Долгосрочные цели
• Регуляторный compliance
• SLA с бизнесом
• Централизованное управление инфраструктурой и
инцидентами (IAM, SIEM)
• Управление изменениями
• Безопасная разработка приложений
• Контроль привилегированных пользователей
• Облака
• Мобильность
• Автоматический контроль соответствия с внутренними
стандартами
www.pointlane.ru
25
Основные ошибки «молодых» CISO
• Частые переходы из одной компании в другую
• Прирост ЗП (рынок перегрет?)
• Функция ИБ не успевает пройти больше одного
цикла
• Оптимальный срок – 3-5 лет
• Переходы из отрасли в отрасль
• Необходимо сохранять экспертность в одной
отрасли
www.pointlane.ru
26
Видение своего пути
• Необходимо четко понимать куда вы движетесь:
• Как специалист
• Как руководитель
• Иметь план на 1, 3 и 5 лет
• С запасом на новые непредвиденные угрозы и
изменения в законодательстве
www.pointlane.ru
27
Постоянное развитие
• Постоянно поднимать свой уровень
• Обучение, сертификация
• Профсообщества
• Участие в разработке документов регуляторов
www.pointlane.ru
28
В заключении
• Общие проблемы есть у всех
• Давайте двигать отрасль вместе
• Networking
• Можно начать прямо сейчас
• Главное - начать
www.pointlane.ru
29
Спасибо за внимание!
Павел Мельников
Москва, ул. Ильинка, д 4
Тел +7 (495) 233-65-08
[email protected]
www.pointlane.ru
30