Как внедрить эффективную систему управления информационной безопасностью предприятия Пошаговая методика Павел Мельников, Pointlane Конференция «Информационные технологии в управлении - прогнозируемые риски и возможности» О чем будем говорить • Зачем нужно обеспечивать ИБ • Основные угрозы и риски современного предприятия • Как внедрить систему управления информационной безопасностью • Измерение эффективности www.pointlane.ru 2 Обо мне • 16 лет в информационной безопасности • Более 7 лет в банках (Альфа-банк, Societe Generale, HSBC, JP Morgan) • Создал службу ИБ «с нуля» в российском HSBC • Директор по развитию Pointlane • CISSP, CISA www.pointlane.ru 3 Термин информационная безопасность • Различные определения • «Безопасность – это процесс» • Безопасность информации - деятельность, направленная на предотвращение или существенное затруднение несанкционированного доступа к информации (или воздействия на информацию) • ИБ – технологическое обеспечение целостности, конфиденциальности и доступности www.pointlane.ru 4 Термин информационная безопасность • Информационная безопасность - состояние защищенности интересов стейкхолдеров предприятия в информационной сфере, определяющихся совокупностью сбалансированных интересов личности, общества, государства и бизнеса (Алексей Лукацкий) • Применим к любой организации www.pointlane.ru 5 Стейкхолдеры – заинтересованные стороны Внутренние Внешние Регуляторы • Руководство • Учредители • ФСТЭК • Юристы • Акционеры • ФСБ • Внутренний • Клиенты • РКН контроль • ИБ • ИТ • Пользователи www.pointlane.ru • Партнеры • Аудиторы • Государство 6 Интересы стейкхолдеров Акционеры Больше прибыли ИТ Меньше перебоев www.pointlane.ru Пользователи Комфортнее работать ИБ Больше контроля Регуляторы Больше штрафов Юристы Меньше штрафов 7 Информационная сфера • Информационная сфера представляет собой совокупность информации, информационной инфраструктуры, субъектов, осуществляющих сбор, формирование, распространение и использование информации, а также системы регулирования возникающих при этом общественных отношений Доктрина информационной безопасности Российской Федерации www.pointlane.ru 8 Зачем ИБ руководителю • Проверки регуляторов: • Снижение возможных штрафов • Снижение ответственности • Доступность и достоверность информации при принятии решений • Снижение репутационных рисков • Удар по имиджу • Увольнение высоко квалифицированных кадров • Бесперебойность работы ключевых систем • Предотвращение краж • Предотвращение утечек конфиденциальной информации www.pointlane.ru 9 Угрозы ИБ. Упрощенная модель • Упрощенная модель для руководителя www.pointlane.ru 10 Угрозы ИБ. Взгляд специалиста • Модели угроз • ГОСТ Р 51901.1-2002 «Менеджмент риска. Анализ риска технологических систем» • ГОСТ Р 13335-3-2007 «Методы менеджмента безопасности информационных технологий» • Базовая модель ФСТЭК • Отраслевые модели • Отраслевая частная модель угроз безопасности ПДн при их обработке в ИСПД организаций банковской системы Российской Федерации" (РС БР ИББС-2.4-2010) www.pointlane.ru 11 Специфика актуальных угроз ИБ • Для государственных органов/компаний • Не соответствие требованиям законодательства • Отсутствие сертификатов, аттестатов и лицензий • Для бизнеса • Утечка конфиденциальной информации • Ущерб репутации -> отток клиентов www.pointlane.ru 12 Оценка рисков • Западные методики (NIST SP800-3, OCTAVE, Microsoft, Cisco) • ГОСТ Р 51901.1-2002 «Менеджмент риска. Анализ риска технологических систем» • РС БР ИББС-2.2-2009 «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Методика оценки рисков нарушения информационной безопасности» www.pointlane.ru 13 Проблемы при оценке рисков • Как определить вероятность угрозы • Экспертный метод • На основании статистики • Как определить возможный ущерб • Для нематериальных активов • Какой подход выбрать • Качественный • Количественный • Утвердить выбранный подход в качестве политики или регламента www.pointlane.ru 14 Комитет по рискам ИБ • Основная цель: создать инструмент периодического коллегиального обсуждения ИБ • Заручиться поддержкой • Описать регламент его работы • Согласовать и внедрить • Дальше будет уже проще • Ежемесячное обсуждение и приоритезация задач • Выработка решений www.pointlane.ru 15 Комитет по рискам ИБ • Кого включить в комитет Представители ключевых бизнес-подразделений Юристы Финансисты Отдел кадров Внутренний контроль (аудит) / СБ IT • Что обсуждать • • • • • • • Отчеты по метрикам • Текущие задачи • Вносить инициативы/проекты/новые угрозы www.pointlane.ru 16 ИБ: Что должен делать руководитель • Поставить цели по обеспечению ИБ для всего предприятия • Обеспечить поддержку для службы ИБ и соответствующий приоритет задач, связанных с ИБ для всех структурных подразделений • Обеспечить финансирование деятельности службы ИБ • Установить ответственность за невыполнение требований ИБ • Учредить комитет по ИБ или рискам ИБ • Определить отчетность службы ИБ • Контролировать деятельность службы ИБ • Реализовывать ответственность тех, кто нарушил требования ИБ www.pointlane.ru 17 Руководитель службы ИБ • Определить стратегию и политику ИБ • Произвести инвентаризацию и категоризацию информационных активов в соответствии с выбранной методикой • Разработать план мероприятий по защите выявленных критичных активов • Реализовать защитные меры • Обучать персонал • Оценить эффективность внедренных защитных мер • Проводить аудит • Постоянно улучшать созданную СУИБ www.pointlane.ru 18 Метрики и отчетность • Что не измеряется, то нельзя улучшить • Не надо бояться «быть прозрачным» • Основная цель: строгое постоянство и периодичность • Максимальный эффект: выбрать 5-7 KPI и сделать по ним постоянную отчетность www.pointlane.ru 19 Как сделать переворот в сознании • Регуляторные требования • Негативный или позитивный опыт других игроков рынка • Исследования рынка • IDC, Gartner, PWC, E&Y, GroupIB • Громкие утечки и годовые отчеты по ним • RSA, Verizon • Делаем ИБ для клиентов бизнеса www.pointlane.ru 20 Как сделать переворот в сознании • На примере банка • Руководство очень внимательно относится к конфиденциальности информации о размере своей компенсации • Сотрудники начинают по другому смотреть на многие вещи, если они преподносятся через концепцию «моя информация» и «мои деньги», а не компании. www.pointlane.ru 21 Стратегия роста • Нацеленность на задачи бизнеса • Поднятие престижа подразделения в глазах бизнеса • Максимальная прозрачность • Выход за рамки организации • Повышение осведомленности клиентов • Проверка обработки ваших данных у контрагентов www.pointlane.ru 22 Стратегия роста • Поэтапный рост: • Начальный этап: «заворачивание» важных процессов на себя • В среднесрочной перспективе: постепенный отказ от участия в процессах • В долгосрочной: переход на стандартизацию и контроль выполнения стандартов www.pointlane.ru 23 Быстрые победы • Пилотная DLP & Content filtering • Достаточно для увольняющихся • Mobile office • Пилотный pentest • Либо для демонстрации текущего уровня защищенности • Либо в цикле: • Внедрение быстрых контролей и процедур • Повторный pentest • Программа повышения осведомленности www.pointlane.ru 24 Долгосрочные цели • Регуляторный compliance • SLA с бизнесом • Централизованное управление инфраструктурой и инцидентами (IAM, SIEM) • Управление изменениями • Безопасная разработка приложений • Контроль привилегированных пользователей • Облака • Мобильность • Автоматический контроль соответствия с внутренними стандартами www.pointlane.ru 25 Основные ошибки «молодых» CISO • Частые переходы из одной компании в другую • Прирост ЗП (рынок перегрет?) • Функция ИБ не успевает пройти больше одного цикла • Оптимальный срок – 3-5 лет • Переходы из отрасли в отрасль • Необходимо сохранять экспертность в одной отрасли www.pointlane.ru 26 Видение своего пути • Необходимо четко понимать куда вы движетесь: • Как специалист • Как руководитель • Иметь план на 1, 3 и 5 лет • С запасом на новые непредвиденные угрозы и изменения в законодательстве www.pointlane.ru 27 Постоянное развитие • Постоянно поднимать свой уровень • Обучение, сертификация • Профсообщества • Участие в разработке документов регуляторов www.pointlane.ru 28 В заключении • Общие проблемы есть у всех • Давайте двигать отрасль вместе • Networking • Можно начать прямо сейчас • Главное - начать www.pointlane.ru 29 Спасибо за внимание! Павел Мельников Москва, ул. Ильинка, д 4 Тел +7 (495) 233-65-08 [email protected] www.pointlane.ru 30