1. Практика построения ключевых процессов
менеджмента информационной безопасности на
основе требований ISO/IEC 27001
Александр Дмитриев
Lead auditor ISO/IEC 27001, ISO 22301, ISO/IEC 20000
Руководитель департамента «ИТ-сервисы и безопасность»
Главный редактор журнала «Das Management»
TÜV SÜD Ukraine LLC
2013 / Dmitriev
slide 1

2. Процесс приобретения новых активов
TÜV SÜD Ukraine LLC
2013 / Dmitriev
slide 2

3. Процесс приобретения новых активов
Направления работ службы ИБ при
приобретении новых активов
•
•
•
Закупка оборудования и ПО
Разработка/доработка ПО
Перемещение активов
TÜV SÜD Ukraine LLC
2013 / Dmitriev
slide 3

4. Процесс приобретения новых активов
Этап Описание этапа
Ответственный
1
Инициация покупки
2
Определение принадлежности к
информационным активам
Информирование о приобретении
информационного актива службу
информационной безопасности
Определение требований по
информационной безопасности
Проверка требований по
информационной безопасности
Оценка или переоценка рисков,
связанных с данным активом
Подготовка рекомендаций план
мероприятий по данному активу с
учетом реальных информационных
рисков
Принятие решения о приобретении
Выполнение мероприятий по
обработке рисков, связанных с
данным активом
Контроль за уровнем рисков,
связанных с данным активом
Представитель структурной
единицы предприятия
Представитель структурной
единицы предприятия
Представитель структурной
единицы предприятия
3
4
5
6
7
8
9
10
TÜV SÜD Ukraine LLC
Офицер по информационной
безопасности
Офицер по информационной
безопасности
Офицер по информационной
безопасности
Офицер по информационной
безопасности
Генеральный директор
Служба ИТ или Канцелярия
Офицер по информационной
безопасности
Исполнитель Срок
1 день
Служба ИТ,
Канцелярия
Служба ИТ,
Канцелярия
1 день
1 день
1 день
1 день
Структурная
единица
предприятия
Согласно
плана
Согласно
плана
2013 / Dmitriev
slide 4

5. Процесс приобретения новых активов
Разработка стандарта на
закупки
Раздел 1. Обязательные
требования
Раздел 2. Рекомендации
TÜV SÜD Ukraine LLC
2013 / Dmitriev
slide 5

6. Мониторинг СМИБ
TÜV SÜD Ukraine LLC
2013 / Dmitriev
slide 6

7. Карта мониторинга СМИБ
• Пункты стандарта ISO/IEC 27001
+
• Журналы , логи, видеозаписи,
аудиозаписи, счетчики, технические
средства, др.
TÜV SÜD Ukraine LLC
2013 / Dmitriev
slide 7

8. Карта мониторинга СМИБ
• Пункты стандарта ISO/IEC 27001
+
• Журналы , логи, видеозаписи, аудиозаписи, счетчики,
технические средства, др.
А.9.
Физическая
безопасность
•
•
•
•
•
•
•
TÜV SÜD Ukraine LLC
Записи камер видеонаблюдения (М02, М06, М07,
М14, М15, М16, М17)
Журнал инцидентов ФБ
Актуальная схема расположения активов
Журнал доступа сторонних организаций
Журналы доступа в серверные и архивы
бумажной документации
Акты ликвидации/ передачи активов
Журнал регистрации обслуживания
оборудования
2013 / Dmitriev
slide 8

9. Карта мониторинга СМИБ
• Пункты стандарта ISO/IEC 27001
+
• Журналы , логи, видеозаписи, аудиозаписи, счетчики,
технические средства, др.
А.10.
Менеджмент
ИТ
TÜV SÜD Ukraine LLC
•
•
•
DLP (отчеты …)
Журнал действий системного администратора
Логи …
2013 / Dmitriev
slide 9

10. Карта мониторинга СМИБ
График мониторинга
Средства мониторинга
А.6
А.7
А.8
А.9
TÜV SÜD Ukraine LLC
1мес
1день
1день
1день
1день
1день
1мес
A
1день
A
1мес
1день
1день
1день
2013 / Dmitriev
slide 10

11. Документация СМИБ
TÜV SÜD Ukraine LLC
2013 / Dmitriev
slide 11

12. Разработка документации
Очень большой
объем
документации
СМИБ. Что-то
требует
стандарт, что-то
нужно мне
самому…
TÜV SÜD Ukraine LLC
2013 / Dmitriev
slide 12

13. Разработка документации
Вариант структуры документации
•
Управленческие процедуры
•
Технические процедуры
•
Записи управленческие
•
Записи технические
•
Инструкции, положения
TÜV SÜD Ukraine LLC
2013 / Dmitriev
slide 13

14. Разработка документации
Управленческие процедуры (стандарт на разработку документов, управление
документацией, записями; корректирующие и предупреждающие мероприятия; внутренний
аудит; управление персоналом и др.)
Технические процедуры (приобретение, развитие и поддержка информационных систем;
управление доступом; регистрация и анализ инцидентов; резервное копирование; управление
съемными носителями и др.)
Записи управленческие (отчеты о внутренних аудитах; анализ СМИБ со стороны высшего
руководства; отчет об анализе рисков; отчет о работе комитета по информационной
безопасности; отчет о состоянии корректирующих и предупреждающих действий; договора;
личные дела сотрудников и др.)
Записи технические (реестр активов; план предприятия; план физического размещения
активов; план компьютерной сети; журнал регистрации резервного копирования; журнал
регистрации факта технического контроля после изменений в операционной системе; логи
информационных систем; логи системного администратора; журнал регистрации
инцидентов; журнал регистрации тестов по непрерывности бизнеса и др.)
Инструкции, положения (правила работы с ПК, правила работы с информационной
системой, правила обращения с паролями, инструкция по восстановлению данных из
резервных копий, политика удаленного доступа, правила работы с переносным
оборудованием и др.)
TÜV SÜD Ukraine LLC
2013 / Dmitriev
slide 14

15. Разработка документации – ISMS Manual
Основные
требования
(ISO 27001)
Оценка рисков
Риски критичные
Риски приемлемые
Направления безопасности (ISO 27001)
Направления К
Процедуры СМИБ
TÜV SÜD Ukraine LLC
Направления П
Руководство СМИБ
2013 / Dmitriev
slide 15

16. Разработка документации
Хорошая практика при разработки инструкций
Запрещено:
•
Самостоятельно устанавливать ПО
•
Хранить на локальных дисках информацию по проектам
Рекомендовано:
•
Проверять все съемные носители на наличие вирусов
•
Выключать ПК по завершении рабочего дня
Дополнительно
TÜV SÜD Ukraine LLC
2013 / Dmitriev
slide 16

17. Поддержка документации СМИБ. Хит-парад негатива
1. Документы СМИБ противоречат действительности (на будущее)
Пример: «Логи безопасности архивируются на сервере СМИБ», при этом сервер
только в планах приобретения
2. В многих случаях употребляются общие фразы
Пример: «Действия системного администратора фиксируются в журнале»
3. Документы СМИБ противоречат другим нормам компании
Пример: процедура «Перемещение материальных активов» запрещает вынос
флешек, при этом процедура «Сменные носители» позволяет
4. Формы документов противоречат требованиям компании по оформлению
Примеры: процедуры именуют политиками, разделы процедуры не соответствуют
внутреннему стандарту
TÜV SÜD Ukraine LLC
2013 / Dmitriev
slide 17

18. Поддержка документации СМИБ. Хит-парад позитива
1. Требования СМИБ максимально удобны для пользователя
Пример: Большинство пользователей имеют единый сводный документ с перечнем
требований к ним. Требования проиллюстрированы
2. Документы СМИБ минимальны по объему
Пример: Всего около 20 документов. Объем документа не превышает 4 страниц
3. Все документы СМИБ размещены в эл. виде
Пример: Утвержденные копии документов размещены в папках с распределением
доступа
4. Значительная часть документов СМИБ не разрабатывалась, использовались
существующие документы
Пример: Требования по персоналу дополнены в существующую процедуру
«Управление персоналом»
TÜV SÜD Ukraine LLC
2013 / Dmitriev
slide 18

19. Внутренний аудит
TÜV SÜD Ukraine LLC
2013 / Dmitriev
slide 19

20. Виды аудита ИБ
Варианты аудита системы безопасности
• Плановый внутренний аудит
• Внеплановый внутренний аудит
• Поиск угроз
• Моделирование угроз
TÜV SÜD Ukraine LLC
2013 / Dmitriev
slide 20

21. Внутренний аудит
Требование ISO 27001 – плановый аудит
В голове!
Где Вы храните
пароли?
TÜV SÜD Ukraine LLC
2013 / Dmitriev
slide 21

22. Виды аудита ИБ
Плановый внутренний аудит
Проводится согласно предварительно утвержденной программе.
Проверяемые подразделения заранее оповещаются о дате и
критериях аудита. Плановые аудиты планируются на основании
годовой программы аудита безопасности.
TÜV SÜD Ukraine LLC
2013 / Dmitriev
slide 22

23. Виды аудита ИБ
Внеплановый внутренний аудит
Может
быть
проведен
без
оповещения
проверяемых
подразделений. Критерии аудита могут быть сформулированы при
внезапном
посещении
проверяемого
подразделения.
Внеплановые аудиты не включаются в общую годовую программу
аудитов безопасности.
TÜV SÜD Ukraine LLC
2013 / Dmitriev
slide 23

24. Виды аудита ИБ
Поиск угроз (рисков)
В рамках данного вида аудита производится поиск угроз,
существующих относительно конкретного актива или активов.
TÜV SÜD Ukraine LLC
2013 / Dmitriev
slide 24

25. Виды аудита ИБ
Моделирование угроз
Аудит проводиться при моделировании реального риска. Данный
вид аудита может проводиться для выявления реальных
последствий риска.
TÜV SÜD Ukraine LLC
2013 / Dmitriev
slide 25

26. Менеджмент программы аудита
Элементы ISO 27001
Подразделения
4.2.1 ….
4.2.2
5.1
5.2.1…
А5
А6
А7
П
Технический отдел
П
Служба качества
П
П
Р
Служба
делопроизводства
Участок синтеза
П
П
П
Р
Участок упаковки
П
П
Р
Склады
П
ЦЛМ
П
П
1
В
2
в
3
В
П
4
Р
П
Дата
П
Отдел снабжения
А12
В
Служба ИТ
А8
TÜV SÜD Ukraine LLC
А9
А10
В
П
В
П
А11
5
В
8
11
2
П
1
2013 / Dmitriev
slide 26

27. Документация аудита СМИБ
№
Этап
Документация
1
Подбор и обучение команды аудиторов
2
Разработка годовой программы внутренних
аудитов
Состав группы аудита
Сертификаты или другие свидетельства
обучения
Проект годовой программы аудита
безопасности
3
Утверждение группы аудиторов и годового
плана аудитов высшим руководством
Утвержденная группа аудита и программа
аудита
4
Разработка плана ОПРЕДЕЛЕННОГО аудита
- определение области (подразделений)
- определение критериев (ISO 27001,
внутренние правила, политики и процедуры
ИБ)
Проведение аудита в подразделениях
согласно графика
- Фиксирование свидетельств аудита
- Подготовка протокола отклонений
Разработка отчета об аудите
Планы аудитов
7
Разработка корректирующих и
предупреждающих мероприятий
План корректирующих и/или
предупреждающих мероприятий
8
Проверка выполнения мероприятий
Отметка о выполнении или невыполнении
мероприятий
9
Анализ результативности мероприятий
2013 / Dmitriev
Оценка результативности мероприятий
slide 27
5
6
TÜV SÜD Ukraine LLC
Рукописные записи или аудиозаписи
Заполненные протоколы отклонений
Отчет об аудите

28. Выводы аудитора
Некритические отклонения
(в архив)
Критические отклонения
(презентация руководству)
TÜV SÜD Ukraine LLC
2013 / Dmitriev
slide 28

29. Имидж внутреннего аудитора
Шаг первый:
выбор образа
ОСНОВНАЯ ЦЕЛЬ –
создание подходящей (удобной)
атмосферы для достижения целей
внутреннего аудита
TÜV SÜD Ukraine LLC
2013 / Dmitriev
slide 29
29

30. Имидж внутреннего аудитора
Шаг первый:
выбор образа
ВАРИАНТЫ
•Медсестра
•Доктор
•Адвокат компании
•Автослесарь
•Нотариус
•Налоговый инспектор
•Сотрудник спецслужбы
•…
TÜV SÜD Ukraine LLC
2013 / Dmitriev
slide 30
30

31. Имидж внутреннего аудитора
Шаг второй:
создание образа
ЭЛЕМЕНТЫ
•Методы аудита
•Методы общения
•Коммуникации
•Культура делопроизводства
•Формулировка выводов
•Формат отчета руководству
•Внешний вид
TÜV SÜD Ukraine LLC
2013 / Dmitriev
slide 31
31

32. Имидж внутреннего аудитора
Шаг второй:
создание образа
•Методы аудита (плановый аудит, расследование
инцидентов)
•Стиль общения (доверительный, жесткий)
•Коммуникации (раздел в интранет, прямые
контакты для решения проблемных ситуаций)
•Культура делопроизводства (детализация,
история «пациента»)
•Формулировка выводов (все отклонения,
предложения по КД и ПД, риски)
•Формат отчета руководству (риски,
обезличенные результаты, только критичные
риски)
•Внешний вид (всегда аккуратный)
TÜV SÜD Ukraine LLC
2013 / Dmitriev
slide 32
32

33. Несоответствия СМИБ
TÜV SÜD Ukraine LLC
2013 / Dmitriev
slide 33

34. Несоответствия СМИБ
Факт:
При аудите цеха ХХ обнаружено, что
производство в нем не ведется. При этом он
включен в область действия.
При анализе текста области действия выявлено,
что в нее включены продукты, которые
планируются к выпуску в данном цеху.
Вывод:
Несоответствие требованиям стандарта ISO
27001
Нарушено собственное требование по
безопасности. Класс несоответствия:
критическое (4.2.1)
TÜV SÜD Ukraine LLC
2013 / Dmitriev
slide 34

35. Несоответствия СМИБ
Требование предприятия:
Подписывать со всеми сторонними лицами
соглашения о конфиденциальности, кроме
зарубежных
Факт:
При проверке выявилось, что в цеху идет
внедрение автоматизированной линии,
использующей критические базы данных
компании. Работу осуществляет компании из
России. Специалисты данной компании не
подписали соглашение о
конфиденциальности.
Вывод:
Рекомендовано – либо убрать исключение
либо внести риск в реестр рисков, связанный
с посещением компании зарубежными
представителями
TÜV SÜD Ukraine LLC
2013 / Dmitriev
slide 35

36. Несоответствия СМИБ
Требования предприятия:
Отдел ИБ обязан обеспечивать информационную
безопасность при подготовке тендерных пакетов
Факт:
Отдел ИБ не знает о процессе создания тендерных
пакетов. По их словам никто не обращался с жалобами.
В планах отдела ИБ, а также в документации СМИБ не
найдено идентифицированных рисков или каких-либо
действий по обеспечению ИБ в данном процессе.
Тендерные пакеты готовятся еженедельно, участвуют 6
подразделений.
Вывод:
Нарушено собственное требование по безопасности.
Класс несоответствия: критическое (А.15.1.3)
TÜV SÜD Ukraine LLC
2013 / Dmitriev
slide 36

37. Несоответствия СМИБ
Требование компании:
Все носители информации до перемещения, списания
либо уничтожения должны быть проверены службой
ИБ
Факт:
В коридоре складируется старая компьютерная
техника. Начало складирования – 4-5 месяцев. После
общения с ИТ выяснено, что они используют запасные
части в т.ч. и жесткие диски для ремонта других ПК.
Служба ИБ знает о данном складе и надеется на то,
что ИТ удаляет данные с жестких дисков.
Вывод:
Нарушено собственное требование по безопасности.
Класс несоответствия: критическое (А.15.1.3)
Рекомендовано создать правило по проверке
носителей информации службой ИБ
TÜV SÜD Ukraine LLC
2013 / Dmitriev
slide 37

38. Несоответствия СМИБ
Требование предприятия:
Конфиденциальная информация не должна
передаваться неавторизованным лицам.
Факт:
На сетевом, открытом для всех, диске обнаружена
конфиденциальная информация. После выяснения
причин оказалось, что диск используется для передачи
больших объемов данных между подразделения.
Согласно правил отдел ИБ должен обеспечивать
безопасность этого диска. Отдел ИБ говорит, что этим
должны заниматься в ИТ. ИТ говорит обратное.
Вывод:
Нарушено собственное требование по безопасности.
Класс несоответствия: некритическое (А.15.1.3)
Рекомендовано четко установить правила по работе с
диском, а также определить порядок его мониторинга .
TÜV SÜD Ukraine LLC
2013 / Dmitriev
slide 38

39. Несоответствия СМИБ
Требование предприятия:
Проводить аудиты ИБ во всех компаниях-поставщиках
ИТ-решений.
Факт:
Существует компания-поставщик информационной
системы, которая не пускает к себе. При этом в
договре имеется соответствующий пункт. Факт
обращения по поводу проверки и факт отказа от нее
имеется.
Вывод:
Рекомендовано сообщить официально о факте отказа
поставщику, оценить возможные причины отказа и
спрогнозировать риски.
TÜV SÜD Ukraine LLC
2013 / Dmitriev
slide 39

40. Несоответствия СМИБ
Требование компании:
Отправка коммерческих предложений должно
осуществляться только с формате pdf после
распечатки и сканирования.
Факт:
Предложения направляются в формате word, т.к.
существующий сканер находится в другом отделе и нет
возможности оперативно отсканировать и отправить
клиенту данные.
Вывод:
Нарушено собственное требование по безопасности.
Класс несоответствия: некритическое (А.15.1.3)
Рекомендовано рассмотреть вопрос установки сканера
во все отделы продаж либо установка общего мощного
сканера в коридоре.
TÜV SÜD Ukraine LLC
2013 / Dmitriev
slide 40

41. Несоответствия СМИБ
Требование предприятия:
Открытый доступ через WI FI должен быть доступен только в
комнатах переговоров.
Факт:
По факту обнаружен открытый доступ и в других помещениях
компании.
Вывод:
Нарушено собственное требование по безопасности. Класс
несоответствия: некритическое (А.15.1.3)
Рекомендовано скорректировать/смягчить требования по
данному вопросу либо реализовать технически невозможность
доступа в других помещениях
TÜV SÜD Ukraine LLC
2013 / Dmitriev
slide 41

42. Несоответствия СМИБ
30
Анализ
распределения
несоответствий
29
25
20
18
15
14
10
9
2
TÜV SÜD Ukraine LLC
7
5
5
0
8
2
0
0
0
0
3
1
2
2013 / Dmitriev
slide 42

43. Новая версия стандарта ISO 27001:2013
(для самостоятельного изучения)
TÜV SÜD Ukraine LLC
2013 / Dmitriev
slide 43

44. Стандарт ISO/IEC 27001:2013
ISO/IEC 27001:2013
Дата выпуска:
25 сентября 2013 года
Edition: 2 (Monolingual)
ICS: 35.040
Status: Published
Stage: 60.60 (2013-09-25)
TC/SC: ISO/IEC JTC 1/SC 27
Number of Pages: 23
TÜV SÜD Ukraine LLC
2013 / Dmitriev
slide 44

45. Стандарт ISO/IEC 27001:2013
Проект стандарта ISO/IEC 27001 (2013)
Опубликован на странице
"Security & IT Management Association
(SITMA)":
www.facebook.com/groups/sitma/
TÜV SÜD Ukraine LLC
2013 / Dmitriev
slide 45

46. Стандарт ISO/IEC 27001:2013
Структура основных требований приведена в соответствии с
Директивами ISO/IEC
2005
1. Область применения
2. Нормативные ссылки
3. Термины и определения
4. Система информационной
безопасности
5. Обязательства руководства
6. Внутренние аудиты
7. Анализ системы менеджмента
8. Совершенствование
TÜV SÜD Ukraine LLC
2013
0 Введение
1 Область применения
2 Нормативные ссылки
3 Термины и определения
4 Установление контекста
5 Ответственность руководства
6 Планирование
7 Поддержка
8 Эксплуатация
9 Измерение результативности
10 Улучшение
2013 / Dmitriev
slide 46

47. Стандарт ISO/IEC 27001:2013
Структура Приложения А
2005
А.5 Политика в области безопасности
А.6 Организация системы безопасности
A.7 Классификация активов и управление
A.8 Безопасность и персонал
A.9 Физическая и внешняя безопасность
A.10 Менеджмент компьютеров и сетей
A.11 Управление доступом к системе
A.12 Приобретение, разработка и
обслуживание информационных систем
A.13 Менеджмент инцидентов
A.14 Обеспечение непрерывности бизнеса
A.15 Соответствие законодательству
2013
A.5 Политика в области безопасности
A.6 Организация системы безопасности
A.7 Безопасность и персонал
A.8 Классификация активов и управление
A.9 Управление доступом к системе
A.10 Криптография
A.11 Физическая и внешняя безопасность
A.12 Менеджмент компьютеров и сетей
A.13 Безопасность коммуникаций
A.14 Приобретение, разработка и
обслуживание информационных систем
A.15 Взаимоотношения с поставщиками
A.16 Менеджмент инцидентов
A.17 Обеспечение непрерывности бизнеса
A.18 Соответствие законодательству
Формально количество требований уменьшилось со 133 до 113
TÜV SÜD Ukraine LLC
2013 / Dmitriev
slide 47

48. Стандарт ISO/IEC 27001:2013
Цели системы менеджмента информационной безопасности
2005
4.3 Documentation requirements
4.3.1 General
The ISMS documentation shall
include:
a) documented statements of the
ISMS policy and objectives;
2013
5.1 Leadership and commitment
Top management shall demonstrate
leadership by:
a) ensuring … information security
objectives are established and are
compatible with the strategic direction
В новой версии однозначно требуется установить цели СМИБ
TÜV SÜD Ukraine LLC
2013 / Dmitriev
slide 48

49. Стандарт ISO/IEC 27001:2013
Цели системы менеджмента информационной безопасности
Что проверяется при аудите?
1.Наличие документированных целей (KPI)
2.Результат их достижения (оценка KPI)
Минимальная регулярность – 1 раз в год
Рекомендации по выбору целей – материалы МИБ 2 / Донецк
TÜV SÜD Ukraine LLC
2013 / Dmitriev
slide 49

50. Стандарт ISO/IEC 27001:2013
Подход к описанию рисков
2005
2013
4.2.1 Создать СМИБ
6.1.2 Information security risk assessment
d) Выявить риски.
d) Выявить риски информационной
безопасности
2) Выявить угрозы для этих активов.
3) Выявить уязвимые места, которые
могут быть использованы угрозами.
Версия 2005 – описание риска
через угрозы и уязвимости
Новая версия – нет требований к
текстовому описанию рисков
В новой версии при описание риска предоставляется полная
свобода
TÜV SÜD Ukraine LLC
2013 / Dmitriev
slide 50

51. Стандарт ISO/IEC 27001:2013
Согласование и принятие рисков
2005
4.2 Создание и менеджмент СМЗИ
4.2.1 Создать СМЗИ
2013
6.1.3 Information security risk treatment
h) Получить утверждение
руководства предлагаемого
остаточного риска.
f) obtain risk owner’s approval of the
information security risk treatment plan and
the acceptance of the residual information
security risks.
Требуется «Положение о принятии
рисков»
Необходимо утверждение рисков с
владельцами рисков
Плюс новой версии: нет необходимости принимать остаточные
риски руководством
Минус: возможно понадобиться включать в процесс согласования
многих (иногда) всех руководителей подразделений
TÜV SÜD Ukraine LLC
2013 / Dmitriev
slide 51

52. Стандарт ISO/IEC 27001:2013
Появилась четкая связка рисков и SoA
Оценка рисков
TÜV SÜD Ukraine LLC
План по обработке
SoA
2013 / Dmitriev
slide 52

53. Стандарт ISO/IEC 27001:2013
Появилась четкая связка рисков и SoA
Выводы:
1.Возможно делать больше исключений в SoA. При этом можно
сослаться на то, что при оценке рисков не определены «красные»
риски по разделу XX
2.Даты должны быть логичными: 01.04.2013 (оценка рисков),
13.05.2013 (план по обработке рисков), 01.07.2013 (SoA)
3.Возможен более частый пересмотр SoA (при частом пересмотре
или значительной корректировке плана по обработке рисков)
Рекомендации:
1.Рекомендовано не злоупотреблять исключениями из SoA
2.Рекомендовано иметь общий документ (ISMS Manual) с общим
описанием большинства пунктов Приложения А
TÜV SÜD Ukraine LLC
2013 / Dmitriev
slide 53

54. Стандарт ISO/IEC 27001:2013
Назначение владельцев
2005
2013
4.2.1 Создать СМИБ
6.1.2 Information security risk assessment
d) Выявить риски.
d) Identify the information security risks.
Выявить активы в рамках
области СМИБ, а также
владельцев этих активов
Версия 2005 – Назначение
владельцев активов
2) Identify the risk owners.
Новая версия – Назначение
владельцев рисков
По новой версии необходимо назначить владельцев рисков
TÜV SÜD Ukraine LLC
2013 / Dmitriev
slide 54

55. Стандарт ISO/IEC 27001:2013
Назначение владельцев
По новой версии необходимо назначить владельцев рисков
Определение владельцев рисков можно сделать следующим образом:
1.Назначить «владельца актива» «владельцем всех рисков» по данному активу
(переименовать колонку в реестре активов)
2.Назначить «владельцев рисков» дополнительно к «владельцам актива» (ввести
новую колонку в реестре активов)
3.Назначить по каждому риску «владельца» исходя из профиля риска. Например ИТ,
персонал, физ. безопасность, другое. (прописать в руководстве по СМИБ профили
рисков)
+ владелец
риска
TÜV SÜD Ukraine LLC
2013 / Dmitriev
slide 55

56. Стандарт ISO/IEC 27001:2013
Мониторинг и измерение результативности
2005
4.2.3 Постоянно контролировать и
анализировать СМИБ
a) Выполнять процедуры
постоянного контроля и анализа…
1) быстро обнаруживать ошибки в
результатах обработки…
4) помогать обнаруживать события
путем использования индикаторов…
b) Предпринимать регулярный
анализ результативности СМИБ…
2013
9.1 Monitoring, measurement, analysis and
evaluation
The organization shall determine:
a) what needs to be monitored …
b) the methods for monitoring…
c) when the monitoring and measuring …
d) who shall monitor and measure…
e) when the results shall be analyzed…
f) who shall analyse these results
В новой версии более четко указаны требования по мониторингу
и измерению результативности
TÜV SÜD Ukraine LLC
2013 / Dmitriev
slide 56

57. Стандарт ISO/IEC 27001:2013
Управление документами и записями
2005
4.3.2 Управление документами
2013
7.5 Документированная информация
4.3.3 Управление записями
В новой версии нет требования по наличию документированной
процедуры по управлению документацией и записями
TÜV SÜD Ukraine LLC
2013 / Dmitriev
slide 57

58. Стандарт ISO/IEC 27001:2013
Коммуникации и оргструктура СМИБ
2005
Приведены в различных пунктах
стандарта
2013
7.4 Communication
The organization shall determine the need
for internal and external communications
relevant to the information security
management system including:
a) on what to communicate;
b) when to communicate;
c) with whom to communicate;
d) who shall communicate; and
e) the processes by which communication
shall be effected.
В новой версии более четко устанавливаются процедуры
коммуникации (оргструктура и правила коммуникации)
TÜV SÜD Ukraine LLC
2013 / Dmitriev
slide 58

59. Стандарт ISO/IEC 27001:2013
Структура Приложения А
2013
Новые требования в рамках Приложения А
A.6.1.4 Information security in project management
A.12.6.2 Restrictions on software installation
A.14.2.1 Secure development policy
A.14.2.5 System development procedures
A.14.2.6 Secure development environment
A.14.2.8 System security testing
A.15.1.1 Information security policy for supplier relationships
A.15.1.3 Information and communication technology supply chain
A.16.1.4 Assessment and decision of information security events
A.17.1.2 Implementing information security continuity
A.17.2.1 Availability of information processing facilities
TÜV SÜD Ukraine LLC
2013 / Dmitriev
slide 59

60. Стандарт ISO/IEC 27001:2013
A.6.1.4 Information security in project management
Information security shall be addressed in project management,
regardless of the type of the project
Выводы:
В каком-либо документе требуется указать:
1.В какие типы проектов будет вовлекаться Служба ИБ
2.Какие именно действия будет осуществлять служба ИБ в данных
проектах
Рекомендации:
1.Рекомендовано минимально участвовать во всех проектах,
связанных с информацией как минимум на стадии создания плана
проекта
TÜV SÜD Ukraine LLC
2013 / Dmitriev
slide 60

61. Стандарт ISO/IEC 27001:2013
A.12.6.2 Restrictions on software installation
TÜV SÜD Ukraine LLC
2013 / Dmitriev
slide 61

62. Стандарт ISO/IEC 27001:2013
A.14.2.8 System security testing
TÜV SÜD Ukraine LLC
2013 / Dmitriev
slide 62

63. Стандарт ISO/IEC 27001:2013
A.16.1.4 Assessment and decision of information
security events
2005
2013
Инцидент
Инцидент
Расследован
Расследован
Причины / выводы
TÜV SÜD Ukraine LLC
2013 / Dmitriev
slide 63

64. Стандарт ISO/IEC 27001:2013
A.17.1.2 Implementing information security continuity
The organization shall establish,
document, implement and maintain
processes, procedures and controls
to guarantee the required level of
continuity for information security
during an adverse situation
Вывод:
Необходимо включить в планы
непрерывности бизнеса раздел,
связанный с поддержкой
соответствующего уровня
информационной безопасности
TÜV SÜD Ukraine LLC
2013 / Dmitriev
slide 64

65. Стандарт ISO/IEC 27001:2013
A.17.2.1 Availability of information processing facilities
Information processing facilities
shall be implemented with
redundancy sufficient to meet
availability requirements
Выводы:
1.Необходимо создать перечень
или перечни оборудования,
необходимого при критичных
ситуациях
2.Все указанное оборудование
должно быть в наличии и в
работоспособном состоянии
TÜV SÜD Ukraine LLC
2013 / Dmitriev
slide 65

66. Стандарт ISO/IEC 27001:2013
Структура Приложения А (Удаленные требования)
6.2.2 Addressing security when dealing with customers
10.4.2 Controls against mobile code
10.7.3 Information handling procedures
10.7.4 Security of system documentation
10.8.5 Business information systems
10.9.3 Publicly available information
11.4.2 User authentication for external connections
11.4.3 Equipment identification in networks
11.4.4 Remote diagnostic and configuration port protection
11.4.6 Network connection control
11.4.7 Network routing control
12.2.1 Input data validation
12.2.2 Control of internal processing
12.2.3 Message integrity
12.2.4 Output data validation
11.5.5 Session time out
11.5.6 Limitation of connection time
11.6.2 Sensitive system isolation
12.5.4 Information leakage
14.1.2 Business continuity and risk assessment
14.1.3 Developing and implementing business continuity plans
14.1.4 Business continuity planning framework
15.1.5 Prevention of misuse of information processing facilities
15.3.2 Protection of information systems audit tools
TÜV SÜD Ukraine LLC
2013 / Dmitriev
slide 66

67. Стандарт ISO/IEC 27001:2013
РЕКОМЕНДАЦИИ ПО ПЕРЕХОДУ НА НОВУЮ ВЕРСИЮ
ISO 27’ 2005
Базовая версия
План
100%
2005
1 год
100% + сертификат
2005
1 год
> 60%
2005
Дополнение
< 60%
2013
Полный пересмотр
TÜV SÜD Ukraine LLC
2013 / Dmitriev
slide 67

68. Большое спасибо!
Задавайте вопросы …
Александр Дмитриев
+38 050 419 69 11
a.dmitriev@tms-ua.com
www.tms-ua.com
www.sitma.pro
TÜV SÜD Ukraine LLC
2013 / Dmitriev
slide 68