Хакеры, скандальные утечки данных, целые отделы, занимающиеся вопросами ИБ в компании - все это больше из области теле-новостей про фирмы-гиганты. Но, "плачут не только богатые". У обычных небольших организаций, и у обычных людей - вопросы ИБ занимают все более важное место.
В докладе будут даны рекомендации по ИБ для самых обычных организаций - небольших фирм от 10 сотрудников. Как хоть немного защититься в этом сложном информационном мире. Поговорим об ИБ - без фанатизма, без сертификации ИСО 27001 и без консультантов от "большой четверки".
2. Представление
• Специалист по ИБ (CISM), по процессам и качеству
в ИТ области
• Внедряю и подготавливаю к сертификации -
ИСО 27001 и 9001
• Первая в РБ ИСО 27001 сертификация (в2008г, Tieto)
• Консалтинг и сертификации ИСО 27001 - РБ, Россия,
Финляндия, Швеция, Прибалтика
• Последний крупный проект (март 2017г.) ИСО 27001
сертификация компании Exadel.
• Директор ИБ в компании Issoft
• Веду блог по ИБ и процессам isqa.ru
2
3. Что такое обычная организация?
• Штат 10-30 человек
• Нет выделенного ИТ отдела
• Максимум роль ИТ специалиста, либо
«приходящий спец»
• Простейшая ИТ инфраструктура
• Несколько комп-ров объединены в сеть, без
домена
• Серверная в виде старого (ненужного) ком-ра
под пустым столом
• Система железа и ПО выстраивалась по
«историческим причинам»
• Нелицензионное ПО
• Не то что ИБ, но и ИТ не слышали/не знают
3
Не думайте, что если вы – ИТ или финансовая
компания, то у вас все хорошо с ИБ:)
4. Из жизни
• Сервера – в шкафу (обычный встроенный
шкаф, с раздвижными дверьми)
• Летом бывает вылетает. Пожарник не видел.
• Серверная на кухне. Сотрудники ставят
кофе на корпус сервера
• В серверной – коммутационные трубы
под потолком
4
5. Современный контекст
• Мир меняется, очень быстро
• ИТ уже пришел, даже в небольшие организации
• Когда-то ИТ был супер-новым, прогрессивным
• ИБ подбирается, точно так же, как когда-то ИТ
• Сегодня на ИБ смотрят как на что-то прогрессивное, хотя оно должно
стать очевидной частью бизнеса
Но как бизнес смотрит на ИТ и ИБ:
5
По данным «Лаборатории Касперского», 41% небольших организаций в России считают
киберугрозы одним из главных бизнес-рисков.
Несмотря на это, IT-стратегия не входит в число приоритетов малого и среднего бизнеса и
занимает лишь 5-ое место по значимости после продуктовой, финансовой, маркетинговой и
операционной стратегий.
Источник: http://www.kaspersky.ru/news?id=207733803
6. Какие риски / проблемы?
Прошлые сотрудники пользуются вашими активами как своими
История поимки шпиона — как уволенный сотрудник 3 месяца воровал
информацию у компании
6
Ваши конкуренты легко узнают ваши секреты
• Выручка торговых точек, информация по клиентам
Замедленная мина нелицензионного ПО
«Исторически сложившаяся» инфраструктура ждет своего шанса
упасть (речь не идет о целенаправленном взломе)
Халатность сотрудников – крупнейшая дыра
• Как правило ущерб больше чем от намеренных действий
8. Идеальная ИБ = полномасштабная СМИБ +
сертификация ИСО 27001
Планирование и мониторинг целей
Требования ИСО 27001
Политики и процедуры СМИБ
Корректирующиеимеры
Управление рисками
Аудиты
Измерения, метрики
Комплекс
защитных мер
ИБ в управлении
персоналом
Управление активами
Управление доступом Организация ИБ
Криптография
Физическая
безопасность
Антивирусная защита
ПО
Резервное
копирование
Логи и мониторинг
Управление сетевой
безопасностью
ИБ при разработке ПО
ИБ при работе с
поставщиками
Управление
инцидентами
Управление
непрерывностью
бизнеса
Соответствие
требованиям
регуляторов
~114 защитных мер
8
14. Шаг 1: Определить и оценить активы
• Мало кто задумывается о ценности информации
• Еще меньше – оценивает активы
• Владелец бизнеса – чувствует, но не оценивает
• Зачем оценивать?
• Чтобы понять, что нужно защищать
14
15. • База клиентов – имеется в любой организации
• Центральная бизнес программа (база)
• Финансовые и стратегические документы
• бюджеты, планы развития, договоренности
• Договора с контрагентами?
• Персональные данные сотрудников (трудовые книжки, дела)?
• Материалы заказчика?
• Для организации оказывающей юридические услуги?
15
Примеры реальных активов
16. Как оценить активы
• Составить список активов – простая таблица
• Ранжировать по ценности
• Можно оценить по критериям
• Уточните ценность - задайте вопросы – что будет если актив:
• «Сольется» конкурентам
• Сломается
• Будет недоступным в течение дня
• На выходе: фокусная группа активов,
с которой нужно работать в первую очередь
16
17. Шаг 2: Проанализировать риски
Это просто – посмотрите на актив через призму CIA
17
База
клиентов
Актив
Конфиденциальность: раскрытие
базы конкурентам – по умыслу
Угрозы
Конфиденциальность: раскрытие
базы конкурентам – случайно
Целостность: потеря базы
(удалена)
Доступность: база недоступна в
рабочее время
Недостаточная защита с юридич.
точки зрения
Уязвимости
Нет управления доступом к базе
Процедура работы с базой не
содержит правил ИБ
Отсутствуют тренинги ИБ
Неправильно
сконфигурированная сеть
19. Шаг 3: Внедрить защитные меры
19
База клиентов
Актив
Конфиденциальность: раскрытие
базы конкурентам – по умыслу
Недостаточная защита с юридич.
точки зрения
Нет управления доступом к базе
Процедура работы с базой не
содержит правил ИБ
Отсутствуют тренинги ИБ
Неправильно
сконфигурированная сеть
Положение о коммерческой тайне - на подпись
каждому сотруднику
Политика управления доступом – роли, ревью
прав
Установлен регламент работы с базой – только
через терминальный доступ, только в рабочее
время, под определенными ролями
Тренировать сотрудников – с объяснением
причин, следствий. С проверкой знаний.
Заказать пен.тест.
Или лучше – заказать ИТ/ИБ аудит, для анализа
инфраструктуры и процессов.
20. • По халатности – забыли удалить
учетку уволившегося сотрудника
• Тот (вероятно от нечего делать),
продолжил «работать» с базой
клиентов
• Заметили случайно
• Приняли меры, но немного не те, и
не так
• См. детальный анализ в посте на FB
Кейс: уволенный сотрудник 3 месяца
воровал информацию у компании
Вопрос решился бы вот этой защитной мерой
20Источник: История поимки шпиона — как уволенный сотрудник 3 месяца воровал информацию у компании
База клиентов
Актив
Конфиденциальность: раскрытие
базы конкурентам – по умыслу
Политика управления доступом – роли, ревью
прав
21. Шаг 4: Мониторинг и контроль
• Выделить роль, отвечающую за ИБ
• Это может быть владелец бизнеса, либо сис.админ
• В ответственности – следить за выполнением уже принятых
защитных мер
• Проводить тренинги (и сам поймешь лучше)
21
22. Риски, с которыми вы практически ничего
не можете сделать
• Центральная программа, на
которой держится весь
бизнес
• Разрабатывается на 1С,
внутренним программистом,
или приходящим
программистом
• Программист имеет полный
(!) доступ ко всему
22
Выстроить процесс разработки ПО – включая управление
требованиями, тестирование на тестовых данных, никакого доступа к
реальным данным (прод)
Организовать роли, периодическое ревью прав (владельцы бизнеса не
знают кто живет у них в системе!)
И .. психологические меры к программисту) – отдельный специальный
NDA, личная беседа, периодический контроль