В рамках вебинара были рассмотрены основные процессы управления информационной безопасностью АСУ ТП, возможные варианты внедрение процессов управления ИБ АСУ ТП на предприятии и способы их автоматизации.
Дата вебинара 03 декабря 2015 года.
Запись доступна на канале YouTube: https://youtu.be/b4OJtTk0dB4
Докладчик: Юлия Добровольская
2. • Основные процессы управления информационной
безопасностью АСУ ТП
• Внедрение процессов управления ИБ АСУ ТП на
предприятии
• Автоматизация процессов управления информационной
безопасностью АСУ ТП
Содержание
3. Основные процессы управления ИБ
• ISO/IEC 27001:2005
• 1.Процессный подход к
управлению ИБ
• 2.Использование модели
PDCA:
• «Планирование»
• «Осуществление»
• «Проверка»
• «Действие»
3
Управление
рисками ИБ
Управление
инцидентам
и ИБ
Управление
активами
Управление
персоналом
Управление
соответствием
требованиям ИБ
Управление
непрерывно
стью
4. Основные процессы управления ИБ
• Приказ ФСТЭК России
№ 31
• ГОСТ Р ИСО/МЭК 27001
• ISO/IEC 27002:2005
• ISO/IEC 27005:2008
• NIST SP 800-82
4
Управление
рисками ИБ
Управление
инцидентам
и ИБ
Управление
активами
Управление
персоналом
Управление
соответствием
требованиям ИБ
Управление
непрерывно
стью
5. Реализация процессов управления ИБ
• Каждый процесс –
набор связанных
процедур,
использующих ресурсы
и имеющих свой
результат
5
Оценка риска
Идентификация риска
Анализ риска
Установление области оценки
Обработка риска
Мониторингианализриска
6. Реализация процессов управления ИБ
6
Инициация
процесса
Приказ о проведении
оценки рисков ИБ
План оценки рисков
ИБ
Определение
целей и области
оценки рисков и
др.
Оценивание
рисков ИБ
Оформление
отчета об оценке
рисков
Опросные листы
Отчет об оценке
рисков
Реестр рисков ИБ
Опросные листы
7. Взаимосвязь процессов управления ИБ
7
Управление
инцидентами ИБ
Управление
рисками ИБ
Управление
активами
Управление
непрерывностью
Данные об
инцидентах ИБ
Данные об
инцидентах ИБ
Данные об
активах
Данные об
активах
Данные о рисках
8. Взаимодействие подразделений
8
Руководство
• стратегическое управление
• координация и контроль
• выделение ресурсов
Подразделение ИТ
• сопровождении сетей АСУ ТП и обслуживание технических
средств (РС,серверы,АСО)
Подразделение эксплуатации
• сопровождения АСУ ТП
Подразделение ИБ
• определение требований по ИБ АСУ ТП
• подбор решений по обеспечению ИБ
• внедрение и сопровождение системы
защиты АСУ ТП
9. Внедрение процессов управления ИБ АСУ ТП
9
Формирование
рабочей группы
• Определение целей
• Планирование
Анализ
существующих
процессов
• Идентификация процессов
обеспечения ИБ
• Разработка плана реализации
Разработка
процессов
управления ИБ
• Документирование процессов
• Определение ролей и сфер
ответственности
Реализация
процессов
управления ИБ
• Обучение персонала
• Контроль
выполнения
10. Проблемы внедрения системы управления ИБ АСУ ТП
10
Характеристика Проблемы
Множество внешних требований
263-ФЗ,приказ ФСТЭК России №31,
отраслевые требования,NIST,CIP NERC…
-Пересечение требований
-Затраты на соответствие
Интеграция с системой корпоративного
управления
Цели,риски,…
-Демонстрация результатов
-Достоверность оценок
Обширная область действия
Люди,филиалы,процессы,АСУ ТП,ИС…
-Контроль выполнения
-Оценка текущего состояния
Объем информации
Источники –СЗИ,АСУ ТП,люди,…
Хранение –БД,файлы,папки,…
-Актуальность информации
-Поиск и отчетность
11. Оптимизация процессов управления ИБ
11
Compliance
Governance
Risk Management
• Выявление,анализ и
приоритизация рисков
• Обработка рисков
• Мониторинг и пересмотр
рисков
Governance -
Стратегическое управление
• Определение целей бизнеса и
контроль их достижения
• Принятие руководящих
решений
Compliance Management
• Соблюдение внутренних и
внешних требований
13. Возможности автоматизации процессов управления ИБ
• Управление активами
• учет активов АСУ ТП
• назначение ответственных за активы
• определение уровня критичности обрабатываемой в АСУ ТП
информации
• формирование актов классификации АСУ ТП
• оповещение о необходимости произвести определение или
пересмотр класса защищенности АСУ ТП
• управление изменениями конфигурации АСУ ТП
13
15. Возможности автоматизации процессов управления ИБ
• Управление рисками ИБ
• инициация и контроль процесса оценки рисков ИБ
• формирование модели нарушителя и модели угроз
• системный анализ рисков для определения наиболее актуальных
направлений обеспечения ИБ АСУ ТП
• рациональная оценка ожидаемых потерь с целью обоснования
необходимости внедрения дополнительных средств защиты
информации
• переоценка остаточных рисков после внедрения средств защиты
15
17. Возможности автоматизации процессов управления ИБ
• Управление инцидентами ИБ
• оперативное получение информации об инциденте ИБ АСУ ТП из
внешних систем
• использование актуальной информации о реализованной угрозе ИБ
и активах для анализа инцидента ИБ АСУ ТП
• инициация рабочего процесса обработки инцидента ИБ
• корректировка статистических данных и управление знаниями по
итогам инцидента ИБ
17
19. Возможности автоматизации процессов управления ИБ
• Управление соответствием
• оперативное представление внешней и внутренней нормативной
документации
• демонстрация свидетельств выполнения требований
• демонстрация полноты реализации требования и охвата системы
защиты
• представление требуемой информации в агрегированном виде
19
21. Возможности автоматизации процессов управления ИБ
• Управление персоналом
• разработка и ведение планов обучения
• размещение обучающих материалов и информирование персонала
по вопросам обеспечения ИБ АСУ ТП
• тестирование и хранение результатов тестирования работников по
вопросам обеспечения ИБ АСУ ТП
21
23. • Создание системы управления ИБ АСУ ТП позволит
обеспечить адекватность процессов обеспечения ИБ АСУ
ТП существующим рискам
• Система управления ИБ АСУ ТП требует непрерывной
поддержки
• Использование средств автоматизация позволит повысить
эффективность системы управления ИБ
Выводы