Создание СУИБ в организации на примере 5 реализованных...
DESCRIPTION
Презентация Акатьевой Марии, заместителя директора департамента продуктов и услуг компании LETA проведенная в рамках конференции «Грани ИБ Законодательство, процессы, технологии» 13-15 октября 2011 г. в «Атлас Парк-Отель»TRANSCRIPT
Создание СУИБ в организации на примере 5 реализованных проектов LETA 2010-2011гг.
+7 (495) 921 1410 / www.leta.ruАвгуст 2011
Акатьева Мария, Заместитель директора департамента продуктов и услуг компании LETA
2
СОДЕРЖАНИЕ
• Специфика реализации СУИБ в 2010 – 2011 годах
• Практика внедрения СУИБ
• Выводы
+7 (495) 921 1410 / www.leta.ru
3+7 (495) 921 1410 / www.leta.ru
СПЕЦИФИКА РЕАЛИЗАЦИИ СУИБ 2010 – 2011 ГОД
СУИБ
Под сертификацию
Практические задачи
управления ИБ
Система управления ИБ
4
СПЕЦИФИКА РЕАЛИЗАЦИИ СУИБ 2010 – 2011 ГОД
• Автоматизация процессов управления
• Более сжатые сроки реализации (ранее разработка СУИБ – 12 месяцев, сейчас - ~ 6 месяцев)
• СУИБ востребована в связке с набором стандартов и практик
(ФЗ 152, ITIL, СТО БР ИББС и т.д.)
+7 (495) 921 1410 / www.leta.ru
5
СПЕЦИФИКА РЕАЛИЗАЦИИ СУИБ 2010 – 2011 ГОД
• Аутсорсинг процессов СУИБ (контроль уязвимостей, обучение, аудиты и т.д.)
• Задача – сертификация не является первоочередной задачей (за 2010 – 2011 год было проведено всего 5 новых сертификаций по сведениям BSI)
• «Один СУИБ – два Исполнителя»: Компания - аудитор и Компания - интегратор
• Каждый СУИБ уникален!
+7 (495) 921 1410 / www.leta.ru
6
ОБЩИЕ ЭТАПЫ РЕАЛИЗАЦИИ ПРОЕКТА
+7 (495) 921 1410 / www.leta.ru
Обследование
Границы проекта
Анализ рисков ИБ
Проектирование СУИБ
Внедрение СУИБ
Сертификация
СУИБ
7
ОПЫТ ПРОВЕДЕННЫХ ПРОЕКТОВ
• СУИБ в соответствии с ISO 27001 + ФЗ 152 + автоматизация
(крупная газовая компания, крупный урановый холдинг)
• СУИБ в соответствии с ГОСТ Р ИСО МЭК 27001:2006 + автоматизация
(крупная нефтяная компания)
• СУИБ в соответствии ISO 27001 + ITIL + автоматизация
(крупная авиационная компания)
• СУИБ в соответствии с ISO 27001 + сертификация (ЗАО «Лета»)
+7 (495) 921 1410 / www.leta.ru
8+7 (495) 921 1410 / www.leta.ru
• СУИБ в соответствии с ISO 27001 + ФЗ 152 + автоматизация
(газовая компания, крупный урановый холдинг)
9
ОБЩИЕ СВЕДЕНИЯ
• Площадки:
• Длительность проекта:
• Ключевые цели проекта:
+7 (495) 921 1410 / www.leta.ru
1 площадка, Москва
10 месяцев
- Внедрение СУИБ в соответствии с ISO 27001 и ФЗ 152
- Автоматизация ряда процессов СУИБ
- Сертификация
10
ОСОБЕННОСТИ ПРОЕКТА
+7 (495) 921 1410 / www.leta.ru
• Выполнение в ходе проекта двух задач – соответствие ISO 27001 и ФЗ 152
(подход «от процессов управления»)
• Разработка критериев выбора бизнес-процессов для внедрения СУИБ, согласование области с высшим руководством
• Разработка ТЗ на каждый из процессов ИБ и согласование ТЗ с ключевыми ответственными
• … (проект находится в процессе выполнения)
11
ОСОБЕННОСТИ ПРОЕКТА
+7 (495) 921 1410 / www.leta.ru
Управляющие бизнес-процессы
Операционные бизнес-процессы
Бизнес-процессы развития
Операционные бизнес-процессы
Обеспечивающие бизнес-процессы
Обязательны для включения в ОД СУИБ
Желательны для включения в ОД СУИБ
Не обязательны для включения в ОД СУИБ
• Выбор области внедрения и сертификации СУИБ
12
ОСОБЕННОСТИ ПРОЕКТА
+7 (495) 921 1410 / www.leta.ru
• Разработка ТЗ на СУИБ
СОГЛАСОВАНО
13
КЛЮЧЕВЫЕ РЕЗУЛЬТАТЫ ПРОЕКТА
• Планы по ИБ разработаны с учетом внедрения ISO 27001 и ФЗ 152
• Выбрана область деятельности внедрения и сертификации СУИБ
• Разработано техническое задание на все процессы СУИБ
+7 (495) 921 1410 / www.leta.ru
Экономия ресурсов на стадии обследования!
Обоснование выбора перед высшим руководством!
Экономия времени на согласование!
Понимание СУИБ рабочей группой!
14+7 (495) 921 1410 / www.leta.ru
• СУИБ в соответствии с ГОСТ Р ИСО МЭК 27001:2006 + автоматизация
(крупная нефтяная компания)
15
ОБЩИЕ СВЕДЕНИЯ
• Площадки:
• Длительность проекта:
• Ключевые цели проекта:
+7 (495) 921 1410 / www.leta.ru
1 площадка, Москва
3 месяца
- Внедрение СУИБ в соответствии с ГОСТ Р ИСО/МЭК 27001—2006
- Автоматизация процессов управления активами и рисками ИБ
16
ОСОБЕННОСТИ ПРОЕКТА
• Разработка СУИБ проводилась на соответствие требованиям ГОСТ Р ИСО/МЭК 27001—2006
• Уникальная разработка автоматизированной системы управления жизненным циклом СУИБ на базе решений продуктов Altiris:
Altiris CMDB – инвентаризация активов Altiris SMP – портальное решение Symantec Workflow – организация
взаимодействия
• Разработка полного комплекта документации для соответствия требованиям стандарта ГОСТ Р
+7 (495) 921 1410 / www.leta.ru
17
• Разработка и проектирование процесса управления активами на базе международного стандарта ISO 27005
+7 (495) 921 1410 / www.leta.ru
ОСОБЕННОСТИ ПРОЕКТА
18
ОСОБЕННОСТИ ПРОЕКТА
+7 (495) 921 1410 / www.leta.ru
• Автоматизация процесса управления рисками ИБ
19
ОСОБЕННОСТИ СИСТЕМЫ
+7 (495) 921 1410 / www.leta.ru
Регистрация риска
Согласование риска
Редактирование риска
Принятие решения по обработке
риска
Р
Р
Р
Регистрация проблемы
Согласование проблемы
Редактирование проблемы
П
П
П
Р
Регистрация и редактирован
ие мер контроля
М
Зарегистрирована
Подтверждена
Отклонена
Зарегистрирован
Отклонен
Р
На повторное согласован
ие
Принят
К обработке
М
М
М
П
На повторное согласован
ие
Problem_creator
Problem_reviewer
Risk_reviewer
Risk_creator
Risk_creator
Risk_approver
Control_creator
Problem_creator
П
Р
М
Проблемы (уязвимости)
Риски
Меры обработки рисков
А
А
Вторичныеактивы из системы
CMDB
Первичныеактивы из системы CMDB
A Активы
Р
П
М
Неактуальна
Неактуален
Конец жизненного цикла объекта
Внедрена
Внедряется
К внедрению
Предложена
Неактуальна
Risk_creator
НЕТ
Приводит к новому риску?
ДА
20
ОСОБЕННОСТИ ПРОЕКТА
+7 (495) 921 1410 / www.leta.ru
• Разработана ролевая модель процесса управления рисками:
Problem Creator - Работник, идентифицирующий проблемы
Problem Reviewer - Работник, подтверждающий наличие проблем
Risk Creator - Работник, идентифицирующий риски Risk Reviewer - Работник, подтверждающий наличие
риска Control Creator - Работник, определяющий меры
контроля (обработки) риска Risk Approver - Работник, принимающий решение об
обработке риска
21+7 (495) 921 1410 / www.leta.ru
Разработано: 14 – политик , 14 – процедур, 8 - прочих документов
ОСОБЕННОСТИ ПРОЕКТА
22
• Запущена в эксплуатацию система управления жизненным циклом СУИБ
• Разработана четкая схема действий ИБ в случае выявления, оценки и утверждения мер по обработке рисков ИБ
• Достигнуто соответствие требованиям ГОСТ Р, СУИБ готова к сертификации !
+7 (495) 921 1410 / www.leta.ru
КЛЮЧЕВЫЕ РЕЗУЛЬТАТЫ
СУИБ готова к сертификации !
Облегчение ОИБ работы с самыми трудоемкими процессами СУИБ!
Оперативное управление риском по факту его появления!
23+7 (495) 921 1410 / www.leta.ru
• СУИБ в соответствии сISO 27001 + ITIL + автоматизация
(крупная авиационная компания)
24
ОБЩИЕ СВЕДЕНИЯ
• Площадки:
• Длительность проекта:
• Ключевые цели проекта:
+7 (495) 921 1410 / www.leta.ru
1 площадка, Москва
8 месяцев
- Выстраивание сквозных процессов управления между ИТ и ИБ в соответствии с ISO 27001
- Интеграция требований по ИБ в ИТ процессы Организации
- Разработка требований по ИБ на уровне Корпорации
25
• Проведение GAP-анализа и выбор приоритетных для внедрения процессов СУИБ (подход «от процессов обеспечения»)
• Разработка процессов СУИБ в соответствии с требованиями ISO 27001:2005 и ITIL c учетом специфики госучреждения
• Автоматизация процессов на базе решений: Manage Engine Service Desk Plus (доработка интерфейсов и взаимосвязей)
MaxPatrol
+7 (495) 921 1410 / www.leta.ru
ОСОБЕННОСТИ ПРОЕКТА
26
АВТОМАТИЗИРОВАННЫЕ ПРОЦЕССЫ
+7 (495) 921 1410 / www.leta.ru
27
ОСОБЕННОСТИ ПРОЕКТА • Разработка процессов управления
инцидентами и изменениями с точки зрения ИБ
+7 (495) 921 1410 / www.leta.ru
28
ОСОБЕННОСТИ ПРОЕКТА
• Внедрено автоматизированное решение по идентификации, анализу и обработке уязвимостей ИБ
+7 (495) 921 1410 / www.leta.ru
29
ОСОБЕННОСТИ ПРОЕКТА
+7 (495) 921 1410 / www.leta.ru
30
КЛЮЧЕВЫЕ РЕЗУЛЬТАТЫ
• Разработан корпоративный стандарт по управлению ИБ
• Разработано более 20 документов в соответствии с требованиями ISO 27001:2005 и рекомендациями ITIL
• Проведена доработка Manage Engine под задачи ИБ
• Внедрение процесса управления уязвимостями на базе MaxPatrol
+7 (495) 921 1410 / www.leta.ru
Утверждение требований по ИБ в Корпорации!
Интеграции ИБ в процессы ИТ!
Удобная автоматизация!
31+7 (495) 921 1410 / www.leta.ru
• СУИБ в соответствии с ISO 27001 + сертификация
(ЗАО «Лета»)
32
ОБЩИЕ СВЕДЕНИЯ
• Площадки:
• Длительность проекта:
• Ключевые цели проекта:
+7 (495) 921 1410 / www.leta.ru
1 площадка, Москва
12 месяцев
- Обеспечение защиты персональных данных и клиентской информации посредством внедрения СУИБ
- Сертификация СУИБ на соответствие ISO 27001
- Разработка инструмента по оценке рисков ИБ
33
ОСОБЕННОСТИ ПРОЕКТА
+7 (495) 921 1410 / www.leta.ru
• Внедрение СУИБ в наиболее критичной области «Выполнение проектов по ИБ
(проектирование, внедрение, консалтинг, поддержка)
• Высокая занятость персонала – распределение обязанностей по разработке процессов
• Организация работы с основным поставщиком ИТ услуг (требования по ИБ)
• Выделение процессов для проведения испытаний с целью дальнейшего развития услуг по консалтингу СУИБ
34
ОСОБЕННОСТИ ПРОЕКТА
+7 (495) 921 1410 / www.leta.ru
Аsset InventoryModule
Risk Assessment Module
Reports
• Автоматизация процесса оценки рисков ИБ
35
ОСОБЕННОСТИ ПРОЕКТА
+7 (495) 921 1410 / www.leta.ru
• Система измерения эффективности
36
ОСОБЕННОСТИ ПРОЕКТА
+7 (495) 921 1410 / www.leta.ru
• Портал СУИБ
37
ОСОБЕННОСТИ ПРОЕКТА
+7 (495) 921 1410 / www.leta.ru
• Спланированная работа по подготовке к сертификации
Успешная сертификация
38
КЛЮЧЕВЫЕ РЕЗУЛЬТАТЫ ПРОЕКТА
• Разработаны все процессы СУИБ в соответствии с ISO 2700Х: ISO/IEC 27001:2005 ISO/IEC 27002:2005 ISO/IEC 27003:2010 ISO/IEC 27004:2009 ISO/IEC 27005:2011
• Успешная сертификация и самые лучшие отзывы BSI
• Улучшение идеологии ряда процессов СУИБ
• Разработан уникальный инструмент для анализа рисков ИБ!
• «Сапожник в сапогах»+7 (495) 921 1410 / www.leta.ru
39
ВЫВОДЫ
• Внедрение СУИБ – практическая задача улучшения процессов ИБ!
• СУИБ должен обеспечивать соответствие ряду требований одновременно
(СТО БР, 2194-У, ФЗ 152, ITIL, ГОСТ и т.д.)
• Выбор области деятельности должен быть подтвержден высшим руководством и реально значим для бизнеса Компании!
+7 (495) 921 1410 / www.leta.ru
40
ВЫВОДЫ
• Разработка ТЗ на СУИБ позволят сэкономить время и силы на согласования каждого отдельного процесса и позволяет формализовать точное ожидание у всех участников проекта по СУИБ
• Управляющие процессы могут быть автоматизированы и удобны в работе!
+7 (495) 921 1410 / www.leta.ru
41+7 (495) 921 1410 / www.leta.ru
Задачи каждого СУИБ уникальны, что требует высокого уровня квалификации консультантов!
ВЫВОДЫ
Наш опыт – залог успеха! Практические
задачи управления ИБ
42
КОНТАКТНАЯ ИНФОРМАЦИЯ
LETA IT-company109129, Россия, Москва, ул. 8-я Текстильщиков, д.11, стр. 2 Тел./факс: +7 (495) 921-1410Единая служба сервисной поддержки: + 7 (495) 921-1410 www.leta.ru
© 2010 LETA IT-company. All rights reserved.This presentation is for informational purposes only. LETA IT-company makes no warranties, express or implied, in this summary.
Спасибо!