Создание СУИБ в организации на примере 5 реализованных проектов LETA 2010-2011гг.

+7 (495) 921 1410 / www.leta.ruАвгуст 2011

Акатьева Мария, Заместитель директора департамента продуктов и услуг компании LETA

2

СОДЕРЖАНИЕ

• Специфика реализации СУИБ в 2010 – 2011 годах

• Практика внедрения СУИБ

• Выводы

+7 (495) 921 1410 / www.leta.ru

3+7 (495) 921 1410 / www.leta.ru

СПЕЦИФИКА РЕАЛИЗАЦИИ СУИБ 2010 – 2011 ГОД

СУИБ

Под сертификацию

Практические задачи

управления ИБ

Система управления ИБ

4

СПЕЦИФИКА РЕАЛИЗАЦИИ СУИБ 2010 – 2011 ГОД

• Автоматизация процессов управления

• Более сжатые сроки реализации (ранее разработка СУИБ – 12 месяцев, сейчас - ~ 6 месяцев)

• СУИБ востребована в связке с набором стандартов и практик

(ФЗ 152, ITIL, СТО БР ИББС и т.д.)

+7 (495) 921 1410 / www.leta.ru

5

СПЕЦИФИКА РЕАЛИЗАЦИИ СУИБ 2010 – 2011 ГОД

• Аутсорсинг процессов СУИБ (контроль уязвимостей, обучение, аудиты и т.д.)

• Задача – сертификация не является первоочередной задачей (за 2010 – 2011 год было проведено всего 5 новых сертификаций по сведениям BSI)

• «Один СУИБ – два Исполнителя»: Компания - аудитор и Компания - интегратор

• Каждый СУИБ уникален!

+7 (495) 921 1410 / www.leta.ru

6

ОБЩИЕ ЭТАПЫ РЕАЛИЗАЦИИ ПРОЕКТА

+7 (495) 921 1410 / www.leta.ru

Обследование

Границы проекта

Анализ рисков ИБ

Проектирование СУИБ

Внедрение СУИБ

Сертификация

СУИБ

7

ОПЫТ ПРОВЕДЕННЫХ ПРОЕКТОВ

• СУИБ в соответствии с ISO 27001 + ФЗ 152 + автоматизация

(крупная газовая компания, крупный урановый холдинг)

• СУИБ в соответствии с ГОСТ Р ИСО МЭК 27001:2006 + автоматизация

(крупная нефтяная компания)

• СУИБ в соответствии ISO 27001 + ITIL + автоматизация

(крупная авиационная компания)

• СУИБ в соответствии с ISO 27001 + сертификация (ЗАО «Лета»)

+7 (495) 921 1410 / www.leta.ru

8+7 (495) 921 1410 / www.leta.ru

• СУИБ в соответствии с ISO 27001 + ФЗ 152 + автоматизация

(газовая компания, крупный урановый холдинг)

9

ОБЩИЕ СВЕДЕНИЯ

• Площадки:

• Длительность проекта:

• Ключевые цели проекта:

+7 (495) 921 1410 / www.leta.ru

1 площадка, Москва

10 месяцев

- Внедрение СУИБ в соответствии с ISO 27001 и ФЗ 152

- Автоматизация ряда процессов СУИБ

- Сертификация

10

ОСОБЕННОСТИ ПРОЕКТА

+7 (495) 921 1410 / www.leta.ru

• Выполнение в ходе проекта двух задач – соответствие ISO 27001 и ФЗ 152

(подход «от процессов управления»)

• Разработка критериев выбора бизнес-процессов для внедрения СУИБ, согласование области с высшим руководством

• Разработка ТЗ на каждый из процессов ИБ и согласование ТЗ с ключевыми ответственными

• … (проект находится в процессе выполнения)

11

ОСОБЕННОСТИ ПРОЕКТА

+7 (495) 921 1410 / www.leta.ru

Управляющие бизнес-процессы

Операционные бизнес-процессы

Бизнес-процессы развития

Операционные бизнес-процессы

Обеспечивающие бизнес-процессы

Обязательны для включения в ОД СУИБ

Желательны для включения в ОД СУИБ

Не обязательны для включения в ОД СУИБ

• Выбор области внедрения и сертификации СУИБ

12

ОСОБЕННОСТИ ПРОЕКТА

+7 (495) 921 1410 / www.leta.ru

• Разработка ТЗ на СУИБ

СОГЛАСОВАНО

13

КЛЮЧЕВЫЕ РЕЗУЛЬТАТЫ ПРОЕКТА

• Планы по ИБ разработаны с учетом внедрения ISO 27001 и ФЗ 152

• Выбрана область деятельности внедрения и сертификации СУИБ

• Разработано техническое задание на все процессы СУИБ

+7 (495) 921 1410 / www.leta.ru

Экономия ресурсов на стадии обследования!

Обоснование выбора перед высшим руководством!

Экономия времени на согласование!

Понимание СУИБ рабочей группой!

14+7 (495) 921 1410 / www.leta.ru

• СУИБ в соответствии с ГОСТ Р ИСО МЭК 27001:2006 + автоматизация

(крупная нефтяная компания)

15

ОБЩИЕ СВЕДЕНИЯ

• Площадки:

• Длительность проекта:

• Ключевые цели проекта:

+7 (495) 921 1410 / www.leta.ru

1 площадка, Москва

3 месяца

- Внедрение СУИБ в соответствии с ГОСТ Р ИСО/МЭК 27001—2006

- Автоматизация процессов управления активами и рисками ИБ

16

ОСОБЕННОСТИ ПРОЕКТА

• Разработка СУИБ проводилась на соответствие требованиям ГОСТ Р ИСО/МЭК 27001—2006

• Уникальная разработка автоматизированной системы управления жизненным циклом СУИБ на базе решений продуктов Altiris:

Altiris CMDB – инвентаризация активов Altiris SMP – портальное решение Symantec Workflow – организация

взаимодействия

• Разработка полного комплекта документации для соответствия требованиям стандарта ГОСТ Р

+7 (495) 921 1410 / www.leta.ru

17

• Разработка и проектирование процесса управления активами на базе международного стандарта ISO 27005

+7 (495) 921 1410 / www.leta.ru

ОСОБЕННОСТИ ПРОЕКТА

18

ОСОБЕННОСТИ ПРОЕКТА

+7 (495) 921 1410 / www.leta.ru

• Автоматизация процесса управления рисками ИБ

19

ОСОБЕННОСТИ СИСТЕМЫ

+7 (495) 921 1410 / www.leta.ru

Регистрация риска

Согласование риска

Редактирование риска

Принятие решения по обработке

риска

Р

Р

Р

Регистрация проблемы

Согласование проблемы

Редактирование проблемы

П

П

П

Р

Регистрация и редактирован

ие мер контроля

М

Зарегистрирована

Подтверждена

Отклонена

Зарегистрирован

Отклонен

Р

На повторное согласован

ие

Принят

К обработке

М

М

М

П

На повторное согласован

ие

Problem_creator

Problem_reviewer

Risk_reviewer

Risk_creator

Risk_creator

Risk_approver

Control_creator

Problem_creator

П

Р

М

Проблемы (уязвимости)

Риски

Меры обработки рисков

А

А

Вторичныеактивы из системы

CMDB

Первичныеактивы из системы CMDB

A Активы

Р

П

М

Неактуальна

Неактуален

Конец жизненного цикла объекта

Внедрена

Внедряется

К внедрению

Предложена

Неактуальна

Risk_creator

НЕТ

Приводит к новому риску?

ДА

20

ОСОБЕННОСТИ ПРОЕКТА

+7 (495) 921 1410 / www.leta.ru

• Разработана ролевая модель процесса управления рисками:

Problem Creator - Работник, идентифицирующий проблемы

Problem Reviewer - Работник, подтверждающий наличие проблем

Risk Creator - Работник, идентифицирующий риски Risk Reviewer - Работник, подтверждающий наличие

риска Control Creator - Работник, определяющий меры

контроля (обработки) риска Risk Approver - Работник, принимающий решение об

обработке риска

21+7 (495) 921 1410 / www.leta.ru

Разработано: 14 – политик , 14 – процедур, 8 - прочих документов

ОСОБЕННОСТИ ПРОЕКТА

22

• Запущена в эксплуатацию система управления жизненным циклом СУИБ

• Разработана четкая схема действий ИБ в случае выявления, оценки и утверждения мер по обработке рисков ИБ

• Достигнуто соответствие требованиям ГОСТ Р, СУИБ готова к сертификации !

+7 (495) 921 1410 / www.leta.ru

КЛЮЧЕВЫЕ РЕЗУЛЬТАТЫ

СУИБ готова к сертификации !

Облегчение ОИБ работы с самыми трудоемкими процессами СУИБ!

Оперативное управление риском по факту его появления!

23+7 (495) 921 1410 / www.leta.ru

• СУИБ в соответствии сISO 27001 + ITIL + автоматизация

(крупная авиационная компания)

24

ОБЩИЕ СВЕДЕНИЯ

• Площадки:

• Длительность проекта:

• Ключевые цели проекта:

+7 (495) 921 1410 / www.leta.ru

1 площадка, Москва

8 месяцев

- Выстраивание сквозных процессов управления между ИТ и ИБ в соответствии с ISO 27001

- Интеграция требований по ИБ в ИТ процессы Организации

- Разработка требований по ИБ на уровне Корпорации

25

• Проведение GAP-анализа и выбор приоритетных для внедрения процессов СУИБ (подход «от процессов обеспечения»)

• Разработка процессов СУИБ в соответствии с требованиями ISO 27001:2005 и ITIL c учетом специфики госучреждения

• Автоматизация процессов на базе решений: Manage Engine Service Desk Plus (доработка интерфейсов и взаимосвязей)

MaxPatrol

+7 (495) 921 1410 / www.leta.ru

ОСОБЕННОСТИ ПРОЕКТА

26

АВТОМАТИЗИРОВАННЫЕ ПРОЦЕССЫ

+7 (495) 921 1410 / www.leta.ru

27

ОСОБЕННОСТИ ПРОЕКТА • Разработка процессов управления

инцидентами и изменениями с точки зрения ИБ

+7 (495) 921 1410 / www.leta.ru

28

ОСОБЕННОСТИ ПРОЕКТА

• Внедрено автоматизированное решение по идентификации, анализу и обработке уязвимостей ИБ

+7 (495) 921 1410 / www.leta.ru

29

ОСОБЕННОСТИ ПРОЕКТА

+7 (495) 921 1410 / www.leta.ru

30

КЛЮЧЕВЫЕ РЕЗУЛЬТАТЫ

• Разработан корпоративный стандарт по управлению ИБ

• Разработано более 20 документов в соответствии с требованиями ISO 27001:2005 и рекомендациями ITIL

• Проведена доработка Manage Engine под задачи ИБ

• Внедрение процесса управления уязвимостями на базе MaxPatrol

+7 (495) 921 1410 / www.leta.ru

Утверждение требований по ИБ в Корпорации!

Интеграции ИБ в процессы ИТ!

Удобная автоматизация!

31+7 (495) 921 1410 / www.leta.ru

• СУИБ в соответствии с ISO 27001 + сертификация

(ЗАО «Лета»)

32

ОБЩИЕ СВЕДЕНИЯ

• Площадки:

• Длительность проекта:

• Ключевые цели проекта:

+7 (495) 921 1410 / www.leta.ru

1 площадка, Москва

12 месяцев

- Обеспечение защиты персональных данных и клиентской информации посредством внедрения СУИБ

- Сертификация СУИБ на соответствие ISO 27001

- Разработка инструмента по оценке рисков ИБ

33

ОСОБЕННОСТИ ПРОЕКТА

+7 (495) 921 1410 / www.leta.ru

• Внедрение СУИБ в наиболее критичной области «Выполнение проектов по ИБ

(проектирование, внедрение, консалтинг, поддержка)

• Высокая занятость персонала – распределение обязанностей по разработке процессов

• Организация работы с основным поставщиком ИТ услуг (требования по ИБ)

• Выделение процессов для проведения испытаний с целью дальнейшего развития услуг по консалтингу СУИБ

34

ОСОБЕННОСТИ ПРОЕКТА

+7 (495) 921 1410 / www.leta.ru

Аsset InventoryModule

Risk Assessment Module

Reports

• Автоматизация процесса оценки рисков ИБ

35

ОСОБЕННОСТИ ПРОЕКТА

+7 (495) 921 1410 / www.leta.ru

• Система измерения эффективности

36

ОСОБЕННОСТИ ПРОЕКТА

+7 (495) 921 1410 / www.leta.ru

• Портал СУИБ

37

ОСОБЕННОСТИ ПРОЕКТА

+7 (495) 921 1410 / www.leta.ru

• Спланированная работа по подготовке к сертификации

Успешная сертификация

38

КЛЮЧЕВЫЕ РЕЗУЛЬТАТЫ ПРОЕКТА

• Разработаны все процессы СУИБ в соответствии с ISO 2700Х: ISO/IEC 27001:2005 ISO/IEC 27002:2005 ISO/IEC 27003:2010 ISO/IEC 27004:2009 ISO/IEC 27005:2011

• Успешная сертификация и самые лучшие отзывы BSI

• Улучшение идеологии ряда процессов СУИБ

• Разработан уникальный инструмент для анализа рисков ИБ!

• «Сапожник в сапогах»+7 (495) 921 1410 / www.leta.ru

39

ВЫВОДЫ

• Внедрение СУИБ – практическая задача улучшения процессов ИБ!

• СУИБ должен обеспечивать соответствие ряду требований одновременно

(СТО БР, 2194-У, ФЗ 152, ITIL, ГОСТ и т.д.)

• Выбор области деятельности должен быть подтвержден высшим руководством и реально значим для бизнеса Компании!

+7 (495) 921 1410 / www.leta.ru

40

ВЫВОДЫ

• Разработка ТЗ на СУИБ позволят сэкономить время и силы на согласования каждого отдельного процесса и позволяет формализовать точное ожидание у всех участников проекта по СУИБ

• Управляющие процессы могут быть автоматизированы и удобны в работе!

+7 (495) 921 1410 / www.leta.ru

41+7 (495) 921 1410 / www.leta.ru

Задачи каждого СУИБ уникальны, что требует высокого уровня квалификации консультантов!

ВЫВОДЫ

Наш опыт – залог успеха! Практические

задачи управления ИБ

42

КОНТАКТНАЯ ИНФОРМАЦИЯ

LETA IT-company109129, Россия, Москва, ул. 8-я Текстильщиков, д.11, стр. 2 Тел./факс: +7 (495) 921-1410Единая служба сервисной поддержки: + 7 (495) 921-1410 www.leta.ru

© 2010 LETA IT-company. All rights reserved.This presentation is for informational purposes only. LETA IT-company makes no warranties, express or implied, in this summary.

Спасибо!