Применение международных стандартов в области

информационной безопасности. Украинские реалии.

Владимир Ткаченко, CISA, CISSP, Certified ISO 27001 Lead Auditor/ Certified ISO 27001 Lead Implementer

Директор ООО «Агентство активного аудита»

ISO27001ISO27002ISO9001

SOX (Sec.404)

NERC/FERC- CIP,

FISMA, NIST

PCI DSS v. 3.0PA-DSS v. 3.0

EU Data Protection Directive (Directive 95/46/EC)

15.04.2023

Влияние нормативных и регуляторных требований

Sarbanes- Oxley Act of 2002, North American Electric Reliability Corp./ Federal Energy Regulatory Commission – Critical Infrastructure Protection, Federal Information Security management Act

Basel II: International Convergence of Capital Measurement and Capital Standards: a Revised Framework

Национальный банк Украины

СОУ Н НБУ 65.1 СУИБ 1.0:2010

Directive 95/46 of the European Parliament and the Council of 24 October 1995 Вопросы защиты ПДн при их обработке, обмене и хранении в странах-членах ЕС

Обзор стандартов и нормативных актов, требующих оценки защищенности

15.04.2023 © ООО «Агентство активного аудита» 3

Нормативный акт (международный

стандарт)

Оценка защищенности

(аудит)Анализ рисков

Сканирование уязвимостей

Тест на проникновение

ISO\IEC 27001:2013,ISO\IEC 27002:2013

Раздел 9 Раздел 6 Раздел 12.6, 12.7 Раздел 18.2

СОУ Н НБУ 65.1 СУИБ 1.0:2010,

СОУ Н НБУ 65.1 СУИБ 2.0:2010

Раздел 6 Раздел 4 Раздел 12.6 Раздел 15.2

ISO\IEC 27007:2011ISO\IEC 19011:2011

Весь стандартВ части касающейся СУИБ

Согласно ISO/IEC 27001

Раздел 7.2.3.3.1 -

ISO\IEC 27032:2012Раздел 13.3.5 Раздел 11.2 Раздел 9.3 Раздел 13.3.5

PCI DSS v.3.0(PA-DSS v.3.0)

Весь стандарт Требование 6.2

Требование 6.2, 11.1, 11.2

Требование 11.3

Требования по тестированию ISO 27001 (27002)

(управление уязвимостями)

15.04.2023 © ООО «Агентство активного аудита» 4

Раздел 12.6 – определяет процесс управления уязвимостями для снижения вероятности реализации рисков их эксплуатации

Контроль изменений

Защита на уровне ОС и протоколов

Управление обновлениями Тестирование

Для организации процесса предлагается: Определить роли и обязанности

Определить как выполнять процесс (коммерческое или бесплатное ПО, или оборудование)

Определить критерии оповещения и реакции на них

Оценить риск и предложить варианты обработки

Выполнить действия в соответствии с процессом управления изменениями или инцидентами

Если есть обновление, протестировать его и оценить последствия его внедрения

Необходимо документировать весь процесс

Проводить постоянный мониторинг состояния уязвимости (в первую очередь для критических систем)

Если нет обновления:+ По возможности - отключить

уязвимый сервис или функцию+ Внедрить доп. Меры защиты (если

возможно) + Усилить мониторинг за уязвимой

системой+ Информировать персонал об

уязвимости

Требования по тестированию ISO 27001 (27002)(техническое соответствие)

15.04.2023 © ООО «Агентство активного аудита» 5

Раздел 18.2 – определяет соответствие политикам и стандартам безопасности и техническое соответствие. Нас интересует 18.2.1 и 18.2.3Для организации процесса предлагается: Проводить его вручную или автоматизированно с

последующей интерпретацией результатов специалистом

Предъявить повышенные требования к квалификации (например, обследование защищенности ОС)

Как правило, выполнять с привлечением третьей стороны

Что получим?1) «Мгновенный снимок» (на самом деле не совсем ;-) системы или

совокупности систем в определенном состоянии в определенное время2) Результат ограничивается теми элементами системы (или систем),

которые участвовали в процессе проникновения3) Тестирование на проникновение не заменяет оценку рисков

Требования по аудиту ISO 27007:2011

15.04.2023 © ООО «Агентство активного аудита» 6

ISO\IEC 27007:2011 – Информационные технологии – Методы обеспечения безопасности – Руководство по аудиту СУИБ

Для организации процесса предлагается: Разработать программу аудита СУИБ

Ограничить область аудита

Определить риски аудита

Определить ресурсы для проведения аудита

Реализовать программу аудита

Провести аудит

Зачем это «лирическое отступление»?1) См. способы организации и отчетности2) Чтобы понять как правильно организовать процесс с ПОЛЕЗНЫМ

результатом

Требования по кибербезопасности ISO\IEC 27032:2012

15.04.2023 © ООО «Агентство активного аудита» 7

ISO\IEC 27032:2012 – Информационные технологии – Методы обеспечения безопасности – Руководство по обеспечению кибербезопасности

Требования по кибербезопасности ISO\IEC 27032:2012

15.04.2023 © ООО «Агентство активного аудита» 8

ISO\IEC 27032:2012 – Информационные технологии – Методы обеспечения безопасности – Руководство по обеспечению кибербезопасности

Стандарт предлагает пути устранения рисков кибербезопасности, таких как: Атаки методами социальной инженерии Хакинг Зловредное ПО (malware) Шпионское ПО и другое потенциально небезопасное (нежелательное) ПО Атаки организованных групп кибермошенников через Internet (подготовка к обнаружению, идентификация и предотвращение))

Также стандарт определяет способы распространения информации об инцидентах, координацию между участниками процесса при реакции на инциденты и в основном применяются требования 19011:2011)

Требования к тестам косвенно описаны в 12.2 (3) 13.3.5 (13.5.6) = 13.6 jРегулярно тестировать безопасность- Критических приложений;- Операционных систем;- Систем управления базами данных

Требования по сканированию PCI DSS

15.04.2023 © ООО «Агентство активного аудита» 9

Требование 6.2 :6.2.а – необходимо наличие процесса идентификации и назначения уровней риска обнаруженным уязвимостям. (Ранее в версии 2.0 предлагалось «высоким» уровнем риска считать уязвимости с уровнем 4,0 и выше по CVSS) c 30/06/2012 – это становилось обязательным требованием. На данный момент разрешается использовать внутрикорпоративную шкалу рисков.)

Требование 11.1 :Следует ежеквартально проверять наличие беспроводных точек доступа и отслеживать неавторизованные беспроводные точки доступа (801.11).

Common Vulnerability Scoring System (CVSS-SIG) – Общая система учета уязвимостей - это метод ранжирования уязвимостей ИТ систем http://www.first.org/cvss

Требования по сканированию PCI DSS

15.04.2023 © ООО «Агентство активного аудита» 10

Требование 11.2.1 (внутреннее сканирование)Необходимо проводить ежеквартальное внутреннее сканирование сегмента сети и систем, где хранятся и обрабатываются данные держателей пластиковых карт

«ИНТЕРЕСНЫЕ ДЕТАЛИ»:11.2.1.aУбедиться ,что сканирование проводилось ежеквартально за период 12 месяцев (должно быть 4 отчета)11.2.1.bУбедиться, что процесс сканирования учитывает повторное сканирование после устранения уязвимостей с уровнем риска «высокий» (соблюдена норма 6.2)11.2.1.сВнутреннее сканирование может проводить квалифицированный персонал другого подразделения или третья сторона при этом наличие QSA/ASV не требуется

Требования по сканированию PCI DSS

15.04.2023 © ООО «Агентство активного аудита» 11

Требование 11.2.2 (внешнее сканирование)Необходимо проводить ежеквартальное внешнее сканирование с помощью компании - авторизованного вендора (Approved Scanning Vendor – ASV). Статус выдается и поддерживается комитетом по безопасности индустрии пластиковых карт (Plastic Card Industry Security Standard Counsil – PCI SSC)

«ИНТЕРЕСНЫЕ ДЕТАЛИ»:Сканирование можно проводитьASV «классически» по договору – дорого и медленноASV SaaS – быстро и оптимально по затратам

https://www.pcisecuritystandards.org/approved_companies_providers/approved_scanning_vendors.php

Решения по сканированию PCI DSS

15.04.2023 © ООО «Агентство активного аудита» 12

Беспроводные сети и внутреннее сканирование 11.1, 11.2.1- Силами подразделения ИБ (или ИТ)- Внешняя компания (необязательно ASV/QSA)

Внешнее сканирование 11.2.2- Только внешняя компания ASV

Сканирование после внесения изменений (внешнее и внутреннее) 11.2.3- Силами подразделения ИБ (или ИТ)- Внешняя компания (необязательно ASV/QSA)

Оптимальный по финансам способ организации сканирования- ПО для сканирования - Аппаратный сканер (реальный или виртуальный)- Услуга внешней компании (необязательно ASV/QSA для внутреннего

сканирования)- Услуга SaaS от ASV

Требования по тестированию PCI DSS

15.04.2023 © ООО «Агентство активного аудита» 13

Требование 11.3 (тестирование на проникновение)Необходимо проводить ежегодно (а также при значительных изменениях в инфраструктуре) внутренний и внешний тест на проникновение на уровне сети (включая ОС) и приложения(ний)

«ИНТЕРЕСНЫЕ ДЕТАЛИ»:11.3.1 Внешнее тестирование на проникновение тест проводился ежегодно (должен быть отчет) квалифицированным персоналом или третьей

стороной при этом наличие QSA/ASV не требуется11.3.2 Внутреннее тестирование на проникновение тест проводился ежегодно (должен быть отчет). квалифицированным персоналом другого

подразделения или третьей стороной при этом наличие QSA/ASV не требуется

11.3.3 Повторное тестирование, если обнаружены эксплуатируемые уязвимости

15.04.2023 14

Стандарты разные нужны. Стандарты разные важны

© Володимир Ткаченко, CISA, CISSP, ISO 27001 LA, ISO 27001 LI - Агентство Активного Аудиту

Бизнес-процессы описаны, контролируются и документация ведется

Критичность определена, риски оценены, имеют владельцев и обработаны.Процессы ИБ действуют.

Критерии непрерывности определены, критичность оценена.Планы BC/DR разработаны и протестированы.

Организация и управление ИТ в соответствии с целями бизнесаОптимизация и повышение производительности.

ISO 27032:2012ISO 27033-1(6)

Вопросы

info@auditagency.com.ua

www.auditagency.com.ua

044 228 15 88