Duration 25:04
16+
Play
Video

КАК выбирать и использовать ИБ фреймворки?

Duration 25:04
16+
Play
Video

КАК выбирать и использовать ИБ фреймворки?

Илья Борисов
Менеджер по ИБ регионального кластера СНГ at ThyssenKrupp Industrial Solutions
  • Video
  • Audio
  • Table of contents
  • Video
  • Audio
Код ИБ Онлайн 2020
January 29, 2020, Екатеринбург, Россия
Код ИБ Онлайн 2020
Video
КАК выбирать и использовать ИБ фреймворки?
Available
In cart
Free
Free
Free
Free
Free
Free
Add to favorites
27
I like 1
I dislike 0
Available
In cart
Free
Free
Free
Free
Free
Free
  • Description
  • Transcript
  • Discussion

About speaker

Илья Борисов
Менеджер по ИБ регионального кластера СНГ at ThyssenKrupp Industrial Solutions

10 лет опыта работы в области обеспечения информационной безопасности крупного международного промышленного концерна. Основные компетенции лежат в области риск-менеджмента, выстраивания процессов ИБ, коммуникаций и повышения осведомлённости.Спикер профильных конференций, автор и преподаватель курсов по информационной безопасности.В настоящее время занимает должность менеджера по информационной безопасности по странам СНГ международной компании thyssenkrupp Industrial Solutions.

View the profile

About the talk

Код ИБ ОНЛАЙН Планирование

Share

Я хочу рассказать о теме которые я достаточно много рассказываю в последние годы уже наверное это о построении суеты и часто построение суп на базе IP From tarkov думаю что все так или иначе слышали асуи подсистема информационной безопасностью все так или иначе наверное не берёт её в каком-либо виде может быть это не всегда формализована иногда Это нечто устоявшееся просто доисторическим но как выглядит скажем так правильная суиб Да правильно суиб классический выглядит виде пирамидки который вы видите на экране в которой начинается

А дальше уже идут политики стандарты руководство и процедуры Да я не буду останавливаться на каждом из этих блоков Потому что это не совсем тема сегодняшнее выступление отмечу лишь то что на самом деле большинство останавливается на том внедрение суиб на том что вот всего очень много нужно до нужно разработать верхнего уровня документы и не инструкции и лучшие практики и потом к этому добавляется риск-менеджмент и люди обычно на этом моменте всё впадают в ступор Ещё говорят что нет это всё очень сложно.

А попроще Да вот по старинке Будем ставить Firewall настраивать его защищаться тут защищаться там в результате получается называют лоскутной и B то есть на самом деле люди строят вот затыкают дырки да то есть возникла проблема Не знаю там с безопасностью поинтов поставить protection до возникла проблема с безопасности поставили Firewall It's не знаю плюс к этому обязательно надо купить сейчас что-нибудь съем или что-то так вот опять же где-то слышали

что нужно Варна с какие-то плакаты и так далее да И на самом деле получается вот вот вот лоскутное ведет к таким же лоскутным инвестициям и что плохо с Любой лоскутной системы Да есть здесь пробел а то есть пробел Это плохо да на самом деле пробел это те области которых вашей безопасности отсутствует либо ниже чем должна быть и вот тут как раз вот тут то что на экране Да она помогает а то есть судеб стандарты и различные лучшие практики как раз помогают строить судьбу

правильно до низа такая дырки а именно сверху снизу вверх неважно но сильно и именно закрывай все аспекты ещё один крайне важный момент ну собственно Мы все знаем до что в первую очередь это эффективность Да А так вот судеб имеет встроенный механизм контроля эффективности которая отсутствует при внедрении который позволяет действительно А контролировать свои расходы и их эффективность до показывать руководству Где находится и B до насколько она хороша насколько она эффективна

с точки зрения как технической так организационной и как правило и финансовой а опять сюда как я уже сказал фразу Всё хватит сложно и типовой вопрос У всех с чего начать внедрение вот сейчас у меня есть готовый ответ нужно посмотреть в сторону какого-нибудь фреймворка как бы это там странно не звучало или незнакома приборка дкаркас пригорка это разновидность Если хотите стандартов или лучших Практик которые позволяют выстроить именно каркас информационной безопасности потом на него уже

нарастить мясо Доведи технических организованных и прочих мер чтобы упростить задачу Да можно выделить четыре основных стандартов разборка как угодно их можете называть это 50 су-27. Да сиси, это бывший Санс топ, 20 он и так и так известен до сих пор на стороне и это не ставский Советский парк, Наверное если бы я тебе популярности среди этом скажем нефинансовый, то на больших высот 2701 у нас а низкий является SF набирающий популярность фреймворков, который Ну не знаю почти повсеместно упоминается, и я

бы сказал, что если говорить сейчас, то я в первую очередь смотрел в сторону Не ссы, Хотя исторические лично моё побольше лежит в области ISO 27001. А это не всё есть ещё стандарты. А так или иначе относящиеся вот австралийский. хороший очень очень рекомендую всегда знакомиться это фстэк копит как высокоуровневый и то что касается это больше в сторону защита критической инфраструктуры Тюмени тоже хорошее но это опционально Давайте посмотрим собственно насколько

насколько они объёмным Ну самый простой способ это сравнить контроль Да контроль если Те кто не знаком с этими стандартами это вот норматив Кемера управления приказы фстэк вот это то что было заимствовано из соответствует соответствует этих стандартов Да и можно видеть количество мера отличается между наибольшим и наименьшим где-то в 2 раза тем не менее сами по себе на это не нужно мне нужно этом концентрируется думать что Чем больше тем лучше Нет на самом деле неважно сколько

их важно что Их достаточно для покрытия почти всех областей информационной безопасности Вот это важно если бы было 15 тут стоило беспокоить если бы было 1000 это слишком Что что как работает в Оренбурге Да вот в середине тот самый бар quite никого там функции до которой передаётся на вход цели бизнеса технологии на в первую очередь в разрезе угрозу и законодательные требования Да это вот ну Три кита на которых стоит ИП на самом деле и на выходе мы имеем готовые методология и Б В который включает

технические организационные контроля которые ещё положение о применимости или состоит of applicability называются это различные технические руководства и что крайнего многие забывают это метрики а потому что без метрик очень-очень сложно определиться насколько хороша наша система насколько успешно А после того как мы определились что мы используем прибор как наиболее простой способ встаёт вопрос по пять Что делать с остальными требованиями так вот с таким требованием нужно делать приоритеты до нужно определять приоритеты нужно определиться с тем что для нас

наиболее важно Ну на экране выйти некий пример послойного такого пирожка и спорите Тавда где там самым важным является Атриум 152 ФЗ дальше рпрц ISO 27001 опять же не стоит зацикливаться на том Это реалистично потому что это просто примеры этих требований может могут быть абсолютно любыми то есть в зависимости от области бизнеса вашей компании Да и соответствующих требует включая нормативный в первую очередь в зависимости от финансовых возможностей и от возможностей интеграции Да вот это вот это первого корпуса Так и по

опред может быть разные Абсолютно Да в том числе это могут быть внутренние стандарты такой вариант тоже возможен А собственно когда мы выбрали вот этот вот пирог до Типовая проблема Как это работает Без суеты Мы внедряем сначала защищаем персональные данные потом защищаем не знаю какие потом мы защищаемся от каких-либо в соответствии там с лучшими практиками с бюллетенями полученными до посылками и так далее А вот так делать не нужно потому что нужно потратить не какое время

анализ Да я кажется что почти все так или иначе современные стандарты и фреймворки имеют так называемые mapping Data есть Они между собой связаны в большинстве случаев современные фреймворки предлагают уже в составе фреймворк Вот эту вот mapping с другими фреймворками до той части вниз сафу можете найти mapping с из яйца топ 22 sansto с кабинетом и ISO 27001 То есть это крайне неудобно потому что во мне нужно одно и тоже внедрять дважды ато при этом Ну то есть мы будем всегда понимаем что когда у тебя что-то

есть это хоть что-то новый нужно посмотреть Подходит ли что-то новое Но вот фреймворки модель позволяет оценить заранее сильно заранее да. мы только начинаем мы можем уже посмотреть что можно сложить вот в этот пирожок Да что можно исключить А что что как это может выглядеть до например вот так вот что требования к антивирусной защите есть Практически везде Ну вот не сюрприз что они оказались в 4 выбранных в Горках а они несколько отличаются по описанию но тут мы приходим к несколько

другой интересной проблеме а то есть 1 видим что антивирусная защита покрывается в любом случае требованиями у всех фреймворков но встает очень хороший вопрос и он опять же очень очень очень актуальной в связи имена с особенностями российского рынка и историки Да а как делать антивирусную защиту есть требования есть эффективность Давайте посмотрим как это выглядит вот оно в реальной как бы жизни Да так ну О'кей шрифты съехали и она и анимации тоже А я думаю что все слушали модели зрелости так вот

и существует модель зрелости почти для всего на свете включая антивирусную защиту И если мы выбираем как размер контроля до внедрения антивирусной защиты то оказывается что это можно делать разными способами с абсолютно разным уровнем зрелости Ну да если мы возьмем интеграцию и обнаружение Да вот здесь вот два критерия антивирусной защиты антивирусного продукта там увидим что мы можем как остановиться на Первом уровне Да когда у нас есть сигнатурное обнаружение И нет никакой интеграции с другими продуктами

Да так и построить систему вот то что четвёртую Наверное плохо видно это интеграция через API а включай там различные корреляции данных Естественно С например с другими системами напрямую или используя систем и использование intelligence и анализа поведения да то есть в дополнение к простым лаком и политическому анализу понятно что это достаточно технические вещи но Что важнее для бизнеса и почему это действительно имеет значение Да это цена цена между уровнем один реализации цена между RAV4 на

колоссальное с точки зрения норматив ки разницы нет Да есть требование иметь антивирусную защиту она в случае будет хоть на Первом уровне ходит на четвёртом Да а вот эффективность её Как вы понимаете будет сильно сильно сильно отличаться и точки зрения подхода основана на модели зрелости всегда важно на самом деле рисовать не максимальный уровень это Типовая ошибка что люди думают что надо стремиться лучшему Чтобы достичь высокого Да но в реальной жизни как правило нужно просто чётко понимать а где мы хотим становится наша существующих бюджетов и

ресурсов и выбрать один из целевых уровней Да и к нему же стремиться опять же текущий текущее мой текущий уровень и Б это на самом деле одна из очень хороших метрик а потому что она а достаточно высокоуровневый б она отражает реальные возможности по защите так Я надеюсь у меня слышно потому что у меня сейчас возникла табличка нестабильное подключение к интернету Как секунду меня слышно отлично А вот всё О'кей двигаемся дальше у нас уже есть пирог есть модель зрелости

осталось всё это сложить воедино В общем случае получается вот такая штука они как её правильно называть Да она тоже многослойный многослойный многослойная система в которой по горизонтали выделенное требования до которой отмечено желтым красным или зелёным в зависимости от их критичности для бизнеса или критичности для соответственно точки зрения календарики А если мы соберём набор таких требованиях отметим критичные Да и Соединяем их там увидим что часть из них совпадает до таким образом

можем не делать одно и тоже несколько раз да то есть одним реализации одной из контроля или наборы контроля мы закрываем требования и бизнеса и не сразу А естественно Ну это не волшебная палочка Да она сама себя не реализует естественно возникнет огромная куча вопросов более там низкого порядка до касающихся там требования к конкретному оборудованию регуляторных требований к оборудованию или П О да В нашем конкретном случае ещё допустим может вмешаться Требования по импортозамещению сертификации и так далее тем не менее

в большинстве случаев мы можем вот эти вот требования сложить получить энергию а соответственно первую очередь мы делаем то что отмечено красным Да потом если остались ресурс жёлтым потом зелёным да либо но уже этом как правило в каком-то виде реализованных но на это нужно обязательно обязательно наложить то что это чём я говорил эту модель зрелости Да вот на верхних гранях вот этих параллелепипедов видно с ответ разные уровни зрелости до реализованных

решений тоже трехцветный светофор и вообще да если мы говорим вот о а именно там показателях и применение этого не только для ежедневной работы но и для связи с бизнесом то вот например статус в виде светофорной Да это всегда очень хорошо Это то что бизнес понимает практически на любом уровне Да это не всегда информативно можно очень долго ломать копья о том что Что значит жёлтый Да но в целом именно для там reporting это крайне крайне хорошо особенно если он регулярно и так выводы кратко

там если мы хотим внедрять суета это правильно и логично цена-качество базу на одном из стандартов не так на самом деле важно На каком потому что они все имеют идентичную структуру мы это видим вот требования к антивирусной защите Да все стандарт так иначе похоже то есть это набор общих требований организационных + набор контрольный до имя управления как он их можно называть В чём разница Разница есть в охвате Да есть специфические области которые в разных а

стандартных охваченной по-разному Там где-то они политехничный технические где-то более организационные Где ты есть большой области посвящённые комплаенсу и договором где ты их практически не туда опять же Это зависит сильно-сильно от вашего бизнеса от того чем вы занимаетесь театральный и B как бы нужно ездить на выбрать один из угольных камней которые вы увидите практически в любой реализации Это так или иначе так иначе притянутые risk Management risk Management еще одна причина которая не сказал Почему люди не делают суиб правильно до

бытует мнение что риск-менеджмента сложно это требует огромных усилий там не знаю большие Excel листы дорогущие приложения на самом На мой взгляд это сильно сильно сильно привлечения риск-менеджмент очень простая штука её можно делать но не знаю там на бумажке собственных имён в Каждый каждый день принимаю решение не знаю там что одеть взять ли зонтик Поехали на машине или на метро и так далее То это всё риск-менеджмента нет никаких предпосылок к тому чай который

успешно Дожил до роли менеджер или специалист по и B недостаточно хорошо управляет рисками таких предпосылок Я поэтому скорее всего абсолютно все способные хорошо делать риск анализ другое дело что вот как это представлять формализованном виде Да и Требуется ли она Это большой вопрос я лично считаю что если руководство выбрала кого-то делегировал полномочия по обеспечению БДД а то этого достаточно чтобы этому человеку доверять Если честно если он говорит что вот эта угроза актуально А это не очень актуальна это есть некий риск-менеджмент

неформализованный ты это в принципе достаточно если Вам нужно будет сертификация аудиторов и прочее Ну да тогда это нужно будет как-то оформлять но в обычной жизни в любом виде риск-менеджмент будет хорош Если вы сами не доверяете себе есть Отличный вариант соберитесь втроём Найдите двух руководителей и специалистов по и B выложите листочек и напишите на нём там список угроз рисков с оценкой посчитаете арифметическое будет неплохо Это точно можно презентовать руководству вот на mapping

сказал обязательно обязательно Используйте mapping обязательно ищите общие общие меры общие подходы между стандартами фреймворками опять же если вы нашли какой-то стандарт которому нет маппинга до например Это приказы фстэк а самая популярная еда в самом деле памятник существует только его делает не тот кто выпускает стандарт А в случаях отказывают так есть есть эксперты до которые вот этот mapping делает его можно без проблем скачать я не буду наверное

там сейчас называть имен вот ну я думаю тут легко найти Ну и возможно самое важное это профилирование паритета и метрики да то есть это обязательно выделение того что мы делаем и В какой последовательности а крайне важно делать крайне важно делать под долгосрочную программу да то есть как правило делают на год в виде стандартного бюджетированием крайне рекомендую иметь Пускай очень-очень-очень такой черновой но бюджет список приоритетов на 3 года Да понятно что всё меняется меняется на 3 года Это минимум Что нужно иметь голод и метрики метрики обязательно нужны хотя бы там

не знаю базовые очень опять же ничего там сложного нету на самом деле потому что можно начать с самых простых и потом уже их модернизировать под вашу всё на этом всё надеюсь я был краток и вас нет

Cackle comments for the website

Buy this talk

Access to the talk “КАК выбирать и использовать ИБ фреймворки?”
Available
In cart
Free
Free
Free
Free
Free
Free

Buy this video

Video

Access to the talk “КАК выбирать и использовать ИБ фреймворки?”
Available
In cart
Free
Free
Free
Free
Free
Free