Хакеры, скандальные утечки данных, целые отделы, занимающиеся вопросами ИБ в компании - все это больше из области теле-новостей про фирмы-гиганты. Но, "плачут не только богатые". У обычных небольших организаций, и у обычных людей - вопросы ИБ занимают все более важное место. В докладе будут даны рекомендации по ИБ для самых обычных организаций - небольших фирм от 10 сотрудников. Как хоть немного защититься в этом сложном информационном мире. Поговорим об ИБ - без фанатизма, без сертификации ИСО 27001 и без консультантов от "большой четверки".

1. Простая ИБ
для обычных организаций
Алексей Евменков,
Директор ИБ ISsoft, блоггер isqa.ru

2. Представление
• Специалист по ИБ (CISM), по процессам и качеству
в ИТ области
• Внедряю и подготавливаю к сертификации -
ИСО 27001 и 9001
• Первая в РБ ИСО 27001 сертификация (в2008г, Tieto)
• Консалтинг и сертификации ИСО 27001 - РБ, Россия,
Финляндия, Швеция, Прибалтика
• Последний крупный проект (март 2017г.) ИСО 27001
сертификация компании Exadel.
• Директор ИБ в компании Issoft
• Веду блог по ИБ и процессам isqa.ru
2

3. Что такое обычная организация?
• Штат 10-30 человек
• Нет выделенного ИТ отдела
• Максимум роль ИТ специалиста, либо
«приходящий спец»
• Простейшая ИТ инфраструктура
• Несколько комп-ров объединены в сеть, без
домена
• Серверная в виде старого (ненужного) ком-ра
под пустым столом
• Система железа и ПО выстраивалась по
«историческим причинам»
• Нелицензионное ПО
• Не то что ИБ, но и ИТ не слышали/не знают
3
Не думайте, что если вы – ИТ или финансовая
компания, то у вас все хорошо с ИБ:)

4. Из жизни
• Сервера – в шкафу (обычный встроенный
шкаф, с раздвижными дверьми)
• Летом бывает вылетает. Пожарник не видел.
• Серверная на кухне. Сотрудники ставят
кофе на корпус сервера
• В серверной – коммутационные трубы
под потолком
4

5. Современный контекст
• Мир меняется, очень быстро
• ИТ уже пришел, даже в небольшие организации
• Когда-то ИТ был супер-новым, прогрессивным
• ИБ подбирается, точно так же, как когда-то ИТ
• Сегодня на ИБ смотрят как на что-то прогрессивное, хотя оно должно
стать очевидной частью бизнеса
Но как бизнес смотрит на ИТ и ИБ:
5
По данным «Лаборатории Касперского», 41% небольших организаций в России считают
киберугрозы одним из главных бизнес-рисков.
Несмотря на это, IT-стратегия не входит в число приоритетов малого и среднего бизнеса и
занимает лишь 5-ое место по значимости после продуктовой, финансовой, маркетинговой и
операционной стратегий.
Источник: http://www.kaspersky.ru/news?id=207733803

6. Какие риски / проблемы?
Прошлые сотрудники пользуются вашими активами как своими
История поимки шпиона — как уволенный сотрудник 3 месяца воровал
информацию у компании
6
Ваши конкуренты легко узнают ваши секреты
• Выручка торговых точек, информация по клиентам
Замедленная мина нелицензионного ПО
«Исторически сложившаяся» инфраструктура ждет своего шанса
упасть (речь не идет о целенаправленном взломе)
Халатность сотрудников – крупнейшая дыра
• Как правило ущерб больше чем от намеренных действий

7. Идеальное решение?
7

8. Идеальная ИБ = полномасштабная СМИБ +
сертификация ИСО 27001
Планирование и мониторинг целей
Требования ИСО 27001
Политики и процедуры СМИБ
Корректирующиеимеры
Управление рисками
Аудиты
Измерения, метрики
Комплекс
защитных мер
ИБ в управлении
персоналом
Управление активами
Управление доступом Организация ИБ
Криптография
Физическая
безопасность
Антивирусная защита
ПО
Резервное
копирование
Логи и мониторинг
Управление сетевой
безопасностью
ИБ при разработке ПО
ИБ при работе с
поставщиками
Управление
инцидентами
Управление
непрерывностью
бизнеса
Соответствие
требованиям
регуляторов
~114 защитных мер
8

9. Процесс внедрения
добра
9

10. Сбалансированное решение
Траты на устранение рисков не должны превышать
потенциальных потерь от этих рисков
10

11. Определите
и оцените
активы
Проанализи
руйте риски
для активов
Внедрите
защитные
меры
Мониторинг
и улучшения
11
1
2
3
4

12. 12
Что такое актив?

13. 13
Правильно, информация!

14. Шаг 1: Определить и оценить активы
• Мало кто задумывается о ценности информации
• Еще меньше – оценивает активы
• Владелец бизнеса – чувствует, но не оценивает
• Зачем оценивать?
• Чтобы понять, что нужно защищать
14

15. • База клиентов – имеется в любой организации
• Центральная бизнес программа (база)
• Финансовые и стратегические документы
• бюджеты, планы развития, договоренности
• Договора с контрагентами?
• Персональные данные сотрудников (трудовые книжки, дела)?
• Материалы заказчика?
• Для организации оказывающей юридические услуги?
15
Примеры реальных активов

16. Как оценить активы
• Составить список активов – простая таблица
• Ранжировать по ценности
• Можно оценить по критериям
• Уточните ценность - задайте вопросы – что будет если актив:
• «Сольется» конкурентам
• Сломается
• Будет недоступным в течение дня
• На выходе: фокусная группа активов,
с которой нужно работать в первую очередь
16

17. Шаг 2: Проанализировать риски
Это просто – посмотрите на актив через призму CIA
17
База
клиентов
Актив
Конфиденциальность: раскрытие
базы конкурентам – по умыслу
Угрозы
Конфиденциальность: раскрытие
базы конкурентам – случайно
Целостность: потеря базы
(удалена)
Доступность: база недоступна в
рабочее время
Недостаточная защита с юридич.
точки зрения
Уязвимости
Нет управления доступом к базе
Процедура работы с базой не
содержит правил ИБ
Отсутствуют тренинги ИБ
Неправильно
сконфигурированная сеть

18. Угрозы – понятны, уязвимости как найти
18

19. Шаг 3: Внедрить защитные меры
19
База клиентов
Актив
Конфиденциальность: раскрытие
базы конкурентам – по умыслу
Недостаточная защита с юридич.
точки зрения
Нет управления доступом к базе
Процедура работы с базой не
содержит правил ИБ
Отсутствуют тренинги ИБ
Неправильно
сконфигурированная сеть
Положение о коммерческой тайне - на подпись
каждому сотруднику
Политика управления доступом – роли, ревью
прав
Установлен регламент работы с базой – только
через терминальный доступ, только в рабочее
время, под определенными ролями
Тренировать сотрудников – с объяснением
причин, следствий. С проверкой знаний.
Заказать пен.тест.
Или лучше – заказать ИТ/ИБ аудит, для анализа
инфраструктуры и процессов.

20. • По халатности – забыли удалить
учетку уволившегося сотрудника
• Тот (вероятно от нечего делать),
продолжил «работать» с базой
клиентов
• Заметили случайно
• Приняли меры, но немного не те, и
не так
• См. детальный анализ в посте на FB
Кейс: уволенный сотрудник 3 месяца
воровал информацию у компании
Вопрос решился бы вот этой защитной мерой
20Источник: История поимки шпиона — как уволенный сотрудник 3 месяца воровал информацию у компании
База клиентов
Актив
Конфиденциальность: раскрытие
базы конкурентам – по умыслу
Политика управления доступом – роли, ревью
прав

21. Шаг 4: Мониторинг и контроль
• Выделить роль, отвечающую за ИБ
• Это может быть владелец бизнеса, либо сис.админ
• В ответственности – следить за выполнением уже принятых
защитных мер
• Проводить тренинги (и сам поймешь лучше)
21

22. Риски, с которыми вы практически ничего
не можете сделать
• Центральная программа, на
которой держится весь
бизнес
• Разрабатывается на 1С,
внутренним программистом,
или приходящим
программистом
• Программист имеет полный
(!) доступ ко всему
22
Выстроить процесс разработки ПО – включая управление
требованиями, тестирование на тестовых данных, никакого доступа к
реальным данным (прод)
Организовать роли, периодическое ревью прав (владельцы бизнеса не
знают кто живет у них в системе!)
И .. психологические меры к программисту) – отдельный специальный
NDA, личная беседа, периодический контроль

23. 23
Так как построить
простую ИБ?

24. 24
Принцип разумных трат
в жизни, работе, защите своих активов
Идеальный принцип для обычной
организации в деле ИБ:)

25. Еще немного о правильном, помимо ИСО 27001
25
NISTIR 7621 Small Business Information Security: The Fundamentals

26. Крепко держим свою информацию!
26

27. АлексейЕвменков, CISM
isqa.ru
evmenkov@gmail.com
Авторский курс: Внедрение СМИБ
Расширенная практическая часть,
полное руководство по внедрению
ИСО 27001 и защитных мер из ИСО 27002
3х дневный курс, 24-26 мая 2017г.
http://edu.softline.by/courses/smib.html