Get best of the week

كيفية كتابة معيار تقني لأمن المعلومات لشركة كبيرة



مع مرور الوقت ، تواجه أي شركة كبيرة مشكلة الارتباك في الأساليب والطرق والوسائل المطبقة لحماية المعلومات.

تحل كل شركة مشكلة الفوضى بطريقتها الخاصة ، ولكن عادةً ما يكون أحد الإجراءات الأكثر فاعلية هو كتابة المعيار التقني لأمن المعلومات. تخيل أن هناك جمعية إنتاج كبيرة ، تضم العديد من المؤسسات في أماكن مختلفة من البلد ، بالإضافة إلى البنية التحتية للخدمة: فندق ، شركة تكنولوجيا معلومات ، مستودع نقل ، NPP ، مكتب تمثيل أجنبي و مقاصف.

المهمة الأولى هي معرفة ما يجب حمايته وكيف. لكي يعرف كل قائد ، بصفته "والدنا" ، تدابير الحماية المحددة التي يجب اتخاذها فيما يتعلق بالأصول. من المهم أن تكون مجموعة تدابير الحماية المطبقة ضرورية وكافية. هذا آمن وفي نفس الوقت على الميزانية.

المهمة الثانية هي توحيد الحلول التقنية. يتم تنفيذ كل تدبير للحماية التقنية بشكل مثالي بطريقة معينة باستخدام واحدة أو أكثر من الوسائل المحددة. على سبيل المثال ، إذا كنت تستخدم مضادات الفيروسات من بائع واحد لحماية المضيفين ، فيمكنك شراء التراخيص بخصم أكبر (بسبب الحجم الكبير) ، فلن تحتاج إلى الاحتفاظ بطاقم من المتخصصين من ذوي الخبرة في العمل مع حلول مختلفة. وإذا قمت بتوحيد العديد من حلول أمن المعلومات ، يمكنك إنشاء مجموعات معمارية مماثلة في شركات مختلفة ومركزية إدارتها ، وبالتالي التخلي عمليا عن الوحدات المحلية.

دعنا نخبرك كيف قمنا بذلك. ربما تكون قد كتبت بالفعل شيئًا مشابهًا لوحدك ، وستساعدك قصتنا على بناء مثل هذه الأشياء. حسنًا ، أو قدم فقط فكرتين حول كيفية القيام بذلك.

قضية ما يؤخذ كأساس وما حدث من ناحية الحماية


ما كان في البداية ، أو ما هي المشكلة:

  1. أرادت الشركة تطبيق تدابير وقائية لـ "مصدر الحقيقة" واحد. تقريبًا ، كنا بحاجة إلى جدول واحد للعقد بأكمله مع قائمة بما يجب القيام به من أجل توفير أمن المعلومات والامتثال لجميع المتطلبات اللازمة الواردة من المنظمين. وحتى لا تكون هناك حالات تنفذ فيها كل ابنة داعش كما تشاء ، وأحيانًا تتعارض مع وضع الرأس.
  2. — , . , , , RDP ( ). HR . . , , « », . . , , , .
  3. . — .
  4. , . , .
  5. — , - , . , . . .

بشكل عام ، عاجلاً أم آجلاً ، يحتاج الجميع إلى تطوير معيار تقني لـ IS. شخص ما يفعل ذلك بنفسه ، شخص ما يستخدم منهجيات معروفة ، مثبتة بالممارسة وهلام البترول. على أي حال ، سيكون أحد الأسئلة الأولى في تطوير المعيار الفني: "أين تتخذ تدابير وقائية؟" بالطبع ، يمكنك اختراعه بنفسك ، مع مراعاة خصوصيات مؤسستك. ولكن لا أحد يفعل ذلك: بعد كل شيء ، هناك العديد من مجموعات التدابير الجاهزة. يمكنك أخذ وثائق FSTEC من روسيا (الطلبات 21 ، 17 ، 239 ، 31) ، يمكنك أخذ البنك المركزي GOST. كانت لدينا شركة صناعية دولية ، وقررنا أن نأخذ كأساس لمعايير NIST " إطار تحسين الأمن السيبراني للبنية التحتية الحرجة"و NISTIR 8183" ملف تعريف إطار عمل الأمن السيبراني ". يمكنك اتباع الرابط وتنزيل ملف PDF ضخم والاستلهام مما يمكن أن تصل إليه البيروقراطية في الرغبة في الاختباء وراء مجموعة من الأوراق. في الواقع ، لا داعي للخوف من حجم النموذج: كل شيء موجود وكل شيء مطلوب.

سيكون كل شيء بسيطًا جدًا ، إذا كان بإمكانك قضاء بعض الوقت في ترجمة الأعداد السابقة وتمرير الترجمة كمعيار تقني منتهي. شركتنا ، على الرغم من الدولية ، ولكن معظم الأعمال لا تزال تقع في الاتحاد الروسي. وبناءً على ذلك ، يجب أيضًا مراعاة اللوائح الروسية. بالإضافة إلى ذلك ، ليست جميع تدابير الحماية من NIST قابلة للتطبيق وضرورية (لماذا تنفيذ شيء غير ضروري ، لا نريد إساءة استخدام الموارد المالية). حقيقة أن لدينا شركة كبيرة تضاف إلى التعقيد ، فإن القابضة لديها أيضًا مؤسسات صناعية ومراكز ترفيهية وفنادق ومحاسبة وشركات خدمات. وفقًا لذلك ، هناك بيانات شخصية وأسرار تجارية وأغراض KII وأنظمة تحكم صناعية.

ماذا فعلنا؟ أولاً ، لقد قمنا بترجمة مجانية للمعهد المذكور أعلاه ، من خلال إزالة التدابير التي ليست ضرورية للتنفيذ. هذه ، على سبيل المثال ، تدابير تهدف إلى توفير أمن المعلومات في التقنيات التي لا تنطبق في حيازتنا ، أو تدابير ليست ضرورية للتنفيذ وفقًا لمصفوفة المخاطر والتهديدات التي وافقت عليها الشركة القابضة (قمنا أيضًا بتطويرها ، وربما سنكتب عن هذا يومًا ما بسرعة). ثم رسمنا تدابير الحماية من الوثائق التنظيمية الروسية مع تدابير من NIST. تتناسب بعض المقاييس (لأسباب واضحة) بشكل مثالي مع المقاييس من NIST ، وبعضها لا يتلاءم ، وكان من الضروري توسيع نطاق التدابير. تم إضافة الإجراءات من المستندات التالية:

  • القانون الاتحادي المؤرخ 26 يوليو 2017 رقم 187- "بشأن سلامة البنية التحتية للمعلومات الحرجة في الاتحاد الروسي" ؛
  • القانون الاتحادي المؤرخ 27 يوليو 2006 رقم 152-FZ "بشأن البيانات الشخصية" ؛
  • 29.07.2004 № 98- « »;
  • 08.02.2018 № 127 « , »;
  • 01.11.2012 № 1119 « »;
  • 18.02.2013 № 21 « »;
  • 25.12.2017 № 239 « »;
  • 21.12.2017 № 235 « »;
  • 14.03.2014 № 31 « , , , ». , , . . - — . . ? , , , . , , .

حسنًا ، بعد كل الترجمة ورسم الخرائط ، أضفنا تدابير لم يتم وصفها في أي مكان ، ولكنها ضرورية لتحييد التهديدات من مصفوفة المخاطر والتهديدات المذكورة أعلاه ، بالإضافة إلى التدابير المفيدة والمثيرة للاهتمام للتنفيذ من وجهة نظر موظفي IS الخاص بالعميل (على سبيل المثال ، ظهرت أوامر الإنترنت).

ونتيجة لذلك ، كان لدينا جدول ضخم مع التدابير (في الواقع ، اثنان: جدول قصير ومفصل مع تعليمات لتنفيذ كل إجراء) ، والذي يشير أيضًا إلى أي وثيقة تتوافق مع متطلبات أي مستند.

فيما يلي صورة مع وصف تفصيلي لمقياس محدد:



وفيما يلي جدول قصير يحتوي على قائمة من التدابير وإشارة إلى أنواع الأنظمة التي يجب تطبيق هذه التدابير:



وبالتالي ، لدينا نفس الجدول لجميع الشركات القابضة ، واختيار التدابير التي يمكنهم من خلالها تنفيذ نظام الحماية.

إذن ما هي التدابير المدرجة في هذا الجدول؟ هناك خمسة مجالات وظيفية:



ينقسم كل مجال من المجالات الوظيفية الخمسة لأمن المعلومات إلى ثلاث إلى ست فئات. تم تخصيص 22 فئة في المجموع:

التوجيه الوظيفي لأمن المعلومات



اسم التصنيف



تسمية الفئة



هوية



إدارة الأصول



ID.UA



سياق العمل



ID.BK



يرشد



ID.RU



تقييم المخاطر



ID.OR



استراتيجية إدارة المخاطر



ID.UR



الحماية



صلاحية التحكم صلاحية الدخول



ZI.KD



التوعية والتدريب



ZI.OO



أمن البيانات



ZI.BD



عمليات وإجراءات أمن المعلومات



ZI.PP



اعمال صيانة



ZI.TO



تكنولوجيا الحماية



ZI.TZ



كشف



الشذوذ والأحداث



OB.AS



المراقبة الأمنية المستمرة



OB.NM



عمليات الاكتشاف



OB.PO



استجابة



خطط الاستجابة



RG.PR



مجال الاتصالات



RG.KM



تحليل



RG.AN



التقليل من العواقب



RG.MP



تحسين



WG.SV



التعافي



خطط الإنعاش



مقابل



تحسين



مقابل SV



مجال الاتصالات



مقابل



تحتوي كل فئة ، بدورها ، على ما يصل إلى 16 إجراءً من إجراءات حماية المعلومات التنظيمية والفنية التي قد تكون ضرورية للتنفيذ في الشركات القابضة. في المجموع ، تتكون المجموعة من أكثر من 100 إجراء لأمن المعلومات. اعتمادًا على أنواع الأنظمة في الشركة ، فإن جزءًا من إجراءات الحماية إلزامي للتنفيذ ، ويوصى ببعض الإجراءات.

عملية الاختيار


القول ، بالطبع ، أسهل من الفعل. وقد تحدثت حتى الآن فقط عن مجموعة من الإجراءات الوقائية ، ولكن يجب أيضًا تحديدها / التخلص منها بطريقة أو بأخرى. فيما يلي مخطط انسيابي لعملية اختيار تدابير الحماية:



دعنا ننتقل إلى كل خطوة.

تعريف أنواع الملكية الفكرية وأنظمة التحكم الصناعية
, ( ) , , , :

  • ;
  • , , ;
  • , ;
  • ( );
  • .

, , . , , (). ( ).

:



اختيار تدابير الحماية
, . :

  • ;
  • ;
  • , ;
  • .

— , , .

— , , , , , , ( ).

: , , , . , , , , .

, - ( , , , .). ( , , .).

تحديد ملف تعريف لكل تدبير حماية
, : , , . , . , .

. . . / /, . , ( , , , , -). , , ( ). , , , .

تشكيل المجموعة النهائية من تدابير الحماية
, , / / ( ). — :



عملية اختيار العلاجات


لذا ، اخترنا تدابير الحماية ، وقد تم نصف العمل. الآن أنت بحاجة إلى اختيار وسائل الحماية التي ستسمح بتنفيذ هذه التدابير. يتضمن اختيار معدات الحماية التسلسل التالي من الإجراءات:

  • تحديد نوع الموقع (منشأة البنية التحتية لتكنولوجيا المعلومات) التي تنتمي إليها الشركة القابضة ؛
  • تحديد أنواع أدوات الحماية اللازمة للاستخدام (مضادات الفيروسات ، وكشف التسلل وأدوات منع الهجوم ، والجدران النارية ، و SIEM ، وما إلى ذلك) ؛
  • تحديد مجال التطبيق (مجال التنفيذ) لمعدات الحماية المختارة ؛
  • تحديد الشركات المصنعة المحددة (البائعين) لمعدات الحماية المختارة.

نظرًا لأن لدينا حيازة كبيرة ، فمن المنطقي أن يكون لهذا الحيازة عدة أنواع من كائنات البنية التحتية لتكنولوجيا المعلومات (أنواع المواقع). هناك مراكز بيانات ، مواقع إنتاج نموذجية ، مواقع بعيدة نموذجية ، إنتاج نموذجي أو مواقع بعيدة خارج الاتحاد الروسي. في أنواع مختلفة من المواقع ، يمكن إدخال مكونات مختلفة لأدوات حماية المعلومات المركزية والمحلية.
لأسباب واضحة ، لن أخبرك بأنواع معدات الحماية المستخدمة في الحيازة وما هي مكوناتها المنتشرة في أي مواقع.

لا يسعني إلا أن أقول ، كجزء من المعيار الفني ، لقد قمنا برسم خرائط التدابير الأمنية لأدوات أمن المعلومات. لذا فإن أي شركة قابضة ، تطبق معاييرنا التقنية ، لا يمكنها فقط صياغة قائمة بالإجراءات الوقائية اللازمة لتنفيذها ، ولكن أيضًا فهم أي معدات الحماية التي يجب على الشركات المصنعة تطبيقها. علاوة على ذلك ، نظرًا لاستخدام الحلول المركزية في العديد من مجالات الحماية ، يمكن تحقيق وفورات كبيرة في المشتريات. أي أنه يكفي أن تقوم الشركة القابضة بشراء حلول الوكيل فقط وربطها (عند طلب شركة الخدمة) بخوادم الإدارة في مركز البيانات. كحد أدنى ، لن تضطر إلى إنفاق المال على أحد مكونات الإدارة ، ولن تكون قادرًا على إدارة الحماية تعني نفسك ، ولكن تكلف خدمة الشركة القابضة بهذه المهمة ، والتي ستوفر على البحث ،توظيف ودفع رواتب المتخصصين المتخصصين.

وسأذكر بشكل منفصل أننا في المعيار الفني أشرنا صراحةً إلى مصنعي معدات الحماية أنفسهم (حوالي 20 فئة من الحلول). لاختيار مصنعين محددين ، تم تطوير تقنية كاملة (تقنية لاختيار الحلول التقنية) تسمح لك بمقارنة الحلول ضمن فئات معينة. المعايير الرئيسية: المكدس الوظيفي ، وتقييم سهولة الاستخدام للعقد (الدعم الفني ، ووجود الشركات القابضة في بلدان الموقع ، وما إلى ذلك) ، وإمكانية العقوبات (مخاطر البلد) ، وكم من الوقت في السوق ، ومدى سهولة العثور على متخصصي الخدمة ، وما إلى ذلك.

نتيجة العمل حسب المواصفة


إذن ما الذي نحصل عليه؟ ونحصل على أن لدينا "مصدر حقيقة" واحد ، يمكن بموجبه لأي شركة في الشركة القابضة أن تختار تدابير الحماية اللازمة للتنفيذ ، مع مراعاة تفاصيل أنظمة المعلومات (ICS) والبنية التحتية لتكنولوجيا المعلومات. علاوة على ذلك ، من خلال اختيار التدابير ، ستكون الشركة قادرة على فهم وسائل الحماية لتنفيذ هذه التدابير. في الوقت نفسه ، يمكن للشركة التوفير في شراء معدات الحماية ، لأنها تدرك على المواقع التي يتم نشر مكونات معدات الحماية المركزية (أي ، فهم المكونات التي يمكنك الاتصال بها ببساطة دون إنفاق المال على شرائها).
أما بالنسبة لحراس الأمن فقد تم تبسيط حياتهم. أولاً ، يجب على الجميع الآن تنفيذ متطلبات المعيار الفني (بما في ذلك عند إنشاء أنظمة جديدة). ثانياً ، من الأسهل إجراء عمليات فحص عند تحديد تدابير الحماية.

في المعيار الفني ، هناك الكثير من النماذج لنماذج التقارير ، أي أن الشركات القابضة لا تحتاج إلى معرفة كيفية توثيق نتائج العمل وفقًا للمعيار ، كل شيء موجود بالفعل. على سبيل المثال ، أحد التطبيقات هو شكل إعلان قابلية تطبيق التدابير الوقائية. هذا مستند يتم فيه إدخال جميع نتائج العمل وفقًا للمعيار. وهو جدول يشير إلى تدابير الحماية التي يتم تطبيق الملكية الفكرية والتحكم التلقائي في العملية عليها ، والحلول التقنية التي يتم تنفيذها (للتدابير الفنية) والتي يتم فيها وصف الوثائق التنظيمية الداخلية (للتدابير التنظيمية).

اتضح أنه من السهل استخدام المعيار ، يتم وصف الخطوات هناك. مثال. دعنا نقول لدينا فندق. وفقًا لمتطلبات عملية الجرد ، يجب أن تجري جردًا للأصول وأن تحدد قائمة بعناوين IP الفعالة وأهميتها. بمعرفة هذا ، يأخذ ممثل IS ، ينظر في ما هي الأنظمة (على سبيل المثال ، ISPD مع مستوى الأمان 4 و CT) ، يختار تدابير الحماية اللازمة ، ويكيفها ويكملها (معرفة التهديدات الفعلية). يحصل على المجموعة النهائية من التدابير الأمنية. ثم ينظر إلى طاولة أخرى ويتلقى مجموعة من المعدات الوقائية اللازمة للتنفيذ على موقعه. هذا كل شئ. سوف يسأل الكثير: "ماذا عن المستندات؟" حاولنا أن نجعل عمليات نظم المعلومات مركزية ؛ كما طورنا وثائق IS المحلية القياسية للمواقع. بالطبع ، ستحتاج شركات محددة إلى تعديل المستندات ،خفضت من الرأس ، لكنها أسهل بكثير من الكتابة من الصفر.

بدلا من الاستنتاج


لعشاق الأرقام: يحتوي المعيار على 30 صفحة من الجزء الرئيسي مع وصف النهج وخوارزمية العمل ، وأكثر من 100 صفحة من التطبيقات - مع وصف تفصيلي لإجراءات الحماية ، والاختيارات المختلفة ، ونماذج نماذج التقارير.

لقد اختبرنا أنفسنا المعيار الناتج في عدد من المواقع.

نتيجة للفوضى ، انخفض بشكل طفيف ، زادت السيطرة. سيزداد التأثير مع شراء أدوات أمن المعلومات (بعد كل شيء ، تم توحيد 20 بائعًا ، ولم يتم شراء كل شيء في وقت إصدار المعيار الفني لأمن المعلومات) والتنفيذ النهائي لعمليات أمن المعلومات. عند إنشاء أنظمة جديدة ، نتوقع أن يتم كل شيء دون مفاجآت لأمن المعلومات.

أعتقد أن لديك وثائق مماثلة أيضًا. يقيس الكثير الحلول الأمنية المحددة فقط دون أي منهجية لاختيار مثل هذه الحلول. يقيس بعضها تدابير محددة (تستند بشكل أساسي إلى نهج FSTEC في روسيا أو البنك المركزي للاتحاد الروسي).

لتكييف تطبيق معيار واحد على الشركات التابعة ، هناك أيضًا العديد من الأساليب المختلفة. يقدم شخص ما مستويات خاصة من الأمان (لا يجب الخلط بينه وبين مستويات الأمان في ISPDn) ، ثم يقسم الشركات في الحيازة إلى هذه المستويات ، وينفذون تدابير أمنية على المستويات المناسبة. يطبق شخص ما جميع المتطلبات على جميع الشركات. شخص - بشكل انتقائي للكيانات القانونية أو أنواع الشركات. لكننا قررنا محاولة اللعب بأهمية وأنواع مرافق البنية التحتية لتكنولوجيا المعلومات.

فيما يتعلق بتدابير الحماية ، يبدو أن النهج في اختيار التدابير من NIST ، ورسم خرائط لمتطلبات المنظمين الروس ، وإضافة كتلة على مدى أهمية الأنظمة بالنسبة لنا ممارسة جيدة.

إذا كانت لديك أسئلة حول هذه المهام التي لا يمكن الإجابة عليها إلا في مراسلات خاصة ، فإليك بريدي - MKoptenkov@technoserv.com.

كوبتينكوف ميخائيل ، رئيس المراجعة والاستشارات.

More articles:


All Articles