Get best of the week

Wie schreibe ich einen technischen Standard für Informationssicherheit für ein großes Unternehmen?



Im Laufe der Zeit ist jedes große Unternehmen mit dem Problem der Verwirrung bei den angewandten Methoden, Methoden und Mitteln zum Schutz von Informationen konfrontiert.

Jedes Unternehmen löst das Chaosproblem auf seine eigene Weise. In der Regel ist es jedoch eine der effektivsten Maßnahmen, den technischen Standard für Informationssicherheit zu schreiben. Stellen Sie sich vor, es gibt einen großen Produktionsverband, dem mehrere Unternehmen an verschiedenen Orten des Landes sowie eine Service-Infrastruktur angehören: ein Hotel, ein IT-Unternehmen, ein Transportdepot, ein KKW, eine ausländische Repräsentanz und Kantinen.

Die erste Aufgabe besteht darin, herauszufinden, was wie geschützt werden muss. Damit jeder Führer als unser „Vater“ wusste, welche spezifischen Schutzmaßnahmen in Bezug auf welche Vermögenswerte getroffen werden sollten. Es ist wichtig, dass die angewandten Schutzmaßnahmen notwendig und ausreichend sind. Das ist sicher und gleichzeitig günstig.

Die zweite Aufgabe besteht darin, technische Lösungen zu standardisieren. Jede technische Schutzmaßnahme wird idealerweise auf eine bestimmte Weise mit einem oder mehreren spezifischen Mitteln durchgeführt. Wenn Sie beispielsweise Antivirenprogramme eines Anbieters verwenden, um Hosts zu schützen, können Sie Lizenzen mit einem höheren Rabatt erwerben (aufgrund des großen Volumens). Sie müssen keine Spezialisten mit Erfahrung in der Arbeit mit verschiedenen Lösungen beschäftigen. Wenn Sie viele Informationssicherheitslösungen standardisieren, können Sie ähnliche Architekturgruppen in verschiedenen Unternehmen erstellen und deren Verwaltung zentralisieren, wodurch lokale Einheiten praktisch aufgegeben werden.

Sagen wir Ihnen, wie wir es gemacht haben. Möglicherweise haben Sie bereits etwas Ähnliches selbst geschrieben, und unsere Geschichte wird Ihnen dabei helfen, solche Dinge zu strukturieren. Oder geben Sie einfach ein paar Ideen dazu.

Die Frage, was als Grundlage dient und was im Hinblick auf den Schutz geschehen ist


Was war am Anfang oder was war das Problem:

  1. Das Unternehmen wollte Schutzmaßnahmen für eine einzige "Quelle der Wahrheit" implementieren. Grob gesagt brauchten wir einen einzigen Tisch für den gesamten Betrieb mit einer Liste der Maßnahmen, die zur Gewährleistung der Informationssicherheit und zur Erfüllung aller erforderlichen Anforderungen der Aufsichtsbehörden erforderlich sind. Und damit es keine Situationen gibt, in denen jede Tochter IS nach Belieben implementiert und manchmal gegen die Position des Kopfes verstößt.
  2. — , . , , , RDP ( ). HR . . , , « », . . , , , .
  3. . — .
  4. , . , .
  5. — , - , . , . . .

Im Allgemeinen kommt früher oder später jeder auf die Notwendigkeit, einen technischen IS-Standard zu entwickeln. Jemand macht es selbst, jemand verwendet bekannte Methoden, die durch Praxis und Vaseline bewiesen wurden. In jedem Fall wird eine der ersten Fragen bei der Entwicklung des technischen Standards lauten: "Wo sind Schutzmaßnahmen zu ergreifen?" Natürlich können Sie es selbst erfinden und dabei die Besonderheiten Ihrer Organisation berücksichtigen. Aber niemand tut es: Schließlich gibt es viele vorgefertigte Maßnahmen. Sie können die Dokumente der FSTEC von Russland (Bestellungen 21, 17, 239, 31) nehmen, Sie können die GOST-Zentralbank nehmen. Wir hatten ein internationales Industrieunternehmen und beschlossen, das NIST-Standard- Framework zur Verbesserung der Cybersicherheit kritischer Infrastrukturen als Grundlage zu verwenden"Und NISTIR 8183" Cybersecurity Framework Manufacturing Profile ". Sie können dem Link folgen, ein umfangreiches PDF herunterladen und sich von dem inspirieren lassen, was die Bürokratie erreichen kann, wenn sie sich hinter einer Reihe von Papieren verstecken möchte. Tatsächlich müssen Sie keine Angst vor der Größe der Vorlage haben: Alles ist da und alles wird benötigt.

Alles wäre zu einfach, wenn Sie nur Zeit damit verbringen könnten, die oben genannten Nists zu übersetzen und die Übersetzung als fertigen technischen Standard zu übergeben. Unser Unternehmen ist zwar international, aber der größte Teil des Geschäfts befindet sich immer noch in der Russischen Föderation. Dementsprechend müssen auch russische Vorschriften berücksichtigt werden. Darüber hinaus sind nicht alle Schutzmaßnahmen von NIST anwendbar und notwendig (warum etwas implementieren, das nicht notwendig ist, wir wollen nicht den Missbrauch finanzieller Ressourcen). Die Tatsache, dass wir ein großes Unternehmen haben, erhöht die Komplexität. Die Holding hat auch Industrieunternehmen, Freizeitzentren, Hotels, Buchhaltungs- und Dienstleistungsunternehmen. Dementsprechend gibt es personenbezogene Daten, Geschäftsgeheimnisse, KII-Objekte und industrielle Kontrollsysteme.

Was haben wir getan? Zunächst haben wir eine kostenlose Übersetzung des oben genannten NIST vorgenommen und daraus Maßnahmen entfernt, deren Umsetzung nicht erforderlich ist. Hierbei handelt es sich beispielsweise um Maßnahmen zur Gewährleistung der Informationssicherheit in Technologien, die in unserer Holding nicht anwendbar sind, oder um Maßnahmen, deren Umsetzung gemäß der von der Holding genehmigten Risiko- und Bedrohungsmatrix nicht erforderlich ist (wir haben sie auch entwickelt und werden möglicherweise eines Tages darüber schreiben schnell). Dann haben wir Schutzmaßnahmen aus russischen Regulierungsdokumenten mit Maßnahmen von NIST kartiert. Einige Maßnahmen (aus offensichtlichen Gründen) passten idealerweise in die Maßnahmen von NIST, andere nicht und es war notwendig, den Umfang der Maßnahmen zu erweitern. Maßnahmen wurden aus folgenden Dokumenten hinzugefügt:

  • Bundesgesetz vom 26. Juli 2017 Nr. 187- „Über die Sicherheit kritischer Informationsinfrastrukturen der Russischen Föderation“;
  • Bundesgesetz vom 27. Juli 2006 Nr. 152-FZ „Über personenbezogene Daten“;
  • 29.07.2004 № 98- « »;
  • 08.02.2018 № 127 « , »;
  • 01.11.2012 № 1119 « »;
  • 18.02.2013 № 21 « »;
  • 25.12.2017 № 239 « »;
  • 21.12.2017 № 235 « »;
  • 14.03.2014 № 31 « , , , ». , , . . - — . . ? , , , . , , .

Nun, nach all der Übersetzung und Zuordnung haben wir Maßnahmen hinzugefügt, die nirgendwo beschrieben werden, aber notwendig sind, um die Bedrohungen aus der oben genannten Risiko- und Bedrohungsmatrix zu neutralisieren, sowie Maßnahmen, die aus Sicht des IS-Personals des Kunden nützlich und interessant sind (zum Beispiel) , Cyber-Bestellungen erschienen).

Als Ergebnis hatten wir eine riesige Tabelle mit Maßnahmen (in der Tat zwei: eine kurze und detaillierte Tabelle mit Anweisungen zur Umsetzung jeder Maßnahme), in der auch angegeben war, welches Dokument welche Maßnahmen den Anforderungen in welchem ​​Dokument entsprechen.

Unten sehen Sie ein Bild mit einer detaillierten Beschreibung einer bestimmten Maßnahme:



Und hier ist eine kurze Tabelle mit einer Liste von Maßnahmen und einer Angabe, welche Arten von Systemen diese Maßnahmen angewendet werden sollten:



Somit haben wir für alle Holdinggesellschaften die gleiche Tabelle, in der Maßnahmen ausgewählt werden, aus denen sie ein Schutzsystem implementieren könnten.

Welche Maßnahmen sind in dieser Tabelle enthalten? Es gibt fünf Funktionsbereiche:



Jeder der fünf Funktionsbereiche der Informationssicherheit ist in drei bis sechs Kategorien unterteilt. Insgesamt sind 22 Kategorien zugeordnet:

Funktionsrichtung der Informationssicherheit



Kategoriename



Kategoriebezeichnung



Identifizierung



Anlagenmanagement



ID.UA



Geschäftlicher Zusammenhang



ID.BK



Leiten



ID.RU.



Risikoabschätzung



ID.OR.



Risikomanagementstrategie



ID.UR.



Schutz



Zugangskontrolle



ZI.KD



Bewusstsein und Training



ZI.OO



Datensicherheit



ZI.BD



Informationssicherheitsprozesse und -verfahren



ZI.PP



Technischer Service



ZI.TO



Schutztechnik



ZI.TZ



Erkennung



Anomalien und Ereignisse



OB.AS



Kontinuierliche Sicherheitsüberwachung



OB.NM



Erkennungsprozesse



OB.PO



Antwort



Reaktionspläne



RG.PR



Kommunikation



RG.KM



Analyse



RG.AN.



Minimierung der Folgen



RG.MP.



Verbesserung



WG.SV



Wiederherstellung



Wiederherstellungspläne



VS.PV



Verbesserung



VS. SV



Kommunikation



VS.KM



Jede Kategorie enthält wiederum bis zu 16 organisatorische und technische Informationsschutzmaßnahmen, die für die Umsetzung in Holdinggesellschaften erforderlich sein können. Insgesamt besteht das Set aus mehr als 100 Informationssicherheitsmaßnahmen. Abhängig von den Systemtypen im Unternehmen ist ein Teil der Schutzmaßnahmen für die Implementierung obligatorisch, und einige Maßnahmen werden empfohlen.

Auswahlverfahren


Das Sagen ist natürlich einfacher als das Tun. Und bisher habe ich nur über eine Reihe von Schutzmaßnahmen gesprochen, aber sie müssen auch irgendwie ausgewählt / beseitigt werden. Im Folgenden finden Sie ein Flussdiagramm für die Auswahl der Schutzmaßnahmen:



Lassen Sie uns jeden Schritt durchgehen.

Definition von Arten von IP- und industriellen Steuerungssystemen
, ( ) , , , :

  • ;
  • , , ;
  • , ;
  • ( );
  • .

, , . , , (). ( ).

:



Auswahl der Schutzmaßnahmen
, . :

  • ;
  • ;
  • , ;
  • .

— , , .

— , , , , , , ( ).

: , , , . , , , , .

, - ( , , , .). ( , , .).

Definieren eines Profils für jede Schutzmaßnahme
, : , , . , . , .

. . . / /, . , ( , , , , -). , , ( ). , , , .

Bildung der endgültigen Schutzmaßnahmen
, , / / ( ). — :



Der Prozess zur Auswahl von Arzneimitteln


Wir haben also Schutzmaßnahmen gewählt, die Hälfte der Arbeit ist erledigt. Jetzt müssen Sie die Schutzmittel auswählen, mit denen diese Maßnahmen umgesetzt werden können. Die Auswahl der Schutzausrüstung umfasst die folgende Abfolge von Maßnahmen:

  • Bestimmung des Standorttyps (IT-Infrastruktureinrichtung), zu dem die Holding gehört;
  • Bestimmung der Arten von Schutzwerkzeugen, die zur Verwendung benötigt werden (Virenschutzprogramme, Werkzeuge zur Erkennung von Eindringlingen und zur Verhinderung von Angriffen, Firewalls, SIEM usw.);
  • Bestimmung des Anwendungsbereichs (Umsetzungsbereich) der ausgewählten Schutzausrüstung;
  • Identifizierung spezifischer Hersteller (Anbieter) für die ausgewählte Schutzausrüstung.

Da wir einen großen Bestand haben, ist es logisch, dass ein solcher Bestand mehrere Arten von IT-Infrastrukturobjekten (Arten von Standorten) haben kann. Es gibt Rechenzentren, typische Produktionsstandorte, typische entfernte Standorte, typische Produktionsstandorte oder entfernte Standorte außerhalb der Russischen Föderation. An verschiedenen Arten von Standorten können verschiedene Komponenten zentraler und lokaler Informationsschutz-Tools eingeführt werden.
Aus offensichtlichen Gründen werde ich Ihnen nicht sagen, welche Arten von Schutzausrüstung in der Holding verwendet werden und welche deren Komponenten an welchen Standorten eingesetzt werden.

Ich kann nur sagen, dass wir als Teil des technischen Standards die Zuordnung von Sicherheitsmaßnahmen zu Informationssicherheitstools durchgeführt haben. So kann jede Holdinggesellschaft, die unseren technischen Standard anwendet, nicht nur eine Liste der für ihre Umsetzung erforderlichen Schutzmaßnahmen erstellen, sondern auch verstehen, welche Schutzausrüstung von welchen Herstellern angewendet werden sollte. Da in vielen Schutzbereichen zentralisierte Lösungen eingesetzt werden, sind darüber hinaus erhebliche Einsparungen bei den Einkäufen möglich. Das heißt, es reicht aus, wenn die Holdinggesellschaft nur Agentenlösungen kauft und diese (auf Anfrage an die Servicefirma) mit den Verwaltungsservern im Rechenzentrum verbindet. Zumindest müssen Sie kein Geld für eine Verwaltungskomponente ausgeben, und Sie können die Schutzmittel nicht selbst verwalten, sondern beauftragen den Service der Holding mit dieser Aufgabe, die bei der Suche spartEinstellung und Bezahlung von Gehältern an spezialisierte Spezialisten.

Und ich werde separat darauf hinweisen, dass wir in der Technischen Norm die Hersteller von Schutzausrüstung selbst ausdrücklich angegeben haben (etwa 20 Lösungsklassen). Zur Auswahl bestimmter Hersteller wurde eine ganze Technik entwickelt (eine Technik zur Auswahl technischer Lösungen), mit der Sie Lösungen innerhalb bestimmter Klassen vergleichen können. Hauptkriterien: Funktionsstapel, Bewertung der Benutzerfreundlichkeit der Holding (technischer Support, Präsenz von Holdinggesellschaften in den Standortländern usw.), Möglichkeit von Sanktionen (Länderrisiko), wie lange auf dem Markt, wie einfach es ist, Service-Spezialisten zu finden usw.

Das Ergebnis der Arbeit nach dem Standard


Was bekommen wir also? Und wir bekommen, dass wir eine einzige „Quelle der Wahrheit“ haben, nach der jede Holdinggesellschaft die für die Implementierung erforderlichen Schutzmaßnahmen unter Berücksichtigung der Besonderheiten ihrer Informationssysteme (ICS) und ihrer IT-Infrastruktur auswählen kann. Darüber hinaus kann das Unternehmen durch die Auswahl von Maßnahmen verstehen, welche Schutzmaßnahmen zur Umsetzung dieser Maßnahmen erforderlich sind. Gleichzeitig kann das Unternehmen beim Kauf von Schutzausrüstung sparen, da es versteht, an welchen Standorten welche Komponenten zentraler Schutzausrüstung bereitgestellt werden (d. H. Zu verstehen, mit welchen Komponenten Sie einfach eine Verbindung herstellen können, ohne Geld für deren Kauf auszugeben).
Die Sicherheitskräfte wurden ebenfalls vereinfacht. Zunächst sollte jetzt jeder die Anforderungen des Technischen Standards implementieren (auch beim Erstellen neuer Systeme). Zweitens ist es einfacher, Kontrollen durchzuführen, wenn Schutzmaßnahmen identifiziert werden.

Im Technischen Standard gibt es viele Vorlagen für Berichtsformulare, dh Holdinggesellschaften müssen nicht herausfinden, wie die Arbeitsergebnisse gemäß dem Standard dokumentiert werden sollen, alles ist bereits vorhanden. Eine der Anwendungen ist beispielsweise die Form der Erklärung zur Anwendbarkeit von Schutzmaßnahmen. Dies ist ein Dokument, in das alle Ergebnisse der Arbeit gemäß dem Standard eingegeben werden. In dieser Tabelle wird angegeben, welche Schutzmaßnahmen für welche IP- und industriellen Kontrollsysteme angewendet werden, welche technischen Lösungen implementiert werden (für technische Maßnahmen) und in welchen internen Regulierungsdokumenten beschrieben wird (für organisatorische Maßnahmen).

Es stellte sich als einfach heraus, den Standard zu verwenden, die Schritte sind dort beschrieben. Beispiel. Nehmen wir an, wir haben ein Hotel. Entsprechend den Anforderungen des Inventarisierungsprozesses sollte eine Bestandsaufnahme der Vermögenswerte durchgeführt und eine Liste der funktionierenden IPs und ihrer Kritikalität erstellt werden. In diesem Wissen nimmt der IS-Vertreter die Systeme (z. B. ISPD mit Sicherheitsstufe 4 und CT), wählt die erforderlichen Schutzmaßnahmen aus, passt sie an und ergänzt sie (Kenntnis der tatsächlichen Bedrohungen). Ruft die endgültigen Sicherheitsmaßnahmen ab. Dann schaut er sich einen anderen Tisch an und erhält eine Schutzausrüstung, die für die Implementierung auf seiner Website erforderlich ist. Das ist alles. Viele werden fragen: "Was ist mit Dokumenten?" Wir haben versucht, IS-Prozesse zentral zu gestalten, und wir haben auch lokale Standard-IS-Dokumente für Standorte entwickelt. Natürlich müssen bestimmte Unternehmen Dokumente anpassen.vom Kopf gesenkt, aber es ist viel einfacher als von Grund auf neu zu schreiben.

Anstelle einer Schlussfolgerung


Für Liebhaber von Zahlen: In den Standard-30-Seiten des Hauptteils mit einer Beschreibung des Ansatzes und des Arbeitsalgorithmus sowie mehr als 100 Seiten mit Anwendungen mit einer detaillierten Beschreibung der Schutzmaßnahmen wurden verschiedene Auswahlen und Vorlagen für Berichtsformulare veröffentlicht.

Wir selbst haben den resultierenden Standard an mehreren Standorten getestet.

Infolge des Chaos nahm es leicht ab, die Kontrolle nahm zu. Der Effekt wird mit dem Kauf von Informationssicherheitstools (immerhin 20 standardisierte Anbieter, und zum Zeitpunkt der Veröffentlichung des Technischen Standards für Informationssicherheit wurde nicht alles gekauft) und der endgültigen Implementierung von Informationssicherheitsprozessen zunehmen. Bei der Erstellung neuer Systeme erwarten wir, dass alles ohne Überraschungen für die Informationssicherheit auskommt.

Ich denke, Sie haben auch ähnliche Unterlagen. Viele standardisieren nur bestimmte Sicherheitslösungen ohne Methoden zur Auswahl solcher Lösungen. Einige standardisieren spezifische Maßnahmen (hauptsächlich basierend auf den Ansätzen des FSTEC von Russland oder der Zentralbank der Russischen Föderation).

Um die Anwendbarkeit eines einzelnen Standards auf Tochterunternehmen anzupassen, gibt es auch viele verschiedene Ansätze. Jemand führt spezielle Sicherheitsstufen ein (nicht zu verwechseln mit Sicherheitsstufen in ISPDn), teilt dann die Unternehmen in der Holding in diese Stufen ein und implementiert Sicherheitsmaßnahmen auf den entsprechenden Stufen. Jemand wendet alle Anforderungen auf alle Unternehmen an. Jemand - selektiv für juristische Personen oder Arten von Unternehmen. Wir haben uns jedoch entschlossen, mit der Kritikalität und den Arten von IT-Infrastruktureinrichtungen zu spielen.

In Bezug auf Schutzmaßnahmen schien uns der Ansatz, Maßnahmen aus dem NIST auszuwählen, den Anforderungen der russischen Regulierungsbehörden zu entsprechen und die Kritikalität der Systeme zu blockieren, eine gute Praxis zu sein.

Wenn Sie Fragen zu solchen Aufgaben haben, die nur in privater Korrespondenz beantwortet werden können, dann ist hier meine Mail - MKoptenkov@technoserv.com.

Koptenkov Mikhail, Leiter Audit und Beratung.

More articles:


All Articles