Get best of the week

Cómo escribir un estándar técnico para la seguridad de la información para una gran empresa



Con el tiempo, cualquier empresa grande se enfrenta al problema de la confusión en los métodos, métodos y medios aplicados para proteger la información.

Cada compañía resuelve el problema del caos a su manera, pero generalmente una de las medidas más efectivas es escribir el estándar técnico de seguridad de la información. Imagine que hay una gran asociación de producción, que incluye varias empresas en diferentes lugares del país, además de infraestructura de servicio: un hotel, una empresa de TI, un depósito de transporte, una central nuclear, una oficina de representación extranjera y comedores.

La primera tarea es descubrir qué necesita ser protegido y cómo. Para que cada líder, como nuestro "padre", supiera qué medidas de protección específicas deberían tomarse con respecto a qué activos. Es importante que el conjunto de medidas de protección aplicadas sea necesario y suficiente. Eso es seguro y al mismo tiempo económico.

La segunda tarea es estandarizar las soluciones técnicas. Cada medida de protección técnica se lleva a cabo idealmente de cierta manera utilizando uno o más medios específicos. Si, por ejemplo, utiliza los antivirus de un proveedor para proteger a los hosts, entonces puede comprar licencias con un descuento mayor (debido al gran volumen), no necesita tener un equipo de especialistas con experiencia trabajando con diferentes soluciones. Y si estandariza muchas soluciones de seguridad de la información, puede crear grupos de arquitectura similares en diferentes empresas y centralizar su gestión, por lo que prácticamente abandonará las unidades locales.

Vamos a decirte cómo lo hicimos. Es posible que ya haya escrito algo similar por su cuenta, y nuestra historia lo ayudará a estructurar tales cosas. Bueno, o simplemente da un par de ideas sobre cómo hacer esto.

La cuestión de lo que se toma como base y lo que sucedió en términos de protección


¿Qué fue al principio o cuál fue el problema?

  1. La compañía quería implementar medidas de protección para una sola "fuente de verdad". En términos generales, necesitábamos una tabla única para toda la explotación con una lista de lo que se debe hacer para proporcionar seguridad de la información y cumplir con todos los requisitos necesarios que se derivan de los reguladores. Y para que no haya situaciones en las que cada hija implemente IS como le plazca, a veces va en contra de la posición de la cabeza.
  2. — , . , , , RDP ( ). HR . . , , « », . . , , , .
  3. . — .
  4. , . , .
  5. — , - , . , . . .

En general, tarde o temprano, todos llegan a la necesidad de desarrollar un estándar técnico IS. Alguien lo hace, alguien usa metodologías bien conocidas, probadas por la práctica y vaselina. En cualquier caso, una de las primeras preguntas en el desarrollo de la norma técnica será: "¿Dónde tomar medidas de protección?" Por supuesto, puede inventarlo usted mismo, teniendo en cuenta las peculiaridades de su organización. Pero nadie lo hace: después de todo, hay muchos conjuntos de medidas listas para usar. Puede tomar los documentos del FSTEC de Rusia (pedidos 21, 17, 239, 31), puede tomar el Banco Central GOST. Teníamos una empresa industrial internacional, y decidimos tomar como base el Marco de Normas NIST para Mejorar la Ciberseguridad de Infraestructura Crítica"Y NISTIR 8183" Perfil de fabricación del marco de seguridad cibernética ". Puede seguir el enlace, descargar un PDF pesado e inspirarse en lo que la burocracia puede alcanzar en el deseo de esconderse detrás de un montón de documentos. De hecho, no necesita tener miedo del tamaño de la plantilla: todo está ahí y todo lo que se necesita.

Todo sería demasiado simple, si solo pudiera pasar tiempo traduciendo los nistas anteriores y pasar la traducción como un estándar técnico terminado. Nuestra empresa, aunque internacional, pero la mayor parte del negocio todavía se encuentra en la Federación de Rusia. En consecuencia, las regulaciones rusas también deben tenerse en cuenta. Además, no todas las medidas de protección del NIST son aplicables y necesarias (¿por qué implementar algo que no es necesario? No queremos utilizar indebidamente los recursos financieros). El hecho de que tengamos una gran empresa sumada a la complejidad, el holding también cuenta con empresas industriales, centros de recreación, hoteles, empresas de contabilidad y servicios. En consecuencia, hay datos personales, secretos comerciales, objetos KII y sistemas de control industrial.

¿Qué hemos hecho? Primero, hicimos una traducción gratuita del NIST anterior, eliminando de allí las medidas que no son necesarias para implementar. Estas son, por ejemplo, medidas destinadas a proporcionar seguridad de la información en tecnologías que no son aplicables en nuestra explotación, o medidas que no son necesarias para implementar de acuerdo con la Matriz de Riesgos y Amenazas aprobada por la explotación (también la desarrollamos y, tal vez, escribiremos sobre esto algún día rápido). Luego mapeamos las medidas de protección de los documentos reglamentarios rusos con las medidas del NIST. Algunas medidas (por razones obvias) encajan idealmente en las medidas del NIST, algunas no encajan y fue necesario ampliar el alcance de las medidas. Se agregaron medidas a partir de los siguientes documentos:

  • Ley Federal de 26 de julio de 2017 Nº 187- "Sobre la seguridad de la infraestructura de información crítica de la Federación de Rusia";
  • Ley Federal del 27 de julio de 2006 Nº 152-FZ "sobre datos personales";
  • 29.07.2004 № 98- « »;
  • 08.02.2018 № 127 « , »;
  • 01.11.2012 № 1119 « »;
  • 18.02.2013 № 21 « »;
  • 25.12.2017 № 239 « »;
  • 21.12.2017 № 235 « »;
  • 14.03.2014 № 31 « , , , ». , , . . - — . . ? , , , . , , .

Bueno, después de toda la traducción y el mapeo, agregamos medidas que no se describen en ninguna parte, pero que son necesarias para neutralizar las amenazas de la Matriz de Riesgos y Amenazas anterior, así como medidas que son útiles e interesantes para implementar desde el punto de vista del personal de IS del Cliente (por ejemplo , aparecieron órdenes cibernéticas).

Como resultado, teníamos una tabla enorme con medidas (de hecho, dos: una breve y detallada con instrucciones para implementar cada medida), que también indicaba qué documento qué medidas corresponden a los requisitos de cada documento.

A continuación se muestra una imagen con una descripción detallada de una medida específica:



y aquí hay una tabla corta con una lista de medidas y una indicación de qué tipos de sistemas se deben aplicar estas medidas:



Por lo tanto, tenemos la misma tabla para todas las compañías tenedoras, eligiendo medidas a partir de las cuales podrían implementar un sistema de protección.

Entonces, ¿qué medidas se incluyen en esta tabla? Hay cinco áreas funcionales:



cada una de las cinco áreas funcionales de seguridad de la información se divide en tres a seis categorías. 22 categorías se asignan en total:

Dirección funcional de seguridad de la información.



nombre de la categoría



Designación de categoría



Identificación



Gestión de activos



ID.UA



Contexto empresarial



ID.BK



Guía



ID.RU



Evaluación de riesgos



ID.OR



Estrategia de gestión de riesgos



ID.UR



Proteccion



Control de acceso



ZI.KD



Conciencia y entrenamiento



ZI.OO



Seguridad de datos



ZI.BD



Procesos y procedimientos de seguridad de la información



ZI.PP



Mantenimiento



ZI.TO



Tecnología de protección



ZI.TZ



Detección



Anomalías y eventos.



OB.AS



Monitoreo continuo de seguridad



OB.NM



Procesos de descubrimiento



OB.PO



Respuesta



Planes de respuesta



RG.PR



Comunicaciones



RG.KM



Análisis



RG.AN



Minimización de consecuencias.



RG.MP



Mejora



WG.SV



Recuperación



Planes de recuperación



VS.PV



Mejora



VS. SV



Comunicaciones



VS.KM



Cada categoría, a su vez, contiene hasta 16 medidas de protección de la información organizativa y técnica que pueden ser necesarias para la implementación en las sociedades de cartera. En total, el conjunto consta de más de 100 medidas de seguridad de la información. Dependiendo de los tipos de sistemas en la empresa, parte de las medidas de protección es obligatoria para la implementación, y se recomiendan algunas medidas.

Proceso de selección


Decir, por supuesto, es más fácil que hacerlo. Y hasta ahora solo he hablado sobre un conjunto de medidas de protección, pero también deben seleccionarse / eliminarse de alguna manera. A continuación se muestra un diagrama de flujo del proceso de elección de medidas de protección:



repasemos cada paso.

Definición de tipos de IP y sistemas de control industrial.
, ( ) , , , :

  • ;
  • , , ;
  • , ;
  • ( );
  • .

, , . , , (). ( ).

:



Selección de medidas de protección.
, . :

  • ;
  • ;
  • , ;
  • .

— , , .

— , , , , , , ( ).

: , , , . , , , , .

, - ( , , , .). ( , , .).

Definir un perfil para cada medida de protección.
, : , , . , . , .

. . . / /, . , ( , , , , -). , , ( ). , , , .

Formación del conjunto final de medidas de protección.
, , / / ( ). — :



El proceso para seleccionar remedios


Por lo tanto, hemos elegido medidas de protección, la mitad del trabajo está hecho. Ahora debe elegir los medios de protección que permitirán implementar estas medidas. La elección del equipo de protección incluye la siguiente secuencia de acciones:

  • determinación del tipo de sitio (instalación de infraestructura de TI) al que pertenece la sociedad de cartera;
  • determinación de los tipos de herramientas de protección necesarias para su uso (antivirus, herramientas de detección de intrusos y prevención de ataques, cortafuegos, SIEM, etc.);
  • determinación del área de aplicabilidad (área de implementación) del equipo de protección seleccionado;
  • identificación de fabricantes específicos (vendedores) para el equipo de protección seleccionado.

Como tenemos una gran reserva, es lógico que dicha retención pueda tener varios tipos de objetos de infraestructura de TI (tipos de sitios). Hay centros de datos, sitios de producción típicos, sitios remotos típicos, producción típica o sitios remotos fuera de la Federación Rusa. En diferentes tipos de sitios, se pueden introducir varios componentes de herramientas de protección de información centralizadas y locales.
Por razones obvias, no le diré qué tipos de equipos de protección se utilizan en la explotación y qué componentes se implementan en qué sitios.

Solo puedo decir que, como parte del estándar técnico, hemos realizado el mapeo de las medidas de seguridad a las herramientas de seguridad de la información. Por lo tanto, cualquier compañía tenedora, que aplique nuestro estándar técnico, no solo puede crear una lista de medidas de protección necesarias para su implementación, sino también comprender qué equipo de protección se debe aplicar a qué fabricantes. Además, dado que las soluciones centralizadas se utilizan en muchas áreas de protección, es posible un ahorro significativo en las compras. Es decir, será suficiente para que la sociedad de cartera compre solo soluciones de agente y las conecte (previa solicitud a la empresa de servicios) a los servidores de gestión en el centro de datos. Como mínimo, no tendrá que gastar dinero en un componente de administración, y no podrá administrar los medios de protección usted mismo, pero confíe al servicio de la compañía controladora esta tarea, que ahorrará en la búsqueda,contratación y pago de salarios a especialistas especializados.

Y señalaré por separado que en la Norma técnica indicamos explícitamente a los propios fabricantes de equipos de protección (alrededor de 20 clases de soluciones). Para seleccionar fabricantes específicos, se desarrolló una técnica completa (una técnica para elegir soluciones técnicas) que le permite comparar soluciones dentro de clases específicas. Criterios principales: apilamiento funcional, evaluación de facilidad de uso para el holding (soporte técnico, presencia de holdings en los países de ubicación, etc.), la posibilidad de sanciones (riesgo país), cuánto tiempo en el mercado, qué tan fácil es encontrar especialistas en servicios, etc.

El resultado del trabajo según la norma.


Entonces, ¿qué obtenemos? Y entendemos que tenemos una única "fuente de verdad", según la cual cualquier compañía holding puede elegir las medidas de protección necesarias para la implementación, teniendo en cuenta los detalles de sus sistemas de información (ICS) e infraestructura de TI. Además, al elegir medidas, la compañía podrá comprender qué medios de protección implementar estas medidas. Al mismo tiempo, la compañía puede ahorrar en la compra de equipos de protección, ya que comprende en qué sitios se implementan los componentes del equipo de protección centralizado (es decir, comprende a qué componentes puede conectarse simplemente sin gastar dinero en su compra).
En cuanto a los guardias de seguridad, su vida también se simplificó. Primero, todos deberían implementar los requisitos de la Norma Técnica (incluso cuando se crean nuevos sistemas). En segundo lugar, es más fácil realizar controles cuando se identifican medidas de protección.

En el Estándar técnico, hay muchas plantillas para los formularios de informes, es decir, las compañías tenedoras no necesitan descubrir cómo documentar los resultados del trabajo de acuerdo con el estándar, todo ya está ahí. Por ejemplo, una de las aplicaciones es la forma de la Declaración de Aplicabilidad de las Medidas de Protección. Este es un documento en el que se ingresan todos los resultados del trabajo de acuerdo con el estándar. Es una tabla que indica qué medidas de protección se aplican a los sistemas de control industrial y de propiedad intelectual, qué soluciones técnicas se implementan (para medidas técnicas) y en qué se describen los documentos reglamentarios internos (para medidas organizativas).

Resultó ser fácil de usar el estándar, los pasos se describen allí. Ejemplo. Digamos que tenemos un hotel. De acuerdo con los requisitos del proceso de inventario, debe realizar un inventario de activos y determinar una lista de IP en funcionamiento y su importancia. Sabiendo esto, el representante de IS toma, mira qué sistemas son (por ejemplo, ISPDn con nivel de seguridad 4 y CT), selecciona las medidas de protección necesarias, las adapta y complementa (conociendo las amenazas reales). Obtiene el conjunto final de medidas de seguridad. Luego mira otra mesa y recibe un conjunto de equipos de protección necesarios para la implementación en su sitio. Eso es todo. Muchos preguntarán: "¿Qué pasa con los documentos?" Intentamos centralizar los procesos de IS; también desarrollamos documentos de IS locales estándar para sitios. Por supuesto, las compañías específicas necesitarán adaptar documentos,bajado de la cabeza, pero es mucho más fácil que escribir desde cero.

En lugar de una conclusión


Para los amantes de los números: el estándar contiene 30 páginas de la parte principal con una descripción del enfoque y el algoritmo de trabajo, y más de 100 páginas de aplicaciones con una descripción detallada de las medidas de protección, varias selecciones, plantillas de formularios de informes.

Nosotros mismos hemos probado el estándar resultante en varios sitios.

Como resultado del caos, disminuyó ligeramente, aumentó el control. El efecto aumentará a medida que se compren herramientas de seguridad de la información (después de todo, 20 proveedores estandarizados, y no todo se compró al momento del lanzamiento de la Norma técnica para la seguridad de la información) y la implementación final de los procesos de seguridad de la información. Al crear nuevos sistemas, esperamos que todo funcione sin sorpresas para la seguridad de la información.

Creo que también tienes documentación similar. Muchos estandarizan solo soluciones de seguridad específicas sin ninguna metodología para elegir tales soluciones. Algunas estandarizan medidas específicas (basadas principalmente en los enfoques del FSTEC de Rusia o del Banco Central de la Federación de Rusia).

Para adaptar la aplicabilidad de un estándar único a las filiales, también existen muchos enfoques diferentes. Alguien introduce niveles de seguridad especiales (que no deben confundirse con los niveles de seguridad en ISPDn), luego divide a las compañías en la tenencia en estos niveles e implementa medidas de seguridad en los niveles apropiados. Alguien aplica todos los requisitos a todas las empresas. Alguien: selectivamente para personas jurídicas o tipos de empresas. Pero decidimos intentar jugar con la criticidad y los tipos de instalaciones de infraestructura de TI.

Con respecto a las medidas de protección, el enfoque de elegir medidas de NIST, mapear con los requisitos de los reguladores rusos, agregar un bloque sobre la criticidad de los sistemas nos pareció una buena práctica.

Si tiene preguntas sobre tales tareas que pueden responderse solo en correspondencia privada, entonces aquí está mi correo: MKoptenkov@technoserv.com.

Koptenkov Mikhail, Jefe de Auditoría y Consultoría.

More articles:


All Articles