Get best of the week

Comment rédiger une norme technique pour la sécurité de l'information pour une grande entreprise



Au fil du temps, toute grande entreprise est confrontée au problème de la confusion dans les méthodes, méthodes et moyens de protection de l'information appliqués.

Chaque entreprise résout le problème du chaos à sa manière, mais généralement l'une des mesures les plus efficaces consiste à rédiger la norme technique de sécurité de l'information. Imaginez qu'il existe une grande association de production, qui comprend plusieurs entreprises dans différents endroits du pays, ainsi que des infrastructures de services: un hôtel, une société informatique, un dépôt de transport, une centrale nucléaire, un bureau de représentation étranger et des cantines.

La première tâche consiste à déterminer ce qui doit être protégé et comment. Pour que chaque dirigeant, en tant que «père», sache quelles mesures de protection spécifiques doivent être prises à l'égard de quels biens. Il est important que l'ensemble des mesures de protection appliquées soit nécessaire et suffisant. C'est sûr et en même temps sur un budget.

La deuxième tâche consiste à standardiser les solutions techniques. Chaque mesure de protection technique est idéalement réalisée d'une certaine manière en utilisant un ou plusieurs moyens spécifiques. Si, par exemple, vous utilisez des antivirus d'un fournisseur pour protéger les hôtes, vous pouvez alors acheter des licences à un prix plus élevé (en raison du volume important), vous n'avez pas besoin de garder une équipe de spécialistes ayant une expérience de travail avec différentes solutions. Et si vous standardisez de nombreuses solutions de sécurité de l'information, vous pouvez créer des groupes d'architecture similaires dans différentes entreprises et centraliser leur gestion, abandonnant ainsi pratiquement les unités locales.

Voyons comment nous l'avons fait. Vous avez peut-être déjà écrit quelque chose de similaire par vous-même, et notre histoire vous aidera à structurer de telles choses. Eh bien, ou donnez simplement quelques idées sur la façon de procéder.

La question de savoir ce qui est pris comme base et ce qui s'est passé en termes de protection


Quel était au tout début, ou quel était le problème:

  1. L'entreprise voulait mettre en œuvre des mesures de protection pour une seule "source de vérité". En gros, nous avions besoin d'un tableau unique pour l'ensemble de l'exploitation avec une liste de ce qui doit être fait pour assurer la sécurité de l'information et se conformer à toutes les exigences nécessaires émanant des régulateurs. Et pour qu'il n'y ait pas de situations que chaque fille implémente IS à sa guise, allant parfois à l'encontre de la position de la tête.
  2. — , . , , , RDP ( ). HR . . , , « », . . , , , .
  3. . — .
  4. , . , .
  5. — , - , . , . . .

En général, tôt ou tard, tout le monde en vient à la nécessité de développer une norme technique SI. Quelqu'un le fait lui-même, quelqu'un utilise des méthodologies bien connues, prouvées par la pratique et la gelée de pétrole. Dans tous les cas, l'une des premières questions dans l'élaboration de la norme technique sera: "Où prendre des mesures de protection?" Bien sûr, vous pouvez l'inventer vous-même, en tenant compte des particularités de votre organisation. Mais personne ne le fait: après tout, il existe de nombreux ensembles de mesures prêts à l'emploi. Vous pouvez prendre les documents du FSTEC de Russie (ordres 21, 17, 239, 31), vous pouvez prendre la Banque centrale GOST. Nous avions une entreprise industrielle internationale et nous avons décidé de prendre comme base le cadre des normes NIST pour l'amélioration de la cybersécurité des infrastructures critiques"Et NISTIR 8183" Profil de fabrication du cadre de cybersécurité ". Vous pouvez suivre le lien, télécharger un fichier PDF volumineux et être inspiré par ce que la bureaucratie peut atteindre dans le désir de se cacher derrière un tas de papiers. En fait, vous n'avez pas besoin d'avoir peur de la taille du modèle: tout est là et tout est nécessaire.

Tout serait trop simple, si vous pouviez simplement passer du temps à traduire les nist ci-dessus et passer la traduction en tant que norme technique finie. Notre entreprise, bien qu'internationale, mais la plupart des activités se trouvent toujours en Fédération de Russie. En conséquence, la réglementation russe doit également être prise en compte. De plus, toutes les mesures de protection du NIST ne sont pas applicables et nécessaires (pourquoi mettre en œuvre quelque chose qui n'est pas nécessaire, nous ne voulons pas l'utilisation abusive des ressources financières). Le fait que nous ayons une grande entreprise ajoute à la complexité, la holding a également des entreprises industrielles, des centres de loisirs, des hôtels, des sociétés de comptabilité et de services. En conséquence, il existe des données personnelles, des secrets commerciaux, des objets KII et des systèmes de contrôle industriels.

Qu'avons-nous fait? Tout d'abord, nous avons fait une traduction gratuite du NIST ci-dessus, supprimant de là les mesures qui ne sont pas nécessaires à la mise en œuvre. Ce sont, par exemple, des mesures visant à assurer la sécurité de l'information dans des technologies qui ne sont pas applicables dans notre holding, ou des mesures qui ne sont pas nécessaires à mettre en œuvre selon la matrice de risque et de menace approuvée par la holding (nous l'avons également développée et, peut-être, nous écrirons un jour à ce sujet. vite). Ensuite, nous avons cartographié les mesures de protection des documents réglementaires russes avec les mesures du NIST. Certaines mesures (pour des raisons évidentes) s'inscrivaient idéalement dans les mesures du NIST, d'autres non, et il était nécessaire d'élargir la portée des mesures. Des mesures ont été ajoutées à partir des documents suivants:

  • Loi fĂ©dĂ©rale du 26 juillet 2017 n ° 187- «sur la sĂ©curitĂ© des infrastructures d'information critiques de la FĂ©dĂ©ration de Russie»;
  • Loi fĂ©dĂ©rale du 27 juillet 2006 n ° 152-FZ «sur les donnĂ©es personnelles»;
  • 29.07.2004 â„– 98- « »;
  • 08.02.2018 â„– 127 « , »;
  • 01.11.2012 â„– 1119 « »;
  • 18.02.2013 â„– 21 « »;
  • 25.12.2017 â„– 239 « »;
  • 21.12.2017 â„– 235 « »;
  • 14.03.2014 â„– 31 « , , , ». , , . . - — . . ? , , , . , , .

Eh bien, après toute la traduction et le mappage, nous avons ajouté des mesures qui ne sont décrites nulle part, mais qui sont nécessaires pour neutraliser les menaces de la matrice des risques et des menaces ci-dessus, ainsi que des mesures qui sont utiles et intéressantes à mettre en œuvre du point de vue du personnel SI du client (par exemple , des cyber-commandes sont apparues).

En conséquence, nous avions un énorme tableau avec des mesures (en fait, deux: un bref et détaillé avec des instructions pour la mise en œuvre de chaque mesure), qui indiquait également quel document quelles mesures correspondaient aux exigences de quel document.

Ci-dessous, une image avec une description détaillée d'une mesure spécifique:



Et voici un petit tableau avec une liste de mesures et une indication des types de systèmes auxquels ces mesures devraient être appliquées:



Ainsi, nous avons le même tableau pour toutes les sociétés holding, en choisissant les mesures à partir desquelles ils pourraient mettre en place un système de protection.

Alors, quelles mesures sont incluses dans ce tableau? Il existe cinq domaines fonctionnels:



Chacun des cinq domaines fonctionnels de la sécurité de l'information est divisé en trois à six catégories. 22 catégories sont réparties au total:

Direction fonctionnelle de la sécurité de l'information



Nom de catégorie



Désignation de catégorie



Identification



La gestion d'actifs



ID.UA



Contexte d'affaires



ID.BK



Guider



ID.RU



L'Ă©valuation des risques



ID.OR



Stratégie de gestion des risques



ID.UR



protection



Contrôle d'accès



ZI.KD



Sensibilisation et formation



ZI.OO



Sécurité des données



ZI.BD



Processus et procédures de sécurité de l'information



ZI.PP



Entretien



ZI.TO



Technologie de protection



ZI.TZ



DĂ©tection



Anomalies et événements



OB.AS



Surveillance continue de la sécurité



OB.NM



Processus de découverte



OB.PO



RĂ©ponse



Plans d'intervention



RG.PR



Les communications



RG.KM



Une analyse



RG.AN



Minimisation des conséquences



RG.MP



Amélioration



WG.SV



Récupération



Plans de rétablissement



VS.PV



Amélioration



VS. SV



Les communications



VS.KM



Chaque catégorie, à son tour, contient jusqu'à 16 mesures organisationnelles et techniques de protection des informations qui peuvent être nécessaires pour la mise en œuvre dans les sociétés holding. Au total, l'ensemble comprend plus de 100 mesures de sécurité de l'information. Selon les types de systèmes dans l'entreprise, une partie des mesures de protection est obligatoire pour la mise en œuvre et certaines mesures sont recommandées.

Processus de sélection


Dire, bien sûr, est plus facile que faire. Et jusqu'à présent, je n'ai parlé que d'un ensemble de mesures de protection, mais elles doivent également être sélectionnées / éliminées d'une manière ou d'une autre. Voici un organigramme du processus de choix des mesures de protection:



Passons en revue chaque Ă©tape.

Définition des types de systèmes de contrôle IP et industriels
, ( ) , , , :

  • ;
  • , , ;
  • , ;
  • ( );
  • .

, , . , , (). ( ).

:



SĂ©lection des mesures de protection
, . :

  • ;
  • ;
  • , ;
  • .

— , , .

— , , , , , , ( ).

: , , , . , , , , .

, - ( , , , .). ( , , .).

DĂ©finition d'un profil pour chaque mesure de protection
, : , , . , . , .

. . . / /, . , ( , , , , -). , , ( ). , , , .

Formation de l'ensemble final de mesures de protection
, , / / ( ). — :



Le processus de sélection des remèdes


Nous avons donc choisi des mesures de protection, la moitié du travail est fait. Vous devez maintenant choisir les moyens de protection qui permettront la mise en œuvre de ces mesures. Le choix de l'équipement de protection comprend la séquence d'actions suivante:

  • dĂ©termination du type de site (infrastructure d'infrastructure informatique) auquel appartient la sociĂ©tĂ© holding;
  • dĂ©termination des types d'outils de protection nĂ©cessaires Ă  l'utilisation (antivirus, outils de dĂ©tection d'intrusions et de prĂ©vention des attaques, pare-feu, SIEM, etc.);
  • dĂ©termination de la zone d'applicabilitĂ© (zone de mise en Ĺ“uvre) de l'Ă©quipement de protection sĂ©lectionnĂ©;
  • identification de fabricants (vendeurs) spĂ©cifiques pour l'Ă©quipement de protection sĂ©lectionnĂ©.

Étant donné que nous avons une grande exploitation, il est logique qu'une telle exploitation puisse avoir plusieurs types d'objets d'infrastructure informatique (types de sites). Il existe des centres de données, des sites de production typiques, des sites distants typiques, des sites de production typiques ou des sites distants en dehors de la Fédération de Russie. Sur différents types de sites, différents composants d'outils de protection des informations centralisés et locaux peuvent être introduits.
Pour des raisons évidentes, je ne vous dirai pas quels types d'équipements de protection sont utilisés dans l'exploitation et quels sont leurs composants déployés sur quels sites.

Je peux seulement dire que, dans le cadre de la norme technique, nous avons effectué la mise en correspondance des mesures de sécurité avec les outils de sécurité de l'information. Ainsi, toute société holding, appliquant notre norme technique, peut non seulement formuler une liste des mesures de protection nécessaires à sa mise en œuvre, mais aussi comprendre quels équipements de protection dont les fabricants doivent être appliqués. De plus, comme des solutions centralisées sont utilisées dans de nombreux domaines de protection, des économies importantes sur les achats sont possibles. Autrement dit, il suffira que la société holding achète uniquement des solutions d'agent et les connecte (sur demande à la société de services) aux serveurs de gestion du centre de données. Au minimum, vous n'aurez pas à dépenser d'argent pour un composant de gestion, et vous ne pourrez pas gérer vous-même les moyens de protection, mais confiez cette tâche au service de la société holding, ce qui économisera sur la recherche,embaucher et payer des salaires à des spécialistes spécialisés.

Et je noterai séparément que dans la norme technique, nous avons explicitement indiqué les fabricants d’équipements de protection eux-mêmes (environ 20 classes de solutions). Pour sélectionner des fabricants spécifiques, toute une technique a été développée (une technique de choix de solutions techniques) qui permet de comparer des solutions au sein de classes spécifiques. Principaux critères: pile fonctionnelle, évaluation de la convivialité de l'exploitation (support technique, présence de sociétés holding dans les pays d'implantation, etc.), la possibilité de sanctions (risque pays), la durée sur le marché, la facilité de recherche de spécialistes du service, etc.

Le résultat du travail selon la norme


Alors qu'obtenons-nous? Et nous obtenons que nous avons une seule «source de vérité», selon laquelle toute entreprise de l'exploitation peut choisir les mesures de protection nécessaires à la mise en œuvre, en tenant compte des spécificités de ses systèmes d'information (ICS) et de son infrastructure informatique. De plus, en choisissant des mesures, l'entreprise pourra comprendre quels moyens de protection mettre en œuvre ces mesures. Dans le même temps, l'entreprise peut économiser sur l'achat d'équipements de protection, car elle comprend sur quels sites les composants d'équipements de protection centralisés sont déployés (c'est-à-dire qu'elle comprend les composants auxquels vous pouvez simplement vous connecter sans dépenser d'argent pour leur achat).
Quant aux agents de sécurité, leur vie a également été simplifiée. Tout d'abord, tout le monde devrait maintenant mettre en œuvre les exigences de la norme technique (y compris lors de la création de nouveaux systèmes). Deuxièmement, il est plus facile d'effectuer des contrôles lorsque des mesures de protection sont identifiées.

Dans la norme technique, il existe de nombreux modèles de formulaires de déclaration, c'est-à-dire que les sociétés de portefeuille n'ont pas besoin de comprendre comment documenter les résultats du travail conformément à la norme, tout est déjà là. Par exemple, l'une des demandes est la forme de la Déclaration d'applicabilité des mesures de protection. Il s'agit d'un document dans lequel tous les résultats du travail selon la norme sont saisis. Il s'agit d'un tableau indiquant quelles mesures de protection pour quels systèmes de propriété intellectuelle et de contrôle industriel sont appliqués, quelles solutions techniques sont mises en œuvre (pour les mesures techniques) et dans lequel les documents réglementaires internes sont décrits (pour les mesures organisationnelles).

Il s'est avéré facile d'utiliser la norme, les étapes y sont décrites. Exemple. Disons que nous avons un hôtel. Selon les exigences du processus d'inventaire, il doit procéder à un inventaire des actifs et déterminer une liste des IP fonctionnels et leur criticité. Sachant cela, le représentant du SI prend, regarde ce que sont les systèmes (par exemple, ISPD avec niveau de sécurité 4 et CT), sélectionne les mesures de protection nécessaires, les adapte et les complète (connaissant les menaces réelles). Obtient l'ensemble final de mesures de sécurité. Puis il regarde une autre table et reçoit un ensemble d'équipements de protection nécessaires à la mise en place sur son site. C'est tout. Beaucoup demanderont: «Et les documents?» Nous avons essayé de centraliser les processus SI, nous avons également développé des documents SI locaux standard pour les sites. Bien sûr, certaines entreprises devront adapter des documents,abaissé de la tête, mais c'est beaucoup plus facile que d'écrire à partir de zéro.

Au lieu d'une conclusion


Pour les amateurs de nombres: la norme contient 30 pages de la partie principale avec une description de l'approche et de l'algorithme de travail, et plus de 100 pages d'applications avec une description détaillée des mesures de protection, diverses sélections, des modèles de formulaires de rapport.

Nous avons nous-mêmes testé la norme résultante sur plusieurs sites.

À la suite du chaos, il a légèrement diminué, le contrôle a augmenté. L'effet augmentera à mesure que l'achat d'outils de sécurité de l'information (après tout, 20 fournisseurs normalisés, et que tout n'a pas été acheté au moment de la publication de la norme technique pour la sécurité de l'information) et la mise en œuvre finale des processus de sécurité de l'information. Lors de la création de nouveaux systèmes, nous nous attendons à ce que tout se passe sans surprise pour la sécurité de l'information.

Je pense que vous avez aussi une documentation similaire. Beaucoup standardisent uniquement des solutions de sécurité spécifiques sans aucune méthodologie pour choisir de telles solutions. Certains standardisent des mesures spécifiques (principalement basées sur les approches du FSTEC de Russie ou de la Banque centrale de la Fédération de Russie).

Pour adapter l'applicabilité d'une norme unique aux filiales, il existe également de nombreuses approches différentes. Quelqu'un introduit des niveaux de sécurité spéciaux (à ne pas confondre avec les niveaux de sécurité dans ISPDn), puis divise les sociétés de l'exploitation en ces niveaux, et ils mettent en œuvre des mesures de sécurité aux niveaux appropriés. Quelqu'un applique toutes les exigences à toutes les entreprises. Quelqu'un - sélectivement pour les personnes morales ou les types de sociétés. Mais nous avons décidé d'essayer de jouer avec la criticité et les types d'installations d'infrastructure informatique.

En ce qui concerne les mesures de protection, l'approche consistant à choisir les mesures du NIST, à les mettre en correspondance avec les exigences des régulateurs russes, à ajouter un bloc sur la criticité des systèmes nous a semblé une bonne pratique.

Si vous avez des questions sur ces tâches auxquelles vous ne pouvez répondre que par correspondance privée, alors voici mon courrier - MKoptenkov@technoserv.com.

Koptenkov Mikhail, chef de l'audit et du conseil.

More articles:


All Articles