Get best of the week

Cara menulis standar teknis untuk keamanan informasi untuk perusahaan besar



Seiring waktu, perusahaan besar mana pun dihadapkan dengan masalah kebingungan dalam metode yang diterapkan, metode dan cara melindungi informasi.

Setiap perusahaan menyelesaikan masalah kekacauan dengan caranya sendiri, tetapi biasanya salah satu langkah paling efektif adalah menulis standar teknis keamanan informasi. Bayangkan ada asosiasi produksi besar, yang mencakup beberapa perusahaan di berbagai tempat di negara ini, ditambah infrastruktur layanan: hotel, perusahaan IT, depot transportasi, PLTN, kantor perwakilan asing dan kantin.

Tugas pertama adalah mencari tahu apa yang perlu dilindungi dan bagaimana caranya. Sehingga setiap pemimpin, sebagai "ayah kami," tahu tindakan perlindungan khusus apa yang harus diambil sehubungan dengan aset mana. Adalah penting bahwa serangkaian tindakan perlindungan yang diterapkan harus diperlukan dan memadai. Itu aman dan sekaligus dengan anggaran terbatas.

Tugas kedua adalah membakukan solusi teknis. Setiap tindakan perlindungan teknis idealnya dilakukan dengan cara tertentu menggunakan satu atau lebih cara spesifik. Jika, misalnya, Anda menggunakan antivirus dari satu vendor untuk melindungi host, maka Anda dapat membeli lisensi dengan diskon yang lebih besar (karena volume yang besar), Anda tidak perlu mempertahankan staf spesialis yang berpengalaman bekerja dengan solusi yang berbeda. Dan jika Anda menstandarisasi banyak solusi keamanan informasi, Anda dapat membuat grup arsitektur serupa di berbagai perusahaan dan memusatkan manajemen mereka, dengan demikian secara praktis meninggalkan unit lokal.

Mari kita beri tahu Anda bagaimana kami melakukannya. Anda mungkin sudah menulis sesuatu yang serupa pada Anda sendiri, dan cerita kami akan membantu Anda menyusun hal-hal seperti itu. Baik, atau hanya memberikan beberapa ide tentang cara melakukan ini.

Masalah apa yang diambil sebagai dasar, dan apa yang terjadi dalam hal perlindungan


Apa yang paling awal, atau apa masalahnya:

  1. Perusahaan ingin menerapkan langkah-langkah perlindungan untuk satu "sumber kebenaran". Secara kasar, kami membutuhkan satu meja untuk seluruh holding dengan daftar apa yang perlu dilakukan untuk memberikan keamanan informasi dan mematuhi semua persyaratan yang diperlukan dari regulator. Dan agar tidak ada situasi yang diterapkan setiap anak perempuan sesuai keinginannya, kadang-kadang bertentangan dengan posisi kepala.
  2. β€” , . , , , RDP ( ). HR . . , , Β« Β», . . , , , .
  3. . β€” .
  4. , . , .
  5. β€” , - , . , . . .

Secara umum, cepat atau lambat, semua orang datang pada kebutuhan untuk mengembangkan standar teknis IS. Seseorang melakukannya sendiri, seseorang menggunakan metodologi terkenal, dibuktikan dengan praktik dan petroleum jelly. Dalam kasus apa pun, salah satu pertanyaan pertama dalam pengembangan standar teknis adalah: "Di mana mengambil tindakan perlindungan?" Tentu saja, Anda dapat menciptakannya sendiri, dengan mempertimbangkan kekhasan organisasi Anda. Tapi tidak ada yang melakukannya: lagipula, ada banyak perangkat tindakan siap pakai. Anda dapat mengambil dokumen-dokumen FSTEC Rusia (pesanan 21, 17, 239, 31), Anda dapat mengambil Bank Sentral GOST. Kami memiliki perusahaan industri internasional, dan kami memutuskan untuk mengambil sebagai dasar Kerangka Kerja Standar NIST untuk Meningkatkan Cybersecurity Infrastruktur Kritis Infrastruktur"Dan NISTIR 8183" Profil Manufaktur Kerangka Cybersecurity ". Anda dapat mengikuti tautan, mengunduh PDF yang besar dan terinspirasi oleh apa yang dapat dicapai oleh birokrasi dalam keinginan untuk bersembunyi di balik banyak kertas. Faktanya, Anda tidak perlu takut dengan ukuran templat: semuanya ada dan semuanya dibutuhkan.

Semuanya akan terlalu sederhana, jika Anda hanya bisa menghabiskan waktu menerjemahkan nist di atas dan lulus terjemahan sebagai standar teknis yang sudah jadi. Perusahaan kami, meskipun internasional, tetapi sebagian besar bisnisnya masih berlokasi di Federasi Rusia. Karena itu, peraturan Rusia juga harus diperhitungkan. Selain itu, tidak semua tindakan perlindungan dari NIST dapat diterapkan dan diperlukan (mengapa menerapkan sesuatu yang tidak perlu, kami tidak ingin menyalahgunakan sumber daya keuangan). Fakta bahwa kami memiliki perusahaan besar yang ditambahkan ke kompleksitas, holding juga memiliki perusahaan industri, pusat rekreasi, hotel, perusahaan akuntansi dan jasa. Dengan demikian, ada data pribadi, dan rahasia dagang, dan objek KII, dan sistem kontrol industri.

Apa yang telah kita lakukan? Pertama, kami membuat terjemahan gratis NIST di atas, menghapus dari sana langkah-langkah yang tidak perlu diimplementasikan. Ini adalah, misalnya, langkah-langkah yang ditujukan untuk menyediakan keamanan informasi dalam teknologi yang tidak berlaku dalam holding kami, atau langkah-langkah yang tidak perlu untuk diterapkan sesuai dengan Matriks Risiko dan Ancaman yang disetujui oleh holding (kami juga mengembangkannya dan, mungkin, kami akan menulis tentang ini suatu hari nanti) cepat). Kemudian kami memetakan langkah-langkah perlindungan dari dokumen peraturan Rusia dengan langkah-langkah dari NIST. Beberapa tindakan (untuk alasan yang jelas) idealnya cocok dengan langkah-langkah dari NIST, beberapa tidak cocok, dan perlu untuk memperluas ruang lingkup tindakan. Langkah-langkah ditambahkan dari dokumen-dokumen berikut:

  • Undang-Undang Federal 26 Juli 2017 No. 187- β€œTentang Keamanan Infrastruktur Informasi Kritis Federasi Rusia”;
  • Hukum Federal 27 Juli 2006 No. 152-FZ "Tentang Data Pribadi";
  • 29.07.2004 β„– 98- Β« Β»;
  • 08.02.2018 β„– 127 Β« , Β»;
  • 01.11.2012 β„– 1119 Β« Β»;
  • 18.02.2013 β„– 21 Β« Β»;
  • 25.12.2017 β„– 239 Β« Β»;
  • 21.12.2017 β„– 235 Β« Β»;
  • 14.03.2014 β„– 31 Β« , , , Β». , , . . - β€” . . ? , , , . , , .

Nah, setelah semua terjemahan dan pemetaan, kami menambahkan langkah-langkah yang tidak dijelaskan di mana saja, tetapi diperlukan untuk menetralisir ancaman dari Matriks Risiko dan Ancaman di atas, serta langkah-langkah yang berguna dan menarik untuk diterapkan dari sudut pandang personel keamanan informasi Pelanggan (misalnya , pesanan dunia maya muncul).

Sebagai hasilnya, kami memiliki tabel besar dengan langkah-langkah (pada kenyataannya, dua: yang singkat dan rinci dengan instruksi untuk menerapkan setiap tindakan), yang juga menunjukkan dokumen mana tindakan apa yang sesuai dengan persyaratan dokumen yang mana.

Di bawah ini adalah gambar dengan deskripsi rinci tentang ukuran tertentu:



Dan di sini adalah tabel pendek dengan daftar ukuran dan indikasi jenis sistem apa yang harus diterapkan oleh langkah-langkah ini:



Dengan demikian, kami memiliki tabel yang sama untuk semua perusahaan induk, memilih langkah-langkah dari mana mereka dapat menerapkan sistem perlindungan.

Jadi langkah apa yang termasuk dalam tabel ini? Ada lima bidang fungsional:



Masing-masing dari lima bidang fungsional keamanan informasi dibagi menjadi tiga hingga enam kategori. 22 kategori dialokasikan secara total:

Arah fungsional keamanan informasi



Nama Kategori



Penunjukan kategori



Identifikasi



Manajemen aset



ID.UA



Konteks bisnis



ID.BK



Panduan



ID.RU



Tugas beresiko



ID.OR



Strategi manajemen risiko



ID.UR



Perlindungan



Kontrol akses



ZI.KD



Kesadaran dan pelatihan



ZI.OO



Keamanan data



ZI.BD



Proses dan Prosedur Keamanan Informasi



ZI.PP



Pemeliharaan



ZI.TO



Teknologi perlindungan



ZI.TZ



Deteksi



Anomali dan peristiwa



OB.AS



Pemantauan keamanan berkelanjutan



OB.NM



Proses penemuan



OB.PO



Tanggapan



Rencana tanggapan



RG.PR



Komunikasi



RG.KM



Analisis



RG.AN



Meminimalkan konsekuensi



RG.MP



Perbaikan



WG.SV



Pemulihan



Rencana pemulihan



VS.PV



Perbaikan



VS. SV



Komunikasi



VS.KM



Setiap kategori, pada gilirannya, berisi hingga 16 langkah perlindungan informasi organisasi dan teknis yang mungkin diperlukan untuk implementasi dalam perusahaan induk. Secara total, perangkat ini terdiri dari lebih dari 100 langkah keamanan informasi. Bergantung pada jenis sistem di perusahaan, bagian dari tindakan perlindungan wajib untuk implementasi, dan beberapa tindakan direkomendasikan.

Proses seleksi


Mengatakan, tentu saja, lebih mudah daripada melakukannya. Dan sejauh ini saya hanya berbicara tentang serangkaian tindakan perlindungan, tetapi mereka juga perlu dipilih / dihilangkan entah bagaimana. Di bawah ini adalah bagan alur dari proses memilih tindakan perlindungan:



Mari kita lalui setiap langkah.

Definisi jenis IP dan sistem kontrol industri
, ( ) , , , :

  • ;
  • , , ;
  • , ;
  • ( );
  • .

, , . , , (). ( ).

:



Pemilihan langkah-langkah perlindungan
, . :

  • ;
  • ;
  • , ;
  • .

β€” , , .

β€” , , , , , , ( ).

: , , , . , , , , .

, - ( , , , .). ( , , .).

Menentukan profil untuk setiap ukuran perlindungan
, : , , . , . , .

. . . / /, . , ( , , , , -). , , ( ). , , , .

Pembentukan set terakhir dari tindakan perlindungan
, , / / ( ). β€” :



Proses untuk memilih solusi


Jadi, kami telah memilih langkah-langkah perlindungan, setengah dari pekerjaan dilakukan. Sekarang Anda perlu memilih cara perlindungan yang akan memungkinkan langkah-langkah ini diterapkan. Pilihan peralatan pelindung meliputi urutan tindakan berikut:

  • penentuan jenis situs (fasilitas infrastruktur TI) yang menjadi milik perusahaan induk;
  • penentuan jenis alat perlindungan yang diperlukan untuk digunakan (antivirus, deteksi intrusi dan alat pencegahan serangan, firewall, SIEM, dll.);
  • penentuan area penerapan (area implementasi) dari peralatan pelindung yang dipilih;
  • identifikasi pabrikan (vendor) tertentu untuk peralatan pelindung yang dipilih.

Karena kami memiliki holding yang besar, logis bahwa holding tersebut dapat memiliki beberapa jenis objek infrastruktur TI (jenis situs). Ada pusat data, situs produksi tipikal, situs remote tipikal, produksi tipikal atau situs remote di luar Federasi Rusia. Di berbagai jenis situs, berbagai komponen alat perlindungan informasi terpusat dan lokal dapat diperkenalkan.
Untuk alasan yang jelas, saya tidak akan memberi tahu Anda jenis peralatan pelindung apa yang digunakan dalam holding dan komponen apa yang digunakan di lokasi mana.

Saya hanya dapat mengatakan bahwa, sebagai bagian dari standar teknis, kami telah melakukan pemetaan langkah-langkah keamanan untuk alat keamanan informasi. Jadi setiap perusahaan induk, yang menerapkan standar teknis kami, tidak hanya dapat membuat daftar tindakan perlindungan yang diperlukan untuk penerapannya, tetapi juga memahami peralatan pelindung mana yang harus diterapkan oleh produsen. Selain itu, karena solusi terpusat digunakan di banyak bidang perlindungan, penghematan yang signifikan dalam pembelian dimungkinkan. Artinya, itu akan cukup bagi perusahaan induk untuk hanya membeli solusi agen dan menghubungkannya (berdasarkan permintaan ke perusahaan jasa) ke server manajemen di pusat data. Paling tidak, Anda tidak perlu mengeluarkan uang untuk komponen manajemen, dan Anda tidak akan bisa mengelola sendiri berarti perlindungan, tetapi percayakan layanan perusahaan induk dengan tugas ini, yang akan menghemat pencarian,mempekerjakan dan membayar gaji spesialis.

Dan saya akan mencatat secara terpisah bahwa dalam Standar Teknis kami secara eksplisit menunjukkan produsen peralatan pelindung itu sendiri (sekitar 20 kelas solusi). Untuk memilih produsen tertentu, seluruh teknik dikembangkan (teknik untuk memilih solusi teknis) yang memungkinkan Anda untuk membandingkan solusi dalam kelas-kelas tertentu. Kriteria utama: tumpukan fungsional, penilaian ramah pengguna untuk holding (dukungan teknis, keberadaan perusahaan holding di negara lokasi, dll.), Kemungkinan sanksi (risiko negara), berapa lama di pasar, betapa mudahnya untuk menemukan spesialis layanan, dll.

Hasil pekerjaan sesuai standar


Jadi apa yang kita dapat? Dan kami mendapatkan bahwa kami memiliki "sumber kebenaran" tunggal, yang menurutnya setiap perusahaan induk dapat memilih langkah-langkah perlindungan yang diperlukan untuk implementasi, dengan mempertimbangkan spesifikasi sistem informasinya (ICS) dan infrastruktur TI. Selain itu, dengan memilih langkah-langkah, perusahaan akan dapat memahami apa arti perlindungan untuk menerapkan langkah-langkah ini. Pada saat yang sama, perusahaan dapat menghemat pembelian peralatan pelindung, karena memahami di lokasi mana komponen peralatan pelindung terpusat digunakan (mis., Memahami komponen mana yang dapat Anda sambungkan tanpa mengeluarkan uang untuk pembelian mereka).
Adapun penjaga keamanan, hidup mereka juga disederhanakan. Pertama, setiap orang sekarang harus menerapkan persyaratan Standar Teknis (termasuk ketika membuat sistem baru). Kedua, lebih mudah untuk melakukan pemeriksaan ketika langkah-langkah perlindungan diidentifikasi.

Dalam Standar Teknis, ada banyak templat untuk formulir pelaporan, yaitu, perusahaan induk tidak perlu mencari cara untuk mendokumentasikan hasil pekerjaan sesuai dengan standar, semuanya sudah ada di sana. Misalnya, salah satu aplikasi adalah bentuk Deklarasi Keberlakuan Tindakan Perlindungan. Ini adalah dokumen yang memasukkan semua hasil pekerjaan sesuai standar. Ini adalah tabel yang menunjukkan langkah-langkah perlindungan yang menerapkan IP dan sistem kontrol industri, solusi teknis apa yang diterapkan (untuk tindakan teknis) dan di mana dokumen peraturan internal dijelaskan (untuk tindakan organisasi).

Ternyata standarnya mudah digunakan, langkah-langkahnya dijelaskan di sana. Contoh. Katakanlah kita punya hotel. Menurut persyaratan proses inventaris, ia harus melakukan inventarisasi aset dan menentukan daftar IP yang berfungsi dan kekritisannya. Mengetahui hal ini, perwakilan IS mengambil, melihat sistem apa (misalnya, ISPD dengan tingkat keamanan 4 dan CT), memilih langkah-langkah perlindungan yang diperlukan, menyesuaikan dan menambah mereka (mengetahui ancaman yang sebenarnya). Mendapat set terakhir langkah-langkah keamanan. Kemudian dia melihat ke meja lain dan menerima satu set peralatan pelindung yang diperlukan untuk implementasi di situsnya. Itu saja. Banyak yang akan bertanya: "Bagaimana dengan dokumen?" Kami mencoba membuat proses IS terpusat, kami juga mengembangkan dokumen IS lokal standar untuk situs. Tentu saja, perusahaan tertentu perlu menyesuaikan dokumen,diturunkan dari kepala, tetapi jauh lebih mudah daripada menulis dari awal.

Alih-alih sebuah kesimpulan


Untuk pecinta angka: dalam standar 30 halaman bagian utama dengan deskripsi pendekatan dan algoritma kerja, dan lebih dari 100 halaman aplikasi dengan deskripsi rinci tentang langkah-langkah perlindungan, berbagai pilihan, templat formulir pelaporan telah diterbitkan.

Kami sendiri telah menguji standar yang dihasilkan di sejumlah situs.

Sebagai akibat dari kekacauan, itu sedikit menurun, kontrol meningkat. Efeknya akan meningkat sebagai alat keamanan informasi pembelian (setelah semua, 20 vendor standar, dan tidak semuanya dibeli pada saat rilis Standar Teknis untuk Keamanan Informasi) dan implementasi akhir dari proses keamanan informasi. Saat membuat sistem baru, kami berharap semuanya akan dilakukan tanpa kejutan untuk keamanan informasi.

Saya pikir Anda memiliki dokumentasi serupa juga. Banyak standardisasi hanya solusi keamanan khusus tanpa metodologi untuk memilih solusi tersebut. Beberapa standar tindakan khusus (terutama didasarkan pada pendekatan FSTEC Rusia atau Bank Sentral Federasi Rusia).

Untuk mengadaptasi penerapan standar tunggal ke anak perusahaan, ada juga banyak pendekatan yang berbeda. Seseorang memperkenalkan tingkat keamanan khusus (jangan dikacaukan dengan tingkat keamanan di ISPDn), kemudian membagi perusahaan dalam kepemilikan ke dalam level-level ini, dan mereka menerapkan langkah-langkah keamanan pada level yang sesuai. Seseorang menerapkan semua persyaratan untuk semua perusahaan. Seseorang - secara selektif untuk badan hukum atau jenis perusahaan. Tetapi kami memutuskan untuk mencoba bermain dengan kekritisan dan jenis fasilitas infrastruktur TI.

Mengenai langkah-langkah perlindungan, pendekatan dengan memilih langkah-langkah dari NIST, pemetaan dengan persyaratan regulator Rusia, menambahkan blok pada kekritisan sistem bagi kami merupakan praktik yang baik.

Jika Anda memiliki pertanyaan tentang tugas-tugas seperti itu yang hanya dapat dijawab dalam korespondensi pribadi, maka inilah surat saya - MKoptenkov@technoserv.com.

Koptenkov Mikhail, Kepala Audit dan Konsultasi.

More articles:


All Articles