Get best of the week

Como escrever um padrão técnico para segurança da informação para uma grande empresa



Com o tempo, qualquer grande empresa enfrenta o problema de confusão nos métodos, métodos e meios aplicados para proteger as informações.

Cada empresa resolve o problema do caos à sua maneira, mas geralmente uma das medidas mais eficazes é escrever o padrão técnico de segurança da informação. Imagine que existe uma grande associação de produção, que inclui várias empresas em diferentes locais do país, além de infraestrutura de serviços: um hotel, uma empresa de TI, um depósito de transporte, uma NPP, um escritório de representação estrangeira e cantinas.

A primeira tarefa é descobrir o que precisa ser protegido e como. Para que cada líder, como nosso "pai", soubesse quais medidas de proteção específicas deveriam ser tomadas com relação a quais ativos. É importante que o conjunto de medidas de proteção aplicadas seja necessário e suficiente. Isso é seguro e, ao mesmo tempo, com um orçamento.

A segunda tarefa é padronizar soluções técnicas. Cada medida de proteção técnica é idealmente realizada de uma certa maneira, usando um ou mais meios específicos. Se, por exemplo, você usar antivírus de um fornecedor para proteger hosts, poderá adquirir licenças com um desconto maior (devido ao grande volume), não precisará manter uma equipe de especialistas com experiência trabalhando com soluções diferentes. E se você padronizar muitas soluções de segurança da informação, poderá criar grupos de arquitetura semelhantes em diferentes empresas e centralizar seu gerenciamento, praticamente abandonando as unidades locais.

Vamos contar como fizemos. Você já deve ter escrito algo semelhante por conta própria, e nossa história o ajudará a estruturar essas coisas. Bem, ou apenas dê algumas idéias sobre como fazer isso.

A questão do que é tomado como base e o que aconteceu em termos de proteção


O que estava no começo ou qual era o problema:

  1. A empresa queria implementar medidas de proteção para uma única "fonte de verdade". Grosso modo, precisávamos de uma tabela única para toda a holding com uma lista do que precisa ser feito para fornecer segurança das informações e cumprir com todos os requisitos necessários liberados pelos reguladores. E para que não haja situações em que cada filha implemente o EI como quiser, às vezes indo contra a posição da cabeça.
  2. — , . , , , RDP ( ). HR . . , , « », . . , , , .
  3. . — .
  4. , . , .
  5. — , - , . , . . .

Em geral, mais cedo ou mais tarde, todos chegam à necessidade de desenvolver um padrão técnico de SI. Alguém faz isso sozinho, alguém usa metodologias conhecidas, comprovadas pela prática e vaselina. De qualquer forma, uma das primeiras perguntas no desenvolvimento do padrão técnico será: "Onde tomar medidas de proteção?" Obviamente, você pode inventar você mesmo, levando em consideração as peculiaridades da sua organização. Mas ninguém faz isso: afinal, existem muitos conjuntos de medidas prontas. Você pode levar os documentos do FSTEC da Rússia (ordens 21, 17, 239, 31), você pode levar o Banco Central GOST. Tínhamos uma empresa industrial internacional e decidimos basear-se na estrutura de padrões do NIST para melhorar a segurança cibernética de infraestrutura crítica"E NISTIR 8183" Perfil de fabricação da estrutura de segurança cibernética ". Você pode seguir o link, fazer o download de um PDF robusto e se inspirar no que a burocracia pode alcançar no desejo de se esconder atrás de vários papéis. Na verdade, você não precisa ter medo do tamanho do modelo: tudo está lá e tudo é necessário.

Tudo seria muito simples, se você pudesse passar o tempo traduzindo as listas acima e passando a tradução como um padrão técnico finalizado. Nossa empresa, embora internacional, mas a maioria dos negócios ainda está localizada na Federação Russa. Por conseguinte, os regulamentos russos também devem ser levados em consideração. Além disso, nem todas as medidas de proteção do NIST são aplicáveis ​​e necessárias (por que implementar algo que não é necessário, não queremos o uso indevido de recursos financeiros). Pelo fato de termos uma grande empresa agregada à complexidade, a holding também possui empresas industriais, centros de recreação, hotéis, empresas de contabilidade e serviços. Consequentemente, existem dados pessoais, segredos comerciais, objetos KII e sistemas de controle industrial.

O que nos fizemos? Primeiro, fizemos uma tradução livre do NIST acima, removendo daí as medidas que não são necessárias para implementar. Essas são, por exemplo, medidas destinadas a fornecer segurança da informação em tecnologias que não são aplicáveis ​​em nossa holding ou medidas que não são necessárias para implementar de acordo com a Matriz de Riscos e Ameaças aprovada pela holding (também a desenvolvemos e, talvez, escreveremos sobre isso algum dia velozes). Em seguida, mapeamos as medidas de proteção dos documentos regulamentares russos com as do NIST. Algumas medidas (por razões óbvias) se encaixam idealmente nas medidas do NIST, outras não, e foi necessário expandir o escopo das medidas. Foram adicionadas medidas dos seguintes documentos:

  • Lei Federal de 26 de julho de 2017 nº 187- “Sobre a segurança da infraestrutura de informações críticas da Federação Russa”;
  • Lei Federal de 27 de julho de 2006, nº 152-FZ “Sobre Dados Pessoais”;
  • 29.07.2004 № 98- « »;
  • 08.02.2018 № 127 « , »;
  • 01.11.2012 № 1119 « »;
  • 18.02.2013 № 21 « »;
  • 25.12.2017 № 239 « »;
  • 21.12.2017 № 235 « »;
  • 14.03.2014 № 31 « , , , ». , , . . - — . . ? , , , . , , .

Bem, depois de toda a tradução e mapeamento, adicionamos medidas que não são descritas em nenhum lugar, mas são necessárias para neutralizar as ameaças da Matriz de Riscos e Ameaças mencionadas acima, além de medidas úteis e interessantes para implementar do ponto de vista da equipe de SI do Cliente (por exemplo , ordens cibernéticas apareceram).

Como resultado, tínhamos uma tabela enorme com medidas (na verdade, duas: uma breve e detalhada com instruções para implementar cada medida), que também indicava qual documento, quais medidas correspondem aos requisitos de qual documento.

Abaixo está uma figura com uma descrição detalhada de uma medida específica:



E aqui está uma pequena tabela com uma lista de medidas e uma indicação de quais tipos de sistemas essas medidas devem ser aplicadas:



Assim, temos a mesma tabela para todas as holdings, escolhendo medidas a partir das quais elas poderiam implementar um sistema de proteção.

Então, quais medidas estão incluídas nesta tabela? Existem cinco áreas funcionais:



Cada uma das cinco áreas funcionais de segurança da informação é dividida em três a seis categorias. 22 categorias são alocadas no total:

Direção funcional da segurança da informação



Nome da Categoria



Designação da categoria



Identificação



Gestão de ativos



ID.UA



Contexto empresarial



ID.BK



Guia



ID.RU



Avaliação de risco



ID.OR



Estratégia de gerenciamento de riscos



ID.UR



Proteção



Controle de acesso



ZI.KD



Conscientização e treinamento



ZI.OO



Segurança de dados



ZI.BD



Processos e procedimentos de segurança da informação



ZI.PP



Manutenção



ZI.TO



Tecnologia de proteção



ZI.TZ



Detecção



Anomalias e eventos



OB.AS



Monitoramento de segurança contínuo



OB.NM



Processos de descoberta



OB.PO



Resposta



Planos de resposta



RG.PR



Comunicações



RG.KM



Análise



RG.AN



Minimização de consequências



RG.MP



Melhoria



WG.SV



Recuperação



Planos de recuperação



VS.PV



Melhoria



VS. SV



Comunicações



VS.KM



Cada categoria, por sua vez, contém até 16 medidas organizacionais e técnicas de proteção de informações que podem ser necessárias para a implementação em holdings. No total, o conjunto consiste em mais de 100 medidas de segurança da informação. Dependendo dos tipos de sistemas da empresa, parte das medidas de proteção é obrigatória para a implementação, e algumas medidas são recomendadas.

Processo de seleção


Dizer, é claro, é mais fácil do que fazer. Até agora, só falei sobre um conjunto de medidas de proteção, mas elas também precisam ser selecionadas / eliminadas de alguma forma. Abaixo está um fluxograma do processo de escolha de medidas de proteção:



Vamos seguir cada etapa.

Definição de tipos de IP e sistemas de controle industrial
, ( ) , , , :

  • ;
  • , , ;
  • , ;
  • ( );
  • .

, , . , , (). ( ).

:



Seleção de medidas de proteção
, . :

  • ;
  • ;
  • , ;
  • .

— , , .

— , , , , , , ( ).

: , , , . , , , , .

, - ( , , , .). ( , , .).

Definindo um perfil para cada medida de proteção
, : , , . , . , .

. . . / /, . , ( , , , , -). , , ( ). , , , .

Formação do conjunto final de medidas de proteção
, , / / ( ). — :



O processo para selecionar remédios


Por isso, escolhemos medidas de proteção, metade do trabalho é feito. Agora você precisa escolher os meios de proteção que permitirão a implementação dessas medidas. A escolha do equipamento de proteção inclui a seguinte sequência de ações:

  • determinação do tipo de site (instalação de infraestrutura de TI) ao qual a holding pertence;
  • determinação dos tipos de ferramentas de proteção necessárias para uso (antivírus, ferramentas de detecção de intrusão e prevenção de ataques, firewalls, SIEM, etc.);
  • determinação da área de aplicabilidade (área de implementação) do equipamento de proteção selecionado;
  • identificação de fabricantes (fornecedores) específicos para o equipamento de proteção selecionado.

Como temos uma grande participação, é lógico que essa participação possa ter vários tipos de objetos de infraestrutura de TI (tipos de sites). Existem centros de dados, locais de produção típicos, sites remotos típicos, locais remotos ou de produção típicos fora da Federação Russa. Em diferentes tipos de sites, vários componentes de ferramentas de proteção de informações centralizadas e locais podem ser introduzidos.
Por razões óbvias, não vou lhe dizer quais tipos de equipamentos de proteção são usados ​​na exploração e quais seus componentes são implantados em quais locais.

Só posso dizer que, como parte do padrão técnico, realizamos o mapeamento de medidas de segurança para ferramentas de segurança da informação. Portanto, qualquer empresa holding, aplicando nosso padrão técnico, pode não apenas formular uma lista de medidas de proteção necessárias para sua implementação, mas também entender quais equipamentos de proteção de quais fabricantes devem ser aplicados. Além disso, como as soluções centralizadas são usadas em muitas áreas de proteção, são possíveis economias significativas nas compras. Ou seja, será suficiente para a holding comprar apenas soluções de agente e conectá-las (mediante solicitação à empresa de serviços) aos servidores de gerenciamento no data center. No mínimo, você não precisará gastar dinheiro com um componente de gerenciamento e não poderá gerenciar os meios de proteção, mas confia o serviço da holding a esta tarefa, que economizará na pesquisa,contratação e pagamento de salários a especialistas especializados.

E observarei separadamente que, na Norma Técnica, indicamos explicitamente os próprios fabricantes de equipamentos de proteção (cerca de 20 classes de soluções). Para selecionar fabricantes específicos, uma técnica inteira foi desenvolvida (uma técnica para escolher soluções técnicas) que permite comparar soluções dentro de classes específicas. Critérios principais: pilha funcional, avaliação de facilidade de uso da holding (suporte técnico, presença de holdings nos países de localização etc.), possibilidade de sanções (risco-país), quanto tempo no mercado, quão fácil é encontrar especialistas em serviços, etc.

O resultado do trabalho de acordo com o padrão


Então o que temos? E obtemos que temos uma única “fonte de verdade”, segundo a qual qualquer holding pode escolher as medidas de proteção necessárias para a implementação, levando em consideração as especificidades de seus sistemas de informação (ICS) e infraestrutura de TI. Além disso, ao escolher medidas, a empresa poderá entender quais os meios de proteção para implementá-las. Ao mesmo tempo, a empresa pode economizar na compra de equipamentos de proteção, pois entende em quais locais quais componentes do equipamento de proteção centralizado estão implantados (ou seja, entende quais componentes você pode simplesmente se conectar sem gastar dinheiro na compra).
Quanto aos seguranças, sua vida também foi simplificada. Primeiro, todos devem agora implementar os requisitos do Padrão Técnico (inclusive ao criar novos sistemas). Em segundo lugar, é mais fácil realizar verificações quando as medidas de proteção são identificadas.

No Padrão Técnico, existem muitos modelos de formulários de relatório, ou seja, as holdings não precisam descobrir como documentar os resultados do trabalho de acordo com o padrão, tudo já está lá. Por exemplo, uma das aplicações é a forma da Declaração de aplicabilidade das medidas de proteção. Este é um documento no qual todos os resultados do trabalho de acordo com a norma são inseridos. É uma tabela indicando quais medidas de proteção para quais sistemas de controle industrial e de PI são aplicados, quais soluções técnicas são implementadas (para medidas técnicas) e em que documentos regulatórios internos são descritos (para medidas organizacionais).

Acabou sendo fácil usar o padrão, as etapas são descritas lá. Exemplo. Digamos que temos um hotel. De acordo com os requisitos do processo de inventário, ele deve realizar um inventário de ativos e determinar uma lista de IPs em funcionamento e sua criticidade. Sabendo disso, o representante do SI analisa quais são os sistemas (por exemplo, ISPD com nível de segurança 4 e CT), seleciona as medidas de proteção necessárias, adapta e complementa (conhecendo as ameaças reais). Obtém o conjunto final de medidas de segurança. Em seguida, ele olha para outra mesa e recebe um conjunto de equipamentos de proteção necessários para a implementação em seu site. Isso é tudo. Muitos perguntam: "E os documentos?" Tentamos centralizar os processos de SI; também desenvolvemos documentos IS locais padrão para sites. Obviamente, empresas específicas precisarão adaptar documentos,baixado da cabeça, mas é muito mais fácil do que escrever do zero.

Em vez de uma conclusão


Para os amantes de números: nas 30 páginas padrão da parte principal, com uma descrição da abordagem e do algoritmo do trabalho, e mais de 100 páginas de aplicativos com uma descrição detalhada das medidas de proteção, várias seleções e modelos de formulários de relatório foram publicados.

Nós mesmos testamos o padrão resultante em vários sites.

Como resultado do caos, diminuiu ligeiramente, o controle aumentou. O efeito aumentará com a compra de ferramentas de segurança da informação (afinal, 20 fornecedores padronizaram e nem tudo foi comprado no momento do lançamento do Padrão Técnico para Segurança da Informação) e com a implementação final dos processos de segurança da informação. Ao criar novos sistemas, esperamos que tudo funcione sem surpresas para a segurança da informação.

Eu acho que você tem documentação semelhante também. Muitos padronizam apenas soluções de segurança específicas, sem nenhuma metodologia para escolher tais soluções. Algumas padronizam medidas específicas (principalmente baseadas nas abordagens do FSTEC da Rússia ou do Banco Central da Federação Russa).

Para adaptar a aplicabilidade de um único padrão às subsidiárias, também existem muitas abordagens diferentes. Alguém introduz níveis de segurança especiais (que não devem ser confundidos com os níveis de segurança no ISPDn), depois divide as empresas da holding nesses níveis e implementa medidas de segurança nos níveis apropriados. Alguém aplica todos os requisitos a todas as empresas. Alguém - seletivamente para pessoas jurídicas ou tipos de empresas. Mas decidimos tentar brincar com a criticidade e os tipos de instalações de infraestrutura de TI.

Em relação às medidas de proteção, a abordagem com a escolha de medidas do NIST, o mapeamento com os requisitos dos reguladores russos e a adição de um bloco à criticidade dos sistemas nos pareceu uma boa prática.

Se você tiver perguntas sobre essas tarefas que só podem ser respondidas em correspondência privada, aqui está o meu e-mail - MKoptenkov@technoserv.com.

Koptenkov Mikhail, chefe de auditoria e consultoria.

More articles:


All Articles