Get best of the week

如何为大公司编写信息安全技术标准



随着时间的流逝,任何大公司都在应用信息的方法,方法和手段方面面临混乱的问题。

每个公司都以自己的方式解决混乱的问题,但是通常最有效的措施之一就是编写信息安全技术标准。想象一下,有一个大型的生产协会,其中包括该国不同地方的几家企业,以及服务基础设施:一家旅馆,一家IT公司,一个运输仓库,一个NPP,一个外国代表处和食堂。

第一项任务是弄清楚需要保护什么以及如何保护。这样,作为我们“父亲”的每位领导人都知道应针对哪些资产采取哪些具体的保护措施。重要的是,所采取的一系列保护措施应该是必要和充分的。这样既安全又节省预算。

第二项任务是标准化技术解决方案。理想情况下,每种技术保护措施都应使用一种或多种特定方式以某种方式进行。例如,如果您使用一个供应商的防病毒软件来保护主机,则可以以更大的折扣(由于购买量大)购买许可证,您无需聘请具有处理不同解决方案经验的专家团队。而且,如果您标准化了许多信息安全解决方案,则可以在不同的公司中创建类似的架构组,并对其进行集中管理,从而实际上放弃了本地部门。

让我们告诉您我们是如何做到的。您可能已经自己写过类似的文章,而我们的故事将帮助您构建类似的文章。好吧,或者只是给出一些有关如何执行此操作的想法。

以什么为基础以及在保护方面发生了什么的问题


一开始是什么,或者是什么问题:

  1. 该公司希望对一个“真相”实施保护措施。粗略地说,我们需要一个用于整个公司的表格,其中列出了需要做的事情,以提供信息安全并遵守监管​​机构提出的所有必要要求。因此,在任何情况下,每个女儿都不会按照自己的意愿实施IS,有时会违背头部的位置。
  2. — , . , , , RDP ( ). HR . . , , « », . . , , , .
  3. . — .
  4. , . , .
  5. — , - , . , . . .

通常,迟早每个人都需要制定IS技术标准。有人亲自做,有人用众所周知的方法论,经实践和凡士林证明。无论如何,技术标准制定中的第一个问题将是:“在哪里采取保护措施?”当然,考虑到组织的特征,您可以自己发明它。但没人能做到:毕竟,有许多现成的措施。您可以提取俄罗斯FSTEC的文件(21、17、239、31号命令),也可以提取GOST中央银行。我们拥有一家国际工业公司,因此我们决定以NIST标准“ 改善关键基础设施网络安全的框架”为基础“和NISTIR 8183”《网络安全框架制造简介》。您可以点击链接,下载大量的PDF文件,并受到官僚机构希望隐藏在一堆文件后面的启发。实际上,您不必担心模板的大小:一切都在那里,一切都需要。

如果您只花时间翻译以上要点并通过翻译作为最终的技术标准,那么一切都会太简单了。我们公司虽然国际化,但大部分业务仍位于俄罗斯联邦。因此,还必须考虑俄罗斯法规。此外,并非所有来自NIST的保护措施都是适用且必要的(为什么实施不必要的措施,我们不希望滥用财务资源)。事实上,我们拥有一家大公司会增加复杂性,因此控股公司还拥有工业企业,娱乐中心,酒店,会计和服务公司。因此,存在个人数据,商业秘密,KII对象以及工业控制系统。

我们做了什么?首先,我们对上述NIST进行了免费翻译,从中删除了不需要实施的措施。例如,这些措施旨在在我们的控股公司中不适用的技术中提供信息安全性,或者不必要根据控股公司批准的“风险与威胁矩阵”实施的措施(我们也开发了该矩阵,也许我们有一天会写这篇文章快速)。然后,我们根据NIST的措施制定了俄罗斯监管文件中的保护措施。有些措施(出于明显的原因)理想地适合NIST的措施,有些措施不适合,因此有必要扩大措施的范围。从以下文件中添加了措施:

  • 2017年7月26日第187-号联邦法,“关于俄罗斯联邦关键信息基础设施的安全性”;
  • 2006年7月27日第152-FZ号联邦法律“关于个人数据”;
  • 29.07.2004 № 98- « »;
  • 08.02.2018 № 127 « , »;
  • 01.11.2012 № 1119 « »;
  • 18.02.2013 № 21 « »;
  • 25.12.2017 № 239 « »;
  • 21.12.2017 № 235 « »;
  • 14.03.2014 № 31 « , , , ». , , . . - — . . ? , , , . , , .

好吧,在完成所有翻译和制图之后,我们添加了在任何地方都没有描述的措施,但是这些措施对于消除上述“风险和威胁矩阵”所带来的威胁是必要的,以及从客户IS员工的角度来看有用且有趣的措施(例如,出现了网络订单)。

结果,我们有了一个包含措施的庞大表格(实际上是两个表格:一个简短而详细的表格,其中包含实施每个措施的说明),还指出了哪个文档哪些措施对应于哪个文档的要求。

下图是对特定措施的详细描述:



这是一张简短的表格,其中列出了措施列表,并指示应采用这些措施的系统类型:



因此,我们为所有控股公司拥有一张完全相同的表格,选择可以实施保护制度的措施。

那么,该表中包含哪些措施?有五个功能区域:



信息安全的五个功能区域中的每一个都分为三到六个类别。总共分配了22个类别:

信息安全的功能方向



分类名称



类别名称



身份证明



资产管理



编号



商业环境



身份证



指南



ID.RU



风险评估



ID或



风险管理策略



编号



保护



访问控制



I



意识和培训



ZI.OO



数据安全



ZI文件



信息安全流程和程序



聚丙烯



保养



齐托



保护技术



TZ



检测



异常和事件



OB



持续的安全监控



OB.NM



发现过程



OB



响应



响应计划



RG



通讯技术



KM



分析



安格



减少后果



RG



改善



工作组



复苏



恢复计划



VS.PV



改善



VS.SV



通讯技术



VS.KM



每个类别依次包含多达16种组织和技术信息保护措施,这对于在控股公司中实施可能是必要的。该集合总共包含100多种信息安全措施。根据公司系统的类型,必须实施部分保护措施,并建议采取一些措施。

选择过程


当然,说起来容易做起来难。到目前为止,我仅讨论了一组保护措施,但是还需要以某种方式选择/消除它们。下面是选择保护措施的过程的流程图:



让我们逐步进行每个步骤。

知识产权和工业控制系统类型的定义
, ( ) , , , :

  • ;
  • , , ;
  • , ;
  • ( );
  • .

, , . , , (). ( ).

:



选择保护措施
, . :

  • ;
  • ;
  • , ;
  • .

— , , .

— , , , , , , ( ).

: , , , . , , , , .

, - ( , , , .). ( , , .).

为每个保护措施定义配置文件
, : , , . , . , .

. . . / /, . , ( , , , , -). , , ( ). , , , .

形成最后一套保护措施
, , / / ( ). — :



选择补救措施的过程


因此,我们选择了保护措施,完成了一半的工作。现在,您需要选择可以实施这些措施的保护手段。防护设备的选择包括以下操作顺序:

  • 确定控股公司所属的场所类型(IT基础设施);
  • 确定所需使用的保护工具的类型(防病毒,入侵检测和攻击防御工具,防火墙,SIEM等);
  • 确定所选保护设备的适用区域(实施区域);
  • 确定所选防护设备的特定制造商(供应商)。

由于我们拥有大量馆藏,因此逻辑上可以拥有多种类型的IT基础结构对象(站点类型)是合乎逻辑的。俄罗斯联邦以外的地区有数据中心,典型的生产站点,典型的远程站点,典型的生产站点或远程站点。在不同类型的站点上,可以引入集中式和本地信息保护工具的各种组件。
出于明显的原因,我不会告诉您在货舱中使用哪种类型的防护设备,以及在哪些位置部署了哪些防护设备。

我只能说,作为技术标准的一部分,我们已经将安全措施映射到信息安全工具。因此,任何一家采用我们的技术标准的控股公司,都不仅可以制定实施该标准所必需的保护措施清单,而且可以了解应该使用哪个制造商的保护设备。此外,由于集中式解决方案用于许多保护领域,因此可以节省大量采购。也就是说,对于控股公司而言,仅购买代理解决方案并将它们(根据请求向服务公司)连接到数据中心的管理服务器就足够了。至少,您不必花钱在管理组件上,也不能自己管理保护装置,而是将这项任务委托给控股公司的服务,这样可以节省搜索,雇用专家并向其支付薪水。

我还要分别指出,在技术标准中,我们明确指出了防护设备的制造商本身(约20类解决方案)。为了选择特定的制造商,开发了一种整体技术(一种用于选择技术解决方案的技术),使您可以比较特定类别中的解决方案。主要标准:功能栈,对控股公司的用户友好性评估(技术支持,所在地国家的控股公司的存在等),制裁的可能性(国家风险),上市时间长短,寻找服务专家的难易程度等。

按照标准的工作结果


那我们得到什么呢?我们得到了一个单一的“事实来源”,任何控股公司都可以根据该信息来选择实施所需的保护措施,并考虑其信息系统(ICS)和IT基础架构的细节。而且,通过选择措施,公司将能够了解实施这些措施的保护手段。同时,该公司可以了解到在哪个站点上部署了集中式防护设备的哪些组件(即,您可以简单地连接哪些组件而无需花钱购买),从而节省了购买防护设备的费用。
至于保安人员,他们的生活也得到了简化。首先,现在每个人都应该执行技术标准的要求(包括在创建新系统时)。其次,在确定保护措施时更容易进行检查。

在《技术标准》中,有许多用于报告表格的模板,也就是说,控股公司无需弄清楚如何根据该标准记录工作结果,所有内容都已经存在。例如,其中一项申请是《保护措施适用性声明》的形式。这是一个文档,其中输入了根据标准的所有工作结果。该表显示了适用于哪些IP和工业控制系统的保护措施,实施了哪些技术解决方案(针对技术措施)以及描述了内部监管文件(针对组织措施)。

事实证明该标准易于使用,此处介绍了步骤。例。假设我们有一家旅馆。根据清单过程的要求,它应该对资产进行清单并确定功能性IP及其重要性的列表。 IS的代表知道了这一点,便研究了什么系统(例如,具有安全级别4和CT的ISPD),选择了必要的保护措施,对其进行了调整和补充(了解实际威胁)。获取最后一组安全措施。然后,他看着另一张桌子,并收到在其现场实施所需的一套防护设备。就这样。许多人会问:“文件呢?”我们试图使IS流程集中化;我们还为站点开发了标准的本地IS文档。当然,特定公司将需要调整文档,从头降低,但比从头开始书写要容易得多。

而不是结论


对于数字爱好者:在标准的30页主要部分中介绍了方法和工作算法,并在100页以上的应用中详细介绍了保护措施,并出版了各种选择和报告表格模板。

我们自己已经在许多站点上测试了由此产生的标准。

由于混乱,它稍微减少了,控制增加了。随着购买信息安全工具(毕竟,有20家供应商标准化,并且在发布《信息安全技术标准》时并没有购买全部东西)以及最终实施信息安全流程,这种影响将越来越大。在创建新系统时,我们希望一切都会对信息安全产生意外的影响。

我想您也有类似的文档。许多人仅将特定的安全解决方案标准化,而没有选择任何方法来选择此类解决方案。一些规范了具体措施(主要基于俄罗斯的FSTEC或俄罗斯联邦中央银行的方法)。

为了使单个标准的适用性适用于子公司,还存在许多不同的方法。有人介绍了特殊的安全级别(不要与ISPDn中的安全级别相混淆),然后将控股公司分为这些级别,并在适当的级别上实施安全措施。有人将所有要求应用于所有公司。某人-有选择地针对法人实体或公司类型。但是我们决定尝试使用IT基础架构设施的重要性和类型。

关于保护措施,在我们看来,从NIST中选择措施的方法,与俄罗斯监管机构的要求相对应,对系统的关键性加一个障碍的方法,在我们看来似乎是一种好习惯。

如果您对这样的任务有疑问,只能以私人通信的方式回答,这是我的邮件-MKoptenkov@technoserv.com。

审计与咨询主管Koptenkov Mikhail。

More articles:


All Articles