随着时间的流逝,任何大公司都在应用信息的方法,方法和手段方面面临混乱的问题。每个公司都以自己的方式解决混乱的问题,但是通常最有效的措施之一就是编写信息安全技术标准。想象一下,有一个大型的生产协会,其中包括该国不同地方的几家企业,以及服务基础设施:一家旅馆,一家IT公司,一个运输仓库,一个NPP,一个外国代表处和食堂。第一项任务是弄清楚需要保护什么以及如何保护。这样,作为我们“父亲”的每位领导人都知道应针对哪些资产采取哪些具体的保护措施。重要的是,所采取的一系列保护措施应该是必要和充分的。这样既安全又节省预算。第二项任务是标准化技术解决方案。理想情况下,每种技术保护措施都应使用一种或多种特定方式以某种方式进行。例如,如果您使用一个供应商的防病毒软件来保护主机,则可以以更大的折扣(由于购买量大)购买许可证,您无需聘请具有处理不同解决方案经验的专家团队。而且,如果您标准化了许多信息安全解决方案,则可以在不同的公司中创建类似的架构组,并对其进行集中管理,从而实际上放弃了本地部门。让我们告诉您我们是如何做到的。您可能已经自己写过类似的文章,而我们的故事将帮助您构建类似的文章。好吧,或者只是给出一些有关如何执行此操作的想法。以什么为基础以及在保护方面发生了什么的问题
一开始是什么,或者是什么问题:- 该公司希望对一个“真相”实施保护措施。粗略地说,我们需要一个用于整个公司的表格,其中列出了需要做的事情,以提供信息安全并遵守监管机构提出的所有必要要求。因此,在任何情况下,每个女儿都不会按照自己的意愿实施IS,有时会违背头部的位置。
- — , . , , , RDP ( ). HR . . , , « », . . , , , .
- . — .
- , . , .
- — , - , . , . . .
通常,迟早每个人都需要制定IS技术标准。有人亲自做,有人用众所周知的方法论,经实践和凡士林证明。无论如何,技术标准制定中的第一个问题将是:“在哪里采取保护措施?”当然,考虑到组织的特征,您可以自己发明它。但没人能做到:毕竟,有许多现成的措施。您可以提取俄罗斯FSTEC的文件(21、17、239、31号命令),也可以提取GOST中央银行。我们拥有一家国际工业公司,因此我们决定以NIST标准“ 改善关键基础设施网络安全的框架”为基础“和NISTIR 8183”《网络安全框架制造简介》。您可以点击链接,下载大量的PDF文件,并受到官僚机构希望隐藏在一堆文件后面的启发。实际上,您不必担心模板的大小:一切都在那里,一切都需要。如果您只花时间翻译以上要点并通过翻译作为最终的技术标准,那么一切都会太简单了。我们公司虽然国际化,但大部分业务仍位于俄罗斯联邦。因此,还必须考虑俄罗斯法规。此外,并非所有来自NIST的保护措施都是适用且必要的(为什么实施不必要的措施,我们不希望滥用财务资源)。事实上,我们拥有一家大公司会增加复杂性,因此控股公司还拥有工业企业,娱乐中心,酒店,会计和服务公司。因此,存在个人数据,商业秘密,KII对象以及工业控制系统。我们做了什么?首先,我们对上述NIST进行了免费翻译,从中删除了不需要实施的措施。例如,这些措施旨在在我们的控股公司中不适用的技术中提供信息安全性,或者不必要根据控股公司批准的“风险与威胁矩阵”实施的措施(我们也开发了该矩阵,也许我们有一天会写这篇文章快速)。然后,我们根据NIST的措施制定了俄罗斯监管文件中的保护措施。有些措施(出于明显的原因)理想地适合NIST的措施,有些措施不适合,因此有必要扩大措施的范围。从以下文件中添加了措施:- 2017年7月26日第187-号联邦法,“关于俄罗斯联邦关键信息基础设施的安全性”;
- 2006年7月27日第152-FZ号联邦法律“关于个人数据”;
- 29.07.2004 № 98- « »;
- 08.02.2018 № 127 « , »;
- 01.11.2012 № 1119 « »;
- 18.02.2013 № 21 « »;
- 25.12.2017 № 239 « »;
- 21.12.2017 № 235 « »;
- 14.03.2014 № 31 « , , , ». , , . . - — . . ? , , , . , , .
好吧,在完成所有翻译和制图之后,我们添加了在任何地方都没有描述的措施,但是这些措施对于消除上述“风险和威胁矩阵”所带来的威胁是必要的,以及从客户IS员工的角度来看有用且有趣的措施(例如,出现了网络订单)。结果,我们有了一个包含措施的庞大表格(实际上是两个表格:一个简短而详细的表格,其中包含实施每个措施的说明),还指出了哪个文档哪些措施对应于哪个文档的要求。下图是对特定措施的详细描述:
这是一张简短的表格,其中列出了措施列表,并指示应采用这些措施的系统类型:
因此,我们为所有控股公司拥有一张完全相同的表格,选择可以实施保护制度的措施。那么,该表中包含哪些措施?有五个功能区域:
信息安全的五个功能区域中的每一个都分为三到六个类别。总共分配了22个类别:每个类别依次包含多达16种组织和技术信息保护措施,这对于在控股公司中实施可能是必要的。该集合总共包含100多种信息安全措施。根据公司系统的类型,必须实施部分保护措施,并建议采取一些措施。选择过程
当然,说起来容易做起来难。到目前为止,我仅讨论了一组保护措施,但是还需要以某种方式选择/消除它们。下面是选择保护措施的过程的流程图:
让我们逐步进行每个步骤。知识产权和工业控制系统类型的定义, ( ) , , , :
, , . , , (). ( ).
:
![](https://habrastorage.org/webt/lg/mx/ss/lgmxss0lix4teryytzdo9em9pri.png)
选择保护措施, . :
— , , .
— , , , , , , ( ).
: , , , . , , , , .
, - ( , , , .). ( , , .).
为每个保护措施定义配置文件, : , , . , . , .
. . . / /, . , ( , , , , -). , , ( ). , , , .
形成最后一套保护措施, , / / ( ). — :
![](https://habrastorage.org/webt/pn/lx/cs/pnlxcsventzelvfafn8neixogli.png)
选择补救措施的过程
因此,我们选择了保护措施,完成了一半的工作。现在,您需要选择可以实施这些措施的保护手段。防护设备的选择包括以下操作顺序:- 确定控股公司所属的场所类型(IT基础设施);
- 确定所需使用的保护工具的类型(防病毒,入侵检测和攻击防御工具,防火墙,SIEM等);
- 确定所选保护设备的适用区域(实施区域);
- 确定所选防护设备的特定制造商(供应商)。
由于我们拥有大量馆藏,因此逻辑上可以拥有多种类型的IT基础结构对象(站点类型)是合乎逻辑的。俄罗斯联邦以外的地区有数据中心,典型的生产站点,典型的远程站点,典型的生产站点或远程站点。在不同类型的站点上,可以引入集中式和本地信息保护工具的各种组件。出于明显的原因,我不会告诉您在货舱中使用哪种类型的防护设备,以及在哪些位置部署了哪些防护设备。我只能说,作为技术标准的一部分,我们已经将安全措施映射到信息安全工具。因此,任何一家采用我们的技术标准的控股公司,都不仅可以制定实施该标准所必需的保护措施清单,而且可以了解应该使用哪个制造商的保护设备。此外,由于集中式解决方案用于许多保护领域,因此可以节省大量采购。也就是说,对于控股公司而言,仅购买代理解决方案并将它们(根据请求向服务公司)连接到数据中心的管理服务器就足够了。至少,您不必花钱在管理组件上,也不能自己管理保护装置,而是将这项任务委托给控股公司的服务,这样可以节省搜索,雇用专家并向其支付薪水。我还要分别指出,在技术标准中,我们明确指出了防护设备的制造商本身(约20类解决方案)。为了选择特定的制造商,开发了一种整体技术(一种用于选择技术解决方案的技术),使您可以比较特定类别中的解决方案。主要标准:功能栈,对控股公司的用户友好性评估(技术支持,所在地国家的控股公司的存在等),制裁的可能性(国家风险),上市时间长短,寻找服务专家的难易程度等。按照标准的工作结果
那我们得到什么呢?我们得到了一个单一的“事实来源”,任何控股公司都可以根据该信息来选择实施所需的保护措施,并考虑其信息系统(ICS)和IT基础架构的细节。而且,通过选择措施,公司将能够了解实施这些措施的保护手段。同时,该公司可以了解到在哪个站点上部署了集中式防护设备的哪些组件(即,您可以简单地连接哪些组件而无需花钱购买),从而节省了购买防护设备的费用。至于保安人员,他们的生活也得到了简化。首先,现在每个人都应该执行技术标准的要求(包括在创建新系统时)。其次,在确定保护措施时更容易进行检查。在《技术标准》中,有许多用于报告表格的模板,也就是说,控股公司无需弄清楚如何根据该标准记录工作结果,所有内容都已经存在。例如,其中一项申请是《保护措施适用性声明》的形式。这是一个文档,其中输入了根据标准的所有工作结果。该表显示了适用于哪些IP和工业控制系统的保护措施,实施了哪些技术解决方案(针对技术措施)以及描述了内部监管文件(针对组织措施)。事实证明该标准易于使用,此处介绍了步骤。例。假设我们有一家旅馆。根据清单过程的要求,它应该对资产进行清单并确定功能性IP及其重要性的列表。 IS的代表知道了这一点,便研究了什么系统(例如,具有安全级别4和CT的ISPD),选择了必要的保护措施,对其进行了调整和补充(了解实际威胁)。获取最后一组安全措施。然后,他看着另一张桌子,并收到在其现场实施所需的一套防护设备。就这样。许多人会问:“文件呢?”我们试图使IS流程集中化;我们还为站点开发了标准的本地IS文档。当然,特定公司将需要调整文档,从头降低,但比从头开始书写要容易得多。而不是结论
对于数字爱好者:在标准的30页主要部分中介绍了方法和工作算法,并在100页以上的应用中详细介绍了保护措施,并出版了各种选择和报告表格模板。我们自己已经在许多站点上测试了由此产生的标准。由于混乱,它稍微减少了,控制增加了。随着购买信息安全工具(毕竟,有20家供应商标准化,并且在发布《信息安全技术标准》时并没有购买全部东西)以及最终实施信息安全流程,这种影响将越来越大。在创建新系统时,我们希望一切都会对信息安全产生意外的影响。我想您也有类似的文档。许多人仅将特定的安全解决方案标准化,而没有选择任何方法来选择此类解决方案。一些规范了具体措施(主要基于俄罗斯的FSTEC或俄罗斯联邦中央银行的方法)。为了使单个标准的适用性适用于子公司,还存在许多不同的方法。有人介绍了特殊的安全级别(不要与ISPDn中的安全级别相混淆),然后将控股公司分为这些级别,并在适当的级别上实施安全措施。有人将所有要求应用于所有公司。某人-有选择地针对法人实体或公司类型。但是我们决定尝试使用IT基础架构设施的重要性和类型。关于保护措施,在我们看来,从NIST中选择措施的方法,与俄罗斯监管机构的要求相对应,对系统的关键性加一个障碍的方法,在我们看来似乎是一种好习惯。如果您对这样的任务有疑问,只能以私人通信的方式回答,这是我的邮件-MKoptenkov@technoserv.com。审计与咨询主管Koptenkov Mikhail。