Système de gestion de la sécurité de l'information « Niveau de base de la sécurité de l'information des opérateurs télécoms. Identifiez une équipe de direction pour prendre des mesures clés. Avantages de travailler avec Jet Infosystems

Sécurité informatique

Bonne journée mon cher!
Je n'ai pas écrit sur Habr depuis longtemps, il n'y avait pas de temps, il y avait beaucoup de travail. Mais maintenant, j'étais déchargé et des pensées se sont formées pour un nouveau poste.

J'ai discuté avec un de mes camarades, qui était chargé du travail de sécurité de l'information dans l'organisation (camarade administrateur système), et il m'a demandé de vous dire par où commencer et où aller. J'ai un peu mis mes pensées et mes connaissances en ordre et lui ai donné un plan approximatif.
Malheureusement, cette situation est loin d'être isolée et se produit fréquemment. En règle générale, les employeurs veulent avoir à la fois un Suisse, un faucheur et un joueur sur le tuyau, et tout cela pour une seule liste de prix. Je reviendrai sur la question de savoir pourquoi la sécurité de l'information ne devrait pas être classée comme informatique plus tard, mais maintenant nous allons toujours considérer par où commencer, si cela s'est produit et que vous vous êtes inscrit pour une telle aventure, à savoir la création d'un système de gestion sécurité de l'information(ISMS).

Analyse de risque

Presque tout dans la sécurité de l'information commence par une analyse des risques, c'est la base et le début de tous les processus de sécurité. Je passerai programme éducatif court dans ce domaine, tant de concepts ne sont pas évidents et sont le plus souvent confondus.
Il y a donc 3 concepts de base :
  • Probabilité de réalisation
  • Vulnérabilité

Le risque est la capacité à subir des pertes (monétaires, de réputation, etc.) dues à la mise en œuvre d'une vulnérabilité.
La probabilité de réalisation est la probabilité qu'une vulnérabilité donnée soit exploitée pour matérialiser le risque.
La vulnérabilité est directement une brèche dans votre système de sécurité, qui avec un certain degré de probabilité peut faire du mal, c'est-à-dire réaliser un risque.

Il existe de nombreuses méthodes, différentes approches de la gestion des risques, je vais vous parler des bases, du reste dont vous n'aurez pas besoin dans un premier temps dans la formation d'un SMSI.
Ainsi, tout le travail sur la gestion des risques se résume soit à réduire la probabilité de mise en œuvre, soit à minimiser les pertes liées à la mise en œuvre. Par conséquent, les risques peuvent être acceptables et inacceptables pour l'organisation. L'acceptabilité du risque s'exprime au mieux par des montants spécifiques de pertes résultant de sa mise en œuvre (en tout état de cause, même des pertes de réputation apparemment intangibles se traduisent finalement par une perte de profits). Il faut décider avec la direction quel montant sera le seuil d'acceptabilité pour eux et faire une gradation (de préférence 3-5 niveaux pour les pertes). Ensuite, faites une gradation en probabilité, ainsi qu'en pertes, puis évaluez les risques par la somme de ces indicateurs.
Après avoir terminé les travaux préparatoires, mettez en évidence les vulnérabilités réelles de votre organisation et évaluez les risques de leur mise en œuvre et de pertes. En conséquence, vous obtiendrez 2 ensembles de risques - acceptables et inacceptables. Avec des risques acceptables, vous acceptez simplement et ne prendrez pas de mesures actives pour les minimiser (c'est-à-dire que nous acceptons que minimiser ces risques nous coûtera plus cher que les pertes), et avec inacceptable, il existe 2 options pour le développement d'événements.

Minimiser - réduire la probabilité d'occurrence, réduire les pertes possibles ou même prendre des mesures pour éliminer le risque (fermer la vulnérabilité).
Transfert - transférez simplement les préoccupations concernant le risque à une autre personne, par exemple, assurez l'organisation contre les occurrences de risque ou transférez un actif à risque (par exemple, transférez des serveurs vers un centre de données, donc pour alimentation sans interruption et la sécurité physique des serveurs sera de la responsabilité du centre de données).

L'échelle

Tout d'abord, bien sûr, il est nécessaire d'évaluer l'ampleur de la catastrophe. Je n'aborderai pas les points de protection des données personnelles, il y a déjà beaucoup d'articles sur ce sujet, il y a des recommandations pratiques et des algorithmes d'action décrits plus d'une fois.
Permettez-moi également de vous rappeler que la sécurité de l'information concerne principalement les personnes, une documentation réglementaire est donc nécessaire. Pour l'écrire, vous devez d'abord comprendre ce qu'il faut y écrire.
Il existe 3 documents principaux pour la sécurité de l'information à cet égard :
Politique de sécurité de l'information
Votre document principal, manuel, Bible et autres titres de premier plan. C'est dans ce document que toutes les procédures de sécurité de l'information sont décrites, le niveau de sécurité que vous suivez dans votre organisation est décrit. C'est-à-dire - la coupe parfaite de la sécurité, documentée et acceptée par toutes les règles.
La politique ne doit pas être un poids mort, le document doit vivre, doit évoluer sous l'influence de nouvelles menaces, tendances en matière de sécurité de l'information ou souhaits. À cet égard, la politique (comme, en principe, tout document de processus) doit être régulièrement revue pour en vérifier la pertinence. Il est préférable de le faire au moins une fois par an.
Concept de sécurité de l'information
Un petit extrait de la politique, qui décrit les bases de la sécurité de votre organisation, il n'y a pas de processus spécifiques, mais il existe des principes pour construire un SMSI et des principes pour construire la sécurité.
Ce document est plus un document de marque, il ne doit contenir aucune information "sensible" et doit être ouvert et accessible à tous. Placez-le sur votre site Web, placez-le dans un plateau au stand d'information, afin que vos clients et visiteurs puissent le lire ou simplement voir que vous vous souciez de la sécurité et que vous êtes prêt à le démontrer.
Réglementation du secret commercial ( information confidentielle)
Entre parenthèses indiqué un autre nom pour un tel document. En gros, com. secret est un cas particulier de confidentiel, mais il y a très peu de différences.
Ce document doit indiquer les éléments suivants : comment et où sont les documents qui composent le com. le secret de qui est responsable du stockage de ces documents, à quoi devrait ressembler le modèle d'un document contenant de telles informations, à quoi servira la divulgation d'informations confidentielles (conformément à la loi et conformément aux accords internes avec la direction). Et bien sûr, une liste d'informations qui sont, pour votre organisation, un secret commercial ou sont confidentielles.
Selon la loi, sans les mesures prises pour protéger la confidentialité, vous ne l'avez pas :-) C'est-à-dire que l'information elle-même semble être là, mais elle ne peut pas être confidentielle. Et ici, il y a un point intéressant que 90% des organisations signent des accords de non-divulgation confidentiels avec les nouveaux employés, mais peu ont pris les mesures requises par la loi. Liste maximale d'informations.

Audit

Pour rédiger ces documents, plus précisément, pour comprendre ce qu'ils doivent contenir, vous devez auditer l'état actuel de la sécurité de l'information. Il est clair que, selon les activités de l'organisation, la répartition territoriale, etc., il y a beaucoup de nuances et de facteurs pour chaque organisation spécifique, mais il y a plusieurs points principaux qui sont communs à tous.
Politique d'accès
Il y a 2 branches - l'accès physique aux locaux et l'accès aux systèmes d'information.
Accès physique
Décrivez votre système de contrôle d'accès. Comment et quand les cartes d'accès sont délivrées, qui détermine qui a accès à quelle salle (à condition que la salle soit équipée d'un ACS). Il convient également de mentionner le système de vidéosurveillance, les principes de sa construction (absence d'angles morts dans les salles surveillées, contrôle obligatoire des entrées et sorties vers/depuis le bâtiment, contrôle de l'entrée de la salle des serveurs, etc.). N'oubliez pas non plus les visiteurs, si vous ne disposez pas d'un accueil général (et s'il y en a un), vous devrez indiquer comment les visiteurs accèdent à la zone contrôlée (cartes temporaires, accompagnement).
Pour la salle des serveurs, il devrait également y avoir une liste d'accès séparée avec le journal des visites (c'est plus facile si l'ACS est installé dans la salle des serveurs et que tout se fait automatiquement).
Accès aux systèmes d'information
Décrivez la procédure de délivrance d'accès, si l'authentification multifacteur est utilisée, puis la délivrance d'identifiants supplémentaires. Politique de mot de passe (date d'expiration du mot de passe, complexité, nombre de tentatives de connexion, temps de blocage UZ après dépassement du nombre de tentatives) pour tous les systèmes auxquels l'accès est accordé, si vous n'avez pas de connexion unique partout.
Construire un réseau
Où se trouvent les serveurs avec accès depuis l'extérieur (DMZ), comment y accéder depuis l'intérieur et l'extérieur. Segmentation du réseau, comment il est fourni. Pare-feu quels segments ils protègent (s'il y en a un à l'intérieur du réseau entre les segments).
Accès à distance
Comment est-il organisé et qui y a accès. Idéalement, cela devrait être comme ceci : VPN uniquement, accès uniquement avec l'approbation de la haute direction et avec une justification du besoin. Si vous avez besoin d'accéder à des tiers (fournisseurs, personnel de service, etc.), l'accès est limité dans le temps, c'est-à-dire que le compte est émis pour une certaine période, après quoi il est automatiquement bloqué. Naturellement, pour accès à distance, toute personne, les droits doivent être limités au minimum.
Incidents
Comment ils sont traités, qui est responsable et comment est structuré le processus de gestion des incidents et des problèmes de gestion (s'il y en a, bien sûr). J'avais déjà un post sur le travail avec les incidents : habrahabr.ru/post/154405, vous pouvez en lire plus.
Il est également nécessaire de déterminer les tendances de votre organisation. C'est-à-dire quels incidents se produisent le plus souvent, lesquels sont les plus dommageables (simple, perte directe de biens ou d'argent, atteinte à la réputation). Cela aidera au contrôle des risques et à l'analyse des risques.
Les atouts
Dans ce cas, les actifs sont compris comme tout ce qui nécessite une protection. C'est-à-dire des serveurs, des informations sur papier ou supports amovibles, disques durs ordinateurs, etc Si des actifs contiennent des informations « sensibles », ils doivent être marqués en conséquence et il doit y avoir une liste d'actions autorisées et interdites avec cet actif, telles que le transfert à des tiers, le transfert par e-mail au sein de l'organisation, la mise en domaine public au sein de l'organisation, etc.

Formation

Un moment que beaucoup de gens oublient. Les employés doivent être sensibilisés aux mesures de sécurité. Il ne suffit pas de se familiariser avec les consignes et politiques contre signature, 90% ne les liront pas, mais signeront simplement pour s'en débarrasser. J'ai aussi fait une publication sur la formation : habrahabr.ru/post/154031 Elle contient les points principaux qui sont importants dans la formation et qu'il ne faut pas oublier. En plus de la formation elle-même, de tels événements sont utiles en termes de communication entre les employés et l'agent de sécurité ( beau nom, J'aime vraiment ça :-). Vous pouvez découvrir des incidents mineurs, des souhaits et même des problèmes que vous auriez à peine au courant dans un rythme de travail normal.

Conclusion

C'est probablement tout ce que je voulais dire aux débutants dans le domaine de la sécurité de l'information. Je comprends qu'avec un tel poste, je puisse priver certains de mes collègues de travail, puisqu'un employeur potentiel confiera simplement ces tâches à l'administrateur, mais je protégerai également de nombreuses organisations des intégrateurs-escrocs qui aiment pomper de l'argent pour des audits et écrire des brochures de plusieurs pages. quoi, en les faisant passer pour une norme (http://habrahabr.ru/post/153581/).
La prochaine fois, j'essaierai de parler de l'organisation du service de sécurité de l'information en tant que telle.

P.S. si vous mettez un moins, veuillez commenter afin qu'à l'avenir je ne fasse pas de telles erreurs.

Balises : ajouter des balises

Jet Infosystems réalise des projets complexes pour la construction et la mise en œuvre de systèmes de gestion de la sécurité de l'information (ISMS) efficaces. Les projets comprennent l'analyse, le développement et la mise en œuvre de processus de gestion de la sécurité de l'information. Les systèmes mis en œuvre répondent à la fois aux exigences de l'entreprise et aux exigences des normes internationales et des meilleures pratiques. En conséquence, ils apportent non seulement un effet marketing, mais vous permettent également d'optimiser le budget de sécurité de l'information, d'augmenter la transparence de la sécurité de l'information pour l'entreprise, ainsi que le niveau de sécurité et de maturité du client.

Problématique

Les entreprises utilisent diverses mesures de sécurité de l'information pour protéger les informations importantes ; cependant, l'utilisation des outils les plus modernes et les plus coûteux ne garantit pas leur efficacité et peut entraîner des dépenses déraisonnables en matière de sécurité de l'information. La présence d'un grand nombre de mesures et de moyens d'assurer la sécurité de l'information complique le processus de gestion. Souvent, les mécanismes qui permettent de surveiller et d'analyser le travail du système de sécurité de l'information et d'ajuster son travail en permanence ne sont pas suffisamment débogués.

L'absence de processus formalisés pour gérer et assurer la sécurité de l'information entraîne une augmentation des coûts d'exploitation. En raison de l'absence d'une approche organisationnelle, tous les problèmes qui surviennent sont résolus dans un ordre distinct, qui varie d'un cas à l'autre.

Décision

Le SMSI fait partie de système commun assurer la sécurité des informations. L'un de ses principaux composants est le processus de gestion des risques liés à la sécurité de l'information. Les résultats de ses travaux permettent de développer des solutions pour le traitement des risques inacceptables et la mise en place de mesures économiquement saines pour assurer la sécurité de l'information. Planifier la mise en œuvre des mesures choisies permet de répartir les coûts d'assurer la sécurité de l'information à court et à long terme.

Dans le cadre du SMSI, un certain nombre de processus de gestion et d'assurance de la sécurité de l'information sont créés et/ou décrits, ce qui permet de structurer ces processus et d'assurer leur reproductibilité. Lors de sa construction, il est nécessaire d'interagir avec la direction générale et les représentants des unités commerciales du client afin d'identifier leurs attentes vis-à-vis du système.

Tenant compte du fait que la commodité du système de gestion et de maintenance du SI pour les intervenants est déterminée par l'efficacité de son travail, les spécialistes de Jet Infosystems accordent une attention particulière à la construction et au débogage ultérieur des processus du SMSI. Au cours du travail, les processus existants dans l'entreprise, leurs caractéristiques et niveaux de maturité, ainsi que les traditions de la culture d'entreprise sont toujours pris en compte. Une attention particulière est portée à la formation des collaborateurs impliqués dans la mise en œuvre du système, la répartition des responsabilités, ainsi que l'organisation d'un centre de compétence interne pour la gestion et la maintenance de la sécurité de l'information. De ce fait, les processus mis en place deviennent partie intégrante de l'entreprise, fonctionnant conformément aux objectifs fixés, et ne restent pas « un dossier de papiers couché dans un placard ».

Jet Infosystems propose une large gamme de services dans le domaine de la gestion et de la maintenance de la sécurité de l'information :

Développement et mise en place d'un SMSI basé sur la norme ISO/IEC 27001

L'élaboration et la mise en œuvre des principaux processus de gestion du SI s'effectuent en tenant compte de la structure organisationnelle et des spécificités du client. De plus, les employés clés sont formés pour travailler avec le SMSI et un soutien en conseil est fourni.

Développement et mise en œuvre de processus distincts pour la gestion et la sécurité de l'information

Le développement et la mise en œuvre de processus individuels de gestion et d'assurance de la sécurité de l'information (par exemple, gestion des risques, gestion des incidents, audits internes, etc.) sont effectués conformément aux exigences des normes internationales et russes de sécurité de l'information (ISO / IEC 27001 : 2005 , ISO/IEC 27002 : 2005, ISO/IEC 27005 : 2008, PCI DSS, STO BR IBBS - 1.0, etc.), ainsi que les meilleures pratiques dans ce domaine.

Les consultants peuvent établir un calendrier pour la mise en œuvre séquentielle des processus de gestion de la sécurité de l'information afin de les intégrer davantage dans un seul SMSI.

Préparation à la certification de conformité aux exigences de la norme internationale ISO/IEC 27001

La préparation à la certification comprend une analyse préliminaire de la conformité aux exigences de la norme ISO / IEC 27001, l'élimination des incohérences identifiées, la mise en conformité du SMSI avec les exigences de cette norme... L'audit est réalisé par un organisme de certification accrédité.

Jet Infosystems assiste les clients dans la réalisation d'audits et aide à éliminer les incohérences identifiées.

Prise en charge du SMSI développé ou des processus individuels

Jet Infosystems réalise :

  • préparation du SMSI du client pour les audits de vérification : enquête expresse, détermination des travaux à effectuer pour réussir l'audit de vérification de l'organisme de certification ;
  • l'achèvement ou la mise en œuvre de processus SMSI spécifiques. Par exemple, effectuer une analyse annuelle des risques de sécurité de l'information ou effectuer des audits internes de sécurité de l'information.

Avantages de travailler avec Jet Infosystems :

  • une approche systématique et sa propre méthodologie unique qui vous permettent de développer et de mettre en œuvre rapidement et efficacement des processus pour assurer et gérer la sécurité de l'information ;
  • une équipe projet soudée de spécialistes certifiés capables de résoudre les problèmes les plus complexes ;
  • les consultants d'entreprise sont formateurs en systèmes de management chez BSI MS et interviennent dans la conduite d'audits ;
  • principe de base travail - "chaque entreprise est unique." Les besoins en matière de sécurité de l'information pour chaque client sont déterminés et des solutions sont proposées qui permettront d'assurer la sécurité réelle de l'information, et pas seulement le respect formel des exigences (législation, partenaires, contreparties, industrie, etc.) et de la Contrat.

Avantages

La mise en place de procédures de gestion et de maintenance du SI permet :

  • optimiser et justifier les coûts de sécurité de l'information ;
  • accroître l'efficacité de la sécurité de l'information en réalisant la complexité, l'interconnexion, l'efficacité et la transparence de toutes les mesures visant à assurer la sécurité de l'information ;
  • assurer la conformité du niveau du SI avec les exigences législatives, sectorielles, internes de l'entreprise et les objectifs commerciaux ;
  • réduire les coûts d'exploitation en formalisant et standardisant les processus de gestion et de sécurité de l'information ;
  • accroître la confiance des partenaires et clients de l'entreprise en démontrant un haut niveau de maturité de la sécurité de l'information.

De plus, la mise en place et la certification d'un SMSI permet :

  • augmenter la capitalisation et la valeur des actions de la société ;
  • augmenter les notations internationales de l'entreprise, qui sont nécessaires pour attirer les investissements étrangers et pénétrer les marchés internationaux ;
  • protéger l'investissement.

Vivre

Les spécialistes de Jet Infosystems ont la plus grande expérience du CIS dans la construction d'un SMSI et de processus individuels de gestion de la sécurité de l'information, y compris la gestion des risques de sécurité de l'information, la gestion des incidents de sécurité de l'information et la gestion des vulnérabilités.

Cinq grands projets sur la création et la préparation ultérieure d'un SMSI pour la certification de conformité aux exigences de la norme ISO/IEC 27001 : 2005 ont été menés à bien dans les entreprises suivantes :

  • OJSC "Télécom Transit Interrégional"
  • OJSC "ROSNO"
  • Centre de sécurité des informations LLC
  • Banque Askari (Pakistan)
  • SARL "ELDORADO"

En outre, plus de 30 projets ont été réalisés pour construire des processus individuels de gestion du SI, soutenir le SMSI et les préparer aux audits de supervision par l'organisme de certification.

La sécurité de l'information est l'un des aspects les plus importants de la mise en œuvre du SI. D'une part, l'informatisation de la gestion crée son précieux support, mais d'autre part, la gestion devient directement dépendante du niveau de sécurité de l'information du SI.

La sécurité de l'information est comprise comme la sécurité de l'information et de l'infrastructure de support contre les influences accidentelles ou délibérées (attaques), lourde de dommages aux propriétaires ou aux utilisateurs de l'information et de l'infrastructure de support.

Les objets d'empiètement peuvent être eux-mêmes moyens techniques qui sont des objets matériels, et Logiciel et bases de données.

La gestion de la sécurité de l'information est un processus complexe et comprend un certain nombre de mesures techniques, organisationnelles et juridiques qui doivent être fixées dans la politique de sécurité de l'entreprise.

Les mesures techniques comprennent :

Protection contre les accès non autorisés au système,

Redondance de sous-systèmes de support particulièrement importants,

Organisation réseaux informatiques avec la possibilité de répartir des ressources en cas de dysfonctionnement de liens individuels,

Installation d'équipements de détection et d'extinction des incendies,

Utilisation de mesures structurelles de protection contre le vol, le sabotage, le sabotage, les explosions,

Installation de systèmes d'alimentation de secours,

Equiper les locaux de serrures,

Différenciation physique des accès du personnel aux locaux,

· Installation de systèmes d'alarme, etc.

Les mesures organisationnelles comprennent :

Protection des systèmes d'information,

· Sélection rigoureuse du personnel,

Exclusion des cas de réalisation de travaux particulièrement importants par une seule personne,

Disponibilité d'un plan de restauration du système après sa défaillance,

Organisation et maintenance d'une entreprise informatique par des personnes non autorisées qui ne sont pas intéressées à dissimuler les faits de violation de son travail,

Polyvalence des protections pour tous les utilisateurs (y compris le top management),

Séparation des pouvoirs dans le domaine de l'accès aux données,

· L'imposition de la responsabilité aux personnes qui doivent assurer la sécurité du travail de l'entreprise informatique.

Les mesures juridiques devraient inclure l'élaboration de normes établissant la responsabilité des délits informatiques, la protection du droit d'auteur, l'amélioration de la législation dans le domaine des technologies de l'information.

Augmentation de la popularité lors de la construction systèmes d'entreprise gestion de la sécurité de l'information (SGSI) remporte la norme internationale ISO/IEC 27001 : 2005 « Technologies de l'information. Méthodes de sécurité. Systèmes de gestion de la sécurité de l'information. Exigences », selon lesquelles les entreprises peuvent formaliser et structurer les processus de gestion du SI dans les domaines suivants :



Élaboration de la politique et de l'organisation de la sécurité de l'information,

Organisation de la gestion des actifs et des ressources internes de l'entreprise, qui constituent la base de ses processus métiers clés,

Protection du personnel et réduction des menaces internes à l'entreprise,

Sécurité physique en entreprise et sécurité environnementale,

Gestion des moyens de communication et de l'exploitation des équipements,

Développement et maintenance de systèmes matériels et logiciels,

Gestion de la continuité d'activité dans l'entreprise,

· Respect des règles de sécurité légales.

Il existe un certain nombre de techniques généralement acceptées pour vous aider à gérer efficacement la sécurité de l'information. Une méthodologie bien connue et largement utilisée pour modéliser les menaces (Microsoft Threat Modeling Methodology), la méthode d'évaluation des risques DREAD, le modèle pour diviser les menaces en catégories STRIDE (http://msdn.microsoft.com/ru-ru/magazine/ cc700352.aspx).

IBM dispose d'une méthodologie MASS (Méthode d'architecture de solutions sécurisées) qui permet d'identifier les problèmes de sécurité, de créer une architecture robuste et de développer une politique de sécurité robuste (www.redbooks.ibm.com).

Parmi les techniques bien connues et populaires, il faut rappeler l'approche ISS de la sécurité de l'information, appelée ADDME, qui comprend 5 étapes.

Étape 1 - évaluer. A ce stade, l'identification et l'inventaire de toutes les ressources de l'organisation sont effectués. À ce stade, une évaluation des risques est effectuée, ainsi qu'une évaluation de la vulnérabilité, une évaluation de la pénétration et une évaluation de la menace.

Étape 2 - conception. À ce stade, la politique de sécurité de l'organisation est élaborée et des principes d'évaluation de l'efficacité des mesures qui y sont proposées (législatives, organisationnelles, logicielles et techniques) sont élaborés. Celle-ci prend en compte les données collectées lors de la première étape sur les utilisateurs disponibles Périphériques réseau, emplacement de critique ressources d'information etc.

Étape 3 - déployer. Dans le cadre de cette étape, des travaux sont menés sur l'installation des équipements de protection, leur intégration et leur test dans l'informatique retenue, sur la formation des utilisateurs aux exigences de la politique de sécurité et aux règles de fonctionnement des équipements de protection installés.

Étape 4 - exploitation (gestion et accompagnement). A ce stade, l'efficacité des mesures prises et leur conformité aux dispositions de la politique de sécurité élaborée sont évaluées. En cas d'incidents liés à sa violation, le plan de réponse aux incidents élaboré lors de la deuxième étape est mis en œuvre et, en conséquence, certaines dispositions de la politique de sécurité sont révisées. Evolution des technologies de l'information, émergence de nouvelles technologies de protection, etc. sont également l'impulsion pour la révision des documents élaborés.

Étape 5 - éducation. La formation est un processus continu réalisé à toutes les étapes de la construction d'un système intégré de sécurité de l'information. Tous les employés de l'organisation y participent : opérateurs, administrateurs, gestionnaires, etc.

Dans une entreprise idéale, le processus de gestion de la sécurité de l'information est proactif (préventif et continu).

Pour que la sécurité de l'information soit efficace, elle doit être étroitement liée à la sécurité de l'entreprise et aux besoins de l'entreprise.
Chaque processus au sein d'une organisation informatique doit inclure des problèmes de sécurité. La sécurité n'est pas une activité autonome ; c'est le fil conducteur de tous les processus du fournisseur de services.
La direction de l'organisation est entièrement responsable de l'organisation de l'information. La direction est responsable de répondre à toutes les questions qui affectent la protection de l'information. Le conseil d'administration doit faire de la sécurité de l'information une partie intégrante de la gouvernance d'entreprise.
Autorisations

Le processus et le cadre de gestion de la sécurité de l'information comprennent généralement :
- Politique de sécurité de l'information, soutenue par un sous-ensemble de politiques traitant des aspects de la stratégie, du contrôle et de la réglementation
- Système de gestion de la sécurité de l'information
- une stratégie globale de sécurité étroitement liée aux objectifs, stratégies et
des plans

Le modèle de sécurité doit également inclure une structure organisationnelle efficace.
La sécurité n'est pas la responsabilité d'une seule personne, elle doit être abordée dans les profils de rôle à tous les niveaux de l'organisation.
La gestion de la sécurité est nécessaire pour maintenir la politique et gérer les risques de sécurité.
Enfin, le cadre de sécurité doit prendre en compte et inclure :
- Suivi des processus pour assurer la conformité et fournir un retour sur les performances
- Stratégie et plan de communication liés à la sécurité
- Formation, stratégies et plans pour s'assurer que tout le personnel connaît ses responsabilités.

Politique de sécurité de l'information

Les activités de gestion de la sécurité de l'information doivent se concentrer sur la politique de sécurité de l'information et la gérer.
La politique de sécurité de l'information doit bénéficier du soutien total des principaux responsables de la gouvernance informatique et, idéalement, du soutien et de l'engagement des principaux dirigeants d'entreprise.
Cette politique doit couvrir tous les domaines de la sécurité, être adéquate et répondre aux besoins de l'entreprise.
La politique de sécurité de l'information doit être largement accessible à tous les clients et utilisateurs.
Cette politique doit être approuvée par la haute direction commerciale et informatique.

Toutes les politiques de sécurité doivent être révisées au moins une fois par an, et si nécessaire.

Système de gestion de la sécurité de l'information

Un système de gestion de la sécurité de l'information est un cadre de politiques, de processus, de normes, de directives et d'outils qui garantit qu'une organisation atteint ses objectifs en matière de gestion de la sécurité de l'information.

Le système de gestion de la sécurité de l'information fournit la base pour le développement de programmes de sécurité de l'information rentables qui soutiennent les objectifs commerciaux.
Le système doit prendre en compte non seulement la technologie.

Les techniques des 4R (Personnes, Processus, Produits et Partenaires) peuvent être utilisées pour garantir que haut niveau sécurité dans tous les domaines.

ISO 27001 est une norme formelle qui peut fournir une certification indépendante d'un système de gestion de la sécurité de l'information. Les organisations peuvent demander une certification pour prouver qu'elles répondent aux exigences de sécurité.

Un système de gestion de la sécurité de l'information comprend une structure organisationnelle pour développer, mettre en œuvre, gérer, maintenir et appliquer les processus de sécurité et de gestion de l'information de manière systématique et cohérente dans toute l'organisation.

Le schéma ci-dessous montre une approche de la gestion de la sécurité de l'information
Systèmes. Cette approche est largement utilisée et repose sur des conseils et recommandations décrits dans des sources, dont ISO 27001.

Contrôler

Le contrôle de la sécurité de l'information est le premier sous-processus de la gestion de la sécurité de l'information et fait référence à l'organisation et à la gestion des processus. Cette activité comprend une approche structurée de la gestion de la sécurité de l'information qui décrit les sous-processus suivants : formuler des plans de sécurité, les mettre en œuvre, évaluer la mise en œuvre et intégrer l'évaluation dans les plans de sécurité annuels (plans d'action). Il décrit également les rapports fournis au client via le processus de gestion des niveaux de service.
Cette activité définit les sous-processus, les fonctions de sécurité, les rôles et les responsabilités. Il décrit également la structure organisationnelle, le système de reporting et les flux de contrôle (qui instruit qui, qui fait quoi, comment les progrès sont rapportés). Les mesures suivantes de la collection recommandations pratiques La gestion de la sécurité de l'information est mise en œuvre dans le cadre de ce type d'activité.

Règlement intérieur du travail (politique) :
- élaboration et mise en œuvre de règles internes de travail (policy), liens avec d'autres règles ;
- objectifs, principes généraux et signification ;
- description des sous-processus ;
- répartition des fonctions et responsabilités par sous-processus ;
- les liens avec les autres processus ITIL et leur gestion ;
- la responsabilité globale du personnel ;
- traitement des incidents de sécurité.

Organisation de la sécurité de l'information :
- schéma structurel la gestion;
- structure de gestion (structure organisationnelle);
- une répartition plus fine des responsabilités ;
- mise en place du Comité de pilotage de la sécurité de l'information ;
- coordination de la sécurité de l'information ;
- accord sur les outils (par exemple, pour l'analyse des risques et la sensibilisation) ;
- une description du processus d'autorisation des installations informatiques en concertation avec le client ;
- Conseil d'Expert;
- coopération entre les organisations, interaction interne et externe ;
- audit indépendant des systèmes d'information ;
- principes de sécurité lors de l'accès aux informations par des tiers ;
- la sécurité de l'information dans les contrats avec des tiers.

Planification

Le sous-processus de planification se résume à définir le contenu de la section SLA de sécurité avec la participation du processus de gestion des niveaux de service et à décrire les activités liées à la sécurité menées dans le cadre des accords externes. Les tâches qui sont largement définies dans le SLA sont détaillées et concrétisées sous la forme d'un Operating Service Level Agreement (OLA). L'OLA peut être considéré comme un plan de sécurité pour la structure organisationnelle d'un fournisseur de services et comme un plan de sécurité spécifique, par exemple, pour chaque plate-forme informatique, application et réseau.

Les intrants du sous-processus de planification ne sont pas seulement les dispositions du SLA, mais aussi les principes de la politique de sécurité du fournisseur de services (issus du sous-processus de contrôle). Des exemples de ces principes sont : « Chaque utilisateur doit être identifié de manière unique » ; "Un niveau de sécurité de base est toujours fourni à tous les clients."

Les accords de niveau de service opérationnel (OLA) pour la sécurité de l'information (plans de sécurité spécifiques) sont élaborés et mis en œuvre selon les procédures normales. Cela signifie que si ces activités deviennent nécessaires dans d'autres processus, une coordination avec ces processus est alors nécessaire. Toutes les modifications nécessaires à l'infrastructure informatique sont effectuées par le processus de gestion des changements en utilisant les données fournies par le processus de gestion de la sécurité de l'information. Le responsable du processus de gestion du changement est le gestionnaire de processus.
Le sous-processus de planification est coordonné avec le processus de gestion des niveaux de service pour définir le contenu de la section de sécurité du SLA, la mettre à jour et assurer la conformité. Cette coordination est sous la responsabilité du Service Level Management Process Manager.

Les exigences de sécurité doivent être définies dans le SLA, si possible en termes mesurables. La section sécurité du SLA doit garantir que toutes les exigences et normes de sécurité des clients peuvent être surveillées.

Mise en œuvre

La tâche du sous-processus de mise en œuvre (mise en œuvre) est de réaliser toutes les activités identifiées dans les plans. Ce sous-processus peut être soutenu par la liste de contrôle d'actions suivante.

Classification et gestion des ressources informatiques :
- fournir des données d'entrée pour prendre en charge les unités de configuration (CI) dans la CMDB ;
- classification des ressources informatiques selon des principes convenus.

Sécurité des personnes :
- tâches et responsabilités dans la description du travail;
- sélection du personnel ;
- accords de confidentialité pour le personnel ;
- formation;
- des conseils au personnel sur la résolution des incidents de sécurité et l'élimination des défauts de sécurité détectés ;
- des mesures disciplinaires;
- améliorer la sensibilisation aux questions de sécurité.

Gestion de la sécurité:
- introduction des types de responsabilité et répartition des responsabilités ;
- instructions de travail écrites;
- règles internes;
- les mesures de sécurité doivent couvrir l'ensemble du cycle de vie des systèmes ; il devrait y avoir des guides de sécurité pour le développement du système, les tests, l'acceptation, utilisation opérationnelle, maintenance et retrait de l'environnement d'exploitation ;
- séparation de l'environnement de développement et de test de l'environnement opérationnel (de production) ;
- les procédures de traitement des incidents (mises en œuvre par le processus de gestion des incidents) ;
- l'utilisation d'outils de récupération ;
- fournir des informations d'entrée pour le processus de gestion du changement ;
- mise en place de mesures de protection contre les virus ;
- mise en place de méthodes de gestion des ordinateurs, des applications, des réseaux et des services réseaux ;
- le bon traitement et la protection des supports de données.

Contrôle d'accès:
- mise en œuvre de la politique d'accès et du contrôle d'accès ;
- prise en charge des privilèges d'accès des utilisateurs et des applications aux réseaux, services réseau, ordinateurs et applications ;
- prise en charge des barrières de protection du réseau (firewall, services d'accès pour ligne téléphonique, ponts et routeurs);
- mise en place de méthodes d'identification et d'autorisation systèmes informatiques, postes de travail et PC sur le réseau

Évaluation

Une évaluation indépendante de la mise en œuvre des activités prévues est essentielle. Une telle évaluation est nécessaire pour déterminer l'efficacité et est également requise par les clients et les tiers. Les résultats du sous-processus d'évaluation peuvent être utilisés pour ajuster les mesures convenues avec le client, ainsi que pour leur mise en œuvre. Sur la base des résultats de l'évaluation, des changements peuvent être proposés, auquel cas une demande de changement (RFC) est formulée et envoyée au processus de gestion des changements.
Il existe trois types d'évaluation :
- auto-évaluation : réalisée principalement par les services opérationnels de l'organisation ;
- audit interne : réalisé par des auditeurs informatiques internes ;
- audit externe : réalisé par des auditeurs informatiques externes.
Contrairement à une auto-évaluation, un audit n'est pas effectué par le même personnel qui est impliqué dans d'autres sous-processus. Cela est nécessaire pour assurer la séparation des préoccupations. L'audit peut être réalisé par le service d'audit interne.
Une évaluation est également effectuée en réponse aux incidents.
Les principales activités sont :
- vérification du respect de la politique de sécurité et de la mise en œuvre des plans de sécurité ;
- la réalisation d'un audit de la sécurité des systèmes d'information ;
- identifier et prendre des mesures en cas d'utilisation inappropriée des ressources informatiques ;
- vérification des aspects de sécurité dans d'autres types d'audits informatiques.

Support

En raison de l'évolution des risques de changements dans l'infrastructure informatique, dans l'entreprise et dans les processus commerciaux, il est nécessaire de fournir un soutien adéquat pour les mesures de sécurité. La prise en charge de la sécurité comprend la prise en charge des sections de sécurité pertinentes des SLA et la prise en charge des plans de sécurité détaillés (au niveau de l'accord de niveau de service d'exploitation).
Le maintien du fonctionnement efficace du système de sécurité est effectué sur la base des résultats du sous-processus d'évaluation et d'analyse des changements de risque. Les propositions peuvent être mises en œuvre soit dans le cadre d'un sous-processus de planification, soit dans le cadre du maintien de la prise en charge de l'ensemble du SLA. Dans tous les cas, les propositions faites pourront conduire à l'inscription d'initiatives supplémentaires dans le Plan de Sécurité annuel. Toute modification sera traitée dans le cadre du processus normal de gestion des modifications.

Les objectifs de l'accompagnement sont d'améliorer le dispositif de sécurité, tel que
spécifiés dans les accords de niveau de service et les accords de niveau opérationnel, et
améliorer la mise en œuvre des mesures de sécurité et de contrôle.

La maintenance doit être réalisée avec un cycle Plan-Do-Check-Act, qui est
démarche formelle proposée par ISO 27001 pour la mise en place d'un Système d'Information de Management de la Sécurité. Ceci est détaillé dans le CSI.

Lorsqu'elle est correctement mise en œuvre, la gestion de la sécurité de l'information devrait avoir six résultats principaux. Ci-dessous se trouve le liste complète résultats et données associées.

Alignement stratégique:
o Les exigences de sécurité doivent être déterminées par les exigences de l'entreprise
o Les solutions de sécurité doivent correspondre aux processus de l'entreprise
Les investissements en sécurité de l'information doivent être alignés sur la stratégie de l'entreprise et les risques convenus

Valeur d'expédition :
o Ensemble standard de méthodes de sécurité, c'est-à-dire les exigences de conformité de sécurité de base
o Priorités et efforts correctement alloués pour les domaines ayant le plus grand impact et les avantages commerciaux
o Solutions institutionnalisées et de masse
o Des solutions globales couvrant l'organisation et le processus, ainsi que des technologies autour d'une culture d'amélioration continue

Gestion des risques :
o Profil de risque convenu
o Comprendre l'exposition au risque
o Conscience des priorités de gestion des risques
o Réduire les risques
o Risque d'acceptation/respect

Gestion des performances :
o Définition, accord sur un ensemble de métriques
o Un processus de mesure a été défini pour aider à identifier les lacunes et assurer Rétroaction sur les progrès accomplis dans la résolution des problèmes
o Prestation indépendante

La gestion des ressources:
o Connaissances collectées et disponibles
o processus et pratiques de sécurité documentés
o Conception d'une architecture de sécurité pour une utilisation efficace des ressources de l'infrastructure
- Accompagnement des processus métiers.

SYSTÈME DE CERTIFICATION VOLONTAIRE

"COMMUNICATION - EFFICACITÉ"

ROSS RU.М821.04FBG0

Système de gestion de la sécurité de l'information " Un niveau de base de sécurité de l'information des opérateurs télécoms "

Exigences, programme et méthode des tests de certification

1 Présentation 1

2 Portée 2

4.2 Exigences relatives aux politiques des opérateurs 5

4.3 Exigences de fonctionnalité 6

4.4. Exigences d'interopérabilité 7

5 Programme d'épreuves de certification 7

5.1. Point de test 7

5.2. Tester l'objectif 7

6 Méthodologie de réalisation des tests de certification 8

6.1. Conditions d'essai 8

6.2. Méthode d'essai 9

1. Introduction

Les exigences du système de gestion de la sécurité de l'information « Niveau de base de sécurité de l'information des opérateurs de télécommunications » (ci-après dénommé les exigences) déterminent le niveau de base de la sécurité de l'information, à l'aide duquel chaque opérateur peut évaluer l'état de la sécurité du réseau et de l'information, en tenant compte quelles normes de sécurité sont pertinentes, lesquelles de ces normes devraient être utilisées, quand elles devraient être utilisées et comment elles devraient être appliquées. Elle décrit également la volonté et la capacité du transporteur à interagir avec d'autres transporteurs, utilisateurs et organismes d'application de la loi afin de lutter conjointement contre les menaces à la sécurité de l'information.

Les exigences représentent un ensemble minimum de recommandations, dont la mise en œuvre garantira un niveau suffisant de sécurité de l'information des services de communication, tout en assurant un équilibre des intérêts des opérateurs, des utilisateurs et du régulateur.

Le programme et la méthodologie définissent tous les types, conditions, portée et méthodes de tests de certification du niveau de base de la sécurité de l'information des opérateurs télécoms.

Ce document peut être utilisé dans les cas où l'opérateur télécom :

    doit démontrer sa capacité à fournir des services de communication qui répondent aux exigences établies;

    vise à démontrer aux opérateurs télécoms en interaction la capacité et la volonté, avec eux, de résister aux menaces à la sécurité de l'information.

2 Portée

      Ces exigences, le programme et la méthodologie sont élaborés conformément au règlement sur le système de certification volontaire "Communication - Efficacité" basé sur la recommandation du secteur de la normalisation de l'Union internationale des télécommunications (UIT-T), série X, appendice 2, "série X.800-X849 ITU-T - Application sur le niveau de base de la sécurité de l'information des opérateurs de télécommunications ”.

      Les présentes Exigences, le programme et la méthodologie sont développés pour le système de certification volontaire et sont destinés aux opérateurs de télécommunications, aux centres de certification et aux laboratoires lors de la certification volontaire du système de gestion de la sécurité de l'information « Niveau de base de sécurité de l'information des opérateurs de télécommunications » dans la « Communication - "Efficacité" système de certification volontaire.

3 Références normatives, définitions et abréviations

3.1. Dans les présentes Exigences, le programme et la méthodologie, des références aux documents réglementaires suivants sont utilisées :

    Loi fédérale du 27 juillet 2006 n° n° 149-FZ "Sur renseignement, informatique et la protection des informations".

    Doctrine de sécurité de l'information de la Fédération de Russie du 09 septembre 2000 n° Pr-1895.

    Règles pour la connexion des réseaux de télécommunications et leur interaction (approuvées par le décret du gouvernement de la Fédération de Russie du 28 mars 2005, N 161).

    GOST R 50739-95 Installations informatiques. Protection contre la falsification des informations. Exigences techniques générales.

    GOST R 52448-2005 Sécurité de l'information. Assurer la sécurité des réseaux de télécommunications. Dispositions générales.

    GOST R ISO / IEC 15408-2002 Technologies de l'information. Méthodes et moyens d'assurer la sécurité. Critères d'évaluation de la sécurité des technologies de l'information.

    GOST R ISO / IEC 27001-2006 Méthodes de sécurité de l'information. Systèmes de gestion de la sécurité de l'information. Conditions.

    OST 45.127-99. Système de sécurité de l'information du réseau de communication interconnecté Fédération Russe... Termes et définitions.

    Recommandation du secteur de la normalisation de l'Union internationale des télécommunications (UIT-T), Série X, Appendice 2, "Série UIT-T X.800-X849 - Supplément sur le niveau de base de la sécurité de l'information des opérateurs de télécommunications".

3.2. Dans ces exigences, le programme et la méthodologie, les termes correspondant aux définitions de la loi fédérale « sur les communications » sont utilisés, ainsi que les termes et abréviations suivants sont également définis :

Compte- compte personnel de l'utilisateur du système d'information, du logiciel de l'équipement, comprenant l'identifiant (login), ses signes individuels cachés (mot de passe) et autres informations nécessaires pour y accéder.

Logiciel antivirus- un logiciel spécial conçu pour détecter et désactiver (bloquer) un code logiciel malveillant spécialement conçu pour violer l'intégrité, la disponibilité et la confidentialité des données.

Attaque par déni de service- impact délibéré sur le système d'information ou l'équipement afin de créer des conditions dans lesquelles les utilisateurs légitimes ne peuvent pas accéder aux ressources fournies par le système ou l'équipement, ou cet accès sera difficile.

Sécurité de l'information d'un opérateur télécom- l'état de protection des ressources informationnelles de l'opérateur télécom et de l'infrastructure qui les supporte contre les influences accidentelles ou délibérées de nature naturelle ou artificielle, portant préjudice à l'opérateur télécom, aux utilisateurs de services de communication, et caractérisé par la capacité d'assurer la confidentialité, l'intégrité et la disponibilité des informations pendant leur stockage, leur traitement et leur transmission.

Accord de licence- un accord entre le propriétaire du logiciel et l'utilisateur de sa copie

Opérateur de télécommunications - une personne morale ou un entrepreneur individuel fournissant des services de communication sur la base d'une licence appropriée.

Politique de sécurité du fournisseur de services- l'ensemble des politiques, procédures, pratiques ou directives de sécurité documentées à suivre par l'opérateur de télécommunications.

Fournisseur de services- une personne morale engagée dans la fourniture (livraison) de services de communication d'un certain type à un abonné et assurant l'utilisation coordonnée des capacités de réseau associées à ces services.

Pourriel- la correspondance non sollicitée envoyée à en format électronique(en règle générale, par e-mail).

Gestion des risques- le processus d'identification, de contrôle, de réduction ou d'élimination complète (à un coût acceptable) des risques de sécurité de l'information pouvant affecter les systèmes d'information d'un opérateur télécom et l'infrastructure qui les supporte.

Vous avez aimé l'article ? A partager avec des amis :
Vous pouvez également être intéressé par
Par où commencer et comment gagner beaucoup d'argent !
Programmes utiles
Bonne journée mon cher! Je n'ai pas écrit sur Habr depuis longtemps, il n'y avait pas de temps, il y avait beaucoup de travail. Mais maintenant, j'étais déchargé et des pensées se sont formées pour un nouveau poste. J'ai parlé avec un de mes camarades, sur ...
Sélection correcte des hashtags sur Instagram
Conseils Internet
Bonne journée mon cher! Je n'ai pas écrit sur Habr depuis longtemps, il n'y avait pas de temps, il y avait beaucoup de travail. Mais maintenant, j'étais déchargé et des pensées se sont formées pour un nouveau poste. J'ai parlé avec un de mes camarades, sur ...
Comment fonctionne l'algorithme d'Instagram : vous devez savoir Masquer les histoires des favoris
Solutions matérielles
Bonne journée mon cher! Je n'ai pas écrit sur Habr depuis longtemps, il n'y avait pas de temps, il y avait beaucoup de travail. Mais maintenant, j'étais déchargé et des pensées se sont formées pour un nouveau poste. J'ai parlé avec un de mes camarades, sur ...
Ajouter un fichier Sitemap à Yandex
Solutions matérielles
Bonne journée mon cher! Je n'ai pas écrit sur Habr depuis longtemps, il n'y avait pas de temps, il y avait beaucoup de travail. Mais maintenant, j'étais déchargé et des pensées se sont formées pour un nouveau poste. J'ai parlé avec un de mes camarades, sur ...
Teleport est un réseau de CPA financier avec de nouvelles offres
L'installation de Windows
Bonne journée mon cher! Je n'ai pas écrit sur Habr depuis longtemps, il n'y avait pas de temps, il y avait beaucoup de travail. Mais maintenant, j'étais déchargé et des pensées se sont formées pour un nouveau poste. J'ai parlé avec un de mes camarades, sur ...
La meilleure merde financière, comment choisir
Windows 10
Bonne journée mon cher! Je n'ai pas écrit sur Habr depuis longtemps, il n'y avait pas de temps, il y avait beaucoup de travail. Mais maintenant, j'étais déchargé et des pensées se sont formées pour un nouveau poste. J'ai parlé avec un de mes camarades, sur ...