Архив рубрики: ИБ

Information Security
Информационная безопасность

О создании культуры компании

2015_05_culture-is-built-not-bought-fiВначале, что такое культура компании?

Считаю что можно говорить о культуре чего-либо в компании, когда сотрудники шутят на тему этого «чего-либо» и подкалывают друг друга.

Например, культура компании в области ИБ, это когда:

  • при входе коллеги без бейджа в периметр, другой коллега искренне удивляется — «ты кто такой?».  Хотя он за соседним столом сидит, и квас вместе пьют.
  • за кофе ПМы подкалывают друг друга за разглашение информации о клиенте,  «мужик, держи изоленту» (см ниже картинку)

Вырисовалась эффективная схема по построению так называемой культуры ИБ:

  1. Прорабатывается тема, например — список сведений, составляющих коммерческую тайну компании
  2. В регулярных новостях компании (например в еженедельных письмах всем сотрудникам) делается краткий анонс об этом. Завуалировано, с интригой, типа скоро будет что-то прикольное
  3. Не тормозя, публикуется документ (в нашем случае перечень коммерческой тайны), и сопроводительное письмо к нему.
  4. В этом письме — краткий пересказ документа, без фанатизма, чтобы человек смог прочитать за 30 сек, и (! бинго) — в конце письма комикс по теме!
2015_05_isolenta

Комикс к публикации документа «Сведения, составляющие коммерческую тайну». Создано by Varvara Petrova:)

Вообще, убежден, что юмор — одна из основ для здоровой культуры компании:)

Некоторые шутки превращаются в истории, которые старожилы рассказывают новичкам. Не это ли культура компании?

2015-05_company-culture-cartoon

 

IT-Security Conference, первая в РБ

Первая конференция «Технологии защиты информации и информационная безопасность организаций»

Первая конференция «Технологии защиты информации и информационная безопасность организаций»

Посетил так называемую первую в Республике Беларусь конференцию «Технологии защиты информации и информационная безопасность организаций» («IT-Security Conference»).

Общая оценка — классно для первого раза.

Очень рад что в РБ появляются события такого порядка и такой тематики.

 

Несколько запомнившихся моментов:
  • выступление Прозорова. Тема — про законодательные движения в области ИБ в России. Не совсем релевантно для РБ, но зато интересно (по сравнению со многими и многими презентациями).
  • технари из PaloAlto, рассказали про технические решения по предотвращению кибер-атак. Было интересно, познавательно и нескучно.
  • презентация про FireEye (Ясинский А.) порадовала — много практики
  • Хайретдинов Р. из InfoWatch — рассказал про антикризисную ИБ. По сути — набор принципов из жизни безопасника. Видно что товарищ древний практик.
  • Ожегов из SearchInform — показал как можно накрыть сотрудника через прокачанную DLP. Контролируется все и вся. В конце вывел критерий успешности работы DLP — основанный на % уволенных за нарушения сотрудников. Жесть однако:-\
Организаторы обещают выложить все материалы чуть попозже, я обновлю пост когда появится ссылка.
Из плюсов  — коммуникации коммуникации. Мир посмотреть, про себя рассказать. Прекрасная площадка для знакомств.
Из минусов — не очень хорошее место для конференции — кроме главного зала, все было неудобно. С питанием было не очень. Еще специфическая черта — в основном были специалисты, не было клиентов. Но лично меня это вполне устраивает.
Напоследок — было несколько спикеров, читающих с листка. Ребята, лучше бы не позорились, это же неслушабельно и только вызывает негатив.

 

Мы с Андреем Прозоровым

Мы с Андреем Прозоровым

Однако, закончу позитивом —  для меня было очень приятно познакомиться лично с Андреем Прозоровым, специалистом по ИБ, известным блоггером (Жизнь 80 на 20).

 

В общем и целом, тема ИБ в РБ развивается, что не может не радовать:)

 

Первые шаги с ISO 27001: initial audit and risk assessment

Одни из первых вопросов, с которыми сталкиваешься при внедрении СУИБ по ISO 27001:

  1. Какие из 114 защитных мер, перечисленных в ISO 27002, требуется внедрять
  2. и в какой мере требуется внедрять каждую из выбранных защитных мер

Попробуем разобраться.

Что внедряем

В 27001, в пункте 6.1.3 b) говорится: determine all controls that are necessary to implement the information security risk treatment option(s) chosen.

И далее, d) …  and the justification for exclusions of controls from Annex A;

Таким образом, выбирать то требуется только необходимые защитные меры, но если вдруг не выбрал, изволь обосновать.

Из своей практики замечу, что иногда обосновывать исключение той или иной защитной меры сложнее, чем осуществить некое минимальное внедрение этой меры.

Ок, зная теперь, что лучше все же попытаться внедрить максимальное количество защитных мер, описанных в 27002, ответим на вопрос — в какой мере внедрять. Ведь если внедрять все рекомендации 27002 — любая компания разорится.

Как внедряем

Идея стандарта в том, чтобы на основании Risk assessmenta и Risk treatment получить Risk treatment plan (RTP), содержащий детальные инструкции по внедрению конкретных защитных мер для конкретной компании.

Я лишь хочу привнести практический аспект — проведение первоначального аудита перед Risk assessment. Цель аудита в том, чтобы дать реальное знание о ситуации с защитными мерами в компании на данный момент. Иначе придется делать Risk assessment в теоритическом вакууме.

Процесс получения желанного RTP

Процесс получения желанного RTP

 

 

Что на картинке.

Шаг 1й — аудит. Делается на основании заранее подготовленных чеклистов, по защитным мерам 27002 и основным положениям 27001. В результате получаем оценку внедренности защитных мер — см % под AS IS. Также, что очень классно, прямо в ходе аудита выясняются очевидные ляпы, которые тут же вносятся в оперативные планы ответственных команд. Таким образом, весь проект по внедрению СУИБ (ISMS) набирает ускорение.

Шаг 2й — Risk assessment. Делаем risk assessment, как правило по классике (см 27005). На выходе получаем отранжированный список рисков.

Шаг 3й Risk treatment. RA особо не отделишь от RT. Насколько знаю, большинство делают шаги 2 и 3 одновременно, доводя риски до логической развязки (treatment). Естественно, большинство рисков закрываются соответствующими защитными мерами. И вот тут то уже становится понятно, какую защитную меру нужно выводить на максимальный уровень внедренности (для критических рисков), а какие меры — лишь с минимальным внедрением (для закрытия некритических рисков).

Получаем приблизительный % «требуемого уровня внедрения» — см цифры под колонкой TO BE.

Если окажется, что данную защитную меру уже внедрили в достаточном объеме — ну и хорошо. А на другие защитные меры, скорее всего, понадобятся дополнительные активности по внедрению.

Все эти активности аккуратно вписываем напротив соответствующей защитной меры, и получаем Risk treatment plan.

 

Семинар Increasing Business Effectiveness of IT Companies through Risk Management and Certification Standard

Посетил семинар “Повышение эффективности ИТ компаний с помощью риск менеджмента и сертификации”, 10&11 июля, организатор — Европейский Банк Реконструкции и Развития.

Ниже — краткая сводка.
Читать далее

Информационная безопасность в Cobit 5

Вышел Cobit 5. Вообще, это мощное событие на ИТ рынке. Консультанты, специалисты по ИТ практикам, по ИБ — все должны ознакомиться с сим творением:)
Так как я являюсь членом ISACA, то базовый набор документации Cobit 5 мне достался бесплатно.
Что интересно, за отдельный гайд «COBIT 5 for Information Security» нужно платить даже члену ISACA. Ну, деньги небольшие (что-то около 35$), нужно купить.

Пока же я сделал краткий обзор по Cobit 5 — по новой структуре, принципам, содержанию процессной карты — все в разрезе ИБ.

Эту презентацию я сегодня представил на семинаре Инфопарка.
Основной аудиторией были ИТ менежмент с локальных организаций — банков, предприятий. По отклику понял, что несмотря на ‘У Cobita 5 большое будущее’ — на локальном (белорусском) рынке путь Cobit 5 будет долгим и тернистым:-)

Социальная реклама и безопасность

Классные ролики про элементартные правила по безопасности — не только ИБ, но также с телефоном, транспортом, для детей и тд.

Вот несколько роликов:

Безопасность в интернете

Осторожно — телефонные мошенники

Безопасность ваших детей

Безопасность в транспортных средствах

CISM application

В продолжение темы CISM — зааплаился таки на CISM.

Для непосвященных, сдача экзамена не означает, что ты автоматически становишься CISM. Нужно еще подтвердить хитрым способом, что ты имеешь минимум 5 лет опыта в различных областях ИБ. Оказалось немелкой работой.

Итак, детальные инструкции даны тут: Requirements to Become a Certified Information Security Manager

Первый шаг — описать основные работы, где ты получил бесценный опыт по ИБ. Причем опыт сей должен быть весьма разносторонним — начиная с построения security strategy и заканчивая элементарной оперативкой (ну за инцидентами там следить, риски анализировать).

Второй шаг — описать те работы, которые не являются прямо относящимися к ИБ, но по правилам ISACA могут быть учтены (substituted) и приплюсованы к основному опыту. Например смежные сертификации, учеба профильная. В моем случае это был MBA с дипломной работой, посвященной построению глобальной СУИБ в интернациональной компании. Обещали 2 года учесть за это, надеюсь что сработает:) Иначе, у меня может и не хватить требуемых 5-ти лет опыта, в зависимости от того, как эти ребята складывают цифры.

Дальше, третий шаг — нужно заручиться поддержкой людей, которые могут подтвердить твой опыт.
Обычно, это менеджеры или независимые специалисты, которые могут подтвердить а) твой спектр опыта, твои активности в ИБ б) количество лет\месяцев потраченных тобой на все это.

Мне пришлось много объяснять своим двум «поручителям» что-откуда-почему. Один из них — финн (ну и живет в Финляндии), просто по почте прислал подписанный скан. Второй — уже не работал в моей компании, пришлось связываться, подъезжать к нему на контору..

Финальный шаг — собрать все материалы воедино и накалякать письмо в ISACA. Получилось довольно объемное письмо — тут и сканы моего диплома с транскриптом, и сама application form, и сканированные листики с подписями верификаторов.

Отослал, теперь жду.

Из опыта, у ISACA ничего не бывает быстрым (кроме рекламной макулатуры). Сказали что недель за 8 прочекают.

 

PS думал еще вот эту картинку использовать, навеяло:)

«принципиальная» безопасность

Прочитал давече прикольный док на сайте ISACA —  Principles for Information Security Practitioners .

Весьма прикольный док. Является совместным плодом ISACA, ISF и ISC2.

Изложены простые принципы, следуя которым можно выстроить в компании отличную СУИБ. Ну или улучшить существующую:) Порадовало, что имеются «морально-этичные» принципы и принципы о культуре компании. Вообще то, думаю это самые важные моменты, проходящие красной нитью через все остальные.

Вот краткий список, детали см по ссылке:

A Support the business

A1 Focus on the business

A2 Deliver quality and value to stakeholders

A3 Comply with relevant legal and regulatory requirements

A4 Provide timely and accurate information on security performance

A5 Evaluate current and future information threats

A6 Promote continuous improvement in information security

B Defend the business

B1 Adopt a risk-based approach To ensure that risks are treated in a consistent and effective manner.

B2 Protect classified information To prevent classified information (eg confidential or sensitive) being disclosed to unauthorised individuals.

B3 Concentrate on critical business applications

B4 Develop systems securely To build quality, cost-effective systems upon which business people can rely (eg that are consistently robust, accurate and reliable).

C Promote responsible security behaviour

C1 Act in a professional and ethical manner

C2 Foster a security-positive culture

Кое что о прогнозах на 2012 в области ИБ

Откопал пару интересных прогнозов о развитии ситуации в области информационной безопасности на 2012г.

Самый детальный (особенно по части анализа 2011г) — Предварительные киберитоги и прогнозы 2011-2012 от Касперского. Из него можно узнать десятки реальных случаев атак, инцидентов по всему миру и в России. Неужели фантастика становится реальностью?:)

Кратенький отчет от Гартнера  — ИТ-прогноз до 2016 г.: крах соцсетей, закат компьютерного ПО, массовая киберпреступность. Интересен  прогноз, что 85% компаний из Fortune-500 не смогут к 2015г научиться пользоваться и защищать «большие данные». Действительно, это какой же командой экспертов нужно располагать, чтобы суметь выстроить защиту гигантских массивов перс.данных. Хотел бы присоединиться к такой команде:)

Интересный обзор составил Александр Бондаренко http://secinsight.blogspot.com/2011/12/2011.html.

Threat Horizon 2012 — Emerging information security threats to business и Threat Horizon 2013 — ISF дает свое видение ИБ в 2012 и 2013 годах. По ссылкам можно посмотреть executive versions, чтобы скачать полные версии — нужно быть мембером ISF. В полных версиях гораздо интереснее — много примеров.

В общем, прогноз простой — все становится интереснее:)