Този сайт използва бисквитки (cookies). Ако желаете можете да научите повече тук. Разбрах

Новини ИТ сигурност
бр. 9, 2011

Стандарти, обучение и практически опит – необходими условия за изграждането на защитена информационна среда

от , 11 октомври 2011 3 5021 прочитания,

Сред най-уважаваните от специалистите по информационна сигурност сертификационни програми са предлаганите от консорциума (ISC)2 (International Information Systems Security Certification Consortium). Доста популярна е сертификацията Certified Information Systems Security Professional (CISSP) – с нея обикновено разполагат професионалистите по ИТ сигурност от средно и висше ниво – архитекти по ИТ сигурност, CISO (Chief Information Security Officer), CSO (Chief Security Officer), вице президенти по сигурността. Изпитът за CISSP трае 6 часа и включва 250 въпроса, разпределени в 10 домейна, а до проверка на знанията се допускат специалисти с над 3 годишен опит. Преди няколко години (ISC)2 разработи още 3 програми за сертификация, които изискват от кандидатите вече да имат статута CISSP. Това са:
- ISSEP: Information Systems Security Engineering Professional 
- ISSAP: Information Systems Security Architecture Professional 
- ISSMP: Information Systems Security Management Professional 
Идеята на тези програми е да дадат възможност на професионалистите по ИТ сигурност да задълбочат познанията си в конкрретно направление – технологии, архитектура, мениджмънт. 
За ползите от сертифицирането, за факторите, които подпомагат подготовката и за актуалните задачи пред специалистите по ИТ сигурност разговаряме с Мартин Павлов - Мениджър Информационна сигурност (CISO) в Държавен фонд "Земеделие" и първият сертифициран ISSAP в България. 
Г-н Павлов, как стигнахте до идеята за сертификацията по програмата ISSAP? 
Обучението и сертификацията са част от работата на професионалистите по информационна сигурност, особено в организации подобни на нашата. Държавен фонд "Земеделие" трябва да отговаря на редица изисквания към информационната  сигурност, поставени от ЕС и от българските контролни органи. Изискванията към организацията са още по-завишени, тъй като тя изпълнява и функциите на Разплащателна Агенция – това налага въвеждането на стандарта ISO 27001:2005. Част от изискванията, за които споменах е и постоянното повишаване на квалификацията на служителите по ИТ сигурност. 
През годините, аз и колегите от екипа сме участвали в различни обучения и сертификационни програми – CISSP, CISM, водещ одитор по ISO 27001 & 9001. Тези сертификати допринасят за репутацията на Агенцията, като организация която внедрява добри практики в своята работа. Тук е мястото да отбележа, че преминаваме успешно многобройните одити от страна на Европейския Съюз и сме четвъртата разплащателна агенция в ЕС, внедрила успешно стандарта ISO 27001:2005. Това показва, че обучението и сертификацията помагат да се справяме с работата си, а за мен следващата стъпка бе ISSAP. 
Какво представлява тази сертификационна програма?  
Изискване за сертификацията ISSAP е наличието на сертификат CISSP. Доколкото ми е известно в България има 23 професионалисти с този статут. ISSAP е следващото, най-високо ниво за професионалисти в нашата област. Програмата е насочена към дизайн и архитектура на системи за информационна сигурност в големи организации. 
ISSAP се състои от 6 домейна:
- Access control systems and Methodology – описва най-важните изисквания относно архитектурата на методите за контрол на достъпа в организацията. Дори и най-малките пропуски в дизайна на системата за контрол на достъпа биха позволили неоторизиран достъп до критичните данни. В този раздел са описани архитектурите на основните модели за контрол на достъпа – MAC , DAC, RBAC както и архитектурата и внедряването на система за контрол на достъпа чрез биометрични данни.
- Cryptography – този домейн включва описание на криптографски алгоритми и hash функции използвани за защита конфиденциалността и целостта на данните. Разгледани са много подробно дизайна и математическите функции на основните криптиращи алгоритми като AES, IDEA, RSA и ECC. Изключително подробно са разгледани архитектурата, дизайна и внедряването на PKI инфраструктура в една организация.
- Physical Security Integration – разделът описва подробно архитектурите на системите за физическа защита на хора, процеси и технологии. Представени са стъпките при дизайна и внедряването на една такава система в дадена организация, ефективното и рационално избиране на контролите за защита, различните нива на достъп в зависимост от конфиденциалността на информацията, системи за наблюдение и видеоконтрол на физическия достъп.
- Requirements Analysis and Security Standards / Guidelines Criteria – в този домейн са описани анализът на изискванията към дизайна на даден продукт в областта на информационната сигурност. В детайли са разгледани CC – Common Criteria и седемте нива на оценка на даден продукт и неговия дизайн. Разгледани са ISO 27000 серията от стандарти, техните изисквания и използвани методи за контрол , управление на риска и измерване ефективността на една внедрена система за управление на информационната сигурност. Разгледан е и CMM – Capability Maturity Model – неговите пет нива на организация в зависимост от зрелостта й при разработката на софтуер. Подробно са описани и архитектурите на следните модели – US DoDAF – Department of Defense Architecture Framework; US FEAF – Federal Enterprise Architecture Framework; UK MoDAF – Ministry of Defense Architecture Framework; SABSA – Sherwood Applied Business Security Architecture; SOMF – Service-Oriented Modeling Framework;
- Technology – Related Business Continuity Planning (BCP) and Disaster Recovery Planning (DRP) – включва разглеждането на фазите на дизайн, планиране и внедряване на BCP и DRP плановете в една организация. Определянето на критичните бизнес процеси и тяхното възстановяване при евентуални аварии. Стратегии за архивиране на данните и тяхното възстановяване, определяне на DRC центрове и техния тип.
- Telecommunications and Network Security – тук са засегнати методите на защита на данните в разпределена среда, топологии на мрежите от гледна точка на информационната сигурност. Мрежови протоколи и методи за отдалечено свързване, валидиране дизайна на мрежата в организацията, мониторинг и контрол на мрежовите връзки и устройства за автентикация. Разгледани са подробно IPSec, L2TP, SSL/TLS, IEEE 802.11i. Описани са подробно стъпките при дизайн на една мрежа от гледна точка на информационната сигурност. 
Изпитът за ISSAP сертификацията включва 120 доста сложни въпроса, на които трябва да се отговори в рамките на 3 часа. Специалистите с ISSAP сертификация по света към момента са около 1000 – дори в страни като Франция и Германия има едва по двама-трима ISSAP професионалисти.
Вероятно за запознаването с всички тези теми е необходим специален курс. Как протече вашата подготовка за изпита и какво би трябвало да имат предвид специалистите, които в бъдеще ще се явят на подобен изпит?
В условията на ограничен бюджет, инвестирахме единствено в закупуването на книгата на (ISC)2- „Official (ISC)2 guide to the ISSAP CBK”, предназначена за тази сертификация, като я поръчахме от интернет сайта на (ISC)2. За успешното представяне на изпита, само информацията от книгата за ISSAP не е достатъчна. Повечето от въпросите не са разгледани в книгата, a почти всеки от тях изисква цялостен анализ на съответната ситуация. Много важно е наличието на практически опит. Професионалист с година-две трудов стаж, едва ли може да вземе изпита успешно – всъщност според ISC2, необходим е опит от 6-7 години. 
В процеса на подготовка за мен бе много полезна и комуникацията с колеги в професионалната мрежа LinkedIn.  
В крайна сметка какъв е резултатът от сертифицирането ви като ISSAP? Обогатен ли е вашият професионален опит?
Определено, да. Във всеки от шестте домейна попаднах на въпроси, с каквито не бях се сблъсквал досега. Книгата за ISSAP сертификация представя казуси, решения, анализи за това как дадени решения влияят върху инфраструктурата, как са засегнати потребителите, мениджмънта и т.н. В самия изпит въпросите изискват в дадена ситуация да се реши кое е оптималното решение според определен критерии, така че подготовката за изпита предполага адаптация към един начин на мислене, който е полезен в практиката.
Върху какво бе съсредоточена работата на вашия екип през последните години и какво ви предстои оттук нататък?    
Направленията в които бяхме фокусирани през последните години вероятно са същите, както във всяка голяма организация. Вече сме внедрили доста решения за защита на данните. Сред реализираните инициативи са внедряването на стандарта ISO 27001:2005, разработването на план за непрекъсваемост на бизнеса и изграждане на резервен център за данни, който получи висока оценка от страна на одитиращите организации. Тук трябва да отбележа, че Агенцията преминава през 3 различни одита всяка година (контролен, акредитационен и вътрешен) и досега сме получавали само положителни оценки. 
На последната среща на ИТ директорите на Разплащателните агенции в ЕС, нашият ръководител е представил опита ни във внедряването на стандарта ISO 27001:2005 и вече имаме запитвания за обмяна на опит в тази област от няколко Разплащателни агенции – в Кипър, Македония и др. 
Считаме за успех и установената практика за редовно провеждане на вътрешно обучение за служителите на агенцията. Такова обучение се провежда всяка година, като служителите се запознават със стандартите в областта и със своите отговорности. Представители на нашия екип са членове на European Network and Information Security Agency (ENISA) – агенцията на ЕС, която работи за повишаване на информираността в областта на информационната сигурност.  От ENISA получаваме материали и методи за обучение, които са ни много полезни за успешното внедряване на различни контроли, включително и материали за обучение насочени към различните групи потребители (мениджмент, служители и т.н.). 
За момента притежаваме двата сертификата, които са необходими за да работим в съответствие с изискванията на ЕК  - това са ISO 27001:2005 и ISO 9001:2008. Остава задачата да поддържаме тези сертификати, да се представяме успешно на провежданите одити и постоянно във всяка област да подобряваме внедрените решения. 
Оттук нататък, ни предстои подобряването на съществуващите контроли, насочени към управлението на риска (ISO 27005:2011 - Information technology -- Security techniques -- Information security risk management ), към измерване на ефективността на системите за информационна сигурност (ISO 27004:2009 - Information technology -- Security techniques -- Information security management -- Measurement ) и т.н. Повечето организации обръщат внимание само на ISO 27001:2005, но всъщност серията ISO 27000 e съвкупност от множество стандарти и взимането под  внимание на всеки от тях е от полза за всяка организация.  

КОМЕНТАРИ ОТ  

КОМЕНТАРИ

 
  
17:18, 15 октомври 2011 # 1
NO AVATAR
 
  
08:03, 18 март 2016 # 2
NO AVATAR
Thanks for compiling such nicest information in your blogs. Articles are very informative and hope again I’ll find more like that.virginia online payday loan lenders
 
  
08:21, 18 март 2016 # 3
NO AVATAR
Every day I visit a number of blog sites to see content, however this offers quality based content.life insurance comparison website
Трябва да сте регистриран потребител, за да коментирате статията
"Стандарти, обучение и практически опит – необходими условия за изграждането на защитена информационна среда"



    

Полезни страници
    За нас | Аудитория | Реклама | Контакти | Общи условия |
    Действителни собственици на настоящото издание са Иво Георгиев Прокопиев и Теодор Иванов Захов