Weitere ähnliche Inhalte
Ähnlich wie На что обратить внимание CISO в 2011-2012-м годах? Прогнозы и тенденции
Ähnlich wie На что обратить внимание CISO в 2011-2012-м годах? Прогнозы и тенденции (20)
Mehr von Cisco Russia (20)
На что обратить внимание CISO в 2011-2012-м годах? Прогнозы и тенденции
- 1. На что обратить
внимание CISO в 2011-
2012-м годах? Прогнозы
и тенденции
Алексей Лукацкий, бизнес-консультант по безопасности
© Cisco, 2010. Все права защищены. 1/60
- 2. Подчиненность CISO
Совет директоров, CEO
7 2 22
7
ИТ (CIO)
7
СВК
Управление рисками
56
ИТ (среднее звено)
Другое
Источник: Gartner
© Cisco, 2010. Все права защищены. 2/60
- 3. Взгляд политика
Взгляд менеджера
Взгляд юриста
Взгляд технолога
© Cisco, 2010. Все права защищены. 3/60
- 4. Что? Гостайна КТ, БТ, ПДн
С кем? ИТР Инсайдер, хакер
Как? Закрытость Открытость
Сколько? Неважно ROI, TCO, NPV
Кто? КГБ эксКГБ
© Cisco, 2010. Все права защищены. 4/60
- 6. Технологии
Облака коллективной Инфраструктура
работы
Корпоративные
Виртуализация Web 2.0
приложения
Мобильные Передача речи и
технологии данных
Администрирование
Бизнес-аналитика
ИТ
Источник: Gartner
© Cisco, 2010. Все права защищены. 6/60
- 7. становятся причинами появления новых угроз
7 млрд новых беспроводных “Энтузиасты совместной 40% заказчиков планируют
Новые цели атак: виртуальные
внедрить
устройств к 2015 г. работы” в среднем
Украденный ноутбук больницы: Skype = возможность вторжения машины и гипервизор
используют 22 средства для распределенные сетевые
14 000 историй болезни
50% предприятий-участников общения с коллегами
Системы IM могут обходить сервисы («облака»)
Более 400 угроз Отсутствие контроля над
опроса разрешают
для мобильных устройств, 45%механизмы защиты
сотрудников нового внутренней виртуальной сетью
использовать–личные К 2013 г. объем рынка «облачных
к концу года до 1000 поколения пользуются ведет к снижению эффективности
устройства для работы вычислений» составит 44,2 млрд
социальными сетями
© Cisco, 2010. Все права защищены. политик безопасности
долларов США
7/60
- 8. 66% 45% 59% 45% 57%
Согласятся на Готовы Хотят ИТ- ИТ-специалистов
снижение поработать на использовать специалистов утверждают, что
компенсации 2-3 часа в день на работе не готовы основной задачей
(10%), если больше, если личные обеспечить при повышении
смогут работать смогут сделать устройства бóльшую мобильности
из любой точки это удаленно мобильность сотрудников
мира сотрудников является
обеспечение
безопасности
© Cisco, 2010. Все права защищены. 8/60
- 9. 21% 64% 47% 20% 55%
Людей Людей не думая Пользователей Людей уже Людей были
принимают кликают по Интернет уже сталкивалось с подменены с
«приглашения ссылкам, становились кражей целью получения
дружбы» от присылаемым жертвами идентификаци персональных
людей, которых «друзьями» заражений онных данных данных
они не знают вредоносными
программами
© Cisco, 2010. Все права защищены. 9/60
- 10. Средства совместной работы
Текст Голос и видео
Число участников общения
Социальные сети
Видео по
Много
запросу
Форумы Унифицированные
коммуникации
Wiki Блоги Контакт-
центр
Электронная Средства проведения
Один
почта IM конференций
TelePresence
Документы
Голосовая почта
“Следующей задачей по повышению производительности является
повышение эффективности работы сотрудников, работу которых
невозможно автоматизировать. Ставки в этой игре высоки.”
McKinsey & Company, отчет «Организация XXI века»
© Cisco, 2010. Все права защищены. 10/60
- 11. 2010
iPad + Mac = 12% рынка
ПК
3.6Млрд 100+
Мобильных
устройств*
миллионов
планшетников
300,000 1.8Млрд
Ежедневных … имеют
активаций web-доступ* 70%
Android студентов США
используют Mac
**Gartner research prediction; Gartner Forecast: Tablet PCs, Worldwide, November, 2010
© Cisco, 2010. Все права защищены. 11/60
- 12. 2013
Скоро будет
Один триллион
устройств подключенных к сети,
по сравнению с 3.6 МЛРД в 2010
Прогноз Cisco IBSG
© Cisco, 2010. Все права защищены. 12/60
- 13. Мобильника Интернет Автомобиля Партнера
97% 84% 64% 43%
© Cisco, 2010. Все права защищены. 13/60
- 14. Malware
Вирус Шпионское (трояны, Эксплоиты
ПО кейлоггеры,
скрипты)
Исследования Вредоносные Web и социальные Вредоносные
NSS LAB программы сети все чаще программы
показывают, что воруют уже не становятся используют для
даже лучшие ссылки на рассадником своих действий
антивирусы и посещаемые вредоносных неизвестные
Web-шлюзы не вами сайты, а программ, а также уязвимости (0-Day,
эффективны реквизиты инструментом 0-Hour)
против доступа к ним разведки
современных злоумышленников
угроз
© Cisco, 2010. Все права защищены. 14/60
- 15. Фокус на Передовые
Массовое Полимор- и тайные
конкретную
заражение физм средства
жертву
(APT)
Злоумышленников Современные угрозы Угрозы могут быть Угрозы становятся
не интересует постоянно меняются, разработаны модульными,
известность и чтобы средства специально под вас – самовосстанавлива-
слава – им важна защиты их не они учитывают вашу ющимися и
финансовая отследили – инфраструктуры и устойчивыми к
выгода от изменение встраиваются в нее, что отказам и
реализации угрозы поведения, адресов делает невозможным обнаружению
серверов управления применение
стандартных методов
анализа
© Cisco, 2010. Все права защищены. 15/60
- 16. Мотивация Известность Деньги
Метод Дерзко Незаметно
Фокус Все равно Мишень
Средства Вручную Автомат
Результат Подрыв Катастрофа
Тип Уникальный код Tool kit
Цель Инфраструктура Приложения
Агент Изнутри Третье лицо
© Cisco, 2010. Все права защищены. 16/60
- 17. Традиционная архитектура не справляется
с требованиями сегодняшнего дня
Мобильность Социальность Видео Виртуализация
Отсутствие поддержки Невозможно Низкое качество Ограничения в
мобильных устройств и взаимодействовать с и совместимость работе с голосом и
OC социальными сетями при работе видео видео через VDI
X
X X
X
© Cisco, 2010. Все права защищены. 17/60
- 18. «Заплаточный» подход к защите – нередко
в архитектуре безопасности используются
решения 20-30 поставщиков
Непонимание смены ландшафта угроз
Концентрация на требованиях регулятора в
ущерб реальной безопасности
Неучет и забывчивость в отношении новых
технологий и потребностей бизнеса
Попытка «загнать» пользователей в рамки
© Cisco, 2010. Все права защищены. 18/60
- 19. Замкнутая программная среда, «белые списки»
становятся эффективнее
Защищайте браузеры и приложения – не
ограничивайтесь одними сетями
Сканеры безопасности – это не уже мода, а
необходимость
Не только IDS/IPS, но и средства сетевого
анализа
Не увлекайтесь лучшими продуктами – стройте
целостную, многоуровневую систему защиты
© Cisco, 2010. Все права защищены. 19/60
- 22. От 5-ти до Больше 10-
Влияние / срок Менее 2-х лет От 2-х до 5-ти лет
10-ти лет ти лет
J-SOX ISO 31000 (управление ITIL v3.0
Трансформация рисками)
ITIL v2.0
Базель II ISO 27xxx US PL 110- Антитеррор
Нотификация Раскрытие 53
Высокая об утечках информации о рисках (непрерывность
бизнеса)
(US) и управлении (US)
XBRL (уведомление
регуляторов)
EuroSOX BITS
1995/46/EC COBIT
Источник: Gartner
PCI DSS COSO ERM
Средняя Нотификация об
утечках (EU)
SOX
Single Euro Payments
Источник: Gartner
Низкая HIPAA
© Cisco, 2010. Все права защищены. 22/60
- 24. Менее 2-х От 2-х до 5-ти От 5-ти до 10-ти Больше 10-
Влияние / срок
лет лет лет ти лет
Трансформация
eDiscovery Управление
Архивация e-mail интеллектуальной
Высокая Обнаружение собственностью
мошенничеств Управление
данными
Шифрование Расследование Управление
Средняя e-mail ERM
Средства Контроль
Низкая управления электронных
privacy таблиц
Источник: Gartner
© Cisco, 2010. Все права защищены. 24/60
- 25. Большое количество регуляторов
Легитимный ввоз криптографии в соответствие
с правилами Таможенного союза
Использование легитимной криптографии
Требования сертификации
Локальные и закрытые нормативные акты
Отсутствие учета рыночных потребностей
Исторический бэкграунд
© Cisco, 2010. Все права защищены. 25/60
- 26. • Персональные данные
Отраслевые стандарты
• Финансовая отрасль
PCI DSS
СТО БР ИББС-1.0
ФЗ «О национальной платежной
системе»
• Критически важные объекты
• Электронные госуслуги
• Регулирование Интернет
• ФЗ об ЭП
• ФЗ о служебной тайне
© Cisco, 2010. Все права защищены. 26/60
- 27. Газпром- ФСТЭК РЖД
серт
ФСО ФСБ
PCI
ЦБ ИБ Council
Минком-
СВР
связь
Рос-
Энерго-
МО стандарт
серт
© Cisco, 2010. Все права защищены. 27/60
- 28. СТО РС
Отраслевая
Рекомендации Руководство
Общие Методика частная
Аудит ИБ по по самооценке Методика Требования
положения оценки модель угроз
1.1-2007 документации соответствия оценки рисков по ИБ ПДн
1.0-2010 соответствия безопасности
в области ИБ ИБ 2.2-2009 2.3-2010
v1 1.2-2010 ПДн
v4 2.0-2007 2.1-2007 v1 v1
v3 2.4-2010
v1 v1
v1
• СТО – стандарт организации
• РС – рекомендации по стандартизации
© Cisco, 2010. Все права защищены. 28/60
- 29. Термины и
Классификатор
определения
0.0
0.1
Рекомендации по выполнению
законодательных требований при
обработке ПДн
• РС «Требования по обеспечению безопасности СКЗИ» (план)
• РС «Методика классификация активов» (план)
• РС «Методика назначения и описания ролей» (план)
© Cisco, 2010. Все права защищены. 29/60
- 30. • В декабре 2010 года в России при Росстандарте создан
новый технический комитет - ТК 122 «Стандартизация в
области финансовых услуг»
ТК 122 соответствует ISO TC 68 “Financial Services»
• Базовая организация – Центральный банк
• Работы по стандартизации в области информационной
безопасности в кредитно-финансовой сфере будут
перенесены из ТК 362 и продолжены в рамках одного из
подкомитетов ТК 122
© Cisco, 2010. Все права защищены.
30
30/60
- 31. Стандарт Объект Статус Обязательность Санкции Оценка
защиты соответствия
ISO 270хх Вся КИ Международный Рекомендация Нет Аудит
стандарт
СТО БР БТ, КТ, Отраслевой Рекомендация Нет Аудит,
ПДн стандарт (де-юре) самооценка
Обязательный
(де-факто)
ФЗ-152 ПДн Закон Обязательный Штраф Отсутствует
PCI DSS БТ, ПДн Международный Обязательный Штраф Аудит,
стандарт (де-юре) самооценка
Рекомендация
(де-факто)
© Cisco, 2010. Все права защищены. 31/60
- 32. • Стандарт PCI DSS 2.0
119 изменений в виде разъяснений
15 изменений в виде дополнительных указаний
2 изменения в виде новых требований
• Ключевые изменения PCI DSS 2.0
Виртуализация
Обнаружение чужих Wi-Fi устройств
• PA DSS – стандарт безопасности
платежных приложений
Обязателен к применению с 01.01.2012
© Cisco, 2010. Все права защищены. 32/60
- 33. • Старые НПА «говорят»
преимущественно о
сертификации, а новые – об
оценке соответствия
• Оценка соответствия ≠
сертификация
• Оценка соответствия - прямое
или косвенное определение
соблюдения требований,
предъявляемых к объекту
• Оценка соответствия
регулируется ФЗ-184 «О
техническом регулировании»
© Cisco, 2010. Все права защищены. 33/60
- 34. Требования Требования закрыты (часто секретны). Даже лицензиаты
открыты зачастую не имеют их, оперируя выписками из выписок
ФСТЭК ФСБ МО СВР
Все, кроме СКЗИ Все для нужд Тайна, покрытая
криптографии МСЭ оборонного ведомства мраком
Антивирусы
IDS
BIOS
Сетевое
оборудование
А еще есть 3 негосударственных системы сертификации СЗИ – ГАЗПРОМСЕРТ,
«АйТиСертифика» (ЕВРААС) и Ecomex
© Cisco, 2010. Все права защищены. 34/60
- 35. ISO 15408:1999 («Общие критерии») в России
(ГОСТ Р ИСО/МЭК 15408) так и не заработал
Перевод СоДИТ ISO 15408:2009 – судьба
неизвестна ;-(
ПП-608 разрешает признание западных
сертификатов – не работает
ФЗ «О техническом регулировании» разрешает
оценку по западным стандартам – не работает
ПП-455 обязывает ориентироваться на
международные нормы – не работает
© Cisco, 2010. Все права защищены. 35/60
- 36. Новые системы добровольной оценки
соответствия (например, КАСКАД)
Изменение/объединение существующих
систем оценки соответствия
Признание международных/ЕврАЗЭС
сертификатов
© Cisco, 2010. Все права защищены. 36/60
- 37. Число нормативных актов с требованиями
сертификации по требованиям безопасности
8
7
6
5
4
3
2
1
0
* - для 2011 – предварительная оценка проектов новых нормативных актов (ФЗ “О национальной
платежной системе”, ФЗ “О служебной тайне”, новые приказы ФСТЭК/ФСБ и т.д.)
37
© Cisco, 2010. Все права защищены. 37/60
- 38. • Первые публичные нормативные по
криптографии относятся к 1995 г.
• Основная предпосылка при
создании НПА – всецелый контроль
СКЗИ на всех этапах их жизненного
цикла
• В качестве базы при создании НПА
взят подход по защите
государственной тайны
• ФСБ продолжает придерживаться
этой позиции и спустя 15 лет,
несмотря на рост числа ее
противников
© Cisco, 2010. Все права защищены. 38/60
- 39. • Все этапы жизненного цикла шифровального средства
Ввоз Оказание услуг Эксплуатация
Разработка ТО Вывоз
Контроль и
Производство Распространение
надзор
Оценка
Реализация
соответствия
© Cisco, 2010. Все права защищены. 39/60
- 40. Ввоз шифровальных средств
на территорию Российской
Федерации
Лицензирование
деятельности, связанной с
шифрованием
Использование
сертифицированных
шифровальных средств
© Cisco, 2010. Все права защищены. 40/60
- 41. • Что такое ТО?
К деятельности по техническому
обслуживанию шифровальных
(криптографических) средств не
относится эксплуатация СКЗИ в
соответствии с требованиями
эксплуатационной и технической
документации, входящей в комплект
поставки СКЗИ
• Не относится к лицензируемой
деятельности
Передача СКЗИ клиентам и «дочкам»
Генерация и передача сгенерированных
ключей
© Cisco, 2010. Все права защищены. 41/60
- 42. • Лицензии ФСБ на деятельность в области шифрования
Предоставление услуг в области шифрования информации
Деятельность по техническому обслуживанию шифровальных средств
Деятельность по распространению шифровальных средств
Деятельность по разработке, производству шифровальных средств,
защищенных использованием шифровальных (криптографических)
средств информационных и телекоммуникационных систем
• 4 мая 2011 года принята новая редакция закона «О
лицензировании отдельных видов деятельности» (99-ФЗ)
Единая лицензия на разработку, производство, распространение,
выполнение работ, оказание услуг и техническое обслуживание
шифровальных средств, информационных и телекоммуникационных
систем, защищенных с помощью шифровальных средств
© Cisco, 2010. Все права защищены. 42/60
- 43. • Федеральный Закон от 29 апреля 2008 года N 57-ФЗ г. Москва
«О порядке осуществления иностранных инвестиций в
хозяйственные общества, имеющие стратегическое значение
для обеспечения обороны страны и безопасности
государства»
В целях обеспечения обороны страны и безопасности государства
настоящим Федеральным законом устанавливаются изъятия
ограничительного характера для иностранных инвесторов и для группы
лиц, в которую входит иностранный инвестор, при их участии в уставных
капиталах хозяйственных обществ, имеющих стратегическое значение
для обеспечения обороны страны и без опасности государства, и (или)
совершении ими сделок, влекущих за собой установление контроля над
указанными хозяйственными обществами
© Cisco, 2010. Все права защищены. 43/60
- 44. • Хозяйственное общество, имеющее стратегическое значение
для обеспечения обороны страны и безопасности
государства, - предприятие созданное на территории
Российской Федерации и осуществляющее хотя бы один из
видов деятельности, имеющих стратегическое значение для
обеспечения обороны страны и безопасности государства и
указанных в статье 6 настоящего Федерального закона
пп.11-14 – 4 вида лицензирования деятельности в области шифрования
Наличие всего лишь одного маршрутизатора с IPSec требует от вас
лицензии на ТО СКЗИ
• 23 марта приняты поправки в первом чтении, исключающие
банки (и только их) из перечня «стратегических» предприятий
© Cisco, 2010. Все права защищены. 44/60
- 45. Упрощенная схема По лицензии
• Ввоз по • Разрешение ФСБ
нотификации • Ввоз по лицензии
Минпромторга
• Проверка легитимности ввоза по нотификации
http://www.tsouz.ru/db/entr/notif/Pages/default.aspx
• Проверка легитимности ввоза по лицензии
Копия положительного заключения ФСБ на ввоз
© Cisco, 2010. Все права защищены. 45/60
- 46. • Принтеры, копиры и факсы
• Кассовые аппараты
• Карманные компьютеры
• Карманные машины для записи, воспроизведения и
визуального представления
• Вычислительные машины и их комплектующие
• Абонентские устройства связи
• Базовые станции
• Телекоммуникационное оборудование
• Программное обеспечение
© Cisco, 2010. Все права защищены. 46/60
- 47. • Аппаратура для радио- и телевещания и приема
• Радионавигационные приемники, устройства дистанционного
управления
• Аппаратура доступа в Интернет
• Схемы электронные, интегральные, запоминающие
устройства
• Прочее
• Большое количество позиций групп 84 и 85 Единого
Таможенного Тарифа таможенного союза Республики
Беларусь, Республики Казахстан и Российской Федерации
© Cisco, 2010. Все права защищены. 47/60
- 48. Безопасность в России и во всем мире –
две большие разницы
ИТ-безопасность и информационная
безопасность – не одно и тоже
Нужно осознавать все риски
Необходимо искать компромисс
Не закрывайтесь – контактируйте с
CISO, регуляторами, ассоциациами…
© Cisco, 2010. Все права защищены. 48/60
- 50. Не латайте дыры, стройте процесс ИБ –
это выгоднее, чем бороться с
последствиями инцидентов
Не будьте детективами – действуйте на
опережение; предотвращайте
инциденты, а не расследуйте их
Не увлекайтесь compliance – лучше
управляйте рисками и вы не упустите
действительно важные моменты (как
следствие, пройти чеклист будет проще)
© Cisco, 2010. Все права защищены. 50/60
- 51. Задумайтесь об увеличении численности
персонала службы ИБ (собственной или
внешней)
Увеличьте внимание ко всем областям с
высоким уровням риска (например, к
приложениям и аутсорсингу)
Сделайте заказную разработку ПО
областью пристального внимания
Повышать осведомленность лучше, чем
внедрять средства защиты
© Cisco, 2010. Все права защищены. 51/60
- 52. Больше вовлекайте руководство в
вопросы ИБ (особенно если оно требует
большего вовлечения ИТ/ИБ в бизнес)
Обучайте владельцев бизнес-процессов
Измеряйте эффективность средств и
процессов защиты, а также
деятельности всей службы ИБ
Демонстрируйте значение ИБ в бизнес и
финансовых метриках
© Cisco, 2010. Все права защищены. 52/60
- 53. Улучшение
Рост доходов Рост эффективности операционной
деятельности
Обеспечение
бесперебойности
Привлечение и Совершенствование
бизнеса, снижение
удержание заказчиков инфраструктуры
рисков и повышение
защищенности
Внедрение бизнес-
Снижение затрат
приложений
Создание новых Совершенствование
продуктов и услуг бизнес-процессов
Источник: Gartner
© Cisco, 2010. Все права защищены. 53/60
- 54. Лучший продукт на Западе ≠ лучший в
России
Ввоз и эксплуатация СЗИ – суть разные
задачи
Выбирайте не продукт – выбирайте
доверенного партнера-поставщика
Учитывайте не только функции продукта,
но и его интеграцию с инфраструктурой
Вендор не должен «стоять на месте»
© Cisco, 2010. Все права защищены. 54/60
- 55. 1 Позиции на мировом рынке ИБ. Портфолио продуктов и услуг. Уровень интеграции с
инфраструктурой. Наличие архитектурного подхода
2 Поддержка и защита самых современных ИТ. Контроль качества. Исследования в
области ИБ. Обучение и сертификация специалистов
3 Сертификация на соответствие российским требованиям по безопасности.
Сертифицированная криптография. Сертификация производства. Легальный ввоз
Отраслевая экспертиза. Участие в разработке стандартов ИТ и ИБ, а также в
4 отраслевых группах и комитетах. Участие в экспертизе НПА по ИБ
Финансирование проектов по ИБ. Круглосуточная поддержка на русском языке.
5 Склады запчастей по всей России. Партнерская сеть
© Cisco, 2010. Все права защищены. 55/60
- 59. Закручивание Останется все,
Либерализация
гаек как есть
• Вероятность - • Вероятность - • Вероятность -
20% (на 45% (на 30% (на
данный данный данный
момент) момент) момент)
• Вероятность • Вероятность
через 2 года - через 2 года -
35% и 10% (в 20% и 55% (в
зависимости от зависимости от
победителя победителя
президентских президентских
выборов) выборов)
Экспертная оценка специалистов Cisco
© Cisco, 2010. Все права защищены. 59/60
- 60. http://www.facebook.com/CiscoRu
http://twitter.com/CiscoRussia
http://www.youtube.com/CiscoRussiaMedia
http://www.flickr.com/photos/CiscoRussia
http://vkontakte.ru/Cisco
© Cisco, 2010. Все права защищены. 60/60