На что обратить внимание CISO в 2011-2012-м годах? Прогнозы и тенденции

На что обратить
внимание CISO в 2011-
2012-м годах? Прогнозы
и тенденции
Алексей Лукацкий, бизнес-консультант по безопасности

© Cisco, 2010. Все права защищены. 1/60

Подчиненность CISO

Совет директоров, CEO
7 2 22
7
ИТ (CIO)
7

СВК

Управление рисками
56
ИТ (среднее звено)

Другое

Источник: Gartner


Взгляд политика

Взгляд менеджера

Взгляд юриста

Взгляд технолога


Что? Гостайна КТ, БТ, ПДн

С кем? ИТР Инсайдер, хакер

Как? Закрытость Открытость

Сколько? Неважно ROI, TCO, NPV

Кто? КГБ эксКГБ


Технологии
Облака коллективной Инфраструктура
работы

Корпоративные
Виртуализация Web 2.0
приложения

Мобильные Передача речи и
технологии данных

Администрирование
Бизнес-аналитика
ИТ


становятся причинами появления новых угроз
7 млрд новых беспроводных “Энтузиасты совместной 40% заказчиков планируют
Новые цели атак: виртуальные
внедрить
устройств к 2015 г. работы” в среднем
Украденный ноутбук больницы: Skype = возможность вторжения машины и гипервизор
используют 22 средства для распределенные сетевые
14 000 историй болезни
50% предприятий-участников общения с коллегами
Системы IM могут обходить сервисы («облака»)
Более 400 угроз Отсутствие контроля над
опроса разрешают
для мобильных устройств, 45%механизмы защиты
сотрудников нового внутренней виртуальной сетью
использовать–личные К 2013 г. объем рынка «облачных
к концу года до 1000 поколения пользуются ведет к снижению эффективности
устройства для работы вычислений» составит 44,2 млрд
социальными сетями
© Cisco, 2010. Все права защищены. политик безопасности
долларов США
7/60

66% 45% 59% 45% 57%
Согласятся на Готовы Хотят ИТ- ИТ-специалистов
снижение поработать на использовать специалистов утверждают, что
компенсации 2-3 часа в день на работе не готовы основной задачей
(10%), если больше, если личные обеспечить при повышении
смогут работать смогут сделать устройства бóльшую мобильности
из любой точки это удаленно мобильность сотрудников
мира сотрудников является
обеспечение
безопасности


21% 64% 47% 20% 55%
Людей Людей не думая Пользователей Людей уже Людей были
принимают кликают по Интернет уже сталкивалось с подменены с
«приглашения ссылкам, становились кражей целью получения
дружбы» от присылаемым жертвами идентификаци персональных
людей, которых «друзьями» заражений онных данных данных
они не знают вредоносными
программами


Средства совместной работы

Текст Голос и видео
Число участников общения

Социальные сети
Видео по
Много

запросу
Форумы Унифицированные
коммуникации
Wiki Блоги Контакт-
центр

Электронная Средства проведения
Один

почта IM конференций
TelePresence
Документы
Голосовая почта

“Следующей задачей по повышению производительности является
повышение эффективности работы сотрудников, работу которых
невозможно автоматизировать. Ставки в этой игре высоки.”
McKinsey & Company, отчет «Организация XXI века»

2010
iPad + Mac = 12% рынка
ПК
3.6Млрд 100+
Мобильных
устройств*
миллионов
планшетников
300,000 1.8Млрд
Ежедневных … имеют
активаций web-доступ* 70%
Android студентов США
используют Mac

**Gartner research prediction; Gartner Forecast: Tablet PCs, Worldwide, November, 2010


2013

Скоро будет

Один триллион
устройств подключенных к сети,
по сравнению с 3.6 МЛРД в 2010

Прогноз Cisco IBSG


Мобильника Интернет Автомобиля Партнера

97% 84% 64% 43%


Malware
Вирус Шпионское (трояны, Эксплоиты
ПО кейлоггеры,
скрипты)

Исследования Вредоносные Web и социальные Вредоносные
NSS LAB программы сети все чаще программы
показывают, что воруют уже не становятся используют для
даже лучшие ссылки на рассадником своих действий
антивирусы и посещаемые вредоносных неизвестные
Web-шлюзы не вами сайты, а программ, а также уязвимости (0-Day,
эффективны реквизиты инструментом 0-Hour)
против доступа к ним разведки
современных злоумышленников
угроз

Фокус на Передовые
Массовое Полимор- и тайные
конкретную
заражение физм средства
жертву
(APT)

Злоумышленников Современные угрозы Угрозы могут быть Угрозы становятся
не интересует постоянно меняются, разработаны модульными,
известность и чтобы средства специально под вас – самовосстанавлива-
слава – им важна защиты их не они учитывают вашу ющимися и
финансовая отследили – инфраструктуры и устойчивыми к
выгода от изменение встраиваются в нее, что отказам и
реализации угрозы поведения, адресов делает невозможным обнаружению
серверов управления применение
стандартных методов
анализа

Мотивация Известность Деньги

Метод Дерзко Незаметно

Фокус Все равно Мишень

Средства Вручную Автомат

Результат Подрыв Катастрофа

Тип Уникальный код Tool kit

Цель Инфраструктура Приложения

Агент Изнутри Третье лицо

Традиционная архитектура не справляется
с требованиями сегодняшнего дня
Мобильность Социальность Видео Виртуализация
Отсутствие поддержки Невозможно Низкое качество Ограничения в
мобильных устройств и взаимодействовать с и совместимость работе с голосом и
OC социальными сетями при работе видео видео через VDI

X
X X
X


«Заплаточный» подход к защите – нередко
в архитектуре безопасности используются
решения 20-30 поставщиков

Непонимание смены ландшафта угроз

Концентрация на требованиях регулятора в
ущерб реальной безопасности

Неучет и забывчивость в отношении новых
технологий и потребностей бизнеса

Попытка «загнать» пользователей в рамки


Замкнутая программная среда, «белые списки»
становятся эффективнее

Защищайте браузеры и приложения – не
ограничивайтесь одними сетями

Сканеры безопасности – это не уже мода, а
необходимость

Не только IDS/IPS, но и средства сетевого
анализа

Не увлекайтесь лучшими продуктами – стройте
целостную, многоуровневую систему защиты


От 5-ти до Больше 10-
Влияние / срок Менее 2-х лет От 2-х до 5-ти лет
10-ти лет ти лет

J-SOX ISO 31000 (управление ITIL v3.0
Трансформация рисками)
ITIL v2.0
Базель II ISO 27xxx US PL 110- Антитеррор
Нотификация Раскрытие 53
Высокая об утечках информации о рисках (непрерывность
бизнеса)
(US) и управлении (US)
XBRL (уведомление
регуляторов)

EuroSOX BITS
1995/46/EC COBIT

PCI DSS COSO ERM
Средняя Нотификация об
утечках (EU)
SOX
Single Euro Payments
Низкая HIPAA

Менее 2-х От 2-х до 5-ти От 5-ти до 10-ти Больше 10-
Влияние / срок
лет лет лет ти лет

Трансформация

eDiscovery Управление
Архивация e-mail интеллектуальной
Высокая Обнаружение собственностью
мошенничеств Управление
данными
Шифрование Расследование Управление
Средняя e-mail ERM

Средства Контроль
Низкая управления электронных
privacy таблиц



Большое количество регуляторов

Легитимный ввоз криптографии в соответствие
с правилами Таможенного союза

Использование легитимной криптографии

Требования сертификации

Локальные и закрытые нормативные акты

Отсутствие учета рыночных потребностей

Исторический бэкграунд


• Персональные данные
Отраслевые стандарты

• Финансовая отрасль
PCI DSS
СТО БР ИББС-1.0
ФЗ «О национальной платежной
системе»

• Критически важные объекты
• Электронные госуслуги
• Регулирование Интернет
• ФЗ об ЭП
• ФЗ о служебной тайне


Газпром- ФСТЭК РЖД
серт

ФСО ФСБ

PCI
ЦБ ИБ Council

Минком-
СВР
связь

Рос-
Энерго-
МО стандарт
серт


СТО РС
Отраслевая
Рекомендации Руководство
Общие Методика частная
Аудит ИБ по по самооценке Методика Требования
положения оценки модель угроз
1.1-2007 документации соответствия оценки рисков по ИБ ПДн
1.0-2010 соответствия безопасности
в области ИБ ИБ 2.2-2009 2.3-2010
v1 1.2-2010 ПДн
v4 2.0-2007 2.1-2007 v1 v1
v3 2.4-2010
v1 v1
v1

• СТО – стандарт организации
• РС – рекомендации по стандартизации


Термины и
Классификатор
определения
0.0
0.1

Рекомендации по выполнению
законодательных требований при
обработке ПДн

• РС «Требования по обеспечению безопасности СКЗИ» (план)
• РС «Методика классификация активов» (план)
• РС «Методика назначения и описания ролей» (план)

• В декабре 2010 года в России при Росстандарте создан
новый технический комитет - ТК 122 «Стандартизация в
области финансовых услуг»
ТК 122 соответствует ISO TC 68 “Financial Services»

• Базовая организация – Центральный банк

• Работы по стандартизации в области информационной
безопасности в кредитно-финансовой сфере будут
перенесены из ТК 362 и продолжены в рамках одного из
подкомитетов ТК 122

© Cisco, 2010. Все права защищены.
30
30/60

Стандарт Объект Статус Обязательность Санкции Оценка
защиты соответствия
ISO 270хх Вся КИ Международный Рекомендация Нет Аудит
стандарт
СТО БР БТ, КТ, Отраслевой Рекомендация Нет Аудит,
ПДн стандарт (де-юре) самооценка
Обязательный
(де-факто)
ФЗ-152 ПДн Закон Обязательный Штраф Отсутствует
PCI DSS БТ, ПДн Международный Обязательный Штраф Аудит,
стандарт (де-юре) самооценка
Рекомендация
(де-факто)


• Стандарт PCI DSS 2.0
119 изменений в виде разъяснений
15 изменений в виде дополнительных указаний
2 изменения в виде новых требований

• Ключевые изменения PCI DSS 2.0
Виртуализация
Обнаружение чужих Wi-Fi устройств

• PA DSS – стандарт безопасности
платежных приложений
Обязателен к применению с 01.01.2012


• Старые НПА «говорят»
преимущественно о
сертификации, а новые – об
оценке соответствия
• Оценка соответствия ≠
сертификация
• Оценка соответствия - прямое
или косвенное определение
соблюдения требований,
предъявляемых к объекту
• Оценка соответствия
регулируется ФЗ-184 «О
техническом регулировании»


Требования Требования закрыты (часто секретны). Даже лицензиаты
открыты зачастую не имеют их, оперируя выписками из выписок

ФСТЭК ФСБ МО СВР

Все, кроме СКЗИ Все для нужд Тайна, покрытая
криптографии МСЭ оборонного ведомства мраком
Антивирусы
IDS
BIOS
Сетевое
оборудование

А еще есть 3 негосударственных системы сертификации СЗИ – ГАЗПРОМСЕРТ,
«АйТиСертифика» (ЕВРААС) и Ecomex

ISO 15408:1999 («Общие критерии») в России
(ГОСТ Р ИСО/МЭК 15408) так и не заработал

Перевод СоДИТ ISO 15408:2009 – судьба
неизвестна ;-(

ПП-608 разрешает признание западных
сертификатов – не работает

ФЗ «О техническом регулировании» разрешает
оценку по западным стандартам – не работает

ПП-455 обязывает ориентироваться на
международные нормы – не работает


Новые системы добровольной оценки
соответствия (например, КАСКАД)

Изменение/объединение существующих
систем оценки соответствия

Признание международных/ЕврАЗЭС
сертификатов


Число нормативных актов с требованиями
сертификации по требованиям безопасности
8
7
6
5
4
3
2
1
0

* - для 2011 – предварительная оценка проектов новых нормативных актов (ФЗ “О национальной
платежной системе”, ФЗ “О служебной тайне”, новые приказы ФСТЭК/ФСБ и т.д.)

37

• Первые публичные нормативные по
криптографии относятся к 1995 г.
• Основная предпосылка при
создании НПА – всецелый контроль
СКЗИ на всех этапах их жизненного
цикла
• В качестве базы при создании НПА
взят подход по защите
государственной тайны
• ФСБ продолжает придерживаться
этой позиции и спустя 15 лет,
несмотря на рост числа ее
противников


• Все этапы жизненного цикла шифровального средства

Ввоз Оказание услуг Эксплуатация

Разработка ТО Вывоз

Контроль и
Производство Распространение
надзор

Оценка
Реализация
соответствия


Ввоз шифровальных средств
на территорию Российской
Федерации
Лицензирование
деятельности, связанной с
шифрованием
Использование
сертифицированных
шифровальных средств


• Что такое ТО?
К деятельности по техническому
обслуживанию шифровальных
(криптографических) средств не
относится эксплуатация СКЗИ в
соответствии с требованиями
эксплуатационной и технической
документации, входящей в комплект
поставки СКЗИ

• Не относится к лицензируемой
деятельности
Передача СКЗИ клиентам и «дочкам»
Генерация и передача сгенерированных
ключей


• Лицензии ФСБ на деятельность в области шифрования
Предоставление услуг в области шифрования информации
Деятельность по техническому обслуживанию шифровальных средств
Деятельность по распространению шифровальных средств
Деятельность по разработке, производству шифровальных средств,
защищенных использованием шифровальных (криптографических)
средств информационных и телекоммуникационных систем

• 4 мая 2011 года принята новая редакция закона «О
лицензировании отдельных видов деятельности» (99-ФЗ)
Единая лицензия на разработку, производство, распространение,
выполнение работ, оказание услуг и техническое обслуживание
шифровальных средств, информационных и телекоммуникационных
систем, защищенных с помощью шифровальных средств


• Федеральный Закон от 29 апреля 2008 года N 57-ФЗ г. Москва
«О порядке осуществления иностранных инвестиций в
хозяйственные общества, имеющие стратегическое значение
для обеспечения обороны страны и безопасности
государства»
В целях обеспечения обороны страны и безопасности государства
настоящим Федеральным законом устанавливаются изъятия
ограничительного характера для иностранных инвесторов и для группы
лиц, в которую входит иностранный инвестор, при их участии в уставных
капиталах хозяйственных обществ, имеющих стратегическое значение
для обеспечения обороны страны и без опасности государства, и (или)
совершении ими сделок, влекущих за собой установление контроля над
указанными хозяйственными обществами


• Хозяйственное общество, имеющее стратегическое значение
для обеспечения обороны страны и безопасности
государства, - предприятие созданное на территории
Российской Федерации и осуществляющее хотя бы один из
видов деятельности, имеющих стратегическое значение для
обеспечения обороны страны и безопасности государства и
указанных в статье 6 настоящего Федерального закона
пп.11-14 – 4 вида лицензирования деятельности в области шифрования
Наличие всего лишь одного маршрутизатора с IPSec требует от вас
лицензии на ТО СКЗИ

• 23 марта приняты поправки в первом чтении, исключающие
банки (и только их) из перечня «стратегических» предприятий


Упрощенная схема По лицензии

• Ввоз по • Разрешение ФСБ
нотификации • Ввоз по лицензии
Минпромторга

• Проверка легитимности ввоза по нотификации
http://www.tsouz.ru/db/entr/notif/Pages/default.aspx

• Проверка легитимности ввоза по лицензии
Копия положительного заключения ФСБ на ввоз


• Принтеры, копиры и факсы

• Кассовые аппараты

• Карманные компьютеры

• Карманные машины для записи, воспроизведения и
визуального представления
• Вычислительные машины и их комплектующие

• Абонентские устройства связи

• Базовые станции

• Телекоммуникационное оборудование

• Программное обеспечение


• Аппаратура для радио- и телевещания и приема

• Радионавигационные приемники, устройства дистанционного
управления
• Аппаратура доступа в Интернет

• Схемы электронные, интегральные, запоминающие
устройства
• Прочее

• Большое количество позиций групп 84 и 85 Единого
Таможенного Тарифа таможенного союза Республики
Беларусь, Республики Казахстан и Российской Федерации


Безопасность в России и во всем мире –
две большие разницы

ИТ-безопасность и информационная
безопасность – не одно и тоже

Нужно осознавать все риски

Необходимо искать компромисс

Не закрывайтесь – контактируйте с
CISO, регуляторами, ассоциациами…


Не латайте дыры, стройте процесс ИБ –
это выгоднее, чем бороться с
последствиями инцидентов

Не будьте детективами – действуйте на
опережение; предотвращайте
инциденты, а не расследуйте их

Не увлекайтесь compliance – лучше
управляйте рисками и вы не упустите
действительно важные моменты (как
следствие, пройти чеклист будет проще)


Задумайтесь об увеличении численности
персонала службы ИБ (собственной или
внешней)

Увеличьте внимание ко всем областям с
высоким уровням риска (например, к
приложениям и аутсорсингу)

Сделайте заказную разработку ПО
областью пристального внимания

Повышать осведомленность лучше, чем
внедрять средства защиты


Больше вовлекайте руководство в
вопросы ИБ (особенно если оно требует
большего вовлечения ИТ/ИБ в бизнес)

Обучайте владельцев бизнес-процессов

Измеряйте эффективность средств и
процессов защиты, а также
деятельности всей службы ИБ

Демонстрируйте значение ИБ в бизнес и
финансовых метриках


Улучшение
Рост доходов Рост эффективности операционной
деятельности

Обеспечение
бесперебойности
Привлечение и Совершенствование
бизнеса, снижение
удержание заказчиков инфраструктуры
рисков и повышение
защищенности

Внедрение бизнес-
Снижение затрат
приложений

Создание новых Совершенствование
продуктов и услуг бизнес-процессов


Лучший продукт на Западе ≠ лучший в
России

Ввоз и эксплуатация СЗИ – суть разные
задачи

Выбирайте не продукт – выбирайте
доверенного партнера-поставщика

Учитывайте не только функции продукта,
но и его интеграцию с инфраструктурой

Вендор не должен «стоять на месте»


1 Позиции на мировом рынке ИБ. Портфолио продуктов и услуг. Уровень интеграции с
инфраструктурой. Наличие архитектурного подхода

2 Поддержка и защита самых современных ИТ. Контроль качества. Исследования в
области ИБ. Обучение и сертификация специалистов

3 Сертификация на соответствие российским требованиям по безопасности.
Сертифицированная криптография. Сертификация производства. Легальный ввоз

Отраслевая экспертиза. Участие в разработке стандартов ИТ и ИБ, а также в
4 отраслевых группах и комитетах. Участие в экспертизе НПА по ИБ

Финансирование проектов по ИБ. Круглосуточная поддержка на русском языке.
5 Склады запчастей по всей России. Партнерская сеть


Экспертная оценка специалистов Cisco


Закручивание Останется все,
Либерализация
гаек как есть
• Вероятность - • Вероятность - • Вероятность -
20% (на 45% (на 30% (на
данный данный данный
момент) момент) момент)
• Вероятность • Вероятность
через 2 года - через 2 года -
35% и 10% (в 20% и 55% (в
зависимости от зависимости от
победителя победителя
президентских президентских
выборов) выборов)

Экспертная оценка специалистов Cisco


http://www.facebook.com/CiscoRu
http://twitter.com/CiscoRussia
http://www.youtube.com/CiscoRussiaMedia
http://www.flickr.com/photos/CiscoRussia
http://vkontakte.ru/Cisco


Praemonitus praemunitus!

Спасибо
за внимание!

security-request@cisco.com

На что обратить внимание CISO в 2011-2012-м годах? Прогнозы и тенденции

Empfohlen

Empfohlen

Weitere ähnliche Inhalte

Was ist angesagt?

Was ist angesagt? (20)

Andere mochten auch

Andere mochten auch (20)

Ähnlich wie На что обратить внимание CISO в 2011-2012-м годах? Прогнозы и тенденции

Ähnlich wie На что обратить внимание CISO в 2011-2012-м годах? Прогнозы и тенденции (20)

Mehr von Cisco Russia

Mehr von Cisco Russia (20)

Kürzlich hochgeladen

Kürzlich hochgeladen (9)

На что обратить внимание CISO в 2011-2012-м годах? Прогнозы и тенденции