1. Что должен знать ИТ-
директор об
информационной
безопасности… в России
Алексей Лукацкий, бизнес-консультант по безопасности
© Cisco, 2010. Все права защищены. 1/37

2. © Cisco, 2010. Все права защищены. 2

3. Смена ожиданий бизнеса в отношении
информационной безопасности
© Cisco, 2010. Все права защищены. 3/37

4. Социальные
Аутсорсинг Виртуализация Облака Мобильность Web 2.0
сети
© Cisco, 2010. Все права защищены. 4/37

5. 66% 45% 59% 45% 57%
Согласятся на Готовы Хотят ИТ- ИТ-специалистов
снижение поработать на использовать специалистов утверждают, что
компенсации 2-3 часа в день на работе не готовы основной задачей
(10%), если больше, если личные обеспечить при повышении
смогут работать смогут сделать устройства бóльшую мобильности
из любой точки это удаленно мобильность сотрудников
мира сотрудников является
обеспечение
безопасности
© Cisco, 2010. Все права защищены. 5/37

6. становятся причинами появления новых угроз
7 млрд новых беспроводных “Энтузиасты совместной 40% заказчиков планируют
Новые цели атак: виртуальные
внедрить
устройств к 2015 г. работы” в среднем
Украденный ноутбук больницы: Skype = возможность вторжения машины и гипервизор
используют 22 средства для распределенные сетевые
14 000 историй болезни
50% предприятий-участников общения с коллегами
Системы IM могут обходить сервисы («облака»)
Более 400 угроз Отсутствие контроля над
опроса разрешают
для мобильных устройств, 45%механизмы защиты
сотрудников нового внутренней виртуальной сетью
использовать–личные К 2013 г. объем рынка «облачных
к концу года до 1000 поколения пользуются ведет к снижению эффективности
устройства для работы вычислений» составит 44,2 млрд
социальными сетями
© Cisco, 2010. Все права защищены. политик безопасности
долларов США
6/37

7. 21% 64% 47% 20% 55%
Людей Людей не думая Пользователей Людей уже Людей были
принимают кликают по Интернет уже сталкивалось с подменены с
«приглашения ссылкам, становились кражей целью получения
дружбы» от присылаемым жертвами идентификаци персональных
людей, которых «друзьями» заражений онных данных данных
они не знают вредоносными
программами
© Cisco, 2010. Все права защищены. 7/37

8. Malware
Вирус Шпионское (трояны, Эксплоиты
ПО кейлоггеры,
скрипты)
Исследования Вредоносные Web и социальные Вредоносные
NSS LAB программы сети все чаще программы
показывают, что воруют уже не становятся используют для
даже лучшие ссылки на рассадником своих действий
антивирусы и посещаемые вредоносных неизвестные
Web-шлюзы не вами сайты, а программ, а также уязвимости (0-Day,
эффективны реквизиты инструментом 0-Hour)
против доступа к ним разведки
современных злоумышленников
угроз
© Cisco, 2010. Все права защищены. 8/37

9. Фокус на Передовые
Массовое Полимор- и тайные
конкретную
заражение физм средства
жертву
(APT)
Злоумышленников Современные угрозы Угрозы могут быть Угрозы становятся
не интересует постоянно меняются, разработаны модульными,
известность и чтобы средства специально под вас – самовосстанавлива-
слава – им важна защиты их не они учитывают вашу ющимися и
финансовая отследили – инфраструктуры и устойчивыми к
выгода от изменение встраиваются в нее, что отказам и
реализации угрозы поведения, адресов делает невозможным обнаружению
серверов управления применение
стандартных методов
анализа
© Cisco, 2010. Все права защищены. 9/37

10. Мотивация Известность Деньги
Метод Дерзко Незаметно
Фокус Все равно Мишень
Средства Вручную Автомат
Результат Подрыв Катастрофа
Тип Уникальный код Tool kit
Цель Инфраструктура Приложения
Агент Изнутри Третье лицо
© Cisco, 2010. Все права защищены. 10/37

11. © Cisco, 2010. Все права защищены. 11

12. Большое количество регуляторов
Легитимный ввоз криптографии в соответствие
с правилами Таможенного союза
Использование легитимной криптографии
Требования сертификации
Локальные и закрытые нормативные акты
Отсутствие учета рыночных потребностей
Исторический бэкграунд
© Cisco, 2010. Все права защищены. 12/37

13. Газпром- ФСТЭК РЖД
серт
ФСО ФСБ
PCI
ЦБ ИБ Council
Минком-
СВР
связь
Рос-
Энерго-
МО стандарт
серт
© Cisco, 2010. Все права защищены. 13/37

14. ISO 15408:1999 («Общие критерии») в России
(ГОСТ Р ИСО/МЭК 15408) так и не заработал
Перевод СоДИТ ISO 15408:2009 – судьба
неизвестна ;-(
ПП-608 разрешает признание западных
сертификатов – не работает
ФЗ «О техническом регулировании» разрешает
оценку по западным стандартам – не работает
ПП-455 обязывает ориентироваться на
международные нормы – не работает
© Cisco, 2010. Все права защищены. 14/37

15. Требования Требования закрыты (часто секретны). Даже лицензиаты
открыты зачастую не имеют их, оперируя выписками из выписок
ФСТЭК ФСБ МО СВР
Все, кроме СКЗИ Все для нужд Тайна, покрытая
криптографии МСЭ оборонного ведомства мраком
Антивирусы
IDS
BIOS
Сетевое
оборудование
А еще есть 3 негосударственных системы сертификации СЗИ – ГАЗПРОМСЕРТ,
«АйТиСертифика» (ЕВРААС) и Ecomex
© Cisco, 2010. Все права защищены. 15/37

16. Единичный 5585-X
Cisco ASA Партия Cisco ASA 5585-X
Серия
экземпляр
Дата выпуска: 12 декабря 2010 года Дата выпуска: 12 декабря 2010 года
CRC: E6D3A4B567 CRC: E6D3A4B567
Место производства: Ирландия, Место производства: Ирландия,
Дублин Дублин
Смена: 12 Смена: 12
Версия ОС: 8.2 Версия ОС: 8.2
Производительность: 30 Гбит/сек Производительность: 30 Гбит/сек
© Cisco, 2010. Все права защищены. 16/37

17. Единичный
Партия Серия
экземпляр
Основная схема для Основная схема для Основная схема для
западных вендоров западных вендоров российских вендоров
Оценивается конкретный Оценивается Оценивается образец +
экземпляр (образец) репрезентативная выборка инспекционный контроль за
образцов стабильностью характеристик
Число экземпляров – 1-2 сертифицированной
Число экземпляров – 50- продукции
200
Число экземпляров -
неограничено
© Cisco, 2010. Все права защищены. 17/37

18. Невозможно Отвечает
Дорого Необязательно
потребитель
От нескольких Исключая гостайну и Западные По КоАП
сотен долларов СКЗИ разработка и производители не ответственность
(при сертификации продажа средств ведут в России лежит на
серии) до защиты возможна и без коммерческой потребителе
несколько сертификата деятельности и не
десятков тысяч могут быть
долларов А западные вендоры и заявителями
так сертифицированы
во всем мире
© Cisco, 2010. Все права защищены. 18/37

19. • Как сертифицировать
AIX
HP UP
iOS
WebOS
Android OS
MacOS
АСУ ТП
…
• А еще есть требования по НДВ (закладкам)
Все закладки найти невозможно даже теоретически!
© Cisco, 2010. Все права защищены. 19/37

20. Число нормативных актов с требованиями
сертификации по требованиям безопасности
8
7
6
5
4
3
2
1
0
* - для 2011 – предварительная оценка проектов новых нормативных актов (ФЗ “О национальной
платежной системе”, ФЗ “О служебной тайне”, новые приказы ФСТЭК/ФСБ и т.д.)
20
© Cisco, 2010. Все права защищены. 20/37

21. • Под аттестацией объекта информатизации по
требованиям безопасности информации понимается
комплекс организационно-технических мероприятий,
в результате которых подтверждается, что объект
соответствует требованиям стандартов или иных
нормативных документов по защите информации,
утвержденных ФСТЭК России
Объект информатизации – совокупность информационных
ресурсов, средств и систем обработки информации,
используемых в соответствии с заданной информационной
технологией, средств обеспечения объекта информатизации,
помещений или объектов (зданий, сооружений, технических
средств), в которых они установлены, или помещения и
объекты, предназначенные для ведения конфиденциальных
переговоров
© Cisco, 2010. Все права защищены. 21/37

22. • Аттестат соответствия выдается владельцу
аттестованного объекта информатизации органом по
аттестации на период, в течение которого
обеспечивается неизменность условий
функционирования объекта информатизации
• ИТ-инфраструктура, не говоря уже об объекте
информатизации, меняется постоянно
Патчи, новые версии, новые пользователи и даже новые
настройки
Умножаем на число программных и аппаратных систем…
© Cisco, 2010. Все права защищены. 22/37

23. © Cisco, 2010. Все права защищены. 23/37

24. © Cisco, 2010. Все права защищены. 24/37

25. • Риск - это
способность
конкретной
угрозы
использовать
уязвимости
одного или
нескольких видов
активов для
нанесения
ущерба
организации
Источник: ГОСТ Р ИСО/МЭК 15408-1-2002
© Cisco, 2010. Все права защищены. 25/37

26. Избежание Принятие Передача Снижение
риска риска риска риска
Устранение Затраты на Облачная Реализация
источника снижение риска безопасность защитных мер
риска выше, чем
ущерб от его Аутсорсинг
реализации
© Cisco, 2010. Все права защищены. 26/37

27. Ввоз и Разделение
Нотификации vs.
использование ввозимой
ввоза по лицензии
шифровальных криптографии по
Минпромторга
средств – это два длинам ключей и
(после получения
разных сферам применения
разрешения ФСБ)
законодательства (с 01.01.2010)
Cisco не только ввозит свое
оборудование легально, но и
запустила производство
оборудования в России
© Cisco, 2010. Все права защищены. 27/37

28. Позиция Встраивания Важно знать, что
регулятора (ФСБ) – криптоядра написано в
использование достаточно для формуляре на
VPN-решений на прикладных систем СКЗИ – часто явно
базе и недостаточно для требуется
отечественных VPN-продуктов сертификация в
криптоалгоритмов (разъяснение ФСБ) ФСБ
Cisco и С-Терра СиЭсПи имеют
сертификат ФСБ на целостное
решение для Cisco ISR G2 и
Cisco UCS C-200
© Cisco, 2010. Все права защищены. 28/37

29. © Cisco, 2010. Все права защищены. 29

30. • Даже при наличии фактов и достаточного объема
информации об анализируемой системе у экспертов
существует сложность с восприятием риска
• Безопасность основана не только на вероятности
различных рисков и эффективности различных
контрмер (реальность), но и на ощущениях
• Ощущения зависят от психологических реакций на
риски и контрмеры
Чего вы больше опасаетесь – попасть в авиакатастрофу или
автоаварию?
Что вероятнее – пасть жертвой террористов или погибнуть на
дороге?
© Cisco, 2010. Все права защищены. 30/37

31. • Реальность безопасности ≠ ощущения безопасности
• Система может быть безопасной, даже если мы не
чувствуем и не понимаем этого
Мы можем думать, что система в безопасности, когда это не так
• Психология восприятия риска безопасности
Поведенческая экономика
Психология принятия решений
Психология риска
Неврология
© Cisco, 2010. Все права защищены. 31/37

32. • Мы преувеличиваем одни риски и преуменьшаем
другие
• Наше восприятие риска чаще всего «хромает» в пяти
направлениях
Степень серьезности риска
Вероятность риска
Объем затрат
Эффективность контрмер
Возможность адекватного сопоставления рисков и затрат
© Cisco, 2010. Все права защищены. 32/37

33. • Человек не анализирует
риски безопасности с
точки зрения математики
Мы не анализируем
вероятности событий
• Люди не могут
анализировать каждое
свое решение
• Человек использует
готовые рецепты, общие
установки, стереотипы,
предпочтения и привычки
© Cisco, 2010. Все права защищены. 33/37

34. • Риски, имевшие место когда-
либо в жизни эксперта, имеют
больший вес, чем те, с
которыми он никогда не
встречался
Мы будем бороться с атаками, уже
произошедшими в прошлом,
игнорируя будущие угрозы
• «Эвристика доступности» –
события, которые легче
вспоминаются, имеют больший
риск
© Cisco, 2010. Все права защищены. 34/37

35. • Защита государевых тайн
• Борьба с иностранными техническими разведками
• Закрытость темы
• Затраты не важны
• Занимались ИБ только в КГБ
Потом в Гостехкомиссии
• Люди остались те же
А технологии развиваются гораздо быстрее
© Cisco, 2010. Все права защищены. 35/37

36. Безопасность в России и во всем мире –
две большие разницы
ИТ-безопасность и информационная
безопасность – не одно и тоже
Нужно осознавать все риски
Необходимо искать компромисс
Не закрывайтесь – контактируйте с
CISO, регуляторами, ассоциациами…
© Cisco, 2010. Все права защищены. 36/37

37. Praemonitus praemunitus!
Спасибо
за внимание!
security-request@cisco.com