Ведущий: Михаил Емельянников
Очень часто техническую безопасность, то есть анализ защищенности, пентесты, внедрение средств защиты, называют «реальной безопасностью», противопоставляя ее безопасности «бумажной». Докладчик покажет, что в действительности эти две безопасности дополняют друг друга, а решить проблемы реальной защиты любых активов невозможно при помощи лишь одной из них. Даже при решении сугубо технических проблем защиты бизнеса говорить с владельцами и топ-менеджерами легче на языке «бумажной» безопасности. Выступление будет проиллюстрировано многочисленными примерами из практики.
7. 7
Реальная безопасность:
анализ защищенности
выявление уязвимостей
тесты на проникновение
внедрение и эксплуатация средств защиты
Бумажная безопасность:
написание локальных нормативных актов
планирование деятельности
разработка и внедрение процедур
обучение персонала
Противостояние
8. 8
Жизненный цикл специалиста
по информационной безопасности
Смена
профиля
Карьера.
Специализация
Трудоустройство.
Начало работы
Образование. Начало специализации
9. 9
Трудоустройство. Навыки
Я умею находить уязвимости в
железе и софте, которые закупают
ваши айтишники и ибэшники,
расскажу, почему с этим
проблемы, и чем они грозят.
Я умею настраивать железо и
софт на самую надежную защиту,
никто не проскочит мимо.
Я умею выстраивать систему
защиты информации, выстраивать
процессы, писать документы,
знаю законодательство.
Мы вместе с бизнесом определим,
что, от кого и почему надо
защищать, и придумаем, как это
сделать.
Найдем того, кто это умеет.
Проконтролируем, как он это
сделал.
10. 10
Трудоустройство. Обещания
Я покажу, где все плохо.
Мы свяжемся с производителем,
он исправит все и скажет нам
спасибо, и у нас все будет хорошо.
Я все настрою и отлажу,
риски будут сведены к минимуму,
все будет функционировать
надежно и безопасно.
Я напишу документы, которые
сводят к минимуму риск,
неправильные действия и ошибки.
Я выстрою процедуры,
обеспечивающие взаимодействие
с бизнесом и ИТ.
Я организую контроль за
соблюдением требований
и процедур.
12. 12
Поговорить с бизнесом на одном языке
уязвимости софта
анализ кода
экcплойты
брутфорс
SQL-инъекции
пен-тест
конфигурирование
оборудования
управление рисками
бизнес-процесс
политика, концепция, положение,
инструкция, регламент, правила
контроль
привлечение к ответственности
возмещение убытков
обучение
14. 14
Карьера и специализация
Работа у заказчика: обеспечение
безопасности бизнеса или
государственных учреждений.
Работа у интегратора: создание и
продажа услуг в области безопасности.
Работа у дистрибьютера: продажа
продуктов в области безопасности.
Работа у вендора: создание продуктов
по информационной безопасности.
Работа у исследователя: анализ
защищенности, методов взлома и
проникновения.
15. 15
Карьера и специализация
Узкий специалист:
знает все больше о все меньшем.
Широкий специалист:
знает все меньше о все большем.
Но любой специалист подобен
флюсу: полнота его односторонняя.
16. 16
Самый страшный специалист
по информационной безопасности
Ничего нельзя!
Все это очень опасно!
Я ничего в этом не понимаю.
Разобраться не хватает
знаний и не хочется.
19. 19
Что такое бумажная безопасность
Выстраивание и документирование процедур,
закрепление их в локальных актах, без которых
не может работать ни одна организация.
Определение системы контроля за соблюдением
установленных требований безопасности,
обеспечение соблюдение законодательства.
Выстраивание системы отношений, позволяющей
привлечь виновного работника или контрагента
к ответственности, добиться прекращения незаконной
деятельности, наносящей вред законному обладателю
информации.
Построение процедур, препятствующих хищениям и потерям.
Повышение осведомленности персонала в вопросах
безопасности.
20. 20
Чего не стоит ждать от специалиста
по «бумажной» безопасности
Правильных и эффективных
конфигурирования и настройки
механизмов и средств защиты
информации.
Администрирования системы
безопасности и ее элементов.
Анализа событий безопасности и
сообщений от системы и средств защиты.
Выработки и реализации мер
противодействия атакам на
информационные активы.
Выявления уязвимых мест в системе
технической защиты.
21. 21
Самая бумажная работа
Создание систематизированного пакета документов
по информационной безопасности
Концепция
Положения
Частные политики,
регламенты, инструкции
Договоры, должностные обязанности,
формы и журналы учета
22. 22
Байка № 2. Про руководство
и требования локальных актов
23. 23
Выстраивание
и документирование процедур
Разрешительная система доступа
к информационным ресурсам
(идентификация, аутентификация,
авторизация), роли пользователей.
Использование средств хранения,
обработки и передачи информации.
Контроль соблюдения установленных
требований безопасности.
Резервное копирование и восстановление
деятельности.
Приобретение, использование и
обновление программного обеспечения.
24. 24
Разрешительная система доступа
к информационным ресурсам
На каждый конкретный момент времени
можно установить:
какие пользователи и с какими правами
имеют доступ к каждому ресурсу;
к каким конкретно ресурсам и с какими
правами имеет доступ конкретный
пользователь;
каким пользователям, когда и кем был
предоставлен доступ с нарушением
установленной процедуры.
26. 26
Обеспечение соответствия
требованиям законодательства
Статья 137. Нарушение
неприкосновенности частной жизни.
Статья 138. Нарушение тайны переписки,
телефонных переговоров, почтовых,
телеграфных или иных сообщений.
Статья 138.1. Незаконный оборот
специальных технических средств,
предназначенных для негласного получения
информации.
Статья 140. Отказ в предоставлении
гражданину информации.
27. 27
Байка № 4. Про больницу,
банк и прокуратуру
Единый портал Северо-Запада России
и недвижимости Ленинградской
Опубликовано: 18:50 18.02.2014
Тихвинская городская прокуратура Ленинградской области направила материалы для возбуждения уголовного
дела о нарушении неприкосновенности частной жизни.
Как сообщили корреспонденту 47news в пресс-службе прокуратуры Ленобласти, Тихвинская городская
прокуратура провела проверку по обращению работников ГКУЗ ЛО "Тихвинская психиатрическая больница"
о нарушении их прав.
Установлено, что в сентябре 2013 года и.о. главного врача государственного казенного учреждения
Ленинградской области "Тихвинская психиатрическая больница" заключено соглашение с одним из
коммерческих банков о предоставлении услуг по зачислению выплат на счета работников учреждения на
основании поступивших платежных документов.
В результате руководством больницы без согласия работников медучреждения в указанный банк были
переданы конфиденциальные сведения персонифицированного учета, чем были грубо нарушены права
работников на неприкосновенность частной жизни.
Тихвинским городским прокурором направлены материалы проверки в следственные органы для решения
вопроса об уголовном преследовании по ч. 1 ст. 137 УК РФ (нарушение неприкосновенности частной жизни)..
Персональные данные
из психиатрической больницы
попали в коммерческий банк
28. 28
Обеспечение соответствия
требованиям законодательства
Статья 5.27. Нарушение законодательства о труде
и об охране труда.
Статья 5.39. Отказ в предоставлении гражданину
информации.
Статья 13.11. Нарушение установленного законом
порядка сбора, хранения, использования или
распространения информации о гражданах
(персональных данных).
Статья 13.12. Нарушение правил защиты
информации.
Статья 13.14. Разглашение информации с
ограниченным доступом.
Статья 19.7. Непредставление сведений
(информации).
29. 29
Байка № 5. Про трудовое
законодательство и персональные данные
Глава 14. Защита персональных
данных работника
Статья 86. Общие требования при обработке
персональных данных работника и гарантии их
защиты
В целях обеспечения прав и свобод человека и
гражданина работодатель и его представители при
обработке персональных данных работника
обязаны соблюдать следующие общие требования:
…
работники и их представители должны быть
ознакомлены под роспись с документами
работодателя, устанавливающими порядок
обработки персональных данных работников, а
также об их правах и обязанностях в этой области…
30. 30
Привлечение к ответственности,
взыскание убытков
Обеспечение условий защиты прав
обладателя информации государственными
институтами:
полнота и точность предусмотренных
законом мер защиты;
регулирование отношений с работниками,
контрагентами и иными лицами.
31. 31
Байка № 6. Про полноту принятия мер
В отношении информации, которую согласно акту
служебного расследования разгласил Федоров С.А.,
меры по охране конфиденциальности,
предусмотренные ч.1 ст.10 Закона № 98-ФЗ
«О коммерческой тайне» в полном объеме
не выполнены.
На материальные носители (документы),
содержащие, по мнению ответчика, информацию,
составляющую коммерческую тайну, гриф
«коммерческая тайна» с указанием обладателя
этой информации нанесен не был (п.5 ч.1 ст.10
Закона № 98-ФЗ).
Учет лиц, получивших доступ к этой информации, и (или) лиц, которым
такая информация была предоставлена или передана, не велся
(п.3 ч.1 ст.10 Закона № 98-ФЗ).
32. 32
Байка № 7. Про регулирование отношений
Коллегия судей Высшего Арбитражного Суда РФ,
рассматривая заявление истца, установила, что, вынося
решение об отказе в удовлетворении иска, суды
руководствовались статьями 15, 393, 1064 Гражданского
кодекса РФ, ФЗ от 29.07.2004 № 98-ФЗ «О коммерческой
тайне», условиями договора от 19.10.2010 № 2/2011 и
исходили из недоказанности того, что переданная
информация отнесена к коммерческой тайне
с соблюдением требований законодательства путем
установления в отношении нее режима коммерческой
тайны, а также наличия убытков в виде упущенной выгоды.
Как следует из материалов дела, в отношении сведений о порядке расчетов за услуги
по передаче электроэнергии, перечень информации, составляющей коммерческую тайну,
сторонами договора не определялся, порядок обращения с данной информацией
и контроль за его соблюдением не установлен, учет лиц, получивших допуск
к конфиденциальной информации, не осуществлялся, текст договора
от 19.10.2010 № 2/2011 не содержит грифа «Коммерческая тайна»
с указанием обладателя такой информации.
33. 33
Построение процедур,
препятствующих хищениям и потерям
За последний квартал 2015 года
и 1-й квартал 2016-го потери банков
превысили 2 млрд рублей. Еще около
1,5 млрд рублей удалось спасти,
кибератаки были пресечены.
Мы рассчитываем, что благодаря
принимаемым мерам по противодействию
преступности в этой сфере объем хищений
не превысит 4 млрд рублей
по итогам 2016 года.
34. 34
Общие потери экономики России
от кибератак в 2015 году
Лев Хасис: общие потери государства,
бизнеса и граждан от действий
киберпреступности составят
около 70 млрд рублей.
Евгений Касперский: Несколько лет назад
объем киберпреступности в мире мы
оценили в 100 млрд долларов. На долю
России можно записать около 2%. С тех пор
ситуация скорее всего только ухудшилась.
Георгий Лунтовский: В IV квартале 2015 г.
результатом выявленных правонарушений
явилось хищение денежных средств со счетов
клиентов кредитно-финансовых организаций
в сумме, превышающей 1,5 млрд. рублей.
35. 35
Построение процедур,
препятствующих хищениям
С корсчета Русского международного банка
в Банке России 21 января 2016 г. были
списаны 508,67 млн руб. в результате
несанкционированного доступа.
После хакерской атаки банк изменил
внутренние документы, в том числе план
ОНИВД (обеспечения непрерывности и
восстановления деятельности).
Также банк усилил информационную
безопасность и приобрел
специализированное программное
обеспечение для выявления аномальной
сетевой активности.
37. 37
Плохие кредиты
На 1 марта 2015 года просроченная
задолженность россиян перед банками
оценивается ЦБ РФ почти в 730 млрд. руб.
С марта 2015 по март 2016
просроченная задолженность
по ипотечным займам выросла на 60%:
со 185 до 295 млрд. руб.
Просроченная задолженность по
потребительским кредитам на март 2016 –
около 1 млрд. руб.
Просроченная задолженность по
автомобильным кредитам на начало года
оценивается примерно в 42 млрд. руб.
38. 38
Байка № 8. Про кредитное мошенничество
Смоленск. Фиктивные автокредиты
на утраченные и похищенные паспорта
в ООО «Русфинанс Банк», ЗАО
«Райффайзенбанк», ОАО НБ «Траст».
Южноуральск. Фиктивные
потребительские кредиты в «Альфа-Банк»,
«Хоум Кредит», «Ренессанс Капитал» и
«Связной Банк» через салон «Связной»
по утраченным (похищенным) паспортам.
Якутск. Фиктивные товарные кредиты,
оформляемые работником банка «Хоум
Кредит» на клиентов банка.
40. 40
Создание системы контроля
за установленными требованиями
Прежде, чем организовать контроль:
Определить и довести до работников правила
использования средств хранения, обработки и
передачи информации.
Разработать и довести до работников регламент
проведения контрольных мероприятий.
Получить согласие работников на проведение
мониторинга использования ими средств
хранения, обработки и передачи информации.
[опционно] Включить положения об
обязательстве работника соблюдать правила
использования средств коммуникации и согласие
на мониторинг в трудовой договор
(дополнительное соглашение к трудовому
договору).
41. 41
Создание системы контроля
за установленными требованиями
Что должно быть в правилах:
Средства хранения, обработки и передачи
информации принадлежат работодателю,
а работник не может рассчитывать на
конфиденциальность
Использование средств хранения, обработки
и передачи информации только для выполнения
служебных задач
Регламент использования электронной почты
и доступа в интернет.
Запрет на рассылку по незащищенным каналам
информации ограниченного доступа, а также
информации, зашифрованной средствами,
не принятыми в эксплуатацию установленным
порядком.
42. 42
Что делать нельзя и не надо?
Тайно использовать средства контроля.
Проверять личные столы и хранилища
работников.
Прослушивать телефонные переговоры,
если нет предупреждения об этом и обоснования
такого прослушивания (улучшение качества
обслуживания).
Мониторить входящие сообщения.
Использовать результаты контроля любым
способом, отличающимся от указанного в
регламенте.
Нарушать конфиденциальность в отношении
результатов контроля.
43. 43
Байка № 10. Про Богдана Барбулеску
и его спор с Румынией в ЕСПЧ
Обязательность наличия правил использования
компьютеров, копировальной техники и
телефонов.
Регламентация контроля и его границ, прозрачность.
Наличие у работника точных данных о ведении
такого контроля и необходимость документального
подтверждения осведомленности работников о нем.
Допустимые способы получения работодателем
доказательств причинения работником вреда и
наличии альтернатив их получения.
Обеспечение баланса между необходимостью
работника защитить свою частную жизнь и правом
работодателя контролировать соблюдение правил.
Соразмерность и пропорциональность действий.
44. 44
Повышение осведомленности
в вопросах безопасности
Семинары для топ-менеджмента.
Курсы для лиц, ответственных за категорирование
информации и организацию работы с
информацией ограниченного доступа.
Курсы для технических специалистов,
организующих использование и эксплуатирующих
СЗИ.
Повышение осведомленности персонала,
работающего с ИОД.
Наглядная агитация (поддержка
осведомленности).
45. 45
Байка № 11. Про плохого поручителя
и говорливую операционистку банка
Ненадежному поручителю отказали в кредите.
Данные о клиенте были в автоматизированной
информационной системе банка «Стоп-лист».
В договоре поручительства не было указано,
что банк вправе хранить сведения об исполнении
обязанностей поручителя.
Банк отказал в удовлетворении требований
предоставить возможность ознакомления со
сведениями о нем банке, а также о блокировании
этих сведений и их уничтожении.
Районный суд удовлетворил исковые требования
территориального Управления РКН к банку о
защите нарушенных прав гражданина и обязал
банк уничтожить сведения о гражданине.
Апелляция и кассация не дали результатов.