Security trends for Russian CISO

1/60© Cisco, 2010. Все права защищены.
На что обратить
внимание CISO в 2011-
2012-м годах? Прогнозы
и тенденции
Алексей Лукацкий, бизнес-консультант по безопасности

© Cisco, 2010. Все права защищены. 2/60
22
56
7
7
7 2
Подчиненность CISO
Совет директоров, CEO
ИТ (CIO)
СВК
Управление рисками
ИТ (среднее звено)
Другое
Источник: Gartner

Взгляд политика
Взгляд менеджера
Взгляд юриста
Взгляд технолога

Что?
С кем?
Как?
Сколько?
Кто?
Гостайна
ИТР
Закрытость
Неважно
КГБ
КТ, БТ, ПДн
Инсайдер, хакер
Открытость
ROI, TCO, NPV
эксКГБ

Облака
Виртуализация
Мобильные
технологии
Администрирование
ИТ
Бизнес-аналитика
Передача речи и
данных
Корпоративные
приложения
Технологии
коллективной
работы
Инфраструктура
Web 2.0

7 млрд новых беспроводных
устройств к 2015 г.
50% предприятий-участников
опроса разрешают
использовать личные
устройства для работы
40% заказчиков планируют
внедрить
распределенныесетевые
сервисы(«облака»)
К 2013 г. объемрынка «облачных
вычислений» составит44,2млрд
долларовСША
“Энтузиасты совместной
работы” в среднем
используют 22 средства для
общения с коллегами
45% сотрудников нового
поколения пользуются
социальными сетями
Украденный ноутбук больницы:
14000историй болезни
Более 400 угроз
для мобильных устройств,
к концу года – до 1000
становятся причинами появления новых угроз
Skype = возможностьвторжения
Системы IM могут обходить
механизмы защиты
Новыецелиатак:виртуальные
машины и гипервизор
Отсутствие контроля над
внутренней виртуальной сетью
ведетк снижению эффективности
политик безопасности

66% 45% 59% 45% 57%
Согласятся на
снижение
компенсации
(10%), если
смогут работать
из любой точки
мира
Готовы
поработать на
2-3 часа в день
больше, если
смогут сделать
это удаленно
Хотят
использовать
на работе
личные
устройства
ИТ-
специалистов
не готовы
обеспечить
бóльшую
мобильность
сотрудников
ИТ-специалистов
утверждают, что
основной задачей
при повышении
мобильности
сотрудников
является
обеспечение
безопасности

21% 64% 47% 20% 55%
Людей
принимают
«приглашения
дружбы» от
людей, которых
они не знают
Людей не думая
кликают по
ссылкам,
присылаемым
«друзьями»
Пользователей
Интернет уже
становились
жертвами
заражений
вредоносными
программами
Людей уже
сталкивалось с
кражей
идентификаци
онных данных
Людей были
подменены с
целью получения
персональных
данных

“Следующей задачей по повышению производительности является
повышение эффективности работы сотрудников, работу которых
невозможно автоматизировать. Ставки в этой игре высоки.”
McKinsey & Company, отчет «Организация XXI века»
Текст Голос и видео
Числоучастниковобщения
Средства совместной работы
Документы
ОдинМного
Электронная
почта IM
TelePresence
Унифицированные
коммуникации
Голосовая почта
Форумы
Видео по
запросу
Wiki Блоги Контакт-
центр
Средства проведения
конференций
Социальные сети

**Gartner research prediction; Gartner Forecast: Tablet PCs, Worldwide, November, 2010
iPad + Mac = 12% рынка
ПК
100+
миллионов
планшетников
70%
студентов США
используют Mac
2010
Мобильных
устройств*
3.6Млрд
1.8Млрд
… имеют
web-доступ*
Ежедневных
активаций
Android
300,000

устройств подключенных к сети,
Один триллион
Скоро будет
по сравнению с 3.6 МЛРД в 2010
2013
Прогноз Cisco IBSG

Мобильника
97%
Интернет
84%
Автомобиля
64%
Партнера
43%

Вирус Шпионское
ПО
Malware
(трояны,
кейлоггеры,
скрипты)
Эксплоиты
Исследования
NSS LAB
показывают, что
даже лучшие
антивирусы и
Web-шлюзы не
эффективны
против
современных
угроз
Вредоносные
программы
воруют уже не
ссылки на
посещаемые
вами сайты, а
реквизиты
доступа к ним
Web и социальные
сети все чаще
становятся
рассадником
вредоносных
программ, а также
инструментом
разведки
злоумышленников
Вредоносные
программы
используют для
своих действий
неизвестные
уязвимости (0-Day,
0-Hour)

Массовое
заражение
Полимор-
физм
Фокус на
конкретную
жертву
Передовые
и тайные
средства
(APT)
Злоумышленников
не интересует
известность и
слава – им важна
финансовая
выгода от
реализации угрозы
Современные угрозы
постоянно меняются,
чтобы средства
защиты их не
отследили –
изменение
поведения, адресов
серверов управления
Угрозы могут быть
разработаны
специально под вас –
они учитывают вашу
инфраструктуры и
встраиваются в нее, что
делает невозможным
применение
стандартных методов
анализа
Угрозы становятся
модульными,
самовосстанавлива-
ющимися и
устойчивыми к
отказам и
обнаружению

Мотивация
Метод
Фокус
Средства
Результат
Тип
Цель
Агент
Известность
Дерзко
Все равно
Вручную
Подрыв
Уникальный код
Инфраструктура
Изнутри
Деньги
Незаметно
Мишень
Автомат
Катастрофа
Tool kit
Приложения
Третье лицо

Отсутствие поддержки
мобильных устройств и
OC
X X
X
Ограничения в
работе с голосом и
видео через VDI
Низкое качество
и совместимость
при работе видео
Невозможно
взаимодействовать с
социальными сетями
Мобильность ВиртуализацияВидеоСоциальность
X
Традиционная архитектура не справляется
с требованиями сегодняшнего дня

«Заплаточный» подход к защите – нередко
в архитектуре безопасности используются
решения 20-30 поставщиков
Непонимание смены ландшафта угроз
Концентрация на требованиях регулятора в
ущерб реальной безопасности
Неучет и забывчивость в отношении новых
технологий и потребностей бизнеса
Попытка «загнать» пользователей в рамки

Замкнутая программная среда, «белые списки»
становятся эффективнее
Защищайте браузеры и приложения – не
ограничивайтесь одними сетями
Сканеры безопасности – это не уже мода, а
необходимость
Не только IDS/IPS, но и средства сетевого
анализа
Не увлекайтесь лучшими продуктами – стройте
целостную, многоуровневую систему защиты

Источник:Gartner

Влияние / срок Менее 2-х лет От 2-х до 5-ти лет
От 5-ти до
10-ти лет
Больше 10-
ти лет
Трансформация
J-SOX ISO 31000 (управление
рисками)
ITIL v2.0
ITIL v3.0
Высокая
Базель II
Нотификация
об утечках
(US)
XBRL (уведомление
регуляторов)
ISO 27xxx
Раскрытие
информации о рисках
и управлении (US)
US PL 110-
53
(непрерывность
бизнеса)
Антитеррор
Средняя
EuroSOX
1995/46/EC
PCI DSS
BITS
COBIT
COSO ERM
Нотификация об
утечках (EU)
SOX
Single Euro Payments
Низкая HIPAA

Влияние / срок
Менее 2-х
лет
От 2-х до 5-ти
лет
От 5-ти до 10-ти
лет
Больше 10-
ти лет
Трансформация
Высокая
eDiscovery
Архивация e-mail
Обнаружение
мошенничеств
Управление
интеллектуальной
собственностью
Управление
данными
Средняя
Шифрование
e-mail
Расследование Управление
ERM
Низкая
Средства
управления
privacy
Контроль
электронных
таблиц

Большое количество регуляторов
Легитимный ввоз криптографии в соответствие
с правилами Таможенного союза
Использование легитимной криптографии
Требования сертификации
Локальные и закрытые нормативные акты
Отсутствие учета рыночных потребностей
Исторический бэкграунд

• Персональные данные
Отраслевые стандарты
• Финансовая отрасль
PCI DSS
СТО БР ИББС-1.0
ФЗ «О национальной платежной
системе»
• Критически важные объекты
• Электронные госуслуги
• Регулирование Интернет
• ФЗ об ЭП
• ФЗ о служебной тайне

ИБ
ФСТЭК
ФСБ
Минком-
связь
МО
СВР
ФСО
ЦБ
PCI
Council
Газпром-
серт
Энерго-
серт
РЖД
Рос-
стандарт

СТО
Общие
положения
1.0-2010
v4
Аудит ИБ
1.1-2007
v1
Методика
оценки
соответствия
1.2-2010
v3
РС
Рекомендации
по
документации
в области ИБ
2.0-2007
v1
Руководство
по самооценке
ИБ
2.1-2007
v1
Методика
оценки рисков
2.2-2009
v1
Требования
по ИБ ПДн
2.3-2010
v1
Отраслевая
частная
модель угроз
безопасности
ПДн
2.4-2010
v1
• СТО – стандарт организации
• РС – рекомендации по стандартизации

• РС «Требования по обеспечению безопасности СКЗИ» (план)
• РС «Методика классификация активов» (план)
• РС «Методика назначения и описания ролей» (план)
Классификатор
0.0
Термины и
определения
0.1
Рекомендации по выполнению
законодательных требований при
обработке ПДн

• В декабре 2010 года в России при Росстандарте создан
новый технический комитет - ТК 122 «Стандартизация в
области финансовых услуг»
ТК 122 соответствует ISO TC 68 “Financial Services»
• Базовая организация – Центральный банк
• Работы по стандартизации в области информационной
безопасности в кредитно-финансовой сфере будут
перенесены из ТК 362 и продолжены в рамках одного из
подкомитетов ТК 122
30

Стандарт Объект
защиты
Статус Обязательность Санкции Оценка
ISO 270хх Вся КИ Международный
стандарт
Рекомендация Нет Аудит
СТО БР БТ, КТ,
ПДн
Отраслевой
стандарт
Рекомендация
(де-юре)
Обязательный
(де-факто)
Нет Аудит,
самооценка
ФЗ-152 ПДн Закон Обязательный Штраф Отсутствует
PCI DSS БТ, ПДн Международный
стандарт
Обязательный
(де-юре)
Рекомендация
(де-факто)
Штраф Аудит,
самооценка

• Стандарт PCI DSS 2.0
119 изменений в виде разъяснений
15 изменений в виде дополнительных указаний
2 изменения в виде новых требований
• Ключевые изменения PCI DSS 2.0
Виртуализация
Обнаружение чужих Wi-Fi устройств
• PA DSS – стандарт безопасности
платежных приложений
Обязателен к применению с 01.01.2012

• Старые НПА «говорят»
преимущественно о
сертификации, а новые – об
оценке соответствия
• Оценка соответствия ≠
сертификация
• Оценка соответствия - прямое
или косвенное определение
соблюдения требований,
предъявляемых к объекту
• Оценка соответствия
регулируется ФЗ-184 «О
техническом регулировании»

ФСТЭК ФСБ МО СВР
Все, кроме
криптографии
СКЗИ
МСЭ
Антивирусы
IDS
BIOS
Сетевое
оборудование
Все для нужд
оборонного ведомства
Тайна, покрытая
мраком
Требования
открыты
Требования закрыты (часто секретны). Даже лицензиаты
зачастую не имеют их, оперируя выписками из выписок
А еще есть 3 негосударственных системы сертификации СЗИ – ГАЗПРОМСЕРТ,
«АйТиСертифика» (ЕВРААС) и Ecomex

ISO 15408:1999 («Общие критерии») в России
(ГОСТ Р ИСО/МЭК 15408) так и не заработал
Перевод СоДИТ ISO 15408:2009 – судьба
неизвестна ;-(
ПП-608 разрешает признание западных
сертификатов – не работает
ФЗ «О техническом регулировании» разрешает
оценку по западным стандартам – не работает
ПП-455 обязывает ориентироваться на
международные нормы – не работает

Новые системы добровольной оценки
соответствия (например, КАСКАД)
Изменение/объединение существующих
систем оценки соответствия
Признание международных/ЕврАЗЭС
сертификатов

0
1
2
3
4
5
6
7
8
Число нормативных актов с требованиями
сертификации по требованиям безопасности
* - для 2011 – предварительная оценка проектов новых нормативных актов (ФЗ “О национальной
платежной системе”, ФЗ “О служебной тайне”, новые приказы ФСТЭК/ФСБ и т.д.)

• Первые публичные нормативные по
криптографии относятся к 1995 г.
• Основная предпосылка при
создании НПА – всецелый контроль
СКЗИ на всех этапах их жизненного
цикла
• В качестве базы при создании НПА
взят подход по защите
государственной тайны
• ФСБ продолжает придерживаться
этой позиции и спустя 15 лет,
несмотря на рост числа ее
противников

• Все этапы жизненного цикла шифровального средства
Ввоз
Разработка
Производство
Оценка
Реализация
Распространение
ТО
Оказание услуг Эксплуатация
Вывоз
Контроль и
надзор

Ввоз шифровальных средств
на территорию Российской
Федерации
Лицензирование
деятельности, связанной с
шифрованием
Использование
сертифицированных
шифровальных средств

• Что такое ТО?
К деятельности по техническому
обслуживанию шифровальных
(криптографических) средств не
относится эксплуатация СКЗИ в
соответствии с требованиями
эксплуатационной и технической
документации, входящей в комплект
поставки СКЗИ
• Не относится к лицензируемой
деятельности
Передача СКЗИ клиентам и «дочкам»
Генерация и передача сгенерированных
ключей

• Лицензии ФСБ на деятельность в области шифрования
Предоставление услуг в области шифрования информации
Деятельность по техническому обслуживанию шифровальных средств
Деятельность по распространению шифровальных средств
Деятельность по разработке, производству шифровальных средств,
защищенных использованием шифровальных (криптографических)
средств информационных и телекоммуникационных систем
• 4 мая 2011 года принята новая редакция закона «О
лицензировании отдельных видов деятельности» (99-ФЗ)
Единая лицензия на разработку, производство, распространение,
выполнение работ, оказание услуг и техническое обслуживание
шифровальных средств, информационных и телекоммуникационных
систем, защищенных с помощью шифровальных средств

• Федеральный Закон от 29 апреля 2008 года N 57-ФЗ г. Москва
«О порядке осуществления иностранных инвестиций в
хозяйственные общества, имеющие стратегическое значение
для обеспечения обороны страны и безопасности
государства»
В целях обеспечения обороны страны и безопасности государства
настоящим Федеральным законом устанавливаются изъятия
ограничительного характера для иностранных инвесторов и для группы
лиц, в которую входит иностранный инвестор, при их участии в уставных
капиталах хозяйственных обществ, имеющих стратегическое значение
для обеспечения обороны страны и без опасности государства, и (или)
совершении ими сделок, влекущих за собой установление контроля над
указанными хозяйственными обществами

• Хозяйственное общество, имеющее стратегическое значение
для обеспечения обороны страны и безопасности
государства, - предприятие созданное на территории
Российской Федерации и осуществляющее хотя бы один из
видов деятельности, имеющих стратегическое значение для
обеспечения обороны страны и безопасности государства и
указанных в статье 6 настоящего Федерального закона
пп.11-14 – 4 вида лицензирования деятельности в области шифрования
Наличие всего лишь одного маршрутизатора с IPSec требует от вас
лицензии на ТО СКЗИ
• 23 марта приняты поправки в первом чтении, исключающие
банки (и только их) из перечня «стратегических» предприятий

Упрощенная схема
• Ввоз по
нотификации
По лицензии
• Разрешение ФСБ
• Ввоз по лицензии
Минпромторга
• Проверка легитимности ввоза по нотификации
http://www.tsouz.ru/db/entr/notif/Pages/default.aspx
• Проверка легитимности ввоза по лицензии
Копия положительного заключения ФСБ на ввоз

• Принтеры, копиры и факсы
• Кассовые аппараты
• Карманные компьютеры
• Карманные машины для записи, воспроизведения и
визуального представления
• Вычислительные машины и их комплектующие
• Абонентские устройства связи
• Базовые станции
• Телекоммуникационное оборудование
• Программное обеспечение

• Аппаратура для радио- и телевещания и приема
• Радионавигационные приемники, устройства дистанционного
управления
• Аппаратура доступа в Интернет
• Схемы электронные, интегральные, запоминающие
устройства
• Прочее
• Большое количество позиций групп 84 и 85 Единого
Таможенного Тарифа таможенного союза Республики
Беларусь, Республики Казахстан и Российской Федерации

Безопасность в России и во всем мире –
две большие разницы
ИТ-безопасность и информационная
безопасность – не одно и тоже
Нужно осознавать все риски
Необходимо искать компромисс
Не закрывайтесь – контактируйте с
CISO, регуляторами, ассоциациами…

Не латайте дыры, стройте процесс ИБ –
это выгоднее, чем бороться с
последствиями инцидентов
Не будьте детективами – действуйте на
опережение; предотвращайте
инциденты, а не расследуйте их
Не увлекайтесь compliance – лучше
управляйте рисками и вы не упустите
действительно важные моменты (как
следствие, пройти чеклист будет проще)

Задумайтесь об увеличении численности
персонала службы ИБ (собственной или
внешней)
Увеличьте внимание ко всем областям с
высоким уровням риска (например, к
приложениям и аутсорсингу)
Сделайте заказную разработку ПО
областью пристального внимания
Повышать осведомленность лучше, чем
внедрять средства защиты

Больше вовлекайте руководство в
вопросы ИБ (особенно если оно требует
большего вовлечения ИТ/ИБ в бизнес)
Обучайте владельцев бизнес-процессов
Измеряйте эффективность средств и
процессов защиты, а также
деятельности всей службы ИБ
Демонстрируйте значение ИБ в бизнес и
финансовых метриках

Рост доходов
Привлечение и
удержание заказчиков
Снижение затрат
Создание новых
продуктов и услуг
Совершенствование
бизнес-процессов
Внедрение бизнес-
приложений
Совершенствование
инфраструктуры
Рост эффективности
Улучшение
операционной
деятельности
Обеспечение
бесперебойности
бизнеса, снижение
рисков и повышение
защищенности

Лучший продукт на Западе ≠ лучший в
России
Ввоз и эксплуатация СЗИ – суть разные
задачи
Выбирайте не продукт – выбирайте
доверенного партнера-поставщика
Учитывайте не только функции продукта,
но и его интеграцию с инфраструктурой
Вендор не должен «стоять на месте»

Позиции на мировом рынке ИБ. Портфолио продуктов и услуг. Уровень интеграции с
инфраструктурой. Наличие архитектурного подхода
Поддержка и защита самых современных ИТ. Контроль качества. Исследования в
области ИБ. Обучение и сертификация специалистов
Сертификация на соответствие российским требованиям по безопасности.
Сертифицированная криптография. Сертификация производства. Легальный ввоз
Отраслевая экспертиза. Участие в разработке стандартов ИТ и ИБ, а также в
отраслевых группах и комитетах. Участие в экспертизе НПА по ИБ
Финансирование проектов по ИБ. Круглосуточная поддержка на русском языке.
Склады запчастей по всей России. Партнерская сеть
1
2
3
4
5

Экспертная оценка специалистов Cisco

Либерализация
• Вероятность -
20% (на
данный
момент)
• Вероятность
через 2 года -
35% и 10% (в
зависимости от
победителя
президентских
выборов)
Закручивание
гаек
45% (на
данный
момент)
• Вероятность
через 2 года -
20% и 55% (в
зависимости от
победителя
президентских
выборов)
Останется все,
как есть
30% (на
данный
момент)
Экспертная оценка специалистов Cisco

http://www.facebook.com/CiscoRu
http://twitter.com/CiscoRussia
http://www.youtube.com/CiscoRussiaMedia
http://www.flickr.com/photos/CiscoRussia
http://vkontakte.ru/Cisco

Спасибо
за внимание!
security-request@cisco.com
Praemonitus praemunitus!

Security trends for Russian CISO

Recommended

Recommended

More Related Content

What's hot

What's hot (19)

Viewers also liked

Viewers also liked (20)

Similar to Security trends for Russian CISO

Similar to Security trends for Russian CISO (20)

More from Aleksey Lukatskiy

More from Aleksey Lukatskiy (20)

Security trends for Russian CISO