Security trends for Russian CISO

transcript

На что обратить внимание CISO в 2011-2012-м годах? Прогнозы и тенденции

Алексей Лукацкий, бизнес-консультант по безопасности

Подчиненность CISO

Совет директоров, CEO

ИТ (CIO)

СВК

Управление рисками

ИТ (среднее звено)

Другое

Источник: Gartner

Взгляд политика

Взгляд менеджера

Взгляд юриста

Взгляд технолога

Что?

С кем?

Как?

Сколько?

Кто?

Гостайна

ИТР

Закрытость

Неважно

КГБ

КТ, БТ, ПДн

Инсайдер, хакер

Открытость

ROI, TCO, NPV

эксКГБ

Облака

Виртуализация

Мобильные технологии

Администрирование ИТ

Бизнес-аналитика

Передача речи и данных

Корпоративные приложения

Технологии коллективной

работы Инфраструктура

Web 2.0

7 млрд новых беспроводных устройств к 2015 г.

50% предприятий-участников

опроса разрешают использовать личные

устройства для работы

40% заказчиков планируют внедрить

распределенные сетевые сервисы («облака»)

К 2013 г. объем рынка «облачных вычислений» составит 44,2 млрд

долларов США

“Энтузиасты совместной работы” в среднем

используют 22 средства для общения с коллегами

45% сотрудников нового поколения пользуются социальными сетями

Украденный ноутбук больницы: 14 000 историй болезни

Более 400 угроз для мобильных устройств,

к концу года – до 1000

становятся причинами появления новых угроз

Skype = возможность вторжения

Системы IM могут обходить механизмы защиты

Новые цели атак: виртуальные машины и гипервизор

Отсутствие контроля над внутренней виртуальной сетью

ведет к снижению эффективности политик безопасности

66% 45% 59% 45% 57%

Согласятся на

снижение

компенсации

(10%), если

смогут работать

из любой точки

мира

Готовы

поработать на

2-3 часа в день

больше, если

смогут сделать

это удаленно

Хотят

использовать

на работе

личные

устройства

специалистов

не готовы

обеспечить

бóльшую

мобильность

сотрудников

ИТ-специалистов

утверждают, что

основной задачей

при повышении

мобильности

сотрудников

является

обеспечение

безопасности

21% 64% 47% 20% 55%

Людей

принимают

«приглашения

дружбы» от

людей, которых

они не знают

Людей не думая

кликают по

ссылкам,

присылаемым

«друзьями»

Пользователей

Интернет уже

становились

жертвами

заражений

вредоносными

программами

Людей уже

сталкивалось с

кражей

идентификаци

онных данных

Людей были

подменены с

целью получения

персональных

данных

“Следующей задачей по повышению производительности является повышение эффективности работы сотрудников, работу которых невозможно автоматизировать. Ставки в этой игре высоки.”

McKinsey & Company, отчет «Организация XXI века»

Текст Голос и видео

частн

ико

ени

Средства совместной работы

Документы

Мно

Электронная

почта IM TelePresence

Унифицированные

коммуникации

Голосовая почта

Форумы

Видео по

запросу

Wiki Блоги Контакт-

центр

Средства проведения

конференций

Социальные сети

**Gartner research prediction; Gartner Forecast: Tablet PCs, Worldwide, November, 2010

iPad + Mac = 12% рынка ПК

100+ миллионов

планшетников

70% студентов США используют Mac

Мобильных устройств*

3.6Млрд

1.8Млрд … имеют

web-доступ*

Ежедневных активаций

Android

300,000

устройств подключенных к сети,

Один триллион Скоро будет

по сравнению с 3.6 МЛРД в 2010

Прогноз Cisco IBSG

Мобильника

Интернет

Автомобиля

Партнера

Вирус Шпионское

Malware

(трояны,

кейлоггеры,

скрипты)

Эксплоиты

Исследования

NSS LAB

показывают, что

даже лучшие

антивирусы и

Web-шлюзы не

эффективны

против

современных

угроз

Вредоносные

программы

воруют уже не

ссылки на

посещаемые

вами сайты, а

реквизиты

доступа к ним

Web и социальные

сети все чаще

становятся

рассадником

вредоносных

программ, а также

инструментом

разведки

злоумышленников

Вредоносные

программы

используют для

своих действий

неизвестные

уязвимости (0-Day,

0-Hour)

Массовое

заражение Полимор-

физм

Фокус на

конкретную

жертву

Передовые

и тайные

средства

Злоумышленников

не интересует

известность и

слава – им важна

финансовая

выгода от

реализации угрозы

Современные угрозы

постоянно меняются,

чтобы средства

защиты их не

отследили –

изменение

поведения, адресов

серверов управления

Угрозы могут быть

разработаны

специально под вас –

они учитывают вашу

инфраструктуры и

встраиваются в нее, что

делает невозможным

применение

стандартных методов

анализа

Угрозы становятся

модульными,

самовосстанавлива-

ющимися и

устойчивыми к

отказам и

обнаружению

Мотивация

Метод

Фокус

Средства

Результат

Тип

Цель

Агент

Известность

Дерзко

Все равно

Вручную

Подрыв

Уникальный код

Инфраструктура

Изнутри

Деньги

Незаметно

Мишень

Автомат

Катастрофа

Tool kit

Приложения

Третье лицо

Отсутствие поддержки

мобильных устройств и

Bubbles at end, talk about

customer, then trad arch

don’t work because.......

Ограничения в

работе с голосом и

видео через VDI

Низкое качество

и совместимость

при работе видео

Невозможно

взаимодействовать с

социальными сетями

Мобильность Виртуализация Видео Социальность

Традиционная архитектура не справляется

с требованиями сегодняшнего дня

«Заплаточный» подход к защите – нередко

в архитектуре безопасности используются

решения 20-30 поставщиков

Непонимание смены ландшафта угроз

Концентрация на требованиях регулятора в

ущерб реальной безопасности

Неучет и забывчивость в отношении новых

технологий и потребностей бизнеса

Попытка «загнать» пользователей в рамки

Замкнутая программная среда, «белые списки»

становятся эффективнее

Защищайте браузеры и приложения – не

ограничивайтесь одними сетями

Сканеры безопасности – это не уже мода, а

необходимость

Не только IDS/IPS, но и средства сетевого

анализа

Не увлекайтесь лучшими продуктами – стройте

целостную, многоуровневую систему защиты

Исто

чни

Влияние / срок Менее 2-х лет От 2-х до 5-ти лет От 5-ти до

10-ти лет

Больше 10-

ти лет

Трансформация J-SOX ISO 31000 (управление

рисками)

ITIL v2.0

ITIL v3.0

Высокая

Базель II

Нотификация

об утечках

XBRL (уведомление

регуляторов)

ISO 27xxx

Раскрытие

информации о рисках

и управлении (US)

US PL 110-

53 (непрерывность

бизнеса)

Антитеррор

Средняя

EuroSOX

1995/46/EC

PCI DSS

COSO ERM

Нотификация об

утечках (EU)

Single Euro Payments

Низкая HIPAA

Исто

чни

Исто

чни

Влияние / срок Менее 2-х

лет

От 2-х до 5-ти

лет

От 5-ти до 10-ти

лет

Больше 10-

ти лет

Трансформация

Высокая

eDiscovery

Архивация e-mail

Обнаружение

мошенничеств

Управление

интеллектуальной

собственностью

Управление

данными

Средняя

Шифрование

e-mail

Расследование Управление

Низкая

Средства

управления

privacy

Контроль

электронных

таблиц

Большое количество регуляторов

Легитимный ввоз криптографии в соответствие

с правилами Таможенного союза

Использование легитимной криптографии

Требования сертификации

Локальные и закрытые нормативные акты

Отсутствие учета рыночных потребностей

Исторический бэкграунд

• Персональные данные Отраслевые стандарты

• Финансовая отрасль PCI DSS

СТО БР ИББС-1.0

ФЗ «О национальной платежной системе»

• Критически важные объекты

• Электронные госуслуги

• Регулирование Интернет

• ФЗ об ЭП

• ФЗ о служебной тайне

ФСТЭК

ФСБ

Минком-связь

СВР

ФСО

Council

Газпром-

серт

Энерго-

серт

РЖД

Рос-

стандарт

СТО

Общие положения

1.0-2010

Аудит ИБ 1.1-2007

Методика оценки

соответствия 1.2-2010

Рекомендации по

документации в области ИБ

2.0-2007 v1

Руководство по самооценке соответствия

ИБ 2.1-2007

Методика оценки рисков

2.2-2009 v1

Требования по ИБ ПДн 2.3-2010

Отраслевая частная

модель угроз безопасности

ПДн 2.4-2010

• СТО – стандарт организации

• РС – рекомендации по стандартизации

• РС «Требования по обеспечению безопасности СКЗИ» (план)

• РС «Методика классификация активов» (план)

• РС «Методика назначения и описания ролей» (план)

Классификатор 0.0

Термины и определения

Рекомендации по выполнению законодательных требований при

обработке ПДн

• В декабре 2010 года в России при Росстандарте создан новый технический комитет - ТК 122 «Стандартизация в области финансовых услуг»

ТК 122 соответствует ISO TC 68 “Financial Services»

• Базовая организация – Центральный банк

• Работы по стандартизации в области информационной безопасности в кредитно-финансовой сфере будут перенесены из ТК 362 и продолжены в рамках одного из подкомитетов ТК 122

Стандарт Объект

защиты

Статус Обязательность Санкции Оценка

соответствия

ISO 270хх Вся КИ Международный

стандарт

Рекомендация Нет Аудит

СТО БР БТ, КТ,

ПДн

Отраслевой

стандарт

Рекомендация

(де-юре)

Обязательный

(де-факто)

Нет Аудит,

самооценка

ФЗ-152 ПДн Закон Обязательный Штраф Отсутствует

PCI DSS БТ, ПДн Международный

стандарт

Обязательный

(де-юре)

Рекомендация

(де-факто)

Штраф Аудит,

самооценка

• Стандарт PCI DSS 2.0

119 изменений в виде разъяснений

15 изменений в виде дополнительных указаний

2 изменения в виде новых требований

• Ключевые изменения PCI DSS 2.0

Виртуализация

Обнаружение чужих Wi-Fi устройств

• PA DSS – стандарт безопасности платежных приложений

Обязателен к применению с 01.01.2012

• Старые НПА «говорят» преимущественно о сертификации, а новые – об оценке соответствия

• Оценка соответствия ≠ сертификация

• Оценка соответствия - прямое или косвенное определение соблюдения требований, предъявляемых к объекту

• Оценка соответствия регулируется ФЗ-184 «О техническом регулировании»

ФСТЭК ФСБ МО СВР

Все, кроме

криптографии

СКЗИ

МСЭ

Антивирусы

Сетевое

оборудование

Все для нужд

оборонного ведомства

Тайна, покрытая

мраком

Требования

открыты Требования закрыты (часто секретны). Даже лицензиаты

зачастую не имеют их, оперируя выписками из выписок

А еще есть 3 негосударственных системы сертификации СЗИ – ГАЗПРОМСЕРТ,

«АйТиСертифика» (ЕВРААС) и Ecomex

ISO 15408:1999 («Общие критерии») в России

(ГОСТ Р ИСО/МЭК 15408) так и не заработал

Перевод СоДИТ ISO 15408:2009 – судьба

неизвестна ;-(

ПП-608 разрешает признание западных

сертификатов – не работает

ФЗ «О техническом регулировании» разрешает

оценку по западным стандартам – не работает

ПП-455 обязывает ориентироваться на

международные нормы – не работает

Новые системы добровольной оценки соответствия (например, КАСКАД)

Изменение/объединение существующих систем оценки соответствия

Признание международных/ЕврАЗЭС сертификатов

Число нормативных актов с требованиями сертификации по требованиям безопасности

* - для 2011 – предварительная оценка проектов новых нормативных актов (ФЗ “О национальной

платежной системе”, ФЗ “О служебной тайне”, новые приказы ФСТЭК/ФСБ и т.д.)

• Первые публичные нормативные по криптографии относятся к 1995 г.

• Основная предпосылка при создании НПА – всецелый контроль СКЗИ на всех этапах их жизненного цикла

• В качестве базы при создании НПА взят подход по защите государственной тайны

• ФСБ продолжает придерживаться этой позиции и спустя 15 лет, несмотря на рост числа ее противников

• Все этапы жизненного цикла шифровального средства

Ввоз

Разработка

Производство

Оценка соответствия

Реализация

Распространение

Оказание услуг Эксплуатация

Вывоз

Контроль и надзор

Ввоз шифровальных средств на территорию Российской Федерации

Лицензирование деятельности, связанной с шифрованием

Использование сертифицированных шифровальных средств

• Что такое ТО?

К деятельности по техническому обслуживанию шифровальных (криптографических) средств не относится эксплуатация СКЗИ в соответствии с требованиями эксплуатационной и технической документации, входящей в комплект поставки СКЗИ

• Не относится к лицензируемой деятельности

Передача СКЗИ клиентам и «дочкам»

Генерация и передача сгенерированных ключей

• Лицензии ФСБ на деятельность в области шифрования

Предоставление услуг в области шифрования информации

Деятельность по техническому обслуживанию шифровальных средств

Деятельность по распространению шифровальных средств

Деятельность по разработке, производству шифровальных средств, защищенных использованием шифровальных (криптографических) средств информационных и телекоммуникационных систем

• 4 мая 2011 года принята новая редакция закона «О лицензировании отдельных видов деятельности» (99-ФЗ)

Единая лицензия на разработку, производство, распространение, выполнение работ, оказание услуг и техническое обслуживание шифровальных средств, информационных и телекоммуникационных систем, защищенных с помощью шифровальных средств

• Федеральный Закон от 29 апреля 2008 года N 57-ФЗ г. Москва «О порядке осуществления иностранных инвестиций в хозяйственные общества, имеющие стратегическое значение для обеспечения обороны страны и безопасности государства»

В целях обеспечения обороны страны и безопасности государства настоящим Федеральным законом устанавливаются изъятия ограничительного характера для иностранных инвесторов и для группы лиц, в которую входит иностранный инвестор, при их участии в уставных капиталах хозяйственных обществ, имеющих стратегическое значение для обеспечения обороны страны и без опасности государства, и (или) совершении ими сделок, влекущих за собой установление контроля над указанными хозяйственными обществами

• Хозяйственное общество, имеющее стратегическое значение для обеспечения обороны страны и безопасности государства, - предприятие созданное на территории Российской Федерации и осуществляющее хотя бы один из видов деятельности, имеющих стратегическое значение для обеспечения обороны страны и безопасности государства и указанных в статье 6 настоящего Федерального закона

пп.11-14 – 4 вида лицензирования деятельности в области шифрования

Наличие всего лишь одного маршрутизатора с IPSec требует от вас лицензии на ТО СКЗИ

• 23 марта приняты поправки в первом чтении, исключающие банки (и только их) из перечня «стратегических» предприятий

Упрощенная схема

• Ввоз по нотификации

По лицензии

• Разрешение ФСБ

• Ввоз по лицензии Минпромторга

• Проверка легитимности ввоза по нотификации

http://www.tsouz.ru/db/entr/notif/Pages/default.aspx

• Проверка легитимности ввоза по лицензии

Копия положительного заключения ФСБ на ввоз

• Принтеры, копиры и факсы

• Кассовые аппараты

• Карманные компьютеры

• Карманные машины для записи, воспроизведения и визуального представления

• Вычислительные машины и их комплектующие

• Абонентские устройства связи

• Базовые станции

• Телекоммуникационное оборудование

• Программное обеспечение

• Аппаратура для радио- и телевещания и приема

• Радионавигационные приемники, устройства дистанционного управления

• Аппаратура доступа в Интернет

• Схемы электронные, интегральные, запоминающие устройства

• Прочее

• Большое количество позиций групп 84 и 85 Единого Таможенного Тарифа таможенного союза Республики Беларусь, Республики Казахстан и Российской Федерации

Безопасность в России и во всем мире –

две большие разницы

ИТ-безопасность и информационная

безопасность – не одно и тоже

Нужно осознавать все риски

Необходимо искать компромисс

Не закрывайтесь – контактируйте с

CISO, регуляторами, ассоциациами…

Не латайте дыры, стройте процесс ИБ –

это выгоднее, чем бороться с

последствиями инцидентов

Не будьте детективами – действуйте на

опережение; предотвращайте

инциденты, а не расследуйте их

Не увлекайтесь compliance – лучше

управляйте рисками и вы не упустите

действительно важные моменты (как

следствие, пройти чеклист будет проще)

Задумайтесь об увеличении численности

персонала службы ИБ (собственной или

внешней)

Увеличьте внимание ко всем областям с

высоким уровням риска (например, к

приложениям и аутсорсингу)

Сделайте заказную разработку ПО

областью пристального внимания

Повышать осведомленность лучше, чем

внедрять средства защиты

Больше вовлекайте руководство в

вопросы ИБ (особенно если оно требует

большего вовлечения ИТ/ИБ в бизнес)

Обучайте владельцев бизнес-процессов

Измеряйте эффективность средств и

процессов защиты, а также

деятельности всей службы ИБ

Демонстрируйте значение ИБ в бизнес и

финансовых метриках

Рост доходов

Привлечение и удержание заказчиков

Снижение затрат

Создание новых продуктов и услуг

Совершенствование бизнес-процессов

Внедрение бизнес-приложений

Совершенствование инфраструктуры

Рост эффективности Улучшение

операционной деятельности

Обеспечение бесперебойности

бизнеса, снижение рисков и повышение

защищенности

Лучший продукт на Западе ≠ лучший в

России

Ввоз и эксплуатация СЗИ – суть разные

задачи

Выбирайте не продукт – выбирайте

доверенного партнера-поставщика

Учитывайте не только функции продукта,

но и его интеграцию с инфраструктурой

Вендор не должен «стоять на месте»

Позиции на мировом рынке ИБ. Портфолио продуктов и услуг. Уровень интеграции с инфраструктурой. Наличие архитектурного подхода

Поддержка и защита самых современных ИТ. Контроль качества. Исследования в области ИБ. Обучение и сертификация специалистов Сертификация на соответствие российским требованиям по безопасности. Сертифицированная криптография. Сертификация производства. Легальный ввоз Отраслевая экспертиза. Участие в разработке стандартов ИТ и ИБ, а также в отраслевых группах и комитетах. Участие в экспертизе НПА по ИБ Финансирование проектов по ИБ. Круглосуточная поддержка на русском языке. Склады запчастей по всей России. Партнерская сеть

Экспертная оценка специалистов Cisco

Либерализация

• Вероятность - 20% (на данный момент)

• Вероятность через 2 года - 35% и 10% (в зависимости от победителя президентских выборов)

Закручивание гаек

• Вероятность через 2 года - 20% и 55% (в зависимости от победителя президентских выборов)

Останется все, как есть

Экспертная оценка специалистов Cisco

http://www.facebook.com/CiscoRu

http://twitter.com/CiscoRussia

http://www.youtube.com/CiscoRussiaMedia

http://www.flickr.com/photos/CiscoRussia

http://vkontakte.ru/Cisco

Спасибо

за внимание!

security-request@cisco.com

Praemonitus praemunitus!

Security trends for Russian CISO

Technology