What every cio should know about security

1/37 © Cisco, 2010. Все права защищены.

Что должен знать ИТ-директор об информационной безопасности… в России

Алексей Лукацкий, бизнес-консультант по безопасности

2 © Cisco, 2010. Все права защищены.

© Cisco, 2010. Все права защищены. 3/37

Смена ожиданий бизнеса в отношении информационной безопасности


Аутсорсинг Виртуализация Мобильность Web 2.0 Облака Социальные

сети


66% 45% 59% 45% 57%

Согласятся на

снижение

компенсации

(10%), если

смогут работать

из любой точки

мира

Готовы

поработать на

2-3 часа в день

больше, если

смогут сделать

это удаленно

Хотят

использовать

на работе

личные

устройства

ИТ-

специалистов

не готовы

обеспечить

бóльшую

мобильность

сотрудников

ИТ-специалистов

утверждают, что

основной задачей

при повышении

мобильности

сотрудников

является

обеспечение

безопасности


7 млрд новых беспроводных устройств к 2015 г.

50% предприятий-участников

опроса разрешают использовать личные

устройства для работы

40% заказчиков планируют внедрить

распределенные сетевые сервисы («облака»)

К 2013 г. объем рынка «облачных вычислений» составит 44,2 млрд

долларов США

“Энтузиасты совместной работы” в среднем

используют 22 средства для общения с коллегами

45% сотрудников нового поколения пользуются социальными сетями

Украденный ноутбук больницы: 14 000 историй болезни

Более 400 угроз для мобильных устройств,

к концу года – до 1000

становятся причинами появления новых угроз

Skype = возможность вторжения

Системы IM могут обходить механизмы защиты

Новые цели атак: виртуальные машины и гипервизор

Отсутствие контроля над внутренней виртуальной сетью

ведет к снижению эффективности политик безопасности


21% 64% 47% 20% 55%

Людей

принимают

«приглашения

дружбы» от

людей, которых

они не знают

Людей не думая

кликают по

ссылкам,

присылаемым

«друзьями»

Пользователей

Интернет уже

становились

жертвами

заражений

вредоносными

программами

Людей уже

сталкивалось с

кражей

идентификаци

онных данных

Людей были

подменены с

целью получения

персональных

данных


Вирус Шпионское

ПО

Malware

(трояны,

кейлоггеры,

скрипты)

Эксплоиты

Исследования

NSS LAB

показывают, что

даже лучшие

антивирусы и

Web-шлюзы не

эффективны

против

современных

угроз

Вредоносные

программы

воруют уже не

ссылки на

посещаемые

вами сайты, а

реквизиты

доступа к ним

Web и социальные

сети все чаще

становятся

рассадником

вредоносных

программ, а также

инструментом

разведки

злоумышленников

Вредоносные

программы

используют для

своих действий

неизвестные

уязвимости (0-Day,

0-Hour)


Массовое

заражение Полимор-

физм

Фокус на

конкретную

жертву

Передовые

и тайные

средства

(APT)

Злоумышленников

не интересует

известность и

слава – им важна

финансовая

выгода от

реализации угрозы

Современные угрозы

постоянно меняются,

чтобы средства

защиты их не

отследили –

изменение

поведения, адресов

серверов управления

Угрозы могут быть

разработаны

специально под вас –

они учитывают вашу

инфраструктуры и

встраиваются в нее, что

делает невозможным

применение

стандартных методов

анализа

Угрозы становятся

модульными,

самовосстанавлива-

ющимися и

устойчивыми к

отказам и

обнаружению


Мотивация

Метод

Фокус

Средства

Результат

Тип

Цель

Агент

Известность

Дерзко

Все равно

Вручную

Подрыв

Уникальный код

Инфраструктура

Изнутри

Деньги

Незаметно

Мишень

Автомат

Катастрофа

Tool kit

Приложения

Третье лицо



Большое количество регуляторов

Легитимный ввоз криптографии в соответствие

с правилами Таможенного союза

Использование легитимной криптографии

Требования сертификации

Локальные и закрытые нормативные акты

Отсутствие учета рыночных потребностей

Исторический бэкграунд


ИБ

ФСТЭК

ФСБ

Минком-связь

МО

СВР

ФСО

ЦБ

PCI

Council

Газпром-

серт

Энерго-

серт

РЖД

Рос-

стандарт


ISO 15408:1999 («Общие критерии») в России

(ГОСТ Р ИСО/МЭК 15408) так и не заработал

Перевод СоДИТ ISO 15408:2009 – судьба

неизвестна ;-(

ПП-608 разрешает признание западных

сертификатов – не работает

ФЗ «О техническом регулировании» разрешает

оценку по западным стандартам – не работает

ПП-455 обязывает ориентироваться на

международные нормы – не работает


ФСТЭК ФСБ МО СВР

Все, кроме

криптографии

СКЗИ

МСЭ

Антивирусы

IDS

BIOS

Сетевое

оборудование

Все для нужд

оборонного ведомства

Тайна, покрытая

мраком

Требования

открыты Требования закрыты (часто секретны). Даже лицензиаты

зачастую не имеют их, оперируя выписками из выписок

А еще есть 3 негосударственных системы сертификации СЗИ – ГАЗПРОМСЕРТ,

«АйТиСертифика» (ЕВРААС) и Ecomex


Единичный экземпляр

Партия Серия

Дата выпуска: 12 декабря 2010 года

CRC: E6D3A4B567

Место производства: Ирландия,

Дублин

Смена: 12

Версия ОС: 8.2

Производительность: 30 Гбит/сек

Дата выпуска: 12 декабря 2010 года

CRC: E6D3A4B567

Место производства: Ирландия,

Дублин

Смена: 12

Версия ОС: 8.2

Производительность: 30 Гбит/сек

Cisco ASA 5585-X Cisco ASA 5585-X


Единичный экземпляр

Партия Серия

Основная схема для

западных вендоров

Оценивается конкретный

экземпляр (образец)

Число экземпляров – 1-2


западных вендоров

Оценивается

репрезентативная выборка

образцов

Число экземпляров – 50-

200


российских вендоров

Оценивается образец +

инспекционный контроль за

стабильностью характеристик

сертифицированной

продукции

Число экземпляров -

неограничено


Дорого Необязательно Невозможно Отвечает

потребитель

От нескольких

сотен долларов

(при сертификации

серии) до

несколько

десятков тысяч

долларов

Исключая гостайну и

СКЗИ разработка и

продажа средств

защиты возможна и без

сертификата

А западные вендоры и

так сертифицированы

во всем мире

Западные

производители не

ведут в России

коммерческой

деятельности и не

могут быть

заявителями

По КоАП

ответственность

лежит на

потребителе


• Как сертифицировать

AIX

HP UP

iOS

WebOS

Android OS

MacOS

АСУ ТП

…

• А еще есть требования по НДВ (закладкам)

Все закладки найти невозможно даже теоретически!

© Cisco, 2010. Все права защищены. 20/37 20

0

1

2

3

4

5

6

7

8

Число нормативных актов с требованиями сертификации по требованиям безопасности

* - для 2011 – предварительная оценка проектов новых нормативных актов (ФЗ “О национальной

платежной системе”, ФЗ “О служебной тайне”, новые приказы ФСТЭК/ФСБ и т.д.)


• Под аттестацией объекта информатизации по требованиям безопасности информации понимается комплекс организационно-технических мероприятий, в результате которых подтверждается, что объект соответствует требованиям стандартов или иных нормативных документов по защите информации, утвержденных ФСТЭК России

Объект информатизации – совокупность информационных ресурсов, средств и систем обработки информации, используемых в соответствии с заданной информационной технологией, средств обеспечения объекта информатизации, помещений или объектов (зданий, сооружений, технических средств), в которых они установлены, или помещения и объекты, предназначенные для ведения конфиденциальных переговоров


• Аттестат соответствия выдается владельцу аттестованного объекта информатизации органом по аттестации на период, в течение которого обеспечивается неизменность условий функционирования объекта информатизации

• ИТ-инфраструктура, не говоря уже об объекте информатизации, меняется постоянно

Патчи, новые версии, новые пользователи и даже новые настройки

Умножаем на число программных и аппаратных систем…




• Риск - это способность конкретной угрозы использовать уязвимости одного или нескольких видов активов для нанесения ущерба организации

Источник: ГОСТ Р ИСО/МЭК 15408-1-2002


Избежание

риска

Принятие

риска

Передача

риска Снижение

риска

Устранение

источника

риска

Затраты на

снижение риска

выше, чем

ущерб от его

реализации

Облачная

безопасность

Аутсорсинг

Реализация

защитных мер


Ввоз и использование шифровальных

средств – это два разных

законодательства

Разделение ввозимой

криптографии по длинам ключей и

сферам применения (с 01.01.2010)

Нотификации vs. ввоза по лицензии

Минпромторга (после получения разрешения ФСБ)

Cisco не только ввозит свое оборудование легально, но и

запустила производство оборудования в России


Позиция регулятора (ФСБ) –

использование VPN-решений на

базе отечественных

криптоалгоритмов

Встраивания криптоядра

достаточно для прикладных систем и недостаточно для

VPN-продуктов (разъяснение ФСБ)

Важно знать, что написано в

формуляре на СКЗИ – часто явно

требуется сертификация в

ФСБ

Cisco и С-Терра СиЭсПи имеют сертификат ФСБ на целостное решение для Cisco ISR G2 и

Cisco UCS C-200



• Даже при наличии фактов и достаточного объема информации об анализируемой системе у экспертов существует сложность с восприятием риска

• Безопасность основана не только на вероятности различных рисков и эффективности различных контрмер (реальность), но и на ощущениях

• Ощущения зависят от психологических реакций на риски и контрмеры

Чего вы больше опасаетесь – попасть в авиакатастрофу или автоаварию?

Что вероятнее – пасть жертвой террористов или погибнуть на дороге?


• Реальность безопасности ≠ ощущения безопасности

• Система может быть безопасной, даже если мы не чувствуем и не понимаем этого

Мы можем думать, что система в безопасности, когда это не так

• Психология восприятия риска безопасности

Поведенческая экономика

Психология принятия решений

Психология риска

Неврология


• Мы преувеличиваем одни риски и преуменьшаем другие

• Наше восприятие риска чаще всего «хромает» в пяти направлениях

Степень серьезности риска

Вероятность риска

Объем затрат

Эффективность контрмер

Возможность адекватного сопоставления рисков и затрат


• Человек не анализирует риски безопасности с точки зрения математики

Мы не анализируем вероятности событий

• Люди не могут анализировать каждое свое решение

• Человек использует готовые рецепты, общие установки, стереотипы, предпочтения и привычки


• Риски, имевшие место когда-либо в жизни эксперта, имеют больший вес, чем те, с которыми он никогда не встречался

Мы будем бороться с атаками, уже произошедшими в прошлом, игнорируя будущие угрозы

• «Эвристика доступности» – события, которые легче вспоминаются, имеют больший риск


• Защита государевых тайн

• Борьба с иностранными техническими разведками

• Закрытость темы

• Затраты не важны

• Занимались ИБ только в КГБ Потом в Гостехкомиссии

• Люди остались те же

А технологии развиваются гораздо быстрее


Безопасность в России и во всем мире –

две большие разницы

ИТ-безопасность и информационная

безопасность – не одно и тоже

Нужно осознавать все риски

Необходимо искать компромисс

Не закрывайтесь – контактируйте с

CISO, регуляторами, ассоциациами…

Спасибо

за внимание!

[email protected]

Praemonitus praemunitus!

Self Improvement

What every cio should know about security