What is CISO schedule for nearest two years?

1/38 © Cisco, 2010. Все права защищены.

Что на повестке дня у директора ИБ в ближайшие два года?

Алексей Лукацкий, бизнес-консультант по безопасности

© Cisco, 2010. Все права защищены. 2/38

Смена ожиданий бизнеса в отношении информационной безопасности


Аутсорсинг Виртуализация Мобильность Web 2.0 Облака Социальные

сети


Software-as-a-

Service

Google Apps, Salesforce.com

Platform-as-a-

Service

MS Azure, Google App

Engine

Infrastructure-as-

a-Service

Amazon EC2, co-location


42

41

39

39

35

32

33

33

31

29

33

28

23

19

24

25

25

36

0% 20% 40% 60% 80%100%

Латинская Америка

Китай, Индия

Россия, ОАЭ, ЮАР

Европа

Азия, Австралия

США, Канада

Высокий приоритет

Низкий приоритет

Не на повестке

Не знаю

Источник: Forrester Research


• ERP

• Service Desk

• Управление контентом

• HRM

• Управление заказами (ORM)

• Управление затратами и поставщиками (SRM)

• Унифицированные коммуникации

• Управление проектами

• Управление цепочками поставок (SCM)

• Web 2.0


36

30

23

23

20

19

18

18

16

19

0 5 10 15 20 25 30 35 40

Вопросы цены

Безопасность и privacy

Нет нужных приложений

Вопросы интеграции

Сложное ценообразование

Зависимость от текущего …

Слабый каналы связи

Слабая кастомизация

Производительность

Другое

Почему вы не думаете об аутсорсинге?

Источник: Forrester Research


66% 45% 59% 45% 57%

Согласятся на

снижение

компенсации

(10%), если

смогут работать

из любой точки

мира

Готовы

поработать на

2-3 часа в день

больше, если

смогут сделать

это удаленно

Хотят

использовать

на работе

личные

устройства

ИТ-

специалистов

не готовы

обеспечить

бóльшую

мобильность

сотрудников

ИТ-специалистов

утверждают, что

основной задачей

при повышении

мобильности

сотрудников

является

обеспечение

безопасности


7 млрд новых беспроводных устройств к 2015 г.

50% предприятий-участников

опроса разрешают использовать личные

устройства для работы

40% заказчиков планируют внедрить

распределенные сетевые сервисы («облака»)

К 2013 г. объем рынка «облачных вычислений» составит 44,2 млрд

долларов США

“Энтузиасты совместной работы” в среднем

используют 22 средства для общения с коллегами

45% сотрудников нового поколения пользуются социальными сетями

Украденный ноутбук больницы: 14 000 историй болезни

Более 400 угроз для мобильных устройств,

к концу года – до 1000

становятся причинами появления новых угроз

Skype = возможность вторжения

Системы IM могут обходить механизмы защиты

Новые цели атак: виртуальные машины и гипервизор

Отсутствие контроля над внутренней виртуальной сетью

ведет к снижению эффективности политик безопасности


21% 64% 47% 20% 55%

Людей

принимают

«приглашения

дружбы» от

людей, которых

они не знают

Людей не думая

кликают по

ссылкам,

присылаемым

«друзьями»

Пользователей

Интернет уже

становились

жертвами

заражений

вредоносными

программами

Людей уже

сталкивалось с

кражей

идентификаци

онных данных

Людей были

подменены с

целью получения

персональных

данных


Вирус Шпионское

ПО

Malware

(трояны,

кейлоггеры,

скрипты)

Эксплоиты

Исследования

NSS LAB

показывают, что

даже лучшие

антивирусы и

Web-шлюзы не

эффективны

против

современных

угроз

Вредоносные

программы

воруют уже не

ссылки на

посещаемые

вами сайты, а

реквизиты

доступа к ним

Web и социальные

сети все чаще

становятся

рассадником

вредоносных

программ, а также

инструментом

разведки

злоумышленников

Вредоносные

программы

используют для

своих действий

неизвестные

уязвимости (0-Day,

0-Hour)


Массовое

заражение Полимор-

физм

Фокус на

конкретную

жертву

Передовые

и тайные

средства

(APT)

Злоумышленников

не интересует

известность и

слава – им важна

финансовая

выгода от

реализации угрозы

Современные угрозы

постоянно меняются,

чтобы средства

защиты их не

отследили –

изменение

поведения, адресов

серверов управления

Угрозы могут быть

разработаны

специально под вас –

они учитывают вашу

инфраструктуры и

встраиваются в нее, что

делает невозможным

применение

стандартных методов

анализа

Угрозы становятся

модульными,

самовосстанавлива-

ющимися и

устойчивыми к

отказам и

обнаружению


Мотивация

Метод

Фокус

Средства

Результат

Тип

Цель

Агент

Известность

Дерзко

Все равно

Вручную

Подрыв

Уникальный код

Инфраструктура

Изнутри

Деньги

Незаметно

Мишень

Автомат

Катастрофа

Tool kit

Приложения

Третье лицо


«Заплаточный» подход к защите – нередко

в архитектуре безопасности используются

решения 20-30 поставщиков

Непонимание смены ландшафта угроз

Концентрация на требованиях регулятора в

ущерб реальной безопасности

Неучет и забывчивость в отношении новых

технологий и потребностей бизнеса


Большое количество регуляторов

Легитимный ввоз криптографии в соответствие

с правилами Таможенного союза

Использование легитимной криптографии

Требования сертификации

Собственные отраслевые стандарты

Ориентация на продукты отечественного

производства


ИБ

ФСТЭК

ФСБ

Минком-связь

МО

СВР

ФСО

ЦБ

PCI

Council

Газпром-

серт

Энерго-

серт

РЖД

Рос-

стандарт


Ввоз и использование шифровальных

средств – это два разных

законодательства

Разделение ввозимой

криптографии по длинам ключей и

сферам применения (с 01.01.2010)

Нотификации vs. ввоза по лицензии

Минпромторга (после получения разрешения ФСБ)

Cisco не только ввозит свое оборудование легально, но и

планирует запустить производство оборудования в России


Позиция регулятора (ФСБ) –

использование VPN-решений на

базе отечественных

криптоалгоритмов

Встраивания криптоядра

достаточно для прикладных систем и недостаточно для

VPN-продуктов (разъяснение ФСБ)

Важно знать, что написано в

формуляре на СКЗИ – часто явно

требуется сертификация в

ФСБ

Cisco и С-Терра СиЭсПи имеют сертификат ФСБ на целостное решение для Cisco ISR G2 и

Cisco UCS C-200

© Cisco, 2010. Все права защищены. 19/38 19

0

1

2

3

4

5

6

7

8

Число нормативных актов с требованиями сертификации по требованиям безопасности

* - для 2011 – предварительная оценка проектов новых нормативных актов (ФЗ “О национальной

платежной системе”, ФЗ “О служебной тайне”, новые приказы ФСТЭК/ФСБ и т.д.)


Разработайте стратегию безопасности

облачных вычислений и аутсорсинга

Подумайте об облачных сервисах ИБ

Разработайте стратегию защищенного

мобильного доступа

Проанализируйте риски виртуализации,

социальных сетей и Web 2.0 –

разработайте рекомендации по их

управлению


Не латайте дыры, стройте процесс ИБ –

это выгоднее, чем бороться с

последствиями инцидентов

Не будьте детективами – действуйте на

опережение; предотвращайте

инциденты, а не расследуйте их

Не увлекайтесь compliance – лучше

управляйте рисками и вы не упустите

действительно важные моменты (как

следствие, пройти чеклист будет проще)


Задумайтесь об увеличении численности

персонала службы ИБ (собственной или

внешней)

Увеличьте внимание ко всем областям с

высоким уровням риска (например, к

приложениям и аутсорсингу)

Сделайте заказную разработку ПО

областью пристального внимания

Повышать осведомленность лучше, чем

внедрять средства защиты


Больше вовлекайте руководство в

вопросы ИБ (особенно если оно требует

большего вовлечения ИТ/ИБ в бизнес)

Обучайте владельцев бизнес-процессов

Измеряйте эффективность средств и

процессов защиты, а также

деятельности всей службы ИБ

Демонстрируйте значение ИБ в бизнес и

финансовых метриках


Лучший продукт на Западе ≠ лучший в

России

Ввоз и эксплуатация СЗИ – суть разные

задачи

Выбирайте не продукт – выбирайте

доверенного партнера-поставщика

Учитывайте не только функции продукта,

но и его интеграцию с инфраструктурой

Вендор не должен «стоять на месте»


Позиции на мировом рынке ИБ. Портфолио продуктов и услуг. Уровень интеграции с инфраструктурой. Наличие архитектурного подхода

Поддержка и защита самых современных ИТ. Контроль качества. Исследования в области ИБ. Обучение и сертификация специалистов Сертификация на соответствие российским требованиям по безопасности. Сертифицированная криптография. Сертификация производства. Легальный ввоз Отраслевая экспертиза. Участие в разработке стандартов ИТ и ИБ, а также в отраслевых группах и комитетах. Участие в экспертизе НПА по ИБ Финансирование проектов по ИБ. Круглосуточная поддержка на русском языке. Склады запчастей по всей России. Партнерская сеть

1

2

3

4

5


Замкнутая программная среда, «белые списки»

становятся эффективнее

Защищайте браузеры и приложения – не

ограничивайтесь одними сетями

Сканеры безопасности – это не уже мода, а

необходимость

Не только IDS/IPS, но и средства сетевого

анализа

Не увлекайтесь лучшими продуктами – стройте

целостную, многоуровневую систему защиты


ИНФРАСТРУКТУРА

БЕЗОПАСНОСТЬ УСТРОЙСТВА

УСТРОЙСТВО

БЕЗОПАСНОСТЬ КОНТЕНТА/ДАННЫХ

БЕЗОПАСНОСТЬ СЕТИ

ЗАЩИЩЕННЫЕ СИСТЕМЫ

УПРАВЛЕНИЕ СЕТЬЮ/СИСТЕМОЙ

Управление ресурсами

Анти- вирус

Блокировка/ очистка памяти

Новые атаки Шифрование

Устройство Вычисления Хранение

ДОВЕРЕННАЯ СИСТЕМА

Сеть Физич.

уровень

Тревоги Журналы Мониторинг

Web-приложение Написание

защищенного кода Вторжение

БЕЗОПАСНОСТЬ ПРИЛОЖЕНИЯ

Каталоги

«Облака» Мобильность Виртуализация Совместная работа

Удаленный доступ

* На основании типовых отраслевых моделей (Gartner, SANS Institute и др.) и опросов заказчиков

= Cisco

Управление

данными

Управление

сервисами

Аудит

Политика

Идентифи-

кация

Расследование

инцидентов

Интерфейсы

API VPN МСЭ IDS / IPS

Email Web DLP Шифрование

Спасибо

за внимание!

[email protected]

Self Improvement

What is CISO schedule for nearest two years?