Security And Crisis

© 2008 Cisco Systems, Inc. All rights reserved.Security and Crisis 1/51

Обеспечение ИБ в условиях экономического кризиса. Новая парадигма

Алексей Лукацкий

Бизнес-консультант по безопасности

2/51© 2008 Cisco Systems, Inc. All rights reserved.Security and Crisis

О чем пойдет речь

ИБ на современном предприятии

Чем характеризуется современный кризис?

Рекомендации: от резюме к деталям


ИБ в докризисные времена

Технический, ИТ-ориентированный подход

Безопасность была самоцелью

Бизнес оторван от безопасности (или наоборот)

Ни о какой привязке к бизнес-потребностям и речи нет

Отсутствует долгосрочная стратегия

Решаются, в основном, тактические или оперативные задачи

Стандартизация, архитектура и стратегия ИБ являются недосягаемой роскошью

О них мало кто думает, решая краткосрочные задачи


Чем характеризуется нынешний кризис

Эпоха изобилия заканчивается, финансов не хватает

Экономия и снижение операционных и капитальных затрат

Замораживание проектов с неочевидной выгодой и долгоиграющих проектов

Финансирование проектов с быстрой отдачей

Сокращение непрофильного персонала

Безопасность должна понимать бизнес, отталкиваться от его потребностей, ставить во главу угла бизнес-

задачи, измерять эффективность ИБ в бизнес-показателях


Рекомендации

Security Product Security Management Security Governance

Effectiveness Efficiency

Изучение багажа и оптимизация уже существующих проектов

Готовность к законодательным переменам и их творческое осмысление

Подготовка к новым маркетинговым фишечкам

Виртуализация, туманные вычисления, Grid и т.д.


Product Management Governance


Результаты исследования E&Y

Все начинают с сокращения затрат (без эффекта)

7 ключевых областей для оптимизации расходов

Оптимизация ассортимента продукции

Изменение стратегии продаж

Сокращение затрат на персонал

Повышение производительности

Аутсорсинг

Оффшоринг

Оптимизация использования и стоимости привлечения ресурсов



Рост выручки рост числа клиентов географическая экспансия решение по защищенному удаленному доступу и защите от утечек информации

Рост выручки рост числа сделок оснащение мобильными устройствами и подключением к Интернет решение по защищенному удаленному доступу

Рост выручки рост числа клиентов/сделок, ускорение сделок, снижение себестоимости сделок новый канал продаж Интернет решение по защищенному удаленному доступу, защите Интернет-ресурсов


Оптимизация использования ресурсов


Снижение арендной платы (сценарий 1)

Снижение арендной платы уменьшение арендуемых площадей перевод сотрудников на дом решение по защищенному удаленному доступу

Экономия на:

Аренда площадей

Питание сотрудников

Оплата проездных (если применимо)

Оплата канцтоваров

Оплата коммунальных расходов, а также

Улучшение психологического климата за счет работы дома

Рост продуктивности


Уменьшение складских запасов

Уменьшение складских запасов удаленный доступ к складской ИС поставщиков решение по защищенному удаленному доступу, защита Интернет-ресурсов, Identity & Entitlement Management


Уменьшение складских площадей

Оптимизация логистики

Ускорение цикла поставки


Оптимизация финансовых затрат

Оптимизация финансовых затрат переход на лизинг или оплату в рассрочку обращение в компании по ИТ/ИБ-финансированию

Выгоды:

CapEx переходит в OpEx

Ускоренная амортизация (коэффициент – 3)

Снижение налога на прибыль и имущество

Не снижает Net Income, EBITDA

Нет проблем списания оборудования

Отсрочка платежа

Фиксированная ставка в рублях

Положительное влияние на финансовые показатели


Повышение производительности


Рост продуктивности сотрудников

Рост продуктивности снижение времени, потраченного на дорогу перевод сотрудников на дом решение по защищенному удаленному доступу

Рост продуктивности – от 10% до 40%

Дополнительно:

Увеличение рабочего времени

Экономия на аренде площадей

Экономия на питании сотрудников

Экономия на оплате проездных (если применимо)

Экономия на оплате канцтоваров

Улучшение психологического климата за счет работы дома


Вчера: Люди “шли” на работу Сегодня: Работа “идет” к людям

Аэропорт

WAN/Internet

SiSi

SiSi

Отель

Предприятие

Дорога

Кафе

Главный

офисHQ

Филиал Дом

Многие компании фокусируются на предоставлении сервиса на своей территории (зарплата, билеты, документооборот…)

Сотрудник в среднем тратит только 30–40% времени в офисе

100 сотрудников



Зарплата ($25K в год) $2,5 млн. $12,5 млн. $25 млн.

1 час потери продуктивности $1,200 $6,000 $12,000

Потери в год от 1 часа в неделю $62,5K $312,5К $625К

Рост продуктивности


Уменьшение числа командировок

Уменьшение числа командировок внедрение видеоконференцсвязи/унифицированных коммуникаций/TelePresence решение по защищенному удаленному доступу и защите унифицированных коммуникаций


Командировочных затратах ($300-400 на авиабилет + $100 на гостиницу в сутки)


Рост продуктивности сотрудников

Чтение электронной почты отвлечение на незапрошенную корреспонденцию антиспам-решение


Интернет-трафике

Времени чтения почты

Последствия вирусных эпидемий

Особенности

Экономия на времени чтения почты имеет значение для предприятий с большим числом сотрудников


Сокращение затрат на Интернет

Контроль действий сотрудников в Интернет блокирование загрузок постороннего ПО, музыки, видео и контроль посторонних сайтов решение по контролю URL


Интернет-трафике

Дополнительно

Рост продуктивности (может быть)

Защита от вирусов и троянцев в загружаемом трафике


Оффшоринг


Оффшоринг и персональные данные

Сфера действия ФЗ-152 распространяется на российские юрлица, госорганы и т.п.

Передача функций систематизации, накопления, хранения, распространения, блокирования, уничтожения ПДн и т.п. в другие страны (оффшоринг) позволяет снизить нагрузку на предприятие в части выполнения требования ФЗ-152 и подзаконных актов

Проверить выполнение данного пункта в отношении зарубежных юрлиц невозможно – у органов надзора нет таких прав

Сбор и использование ПДн остается

В этом случае вы должны обязательно включить в договор обязательство обеспечения конфиденциальности ПДн и безопасности ПДн при их обработке (ст.6.4 ФЗ-152)


Защита бизнеса от «разворовывания»


Защита бизнеса от разворовывания

Увольнение сотрудников желание «урвать» кража информации решение по контролю утечек информации

Выгоды:

Защита от утечек интеллектуальной собственности, банковской и коммерческой тайны, персданных и т.п.

Дополнительно

Защита почты

Защита ПК, лэптопов от широкого спектра угроз

Защита от преследования за нарушение обращения с защищаемой информацией


Оценка эффективности ИБОт результативности к оптимальности


Достижение каких целей измеряем?

Цели топ-менеджмента

Операционные цели

Финансовые цели

Цели ИТ

Цели ИБ

Цели ИБ в данной ситуации вторичны, т.к. их никто не понимает кроме службы ИБ

Грустно это признавать, но это так


Efficiency vs. Effectiveness

Результативность

Оптимальность

Сначала мы обычно оцениваем достижение цели как таковой (результат)

Но интересно ли нам достижение цели любыми средствами?

• Процент заблокированного спама

• Процент прошедшего спама через антиспам и о котором сообщили сотрудники, прошедшие тренинг повышения осведомленности

Антиспам


Пример: контроль доступа в Интернет

Задача: оценить эффективность системы контроля доступа

Видимая оценка

• 1,5 часа в день на «одноклассниках»

• 200 сотрудников

• 6600 часов экономии –825 чел/дней

• $18750 в месяц (при зарплате $500)

• $225000 в год экономии

Скрытая оценка

• Блокирование доступа не значит, что сотрудники будут работать

• Работа «от» и «до» и не больше

• Ухудшение псих.климата

• Потери $150000 в год


Пример: система защиты e-mail

Исходные данные Значение Метрика Значение

Ценность (value) 1.000.000 Transaction Value 0,0025

Цена решения 250.000 Transaction Cost 0,000625

Цена средств защиты 20.000

Потери на инцидент 300 Cost per Control 0,000023529

Число транзакций 400.000.000

Control per Transaction 2.13

Проверенных IP 300.000.000

Антиспам 400.000.000 Security to Value Ratio 2%

Антивирус 150.000.000 Loss to Value Ratio 15%

Хороших писем разрешено 80.000.000 Control Effectiveness Ratio 95%

Плохих писем запрещено 300.000.000 Incident per Million 1,25

Хороших писем запрещено 200.000 Incident Prevention Rate 99,9998%

Плохих писем разрешено 500 Risk Aversion Ratio 400


Security BSC

Заказчик Финансы

Внутренние процессы

Обучение и рост

Базовая BSC

Заказчик

Ценность для бизнеса

Операционная эффективность

Будущее

Compliance


Прямая и косвенная отдача

Преимущества для бизнеса и использование преимуществ – это разные вещи

Снижение арендной платы уменьшение арендуемыхплощадей перевод сотрудников на дом решение Cisco по защищенному удаленному доступу


Аренда площадей

Питание сотрудников

Оплата проездных (если применимо)

Оплата канцтоваров

Принятие решения о переводе принимает менеджмент

Надо не только предлагать решение, но и продвигать его


Прямая и косвенная отдача

Статья экономии Человека/часов Цена*

Идентификация несоответствующих компьютеров1.0 $12.00

Определение местоположения несоответствующих

компьютеров1.0 $12.00

Приведение в соответствие2.0 $24.00

Потенциально сэкономленные затраты на 1 компьютер$48.00

ИБ дала возможность сэкономить, но…

…воспользовался ли бизнес этой возможностью?


Изучение багажа и оптимизация существующих проектов


Пример: классификация ИСПДн

Типовые ИСПДн

Единственная угроза для ПДн – нарушение конфиденциальности

Специальные ИСПДн

Помимо нарушения конфиденциальности, присутствуют и другие угрозы (нарушения целостности, доступности)

Класс определяется на основе модели угроз, разработанной ФСТЭК или ФСБ, но…


А есть ли вообще типовые ИСПДн?

Оператор при обработке персональных данных обязан принимать необходимые … технические меры … для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных, а также от иных неправомерных действий

ст.19 ФЗ-152 «О персональных данных»

Обязанность защиты от изменения и блокирования подразумевает защиту не только от угрозы нарушения конфиденциальности, но и от угроз нарушения целостности и доступности

Любая ИСПДн будет специальной!


Классификация специальных ИСПДн

По результатам анализа исходных данных класс специальной информационной системы определяется на основе модели угроз безопасности персональных данных в соответствии с методическими документами, разрабатываемыми в соответствии с пунктом 2 постановления Правительства Российской Федерации от 17 ноября 2007 г. N 781 «Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных»

Таких методических документов до сих пор нет!

Это дает большой простор для творчества!!!


Результат оптимизации

Типовая ИСПДн

Классификация ИСПДн

Мероприятия по защите в зависимости

от класса

Огромные затраты

Специальная ИСПДн

Частная модель угроз

Мероприятия по защите

Оптимальные затраты

..\..\..\Storage\Compliance\��, �� \�� \model.doc


Другие направления деятельности

Разработка организационно-распорядительной документации

Регламенты, политики, инструкции и т.д.

Разработка программы повышения осведомленности персонала

Разработка программы оценки эффективности ИБ

Разработка архитектуры и стратегии ИБ


Что готовит нам законодательство?


Законодательство и будущее

ФЗ «О персональных данных»

ФЗ «О служебной тайне»

СТР-К

Требования к защите коммерческой тайны

Требования к ключевым системам информационной инфраструктуры

Требования к ввозимым ИТ-решениям

Требования к аудиту и оценке соответствия


Планируемые / принятые ГОСТы

ГОСТ Р ИСО/МЭК ТО 18044 «Информационная технология. Методы обеспечения безопасности. Руководство по менеджменту безопасностью информации»

ГОСТ Р ИСО ТО 13569 «Финансовые услуги. Рекомендации по информационной безопасности»



ГОСТ Р ИСО/МЭК 18045 «Информационная технология. Методы и средства обеспечения безопасности. Методология оценки безопасности информационных технологий»

ГОСТ Р ИСО/МЭК ТО 19791 «Информационная технология. Методы и средства обеспечения безопасности. Оценка безопасности автоматизированных систем»



ГОСТ Р ИСО/МЭК ТО 15446 «Информационная технология. Методы и средства обеспечения безопасности. Руководство по разработке профилей защиты и заданий по безопасности»

ГОСТ Р ИСО/МЭК 27006 «Информационная технология. Методы и средства обеспечения безопасности. Требования к органам, осуществляющимаудит и сертификацию систем менеджмента информационной безопасности»



ГОСТ Р ИСО/МЭК 18028-1 «Информационная технология. Методы и средства обеспечения безопасности. Сетевая безопасность информационных технологий. Часть 1. Менеджмент сетевой безопасности»

ГОСТ Р ИСО/МЭК ТО 24762 «Защита информации. Рекомендации по услугам восстановления после чрезвычайных ситуаций функций и механизмов безопасности информационных и телекоммуникационных технологий. Общие положения»


Планируемая гармонизация ГОСТов

ГОСТ Р ИСО/МЭК 21827 «Информационная технология. Проектирование систем безопасности. Модель зрелости»

ГОСТ Р ИСО/МЭК 27000 «Информационная технология. Методы и средства безопасности. Системы менеджмента информационной безопасности. Обзор и словарь»

ГОСТ Р ИСО/МЭК 27002 «Информационная технология. Методы и средства безопасности. Практические правила менеджмента информационной безопасности»

ГОСТ Р ИСО/МЭК 27005 «Информационная технология. Измерения менеджмента информационной безопасности»


Планируемые национальные ГОСТы

ГОСТ Р «Защита информации. Автоматизированные системы и базы данных. Требования по обеспечению безопасности информации»

ГОСТ Р «Защита информации. Оценка безопасности информации, циркулирующей в автоматизированных системах. Общие положения»


Планируемые национальные ГОСТы

ГОСТ Р «Защита информации. Техника защиты информации. Требования к формированию баз синтетических биометрических образов, предназначенных для тестирования средств высоконадежной биометрической аутентификации»

ГОСТ Р «Система обеспечения информационной безопасности сети связи общего пользования. Методика оценки риска причинения ущерба сетям и системам связи»


Резюме


ИБ в условиях кризиса

Чтобы эффективно существовать в условиях кризиса службы ИБ должны, как минимум, понимать бизнес и идти за ним, а максимум – направлять его в нужном направлении

Изменение бизнеса

Улучшение бизнеса

Развитие вместес бизнесом

Хаос


Новый взгляд на безопасность


Вопросы

Дополнительные вопросы Вы можете задать по электронной почте [email protected]или по телефону: +7 495 961-1410

На сайте http://my.cisco.ru доступны сопутствующие материалы по данной тематике (White Paper, презентации и т.п.)

http://my.cisco.ru/

Security And Crisis

Technology

Transcript of Security And Crisis