Security And Crisis
-
Upload
risspa -
Category
Technology
-
view
1.562 -
download
0
description
Transcript of Security And Crisis
© 2008 Cisco Systems, Inc. All rights reserved.Security and Crisis 1/51
Обеспечение ИБ в условиях экономического кризиса. Новая парадигма
Алексей Лукацкий
Бизнес-консультант по безопасности
2/51© 2008 Cisco Systems, Inc. All rights reserved.Security and Crisis
О чем пойдет речь
ИБ на современном предприятии
Чем характеризуется современный кризис?
Рекомендации: от резюме к деталям
3/51© 2008 Cisco Systems, Inc. All rights reserved.Security and Crisis
ИБ в докризисные времена
Технический, ИТ-ориентированный подход
Безопасность была самоцелью
Бизнес оторван от безопасности (или наоборот)
Ни о какой привязке к бизнес-потребностям и речи нет
Отсутствует долгосрочная стратегия
Решаются, в основном, тактические или оперативные задачи
Стандартизация, архитектура и стратегия ИБ являются недосягаемой роскошью
О них мало кто думает, решая краткосрочные задачи
4/51© 2008 Cisco Systems, Inc. All rights reserved.Security and Crisis
Чем характеризуется нынешний кризис
Эпоха изобилия заканчивается, финансов не хватает
Экономия и снижение операционных и капитальных затрат
Замораживание проектов с неочевидной выгодой и долгоиграющих проектов
Финансирование проектов с быстрой отдачей
Сокращение непрофильного персонала
Безопасность должна понимать бизнес, отталкиваться от его потребностей, ставить во главу угла бизнес-
задачи, измерять эффективность ИБ в бизнес-показателях
5/51© 2008 Cisco Systems, Inc. All rights reserved.Security and Crisis
Рекомендации
Security Product Security Management Security Governance
Effectiveness Efficiency
Изучение багажа и оптимизация уже существующих проектов
Готовность к законодательным переменам и их творческое осмысление
Подготовка к новым маркетинговым фишечкам
Виртуализация, туманные вычисления, Grid и т.д.
6/51© 2008 Cisco Systems, Inc. All rights reserved.Security and Crisis
Product Management Governance
7/51© 2008 Cisco Systems, Inc. All rights reserved.Security and Crisis
Результаты исследования E&Y
Все начинают с сокращения затрат (без эффекта)
7 ключевых областей для оптимизации расходов
Оптимизация ассортимента продукции
Изменение стратегии продаж
Сокращение затрат на персонал
Повышение производительности
Аутсорсинг
Оффшоринг
Оптимизация использования и стоимости привлечения ресурсов
8/51© 2008 Cisco Systems, Inc. All rights reserved.Security and Crisis
Изменение стратегии продаж
9/51© 2008 Cisco Systems, Inc. All rights reserved.Security and Crisis
Изменение стратегии продаж
Рост выручки рост числа клиентов географическая экспансия решение по защищенному удаленному доступу и защите от утечек информации
Рост выручки рост числа сделок оснащение мобильными устройствами и подключением к Интернет решение по защищенному удаленному доступу
Рост выручки рост числа клиентов/сделок, ускорение сделок, снижение себестоимости сделок новый канал продаж Интернет решение по защищенному удаленному доступу, защите Интернет-ресурсов
10/51© 2008 Cisco Systems, Inc. All rights reserved.Security and Crisis
Оптимизация использования ресурсов
11/51© 2008 Cisco Systems, Inc. All rights reserved.Security and Crisis
Снижение арендной платы (сценарий 1)
Снижение арендной платы уменьшение арендуемых площадей перевод сотрудников на дом решение по защищенному удаленному доступу
Экономия на:
Аренда площадей
Питание сотрудников
Оплата проездных (если применимо)
Оплата канцтоваров
Оплата коммунальных расходов, а также
Улучшение психологического климата за счет работы дома
Рост продуктивности
12/51© 2008 Cisco Systems, Inc. All rights reserved.Security and Crisis
Уменьшение складских запасов
Уменьшение складских запасов удаленный доступ к складской ИС поставщиков решение по защищенному удаленному доступу, защита Интернет-ресурсов, Identity & Entitlement Management
Экономия на:
Уменьшение складских площадей
Оптимизация логистики
Ускорение цикла поставки
13/51© 2008 Cisco Systems, Inc. All rights reserved.Security and Crisis
Оптимизация финансовых затрат
Оптимизация финансовых затрат переход на лизинг или оплату в рассрочку обращение в компании по ИТ/ИБ-финансированию
Выгоды:
CapEx переходит в OpEx
Ускоренная амортизация (коэффициент – 3)
Снижение налога на прибыль и имущество
Не снижает Net Income, EBITDA
Нет проблем списания оборудования
Отсрочка платежа
Фиксированная ставка в рублях
Положительное влияние на финансовые показатели
14/51© 2008 Cisco Systems, Inc. All rights reserved.Security and Crisis
Повышение производительности
15/51© 2008 Cisco Systems, Inc. All rights reserved.Security and Crisis
Рост продуктивности сотрудников
Рост продуктивности снижение времени, потраченного на дорогу перевод сотрудников на дом решение по защищенному удаленному доступу
Рост продуктивности – от 10% до 40%
Дополнительно:
Увеличение рабочего времени
Экономия на аренде площадей
Экономия на питании сотрудников
Экономия на оплате проездных (если применимо)
Экономия на оплате канцтоваров
Улучшение психологического климата за счет работы дома
16/51© 2008 Cisco Systems, Inc. All rights reserved.Security and Crisis
Вчера: Люди “шли” на работу Сегодня: Работа “идет” к людям
Аэропорт
WAN/Internet
SiSi
SiSi
Отель
Предприятие
Дорога
Кафе
Главный
офисHQ
Филиал Дом
Многие компании фокусируются на предоставлении сервиса на своей территории (зарплата, билеты, документооборот…)
Сотрудник в среднем тратит только 30–40% времени в офисе
100 сотрудников
500 сотрудников
1000 сотрудников
Зарплата ($25K в год) $2,5 млн. $12,5 млн. $25 млн.
1 час потери продуктивности $1,200 $6,000 $12,000
Потери в год от 1 часа в неделю $62,5K $312,5К $625К
Рост продуктивности
17/51© 2008 Cisco Systems, Inc. All rights reserved.Security and Crisis
Уменьшение числа командировок
Уменьшение числа командировок внедрение видеоконференцсвязи/унифицированных коммуникаций/TelePresence решение по защищенному удаленному доступу и защите унифицированных коммуникаций
Экономия на:
Командировочных затратах ($300-400 на авиабилет + $100 на гостиницу в сутки)
18/51© 2008 Cisco Systems, Inc. All rights reserved.Security and Crisis
Рост продуктивности сотрудников
Чтение электронной почты отвлечение на незапрошенную корреспонденцию антиспам-решение
Экономия на:
Интернет-трафике
Времени чтения почты
Последствия вирусных эпидемий
Особенности
Экономия на времени чтения почты имеет значение для предприятий с большим числом сотрудников
19/51© 2008 Cisco Systems, Inc. All rights reserved.Security and Crisis
Сокращение затрат на Интернет
Контроль действий сотрудников в Интернет блокирование загрузок постороннего ПО, музыки, видео и контроль посторонних сайтов решение по контролю URL
Экономия на:
Интернет-трафике
Дополнительно
Рост продуктивности (может быть)
Защита от вирусов и троянцев в загружаемом трафике
20/51© 2008 Cisco Systems, Inc. All rights reserved.Security and Crisis
Оффшоринг
21/51© 2008 Cisco Systems, Inc. All rights reserved.Security and Crisis
Оффшоринг и персональные данные
Сфера действия ФЗ-152 распространяется на российские юрлица, госорганы и т.п.
Передача функций систематизации, накопления, хранения, распространения, блокирования, уничтожения ПДн и т.п. в другие страны (оффшоринг) позволяет снизить нагрузку на предприятие в части выполнения требования ФЗ-152 и подзаконных актов
Проверить выполнение данного пункта в отношении зарубежных юрлиц невозможно – у органов надзора нет таких прав
Сбор и использование ПДн остается
В этом случае вы должны обязательно включить в договор обязательство обеспечения конфиденциальности ПДн и безопасности ПДн при их обработке (ст.6.4 ФЗ-152)
22/51© 2008 Cisco Systems, Inc. All rights reserved.Security and Crisis
Защита бизнеса от «разворовывания»
23/51© 2008 Cisco Systems, Inc. All rights reserved.Security and Crisis
Защита бизнеса от разворовывания
Увольнение сотрудников желание «урвать» кража информации решение по контролю утечек информации
Выгоды:
Защита от утечек интеллектуальной собственности, банковской и коммерческой тайны, персданных и т.п.
Дополнительно
Защита почты
Защита ПК, лэптопов от широкого спектра угроз
Защита от преследования за нарушение обращения с защищаемой информацией
24/51© 2008 Cisco Systems, Inc. All rights reserved.Security and Crisis
Оценка эффективности ИБОт результативности к оптимальности
25/51© 2008 Cisco Systems, Inc. All rights reserved.Security and Crisis
Достижение каких целей измеряем?
Цели топ-менеджмента
Операционные цели
Финансовые цели
Цели ИТ
Цели ИБ
Цели ИБ в данной ситуации вторичны, т.к. их никто не понимает кроме службы ИБ
Грустно это признавать, но это так
26/51© 2008 Cisco Systems, Inc. All rights reserved.Security and Crisis
Efficiency vs. Effectiveness
Результативность
Оптимальность
Сначала мы обычно оцениваем достижение цели как таковой (результат)
Но интересно ли нам достижение цели любыми средствами?
• Процент заблокированного спама
• Процент прошедшего спама через антиспам и о котором сообщили сотрудники, прошедшие тренинг повышения осведомленности
Антиспам
27/51© 2008 Cisco Systems, Inc. All rights reserved.Security and Crisis
Пример: контроль доступа в Интернет
Задача: оценить эффективность системы контроля доступа
Видимая оценка
• 1,5 часа в день на «одноклассниках»
• 200 сотрудников
• 6600 часов экономии –825 чел/дней
• $18750 в месяц (при зарплате $500)
• $225000 в год экономии
Скрытая оценка
• Блокирование доступа не значит, что сотрудники будут работать
• Работа «от» и «до» и не больше
• Ухудшение псих.климата
• Потери $150000 в год
28/51© 2008 Cisco Systems, Inc. All rights reserved.Security and Crisis
Пример: система защиты e-mail
Исходные данные Значение Метрика Значение
Ценность (value) 1.000.000 Transaction Value 0,0025
Цена решения 250.000 Transaction Cost 0,000625
Цена средств защиты 20.000
Потери на инцидент 300 Cost per Control 0,000023529
Число транзакций 400.000.000
Control per Transaction 2.13
Проверенных IP 300.000.000
Антиспам 400.000.000 Security to Value Ratio 2%
Антивирус 150.000.000 Loss to Value Ratio 15%
Хороших писем разрешено 80.000.000 Control Effectiveness Ratio 95%
Плохих писем запрещено 300.000.000 Incident per Million 1,25
Хороших писем запрещено 200.000 Incident Prevention Rate 99,9998%
Плохих писем разрешено 500 Risk Aversion Ratio 400
29/51© 2008 Cisco Systems, Inc. All rights reserved.Security and Crisis
Security BSC
Заказчик Финансы
Внутренние процессы
Обучение и рост
Базовая BSC
Заказчик
Ценность для бизнеса
Операционная эффективность
Будущее
Compliance
30/51© 2008 Cisco Systems, Inc. All rights reserved.Security and Crisis
Прямая и косвенная отдача
Преимущества для бизнеса и использование преимуществ – это разные вещи
Снижение арендной платы уменьшение арендуемыхплощадей перевод сотрудников на дом решение Cisco по защищенному удаленному доступу
Экономия на:
Аренда площадей
Питание сотрудников
Оплата проездных (если применимо)
Оплата канцтоваров
Принятие решения о переводе принимает менеджмент
Надо не только предлагать решение, но и продвигать его
31/51© 2008 Cisco Systems, Inc. All rights reserved.Security and Crisis
Прямая и косвенная отдача
Статья экономии Человека/часов Цена*
Идентификация несоответствующих компьютеров1.0 $12.00
Определение местоположения несоответствующих
компьютеров1.0 $12.00
Приведение в соответствие2.0 $24.00
Потенциально сэкономленные затраты на 1 компьютер$48.00
ИБ дала возможность сэкономить, но…
…воспользовался ли бизнес этой возможностью?
32/51© 2008 Cisco Systems, Inc. All rights reserved.Security and Crisis
Изучение багажа и оптимизация существующих проектов
33/51© 2008 Cisco Systems, Inc. All rights reserved.Security and Crisis
Пример: классификация ИСПДн
Типовые ИСПДн
Единственная угроза для ПДн – нарушение конфиденциальности
Специальные ИСПДн
Помимо нарушения конфиденциальности, присутствуют и другие угрозы (нарушения целостности, доступности)
Класс определяется на основе модели угроз, разработанной ФСТЭК или ФСБ, но…
34/51© 2008 Cisco Systems, Inc. All rights reserved.Security and Crisis
А есть ли вообще типовые ИСПДн?
Оператор при обработке персональных данных обязан принимать необходимые … технические меры … для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных, а также от иных неправомерных действий
ст.19 ФЗ-152 «О персональных данных»
Обязанность защиты от изменения и блокирования подразумевает защиту не только от угрозы нарушения конфиденциальности, но и от угроз нарушения целостности и доступности
Любая ИСПДн будет специальной!
35/51© 2008 Cisco Systems, Inc. All rights reserved.Security and Crisis
Классификация специальных ИСПДн
По результатам анализа исходных данных класс специальной информационной системы определяется на основе модели угроз безопасности персональных данных в соответствии с методическими документами, разрабатываемыми в соответствии с пунктом 2 постановления Правительства Российской Федерации от 17 ноября 2007 г. N 781 «Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных»
Таких методических документов до сих пор нет!
Это дает большой простор для творчества!!!
36/51© 2008 Cisco Systems, Inc. All rights reserved.Security and Crisis
Результат оптимизации
Типовая ИСПДн
Классификация ИСПДн
Мероприятия по защите в зависимости
от класса
Огромные затраты
Специальная ИСПДн
Частная модель угроз
Мероприятия по защите
Оптимальные затраты
37/51© 2008 Cisco Systems, Inc. All rights reserved.Security and Crisis
Другие направления деятельности
Разработка организационно-распорядительной документации
Регламенты, политики, инструкции и т.д.
Разработка программы повышения осведомленности персонала
Разработка программы оценки эффективности ИБ
Разработка архитектуры и стратегии ИБ
38/51© 2008 Cisco Systems, Inc. All rights reserved.Security and Crisis
Что готовит нам законодательство?
39/51© 2008 Cisco Systems, Inc. All rights reserved.Security and Crisis
Законодательство и будущее
ФЗ «О персональных данных»
ФЗ «О служебной тайне»
СТР-К
Требования к защите коммерческой тайны
Требования к ключевым системам информационной инфраструктуры
Требования к ввозимым ИТ-решениям
Требования к аудиту и оценке соответствия
40/51© 2008 Cisco Systems, Inc. All rights reserved.Security and Crisis
Планируемые / принятые ГОСТы
ГОСТ Р ИСО/МЭК ТО 18044 «Информационная технология. Методы обеспечения безопасности. Руководство по менеджменту безопасностью информации»
ГОСТ Р ИСО ТО 13569 «Финансовые услуги. Рекомендации по информационной безопасности»
41/51© 2008 Cisco Systems, Inc. All rights reserved.Security and Crisis
Планируемые / принятые ГОСТы
ГОСТ Р ИСО/МЭК 18045 «Информационная технология. Методы и средства обеспечения безопасности. Методология оценки безопасности информационных технологий»
ГОСТ Р ИСО/МЭК ТО 19791 «Информационная технология. Методы и средства обеспечения безопасности. Оценка безопасности автоматизированных систем»
42/51© 2008 Cisco Systems, Inc. All rights reserved.Security and Crisis
Планируемые / принятые ГОСТы
ГОСТ Р ИСО/МЭК ТО 15446 «Информационная технология. Методы и средства обеспечения безопасности. Руководство по разработке профилей защиты и заданий по безопасности»
ГОСТ Р ИСО/МЭК 27006 «Информационная технология. Методы и средства обеспечения безопасности. Требования к органам, осуществляющимаудит и сертификацию систем менеджмента информационной безопасности»
43/51© 2008 Cisco Systems, Inc. All rights reserved.Security and Crisis
Планируемые / принятые ГОСТы
ГОСТ Р ИСО/МЭК 18028-1 «Информационная технология. Методы и средства обеспечения безопасности. Сетевая безопасность информационных технологий. Часть 1. Менеджмент сетевой безопасности»
ГОСТ Р ИСО/МЭК ТО 24762 «Защита информации. Рекомендации по услугам восстановления после чрезвычайных ситуаций функций и механизмов безопасности информационных и телекоммуникационных технологий. Общие положения»
44/51© 2008 Cisco Systems, Inc. All rights reserved.Security and Crisis
Планируемая гармонизация ГОСТов
ГОСТ Р ИСО/МЭК 21827 «Информационная технология. Проектирование систем безопасности. Модель зрелости»
ГОСТ Р ИСО/МЭК 27000 «Информационная технология. Методы и средства безопасности. Системы менеджмента информационной безопасности. Обзор и словарь»
ГОСТ Р ИСО/МЭК 27002 «Информационная технология. Методы и средства безопасности. Практические правила менеджмента информационной безопасности»
ГОСТ Р ИСО/МЭК 27005 «Информационная технология. Измерения менеджмента информационной безопасности»
45/51© 2008 Cisco Systems, Inc. All rights reserved.Security and Crisis
Планируемые национальные ГОСТы
ГОСТ Р «Защита информации. Автоматизированные системы и базы данных. Требования по обеспечению безопасности информации»
ГОСТ Р «Защита информации. Оценка безопасности информации, циркулирующей в автоматизированных системах. Общие положения»
46/51© 2008 Cisco Systems, Inc. All rights reserved.Security and Crisis
Планируемые национальные ГОСТы
ГОСТ Р «Защита информации. Техника защиты информации. Требования к формированию баз синтетических биометрических образов, предназначенных для тестирования средств высоконадежной биометрической аутентификации»
ГОСТ Р «Система обеспечения информационной безопасности сети связи общего пользования. Методика оценки риска причинения ущерба сетям и системам связи»
47/51© 2008 Cisco Systems, Inc. All rights reserved.Security and Crisis
Резюме
48/51© 2008 Cisco Systems, Inc. All rights reserved.Security and Crisis
ИБ в условиях кризиса
Чтобы эффективно существовать в условиях кризиса службы ИБ должны, как минимум, понимать бизнес и идти за ним, а максимум – направлять его в нужном направлении
Изменение бизнеса
Улучшение бизнеса
Развитие вместес бизнесом
Хаос
49/51© 2008 Cisco Systems, Inc. All rights reserved.Security and Crisis
Новый взгляд на безопасность
50/51© 2008 Cisco Systems, Inc. All rights reserved.Security and Crisis
Вопросы
Дополнительные вопросы Вы можете задать по электронной почте [email protected]или по телефону: +7 495 961-1410
На сайте http://my.cisco.ru доступны сопутствующие материалы по данной тематике (White Paper, презентации и т.п.)
51/51© 2008 Cisco Systems, Inc. All rights reserved.Security and Crisis