Security apocalypse

1/74 © Cisco, 2010. Все права защищены.

Апокалипсис безопасности

Алексей Лукацкий, бизнес-консультант по безопасности

© Cisco, 2010. Все права защищены. 374

• Риски, связанные со все более укрепляющимся положением международных производителей на отечественном рынке программного обеспечения в сфере ИБ, особенно принимая во внимание фактическую либерализацию импорта СКЗИ

• Рост роли международных стандартов на национальном рынке информационной безопасности, перекос регулирования «экспорт/импорт» может привести к падению спроса на продукцию отечественных производителей программного обеспечения


• В российских информационно-коммуникационных технологиях используется до 98% зарубежных разработок и оборудования

Данные Совбеза РФ

• ФСБ не раз заявляла о том, что для борьбы с этой угрозой национальной безопасности будут использованы два основных механизмы – недопущение на российский рынок западных продуктов и сертификация средств защиты информации

• Угроза - использование несертифицированных отечественных и зарубежных ИТ, средств защиты информации, средств информатизации, телекоомуникации и связи при создании и развитии российской информационной инфраструктуры

Доктрина информационной безопасности РФ


• Россия зависима от западных технологий

Их разработчики находятся под колпаком у западных спецслужб

• Невозможность бороться с киберпреступлениями

Г-н Путин сначала подписал Будапештскую конвенцию ЕС «О борьбе с киберпреступностью», а потом отозвал свою подпись

• Готовятся кибервойны

США внесло в ООН предложение отвечать военными ударами на кибератаки

• Законодательство других стран дает право спецслужбам контролировать весь Интернет-трафик, проходящий через эти страны

В России такое же законодательство


• Развивать свое, постепенно вытесняя все зарубежное недоверенное

Пример: Китай

• Дать возможность применять для гражданского применения все, что угодно, контролируя наиболее критичные сферы (гостайна, КВО, оборонка), пытаясь внедрить в них собственные наработки

ИТ ИБ

Бизнес

ИБ ИТ

Россия

Запад


• Выработка мер по минимизации непосредственного участия иностранных компаний в информатизации процессов государственного управления

• Содействие развитию отечественного производства средств связи и телекоммуникаций, ПО, микроэлектронной базы и т.д.

• И еще 5 предложений

• По поводу СПО

ФСБ не раз заявляла, что уровень затрат на анализ СПО и проприетарного ПО в контексте ИБ одинаков

Основным поставщиком ПО для Сочи-2014 выбрана компания Microsoft – уже после принятия курса на СПО


Большое количество регуляторов

Легитимный ввоз криптографии в соответствие

с правилами Таможенного союза

Использование легитимной криптографии

Требования сертификации

Локальные и закрытые нормативные акты

Отсутствие учета рыночных потребностей

Исторический бэкграунд


ИБ

ФСТЭК

ФСБ

Минком-связь

МО

СВР

ФСО

ЦБ

PCI

Council

Газпром-

серт

Росатом

РЖД

Рос-

стандарт


• Персональные данные

• Финансовая отрасль

PCI DSS

СТО БР ИББС-1.0

ФЗ «О национальной платежной системе»

• Электронная подпись

• Критически важные объекты

• Госуслуги и УЭК

• Новый ФЗ о лицензировании

• И др.


• Готовится 9 новых Постановлений Правительства

Приказы и иные документы

Постановления Правительства

Законы

Конвенции и иные международные договора

Европейская Конвенция

ФЗ №152 от 26.07.2006

ФЗ №160 от 19.12.2005

№781 от 17.11.2007

«Приказ трех» от

13.02.2008

2 открытых документа и 1 полуДСП от

ФСТЭК

2 открытых документа ФСБ

Регламенты осуществления

контроля и надзорар

№687 от 15.09.2008

№512 от 6.07.2008

Директивы Евросоюза /

Европарламента

Рекомендации ОЭСР


• Терминология

ПДн, биометрические ПДн, обезличивание, обработка, автоматизированная обработка, трансграничная передача

• Условия обработки ПДн без согласия

• Появление «обработчика» ПДн (ЛОПДПО)

• Условия обработки специальных категорий ПДн

• Условия трансграничной передачи ПДн

• Условия ограничения доступа субъекта к его ПДн

• Условия непредоставления субъекту сведений

• Контроль и надзор со стороны ФСТЭК и ФСБ

• Содержание уведомления в РКН

• Возмещение морального вреда


• Классификация ИСПДн – ее больше нет

• Моделирование угроз – его больше нельзя делать самостоятельно

• Требования по защите ПДн – стало жестче

• Сертификация средств защиты – на уровне закона

• Аттестация объектов информатизации – на уровне закона

• Лицензирование деятельности по защите информации

Об этом постоянно говорят регуляторы в лице ФСТЭК и ФСБ


• Безопасность персданных является обязательным условием обработки ПДн

• За безопасность ПДн отвечают ФСТЭК и ФСБ

ФСТЭК выпустил приказ №58 – планируется изменение

ФСБ выпустила 2 методических документа в области криптографии – планируется изменение

• Подход регуляторов

Сертифицированные СЗИ и СКЗИ – изменений не планируется

Вновь появляется аттестация

• Отраслевые стандарты – прошлый тренд

СТО БР ИББС, НАУФОР, НАПФ, Тритон, Минздравсоцразвития…


ISO 15408:1999 («Общие критерии») в России

(ГОСТ Р ИСО/МЭК 15408) так и не заработал

Перевод СоДИТ ISO 15408:2009 – судьба

неизвестна ;-(

ПП-608 разрешает признание западных

сертификатов – не работает

ФЗ «О техническом регулировании» разрешает

оценку по западным стандартам – не работает

ПП-455 обязывает ориентироваться на

международные нормы – не работает


• В четверокнижии ФСТЭК аттестация была обязательной для ИСПДн К1, К2 и распределенной К3

• В приказе № 58 требования аттестации нет!

• Что такое «оценка эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных»?

Ст.19 нового старого ФЗ-152

• Во ФСТЭК готовятся документы по аттестации объектов информатизации, обрабатывающих конфиденциальную информцию


• Старые НПА «говорят» преимущественно о сертификации, а новые – об оценке соответствия

• Оценка соответствия ≠ сертификация

• Оценка соответствия - прямое или косвенное определение соблюдения требований, предъявляемых к объекту

• Оценка соответствия регулируется ФЗ-184 «О техническом регулировании»


ФСТЭК ФСБ МО СВР

Все, кроме

криптографии

СКЗИ

МСЭ

Антивирусы

IDS

BIOS

Сетевое

оборудование

Все для нужд

оборонного ведомства

Тайна, покрытая

мраком

Требования

открыты Требования закрыты (часто секретны). Даже лицензиаты

зачастую не имеют их, оперируя выписками из выписок

А еще есть 3 негосударственных системы сертификации СЗИ – ГАЗПРОМСЕРТ,

«АйТиСертифика» (ЕВРААС) и Ecomex

© Cisco, 2010. Все права защищены. 2074 20

0

1

2

3

4

5

6

7

8

Число нормативных актов с требованиями сертификации по требованиям безопасности

* - для 2011 – предварительная оценка проектов новых нормативных актов (ФЗ “О национальной

платежной системе”, ФЗ “О служебной тайне”, новые приказы ФСТЭК/ФСБ и т.д.)


• Стоимость СЗИ на 1 ПК – от 3,4 тысяч (Windows 7) до 5-8 тысяч рублей

+15-25% на годовую поддержку

• Стоимость СЗИ на 1 сервер – от 9 тысяч (Windows 2008 Server) до 30-35 тысяч рублей

• Стоимость сканера защищенности – 9 тысяч рублей на 10 IP

• Антивирус на 1 ПК – 900-1000 рублей

Если не брать Total Security, Endpoint Security и т.п.

• Стоимость МСЭ – от 10 тысяч до 10 миллионов рублей

• Стоимость IPS – от 45 -60 тысяч рублей


• Несколько офисов? 120-140 тысяч рублей на VPN «точка-точка»

10 офисов – 900-1200 тысяч рублей

• Стоимость оргмер (модели угроз, обследование, классификация, обучение...) составит 540 тысяч рублей

• Стоимость аттестации 10 ПК составит около 200 тысяч рублей

При невозможности вносить в систему изменения

• Итого (в год)

10 ПК + 1 сервер + Интернет = 900 тысяч рублей

100 ПК + 3 сервера + Интернет = 3915 тысяч рублей

100 ПК + 3 сервера + Интернет + 10 офисов = 5 миллионов рублей


• Кодекс (Конвенция) поведения ООН в области ИБ Инициирован Россией, Китаем, Узбекистаном и Таджикистаном

Запрет на вмешательство в национальное Интернет-пространство

Запрет на использования Интернет и социальных сетей для свержения правительств

• Социальные сети и Интернет надо контролировать Юрий Чайка, Генеральная прокуратура

• Интернет не приемлет анонимности – надо контролировать Кирилл, Русская Православная Церковь

• Интернет не приемлет анонимности – надо контролировать Рашид Нургалиев, МВД

• Пользователи должны иметь Интернет-паспорта Евгений Касперский


• Приказ, определяющий, что считать ИТ-продукцией отечественного производства

• Параметр Кимп (стоимость импортного сырья, материалов, комплектующих, имеющих отечественные аналоги) в формуле расчета либо не вычислим либо будет всегда очень большим (итог – низкий уровень локализации)

Не установлен орган сличения материалов и комплектующих иностранного и отечественного производства

Не определены каталога, считающиеся официальными

Не определены процедуры и орган, утверждающие о наличии отечественных аналогов


• Иностранные вендоры в России – резиденты со 100%-м участием иностранных компаний

Приказ обязаывает создавать СП с госорганами, муниципалоами или Ростехнологиями

СП должны быть переданы права на документацию и ПО – передача интеллектуальных прав западной компании (особенно из США) практически невозможна

• Заявитель должен осуществлять полный цикл сборки печатных плат в России

В России таких предприятий (даже оборонных) практически нет

При наличии таких предприятий проще обратиться на Тайвань или в Китай – себестоимость ниже

Кстати, сборка печатных плат – экологически вредное производство


Что?

С кем?

Как?

Сколько?

Кто?

Гостайна

ИТР

Закрытость

Неважно

КГБ

КТ, БТ, ПДн

Инсайдер, хакер

Открытость

ROI, TCO, NPV

эксКГБ

Формат Файлы Мультимедиа

Технологии Закрытые АС Облака, mobility

Изменения Статика Динамика


Абсолютная непрогнозируемость изменений на рынке информационной безопасности


Либерализация

• Вероятность - 20% (на данный момент)

• Вероятность через 2 года - 25% и 10% (в зависимости от победителя президентских выборов)

Закручивание гаек


• Вероятность через 2 года - 20% и 65% (в зависимости от победителя президентских выборов)

Останется все, как есть


Экспертная оценка специалистов Cisco


http://www.facebook.com/CiscoRu

http://twitter.com/CiscoRussia

http://www.youtube.com/CiscoRussiaMedia

http://www.flickr.com/photos/CiscoRussia

http://vkontakte.ru/Cisco

Спасибо

за внимание!

[email protected]

Praemonitus praemunitus!

Security apocalypse

News & Politics

Transcript of Security apocalypse