Your SlideShare is downloading. ×
0
Альтернативный курс по информационной безопасности
Альтернативный курс по информационной безопасности
Альтернативный курс по информационной безопасности
Альтернативный курс по информационной безопасности
Альтернативный курс по информационной безопасности
Альтернативный курс по информационной безопасности
Альтернативный курс по информационной безопасности
Альтернативный курс по информационной безопасности
Альтернативный курс по информационной безопасности
Альтернативный курс по информационной безопасности
Альтернативный курс по информационной безопасности
Альтернативный курс по информационной безопасности
Альтернативный курс по информационной безопасности
Альтернативный курс по информационной безопасности
Альтернативный курс по информационной безопасности
Альтернативный курс по информационной безопасности
Альтернативный курс по информационной безопасности
Альтернативный курс по информационной безопасности
Альтернативный курс по информационной безопасности
Альтернативный курс по информационной безопасности
Альтернативный курс по информационной безопасности
Альтернативный курс по информационной безопасности
Альтернативный курс по информационной безопасности
Альтернативный курс по информационной безопасности
Альтернативный курс по информационной безопасности
Альтернативный курс по информационной безопасности
Альтернативный курс по информационной безопасности
Альтернативный курс по информационной безопасности
Альтернативный курс по информационной безопасности
Альтернативный курс по информационной безопасности
Альтернативный курс по информационной безопасности
Альтернативный курс по информационной безопасности
Альтернативный курс по информационной безопасности
Альтернативный курс по информационной безопасности
Альтернативный курс по информационной безопасности
Альтернативный курс по информационной безопасности
Альтернативный курс по информационной безопасности
Альтернативный курс по информационной безопасности
Альтернативный курс по информационной безопасности
Альтернативный курс по информационной безопасности
Альтернативный курс по информационной безопасности
Альтернативный курс по информационной безопасности
Альтернативный курс по информационной безопасности
Альтернативный курс по информационной безопасности
Альтернативный курс по информационной безопасности
Альтернативный курс по информационной безопасности
Альтернативный курс по информационной безопасности
Альтернативный курс по информационной безопасности
Альтернативный курс по информационной безопасности
Альтернативный курс по информационной безопасности
Альтернативный курс по информационной безопасности
Альтернативный курс по информационной безопасности
Альтернативный курс по информационной безопасности
Альтернативный курс по информационной безопасности
Альтернативный курс по информационной безопасности
Альтернативный курс по информационной безопасности
Альтернативный курс по информационной безопасности
Альтернативный курс по информационной безопасности
Альтернативный курс по информационной безопасности
Альтернативный курс по информационной безопасности
Альтернативный курс по информационной безопасности
Альтернативный курс по информационной безопасности
Альтернативный курс по информационной безопасности
Альтернативный курс по информационной безопасности
Альтернативный курс по информационной безопасности
Альтернативный курс по информационной безопасности
Альтернативный курс по информационной безопасности
Альтернативный курс по информационной безопасности
Альтернативный курс по информационной безопасности
Альтернативный курс по информационной безопасности
Альтернативный курс по информационной безопасности
Альтернативный курс по информационной безопасности
Альтернативный курс по информационной безопасности
Альтернативный курс по информационной безопасности
Альтернативный курс по информационной безопасности
Альтернативный курс по информационной безопасности
Альтернативный курс по информационной безопасности
Альтернативный курс по информационной безопасности
Альтернативный курс по информационной безопасности
Альтернативный курс по информационной безопасности
Альтернативный курс по информационной безопасности
Альтернативный курс по информационной безопасности
Альтернативный курс по информационной безопасности
Альтернативный курс по информационной безопасности
Альтернативный курс по информационной безопасности
Альтернативный курс по информационной безопасности
Альтернативный курс по информационной безопасности
Альтернативный курс по информационной безопасности
Альтернативный курс по информационной безопасности
Альтернативный курс по информационной безопасности
Альтернативный курс по информационной безопасности
Альтернативный курс по информационной безопасности
Upcoming SlideShare
Loading in...5
×

Thanks for flagging this SlideShare!

Oops! An error has occurred.

×
Saving this for later? Get the SlideShare app to save on your phone or tablet. Read anywhere, anytime – even offline.
Text the download link to your phone
Standard text messaging rates apply

Альтернативный курс по информационной безопасности

14,606

Published on

Published in: Self Improvement
0 Comments
6 Likes
Statistics
Notes
  • Be the first to comment

No Downloads
Views
Total Views
14,606
On Slideshare
0
From Embeds
0
Number of Embeds
51
Actions
Shares
0
Downloads
145
Comments
0
Likes
6
Embeds 0
No embeds

Report content
Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
No notes for slide

Transcript

  • 1. Альтернативный курс ИБ длясовременного безопасникаЛукацкий Алексей, консультант по безопасности
  • 2. ПОЧЕМУ У НАС ТАКОЕОБРАЗОВАНИЕ ПО ИБ?
  • 3. Виды образования в РФ• Общее образование– Дошкольное– Начальное– Среднее• Профессиональное образование– Начальное– Среднее– Высшее• Бакалавриат• Магистратура• Послевузовское профессиональная образование– Аспирантура, докторантура– Повышение квалификации– Переподготовка
  • 4. Кто и что готовит специалистов по ИБ?• В учебно-методическое объединение ВУЗов России пообразованию в области информационной безопасности входитсвыше 70 учебных заведений со всех регионов России• Обучение проводится по федеральным государственнымобразовательным стандартам (ФГОСам), являющихся основойдля основных образовательных программ• Выделяется 3 степени обучения в ВПОАспирант (3года)Аспирант (3года)Магистр (2года)Магистр (2года)Бакалавр (4года)Бакалавр (4года)Специалист(5.5 лет)Специалист(5.5 лет)
  • 5. Кого готовят ВУЗы?Бакалавриат• 090900 ИнформационнаябезопасностьМагистратура• 090900 ИнформационнаябезопасностьСпециалитет• 030901 Правовоеобеспечение национальнойбезопасности• 090301 Компьютернаябезопасность• 090302 Информационнаябезопасностьтелекоммуникационныхсистем• 090303 Информационнаябезопасностьавтоматизированных систем• 090305 Информационно-аналитические системыбезопасности• 090915 Безопасностьинформационных технологийв правоохранительной сфере• Специалитет подразумевает специализации
  • 6. Специализации по специальности «Компьютернаябезопасность»• Анализ безопасности компьютерных систем• Математические методы защиты информации• Безопасность распределенных компьютерных систем• Разработка защищенного программного обеспечения• Безопасность высокопроизводительных вычислительных систем• Безопасность программного обеспечения мобильных систем• Информационно-аналитическая и техническая экспертизакомпьютерных систем• Информационная безопасность объектов информатизации набазе компьютерных систем
  • 7. Специализации по специальности «Информационнаябезопасность автоматизированных систем»• Автоматизированные информационные системы специальногоназначения• Высокопроизводительные вычислительные системыспециального назначения• Информационная безопасность автоматизированных системкритически важных объектов• Безопасность открытых информационных систем• Информационная безопасность автоматизированных банковскихсистем• Защищенные автоматизированные системы управления• Обеспечение информационной безопасности распределенныхинформационных систем• Создание автоматизированных систем в защищенномисполнении
  • 8. Специализации по специальности «Информационнаябезопасность телекоммуникационных систем»• Мониторинг в телекоммуникационных системах• Системы представительской связи• Сети специальной связи• Инструментальный контроль информационной безопасностителекоммуникационных систем• Системы специальной связи и информации для органов государственнойвласти• Информационная безопасность космических телекоммуникационных систем• Разработка защищенных телекоммуникационных систем• Системы подвижной цифровой защищенной связи• Защита информации в радиосвязи и телерадиовещании• Защита информации в системах связи и управления• Информационная безопасность мультисервисных телекоммуникационныхсетей и систем на транспорте• Безопасность телекоммуникационных систем информационноговзаимодействия
  • 9. ФГОСы меняются каждые 4 года!• Стандарты высшего профессионального образования:– первого поколения (утверждались с 2000 года)– второго поколения (утверждались с 2005 года), ориентированныена получение студентами знаний, умений и навыков;– третьего поколения (утверждаются с 2009 года), согласнокоторым высшее образование должно вырабатывать у студентовобщекультурные и профессиональные компетенции• С 1 сентября 2013 года согласно закону «Об образовании вРоссийской Федерации» должны утверждаться стандарты новогопоколения
  • 10. Виды деятельности для выпускников по ИБ• Магистр– проектная– научно-исследовательская– научно-педагогическая– организационно-управленческая• Бакалавр– эксплуатационная– проектно-технологическая– экспериментально-исследовательская– организационно-управленческая• Специалист– научно-исследовательская– проектная– контрольно-аналитическая– организационно-управленческая– эксплуатационная
  • 11. Что должен уметь бакалавр по ИБ после 4-х лет обучения?• Эксплуатационная деятельность– Установка, настройка, эксплуатация и поддержание вработоспособном состоянии компонентов системы обеспеченияинформационной безопасности с учетом установленных требований– Участие в проведении аттестации объектов, помещений, техническихсредств, систем, программ и алгоритмов на предмет соответствиятребованиям защиты информации– Администрирование подсистем информационной безопасностиобъекта• Проектно-технологическая деятельность– Сбор и анализ исходных данных для проектирования систем защитыинформации, определение требований, сравнительный анализподсистем по показателям информационной безопасности– Проведение проектных расчетов элементов систем обеспеченияинформационной безопасности– Участие в разработке технологической и эксплуатационнойдокументации– Проведение предварительного технико-экономического обоснованияпроектных расчетов
  • 12. Что должен уметь бакалавр по ИБ после 4-х лет обучения?• Экспериментально-исследовательская деятельность– Сбор, изучение научно-технической информации, отечественного изарубежного опыта по тематике исследования;– Проведение экспериментов по заданной методике, обработка и анализрезультатов;– Проведение вычислительных экспериментов с использованием стандартныхпрограммных средств• Организационно-управленческая деятельность:– Осуществление организационно-правового обеспечения информационнойбезопасности объекта защиты– Организация работы малых коллективов исполнителей с учетом требованийзащиты информации;– Совершенствование системы управления информационной безопасностью;– Изучение и обобщение опыта работы других учреждений, организаций ипредприятий в– Области повышения эффективности защиты информации и сохранениягосударственной и других видов тайны– Контроль эффективности реализации политики информационнойбезопасности объекта
  • 13. Что должен уметь специалист по ИБ после 5.5 летобучения?• Научно-исследовательская деятельность:– сбор, обработка, анализ и систематизация научно-техническойинформации, отечественного и зарубежного опыта по проблемамкомпьютерной безопасности;– проведение измерений и наблюдений, составление описанияпроводимых исследований, подготовка данных для составленияобзоров, отчетов и научных публикаций;– изучение и обобщение опыта работы других учреждений,организаций и предприятий по способам использования методов исредств обеспечения информационной безопасности с цельюповышения эффективности и совершенствования работ по защитеинформации на конкретном объекте;– разработка математических моделей защищаемых процессов исредств защиты информации и систем, обеспечивающихинформационную безопасность объектов;– обоснование и выбор рационального решения по уровнюобеспечения защищенности компьютерной системы с учетомзаданных требований;– подготовка научно-технических отчетов, обзоров, публикаций порезультатам выполненных исследований;
  • 14. Что должен уметь специалист по ИБ после 5.5 летобучения?• Проектная деятельность:– сбор и анализ исходных данных для проектирования системзащиты информации;– разработка технических заданий на проектирование, эскизных,технических и рабочих проектов систем и подсистем защитыинформации с учетом действующих нормативных и методическихдокументов;– разработка проектов систем и подсистем управленияинформационной безопасностью объекта в соответствии стехническим заданием;– проектирование программных и аппаратных средств защитыинформации в соответствии с техническим заданием сиспользованием средств автоматизации проектирования;– сопровождение разработки технического и программногообеспечения системы информационной безопасности;
  • 15. Что должен уметь специалист по ИБ после 5.5 летобучения?• Контрольно-аналитическая деятельность:– проведение контрольных проверок работоспособности и эффективностиприменяемых программно-аппаратных средствах защиты информации;– предварительная оценка, выбор и разработка необходимых методик поискауязвимостей;– применение методов и методик оценивания безопасности компьютерныхсистем при проведении контрольного анализа системы защиты;– выполнение экспериментально-исследовательских работ при проведениисертификации программно-аппаратных средств защиты и анализрезультатов;– проведение экспериментально-исследовательских работ при аттестацииобъектов с учетом требований к обеспечению защищенности компьютернойсистемы;– проведение инструментального мониторинга защищенности компьютерныхсистем;– подготовка аналитического отчета по результатам проведенного анализа ивыработка предложений по устранению выявленных уязвимостей
  • 16. Что должен уметь специалист по ИБ после 5.5 летобучения?• Организационно-управленческая деятельность:– организация работы коллектива исполнителей, принятиеуправленческих решений в условиях спектра мнений,определение порядка выполнения работ;– поиск рациональных решений при разработке средств защитыинформации с учетом требований качества, надежности истоимости, а также сроков исполнения;– осуществление правового, организационного и техническогообеспечения защиты информации;– организация работ по выполнению требований режима защитыинформации, в том числе информации ограниченного доступа(сведений, составляющих государственную тайну иконфиденциальной информации)
  • 17. Что должен уметь специалист по ИБ после 5.5 летобучения?• Эксплуатационная деятельность:– установка, настройка, эксплуатация и обслуживание аппаратно-программныхсредств защиты информации;– проверка технического состояния и остаточного ресурса оборудованиязащиты информации, организация профилактических проверок и текущегоремонта;– приемка и освоение программно-аппаратных средств защиты информации;– составление инструкций по эксплуатации аппаратно-программных средствзащиты информации;– обеспечение эффективного функционирования средств защиты информациис учетом требований по обеспечению защищенности компьютерной системы;– администрирование подсистем информационной безопасностикомпьютерных систем;– обеспечение восстановления работоспособности систем защиты информациипри возникновении нештатных ситуаций;– проведение аттестации технических средств, программ, алгоритмов напредмет соответствия требованиям защиты информации посоответствующим классам безопасности или профилям защиты
  • 18. Что должен уметь магистр по ИБ после 6-ти летобучения?• Проектная деятельность– системный анализ прикладной области, выявление угроз и оценка уязвимостиинформационных систем, разработка требований и критериев информационнойбезопасности, согласованных со стратегией развития информационных систем;– концептуальное проектирование сложных систем, комплексов средств итехнологий обеспечения информационной безопасности;– обоснование выбора функциональной структуры, принципов организациитехнического, программного и информационного обеспечения систем, средств итехнологий обеспечения информационной безопасности объектов защиты;– разработка систем и технологий обеспечения информационной безопасности;– адаптация к защищаемым объектам современных методов обеспеченияинформационной безопасности на основе отечественных и международныхстандартов• Научно-исследовательская деятельность– анализ фундаментальных и прикладных проблем информационной безопасности вусловиях становления современного информационного общества;– разработка планов и программ проведения научных исследований и техническихразработок, подготовка отдельных заданий для исполнителей;– выполнение научных исследований по выбранной теме;– подготовка по результатам научных исследований отчетов, статей, докладов нанаучных конференциях
  • 19. Что должен уметь магистр по ИБ после 6-ти летобучения?• Научно-педагогическая деятельность– выполнение педагогической работы в средних специальных ивысших учебных заведениях в должностях преподавателя иассистента под руководством ведущего преподавателя ипрофессора (доцента) по дисциплинам направления;– разработка методических материалов, используемых студентами вучебном процессе• Научно-исследовательская деятельность– анализ фундаментальных и прикладных проблем информационнойбезопасности в условиях становления современногоинформационного общества;– разработка планов и программ проведения научных исследований итехнических разработок, подготовка отдельных заданий дляисполнителей;– выполнение научных исследований по выбранной теме;– подготовка по результатам научных исследований отчетов, статей,докладов на научных конференциях
  • 20. О преподавательском составе• Преподаватели профессионального цикла должны иметь базовоеобразование и (или) ученую степень, соответствующие профилюпреподаваемой дисциплины, или опыт деятельности в сфереобеспечения информационной безопасности– Не менее 70 процентов преподавателей, обеспечивающихучебный процесс по профессиональному циклу, должны иметьученые степени или ученые звания• К образовательному процессу должно быть привлечено не менее5% преподавателей из числа действующих руководителей иработников профильных организаций, предприятий и учреждений• До 10% от общего числа преподавателей, имеющих ученуюстепень и (или) ученое звание может быть замененопреподавателями, имеющими стаж практической работы поданному направлению на должностях руководителей иливедущих специалистов не менее 5 последних лет
  • 21. Основные образовательные программы• 3 цикла– гуманитарный, социальный и экономический цикл;– математический и естественнонаучный цикл;– профессиональный цикл• Каждый учебный цикл имеет базовую (обязательную) часть ивариативную, устанавливаемую ВУЗом
  • 22. Трудоемкость блоков дисциплин11%27%43%5%1%6%7%ТрудоемкостьГуманитарный, социальныйи экономический циклМатематический иестественно-научный циклПрофессиональный циклСпециализацияФизкультураУчебная ипроизводственная практикаИтоговая аттестация
  • 23. ПРЕПОДАВАЕМЫЕДИСЦИПЛИНЫ
  • 24. Основные дисциплины• Основы ИБ• Аппаратные средства вычислительной техники• Программно-аппаратные средства защиты информации• Криптографические методы защиты информации• Организационное и правовое обеспечение информационнойбезопасности• Документоведение• Управление информационной безопасностью• Техническая защита информации• Сети и системы передачи информации• Безопасность жизнедеятельности• Языки программирования• Технологии и методы программирования
  • 25. Основные дисциплины• Электротехника• Электроника и схемотехника• Информационные технологии
  • 26. Рекомендованные УМО дисциплины• Гуманитарные аспекты информационной безопасности• Экономика защиты информации (отрасли)• Профессиональная этика• Психология и педагогика• Психология общения• Социальная психология• Язык делового общения• Деловой язык• Русский язык и культура речи• Основы социологии• История религий• Документационное обеспечение управления• Организационные основы деятельности предприятий
  • 27. Рекомендованные УМО дисциплины• Математическая логика и теория алгоритмов• Языки ассемблера• Операционные системы• Вычислительные сети• Системы управления базами данных• Теоретические основы компьютерной безопасности• Методы оценки безопасности компьютерных систем• Основы теории кодирования• Математическое моделирование систем и сетейтелекоммуникаций• Математические основы цифровой обработки сигналов• Физические основы ВОЛС• Теория информации
  • 28. Рекомендованные УМО дисциплины• Функциональный процесс и организация предприятия• Социально-психологические основы управленческойдеятельности• Управление рисками• Физические основы защиты информации• Международные и российские нормативные акты и стандарты поинформационной безопасности• Технические средства охраны• Электронный документооборот• Защита и обработка конфиденциальных документов• Перевод специальных текстов• Проверка информационной защищенности на соответствиенормативным документам
  • 29. Особенности образования• Для специалитета (специальности0903хх) ВУЗу нужна лицензия нагостайну• Наличие вариативности впрофессиональном цикле,допускающая изучение предметов повыбору студента• Ориентация на преподавателей-теоретиков, не имеющихпрактического опыта работы• Технологичность изучаемыхдисциплин• Отсутствие ориентации на бизнес-потребностиСистемауправления(SecurityGovernance)Системауправления(SecurityManagement)Техническиесредства(SecuritySystem)
  • 30. ЧЕГО НЕ ХВАТАЕТ?
  • 31. Альтернативные (дополнительные) дисциплины• Оценка соответствия• Психология восприятия рисков• Оценка эффективности ИБ• Теория организации• Теория систем• Обеспечение непрерывностибизнеса• Отраслевая специфика• Security Governance• Повышение осведомленности• Управление инцидентами• Маркетинг безопасности• Архитектура безопасности• Киберпреступность• Аудит• Аутсорсинг и безопасность• Экспорт и импорт средствзащиты информации• Международноевзаимодействие
  • 32. ЧТО ТАКОЕ ИБ?
  • 33. Как я понимаю ИБ?!• Информационная безопасность - состояние защищенностиинтересов стейкхолдеров предприятия в информационнойсфере, определяющихся совокупностью сбалансированныхинтересов личности, общества, государства и бизнеса• Очень емкое и многоуровневое определение• Может без изменения применяться в ЛЮБОЙ организации– Меняться будет только наполнение ее ключевых элементов –стейкхолдеры, информационная сфера, интересы
  • 34. Стейкхолдеры ИБ• ИТ• ИБ• Юристы• Служба внутреннего контроля• HR• Бизнес-подразделения• Руководство• ПользователиВнутрипредприятияВнутрипредприятия• Акционеры• Клиенты• Партнеры• АудиторыСнаружипредприятияСнаружипредприятия• ФСТЭК• ФСБ• Роскомнадзор• СВР• МО• Банк РоссииРегуляторыРегуляторы
  • 35. Информационная сфера• Информационная сфера - этосовокупность информации,информационнойинфраструктуры, субъектов,осуществляющих сбор,формирование,распространение ииспользование информации,а также системы регулированиявозникающих при этомотношений• Обычно мы защищаем толькоинформацию и информационнуюинфраструктуру
  • 36. Почему мы защищаем информационные активы иресурсы?Она имеет ценностьОна имеет ценностьИмеет ценность для васИмеет ценность для васСнижает неопределенностьпри принятии решенийСнижает неопределенностьпри принятии решенийВлияет на поведение людей,приводящее к экономическимпоследствиямВлияет на поведение людей,приводящее к экономическимпоследствиямНематериальный актив(собственная стоимость)Нематериальный актив(собственная стоимость)Не имеет ценности для вас,но имеет для кого-то ещеНе имеет ценности для вас,но имеет для кого-то ещеЕсли ей воспользуютсядругие, то вы понесетеубытки или проиграете вконкурентной борьбеЕсли ей воспользуютсядругие, то вы понесетеубытки или проиграете вконкурентной борьбеЕе защита требуетсягосударством / регуляторомЕе защита требуетсягосударством / регуляторомОна не имеет ценности, но еепринято защищатьОна не имеет ценности, но еепринято защищать
  • 37. Интересы стейкхолдеров• Универсального списка интересов не существует – у каждогопредприятия на каждом этапе его развития в различномокружении при различных руководителях интересы различныИБ• Конфиденциальность• Целостность• ДоступностьЮристы• Соответствие• Защита отпреследования• Новые законыРегуляторы• СоответствиеПользователи• Тайна переписки• БесперебойныйИнтернет• Комфорт работыАкционеры• Рост стоимости акций• Контроль топ-менеджмента• ПрозрачностьИТ• Доступностьсервисов• Интеграция• Снижение CapEx
  • 38. У разной ИБ и угрозы разные!Традиционные• Вредоносное ПО• DDoS• Утечки• НСД• Превышениепривилегий• Нарушениеработоспособностиприложения• Кража ключей ЭПНетрадиционные• Приход регулятора спроверкой• Отсутствие лицензииФСБ у предприятия• Отсутствиесертификата ФСТЭКна систему защиты• Внесение изменения ваттестованный объектинформатизации
  • 39. SECURITY GOVERNANCE
  • 40. Опрос ISACA• Опрос «Critical Elements of Information Security Program Success»,ISACA• Опрос 157 руководителей в 8 странах– Канада, Франция, Германия, Израиль, Италия, Япония, США,Венесуэла• Отрасли– Финансы, транспорт, ритейл, государство, промышленность,здравоохранение, консалтинг, коммунальные услуги• 35 критических факторов успеха– Культура, люди, бюджет и финансы, организация, технологии,законы и стандарты, метрики, повышение осведомленности иобучение
  • 41. МетрикиЧто и какизмерять55ПроцессвзаимодействияДвусторонняя связь22Общий языкБизнес первичен11Выход наруководствоСила и влияние44 33СистемаубежденияМаркетинг и PR5 критериев успеха
  • 42.  Governance (в бизнесе) – действие по разработке и последовательномууправлению связанных в единое целое политиками, процессами иправильными решениями в данной области ответственности . . . связь между бизнесом и управлением ИТ . . . стратегические ИТ-решения, за которые отвечает корпоративныйменеджмент, а не CIO или другие ИТ-менеджеры . . . ИТ Governance – это подмножество Corporate Governance,фокусирующееся на информационных системах …подтверждение того, что ИТ-проекты легко управляются и глубоковлияют на достижение бизнес-целей организации ИТ Governance подразумевает систему, в которой все ключевые роли,включая совет директоров и внутренних клиентов, а также связанныеобласти, такие как, например, финансы, делают необходимый вклад впроцесс принятия ИТ-решений …взаимосвязь между ИТ, инициативами соответствия (compliance),управлением рисками и корпоративной бизнес-стратегиейОпределения Governance
  • 43. Связь с другими ИТ-дисциплинами• IT governance поддерживает следующие дисциплины:– Управление ИТ-активами– Управление ИТ-портфолио– Архитектура предприятия– Управление проектами– Управление программами– Управление ИТ-сервисами– Оптимизация бизнес-технологий
  • 44. Are wedoingthe rightthings?Are wedoingthe rightthings?Are wedoing themthe rightway?Are wedoing themthe rightway?Are wegettingthem donewell?Are wegettingthem donewell?Are wegettingthebenefits?Are wegettingthebenefits?Are wegettingthebenefits?Are wedoingthe rightthings?Are wedoingthe rightthings?Are wedoingthe rightthings?Мы делаемправильныевещи?Are wedoing themthe rightway?Are wedoing themthe rightway?Are wedoing themthe rightway?Мы делаемэтоправильно?Are wegettingthem donewell?Are wegettingthem donewell?Are wegettingthem donewell?Мыпреуспеливдостижении?Are wegettingthebenefits?Are wegettingthebenefits?Are wegettingthebenefits?Are wegettingthebenefits?Are wegettingthebenefits?Мыполучаемпреиму-щества?Стратегический вопрос. Инвестиции:В соответствие с нашим видением?Соответствуют нашим бизнес-принципам?Содействуют нашим стратегическим целям?Обеспечивают оптимальное значение, затратыи уровень рисков?Вопрос ценности. Мы имеем:• Очевидное понимание ожидаемыхпреимуществ?• Релевантные метрики?• Эффективные преимущества реализациипроцесса?Архитектурный вопрос. Инвестиции:В соответствие с нашей архитектурой?Соответствуют нашим архитектурнымпринципам?Содействуют созданию архитектуры?В соответствие с другими инциативами?Вопрос реализации. Мы имеем:Эффективный процесс управленияизменениями и реализации?Компетентные и доступные технические ибизнес-ресурсы для реализации:Требуемых возможностей; иОрганизационных изменений, требуемых длядостижения возможностей.Источник: Fujitsu ConsultingНа какие вопросы отвечает Governance?
  • 45. ИБ Governance• Способность показать, как ИБсвязана с бизнес-стратегией• Способность показать, как ИБ несетценность бизнесу• Способность показать, как ИБуправляет рисками• Способность показать, как ИБуправляет ресурсами• Способность показать, как ИБуправляет достижением целей
  • 46. Структура ИБ Governance
  • 47. ОЦЕНКА ЭФФЕКТИВНОСТИИБ
  • 48. Почему мы отказываемся измерять?• Это нематериально, а значит неизмеримо• Отсутствуют методы измерения• «Проценты, статистика… С помощью них можно доказать все, чтоугодно»• «Чтобы оценить этот показатель, нужно потратить миллионырублей. А менее масштабный проект дает большуюпогрешность»• Важные для предприятия проекты пропускаются в пользу слабыхтолько потому, что во втором случае методы оценки ожидаемогоэффекта всем известны, а в первом нет
  • 49. Проблемы измерений• Принятие решений часто требует количественной оценкипредполагаемых нематериальных активов или вопросов• Многие считают такую оценку невозможной, а нематериальноенеподдающимся измерению– Именно это часто является причиной отказа от многих проектов(предубеждение пессимизма)• Раз это невозможно, то мало кто пытается это сделать• Но– Если какой-либо объект/явление можно наблюдать тем или инымобразом  существует метод его измерения
  • 50. Что мы хотим измерять в ИБ?• Какой уровень опасности нам грозит?– Что мы потеряем?• Оценка нематериальных активов• Оценка информации• Оценка материальных активов• ALE– Какова вероятность ущерба?– Что нам грозит?– Насколько мы уязвимы?• Какая СЗИ лучше?– Лучше = дешевле, функциональнее, быстрее окупается, быстрееработает…• Как мы соотносимся с другими?
  • 51. Что мы хотим измерять в ИБ? (продолжение)• Сколько денег на безопасность надо?– Сколько мы потратим? Почему столько?– Какова отдача? И есть ли она?– Выгоден ли этот проект по ИБ?– Рискованны ли инвестиции в ИБ?• Мы соответствуем требованиям?– Стандартов– SLA– Регуляторов
  • 52. Что мы хотим измерять в ИБ? (окончание)• Насколько мы защищены?– На каком уровне находимся?– Стало ли лучше по сравнению с прошлым?• Сколько времени потребуется?– На проникновение / распространение вредоносного ПО?– На внедрение СЗИ?– На возврат в исходное состояние после атаки?• Оптимально ли– Мы движемся к цели?– Тратим деньги?– Настроена система защиты?
  • 53. Финансовые методы оценки ИБ• «Инвестиционные»– Total Value of Opportunity(TVO)– Total Economic Impact (TEI)– Rapid Economic Justification(REJ)• «Затратные»– Economic Value Added (EVA)– Economic Value Sourced(EVS)– Total Cost of Ownership(TCO)– Annual Lost Expectancy (ALE)• «Контекстуальные»– Balanced Scorecard– Customer Index– Information Economics (IE)– IT Scorecard• «Количественныевероятностные»– Real Options Valuation– iValue– Applied InformationEconomics (AIE)– COCOMO II and SecurityExtensions
  • 54. МЕСТО НПА ПО ИБ ВЗАКОНОДАТЕЛЬСТВЕ
  • 55. Иерархия нормативно-правовых актовМеждународныйдоговорМеждународныйдоговорКонституцияКонституцияФедеральныеконституционныезаконыФедеральныеконституционныезаконыОсновызаконодательстваОсновызаконодательстваКодексыКодексыФедеральныезаконыФедеральныезаконыУказы иРаспоряженияПрезидента РФУказы иРаспоряженияПрезидента РФПостановления иРаспоряженияПравительства РФПостановления иРаспоряженияПравительства РФАкты министерстви ведомствАкты министерстви ведомствКонституции иУставы субъектовРФКонституции иУставы субъектовРФЗаконы субъектовРФЗаконы субъектовРФАкты органовместногосамоуправленияАкты органовместногосамоуправления
  • 56. Каких знаний не хватает?• Юридическая сила нормативных актов• Процедура принятия нормативных актов• Вступление в силу нормативного акта• Прекращение действия нормативного акта• Доктринальные принципы– «Все, что не запрещено, разрешено» и наоборот– Каждое правонарушение подразумевает ответственность– Последующее отменяет предыдущее– Приоритет специального закона по отношению к общему закону– Незнание закона не освобождает от ответственности– Неопубликованные законы не применяются– Отягчающий закон обратной силы не имеет– «Презумпция невиновности»
  • 57. Оценка соответствия ≠ сертификацияОценкасоответствияОценкасоответствияГосконтроль инадзорГосконтроль инадзорАккредитацияАккредитацияИспытанияИспытанияРегистрацияРегистрацияПодтверждениесоответствияПодтверждениесоответствияДобровольнаясертификацияДобровольнаясертификацияОбязательнаясертификацияОбязательнаясертификацияДекларированиесоответствияДекларированиесоответствияПриемка и вводв эксплуатациюПриемка и вводв эксплуатациюВ иной формеВ иной форме
  • 58. ПСИХОЛОГИЯ
  • 59. Психология• Психология – наука о поведении и психических процессах или• Психология – это область научного знания, исследующаяособенности и закономерности возникновения, формирования иразвития (изменения) психических процессов (ощущение,восприятие, память, мышление, воображение), психическихсостояний (напряжённость, мотивация, фрустрация, эмоции,чувства) и психических свойств (направленность, способности,задатки, характер, темперамент) человека• Психология должна отвечать на вопрос о том, почему человекведет себя так или иначе
  • 60. Что может подсказать психология?• Общая психология– Какие мотивы определяют поведение людей?– Почему мы замечаем одни вещи и не видим другие?• Психология развития (возрастная психология)– Как меняется поведение человека в зависимости от возраста?– Чего ожидать от молодежи, а чего от «стариков»?• Дифференциальная психология– Чем отличается поведение различных социальных, классовых,этнических, возрастных и иных групп?• Клиническая психология– Как ведет себя человек во время острого психическогорасстройства, дискомфорта или тяжелого известия?
  • 61. Что может подсказать психология?• Педагогическая психология– Как донести до пользователей нужную мысль?– Как повысить эффективность обучения и повышенияосведомленности пользователей?• Психология труда– Как повысить производительность сотрудников службы ИБ?– Как мотивировать сотрудников?– Как преодолеть кризис профессионального развития?– Стресс- и конфликт-менеджмент• Социальная психология– Как человек ведет себя обществе или социальной группе?• Юридическая психология– Формирование модели нарушителя
  • 62. Что может подсказать психология?• Когнитивная психология– Как принимаются решения?– Как работает память?
  • 63. Как аутентифицировать сотрудников азиатского офиса?
  • 64. Куда девать токен или смарткарту?
  • 65. ТЕОРИЯ ОРГАНИЗАЦИИ
  • 66. Почему так сложно идут изменения в области ИБ?• Все жаждут прогресса, но никто не хочет изменений• Люди инертны– Склонны верить тому, что узнали в самом начале (ВУЗе, первойработе и т.д.)– Ленивы и не будут упорно трудиться ради изменений– Людей устраивает средний результат. Это зона комфорта. BestPractices никому не нужны (как и мировые рекорды)– Люди считают свои решения лучшими• Чтобы пересмотреть точку зрения, человека надо долгопереубеждать или показать воочию• Изменения происходят не вдруг – имейте терпение
  • 67. А вы учитываете «центры Силы» в компании?• Центр восприятия информация– Те, кто воспринимают информацию благосклонно• Центр неудовлетворенности– Те, кто недовольны текущим положением дел• Центр власти– Те, кто принимают решения• Центр противодействия– Те, кто не хотят изменений
  • 68. А свойства иерархий учитываете?• Дуализм– Элемент системы обладает как индивидуальными, так исистемными свойствами• Они могут противоречить друг другу и тогда возникает конфликт– Чем сложнее иерархия, тем меньше индивидуальных качествостается на нижних уровнях – остаются «винтики»,легкозаменяемые элементы четко прописанного процесса• Именно поэтому крупные организации так приверженыпроцессному подходу• Именно поэтому ISO 27001 – это стандарт, ориентированный, впервую очередь, на крупные предприятия
  • 69. О свойствах иерархий• Диктатура верхних уровней над нижними• Нечувствительность верхних уровней к изменениям на нижних– Главное для верхнего уровня, чтобы нижний уровень выполнялсвои функции– Именно поэтому важно попасть CISO на верхний уровеньиерархии• Высокая чувствительность нижних уровней к изменениям наверхних– «Верхи не могут, а низы не хотят…»• Чем выше уровень, тем гибче структура– Нижние уровни – жесткая иерархия и связи (субординация)
  • 70. Типы руководителей• Существуют различные типы руководителей– Каждый имеет свои сильные и слабые стороны• Идеальных руководителей не существует– Только в учебниках• Учебники и школы менеджмента говорят «должен»– На практике идеального руководителя не бывает• Необходимо учитывать «психологический портрет» руководителя
  • 71. Как понять мотивацию пользователя и руководителя?!Что он видит?• На что похожа его среда?• Кто его окружает?• С кем он дружит?• С чем он сталкивается ежедневно?• С какими проблемами встречается?• На что похожа его среда?• Кто его окружает?• С кем он дружит?• С чем он сталкивается ежедневно?• С какими проблемами встречается?Что он слышит?• Что говорят его друзья?• Кто и как реально воздействует на него?• Какие медиаканалы на него влияют?• Что говорят его друзья?• Кто и как реально воздействует на него?• Какие медиаканалы на него влияют?Что ончувствует/думает?• Что для него реально важно?• Что его трогает?• Его мечты и стремления?• Что для него реально важно?• Что его трогает?• Его мечты и стремления?Что он говорит/делает?• Как он себя держит?• О чем он может рассказать окружающим?• Как он себя держит?• О чем он может рассказать окружающим?Что его тревожит• Каковы его разочарования?• Какие препятствия между ним и его мечтами?• Чего он боится?• Каковы его разочарования?• Какие препятствия между ним и его мечтами?• Чего он боится?К чему он стремится• Чего он действительно хочет достичь?• Что для него мерило успеха?• Какие стратегии он мог бы использовать для достижения успеха?• Чего он действительно хочет достичь?• Что для него мерило успеха?• Какие стратегии он мог бы использовать для достижения успеха?
  • 72. ПСИХОЛОГИЯ ВОСПРИЯТИЯРИСКОВ
  • 73. Психология восприятия риска• Даже при наличии фактов и достаточного объема информации обанализируемой системе у экспертов существует сложность свосприятием риска• Безопасность основана не только на вероятности различныхрисков и эффективности различных контрмер (реальность), но ина ощущениях• Ощущения зависят от психологических реакций на риски иконтрмеры– Чего вы больше опасаетесь – попасть в авиакатастрофу илиавтоаварию?– Что вероятнее – пасть жертвой террористов или погибнуть надороге?
  • 74. Реальность и ощущения• Реальность безопасности ≠ ощущения безопасности• Система может быть безопасной, даже если мы не чувствуем ине понимаем этого– Мы можем думать, что система в безопасности, когда это не так• Психология восприятия риска безопасности– Поведенческая экономика– Психология принятия решений– Психология риска– Неврология
  • 75. ОТРАСЛЕВАЯ СПЕЦИФИКА
  • 76. Мы знаем как защищать банк?• Требованиязаконодательства (ФЗ-161и нормативы Банк России)• Требования PCI DSS• Требования к защитеинформации при работена фондовых площадках• Требования к защитебанкоматов• Требования к защитемобильного банкинга• …
  • 77. Защита индустриальных сетей ≠ защита банкаSite Business Planning and Logistics NetworkBatchControlDiscreteControlSupervisoryControlHybridControlSupervisoryControlEnterprise NetworkPatchMgmtWeb ServicesOperationsAVServerApplicationServerEmail, Intranet, etc.ProductionControlHistorianOptimizingControlEngineeringStationContinuousControlTerminalServicesHistorian(Mirror)Site Operationsand ControlAreaSupervisoryControlBasicControlProcessЛВСАСУТПЗонакорпора-тивной ЛВСDMZУровень 5Уровень 3Уровень 1Уровень 0Уровень 2Уровень 4HMI HMIМСЭ иIPSМСЭ и IDS
  • 78. Пример: ИБ для нефтегазовой отраслиITPCNUtilityПоддерживающиевзаимодействияB2BНадежное сегментирование сети спомощью VRF через MPLS VPN иоптику--------------------------------------------Обеспечение бесперебойностиСнижение OPEXЗащита инвестицийСегментация и разграничениедоступа к активам при доступе к нимс рабочего ПК/планшетника------------------------------------Эффективное взаимодействие стретьими лицамиОбеспечение бесперебойностиПодводнаяоптикаНаземнаяоптикаБуровое судноСудноснабжения
  • 79. Смена парадигмы = смена в образовании• Многие отрасли переходят на мобильные и облачные технологии• Требуется совершенно иной подход к безопасности
  • 80. ИБ И КОНТРАГЕНТЫ
  • 81. Приоритеты ИБ на 12 месяцев0 20 40 60 80 100Защита данныхThreat managementСоответствиеНепрерывность бизнесаУправление рискамиБезопасность приложенийСнижение затрат и рост…Связь с целями бизнесаУправление доступом (IAM)Повышение осведомленности и…ИБ контрагентовАутсорсинг ИБИсточник: Forrester. Аудитория – компании Европы и США с численностью свыше 1000 человек
  • 82. При аутсорсинге меньше защиты и больше контроля!Своя ИТ-службаХостинг-провайдерIaaS PaaS SaaSДанные Данные Данные Данные ДанныеПриложения Приложения Приложения Приложения ПриложенияVM VM VM VM VMСервер Сервер Сервер Сервер СерверХранение Хранение Хранение Хранение ХранениеСеть Сеть Сеть Сеть Сеть- Контроль у заказчика- Контроль распределяется между заказчиком и аутсорсером- Контроль у аутсорсера
  • 83. А МЫ ЗНАЕМ СВОИХПРОТИВНИКОВ?
  • 84. Шаблон бизнес-моделиКлючевыепартнерыКлючевыевиды деятельностиЦенностныепредложенияВзаимоотношенияс клиентамиПотребительскиесегментыКлючевыересурсыКаналы сбытаСтруктура издержек Потоки поступления доходов
  • 85. Разные доходы от одного продукта – ботнетаСозданиеботнетаСозданиеботнетаБотнетБотнетСдать варендуСдать варендуИспользоватьИспользоватьПродатьПродатьDDoSDDoSРассылкаспамаРассылкаспамаУстановкаscarewareУстановкаscarewareКражаданныхКражаданныхФишингФишингПоисковыйспамПоисковыйспамПродажаPANПродажаPANПродажаaccountПродажаaccountПродажаПДнПродажаПДнСтоимость$0.5 за бот для небольших ботнетов$0.1-0.3 за бот для крупных ботнетовАренда$2000 в месяц за 1000 писем в минуту
  • 86. В киберпреступности у каждого своя роль• Менеджер по продажам• Кассир• Маркетолог• Логист• Водитель• HR• Генеральный директор• Айтишник• Охранник• Инженер• Разработчик• Дроп (разводной / неразводной)• Дроповод• Обнальщик• Заливщик / Даунлоадер• Селлер• Abuse-хостер• Гарант• Кодер
  • 87. Гарант = криминальный арбитраж• Задача гаранта — быть независимым и гарантировать получениеуслуг/товаров покупателем и денег продавцомГарантГарантКардерыКардерыВымогателиВымогателиСпамерыСпамерыКонкурентыКонкурентыВладелецботнетаВладелецботнетаГарантГарантРазработчикmalwareРазработчикmalwareРазработчикExploitKitРазработчикExploitKitAbuse-хостерAbuse-хостерУпаковщикmalwareУпаковщикmalware
  • 88. День из жизни мула (дроппера)Мне нужнаработаНанимаетсяи передаетсядропповодуДроповодобеспечиваетмулаинструкциямидля открытиябанковскогосчетаДроповодкоординируеттрансфер денег отоператоров к муламМул получаетденьги ипереводит их науказанные счетаилиобналичиваетДроповод получаетденьги или вновьпереводит ихМуларестовываетсяили уходит сработы
  • 89. Деньги играют важную роль, но есть и другие мотивы• Отсутствие желания заработать не означает отсутствие бизнес-модели– Anonymous, Lulzsec демонстрируют это в полной мереКибер-террористыКибер-воиныХактивисты ПисателиmalwareСтараяшколаФрикеры Самураи ScriptkiddiesWarezD00dzСложность+ + + + +Эго+ + + +Шпионаж+ +Идеология+ + + + +Шалость+ + +Деньги+ + + + +Месть+ + + +Источник: Furnell, S. M
  • 90. В ЗАКЛЮЧЕНИЕ
  • 91. Новый взгляд на информационную безопасность
  • 92. © Cisco и (или) дочерние компании, 2011 г. Все права защищены. Общедоступная информация CiscoBRKSEC-1065 92Благодарю васза вниманиеsecurity-request@cisco.com

×