Security And Crisis

1,169 views
1,033 views

Published on

Published in: Technology, Business
0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total views
1,169
On SlideShare
0
From Embeds
0
Number of Embeds
3
Actions
Shares
0
Downloads
64
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide

Security And Crisis

  1. 1. Обеспечение ИБ в условиях экономического кризиса. Новая парадигма Алексей Лукацкий Бизнес-консультант по безопасности Security and Crisis © 2008 Cisco Systems, Inc. All rights reserved. 1/51
  2. 2. О чем пойдет речь  ИБ на современном предприятии  Чем характеризуется современный кризис?  Рекомендации: от резюме к деталям Security and Crisis © 2008 Cisco Systems, Inc. All rights reserved. 2/51
  3. 3. ИБ в докризисные времена  Технический, ИТ-ориентированный подход Безопасность была самоцелью  Бизнес оторван от безопасности (или наоборот) Ни о какой привязке к бизнес-потребностям и речи нет  Отсутствует долгосрочная стратегия Решаются, в основном, тактические или оперативные задачи  Стандартизация, архитектура и стратегия ИБ являются недосягаемой роскошью О них мало кто думает, решая краткосрочные задачи Security and Crisis © 2008 Cisco Systems, Inc. All rights reserved. 3/51
  4. 4. Чем характеризуется нынешний кризис  Эпоха изобилия заканчивается, финансов не хватает  Экономия и снижение операционных и капитальных затрат  Замораживание проектов с неочевидной выгодой и долгоиграющих проектов  Финансирование проектов с быстрой отдачей  Сокращение непрофильного персонала Безопасность должна понимать бизнес, отталкиваться от его потребностей, ставить во главу угла бизнес- задачи, измерять эффективность ИБ в бизнес- показателях Security and Crisis © 2008 Cisco Systems, Inc. All rights reserved. 4/51
  5. 5. Рекомендации  Security Product  Security Management  Security Governance  Effectiveness  Efficiency  Изучение багажа и оптимизация уже существующих проектов  Готовность к законодательным переменам и их творческое осмысление  Подготовка к новым маркетинговым фишечкам Виртуализация, туманные вычисления, Grid и т.д. Security and Crisis © 2008 Cisco Systems, Inc. All rights reserved. 5/51
  6. 6. Product  Management  Governance Security and Crisis © 2008 Cisco Systems, Inc. All rights reserved. 6/51
  7. 7. Результаты исследования E&Y  Все начинают с сокращения затрат (без эффекта)  7 ключевых областей для оптимизации расходов Оптимизация ассортимента продукции Изменение стратегии продаж Сокращение затрат на персонал Повышение производительности Аутсорсинг Оффшоринг Оптимизация использования и стоимости привлечения ресурсов Security and Crisis © 2008 Cisco Systems, Inc. All rights reserved. 7/51
  8. 8. Изменение стратегии продаж Security and Crisis © 2008 Cisco Systems, Inc. All rights reserved. 8/51
  9. 9. Изменение стратегии продаж  Рост выручки  рост числа клиентов  географическая экспансия  решение по защищенному удаленному доступу и защите от утечек информации  Рост выручки  рост числа сделок  оснащение мобильными устройствами и подключением к Интернет  решение по защищенному удаленному доступу  Рост выручки  рост числа клиентов/сделок, ускорение сделок, снижение себестоимости сделок  новый канал продаж  Интернет  решение по защищенному удаленному доступу, защите Интернет- ресурсов Security and Crisis © 2008 Cisco Systems, Inc. All rights reserved. 9/51
  10. 10. Оптимизация использования ресурсов Security and Crisis © 2008 Cisco Systems, Inc. All rights reserved. 10/51
  11. 11. Снижение арендной платы (сценарий 1)  Снижение арендной платы  уменьшение арендуемых площадей  перевод сотрудников на дом  решение по защищенному удаленному доступу  Экономия на: Аренда площадей Питание сотрудников Оплата проездных (если применимо) Оплата канцтоваров Оплата коммунальных расходов, а также Улучшение психологического климата за счет работы дома Рост продуктивности Security and Crisis © 2008 Cisco Systems, Inc. All rights reserved. 11/51
  12. 12. Уменьшение складских запасов  Уменьшение складских запасов  удаленный доступ к складской ИС поставщиков  решение по защищенному удаленному доступу, защита Интернет- ресурсов, Identity & Entitlement Management  Экономия на: Уменьшение складских площадей Оптимизация логистики Ускорение цикла поставки Security and Crisis © 2008 Cisco Systems, Inc. All rights reserved. 12/51
  13. 13. Оптимизация финансовых затрат  Оптимизация финансовых затрат  переход на лизинг или оплату в рассрочку  обращение в компании по ИТ/ИБ-финансированию  Выгоды: CapEx переходит в OpEx Ускоренная амортизация (коэффициент – 3) Снижение налога на прибыль и имущество Не снижает Net Income, EBITDA Нет проблем списания оборудования Отсрочка платежа Фиксированная ставка в рублях Положительное влияние на финансовые показатели Security and Crisis © 2008 Cisco Systems, Inc. All rights reserved. 13/51
  14. 14. Повышение производительности Security and Crisis © 2008 Cisco Systems, Inc. All rights reserved. 14/51
  15. 15. Рост продуктивности сотрудников  Рост продуктивности  снижение времени, потраченного на дорогу  перевод сотрудников на дом  решение по защищенному удаленному доступу  Рост продуктивности – от 10% до 40%  Дополнительно: Увеличение рабочего времени Экономия на аренде площадей Экономия на питании сотрудников Экономия на оплате проездных (если применимо) Экономия на оплате канцтоваров Улучшение психологического климата за счет работы дома Security and Crisis © 2008 Cisco Systems, Inc. All rights reserved. 15/51
  16. 16. Рост продуктивности Предприятие Филиал Дом Отель Главный Si Аэропорт офис HQ Si WAN/Internet Дорога Кафе Вчера: Люди “шли” на работу Сегодня: Работа “идет” к людям 100 500 1000 сотрудников сотрудников сотрудников Зарплата ($25K в год) $2,5 млн. $12,5 млн. $25 млн. 1 час потери продуктивности $1,200 $6,000 $12,000 Потери в год от 1 часа в неделю $62,5K $312,5К $625К  Многие компании фокусируются на предоставлении сервиса на своей территории (зарплата, билеты, документооборот…)  Сотрудник в среднем тратит только 30–40% времени в офисе Security and Crisis © 2008 Cisco Systems, Inc. All rights reserved. 16/51
  17. 17. Уменьшение числа командировок  Уменьшение числа командировок  внедрение видеоконференцсвязи/унифицированных коммуникаций/TelePresence  решение по защищенному удаленному доступу и защите унифицированных коммуникаций  Экономия на: Командировочных затратах ($300-400 на авиабилет + $100 на гостиницу в сутки) Security and Crisis © 2008 Cisco Systems, Inc. All rights reserved. 17/51
  18. 18. Рост продуктивности сотрудников  Чтение электронной почты  отвлечение на незапрошенную корреспонденцию  антиспам- решение  Экономия на: Интернет-трафике Времени чтения почты Последствия вирусных эпидемий  Особенности Экономия на времени чтения почты имеет значение для предприятий с большим числом сотрудников Security and Crisis © 2008 Cisco Systems, Inc. All rights reserved. 18/51
  19. 19. Сокращение затрат на Интернет  Контроль действий сотрудников в Интернет  блокирование загрузок постороннего ПО, музыки, видео и контроль посторонних сайтов  решение по контролю URL  Экономия на: Интернет-трафике  Дополнительно Рост продуктивности (может быть) Защита от вирусов и троянцев в загружаемом трафике Security and Crisis © 2008 Cisco Systems, Inc. All rights reserved. 19/51
  20. 20. Оффшоринг Security and Crisis © 2008 Cisco Systems, Inc. All rights reserved. 20/51
  21. 21. Оффшоринг и персональные данные  Сфера действия ФЗ-152 распространяется на российские юрлица, госорганы и т.п.  Передача функций систематизации, накопления, хранения, распространения, блокирования, уничтожения ПДн и т.п. в другие страны (оффшоринг) позволяет снизить нагрузку на предприятие в части выполнения требования ФЗ-152 и подзаконных актов Проверить выполнение данного пункта в отношении зарубежных юрлиц невозможно – у органов надзора нет таких прав Сбор и использование ПДн остается  В этом случае вы должны обязательно включить в договор обязательство обеспечения конфиденциальности ПДн и безопасности ПДн при их обработке (ст.6.4 ФЗ-152) Security and Crisis 21/51 © 2008 Cisco Systems, Inc. All rights reserved.
  22. 22. Защита бизнеса от «разворовывания» Security and Crisis © 2008 Cisco Systems, Inc. All rights reserved. 22/51
  23. 23. Защита бизнеса от разворовывания  Увольнение сотрудников  желание «урвать»  кража информации  решение по контролю утечек информации  Выгоды: Защита от утечек интеллектуальной собственности, банковской и коммерческой тайны, персданных и т.п.  Дополнительно Защита почты Защита ПК, лэптопов от широкого спектра угроз Защита от преследования за нарушение обращения с защищаемой информацией Security and Crisis © 2008 Cisco Systems, Inc. All rights reserved. 23/51
  24. 24. Оценка эффективности ИБ От результативности к оптимальности Security and Crisis © 2008 Cisco Systems, Inc. All rights reserved. 24/51
  25. 25. Достижение каких целей измеряем? Цели топ- Операционные менеджмента цели Цели ИБ Финансовые Цели ИТ цели  Цели ИБ в данной ситуации вторичны, т.к. их никто не понимает кроме службы ИБ Грустно это признавать, но это так Security and Crisis © 2008 Cisco Systems, Inc. All rights reserved. 25/51
  26. 26. Efficiency vs. Effectiveness Результативность Оптимальность  Сначала мы обычно оцениваем достижение цели как таковой (результат) Но интересно ли нам достижение цели любыми средствами? • Процент заблокированного спама • Процент прошедшего спама через Антиспам антиспам и о котором сообщили сотрудники, прошедшие тренинг повышения осведомленности Security and Crisis © 2008 Cisco Systems, Inc. All rights reserved. 26/51
  27. 27. Пример: контроль доступа в Интернет  Задача: оценить эффективность системы контроля доступа Видимая оценка Скрытая оценка • 1,5 часа в день на • Блокирование доступа «одноклассниках» не значит, что • 200 сотрудников сотрудники будут • 6600 часов экономии – работать 825 чел/дней • Работа «от» и «до» и не • $18750 в месяц (при больше зарплате $500) • Ухудшение псих.климата • $225000 в год экономии • Потери $150000 в год Security and Crisis © 2008 Cisco Systems, Inc. All rights reserved. 27/51
  28. 28. Пример: система защиты e-mail Исходные данные Значение Метрика Значение Ценность (value) 1.000.000 Transaction Value 0,0025 Цена решения 250.000 Transaction Cost 0,000625 Цена средств защиты 20.000 Потери на инцидент 300 Cost per Control 0,000023529 Число транзакций 400.000.000 Control per Transaction 2.13 Проверенных IP 300.000.000 Антиспам 400.000.000 Security to Value Ratio 2% Антивирус 150.000.000 Loss to Value Ratio 15% Хороших писем разрешено 80.000.000 Control Effectiveness Ratio 95% Плохих писем запрещено 300.000.000 Incident per Million 1,25 Хороших писем запрещено 200.000 Incident Prevention Rate 99,9998% Плохих писем разрешено 500 Risk Aversion Ratio 400 Security and Crisis © 2008 Cisco Systems, Inc. All rights reserved. 28/51
  29. 29. Security BSC Заказчик Compliance Финансы Заказчик Базовая Будущее BSC Ценность для бизнеса Внутренние Обучение и рост процессы Операционная эффективность Security and Crisis © 2008 Cisco Systems, Inc. All rights reserved. 29/51
  30. 30. Прямая и косвенная отдача  Преимущества для бизнеса и использование преимуществ – это разные вещи  Снижение арендной платы  уменьшение арендуемых площадей  перевод сотрудников на дом  решение Cisco по защищенному удаленному доступу  Экономия на: Аренда площадей Питание сотрудников Оплата проездных (если применимо) Оплата канцтоваров  Принятие решения о переводе принимает менеджмент Security and Crisis Надо не только предлагать решение, но и продвигать его © 2008 Cisco Systems, Inc. All rights reserved. 30/51
  31. 31. Прямая и косвенная отдача Статья экономии Человека/часов Цена* Идентификация несоответствующих компьютеров 1.0 $12.00 Определение местоположения несоответствующих компьютеров 1.0 $12.00 Приведение в соответствие 2.0 $24.00 Потенциально сэкономленные затраты на 1 компьютер $48.00  ИБ дала возможность сэкономить, но…  …воспользовался ли бизнес этой возможностью? Security and Crisis © 2008 Cisco Systems, Inc. All rights reserved. 31/51
  32. 32. Изучение багажа и оптимизация существующих проектов Security and Crisis © 2008 Cisco Systems, Inc. All rights reserved. 32/51
  33. 33. Пример: классификация ИСПДн  Типовые ИСПДн Единственная угроза для ПДн – нарушение конфиденциальности  Специальные ИСПДн Помимо нарушения конфиденциальности, присутствуют и другие угрозы (нарушения целостности, доступности) Класс определяется на основе модели угроз, разработанной ФСТЭК или ФСБ, но… Security and Crisis © 2008 Cisco Systems, Inc. All rights reserved. 33/51
  34. 34. А есть ли вообще типовые ИСПДн?  Оператор при обработке персональных данных обязан принимать необходимые … технические меры … для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных, а также от иных неправомерных действий ст.19 ФЗ-152 «О персональных данных»  Обязанность защиты от изменения и блокирования подразумевает защиту не только от угрозы нарушения конфиденциальности, но и от угроз нарушения целостности и доступности Security and Crisis Любая ИСПДн будет специальной! © 2008 Cisco Systems, Inc. All rights reserved. 34/51
  35. 35. Классификация специальных ИСПДн  По результатам анализа исходных данных класс специальной информационной системы определяется на основе модели угроз безопасности персональных данных в соответствии с методическими документами, разрабатываемыми в соответствии с пунктом 2 постановления Правительства Российской Федерации от 17 ноября 2007 г. N 781 «Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных» Таких методических документов до сих пор нет! Это дает большой простор для творчества!!! Security and Crisis © 2008 Cisco Systems, Inc. All rights reserved. 35/51
  36. 36. Результат оптимизации Типовая ИСПДн Специальная ИСПДн Классификация Частная модель угроз ИСПДн Мероприятия по Мероприятия по защите в зависимости защите от класса Огромные затраты Оптимальные затраты Security and Crisis © 2008 Cisco Systems, Inc. All rights reserved. 36/51
  37. 37. Другие направления деятельности  Разработка организационно-распорядительной документации Регламенты, политики, инструкции и т.д.  Разработка программы повышения осведомленности персонала  Разработка программы оценки эффективности ИБ  Разработка архитектуры и стратегии ИБ Security and Crisis © 2008 Cisco Systems, Inc. All rights reserved. 37/51
  38. 38. Что готовит нам законодательство? Security and Crisis © 2008 Cisco Systems, Inc. All rights reserved. 38/51
  39. 39. Законодательство и будущее  ФЗ «О персональных данных»  ФЗ «О служебной тайне»  СТР-К  Требования к защите коммерческой тайны  Требования к ключевым системам информационной инфраструктуры  Требования к ввозимым ИТ- решениям  Требования к аудиту и оценке соответствия Security and Crisis © 2008 Cisco Systems, Inc. All rights reserved. 39/51
  40. 40. Планируемые / принятые ГОСТы  ГОСТ Р ИСО/МЭК ТО 18044 «Информационная технология. Методы обеспечения безопасности. Руководство по менеджменту безопасностью информации»  ГОСТ Р ИСО ТО 13569 «Финансовые услуги. Рекомендации по информационной безопасности» Security and Crisis © 2008 Cisco Systems, Inc. All rights reserved. 40/51
  41. 41. Планируемые / принятые ГОСТы  ГОСТ Р ИСО/МЭК 18045 «Информационная технология. Методы и средства обеспечения безопасности. Методология оценки безопасности информационных технологий»  ГОСТ Р ИСО/МЭК ТО 19791 «Информационная технология. Методы и средства обеспечения безопасности. Оценка безопасности автоматизированных систем» Security and Crisis © 2008 Cisco Systems, Inc. All rights reserved. 41/51
  42. 42. Планируемые / принятые ГОСТы  ГОСТ Р ИСО/МЭК ТО 15446 «Информационная технология. Методы и средства обеспечения безопасности. Руководство по разработке профилей защиты и заданий по безопасности»  ГОСТ Р ИСО/МЭК 27006 «Информационная технология. Методы и средства обеспечения безопасности. Требования к органам, осуществляющим аудит и сертификацию систем менеджмента информационной безопасности» Security and Crisis © 2008 Cisco Systems, Inc. All rights reserved. 42/51
  43. 43. Планируемые / принятые ГОСТы  ГОСТ Р ИСО/МЭК 18028-1 «Информационная технология. Методы и средства обеспечения безопасности. Сетевая безопасность информационных технологий. Часть 1. Менеджмент сетевой безопасности»  ГОСТ Р ИСО/МЭК ТО 24762 «Защита информации. Рекомендации по услугам восстановления после чрезвычайных ситуаций функций и механизмов безопасности информационных и телекоммуникационных технологий. Общие положения» Security and Crisis © 2008 Cisco Systems, Inc. All rights reserved. 43/51
  44. 44. Планируемая гармонизация ГОСТов  ГОСТ Р ИСО/МЭК 21827 «Информационная технология. Проектирование систем безопасности. Модель зрелости»  ГОСТ Р ИСО/МЭК 27000 «Информационная технология. Методы и средства безопасности. Системы менеджмента информационной безопасности. Обзор и словарь»  ГОСТ Р ИСО/МЭК 27002 «Информационная технология. Методы и средства безопасности. Практические правила менеджмента информационной безопасности»  ГОСТ Р ИСО/МЭК 27005 «Информационная технология. Измерения менеджмента информационной безопасности» Security and Crisis © 2008 Cisco Systems, Inc. All rights reserved. 44/51
  45. 45. Планируемые национальные ГОСТы  ГОСТ Р «Защита информации. Автоматизированные системы и базы данных. Требования по обеспечению безопасности информации»  ГОСТ Р «Защита информации. Оценка безопасности информации, циркулирующей в автоматизированных системах. Общие положения» Security and Crisis © 2008 Cisco Systems, Inc. All rights reserved. 45/51
  46. 46. Планируемые национальные ГОСТы  ГОСТ Р «Защита информации. Техника защиты информации. Требования к формированию баз синтетических биометрических образов, предназначенных для тестирования средств высоконадежной биометрической аутентификации»  ГОСТ Р «Система обеспечения информационной безопасности сети связи общего пользования. Методика оценки риска причинения ущерба сетям и системам связи» Security and Crisis © 2008 Cisco Systems, Inc. All rights reserved. 46/51
  47. 47. Резюме Security and Crisis © 2008 Cisco Systems, Inc. All rights reserved. 47/51
  48. 48. ИБ в условиях кризиса  Чтобы эффективно существовать в условиях кризиса службы ИБ должны, как минимум, понимать бизнес и идти за ним, а максимум – направлять его в нужном направлении Изменение бизнеса Улучшение бизнеса Развитие вместе с бизнесом Хаос Security and Crisis © 2008 Cisco Systems, Inc. All rights reserved. 48/51
  49. 49. Новый взгляд на безопасность Security and Crisis © 2008 Cisco Systems, Inc. All rights reserved. 49/51
  50. 50. Вопросы Дополнительные вопросы Вы можете задать по электронной почте security-request@cisco.com или по телефону: +7 495 961-1410 На сайте http://my.cisco.ru доступны сопутствующие материалы по данной тематике (White Paper, презентации и т.п.) Security and Crisis © 2008 Cisco Systems, Inc. All rights reserved. 50/51
  51. 51. Security and Crisis © 2008 Cisco Systems, Inc. All rights reserved. 51/51

×