2. Возможные ситуации
2
• Юристы не осведомлены об отраслевых
рекомендациях/законах
• Локальный CISO:
Принимает решения
на локальном уровне,
осведомлен, знает о
глобальных
процедурах (к примеру
бывший консультант)
Выполняет
инструкции
«сверху», мало
знаний о
законодательстве
CISO нет. Есть
сотрудник отдела ИТ,
в обязанности
которого также входит
выполнение основных
инструкций
• Подчиняется директору по ИТ, крайне
редко – генеральному директору
3. IT услуги
3
• IT безопасность и Управление информацией –
зачастую два разных процесса. IT безопасность –
функция IT, подконтрольная организационной
функции (compliance, risk mgmt, quality и т.д.)
• В целях экономии средств и ресурсов IT услуги
выносятся на аутсорсинг или предоставляются
глобально. Локальный IT имеет доступ к
оборудованию на территории РФ и создает запросы
• Единые глобальные стандарты на использование ПО.
Внедрение нового ПО может затянуть цепь
согласований и тестирований
4. Процессы IТ и ИБ
4
• Определяются международными документами, в
т.ч. отраслевыми (ISO27001, NISTs, ITIL, COBIT,
SOX, GxP and etc.)
• Компания разрабатывает свою внутреннюю
линейку стандартов, базируясь на
международных
• Ни малейшего понятия о российских требованиях
6. Какие законы распространяются
на компании
6
• 152-ФЗ, Постановление Правительства РФ от
01.11.2012 №1119, Приказ ФСТЭК от №21, 242-ФЗ
• Требования ФСБ к ТЗКИ (при условии использования
отечественной криптографии)
• Защита коммерческой тайны (исключительно
добровольно)
• 161-ФЗ, НСПК (для банков и платежных систем)
• Документы по защите КСИИ - ?
9. Как выбрать исполнителя
9
AM1
AM2
Мы входим в топ 5
компаний, наш
штат 1000чел,
оборот 3млрд.,
100500 клиентов
Мы независимое
консалтинговое
агентство, с
небольшим штатом
и скромным
оборотом
10. Проблема выбора
| IGM Russian realities| Yulia Suslina | Date | CISO Forum | Public10
• Нет «черного списка» недобросовестных
компаний
• В крупных компаниях редко Аккаунт-
менеджер скажет, кто будет курировать
проект. А результат зависит именно от этого
• Непонятно, из чего складывается цена.
Разная детализация услуг в КП вводит в
заблуждение, при этом есть риск включения
необязательных услуг
• Выбор демпингующей компании и, как
результат, дополнительные расходы
11. Рабочая фаза
| IGM Russian realities| Yulia Suslina | Date | CISO Forum | Public11
Юрист
Закупки
AM
РП
Контракт
подписан, вот наш
руководитель
проекта
14. Разработка итогового пакета
| IGM Russian realities| Yulia Suslina | Date | CISO Forum | Public14
Юрист
CISO
AM
PM
Вот держите пакет
документов: отчет,
модель угроз,
техническое
задание и все
остальное
15. Разработка итогового пакета
| IGM Russian realities| Yulia Suslina | Date | CISO Forum | Public15
Юрист
IT
AM
PM
Мы не можем вот так
взять и всё заменить
на
сертифицированные
средства, глобалы не
разрешат! Должен
быть другой путь!
16. Разработка итогового пакета
| IGM Russian realities| Yulia Suslina | Date | CISO Forum | Public16
Legal
IT
AM
PM
Вы используете
средства, не
прошедшие
процедуру оценки
соответствия. Либо
давайте все
переделывать
17. Разработка итогового пакета
| IGM Russian realities| Yulia Suslina | Date | CISO Forum | Public17
Legal
IT
AM
PM
Время – деньги,
дополнительные
расходы
18. Исполнитель:
1) Использует стандартные
шаблоны для экономии
времени
2) Большой объем проектов,
сжатый срок
3) Недостаточная
квалификация и
клиенториентированность
консультанта
4) Выполнение «плана» по
продажам, навязывание
избыточного ПО
Заказчик:
1) Изначально нет четкого
разграничения зон
ответственности: IT
привлекается косвенно и
не замотивировано
2) Испытывает трудности при
вычитке 200-страничных
документов
3) Не осведомлен в тонкостях
законодательства
| IGM Russian realities| Yulia Suslina | Date | CISO Forum | Public18
В чем причина такого исхода
20. Установка нового ПО
| IGM Russian realities| Yulia Suslina | Date | CISO Forum | Public20
IT Global IT
Infrastructure center
Запрос на установку
Обоснование замены
Global
infosec team
Global
engineers
21. Установка нового ПО
| IGM Russian realities| Yulia Suslina | Date | CISO Forum | Public21
IT Global IT
Infrastructure center
Запрос на установку
Обоснование замены
Global
infosec team
Global
engineers
Мы не можем
одобрить
установку, так как
неизвестно
влияние на
инфраструктуру
Мы не умеем
устанавливать это
ПО
22. Установка нового ПО
| IGM Russian realities| Yulia Suslina | Date | CISO Forum | Public22
IT Global IT
Infrastructure center
Запрос на установку
отклонен
Global
infosec team
Global
engineers
23. Если возможна установка силами
региона
23
IT
Юрист
Global IT
Infrastructure center
Данное ПО будет
установлено только
на отечественных
серверах и не
окажет влияния на
глобальные
Мы несем полную
ответственность и
подтверждаем, что
это наименее
затратный вариант
соответствия закону
24. Что должен учитывать
исполнитель
24
1) Угрозы из МУиН должны обсуждаться с заказчиком на
этапе формирования. Заказчик должен быть
проинформирован о способах нейтрализации
2) Оценка рисков при реализации каждой угрозы,
вероятность реализации и степень опасности может быть
проведена заказчиком
3) Список актуальных угроз по результатам шагов 1 и 2
4) Выбор реализации мер защиты с учетом экономической
целесообразности
5) Техническая реализация – не панацея. Могут и должны
быть выбраны компенсирующие меры в случаях, если
техническая реализация объективно затруднительна.
26. Условия использования
криптографии
26
• Использование сертифицированной
криптографии предполагает наличие
лицензии ФСТЭК на ТЗКИ
• Лицензию нужно получать, либо заключать
SLA с сервисной компанией, у которой эта
лицензия есть
• Многие компании-исполнители «забывают»
упомянуть об этом
27. Подводные камни
27
• ГОСТ 28147-89 разработан давно и не подходит для
высокоскоростных соединений, сильно снижает
производительность
• Категорически не подходит, если интернет-соединение идет
через иностранный прокси-сервер.
28. Мера ЗИС.3
28
• Мера ЗИС.3 (Приказ ФСТЭК №21) обязательна для
всех УЗ. Обязательность данной меры используется
как повод рекомендовать криптографию
• Согласно рекомендациям ФСТЭК по вариантам
реализации мер (для ГИС) могут быть предложены
следующие варианты:
Защита каналов связи и кабелей от физического доступа
Использование средств контроля целостности
• Актуальность угрозы раскрытия конфиденциальной
информацией может быть снижена при
использовании VPN с двухфакторной
аутентификацией.