SlideShare a Scribd company logo

Information governance in Russia

Download as PPTX, PDF
Julia Suslina
Julia Suslina

Presented @CISO forum 2015

Internet
1 of 29
Информационная безопасность: опыт зарубежных компаний в российских реалиях Юлия Суслина
Возможные ситуации 2 • Юристы не осведомлены об отраслевых рекомендациях/законах • Локальный CISO: Принимает решения на локальном уровне, осведомлен, знает о глобальных процедурах (к примеру бывший консультант) Выполняет инструкции «сверху», мало знаний о законодательстве CISO нет. Есть сотрудник отдела ИТ, в обязанности которого также входит выполнение основных инструкций • Подчиняется директору по ИТ, крайне редко – генеральному директору
IT услуги 3 • IT безопасность и Управление информацией – зачастую два разных процесса. IT безопасность – функция IT, подконтрольная организационной функции (compliance, risk mgmt, quality и т.д.) • В целях экономии средств и ресурсов IT услуги выносятся на аутсорсинг или предоставляются глобально. Локальный IT имеет доступ к оборудованию на территории РФ и создает запросы • Единые глобальные стандарты на использование ПО. Внедрение нового ПО может затянуть цепь согласований и тестирований
Процессы IТ и ИБ 4 • Определяются международными документами, в т.ч. отраслевыми (ISO27001, NISTs, ITIL, COBIT, SOX, GxP and etc.) • Компания разрабатывает свою внутреннюю линейку стандартов, базируясь на международных • Ни малейшего понятия о российских требованиях
Где начинается конфликт 5
Какие законы распространяются на компании 6 • 152-ФЗ, Постановление Правительства РФ от 01.11.2012 №1119, Приказ ФСТЭК от №21, 242-ФЗ • Требования ФСБ к ТЗКИ (при условии использования отечественной криптографии) • Защита коммерческой тайны (исключительно добровольно) • 161-ФЗ, НСПК (для банков и платежных систем) • Документы по защите КСИИ - ?
Инициация проекта 7 Обоснование необходимости, запрос на тендер
Инициация проекта 8 Запускают и лидируют тендер на всех этапах
Как выбрать исполнителя 9 AM1 AM2 Мы входим в топ 5 компаний, наш штат 1000чел, оборот 3млрд., 100500 клиентов Мы независимое консалтинговое агентство, с небольшим штатом и скромным оборотом
Проблема выбора | IGM Russian realities| Yulia Suslina | Date | CISO Forum | Public10 • Нет «черного списка» недобросовестных компаний • В крупных компаниях редко Аккаунт- менеджер скажет, кто будет курировать проект. А результат зависит именно от этого • Непонятно, из чего складывается цена. Разная детализация услуг в КП вводит в заблуждение, при этом есть риск включения необязательных услуг • Выбор демпингующей компании и, как результат, дополнительные расходы
Рабочая фаза | IGM Russian realities| Yulia Suslina | Date | CISO Forum | Public11 Юрист Закупки AM РП Контракт подписан, вот наш руководитель проекта
Рабочая фаза 12 Юрист AM PM Нам нужен ваш CISO, или кто у вас за это отвечает...
Рабочая фаза 13 Юрист AM PM Нам нужен ваш CISO, или кто у вас за это отвечает...
Разработка итогового пакета | IGM Russian realities| Yulia Suslina | Date | CISO Forum | Public14 Юрист CISO AM PM Вот держите пакет документов: отчет, модель угроз, техническое задание и все остальное
Разработка итогового пакета | IGM Russian realities| Yulia Suslina | Date | CISO Forum | Public15 Юрист IT AM PM Мы не можем вот так взять и всё заменить на сертифицированные средства, глобалы не разрешат! Должен быть другой путь!
Разработка итогового пакета | IGM Russian realities| Yulia Suslina | Date | CISO Forum | Public16 Legal IT AM PM Вы используете средства, не прошедшие процедуру оценки соответствия. Либо давайте все переделывать
Разработка итогового пакета | IGM Russian realities| Yulia Suslina | Date | CISO Forum | Public17 Legal IT AM PM Время – деньги, дополнительные расходы
 Исполнитель: 1) Использует стандартные шаблоны для экономии времени 2) Большой объем проектов, сжатый срок 3) Недостаточная квалификация и клиенториентированность консультанта 4) Выполнение «плана» по продажам, навязывание избыточного ПО  Заказчик: 1) Изначально нет четкого разграничения зон ответственности: IT привлекается косвенно и не замотивировано 2) Испытывает трудности при вычитке 200-страничных документов 3) Не осведомлен в тонкостях законодательства | IGM Russian realities| Yulia Suslina | Date | CISO Forum | Public18 В чем причина такого исхода
Внедрение ПО, прошедшего процедуру оценки соответствия требованиям законодательства РФ 1
Установка нового ПО | IGM Russian realities| Yulia Suslina | Date | CISO Forum | Public20 IT Global IT Infrastructure center Запрос на установку Обоснование замены Global infosec team Global engineers
Установка нового ПО | IGM Russian realities| Yulia Suslina | Date | CISO Forum | Public21 IT Global IT Infrastructure center Запрос на установку Обоснование замены Global infosec team Global engineers Мы не можем одобрить установку, так как неизвестно влияние на инфраструктуру Мы не умеем устанавливать это ПО
Установка нового ПО | IGM Russian realities| Yulia Suslina | Date | CISO Forum | Public22 IT Global IT Infrastructure center Запрос на установку отклонен Global infosec team Global engineers
Если возможна установка силами региона 23 IT Юрист Global IT Infrastructure center Данное ПО будет установлено только на отечественных серверах и не окажет влияния на глобальные Мы несем полную ответственность и подтверждаем, что это наименее затратный вариант соответствия закону
Что должен учитывать исполнитель 24 1) Угрозы из МУиН должны обсуждаться с заказчиком на этапе формирования. Заказчик должен быть проинформирован о способах нейтрализации 2) Оценка рисков при реализации каждой угрозы, вероятность реализации и степень опасности может быть проведена заказчиком 3) Список актуальных угроз по результатам шагов 1 и 2 4) Выбор реализации мер защиты с учетом экономической целесообразности 5) Техническая реализация – не панацея. Могут и должны быть выбраны компенсирующие меры в случаях, если техническая реализация объективно затруднительна.
Использование криптографии 2
Условия использования криптографии 26 • Использование сертифицированной криптографии предполагает наличие лицензии ФСТЭК на ТЗКИ • Лицензию нужно получать, либо заключать SLA с сервисной компанией, у которой эта лицензия есть • Многие компании-исполнители «забывают» упомянуть об этом
Подводные камни 27 • ГОСТ 28147-89 разработан давно и не подходит для высокоскоростных соединений, сильно снижает производительность • Категорически не подходит, если интернет-соединение идет через иностранный прокси-сервер.
Мера ЗИС.3 28 • Мера ЗИС.3 (Приказ ФСТЭК №21) обязательна для всех УЗ. Обязательность данной меры используется как повод рекомендовать криптографию • Согласно рекомендациям ФСТЭК по вариантам реализации мер (для ГИС) могут быть предложены следующие варианты:  Защита каналов связи и кабелей от физического доступа  Использование средств контроля целостности • Актуальность угрозы раскрытия конфиденциальной информацией может быть снижена при использовании VPN с двухфакторной аутентификацией.
Вопросы? 2

Recommended

Разработка средств защиты в России и на Западе: разность подходов
Разработка средств защиты в России и на Западе: разность подходовРазработка средств защиты в России и на Западе: разность подходов
Разработка средств защиты в России и на Западе: разность подходовAleksey Lukatskiy
 
Консалтинг и GRC 2014
Консалтинг и GRC 2014Консалтинг и GRC 2014
Консалтинг и GRC 2014jet_information_security
 
Измерение эффективности ИБ
Измерение эффективности ИБИзмерение эффективности ИБ
Измерение эффективности ИБAleksey Lukatskiy
 
Is the best information security practices in Russia the illusion or the nece...
Is the best information security practices in Russia the illusion or the nece...Is the best information security practices in Russia the illusion or the nece...
Is the best information security practices in Russia the illusion or the nece...VladimirMinakov3
 
Финансовое измерение ИБ. 10 кейсов
Финансовое измерение ИБ. 10 кейсовФинансовое измерение ИБ. 10 кейсов
Финансовое измерение ИБ. 10 кейсовAleksey Lukatskiy
 
Оценка отдачи вложений в ИБ
Оценка отдачи вложений в ИБОценка отдачи вложений в ИБ
Оценка отдачи вложений в ИБAleksey Lukatskiy
 
Бизнес-модели в деятельности безопасника
Бизнес-модели в деятельности безопасникаБизнес-модели в деятельности безопасника
Бизнес-модели в деятельности безопасникаAleksey Lukatskiy
 
Управление ИБ в условиях кризиса
Управление ИБ в условиях кризисаУправление ИБ в условиях кризиса
Управление ИБ в условиях кризисаAleksey Lukatskiy
 

Recommended

Разработка средств защиты в России и на Западе: разность подходов
Разработка средств защиты в России и на Западе: разность подходовРазработка средств защиты в России и на Западе: разность подходов
Разработка средств защиты в России и на Западе: разность подходовAleksey Lukatskiy
 
Консалтинг и GRC 2014
Консалтинг и GRC 2014Консалтинг и GRC 2014
Консалтинг и GRC 2014jet_information_security
 
Измерение эффективности ИБ
Измерение эффективности ИБИзмерение эффективности ИБ
Измерение эффективности ИБAleksey Lukatskiy
 
Is the best information security practices in Russia the illusion or the nece...
Is the best information security practices in Russia the illusion or the nece...Is the best information security practices in Russia the illusion or the nece...
Is the best information security practices in Russia the illusion or the nece...VladimirMinakov3
 
Финансовое измерение ИБ. 10 кейсов
Финансовое измерение ИБ. 10 кейсовФинансовое измерение ИБ. 10 кейсов
Финансовое измерение ИБ. 10 кейсовAleksey Lukatskiy
 
Оценка отдачи вложений в ИБ
Оценка отдачи вложений в ИБОценка отдачи вложений в ИБ
Оценка отдачи вложений в ИБAleksey Lukatskiy
 
Бизнес-модели в деятельности безопасника
Бизнес-модели в деятельности безопасникаБизнес-модели в деятельности безопасника
Бизнес-модели в деятельности безопасникаAleksey Lukatskiy
 
Управление ИБ в условиях кризиса
Управление ИБ в условиях кризисаУправление ИБ в условиях кризиса
Управление ИБ в условиях кризисаAleksey Lukatskiy
 
Внедрение СУИБ, соответствующей ИСО 27001 в ИТ компании
Внедрение СУИБ, соответствующей ИСО 27001 в ИТ компанииВнедрение СУИБ, соответствующей ИСО 27001 в ИТ компании
Внедрение СУИБ, соответствующей ИСО 27001 в ИТ компанииSQALab
 
Проблемы взаимодействия ИБ и ИТ департаментов: взгляд со стороны ИБ/очный сем...
Проблемы взаимодействия ИБ и ИТ департаментов: взгляд со стороны ИБ/очный сем...Проблемы взаимодействия ИБ и ИТ департаментов: взгляд со стороны ИБ/очный сем...
Проблемы взаимодействия ИБ и ИТ департаментов: взгляд со стороны ИБ/очный сем...RISClubSPb
 
Выявление и предотвращение мошенничества ИТ-средствами. А.Сизов
Выявление и предотвращение мошенничества ИТ-средствами. А.СизовВыявление и предотвращение мошенничества ИТ-средствами. А.Сизов
Выявление и предотвращение мошенничества ИТ-средствами. А.Сизовjet_information_security
 
Проблематика подбора специалистов по ИБ на российском рынке труда/очный семин...
Проблематика подбора специалистов по ИБ на российском рынке труда/очный семин...Проблематика подбора специалистов по ИБ на российском рынке труда/очный семин...
Проблематика подбора специалистов по ИБ на российском рынке труда/очный семин...RISClubSPb
 
Темные пятна в ИБ, где ваше слабое звено/очный семинар RISC
Темные пятна в ИБ, где ваше слабое звено/очный семинар RISCТемные пятна в ИБ, где ваше слабое звено/очный семинар RISC
Темные пятна в ИБ, где ваше слабое звено/очный семинар RISCRISClubSPb
 
Человек смотрящий/очный семинар RISC
Человек смотрящий/очный семинар RISCЧеловек смотрящий/очный семинар RISC
Человек смотрящий/очный семинар RISCRISClubSPb
 
Атрибуция кибератак
Атрибуция кибератакАтрибуция кибератак
Атрибуция кибератакAleksey Lukatskiy
 
Alexander Dmitriev - Практика построения ключевых процессов менеджмента инфор...
Alexander Dmitriev - Практика построения ключевых процессов менеджмента инфор...Alexander Dmitriev - Практика построения ключевых процессов менеджмента инфор...
Alexander Dmitriev - Практика построения ключевых процессов менеджмента инфор...UISGCON
 
Anti-Malware. Илья Шабанов. " Как контролировать системных администраторов и ...
Anti-Malware. Илья Шабанов. " Как контролировать системных администраторов и ...Anti-Malware. Илья Шабанов. " Как контролировать системных администраторов и ...
Anti-Malware. Илья Шабанов. " Как контролировать системных администраторов и ...Expolink
 
ИСО 27001 на практике, или будни внедренца
ИСО 27001 на практике, или будни внедренцаИСО 27001 на практике, или будни внедренца
ИСО 27001 на практике, или будни внедренцаAlexey Evmenkov
 
Daftar isi
Daftar isiDaftar isi
Daftar isiHalili Kendari
 
Wiki
WikiWiki
WikiHalili Kendari
 
2 big heat
2 big heat2 big heat
2 big heatEmily Bell
 
Preliminary Task
Preliminary TaskPreliminary Task
Preliminary TaskEmily Bell
 
3 myp chemistry atomic structure
3 myp chemistry atomic structure3 myp chemistry atomic structure
3 myp chemistry atomic structureGreen Lake School
 
Scream notes
Scream notesScream notes
Scream notesEmily Bell
 
1 myp chemistry matter
1 myp chemistry matter1 myp chemistry matter
1 myp chemistry matterGreen Lake School
 
Linked Earth Observation Data:The Projects TELEIOS and LEO
Linked Earth Observation Data:The Projects TELEIOS and LEOLinked Earth Observation Data:The Projects TELEIOS and LEO
Linked Earth Observation Data:The Projects TELEIOS and LEOKostis Kyzirakos
 
3 Physci myp atomic structure
3 Physci myp atomic structure3 Physci myp atomic structure
3 Physci myp atomic structureGreen Lake School
 
Halloween notes
Halloween notesHalloween notes
Halloween notesEmily Bell
 
Social engineering
Social engineeringSocial engineering
Social engineeringJulia Suslina
 
2 myp Chemistry states and energy
2 myp Chemistry states and energy2 myp Chemistry states and energy
2 myp Chemistry states and energyGreen Lake School
 

More Related Content

What's hot

Внедрение СУИБ, соответствующей ИСО 27001 в ИТ компании
Внедрение СУИБ, соответствующей ИСО 27001 в ИТ компанииВнедрение СУИБ, соответствующей ИСО 27001 в ИТ компании
Внедрение СУИБ, соответствующей ИСО 27001 в ИТ компанииSQALab
 
Проблемы взаимодействия ИБ и ИТ департаментов: взгляд со стороны ИБ/очный сем...
Проблемы взаимодействия ИБ и ИТ департаментов: взгляд со стороны ИБ/очный сем...Проблемы взаимодействия ИБ и ИТ департаментов: взгляд со стороны ИБ/очный сем...
Проблемы взаимодействия ИБ и ИТ департаментов: взгляд со стороны ИБ/очный сем...RISClubSPb
 
Выявление и предотвращение мошенничества ИТ-средствами. А.Сизов
Выявление и предотвращение мошенничества ИТ-средствами. А.СизовВыявление и предотвращение мошенничества ИТ-средствами. А.Сизов
Выявление и предотвращение мошенничества ИТ-средствами. А.Сизовjet_information_security
 
Проблематика подбора специалистов по ИБ на российском рынке труда/очный семин...
Проблематика подбора специалистов по ИБ на российском рынке труда/очный семин...Проблематика подбора специалистов по ИБ на российском рынке труда/очный семин...
Проблематика подбора специалистов по ИБ на российском рынке труда/очный семин...RISClubSPb
 
Темные пятна в ИБ, где ваше слабое звено/очный семинар RISC
Темные пятна в ИБ, где ваше слабое звено/очный семинар RISCТемные пятна в ИБ, где ваше слабое звено/очный семинар RISC
Темные пятна в ИБ, где ваше слабое звено/очный семинар RISCRISClubSPb
 
Человек смотрящий/очный семинар RISC
Человек смотрящий/очный семинар RISCЧеловек смотрящий/очный семинар RISC
Человек смотрящий/очный семинар RISCRISClubSPb
 
Атрибуция кибератак
Атрибуция кибератакАтрибуция кибератак
Атрибуция кибератакAleksey Lukatskiy
 
Alexander Dmitriev - Практика построения ключевых процессов менеджмента инфор...
Alexander Dmitriev - Практика построения ключевых процессов менеджмента инфор...Alexander Dmitriev - Практика построения ключевых процессов менеджмента инфор...
Alexander Dmitriev - Практика построения ключевых процессов менеджмента инфор...UISGCON
 
Anti-Malware. Илья Шабанов. " Как контролировать системных администраторов и ...
Anti-Malware. Илья Шабанов. " Как контролировать системных администраторов и ...Anti-Malware. Илья Шабанов. " Как контролировать системных администраторов и ...
Anti-Malware. Илья Шабанов. " Как контролировать системных администраторов и ...Expolink
 
ИСО 27001 на практике, или будни внедренца
ИСО 27001 на практике, или будни внедренцаИСО 27001 на практике, или будни внедренца
ИСО 27001 на практике, или будни внедренцаAlexey Evmenkov
 

What's hot (10)

Внедрение СУИБ, соответствующей ИСО 27001 в ИТ компании
Внедрение СУИБ, соответствующей ИСО 27001 в ИТ компанииВнедрение СУИБ, соответствующей ИСО 27001 в ИТ компании
Внедрение СУИБ, соответствующей ИСО 27001 в ИТ компании
 
Проблемы взаимодействия ИБ и ИТ департаментов: взгляд со стороны ИБ/очный сем...
Проблемы взаимодействия ИБ и ИТ департаментов: взгляд со стороны ИБ/очный сем...Проблемы взаимодействия ИБ и ИТ департаментов: взгляд со стороны ИБ/очный сем...
Проблемы взаимодействия ИБ и ИТ департаментов: взгляд со стороны ИБ/очный сем...
 
Выявление и предотвращение мошенничества ИТ-средствами. А.Сизов
Выявление и предотвращение мошенничества ИТ-средствами. А.СизовВыявление и предотвращение мошенничества ИТ-средствами. А.Сизов
Выявление и предотвращение мошенничества ИТ-средствами. А.Сизов
 
Проблематика подбора специалистов по ИБ на российском рынке труда/очный семин...
Проблематика подбора специалистов по ИБ на российском рынке труда/очный семин...Проблематика подбора специалистов по ИБ на российском рынке труда/очный семин...
Проблематика подбора специалистов по ИБ на российском рынке труда/очный семин...
 
Темные пятна в ИБ, где ваше слабое звено/очный семинар RISC
Темные пятна в ИБ, где ваше слабое звено/очный семинар RISCТемные пятна в ИБ, где ваше слабое звено/очный семинар RISC
Темные пятна в ИБ, где ваше слабое звено/очный семинар RISC
 
Человек смотрящий/очный семинар RISC
Человек смотрящий/очный семинар RISCЧеловек смотрящий/очный семинар RISC
Человек смотрящий/очный семинар RISC
 
Атрибуция кибератак
Атрибуция кибератакАтрибуция кибератак
Атрибуция кибератак
 
Alexander Dmitriev - Практика построения ключевых процессов менеджмента инфор...
Alexander Dmitriev - Практика построения ключевых процессов менеджмента инфор...Alexander Dmitriev - Практика построения ключевых процессов менеджмента инфор...
Alexander Dmitriev - Практика построения ключевых процессов менеджмента инфор...
 
Anti-Malware. Илья Шабанов. " Как контролировать системных администраторов и ...
Anti-Malware. Илья Шабанов. " Как контролировать системных администраторов и ...Anti-Malware. Илья Шабанов. " Как контролировать системных администраторов и ...
Anti-Malware. Илья Шабанов. " Как контролировать системных администраторов и ...
 
ИСО 27001 на практике, или будни внедренца
ИСО 27001 на практике, или будни внедренцаИСО 27001 на практике, или будни внедренца
ИСО 27001 на практике, или будни внедренца
 

Viewers also liked

Preliminary Task
Preliminary TaskPreliminary Task
Preliminary TaskEmily Bell
 
3 myp chemistry atomic structure
3 myp chemistry atomic structure3 myp chemistry atomic structure
3 myp chemistry atomic structureGreen Lake School
 
Linked Earth Observation Data:The Projects TELEIOS and LEO
Linked Earth Observation Data:The Projects TELEIOS and LEOLinked Earth Observation Data:The Projects TELEIOS and LEO
Linked Earth Observation Data:The Projects TELEIOS and LEOKostis Kyzirakos
 
3 Physci myp atomic structure
3 Physci myp atomic structure3 Physci myp atomic structure
3 Physci myp atomic structureGreen Lake School
 
Halloween notes
Halloween notesHalloween notes
Halloween notesEmily Bell
 
2 myp Chemistry states and energy
2 myp Chemistry states and energy2 myp Chemistry states and energy
2 myp Chemistry states and energyGreen Lake School
 
Streamling your Translation Agency with a Translation Management System
Streamling your Translation Agency with a Translation Management SystemStreamling your Translation Agency with a Translation Management System
Streamling your Translation Agency with a Translation Management SystemLanguage Network Inc
 
Data Models and Query Languages for Linked Geospatial Data
Data Models and Query Languages for Linked Geospatial DataData Models and Query Languages for Linked Geospatial Data
Data Models and Query Languages for Linked Geospatial DataKostis Kyzirakos
 
No thanks we dont want your advice
No thanks we dont want your adviceNo thanks we dont want your advice
No thanks we dont want your adviceRichard Riddle
 
Effects of relevant contextual features in the performance of a restaurant re...
Effects of relevant contextual features in the performance of a restaurant re...Effects of relevant contextual features in the performance of a restaurant re...
Effects of relevant contextual features in the performance of a restaurant re...Blanca Alicia Vargas Govea
 

Viewers also liked (17)

Daftar isi
Daftar isiDaftar isi
Daftar isi
 
Wiki
WikiWiki
Wiki
 
2 big heat
2 big heat2 big heat
2 big heat
 
Preliminary Task
Preliminary TaskPreliminary Task
Preliminary Task
 
3 myp chemistry atomic structure
3 myp chemistry atomic structure3 myp chemistry atomic structure
3 myp chemistry atomic structure
 
Scream notes
Scream notesScream notes
Scream notes
 
1 myp chemistry matter
1 myp chemistry matter1 myp chemistry matter
1 myp chemistry matter
 
Linked Earth Observation Data:The Projects TELEIOS and LEO
Linked Earth Observation Data:The Projects TELEIOS and LEOLinked Earth Observation Data:The Projects TELEIOS and LEO
Linked Earth Observation Data:The Projects TELEIOS and LEO
 
3 Physci myp atomic structure
3 Physci myp atomic structure3 Physci myp atomic structure
3 Physci myp atomic structure
 
Halloween notes
Halloween notesHalloween notes
Halloween notes
 
Social engineering
Social engineeringSocial engineering
Social engineering
 
2 myp Chemistry states and energy
2 myp Chemistry states and energy2 myp Chemistry states and energy
2 myp Chemistry states and energy
 
Streamling your Translation Agency with a Translation Management System
Streamling your Translation Agency with a Translation Management SystemStreamling your Translation Agency with a Translation Management System
Streamling your Translation Agency with a Translation Management System
 
Data Models and Query Languages for Linked Geospatial Data
Data Models and Query Languages for Linked Geospatial DataData Models and Query Languages for Linked Geospatial Data
Data Models and Query Languages for Linked Geospatial Data
 
3.3 chem myp mole formula
3.3 chem myp mole formula3.3 chem myp mole formula
3.3 chem myp mole formula
 
No thanks we dont want your advice
No thanks we dont want your adviceNo thanks we dont want your advice
No thanks we dont want your advice
 
Effects of relevant contextual features in the performance of a restaurant re...
Effects of relevant contextual features in the performance of a restaurant re...Effects of relevant contextual features in the performance of a restaurant re...
Effects of relevant contextual features in the performance of a restaurant re...
 

Similar to Information governance in Russia

Способы выполнения требований 152-ФЗ
Способы выполнения требований 152-ФЗСпособы выполнения требований 152-ФЗ
Способы выполнения требований 152-ФЗValery Bychkov
 
Solar Security. Андрей Прозоров. "5 "почему" аутсорсинга ИБ"
Solar Security. Андрей Прозоров. "5 "почему" аутсорсинга ИБ"Solar Security. Андрей Прозоров. "5 "почему" аутсорсинга ИБ"
Solar Security. Андрей Прозоров. "5 "почему" аутсорсинга ИБ"Expolink
 
Первые шаги нового CISO
Первые шаги нового CISOПервые шаги нового CISO
Первые шаги нового CISOVsevolod Shabad
 
Аутсорсинг. Управление рисками информационной безопасности
Аутсорсинг. Управление рисками информационной безопасностиАутсорсинг. Управление рисками информационной безопасности
Аутсорсинг. Управление рисками информационной безопасностиAleksey Lukatskiy
 
Мастер-класс по моделированию угроз
Мастер-класс по моделированию угрозМастер-класс по моделированию угроз
Мастер-класс по моделированию угрозAleksey Lukatskiy
 
Решения Cisco для обеспечения соответствия требования регуляторов по безопасн...
Решения Cisco для обеспечения соответствия требования регуляторов по безопасн...Решения Cisco для обеспечения соответствия требования регуляторов по безопасн...
Решения Cisco для обеспечения соответствия требования регуляторов по безопасн...Cisco Russia
 
Solar Security. Андрей Прозоров. "5 "почему" аутсорсинга ИБ"
Solar Security. Андрей Прозоров. "5 "почему" аутсорсинга ИБ"Solar Security. Андрей Прозоров. "5 "почему" аутсорсинга ИБ"
Solar Security. Андрей Прозоров. "5 "почему" аутсорсинга ИБ"Expolink
 
Optimal algorithm for personal data operators
Optimal algorithm for personal data operatorsOptimal algorithm for personal data operators
Optimal algorithm for personal data operatorsAleksey Lukatskiy
 
Как построить систему ИБ в кризис; 3 способа снижения затрат на ИБ
Как построить систему ИБ в кризис; 3 способа снижения затрат на ИБКак построить систему ИБ в кризис; 3 способа снижения затрат на ИБ
Как построить систему ИБ в кризис; 3 способа снижения затрат на ИБInfoWatch
 
Вячеслав Медведев (Доктор Веб) - Процедуры компьютерного инцидента. Можно ли ...
Вячеслав Медведев (Доктор Веб) - Процедуры компьютерного инцидента. Можно ли ...Вячеслав Медведев (Доктор Веб) - Процедуры компьютерного инцидента. Можно ли ...
Вячеслав Медведев (Доктор Веб) - Процедуры компьютерного инцидента. Можно ли ...Expolink
 
Астерит. Практический подход к реализации проектов по защите информации.
Астерит. Практический подход к реализации проектов по защите информации.Астерит. Практический подход к реализации проектов по защите информации.
Астерит. Практический подход к реализации проектов по защите информации.Expolink
 
Астерит - практический подход к реализации проектов по защите информации
Астерит - практический подход к реализации проектов по защите информацииАстерит - практический подход к реализации проектов по защите информации
Астерит - практический подход к реализации проектов по защите информацииExpolink
 
Техническая защита персональных данных. Как соблюсти GDPR и ФЗ-152
Техническая защита персональных данных. Как соблюсти GDPR и ФЗ-152Техническая защита персональных данных. Как соблюсти GDPR и ФЗ-152
Техническая защита персональных данных. Как соблюсти GDPR и ФЗ-152Aleksey Lukatskiy
 
Вебинар по HP ArcSight 25.11.14
Вебинар по HP ArcSight 25.11.14Вебинар по HP ArcSight 25.11.14
Вебинар по HP ArcSight 25.11.14DialogueScience
 
Мониторинг событий информационной безопасности на базе решений HP ArcSight ES...
Мониторинг событий информационной безопасности на базе решений HP ArcSight ES...Мониторинг событий информационной безопасности на базе решений HP ArcSight ES...
Мониторинг событий информационной безопасности на базе решений HP ArcSight ES...DialogueScience
 
неживых тринити документооборот
неживых тринити документооборотнеживых тринити документооборот
неживых тринити документооборотExpolink
 
JSOC мы строили-строили и построили
JSOC мы строили-строили и построилиJSOC мы строили-строили и построили
JSOC мы строили-строили и построилиjet_information_security
 
Три кита в обслуживании телекоммуникационных систем
Три кита в обслуживании телекоммуникационных системТри кита в обслуживании телекоммуникационных систем
Три кита в обслуживании телекоммуникационных системКРОК
 
Расследование инцидентов в ОС Windows - Владимир Безмалый
Расследование инцидентов в ОС Windows - Владимир БезмалыйРасследование инцидентов в ОС Windows - Владимир Безмалый
Расследование инцидентов в ОС Windows - Владимир БезмалыйRISClubSPb
 

Similar to Information governance in Russia (20)

Способы выполнения требований 152-ФЗ
Способы выполнения требований 152-ФЗСпособы выполнения требований 152-ФЗ
Способы выполнения требований 152-ФЗ
 
Solar Security. Андрей Прозоров. "5 "почему" аутсорсинга ИБ"
Solar Security. Андрей Прозоров. "5 "почему" аутсорсинга ИБ"Solar Security. Андрей Прозоров. "5 "почему" аутсорсинга ИБ"
Solar Security. Андрей Прозоров. "5 "почему" аутсорсинга ИБ"
 
Первые шаги нового CISO
Первые шаги нового CISOПервые шаги нового CISO
Первые шаги нового CISO
 
Аутсорсинг. Управление рисками информационной безопасности
Аутсорсинг. Управление рисками информационной безопасностиАутсорсинг. Управление рисками информационной безопасности
Аутсорсинг. Управление рисками информационной безопасности
 
Мастер-класс по моделированию угроз
Мастер-класс по моделированию угрозМастер-класс по моделированию угроз
Мастер-класс по моделированию угроз
 
Решения Cisco для обеспечения соответствия требования регуляторов по безопасн...
Решения Cisco для обеспечения соответствия требования регуляторов по безопасн...Решения Cisco для обеспечения соответствия требования регуляторов по безопасн...
Решения Cisco для обеспечения соответствия требования регуляторов по безопасн...
 
пр 5 почему аутсорсинга ИБ
пр 5 почему аутсорсинга ИБпр 5 почему аутсорсинга ИБ
пр 5 почему аутсорсинга ИБ
 
Solar Security. Андрей Прозоров. "5 "почему" аутсорсинга ИБ"
Solar Security. Андрей Прозоров. "5 "почему" аутсорсинга ИБ"Solar Security. Андрей Прозоров. "5 "почему" аутсорсинга ИБ"
Solar Security. Андрей Прозоров. "5 "почему" аутсорсинга ИБ"
 
Optimal algorithm for personal data operators
Optimal algorithm for personal data operatorsOptimal algorithm for personal data operators
Optimal algorithm for personal data operators
 
Как построить систему ИБ в кризис; 3 способа снижения затрат на ИБ
Как построить систему ИБ в кризис; 3 способа снижения затрат на ИБКак построить систему ИБ в кризис; 3 способа снижения затрат на ИБ
Как построить систему ИБ в кризис; 3 способа снижения затрат на ИБ
 
Вячеслав Медведев (Доктор Веб) - Процедуры компьютерного инцидента. Можно ли ...
Вячеслав Медведев (Доктор Веб) - Процедуры компьютерного инцидента. Можно ли ...Вячеслав Медведев (Доктор Веб) - Процедуры компьютерного инцидента. Можно ли ...
Вячеслав Медведев (Доктор Веб) - Процедуры компьютерного инцидента. Можно ли ...
 
Астерит. Практический подход к реализации проектов по защите информации.
Астерит. Практический подход к реализации проектов по защите информации.Астерит. Практический подход к реализации проектов по защите информации.
Астерит. Практический подход к реализации проектов по защите информации.
 
Астерит - практический подход к реализации проектов по защите информации
Астерит - практический подход к реализации проектов по защите информацииАстерит - практический подход к реализации проектов по защите информации
Астерит - практический подход к реализации проектов по защите информации
 
Техническая защита персональных данных. Как соблюсти GDPR и ФЗ-152
Техническая защита персональных данных. Как соблюсти GDPR и ФЗ-152Техническая защита персональных данных. Как соблюсти GDPR и ФЗ-152
Техническая защита персональных данных. Как соблюсти GDPR и ФЗ-152
 
Вебинар по HP ArcSight 25.11.14
Вебинар по HP ArcSight 25.11.14Вебинар по HP ArcSight 25.11.14
Вебинар по HP ArcSight 25.11.14
 
Мониторинг событий информационной безопасности на базе решений HP ArcSight ES...
Мониторинг событий информационной безопасности на базе решений HP ArcSight ES...Мониторинг событий информационной безопасности на базе решений HP ArcSight ES...
Мониторинг событий информационной безопасности на базе решений HP ArcSight ES...
 
неживых тринити документооборот
неживых тринити документооборотнеживых тринити документооборот
неживых тринити документооборот
 
JSOC мы строили-строили и построили
JSOC мы строили-строили и построилиJSOC мы строили-строили и построили
JSOC мы строили-строили и построили
 
Три кита в обслуживании телекоммуникационных систем
Три кита в обслуживании телекоммуникационных системТри кита в обслуживании телекоммуникационных систем
Три кита в обслуживании телекоммуникационных систем
 
Расследование инцидентов в ОС Windows - Владимир Безмалый
Расследование инцидентов в ОС Windows - Владимир БезмалыйРасследование инцидентов в ОС Windows - Владимир Безмалый
Расследование инцидентов в ОС Windows - Владимир Безмалый
 

Information governance in Russia

  • 1. Информационная безопасность: опыт зарубежных компаний в российских реалиях Юлия Суслина
  • 2. Возможные ситуации 2 • Юристы не осведомлены об отраслевых рекомендациях/законах • Локальный CISO: Принимает решения на локальном уровне, осведомлен, знает о глобальных процедурах (к примеру бывший консультант) Выполняет инструкции «сверху», мало знаний о законодательстве CISO нет. Есть сотрудник отдела ИТ, в обязанности которого также входит выполнение основных инструкций • Подчиняется директору по ИТ, крайне редко – генеральному директору
  • 3. IT услуги 3 • IT безопасность и Управление информацией – зачастую два разных процесса. IT безопасность – функция IT, подконтрольная организационной функции (compliance, risk mgmt, quality и т.д.) • В целях экономии средств и ресурсов IT услуги выносятся на аутсорсинг или предоставляются глобально. Локальный IT имеет доступ к оборудованию на территории РФ и создает запросы • Единые глобальные стандарты на использование ПО. Внедрение нового ПО может затянуть цепь согласований и тестирований
  • 4. Процессы IТ и ИБ 4 • Определяются международными документами, в т.ч. отраслевыми (ISO27001, NISTs, ITIL, COBIT, SOX, GxP and etc.) • Компания разрабатывает свою внутреннюю линейку стандартов, базируясь на международных • Ни малейшего понятия о российских требованиях
  • 6. Какие законы распространяются на компании 6 • 152-ФЗ, Постановление Правительства РФ от 01.11.2012 №1119, Приказ ФСТЭК от №21, 242-ФЗ • Требования ФСБ к ТЗКИ (при условии использования отечественной криптографии) • Защита коммерческой тайны (исключительно добровольно) • 161-ФЗ, НСПК (для банков и платежных систем) • Документы по защите КСИИ - ?
  • 9. Как выбрать исполнителя 9 AM1 AM2 Мы входим в топ 5 компаний, наш штат 1000чел, оборот 3млрд., 100500 клиентов Мы независимое консалтинговое агентство, с небольшим штатом и скромным оборотом
  • 10. Проблема выбора | IGM Russian realities| Yulia Suslina | Date | CISO Forum | Public10 • Нет «черного списка» недобросовестных компаний • В крупных компаниях редко Аккаунт- менеджер скажет, кто будет курировать проект. А результат зависит именно от этого • Непонятно, из чего складывается цена. Разная детализация услуг в КП вводит в заблуждение, при этом есть риск включения необязательных услуг • Выбор демпингующей компании и, как результат, дополнительные расходы
  • 11. Рабочая фаза | IGM Russian realities| Yulia Suslina | Date | CISO Forum | Public11 Юрист Закупки AM РП Контракт подписан, вот наш руководитель проекта
  • 12. Рабочая фаза 12 Юрист AM PM Нам нужен ваш CISO, или кто у вас за это отвечает...
  • 13. Рабочая фаза 13 Юрист AM PM Нам нужен ваш CISO, или кто у вас за это отвечает...
  • 14. Разработка итогового пакета | IGM Russian realities| Yulia Suslina | Date | CISO Forum | Public14 Юрист CISO AM PM Вот держите пакет документов: отчет, модель угроз, техническое задание и все остальное
  • 15. Разработка итогового пакета | IGM Russian realities| Yulia Suslina | Date | CISO Forum | Public15 Юрист IT AM PM Мы не можем вот так взять и всё заменить на сертифицированные средства, глобалы не разрешат! Должен быть другой путь!
  • 16. Разработка итогового пакета | IGM Russian realities| Yulia Suslina | Date | CISO Forum | Public16 Legal IT AM PM Вы используете средства, не прошедшие процедуру оценки соответствия. Либо давайте все переделывать
  • 17. Разработка итогового пакета | IGM Russian realities| Yulia Suslina | Date | CISO Forum | Public17 Legal IT AM PM Время – деньги, дополнительные расходы
  • 18.  Исполнитель: 1) Использует стандартные шаблоны для экономии времени 2) Большой объем проектов, сжатый срок 3) Недостаточная квалификация и клиенториентированность консультанта 4) Выполнение «плана» по продажам, навязывание избыточного ПО  Заказчик: 1) Изначально нет четкого разграничения зон ответственности: IT привлекается косвенно и не замотивировано 2) Испытывает трудности при вычитке 200-страничных документов 3) Не осведомлен в тонкостях законодательства | IGM Russian realities| Yulia Suslina | Date | CISO Forum | Public18 В чем причина такого исхода
  • 19. Внедрение ПО, прошедшего процедуру оценки соответствия требованиям законодательства РФ 1
  • 20. Установка нового ПО | IGM Russian realities| Yulia Suslina | Date | CISO Forum | Public20 IT Global IT Infrastructure center Запрос на установку Обоснование замены Global infosec team Global engineers
  • 21. Установка нового ПО | IGM Russian realities| Yulia Suslina | Date | CISO Forum | Public21 IT Global IT Infrastructure center Запрос на установку Обоснование замены Global infosec team Global engineers Мы не можем одобрить установку, так как неизвестно влияние на инфраструктуру Мы не умеем устанавливать это ПО
  • 22. Установка нового ПО | IGM Russian realities| Yulia Suslina | Date | CISO Forum | Public22 IT Global IT Infrastructure center Запрос на установку отклонен Global infosec team Global engineers
  • 23. Если возможна установка силами региона 23 IT Юрист Global IT Infrastructure center Данное ПО будет установлено только на отечественных серверах и не окажет влияния на глобальные Мы несем полную ответственность и подтверждаем, что это наименее затратный вариант соответствия закону
  • 24. Что должен учитывать исполнитель 24 1) Угрозы из МУиН должны обсуждаться с заказчиком на этапе формирования. Заказчик должен быть проинформирован о способах нейтрализации 2) Оценка рисков при реализации каждой угрозы, вероятность реализации и степень опасности может быть проведена заказчиком 3) Список актуальных угроз по результатам шагов 1 и 2 4) Выбор реализации мер защиты с учетом экономической целесообразности 5) Техническая реализация – не панацея. Могут и должны быть выбраны компенсирующие меры в случаях, если техническая реализация объективно затруднительна.
  • 26. Условия использования криптографии 26 • Использование сертифицированной криптографии предполагает наличие лицензии ФСТЭК на ТЗКИ • Лицензию нужно получать, либо заключать SLA с сервисной компанией, у которой эта лицензия есть • Многие компании-исполнители «забывают» упомянуть об этом
  • 27. Подводные камни 27 • ГОСТ 28147-89 разработан давно и не подходит для высокоскоростных соединений, сильно снижает производительность • Категорически не подходит, если интернет-соединение идет через иностранный прокси-сервер.
  • 28. Мера ЗИС.3 28 • Мера ЗИС.3 (Приказ ФСТЭК №21) обязательна для всех УЗ. Обязательность данной меры используется как повод рекомендовать криптографию • Согласно рекомендациям ФСТЭК по вариантам реализации мер (для ГИС) могут быть предложены следующие варианты:  Защита каналов связи и кабелей от физического доступа  Использование средств контроля целостности • Актуальность угрозы раскрытия конфиденциальной информацией может быть снижена при использовании VPN с двухфакторной аутентификацией.