Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

Информационная безопасность 2014, CNews, Станислав Макаров

1,042 views

Published on

Информационная безопасность - инфраструктура, приложения, люди

Published in: Business
  • Be the first to comment

Информационная безопасность 2014, CNews, Станислав Макаров

  1. 1. Информационная безопасность Москва, 22 мая 2014 Станислав Макаров
  2. 2. Утечки в 2013 г. В поле внимания СМИ все чаще попадают утечки, остававшиеся ранее неизвестными. (Возможно, мы просто лучше видим реальную картину, а не ухудшение ситуации.)
  3. 3. Каналы утечек
  4. 4. Еще год назад мы говорили о снижении доли персональных данных в общей картине утечек (до 89,4%). В 2013 году доля персональных данных вновь уменьшилась (до 85,1%). Персональные данные
  5. 5. Доля случайных утечек выросла на 8,1%. Доля злонамеренных, наоборот, немного уменьшилась. Случайные vs. умышленные Опять-таки: возможно улучшилось наше знание об утечках — благодаря DLP.
  6. 6. Инфраструктура Люди Приложения Источники рисков
  7. 7. Инфраструктура Люди Приложения ИБ — стратегический дашборд Наибольшие риски. Мало лучших практик, решения недостаточно отработаны. Пользователи мало информированы об угрозах. Средние риски. Есть технические и организационные проблемы, но они решаемы. Риски существуют, но они изучены, имеются меры противодействия. Технологии и лучшие практики развиваются активно.
  8. 8. Железо, ОС, сети, протоколы, уязвимости, вирусы, тояны, антивирусы, хакеры, взлом, хищение, расследование, суд, тюрьма. Инфраструктура
  9. 9. У вас были инциденты безопасности в 2013 году? Да, были. – у всех компаний
  10. 10. Инциденты есть у всех, но в большинстве случаев они не опасны. Что тревожит: ● От хакеров требуется все меньшая квалификация (82% атак) ● Сроки устранения уязвимостей велики (бывает и 9 лет, 32 мес. - средний возраст неустановленных патчей) ● Для преодоления периметра требуется использовать всего 2 уязвимости (раньше было 5)
  11. 11. Вирусная опасность онлайн. Страшно? Заражение вирусом уже не считается инцидентом.
  12. 12. BYOD — уже реальность Число мобильных пользователей растет 85%? 90%? 95%? Реально 100%! Периметр в прежнем понимании больше не существует
  13. 13. Мобильные угрозы iOS тоже небезопасна... Android — одна сплошная угроза. НО
  14. 14. Не так страшен BYOD, как его малюют Доля случайных и умышленных утечек, связанная с использованием мобильных устройств, остается незначительной. (2,5 и 0,4% соответственно.) Во многом, это ответ на заявления о якобы чрезвычайной угрозе распространения мобильных устройств в корпоративной среде. – InfoWatch Рисунок Пушкина к сказке о попе и работнике его Балде
  15. 15. Безопасность инфраструктуры Соревнование «снаряд-броня»: это навсегда Хакеры: На темной стороне больше платят! Ситуация в целом — под контролем.
  16. 16. Приложения Разграничение доступа, ЭЦП, DLP, персональные данные, хищение, расследование, суд, тюрьма.
  17. 17. Илья Медведовский, Александр Поляков:
  18. 18. Количество уведомлений о безопасности SAP по годам
  19. 19. Большинство проблем (69%) имеют высокий приоритет, а это означает, что около 2/3 публикуемых уязвимостей необходимо исправлять быстро.
  20. 20. Финансовый сектор и банки Промышленность и транспорт ИТ и телеком Отраслевые карты угроз
  21. 21. Люди Субъективный фактор, утечки, небрежность, беспечность, злой умысел, расследование, суд, тюрьма.
  22. 22. Наталья Касперская:
  23. 23. Михаил Емельянников:
  24. 24. Безопасность и user experience Средства защиты не должны препятствовать пользованию системой. – SMS по каждому поводу – завышенные требования к паролям – различные запретительные меры
  25. 25. Главный вопрос:
  26. 26. Не впадать в паранойю! Отказ от ИТ — это не выход. «После скандалов с распространением секретных документов WikiLeaks, разоблачениями Эдварда Сноудена, сообщениями о прослушке Дмитрия Медведева во время его визита на саммит G20 в Лондоне практику создания бумажных документов решено расширить», — заявил источник «Известий» в ФСО. ФСО заказала пишущие машинки
  27. 27. Формальные требования не должны отнимать ресурсы по защите от реальных угроз Нормативная и методическая база не успевает за реалиями сегодняшнего дня. Значительные средства тратятся на соблюдение формальных требований. Универсиада-2013: Фактически, работали две команды. Одна — чтобы сдать проект по ГОСТУ. Вторая — чтобы делать дело.
  28. 28. Каков ущерб от утечек? Мы не приводим точной экспертной оценки совокупных потерь компаний, связанных с инцидентами ИБ и ликвидацией их последствий, во избежание ненужных спекуляций вокруг конкретных цифр непрямых потерь. – InfoWatch
  29. 29. Меры защиты не должны быть дороже, чем возможный ущерб Избыточность ИБ экономически неэффективна
  30. 30. Пожелание в заключение: Чтобы ваша система безопасности не выглядела вот так – мощная дверь в хилом заборе. Решение должно быть сбалансировано и адекватно угрозам.
  31. 31. Адрес редакции: Россия, 117392 Москва Профсоюзная улица, д. 78 РосБизнесКонсалтинг, CNews Тел: +7 (495) 363-1157 Факс: +7 (495) 363-111 # 1496 Россия, 191036, Санкт-Петербург Лиговский пр-т, 10/118, офис 2102 Тел.: +7 /812/ 578-1414 Станислав Макаров журналист-аналитик smakarov@cnews.ru +7 (985) 769 7356
  32. 32. Не забудьте отключить звук ваших мобильных телефонов :) СПАСИБО!!! Почему я не выключаю звонок телефона на конференции:  У меня крутая мелодия, хочу чтобы все послушали Я не знаю, где у него кнопка Мне совершенно точно никто не позвонит – Ваш вариант?

×