Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

Принцип Парето в стандартизации ИБ

3,350 views

Published on

Published in: Technology, Education
  • Be the first to comment

  • Be the first to like this

Принцип Парето в стандартизации ИБ

  1. 1. Принцип Парето в стандартизации по ИБ Алексей Лукацкий Бизнес-консультант по безопасности InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 1/18
  2. 2. “Небольшая доля причин, вкладываемых средств или прилагаемых усилий, отвечает за большую долю результатов, получаемой продукции или заработанного вознаграждения.” Вильфредо Парето (1848 – 1923) InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 2/18
  3. 3. Принцип Парето на практике  20% вложенных средств ответственны за 80% отдачи  80% следствий проистекает из 20% причин  20% покупателей приносит 80% прибыли  20% преступников совершают 80% преступлений  20% водителей виновны в 80% ДТП  80% времени вы носите 20% имеющейся одежды  80% энергии двигателя теряется впустую  20% населения владеют 80% всех ценностей  80% времени ПК тратится на 20% команд программы InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 3/18
  4. 4. Суть принципа Парето  Диспропорция является неотъемлемым свойством соотношения между причинами и результатами, вкладом и возвратом, усилиями и вознаграждением за них Если мы изучим и проанализируем два набора данных, относящихся к причинам и результатам, то скорее всего получим картину несбалансированности 65/35, 70/30, 75/25, 80/20, 95/5…  Он опровергает логическое предположение, что все факторы имеют примерно одинаковое значение  Принцип 80/20 будет работать всегда и везде, если не прилагать усилий по его преодолению InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 4/18
  5. 5. Принцип Парето в безопасности  80% людей совершат НСД, если это не станет известным  88% ИТ-специалистов допускают месть работодателю после своего увольнения  20% уязвимостей приводят к 80% всех атак  Атаки обычно направлены на 95% уязвимостей, для которых уже существуют способы устранения  Только 20% функций СЗИ используются на практике  Стоимость лицензии на систему защиты составляет около 15-20% от совокупной стоимости владения InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 5/18
  6. 6. Принцип Парето в стандартизации  80% всех защитных механизмов и мер покрываются 20% стандартов  80% стандартов покрывают 20% существующих потребностей/технологий InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 6/18
  7. 7. Существующие стандарты ИБ в РФ Разграничение доступа Изоляция процессов Коммерческая РД ФСТЭК СТО БР ИББС Управление потоками Межсетевое экранирование тайна Идентификация/аутентификация Регистрация действий Реакция на НСД Очистка памяти Тестирование функций защиты 15408 КСИИ Учет и маркировка носителей PCI DSS Контроль целостности Четверокнижие ГОСТ Р ИСО СТР-К по ПДн 17799:2005 … InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 7/18
  8. 8. Существующие стандарты ИБ в РФ Коммерческая РД ФСТЭК СТО БР ИББС тайна Контроль доступа (мандатный/ 15408 КСИИ дискреционный) PCI DSS VLAN VPN Биллинг ОС (одноуровневые/ многоуровневые) СУБД Четверокнижие ГОСТ Р ИСО СТР-К IDS по ПДнзамки Электронные 17799:2005 … InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 8/18
  9. 9. Существующие стандарты ИБ в РФ Коммерческая РД ФСТЭК СТО БР ИББС тайна Защита от утечек по техническим каналам 15408 КСИИ Документальное оформление PCI DSS Физическая безопасность Регистрация действий Разграничение доступа Учет и маркировка носителей Резервирование Четверокнижие защита ГОСТ Р ИСО Антивирусная СТР-К Защита ЛВС по ПДн 17799:2005 Защита внешнего взаимодействия СУБД … InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 9/18
  10. 10. Существующие стандарты ИБ в РФ Система управления Документальное сопровождение ИББС Коммерческая РД ФСТЭК СТО БР Управление жизненным циклом тайна Разграничение доступа Регистрация действий Антивирусная защита Защита внешнего взаимодействия Защита e-mail и архив почты 15408Криптография КСИИ PCI DSS Платежные процессы Технологические процессы Четверокнижие ГОСТ Р ИСО СТР-К по ПДн 17799:2005 … InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 10/18
  11. 11. Существующие стандарты ИБ в РФ Коммерческая РД ФСТЭК СТО БР ИББС Разграничениетайна доступа Регистрация действий Учет носителей Обеспечение целостности Межсетевое взаимодействие Отсутствие НДВ 15408 КСИИ Антивирусная защита PCI DSS Анализ защищенности Обнаружение вторжений BCP Реагирование на инциденты Оценка рисков Повышение осведомленности Четверокнижие ГОСТ Р ИСО СТР-К Аудит по ПДн 17799:2005 Защита коммуникаций … InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 11/18
  12. 12. Существующие стандарты ИБ в РФ Коммерческая РД ФСТЭК СТО БР ИББС тайна Документальное сопровождение Защита от утечек по техническим каналам Антивирусная защита Обнаружение вторжений КСИИ 15408 PCI DSS Разграничение доступа Регистрация действий Учет и маркировка носителей Обеспечение целостности Межсетевое взаимодействие Криптографическая защита Четверокнижие ГОСТ Р ИСО СТР-КЛовушки Сканеры защищенности по ПДн 17799:2005 … InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 12/18
  13. 13. Существующие стандарты ИБ в РФ Коммерческая РД ФСТЭК утечек по техническим каналам Защита от СТО БР ИББС Разграничение доступа тайна Межсетевое взаимодействие VPN Аутентификация и идентификация Криптозащита доступа Контроль (мандатный/ Шифрование информации 15408 ЭЦП КСИИ дискреционный) PCI DSS Пакетное шифрование VLAN Стеганография VPN Биллинг Регистрация действий ОС (одноуровневые/ Сигнализация многоуровневые) Обнаружение вторжений СУБД Защита Четверокнижие от ПМВ ГОСТ Р ИСО СТР-К Защита от сбоев, отказов ПДн по и ошибок IDS Электронные замки Обеспечение целостности и надежности 17799:2005 Тестирование и контроль безопасности … InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 13/18
  14. 14. Существующие стандарты ИБ в РФ Коммерческая РД ФСТЭК СТО БР ИББС тайна Настройка МСЭ 15408 КСИИ Контроль паролей PCI DSS Защита данных держателей карт Шифрование в канале связи Обновление антивируса Защита приложений Разграничение доступа Четверокнижие Идентификация и аутентификация ГОСТ Р ИСО СТР-К Физический доступ по ПДн 17799:2005 Регистрация действий Анализ безопасности Документальное сопровождение … InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 14/18
  15. 15. Существующие стандарты ИБ в РФ Коммерческая РД ФСТЭК СТО БР ИББС тайна Политика безопасности Организация ИБ доступа Контроль (мандатный/ Управление активами 15408 КСИИ дискреционный) Безопасность HR PCI DSS Физический доступVLAN Безопасность окружения VPN Биллинг Управление средствами связи ОС (одноуровневые/ Контроль доступа многоуровневые) Приобретение, разработка и обслуживание ИС СУБД Управление инцидентами Четверокнижие ГОСТ Р ИСО СТР-К BCP IDS по ПДнзамки 17799:2005 Соответствие Электронные требованиям … InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 15/18
  16. 16. Связь документов РД СТР- К 15408 Перс- данные PCI ФСТЭК СТО БР ИББС Только один гос.регулятор InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 16/18
  17. 17. Когда в товарищах согласья нет… Газпром- ФСТЭК серт ФСО ФСБ PCI ЦБ ИБ Council Минком- СВР связь МО InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 17/18
  18. 18. Пример: большинство банков ФСБ СТО БР ФЗ-152 ИББС Минком- PCI DSS Банк связь InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 18/18
  19. 19. Пример: Сбербанк ФЗ-152 СТО БР КСИИ ИББС PCI Сбер- ФСБ DSS банк InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 19/18
  20. 20. Пример: Газпром ФЗ-152 ФСБ Газпром- КСИИ серт Газпром InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 20/18
  21. 21. Как есть сейчас СТО PCI ФЗ- БР СТР-К КСИИ DSS 152 ИББС ОБИ ОБИ ОБИ ОБИ ОБИ Защита платежных процессов Защита данных Тех.каналы Тех.каналы ОБИ КСИИ владельцев карт СУИБ InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 21/18
  22. 22. Блиц-анализ технических требований •Разграничение доступа (+ управление потоками) •Идентификация / аутентификация •Межсетевое взаимодействие •Регистрация действий •Учет и маркировка носителей (+ очистка памяти) •Документальное сопровождение •Физический доступ Общие •Контроль целостности •Тестирование безопасности •Сигнализация и реагирование •Контроль целостности •Защита каналов связи •Обнаружение вторжений •Антивирусная защита •BCP •Защита от утечки по техническим каналам •Защита специфичных процессов (биллинг, АБС, PCI…) Специфичные •Защита приложений (Web, СУБД…) •Нестандартные механизмы (ловушки, стеганография) InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 22/18
  23. 23. Как правильно (фрагмент) СУИБ Базовые требования базовая СУИБ Финансы КСИИ процесс АСУ СУИБ АБС ДБО PCI интеграция ТП Базовая Расширенная функциональность функциональность InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 23/18
  24. 24. Заключение  Понимание того «немного, имеющего значение» и отсеивание «заурядного большинства» позволит нам реформировать нормативные требования, удалить ненужные в конкретной ситуации и сконцентрироваться на деле  За основу базовых требований можно взять ISO 2700x InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 24/18
  25. 25. Вопросы? Дополнительные вопросы Вы можете задать по электронной почте security-request@cisco.com или по телефону: +7 495 961-1410 Презентация выложена на сайте http://lukatsky.blogspot.com/ InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 25/18
  26. 26. InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 26/18

×