Документ описывает текущие тенденции и угрозы в области информационной безопасности в России на 2016 год, включая ситуацию с кибератаками и изменения в регулировании. В нем также упоминаются статистика инцидентов, усилия Центра мониторинга и реагирования на кибератаки, а также важность аутсорсинга в обеспечении безопасности. Основное внимание уделено новым требованиям и инициативам в области защиты информации и безопасности данных.

1. Тренды
ИБ
в
России
-­‐ 2016
Прозоров
Андрей,
CISM
Руководитель
экспертного
направления
Компания
Solar
Security
Мой
блог: 80na20.blogspot.com
Мой
твиттер:
twitter.com/3dwave
2016-­‐07

2. solarsecurity.ru +7
(499)
755-­‐07-­‐70 2
Прозоров Андрей, CISM
Руководитель экспертного направления
Solar Security
Рабочие группы по ИБ: ФСТЭК России, Совет
Федерации, Совет Безопасности, ЦБ РФ (ТК 122)
Преподаю в РАНХиГС при Президенте РФ (MBA)
и НИУ ВШЭ
Мой блог: 80na20.blogspot.com
Мой твиттер: twitter.com/3dwave

3. solarsecurity.ru +7
(499)
755-­‐07-­‐70
Почему
эта
тема?
3
• Помогает понимать
актуальные тренды и
принимать управленческие
решения
• Интересно сравнить с
прошлым годом
• Солидное начало ИТ/ИБ
конференции JJJ
http://80na20.blogspot.ru/2015/08/
itsummer-­2015_5.html

4. solarsecurity.ru +7
(499)
755-­‐07-­‐70
О
чем
эта
презентация?
4
Угрозы ИБ
(статистика и тенденции)
Регулирование ИБ в РФ
(Что нового?)

5. solarsecurity.ru +7
(499)
755-­‐07-­‐70
Полезные
отчеты
по
ИБ
5
1. JSOC Security flash report Q4 2015 (Q1 2016)
2. Ponemon Institute 2015 Cost of Cyber Crime Study: Russian Federation
3. ISACA, State of Cybersecurity: Implications for 2016. An ISACA and RSA
Conference Survey
4. EY’s Global Information SecuritySurvey2015: Creating trust in the digital world
5. Positive research 2016. Сборник исследований по практической
безопасности
6. ЦБ РФ: Обзор о несанкционированных переводах денежных средств
7. ЦБ РФ: Отчет Центра мониторинга и реагирования на компьютерные атаки
в кредитно-­финансовой сфере Главного управления безопасности и
защиты информации Банка России
8. BREACH LEVEL INDEX: Findings from the 2015
9. Ponemon Institute 2016 Cost of Data Breach Study: Global Analysis
10. Verizon 2016 Data Breach Investigations Report
11. Symantec Internet Security Threat Report VOLUME 21, APRIL 2016
12. Cisco 2016 Annual Security Report Выложил сюда -­ http://bit.ly/2aMiRJV

6. solarsecurity.ru +7
(499)
755-­‐07-­‐70
Источники
угроз
и
атаки
в
2015
6
ISACA

7. solarsecurity.ru +7
(499)
755-­‐07-­‐70
Внешние
угрозы
vs
Внутренние
7
JSOC

8. solarsecurity.ru +7
(499)
755-­‐07-­‐70
Ночные
и
дневные
инциденты
8
JSOC

9. solarsecurity.ru +7
(499)
755-­‐07-­‐70
Наиболее
распространенные
уязвимости
на
сетевом
периметре
и
внутренней
сети
9
PT

10. solarsecurity.ru +7
(499)
755-­‐07-­‐70
Про
защищенность
ИС
10
PT

11. solarsecurity.ru +7
(499)
755-­‐07-­‐70
Внешние
угрозы
11
JSOC

12. solarsecurity.ru +7
(499)
755-­‐07-­‐70
Внутренние
угрозы
12
JSOC

13. solarsecurity.ru +7
(499)
755-­‐07-­‐70
Источники
внутренних
угроз
13
JSOC

14. solarsecurity.ru +7
(499)
755-­‐07-­‐70
Каналы
утечки
14
JSOC

15. solarsecurity.ru +7
(499)
755-­‐07-­‐70
Годовой
ущерб
от
инцидентов
ИБ
в
РФ
15
Ponemon Institute
• Самый большой ущерб от атак: вредоносное ПО,
DDoS, мотивированные инсайдеры и атаки на web-­
приложения.
• Чем быстрее идет реакция на инцидент, тем меньше
ущерб.
• Выявление и Восстановление -­ самые затратные
внутренние активности.
• Использование Security Intelligence Systems (например,
SIEM) существенно снижает общий ущерб.

16. solarsecurity.ru +7
(499)
755-­‐07-­‐70
Атаки
на
банки
16

17. solarsecurity.ru +7
(499)
755-­‐07-­‐70
Статистика
ЦБ
по
инцидентам
17
v Объем несанкционированных операций с использованием платежных карт,
эмитированных (выданных) на территории РФ, в 2015 году составил
более 1,14 млрд руб., что ниже аналогичного показателя за 2014 год на 27%.
v В 2015 году в Банк России было сообщено о 32,5 тыс.
попыток осуществления несанкционированных операций посредством систем
ДБО на общую сумму 5,13 млрд руб. Из них на долю остановленных
полностью или частично операций приходится не менее 48% от общего
объема денежных средств.
v Подавляющее большинство несанкционированных операций со счетов
физических лиц (91%) выявляются клиентами самостоятельно и возникают
вследствии применения к клиентам методов социальной инженерии.
Информация о таких операциях в кредитную организацию поступает после
списания денежных средств со счета клиента.
v Банк России отмечает смещение вектора атак в сторону кредитных
организаций. Так инциденты, связанные с целевыми атаками на операционную
инфраструктуру кредитных организаций и платежных систем, в 2015 году
привели к финансовым потерям в размере более 900 млн руб.

18. solarsecurity.ru +7
(499)
755-­‐07-­‐70
Про
FinCERT
18
Центр мониторинга и реагирования на компьютерные атаки в
кредитно-­финансовой сфере —структурное подразделение Главного
управления безопасности и защиты информации Банка России.
Основная цель:
v Cоздание центра компетенции в рамках информационного
взаимодействия Банка России, кредитных и некредитных финансовых
организаций, компаний-­интеграторов, разработчиков антивирусного
программного обеспечения, провайдеров и операторов связи, а также для
правоохранительных и иных государственных органов, курирующих
информационную безопасность отрасли. Указанное информационное
взаимодействие направлено на координацию работ по противодействию
злоумышленникам, активность которых направлена на личное
обогащение с использованием методов несанкционированного доступа к
ИТ-­инфраструктуре организаций, поднадзорных Банку России, а также с
использованием уязвимостей в платежных технологиях.
http://www.cbr.ru/credit/Gubzi_docs/main.asp?Prtid=fincert

19. solarsecurity.ru +7
(499)
755-­‐07-­‐70
Участники
обмена
с
FinCERT
19

20. solarsecurity.ru +7
(499)
755-­‐07-­‐70
FinCERT про
атаки
на
банки
20
За
отчетный
период
были
зафиксированы
следующие
основные
типы
атак:
v Целенаправленные
атаки,
связанные
с
подменой
входных
данных
для
АРМ
КБР
(покушения
на
2.87
млрд.руб.,
предотвращено
1,6
млрд.руб.)
v Рассылки
электронных
сообщений,
содержащих
вредоносное
ПО
v Атаки,
направленные
на
устройства
самообслуживания
v DDoS-­‐атаки
v Reversal-­‐атаки

21. solarsecurity.ru +7
(499)
755-­‐07-­‐70
Информационные
бюллетени
FinCERT
21

22. solarsecurity.ru +7
(499)
755-­‐07-­‐70
Всем
важно
реагирование
на
инциденты
ИБ…
22
• Обновляется Доктрина ИБ…
• Появился проект требований к операторам ГосИС (правки в
149-­ФЗ) + группа мер в Приказе №17
• ГосСОПКА (ФСБ России):
– «Концепция государственной системы обнаружения,
предупреждения и ликвидации последствий компьютерных атак на
информационные ресурсы РФ»
– Указ Президента РФ от 15 января 2013 г. N 31с «О создании
государственной системы обнаружения, предупреждения и
ликвидации последствий компьютерных атак на информационные
ресурсы РФ»
– Проекты методических документов (метод.рекомендации, порядок
обмена, соглашения и аккредитация, и пр.)…
• FinCERT (ЦБ РФ)
• ЦБ РФ подготовили несколько новых стандартов и
рекомендаций…

23. solarsecurity.ru +7
(499)
755-­‐07-­‐70
ЦБ
про
Аутсорсинг
ИБ
23

24. solarsecurity.ru +7
(499)
755-­‐07-­‐70
Почему
используют
аутсорсинг
ИБ
в
РФ?
24
​
32%
​
22%
​
18%
​
12%
​
10%
​
6%
НЕХВАТКА
ПЕРСОНАЛА
ОРГАНИЗАЦИЯ
СЕРВИСОВ
24*7
НЕОБХОДИМОСТЬ
БЫСТРОГО
СТАРТА
СЕРВИСОВ
НЕОБХОДИМОСТЬ
РАЗНОПЛАНОВОЙ
ЭКСПЕРТИЗЫ
СНИЖЕНИЕ
ЗАВИСИМОСТИ
ОТ
СВОИХ
СПЕЦИАЛИСТОВ
СОКРАЩЕНИЕ
УПРАВЛЕНЧЕСКИХ
ЗАТРАТ

25. solarsecurity.ru +7
(499)
755-­‐07-­‐70 25
Приказ ФСТЭК России №21
2. Безопасность ПДн при их обработке в ИСПДн обеспечивает оператор или лицо,
осуществляющее обработку ПДн по поручению оператора в соответствии с
законодательством РФ.
Для выполнения работ по обеспечению безопасности ПДн при их обработке в
информационной системе в соответствии с законодательством РФ могут
привлекаться на договорной основе юридическое лицо или индивидуальный
предприниматель, имеющие лицензию на деятельность по технической защите
конфиденциальной информации.
6. Оценка эффективности реализованных в рамках системы защиты ПДн мер по
обеспечению безопасности ПДн проводится оператором самостоятельно или с
привлечением на договорной основе юридических лиц и индивидуальных
предпринимателей, имеющих лицензию на осуществление деятельности по
технической защите конфиденциальной информации. Указанная оценка
проводится не реже одного раза в 3 года.
Приказ ФСТЭК России №17
10. Для проведения работ по защите информации в ходе создания и эксплуатации
информационной системы обладателем информации (заказчиком) и оператором в
соответствии с законодательством Российской Федерации при необходимости
привлекаются организации, имеющие лицензию на деятельность по
технической защите конфиденциальной информации в соответствии с
Федеральным законом от 4 мая 2011 г. N 99-­ФЗ «О лицензировании отдельных
видов деятельности»

26. solarsecurity.ru +7
(499)
755-­‐07-­‐70
Сложные
меры
ИБ
на
аутсорсинг
Приказы
ФСТЭК
России
17/21/31
26
V.
Регистрация
событий
безопасности
(РСБ)
VII.
Обнаружение
вторжений
(СОВ)
XIV.
Обеспечение
безопасной
разработки
прикладного
(специального)
ПО
разработчиком
(ОБР)
XX.
Выявление
инцидентов
и
реагирование
на
них
(ИНЦ)
XXI.
Управление
конфигурацией
автоматизированной
системы
управления
и
ее
системы
защиты
(УКФ)
VIII.
Контроль
(анализ)
защищенности
информации
(АНЗ)

27. solarsecurity.ru +7
(499)
755-­‐07-­‐70
Проект
правок
в
149-­‐ФЗ
(ст.16
про
ГосИС)
27
«Требования о защите информации, содержащейся в ГосИС, а также
иных информационных системах, в которых на основании
договоров или иных законных основаниях обрабатывается
информация, обладателями которой являются государственные
органы или государственные корпорации, устанавливаются
федеральным органом исполнительной власти в области
обеспечения безопасности и федеральным органом исполнительной
власти, уполномоченным в области противодействия иностранным
техническим разведкам и технической защиты информации, в
пределах их полномочий.»
+ несколько верхнеуровневых требований к ИБ
+ обязательное информирование об инцидентах
http://regulation.gov.ru/projects#npa=46644

28. solarsecurity.ru +7
(499)
755-­‐07-­‐70
Ожидаем
обновление
Приказа
№17
+
28
• Отказались от 4го класса защищенности ИС (всего будет 3)
• Появятся общие рекомендации по необходимым внутренним
документам по ИБ
• Обязательная сертификация СЗИ по 4НДВ для всех уровней ИС
• Пересмотрен перечень мер (выровнен с Приказом 31). Добавлены 9
новых групп: ЗИ при использовании мобильных устройств, Безопасная
разработка ПО, Информирование и обучение персонала, Выявление
инцидентов и реагирование на них и др.
• Возможно станет больше обязательных мер…
• Этап формирования модели угроз перенесли в стадию разработки
системы защиты информации
+ Ожидаем «Методику определения угроз в ИС»
+ Идея обязательной сертификации по 9001 и 27001 для лицензиатов и
испытательных лабораторий

29. solarsecurity.ru +7
(499)
755-­‐07-­‐70
Проверки
РКН
и
242-­‐ФЗ
29
• В 2015 году проведены 1 292 плановые проверки, из них 132
в отношении государственных и муниципальных органов, а также 104
внеплановые проверки. По результатам проведенных контрольно-­
надзорных мероприятий выдано 731 предписание об устранении
выявленных нарушений.
• Составлен 7 721 протокол об административных правонарушениях.
По результатам рассмотрения протоколов наложено административных
штрафов на общую сумму 10 454 600 рублей.
• За 2015 год в адрес Роскомнадзора и его территориальных органов
поступило 33 327 обращений граждан и юридических лиц, что на 60,4%
больше, чем в 2014 году (20 132 обращения). От граждан поступило 32
647 обращений и жалоб, от юридических лиц – 680. По результатам
рассмотрения жалоб граждан доводы заявителей подтвердились в 7,6%
случаев.
• По состоянию на 31.12.2015, сведения по п. 10 ч. 3 ст. 22 (про
местонахождение базы данных ПДн) Федерального закона представили
17 293 оператора, что составляет 5% от внесенных в реестр.

30. solarsecurity.ru +7
(499)
755-­‐07-­‐70 30

31. solarsecurity.ru +7
(499)
755-­‐07-­‐70
Основные
НПА
по
импортозамещению
31
Федеральный закон от 29.06.2015 N 188-­ФЗ "О внесении изменений в
Федеральный закон "Об информации, информационных технологиях и о защите
информации" и статью 14 Федерального закона "О контрактной системе в сфере
закупок товаров, работ, услуг для обеспечения государственных и муниципальных
нужд" (Начало действия документа -­ 01.01.2016):
• Про реестр российского ПО и критерии
• Про правки в 44-­ФЗ: «устанавливаются запрет на допуск товаров, происходящих
из иностранных государств, работ, услуг, соответственно выполняемых,
оказываемых иностранными лицами, и ограничения допуска указанных товаров,
работ, услуг для целей осуществления закупок»
Постановление Правительства РФ от 16.11.2015 N 1236 "Об установлении
запрета на допуск программного обеспечения, происходящего из иностранных
государств, для целей осуществления закупок для обеспечения государственных и
муниципальных нужд" (вместе с "Правилами формирования и ведения единого
реестра российских программ для электронных вычислительных машин и баз
данных", "Порядком подготовки обоснования невозможности соблюдения запрета
на допуск программного обеспечения, происходящего из иностранных государств,
для целей осуществления закупок для обеспечения государственных и
муниципальных нужд")

32. solarsecurity.ru +7
(499)
755-­‐07-­‐70 32
«Возможности тех, кто производит такой продукт -­
национальных производителей, -­ очень большие.
Поэтому я прошу руководство правительства
сориентировать представителей государства в
компаниях с госучастием, чтобы они
ориентировались на принимаемые решения в
первом полугодии текущего года в качестве
рекомендации, а во втором пускай уже
переходят на отечественного производителя»
31.03.2016

33. solarsecurity.ru +7
(499)
755-­‐07-­‐70
Директивы
для
Гос.Компаний
33
v Обязательство в 10-­дневный срок со дня получения указанных
директив инициировать проведение заседаний советов директоров
(наблюдательных советов) акционерного общества с включением
в повестку дня вопроса "О закупках отечественного
конкурентоспособного ПО, необходимого для деятельности
акционерного общества".
v Текст о необходимости внесения изменений в Положение о
закупочных процедурах, проводимых для нужд акционерного
общества:
v закупка "ТОЛЬКО такого ПО, сведения о котором включены в
единый реестр российских программ для электронных
вычислительных машин и баз данных",...
v ... за исключением случаев "в реестре отсутствуют сведения о
ПО соответствующем тому же классу" или "ПО
неконкурентоспособно (по своим функциональным, техническим
и(или) эксплуатационным характеристикам не соответствует
установленным заказчиком требованиям к планируемому к
закупке ПО)."
v Если ПО попадает под указанные исключения, то необходимо не
позднее 7 дней с даты размещения информации о
закупке публиковать еще и "обоснование невозможности
соблюдения ограничения на допуск ПО, происходящего из
иностранных государств".

34. solarsecurity.ru +7
(499)
755-­‐07-­‐70 34
ИБ-­‐компании
– слишком
мелкие
игроки;
основные
герои
импортозамещения
другие…

35. solarsecurity.ru +7
(499)
755-­‐07-­‐70
Пример
ПО
по
ИБ
в
реестре
на
29.06.2016
35
Тип В реестре / Подали заявку
АВЗ Dr.Web, Kaspersky / Антивирус ИСЕТ
DLP и DLP Lite InfoWatch Traffic Monitor, LanAgent, Kaspersky DLP / Solar Dozor, Zecurion
DLP, Гарда Предприятие, КИБ Серчинформ
SIEM KOMRAD Enterprise SIEM (Эшелон), MaxPatrol SIEM, "Security Capsule"
(ИТБ)
Анализ кода Solar inCode, АК-­ВС 2 (Эшелон), IRIDA Sources (Газинформсервис) /
InfoWatch Appercut, Positive Technologies Application Inspector
IDM Solar inRights, КУБ (ТрастВерс) / Avanpost IDM
СЗИ от НСД /
Доверенная
загрузка
Secret Net, Блокхост-­МДЗ (Газинформсервис), МДЗ-­Эшелон, Dallas Lock
8.0-­C (Конфидент), ПАК Соболь
Управление
уязвимостями
Сканер-­ВС (Эшелон), MaxPatrol, xSpider, RedCheck (АЛТЭКС-­СОФТ)
VPN Континент, ViPNet Coordinator
FW Рубикон (Эшелон), TrustAccess (Код безопасности), МЭ ИКС (А-­Реал
Консалтинг), ViPNet Personal Firewall 4,
Positive Technologies Application Firewall
Всего
чуть
меньше
200
наименований

36. solarsecurity.ru +7
(499)
755-­‐07-­‐70
Что
дальше
с
импортозамещением?
36
• Развитие и расширение реестра ПО +реестр иностранных аналогов ПО
• Проверки закупок со стороны ФАС, СФ, Минкомсвязи…
• Разработка стратегий импортозамещения гос.органами и гос.компаниями
(например, ПФР, ФНС, Росреестр и пр.)
• Расширение области действия 188-­ФЗ (не только 44-­ФЗ, но и 223-­ФЗ).
Уже появились Директивы.
• Нормирование закупки ПО и услуг (перечень обязательных и излишних
требований ТЗ). Уже подготовлен проект.
• Реестр сетевого оборудования и «запрет» иностранного (пока в паузе)
• Пересмотр критериев отечественного ПО (дополнительные критерии
«российского ПО», отказ от сертификации и лицензирования для СЗИ)
• Ожидаем появление Центра компетенций по импортозамещению
• Преференции российским разработчикам (из реестра):
– Продление страховых льгот (до 14% вместо 34% от ФОТ)
– Финансовая и нефинансовая поддержка

37. solarsecurity.ru +7
(499)
755-­‐07-­‐70
Безопасность
и
Pokemon GO
37
• "Теория
заговора"
• «Левое»
вредоносное
ПО
• Безопасность
самого
приложения
• Физическая
безопасность игроков
• Этические
нормы
и
нарушение
privacy

38. solarsecurity.ru +7
(499)
755-­‐07-­‐70
Вместо
заключения
38
v ИБ
– актуальная
область
знаний
для
ИТ-­‐специалистов
v Дальше
будет
веселей
JJJ

39. Спасибо
за
внимание!
Прозоров
Андрей,
CISM
Мой
блог:
80na20.blogspot.com
Мой
твиттер:
twitter.com/3dwave
Моя
почта:
a.prozorov@solarsecurity.ru