1. Оценка рисков как способ снижения затрат на ИБ: как оценить и минимизировать риски 2. Оргмеры для снижения затрат, какие оргмеры работают и когда 3. Какие технические средства могут помочь повысить эффективность

1. 1
Оценка рисков, оргмеры и DLP
Как построить систему безопасности
в кризис?
Или 3 способа снижения затрат на ИБ
Вебинар 10 марта, 2016

2. 2
Регламент вебинара
 Вебинар рассчитан примерно на 40 минут
 Вопросы задавайте по ходу вебинара письменно во
вкладку «Вопросы»
 Секция ответов на вопросы будет после докладов
 Любые технические и организационные вопросы
пишите в чат
 Ссылка на запись и презентация будут в рассылке после
вебинара!

3. 3
Группа компаний InfoWatch объединяет российских и
зарубежных разработчиков программных продуктов и
решений для обеспечения информационной
безопасности организаций, противодействия внешним и
внутренним угрозам
Онлайн-сервис Safe-Doc.com разработан барнаульскими
ИТ-компаниями. Основная задача сервиса — помощь
юридическим лицам и предпринимателям в подготовке
документов, соответствующих требованиям ФЗ-152, а
также построении электронного документооборота

4. 4
Ведущие вебинара
Мария Воронова
Ведущий эксперт по информационной
безопасности InfoWatch
Никита Гололобов
Ведущий инженер отдела защиты
информации safe-doc.com

5. 5
Часть 1
Оценка рисков
как способ
снижения
затрат на ИБ

6. 6
Как правильно оценить риск?
Риск
=
Ущерб
x
Вероятность

7. 7
Что делать с риском?
Принять Делегировать Минимизировать
бизнес согласен
понести этот риск
и не считает
нужным
принимать какие-
либо защитные
меры
переложить риск на
другую организацию,
например, привлечь
аутсорсинг или
застраховать риск
снижения
количественного
показателя риска

8. 8
Как минимизировать риск?
 Уменьшение времени и стоимости
восстановления информации
резервное копирование
 Снижение объема одновременно
подверженной риску информации
сегментирование ИС, разделение БД
1 Снижение ущерба

9. 9
Как минимизировать риск?
 Повышение надежности
дублирование тех. средств, резервирование
 Применение СЗИ
затруднение реализации угрозы
 Применение организационных мер
2 Снижение вероятности реализации

10. 10
Сколько стоит мера
защиты?
 Цена приобретения (первоначальные затраты)
 Стоимость внедрения (работы по внедрению и
пуско-наладке)
 Стоимость поддержания меры: сопровождение,
техническая поддержка, продление лицензий
 Требования к квалификации персонала,
использующего ИС и СЗИ
Совокупная стоимость реализации защитной
меры:

11. 11
Рациональность меры
Стоимость
защиты
(меры)
Ценность
информации

12. 12
Как снизить затраты?
Дешевые СЗИ
Использование подписок
Аутсорсинг, делегирование рисков
Замена оргмерами

13. 13
Менеджмент ИБ по-русски
Когда случается инцидент ИБ…

14. 14
Оценка рисков ИБ
Управление ИБ-рисками – ядро системы
менеджмента ИБ (ISO 27001: 2013)
• Planning (Планирование)
• Operation (Функционирование)
• Performance evaluation (Оценка результативности)
• Improvement (Улучшение)

15. 15
Управление ИБ рисками избавляет
менеджмент от стихийности и позволяет
смотреть на ИБ более комплексно и системно
– т.н. «helicopter view»

16. 16
Управление рисками ИБ
Определить:
• Активы (все что имеет
ценность)
• Актуальные угрозы
• Потенциальный ущерб
• Уязвимости
• Текущее состояние
(внедренные защитные
меры)
• Вероятность реализации
угроз
• Оценить
• Ранжировать
• Минимизировать
1) Увидеть наиболее
слабые и уязвимые места
2) Принять решение что
действительно
необходимо защитить в
первую очередь
3) Закрыть наиболее
критичные риски

17. 17
Подход от «общего
к частному»
«Классика» СМИБ:
- Регулярная оценка рисков ИБ для всех процессов,
существующих в организации (не реже 1 раз в год)
- Определение ТОП-20 (5, 10, 30, N) наиболее
критичных ИБ-рисков для бизнеса
- Определение ответственных по их минимизации,
сроков, KPI
- Контроль выполнения

18. 18
Подход от «частного к
общему»
Внедряется новый бизнес-процесс…
Задача - оценить риски ИБ
Будет реальный
пример

19. 19
О методике оценки рисков
Методики могут быть разные..
CRAMM, OCTAVE, RiskWatch, FRAP,
CORAS, ГРИФ, собственная
разработка
Методики могут быть простые и
сложные: с многоэтажными
формулами или в виде
«светофора», с расчетом ущерба в
числах или без
Главное – методика должна быть
понятна для всех!

20. 20
Возможные «грабли»
Что было сделано не так?
1. Недостаточный уровень зрелости ИБ организации
(отсутствие требуемых ИБ-процессов, процедур и средств
защиты, компетенций и т.п.)
2. Необъективная оценка актуальных угроз
3. Недооценен потенциальный ущерб (при ранжировании
риск не попал в ТОП-N)
Ситуация:
в компании проведена оценка
рисков, выработан план по закрытию,
внедряются меры по минимизации…
НО…
…ПРОИЗОШЕЛ КРУПНЫЙ ИНЦИДЕНТ…

21. 21
Количественная оценка
рисков – когда применима?
ALE = ARO * SLE
ALE (annualized loss expectancy) - ожидаемые потери в год
ARO (annual rate of occurrence) – частота возникновения
инцидента течение года
SLE (single loss expectancy) – размер потерь в случае одного
инцидента
Когда работает?
1. Накоплена хорошая статистика по инцидентам и
сопутствующему ущербу т.е. становится реальным
рассчитать «среднюю стоимость инцидента данного типа»
2. Возможно количественно рассчитать ущерб
...В остальных случаях больше похоже на
«мракобесие»

22. 22
А что, если нет денег?
• Дорого приобрести: «необходимо покупать лицензии на ПО,
покупать/арендовать мощности»
• Невозможно/долго и дорого внедрять: «для внедрения решения
требуется перекраивание инфраструктуры»
• Дорого владеть: «последующая стоимость владения непомерно
высока»
Большинство
ИБ-стандартов, методик
и руководств допускает
применение
компенсационных мер
(отдельно или в
совокупности), в случае если
их внедрение позволить
снизить риск

23. 23
Часть 2
Оргмеры как
способ
снижения
затрат на ИБ
Когда оргмеры
работают?

24. 24
Как снизить затраты?
 Защита от НСД
Физическая защита (перемещение) носителей
 Реализация антивирусной защиты
Изоляция АРМ от сетей общего доступа и
внешних носителей
 Контроль ошибочных действий
Выполнение операций по принципу «двух рук»

25. 25
 Контроль физического доступа
Вместо СКУД – журналы прохода и выдачи
ключей
 Резервное копирование
Вручную, с ведением журнала
Как снизить затраты?

26. 26
Как снизить затраты?
 Блокирование сеанса
Прописать в должностных инструкциях
 Контроль использования беспроводного
доступа, контроль использования съемных
носителей
Организационный запрет и дополнительные
технические средства
 Установка только разрешенного ПО

27. 27
Замена мер
Оргмера + техсредство
СЗИ

28. 28
Кейс
Критически важные
объекты
Цитата эксперта на конференции
по кибербезопасности: «Оргмеры
на объектах АСУ ТП реально
работают! Сказано – не
втыкать в системы флешки с
вирусами – сотрудники и не
втыкают… На отдельном
компьютере проверят
антивирусом, если все чисто –
уже в систему»
Почему?
ДА ОТВЕТСТВЕННОСТЬ
ОЧЕНЬ ВЫСОКА!

29. 29
• Когда поток небольшой,
с финансовой точки
зрения выгодней
создание и содержание
службы мониторинга,
осуществляющей
ручную проверку и
подтверждение всех
платежей
Кейс
Системы антифрод
мониторинга
В случае с DLP – ситуация
практически аналогична…
• Когда поток транзакций
вырастает – это
нецелесообразно!

30. 30
Кейс 3
Логирование
действий
В финансовой системе для внесения каких-либо правок в результате сверки
данных должна быть задействована «уникальная роль» из ролевой модели.
Количество лицензий на эту роль ограничено.
Возможность иметь 40 персональных лицензий для всех сотрудников поддержки
не согласовано руководством. Одна роль на всех.
С точки зрения ИБ роль критичная. Необходим контроль!
Было предпринято:
1) Выделен терминальный сервер с доменной аутентификацией каждого
сотрудника под своей УЗ для входа в систему
2) Четкая фиксация времени работы каждого сотрудника поддержки в
электронных журналах
3) Строгий запрет на передачу своих учетных данных

31. 31
Можно ли обеспечить ИБ
только оргмерами?
Ответ может быть положительным, если:
- Не пользоваться сетью интернет, облачными сервисами,
любыми съемными носителями
- Не работать с электронной
почтой
- Отказаться от использования
любых цифровых технологий;
- etc.
Для осуществления современной и
конкурентоспособной деятельности компаниям
необходимо обеспечивать как минимум
БАЗОВЫЙ УРОВЕНЬ информационной безопасности

32. 32
Часть 3
Как СМИБ
помогает
выжить в эпоху
кризиса,
оптимизаций и
конкурентной
борьбы?

33. Образец заголовка
33
1. Кража информации о бизнес-стратегии, ноу-хау,
инновационных продуктах
1. Перехватывание / переманивание потенциальных
клиентов, сделок, заказов
1. Манипуляции в конкурсах / тендерах
Конкурентная борьбаДалее будут рассмотрены
3 примера

34. 34
Кража «стратегической»
информации
Защита:
1. Разграничение доступа,
принцип «need to know»
2. Защита от внутренних
угроз (DLP системы и
сопутствующие
процедуры)
3. Защита от внешних
угроз (комплексный
набор средств защиты, в
том числе и от APT)
4. Повышение
осведомленности
пользователей
Конкурентная борьба

35. 35
Защита:
1. Стандартизация рабочих
мест
2. Процедуры управления
доступом/ролевые
модели
3. Контроль выгрузок из
систем и БД
4. Защита от внутренних
угроз (DLP системы и
сопутствующие
процедуры)
5. Прозрачная
ответственность за
нарушение
установленных правил
Конкурентная борьба
Кража «клиентских» данных

36. 36
Защита:
1. Меры ИБ на стороне
компании:
• Оргмеры при работе с
системами ДБО
• СЗИ
2. Защита на стороне ДБО:
«антифрод»
Конкурентная борьба
Манипуляции с закупками
посредством вывода
средств из систем ДБО

37. 37
Оптимизация
СМИБ как способ
контроля качества
и аудита бизнес-процессов
Оптимизация

38. 38
Оптимизация: аудит и
оценка рисков ИБ
• Оценка рисков ИБ позволяет
увидеть общую картину с точки
зрения важности и критичности
бизнес-процессов
Концепция
«AS IS – TO BE»
• Аудит ИБ позволяет получить
информацию о функционировании
процессов, ИТ- и ИБ- процедур,
сервисов и систем, ролей
сотрудников

39. 39
Новые возможности «контролей»:
• Контроль рабочего времени
• Контроль энергопотребления
• Контроль качества программного
кода
Оптимизация.
Средства защиты

40. Монетизация
Классическая
«монетизация» в ИБ – это
снижение ущерба за счет
минимизации рисков

41. 41
Мария Воронова
Спасибо!
Вопросы?
Никита Гололобов