Читал двухдневный курс по законодательству в области ИБ. Вот решил выложить то, что получилось. Буду еще доделывать - не все понравилось, да и времени оказалось мало под эту тему. Но может кому будет полезно!
Что нам ждать от законодательства по безопасности критической инфраструктурыAleksey Lukatskiy
Презентация с BIS Summit SPb 2017 с обзором положений законопроекта по безопасности критической инфраструктуры и сопутствующих документов ФСТЭК, ФСБ, Минкомсвязи, Минэнерго и т.п.
Обзор тенденций ИБ-регулирования для телекома, прочитанный на конференции РБК. ФЗ-187 о безопасности критических информационных инфраструктур, закон о персданных, SIM-карты, обновление 1-го приказа Минкомсвязи
Читал двухдневный курс по законодательству в области ИБ. Вот решил выложить то, что получилось. Буду еще доделывать - не все понравилось, да и времени оказалось мало под эту тему. Но может кому будет полезно!
Что нам ждать от законодательства по безопасности критической инфраструктурыAleksey Lukatskiy
Презентация с BIS Summit SPb 2017 с обзором положений законопроекта по безопасности критической инфраструктуры и сопутствующих документов ФСТЭК, ФСБ, Минкомсвязи, Минэнерго и т.п.
Обзор тенденций ИБ-регулирования для телекома, прочитанный на конференции РБК. ФЗ-187 о безопасности критических информационных инфраструктур, закон о персданных, SIM-карты, обновление 1-го приказа Минкомсвязи
Антисуслик Шредингера: документы ФСБ, которые есть и которых нет одновременноAleksey Lukatskiy
Презентация "Антисуслик Шредингера: документы ФСБ, которые есть и которых нет одновременно" задает несколько вопросов относительно проектов приказов ФСБ по ГосСОПКЕ
Аттестация объектов информатизации по требованиям безопасности информациSoftline
Аттестация объектов информатизации по требованиям безопасности информации - комплекс организационно-технических мероприятий, в результате которых посредством специального документа – «Аттестата соответствия» – подтверждается, что объект соответствует требованиям стандартов или иных нормативно-технических документов по безопасности информации.
Снижение рисков и затрат на внедрение защиты информационной системы персональных данных (ИСПДн) путем выноса серверного сегмента в специализированное облако Softline.
Обзор применения искусственного интеллекта в кибербезопасности как с позитивной, так и с негативной стороны. Как ИИ используют безопасники. Как ИИ используют хакеры. Какие угрозы могут быть для ИИ.
Антисуслик Шредингера: документы ФСБ, которые есть и которых нет одновременноAleksey Lukatskiy
Презентация "Антисуслик Шредингера: документы ФСБ, которые есть и которых нет одновременно" задает несколько вопросов относительно проектов приказов ФСБ по ГосСОПКЕ
Аттестация объектов информатизации по требованиям безопасности информациSoftline
Аттестация объектов информатизации по требованиям безопасности информации - комплекс организационно-технических мероприятий, в результате которых посредством специального документа – «Аттестата соответствия» – подтверждается, что объект соответствует требованиям стандартов или иных нормативно-технических документов по безопасности информации.
Снижение рисков и затрат на внедрение защиты информационной системы персональных данных (ИСПДн) путем выноса серверного сегмента в специализированное облако Softline.
Обзор применения искусственного интеллекта в кибербезопасности как с позитивной, так и с негативной стороны. Как ИИ используют безопасники. Как ИИ используют хакеры. Какие угрозы могут быть для ИИ.
Российская rasputitsa как объяснение будущего отечественной отрасли ИБAleksey Lukatskiy
Высокоуровневый анализ происходящих в России (на экономических и политических фронтах) событий, влияющих на развитие рынка кибербезопасности для разных его игроков - государства, потребителей, производителей средств защиты
Risks of non-compliance with regulatory requirementsВячеслав Аксёнов
Презентация моего выступления «Риск несоответствия действующему законодательству РБ в области защиты информации - или что будет если завтра к вам придёт проверка регулятора?» на семинаре «Управление рисками информационной безопасности в IT-компаниях».
Обеспечение безопасности при использовании облачных вычисленийAleksei Goldbergs
Лекция для студентов 6-го курса ВМК МГУ в рамках курса "Виртуализация и облачные вычисления", в которой рассмотрены основные риски, возникающие при использовании обычных вычислений, и доступные меры их компенсации
4. 4
Невидимые тенденции ИБ
• Всеобъемлющий Интернет
• Одомашнивание корпоративных сетей
• 3D-принтеры
• Самообучение
SDN, SLN и т.п.
• Закон Мура и битсквоттинг
• Теневые облака
• Блокчейн и распределенность
• Облака для ИБ
• Рост сложности
5. 5
Теневые технологии
• Использование «личных» облаков на
рабочем месте
Dropbox, Box, Google.Docs, Яндекс.Диск и т.п.
• Теневой Интернет (Dark Web)
Распространение / продажа конфиденциальной
информации
Заказ атак
Неконтролируемые платежные сервисы, социальные
сети и т.п.
6. 6
Распределенность
• Распределенные технологии начинают
завоевывать мир и пользователей
Торренты
Тор
Биткойны
Blockchain
Ethereum
• Сложно контролировать и защищать
В зависимости от цели ИБ
7. 7
Облака для ИБ
• Облака имеют три значения для
информационной безопасности
Облака как объект защиты
Теневые облака как угроза
Облака – как элемент системы защиты
• Современные угрозы таковы, что при их
сложности и числе анализировать их на
объекте защиты (ПК, сервере, мобильном
устройстве или «на лету» в сети) становится
сложно
Многие вендоры используют облачные сервисы
анализа угроз
• Ваша политика, ментальность, каналы связи
готовы к этому?
8. 8
Рост сложности
• Сложность возрастает
многократно
Среднее число ИБ-продуктов на
предприятии – 50
Нехватка персонала – 1 млн.
специалистов по миру и 55-60
тысяч в России
90% организаций не знают всех
своих сетевых устройств
В организации используется в 5-
10 раз больше облачных
сервисов, чем знает ИТ-служба
3,3 устройства на одного
сотрудника
10. 10
НПС
• Новая редакция 382-П
Переход 382-П под ГУБЗИ
• Новые документы в рамках СТО
БР ИББС
Распространение СТО на всех
• Требования ИБ к организаторам
торгов (биржи)
• Противодействие преступлениям
с помощью высоких технологий
• Оценка соответствия банковских
приложений
• Оценка качества ПО
11. 11
Персданные
• При разных трактовках
положений 242-ФЗ в части
хранения ПДн за пределами РФ
остается ждать
правоприменения
• РКН выходит из под действия
294-ФЗ
• Увеличивают штрафы за
несоблюдение ФЗ-152
8 составов правонарушений
Кумулятивный штраф до полумиллиона
рублей
• Отраслевая модель угроз ЦБ
• Изменение Евроконвенции (?)
12. 12
КВО, КИИ, КСИИ…
• Законопроект «О безопасности
КИИ»
Законопроект о внесении изменений
• Определение главного ФОИВ
• Разработка ряда
Постановлений Правительства
Подключение к сетям связи, критерии
отнесения к уровням критичности…
• Разработка приказов ФСБ
• Разработка нормативных
документов ФСТЭК
• Разработка требований по ИБ
Помимо 31-го приказа по АСУ ТП
13. 13
CERTы
• GovCERT
• FinCERT
• CERT для критических
инфраструктур
• CERT для операторов связи
(?)
• CERT ОДКБ
• ГосСОПКА!!!
• Включение темы
реагирования на инциденты
во многие нормативные акты
14. 14
Проверки регуляторов
• Согласно ФЗ-242 из под действия ФЗ-294
выводятся проверки по персональным
данным и распространению информации в
Интернет
• Проверки перестают быть запланированными,
согласованными и длящимися оговоренное
время
• В условиях роста штрафов и появления
новых составов правонарушения и уголовных
преступлений у регуляторов может
«проснуться интерес» к росту числа проверок
Палочную систему тоже никто не отменял
• Наполнение бюджета + палочная система –
насущная задача для многих!
15. 15
Цирк с конями
• Рост числа непрогнозируемых
проверок со стороны РКН, ЦБ,
прокуратуры и других заставит
потребителя «творчески» подходить к
данному вопросу
Заготовленные «недочеты» и их быстрое
устранение
Налаживание договоренностей с надзорными
органами
Появление (вновь) прослойки посредников
• Усиление бумажной безопасности
16. 16
ФСТЭК
• Выход на двухлетний цикл
обновления нормативных
документов
Новые редакции 17/21-й приказов
• Методика моделирования
угроз
• Новые подходы по
сертификации СрЗИ и
аттестации объектов
информатизации
• Новые методические
документы
• Безопасная разработка
17. 17
Защита госорганов
• Гособлако
Сеть федеральных и региональных ЦОДов
Унификация управления и сосредоточение в одних
руках
Как минимум, для госорганов и муниципалитетов
Госокорпорации тоже пойдут туда
• Государственный сегмент Интернет
Передел рынка шифрования
• Запрет нахождения технических средств
госорганов за рубежом
Прощай Gmail и Google.Docs
• Сдвиг от оценки бумажной безопасности к
реальной
18. 18
Новые РД ФСТЭК
• Новые требования к средствам защиты
МСЭ
Защита ОС
Защита СУБД
Управление потоками
Идентификация и аутентификация
Управление и разграничение доступом
DLP
Анализ защищенности
Контроль целостности
Очистка памяти
Ограничение программной среды
Защита виртуализации
Защита BIOS
19. 19
8-й Центр ФСБ
• Новые ГОСТы в области
шифрования (возможно)
128-мибитные ключи
• Правила встраивания
криптобиблиотек в
отечественные и
иностранные решения
• Внедрение в жизнь 378-го
приказа по защите ПДн
И методики моделирования угроз
• Разработка регламентов по
безопасности КИИ и GOV-
CERT / CERT для КВО
20. 20
Танцы с бубном
• Рост числа требований по ИБ
от разных регуляторов
• Сложность стыковки между
ними
Отсутствие единой концепции
развития отрасли ИБ в России
Отсутствие единого регулятора
Разные взгляды разных регуляторов
• Еще большая активизация
«бумажной» безопасности
21. 21
Сдвиг по фазе
• Новая Доктрина ИБ
Подразумевает новые вектора развития рынка ИБ
• Международная ИБ
Россия против всего мира
Россия в разных блоках (ШОС, ОДКБ, БРИКС, СНГ…)
Двусторонние соглашения (БРИКС и другие)
• Новая административная реформа
Останутся ли ФСТЭК и Минкомсвязи?
• Стратегия развития Интернет
ИРИ, ФРИИ, РАЭК и другие
Большой раздел по ИБ
23. 23
Железный занавес
• Стагнация геополитического
конфликта
• Рост неопределенности в
будущих отношениях с
западными партнерами
Включая и направление ИТ/ИБ
• Отсутствие четкого сценария
развития
Много популизма
• Заключение новых альянсов
ОДКБ, ШОС, БРИКС, Таможенный
союз, Китай…
24. 24
Анти-ЦПС, Анти-АНБ
• Сноуденовские и после-Сноуденовские
разоблачения
• Нарастание недоверия к американским
технологиям в России
ИТ, сетевым, ИБ, спутниковым…
• Наиболее активно влияет на
государственный сектор и государственные
корпорации
• На Западе также возрастает «недоверие» к
российским технологиям
«Банные» скандалы
Экс-КГБ
Русские хакеры
25. 25
Русский и китаец…
• Активизация взаимоотношений с
Китаем по различным
направлениям
Заключение крупных ИТ-контрактов
Вхождение китайских граждан в бизнес
ряда российских ИТ-компаний
• Неопределенный статус
китайской продукции
Импортная или нет?
• Непредсказуемость поведения
Сун-Цзы, У-Цзы и т.п.
• Рост числа скандалов с
оборудованием из Китая
26. 26
Режим экономии
• Запуск проектов по
собственной разработке
средств защиты
• Использование open source
Для внутренних задач
В качестве основы для своих
продуктов для потребителя,
например, IDS на базе Snort
• Акцент на использование
того, что есть
Без скорой надежды на
расширение
27. 27
ИБ-Жигули
• Переориентация на
отечественную ИБ-
продукцию
При наличии адекватных аналогов
• Неопределенность будущего
российских разработчиков в
условиях нестабильной
экономической ситуации
• Рост числа ИБ-стартапов
Частные инвесторы
Проект Сколково iSecurity
• Нужно время и немало
28. 28
Импортозамещение
• Отсутствие явной поддержки со
стороны государства
Отсутствие ИТ в списке критических отраслей
Минпромторга
Отсутствие ИБ в списке Минкомсвязи
Ориентация Минкомсвязи только на ПО
Метания Минкомсвязи
• Отсутствие определения «импорта» и
однозначных критериев
«отечественности»
Создание списка «доверенного» ПО
Рост коррупции
Убиение молодых стартапов
29. 29
Контроль Интернет
• В условиях экономической, политической и
социальной нестабильности Интернет
представляет опасность
Гайки будут закручивать
Внесудебные блокировки
Рост числа оснований для блокирования доступа к
сайтам
• Давление на Интернет-компании
• Новые требования для участников
Интернет-взаимоотношений
Регистрация и хранение информации
СОРМ
Снижение анонимности
30. 30
Фильтрация Рунета
• Продолжение расширения
оснований для блокировки
Интернет-ресурсов
• Внедрение DPI на
инфраструктуре
провайдеров
• «Черные списки»
• Перенятие китайского опыта
• Потенциальный запрет
анонимайзеров и, в
перспективе (?), VPN
31. 31
«Великий русский
березовый щит»
• Сирийский и Северокорейский
сценарии отключения стран от
Интернет
• Кибер-учения по «отключению»
Интернет
• Подготовка мероприятий по
обеспечению «живучести» в условиях
отключения РФ от Интернет
Есть ли у вас резервный план?
• Отключение от международных
платежных систем
НСПК
32. 32
Анонимность
• Активное использование технологий
анонимизации для обхода ограничений в
Интернет
Анонимайзеры, Tor и т.п.
• Привнесение «анонимных» технологий в
корпоративную среду
Secret, Snapchat, WhatsApp, Viber, Whisper…
34. 34
Кризис
• Нехватка средств на приобретение
продуктов и услуг
Бюджеты на 2015-й год посчитаны по курсу 35-37
Иностранные ИБ-поставщики цен не снижают (ради 1%
российского бизнеса)
Российские игроки ИБ подняли цены на свою
продукцию
• Отказ от многих проектов
С обеих сторон
• Сокращение (заморозка) затрат
И так небольшого ИБ-бюджета
На специалистов по ИБ
• Нестабильное положение поставщиков
продуктов и услуг
35. 35
Кого с нами больше
нет
• Stonesoft
Ушел под McAfee и там умер
• McAfee
С января 2016-го закрывает направления
МСЭ, NGFW, защиты E-mail, управления
уязвимостями и т.д.
• TippingPoint
Продан в Trend Micro
• RSA
Ушел в непубличный Dell
• Juniper и Alcatel-Lucent
Продали или закрыли часть своих
продуктовых линеек
36. 36
Конкуренция
• Непростая экономическая ситуация
обострит конкуренцию на
Рынке интеграции
Рынке труда
Рынке производителей
• У потребителей появляется
возможность выбирать большее за
меньшее
• Снижение числа игроков – рост цен
За счет импортозамещения
• Поставщики (товаров, услуг, себя)
должны научиться проявлять гибкость
Скидки, рассрочки, лизинг, кредиты
37. 37
Кто пострадает первым?
• Снижение платежеспособности приводит к
снижению продаж ИБ в сектора, зависящие
от покупательной способности граждан
Автомобилестроение, строительство, пищевая и
фармацевтическая промышленность и т.п.
Сюда же могут попасть банки, в которые клиенты будет
меньше и реже носить свои деньги
• Это приводит к урезанию доходов и
снижению затрат на «непонятные»
направления, неприносящие прибыли в
краткосрочной перспективе
ИБ - одно из таких направлений
38. 38
Что делать ИБ?
• Налаживать контакты с бизнес-
подразделениями и показывать
свою нужность для бизнеса, а
не для регуляторов
Показывать свою эффективность
Начать разбираться в финансах
• Эффективно использовать
имеющиеся возможности и
ресурсы
Пора начать пользоваться уже
приобретенным на 90%, а не только
покупать что-то новое
• Работа с персоналом
• Работа с поставщиками
39. 39
Появление новых сервисов ИБ
• Снижение капитальных затрат и переход на
операционные затраты может привести к
росту интереса к сервисной модели ИБ
Cloud Security
Security as a Service
Security on demand
• Рост интереса к эффективному управлению
лицензиями на ИБ-продукты
Не годовые, а по мере использования (по времени, по
ресурсам)
40. 40
Рост влияния ИБ внутри
• В условиях кризиса возрастает число
внутренних нарушений
Утечки, снижение дисциплины, шантаж, блокировка
учетных записей, уничтожение активов, компромат
и т.п.
• Также будет расти число увольнений
• ИБ может помочь бороться с такими
явлениями
Если сможет обосновать свою роль в улучшении
ситуации
• Активизация взаимоотношение с
экономической безопасностью
41. 41
Рынок труда
• Фактическое снижение зарплат
• Много хороших специалистов будут
выброшены на улицу
Умерьте аппетиты
Обновите резюме
Подготовьте план отступления и контрнаступления
Поймите, что вы можете ДАТЬ БИЗНЕСУ работодателя
Следите за сайтами поиска работы
• Рост интереса к самообразованию и обычному
образованию
Онлайн-курсы и краткосрочные курсы повышения
квалификации
• Главное – не опускать руки!!!
42. 42
ИБ-сообщества
• BISA, RISSPA, RISC…
• Онлайн-семинары
• Очные мероприятия
Реже
• Группы в социальных сетях
• Формирование социальных сетей знакомств
43. 43
Раша, гудбай?
• Покидание России
высоквалифицированных
специалистов
Там они тоже никому не нужны
• Закрытие офисов
иностранных компаний в
России
Необходимо иметь резервные
планы и выстраивать работу с
поставщиками