Документ обсуждает актуальные вопросы информационной безопасности, включая влияние новых технологий, таких как облачные вычисления, на стратегию безопасности. Основные риски включают недостаточную защиту данных, уязвимости программного обеспечения и последствия киберпреступлений. Рекомендуется обновление стратегий и процедур оценки рисков с учетом современных вызовов.

1. www.pwc.ru/riskassurance
Актуальные вопросы
информационной
безопасности
13 сентября 2012

2. Изменение парадигмы
Какие факторы следует учитывать при
формировании стратегии
информационной безопасности?
PwC 2

3. Новые технологии
Облачные вычисления Виртуализация инфраструктуры
Социальные сервисы Использование мобильных устройств
PwC 3

4. Изменения законодательства
PCI-
DSS
152-ФЗ
СТО БР
ФСБ ИББС
161-ФЗ
ФСТЭК
PwC 4

5. Рост числа киберпреступлений
Источник: iC3 research
PwC 5

6. Технологические риски
Что несут с собой новые технологии?
PwC 6

7. Облачные вычисления
IaaS PaaS SaaS Сервисная
Инфраструкту Платформа Приложение x aaS
ра как сервис как сервис как сервис
модель
Измеримый Сервис по
Сетевой доступ Эластичность
сервис запросу Ключевые
характеристики
Разделение ресурсов
Модель
Публичное Сообщество Частное Гибридное
развертывания
PwC 7

8. Ключевые преимущества
 Снижение капитальных расходов (публичное
облако)
 Оплата только используемых ресурсов
 Эластичность и неограниченность ресурсов
 Быстрота развертывания
 Обеспечение потребностей бизнеса
PwC 8

9. Риски безопасности облачных вычислений
• Доверие – прозрачность провайдера и непрерывность сервиса,
процедуры контроля и управления рисками, соответствие
законодательству?
• Уязвимости в программном обеспечении – особенно
когда оно «глубоко» доработано провайдером
• Отсутствие стандартизации интерфейсов - могу ли я
легко поменять провайдера?
• Совместное использование ресурсов – вы когда-нибудь
использовали shared hosting?
• Инсайдеры - доверять ли сотрудникам
провайдера/администраторам облака?
• Необходимость специализированных средств защиты -
как защищать виртуальное?
PwC 9

10. Примеры
«Как у большинства онлайн-сервисов у нас
есть ограниченный перечень сотрудников,
которым разрешен доступ к
пользовательским данным по причинам,
указанным в нашей политике
Апрель 2011 безопасности.»
«Системный администратор удалил виртуальные сервера бывшего
работодателя. Оцениваемый размер ущерба составил 300 000 USD»
http://www.justice.gov/usao/nj/Press/files/Cornish,%20Jason%20News%20Release.html
PwC 10

11. Примеры
Июль 2012
PwC 11

12. Рекомендации по защите
Draft Special Publication 800-144
Guidelines on
Security and Privacy
in Public Cloud Computing
Wayne Jansen
Timothy Grance
i
PwC 12

13. Оценка защищенности провайдеров
https://cloudsecurityalliance.org/research/cai/
Русскоязычная версия
http://www.risspa.ru/sites/default/files/CSA-CAI-Question-Set-v1-1_FINAL_v6_RUS_v.2.xls
PwC 13

14. Социальные сервисы
• Утечка аутентификационных
данных
• Неконтролируемое
распространение информации
• Анонимность
• Невозможность удаления
«цифровой» личности
• Кража личности/мошенничества
PwC 14

15. Примеры
Июнь 2012
Июнь 2012 Июнь 2012
PwC 15

16. Использование мобильных устройств
• Недостаточное количество
специализированных средств
контроля и защиты информации
• Риски потери устройства
• Кража данных (контакты,
геопозиции, SMS/MMS, звонки,
фото, документы и др.)
• Новая среда, новые векторы атак
PwC 16

17. Примеры
Источник: http://www.securelist.com/en/blog/208193641/Find_and_Call_Leak_and_Spam
PwC 17

18. Рост числа киберпреступлений
PwC 18

19. Примеры
Апрель 2011
Июль 2011
Март 2011
PwC 19

20. Примеры
http://ru.wikipedia.org/wiki/Stuxnet
http://ru.wikipedia.org/wiki/Duqu
http://ru.wikipedia.org/wiki/Flame_(вирус)
PwC 20

21. Расширение зоны
ответственности
Какие тенденции наблюдаются в сфере
информационной безопасности?
PwC 21

22. Новые тенденции
Уровень бизнес-процессов
• Интеграция в систему управления бизнес-рисками
• Выявление и предотвращение мошенничеств (фрод)
• Безопасность бизнес-приложений
Мониторинг Антивирусная Межсетевые Контроль
инцидентов защита экраны утечек
Управление Криптографическая защита Обнаружение
доступом атак
Уровень инфраструктуры
PwC 22

23. Управление бизнес-рисками
Стратегия ИБ
Управление
рисками
Бизнес-стратегия
PwC 23

24. Предотвращение мошенничеств
Сектор Средние потери, % от общей
выручки
Финансовые организации 1-2%
Здравоохранение 5-10%
Телекоммуникации 2-5%+
Производство 2-5%
Исследование PwC
PwC 24

25. Пример
Добыча Переработка Транспортировка Хранение Дистрибуция Реализация
Хищение продукции, манипуляции в технологических и информационных системах
учета, искажение финансовой отчетности и т. д.
PwC 25

26. Безопасность бизнес-приложений
 Оценка безопасности архитектуры приложений
 Контроль качества исходного кода
 Анализ защищенности исходного кода
 Автоматизированный поиск программных
«закладок», выявление критичных участков кода,
поиск уязвимостей
PwC 26

27. Рекомендации
• Актуализация стратегии безопасности, политик и процедур
оценки и управления рисками с учетом специфики
используемых сервисов
• Процедура оценки защищенности сервис-провайдеров
• Политики и процедуры защиты мобильных устройств
• Актуализация стратегии непрерывности бизнеса
• Использование специализированных средств защиты (контроль
доступа, контроль утечек, мониторинг событий,
криптографическая защита, токенизация, удаленное
управление мобильными устройствами и др.)
• Повышение квалификации персонала подразделений
информационной безопасности и внутреннего аудита
• Повышение осведомленности пользователей
PwC 27

28. Новые риски требуют новых подходов...
Евгений Климов
Старший менеджер
+7 (925) 006 3053
evgeny.klimov@ru.pwc.com
© 2012 «ПрайсвотерхаусКуперс Раша Б.В.». Все права защищены.
Под "PwC" понимается компания "ПрайсвотерхаусКуперс Раша Б.В." или, в зависимости от контекста, другие фирмы, входящие в глобальную сеть
PricewaterhouseCoopers International Limited (PwCIL). Каждая фирма сети является самостоятельным юридическим лицом и не выступает в качестве агента PwCIL или
любой другой фирмы сети. PwCIL не оказывает услуги клиентам. PwCIL не несет ответственность за действия или бездействие любой фирмы сети, не может
контролировать профессиональные суждения, высказываемые фирмами сети, и не может никаким образом связать их каким-либо обязательством. Ни одна из фирм
сети не несет ответственность за действия или бездействие любой другой фирмы сети, не может контролировать профессиональные суждения другой фирмы и не
может никаким образом связать другую фирму сети или PwCIL каким-либо обязательством.
PwC в России (www.pwc.ru) предоставляет услуги в области аудита и бизнес-консультирования, а также налоговые и юридические услуги компаниям разных отраслей.
В офисах PwC в Москве, Санкт-Петербурге, Екатеринбурге, Казани, Новосибирске, Южно-Сахалинске и Владикавказе работают более 2 000 специалистов. Мы
используем свои знания, богатый опыт и творческий подход для разработки практических советов и решений, открывающих новые перспективы для бизнеса.
Глобальная сеть фирм PwC объединяет более 161 000 сотрудников в 154 странах.
Бренд PwC объединяет фирмы, входящие в глобальную сеть фирм PricewaterhouseCoopers International Limited (PwCIL).
"PwC в России" означает фирмы сети PwCIL, осуществляющие деятельность в России.