SlideShare a Scribd company logo

Основні проблеми захисту від кібератак в українських державних установах

Dmytro Petrashchuk
Dmytro Petrashchuk

Презентация к докладу, сделанному на круглом столе ""

1 of 13
Copyright © BMS consulting, 31.05.2013 Основні проблеми захисту від кібератак в українських державних установах Дмитро Петращук Директор департаменту консалтингу в галузі інформаційної безпеки
2Copyright © BMS consulting, 31.05.2013 Основні питання • Відомі інциденти в українських державних установах • Причини інцидентів • Супутні проблеми • Шляхи вирішення
3Copyright © BMS consulting, 31.05.2013 Информационные материалы
4Copyright © BMS consulting, 31.05.2013 Місце України в світі кіберзлочинності
5Copyright © BMS consulting, 31.05.2013 Місце України в світі кіберзлочинності 81% веб-ресурсів, що використовуються для поширення шкідливих об'єктів, розташовані в 10 країнах світу. Майже 60% з них припадає на три держави: США (25%), Росія (19%), Нідерланди (14%). Україна (3,3%) знаходиться на 5 місці серед країн на веб-ресурсах яких, розміщені шкідливі програми.
6Copyright © BMS consulting, 31.05.2013 Найгучніші інциденти • DDOS-атаки «Ex.ua» (2012) • DDOS-атаки під час виборів 2012 • DDOS-атаки на РБК-Україна (2012) • Сайт Партії регіонів в Івано-Франківській області (2013) • Сайт Державної пенітенціарної служби (2013) • Сайт МінОсвіти (2010) • Сайт Адміністрації Президента (2009) • Сайт проекту НАБУ «Антикібер» (2013) • Торгівля базами даних: Митниці, ДАЇ, ЄРДПУ, реєстр виборців
7Copyright © BMS consulting, 31.05.2013 Причини • КСЗІ • «Закостеніла» нормативна база • Захист інформації в теорії на фоні практичної бездіяльності • Відсутність єдиної координації на рівні держави • «Свій» підхід до стандартизації • Невизначеність сфер відповідальності різних контролерів • Слабка обізнаність користувачів • Корупція
8Copyright © BMS consulting, 31.05.2013 КСЗІ • Більшість установ знаходяться в стані «побудови КСЗІ» • Формальний підхід • Складність внесення змін до системи • Практична реалізація не завжди відповідає ТЗ • Концентрація на протидії в жертву спостережності (моніторинг та виявлення інцидентів)
9Copyright © BMS consulting, 31.05.2013 Нормативна база • На сайті Держспецзв’язку 43 НД ТЗІ • За 2012 год видано: – НД ТЗІ 1.5-002-2012 Класифікатор засобів технічного захисту інформації. – Зміни до Положення про державну експертизу в сфері технічного захисту інформації від 2007 року • Прийнято 4 державних стандарти: – ДСТУ 3396 0-96 Захист інформації. Технічний захист інформації. Основні положення. – ДСТУ 3396 1-96 Захист інформації. Технічний захист інформації. Порядок проведення робіт. – ДСТУ 3396.2-97 Захист інформації. Технічний захист інформації. Терміни та визначення.«Закостеніла» нормативна база – ДСТУ ISO/IEC 27001:2010 «Інформаційні технології. Методи та засоби досягнення інформаційної безпеки. Системи керування інформаційною безпекою. Вимоги (ISO/IEC 27001:2005, IDT)
10Copyright © BMS consulting, 31.05.2013 Варіанти вирішення • Обов’язкове тестування на проникнення та щорічний технічний аудит всіх Держустанов • Прийняття міжнародних стандартів • Розробка практичного стандарту з захисту державних інформаційних ресурсів • Державний центр реагування на інциденти (CSIRT) • Широке використання досвіду та можливостей експертів з різних організацій • Державні освітні програми з безпеки інформації для співробітників Держустанов (перш за все ІТ- персоналу)
11Copyright © BMS consulting, 31.05.2013 Приклад PCI DSS • Практичний стандарт, направлений на захист конфіденційних даних • 12 широких вимог, які включають більше 200 процедур перевірки • Впроваджений незалежною організацією PCI Security Standards Council • Акредитація аудиторів QSA(Qualified Security Assessor) та ASV (Authorized Scanning Vendor) • Додаткові вимоги: – Щорічний технічний аудит – Щорічний тест на проникнення – Щоквартальне сканування уразливостей (ззовні, зсередини, WiFi)
12Copyright © BMS consulting, 31.05.2013 Информационные материалы
13Copyright © BMS consulting, 31.05.2013 Питання Дякую за увагу! Дмитро Петращук Директор департаменту консалтингу в галузі інформаційної безпеки Dmitriy_Petrashchuk@bms-consulting.com +380 (44) 499-6969

Recommended

Актуальні кібер-загрози АСУ ТП
Актуальні кібер-загрози АСУ ТПАктуальні кібер-загрози АСУ ТП
Актуальні кібер-загрози АСУ ТПuisgslide
 
Energy security v02_vv
Energy security v02_vvEnergy security v02_vv
Energy security v02_vvAlexey Yankovski
 
Solodkyi.obd
Solodkyi.obdSolodkyi.obd
Solodkyi.obdDimaSolodkyi
 
Безопасность SaaS. Безкоровайный. RISSPA. CloudConf
Безопасность SaaS. Безкоровайный. RISSPA. CloudConfБезопасность SaaS. Безкоровайный. RISSPA. CloudConf
Безопасность SaaS. Безкоровайный. RISSPA. CloudConfDenis Bezkorovayny
 
ІКТА
ІКТАІКТА
ІКТАgarasym
 
Untitled 1
Untitled 1Untitled 1
Untitled 1Sergey Kochergan
 
Целевые атаки. Infosecurity Russia 2013
Целевые атаки. Infosecurity Russia 2013Целевые атаки. Infosecurity Russia 2013
Целевые атаки. Infosecurity Russia 2013Denis Bezkorovayny
 
ИТ технологии будущего на службе современного банка
ИТ технологии будущего на службе современного банкаИТ технологии будущего на службе современного банка
ИТ технологии будущего на службе современного банкаDmytro Petrashchuk
 

Recommended

Актуальні кібер-загрози АСУ ТП
Актуальні кібер-загрози АСУ ТПАктуальні кібер-загрози АСУ ТП
Актуальні кібер-загрози АСУ ТПuisgslide
 
Energy security v02_vv
Energy security v02_vvEnergy security v02_vv
Energy security v02_vvAlexey Yankovski
 
Solodkyi.obd
Solodkyi.obdSolodkyi.obd
Solodkyi.obdDimaSolodkyi
 
Безопасность SaaS. Безкоровайный. RISSPA. CloudConf
Безопасность SaaS. Безкоровайный. RISSPA. CloudConfБезопасность SaaS. Безкоровайный. RISSPA. CloudConf
Безопасность SaaS. Безкоровайный. RISSPA. CloudConfDenis Bezkorovayny
 
ІКТА
ІКТАІКТА
ІКТАgarasym
 
Untitled 1
Untitled 1Untitled 1
Untitled 1Sergey Kochergan
 
Целевые атаки. Infosecurity Russia 2013
Целевые атаки. Infosecurity Russia 2013Целевые атаки. Infosecurity Russia 2013
Целевые атаки. Infosecurity Russia 2013Denis Bezkorovayny
 
ИТ технологии будущего на службе современного банка
ИТ технологии будущего на службе современного банкаИТ технологии будущего на службе современного банка
ИТ технологии будущего на службе современного банкаDmytro Petrashchuk
 
DDoS for banks
DDoS for banksDDoS for banks
DDoS for banksVladimir Guk
 
Наступательная безопасность: шпаргалка заказчика тестов на проникновение
Наступательная безопасность: шпаргалка заказчика тестов на проникновениеНаступательная безопасность: шпаргалка заказчика тестов на проникновение
Наступательная безопасность: шпаргалка заказчика тестов на проникновениеVlad Styran
 
Методы выполнения требования 6.6 PCI DSS – практический выбор
Методы выполнения требования 6.6 PCI DSS – практический выборМетоды выполнения требования 6.6 PCI DSS – практический выбор
Методы выполнения требования 6.6 PCI DSS – практический выборDenis Bezkorovayny
 
Rai
RaiRai
RaiAngelaromero21
 
Trend Micro Deep Security - сертифицированное решение для защиты персональных...
Trend Micro Deep Security - сертифицированное решение для защиты персональных...Trend Micro Deep Security - сертифицированное решение для защиты персональных...
Trend Micro Deep Security - сертифицированное решение для защиты персональных...Denis Bezkorovayny
 
Пришляк А.І. - Функціональні можливості та практичне застосування тестового м...
Пришляк А.І. - Функціональні можливості та практичне застосування тестового м...Пришляк А.І. - Функціональні можливості та практичне застосування тестового м...
Пришляк А.І. - Функціональні можливості та практичне застосування тестового м...garasym
 
Системы Breach Detection - вебинар BISA
Системы Breach Detection - вебинар BISAСистемы Breach Detection - вебинар BISA
Системы Breach Detection - вебинар BISADenis Bezkorovayny
 
Berezha Security
Berezha SecurityBerezha Security
Berezha SecurityVlad Styran
 
Smartphone that enables you to hear the world
Smartphone that enables you to hear the worldSmartphone that enables you to hear the world
Smartphone that enables you to hear the worldDmytro Petrashchuk
 
QA Automation course 2014 - DIO-soft, Kyiv
QA Automation course 2014 - DIO-soft, KyivQA Automation course 2014 - DIO-soft, Kyiv
QA Automation course 2014 - DIO-soft, KyivSergey Kochergan
 
Построение эффективного взаимодействия с сервис-провайдерами для повышения ...
Построение эффективного взаимодействия с сервис-провайдерами для повышения ...Построение эффективного взаимодействия с сервис-провайдерами для повышения ...
Построение эффективного взаимодействия с сервис-провайдерами для повышения ...Denis Bezkorovayny
 
Створи та розвивай свій нетворк
Створи та розвивай свій нетворкСтвори та розвивай свій нетворк
Створи та розвивай свій нетворкOlena Sovyn
 
Шифрование данных в облачных инфраструктурах – обзор технологических подходов
Шифрование данных в облачных инфраструктурах – обзор технологических подходовШифрование данных в облачных инфраструктурах – обзор технологических подходов
Шифрование данных в облачных инфраструктурах – обзор технологических подходовDenis Bezkorovayny
 
ИБ-сертификация облачных провайдеров
ИБ-сертификация облачных провайдеровИБ-сертификация облачных провайдеров
ИБ-сертификация облачных провайдеровDenis Bezkorovayny
 
Информационная безопасность облака как конкурентное преимущество сервис-прова...
Информационная безопасность облака как конкурентное преимущество сервис-прова...Информационная безопасность облака как конкурентное преимущество сервис-прова...
Информационная безопасность облака как конкурентное преимущество сервис-прова...Denis Bezkorovayny
 
Мобильные угрозы и консьюмеризация в корпоративной среде
Мобильные угрозы и консьюмеризация в корпоративной средеМобильные угрозы и консьюмеризация в корпоративной среде
Мобильные угрозы и консьюмеризация в корпоративной средеDenis Bezkorovayny
 
Obserwatorium.biz - Prezentacja e tożsamość na mobile
Obserwatorium.biz - Prezentacja e tożsamość na mobileObserwatorium.biz - Prezentacja e tożsamość na mobile
Obserwatorium.biz - Prezentacja e tożsamość na mobileMichał Olczak
 
Социальные аспекты ИБ
Социальные аспекты ИБСоциальные аспекты ИБ
Социальные аспекты ИБVlad Styran
 
Пуля П.А. - Особливості використання квадрокоптерів у сфері захисту інформації
Пуля П.А. - Особливості використання квадрокоптерів у сфері захисту інформаціїПуля П.А. - Особливості використання квадрокоптерів у сфері захисту інформації
Пуля П.А. - Особливості використання квадрокоптерів у сфері захисту інформаціїgarasym
 
RCCPA Cloud and mobility seminar
RCCPA Cloud and mobility seminarRCCPA Cloud and mobility seminar
RCCPA Cloud and mobility seminarDenis Bezkorovayny
 
Необхідність реформи галузі захисту інформації в Україні
Необхідність реформи галузі захисту інформації в УкраїніНеобхідність реформи галузі захисту інформації в Україні
Необхідність реформи галузі захисту інформації в Україніuisgslide
 
Security
SecuritySecurity
Securityjudin
 

More Related Content

Viewers also liked

Наступательная безопасность: шпаргалка заказчика тестов на проникновение
Наступательная безопасность: шпаргалка заказчика тестов на проникновениеНаступательная безопасность: шпаргалка заказчика тестов на проникновение
Наступательная безопасность: шпаргалка заказчика тестов на проникновениеVlad Styran
 
Методы выполнения требования 6.6 PCI DSS – практический выбор
Методы выполнения требования 6.6 PCI DSS – практический выборМетоды выполнения требования 6.6 PCI DSS – практический выбор
Методы выполнения требования 6.6 PCI DSS – практический выборDenis Bezkorovayny
 
Trend Micro Deep Security - сертифицированное решение для защиты персональных...
Trend Micro Deep Security - сертифицированное решение для защиты персональных...Trend Micro Deep Security - сертифицированное решение для защиты персональных...
Trend Micro Deep Security - сертифицированное решение для защиты персональных...Denis Bezkorovayny
 
Пришляк А.І. - Функціональні можливості та практичне застосування тестового м...
Пришляк А.І. - Функціональні можливості та практичне застосування тестового м...Пришляк А.І. - Функціональні можливості та практичне застосування тестового м...
Пришляк А.І. - Функціональні можливості та практичне застосування тестового м...garasym
 
Системы Breach Detection - вебинар BISA
Системы Breach Detection - вебинар BISAСистемы Breach Detection - вебинар BISA
Системы Breach Detection - вебинар BISADenis Bezkorovayny
 
Berezha Security
Berezha SecurityBerezha Security
Berezha SecurityVlad Styran
 
Smartphone that enables you to hear the world
Smartphone that enables you to hear the worldSmartphone that enables you to hear the world
Smartphone that enables you to hear the worldDmytro Petrashchuk
 
QA Automation course 2014 - DIO-soft, Kyiv
QA Automation course 2014 - DIO-soft, KyivQA Automation course 2014 - DIO-soft, Kyiv
QA Automation course 2014 - DIO-soft, KyivSergey Kochergan
 
Построение эффективного взаимодействия с сервис-провайдерами для повышения ...
Построение эффективного взаимодействия с сервис-провайдерами для повышения ...Построение эффективного взаимодействия с сервис-провайдерами для повышения ...
Построение эффективного взаимодействия с сервис-провайдерами для повышения ...Denis Bezkorovayny
 
Створи та розвивай свій нетворк
Створи та розвивай свій нетворкСтвори та розвивай свій нетворк
Створи та розвивай свій нетворкOlena Sovyn
 
Шифрование данных в облачных инфраструктурах – обзор технологических подходов
Шифрование данных в облачных инфраструктурах – обзор технологических подходовШифрование данных в облачных инфраструктурах – обзор технологических подходов
Шифрование данных в облачных инфраструктурах – обзор технологических подходовDenis Bezkorovayny
 
ИБ-сертификация облачных провайдеров
ИБ-сертификация облачных провайдеровИБ-сертификация облачных провайдеров
ИБ-сертификация облачных провайдеровDenis Bezkorovayny
 
Информационная безопасность облака как конкурентное преимущество сервис-прова...
Информационная безопасность облака как конкурентное преимущество сервис-прова...Информационная безопасность облака как конкурентное преимущество сервис-прова...
Информационная безопасность облака как конкурентное преимущество сервис-прова...Denis Bezkorovayny
 
Мобильные угрозы и консьюмеризация в корпоративной среде
Мобильные угрозы и консьюмеризация в корпоративной средеМобильные угрозы и консьюмеризация в корпоративной среде
Мобильные угрозы и консьюмеризация в корпоративной средеDenis Bezkorovayny
 
Obserwatorium.biz - Prezentacja e tożsamość na mobile
Obserwatorium.biz - Prezentacja e tożsamość na mobileObserwatorium.biz - Prezentacja e tożsamość na mobile
Obserwatorium.biz - Prezentacja e tożsamość na mobileMichał Olczak
 
Социальные аспекты ИБ
Социальные аспекты ИБСоциальные аспекты ИБ
Социальные аспекты ИБVlad Styran
 
Пуля П.А. - Особливості використання квадрокоптерів у сфері захисту інформації
Пуля П.А. - Особливості використання квадрокоптерів у сфері захисту інформаціїПуля П.А. - Особливості використання квадрокоптерів у сфері захисту інформації
Пуля П.А. - Особливості використання квадрокоптерів у сфері захисту інформаціїgarasym
 
RCCPA Cloud and mobility seminar
RCCPA Cloud and mobility seminarRCCPA Cloud and mobility seminar
RCCPA Cloud and mobility seminarDenis Bezkorovayny
 

Viewers also liked (20)

DDoS for banks
DDoS for banksDDoS for banks
DDoS for banks
 
Наступательная безопасность: шпаргалка заказчика тестов на проникновение
Наступательная безопасность: шпаргалка заказчика тестов на проникновениеНаступательная безопасность: шпаргалка заказчика тестов на проникновение
Наступательная безопасность: шпаргалка заказчика тестов на проникновение
 
Методы выполнения требования 6.6 PCI DSS – практический выбор
Методы выполнения требования 6.6 PCI DSS – практический выборМетоды выполнения требования 6.6 PCI DSS – практический выбор
Методы выполнения требования 6.6 PCI DSS – практический выбор
 
Rai
RaiRai
Rai
 
Trend Micro Deep Security - сертифицированное решение для защиты персональных...
Trend Micro Deep Security - сертифицированное решение для защиты персональных...Trend Micro Deep Security - сертифицированное решение для защиты персональных...
Trend Micro Deep Security - сертифицированное решение для защиты персональных...
 
Пришляк А.І. - Функціональні можливості та практичне застосування тестового м...
Пришляк А.І. - Функціональні можливості та практичне застосування тестового м...Пришляк А.І. - Функціональні можливості та практичне застосування тестового м...
Пришляк А.І. - Функціональні можливості та практичне застосування тестового м...
 
Системы Breach Detection - вебинар BISA
Системы Breach Detection - вебинар BISAСистемы Breach Detection - вебинар BISA
Системы Breach Detection - вебинар BISA
 
Berezha Security
Berezha SecurityBerezha Security
Berezha Security
 
Smartphone that enables you to hear the world
Smartphone that enables you to hear the worldSmartphone that enables you to hear the world
Smartphone that enables you to hear the world
 
QA Automation course 2014 - DIO-soft, Kyiv
QA Automation course 2014 - DIO-soft, KyivQA Automation course 2014 - DIO-soft, Kyiv
QA Automation course 2014 - DIO-soft, Kyiv
 
Построение эффективного взаимодействия с сервис-провайдерами для повышения ...
Построение эффективного взаимодействия с сервис-провайдерами для повышения ...Построение эффективного взаимодействия с сервис-провайдерами для повышения ...
Построение эффективного взаимодействия с сервис-провайдерами для повышения ...
 
Створи та розвивай свій нетворк
Створи та розвивай свій нетворкСтвори та розвивай свій нетворк
Створи та розвивай свій нетворк
 
Шифрование данных в облачных инфраструктурах – обзор технологических подходов
Шифрование данных в облачных инфраструктурах – обзор технологических подходовШифрование данных в облачных инфраструктурах – обзор технологических подходов
Шифрование данных в облачных инфраструктурах – обзор технологических подходов
 
ИБ-сертификация облачных провайдеров
ИБ-сертификация облачных провайдеровИБ-сертификация облачных провайдеров
ИБ-сертификация облачных провайдеров
 
Информационная безопасность облака как конкурентное преимущество сервис-прова...
Информационная безопасность облака как конкурентное преимущество сервис-прова...Информационная безопасность облака как конкурентное преимущество сервис-прова...
Информационная безопасность облака как конкурентное преимущество сервис-прова...
 
Мобильные угрозы и консьюмеризация в корпоративной среде
Мобильные угрозы и консьюмеризация в корпоративной средеМобильные угрозы и консьюмеризация в корпоративной среде
Мобильные угрозы и консьюмеризация в корпоративной среде
 
Obserwatorium.biz - Prezentacja e tożsamość na mobile
Obserwatorium.biz - Prezentacja e tożsamość na mobileObserwatorium.biz - Prezentacja e tożsamość na mobile
Obserwatorium.biz - Prezentacja e tożsamość na mobile
 
Социальные аспекты ИБ
Социальные аспекты ИБСоциальные аспекты ИБ
Социальные аспекты ИБ
 
Пуля П.А. - Особливості використання квадрокоптерів у сфері захисту інформації
Пуля П.А. - Особливості використання квадрокоптерів у сфері захисту інформаціїПуля П.А. - Особливості використання квадрокоптерів у сфері захисту інформації
Пуля П.А. - Особливості використання квадрокоптерів у сфері захисту інформації
 
RCCPA Cloud and mobility seminar
RCCPA Cloud and mobility seminarRCCPA Cloud and mobility seminar
RCCPA Cloud and mobility seminar
 

Similar to Основні проблеми захисту від кібератак в українських державних установах

Необхідність реформи галузі захисту інформації в Україні
Необхідність реформи галузі захисту інформації в УкраїніНеобхідність реформи галузі захисту інформації в Україні
Необхідність реформи галузі захисту інформації в Україніuisgslide
 
Security
SecuritySecurity
Securityjudin
 
Огляд атак на критичну інфраструктуру в Україні
Огляд атак на критичну інфраструктуру в УкраїніОгляд атак на критичну інфраструктуру в Україні
Огляд атак на критичну інфраструктуру в УкраїніGlib Pakharenko
 
Огляд сучасних кібератак та методів протидії
Огляд сучасних кібератак та методів протидіїОгляд сучасних кібератак та методів протидії
Огляд сучасних кібератак та методів протидіїAndriy Lysyuk
 
Cybersecurity Framework 021214 Final UA
Cybersecurity Framework 021214 Final UACybersecurity Framework 021214 Final UA
Cybersecurity Framework 021214 Final UAVlad Styran
 
Атаки на критичну інфраструктуру України. Висновки. Рекомендації.
Атаки на критичну інфраструктуру України. Висновки. Рекомендації.Атаки на критичну інфраструктуру України. Висновки. Рекомендації.
Атаки на критичну інфраструктуру України. Висновки. Рекомендації.Vladyslav Radetsky
 
Тенденції розвитку кібербезпеки в Україні: регуляторні ініціативи
Тенденції розвитку кібербезпеки в Україні: регуляторні ініціативиТенденції розвитку кібербезпеки в Україні: регуляторні ініціативи
Тенденції розвитку кібербезпеки в Україні: регуляторні ініціативиAsters
 
Протокол засідання відкритої наради на тему Шляхи забезпечення кібер безпеки ...
Протокол засідання відкритої наради на тему Шляхи забезпечення кібер безпеки ...Протокол засідання відкритої наради на тему Шляхи забезпечення кібер безпеки ...
Протокол засідання відкритої наради на тему Шляхи забезпечення кібер безпеки ...IsacaKyiv
 
ISACA Kyiv Chapter - government agencies responsible for cyber security in ot...
ISACA Kyiv Chapter - government agencies responsible for cyber security in ot...ISACA Kyiv Chapter - government agencies responsible for cyber security in ot...
ISACA Kyiv Chapter - government agencies responsible for cyber security in ot...IsacaKyiv
 
Mmi presentation long_ua new 2015
Mmi presentation long_ua new 2015Mmi presentation long_ua new 2015
Mmi presentation long_ua new 2015MMI Group
 
Стратегія дерегуляції економіки України
Стратегія дерегуляції економіки УкраїниСтратегія дерегуляції економіки України
Стратегія дерегуляції економіки УкраїниEasyBusiness
 
The development of IT outsourcing in Ukraine in 2008-2011
The development of IT outsourcing in Ukraine in 2008-2011The development of IT outsourcing in Ukraine in 2008-2011
The development of IT outsourcing in Ukraine in 2008-2011Lviv Startup Club
 
Thematic planning of class 10 (basic module)
Thematic planning of class 10 (basic module)Thematic planning of class 10 (basic module)
Thematic planning of class 10 (basic module)Nikolay Shaygorodskiy
 

Similar to Основні проблеми захисту від кібератак в українських державних установах (20)

Необхідність реформи галузі захисту інформації в Україні
Необхідність реформи галузі захисту інформації в УкраїніНеобхідність реформи галузі захисту інформації в Україні
Необхідність реформи галузі захисту інформації в Україні
 
Security
SecuritySecurity
Security
 
Огляд атак на критичну інфраструктуру в Україні
Огляд атак на критичну інфраструктуру в УкраїніОгляд атак на критичну інфраструктуру в Україні
Огляд атак на критичну інфраструктуру в Україні
 
Огляд сучасних кібератак та методів протидії
Огляд сучасних кібератак та методів протидіїОгляд сучасних кібератак та методів протидії
Огляд сучасних кібератак та методів протидії
 
Cybersecurity Framework 021214 Final UA
Cybersecurity Framework 021214 Final UACybersecurity Framework 021214 Final UA
Cybersecurity Framework 021214 Final UA
 
279014.pptx
279014.pptx279014.pptx
279014.pptx
 
дисертацIя друк миронюк
дисертацIя друк миронюкдисертацIя друк миронюк
дисертацIя друк миронюк
 
Атаки на критичну інфраструктуру України. Висновки. Рекомендації.
Атаки на критичну інфраструктуру України. Висновки. Рекомендації.Атаки на критичну інфраструктуру України. Висновки. Рекомендації.
Атаки на критичну інфраструктуру України. Висновки. Рекомендації.
 
Тенденції розвитку кібербезпеки в Україні: регуляторні ініціативи
Тенденції розвитку кібербезпеки в Україні: регуляторні ініціативиТенденції розвитку кібербезпеки в Україні: регуляторні ініціативи
Тенденції розвитку кібербезпеки в Україні: регуляторні ініціативи
 
Протокол засідання відкритої наради на тему Шляхи забезпечення кібер безпеки ...
Протокол засідання відкритої наради на тему Шляхи забезпечення кібер безпеки ...Протокол засідання відкритої наради на тему Шляхи забезпечення кібер безпеки ...
Протокол засідання відкритої наради на тему Шляхи забезпечення кібер безпеки ...
 
бікс
біксбікс
бікс
 
Aref
ArefAref
Aref
 
Aref melnyk_v_p_14.04.2017
Aref melnyk_v_p_14.04.2017Aref melnyk_v_p_14.04.2017
Aref melnyk_v_p_14.04.2017
 
ISACA Kyiv Chapter - government agencies responsible for cyber security in ot...
ISACA Kyiv Chapter - government agencies responsible for cyber security in ot...ISACA Kyiv Chapter - government agencies responsible for cyber security in ot...
ISACA Kyiv Chapter - government agencies responsible for cyber security in ot...
 
Mmi presentation long_ua new 2015
Mmi presentation long_ua new 2015Mmi presentation long_ua new 2015
Mmi presentation long_ua new 2015
 
Стратегія дерегуляції економіки України
Стратегія дерегуляції економіки УкраїниСтратегія дерегуляції економіки України
Стратегія дерегуляції економіки України
 
пригодська
пригодськапригодська
пригодська
 
Aref zazhoma vm
Aref zazhoma vmAref zazhoma vm
Aref zazhoma vm
 
The development of IT outsourcing in Ukraine in 2008-2011
The development of IT outsourcing in Ukraine in 2008-2011The development of IT outsourcing in Ukraine in 2008-2011
The development of IT outsourcing in Ukraine in 2008-2011
 
Thematic planning of class 10 (basic module)
Thematic planning of class 10 (basic module)Thematic planning of class 10 (basic module)
Thematic planning of class 10 (basic module)
 

Основні проблеми захисту від кібератак в українських державних установах

  • 1. Copyright © BMS consulting, 31.05.2013 Основні проблеми захисту від кібератак в українських державних установах Дмитро Петращук Директор департаменту консалтингу в галузі інформаційної безпеки
  • 2. 2Copyright © BMS consulting, 31.05.2013 Основні питання • Відомі інциденти в українських державних установах • Причини інцидентів • Супутні проблеми • Шляхи вирішення
  • 3. 3Copyright © BMS consulting, 31.05.2013 Информационные материалы
  • 4. 4Copyright © BMS consulting, 31.05.2013 Місце України в світі кіберзлочинності
  • 5. 5Copyright © BMS consulting, 31.05.2013 Місце України в світі кіберзлочинності 81% веб-ресурсів, що використовуються для поширення шкідливих об'єктів, розташовані в 10 країнах світу. Майже 60% з них припадає на три держави: США (25%), Росія (19%), Нідерланди (14%). Україна (3,3%) знаходиться на 5 місці серед країн на веб-ресурсах яких, розміщені шкідливі програми.
  • 6. 6Copyright © BMS consulting, 31.05.2013 Найгучніші інциденти • DDOS-атаки «Ex.ua» (2012) • DDOS-атаки під час виборів 2012 • DDOS-атаки на РБК-Україна (2012) • Сайт Партії регіонів в Івано-Франківській області (2013) • Сайт Державної пенітенціарної служби (2013) • Сайт МінОсвіти (2010) • Сайт Адміністрації Президента (2009) • Сайт проекту НАБУ «Антикібер» (2013) • Торгівля базами даних: Митниці, ДАЇ, ЄРДПУ, реєстр виборців
  • 7. 7Copyright © BMS consulting, 31.05.2013 Причини • КСЗІ • «Закостеніла» нормативна база • Захист інформації в теорії на фоні практичної бездіяльності • Відсутність єдиної координації на рівні держави • «Свій» підхід до стандартизації • Невизначеність сфер відповідальності різних контролерів • Слабка обізнаність користувачів • Корупція
  • 8. 8Copyright © BMS consulting, 31.05.2013 КСЗІ • Більшість установ знаходяться в стані «побудови КСЗІ» • Формальний підхід • Складність внесення змін до системи • Практична реалізація не завжди відповідає ТЗ • Концентрація на протидії в жертву спостережності (моніторинг та виявлення інцидентів)
  • 9. 9Copyright © BMS consulting, 31.05.2013 Нормативна база • На сайті Держспецзв’язку 43 НД ТЗІ • За 2012 год видано: – НД ТЗІ 1.5-002-2012 Класифікатор засобів технічного захисту інформації. – Зміни до Положення про державну експертизу в сфері технічного захисту інформації від 2007 року • Прийнято 4 державних стандарти: – ДСТУ 3396 0-96 Захист інформації. Технічний захист інформації. Основні положення. – ДСТУ 3396 1-96 Захист інформації. Технічний захист інформації. Порядок проведення робіт. – ДСТУ 3396.2-97 Захист інформації. Технічний захист інформації. Терміни та визначення.«Закостеніла» нормативна база – ДСТУ ISO/IEC 27001:2010 «Інформаційні технології. Методи та засоби досягнення інформаційної безпеки. Системи керування інформаційною безпекою. Вимоги (ISO/IEC 27001:2005, IDT)
  • 10. 10Copyright © BMS consulting, 31.05.2013 Варіанти вирішення • Обов’язкове тестування на проникнення та щорічний технічний аудит всіх Держустанов • Прийняття міжнародних стандартів • Розробка практичного стандарту з захисту державних інформаційних ресурсів • Державний центр реагування на інциденти (CSIRT) • Широке використання досвіду та можливостей експертів з різних організацій • Державні освітні програми з безпеки інформації для співробітників Держустанов (перш за все ІТ- персоналу)
  • 11. 11Copyright © BMS consulting, 31.05.2013 Приклад PCI DSS • Практичний стандарт, направлений на захист конфіденційних даних • 12 широких вимог, які включають більше 200 процедур перевірки • Впроваджений незалежною організацією PCI Security Standards Council • Акредитація аудиторів QSA(Qualified Security Assessor) та ASV (Authorized Scanning Vendor) • Додаткові вимоги: – Щорічний технічний аудит – Щорічний тест на проникнення – Щоквартальне сканування уразливостей (ззовні, зсередини, WiFi)
  • 12. 12Copyright © BMS consulting, 31.05.2013 Информационные материалы
  • 13. 13Copyright © BMS consulting, 31.05.2013 Питання Дякую за увагу! Дмитро Петращук Директор департаменту консалтингу в галузі інформаційної безпеки Dmitriy_Petrashchuk@bms-consulting.com +380 (44) 499-6969