Альтернативный курс по информационной безопасности

Альтернативный курс ИБ для

современного безопасника

Лукацкий Алексей, консультант по безопасности

ПОЧЕМУ У НАС ТАКОЕ

ОБРАЗОВАНИЕ ПО ИБ?

Виды образования в РФ

• Общее образование

– Дошкольное

– Начальное

– Среднее

• Профессиональное образование

– Начальное

– Среднее

– Высшее

• Бакалавриат

• Магистратура

• Послевузовское профессиональная образование

– Аспирантура, докторантура

– Повышение квалификации

– Переподготовка

Кто и что готовит специалистов по ИБ?

• В учебно-методическое объединение ВУЗов России по

образованию в области информационной безопасности входит

свыше 70 учебных заведений со всех регионов России

• Обучение проводится по федеральным государственным

образовательным стандартам (ФГОСам), являющихся основой

для основных образовательных программ

• Выделяется 3 степени обучения в ВПО

Аспирант (3 года)

Аспирант (3 года)

Магистр (2 года)

Магистр (2 года)

Бакалавр (4 года)

Бакалавр (4 года)

Специалист (5.5 лет)

Специалист (5.5 лет)

Кого готовят ВУЗы?

Бакалавриат

• 090900 Информационная безопасность

Магистратура

• 090900 Информационная безопасность

Специалитет

• 030901 Правовое обеспечение национальной безопасности

• 090301 Компьютерная безопасность

• 090302 Информационная безопасность телекоммуникационных систем

• 090303 Информационная безопасность автоматизированных систем

• 090305 Информационно-аналитические системы безопасности

• 090915 Безопасность информационных технологий в правоохранительной сфере

• Специалитет подразумевает специализации

Специализации по специальности «Компьютерная

безопасность»

• Анализ безопасности компьютерных систем

• Математические методы защиты информации

• Безопасность распределенных компьютерных систем

• Разработка защищенного программного обеспечения

• Безопасность высокопроизводительных вычислительных систем

• Безопасность программного обеспечения мобильных систем

• Информационно-аналитическая и техническая экспертиза

компьютерных систем

• Информационная безопасность объектов информатизации на

базе компьютерных систем

Специализации по специальности «Информационная

безопасность автоматизированных систем»

• Автоматизированные информационные системы специального

назначения

• Высокопроизводительные вычислительные системы

специального назначения

• Информационная безопасность автоматизированных систем

критически важных объектов

• Безопасность открытых информационных систем

• Информационная безопасность автоматизированных банковских

систем

• Защищенные автоматизированные системы управления

• Обеспечение информационной безопасности распределенных

информационных систем

• Создание автоматизированных систем в защищенном

исполнении

Специализации по специальности «Информационная

безопасность телекоммуникационных систем»

• Мониторинг в телекоммуникационных системах

• Системы представительской связи

• Сети специальной связи

• Инструментальный контроль информационной безопасности

телекоммуникационных систем

• Системы специальной связи и информации для органов государственной

власти

• Информационная безопасность космических телекоммуникационных систем

• Разработка защищенных телекоммуникационных систем

• Системы подвижной цифровой защищенной связи

• Защита информации в радиосвязи и телерадиовещании

• Защита информации в системах связи и управления

• Информационная безопасность мультисервисных телекоммуникационных

сетей и систем на транспорте

• Безопасность телекоммуникационных систем информационного

взаимодействия

ФГОСы меняются каждые 4 года!

• Стандарты высшего профессионального образования:

– первого поколения (утверждались с 2000 года)

– второго поколения (утверждались с 2005 года), ориентированные

на получение студентами знаний, умений и навыков;

– третьего поколения (утверждаются с 2009 года), согласно

которым высшее образование должно вырабатывать у студентов

общекультурные и профессиональные компетенции

• С 1 сентября 2013 года согласно закону «Об образовании в

Российской Федерации» должны утверждаться стандарты нового

поколения

Виды деятельности для выпускников по ИБ

• Магистр

– проектная

– научно-исследовательская

– научно-педагогическая

– организационно-управленческая

• Бакалавр

– эксплуатационная

– проектно-технологическая

– экспериментально-исследовательская

– организационно-управленческая

• Специалист

– научно-исследовательская

– проектная

– контрольно-аналитическая

– организационно-управленческая

– эксплуатационная

Что должен уметь бакалавр по ИБ после 4-х лет обучения?

• Эксплуатационная деятельность – Установка, настройка, эксплуатация и поддержание в

работоспособном состоянии компонентов системы обеспечения информационной безопасности с учетом установленных требований

– Участие в проведении аттестации объектов, помещений, технических средств, систем, программ и алгоритмов на предмет соответствия требованиям защиты информации

– Администрирование подсистем информационной безопасности объекта

• Проектно-технологическая деятельность – Сбор и анализ исходных данных для проектирования систем защиты

информации, определение требований, сравнительный анализ подсистем по показателям информационной безопасности

– Проведение проектных расчетов элементов систем обеспечения информационной безопасности

– Участие в разработке технологической и эксплуатационной документации

– Проведение предварительного технико-экономического обоснования проектных расчетов

Что должен уметь бакалавр по ИБ после 4-х лет обучения?

• Экспериментально-исследовательская деятельность

– Сбор, изучение научно-технической информации, отечественного и зарубежного опыта по тематике исследования;

– Проведение экспериментов по заданной методике, обработка и анализ результатов;

– Проведение вычислительных экспериментов с использованием стандартных программных средств

• Организационно-управленческая деятельность:

– Осуществление организационно-правового обеспечения информационной безопасности объекта защиты

– Организация работы малых коллективов исполнителей с учетом требований защиты информации;

– Совершенствование системы управления информационной безопасностью;

– Изучение и обобщение опыта работы других учреждений, организаций и предприятий в

– Области повышения эффективности защиты информации и сохранения государственной и других видов тайны

– Контроль эффективности реализации политики информационной безопасности объекта

Что должен уметь специалист по ИБ после 5.5 лет

обучения?

• Научно-исследовательская деятельность: – сбор, обработка, анализ и систематизация научно-технической

информации, отечественного и зарубежного опыта по проблемам компьютерной безопасности;

– проведение измерений и наблюдений, составление описания проводимых исследований, подготовка данных для составления обзоров, отчетов и научных публикаций;

– изучение и обобщение опыта работы других учреждений, организаций и предприятий по способам использования методов и средств обеспечения информационной безопасности с целью повышения эффективности и совершенствования работ по защите информации на конкретном объекте;

– разработка математических моделей защищаемых процессов и средств защиты информации и систем, обеспечивающих информационную безопасность объектов;

– обоснование и выбор рационального решения по уровню обеспечения защищенности компьютерной системы с учетом заданных требований;

– подготовка научно-технических отчетов, обзоров, публикаций по результатам выполненных исследований;

Что должен уметь специалист по ИБ после 5.5 лет

обучения?

• Проектная деятельность:

– сбор и анализ исходных данных для проектирования систем

защиты информации;

– разработка технических заданий на проектирование, эскизных,

технических и рабочих проектов систем и подсистем защиты

информации с учетом действующих нормативных и методических

документов;

– разработка проектов систем и подсистем управления

информационной безопасностью объекта в соответствии с

техническим заданием;

– проектирование программных и аппаратных средств защиты

информации в соответствии с техническим заданием с

использованием средств автоматизации проектирования;

– сопровождение разработки технического и программного

обеспечения системы информационной безопасности;

Что должен уметь специалист по ИБ после 5.5 лет

обучения?

• Контрольно-аналитическая деятельность:

– проведение контрольных проверок работоспособности и эффективности применяемых программно-аппаратных средствах защиты информации;

– предварительная оценка, выбор и разработка необходимых методик поиска уязвимостей;

– применение методов и методик оценивания безопасности компьютерных систем при проведении контрольного анализа системы защиты;

– выполнение экспериментально-исследовательских работ при проведении сертификации программно-аппаратных средств защиты и анализ результатов;

– проведение экспериментально-исследовательских работ при аттестации объектов с учетом требований к обеспечению защищенности компьютерной системы;

– проведение инструментального мониторинга защищенности компьютерных систем;

– подготовка аналитического отчета по результатам проведенного анализа и выработка предложений по устранению выявленных уязвимостей

Что должен уметь специалист по ИБ после 5.5 лет

обучения?

• Организационно-управленческая деятельность:

– организация работы коллектива исполнителей, принятие

управленческих решений в условиях спектра мнений,

определение порядка выполнения работ;

– поиск рациональных решений при разработке средств защиты

информации с учетом требований качества, надежности и

стоимости, а также сроков исполнения;

– осуществление правового, организационного и технического

обеспечения защиты информации;

– организация работ по выполнению требований режима защиты

информации, в том числе информации ограниченного доступа

(сведений, составляющих государственную тайну и

конфиденциальной информации)

Что должен уметь специалист по ИБ после 5.5 лет

обучения?

• Эксплуатационная деятельность:

– установка, настройка, эксплуатация и обслуживание аппаратно-программных средств защиты информации;

– проверка технического состояния и остаточного ресурса оборудования защиты информации, организация профилактических проверок и текущего ремонта;

– приемка и освоение программно-аппаратных средств защиты информации;

– составление инструкций по эксплуатации аппаратно-программных средств защиты информации;

– обеспечение эффективного функционирования средств защиты информации с учетом требований по обеспечению защищенности компьютерной системы;

– администрирование подсистем информационной безопасности компьютерных систем;

– обеспечение восстановления работоспособности систем защиты информации при возникновении нештатных ситуаций;

– проведение аттестации технических средств, программ, алгоритмов на предмет соответствия требованиям защиты информации по соответствующим классам безопасности или профилям защиты

Что должен уметь магистр по ИБ после 6-ти лет

обучения?

• Проектная деятельность – системный анализ прикладной области, выявление угроз и оценка уязвимости

информационных систем, разработка требований и критериев информационной безопасности, согласованных со стратегией развития информационных систем;

– концептуальное проектирование сложных систем, комплексов средств и технологий обеспечения информационной безопасности;

– обоснование выбора функциональной структуры, принципов организации технического, программного и информационного обеспечения систем, средств и технологий обеспечения информационной безопасности объектов защиты;

– разработка систем и технологий обеспечения информационной безопасности;

– адаптация к защищаемым объектам современных методов обеспечения информационной безопасности на основе отечественных и международных стандартов

• Научно-исследовательская деятельность – анализ фундаментальных и прикладных проблем информационной безопасности в

условиях становления современного информационного общества;

– разработка планов и программ проведения научных исследований и технических разработок, подготовка отдельных заданий для исполнителей;

– выполнение научных исследований по выбранной теме;

– подготовка по результатам научных исследований отчетов, статей, докладов на научных конференциях

Что должен уметь магистр по ИБ после 6-ти лет

обучения?

• Научно-педагогическая деятельность

– выполнение педагогической работы в средних специальных и высших учебных заведениях в должностях преподавателя и ассистента под руководством ведущего преподавателя и профессора (доцента) по дисциплинам направления;

– разработка методических материалов, используемых студентами в учебном процессе

• Научно-исследовательская деятельность

– анализ фундаментальных и прикладных проблем информационной безопасности в условиях становления современного информационного общества;

– разработка планов и программ проведения научных исследований и технических разработок, подготовка отдельных заданий для исполнителей;

– выполнение научных исследований по выбранной теме;

– подготовка по результатам научных исследований отчетов, статей, докладов на научных конференциях

О преподавательском составе

• Преподаватели профессионального цикла должны иметь базовое

образование и (или) ученую степень, соответствующие профилю

преподаваемой дисциплины, или опыт деятельности в сфере

обеспечения информационной безопасности

– Не менее 70 процентов преподавателей, обеспечивающих

учебный процесс по профессиональному циклу, должны иметь

ученые степени или ученые звания

• К образовательному процессу должно быть привлечено не менее

5% преподавателей из числа действующих руководителей и

работников профильных организаций, предприятий и учреждений

• До 10% от общего числа преподавателей, имеющих ученую

степень и (или) ученое звание может быть заменено

преподавателями, имеющими стаж практической работы по

данному направлению на должностях руководителей или

ведущих специалистов не менее 5 последних лет

Основные образовательные программы

• 3 цикла

– гуманитарный, социальный и экономический цикл;

– математический и естественнонаучный цикл;

– профессиональный цикл

• Каждый учебный цикл имеет базовую (обязательную) часть и

вариативную, устанавливаемую ВУЗом

Трудоемкость блоков дисциплин

11%

27%

43%

5%

1% 6%

7%

Трудоемкость

Гуманитарный, социальный и экономический цикл

Математический и естественно-научный цикл

Профессиональный цикл

Специализация

Физкультура

Учебная и производственная практика

Итоговая аттестация

ПРЕПОДАВАЕМЫЕ

ДИСЦИПЛИНЫ

Основные дисциплины

• Основы ИБ

• Аппаратные средства вычислительной техники

• Программно-аппаратные средства защиты информации

• Криптографические методы защиты информации

• Организационное и правовое обеспечение информационной

безопасности

• Документоведение

• Управление информационной безопасностью

• Техническая защита информации

• Сети и системы передачи информации

• Безопасность жизнедеятельности

• Языки программирования

• Технологии и методы программирования

Основные дисциплины

• Электротехника

• Электроника и схемотехника

• Информационные технологии

Рекомендованные УМО дисциплины

• Гуманитарные аспекты информационной безопасности

• Экономика защиты информации (отрасли)

• Профессиональная этика

• Психология и педагогика

• Психология общения

• Социальная психология

• Язык делового общения

• Деловой язык

• Русский язык и культура речи

• Основы социологии

• История религий

• Документационное обеспечение управления

• Организационные основы деятельности предприятий

Рекомендованные УМО дисциплины

• Математическая логика и теория алгоритмов

• Языки ассемблера

• Операционные системы

• Вычислительные сети

• Системы управления базами данных

• Теоретические основы компьютерной безопасности

• Методы оценки безопасности компьютерных систем

• Основы теории кодирования

• Математическое моделирование систем и сетей

телекоммуникаций

• Математические основы цифровой обработки сигналов

• Физические основы ВОЛС

• Теория информации

Рекомендованные УМО дисциплины

• Функциональный процесс и организация предприятия

• Социально-психологические основы управленческой

деятельности

• Управление рисками

• Физические основы защиты информации

• Международные и российские нормативные акты и стандарты по

информационной безопасности

• Технические средства охраны

• Электронный документооборот

• Защита и обработка конфиденциальных документов

• Перевод специальных текстов

• Проверка информационной защищенности на соответствие

нормативным документам

Особенности образования

• Для специалитета (специальности

0903хх) ВУЗу нужна лицензия на

гостайну

• Наличие вариативности в

профессиональном цикле,

допускающая изучение предметов по

выбору студента

• Ориентация на преподавателей-

теоретиков, не имеющих

практического опыта работы

• Технологичность изучаемых

дисциплин

• Отсутствие ориентации на бизнес-

потребности

Система управления

(Security Governance)

Система управления

(Security Management)

Технические средства (Security System)

ЧЕГО НЕ ХВАТАЕТ?

Альтернативные (дополнительные) дисциплины

• Оценка соответствия

• Психология восприятия рисков

• Оценка эффективности ИБ

• Теория организации

• Теория систем

• Обеспечение непрерывности

бизнеса

• Отраслевая специфика

• Security Governance

• Повышение осведомленности

• Управление инцидентами

• Маркетинг безопасности

• Архитектура безопасности

• Киберпреступность

• Аудит

• Аутсорсинг и безопасность

• Экспорт и импорт средств

защиты информации

• Международное

взаимодействие

ЧТО ТАКОЕ ИБ?

Как я понимаю ИБ?!

• Информационная безопасность - состояние защищенности

интересов стейкхолдеров предприятия в информационной

сфере, определяющихся совокупностью сбалансированных

интересов личности, общества, государства и бизнеса

• Очень емкое и многоуровневое определение

• Может без изменения применяться в ЛЮБОЙ организации

– Меняться будет только наполнение ее ключевых элементов –

стейкхолдеры, информационная сфера, интересы

Стейкхолдеры ИБ

• ИТ

• ИБ

• Юристы

• Служба внутреннего контроля

• HR

• Бизнес-подразделения

• Руководство

• Пользователи

Внутри предприятия

Внутри предприятия

• Акционеры

• Клиенты

• Партнеры

• Аудиторы

Снаружи предприятия

Снаружи предприятия

• ФСТЭК

• ФСБ

• Роскомнадзор

• СВР

• МО

• Банк России

Регуляторы Регуляторы

Информационная сфера

• Информационная сфера - это

совокупность информации,

информационной

инфраструктуры, субъектов,

осуществляющих сбор,

формирование,

распространение и

использование информации,

а также системы регулирования

возникающих при этом

отношений

• Обычно мы защищаем только

информацию и информационную

инфраструктуру

Почему мы защищаем информационные активы и

ресурсы?

Она имеет ценность Она имеет ценность

Имеет ценность для вас Имеет ценность для вас

Снижает неопределенность при принятии решений

Снижает неопределенность при принятии решений

Влияет на поведение людей, приводящее к экономическим

последствиям

Влияет на поведение людей, приводящее к экономическим

последствиям

Нематериальный актив (собственная стоимость) Нематериальный актив

(собственная стоимость)

Не имеет ценности для вас, но имеет для кого-то еще

Не имеет ценности для вас, но имеет для кого-то еще

Если ей воспользуются другие, то вы понесете

убытки или проиграете в конкурентной борьбе

Если ей воспользуются другие, то вы понесете

убытки или проиграете в конкурентной борьбе

Ее защита требуется государством / регулятором

Ее защита требуется государством / регулятором

Она не имеет ценности, но ее принято защищать

Она не имеет ценности, но ее принято защищать

Интересы стейкхолдеров

• Универсального списка интересов не существует – у каждого

предприятия на каждом этапе его развития в различном

окружении при различных руководителях интересы различны

ИБ

• Конфиденциальность

• Целостность

• Доступность

Юристы

• Соответствие

• Защита от преследования

• Новые законы

Регуляторы

• Соответствие

Пользователи

• Тайна переписки

• Бесперебойный Интернет

• Комфорт работы

Акционеры

• Рост стоимости акций

• Контроль топ-менеджмента

• Прозрачность

ИТ

• Доступность сервисов

• Интеграция

• Снижение CapEx

У разной ИБ и угрозы разные!

Традиционные

• Вредоносное ПО

• DDoS

• Утечки

• НСД

• Превышение привилегий

• Нарушение работоспособности приложения

• Кража ключей ЭП

Нетрадиционные

• Приход регулятора с проверкой

• Отсутствие лицензии ФСБ у предприятия

• Отсутствие сертификата ФСТЭК на систему защиты

• Внесение изменения в аттестованный объект информатизации

SECURITY GOVERNANCE

Опрос ISACA

• Опрос «Critical Elements of Information Security Program Success»,

ISACA

• Опрос 157 руководителей в 8 странах

– Канада, Франция, Германия, Израиль, Италия, Япония, США,

Венесуэла

• Отрасли

– Финансы, транспорт, ритейл, государство, промышленность,

здравоохранение, консалтинг, коммунальные услуги

• 35 критических факторов успеха

– Культура, люди, бюджет и финансы, организация, технологии,

законы и стандарты, метрики, повышение осведомленности и

обучение

Метрики Что и как

измерять 5 5

Процесс

взаимодействия Двусторонняя связь

2 2

Общий язык Бизнес первичен

1 1

Выход на

руководство Сила и влияние

4 4 3 3 Система

убеждения Маркетинг и PR

5 критериев успеха

Governance (в бизнесе) – действие по разработке и последовательному управлению связанных в единое целое политиками, процессами и правильными решениями в данной области ответственности

. . . связь между бизнесом и управлением ИТ

. . . стратегические ИТ-решения, за которые отвечает корпоративный менеджмент, а не CIO или другие ИТ-менеджеры

. . . ИТ Governance – это подмножество Corporate Governance, фокусирующееся на информационных системах

…подтверждение того, что ИТ-проекты легко управляются и глубоко влияют на достижение бизнес-целей организации

ИТ Governance подразумевает систему, в которой все ключевые роли, включая совет директоров и внутренних клиентов, а также связанные области, такие как, например, финансы, делают необходимый вклад в процесс принятия ИТ-решений

…взаимосвязь между ИТ, инициативами соответствия (compliance), управлением рисками и корпоративной бизнес-стратегией

Определения Governance

Связь с другими ИТ-дисциплинами

• IT governance поддерживает следующие дисциплины:

– Управление ИТ-активами

– Управление ИТ-портфолио

– Архитектура предприятия

– Управление проектами

– Управление программами

– Управление ИТ-сервисами

– Оптимизация бизнес-технологий

Are we

doing

the right things?

Are we

doing

the right things?

Are we

doing them

the right

way?

Are we

doing them

the right

way?

Are we

getting

them done

well?

Are we

getting

them done

well?

Are we

getting

the benefits?

Are we

getting

the benefits?

Are we

getting

the benefits?

Are we

doing

the right things?

Are we

doing

the right things?

Are we

doing

the right things?

Мы делаем

правильные

вещи?

Are we

doing them

the right

way?

Are we

doing them

the right

way?

Are we

doing them

the right

way?

Мы делаем

это

правильно?

Are we

getting

them done

well?

Are we

getting

them done

well?

Are we

getting

them done

well?

Мы

преуспели

в

достижении?

Are we

getting

the benefits?

Are we

getting

the benefits?

Are we

getting

the benefits?

Are we

getting

the benefits?

Are we

getting

the benefits?

Мы

получаем

преиму-

щества?

Стратегический вопрос. Инвестиции:

В соответствие с нашим видением?

Соответствуют нашим бизнес-принципам?

Содействуют нашим стратегическим целям?

Обеспечивают оптимальное значение, затраты

и уровень рисков?

Вопрос ценности. Мы имеем:

• Очевидное понимание ожидаемых

преимуществ?

• Релевантные метрики?

• Эффективные преимущества реализации

процесса?

Архитектурный вопрос. Инвестиции:

В соответствие с нашей архитектурой?

Соответствуют нашим архитектурным

принципам?

Содействуют созданию архитектуры?

В соответствие с другими инциативами?

Вопрос реализации. Мы имеем:

Эффективный процесс управления

изменениями и реализации?

Компетентные и доступные технические и

бизнес-ресурсы для реализации: Требуемых возможностей; и

Организационных изменений, требуемых для

достижения возможностей.

Источник: Fujitsu Consulting

На какие вопросы отвечает Governance?

ИБ Governance

• Способность показать, как ИБ

связана с бизнес-стратегией

• Способность показать, как ИБ несет

ценность бизнесу

• Способность показать, как ИБ

управляет рисками

• Способность показать, как ИБ

управляет ресурсами

• Способность показать, как ИБ

управляет достижением целей

Структура ИБ Governance

ОЦЕНКА ЭФФЕКТИВНОСТИ

ИБ

Почему мы отказываемся измерять?

• Это нематериально, а значит неизмеримо

• Отсутствуют методы измерения

• «Проценты, статистика… С помощью них можно доказать все, что

угодно»

• «Чтобы оценить этот показатель, нужно потратить миллионы

рублей. А менее масштабный проект дает большую

погрешность»

• Важные для предприятия проекты пропускаются в пользу слабых

только потому, что во втором случае методы оценки ожидаемого

эффекта всем известны, а в первом нет

Проблемы измерений

• Принятие решений часто требует количественной оценки

предполагаемых нематериальных активов или вопросов

• Многие считают такую оценку невозможной, а нематериальное

неподдающимся измерению

– Именно это часто является причиной отказа от многих проектов

(предубеждение пессимизма)

• Раз это невозможно, то мало кто пытается это сделать

• Но

– Если какой-либо объект/явление можно наблюдать тем или иным

образом существует метод его измерения

Что мы хотим измерять в ИБ?

• Какой уровень опасности нам грозит?

– Что мы потеряем?

• Оценка нематериальных активов

• Оценка информации

• Оценка материальных активов

• ALE

– Какова вероятность ущерба?

– Что нам грозит?

– Насколько мы уязвимы?

• Какая СЗИ лучше?

– Лучше = дешевле, функциональнее, быстрее окупается, быстрее

работает…

• Как мы соотносимся с другими?

Что мы хотим измерять в ИБ? (продолжение)

• Сколько денег на безопасность надо?

– Сколько мы потратим? Почему столько?

– Какова отдача? И есть ли она?

– Выгоден ли этот проект по ИБ?

– Рискованны ли инвестиции в ИБ?

• Мы соответствуем требованиям?

– Стандартов

– SLA

– Регуляторов

Что мы хотим измерять в ИБ? (окончание)

• Насколько мы защищены?

– На каком уровне находимся?

– Стало ли лучше по сравнению с прошлым?

• Сколько времени потребуется?

– На проникновение / распространение вредоносного ПО?

– На внедрение СЗИ?

– На возврат в исходное состояние после атаки?

• Оптимально ли

– Мы движемся к цели?

– Тратим деньги?

– Настроена система защиты?

Финансовые методы оценки ИБ

• «Инвестиционные»

– Total Value of Opportunity (TVO)

– Total Economic Impact (TEI)

– Rapid Economic Justification (REJ)

• «Затратные»

– Economic Value Added (EVA)

– Economic Value Sourced (EVS)

– Total Cost of Ownership (TCO)

– Annual Lost Expectancy (ALE)

• «Контекстуальные»

– Balanced Scorecard

– Customer Index

– Information Economics (IE)

– IT Scorecard

• «Количественные вероятностные»

– Real Options Valuation

– iValue

– Applied Information Economics (AIE)

– COCOMO II and Security Extensions

МЕСТО НПА ПО ИБ В

ЗАКОНОДАТЕЛЬСТВЕ

Иерархия нормативно-правовых актов

Международный договор

Международный договор

Конституция Конституция Федеральные

конституционные законы

Федеральные конституционные

законы

Основы законодательства

Основы законодательства

Кодексы Кодексы Федеральные

законы Федеральные

законы

Указы и Распоряжения Президента РФ

Указы и Распоряжения Президента РФ

Постановления и Распоряжения

Правительства РФ

Постановления и Распоряжения

Правительства РФ

Акты министерств и ведомств

Акты министерств и ведомств

Конституции и Уставы субъектов

РФ

Конституции и Уставы субъектов

РФ

Законы субъектов РФ

Законы субъектов РФ

Акты органов местного

самоуправления

Акты органов местного

самоуправления

Каких знаний не хватает?

• Юридическая сила нормативных актов

• Процедура принятия нормативных актов

• Вступление в силу нормативного акта

• Прекращение действия нормативного акта

• Доктринальные принципы

– «Все, что не запрещено, разрешено» и наоборот

– Каждое правонарушение подразумевает ответственность

– Последующее отменяет предыдущее

– Приоритет специального закона по отношению к общему закону

– Незнание закона не освобождает от ответственности

– Неопубликованные законы не применяются

– Отягчающий закон обратной силы не имеет

– «Презумпция невиновности»

Оценка соответствия ≠ сертификация

Оценка соответствия

Оценка соответствия

Госконтроль и надзор

Госконтроль и надзор

Аккредитация Аккредитация

Испытания Испытания

Регистрация Регистрация

Подтверждение соответствия

Подтверждение соответствия

Добровольная сертификация Добровольная сертификация

Обязательная сертификация Обязательная сертификация

Декларирование соответствия

Декларирование соответствия

Приемка и ввод в эксплуатацию Приемка и ввод в эксплуатацию

В иной форме В иной форме

ПСИХОЛОГИЯ

Психология

• Психология – наука о поведении и психических процессах или

• Психология – это область научного знания, исследующая

особенности и закономерности возникновения, формирования и

развития (изменения) психических процессов (ощущение,

восприятие, память, мышление, воображение), психических

состояний (напряжённость, мотивация, фрустрация, эмоции,

чувства) и психических свойств (направленность, способности,

задатки, характер, темперамент) человека

• Психология должна отвечать на вопрос о том, почему человек

ведет себя так или иначе

Что может подсказать психология?

• Общая психология

– Какие мотивы определяют поведение людей?

– Почему мы замечаем одни вещи и не видим другие?

• Психология развития (возрастная психология)

– Как меняется поведение человека в зависимости от возраста?

– Чего ожидать от молодежи, а чего от «стариков»?

• Дифференциальная психология

– Чем отличается поведение различных социальных, классовых,

этнических, возрастных и иных групп?

• Клиническая психология

– Как ведет себя человек во время острого психического

расстройства, дискомфорта или тяжелого известия?

Что может подсказать психология?

• Педагогическая психология

– Как донести до пользователей нужную мысль?

– Как повысить эффективность обучения и повышения

осведомленности пользователей?

• Психология труда

– Как повысить производительность сотрудников службы ИБ?

– Как мотивировать сотрудников?

– Как преодолеть кризис профессионального развития?

– Стресс- и конфликт-менеджмент

• Социальная психология

– Как человек ведет себя обществе или социальной группе?

• Юридическая психология

– Формирование модели нарушителя

Что может подсказать психология?

• Когнитивная психология

– Как принимаются решения?

– Как работает память?

Как аутентифицировать сотрудников азиатского офиса?

Куда девать токен или смарткарту?

ТЕОРИЯ ОРГАНИЗАЦИИ

Почему так сложно идут изменения в области ИБ?

• Все жаждут прогресса, но никто не хочет изменений

• Люди инертны

– Склонны верить тому, что узнали в самом начале (ВУЗе, первой

работе и т.д.)

– Ленивы и не будут упорно трудиться ради изменений

– Людей устраивает средний результат. Это зона комфорта. Best

Practices никому не нужны (как и мировые рекорды)

– Люди считают свои решения лучшими

• Чтобы пересмотреть точку зрения, человека надо долго

переубеждать или показать воочию

• Изменения происходят не вдруг – имейте терпение

А вы учитываете «центры Силы» в компании?

• Центр восприятия информация

– Те, кто воспринимают информацию благосклонно

• Центр неудовлетворенности

– Те, кто недовольны текущим положением дел

• Центр власти

– Те, кто принимают решения

• Центр противодействия

– Те, кто не хотят изменений

А свойства иерархий учитываете?

• Дуализм

– Элемент системы обладает как индивидуальными, так и

системными свойствами

• Они могут противоречить друг другу и тогда возникает конфликт

– Чем сложнее иерархия, тем меньше индивидуальных качеств

остается на нижних уровнях – остаются «винтики»,

легкозаменяемые элементы четко прописанного процесса

• Именно поэтому крупные организации так привержены

процессному подходу

• Именно поэтому ISO 27001 – это стандарт, ориентированный, в

первую очередь, на крупные предприятия

О свойствах иерархий

• Диктатура верхних уровней над нижними

• Нечувствительность верхних уровней к изменениям на нижних

– Главное для верхнего уровня, чтобы нижний уровень выполнял

свои функции

– Именно поэтому важно попасть CISO на верхний уровень

иерархии

• Высокая чувствительность нижних уровней к изменениям на

верхних

– «Верхи не могут, а низы не хотят…»

• Чем выше уровень, тем гибче структура

– Нижние уровни – жесткая иерархия и связи (субординация)

Типы руководителей

• Существуют различные типы руководителей

– Каждый имеет свои сильные и слабые стороны

• Идеальных руководителей не существует

– Только в учебниках

• Учебники и школы менеджмента говорят «должен»

– На практике идеального руководителя не бывает

• Необходимо учитывать «психологический портрет» руководителя

Как понять мотивацию пользователя и руководителя?!

Что он видит?

• На что похожа его среда?

• Кто его окружает?

• С кем он дружит?

• С чем он сталкивается ежедневно?

• С какими проблемами встречается?

• На что похожа его среда?

• Кто его окружает?

• С кем он дружит?

• С чем он сталкивается ежедневно?

• С какими проблемами встречается?

Что он слышит?

• Что говорят его друзья?

• Кто и как реально воздействует на него?

• Какие медиаканалы на него влияют?

• Что говорят его друзья?

• Кто и как реально воздействует на него?

• Какие медиаканалы на него влияют?

Что он чувствует/думает?

• Что для него реально важно?

• Что его трогает?

• Его мечты и стремления?

• Что для него реально важно?

• Что его трогает?

• Его мечты и стремления?

Что он говорит/делает? • Как он себя держит?

• О чем он может рассказать окружающим?

• Как он себя держит?

• О чем он может рассказать окружающим?

Что его тревожит

• Каковы его разочарования?

• Какие препятствия между ним и его мечтами?

• Чего он боится?

• Каковы его разочарования?

• Какие препятствия между ним и его мечтами?

• Чего он боится?

К чему он стремится

• Чего он действительно хочет достичь?

• Что для него мерило успеха?

• Какие стратегии он мог бы использовать для достижения успеха?

• Чего он действительно хочет достичь?

• Что для него мерило успеха?

• Какие стратегии он мог бы использовать для достижения успеха?

ПСИХОЛОГИЯ ВОСПРИЯТИЯ

РИСКОВ

Психология восприятия риска

• Даже при наличии фактов и достаточного объема информации об

анализируемой системе у экспертов существует сложность с

восприятием риска

• Безопасность основана не только на вероятности различных

рисков и эффективности различных контрмер (реальность), но и

на ощущениях

• Ощущения зависят от психологических реакций на риски и

контрмеры

– Чего вы больше опасаетесь – попасть в авиакатастрофу или

автоаварию?

– Что вероятнее – пасть жертвой террористов или погибнуть на

дороге?

Реальность и ощущения

• Реальность безопасности ≠ ощущения безопасности

• Система может быть безопасной, даже если мы не чувствуем и

не понимаем этого

– Мы можем думать, что система в безопасности, когда это не так

• Психология восприятия риска безопасности

– Поведенческая экономика

– Психология принятия решений

– Психология риска

– Неврология

ОТРАСЛЕВАЯ СПЕЦИФИКА

Мы знаем как защищать банк?

• Требования

законодательства (ФЗ-161

и нормативы Банк России)

• Требования PCI DSS

• Требования к защите

информации при работе

на фондовых площадках

• Требования к защите

банкоматов

• Требования к защите

мобильного банкинга

• …

Защита индустриальных сетей ≠ защита банка

Site Business Planning and Logistics Network

Batch

Control

Discrete

Control

Supervisory

Control

Hybrid

Control

Supervisory

Control

Enterprise Network

Patch

Mgmt

Web Services

Operations

AV

Server

Application

Server

Email, Intranet, etc.

Production

Control Historian

Optimizing

Control

Engineering

Station

Continuous

Control

Terminal

Services

Historian

(Mirror)

Site Operations

and Control

Area

Supervisory

Control

Basic

Control

Process

ЛВС

АСУТП

Зона

корпора-

тивной ЛВС

DMZ

Уровень 5

Уровень 3

Уровень 1

Уровень 0

Уровень 2

Уровень 4

HMI HMI

МСЭ и

IPS

МСЭ и IDS

Пример: ИБ для нефтегазовой отрасли

IT

PCN

Utility

Поддерживающие

взаимодействия

B2B

Надежное сегментирование сети с

помощью VRF через MPLS VPN и

оптику

--------------------------------------------

Обеспечение бесперебойности

Снижение OPEX

Защита инвестиций Сегментация и разграничение

доступа к активам при доступе к ним

с рабочего ПК/планшетника

------------------------------------

Эффективное взаимодействие с

третьими лицами

Обеспечение бесперебойности

Подводная

оптика

Наземная

оптика

Буровое судно

Судно

снабжения

Смена парадигмы = смена в образовании

• Многие отрасли переходят на мобильные и облачные технологии

• Требуется совершенно иной подход к безопасности

ИБ И КОНТРАГЕНТЫ

Приоритеты ИБ на 12 месяцев

0 20 40 60 80 100

Защита данных

Threat management

Соответствие

Непрерывность бизнеса

Управление рисками

Безопасность приложений

Снижение затрат и рост …

Связь с целями бизнеса

Управление доступом (IAM)

Повышение осведомленности и …

ИБ контрагентов

Аутсорсинг ИБ

Источник: Forrester. Аудитория – компании Европы и США с численностью свыше 1000 человек

При аутсорсинге меньше защиты и больше контроля!

Своя ИТ-

служба

Хостинг-

провайдер IaaS PaaS SaaS

Данные Данные Данные Данные Данные

Приложения Приложения Приложения Приложения Приложения

VM VM VM VM VM

Сервер Сервер Сервер Сервер Сервер

Хранение Хранение Хранение Хранение Хранение

Сеть Сеть Сеть Сеть Сеть

- Контроль у заказчика

- Контроль распределяется между заказчиком и аутсорсером

- Контроль у аутсорсера

А МЫ ЗНАЕМ СВОИХ

ПРОТИВНИКОВ?

Шаблон бизнес-модели

Ключевые

партнеры

Ключевые

виды деятельности

Ценностные

предложения

Взаимоотношения

с клиентами

Потребительские

сегменты

Ключевые

ресурсы Каналы сбыта

Структура издержек Потоки поступления доходов

Разные доходы от одного продукта – ботнета

Создание ботнета

Создание ботнета

Ботнет Ботнет

Сдать в аренду Сдать в аренду

Использовать Использовать

Продать Продать

DDoS DDoS

Рассылка спама

Рассылка спама

Установка scareware Установка scareware

Кража данных Кража данных

Фишинг Фишинг

Поисковый спам

Поисковый спам

Продажа PAN

Продажа PAN

Продажа account

Продажа account

Продажа ПДн

Продажа ПДн Стоимость

$0.5 за бот для небольших ботнетов

$0.1-0.3 за бот для крупных ботнетов

Аренда

$2000 в месяц за 1000 писем в минуту

В киберпреступности у каждого своя роль

• Менеджер по продажам

• Кассир

• Маркетолог

• Логист

• Водитель

• HR

• Генеральный директор

• Айтишник

• Охранник

• Инженер

• Разработчик

• Дроп (разводной / неразводной)

• Дроповод

• Обнальщик

• Заливщик / Даунлоадер

• Селлер

• Abuse-хостер

• Гарант

• Кодер

Гарант = криминальный арбитраж

• Задача гаранта — быть независимым и гарантировать получение

услуг/товаров покупателем и денег продавцом

Гарант Гарант

Кардеры Кардеры

Вымогатели Вымогатели

Спамеры Спамеры

Конкуренты Конкуренты

Владелец ботнета

Владелец ботнета

Гарант Гарант

Разработчик malware

Разработчик malware

Разработчик ExploitKit

Разработчик ExploitKit

Abuse-хостер Abuse-хостер

Упаковщик malware

Упаковщик malware

День из жизни мула (дроппера)

Мне нужна

работа

Нанимается

и передается

дропповоду

Дроповод

обеспечивает

мула

инструкциями

для открытия

банковского

счета

Дроповод

координирует

трансфер денег от

операторов к мулам

Мул получает

деньги и

переводит их на

указанные счета

или

обналичивает

Дроповод получает

деньги или вновь

переводит их

Мул

арестовывается

или уходит с

работы

Деньги играют важную роль, но есть и другие мотивы

• Отсутствие желания заработать не означает отсутствие бизнес-

модели

– Anonymous, Lulzsec демонстрируют это в полной мере

Кибер-

террористы

Кибер-

воины

Хактивисты Писатели

malware

Старая

школа

Фрикеры Самураи Script

kiddies

Warez

D00dz

Сложность + + + + +

Эго + + + +

Шпионаж + +

Идеология + + + + +

Шалость + + +

Деньги + + + + +

Месть + + + +

Источник: Furnell, S. M

В ЗАКЛЮЧЕНИЕ

Новый взгляд на информационную безопасность

© Cisco и (или) дочерние компании, 2011 г. Все права защищены. Общедоступная информация Cisco BRKSEC-1065 92

Благодарю вас

за внимание

[email protected]