Докладчик: Начальник отдела ИБ ОАО «СО ЕЭС» Кондратенко Андрей Александрович

реклама
Докладчик:
Начальник отдела ИБ ОАО «СО ЕЭС»
Кондратенко Андрей Александрович
Информационная безопасность 4 CIO
Откуда глава?
По результатам анализа первого
издания учебника для CIO, у меня
остался вопрос: «А где же
информационная безопасность?».
Почему на информационную
безопасность всегда обращают
внимание по остаточному принципу?
Ведь потом же нужно ставить костыли.
И вот опять…
Но появился Сергей Кирюшин и
предложил написать сочинение на
заданную тему.
Почему актуально?
Отставание
средств защиты
от угроз (по
данным IDC)
•
Угрозы реально растут с ростом информационных технологий
(виртуализация, «облака», глобализация, удаленные работники и т.д.).
•
Рынок информационной безопасности постоянно растет (последние
тренды: DLP, анализ уязвимостей, защиты ПДн) и, кстати, не на пустом
месте (законы, постановления правительства, нормативные акты
регуляторов).
•
Если решили заниматься ИБ, то как?
Кто отвечает за ИБ?
Кому подчиняется информационная
безопасность: Директору по
информационным технологиям или
Директору по безопасности?
Нет универсального ответа, есть
плюсы и минусы.
Много зависит от харизмы
руководителей и профессионализма
персонала.
Основные вопросы: нужно ли
контролировать ИТ извне и на
сколько ИТ свойственны задачи ИБ?
ИБ и ИТ-безопасность – разные
вещи, ИБ – это защита бумажных
документов, защита от побочных
электромагнитных излучений и
наводок, аттестация объектов
информатизации, помещений и
пр.
CISO должен знать всё!
Защита информации
Что защищаем?
Информацию!
А конкретнее:
- средства, участвующие в процессе
обработки (хранения, передачи)
информации: носители (жесткие
диски, флешки, ленты и т.д.);
- программные средства (ОС, СУБД,
прикладное ПО и т.д.);
- каналы связи (локальные
вычислительные сети, каналы
передачи данных и т.д.);
- оборудование (ПК, серверы и т.д.)
От чего защищаем?
От угроз и рисков.
Как защищаем?
Анализ рисков.
Уменьшение воздействие.
Организация работ по обеспечению ИБ
Как управляем?
•
Разрабатываем, утверждаем и
издаем Концепцию или
Политику, содержащую цели,
задачи, принципы, правила и
требования.
•
Назначаем персональную
ответственность за
обеспечение ИБ и нарушение
ИБ.
•
Создаем систему управления (в
каком угодно виде, но с
обратной связью).
Процессная модель управления:
«Планирование (Plan) –
Реализация (Do) –
Проверка (Check) –
Действие (Act)»
Средства защиты
Методы защиты информации:
•
•
•
•
правовые (заключение
соглашений, категорирование и
присваивание грифа
информации),
экономические (страхование
рисков),
организационные (изменение
оргструктуры, внедрение
политик и инструкций и пр.),
технические (использование
средств защиты информации и
пр.) и т.д.
Чем защищать?
•
Управление доступом
•
Регистрация и учет
•
Обеспечение целостности
•
Криптографическая защита
•
Антивирусная защита
•
Межсетевое экранирование
•
Обнаружение вторжений
•
Анализ защищенности
Нормативное регулирование ИБ
Наиболее известные
законодательные акты:
Особенности ИБ в РФ направлены на
снятие угроз национальной безопасности:
- недопущение на российский рынок
- Федеральный закон от 29.07.2004
иностранных продуктов;
№ 98-ФЗ (О коммерческой тайне).
- сертификация средств защиты
- Федеральный закон от 27.07.2006 № информации.
149-ФЗ (Об информации,
Способы подтверждение соответствия
требованиям:
информационных технологиях и о
защите информации);
- сертификация по показателям класса
защищенности средств вычислительной
- Федеральный закон от 27.07.2006 № техники от несанкционированного доступа;
152-ФЗ (О персональных данных);
- сертификация по отсутствию
незадекларированных возможностей;
- Федеральный закон от 06.04.2011
№ 63-ФЗ (Об электронной подписи); - сертификация по оценочному уровню
доверия (ОУД) к реализации требований по
- Постановление Правительства РФ
защите;
от 01.11.2012 №1119 (Об
- сертификация по классу межсетевого
утверждении требований к защите
экранирования;
персональных данных при их
- оценка соответствия требованиям к
обработке в информационных
системам обнаружения вторжений и т.д.
системах персональных данных).
Обратная связь
Кондратенко
Андрей
Александрович
Начальник отдела ИБ ОАО «СО ЕЭС»
andrey.kondratenko@gmail.com
Скачать