Докладчик: Начальник отдела ИБ ОАО «СО ЕЭС» Кондратенко Андрей Александрович Информационная безопасность 4 CIO Откуда глава? По результатам анализа первого издания учебника для CIO, у меня остался вопрос: «А где же информационная безопасность?». Почему на информационную безопасность всегда обращают внимание по остаточному принципу? Ведь потом же нужно ставить костыли. И вот опять… Но появился Сергей Кирюшин и предложил написать сочинение на заданную тему. Почему актуально? Отставание средств защиты от угроз (по данным IDC) • Угрозы реально растут с ростом информационных технологий (виртуализация, «облака», глобализация, удаленные работники и т.д.). • Рынок информационной безопасности постоянно растет (последние тренды: DLP, анализ уязвимостей, защиты ПДн) и, кстати, не на пустом месте (законы, постановления правительства, нормативные акты регуляторов). • Если решили заниматься ИБ, то как? Кто отвечает за ИБ? Кому подчиняется информационная безопасность: Директору по информационным технологиям или Директору по безопасности? Нет универсального ответа, есть плюсы и минусы. Много зависит от харизмы руководителей и профессионализма персонала. Основные вопросы: нужно ли контролировать ИТ извне и на сколько ИТ свойственны задачи ИБ? ИБ и ИТ-безопасность – разные вещи, ИБ – это защита бумажных документов, защита от побочных электромагнитных излучений и наводок, аттестация объектов информатизации, помещений и пр. CISO должен знать всё! Защита информации Что защищаем? Информацию! А конкретнее: - средства, участвующие в процессе обработки (хранения, передачи) информации: носители (жесткие диски, флешки, ленты и т.д.); - программные средства (ОС, СУБД, прикладное ПО и т.д.); - каналы связи (локальные вычислительные сети, каналы передачи данных и т.д.); - оборудование (ПК, серверы и т.д.) От чего защищаем? От угроз и рисков. Как защищаем? Анализ рисков. Уменьшение воздействие. Организация работ по обеспечению ИБ Как управляем? • Разрабатываем, утверждаем и издаем Концепцию или Политику, содержащую цели, задачи, принципы, правила и требования. • Назначаем персональную ответственность за обеспечение ИБ и нарушение ИБ. • Создаем систему управления (в каком угодно виде, но с обратной связью). Процессная модель управления: «Планирование (Plan) – Реализация (Do) – Проверка (Check) – Действие (Act)» Средства защиты Методы защиты информации: • • • • правовые (заключение соглашений, категорирование и присваивание грифа информации), экономические (страхование рисков), организационные (изменение оргструктуры, внедрение политик и инструкций и пр.), технические (использование средств защиты информации и пр.) и т.д. Чем защищать? • Управление доступом • Регистрация и учет • Обеспечение целостности • Криптографическая защита • Антивирусная защита • Межсетевое экранирование • Обнаружение вторжений • Анализ защищенности Нормативное регулирование ИБ Наиболее известные законодательные акты: Особенности ИБ в РФ направлены на снятие угроз национальной безопасности: - недопущение на российский рынок - Федеральный закон от 29.07.2004 иностранных продуктов; № 98-ФЗ (О коммерческой тайне). - сертификация средств защиты - Федеральный закон от 27.07.2006 № информации. 149-ФЗ (Об информации, Способы подтверждение соответствия требованиям: информационных технологиях и о защите информации); - сертификация по показателям класса защищенности средств вычислительной - Федеральный закон от 27.07.2006 № техники от несанкционированного доступа; 152-ФЗ (О персональных данных); - сертификация по отсутствию незадекларированных возможностей; - Федеральный закон от 06.04.2011 № 63-ФЗ (Об электронной подписи); - сертификация по оценочному уровню доверия (ОУД) к реализации требований по - Постановление Правительства РФ защите; от 01.11.2012 №1119 (Об - сертификация по классу межсетевого утверждении требований к защите экранирования; персональных данных при их - оценка соответствия требованиям к обработке в информационных системам обнаружения вторжений и т.д. системах персональных данных). Обратная связь Кондратенко Андрей Александрович Начальник отдела ИБ ОАО «СО ЕЭС» andrey.kondratenko@gmail.com