Информационная безопасность

4CIO

Докладчик:Начальник отдела ИБ ОАО «СО ЕЭС»

Кондратенко Андрей Александрович

feat. глава для

книги

Информационная безопасность 4 CIOОткуда глава?

По результатам анализа первого издания учебника для CIO, у

меня остался вопрос: «А где же информационная безопасность?».

Почему на информационную безопасность всегда обращают внимание по остаточному принципу? Ведь потом же нужно ставить костыли. И вот опять…

Но появился Сергей Кирюшин и предложил написать сочинение

на заданную тему.

Почему актуально?

• Угрозы реально растут с ростом информационных технологий (виртуализация, «облака», глобализация, удаленные работники и т.д.).

• Рынок информационной безопасности постоянно растет (последние тренды: DLP, анализ уязвимостей, защиты ПДн) и, кстати, не на пустом месте (законы, постановления правительства, нормативные акты регуляторов).

• Если решили заниматься ИБ, то как?

Отставание средств

защиты от угроз (по

данным IDC)

Кто отвечает за ИБ? Кому подчиняется информационная безопасность: Директору по информационным технологиям или Директору по безопасности?

Нет универсального ответа, есть плюсы и минусы.

Много зависит от харизмы руководителей и профессионализма персонала.

Основные вопросы: нужно ли контролировать ИТ извне и на

сколько ИТ свойственны задачи ИБ?

ИБ и ИТ-безопасность – разные вещи, ИБ – это защита бумажных документов, защита от побочных электромагнитных излучений и наводок, аттестация объектов информатизации, помещений и пр.

CISO должен знать всё!

Защита информацииЧто защищаем?

Информацию!

А конкретнее:

- средства, участвующие в процессе обработки (хранения, передачи) информации: носители (жесткие диски, флешки, ленты и т.д.);

- программные средства (ОС, СУБД, прикладное ПО и т.д.);

- каналы связи (локальные вычислительные сети, каналы передачи данных и т.д.);

- оборудование (ПК, серверы и т.д.)

От чего защищаем?

От угроз и рисков.

Как защищаем?

Анализ рисков.

Уменьшение воздействие.

Организация работ по обеспечению ИБКак управляем?

• Разрабатываем, утверждаем и издаем Концепцию или Политику, содержащую цели, задачи, принципы, правила и требования.

• Назначаем персональную ответственность за обеспечение ИБ и нарушение ИБ.

• Создаем систему управления (в каком угодно виде, но с обратной связью).

Процессная модель управления:

«Планирование (Plan) –

Реализация (Do) –

Проверка (Check) –

Действие (Act)»

Средства защиты

Чем защищать?

• Управление доступом

• Регистрация и учет

• Обеспечение целостности

• Криптографическая защита

• Антивирусная защита

• Межсетевое экранирование

• Обнаружение вторжений

• Анализ защищенности

Методы защиты информации:

• правовые (заключение соглашений, категорирование и присваивание грифа информации),

• экономические (страхование рисков),

• организационные (изменение оргструктуры, внедрение политик и инструкций и пр.),

• технические (использование средств защиты информации и пр.) и т.д.

Нормативное регулирование ИБ

Наиболее известные законодательные акты:

- Федеральный закон от 29.07.2004 № 98-ФЗ (О коммерческой тайне).

- Федеральный закон от 27.07.2006 № 149-ФЗ (Об информации, информационных технологиях и о защите информации);

- Федеральный закон от 27.07.2006 № 152-ФЗ (О персональных данных);

- Федеральный закон от 06.04.2011 № 63-ФЗ (Об электронной подписи);

- Постановление Правительства РФ от 01.11.2012 №1119 (Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных).

Особенности ИБ в РФ направлены на снятие угроз национальной безопасности:

- недопущение на российский рынок иностранных продуктов;

- сертификация средств защиты информации.

Способы подтверждение соответствия требованиям:

- сертификация по показателям класса защищенности средств вычислительной техники от несанкционированного доступа;

- сертификация по отсутствию незадекларированных возможностей;

- сертификация по оценочному уровню доверия (ОУД) к реализации требований по защите;

- сертификация по классу межсетевого экранирования;

- оценка соответствия требованиям к системам обнаружения вторжений и т.д.

Обратная связь

Начальник отдела ИБ ОАО «СО ЕЭС»

andrey.kondratenko@gmail.com

Кондратенко Андрей Александрович