Информационная безопасность 4cio
DESCRIPTION
feat. глава для книги. Информационная безопасность 4CIO. Докладчик: Начальник отдела ИБ ОАО «СО ЕЭС» Кондратенко Андрей Александрович. Информационная безопасность 4 CIO. Откуда глава? - PowerPoint PPT PresentationTRANSCRIPT
Информационная безопасность
4CIO
Докладчик:Начальник отдела ИБ ОАО «СО ЕЭС»
Кондратенко Андрей Александрович
feat. глава для
книги
Информационная безопасность 4 CIOОткуда глава?
По результатам анализа первого издания учебника для CIO, у
меня остался вопрос: «А где же информационная безопасность?».
Почему на информационную безопасность всегда обращают внимание по остаточному принципу? Ведь потом же нужно ставить костыли. И вот опять…
Но появился Сергей Кирюшин и предложил написать сочинение
на заданную тему.
Почему актуально?
• Угрозы реально растут с ростом информационных технологий (виртуализация, «облака», глобализация, удаленные работники и т.д.).
• Рынок информационной безопасности постоянно растет (последние тренды: DLP, анализ уязвимостей, защиты ПДн) и, кстати, не на пустом месте (законы, постановления правительства, нормативные акты регуляторов).
• Если решили заниматься ИБ, то как?
Отставание средств
защиты от угроз (по
данным IDC)
Кто отвечает за ИБ? Кому подчиняется информационная безопасность: Директору по информационным технологиям или Директору по безопасности?
Нет универсального ответа, есть плюсы и минусы.
Много зависит от харизмы руководителей и профессионализма персонала.
Основные вопросы: нужно ли контролировать ИТ извне и на
сколько ИТ свойственны задачи ИБ?
ИБ и ИТ-безопасность – разные вещи, ИБ – это защита бумажных документов, защита от побочных электромагнитных излучений и наводок, аттестация объектов информатизации, помещений и пр.
CISO должен знать всё!
Защита информацииЧто защищаем?
Информацию!
А конкретнее:
- средства, участвующие в процессе обработки (хранения, передачи) информации: носители (жесткие диски, флешки, ленты и т.д.);
- программные средства (ОС, СУБД, прикладное ПО и т.д.);
- каналы связи (локальные вычислительные сети, каналы передачи данных и т.д.);
- оборудование (ПК, серверы и т.д.)
От чего защищаем?
От угроз и рисков.
Как защищаем?
Анализ рисков.
Уменьшение воздействие.
Организация работ по обеспечению ИБКак управляем?
• Разрабатываем, утверждаем и издаем Концепцию или Политику, содержащую цели, задачи, принципы, правила и требования.
• Назначаем персональную ответственность за обеспечение ИБ и нарушение ИБ.
• Создаем систему управления (в каком угодно виде, но с обратной связью).
Процессная модель управления:
«Планирование (Plan) –
Реализация (Do) –
Проверка (Check) –
Действие (Act)»
Средства защиты
Чем защищать?
• Управление доступом
• Регистрация и учет
• Обеспечение целостности
• Криптографическая защита
• Антивирусная защита
• Межсетевое экранирование
• Обнаружение вторжений
• Анализ защищенности
Методы защиты информации:
• правовые (заключение соглашений, категорирование и присваивание грифа информации),
• экономические (страхование рисков),
• организационные (изменение оргструктуры, внедрение политик и инструкций и пр.),
• технические (использование средств защиты информации и пр.) и т.д.
Нормативное регулирование ИБ
Наиболее известные законодательные акты:
- Федеральный закон от 29.07.2004 № 98-ФЗ (О коммерческой тайне).
- Федеральный закон от 27.07.2006 № 149-ФЗ (Об информации, информационных технологиях и о защите информации);
- Федеральный закон от 27.07.2006 № 152-ФЗ (О персональных данных);
- Федеральный закон от 06.04.2011 № 63-ФЗ (Об электронной подписи);
- Постановление Правительства РФ от 01.11.2012 №1119 (Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных).
Особенности ИБ в РФ направлены на снятие угроз национальной безопасности:
- недопущение на российский рынок иностранных продуктов;
- сертификация средств защиты информации.
Способы подтверждение соответствия требованиям:
- сертификация по показателям класса защищенности средств вычислительной техники от несанкционированного доступа;
- сертификация по отсутствию незадекларированных возможностей;
- сертификация по оценочному уровню доверия (ОУД) к реализации требований по защите;
- сертификация по классу межсетевого экранирования;
- оценка соответствия требованиям к системам обнаружения вторжений и т.д.