Информационная безопасность: опыт

зарубежных компаний в российских реалиях

Юлия Суслина

Возможные ситуации

2

• Юристы не осведомлены об отраслевых рекомендациях/законах

• Локальный CISO:Принимает решения на локальном уровне, осведомлен, знает о глобальных процедурах (к примеру бывший консультант)

Выполняет инструкции «сверху», мало знаний о законодательстве

CISO нет. Есть сотрудник отдела ИТ, в обязанности которого также входит выполнение основных инструкций

• Подчиняется директору по ИТ, крайне редко – генеральному директору

IT услуги

3

• IT безопасность и Управление информацией – зачастую два разных процесса. IT безопасность – функция IT, подконтрольная организационной функции (compliance, risk mgmt, quality и т.д.)

• В целях экономии средств и ресурсов IT услуги выносятся на аутсорсинг или предоставляются глобально. Локальный IT имеет доступ к оборудованию на территории РФ и создает запросы

• Единые глобальные стандарты на использование ПО. Внедрение нового ПО может затянуть цепь согласований и тестирований

Процессы IТ и ИБ

4

• Определяются международными документами, в т.ч. отраслевыми (ISO27001, NISTs, ITIL, COBIT, SOX, GxP and etc.)

• Компания разрабатывает свою внутреннюю линейку стандартов, базируясь на международных

• Ни малейшего понятия о российских требованиях

Где начинается конфликт

5

Какие законы распространяются на компании

6

• 152-ФЗ, Постановление Правительства РФ от 01.11.2012 №1119, Приказ ФСТЭК от №21, 242-ФЗ

• Требования ФСБ к ТЗКИ (при условии использования отечественной криптографии)

• Защита коммерческой тайны (исключительно добровольно)

• 161-ФЗ, НСПК (для банков и платежных систем) • Документы по защите КСИИ - ?

Инициация проекта

7

Юрист

Закупки

Обоснование необходимости, запрос на

тендер

Инициация проекта

8

Юрист

Закупки

Запускают и лидируют тендер на

всех этапах

Как выбрать исполнителя

9

Юрист

Закупки

AM1

AM2

Мы входим в топ 5 компаний, наш штат 1000чел, оборот 3млрд.,

100500 клиентов

Мы независимое консалтинговое

агентство, с небольшим штатом и скромным оборотом

Проблема выбора

| IGM Russian realities| Yulia Suslina | Date | CISO Forum | Public10

• Нет «черного списка» недобросовестных компаний

• В крупных компаниях редко Аккаунт-менеджер скажет, кто будет курировать проект. А результат зависит именно от этого

• Непонятно, из чего складывается цена. Разная детализация услуг в КП вводит в заблуждение, при этом есть риск включения необязательных услуг

• Выбор демпингующей компании и, как результат, дополнительные расходы

Рабочая фаза

| IGM Russian realities| Yulia Suslina | Date | CISO Forum | Public11

Юрист

Закупки

AM

РП

Контракт подписан, вот

наш руководитель

проекта

Рабочая фаза

12

Юрист AM

PM

Нам нужен ваш CISO, или кто у

вас за это отвечает...

Рабочая фаза

13

Юрист AM

PM

Нам нужен ваш CISO, или кто у

вас за это отвечает...

И здесь начинается самое интересное...

Разработка итогового пакета

| IGM Russian realities| Yulia Suslina | Date | CISO Forum | Public14

Юрист

CISO

AM

PM

Вот держите пакет

документов: отчет, модель

угроз, техническое

задание и все остальное

Разработка итогового пакета

| IGM Russian realities| Yulia Suslina | Date | CISO Forum | Public15

Юрист

IT

AM

PM

Мы не можем вот так взять и всё

заменить на сертифицированны

е средства, глобалы не

разрешат! Должен быть другой путь!

Разработка итогового пакета

| IGM Russian realities| Yulia Suslina | Date | CISO Forum | Public16

Legal

IT

AM

PM

Вы используете средства, не прошедшие процедуру

оценки соответствия. Либо давайте

все переделывать

Разработка итогового пакета

| IGM Russian realities| Yulia Suslina | Date | CISO Forum | Public17

Legal

IT

AM

PM

Время – деньги, дополнительные

расходы

Исполнитель:

1) Использует стандартные шаблоны для экономии времени

2) Большой объем проектов, сжатый срок

3) Недостаточная квалификация и клиенториентированность консультанта

4) Выполнение «плана» по продажам, навязывание избыточного ПО

Заказчик:

1) Изначально нет четкого разграничения зон ответственности: IT привлекается косвенно и не замотивировано

2) Испытывает трудности при вычитке 200-страничных документов

3) Не осведомлен в тонкостях законодательства

| IGM Russian realities| Yulia Suslina | Date | CISO Forum | Public18

В чем причина такого исхода

Внедрение ПО, прошедшего процедуру оценки соответствия требованиям законодательства РФ

19

Установка нового ПО

| IGM Russian realities| Yulia Suslina | Date | CISO Forum | Public20

IT Global IT Infrastructure center

Запрос на установку

Обоснование замены

Global infosec team

Global engineers

Установка нового ПО

| IGM Russian realities| Yulia Suslina | Date | CISO Forum | Public21

IT Global IT Infrastructure center

Запрос на установку

Обоснование замены

Global infosec team

Global engineers

Мы не можем одобрить

установку, так как неизвестно

влияние на инфраструктуру

Мы не умеем устанавливать

это ПО

Установка нового ПО

| IGM Russian realities| Yulia Suslina | Date | CISO Forum | Public22

IT Global IT Infrastructure center

Запрос на установку отклонен

Global infosec team

Global engineers

Если возможна установка силами региона

23

IT

Юрист

Global IT Infrastructure center

Данное ПО будет установлено

только на отечественных серверах и не

окажет влияния на глобальные

Мы несем полную ответственность и

подтверждаем, что это наименее

затратный вариант

соответствия закону

Что должен учитывать исполнитель

24

1) Угрозы из МУиН должны обсуждаться с заказчиком на этапе формирования. Заказчик должен быть проинформирован о способах нейтрализации

2) Оценка рисков при реализации каждой угрозы, вероятность реализации и степень опасности может быть проведена заказчиком

3) Список актуальных угроз по результатам шагов 1 и 2

4) Выбор реализации мер защиты с учетом экономической целесообразности

5) Техническая реализация – не панацея. Могут и должны быть выбраны компенсирующие меры в случаях, если техническая реализация объективно затруднительна.

Использование криптографии

25

Условия использования криптографии

26

• Использование сертифицированной криптографии предполагает наличие лицензии ФСТЭК на ТЗКИ

• Лицензию нужно получать, либо заключать SLA с сервисной компанией, у которой эта лицензия есть

• Многие компании-исполнители «забывают» упомянуть об этом

Подводные камни

27

• ГОСТ 28147-89 разработан давно и не подходит для высокоскоростных соединений, сильно снижает производительность

• Категорически не подходит, если интернет-соединение идет через иностранный прокси-сервер.

Мера ЗИС.3

28

• Мера ЗИС.3 (Приказ ФСТЭК №21) обязательна для всех УЗ. Обязательность данной меры используется как повод рекомендовать криптографию

• Согласно рекомендациям ФСТЭК по вариантам реализации мер (для ГИС) могут быть предложены следующие варианты: Защита каналов связи и кабелей от физического доступа Использование средств контроля целостности

• Актуальность угрозы раскрытия конфиденциальной информацией может быть снижена при использовании VPN с двухфакторной аутентификацией.

Вопросы?

29