information governance in russia
TRANSCRIPT
Информационная безопасность: опыт
зарубежных компаний в российских реалиях
Юлия Суслина
Возможные ситуации
2
• Юристы не осведомлены об отраслевых рекомендациях/законах
• Локальный CISO:Принимает решения на локальном уровне, осведомлен, знает о глобальных процедурах (к примеру бывший консультант)
Выполняет инструкции «сверху», мало знаний о законодательстве
CISO нет. Есть сотрудник отдела ИТ, в обязанности которого также входит выполнение основных инструкций
• Подчиняется директору по ИТ, крайне редко – генеральному директору
IT услуги
3
• IT безопасность и Управление информацией – зачастую два разных процесса. IT безопасность – функция IT, подконтрольная организационной функции (compliance, risk mgmt, quality и т.д.)
• В целях экономии средств и ресурсов IT услуги выносятся на аутсорсинг или предоставляются глобально. Локальный IT имеет доступ к оборудованию на территории РФ и создает запросы
• Единые глобальные стандарты на использование ПО. Внедрение нового ПО может затянуть цепь согласований и тестирований
Процессы IТ и ИБ
4
• Определяются международными документами, в т.ч. отраслевыми (ISO27001, NISTs, ITIL, COBIT, SOX, GxP and etc.)
• Компания разрабатывает свою внутреннюю линейку стандартов, базируясь на международных
• Ни малейшего понятия о российских требованиях
Где начинается конфликт
5
Какие законы распространяются на компании
6
• 152-ФЗ, Постановление Правительства РФ от 01.11.2012 №1119, Приказ ФСТЭК от №21, 242-ФЗ
• Требования ФСБ к ТЗКИ (при условии использования отечественной криптографии)
• Защита коммерческой тайны (исключительно добровольно)
• 161-ФЗ, НСПК (для банков и платежных систем) • Документы по защите КСИИ - ?
Инициация проекта
7
Юрист
Закупки
Обоснование необходимости, запрос на
тендер
Инициация проекта
8
Юрист
Закупки
Запускают и лидируют тендер на
всех этапах
Как выбрать исполнителя
9
Юрист
Закупки
AM1
AM2
Мы входим в топ 5 компаний, наш штат 1000чел, оборот 3млрд.,
100500 клиентов
Мы независимое консалтинговое
агентство, с небольшим штатом и скромным оборотом
Проблема выбора
| IGM Russian realities| Yulia Suslina | Date | CISO Forum | Public10
• Нет «черного списка» недобросовестных компаний
• В крупных компаниях редко Аккаунт-менеджер скажет, кто будет курировать проект. А результат зависит именно от этого
• Непонятно, из чего складывается цена. Разная детализация услуг в КП вводит в заблуждение, при этом есть риск включения необязательных услуг
• Выбор демпингующей компании и, как результат, дополнительные расходы
Рабочая фаза
| IGM Russian realities| Yulia Suslina | Date | CISO Forum | Public11
Юрист
Закупки
AM
РП
Контракт подписан, вот
наш руководитель
проекта
Рабочая фаза
12
Юрист AM
PM
Нам нужен ваш CISO, или кто у
вас за это отвечает...
Рабочая фаза
13
Юрист AM
PM
Нам нужен ваш CISO, или кто у
вас за это отвечает...
И здесь начинается самое интересное...
Разработка итогового пакета
| IGM Russian realities| Yulia Suslina | Date | CISO Forum | Public14
Юрист
CISO
AM
PM
Вот держите пакет
документов: отчет, модель
угроз, техническое
задание и все остальное
Разработка итогового пакета
| IGM Russian realities| Yulia Suslina | Date | CISO Forum | Public15
Юрист
IT
AM
PM
Мы не можем вот так взять и всё
заменить на сертифицированны
е средства, глобалы не
разрешат! Должен быть другой путь!
Разработка итогового пакета
| IGM Russian realities| Yulia Suslina | Date | CISO Forum | Public16
Legal
IT
AM
PM
Вы используете средства, не прошедшие процедуру
оценки соответствия. Либо давайте
все переделывать
Разработка итогового пакета
| IGM Russian realities| Yulia Suslina | Date | CISO Forum | Public17
Legal
IT
AM
PM
Время – деньги, дополнительные
расходы
Исполнитель:
1) Использует стандартные шаблоны для экономии времени
2) Большой объем проектов, сжатый срок
3) Недостаточная квалификация и клиенториентированность консультанта
4) Выполнение «плана» по продажам, навязывание избыточного ПО
Заказчик:
1) Изначально нет четкого разграничения зон ответственности: IT привлекается косвенно и не замотивировано
2) Испытывает трудности при вычитке 200-страничных документов
3) Не осведомлен в тонкостях законодательства
| IGM Russian realities| Yulia Suslina | Date | CISO Forum | Public18
В чем причина такого исхода
Внедрение ПО, прошедшего процедуру оценки соответствия требованиям законодательства РФ
19
Установка нового ПО
| IGM Russian realities| Yulia Suslina | Date | CISO Forum | Public20
IT Global IT Infrastructure center
Запрос на установку
Обоснование замены
Global infosec team
Global engineers
Установка нового ПО
| IGM Russian realities| Yulia Suslina | Date | CISO Forum | Public21
IT Global IT Infrastructure center
Запрос на установку
Обоснование замены
Global infosec team
Global engineers
Мы не можем одобрить
установку, так как неизвестно
влияние на инфраструктуру
Мы не умеем устанавливать
это ПО
Установка нового ПО
| IGM Russian realities| Yulia Suslina | Date | CISO Forum | Public22
IT Global IT Infrastructure center
Запрос на установку отклонен
Global infosec team
Global engineers
Если возможна установка силами региона
23
IT
Юрист
Global IT Infrastructure center
Данное ПО будет установлено
только на отечественных серверах и не
окажет влияния на глобальные
Мы несем полную ответственность и
подтверждаем, что это наименее
затратный вариант
соответствия закону
Что должен учитывать исполнитель
24
1) Угрозы из МУиН должны обсуждаться с заказчиком на этапе формирования. Заказчик должен быть проинформирован о способах нейтрализации
2) Оценка рисков при реализации каждой угрозы, вероятность реализации и степень опасности может быть проведена заказчиком
3) Список актуальных угроз по результатам шагов 1 и 2
4) Выбор реализации мер защиты с учетом экономической целесообразности
5) Техническая реализация – не панацея. Могут и должны быть выбраны компенсирующие меры в случаях, если техническая реализация объективно затруднительна.
Использование криптографии
25
Условия использования криптографии
26
• Использование сертифицированной криптографии предполагает наличие лицензии ФСТЭК на ТЗКИ
• Лицензию нужно получать, либо заключать SLA с сервисной компанией, у которой эта лицензия есть
• Многие компании-исполнители «забывают» упомянуть об этом
Подводные камни
27
• ГОСТ 28147-89 разработан давно и не подходит для высокоскоростных соединений, сильно снижает производительность
• Категорически не подходит, если интернет-соединение идет через иностранный прокси-сервер.
Мера ЗИС.3
28
• Мера ЗИС.3 (Приказ ФСТЭК №21) обязательна для всех УЗ. Обязательность данной меры используется как повод рекомендовать криптографию
• Согласно рекомендациям ФСТЭК по вариантам реализации мер (для ГИС) могут быть предложены следующие варианты: Защита каналов связи и кабелей от физического доступа Использование средств контроля целостности
• Актуальность угрозы раскрытия конфиденциальной информацией может быть снижена при использовании VPN с двухфакторной аутентификацией.
Вопросы?
29