Embed Size (px)
Citation preview
Гаврилов Вадимведущий системный инженер
ИБ: СТРАТЕГИЯ ОБОРОНЫ13.04.2015
Серия первая: Устав караульной службы
Борисова Ольгаменеджер по работе с ключевыми Заказчиками
Серия первая: Устав караульной службы (13.04.2015) Планирование и внедрение систем защиты информации
Серия вторая: На страже границ (27.04.2015) Системы контроля доступа к информации
Серия третья: Серия четвертая: Серия пятая: Серия шестая Серия седьмая: Серия восьмая:
2 из 21
Серия вебинаров «ИБ: Стратегия обороны»
Протокол
Длительность последующих вебинаров составит 30 минут
Длительность сегодняшнего вебинара составит 1 час
Вопросы можно задавать по ходу вебинара на вкладке questions
Приз за самое активное участие
Обратная связь
Запись вебинара
P.S. Кого мы рекламируем?
3 из 21
О чем эта презентация? Формулировка проблемы Как правильно читать рекламные слоганы? Лирическое отступление: сложные атаки Самый Главный Принцип Стратегия построения обороны:
Зачем защищаем? Что и как защищаем? Какими ресурсами располагаем? Из чего выбираем? Как проверяем? Как внедряем
4 из 21
О чем эта презентация?
5 из 21
Капитан ОчевидностьРис. 1
Картинка с заборомРис. 2
Формулировка проблемы Несанкционированный доступ к данным
Утечки конфиденциальной информации
Уничтожение важной информации
Необходимость соответствовать стандартам регуляторов
Необходимость соответствия отраслевым требованиям и требованиям вышестоящих организаций
Излишне сложные бизнес-процессы
Неэффективное использованиересурсов компании
Нелояльные сотрудники (в том числе - VIP)
Неудовлетворительный результат внедрения
6 из 21
Как правильно читать рекламные слоганы «Мы защитим Вашу информацию!»
«Мы обеспечиваем контроль!»
«Мы контролируем этот канал!»
«Самая минимальная настройка!»
7 из 21
Лирическое отступление: сложные атаки
8 из 21
СОЕДИНЕНИЕ С
СЕРВЕРОМ
ЗЛОУМЫШЛЕН-
НИКОВ
ХИЩЕНИЕ
ДАННЫХ
ФАЙЛ-
ИНЪЕКЦИЯ
НАБОР
ЭКСПЛОИТОВ
ПЕРЕАДРЕ-
САЦИЯ
ПРИМАНКАРАЗВЕДКА
Как правильно читать рекламные слоганы
«Мы защитим Вашу информацию!»
«Мы обеспечиваем контроль!»
«Мы контролируем этот канал!»
«Только минимальная настройка!»
9 из 21
Кто на ком стоял? (с)
10 из 21
ИБ для бизнеса,а не бизнес для ИБ!
Стратегия построения обороны Формулировка цели
Аудит
Определение объекта защиты
Построение модели угроз
Построение модели информационных потоков
Техническое задание
Определение доступных ресурсов
Определение спектра возможных решений
Стендирование: проверка функциональных возможностей
решения
Пилотирование: проверка эффективности решения
Проектирование
Опытная эксплуатация
Испытания
Постоянная эксплуатация
Сервис и корректировка политик
11 из 21
Зачем защищаем? Какого результата вы хотите достичь?
Формально выполнить требования регуляторов или начальства из центрального офиса?
Предотвратить случайные утечки по вине халатных сотрудников? Собрать доказательную базу по утечкам и несанкционированному
доступу? Предотвратить целенаправленную кражу и уничтожение информации
агентами конкурентов? Уметь бороться со сложными целенаправленными
кибератаками? Какие затраты понадобятся для достижения
результата? Как достичь желаемого результата
с наименьшими затратами?
12 из 21
Что и как защищаем? Какую информацию можно украсть?
К каким потерям приведет кража или уничтожение информации?
Кто может ее украсть или уничтожить?
По каким каналам это можносделать?
13 из 21
Какими ресурсами располагаем? Деньги
на приобретение
на внедрение
на техподдержку
Персонал
Организационная документация
Время
14 из 21
А можно всех посмотреть?
15 из 21
•Соответствие требованиям
•Реальная потребность в защитеЦели
•Защищаемые объекты
•Модель угроз
•Модель информационных потоковУгрозы
•Деньги
•Время
•Квалификация
•Трудозатраты
Ресурсы
Экономическая целесообразность
Бизнес-процессы
Предло-жение
Предло-жение
Предло-жение
организационные техническиеКОМПЛЕКС МЕР
Как проверить, потрогать и попробовать?
Стендирование проверка функциональных возможностей
знакомство с интерфейсом
простые тесты
Пилотирование проверка в условиях обработки реальной
информации
совместимость с существующим ПО
анализ существующей ситуации с ИБ
16 из 21
Как внедрить?
17 из 21
Постановка задачи
Обследование
Модель угрозПроектирование
Определение ресурсов Стендирование
Проектная документация
Техническое задание
Пилотирование
Внедрение
Пусконаладочные работы
Опытная эксплуатация
Постоянная эксплуатацияИспытания
Сервисное сопровождение
Внедрение
Проектирование
1 2
34
1 2
43
Краткие итоги: принципы построения системы защиты информации
ЦЕЛЕСООБРАЗНОСТЬ РАВНОПРОЧНОСТЬ
ЭФФЕКТИВНОСТЬ ДОСТАТОЧНОСТЬ
18 из 21
Краткие итоги: построение системы защиты информации
Нет цели – нет результата! Ни шагу без разведки! Защита и контроль не то чем кажутся! ИБ для бизнеса, а не бизнес для ИБ! Один в поле не воин! Ключевые принципы создания решения:
целесообразность равнопрочность эффективность достаточность
Нельзя построить решение раз и навсегда!
19 из 21
Как с этим жить дальше? Не защищать информацию опасно!
Защищать информацию трудно!
20 из 21
Гаврилов Вадим[email protected]
ООО «УЦСБ»620100, Екатеринбург, ул. Ткачей, д. 6
Тел.: +7 (343) 379-98-34Факс: +7 (343) 229-57-38
Спасибо за внимание!Пожалуйста, задавайте вопросы!
Следующая серия: На страже границы
Системы контроля доступа к информации
27.04.2015
Ваши комментарии и предложения Вы можете присылать по адресу:
