Новая редакция ISO 27001: свежий взгляд на оценку рисков информационной безопасности?

Информационная безопасность

Александр Дорофеев, CISSP, CISM, CISA, директор по развитию, НПО «Эшелон» Осенью 2013 г. вышла новая версия стандарта ISO 27001, которая с октября 2015 г. полностью заменит предыдущую версию – ISO/IEC 27001:2005. С выходом новой редакции в среде экспертов разгорелись споры относительно того, что требования к процессу оценки рисков в новом стандарте стали более обобщенными, а о некоторых ключевых элементах этого важного процесса разработчики стандарта и вовсе позабыли. Попробуем разобраться в «новых» требованиях новой редакции стандарта. Прежде чем погружаться в процесс оценки рисков, вспомним основные понятия из данной области. Риск определяется как воздействие неопределенности на достижение поставленных целей и зачастую рассматривается как комбинация вероятности события и его последствий[1]. Под оценкой рисков (risk assessment) понимается процесс, включающий в себя идентификацию рисков (risk identification), анализ рисков (risk analysis) и оценивания рисков (risk evaluation)[2]. Все три составляющие раскрываются в стандарте ISO/IEC 27001:2013 и будут рассмотрены ниже. Важно помнить и про так называемую обработку рисков (risk treatment), которая представляет собой выбор одной из следующих четырех опций: минимизация (внедрение контрмер), принятие (согласие), передача (страхование, аутсорсинг) и избежание (изменение процесса так, чтобы риск перестал быть актуальным). В большинстве случаев выбирается вариант минимизации, влекущий за собой внедрение организационных, технических и физических мер. Идеология управления рисками также подразумевает, что […]



Экономия при внедрении BYOD может быть существенной

[Тема номера]

На вопросы Connect отвечает Юлия Андрианова, специалист Cisco в области беспроводных технологий.  – На первый взгляд, использование сотрудниками личных мобильных устройств экономически выгодно для компании. Так ли это на самом деле? Какие дополнительные статьи расходов появляются у организации в случае применения модели BYOD? – У меня есть данные реализации BYOD-подхода внутри компании Cisco – экономия была весьма существенной. О внедрении BYOD компания задумалась в период кризиса 2008 г., когда требовалось задействовать все ресурсы для снижения затрат. Пришлось изменить ряд ИТ-процессов, поскольку поддержка должна была стать радикально другой, иначе поток вопросов, «кейсов» (case – запрос на поддержку) оказал бы существенное влияние на итоговый финансовый результат. Поддержка должна быть организована таким образом, чтобы пользователь за 2–3 минуты поиска по своему запросу смог найти исчерпывающую информацию. Была организована система помощи в применении мобильных устройств посредством локальной социальной сети, которая позволила использовать мощный коллективный разум. ИТ-департамент компании постоянно изучает поведение сотрудников – своих клиентов и использует это знание в предоставлении оптимальной поддержки. Сейчас самая актуальная задача – создание и поддержка разнообразных приложений, необходимых в работе и безопасных в использовании. Создание защищенного магазина приложений, написание и поддержка самих приложений, безусловно, требуют дополнительных затрат, но это все окупается повышением производительности сотрудников и уровня их удовлетворенности. Главной […]



Экономика управления мобильными устройствами на основе MDM

[Тема номера]

Александр Соколов, руководитель направления MDM, компания «Онланта» (группа компаний ЛАНИТ) Отношение ИТ-руководителей к набирающему популярность тренду BYOD неоднозначное, так как контролировать мобильные устройства сотрудников становится все труднее, потребность в повышении пропускной способности сети, необходимой для работы разнообразных приложений, которые установлены на устройствах сотрудников, стремительно растет. Как следствие, сочетание множества устройств, подключенных к сети, с неразрешенными приложениями обусловливает необходимость ИТ-отделам осуществлять тщательный мониторинг сети и заниматься планированием ресурсов. В довершение ко всему увеличивается объем данных, которыми сотрудники для совместной работы обмениваются посредством неразрешенных средств. Все больше в ходу сервисы обмена мгновенными сообщениями, управления файлами, мобильных видеоконференций и облачные сервисы совместной работы в качестве дополнения к соответствующим корпоративным приложениям или даже для их замены. Все это требует адекватного ответа, которым все чаще становится внедрение специализированного ПО по управлению мобильными устройствами – MDM (Mobile Device Management), которое призвано решить перечисленные проблемы путем применения набора гибких политик, ограничивающих использование одних ресурсов и приложений и облегчающих подключение и работу с корпоративными ресурсами, приложениями и другим контентом (собственно предприятия или разрешенным от сторонних поставщиков). Но запуск в эксплуатацию любой новой ИТ-системы должен быть экономически оправдан и просчитан предприятием. Не является исключением и решение о внедрении систем класса MDM, поддерживающих концепцию BYOD. BYOD: статьи экономии Попробуем разобраться, в […]



Вопросы обеспечения безопасности корпоративных ресурсов и систем при BYOD

[Тема номера]

Руслан Пермяков, заместитель директора по развитию, ООО СИБ Задача обеспечения безопасности корпоративной информационной среды является неординарной. С одной стороны, необходимо обеспечить безопасность информации, составляющей коммерческую тайну компании, доступность информационных ресурсов и возможность восстановления информации в произвольный момент времени. С другой стороны, нужно выполнить требования регулирующих органов относительно информации, отнесенной к сведениям, охраняемым государством (например, персональные данные). Здесь важным элементом является соблюдение нормативов относительно жизненного цикла информации, включая соблюдение регламентных сроков уничтожения информации. В последние десять лет отмечается преобладание требований по обеспечению непрерывности бизнеса над требованиями целостности и конфиденциальности. Риски, связанные с нарушением непрерывности бизнеса, порой существенно выше, чем риски раскрытия секрета фирмы. Во-первых, это является следствием интенсификации бизнес-процессов и участия руководства компании в принятии решений. Во-вторых, срок жизни секретов, составляющих коммерческую тайну, уменьшается, что обусловлено главным образом сокращением сроков активных продаж инновационных продуктов. Таким процессам подвержены в первую очередь высокотехнологичные секторы экономики, в секторах с традиционным технологическим укладом это не так очевидно. Концепция BYOD (Bring Your Own Device), сложившаяся в некоторой степени спонтанно, позволяет пользователю преодолеть операционный разрыв между ИT-средой компании и его собственной, привычной и понятной. Используя знакомые устройства, пользователь в общем случае более эффективен, имеет бóльшую автономность, решая мелкие эксплуатационные вопросы самостоятельно. При эксплуатации пользовательских устройств в сети […]



BYOD: нынешнее положение дел, новые возможности и старые проблемы

[Тема номера]

Сергей Нейгер, менеджер Департамента развития и маркетинга ОАО «ЭЛВИС-ПЛЮС» Тема использования сотрудниками своих личных устройств для решения служебных задач (или BYOD — Bring your Own Device) уже который год будоражит умы всех заинтересованных сторон: самих сотрудников, ИТ и ИБ специалистов, да и тех, кто охотится за корпоративными данными, тоже. При этом отношение к данной теме варьируется от восторженного (в основном, у производителей MDM-решений), до крайне скептического (у руководителей служб ИБ различных организаций). Давайте попробуем вместе разобраться, почему так происходит и что даёт концепция BYOD сотрудникам и их работодателям. Масштаб «бедствия» Если достаточно вольно перевести определение из английской Википедии, то термином «BYOD» принято называть подход, при котором сотрудники могут использовать для работы собственное, самостоятельно приобретённое оборудование (или в более широком смысле информационные технологии вообще, в том числе и программное обеспечение) — прежде всего смартфоны, планшеты и ноутбуки — вместо корпоративных устройств, предоставляемых работодателем. Согласно исследованию компании CISCO (Cisco IBSG Report) в 2013 году в мире было 198 миллионов BYOD-устройств. А к 2016 году их количество удвоится — до 405 миллионов. Очень сложно представить ещё какую-нибудь ИТ-идею, которая демонстрировала хотя бы отдалённо схожие темпы роста. 88% процентов руководителей признают, что в их компаниях сотрудники так или иначе используют личные устройства для решения […]



Круглый стол: Плюсы, минусы и перспективы концепции BYOD

[Тема номера]

В круглом столе принимают участие Сергей КОРОЛЬКОВ, технический директор, «ДиалогНаука» Дмитрий КОСТРОВ, директор департамента информационно-телекоммуникационных технологий, NVision Group Анна КРАВЦОВА, ведущий специалист по продажам IBM Worklight, IBM в России и СНГ Максим ЛУНГУ, начальник отдела решений по контролю и защите контента, «ЭЛВИС-ПЛЮС» Кирилл МЕЩЕРЯКОВ, руководитель направления по работе с технологическими партнерами, компания «Актив» Алексей ПАТРИКЕЕВ, ведущий эксперт практики инфраструктурных решений, «Астерос Информационная безопасность» (группа «Астерос») Руслан ПЕРМЯКОВ, заместитель директора по развитию, ООО СИБ Анатолий ТРЕТЬЯКОВ, менеджер по маркетингу сервисных продуктов, Fujitsu Тема BYOD давно и активно обсуждается на страницах специализированных изданий. Каково положение дел на практике? Каковы реальные масштабы вовлечения личных мобильных устройств в «деловой оборот» на российском рынке? Сергей КОРОЛЬКОВ По данным Deloitte, 66% жителей России владеют смартфонами и 41% – планшетами. Чтобы включиться в концепцию BYOD, нужно всего лишь «принести» эти устройства, а точнее, подключить к корпоративным ресурсам. В опросе IDC около 70% респондентов заявили о наличии возможности удаленного доступа к электронной почте. При этом уровень использования решений MDM крайне низок и едва ли превышает 10%. Следовательно, мы на 90% находимся в ситуации, которая называется «unmanaged BYOD». Не нужно забывать и про данные опроса, который показал, что 17% сотрудников уничтожали ценные документы, чтобы навредить работодателю, 13% использовали служебные […]



О новом порядке идентификации пользователей услуг связи и обязанностях операторов ПДн

[Инфокоммуникации]

Ксения Таранова, консультант по информационной безопасности, LETA Изменения в законодательстве Как известно, 5 мая 2014 г. был принят Федеральный закон № 97-ФЗ, вносящий изменения в Федеральный закон от 07.07.2003 № 126-ФЗ «О связи». Изменения коснулись правил оказания услуг связи, теперь правилами также должен быть регламентирован порядок идентификации пользователей услуг связи по передаче данных и предоставлению доступа к сети Интернет и используемого ими оконечного оборудования. 31 июля 2014 г. Правительство РФ утвердило Постановление № 758, которым во исполнение Федерального закона № 97-ФЗ были внесены изменения в правила оказания услуг связи. Новые правила устанавливают обязанность операторов связи перед оказанием услуг связи с использованием пунктов коллективного доступа проводить идентификацию пользователей путем установления фамилии, имени и отчества. При этом данные пользователя должны быть подтверждены документом, удостоверяющим личность. Кроме того, новыми правилами предусмотрена обязанность абонента (юридическое лицо или индивидуальный предприниматель) ежеквартально предоставлять оператору связи список лиц, использующих его пользовательское (оконечное) оборудование, заверенный уполномоченным представителем абонента. Выполнение новых требований вызывает ряд вопросов, рассмотрим их. Проблематика Идентификация посетителей, использующих гостевые точки доступа Согласно разъяснению заместителя директора департамента регулирования радиочастот и сетей связи Минсвязи РФ М.Ю. Быковского, «беспроводной маршрутизатор, принадлежащий абоненту – юридическому лицу, имеющему договор с оператором связи о предоставлении доступа информационной телекоммуникационной сети Интернет, является пользовательским […]



Не отследить, а предупредить: инсайд от банка до банкомата

Информационная безопасность

Денис Гасилин, руководитель отдела маркетинга, компания SafenSoft Существует мнение, что угроза инсайдерской активности воспринимается с точки зрения защиты конфиденциальной информации от утечки, намеренной или ненамеренной. Такой подход устаревает с увеличением количества таргетированных атак на организации. В наши дни борьба с инсайдом должна восприниматься в первую очередь как комплекс мер, принимаемых в целях предотвращения любой вредоносной активности изнутри организации. Люди склонны совершать ошибки. К примеру, намеренная «утеря» зараженной флешки на территории организации уже давно стала одним из способов заражения информационных систем компании. Обнаруживший такую флешку сотрудник зачастую подключает ее к рабочему компьютеру. Проблема заключается в том, что операционные системы компьютеров этих сотрудников позволяют использовать любые носители информации, не требуя никаких проверок и разрешений. Существуют технические средства, позволяющие избежать подобных ситуаций, но более половины организаций, согласно исследованию компании Ponemon, предпочитают никак не ограничивать сотрудников в использовании флеш-накопителей, потому что не хотят следующего за такой мерой понижения продуктивности. Организационные меры необходимо поддерживать технически или концентрироваться на технической реализации принципа «все, что не разрешено, то запрещено». Данный подход также называется принципом «белых списков» и позволяет сводить на нет любые не санкционированные ответственным лицом изменения в системе, предотвращая атаки на компанию изнутри. Примером защитного ПО для рабочих компьютеров, созданного по такой технологии, является решение SafenSoft […]



Большие данные в целях анализа рисков ИБ как перспективная задача для лидеров отрасли

Информационная безопасность

Дмитрий Костров, директор департамента информационно-телекоммуникационных технологий, NVision Group Наряду с уже набившим оскомину понятием «большие данные», подразумевающим серию подходов, инструментов и методов обработки структурированных и неструктурированных данных огромных объемов и значительного многообразия для получения экономически эффективных и воспринимаемых человеком результатов, в условиях непрерывного прироста, распределения по узлам вычислительной сети, появилось новое понятие – «озеро данных» (data lake). Общеизвестно, что эти два термина являются хорошими маркетинговыми ходами. Понятие «озеро» подразумевает репозитарий с достаточно большим объемом неструктурированных (сырых) данных, использующий плоскую архитектуру для их хранения. Сырые данные организации загружаются на Hadoop, далее работают средства глубинного анализа данных (data mining) и/или системы бизнес анализа (business intelligence). Необходимо отметить, что на рынке существует разница между компаниями, продвигающими на рынке направление хранения данных и направление монетизации данных путем извлечения из них ценной информации. В статье будет рассмотрена развивающееся направление применения анализа больших данных для повышения уровня информационной безопасности и осведомленности. Например, анализ большого объема данных может использоваться для анализа финансовых операций, файлов журналов и сетевого трафика, чтобы определить различные аномалии с учетом ретроспективы. С учетом сбора данных от различных источников в одном месте можно соотносить различные действия в единый сценарий атаки. На рис. 1 показана одна из систем обеспечения безопасности, использующая подход анализа больших данных […]



Борьба с инсайдом: новые угрозы и риски, перспективные организационные и технические средства

Информационная безопасность

Алексей Комаров, директор NGS Distribution по маркетингу и продуктовому управлению Актуальность проблем инсайда сегодня вряд ли у кого-то вызывает сомнения. Громкие истории, связанные с утечками конфиденциальной информации, у всех на слуху. Причем широкий общественный резонанс вызывают как разглашение информации, не предназначенной для посторонних, умышленными действиями сотрудников, так и утечки, возникающие в результате ошибочных и незлонамеренных действий. Борьба с инсайдом Деление – на умышленных инсайдеров и непреднамеренных – является уже устоявшимся. Принято считать (во всяком случае, многие аналитические отчеты говорят именно об этом), что случайные утечки происходят гораздо чаще. Под непреднамеренным инсайдером не совсем корректно понимать только того, кто отправил вовне непосредственно саму конфиденциальную информацию. Данное понятие логично распространить на любого сотрудника, чье какое-либо действие или бездействие прямо повлекло за собой утечку. Скажем, разглашение тем или иным способом пароля постороннему лицу либо установка на рабочий компьютер троянской программы утечкой, в общем-то, не является, но к таковой вполне понятным образом ведет. С другой стороны, и слишком обобщать это понятие тоже было бы неправильно, иначе к непреднамеренным инсайдерам можно причислить и администратора, не установившего свежее обновление или неправильно настроившего систему предотвращения вторжений, в результате чего злоумышленник получил возможность доступа к конфиденциальной информации. Завершая обсуждение терминов, стоит оговорить, что хотя формально понятие «утечка» не […]



Как сделать информационные технологии в школе защищенными

[Отрасль]

Виктор Котов, эксперт по информационной безопасности INLINE Technologies Школа (англ. school, греч. σχολή) — тюрьма для личинок человека. Луркоморье Некогда, когда Windows еще был всего лишь оболочкой над MS DOS, в наших школах начали повсеместно внедрять информатику. На таких уроках, за неимением сокровенных знаний и даже компьютеров, преподаватель рисовал мелом на доске иконки Windows, а ученики старательно записывали в тетрадях, на что надо нажать, чтобы запустить то или иное приложение. Постепенно и не торопясь, школа преобразуется, и сейчас практически у каждого ученика с самого первого класса есть компьютерная техника, а на уроках даже по самым обычным предметам все чаще используется электронная интерактивная доска. О входе и выходе ребенка из школы извещает SMS, и в столовой можно расплатиться специальной карточкой, которая пополняется и контролируется родителями. В конце концов информационные технологии, проникая во все щели школьного образования, сами по себе становятся не только средством достижения цели, но незаметно – и самой целью. Используя для выполнения заданий компьютерную технику, ученик в первую очередь получает навыки работы с этой техникой. Даже запрещая пользоваться на уроке смартфонами, калькуляторами, планшетами, учителя неосознанно, но крайне эффективно прививают детям навыки виртуозного владения этими устройствами. Без Интернета и смартфона нынешнему поколению прожить будет трудно – без этого человек просто выпадает из контекста современного общества (как, впрочем, […]



Информационная безопасность в университетах

[Отрасль]

Виталий Масютин, ведущий инженер Департамента информационной безопасности, АМТ-ГРУП Развитие сети Интернет, технологий сотовой связи и телекоммуникаций уже кардинально изменили и продолжают динамично менять наше отношение к информации, наше поведение при принятии решений, наши приоритеты в выборе источников получения знаний. И современные студенты, молодые люди в возрасте от 16 до 22 лет, восприимчивые ко всему новому, наиболее лояльны и подвержены происходящим переменам. НЕОБХОДИМОСТЬ ИЗМЕНЕНИЙ             Перед учебными заведениями стоит непростая задача. Преподавателям на занятиях в борьбе за внимание студента приходится конкурировать с социальными сетями, учебным материалам − с Wikipedia, а самостоятельному обучению − с Torrent-трекерами и YouTube. Несмотря на то что студенты добровольно поступают в университеты для получения знаний и навыков, необходимых для работы и дальнейшей самостоятельной жизни, очень сложно объяснить, почему приемы и методы, помогающие при решении любых бытовых проблем (от организации досуга до выбора ноутбука), не могут быть использованы и в процессе обучения. Зачем чертить карандашом, если есть AutoCAD, зачем носить с собой килограммы учебников, если все необходимое можно с легкостью загрузить в планшетный компьютер, зачем просить у одногруппника конспект пропущенной лекции, если в сети Интернет есть инструкции и рекомендации на любой случай? Зачем вообще нужно образование, которое отстает от окружающего мира на несколько десятков лет? В сложившихся обстоятельствах […]



Проблемы развития юридически значимого электронного документооборота при переходе к облачным вычислениям

Информационная безопасность

А. Г. Сабанов, ЗАО «Аладдин Р.Д.» Вопросы юридически значимого (ЮЗ) ЭДО активно обсуждаются специалистами, но единого подхода на момент написания данной статьи так и не выработано. Сказывается отсутствие долгожданной законодательной основы, в частности, по электронному документу (ЭД) и электронным сделкам. Практически в нулевом состоянии и сопутствующая нормативная база по поддержанию в доверенном состоянии онлайн-сервисов, гарантирующих юридическую силу ЭД, а также сам минимальный набор таких доверенных сервисов, необходимых и достаточных для придания юридической силы ЭД. Без перечисленных документов только организационными мерами создать ЮЗ ЭДО проблематично. Тем не менее, замена бумажного документооборота юридически значимым электронным уже не за горами, и оценить некоторые перспективы перевода в облака с точки зрения задач («а что для этого надо сделать?») можно уже сегодня. Рассмотрим проблемы построения ЮЗ ЭДО для обычных информационных систем (ИС), а затем более подробно – как изменятся задачи такого построения при переходе к облачным вычислениям на примере частного облака и облака публичного. Проблемы обеспечения юридической силы электронного документа Проанализируем ситуацию, условно объединив близкие по природе проблемы в комплексы. Главный из них – отсутствие адекватной нормативной базы, которая позволила бы двигаться вперед. Во-первых, катастрофически не хватает нормативной базы регулирования ЭДО. Нет узаконенных понятий ЭД, электронной сделки и т. д. Во-вторых, не решен комплекс задач […]



Защита виртуализации: вчера, сегодня, завтра

Информационная безопасность

Александр Веселов, ведущий инженер, ЗАО «С-Терра СиЭсПи» Уже не раз говорилось о преимуществах виртуализации: простота установки, перераспределение ресурсов между виртуальными машинами, удобное резервное копирование и восстановление, экономия электроэнергии и мест в стойке. К этому мы привыкли на прикладных сервисах, а теперь прогресс дошел до сетевого оборудования и средств защиты информации: межсетевые экраны, криптошлюзы, системы обнаружения вторжений и другие средства защиты теперь тоже работают в виртуальной среде. Но с распространением виртуализации возникли новые угрозы, связанные с особенностями этой перспективной технологии, – размытие понятия «периметр», несанкционированный доступ к виртуальным машинам, атаки на гипервизор и его недекларированные возможности. Для противодействия новым угрозам используются механизмы защиты, встроенные в гипервизоры, а также отдельные средства защиты виртуальной инфраструктуры.  Переход в виртуальное пространство повлек за собой появление нового сегмента рынка – аренда услуг ЦОД. Клиент может арендовать не только место в стойке, но и инфраструктуру, доступ к определенным приложениям и даже обеспечение бизнес-процессов. Постепенно рынок движется в сторону полноценных, законченных услуг и к отказу от предоставления отдельных компонентов. При таких тенденциях влияние клиента на безопасность значительно снижается, а сфера ответственности компании, предоставляющей услугу, наоборот, расширяется. Может ли она обеспечить требуемый уровень конфиденциальности, доступности и целостности – большой вопрос. Отчасти это связано с тем, что обеспечение информационной безопасности […]



Платежные карты сегодня – риски и методы защиты

Информационная безопасность

Максим Кузин, главный архитектор продукта, БПЦ, к.т.н. В 2013 г. Россия заняла первое место в Европе по темпам роста убытков от мошеннических операций с платежными картами. Объем потерь за прошлый год увеличился на 27,6% по сравнению с показателем предыдущего года, в 10 раз по сравнению с 2006 г. и на 365% по отношению к 2008 г. Совокупные потери по 19 европейским странам составили 1,55 млрд евро, в России – 22,5 млн евро [1]. Общемировые потери за тот же год выросли на 19% и составили 14 млрд долл., причем 51% пришелся только на США с годовым приростом в 29% [2]. Многолетние исследования взломов автоматизированных систем, приводящих к утечке данных, также подтверждают привлекательность сферы платежных карт для злоумышленников [3]: это и проникновение в торговые сети, в которых обрабатываются данные карт через POS-терминалы, и компрометация данных через несанкционированное считывание магнитной полосы (скимминг) в POS-терминале или банкомате. Причем по сведениям за 2013 г. в 100% инцидентов со взломом систем POS-терминалов и скиммингом данные были скомпрометированы, что является исключительной особенностью именно систем, в которых обрабатываются данные платежных карт [3]. Мошенничество с платежными картами приобретает все более широкое распространение по причине явной ценности компрометируемой информации для злоумышленника. Так, в случае взлома некоторой автоматизированной системы и несанкционированного […]



Гибридные облака как оптимальная модель для среднего и крупного бизнеса

[Компьютеры и системы]

Владимир Мешалкин, директор Центра вычислительных комплексов R-Style По определению Национального института стандартов и технологий (США), которое на текущий момент позволяет всем в отрасли говорить «на одном языке», гибридное облако является сочетанием двух и более разновидностей облаков (частных, общих или публичных), остающихся уникальными сущностями, но объединенными вместе стандартизированными или проприетарными технологиями, обеспечивающими переносимость данных и приложений между этими облаками. В качестве вариантов реализации гибридной модели можно выделить несколько видов сочетания облаков: частное облако в собственном ЦОД (или на мощностях поставщика услуг, или на собственном оборудовании, размещенном на территории коммерческого ЦОД) плюс одно либо несколько публичных облаков, частное облако в собственном ЦОД плюс частное облако на мощностях поставщика услуг. Важно также понимать, какая реализация инфраструктуры попадает под понятие гибридного облака, а какая является лишь совместным использованием разных типов облаков. Если для полноценной организации работы отдельных бизнес-систем, процессов или нагрузок используются отдельные модели предоставления облачных услуг, например частное облако для одной системы и публичное для другой, то такая инфраструктура не может называться гибридным облаком. Если же одна бизнес-система, процесс либо нагрузка использует или может использовать одновременно несколько моделей предоставления облачных услуг, то это гибридное облако. Такой формулировки, в частности, придерживается Forrester и применяет ее для результатов аналитики рынка. По данным Forrester (Ten Мyths […]



Управление инцидентами информационной безопасности: о чем говорят стандарты

[Тема номера]

Анна Рыженкова, ведущий консультант-аналитик, ОАО «ЭЛВИС-ПЛЮС» Управление инцидентами информационной безопасности (далее – инциденты) – тема далеко не новая, но по-прежнему не теряющая своей актуальности. Возникновение инцидентов – это те случаи, когда непременно вспоминают о существовании информационной безопасности (ИБ). А вот какими словами сопровождается данный процесс, зависит от используемого подхода к управлению инцидентами (реактивный или проактивный). Реактивный – всем хорошо известный метод «пока гром не грянет», с проактивным все гораздо сложнее. Применить его на практике удается далеко не всегда. Зачем делать что-то сейчас, если потом это может вообще не потребоваться? Тем не менее от возникновения инцидентов не застрахован никто. Риски, как бы мы их ни минимизировали, остаются всегда (не зря же введено такое понятие, как «остаточный риск», да и все случаи предусмотреть на 100% просто нереально). Изменение внешней и внутренней среды компании, развитие технологий – все это может привести к различным инцидентам. Как противостоять им и стоит ли изобретать что-то свое – личное дело каждого, но обратить внимание на накопленный опыт и имеющиеся разработки стоит в любом случае. Выбор стандартов и руководств на тему управления инцидентами сейчас достаточно богатый. Вопросы управления инцидентами рассматриваются как в общих стандартах по управлению ИТ или ИБ (ISO/IEC 27001, ISO/IEC 27002, ISO/IEC 20000, COBIT5, ITIL), так […]



Как «приготовить» настоящий SOC? − Простой рецепт

[Тема номера]

 Эльман Бейбутов, руководитель направления безопасности БД и SOC Центра информационной безопасности, компания «Инфосистемы Джет» Говорят: создать SOC сложно. Однако давайте разберемся, какие проблемы возникают при построении SOC и какие пути их решения существуют. Любая крупная компания, внедряющая по две-три актуальных системы ИБ ежегодно, сталкивается с необходимостью автоматизированного разбора сотен миллионов событий в день. Наиболее крупные из них уже сейчас строят и масштабируют свои SIEM, выделяют специалистов, разрабатывают регулирующие документы. И у них, как у настоящих оптимистов, стакан SOC’а наполовину полон. Основа SOC: технологии, люди, процессы Три кита, на которых держится SOC, − SIEM (технологическая платформа), персонал и процессы. Выбор SIEM − зачастую самый простой и достижимый результат. На нашем рынке представлены пять производителей, чьи системы можно взять на тестирование, разобраться в тонкостях интерфейсов, отличиях подходов к разработке правил корреляции и управления инцидентами. При этом стоит учесть понимание каждым производителем концепции Next Generation SIEM – лакмусовой бумажки, отображающей зрелость идей и технологий. По подходу к управлению инцидентами решения условно можно разделить на три группы: готовые реализовать любую прикладную задачу ИБ и имеющие для этого продуманный интерфейс, оптимизированные алгоритмы и логику; базирующиеся на собственном высокопроизводительном оборудовании и «перемалывающие» огромные потоки событий в секунду. Это упрощает задачу фильтрации данных, но может «замусорить» систему […]



SOC и ISMS: тактика и стратегия информационной безопасности

Connect WIT

Олег Марков, руководитель группы РНМД, ООО «Газинформсервис», к. т. н., доцент Иван Черников, эксперт по направлению автоматизации процессов управления ИБ, ООО «Газинформсервис» В настоящей статье рассматриваются две системы централизованного управления ИБ – Security operation center (SOC) и Information Security management System (ISMS), раскрываются преимущества их интеграции и основные возможности в рамках автоматизируемых функций. Получение прибыли – основная цель ведения бизнеса организации. В современных условиях ключевым активом в интересах функционирования бизнес-процессов является информация. В связи с тем, что поддержка информационного обеспечения осуществляется в основном за счет информационных технологий, именно этот актив наиболее подвержен воздействию угроз нарушения безопасности информации, спектр угроз расширяется, а противодействие им становится важным элементом успешного управления организацией. Реализация организационных и технических защитных мер в большинстве случаев является эффективным способом предотвращения, обнаружения и устранения последствий угроз. Однако применение несогласованных между собой защитных мер может негативно отразиться на функционировании отдельных бизнес-процессов или бизнеса в целом. Как следствие, все более востребованными на рынке становятся централизованные системы управления информационной безопасностью (ИБ), комплексно решающие задачи в области безопасности организации.  Security Operation Center Обнаружение инцидентов ИБ является первым шагом на пути к устранению информационных угроз бизнес-интересам. Наличие в организации различных средств мониторинга событий ИБ и состояния защищенности информационной инфраструктуры требует обеспечения их взаимодействия на […]



SOC c мякотью: управление информационной безопасностью как ответ на вызовы глобального меняющегося мира

[Тема номера]

Егор Дёров, заместитель руководителя практики аналитических систем ИБ, «Астерос Информационная безопасность» (группа «Астерос») Построение Security Operations Center (SOC) позволяет существенно повысить эффективность применяемых технологий ИБ. Как добиться полноценного решения задач SOC и как выстроить процесс управления инцидентами (Incident Management)? Об этом пойдет речь в статье. Управление ─ важнейший процесс любой компании. Обеспечением информационной безопасности также нужно управлять. И относиться к этому вопросу следует очень серьезно. Давайте разберемся почему. Зачем все это нужно В настоящее время довольно сложно представить себе компанию, которая не задумывается об информационной безопасности. Уровень развития ИБ в большой степени зависит от уровня развития бизнеса и ИТ. Защита информации всегда начинается с чего-то простого: необходимо установить межсетевые экраны, антивирусы и прочее, т. е. решить задачи на уровне инфраструктуры. На этом этапе выстраиванию соответствующих процессов и их регламентации внимание не уделяется. Со временем задачи усложняются, появляется потребность в использовании более сложных решений, таких как DLP-системы, сканеры безопасности, системы класса Security Information and Event Management (SIEM). И однажды совокупность хаотичных и нерегламентированных процессов, огромное количество средств защиты, каждое из которых является жизненно необходимым, достигает такого состояния, когда уже неясно, действительно ли мы понимаем, как все это функционирует, как этим управлять, что происходит в компании с точки зрения ИБ. Практика показывает, что не всегда наращивание количества […]



Архитектура и основные подсистемы SOC, применяемые решения и продукты

[Тема номера]

Антон Юдаков, начальник отдела решений по управлению ИБ, ОАО «ЭЛВИС-ПЛЮС» Планирование, внедрение и обеспечение деятельности Security Operations Center (SOC) в его традиционном понимании – как ситуационного центра мониторинга и управления инцидентами ИБ – является сегодня одной из актуальных задач для множества российских и зарубежных компаний. Согласно отчету компании Verizon «2013 Data breach Investigation report», около 70% проникновений в корпоративные сети компаний было обнаружено не самостоятельно, а внешними по отношению к ним организациями, уведомившими их о соответствующих утечках. Одним из громких примеров может служить проникновение во внутреннюю сеть компании Target в конце 2013 г., повлекшее утечку данных кредитных карт более 40 млн клиентов компании и прочих нефинансовых данных примерно 70 млн. При этом важно понимать, что одномоментного внедрения средств мониторинга, даже сопровождаемых набором документации и выделенным персоналом, недостаточно для решения поставленной задачи. И речь не только о постоянном развитии и внедрении новых технологий, а также сопутствующем развитии угроз ИБ. Обеспечение деятельности по информационной безопасности должно быть динамичным и, кроме того, являться частью системы управления компанией. Современный SOC При анализе развития и внедрения новых технологий можно отметить существенное эволюционирование SOC вследствие тенденций двух последних десятилетий: эпоха расцвета вредоносного ПО, ботнетов, IDS, IPS и Compliance, кибервойн, хактивизма, APT и, наконец, в настоящее время – […]



DPI да не тот. Обзор технологии Deep Packet Inspection и примеры решений

Connect WIT

Бывает легче читать между строк, чем строку за строкой. Генри Джеймс Миром движет любознательность. На протяжении тысячелетий человек пытался объяснить себе, как идут процессы вокруг него: как светит солнце, как дует ветер, как текут реки. Для этого наши пращуры анализировали день за днем поведение сущностей в их мире и пытались выстроить закономерности, по которым впоследствии строилась их жизнь и жизнь будущих поколений. Со временем наука и техника развивались, и современный человек уже пытается понять, как едет его автомобиль, работает холодильник и звонит мобильный телефон. Одной из интереснейших тем для исследования в наши дни является Интернет, и одной из технологий, которая помогает нам в этом, является DPI – Deep Packet Inspection. Системы DPI, исходя из названия, позволяют проводить глубокий анализ сетевых пакетов. «Глубина» в данном случае выражается в способности системы проверить пакет не по трем-четырем уровням модели OSI, как это делают традиционные системы фильтрации, а заглянуть выше, вплоть до уровня приложений. Системы DPI анализируют данные, проходящие через них, с помощью различных признаков определяют сетевые программы и протоколы, выстраивают определенные закономерности и позволяют не только собирать отчетную информацию, но и различным образом воздействовать на потоки данных – блокировать или, например, менять приоритет. Кому может быть интересен данный функционал?             Безусловно, развертывание DPI-систем […]



Новая парадигма ИБ: по отношению к ИТ-инфраструктуре нет «своих», все – «чужие»

[Тема номера]

Банковская сфера является одной из наиболее требовательных к обеспечению высоких стандартов информационной безопасности. Банк Хоум Кредит относится к крупнейшим розничным банкам в России. Он занимает второе место по размеру сети отделений, а также входит в ТОП-5 банков по размеру портфеля кредитов физическим лицам и объему срочных вкладов населения. Об особенностях обеспечения информационной безопасности в столь крупном розничном банке нам рассказал Юрий Лысенко, начальник управления информационной безопасности Банка Хоум Кредит. – В чем концептуальная сложность обеспечения информационной безопасности бизнеса сегодня? – Основная сложность при обеспечении ИБ в современных условиях заключается в том, что по отношению к ИТ-инфраструктуре больше нет «своих» и «чужих» пользователей программного обеспечения. Сегодня все – «чужие». Парадигма ИБ изменилась кардинально. Не обязательно речь идет об облачных технологиях или инсайдерстве: обычная программа может быть плохо написана, обновление плохо протестировано и т. д. Все это порождает уязвимости в системе информационной безопасности в самых неожиданных местах, а также новые угрозы корпоративной ИС. – Многие специалисты по информационной безопасности являются сторонниками централизации компетенций банка по обеспечению ИБ. А существуют ли среди банковских специалистов-безопасников сторонники децентрализации управления ИБ? – Это зависит от специфики работы банка и видения руководством того, как бизнес будет развиваться. Существуют розничные банки, есть те, кто занимается корпоративным бизнесом, ценными […]



SOC как сервис – почему это востребовано?

[Тема номера]

Александр Парамонов, руководитель направления SOC, АМТ-ГРУП Александр Пуха, эксперт-аналитик SOC, АМТ-ГРУП Сейчас почти в каждой организации ведется мониторинг компонентов ИТ-инфраструктуры на предмет выявления инцидентов ИБ. Где-то используется дорогостоящая SIEM-система, где-то сотрудники вручную мониторят наиболее критичные компоненты. Но  даже в случае использования SIEM-системы ее обслуживание и организация комплексного мониторинга ИБ в целом являются непростой задачей, требующей квалифицированных ресурсов, поэтому руководители служб ИБ все чаще поднимают вопрос о передаче данной функции на аутсорсинг сторонней компании. В интервью журналу Connect специалисты компании «АМТ-ГРУП» Александр Парамонов, руководитель направления SOC, и Александр Пуха, эксперт-аналитик SOC, рассказали о подходе АМТ-ГРУП к оказанию услуг по мониторингу ИБ. Расскажите о сервисе SOC, который вы предлагаете.  Александр Парамонов: Сервис SOC – это услуга по комплексному мониторингу инцидентов ИБ. В рамках данной услуги эксперты АМТ-ГРУП осуществляют постоянный мониторинг и анализ событий ИБ в инфраструктуре заказчика, своевременно оповещают об обнаруженных инцидентах ИБ и помогают в реагировании на них. При этом вовлеченность специалистов заказчика в сам процесс мониторинга минимальна – они получают уже готовую информацию для принятия решений по реагированию на инциденты. На площадке заказчика разворачивается система мониторинга и интегрируется в существующую ИТ-инфраструктуру. Настройка и обслуживание всех компонентов системы выполняются специалистами АМТ-ГРУП. Характеристики оказываемой услуги могут быть существенно кастомизированы под потребности заказчика […]


Поделиться:



Следите за нашими новостями в
Телеграм-канале Connect

Спецпроект

Медицинские задачи для ИИ

Подробнее
Спецпроект

Цифровой Росатом

Подробнее