Location via proxy:   [ UP ]  
[Report a bug]   [Manage cookies]                
SlideShare a Scribd company logo

Построение архитектуры информационной безопасности, соответствующей современным вызовам.

Download as PPTX, PDF
Security Code Ltd.
Security Code Ltd.

Построение архитектуры информационной безопасности, соответствующей современным вызовам. Директор по маркетингу Андрей Степаненко. Форум «Технологии. Инновации. Будущее.» Омск, 6-7 июня 2013 г.

1 of 32
Построение архитектуры информационной безопасности, соответствующей современным вызовам Директор по маркетингу Андрей Степаненко Форум «Технологии. Инновации. Будущее.» Омск, 6-7 июня 2013 г.
Почему пришло время задуматься о пересмотре подходов к информационной безопасности
Наступила новая эпоха в ИТ К 2020 г ИТ-рынок вырастет на 50%, основной рост будет за счет: Технологий для третьей платформы ИТ Решений на их основе Массовое распространение уже началось, что открывает новые возможности Ландшафт ИБ существенно видоизменяется Источник: IDC, 2011
Четыре источника изменений На рынок выходит масса новичков, которые успешно конкурируют с прежними лидерами Изменение цели CIO: от «IT productivity» к «Intelligent economy» Постепенное проникновение новых технологий, существенно повышающих значение IT в организациях Пересмотр подходов к информационной безопасности в применении к новым технологиям Источник: IDC, 2011
Что ждет нас уже завтра Большое число разных мобильных устройств, которые не принадлежат компании , и тысячи приложений, которые не управляются и не защищаются корпоративными ИТ и ИБ Расширение применения облачных сервисов, качество которых управляется не корпоративным ИТ Рост объемов Big Data, принадлежащих разным владельцам и управляемых ими Расширение применения социальных технологий, окончательное размывание периметра Новая задача ИБ: защищать активы, которые часто не принадлежат организации, не полностью управляются, частично контролируются и находятся за пределами корпоративной сети
Что с другой стороны баррикад
Глобальное признание кибер-угроз Впервые за последние 5 лет в список самых опасных угроз для мировой экономики включили техногенную угрозу: кибер-атаки Источник: World Economic Forum, Global Risks 2013
Рост угроз по всем направлениям Все новые технологии несут с собой новые риски Злоумышленники активно осваивают новые области Уровень угроз подобен энтропии – он только растет Источник: ENISA Threat Landscape 2013 Responding to the Evolving Threat Environment
Криминализация хакеров Вредоносное ПО стало инструментом для зарабатывания денег Источник: The Cisco Cybercrime ROI Matrix, 2012
Кто нам помогает в убеждении
Надежда на регуляторов Источник: The Ernst & Young Business Challenges 2011-2013 Report «Exploring the top 10 risks and opportunities»
Новации российских регуляторов Обновленный ФЗ «О персональных данных», ПП-1119, Приказ №21 ФСТЭК России от 18.02.2013 г. Приказ №17 ФСТЭК России от 11.02.2013 г. (новый СТР- К) ФЗ «Об электронной подписи» ФЗ «Об организации предоставления государственных и муниципальных услуг» и комплект документов по СМЭВ ФЗ «О безопасности объектов ТЭК» Государственная политика в области безопасности АСУ ТП КВО ФЗ «О национальной платежной системе», ПП-584 и комплект документов Банка России по защите информации в НПС
Самая «горячая» новинка Приказ ФСТЭК России №21 от 18.02.2013 (зарегистрирован Минюстом 14.05.2013 за №28375) Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных Заменил Приказ ФСТЭК России №58 от 05.02.2010
Что нам мешает
Как обычно – не хватает денег… Источник: IDC, 2012 Разрыв между способностями компаний к обеспечению безопасности и драйверами развития (угрозами, требованиями и т.п.)
Что в результате Растет число компаний, не справляющихся с современными угрозами Источник: PwC, The Global State of Information Security Survey 2013
Что в результате Растет разрыв между временем проникновения и временем обнаружения и реагирования на инциденты Источник: Verizon Data Breach Investigation Report, 2012
© Что делать?
Ориентироваться на успешный опыт Лучшие мировые практики ISO/EIC 27000 - Международные стандарты управления информационной безопасностью BSI Standard 100 - Стандарты Германии серии IT- Grundschutz Methodology Рекомендации международных экспертных организаций «20 Critical Security Controls for Effective Cyber Defense» от SANS Institute «35 Strategies to Mitigate Targeted Cyber Intrusions» от Defence Signals Directorate Правительства Австралии) Опыт лидеров отрасли и компаний-лидеров из других отраслей
Внедрять процессный подход к ИБ Документировать базовые процессы, на основе которых может быть построена система управления информационной безопасностью Осознанно подобрать решения, при помощи которых можно обеспечить автоматизацию этих процессов Интегрировать решения в существующую инфраструктуру и обеспечить внедрение базовых процессов Поэтапно разрабатывать и внедрять дополнительные процессы, обеспечивающие совершенствование системы управления информационной безопасностью Управление доступом Управление изменениями Мониторинг и управление инцидентами Обучение пользователей
Интегрировать ИБ на всех уровнях
Проводить регулярную оценку - 2.00 4.00 6.00 8.00 10.00 Security Management System Security Access Control Networking Security Alerting & Response Compliance BCP/DRP Personnel Security Risk Assessment Auditing Systems Development Physical Security Security Technologies Self-Assessment Benchmark Information Security Self-Assessment
Непрерывно совершенствовать ИБ
Ожидаемые результаты Процессно-ориентированная система управления ИБ, способная быстро адаптироваться к организационным, правовым и технологическим изменениям Риск-ориентированный подход к выбору приоритетных направлений обеспечения ИБ, гарантирующий эффективное использование бюджета для противодействия самым «дорогим» угрозам
Причем тут «Код Безопасности»
О компании «Код Безопасности» Российский разработчик программных и аппаратных средств для защиты информации Лицензии ФСТЭК, ФСБ, Минобороны России Партнерство с VMware, Microsoft, Citrix Входит в группу компаний «Информзащита», крупнейший специализированный холдинг российского рынка информационной безопасности Продажи только через партнерскую сеть Крупнейший партнер в Сибирском регионе
Наши заказчики Администрация Президента РФ ГАС «Выборы» МО, ФСБ, ФСО, МВД, МЧС Министерство финансов Федеральное казначейство Федеральная таможенная служба Банк России Сбербанк Росэнергоатом Газпром Ростелеком Почта России ГК Ростехнологии Российские железные дороги и др. Более 18000 организаций в России и странах СНГ
Наши продуты Комплекс сертифицированных продуктов от одного производителя для управления доступом и защиты информации в соответствии с требованиями регуляторов
Сертификация наших продуктов 57 действующий сертификатов, позволяющих защищать конфиденциальную информацию, персональные данные и сведения, составляющие государственную тайну
Преимущества наших продуктов Объединены единым архитектурным замыслом и ориентированы на обеспечение безопасности различных компонентов информационной системы Предназначены для применения в сложных современных информационных системах (совместимость и интеграция с корпоративными каталогами пользователей, используемой инфраструктурой PKI, SIEM-решениями и т.п.) Имеют специальные возможности для постепенного наращивания уровня защищенности без нарушения функционирования информационной системы
Подробнее – www.securitycode.ru Документация и демоверсии Типовые схемы применения Рекомендации по настройке для защиты различных видов тайн Регулярные вебинары по продуктам и новинкам законодательства
СПАСИБО! Андрей Степаненко Директор по маркетингу a.stepanenko@securitycode.ru +7 495 980 2345

More Related Content

Построение архитектуры информационной безопасности, соответствующей современным вызовам.

  • 1. Построение архитектуры информационной безопасности, соответствующей современным вызовам Директор по маркетингу Андрей Степаненко Форум «Технологии. Инновации. Будущее.» Омск, 6-7 июня 2013 г.
  • 2. Почему пришло время задуматься о пересмотре подходов к информационной безопасности
  • 3. Наступила новая эпоха в ИТ К 2020 г ИТ-рынок вырастет на 50%, основной рост будет за счет: Технологий для третьей платформы ИТ Решений на их основе Массовое распространение уже началось, что открывает новые возможности Ландшафт ИБ существенно видоизменяется Источник: IDC, 2011
  • 4. Четыре источника изменений На рынок выходит масса новичков, которые успешно конкурируют с прежними лидерами Изменение цели CIO: от «IT productivity» к «Intelligent economy» Постепенное проникновение новых технологий, существенно повышающих значение IT в организациях Пересмотр подходов к информационной безопасности в применении к новым технологиям Источник: IDC, 2011
  • 5. Что ждет нас уже завтра Большое число разных мобильных устройств, которые не принадлежат компании , и тысячи приложений, которые не управляются и не защищаются корпоративными ИТ и ИБ Расширение применения облачных сервисов, качество которых управляется не корпоративным ИТ Рост объемов Big Data, принадлежащих разным владельцам и управляемых ими Расширение применения социальных технологий, окончательное размывание периметра Новая задача ИБ: защищать активы, которые часто не принадлежат организации, не полностью управляются, частично контролируются и находятся за пределами корпоративной сети
  • 6. Что с другой стороны баррикад
  • 7. Глобальное признание кибер-угроз Впервые за последние 5 лет в список самых опасных угроз для мировой экономики включили техногенную угрозу: кибер-атаки Источник: World Economic Forum, Global Risks 2013
  • 8. Рост угроз по всем направлениям Все новые технологии несут с собой новые риски Злоумышленники активно осваивают новые области Уровень угроз подобен энтропии – он только растет Источник: ENISA Threat Landscape 2013 Responding to the Evolving Threat Environment
  • 9. Криминализация хакеров Вредоносное ПО стало инструментом для зарабатывания денег Источник: The Cisco Cybercrime ROI Matrix, 2012
  • 10. Кто нам помогает в убеждении
  • 11. Надежда на регуляторов Источник: The Ernst & Young Business Challenges 2011-2013 Report «Exploring the top 10 risks and opportunities»
  • 12. Новации российских регуляторов Обновленный ФЗ «О персональных данных», ПП-1119, Приказ №21 ФСТЭК России от 18.02.2013 г. Приказ №17 ФСТЭК России от 11.02.2013 г. (новый СТР- К) ФЗ «Об электронной подписи» ФЗ «Об организации предоставления государственных и муниципальных услуг» и комплект документов по СМЭВ ФЗ «О безопасности объектов ТЭК» Государственная политика в области безопасности АСУ ТП КВО ФЗ «О национальной платежной системе», ПП-584 и комплект документов Банка России по защите информации в НПС
  • 13. Самая «горячая» новинка Приказ ФСТЭК России №21 от 18.02.2013 (зарегистрирован Минюстом 14.05.2013 за №28375) Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных Заменил Приказ ФСТЭК России №58 от 05.02.2010
  • 15. Как обычно – не хватает денег… Источник: IDC, 2012 Разрыв между способностями компаний к обеспечению безопасности и драйверами развития (угрозами, требованиями и т.п.)
  • 16. Что в результате Растет число компаний, не справляющихся с современными угрозами Источник: PwC, The Global State of Information Security Survey 2013
  • 17. Что в результате Растет разрыв между временем проникновения и временем обнаружения и реагирования на инциденты Источник: Verizon Data Breach Investigation Report, 2012
  • 19. Ориентироваться на успешный опыт Лучшие мировые практики ISO/EIC 27000 - Международные стандарты управления информационной безопасностью BSI Standard 100 - Стандарты Германии серии IT- Grundschutz Methodology Рекомендации международных экспертных организаций «20 Critical Security Controls for Effective Cyber Defense» от SANS Institute «35 Strategies to Mitigate Targeted Cyber Intrusions» от Defence Signals Directorate Правительства Австралии) Опыт лидеров отрасли и компаний-лидеров из других отраслей
  • 20. Внедрять процессный подход к ИБ Документировать базовые процессы, на основе которых может быть построена система управления информационной безопасностью Осознанно подобрать решения, при помощи которых можно обеспечить автоматизацию этих процессов Интегрировать решения в существующую инфраструктуру и обеспечить внедрение базовых процессов Поэтапно разрабатывать и внедрять дополнительные процессы, обеспечивающие совершенствование системы управления информационной безопасностью Управление доступом Управление изменениями Мониторинг и управление инцидентами Обучение пользователей
  • 21. Интегрировать ИБ на всех уровнях
  • 22. Проводить регулярную оценку - 2.00 4.00 6.00 8.00 10.00 Security Management System Security Access Control Networking Security Alerting & Response Compliance BCP/DRP Personnel Security Risk Assessment Auditing Systems Development Physical Security Security Technologies Self-Assessment Benchmark Information Security Self-Assessment
  • 24. Ожидаемые результаты Процессно-ориентированная система управления ИБ, способная быстро адаптироваться к организационным, правовым и технологическим изменениям Риск-ориентированный подход к выбору приоритетных направлений обеспечения ИБ, гарантирующий эффективное использование бюджета для противодействия самым «дорогим» угрозам
  • 25. Причем тут «Код Безопасности»
  • 26. О компании «Код Безопасности» Российский разработчик программных и аппаратных средств для защиты информации Лицензии ФСТЭК, ФСБ, Минобороны России Партнерство с VMware, Microsoft, Citrix Входит в группу компаний «Информзащита», крупнейший специализированный холдинг российского рынка информационной безопасности Продажи только через партнерскую сеть Крупнейший партнер в Сибирском регионе
  • 27. Наши заказчики Администрация Президента РФ ГАС «Выборы» МО, ФСБ, ФСО, МВД, МЧС Министерство финансов Федеральное казначейство Федеральная таможенная служба Банк России Сбербанк Росэнергоатом Газпром Ростелеком Почта России ГК Ростехнологии Российские железные дороги и др. Более 18000 организаций в России и странах СНГ
  • 28. Наши продуты Комплекс сертифицированных продуктов от одного производителя для управления доступом и защиты информации в соответствии с требованиями регуляторов
  • 29. Сертификация наших продуктов 57 действующий сертификатов, позволяющих защищать конфиденциальную информацию, персональные данные и сведения, составляющие государственную тайну
  • 30. Преимущества наших продуктов Объединены единым архитектурным замыслом и ориентированы на обеспечение безопасности различных компонентов информационной системы Предназначены для применения в сложных современных информационных системах (совместимость и интеграция с корпоративными каталогами пользователей, используемой инфраструктурой PKI, SIEM-решениями и т.п.) Имеют специальные возможности для постепенного наращивания уровня защищенности без нарушения функционирования информационной системы
  • 31. Подробнее – www.securitycode.ru Документация и демоверсии Типовые схемы применения Рекомендации по настройке для защиты различных видов тайн Регулярные вебинары по продуктам и новинкам законодательства
  • 32. СПАСИБО! Андрей Степаненко Директор по маркетингу a.stepanenko@securitycode.ru +7 495 980 2345