Location via proxy:   [ UP ]  
[Report a bug]   [Manage cookies]                
SlideShare a Scribd company logo

Ассоциация "Инфопарк". Владимир Анищенко. "Актуальные вопросы обеспечения информационной безопасности организаций"

E
Expolink

Конференция "Код ИБ" 2017 | Минск

1 of 15
Leading Member Актуальные вопросы обеспечения информационной безопасности организаций По материалам Итогового документа Конференции «Технологии защиты информации и информационная безопасность организаций» IT-Security Conference 2017 (30-31 марта 2017) КОДИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ Минск – ОТЕЛЬ "ПЕКИН" (УЛ. КРАСНОАРМЕЙСКАЯ, 36) – 20 апреля 2017 Анищенко Владимир Викторович, к.т.н., CISA
Организаторы IT-Security Conference 2017: 2 Научно-технологическая ассоциация «Инфопарк», Оперативно-аналитический центр при Президенте Республики Беларусь, Следственный комитет Республики Беларусь, Национальный банк Республики Беларусь, Ассоциации белорусских банков. Всего предварительно зарегистрировано участников Конференции 305 Всего присутствовало на Конференции (из Беларуси, России, Украины, Польши, Литвы) 265 Всего присутствовало на Конференции без учета организаторов (из 114 организаций) 253 Участники IT-Security Conference 2017:
Участники IT-Security Conference 2017: 3 ИТ 77 Банки 38 Финансы и инвестиции 7 Промышленность 28 Транспорт и логистика 5 Торговля 5 Госорганы 61 Академический сектор 22 СМИ 4
Участники IT-Security Conference 2017: 4 Топ-менеджмент 17 7% Руководитель ИТ- и ИБ- службы 86 34% Менеджеры, руководители проекта 22 9% Ведущие ИТ- и ИБ специалисты 64 25% Научные сотрудники 11 4% Специалисты по продажам и маркетингу 13 5% Прочие специалисты 40 16%
Программа IT-Security Conference 2017: 40 докладов 5
Пленарная сессия 6 Новые разработки в сфере безопасности и международные тренды: - переход к использованию облачных технологий (SAAS, ЦОДы, виртуализация и т.п.) и использованию мобильных устройств (BYOD); - одна из самых популярных и актуальных угроз информационной безопасности – таргетированный фишинг; - значительный рост атак на финансовые системы.
Секция: Сертификация и аттестация 7 Предложения по внесению изменений в Приказ ОАЦ №62: - Возврат оценки корректности встраивания СКЗИ при аттестации; - «Легализация» использовании зарубежных СКЗИ в аттестуемых ИС; - Возможность сертификации компонент СКЗИ (криптоаплеты, библиотеки и т.п.), реализующих ограниченный набор криптофункций; - Проверка СЗИ при аттестации ИС с использованием сертифицированных средств контроля защищенности и проверки соответствия стандартам; - Введение периодического инспекционного контроля соответствия аттестованной ИС условиям выдачи аттестата; - Возможность продления аттестата соответствия на 3-5 лет в случае успешного прохождения периодического инспекционного контроля; - Определение набора квалификационных требований при проведении аттестации СЗИ ИС силами собственника ИС; - Предусмотреть прохождение СЗИ опытной эксплуатации до начала проведения аттестации; - Определение процедур обновления ПО («прошивки») в сертифицированных средствах ЗИ при выявлении уязвимостей; - Определение процедур сертификации средств ЗИ, установленных в СЗИ до момента принятия решения об аттестации СЗИ ИС, и т.д. и т.п.
Круглый стол: "О создании и функционировании FinCERT" 8 Оценка состояния дел и предложения : - остро стоят вопросы необходимости ухода от «принципа нулевой ответственности» банков и создания FinCERT в Беларуси, который смог бы аккумулировать информацию об инцидентах ; - коммерческие Банки выразили готовность сотрудничать и поддерживать создание и функционирование FinCERT в стране; - НБ РБ предложено рассмотреть возможность ускорения разработки стратегии ИБ и решения вопроса о создании белорусского FinCert; - Рекомендовано рассмотреть целесообразность введения экономической ответственности за утаивание информации о компьютерных инцидентах (на основе положительного опыта ЕС).
Опыт ЦБР по созданию FinCERT III конференция IT Security Conference 2017 Круглый стол: "О создании и функционировании FinCERT" 31 марта 2017 года Выполняемые задачи: 1. Организация и координация обмена информацией Центра, правоохранительных органов, кредитных и некредитных финансовых организаций 2. Анализ данных о фактах компьютерных атак в кредитных и некредитных финансовых организациях и подготовка аналитических материалов 3. Установление рекомендаций в области обеспечения защиты информации при осуществлении переводов денежных средств.
10 Круглый стол: "Защита персональных данных " Оценка состояния дел и предложения : - ориентировочно единый закон РБ о персональных данных может вступить в силу не ранее 2020 года; - обеспечить полностью легитимную трансграничную передачу персональных данных не возможно из-за отсутствия соответствующих норм; - белорусские организации, работающее с ПД даже при создании новых ИС не ориентируются на Национальную систему соответствия; - обоснована необходимость упреждающей разработки национальных ТНПА в области классификации и определения требований защиты ПД. - внесена рекомендация регуляторам привлекать общественность и, в первую очередь, операторов ПД, к разработке проекта закона о ПД, а также информировать о планируемых сроках по введению его в действие, шире использовать практику контроля защиты ПД, исходя из положений действующих правовых актов и ТНПА.
Опыт ЕС: технические требования по ЗПД III конференция IT Security Conference 2017 Круглый стол: "Защита персональных данных" 31 марта 2017 года Республика Беларусь - Предложение: определить технические требования к системам защиты ИС ПД СТБ 34.101.хх-201х Информационные технологии и безопасность. Методы и средства безопасности. Классы информационных систем обработки персональных данных. СТБ 34.101.хх-201х Информационные технологии и безопасность. Методы и средства безопасности. Профиль защиты информационных систем обработки персональных данных класса 0 - «нулевого риска». СТБ 34.101.хх-201х Информационные технологии и безопасность. Методы и средства безопасности. Профиль защиты информационных систем обработки персональных данных класса 1 - «обычного риска». СТБ 34.101.хх-201х Информационные технологии и безопасность. Методы и средства безопасности. Профиль защиты информационных систем обработки персональных данных класса 2 - «повышенного риска». СТБ 34.101.хх-201х Информационные технологии и безопасность. Методы и средства безопасности. Профиль защиты информационных систем обработки персональных данных класса 3 - «высокого риска».
12 Семинар: "СТБ 34.101.27++: обновление требований к СКЗИ" Проходил под девизом "стандарт как компромисс" участники под разными углами (заказчик, исполнитель и эксперт) обсудили: - развитие стандарта в части добавления классов по требованиям безопасности, введения пакетов требований к СКЗИ, оптимизации требований по самотестированию СКЗИ и полноты покрытия тестами; - вопрос защиты криптографических ключей верхнего уровня (возможны ли организационные меры?), - требования к криптографическим программам, - требования к программам управления аппаратными СКЗИ (считать частью СКЗИ или нет?), - вопросы управления криптографическими ключами (описывать в функциональной спецификации на СКЗИ или оценивать отдельно) и другое. Также было отмечено, что при доработке стандарта целесообразно учитывать опыт Российской Федерации и включение в него типовой методики проведения сертификационных испытаний СКЗИ.
13 Секция: "Безопасность перспективных технологий цифровой трансформации" Оценка состояния дел и предложения: - определена тенденция развития систем защиты периметра от утечки конфиденциальных данных в направлении защиты персональных мобильных устройств (концепция BYOD); - отмечено, что проблемой по управлению ИБ является адекватное реагирование на большое количество инцидентов: представлены средства автоматизации процессов разбора инцидентов; - по-прежнему актуальным остается внедрение систем контроля защищенности и соответствия стандартам: были представлены решения по контролю версий и обновлению ПО и его контролю; - обсуждена проблематика создания системы электронных денег государства на основе технологии приватного Блокчейн; - рекомендовано продолжить анализ развития криптовалют в мире, возможностей их регулирования в Республике Беларусь; - продолжить поиск и реализацию проектов, в которых технологии Блокчейн дадут существенный эффект; - проводить исследования и анализ, учитывать мировые тенденции развития технологий Блокчейн и криптовалют для создания механизмов реагирования на возможные инциденты.
14 Секция: "Кибербезопасность и борьба с киберпреступностью" Оценка состояния дел и предложения: - Разработка национальной стратегии кибербезопасности; - Разработка национальной программы и плана обеспечения кибербезопасности; - Разработка национальной программы повышения осведомлённости населения по вопросам кибербезопасности.
Спасибо! Анищенко Владимир, председатель комитета по информационной безопасности Ассоциации ”Инфопарк“, зам. ген. директора по науке и инновациям ООО ”СОФТКЛУБ“ u.anishchanka@softclub.by

More Related Content

Ассоциация "Инфопарк". Владимир Анищенко. "Актуальные вопросы обеспечения информационной безопасности организаций"

  • 1. Leading Member Актуальные вопросы обеспечения информационной безопасности организаций По материалам Итогового документа Конференции «Технологии защиты информации и информационная безопасность организаций» IT-Security Conference 2017 (30-31 марта 2017) КОДИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ Минск – ОТЕЛЬ "ПЕКИН" (УЛ. КРАСНОАРМЕЙСКАЯ, 36) – 20 апреля 2017 Анищенко Владимир Викторович, к.т.н., CISA
  • 2. Организаторы IT-Security Conference 2017: 2 Научно-технологическая ассоциация «Инфопарк», Оперативно-аналитический центр при Президенте Республики Беларусь, Следственный комитет Республики Беларусь, Национальный банк Республики Беларусь, Ассоциации белорусских банков. Всего предварительно зарегистрировано участников Конференции 305 Всего присутствовало на Конференции (из Беларуси, России, Украины, Польши, Литвы) 265 Всего присутствовало на Конференции без учета организаторов (из 114 организаций) 253 Участники IT-Security Conference 2017:
  • 3. Участники IT-Security Conference 2017: 3 ИТ 77 Банки 38 Финансы и инвестиции 7 Промышленность 28 Транспорт и логистика 5 Торговля 5 Госорганы 61 Академический сектор 22 СМИ 4
  • 4. Участники IT-Security Conference 2017: 4 Топ-менеджмент 17 7% Руководитель ИТ- и ИБ- службы 86 34% Менеджеры, руководители проекта 22 9% Ведущие ИТ- и ИБ специалисты 64 25% Научные сотрудники 11 4% Специалисты по продажам и маркетингу 13 5% Прочие специалисты 40 16%
  • 5. Программа IT-Security Conference 2017: 40 докладов 5
  • 6. Пленарная сессия 6 Новые разработки в сфере безопасности и международные тренды: - переход к использованию облачных технологий (SAAS, ЦОДы, виртуализация и т.п.) и использованию мобильных устройств (BYOD); - одна из самых популярных и актуальных угроз информационной безопасности – таргетированный фишинг; - значительный рост атак на финансовые системы.
  • 7. Секция: Сертификация и аттестация 7 Предложения по внесению изменений в Приказ ОАЦ №62: - Возврат оценки корректности встраивания СКЗИ при аттестации; - «Легализация» использовании зарубежных СКЗИ в аттестуемых ИС; - Возможность сертификации компонент СКЗИ (криптоаплеты, библиотеки и т.п.), реализующих ограниченный набор криптофункций; - Проверка СЗИ при аттестации ИС с использованием сертифицированных средств контроля защищенности и проверки соответствия стандартам; - Введение периодического инспекционного контроля соответствия аттестованной ИС условиям выдачи аттестата; - Возможность продления аттестата соответствия на 3-5 лет в случае успешного прохождения периодического инспекционного контроля; - Определение набора квалификационных требований при проведении аттестации СЗИ ИС силами собственника ИС; - Предусмотреть прохождение СЗИ опытной эксплуатации до начала проведения аттестации; - Определение процедур обновления ПО («прошивки») в сертифицированных средствах ЗИ при выявлении уязвимостей; - Определение процедур сертификации средств ЗИ, установленных в СЗИ до момента принятия решения об аттестации СЗИ ИС, и т.д. и т.п.
  • 8. Круглый стол: "О создании и функционировании FinCERT" 8 Оценка состояния дел и предложения : - остро стоят вопросы необходимости ухода от «принципа нулевой ответственности» банков и создания FinCERT в Беларуси, который смог бы аккумулировать информацию об инцидентах ; - коммерческие Банки выразили готовность сотрудничать и поддерживать создание и функционирование FinCERT в стране; - НБ РБ предложено рассмотреть возможность ускорения разработки стратегии ИБ и решения вопроса о создании белорусского FinCert; - Рекомендовано рассмотреть целесообразность введения экономической ответственности за утаивание информации о компьютерных инцидентах (на основе положительного опыта ЕС).
  • 9. Опыт ЦБР по созданию FinCERT III конференция IT Security Conference 2017 Круглый стол: "О создании и функционировании FinCERT" 31 марта 2017 года Выполняемые задачи: 1. Организация и координация обмена информацией Центра, правоохранительных органов, кредитных и некредитных финансовых организаций 2. Анализ данных о фактах компьютерных атак в кредитных и некредитных финансовых организациях и подготовка аналитических материалов 3. Установление рекомендаций в области обеспечения защиты информации при осуществлении переводов денежных средств.
  • 10. 10 Круглый стол: "Защита персональных данных " Оценка состояния дел и предложения : - ориентировочно единый закон РБ о персональных данных может вступить в силу не ранее 2020 года; - обеспечить полностью легитимную трансграничную передачу персональных данных не возможно из-за отсутствия соответствующих норм; - белорусские организации, работающее с ПД даже при создании новых ИС не ориентируются на Национальную систему соответствия; - обоснована необходимость упреждающей разработки национальных ТНПА в области классификации и определения требований защиты ПД. - внесена рекомендация регуляторам привлекать общественность и, в первую очередь, операторов ПД, к разработке проекта закона о ПД, а также информировать о планируемых сроках по введению его в действие, шире использовать практику контроля защиты ПД, исходя из положений действующих правовых актов и ТНПА.
  • 11. Опыт ЕС: технические требования по ЗПД III конференция IT Security Conference 2017 Круглый стол: "Защита персональных данных" 31 марта 2017 года Республика Беларусь - Предложение: определить технические требования к системам защиты ИС ПД СТБ 34.101.хх-201х Информационные технологии и безопасность. Методы и средства безопасности. Классы информационных систем обработки персональных данных. СТБ 34.101.хх-201х Информационные технологии и безопасность. Методы и средства безопасности. Профиль защиты информационных систем обработки персональных данных класса 0 - «нулевого риска». СТБ 34.101.хх-201х Информационные технологии и безопасность. Методы и средства безопасности. Профиль защиты информационных систем обработки персональных данных класса 1 - «обычного риска». СТБ 34.101.хх-201х Информационные технологии и безопасность. Методы и средства безопасности. Профиль защиты информационных систем обработки персональных данных класса 2 - «повышенного риска». СТБ 34.101.хх-201х Информационные технологии и безопасность. Методы и средства безопасности. Профиль защиты информационных систем обработки персональных данных класса 3 - «высокого риска».
  • 12. 12 Семинар: "СТБ 34.101.27++: обновление требований к СКЗИ" Проходил под девизом "стандарт как компромисс" участники под разными углами (заказчик, исполнитель и эксперт) обсудили: - развитие стандарта в части добавления классов по требованиям безопасности, введения пакетов требований к СКЗИ, оптимизации требований по самотестированию СКЗИ и полноты покрытия тестами; - вопрос защиты криптографических ключей верхнего уровня (возможны ли организационные меры?), - требования к криптографическим программам, - требования к программам управления аппаратными СКЗИ (считать частью СКЗИ или нет?), - вопросы управления криптографическими ключами (описывать в функциональной спецификации на СКЗИ или оценивать отдельно) и другое. Также было отмечено, что при доработке стандарта целесообразно учитывать опыт Российской Федерации и включение в него типовой методики проведения сертификационных испытаний СКЗИ.
  • 13. 13 Секция: "Безопасность перспективных технологий цифровой трансформации" Оценка состояния дел и предложения: - определена тенденция развития систем защиты периметра от утечки конфиденциальных данных в направлении защиты персональных мобильных устройств (концепция BYOD); - отмечено, что проблемой по управлению ИБ является адекватное реагирование на большое количество инцидентов: представлены средства автоматизации процессов разбора инцидентов; - по-прежнему актуальным остается внедрение систем контроля защищенности и соответствия стандартам: были представлены решения по контролю версий и обновлению ПО и его контролю; - обсуждена проблематика создания системы электронных денег государства на основе технологии приватного Блокчейн; - рекомендовано продолжить анализ развития криптовалют в мире, возможностей их регулирования в Республике Беларусь; - продолжить поиск и реализацию проектов, в которых технологии Блокчейн дадут существенный эффект; - проводить исследования и анализ, учитывать мировые тенденции развития технологий Блокчейн и криптовалют для создания механизмов реагирования на возможные инциденты.
  • 14. 14 Секция: "Кибербезопасность и борьба с киберпреступностью" Оценка состояния дел и предложения: - Разработка национальной стратегии кибербезопасности; - Разработка национальной программы и плана обеспечения кибербезопасности; - Разработка национальной программы повышения осведомлённости населения по вопросам кибербезопасности.
  • 15. Спасибо! Анищенко Владимир, председатель комитета по информационной безопасности Ассоциации ”Инфопарк“, зам. ген. директора по науке и инновациям ООО ”СОФТКЛУБ“ u.anishchanka@softclub.by