пр Тренды ИБ в России 2016 (Прозоров)

Тренды ИБ в России -‐ 2016

Прозоров Андрей, CISMРуководитель экспертного направления

Компания Solar Security

Мой блог: 80na20.blogspot.comМой твиттер: twitter.com/3dwave

2016-‐07

solarsecurity.ru +7 (499) 755-‐07-‐70 2

Прозоров Андрей, CISMРуководитель экспертного направленияSolar SecurityРабочие группы по ИБ: ФСТЭК России, Совет Федерации, Совет Безопасности, ЦБ РФ (ТК 122)Преподаю в РАНХиГС при Президенте РФ (MBA)и НИУ ВШЭ


solarsecurity.ru +7 (499) 755-‐07-‐70

Почему эта тема?

3

• Помогает понимать актуальные тренды и принимать управленческие решения

• Интересно сравнить с прошлым годом

• Солидное начало ИТ/ИБ конференции JJJ

http://80na20.blogspot.ru/2015/08/itsummer-2015_5.html


О чем эта презентация?

4

Угрозы ИБ (статистика и тенденции)

Регулирование ИБ в РФ (Что нового?)


Полезные отчеты по ИБ

5

1. JSOC Security flash reportQ4 2015 (Q1 2016)2. Ponemon Institute 2015 Cost of Cyber Crime Study: Russian Federation3. ISACA, State of Cybersecurity: Implications for 2016. An ISACA and RSA

Conference Survey4. EY’s Global Information SecuritySurvey2015: Creating trust in the digital world5. Positive research 2016. Сборник исследований по практической

безопасности 6. ЦБ РФ: Обзор о несанкционированных переводах денежных средств7. ЦБ РФ: Отчет Центра мониторинга и реагирования на компьютерные атаки

в кредитно-финансовой сфере Главного управления безопасности и защиты информации Банка России

8. BREACH LEVEL INDEX: Findings from the 2015 9. Ponemon Institute 2016 Cost of Data Breach Study: Global Analysis10. Verizon 2016 Data Breach Investigations Report11. Symantec Internet Security Threat Report VOLUME 21, APRIL 201612.Cisco 2016 Annual Security Report Выложил сюда - http://bit.ly/2aMiRJV


Источники угроз и атаки в 2015

6

ISACA


Внешние угрозы vs Внутренние

7

JSOC


Ночные и дневные инциденты

8

JSOC


Наиболее распространенные уязвимости на сетевом периметре и внутренней сети

9

PT


Про защищенность ИС

10

PT


Внешние угрозы

11

JSOC


Внутренние угрозы

12

JSOC


Источники внутренних угроз

13

JSOC


Каналы утечки

14

JSOC


Годовой ущерб от инцидентов ИБ в РФ

15

Ponemon Institute

• Самый большой ущерб от атак: вредоносное ПО, DDoS, мотивированные инсайдеры и атаки на web-приложения.

• Чем быстрее идет реакция на инцидент, тем меньше ущерб.

• Выявление и Восстановление - самые затратные внутренние активности.

• Использование Security Intelligence Systems (например, SIEM) существенно снижает общий ущерб.


Атаки на банки

16


Статистика ЦБ по инцидентам

17

v Объем несанкционированных операций с использованием платежных карт, эмитированных (выданных) на территории РФ, в 2015 году составил более 1,14 млрд руб., что ниже аналогичного показателя за 2014 год на 27%.

v В 2015 году в Банк России было сообщено о 32,5 тыс. попыток осуществления несанкционированных операций посредством систем ДБО на общую сумму 5,13 млрд руб. Из них на долю остановленных полностью или частично операций приходится не менее 48% от общего объема денежных средств.

v Подавляющее большинство несанкционированных операций со счетов физических лиц (91%) выявляются клиентами самостоятельно и возникают вследствии применения к клиентам методов социальной инженерии. Информация о таких операциях в кредитную организацию поступает после списания денежных средств со счета клиента.

v Банк России отмечает смещение вектора атак в сторону кредитных организаций. Так инциденты, связанные с целевыми атаками на операционную инфраструктуру кредитных организаций и платежных систем, в 2015 году привели к финансовым потерям в размере более 900 млн руб.


Про FinCERT

18

Центр мониторинга и реагирования на компьютерные атаки вкредитно-финансовой сфере —структурное подразделение Главногоуправления безопасности и защиты информации Банка России.Основная цель:v Cоздание центра компетенции в рамках информационного

взаимодействия Банка России, кредитных и некредитных финансовыхорганизаций, компаний-интеграторов, разработчиков антивирусногопрограммного обеспечения, провайдеров и операторов связи, а также дляправоохранительных и иных государственных органов, курирующихинформационную безопасность отрасли. Указанное информационноевзаимодействие направлено на координацию работ по противодействиюзлоумышленникам, активность которых направлена на личноеобогащение с использованием методов несанкционированного доступа кИТ-инфраструктуре организаций, поднадзорных Банку России, а также сиспользованием уязвимостей в платежных технологиях.

http://www.cbr.ru/credit/Gubzi_docs/main.asp?Prtid=fincert


Участники обмена с FinCERT

19


FinCERT про атаки на банки

20

За отчетный период были зафиксированы следующие основные типы атак:v Целенаправленные атаки, связанные с подменой

входных данных для АРМ КБР(покушения на 2.87 млрд.руб., предотвращено 1,6 млрд.руб.)

v Рассылки электронных сообщений, содержащих вредоносное ПО

v Атаки, направленные на устройства самообслуживания

v DDoS-‐атакиv Reversal-‐атаки


Информационные бюллетени FinCERT

21


Всем важно реагирование на инциденты ИБ…

22

• Обновляется Доктрина ИБ…• Появился проект требований к операторам ГосИС (правки в 149-ФЗ) + группа мер в Приказе №17

• ГосСОПКА (ФСБ России):– «Концепция государственной системы обнаружения,

предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы РФ»

– Указ Президента РФ от 15 января 2013 г. N 31с «О создании государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы РФ»

– Проекты методических документов (метод.рекомендации, порядок обмена, соглашения и аккредитация, и пр.)…

• FinCERT (ЦБ РФ)• ЦБ РФ подготовили несколько новых стандартов и рекомендаций…


ЦБ про Аутсорсинг ИБ

23


Почему используют аутсорсинг ИБ в РФ?

24

32%

22%

18%

12%

10%

6%

НЕХВАТКА ПЕРСОНАЛА

ОРГАНИЗАЦИЯСЕРВИСОВ 24*7

НЕОБХОДИМОСТЬ БЫСТРОГО СТАРТА СЕРВИСОВ

НЕОБХОДИМОСТЬРАЗНОПЛАНОВОЙ ЭКСПЕРТИЗЫ

СНИЖЕНИЕ ЗАВИСИМОСТИ ОТ СВОИХ СПЕЦИАЛИСТОВ

СОКРАЩЕНИЕ УПРАВЛЕНЧЕСКИХ ЗАТРАТ


Приказ ФСТЭК России №212. Безопасность ПДн при их обработке в ИСПДн обеспечивает оператор или лицо,осуществляющее обработку ПДн по поручению оператора в соответствии сзаконодательством РФ.Для выполнения работ по обеспечению безопасности ПДн при их обработке винформационной системе в соответствии с законодательством РФ могутпривлекаться на договорной основе юридическое лицо или индивидуальныйпредприниматель, имеющие лицензию на деятельность по технической защитеконфиденциальной информации.6. Оценка эффективности реализованных в рамках системы защиты ПДн мер пообеспечению безопасности ПДн проводится оператором самостоятельно или спривлечением на договорной основе юридических лиц и индивидуальныхпредпринимателей, имеющих лицензию на осуществление деятельности потехнической защите конфиденциальной информации. Указанная оценкапроводится не реже одного раза в 3 года.

Приказ ФСТЭК России №1710. Для проведения работ по защите информации в ходе создания и эксплуатацииинформационной системы обладателем информации (заказчиком) и оператором всоответствии с законодательством Российской Федерации при необходимостипривлекаются организации, имеющие лицензию на деятельность потехнической защите конфиденциальной информации в соответствии сФедеральным законом от 4 мая 2011 г. N 99-ФЗ «О лицензировании отдельныхвидов деятельности»


Сложные меры ИБ на аутсорсингПриказы ФСТЭК России 17/21/31

26

V. Регистрация событий безопасности (РСБ)

VII. Обнаружение вторжений (СОВ)

XIV. Обеспечение безопасной разработки

прикладного (специального) ПО разработчиком (ОБР)

XX. Выявление инцидентов и реагирование на них

(ИНЦ)

XXI. Управление конфигурацией

автоматизированной системы управления и ее системы защиты (УКФ)

VIII. Контроль (анализ) защищенности

информации (АНЗ)


Проект правок в 149-‐ФЗ (ст.16 про ГосИС)

27

«Требования о защите информации, содержащейся в ГосИС, а такжеиных информационных системах, в которых на основаниидоговоров или иных законных основаниях обрабатываетсяинформация, обладателями которой являются государственныеорганы или государственные корпорации, устанавливаютсяфедеральным органом исполнительной власти в областиобеспечения безопасности и федеральным органом исполнительнойвласти, уполномоченным в области противодействия иностраннымтехническим разведкам и технической защиты информации, впределах их полномочий.»

+ несколько верхнеуровневых требований к ИБ+ обязательное информирование об инцидентах

http://regulation.gov.ru/projects#npa=46644


Ожидаем обновление Приказа №17 +

28

• Отказались от 4го класса защищенности ИС (всего будет 3)• Появятся общие рекомендации по необходимым внутренним

документам по ИБ• Обязательная сертификация СЗИ по 4НДВ для всех уровней ИС• Пересмотрен перечень мер (выровнен с Приказом 31). Добавлены 9

новых групп: ЗИ при использовании мобильных устройств, Безопасная разработка ПО, Информирование и обучение персонала, Выявление инцидентов и реагирование на них и др.

• Возможно станет больше обязательных мер…• Этап формирования модели угроз перенесли в стадию разработки

системы защиты информации

+ Ожидаем «Методику определения угроз в ИС»+ Идея обязательной сертификации по 9001 и 27001 для лицензиатов и испытательных лабораторий


Проверки РКН и 242-‐ФЗ

29

• В 2015 году проведены 1 292 плановые проверки, из них 132в отношении государственных и муниципальных органов, а также 104внеплановые проверки. По результатам проведенных контрольно-надзорных мероприятий выдано 731 предписание об устранениивыявленныхнарушений.

• Составлен 7 721 протокол об административных правонарушениях.По результатам рассмотрения протоколов наложено административныхштрафов на общую сумму 10 454 600 рублей.

• За 2015 год в адрес Роскомнадзора и его территориальных органовпоступило 33 327 обращений граждан и юридических лиц, что на 60,4%больше, чем в 2014 году (20 132 обращения). От граждан поступило 32647 обращений и жалоб, от юридических лиц – 680. По результатамрассмотрения жалоб граждан доводы заявителей подтвердились в 7,6%случаев.

• По состоянию на 31.12.2015, сведения по п. 10 ч. 3 ст. 22 (проместонахождение базы данных ПДн) Федерального закона представили17 293 оператора, что составляет 5% от внесенных в реестр.



Основные НПА по импортозамещению

31

Федеральный закон от 29.06.2015 N 188-ФЗ "О внесении изменений вФедеральный закон "Об информации, информационных технологиях и о защитеинформации" и статью 14 Федерального закона "О контрактной системе в сферезакупок товаров, работ, услуг для обеспечения государственных и муниципальныхнужд" (Начало действия документа - 01.01.2016):• Про реестр российского ПО и критерии• Про правки в 44-ФЗ: «устанавливаются запрет на допуск товаров, происходящихиз иностранных государств, работ, услуг, соответственно выполняемых,оказываемых иностранными лицами, и ограничения допуска указанных товаров,работ, услуг для целей осуществления закупок»

Постановление Правительства РФ от 16.11.2015 N 1236 "Об установлениизапрета на допуск программного обеспечения, происходящего из иностранныхгосударств, для целей осуществления закупок для обеспечения государственных имуниципальных нужд" (вместе с "Правилами формирования и ведения единогореестра российских программ для электронных вычислительных машин и базданных", "Порядком подготовки обоснования невозможности соблюдения запретана допуск программного обеспечения, происходящего из иностранных государств,для целей осуществления закупок для обеспечения государственных имуниципальных нужд")


«Возможности тех, кто производит такой продукт -национальных производителей, - очень большие. Поэтому я прошу руководство правительства сориентировать представителей государства в компаниях с госучастием, чтобы они ориентировались на принимаемые решения в первом полугодии текущего года в качестве рекомендации, а во втором пускай уже переходят на отечественного производителя»

31.03.2016


Директивы для Гос.Компаний

33

v Обязательство в 10-дневный срок со дня получения указанныхдиректив инициировать проведение заседаний советов директоров(наблюдательных советов) акционерного общества с включениемв повестку дня вопроса "О закупках отечественногоконкурентоспособного ПО, необходимого для деятельностиакционерного общества".

v Текст о необходимости внесения изменений в Положение озакупочных процедурах, проводимых для нужд акционерногообщества:v закупка "ТОЛЬКО такого ПО, сведения о котором включены в

единый реестр российских программ для электронныхвычислительныхмашин и баз данных", ...

v ... за исключением случаев "в реестре отсутствуют сведения оПО соответствующем тому же классу" или "ПОнеконкурентоспособно (по своим функциональным, техническими(или) эксплуатационным характеристикам не соответствуетустановленным заказчиком требованиям к планируемому кзакупке ПО)."

v Если ПО попадает под указанные исключения, то необходимо непозднее 7 дней с даты размещения информации озакупке публиковать еще и "обоснование невозможностисоблюдения ограничения на допуск ПО, происходящего изиностранных государств".


ИБ-‐компании – слишком мелкие игроки; основные герои импортозамещения другие…


Пример ПО по ИБ в реестре на 29.06.2016

35

Тип В реестре / Подали заявкуАВЗ Dr.Web, Kaspersky / Антивирус ИСЕТDLP и DLP Lite InfoWatch Traffic Monitor, LanAgent, Kaspersky DLP / Solar Dozor, Zecurion

DLP, Гарда Предприятие, КИБ СерчинформSIEM KOMRAD Enterprise SIEM (Эшелон), MaxPatrol SIEM, "Security Capsule"

(ИТБ)Анализ кода Solar inCode, АК-ВС 2 (Эшелон), IRIDA Sources (Газинформсервис) /

InfoWatch Appercut, Positive Technologies Application InspectorIDM Solar inRights, КУБ (ТрастВерс) / Avanpost IDMСЗИ от НСД /Доверенная загрузка

Secret Net, Блокхост-МДЗ (Газинформсервис), МДЗ-Эшелон, Dallas Lock 8.0-C (Конфидент), ПАК Соболь

Управление уязвимостями

Сканер-ВС (Эшелон), MaxPatrol, xSpider, RedCheck (АЛТЭКС-СОФТ)

VPN Континент, ViPNetCoordinatorFW Рубикон (Эшелон), TrustAccess (Код безопасности), МЭ ИКС (А-Реал

Консалтинг), ViPNetPersonal Firewall 4, Positive Technologies Application Firewall

Всего чуть меньше 200 наименований


Что дальше с импортозамещением?

36

• Развитие и расширение реестра ПО +реестр иностранных аналогов ПО• Проверки закупок со стороны ФАС,СФ, Минкомсвязи…• Разработка стратегий импортозамещения гос.органами и гос.компаниями(например, ПФР, ФНС, Росреестр и пр.)

• Расширение области действия 188-ФЗ (не только 44-ФЗ, но и 223-ФЗ).Уже появились Директивы.

• Нормирование закупки ПО и услуг (перечень обязательных и излишнихтребований ТЗ). Уже подготовлен проект.

• Реестр сетевого оборудования и «запрет» иностранного (пока в паузе)• Пересмотр критериев отечественного ПО (дополнительные критерии«российского ПО», отказ от сертификации и лицензирования для СЗИ)

• Ожидаем появлениеЦентра компетенций по импортозамещению• Преференции российским разработчикам (из реестра):

– Продление страховых льгот (до 14% вместо 34% от ФОТ)– Финансовая и нефинансовая поддержка


Безопасность и Pokemon GO

37

• "Теория заговора"• «Левое» вредоносное ПО• Безопасность самого приложения• Физическая безопасность игроков• Этические нормы и нарушение privacy


Вместо заключения

38

v ИБ – актуальная область знаний для ИТ-‐специалистов

v Дальше будет веселей JJJ

Спасибо за внимание!

Прозоров Андрей, CISM


Моя почта: [email protected]

Technology

пр Тренды ИБ в России 2016 (Прозоров)