О мерах по совершенствованию деятельности в области технической защиты информации в областных исполнительных органах государственной власти Новосибирской области.
Член Правительства Новосибирской области – руководитель департамента информатизации и развития телекоммуникационных технологий Новосибирской области Дюбанов А.В.
Государство наметило курс — к цифровой экономике
Как отметил член Правительства Новосибирской области – руководитель департамента информатизации и развития телекоммуникационных технологий Новосибирской области Анатолий Дюбанов, «в настоящий момент задача защиты ИБ стала профильной для государства. Готовится новый законодательный акт, согласно которому может увеличиться как внимание государства к данной проблеме, так и бюджеты на ИБ. На недавнем заседании правительственной комиссии во главе с премьер-министром Дмитрием Медведевым в Сколково обсуждались вопросы трансформации всех отраслей в связи с переходом к «цифровой экономике».
Внедрение в государственных органах технологий виртуализации, облачных технологий и широкополосного доступа в Интернет, рост взаимодействия между государственными информационными системами (ГИС), а также результирующие появление быстрых и удобных для граждан государственных услуг и увеличение эффективности работы сталкиваются со все быстрее меняющейся средой и экспоненциальным ростом возможностей злоумышленников.
Поскольку по развитию ИТ Россия пока находится в мире на почетном 39 месте, определено 3 магистральных направления:
- Качество человеческого капитала
- Информационная безопасность
- Уровень доверия населения к технологиям ИБ.
«После того как в России 30 лет «курили» в сторонке от мейнстрима, доверяя западным решениям», тема импортозамещения в ИТ выглядит многогранной и сложной, — настраивает на минорный лад Анатолий Дюбанов. — Чужие решения дают иллюзорное ощущение информационной безопасности. Поэтому стране надо заниматься всем — от низких протоколов до шифрования и сетей. И если в криптозащите россияне традиционно сильны, то в телекоммуникационной безопасности все выглядит гораздо менее радужно».
Поэтому на областном уровне созданы управление по эксплуатации и сопровождению сетей, ГБУ «Центр защиты информации НСО». После решения создать по адресу ул.Свердлова, 14 по примеру федерального Ситуационный центр губернатора и правительства НСО возникают новые вопросы, связанные с защитой государственной тайны, защищенной связи с экстренными службами и стратегическими предприятиями региона.
Информационная безопасность в государстве.
Владимир Ермолаев. Независимое мнение.
Эксперт Владимир Ермолаев, работающий в сфере информационной безопасности более 7 лет, представил независимое мнение об информационной безопасности (ИБ) в РФ. Он отметил, что за последние 10 лет законодательная база в данной сфере шагнула далеко вперед. На данный момент существует множество приказов ФСБ, ФСТЭК, ГОСТов, международных и отраслевых стандартов, которые регулируют сферу ИБ. Ведомств и организаций также очень много — кроме ФСБ и ФСТЭК, это Банк России, Минкомсвязи, Министерство обороны, Федеральная служба охраны.
Разобраться в этом информационном массиве крайне проблематично. Не говоря о том, что в каждом отдельном случае нужно внимательно читать сертификаты и технические условия. Например, в технических условиях к ноутбуку можно, прописать, что он 100-процентно защищает визуальную информацию, но в закрытом виде.
Последние изменения в ФЗ-187 «О безопасности критической информационной инфраструктуры» и Уголовный Кодекс РФ привели к тому, что если предприятия из таких сфер как транспорт, финансы, промышленность и т.п. не будут должным образом заниматься защитой критической инфраструктуры, соответствующим должностным лицам грозит ответственность вплоть до уголовной.
К реализации этих задач на федеральном уровне подключена запущенная в 2015 году система ГосСОПКА — государственная система обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации.
Эксперт порекомендовал выстраивать защиту информации поэтапно:
- Анализ законодательства
- Анализ рисков/Аудит
- План развития ИБ в привязке к планам организации
- Модели угроз /нарушителя
- Техническое задание/проект
- Анализ средств защиты информации
- Пилотирование/внедрение СЗИ
- Обучение сотрудников/мониторинг
- Методы реагирования и снова
- Анализ законодательства
Как подчеркнул Владимир Ермолаев, «обеспечение информационной безопасности — бег по кругу. То, что сегодня процессы ИБ выстроены грамотно не дает никаких гарантий на завтра. Вслед за новыми изменениями законодательства и появлением новых рисков нужен новый анализ и аудит и т.п. Поэтому следует заранее заложить возможности масштабирования».
Каждый день появляются новые киберугрозы. Каждую неделю — новые уязвимости в ПО. Кибермошенники подразделяются по специализациям. Большинство атак на корпоративные ресурсы представляют из себя сканирование на уязвимости. В результате чего одни киберпреступники создают базу уязвимостей и продают её другим, которые организуют атаки.
По данным компании Positive Technologies, полный контроль над корпоративной инфраструктурой со стороны внешнего нарушителя возможно в 55% систем, со стороны внутреннего нарушителя — во всех системах.
Добросовестным пользователям есть чем ответить: существуют рабочие инструменты, местные производители систем ИБ и масса справочных ресурсов в Интернете, также есть необходимая законодательная база. Однако, чтобы заказчикам разобраться со всем этим массивом, проще обратиться к местным вендорам. Ведение ими пилотного проекта, передача «боевой системы» на тестирование, обучение и сертификация персонала стало де-факто отраслевым стандартом.
В комплекс средств защиты информации входят:
- Антивирусные приложения
- Средства анализа защищенности (Pentest)
- Средства криптографической защиты
- Средства резервного копирования
- Межсетевые экраны
- Системы обнаружения атак
- Системы аутентификации/авторизации
- Средства защиты от несанкционированного доступа, утечек данных
- Системы сбора и анализа событий и многое другое.
Как резюмировал докладчик, «информационной безопасности много не бывает», поэтому специалист в данной области должен быть в здоровом смысле этого слова… параноиком. Да и не только он. Есть прецеденты атак с домашних компьютеров. 80 процентов пострадавших даже не подозревают, что их взламывали. Между тем «зловреды» сидят в их системе и ждут приказа снаружи. Не забывайте об ИБ. С каждым годом её важность будет все больше расти!»
Обеспечение безопасности информации при межсетевом взаимодействии.
Начальник 6-го отдела Управления ФСТЭК по СФО Валентин Селифанов
Начальник 6-го отдела Управления ФСТЭК по СФО Валентин Селифанов поведал об обеспечении безопасности информации при межсетевом взаимодействии, частично повторив доклад Анатолия Дюбанова. В частности, остановился на нюансах анализа уязвимостей средств защиты информации (СЗИ), технических средств и программного обеспечения ИС, а также требованиях к защите информационных систем от несанкционированного доступа (НСД), регулируемых Приказами ФСТЭК №№17,21,31.
П.18 Приказа №17 называется «Обеспечение защиты информации в ходе эксплуатации» и включает в себя:
- Управление (администрирование) СЗИ
- Выявление инцидентов и реагирование на них
- Управление конфигурацией аттестованной информационной системы (ИС) и её СЗИ
- Контроль (мониторинг) за уровнем защищенности информации в ИС
Киберугрозы часто исходят от криминалитета. Так, хакерская группировка Carbanak похитила у десятков банков по всему миру порядка миллиарда долларов. Сначала она проникала в инфраструктуру банка и запускала вирус. Затем к определенному банкомату банка в определенное время подходил злоумышленник, снимал деньги и был таков.
Однако и Агентство национальной безопасности США предоставляет американским хакерам бесплатный доступ к инструментам взлома, включая учебные видеоролики, если объекты взлома будут находиться на территории других стран, включая Россию.
С точки зрения ФСТЭК России, цель создания системы защиты информации — нейтрализация актуальных угроз, выполнение необходимых процедур, в том числе, при необходимости аттестации, и поддержка жизненного цикла. При этом так же необходимо большое внимание уделить корректности работы средств защиты информации при их взаимодействии с техническими средствами и ПО информационной системы. Как резюмировал Валентин Селифанов — отслеживать и нейтрализовывать все уязвимости, которые могут возникать в больших системах при их эксплуатации крайне тяжело, поэтому необходимо ориентироваться на определенный уровень защищенности, при котором исключены неприемлемые риски. Уровень этих рисков оператор информационной должен установить сам.
Управление кибербезопасностью: понимание через опыт.
Александр Бондаренко, региональный представитель в СФО и ДФО, «Лаборатория Касперского»
Уже постоянный участник мероприятий, организуемых Новосибирским клубом ИТ-директоров, «Лаборатория Касперского», во второй части конференции рассказала, как превратить самое слабое звено информационной безопасности – человеческий фактор, в сильную сторону.
Ошибки сотрудников – ключевая угроза безопасности крупных компаний и вызывают более 95% инцидентов ИБ. При этом только 25% страховых программ покрывают случаи, связанные с ошибками или халатностью сотрудников, в то время как риски, связанные с внешними вторжениями злоумышленников, охвачены на 80%.
К сожалению, стандартные тренинги по повышению осведомленности сотрудников в сфере кибербезопасности малоэффективны — слишком продолжительные, скучные, перегруженные техническими подробностями, не вовлекают персонал и не мотивируют применять знания в повседневной работе.
Автоматизированное управление обучением от «Лаборатории Касперского» обеспечивает:
- Разные цели обучения в зависимости от профиля риска сотрудника
- Индивидуальное обучение в соответствии с собственным темпом сотрудника
- Избегаем избыточного обучения
- Можем оценить промежуточный уровень (достигаем ли цели?)
Система позволяет выявить слабые звенья, сравнить свой прогресс и результаты с лучшими практиками. Геймификация и соревнование обеспечивает вовлечение персонала и эффективность обучения.
Помимо обучения сотрудников всех уровней, «Лаборатория Касперского» предлагает онлайн-тренинг по кибербезопасности для IT-специалистов общего профиля. Обучение позволяет оснастить «первую линию корпоративной защиты» навыками распознавания атак, уменьшить число инцидентов, вызванных неправильной конфигурацией сети и оборудования, обучить специалистов службы поддержки навыкам сбора данных для передачи службе ИБ и развить критическое мышление и интерес к теме ИБ.
Решения от InfoTeCS: защита от компьютерных атак.
Дмитрий Григорьев, Руководитель обособленного подразделения InfoTeCS в г. Новосибирске
Дмитрий Григорьев представил вниманию участников экспертный взгляд на вопросы регулирования безопасности критической информационной инфраструктуры (КИИ).
27 июля 2017 года Президент России подписал закон N 187-ФЗ
«О безопасности критической информационной инфраструктуры Российской Федерации». Закон определил, какие объекты к ней относятся, а также наложил целый ряд обязанностей по обеспечению безопасности на владельцев этих объектов. Одним из требований является предоставление информации в ГосСОПКА ‒ Государственную систему обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации. Закон вступает в силу с 1 января 2018 года.
ГосСОПКА — это единый территориально распределенный комплекс, включающий силы и средства, предназначенные для обнаружения, предупреждения и ликвидации последствий компьютерных атак и реагирования на компьютерные инциденты. В презентации подробно рассказано о субъектах КИИ и их обязанностях, основных задачах и мерах по обеспечению безопасности критической информационной инфраструктуры РФ. Описаны технические средства сегмента ГосСОПКА, элементы ГосСОПКА, разделение функционала и функции главного центра ГосСОПКА.
Компания ЦМ ЗАО «Перспективный мониторинг» (входит в ГК ИнфоТеКС) может предложить:
- Подключение к Корпоративному центру мониторинга (ГосСОПКА)
- Подключение к системе управления инцидентами (Сервис)
- Подключение к системе управления уязвимостями (Сервис)
(Банк данных угроз безопасности информации (БДУ БИ) ФСТЭК России, National Vulnerability Database (NVD) NIST, Red Hat Bugzilla, Debian Security Bug Tracker, CentOS Mailing List)
- Пентесты на проникновение в периметр
- Пентесты на проникновение в корпоративной сети
- Расследование инцидентов
- Выявление уязвимостей
- Анализ защищенности ПО и практики безопасной разработки (SDL)*
Команда ЦМ ЗАО «Перспективный Мониторинг» состоит из более 60 высококвалифицированных технических специалистов, имеющих сертификаты CEH (Certified Ethical Hacker), OSCP (Offensive Security Certified Professional), CSA (Certified Security Analyst), HFI (Computer Hacking Forensic Investigator), eWPT (eLearnSecurity Web Application Penetration Tester) и другие.
Lan Agent. Рейтинг каналов утечки конфиденциальной информации и способы их устранения.
Евгений Бессонов, советник директора по информационной и экономической безопасности Новосибирского филиала АО «Центринформ»
Компания АО «Центринформ» является Партнером компании «Нетворк Профи» в СФО, являющейся разработчиком системы защиты от утечек информации LanAgent.
В своем выступлении Евгений Бессонов рассказал о видах угроз информационной безопасности, о том, какие каналы утечек данных были наиболее популярны в 2016 году по данным аналитического исследования, а также о мерах, которые можно предпринять, чтобы снизить до минимума риски утечки.
Все угрозы информационной безопасности по расположению источника угроз можно условно разделить на внешние и внутренние. К внешним угрозам относятся действия вредоносного ПО (вирусов), хакерские атаки, воздействия недобросовестных конкурентов, утечка информации по техническим каналам связи, несанкционированное проникновение на объект защиты, стихийные бедствия и другие форс-мажорные обстоятельства. В целом, большинство компаний о данных угрозах осведомлено и имеет план действий в случае их возникновения.
Согласно данных аналитического обзора, проведенного АО «Центринформ» в 2016 году, на долю внутренних угроз в среднем приходится всего 29% всех инцидентов, но при этом именно они нанесли наибольший ущерб. В среднем ущерб от утечек информации оценивается для компаний малого бизнеса в 140 – 290 тыс. рублей, для компаний среднего и крупного бизнеса прямой ущерб может превышать 8 млн. рублей.
При этом, по данным того же исследования, значительная часть утечек информации (порядка 23,4%) приходится на бумажные носители, 14% — на утечку данных через персональные компьютеры и сервера, 14% на съемные накопители, 8,4% приходятся на утерянные резервные копии, 8% на электронную почту, 6,8 % на утерянные ноутбуки и планшеты, и по 6% на утечки информации через Интернет и через программы обмена сообщениями, такими как ICQ, Skype и т.п. По остальным утечкам канал не определен.
Большой процент утечек через бумажные носители обусловлен тем, что многие организации тщательно следят за перемещением документов в электронном виде, но при этом за уже распечатанными документами контроль не ведется не достаточно строго.
Утечка данных через персональные компьютеры и сервера происходит, как правило, через системного администратора организации или при его содействии. Но утечки через данную категорию носителей информации может быть и не преднамеренной. Например, они могут произойти при продаже старых компьютеров или передаче их в ремонт вместе с жесткими дисками, на которых осталась вся информация.
Наиболее частой причиной утечки информации через электронную почту или по сети Интернет является банальная халатность персонала компании или слабая осведомленность о том, какая информация относится к категории конфиденциальной.
Для предотвращения утечек информации по всем этим каналам, потребуется комплекс мер, который будет включать в себя как организационные мероприятия (например, обучение сотрудников и разъяснение им что можно, а чего нельзя делать), так и программные средства для выявления попыток вынести информацию за информационный контур предприятия.
Поскольку заранее не известно, какими средствами располагает потенциальный нарушитель, то и при выборе программных средств защиты информации стоит обращать внимание на те комплексы, которые охватывают все указанные каналы. В частности, все это делает комплекс LanAgent Enterprise.
Далее, Евгений привел ряд практических примеров использования LanAgent, с помощью которого в различных компаниях:
- были выявлены сотрудники, которые «левачили» или «сливали» конкурентам информацию о стоимости пакетов, подаваемых на тендеры,
- по результатам мониторинга деятельности сотрудников в течение рабочего дня была изменена система мотивации, что дало организации прирост прибыли на 17%,
- было проведено расследование инцидента, которое позволило выявить утечку конфиденциальной информации,
- решена в пользу компании спорная ситуация с партнером, который уверял, что получил от специалиста компании неверную информацию и из-за этого понес убытки на крупную сумму,
- выявлено, что одна из методистов в ВУЗ-е продавала ответы на экзаменационные билеты и писала за студентов рефераты.
Staffcop Enterprise: предупреждение внутренних угроз, возникающих в результате действий сотрудников за рабочим компьютеро.
Дмитрий Кандыбович, генеральный директор «Атом Безопасность»
ООО «Атом Безопасность» — высокотехнологичная компания с опытной командой разработчиков-профессионалов в области ИБ, находится в Новосибирском Академгородке и является резидентом Технопарка. Более 10 лет разрабатывает приложения для контроля сотрудников.
Staffcop – это комплексное решение по информационной безопасности, учёту рабочего времени и контролю эффективности сотрудников.
Сколько ИБ может заработать для компании? Как сделать ИБ другом директора?
Согласно анонимному опросу сайта habrahabr.ru, более 80% сотрудников в ответ на вопрос «Какой процент рабочего времени вы реально работаете, а не бездельничаете?» указали менее 75%. Это означает, что до 25% заработной платы работодатель тратит впустую. Ежемесячные потери и недополученная прибыль от неэффективной работы могут исчисляться миллионами рублей.
Staffcop позволяет организовать тотальный контроль за персоналом, в том числе: контроль почты и мессенджеров, мониторинг веб-трафика, удаленный просмотр рабочего стола, контроль печати, снимки с веб-камеры и скриншоты экрана, перехват данных с клавиатуры, запись с микрофона, фиксация всех файловых операций.
Staffcop использует современные инструменты обнаружения угроз и оповещения. Позволяет проводить расследование инцидентов ИБ. Проводит учет рабочего времени и оценку его эффективности.
Со StaffCop легко контролировать ваши бизнес-процессы, находить «узкие» места и выявлять блокирующие факторы, а также расследовать причины их появления. Отслеживать KPI сотрудников, например, для менеджеров продаж — это может быть количество отправленных коммерческих предложений и договоров, количество контактов с клиентами и поставщиками.
StaffCop поддерживает функции удаленного администрирования: мониторинг удаленного рабочего стола, сетевого трафика, процессов и приложений, установки и удаления ПО, блокировка приложений, сайтов и использования съемных устройств, инвентаризацию ПО и «железа».
У StaffCop бессрочные лицензии и гибкая политика лицензирования. Стоимость начинается от 2000 руб. за рабочее место. 97% внедрений StaffCop окупились менее чем за 2 месяца.
Решения по защите информации на базе российской операционной системы специального назначения «Astra Linux Special Edition».
Вадим Татюк, директор Центра компетенций АО «НПО РисБИТех» по СФО и ДВФО
«Вы знаете, какая операционная система у танка? Никто не знает, потому что это – военная тайна!». Вадим Татюк частый гость мероприятий клуба ИТ-директоров, и об Astra Linux многие слышат не впервые. Однако уникальная особенность Вадима рассказывать о сложных и серьезных вещах с юмором делает его доклады ожидаемыми и запоминающимися.
Текущий доклад был посвящен предпосылкам и возможностям реализации программы импортозамещения программного обеспечения в государственных структурах с использованием ОС «Astra Linux Special Edition». В качестве примера описан опыт импортозамещения операционных систем и офисного ПО в Челябинской области с использованием ОС «Astra Linux Special Edition».
Сертификат соответствия № 2557 (срок действия — до 27.01.2021) удостоверяет, что ОС «Astra Linux Special Edition» является ОС типа «А» и соответствует требованиям документов «Требования безопасности информации к операционным системам» (ФСТЭК России, 2016) и «Профиль защиты операционных систем типа «А» второго класса защиты ИТ.ОС.А2.ПЗ» (ФСТЭК России, 2016).
В презентации достаточно подробно представлены сведения о поддерживаемых операционной системой аппаратных платформах и составе операционной системы (пользовательских и серверных приложениях). Приведен достаточно внушительный перечень программного обеспечения, сертифицированного по программе «Software ready for Astra Linux». Анонсированы цели и преимущества программы поддержки производителей оборудования «Ready for Astra Linux».
Показаны скриншоты унифицированного графического интерфейса FLY для пользовательских приложений и средств администрирования. Выглядит весьма симпатично, и даже управление доменом Astra Linux Directory происходит в графической утилите «fly-admin-ald».
Описана возможность совместного применения с сертифицированным ФСБ и ФСТЭК средствами виртуализации.
Конечно же, есть в презентации и информация о приобретении лицензий, организации технической поддержки и существующей системе обучения.
Интернет-Розыск. Противодействие информационным войнам.
Евгений Бессонов, советник директора по информационной и экономической безопасности Новосибирского филиала АО «Центринформ»
Миссия представленной слушателям системы «Инетрнет-Розыск» — «Мы работаем, чтобы помогать».
Продукт вышел на рынок в 2017 году и позволяет эффективно предупреждать риски мошенничества со стороны третьих лиц, а также разгружает службы безопасности организаций от осуществления ими рутинных проверок.
Преимущества системы:
- Собственный информационно-аналитический центр, обрабатывающий свыше 200 проверок ежедневно.
- Штат высокопрофессиональных аналитиков и специалистов по безопасности бизнеса.
- Уникальные разработки и информационные сервисы, которые позволяют нам быть быстрее и эффективнее конкурентов.
Основные услуги:
- Проверка благонадежности контрагентов (ИП и юридических лиц).
- Проверка благонадежности нанимаемых сотрудников (заемщиков, руководителей контрагентов).
- Установление вероятных пользователей мобильных телефонов и их местоположения.
Проверка осуществляется по более нескольким десяткам критериев и анализирует более 32 факторов неблагонадежности (в том числе, имелись ли у человека судимости и не находится ли он под следствием – другие существующие онлайн-сервисы этого не учитывают).
Проверка телефонов – это услуга по сбору и анализу сведений о номерах телефонов, полученных из общедоступных источников информации с целью установления вероятного пользователя телефона, его примерного местоположения, перемещений, используемых онлайн-сервисов (соцсетей, мессенджеров и т.п.), дополнительных контактов, а также мобильных телефонов, находящихся поблизости.
Важно, что сбор информации и доступ к данным происходит строго в рамках законодательства РФ. Например, за получение нелегальным способом информации из баз данных сотовых операторов, предлагаемой на рынке детективных услуг, Вас могут привлечь к ответственности. ТелПоиск 2.0. не обращается к этой информации и анализирует другие источники – быстро, надежно, легально.
Круглый стол: «Криптовалюта: признание на государственном уровне»
В это раз в качестве темы круглого стола была выбрана актуальная и «хайповая» тема – блокчейн, криптовалюты и все, что с этим связано.
Модератором круглого стола выступил Виталий Зюляев и предложил обсудить вопрос, чем же технология блокчейн и криптовалюты в частности могут быть полезны обычным коммерческим организациям.
Приглашенные эксперты (Ассоциация криптовалют и блокчейна г.Новосибирска, Академия Блокчейна Алексея Сухорукова и признанный специалист по информационной безопасности Руслан Пермяков), рассказали присутствующим, в чем заключается суть технологии блокчейн, правилах работы и где ее можно применить на практике. Например, технология вполне применима для контроля подлинности продукции или распределенного хранения важных данных. Объяснили разницу между «токеном» и «коином». Приоткрыли «внутреннюю кухню» майнинга криптовалют.
Обсуждалась тема применения технологии умных контрактов в быту и проблема устранения «цифрового неравенства».
Каждый участник круглого стола получил возможность задать свои вопросы специалистам, поэтому дискуссия была бурной и оживленной.
Следите за анонсами мероприятий клуба ИТ-Директоров – мы обязательно объявим о следующей встрече на тему криптовалют и блокчейна!
Кейс вызвал активную дискуссию среди участников – и это прекрасно! Ведь именно для живого общения ИТ-руководителей и был когда-то задуман и создан Новосибирский клуб ИТ-директоров.
Отчёт подготовлен Видикер Эльмирой и Карасёвым Дмитрием