Post on 05-Jul-2015
Современные угрозы информационной безопасности Климов Евгений
www.pwc.ru/riskassurance
PwC
Изменение парадигмы
Какие факторы следует учитывать при формировании стратегии информационной безопасности?
2
PwC
Новые технологии
3
Облачные вычисления Виртуализация инфраструктуры
Социальные сервисы Использование мобильных устройств
PwC
Изменения законодательства
4
152-ФЗ
СТО БР ИББС
ФСТЭК
PCI-DSS
161-ФЗ
ФСБ
PwC
Рост числа киберпреступлений
5
Источник: iC3 research
PwC
Технологические риски
Что несут с собой новые технологии?
6
PwC
Облачные вычисления
7
IaaS Инфраструктура как сервис
SaaS Приложение
как сервис
PaaS Платформа как сервис
x aaS
Разделение ресурсов
Сетевой доступ Измеримый
сервис Эластичность
Сервис по запросу
Сервисная модель
Модель развертывания
Ключевые характеристики
Публичное Гибридное Частное Сообщество
PwC
Ключевые преимущества
• Снижение капитальных расходов (публичное облако)
• Прозрачность ценообразования
• Оплата только используемых ресурсов
• Эффективное использование ресурсов
• Эластичность и неограниченность ресурсов
• Быстрота развертывания
• Выход на новые рынки
• Обеспечение потребностей бизнеса
8
PwC
Риски безопасности облачных вычислений
• Доверие: прозрачность сервис-провайдера, процедуры контроля и управления рисками, соответствие законодательству
• Безопасность данных: утечка, доступность, потеря, место размещения данных
• Уязвимости в программном обеспечении
• Отсутствие стандартизации
• Совместное использование ресурсов
• Атаки на учетные записи
• Инсайдеры
• Необходимость специализированных средств защиты
9
PwC
Примеры
10
Апрель 2011
«Как у большинства онлайн-сервисов у нас есть ограниченный перечень сотрудников, которым разрешен доступ к пользовательским данным по причинам, указанным в нашей политике безопасности.»
«Системный администратор удалил виртуальные сервера бывшего работодателя. Оцениваемый размер ущерба составил 300 000 USD» http://www.justice.gov/usao/nj/Press/files/Cornish,%20Jason%20News%20Release.html
PwC
Примеры
11
Июль 2011
Апрель 2011
Март 2011
PwC
Примеры
12
Июль 2012
PwC
Рекомендации по защите
13
i
Guidelines on
Security and Privacy
in Public Cloud Computing
Wayne Jansen Timothy Grance
Draft Special Publication 800-144
PwC
Оценка защищенности провайдеров
14
https://cloudsecurityalliance.org/research/cai/
Русскоязычная версия http://www.risspa.ru/sites/default/files/CSA-CAI-Question-Set-v1-1_FINAL_v6_RUS_v.2.xls
PwC
Социальные сервисы
• Неконтролируемое распространение информации
• Анонимность
• Невозможность удаления «цифровой» личности
• Кража личности/мошенничества
15
PwC
Примеры
16
Июнь 2012
Июнь 2012
Июнь 2012
PwC
Использование мобильных устройств
• Отсутствие специализированных средств контроля и защиты информации
• Риски потери
• Кража данных
• Новая среда, новый объект атаки
17
PwC
Примеры
18
Источник: http://www.securelist.com/en/blog/208193641/Find_and_Call_Leak_and_Spam
PwC
Рост числа киберпреступлений
19
PwC
Примеры
20
http://ru.wikipedia.org/wiki/Duqu
http://ru.wikipedia.org/wiki/Stuxnet
http://ru.wikipedia.org/wiki/Flame_(вирус)
PwC
Рекомендации • Актуализация стратегии безопасности, политик и процедур
оценки и управления рисками с учетом специфики используемых сервисов
• Процедура оценки защищенности сервис-провайдеров
• Политики и процедуры защиты мобильных устройств
• Актуализация стратегии непрерывности бизнеса
• Использование специализированных средств защиты (контроль доступа, контроль утечек, мониторинг событий, криптографическая защита, токенизация, удаленное управление мобильными устройствами и др.)
• Повышение квалификации персонала подразделений информационной безопасности и внутреннего аудита
• Повышение осведомленности пользователей
21
Новые риски требуют новых подходов...
Евгений Климов Менеджер +7 (495) 967 6086 evgeny.klimov@ru.pwc.com
© 2012 «ПрайсвотерхаусКуперс Раша Б.В.». Все права защищены.
Под "PwC" понимается компания "ПрайсвотерхаусКуперс Раша Б.В." или, в зависимости от контекста, другие фирмы, входящие в глобальную сеть
PricewaterhouseCoopers International Limited (PwCIL). Каждая фирма сети является самостоятельным юридическим лицом и не выступает в качестве агента PwCIL или
любой другой фирмы сети. PwCIL не оказывает услуги клиентам. PwCIL не несет ответственность за действия или бездействие любой фирмы сети, не может
контролировать профессиональные суждения, высказываемые фирмами сети, и не может никаким образом связать их каким-либо обязательством. Ни одна из фирм
сети не несет ответственность за действия или бездействие любой другой фирмы сети, не может контролировать профессиональные суждения другой фирмы и не
может никаким образом связать другую фирму сети или PwCIL каким-либо обязательством.
PwC в России (www.pwc.ru) предоставляет услуги в области аудита и бизнес-консультирования, а также налоговые и юридические услуги компаниям разных отраслей.
В офисах PwC в Москве, Санкт-Петербурге, Екатеринбурге, Казани, Новосибирске, Южно-Сахалинске и Владикавказе работают более 2 000 специалистов. Мы
используем свои знания, богатый опыт и творческий подход для разработки практических советов и решений, открывающих новые перспективы для бизнеса.
Глобальная сеть фирм PwC объединяет более 161 000 сотрудников в 154 странах.
Бренд PwC объединяет фирмы, входящие в глобальную сеть фирм PricewaterhouseCoopers International Limited (PwCIL).
"PwC в России" означает фирмы сети PwCIL, осуществляющие деятельность в России.