Современные угрозы информационной безопасности Климов Евгений

www.pwc.ru/riskassurance

PwC

Изменение парадигмы

Какие факторы следует учитывать при формировании стратегии информационной безопасности?

2

PwC

Новые технологии

3

Облачные вычисления Виртуализация инфраструктуры

Социальные сервисы Использование мобильных устройств

PwC

Изменения законодательства

4

152-ФЗ

СТО БР ИББС

ФСТЭК

PCI-DSS

161-ФЗ

ФСБ

PwC

Рост числа киберпреступлений

5

Источник: iC3 research

PwC

Технологические риски

Что несут с собой новые технологии?

6

PwC

Облачные вычисления

7

IaaS Инфраструктура как сервис

SaaS Приложение

как сервис

PaaS Платформа как сервис

x aaS

Разделение ресурсов

Сетевой доступ Измеримый

сервис Эластичность

Сервис по запросу

Сервисная модель

Модель развертывания

Ключевые характеристики

Публичное Гибридное Частное Сообщество

PwC

Ключевые преимущества

• Снижение капитальных расходов (публичное облако)

• Прозрачность ценообразования

• Оплата только используемых ресурсов

• Эффективное использование ресурсов

• Эластичность и неограниченность ресурсов

• Быстрота развертывания

• Выход на новые рынки

• Обеспечение потребностей бизнеса

8

PwC

Риски безопасности облачных вычислений

• Доверие: прозрачность сервис-провайдера, процедуры контроля и управления рисками, соответствие законодательству

• Безопасность данных: утечка, доступность, потеря, место размещения данных

• Уязвимости в программном обеспечении

• Отсутствие стандартизации

• Совместное использование ресурсов

• Атаки на учетные записи

• Инсайдеры

• Необходимость специализированных средств защиты

9

PwC

Примеры

10

Апрель 2011

«Как у большинства онлайн-сервисов у нас есть ограниченный перечень сотрудников, которым разрешен доступ к пользовательским данным по причинам, указанным в нашей политике безопасности.»

«Системный администратор удалил виртуальные сервера бывшего работодателя. Оцениваемый размер ущерба составил 300 000 USD» http://www.justice.gov/usao/nj/Press/files/Cornish,%20Jason%20News%20Release.html

PwC

Примеры

11

Июль 2011

Апрель 2011

Март 2011

PwC

Примеры

12

Июль 2012

PwC

Рекомендации по защите

13

i

Guidelines on

Security and Privacy

in Public Cloud Computing

Wayne Jansen Timothy Grance

 

Draft Special Publication 800-144

PwC

Оценка защищенности провайдеров

14

https://cloudsecurityalliance.org/research/cai/

Русскоязычная версия http://www.risspa.ru/sites/default/files/CSA-CAI-Question-Set-v1-1_FINAL_v6_RUS_v.2.xls

PwC

Социальные сервисы

• Неконтролируемое распространение информации

• Анонимность

• Невозможность удаления «цифровой» личности

• Кража личности/мошенничества

15

PwC

Примеры

16

Июнь 2012

Июнь 2012

Июнь 2012

PwC

Использование мобильных устройств

• Отсутствие специализированных средств контроля и защиты информации

• Риски потери

• Кража данных

• Новая среда, новый объект атаки

17

PwC

Примеры

18

Источник: http://www.securelist.com/en/blog/208193641/Find_and_Call_Leak_and_Spam

PwC

Рост числа киберпреступлений

19

PwC

Примеры

20

http://ru.wikipedia.org/wiki/Duqu

http://ru.wikipedia.org/wiki/Stuxnet

http://ru.wikipedia.org/wiki/Flame_(вирус)

PwC

Рекомендации • Актуализация стратегии безопасности, политик и процедур

оценки и управления рисками с учетом специфики используемых сервисов

• Процедура оценки защищенности сервис-провайдеров

• Политики и процедуры защиты мобильных устройств

• Актуализация стратегии непрерывности бизнеса

• Использование специализированных средств защиты (контроль доступа, контроль утечек, мониторинг событий, криптографическая защита, токенизация, удаленное управление мобильными устройствами и др.)

• Повышение квалификации персонала подразделений информационной безопасности и внутреннего аудита

• Повышение осведомленности пользователей

21

Новые риски требуют новых подходов...

Евгений Климов Менеджер +7 (495) 967 6086 evgeny.klimov@ru.pwc.com

© 2012 «ПрайсвотерхаусКуперс Раша Б.В.». Все права защищены.

Под "PwC" понимается компания "ПрайсвотерхаусКуперс Раша Б.В." или, в зависимости от контекста, другие фирмы, входящие в глобальную сеть

PricewaterhouseCoopers International Limited (PwCIL). Каждая фирма сети является самостоятельным юридическим лицом и не выступает в качестве агента PwCIL или

любой другой фирмы сети. PwCIL не оказывает услуги клиентам. PwCIL не несет ответственность за действия или бездействие любой фирмы сети, не может

контролировать профессиональные суждения, высказываемые фирмами сети, и не может никаким образом связать их каким-либо обязательством. Ни одна из фирм

сети не несет ответственность за действия или бездействие любой другой фирмы сети, не может контролировать профессиональные суждения другой фирмы и не

может никаким образом связать другую фирму сети или PwCIL каким-либо обязательством.

PwC в России (www.pwc.ru) предоставляет услуги в области аудита и бизнес-консультирования, а также налоговые и юридические услуги компаниям разных отраслей.

В офисах PwC в Москве, Санкт-Петербурге, Екатеринбурге, Казани, Новосибирске, Южно-Сахалинске и Владикавказе работают более 2 000 специалистов. Мы

используем свои знания, богатый опыт и творческий подход для разработки практических советов и решений, открывающих новые перспективы для бизнеса.

Глобальная сеть фирм PwC объединяет более 161 000 сотрудников в 154 странах.

Бренд PwC объединяет фирмы, входящие в глобальную сеть фирм PricewaterhouseCoopers International Limited (PwCIL).

"PwC в России" означает фирмы сети PwCIL, осуществляющие деятельность в России.