Максим Степченков
Генеральный директор в RuSIEM
  • Видео
  • Аудио
  • Файлы
  • Тезисы
  • Видео
  • Аудио
  • Файлы
Код ИБ 2020 | Уфа
6 февраля 2020, Уфа, Россия
Код ИБ 2020 | Уфа
Запросить Q&A
Видеозапись
Пошаговая инструкция по настройке ИБ в своей компании
Доступно
В корзине
Бесплатно
Бесплатно
Бесплатно
Бесплатно
Бесплатно
Бесплатно
Бесплатно
Бесплатно
В избранное
28
Мне понравилось 0
Мне не понравилось 0
Доступно
В корзине
Бесплатно
Бесплатно
Бесплатно
Бесплатно
Бесплатно
Бесплатно
Бесплатно
Бесплатно
  • Описание
  • Расшифровка
  • Обсуждение

О спикере

Максим Степченков
Генеральный директор в RuSIEM

Эксперт в сфере информационной безопасности. Получил образование в Национальном Исследовательском Ядерном Университете «МИФИ». В компании с 2012 года. Ранее - Начальник отдела информационной безопасности в Oberon и Директор департамента системных решений и ООО "Кацит".

Перейти в профиль

О докладе

Тематика: Информационная безопасность


Поделиться

Почему я хочу в этой теме поговорить Я являюсь владельцем Не только это разработчика у меня несколько интеграторов я был владельцем коллекторского агентства и так далее так далее в очень многом успел побывать соответственно пожалуйста разных сторон я был своевременно цены компании обычным администратором был и прошел через все этапы и некоторые моменты очень хорошо знаю и первое о чём я всегда начинаю говорить когда вы приходите в новую компанию или хотите построить

качественную информационная безопасность Как вы думаете С чего надо начать вот С чего вы начали с инвентаризацией И инвентаризацией чего и фасонов поздно ещё раньше то надо сделать контекстуализация Да очень близко что ещё туда надо срочно нужно добавить 1 что нужно понять Вообще в чём бизнес организация чем компания живёт Да так клик клик клик картиночка так почитать С чего надо начать это Чем занимается бизнес Кто знает чем занимается ваш бизнес вот в чём доход вашей организации вот реально вы знаете Кто не знает, Поднимите руки. Вот честно.

Да вот Ну молодцы молодцы молодцы Значит 10% поняли остальные нет А теперь говори средние температуры паби паби по рынку проходили многократно десятки раз аудиты в том числе проходили так называемые анализа рисков в рамках этого анализа рисков общаешься с подразделениями задаёшь вопросы а что самое важное для вашей компании какой актив что приносит основной статьей дохода Вы точно уверены что приносит статью дохода в вашей компании самые распространённые момент по

статье доходов которой народ не затянут самый распространенный это автобизнес вот это вот авто которые продают машины они зарабатывают на продаже машинах и сколько это процентов отношение от общего их оборота очень часто встречаю приходишь к сотрудникам мы зарабатываем на продаже машин на продажу машин вообще они обслуживают обслуживание занимаются они на сервисе зарабатывают точно также На чём зарабатывают Банк в первую очередь такое основная статья дохода банка это

вот представители банка Поднимите руки пожалуйста Не бойтесь Кто готов ответить на вопрос я просто задам Кто готов Ну вот в действительности Вы точно уверена что Вы абсолютно знаете какой основной доход вашей компании организация Какова какова цель вашей организации Почём А если вы работаете на госслужбе то у вас вообще такое понятие как доход не я правильно понимаю у вас цели у вас задание у вас Обязанности у вас поручение вас всё в некоторых компаниях просто компании существует для того чтобы нельзя сократить потому что начнется социальное недовольство поэтому первое На что мы

обращай внимания Это то чем реально ваша Организация занимается каждый сотрудник каждое подразделение мы можем даже знать в принципе чем занимается я буду всё время сегодня говорить банка это мне так проще тут банки чаще уроки поднимали я их буду А вы все знаете там вот сотрудники банков Чем занимается каждое структурное подразделение уверена Вы уверены в вашей компании ладно? Чем занимается бухгалтерия все знают? бухгалтерский учет ещё что-то а финансовое подразделение вашей компании есть

И кто Чем занимается чем занимается Санты поэтому первое что Я рекомендую всем начать это пройтись по всем подразделениям познакомиться занять понять что вы делаете Кто является основными для вас нарушителями кто источниками угроз Толи это является конкуренты или инсайдеры одна из тем которые обязательно должны будете делать это естественный на первом этапе это анализ рисков вы должны будете провести классификацию данных анализ рисков Вы должны понять что реально компании и вы должны уметь задавать правильные вопросы например

самая распространенная ошибка при классификации данных анализ рисков это отправить вопрос пожалуйста отметить этом говоря вот это вот информацию на соотносится конфиденциально строго конфиденциально этом для внутреннего использования или вообще неважно информацию вот если вы отправите у нас есть три категории людей первая категория людей которые ответят примерно в точку 2 категория людей которая скажет у нас все строго конфиденциально и Давайте наивысшее меры защиты это классический параноики в моих встречаем постоянно

есть третьей категории людей и она для нас самое страшное это те которые считают то что всё фигня И у меня даже конфиденциальной информации нет я только для внутреннего использования информации используют больше никакую не использую мы вспоминаем там одна из самых распространенных фраз это общение на общем языке с бизнесом знакомились попытайтесь выяснить что для них реально важно критично что конфедициально что строго конфиденциально И когда вы придёте ко второму к третьему

это будет выяснять каждому из них Да это вам нужно сделать иначе вы не построите нормально системы защиты Вы должны поняв уже как-то бизнес задавать правильные вопросы вот у меня любимый пример это оператор связи когда Мы работали с одним из операторов связи проводили анализ рисков и вот это информация его утечка насколько для вас критично катастрофично Вы не поверите вот эту информацию учетом потери миллионов баксов это минимум хорошо У вас есть эта информация от конкурентов Да конечно а у конкурентов есть эта

ВАЗ Ну да ведь вы и постоянно теряете десятки млн доллоров на этом нет Но нам же надо меры защиты информации повышать Нет ну а как бы вы это сами верите этот тоже один из вопросов и задавайте вопрос выберите вы-то сами и зачастую там первая градация это вот то что вот завышение задавайте вопрос А кто имеет доступ отметили доступ к конкурирующим эту информацию Потому действительности это проблема завышения 2 2 6 должны понимать когда вы общаетесь с бизнесом то что вы для них помощник это

нормально взгляда два примера приведу Первое это то что любой администратор может Каким бы он был не был гениальным он сам за собой не будет проверять его презентация свою работу он знает что он где как настроил если он знает что что-то настроил железобетона он туда точно не полезет проверять и там будет самое большое количество ошибок Так ведь если что-то работает это и серия работает не трожь а скорее всего она может давным-давно уже не работать и частью Мы тут сталкиваемся с резервным копированием резервное копирование запущена

процессы никто ни разу не проверял из резервной копии можно восстановить или нет У кого также Боитесь вы боитесь но большинство давайте так большинство так просто пример сотни аудитов поэтому второй пример Это я помоюсь а то уже рассказывал Это завод шёл суд между бы нынешним владельцем завода кому он будет принадлежать им и соответствии с юристом общаемся Это какая самая ценная информация для вас наверное то что на как мы готовимся к делу к суду вот если информация которая вот завтра мне заседание вот это вот всё что я подготовил сегодня под

пойдёт к моему с кем я завтра буду по разные стороны Баррикад если ему попадёт боюсь то что я делаю проиграют вопрос стоимости завода это там десятки хорошо А как он может получить доступ информацию юрист белеет седеет А мы с ним сидим в одном кабинете они исторически сидят в одном кабинете это одни и те же самые люди а бизнес не задумываются о рисках и простые наводящий вопрос вам помогут во-первых найти с ними реально общий язык Вы не должны Вы освоите v-tonus чем занимаетесь ваш бизнес

разложить по полочкам Да вот тут как раз перейдем к вопросу инвентаризации Проведите инвентаризацию вернитесь к бизнесу и уменьшив количество вопросов Проведите с одними анализ рисков классификация данных и тогда вы наконец поймете в действительности какие есть угрозы какие есть возможные нарушители какие есть риски в компании без этого говорить о реальном построение защищённости там ну я думаю Нет мы можем конечно защищаться от внешних Атак но внешне атака защищаться Для чего может у вас Может вы тот самый Неуловимый Джо

вот зачем мы будем строить dlp-системы Вот там хорошо ставкам выступал Мне нравится Молодцы правильно Ну а может быть это компания занимается основном это 90% компаний Это salesforce один из любимых анекдотов там приходит Новый сотрудник на работу проводит там всё строго сидят работает на компьютере там печатает это делать Дальше по коридору на такой кабинет там музыка играет девушка танцует мужик сидит за столом выпивает Ой а это кто А это у нас генератор идей Вот у него в таком состоянии лучшие идеи приходят Да это

Как пример может не знаем какой сотрудник что чем занимается ваша компания Вот пока мы не поймем детально кто что делает Какие есть риски Да если мы зарабатываем на продажах чего-то и у нас 90% людей это продажники которые должны работать в полях ставить им строгие системы контроля утечки это бессмысленно Я перепрыгивал на последний момент я возвращаюсь к DLP сразу не мешайте воровать пока вы не разобрались в структуре вашего бизнеса не мешайте воровать У меня просто

последний год несколько инцидентов произошло с моими знакомыми друзьями их уволили Они слишком такие вот погоны они привыкли то что всё должно быть строгой воровать нельзя мы кто-то говорит Я родился в Советском Союзе Как я могу позволять воровать Давайте вернемся в реале воруют все ну если вопрос суммы возможности и прочее даже если у тебя был оклад А тебе предложит давай там за 50000 руб. ещё хочешь сверху Да большинство согласится нужно просто понимать

меня структура вашего бизнеса зачастую собственники если собственниками общаюсь сами позволяют воровать Чтобы не терять своих людей да у вас есть люди которые генерируют бизнес очень часто мы забываем про них Да мы думаем то что пытаясь ввести служба информационной безопасности жёстко настроить мы не дадим своровать нет Эти люди которые генерируют бизнес встанут и уйдут в другую компанию и вы больше потеряете или люди начнут смотреть сериал который приносит вашей организации там 34% бизнеса сидит на обратных откатах

Что такое клиент получает 10% самолёт клиент ничего не получается на себе в карман кладёт Да пускай он это делает если он прибыли у меня ситуация была в организацию Лично у меня не у меня кончились ресурсы по пентесту я искал субподрядчика Мне нужен был субподрядчик я внутри устроил тендер у менеджеров Ребята кто найдут найдут дешевле Как я смогу проверить мы эту команду привлечем для субподряда результате один из сотрудников нашёл самых дешёвых мы уже подписались и человек которого уволили он только

пришел Максим А ты знаешь он говорит договорился об откатах этой фирмы Мне без разницы да пускай всё 100% денег он заберет себе потому что он нашёл которая качественно услугам не окажется за те же сам сумму меньше чем предложили все остальные поэтому поймите в чем занимается компания и подумайте о реально те меры защиты которые мы хотим использовать они нужны вашей компании или нет Это вот вот этот первый и думаю основной посыл сегодня второй посылать Вот как раз вот

калмычка слева вот это вот такая вот картинка там ну реально умный дом вот тут один текст приложен У меня другой запускает дома пылесос у меня ничего которая с ребёнком честно когда перезапустил Она испугалась то есть Сидит сидит Там же что-то то Только то и то ли еще что ты удалена подключился смотрю давно не убиралась пылесос дай-ка я запущу Пылесос как бы вы отреагировали если казалось и пылесос начал говорить и начал ездить вот Ну примерно Вот такая вот суть я к чему это говорю очень далеко бизнес убежал Есть потребность

бизнеса Есть потребность найти должен сопровождать бизнес не отставать А мы отстаём я это уже предварительно секции говорил и все те меры которые мы зачастую хотим предпринять они очень сильно тормозят бизнес Давайте воспринимать то что я сказал водные секции то что де-факто там рабочие места заражены defacto поднимаем то что нас могут воровать мы должны всё-таки провести ту ту оценку рисков и не бороться с ведьмами а защищать то что реально ну то что мы сможем защитить не подводить всё до абсурда когда у меня у одного из клиентов 2 года согласуется запуск

бизнес-система из-за невозможности согласования со службой информационная безопасность потому что система не сертифицировано по фстэк России наверное это вот такая вот Большая точка Потому что если рассказать о тем Какие меры защиты информации можно посмотреть десятки сотни тысячи Да но в начале вот этих этапов начните Если вы вы правда можете на это всё ответить да приходите я вам расскажу что делать дальше Спасибо большое, это был монолог. Если есть вопрос в кулуарах подходить, я просто всё время съел. Ну ладно.

скажем если у аудитора есть сертификация допустим ты сюда certified Systems auditor то он как бы подписывается под этические нормы нос отрезок которому он должен Независимо объективно представляет информацию о том случае когда ты его поступать так как вы считаете Вот то есть он же Это же влияет на итоговую безопасность там каналы То есть например а как-то не понял Можно сразу отвечу очень быстро Россия страна в которой быстрее всего почитает соглашение о конфиденциальности политика использования на ничего не знаю бумажка вообще

ничего не значит вы думаете то что сысольских nilaveli как хакеров ничего не значит эти бумажки вот сертификация выдали то что идея смысле Индии вот с конкретным техническим специалистам Это ничего не значит это вот я как руководитель несу ответ проблемы информационной безопасности то что кроме руководителя организации никто ответственность несёт первое что появилось ответственности такие Да всё остальное это никакого смысла нет в сети Индии и только взаимоотношения

владельцы компании с владельцем компании конкретно технические специалисты sgs сертификация процессы ничего не даёт Нет уже он обязан, допустим скрыть Вот эти нелегально потоки, допустим, вдруг кто-то зарабатывает на продаже внутренних данных, может должен выявить. А где же может быть что-то этом зарабатывает, но зарабатывать зарабатывает. Подумайте Обсудите там с руководителем дважды подумать, нужно ли это предлагаете балансировать между требованиями

этическими, Но это требование регулятора. как договоримся Да но их можно выполнять а можно не выполнять они могут помочь могут помешать поэтому нет но я не призываю призываю не не бороться полностью Я имею в виду не мешайте воровать в разумных пределах потому что маленький процент у раствора который не влияет на бизнес а только его улучшает это Одно второе можно кулуарно поговорить руководителем и сказать Вот по-моему мне кажется гипотетически У вас такие схемы руководитель честно скажет или блокировать или нет но не надо приходить сразу доказательная база на

конкретного человека руководителю потому что в результате может быть только плохо а когда-то некоторое время назад я работал в организации не поднимал там почтовик и сразу возник вопрос по контролю за микрофон нужен почтового трафика Я пошла к руководителю и спросил Кого мы будем контролировать кого нет Ну руководство контролировать не будем забьём на это а всех остальных как бы контролировать Ну так получилось что я какой-то ну не всё время настроил почтовый трафик то есть

какое-то время контролировался весь спорт и тут на пустяки застряла письмо объёмом 80 Мб от зама директора который пытался слить наружу архив нашу новую программу внедряли это как вопрос о том что надо контролируешь Тайна ДСП я выполнил руководством Я не говорила не контролировать Я сказал не мешать воровать распоряжению руководства и отключился контроль это было тепло и это утечку никто бы не заметил и всё вот такие товаром уволили Ну не за поведение решение руководства порой приводят как бы положительным эффектом на самом деле

еще раз Всем спасибо большое это мой Извините провокационным не воспринимать эту конструкцию к действию Это скорее я всегда стараюсь чтобы вы подумали

Комментарии для сайта Cackle

Купить этот доклад

Доступ к видеозаписи доклада «Пошаговая инструкция по настройке ИБ в своей компании»
Доступно
В корзине
Бесплатно
Бесплатно
Бесплатно
Бесплатно
Бесплатно
Бесплатно
Бесплатно
Бесплатно

Интересуетесь тематикой «Информационная безопасность»?

Возможно, вас заинтересуют видеозаписи с этого мероприятия

Похожие доклады

Павел Шанин
Директор в Медиалюкс
Доступно
В корзине
Бесплатно
Бесплатно
Бесплатно
Бесплатно
Бесплатно
Бесплатно
Бесплатно
Бесплатно
Глеб Косоруков
Менеджер коммерческого отдела в RuSIEM
Доступно
В корзине
Бесплатно
Бесплатно
Бесплатно
Бесплатно
Бесплатно
Бесплатно
Бесплатно
Бесплатно
Юрий Основский
Руководитель московского подразделения отдела технической поддержки в StaffCop
Доступно
В корзине
Бесплатно
Бесплатно
Бесплатно
Бесплатно
Бесплатно
Бесплатно
Бесплатно
Бесплатно

Купить это видео

Видеозапись

Доступ к видеозаписи доклада «Пошаговая инструкция по настройке ИБ в своей компании»
Доступно
В корзине
Бесплатно
Бесплатно
Бесплатно
Бесплатно
Бесплатно
Бесплатно
Бесплатно
Бесплатно