Николай Казанцев
Начальник отдела ИБ в НТТФ "ПОЛИСАН"
  • Видео
  • Аудио
  • Тезисы
  • Видео
  • Аудио
Код ИБ 2020 | Санкт-Петербург
22 октября 2020, Санкт-Петербург, Россия
Код ИБ 2020 | Санкт-Петербург
Запросить Q&A
Видеозапись
Управление рисками ИБ на практике
Доступно
В корзине
Бесплатно
Бесплатно
Бесплатно
Бесплатно
Бесплатно
Бесплатно
В избранное
71
Мне понравилось 0
Мне не понравилось 0
Доступно
В корзине
Бесплатно
Бесплатно
Бесплатно
Бесплатно
Бесплатно
Бесплатно
  • Описание
  • Расшифровка
  • Обсуждение

Добрый день коллеги потому что я так понимаю все из присутствующих или большинстве своём занимаются info безам возглавляет службу информационной безопасности я также отвечает за инфобез в компании компания полисан это Питерские разработчик и производитель у нас даже есть свой собственный антивирус он называется Циклоферон Единственное что мы работаем отрасли и для инфобиза наш антивирус не очень полезен О чём будем говорить всю работу служба информационной безопасности нашей компании мы строим риск-ориентированный подход

риски Для нас это не последствия вот первично то что мы начинаем и конечно много есть подводных камней но есть много и плюсов от такого подхода сегодня вам как мы это делаем и мы обсудим с вами насколько это вообще актуальна и для коммерческих и для государственных структур прежде всего история про то что такое Я не буду спрашивать у вас скажите что такое риск безопасности просто потому что как минимум мы с вами назовём 5-10 вариантов потому что это очень широкое понятие также как и угрозы уязвимости и в зависимости от того в контексте какой регуляторе кем вы

живёте то и для вас и будет считаться риском мы для себя определили что определение из последнего ISO 27002 года наиболее ложится на наши подходы и исходим из этого определения когда риск у нас это вероятность какой-то угрозы из-за использования уязвимостей в информационных активов то есть для нас риск это совокупность трех составляющих угроза уязвимость и актив в котором есть эта известность причём Вот это определение она не ложится на ГОСТ ISO мэк или на банковские старину для нас было удобнее сделать такой подход Поэтому

вот просто исходим из того что в контексте выступление для нас риск это угроза за уязвимости в информационном активе причём дальше уже нашей истории пошли угрозы для нас это обязательно что-то простое и понятное не it специалисту угрозы мы формулируем таким образом чтобы руководители компании соседней Business Unit мог их понять и с нами обсудить на одном языке это вот к слову взаимодействие с бизнесом но а уязвимость это всё что угодно это необязательно целый какая-то техническое уязвимость в программе это В некоторых

случаях даже сам факт существования какого-то актива можем его рассматривать как уязвим и актив Это точно также всё что угодно от программы и серверов до людей юридических лиц процессов информационных систем как придумывать риски мы поняли что для нас риск и теперь нам нужно первое что сделать это набросать наш реестр рисков создать базу создавать наверное самый понятный вариант съесть все вместе и подумать А что у нас какие у нас риски не работает этот вариант Какие бы вы ни были профессионалы в своей отрасли сколько бы лет не проработали даже если вы считаете что знаете

в обиде Всё вы не сможете сформулировать и описать все риски инфобиза которые существуют поэтому самый правильный путь это использовать лучшие практики и базы знаний Мы правда всего году встык и базу тактика процедур злоумышленников метро так Ну ещё некоторые другие Как как их использовать возьмём году устэк можно сказать подождите - Так это угрозы А вы нам про какие-то риски рассказываете И вот вопрос Как нам ежа с ужом связать Давайте посмотрим какая-то очередная из

угроз и сбыту угроза скрытые регистрации вредоносные программы и локальных учетных записи администраторов и дальше большая картинка с описанием Кто исполняет 17 21 31 приказ фстэк отстроили модели по с использованием буду я так понимаю вам это знакомые screenshot Site oficial Давайте разбираться исходить из нашей концепции угроза уязвимость и актив то что они считают угрозой мы считаем уязвимостью то есть возможность скрытого создания учетных записей мы считаем уязвимостью угрозой мы считаем последующего их

использования для несанкционированного доступа то есть закрепление злоумышленника в системе и актив у нас здесь это операционная система То есть у нас угроза закрепление злоумышленника в системе из-за возможности создания учетных записей в операционной системе то есть любая Угроза из буду в стык может быть разложено по такой 3л структура описание риска возьмем другую историю база метро так популярны сейчас модная история смысл Столбцы это у нас тактики некое цепочка по которой злоумышленник проникает в инфраструктуру

начиная от сбора информации взлома системы закрепления уничтожение данных или их и очистки следов это некая последовательность некий жизненный цикл это тактики техники это соответственно то что у нас в строчках это как злоумышленник может это сделать Ну так публичная база это как наша буду только не наша И если мы посмотрим под другим углом на эту базу метро Так на самом деле то что у нас последовать действий то есть тактики Это для нас угрозы а то что техники конкретные это уязвимости ну вот на примере

какого-нибудь какой-нибудь из техник создания локальной учётной злоумышленник может создать учётную запись и как следствие будет реализована тактика закрепление в системе соответственно у нас здесь тех тактика это угроза эта уязвимость и активы Здесь тоже представлена операционная система таким образом из обоих вас из двух объектов которые на самом деле говорят об одном и том же мы с вами получили вполне простое и риск закрепление злоумышленника в системе из-за возможности создания локальных учетных записей в операционной системе Таким образом мы раскладываем все

риски из публичных Бас и конечно своей собственной в каждой компании есть какие-то свои истории 80% это то что идет одинаковое для всех а дальше уже начинаются нюансы после того как мы расклад подобным образом риски мы переходим к их анализу и оценке и что хочется сказать про анализ и оценку вот здесь Наверное принято засыпать потому что это такая достаточно обширная история и оценивать риски Вы можете на самом деле как угодно использовать любой методологию подход то как вы будете считать это лишь

последний процент вашего успеха от того что вы в принципе оставили свои риски это большая часть вашего успеха но мы конкретно на базе каких-то критериев оцениваем своих разработанных оцениваем величина угрозы вероятность реализации власти и В некоторых случаях использую ещё приоритеты активов берём качественную оценку просто нам так проще потому что угроза мы оцениваем вместе с руководством компании угроза у нас простые и понятные А вот на сигнализацию с Юности мы оцениваем уже с техническими специалистами Ну это как раз не столь важно важно здесь что добавляется 4

элементы защитные меры и я бы сказал момент если вы хотите строить из себя управление рисками мы защитными мерами называем вообще всё что делает служба информационной безопасности и разработали свой подход к классификации защитных мер которые нам позволяет в эту матрицу уложить всё что мы делаем Ну значит номеру мой классифицируемым по текущему статус жизненный цикл там придумали за проектировали внедрили отменили также классификация организационно-техническая физическая мера либо по

воздействию на risk prevention детективная и так далее Также мы обязательно каждый метр классифицируемым по её периодичности То есть это может быть какая-то разовое мера провели pentest или постоянное мера Включи антивирус или периодическое мера раз в неделю проверяем работу антивируса и также по способу реализации нашей эры разделяются на те которые ручные требует участия человека которые исполняются автоматически вот по такому подходу к такой матрицы мы регламентируемые всё что делаешь службы информационной безопасности сейчас у нас их цвета 500 600 таких

защитных не простая база по которой раскладывается вся наша деятельность Ну вот например защитная мера обнаружения несанкционированных учётных записей на локальных компьютерах Это она действует автоматически ежедневно на техническое детективная реализуется с помощью системы и делает это отделы б потому что очень часто защитная мера на самом деле отвечает наебы кадры айтишники и прочее обслуживающие и бизнес подразделения зачем зачем мы ведем такое реестр Кроме того что круто вести реестры Затем что защитные меры мы

связываем с нашими рисками безопасности и каждая защитная мера она влияет на риск она либо снижает угрозу либо снижает вероятность и благодаря тому что у нас связь мы по каждому из наших рисков можно устроить уже планы обработки в данном случае у нас вот риск который мы с вами рассмотрели создание локальных пучок и у нас на несколько защитных мер Если бы у нас не было никаких защитных мер у нас был бы высокий уровень риска но у нас уже есть действующие меры они снижают риск но еще недостаточно хорошо у нас ищут

да-да так как у нас есть величина угрозы вероятность увидимся а реестр рисков каждый response moplen угроза с защитными мерами как на него Влияет то есть защитная мера Если посмотрим на предыдущую формулу она участвует в расчете предположим что здесь у нас умножение там 3 на 2 на 1 на 0 и три условно говоря то есть каждая защитная мера она снижает что-то она снижает либо величину угрозы либо вероятность Ну При таком подходе достаточно простом получается как раз это рассчитать и после того как мы это рассчитываем мы можем с вами

посмотреть какой у нас был первичный риск какой у нас риск сейчас внедренными защитными мерами и какой у нас будет потом остаточный риск когда мы внедрим всё что фиксировано благодаря этому мы знаем всегда ответы намного на большое количество вопросов мы можем посмотреть текущую ситуацию интеграль наши инфраструктуры можем посмотреть на него в разрезе конкретных активов посмотреть как мы снижали наши риски там на протяжении там последнего года посмотреть Норильске в контексте и там Триада да или каких-то других моделей классификации Ну то есть как

раз уже работать с нашими рисками более интеллектуально не планово там при формировании модели угроз а а живым организмам ну плюс так как мы риски брали из буду то что нам мешает по соответствующему Грозном б/у показать наши риски Ну это нужно уже если мы хотим модель угроз фстэк для того чтобы это всё в принципе заработало у нас выработано 4 ключевых принципа и они нам позволяют поддерживать всю эту систему во-первых учёт мир что мы делаем должно быть учтено учесть несложно Вы видели

карточку защитной меры но всё что мы делаем должно быть описано нельзя начать внедрять защиту номера пока мы её хотя бы вот так мне написали второй Принцип если мы описали защитную меру она Обязательно должна быть связано с какими-то рисками Потому что часто получается когда мы что-то делаем начинаем это связывает с рисками и понимаем что риски то у нас маленькие а ресурсов на эту защитную меру мы тратим много или рисков может вообще не оказаться поэтому 2 в принципе это как раз записал защитную миру Запиши риск 3 принцип это понятно и угрозы потому что

угрозы они для всех они не для безопасников они для бизнеса для руководителей и это с чем мы Обращаемся к руководству когда обсуждаем риски безопасности мы не показываем уязвимости активы мы им угроза показываем конкретные и понятные не так как они описаны там стоишь иду и четвертый принцип динамика сколько обсуждал эту историю с коллегами Безопасен Коми Но если в государственных структурах в принципе рисками занимаюсь очень мало там хватает своей с тыковкой регуляторе какой-то в коммерции рисками занимаются больше но делают это планово раз в год например проводят большую

инвентаризацию рисков по инфраструктуре или когда идет внедрение кого-то крупного проекта в нашем случае управление рисками это динамический процесс каждую неделю мы внедряем какую-то меру внедряем какой-то новый актив и всё это сопровождается соответствующим занесение карточек Там учетом мер и соответствующих рисков благодаря этому мы ни разу в год можем показать смотрите какие у нас проблемы в компании а мы каждый день можем это благодаря такому подходу И вообще подхода к информационной базе управления рисками собственно что мы получаем

прежде всего в каждый момент времени мы знаем что важно для информационной безопасности и почему это важно то глядя на наши риски защитные меры мы всегда можем ответить на эти вопросы 2 мы не просто знаем Мы это можем показать и доказать на конкретных расчетах Да они качественные Но хоть какой-то расчёт лучше чем вообще Ничего соответственно мы можем говорить с бизнес юнитами соседями на понятном языке третья составляющая это экономия и обоснование бюджетов если мы понимаем что защитные меры у нас избыточной если

мы для используем там 10 защитных мер и половины из них тратит наши ресурсы человеческие и финансовые неважно мы можем принять решение об отказе от каких-то защитных мер Устала что надо еще уметь отказываться и отпускать но с обоснованием затрат Понятно когда мы просим новую игрушку новый инструмент мы не говорим о том мы не показываем слайды про мы показываем наши защитные меры которые будут реализованы с помощью этого инструмента и как они снизят конкретные риски нашей компании Ну и четвертое но немаловажное мало но я сегодня об этом не говорил

про владельцев здесь такая история как владельцы активов и владельцы рисков когда они определены Мы коммуницировать на парижском мы можем разделять с ними ответственность Дело в том что когда мы хотим что-то внедрить Но нам говорят что на это нет денег или А я вот этого не хочу а я хочу себе район в интернете хорошо но Давайте посмотрим риски давайте вы за них ответственность Давайте вместе распределим это ответственность Я не говорю о том что мы снимаем ответственность инфобиза на самом деле запасник будет виноват всегда и во всём вот

Никаких сомнений Какие бумажки не были красивыми но когда мы приходим к бизнес юнитом и разделяем с ними ответственность там по их рисковые активы мы находим понимание в их глазах Мы можем с ними говорить на одном языке и договариваться что мы сделаем а что отложим и Это обосновано история которая позволяет всем жить в одной экосистеме вот что дают риски риски даёт пользу для инфобиза компании для бюджета компании Но самое важное они дают для службы безопасности и конкретных безопасников потому что мы

из окунания просто в пучины морские переходим в понятную систему где мы каждый день знаем что важно что нужно делать с кем нужно коммуницировать Если хотите Кстати по коммуницировать по истории с рисками Если Вы у себя управляете рисками uscita свои подходы то сразу Открыть контакты на слайде и у меня на этом всё.

Комментарии для сайта Cackle

Купить этот доклад

Доступ к видеозаписи доклада «Управление рисками ИБ на практике»
Доступно
В корзине
Бесплатно
Бесплатно
Бесплатно
Бесплатно
Бесплатно
Бесплатно

Код ИБ 2020 | Санкт-Петербург

Доступ к записям всех докладов «Код ИБ 2020 | Санкт-Петербург»
Доступно
В корзине
Бесплатно
Бесплатно
Бесплатно
Бесплатно
Бесплатно
Бесплатно
Билет

Интересуетесь тематикой «Информационная безопасность»?

Возможно, вас заинтересуют видеозаписи с этого мероприятия

21 июля 2020
Онлайн
20
150
безопасность персонала, взаимоднействие с бизнесом и командой, иб без бюджета, ибнужныпрофи, информационная безопасность, код иб, код иб профи, сервисная модель в иб, управление security operations, управление иб, управление инцидентами

Похожие доклады

Игорь Здобнов
Главный инженер-вирусный аналитик в Доктор Веб
Доступно
В корзине
Бесплатно
Бесплатно
Бесплатно
Бесплатно
Бесплатно
Бесплатно
Андрей Арбатский
Руководитель московского подразделения отдела продаж в StaffCop
Доступно
В корзине
Бесплатно
Бесплатно
Бесплатно
Бесплатно
Бесплатно
Бесплатно
Сергей Петухов
Менеджер по продукту в Газинформсервис
Доступно
В корзине
Бесплатно
Бесплатно
Бесплатно
Бесплатно
Бесплатно
Бесплатно

Купить это видео

Видеозапись

Доступ к видеозаписи доклада «Управление рисками ИБ на практике»
Доступно
В корзине
Бесплатно
Бесплатно
Бесплатно
Бесплатно
Бесплатно
Бесплатно