«VI CISO Forum 2013» Информационная безопасность: новые вызовы и ключевые задачи

18-19  апреля в отеле Сокольники  прошел VI-ый CISO Forum, собравший в одном месте более 280  ведущих директоров по  информационной безопасности.   Организацию и проведение данного события поддержали ведущие компании и организации  сферы информационной безопасности:   Информзащита, Leta, Cisco, Avanpost, АйТи, InfoWatch, Газинформсервис, PaloAlto, Accenture, IBM, Symantec, CIBIT, DEPO Computers, Stonesoft, PointLane, DigitalSecurity, НИИ СОКБ, ARInteg, МФИ Софт, eset, Школа IT-менеджмента.

Конференция проходила при поддержке Межрегиональной общественной организации «Ассоциация руководителей служб информационной безопасности» (АРСИБ), Ассоциации профессионалов в области информационной безопасности RISSPA,  международной ассоциацией профессионалов в области управления ИТ ISACA.

Открыл конференцию Виктор Минин, президент АРСИБ, который обозначил ключевые темы, волнующие профессиональное сообщество сегодня.

Андрей Лукацкий, бизнес консультант по безопасности компании Cisco Systems затронул тему международных трендов в сфере безопасности, которые станут в ближайшее время актуальны для России.  Он отметил, что сегодня ключевые изменения происходят в области перехода к использованию облачных технологий (SAAS, ЦОДы, виртуализация и т.п.), переход к использованию мобильных устройств (политика BYOD, постоянный доступ к данным) и широкое распространение технологий совместной работы (включая повсеместное распространение видео). При этом для директоров по информационной безопасности ключевыми приоритетами являются эффективность ИТ, безопасность систем и контроль за расходами.  Традиционная архитектура систем безопасности не всегда справляется с потребностями бизнеса, когда значительно увеличивается сложность и многомерность систем (удаленных доступ, разные типы устройств, приложения). Поэтому ключевым вызовом становится обеспечение масштабируемости, производительности, безопасности и управляемости ИТ систем в средах без ИТ управления. Для достижения этого он предложил активное вовлечение заказчиков, сотрудников и партнеров в новые способы взаимодействия путем внедрения культуры, технологий и процессов взаимодействия. Именно это позволит обеспечить сотрудников рабочими пространствами нового поколения: доступными с любых устройств, через мобильный доступ, дающих возможность совместной работы и виртуализирующих рабочие столы. Однако так называемая эта «Пост-ПК» (отражаемая в политике BOYD) содержит значительное количество бизнес и технологических рисков. Их нужно учесть при проектирование системы, которая в первую очередь должна отвечать на вопросы о том, кто и какой доступ должен иметь. При этом спикер уделил особое внимание унифицированному доступу, который связан с простой и безопасной интеграцией VPN, беспроводной и проводной сети, и основанных на единой политике и управлении, обладающих возможностями масштабирования. Все это должно строится на единых политиках,  с обязательной системой контроля внутренних сети, защитой мобильных клиентов на основе MDM решений и применением единого инструментария и системы управления. Конечно, новый подход значительно повысить спрос на сетевые ресурсы, потребует пересмотр требованием к обслуживанию как видео-ресурсов, так облачных и виртуализированных систем. Он констатировал, что современные сети не готовы к «облакам», и зачастую компании используют разрозненные, несвязанные, устаревшие сети, но постепенно компании начинают переходть на конвергентные сети со связанными устройствами. Еще одним важным аспектом, который нужно учитывать при проектировании сетей, является использование BigData и необходимость защищать неструктурированные данные колоссального объема в режиме реального времени. Подводя итог, он спикер отметил, что ключевые тенденции в сфере ИТ влияют на безопасность и требуют от компаний использования новых современных решений в этой области.

В рамках «Лаборатории стратегии. Информационная безопасность Helicopter View» было уделено значительное внимание вопросам донесения до сотрудников требований в области информационной безопасности (ИБ) и обеспечение их исполнения.  Павел Мельников, директор по развитию бизнеса компании PointLane заострил свое внимание на вопросе того, как обеспечить выполнение требований политики безопасности сотрудниками компании. Он отметил, что часто люди не знают о текущих требованиях системы, не несут ответственности за их соблюдение, а при сложных требованиях стараются найти пути обхода. Для того, чтобы политики в области информационной безопасности (ИБ) стали частью культуры компании, необходима программа внутренней работы. Он предложил создавать специальный комитет по рискам ИБ, включая туда помимо представителей ИТ-служб сотрудников бизнес-подразделений, юристов, финансистов и внутренний контроль. Совместными усилиями вырабатывать политики и процедуры, вводить метрики и оценивать эффективность внедрения политики ИБ.  Он также рекомендовал активно использовать не только опыт компании, но и внешние данные – исследования, кейсы – для того, чтобы донести значимость системы ИБ и предотвратить возникновение проблем. При этом он подчеркнул важность того, что политика ИБ должна быть направлена на поддержку бизнеса, создавая сильную систему поддержки для бизнеса.

Эту же тему раскрыл Константин Коротнев, менеджер по информационной безопасности Эльдорадо, выступление которого по теме «Внутренний маркетинг и PR в деятельности службы ИБ» стало одним из самых запоминающихся.  Он подробно рассказал о подходах своей компании в сфере обеспечения ИБ. В частности о том, что  у  них создан единый комитет по ИБ, в которых входит менеджер по ИБ, служба безопасности, департамент ИТ, отдел внутреннего аудитора, HR-департамент и сотрудники компании.  У каждого есть свои ключевые цели и задачи в рамках обеспечения реализации общей стратегии информационной безопасности. Чтобы добиться высокого уровня координации необходимо достижение нескольких вещей: единая цель, единая стратегия, четкое понимание зоны ответственности каждого и неустанная работа по донесению ключевых подходов, контроль за их исполнением и обеспечение понимания всеми подразделениями и сотрудниками значимости ИБ для бизнеса компании. Культура поддержки ИБ – это часть корпоративной культуры самой компании.  Благодаря этому сотрудники Эльдорадо исполняют политику ИБ, сообщают об инцидентах, уязвимостях, участвуют в процессах, согласовывают документы и предоставляют всю необходимую информацию. Именно такой подход позволяет реализовать политику ИБ на стратегическом уровне, когда она становится не только ответственностью отдельного подразделения, но и общей задачей всей компании.

Валерий Любичев, директор по ИБ, главный специалист отдела безопасности, «ЛУКОЙЛ Узбекистан Оперейтинг Компани» рассказал о реализации политики ИБ как сервиса. При внедрении такого подхода  необходимо:

• Разработка и совершенствование моделей описания рисков
• Вовлечение руководства в обеспечение ИБ и повышение его заинтересованности в обеспечении ИБ
• Определение границ зон ответственности служб ИБ и ИТ
• Отладка механизмов взаимодействия службы ИБ и служб физической безопасности и инженерно-технической защиты
• Повышение уровня осведомленности Директора ИБ о планах развития бизнеса
• «Движение в ногу со временем» и развитием Информационных технологий
• Разработка дополнительных или альтернативных инструментов для бизнеса, отвечающих требованиям ИБ

Все это приводит к  полной вовлеченности руководства в обеспечение ИБ, непрерывному обучению сотрудников, четкой регламентации, быстрому изучению новых возможностей и, при необходимости, их успешному внедрению.

Аркадий Прокудин, заместитель руководителя центра компетенций информационной безопасности АйТи рассказал о том, как директор по ИБ может проверить текущий уровень безопасности. Оценка текущего уровня безопасности – это не только задача  бизнеса, это одно из ключевых требований, которое закреплено в целом ряде стандартов и нормативных актов. При корректном внедрении системы мониторинга компания получает единую точку, где можно все увидеть, единый центр принятия решений и рост числа зафиксированных инцидентов, а также рост скорости принятия решений, и, как следствие, более высокую управляемость системы ИБ.

Эти доклады дополнили реальные кейсы таких компаний как Эльдорадо, CARCADE, Северсталь, ЛУКОЙЛ Узбекистан Оперейтинг Компани, Yota Lab, Росэнергоатом, Bayer, а также кейсы из практики компаний LETA и ассоциации RISSPA.

Отдельный практикум был посвящен вопросам комплексного подхода к управлению информационной безопасностью.  Андрей Конусов, генеральный директор компании AvanPost в своем выступлении затронул тему перехода от кусочной автоматизации к  комплексной системе. Он отметил, что наибольшую эффективность дает сочетание всех трех систем управления доступом IDM, PKI и SSO. И порекомендовал использовать единого провайдера для реализации всех этих задач.

Александр Бондаренко, директор по развитию компании LETA привел конкретный пример комплексного подхода к оценке рисков ИБ. Он акцентировал внимание на том, что есть формальный подход – когда нужно просто соответствовать требованиям стандартов, и подход, который ориентирован на решение задач бизнеса. Второй подход сложнее, так как требует не только технической инвентаризации, но и оценки информации и бизнес-процессов. Во вторых важна комбинируемость и умение оценить возможные угрозы и найти оптимальные решения. Компании нужно настраивать серьезные аналитические системы, анализировать статистику, используя для этого современный инструментарий.

Алексей Ивлев, руководитель практики информационной безопасности Accenture рассказал об использовании Big Data как основы перехода от мониторинга к прогнозированию и предотвращению рисков. В основе этого подхода лежит использование современных систем анализа данных, позволяющие проводить различные виды анализа данных. Он подробно рассказал о том, как может современная служба ИБ использовать имеющиеся у нее данные для того, чтобы на их основе построить современную комплексную систему защиты информации.

Опыт построения прозрачных и управляемых услуг безопасности представил Александр Бодрик, лидер направления, департамент информационной безопасности, ТБинформ. Он рассказал о том, как эффективно выстроить процесс оказания ИБ в виде услуги, обеспечив его непрерывность  и высокий качественный уровень в соответствии со стандартами.

 Защита персональных данных и ФЗ-152 стали темой Вечернего дискуссионного клуба. В нем приняли участие представители компаний Leta, Cisco, Банка России, Северсталь-Инфоком, Вымпелкома, ассоциации АРСИБ. Модератором дискуссии выступил Михаил Емельянников, управляющй партнер компании Емельянников, Попова и партнеры. Были обсуждены уже внесенные в закон поправки, а также ожидаемые изменения. В частности изменения в Копа по ст. 13.11, Постановление Правительства о контроле и надзоре  в области персональных данных, приказ ФСТЭК №21, нормативно методические документы и приказы ФСБ и Роскомнадзора, а также иных государственных органов. Директора по ИБ обсудили, что это будет означать с точки зрения современных систем ИБ и как обеспечить соответствие их требованиям закона.  По мнению Льва Фисенко,   директора  департамента по работе с финансовыми организациями компании Информзащита, «поднятая на клубе тема традиционно не теряет актуальности. Рынок находится в ожидании новых нормативных документов и поэтому дискуссия получилось очень живой и местами острой».

Не остались без внимания и аппаратные средства защиты информации. Олег Гурин, руководитель направления информационной безопасности компании DEPO Computers рассказал о том, как обеспечить безопасность сети и пользовательских устройств.  Он подчеркнул, что данный подход позволяет решать самые резные задачи – от обеспечения безопасности сетевых приложений до контент-фильтров. Он подчеркнул, что современные аппаратные средства защиты являются одним из ключевых элементов комплексной системы ИБ.

Вопрос информационной безопасности является одним из ключевых для банковского сектора. Поэтому отдельная секция была посвящена обмену опытом компаний этой индустрии.

Одним из ключевых выступлений стал доклад Евгения Афонина, начальника отдела системной архитектуры департамента комплексных решений компании Информзащита, посвященный предотвращению мошенничества и расследованию инцидентов  в  ДБО.  Он отметил, что сегодня развитие систем защиты в сфере платежных систем находится в ситуации постоянного развития, работая на опережение – ведь сама система атак на информационные системы постоянно эволюционирует.  Процедуры контроля за мошенничеством достаточно сложны, требуют вовлечения большого числа сотрудников компании и многоступенчатой системы проверки. Поэтому зачастую сложно уложиться в одни день – тот срок, в течение которого заблокировать нелегальные платежи достаточно просто. Но существует множество факторов – начиная от срока обращения клиентов,  реакции партнеров и заканчивая фактами массовых атак – которые существенно затрудняют процесс предотвращения мошенничества. И поэтому сегодня значимость внедрения современных систем защиты, отвечающим ключевым требованиям – работа в реальном времени, защищенности от атак, возможность остановки платежа, оперирующей рисками, саморазвивающейся и при этом экономически эффективной – постоянно возрастает. И поэтому сегодня одним из лучших решений в такой ситуации является использование системы эшелонированной защиты, используемой вместо узкоспециализированных решений.

Андрей Игнатов, директор по развитию департамента комплексных решений компании Aflex Distribution, осветил вопросы контроля изменений в настройках ИТ-инфраструктуры и файловых хранилищах. Он рассказал о реальном кейсе из их практики (территориально распределенная компания с численностью машин более 3000). Он рассказал о внедрении решения, которое позволило обеспечить полную прозрачность всех действий (кто, где, когда, откуда, что  и на что поменял). Это значительно повысило эффективность системы безопасности и снизило угрозы бизнесу.

Значительный блок вопросов в рамках конференции был связан с обеспечением безопасности в мобильном мире. В этой области был затронут целый спектр тем: ЭЦП для мобильный устройств,  удаленный доступ и права доступа, баланс возможностей для бизнеса и потенциальных угроз.

Алексей Андреев из компании Газинформсервис затронул очень популярную сегодня тему безопасности удаленного доступа к корпоративным ресурсам с мобильных устройств.  Сегодня использование мобильных устройств в корпоративной сфере растет вместе с развитием и ростом качества покрытия, при этом лидерами по прежнему остаются устройства на платформах iOS (35%) и Android (52%). Однако системы управления мобильным доступам должны подходить для любых мобильных ОС. Выбор же этих систем должен быть комплексным и учитывать целый ряд факторов, среди которых политика в области использования собственных (BYOD) или только корпоративных устройств, формы распространения мобильных приложений для этих устройств, политика в области управления мобильным доступом, требованиями к устройствам, контроль и мониторинг использования. При выборе системы очень важно учитывать ключевые угрозы безопасности – потерю данных при краже или утере устройств, вредоносное ПО,  утечку данных, уязвимость данных и т.п. Сегодня существует достаточно широкий спектр решений в данной области, но выбор конкретного решения зависит от общей политики  компании в этой сфере. Ключевые параметры при этом, которые оцениваются у системы: гибкость поддерживаемых устройств, контроль приложений, управление настройками, блокировка и удаление данных и унификация архитектуры.

Антон Карпов, руководитель службы информационной безопасности  Яндекса  выделил 4 ключевых аспекта в вопросе обеспечения безопасности мобильных устройств: юридическое обоснование, MDM, VPN и набор политик/ профилей и подробно рассказал о том, как решать вопрос по каждому из направлений. В заключение он дал ключевые советы всем участникам:

• Ограничьте круг поддерживаемых устройств
• Реализуйте 802.1x X.509 в корпоративной сети
• Следите за активностью устройств в сети

• Будьте гибкими

Активное участие в обсуждении данной темы приняли представители таких компаний как Yandex, Райффайзен банк, Магнитогорский металлургический комбинат, НИИ СОКБ.

В теме «Безопасность АСУПТ» были затронуты практические аспекты реализации проектов оп защите АСУПТ, рекомендации по архитектуре и особое внимание уделено первому рубежу обороны – защите периметра.

Алексей Белоглазов, системный инженер компании Palo Alto Networks рассказал об опыте защиты IP-сетей АСУПТ. Он рассказал о современной реальности, где используются протоколы, согласно индустриальным стандартам, мигрированные в IP, многие SCADA, RTUs используют протоколы общего назначения, идет интеграция с ERP и прочими бизнес-системами, используется удаленный доступ через интернет, интернет-каналы для доступа к VPN,  съемные накопители и т.п. Все это увеличивает риск DoS (принося финансовый и физических ущерб), риск кражи технологической информации, популярность антак на SCADA промпредприятий и ЦОД. В контексте данных угроз он описал какие подходы может использовать компания для снижения данных рисков и обеспечения безопасности.

О своем опыте рассказали представители компании Информзащита, Лукойл-Информ, Евросеть, Техстройконтракт, Аэрофлот, Росленифорг и др.

На форуме также затрагивались вопросы интеллектуальной безопасности как залога информационной безопасности предприятия и обсуждался переход от реагирования на угрозы информационной безопасности к их предотвращению.

Обзор основных перспектив и направлений развития решений по информационной безопасности и комплексный подход IBM представил Николай Поборцев, специалист по продажам решений по информационной безопасности IBM.  Он рассказал о ключевых этапах современных атак, и о том, какие ключевые решения по защите работают на каждом из них.

ОЛЕГ ЛЕТАЕВ, региональный менеджер по решениям Q1 Labs, IBM в России и СНГ уделил внимание решению SIEM 2.0  и его отличию от привычных решений.  Он рассказал об использовании Security Intelligence, которая предоставляет исчерпывающую и практически применимую информацию, необходимую для управления рисками и угрозами, от обнаружения и защиты до устранения. Все это ведет к формированию следующих требований к новому поколению  SIEM:

✔ Анализ сетевых потоков (network flows) и обнаружение аномалий в сети

✔ Анализ сетевых потоков уровня приложения (Level 7), анализ содержимого пакетов (DPI)

✔ Мониторинг активности и анализ аномалий поведения пользователей

✔ Анализ конфигураций сетевых устройств, учет сетевого контекста

✔ Производительность и масштабируемость от самых маленьких до самых больших внедрений

✔ Способность анализировать огромные массивы разрозненных данных и находить взаимосвязи

✔ Интеллект «из коробки»

✔ Автоматизация рутинных процедур

✔ Контент от ведущей исследовательской группы

✔ Интеллектуальное сокращение объема данных, подлежащих анализу оператором ИБ

Современные системы уже сегодня позволяют достичь этого уровня при комплексном подходе к системе ИБ компании.

 Практику участия подразделения ИБ в расследовании корпоративных мошенничеств, в т.ч. на производстве представил Сергей Голяк, старший менеджер группы информационной безопасности службы безопасности контрольного управления Магнитогорского металлургического  комбината. Он рассказал о ключевых подходах в области расследования мошенничеств, подготовке дел к передаче в правоохранительные органы. Он обсудил вопрос требований к информационным системам, предотвращающим корпоративное мошенничество, а также о создании системы внутреннего контроля. Он очень подробно описал все требования политики в области ИБ, направленные на предотвращение и борьбу с мошенничеством.

В  рамках специальной сессии, посвященной вопросу обеспечения безопасности исходного кода Андрей Петухов, научный сотрудник лаборатории безопасности информационный систем ВМиК МГУ осветил методические отличия при анализе кода внутренних и внешних приложений.  Он изложил основные подходы к анализу, возможные методы анализа и их применимость в различных условиях, а также влияние конкретных условий на подходы к анализу.

Среди прочих тем, затронутых в рамках форума, были вопросы обеспечения ИБ многопроцессорных вычислительных комплексов, а также вопросы охраны интеллектуальной собственности. 

По отзывам участников, в следующем году по прежнему будет актуальна тема контроля мобильных устройств в организациях и все больше распространение этого подхода приведет компании к инвестициям в эту сферу.  По мнению Аркадия Прокудина, зам. Руководителя отдела центра компетенций информационной безопасности компании АйТи умы директоров по ИБ по прежнему будут волновать темы реальных «войн» на полях ИБ и работа над рисками ИБ в компании.

 Лев Фисенко, директор департамента по работе с финансовыми организациями компании Информзащита также отметил тему антифрода, которую поднял Никита  Кислицын,  руководитель направления Ботнет мониторинга в Group-IB. «Подход компании Group-IB  показался интересным, но в тоже время неоднозначным с точки зрения правовой легитимности. Кроме того, было любопытно послушать директора по продажам компании InfoWatch Константина Левина, который выступил с докладом «Контроль за работой персонала со средствами хранения, обработки и передачи информации», еще раз уделив внимание не сходящей с уст теме борьбы с утечками».

Также он отметил, что «зрелость заказчиков вышла на качественно новый уровень, на котором их не интересует использование тех или иных продуктов и систем в чистом виде. Выстраивание процессов ИБ и их оптимизация с помощью этих самых продуктов - вот основной тренд отрасли. И наша компания – Информзащита -  предлагает выстроить все процессы ИБ на основе лучших мировых практик и нашего многолетнего опыта. А если говорить о будущем, то все больший интерес у наших заказчиков вызывают решения класса GRC (Governance, risk management, and compliance). Сегодня этот интерес редко становится предметным: скорее компании занимаются построением систем управления инцидентами ИБ  или построением SOC. Но, на наш взгляд,  уже в самое ближайшее время он переродится в  реальные и эффективные проекты».

Infor-media Russia благодарит всех партнеров и участников конференции.

Традиционно программа конференции формируется на основе пожеланий и отзывов участников. Оставайтесь с нами! В 2014 году мы проведем следующую конференцию по данной тематике.