1. «Информационная безопасность для бизнеса» Скородумов Борис Иванович, Исполнительный директор ИБД АРБ

2. 2 «Предпринимательство – рискованное дело»…

3. … « менеджмент должен осуществляться, прежде всего, на основании постоянного, систематического и целенаправленного снижения издержек производства»…

4. 4 ОПЕРЕЖАЮЩЕЕ РАЗВИТИЕ РОССИЙСКОЙ ОТРАСЛИ ИКТ Развитие российской отрасли ИКТ, млрд. руб. 20000101020203030404050506062007 Доля отрасли ИКТ в структуре ВВП, % 20002007 Среднегодовой темп прироста xx +30% Министр информационных технологий и связи Российской Федерации Л.Д. Рейман

5. 55 ФОМ: За последние полгода 56% пользователям рунета приходилось искать в сети информацию о необходимых товарах и услугах. При этом доверие системе оплаты через Интернет пока невелико: 28% пользователей считают ее надежной и безопасной, в то время как 45% придерживаются противоположной позиции. Еще 27% затрудняются оценить степень безопасности on-line платежей. Такие данные приводит Фонд "Общественное мнение". Лишь каждый третий пользователь доверяет платежным интернет-системам http://www.cybersecurity.ru/news/33963.html (10:45) 19.10.2007

6. Международная практическая конференция по вопросам борьбы с киберпреступностью и кибертерроризмом 19 апреля 2006 года в Москве В мероприятии приняли участие: Министр внутренних дел РФ Рашид Нургалиев, представители Государственной Думы РФ, Совета Безопасности, международные эксперты. « в 1998 году в системе Министерства внутренних дел были созданы специализированные подразделения по борьбе с киберпреступлениями». Глава МВД РФ генерал армии Рашид Нургалиев «с 2001 года количество компьютерных преступлений на территории России удваивается ежегодно». Начальник управления специальных технических мероприятий МВД генерал-лейтенант милиции Борис Мирошников http://sartraccc.sgap.ru/Press/cyber_crim.htm

7. 7 Symantec Spam Report пн., 15/09/2008 - 08:26 В последнем отчете State of Spam за Сентябрь 2008 года компания говорит, что общий объем вирусного спама достиг 1,2% от общего объема электронных писем, что почти в два раза больше, чем в первом полугодии 2008 года. Общая доля спама по итогам сентября составила 78% трафика электронной почты. "Рост вирусного спама начался с мае 2008 года и с тех пор не прекращается. За это время рост опасного спама вырос по всем направлениям", - говорят в Symantec.

8. 8 Microsoft: киберпреступность представляет серьезную угрозу для развития электронной коммерции (16 сентября 2008 года, 13:45) Исследователи из Microsoft заявляют, что киберпреступность, в частности кража персональных данных пользователей, угрожает развитию онлайновой коммерции и отрасли финансовых услуг в интернете, сообщает MIS Asia.сообщает Авторы документа, озаглавленного "Online Identity Theft: Changing the Game", заявляют о необходимости внедрения новой модели обеспечения сохранности персональных данных клиентов Ключевым компонентом новой системы, предлагаемой специалистами Microsoft, является технология "Information Card", которая должна помочь в создании более защищенной онлайновой среды."Information Card"

9. 99 Актуальность проблемы обеспечения безопасности Ущерб от вирусных атак по всему миру в млрд. долл. ( Computer Economics, 2006) 2005- 14,2 млрд. 2003- 13,0 млрд. 2001- 13,2 млрд. Общие убытки от нарушений безопасности 32% – вирусные атаки 24% – кража информации 6% – атаки типа «отказ в обслуживании» –Только около 20% компаний сознаются в убытках от атак. –Ущерб на 1 сотрудника = 50 долл. в год Типы атак –65% компаний подвергались вирусным атакам –42% компаний подвергались атакам со стороны своих сотрудников –32% компаний фиксировали неавторизованный доступ к данным

10. 10 2005 CSI/FBI Лоуренс А. Гордона, Мартин П. Лоеба, Уильям Ласайшайн, Роберт Ричардсон Исследование компьютерных преступлений и безопасности Результаты исследования Базируются на ответах 700-сот респондентов из американских корпораций, правительственных агентств, финансовых и медицинских институтов и университетов. Количество инцидентов, связанных с веб- сайтами резко возросло.

11. 11 Потери в долларах по типу атаки CSI представляет отчет о результатах исследования в свободный доступ на сайте GoCSI.com

12. 12 http://www.gocsi.com/ Some of the preliminary key findings from the 2008 Survey include: Financial fraud cost organizations the most, with an average reported loss of close to $500,000. The second most expensive was dealing with “bot” computers within the network, reported to cost organizations an average of nearly $350,000. Virus incidents occurred most frequently, respondents said, occurring at almost half (49 percent) of the respondents’ organizations. CSI Computer Crime & Security Survey

13. 13

14. 14 «Report on Widening Gap» "Отчет о расширяющейся пропасти" Риски, вызванные постоянным развитием бизнеса во всем мире, эволюционируют так быстро, что специалисты по информационной безопасности не успевает адекватно отреагировать на них. Компания Ernst&Young выпустила очередную, восьмую, версию своего ежегодного отчета "Global Information Security Survey 2005".

15. 15 Секция «Кибернетический терроризм» российско- американского семинара (Президиум РАН, 2003 год) «Истина состоит в том, что мы не знаем, как создавать надежные информационные системы». …Главный вывод – необходима «разработка совершенно новых методов обеспечения безопасности информационных систем». Из выступления руководителей американской делегации Уильяма А. Вульфа (Президент Национальной инженерной академии США) и Аниты К. Джонс (Виргинский университет США). ppt

16. 16 Что необходимо сделать? Чтобы повысить уровень кибернетической безопасности необходимо решить следующие 4 первоочередные задачи: 1. Создать новую модель компьютерной защиты вместо прежней модели «круговой обороны». 2. Ввести новое определение «компьютерной безопасности». 3. Перейти к активной обороне. 4. Скоординировать действия «кибернетических сообществ», законодательной системы и систем надзора… Практическое определение понятия безопасности должно быть более сложным, чем конфиденциальность, целостность и отказ в предоставлении услуги. Свое понятие безопасности должно быть выработано для каждой существующей реалии….

17. «Настоящая наука начинается там, где начинаются измерения» Дмитрий Иванович Менделеев

18. 18 Стандарты информационной безопасности и риск ГОСТ Р ИСО/МЭК 27001 «Информационная технология.Методы безопасности. Система управления безопасностью информации. Требования» ГОСТ Р ИСО/МЭК 17799 " Информационная технология. Методы безопасности. Руководство по управлению безопасностью информации" ГОСТ Р ИСО/МЭК 15408-1-2002 « Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий » ГОСТ Р 51897-2002 Государственный стандарт Российской федерации. Менеджмент риска. Термины и определения.ГОСТ Р 51897-2002 Государственный стандарт Российской федерации. Менеджмент риска. Термины и определения.

19. 19 Стандарты информационной безопасности и риск Приняты два новых стандарта "ГОСТ Р": ГОСТ Р ИСО/МЭК ТО 13335.3-2007 "Информационная технология. Методы и средства обеспечения безопасности. Часть 3. Методы менеджмента безопасности информационных технологий" ("Information technology. Security techniques. Part 3. Techniques for the management of information technology security"); ГОСТ Р ИСО/МЭК ТО 13335-4-2007 "Информационная технология. Методы и средства обеспечения безопасности. Часть 4. Выбор защитных мер" ("Information technology. Security techniques. Part 4. Selection of safeguards"), с датой введения в действие 01.09.2007.

20. 20 Стандарты информационной безопасности и риск ГОСТ Р ИСО/МЭК 13569 "Финансовые услуги. Рекомендации по информационной безопасности" Аутентичный международному стандарту ISO/IEC TR 13569:2005 ГОСТ Р ИСО/МЭК 18045 Информационная технология. Методы и средства обеспечения безопасности. Методология оценки безопасности информационных технологий Аутентичный международному стандарту ISO/IEC 18045:2005

21. ЦЕНТРАЛЬНЫЙ БАНК РОССИЙСКОЙ ФЕДЕРАЦИИ (БАНК РОССИИ) СТАНДАРТ БАНКА РОССИИ ОБЕСПЕЧЕНИЕ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ОРГАНИЗАЦИЙ БАНКОВСКОЙ СИСТЕМЫ РОССИЙСКОЙ ФЕДЕРАЦИИ. ОБЩИЕ ПОЛОЖЕНИЯ Москва 2006 СТО БР ИББС-1.0-2006 Вестник № 6, 2006 год http://www.cbr.ru/

22. 22 Закон «О техническом регулировании» Статья 2. Основные понятия «риск – вероятность причинения вреда…..» «безопасность - состояние, при котором отсутствует недопустимый риск, связанный с причинением вреда…….»

23. 23 Разные цели – разные архитектуры

24. 24 Предложение по определению термина «информационная безопасность» (на «законных» основаниях ФЗ «О техническом регулировании») «информационная безопасность – состояние информации при допустимом риске ее уничтожения, изменения или раскрытия, связанном с причинением вреда владельцу или пользователю информации» Достоинства нового определения: Гармонизация положений новых стандартов (ГОСТ Р ИСО/МЭК 15408-1- 2002, 27001, 17799) и прежнего научно-технического задела. Получение метрик информационной безопасности.

25. 25 Оранжевая Книга Радужная серияРадужная серия Профили безопасности Common Criteria for Information Technology Security Evaluation ISO/IEC 15408 ISO/IEC 17799

26. профиль m Гос. Тайна Коммерческая информация Другая информация (врачебная и т.п.) Оранжевая книга, Радужная серия профиль k профиль n финансовый профиль частная собственность; цель – экономическая эффективность; модель угроз и нарушителя; работа в открытых системах; юридическая сила ЭД; страхование i рисков; неоднородность организаций; определение ценности i; динамичность (мониторинг) защиты; открытые средства защиты и т.д. Особенности защиты коммерческой i :

27. 27 Требования стандарта информационной безопасности коммерческих организаций позволят: оптимизировать расходы на защиту информации; обеспечить качественный аудит автоматизированных систем; решить вопросы внутреннего контроля организации. Основы защиты информации

28. 28 Статистика преступлений против банков 1990-2000гг (без учета российских банков) 24% 76%

29. 29 В АРБ летом2003 года выступал, после семинара в ЦБ РФ, Дэвид Хаген, Президент Люксембургской ассоциации по обеспечению безопасности информационных систем (CLUSSIL), начальник отдела аудита информационных технологий Комиссии по надзору за финансовым сектором. Дэвид Хаген сказал, в частности, что, в Европе давно перешли от качественной оценки угроз информационной безопасности к определению количественных величин информационных рисков, которые входят в состав операционных рисков и актуализируются с дальнейшим развитием ИТ.

30. Методика управления рисками информационной безопасности Люксембургской ассоциации по обеспечению безопасности информационных систем (CLUSSIL)

31. R-суммарные издержки n-количество рисков А-вероятный риск В-стоимостная оценка риска С-стоимость реализации мер защиты Rmax-оценка допустимого риска Обобщенный критерий защищенности информации в коммерческой АБС (из методики французской банковской комиссии) С защита < С выгода < У ущерб системы нарушителя владельца

32. 32 Система автоматизации управления безопасностью "АванГард" ("РискМенеджер") Книги содержащие описание системы "АванГард":

33. 33 Место задач по оценке рисков системы «РискМенеджер» ИСА РАН в обеспечении ИБ http://is.isa.ru/ http://is.isa.ru/ Лаборатория системного анализа процессов информатизации ИСА РАН, www.OcenkaRiskov.tkИСА РАН

34. 34 Система анализа и управления информационными рисками Анализ рисков информационной безопасности осуществляется с помощью построения модели информационной системы организации. Рассматривая средства защиты ресурсов с ценной информацией, взаимосвязь ресурсов между собой, влияние прав доступа групп пользователей, организационные меры, модель исследует защищенность каждого вида информации. В результате работы алгоритма программа представляет следующие данные: 1. Инвентаризация; 2. Значения риска для каждого ценного ресурса; 3. Перечень всех уязвимостей, которые стали причиной полученного значения риска; 4. Значения риска для ресурсов после задания контрмер (остаточный риск); 5. Эффективность контрмер; www.dsec.ru

35. 35 ВЫВОДЫ: 1. Снижение издержек бизнеса непосредственно связано с информационной безопасностью. 2. Получение метрик информационной безопасности, например, через риск – актуальная задача бизнеса. 3. Наступило время создания отечественной методики количественного определения информационной безопасности коммерческих АС с учетом информационных рисков.

36. 36 Спасибо за Ваше внимание! СКОРОДУМОВ БОРИС ИВАНОВИЧ