Pwc современные угрозы иб
- 2. Изменение парадигмы Какие факторы следует учитывать при формировании стратегии информационной безопасности? PwC 2
- 3. Новые технологии Облачные вычисления Виртуализация инфраструктуры Социальные сервисы Использование мобильных устройств PwC 3
- 4. Изменения законодательства PCI- DSS 152-ФЗ СТО БР ФСБ ИББС 161-ФЗ ФСТЭК PwC 4
- 5. Рост числа киберпреступлений Источник: iC3 research PwC 5
- 6. Технологические риски Что несут с собой новые технологии? PwC 6
- 7. Облачные вычисления IaaS PaaS SaaS Сервисная Инфраструкту Платформа Приложение x aaS ра как сервис как сервис как сервис модель Измеримый Сервис по Сетевой доступ Эластичность сервис запросу Ключевые характеристики Разделение ресурсов Модель Публичное Сообщество Частное Гибридное развертывания PwC 7
- 8. Ключевые преимущества Снижение капитальных расходов (публичное облако) Оплата только используемых ресурсов Эластичность и неограниченность ресурсов Быстрота развертывания Обеспечение потребностей бизнеса PwC 8
- 9. Риски безопасности облачных вычислений • Доверие – прозрачность провайдера и непрерывность сервиса, процедуры контроля и управления рисками, соответствие законодательству? • Уязвимости в программном обеспечении – особенно когда оно «глубоко» доработано провайдером • Отсутствие стандартизации интерфейсов - могу ли я легко поменять провайдера? • Совместное использование ресурсов – вы когда-нибудь использовали shared hosting? • Инсайдеры - доверять ли сотрудникам провайдера/администраторам облака? • Необходимость специализированных средств защиты - как защищать виртуальное? PwC 9
- 10. Примеры «Как у большинства онлайн-сервисов у нас есть ограниченный перечень сотрудников, которым разрешен доступ к пользовательским данным по причинам, указанным в нашей политике Апрель 2011 безопасности.» «Системный администратор удалил виртуальные сервера бывшего работодателя. Оцениваемый размер ущерба составил 300 000 USD» http://www.justice.gov/usao/nj/Press/files/Cornish,%20Jason%20News%20Release.html PwC 10
- 11. Примеры Июль 2012 PwC 11
- 12. Рекомендации по защите Draft Special Publication 800-144 Guidelines on Security and Privacy in Public Cloud Computing Wayne Jansen Timothy Grance i PwC 12
- 13. Оценка защищенности провайдеров https://cloudsecurityalliance.org/research/cai/ Русскоязычная версия http://www.risspa.ru/sites/default/files/CSA-CAI-Question-Set-v1-1_FINAL_v6_RUS_v.2.xls PwC 13
- 14. Социальные сервисы • Утечка аутентификационных данных • Неконтролируемое распространение информации • Анонимность • Невозможность удаления «цифровой» личности • Кража личности/мошенничества PwC 14
- 15. Примеры Июнь 2012 Июнь 2012 Июнь 2012 PwC 15
- 16. Использование мобильных устройств • Недостаточное количество специализированных средств контроля и защиты информации • Риски потери устройства • Кража данных (контакты, геопозиции, SMS/MMS, звонки, фото, документы и др.) • Новая среда, новые векторы атак PwC 16
- 17. Примеры Источник: http://www.securelist.com/en/blog/208193641/Find_and_Call_Leak_and_Spam PwC 17
- 19. Примеры Апрель 2011 Июль 2011 Март 2011 PwC 19
- 20. Примеры http://ru.wikipedia.org/wiki/Stuxnet http://ru.wikipedia.org/wiki/Duqu http://ru.wikipedia.org/wiki/Flame_(вирус) PwC 20
- 21. Расширение зоны ответственности Какие тенденции наблюдаются в сфере информационной безопасности? PwC 21
- 22. Новые тенденции Уровень бизнес-процессов • Интеграция в систему управления бизнес-рисками • Выявление и предотвращение мошенничеств (фрод) • Безопасность бизнес-приложений Мониторинг Антивирусная Межсетевые Контроль инцидентов защита экраны утечек Управление Криптографическая защита Обнаружение доступом атак Уровень инфраструктуры PwC 22
- 23. Управление бизнес-рисками Стратегия ИБ Управление рисками Бизнес-стратегия PwC 23
- 24. Предотвращение мошенничеств Сектор Средние потери, % от общей выручки Финансовые организации 1-2% Здравоохранение 5-10% Телекоммуникации 2-5%+ Производство 2-5% Исследование PwC PwC 24
- 25. Пример Добыча Переработка Транспортировка Хранение Дистрибуция Реализация Хищение продукции, манипуляции в технологических и информационных системах учета, искажение финансовой отчетности и т. д. PwC 25
- 26. Безопасность бизнес-приложений Оценка безопасности архитектуры приложений Контроль качества исходного кода Анализ защищенности исходного кода Автоматизированный поиск программных «закладок», выявление критичных участков кода, поиск уязвимостей PwC 26
- 27. Рекомендации • Актуализация стратегии безопасности, политик и процедур оценки и управления рисками с учетом специфики используемых сервисов • Процедура оценки защищенности сервис-провайдеров • Политики и процедуры защиты мобильных устройств • Актуализация стратегии непрерывности бизнеса • Использование специализированных средств защиты (контроль доступа, контроль утечек, мониторинг событий, криптографическая защита, токенизация, удаленное управление мобильными устройствами и др.) • Повышение квалификации персонала подразделений информационной безопасности и внутреннего аудита • Повышение осведомленности пользователей PwC 27
- 28. Новые риски требуют новых подходов... Евгений Климов Старший менеджер +7 (925) 006 3053 evgeny.klimov@ru.pwc.com © 2012 «ПрайсвотерхаусКуперс Раша Б.В.». Все права защищены. Под "PwC" понимается компания "ПрайсвотерхаусКуперс Раша Б.В." или, в зависимости от контекста, другие фирмы, входящие в глобальную сеть PricewaterhouseCoopers International Limited (PwCIL). Каждая фирма сети является самостоятельным юридическим лицом и не выступает в качестве агента PwCIL или любой другой фирмы сети. PwCIL не оказывает услуги клиентам. PwCIL не несет ответственность за действия или бездействие любой фирмы сети, не может контролировать профессиональные суждения, высказываемые фирмами сети, и не может никаким образом связать их каким-либо обязательством. Ни одна из фирм сети не несет ответственность за действия или бездействие любой другой фирмы сети, не может контролировать профессиональные суждения другой фирмы и не может никаким образом связать другую фирму сети или PwCIL каким-либо обязательством. PwC в России (www.pwc.ru) предоставляет услуги в области аудита и бизнес-консультирования, а также налоговые и юридические услуги компаниям разных отраслей. В офисах PwC в Москве, Санкт-Петербурге, Екатеринбурге, Казани, Новосибирске, Южно-Сахалинске и Владикавказе работают более 2 000 специалистов. Мы используем свои знания, богатый опыт и творческий подход для разработки практических советов и решений, открывающих новые перспективы для бизнеса. Глобальная сеть фирм PwC объединяет более 161 000 сотрудников в 154 странах. Бренд PwC объединяет фирмы, входящие в глобальную сеть фирм PricewaterhouseCoopers International Limited (PwCIL). "PwC в России" означает фирмы сети PwCIL, осуществляющие деятельность в России.