Руководство по оформлению презентаций
advertisement
Вклад ИТ в обеспечение информационной безопасности компании. Мифы, реальность и перспективы. Антон Левиков Москва, 2011 г. От корпорации «Эконика» к группе компаний «Новард»: КУРС НА НОВЫЕ БИЗНЕСОТКРЫТИЯ Группа компаний «Новард» диверсифицированный стратегический холдинг: • Специализированная женская обувная сеть каскетов • Инвестиционно-девелоперская компания • Промышленное и строительное оборудование • Коммерческая недвижимость • Проектное финансирование Филиалы и подразделения –более чем в 50 регионах России Количество сотрудников – более 2000 человек Наши ценности 1. Лидерство 2. Постоянное развитие и совершенствование 3. Надежность 4. Работа в команде 5. Традиционные российские ценности Наша миссия Создание и продвижение новой бизнес-модели, сочетающей передовой мировой опыт с лучшими российскими традициями предпринимательства и меценатства • Развиваясь, мы вносим свой вклад в экономическое, культурное и духовное процветание России; • Мы ориентируем наш бизнес на потребителя, всегда предлагая ему лучшие товары и услуги; • Мы строим отношения с партнерами на качественно новом уровне, открывая миру Россию, готовую к равноправному и плодотворному сотрудничеству; • Создавая высокоэффективную команду, мы заботимся о профессиональном и духовном развитии, а также благосостоянии наших сотрудников. Цель выступления Обозначить «острые» проблемы организации работ по обеспечению информационной безопасности, опираясь на опыт ИТ-директора диверсифицированного холдинга. Предложить простой организационный подход к решению некоторых проблем. План выступления 1. 2. 3. 4. Немного статистики об угрозах (разные взгляды) Мифы Особенности места ИТ-директора в системе информационной безопасности и его ожидания Исполнение ожиданий… Три взгляда на ИТ-угрозы (источник: Computer Economics, 2007) ИТ-угроза Вирусы Проникновение в систему внешнего нарушителя Кража конфиденциальных данных с мобильных устройств Кража ноутбуков и других мобильных устройств Неправомерное использование сети инсайдером DоS-атаки (Denial of Service — отказ в обслуживании) Общий объем потерь, тыс. долл. Позиция в рейтинге ИТ-угроза 8 391 1 Угроза инсайдеров 6 875 2 Спам 5 685 Malware-угрозы (компьютерные вирусы, черви, троянцы, adware- и spyware3 модули) 3 881 2 889 Неавторизованный доступ со стороны 4 внешних нарушителей Угроза физической потери носителя 5 информации Боты внутри организации Phishing (получение данных о логинах и паролях) 2 869 6 Электронное мошенничество Pharming-атаки (пользователь вводит настоящий адрес страницы, а 7 загружается фальшивая) 2 752 8 Phishing-атаки Саботаж 1 056 9 Электронный вандализм и саботаж Неавторизованный доступ к данным 1 042 Взлом web-сайта 2 888 10 DoS-атаки 725 Третий взгляд – в конце выступления… Три «мифа» про вклад ИТ в обеспечение информационной безопасности компании 1. ИТ-специалисты системно работают над повышением уровня информационной безопасности 2. Систему безопасности информации в электронном виде можно сделать практически «неуязвимой» (обеспечить безопасность на 99,9999… %) Третий миф – в конце выступления… « Три желания» ИТ-директора, который отвечает за постановку задач повышения информационной безопасности 1. Хочу включить Заказчика в процесс формирования и функционирования системы безопасности. СБ Вся безопасность Информационная безопасность Безопасность информации в электронном виде 2. Хочу видеть сам положительный результат, демонстрировать и отчитываться за него. 3. Хочу получать бюджет без хождения с «протянутой рукой». ДИТ Как исполнить «три желания»… Начало Рабочая группа (ИТ, финансы, СБ + заинтересованное "первое" лицо) "Модератор" (ИТД) Создание/ актуализация РГ Создание/ актуализация листа Угроз Шаг 3 Шаг 1 Шаг 4 Разделение угроз на группы (красная, желтая, синяя) Шаг 2 Лист Угроз Лист Угроз Шаг 5 Формирование плана мероприятий (красная+половина желтой) "Модератор" Корректировка и актуализация полного списка мероприятий Лист Угроз "Модератор" Рабочая группа (ИТ, финансы, СБ + заинтересованное "первое" лицо) Контроль полноты и актуальности листа Угроз Оценка угроз: 1. Значимость 2. Уровень защищенности Полный список мероприятий (для каждой угрозы записаны все мероприятия) Шаг 6 согласование и утверждение плана мероприятий (красная+половина желтой) Реализация плана мероприятий В начало План мероприятий (мероприятие, справка - от каких угроз) Третий взгляд (Новард) ИТ-угроза Вирусы Проникновение в систему внешнего нарушителя Кража конфиденциальных данных с мобильных устройств Кража ноутбуков и других мобильных устройств Неправомерное использование сети инсайдером DоS-атаки (Denial of Service — отказ в обслуживании) объем потерь, тыс. долл. 6 875 Инсайд 1 Угроза инсайдеров Потеря данных (потеря, уничтожение носителей, форс-мажоры) 2 Спам 5 685 Malware-угрозы (компьютерные вирусы, черви, троянцы, adware3 и spyware-модули)Кража информации с переносных носителей 8 391 3 881 2 889 2 888 Боты внутри организации Phishing (получение данных о логинах и 2 869 Саботаж Неавторизованный доступ к данным 1 056 Взлом web-сайта ИТ-угроза 2 752 1 042 725 Подлог (преднамеренная подмена данных Неавторизованный доступ со 4 стороны внешнихпользователями) нарушителей Угроза физической потери Уничтожение данных по Ошибке 5 носителя информации Неавторизованный доступ со стороны внешних нарушителей 6 Электронное мошенничество Pharming-атаки (пользователь вводит настоящий адрес Вирусы 7 страницы, а загружается 8 Phishing-атаки Электронный вандализм и 9 саботаж 10 DoS-атаки Третий миф Повышение расходов на информационную безопасность однозначно увеличивает уровень защищенности компании Пожелание - рекомендация Искать компромисс между уровнем информационной безопасности и пользовательской оценкой «дружелюбия» ИТ-сервисов. Объяснять пользователям, почему «дружелюбие» иногда нужно принести в жертву… безопасности Спасибо за внимание! Антон Левиков, Директор по информационным технологиям группы компаний «Новард»
