Принцип Парето в стандартизации ИБ
TRANSCRIPT
© 2008 Cisco Systems, Inc. All rights reserved.InfoSecurity 2008 1/18
Принцип Парето в стандартизации по ИБ
Алексей Лукацкий
Бизнес-консультант по безопасности
© 2008 Cisco Systems, Inc. All rights reserved.InfoSecurity 2008 2/18
“Небольшая доля причин, вкладываемых средств или прилагаемых усилий, отвечает за большую долю результатов, получаемой продукции или заработанного вознаграждения.”
Вильфредо Парето (1848 – 1923)
© 2008 Cisco Systems, Inc. All rights reserved.InfoSecurity 2008 3/18
Принцип Парето на практике
20% вложенных средств ответственны за 80% отдачи
80% следствий проистекает из 20% причин
20% покупателей приносит 80% прибыли
20% преступников совершают 80% преступлений
20% водителей виновны в 80% ДТП
80% времени вы носите 20% имеющейся одежды
80% энергии двигателя теряется впустую
20% населения владеют 80% всех ценностей
80% времени ПК тратится на 20% команд программы
© 2008 Cisco Systems, Inc. All rights reserved.InfoSecurity 2008 4/18
Суть принципа Парето
Диспропорция является неотъемлемым свойством соотношения между причинами и результатами, вкладом и возвратом, усилиями и вознаграждением за них
Если мы изучим и проанализируем два набора данных, относящихся к причинам и результатам, то скорее всего получим картину несбалансированности
65/35, 70/30, 75/25, 80/20, 95/5…
Он опровергает логическое предположение, что все факторы имеют примерно одинаковое значение
Принцип 80/20 будет работать всегда и везде, если не прилагать усилий по его преодолению
© 2008 Cisco Systems, Inc. All rights reserved.InfoSecurity 2008 5/18
Принцип Парето в безопасности
80% людей совершат НСД, если это не станет известным
88% ИТ-специалистов допускают месть работодателю после своего увольнения
20% уязвимостей приводят к 80% всех атак
Атаки обычно направлены на 95% уязвимостей, для которых уже существуют способы устранения
Только 20% функций СЗИ используются на практике
Стоимость лицензии на систему защиты составляет около 15-20% от совокупной стоимости владения
© 2008 Cisco Systems, Inc. All rights reserved.InfoSecurity 2008 6/18
Принцип Парето в стандартизации
80% всех защитных механизмов и мер покрываются 20% стандартов
80% стандартов покрывают 20% существующих потребностей/технологий
© 2008 Cisco Systems, Inc. All rights reserved.InfoSecurity 2008 7/18
Существующие стандарты ИБ в РФ
РД ФСТЭК
15408
СТР-КЧетверокнижие
по ПДн
КСИИ
СТО БР ИББСКоммерческая
тайна
PCI DSS
ГОСТ Р ИСО17799:2005
…
Разграничение доступаИзоляция процессовУправление потоками
Межсетевое экранированиеИдентификация/аутентификация
Регистрация действийРеакция на НСДОчистка памяти
Тестирование функций защитыУчет и маркировка носителей
Контроль целостности
© 2008 Cisco Systems, Inc. All rights reserved.InfoSecurity 2008 8/18
Существующие стандарты ИБ в РФ
РД ФСТЭК
15408
СТР-КЧетверокнижие
по ПДн
КСИИ
СТО БР ИББСКоммерческая
тайна
PCI DSS
ГОСТ Р ИСО17799:2005
…
Контроль доступа (мандатный/
дискреционный)VLANVPN
БиллингОС (одноуровневые/
многоуровневые)СУБДIDS
Электронные замки
© 2008 Cisco Systems, Inc. All rights reserved.InfoSecurity 2008 9/18
Существующие стандарты ИБ в РФ
РД ФСТЭК
15408
СТР-КЧетверокнижие
по ПДн
КСИИ
СТО БР ИББСКоммерческая
тайна
PCI DSS
ГОСТ Р ИСО17799:2005
…
Защита от утечек по техническим каналамДокументальное оформление
Физическая безопасностьРегистрация действийРазграничение доступа
Учет и маркировка носителейРезервирование
Антивирусная защитаЗащита ЛВС
Защита внешнего взаимодействияСУБД
© 2008 Cisco Systems, Inc. All rights reserved.InfoSecurity 2008 10/18
Существующие стандарты ИБ в РФ
РД ФСТЭК
15408
СТР-КЧетверокнижие
по ПДн
КСИИ
СТО БР ИББСКоммерческая
тайна
PCI DSS
ГОСТ Р ИСО17799:2005
…
Система управленияДокументальное сопровождениеУправление жизненным циклом
Разграничение доступаРегистрация действийАнтивирусная защита
Защита внешнего взаимодействияЗащита e-mail и архив почты
КриптографияПлатежные процессы
Технологические процессы
© 2008 Cisco Systems, Inc. All rights reserved.InfoSecurity 2008 11/18
Существующие стандарты ИБ в РФ
РД ФСТЭК
15408
СТР-КЧетверокнижие
по ПДн
КСИИ
СТО БР ИББСКоммерческая
тайна
PCI DSS
ГОСТ Р ИСО17799:2005
…
Разграничение доступаРегистрация действий
Учет носителейОбеспечение целостности
Межсетевое взаимодействиеОтсутствие НДВ
Антивирусная защитаАнализ защищенности
Обнаружение вторженийBCP
Реагирование на инцидентыОценка рисков
Повышение осведомленностиАудит
Защита коммуникаций
© 2008 Cisco Systems, Inc. All rights reserved.InfoSecurity 2008 12/18
Существующие стандарты ИБ в РФ
РД ФСТЭК
15408
СТР-КЧетверокнижие
по ПДн
КСИИ
СТО БР ИББСКоммерческая
тайна
PCI DSS
ГОСТ Р ИСО17799:2005
…
Документальное сопровождениеЗащита от утечек по техническим каналам
Антивирусная защитаОбнаружение вторженийРазграничение доступаРегистрация действий
Учет и маркировка носителейОбеспечение целостности
Межсетевое взаимодействиеКриптографическая защита
ЛовушкиСканеры защищенности
© 2008 Cisco Systems, Inc. All rights reserved.InfoSecurity 2008 13/18
Существующие стандарты ИБ в РФ
РД ФСТЭК
15408
СТР-КЧетверокнижие
по ПДн
КСИИ
СТО БР ИББСКоммерческая
тайна
PCI DSS
ГОСТ Р ИСО17799:2005
…
Контроль доступа (мандатный/
дискреционный)VLANVPN
БиллингОС (одноуровневые/
многоуровневые)СУБДIDS
Электронные замки
Защита от утечек по техническим каналамРазграничение доступа
Межсетевое взаимодействиеVPN
Аутентификация и идентификацияКриптозащита
Шифрование информацииЭЦП
Пакетное шифрованиеСтеганография
Регистрация действийСигнализация
Обнаружение вторженийЗащита от ПМВ
Защита от сбоев, отказов и ошибокОбеспечение целостности и надежностиТестирование и контроль безопасности
© 2008 Cisco Systems, Inc. All rights reserved.InfoSecurity 2008 14/18
Существующие стандарты ИБ в РФ
РД ФСТЭК
15408
СТР-КЧетверокнижие
по ПДн
КСИИ
СТО БР ИББСКоммерческая
тайна
PCI DSS
ГОСТ Р ИСО17799:2005
…
Настройка МСЭКонтроль паролей
Защита данных держателей картШифрование в канале связи
Обновление антивирусаЗащита приложений
Разграничение доступаИдентификация и аутентификация
Физический доступРегистрация действийАнализ безопасности
Документальное сопровождение
© 2008 Cisco Systems, Inc. All rights reserved.InfoSecurity 2008 15/18
Существующие стандарты ИБ в РФ
РД ФСТЭК
15408
СТР-КЧетверокнижие
по ПДн
КСИИ
СТО БР ИББСКоммерческая
тайна
PCI DSS
ГОСТ Р ИСО17799:2005
…
Контроль доступа (мандатный/
дискреционный)VLANVPN
БиллингОС (одноуровневые/
многоуровневые)СУБДIDS
Электронные замки
Политика безопасностиОрганизация ИБ
Управление активамиБезопасность HR
Физический доступБезопасность окружения
Управление средствами связиКонтроль доступа
Приобретение, разработка и обслуживание ИСУправление инцидентами
BCPСоответствие требованиям
© 2008 Cisco Systems, Inc. All rights reserved.InfoSecurity 2008 16/18
Связь документов
15408
РД
СТО БРИББС
ФСТЭК
PCI
Перс-данные
СТР-К
Только один гос.регулятор
© 2008 Cisco Systems, Inc. All rights reserved.InfoSecurity 2008 17/18
Когда в товарищах согласья нет…
ИБ
ФСТЭК
ФСБ
Минком-связь
МО
СВР
ФСО
ЦБPCI
Council
Газпром-
серт
© 2008 Cisco Systems, Inc. All rights reserved.InfoSecurity 2008 18/18
Пример: большинство банков
БанкPCI DSS
ФЗ-152
ФСБ
СТО БРИББС
Минком-связь
© 2008 Cisco Systems, Inc. All rights reserved.InfoSecurity 2008 19/18
Пример: Сбербанк
Сбер-банк
PCI DSS
СТО БРИББС
ФЗ-152
КСИИ
ФСБ
© 2008 Cisco Systems, Inc. All rights reserved.InfoSecurity 2008 20/18
Пример: Газпром
Газпром
КСИИ
ФЗ-152 ФСБ
Газпром-серт
© 2008 Cisco Systems, Inc. All rights reserved.InfoSecurity 2008 21/18
Как есть сейчас
PCI DSS
ОБИ
Защита данных
владельцев карт
СТО БР
ИББС
ОБИ
Защита платежных процессов
СУИБ
ФЗ-152
ОБИ
Тех.каналы
СТР-К
ОБИ
Тех.каналы
КСИИ
ОБИ
ОБИ КСИИ
© 2008 Cisco Systems, Inc. All rights reserved.InfoSecurity 2008 22/18
Блиц-анализ технических требований
•Разграничение доступа (+ управление потоками)
•Идентификация / аутентификация
•Межсетевое взаимодействие
•Регистрация действий
•Учет и маркировка носителей (+ очистка памяти)
•Документальное сопровождение
•Физический доступ
•Контроль целостности
•Тестирование безопасности
•Сигнализация и реагирование
•Контроль целостности
•Защита каналов связи
•Обнаружение вторжений
•Антивирусная защита
•BCP
•Защита от утечки по техническим каналам
Общие
•Защита специфичных процессов (биллинг, АБС, PCI…)
•Защита приложений (Web, СУБД…)
•Нестандартные механизмы (ловушки, стеганография)Специфичные
© 2008 Cisco Systems, Inc. All rights reserved.InfoSecurity 2008 23/18
Как правильно (фрагмент)
Базовые требования
Финансы
АБС ДБО PCI
КСИИ
АСУ ТП
СУИБбазовая
СУИБпроцесс
СУИБинтеграция
Базовая функциональность
Расширенная функциональность
© 2008 Cisco Systems, Inc. All rights reserved.InfoSecurity 2008 24/18
Заключение
Понимание того «немного, имеющего значение» и отсеивание «заурядного большинства» позволит нам реформировать нормативные требования, удалить ненужные в конкретной ситуации и сконцентрироваться на деле
За основу базовых требований можно взять ISO 2700x
© 2008 Cisco Systems, Inc. All rights reserved.InfoSecurity 2008 25/18
Вопросы?
Дополнительные вопросы Вы можете задать по электронной почте [email protected]или по телефону: +7 495 961-1410
Презентация выложена на сайте http://lukatsky.blogspot.com/
© 2008 Cisco Systems, Inc. All rights reserved.InfoSecurity 2008 26/18