Среда, 03.06.2020, 22:57
Приветствую Вас Гость | RSS

Платёжные системы интернета

Портал электронных денег

уникальная ковка Укладка плитки Недвижимость ЗАКЛЕПКИ - Сибирский крепеж арендовать склад http://sergo-torrent.info Сайдинг ціна - віниловий Сайдинг dax.if.ua. люстры для больших помещений.
Реальный заработок
Web-moneta.com
Реальный заработок в Интернете
Меню сайта
Статистика

Онлайн всего: 1
Гостей: 1
Пользователей: 0
Форма входа
Google
Maxiad.de
WMlink.ru
Payment systems
Репутация сайта - moneyint.ru Auto Web Pinger
moneyint.ru Webutation
Статистика
позиция в рейтинге BestPersons.ru Push 2 Check Проверка тиц Траст. Анализ сайта moneyint.ru Счетчик PR-CY.Rank Web Optimizator Каталог@Mail.ru - каталог ресурсов интернет Ожидаемый PageRank для moneyint.ru - 4.46 Уровень доверия для moneyint.ru - 0.86 ProtoPlex: программы, форум, рейтинг, рефераты, рассылки! Submit Your Site To The Web's Top 50 Search Engines for Free! Занесено в каталог Deport.ru 200stran.ru: показано число посетителей за сегодня, онлайн, из каждой страны и за всё время HitMeter - счетчик посетителей сайта, бесплатная статистика Счетчик цитирования
Яндекс.Метрика
Besucherzahler Dating single russian women
счетчик посещений
RSS feed
Поиск в RSS новостях и блогах
LiveRSS: Каталог русскоязычных RSS-каналов
Яндекс цитирования
Поисковая система - QOOZ. Найти сайт. Качественные сайты
Рейтинг сайтов top.gigmir.net
Каталог ссылок, Top 100.
BlogRider.ru - Каталог блогов Рунета
TBEx
Главная » 2012 » Сентябрь » 30 » Эксперты спорят: как обеспечить ИТ-безопасность бизнеса
20:41
Эксперты спорят: как обеспечить ИТ-безопасность бизнеса

Проблема обеспечения безопасности продолжает оставаться актуальной. Современный мир диктует иные условия и предоставляет новые возможности для киберзлоумышленников. О том, как противостоять им, насколько реально сейчас создать действительно эффективную защиту и что умеют современные решения, говорили участники конференции "Безопасность бизнеса. Технологии 2012", организованной РБК.

Конференция «Безопасность бизнеса. Технологии 2012» получилась достаточно интересной и разносторонней. Организаторы профессионально подошли к формированию программы мероприятия, включив в нее доклады по различным направлениям в области безопасности бизнеса, такие как информационная безопасность, экономическая защита, противодействие мошенничеству, пожарная безопасность, охрана труда и др. Конференция была ориентирована на руководителей служб безопасности, подход которых к вопросам обеспечения безопасности компаний становится более комплексным, охватывая различные направления на пути минимизации рисков и предотвращения различных угроз.

Бесполезно ловить инсайдера в офисе, если он может из дома выложить в социальную сеть все то, что считается коммерческой тайной. Не менее опасны и внешние попытки доступа к приватным данным. В этой связи в выстраивании безопасности бизнеса все большую актуальность приобретает комплексный подход.

"В обеспечении безопасности в целом, и в криптографии в частности, главное – это доверие. Если клиент доверяет производителю, то и продукт будет востребован во всем мире", - задал тон конференции Антон Клепов, президент компании "Анкорт".

У доверия есть две стороны. Безопасность стоит денег, это весьма недешевое удовольствие. И, главное, ни одна система не может гарантировать абсолютной защиты. Но с другой стороны, у защищаемых активов тоже всегда своя есть цена. И для всех она разная.

Информационная война набирает обороты

В вооруженных силах и спецподразделениях цена компрометации данных - жизнь. Начиная с громкого инцидента 1914 года, закончившегося гибелью армии генерала Самсонова, с потери значительного числа шифр-блокнотов в 1941 на западном фронте СССР, с проблем в Афганистане - вплоть до событий наших дней, описанных в книге генерала Трошева "Моя война". Там он пишет, что "мы платили в Чечне кровью потому, что у нас не было обычных шифраторов…"

В государственном или финансовом секторах потери не меньше. Так, например, по данным г-на Клепова, только в 1992 из Центрального Банка РФ усилиями хакеров было похищена сумма, эквивалентная 200 млрд долларов. Как утверждают эксперты, не будь этой потери, курс рубля к доллару не превысил бы 5 рублей, а экономику страны не ждали бы годы столь серьезных потрясений. Примечательно, что после упоминаемых афер с авизо только компанией "Анкорт" для нужд ЦБ было подготовлено более 6 тыс. шифровальщиков, что больше чем за всю Великую Отечественную войну.

Страдают промышленные предприятия – достаточно вспомнить нашумевшую историю с атакой на иранские обогатительные установки, связанные с ядерной программой этой страны.

Отдельно Антон Клепов остановился на таком аспекте современных информационных войн, как сбор компрометирующих и персональных данных государственных служащих с использованием целого спектра технических средств.

Мобильность меняет вектор развития ИБ

Одной из основных целей кибершпионов всегда были системы связи и сети передачи данных. С развитием мобильной связи изменился и вектор атак. Соответственно, приоритеты производителей средств защиты также стали иными.

Поэтому в технической части своих докладов Антон Клепов и Александр Панин, технический директор группы компаний "Маском", очень подробно и обстоятельно описали особенности этого сегмента ИБ.

Представитель "Анкорт" сравнил безопасность мобильных телефонов с "хрустальным дворцом", который можно разбить одним ударом квалифицированного хакера. Действенной мерой защиты в компании видят создание устройств ИБ, которые находятся вне операционной системы смартфонов.

Одно из таких устройств - Stealthphone - было представлено на конференции. Это - стойкий шифратор голоса и данных с криптографическими функциями, реализованными на аппаратном уровне. Он подключается к любому современному мобильному телефону, планшетному ПК по Bluetooth или USB.

Криптографическая синхронизация между двумя Stealthphone происходит автоматически после набора номера вызываемого абонента. Разговор в защищенном виде осуществляется абонентами через Stealthphone, который используется как обычная телефонная трубка. SMS/MMS/E-mail набираются на мобильном телефоне (планшетнике или ПК) как обычно. Затем информация шифруется программным способом и отсылается на Stealthphone автоматически, где шифруется аппаратно. Только после этого сообщение уходит абоненту.

Александр Панин в своем докладе тоже презентовал перспективную разработку "Маском", предназначенную для использования в сотовых сетях стандарта GSM. Решение обеспечивает защиту от утечки речевой информации за счет несанкционированной удаленной активации штатного микрофона мобильного телефона. Тем не менее, в целом г-н Панин больше говорил о защите от промышленного шпионажа и конкурентной разведки.



Сотовая связь расширяет возможности инсайдеров

Из удобного средства связи телефон очень быстро и незаметно для хозяина и службы безопасности может стать элементом несанкционированного дистанционного съема акустической, а в некоторых случаях и видеоинформации. Кроме сотовых трубок, в арсенале инсайдера имеется целый набор технических средств сбора и передачи информации, использующих GSM-каналы, например, миниатюрные микрофоны.

Вся эта "экзотика" в огромных количествах открыто предлагается на специализированных сайтах в интернете. Ее функционал и возможности зависят исключительно от скорости мобильных каналов и толщины кошелька злоумышленника. "В расширенной комплектации" на сетях 4G предлагается возможность передачи высокоскоростных потоков данных в реальном режиме времени от нескольких источников. Например, видео со стереозвуком с заседания совета директоров…

Как с этим бороться? Эксперты "Маском" предложили два варианта технических средств подавления сотовой связи – интеллектуальный энергетический. Некоторые ограничения связаны с несовершенством существующего законодательства в этой сфере. Но ничего не мешает уменьшать риски, минимизируя человеческий фактор за счет организационных мероприятий.

Эту тему продолжил Лев Матвеев, генеральный директор SearchInform. В фокусе его внимания оказалась контентная фильтрация. Актуальность проблемы обусловлена все возрастающими требованиями ряда федеральных законов (например, "О персональных данных", "О защите детей от информации, причиняющей вред здоровью и развитию"), отраслевых стандартов и т.д.

Не мал и экономический ущерб. Так, аналитический центр компании Zecurion представил результаты ежегодного исследования об утечках конфиденциальной информации. Всего в 2011 году было зарегистрировано 819 инцидентов, а суммарный ущерб оценивается более чем в 20 млрд долл., из которых более 1 млрд долл. пришлось на российские компании.

Особенностью практического подхода SearchInform является постулат о том, что ИБ не должна мешать бизнесу. А успех достигается исключительно комплексными мерами, а не только запретительными. Например, при построении системы DLP у одного из крупных заказчиков были закуплены ноутбуки для всех пользователей информационной системы предприятия.

Ими было разрешено пользоваться вне офиса и дома, были открыты большинство протоколов и ресурсов, обычно закрытые службой безопасности. Естественно, что был установлен специальный скрытый программный агент, записывающий в закрытую область памяти логи.

В итоге после анализа этих логов руководство получило полную картину того, как происходят коммуникации сотрудников в рабочее и свободное время.

В свою очередь, Лев Матвеев, известный как критик ФЗ-152 "О персональных данных", в развернувшейся дискуссии о законности использования некоторых средств ИБ в очередной раз усомнился в целесообразности многих его положений. Наличие у него как оппонентов, так и сторонников в зале, предвещает жаркие дебаты по этому поводу на следующих форумах.

Угрозы перемещаются на уровень BIOS

Ренат Юсупов, старший вице-президент Kraftway, представлял на форуме тех, кто ведет борьбу с угрозами "глубже" всех. В компании Kraftway – производителе ПК и серверов, популярных в силовых структурах РФ – не понаслышке знают об "умельцах", способных обойти любую традиционную защиту.

Суть ноу-хау злоумышленников заключается в эксплуатации уязвимостей при инициализации процессора и BIOS еще задолго до того, как запустится операционная система и следом за ней - традиционное защитное ПО. В итоге оно просто не видит закладку, так как вирус находится вне зоны его досягаемости.

Не называя поименно примеры успешных атак на компьютеры и системы связи в РФ, г-н Юсупов признал, что таковые имели место быть, а вал хакерских атак в этой сравнительно молодой зоне ответственности ИБ продолжает нарастать. По его данным, в среднем за квартал появляется 150 тыс. новых экземпляров подобного программного кода.

Эффективное средство защиты здесь только одно – создавать оболочку безопасности BIOS и строить доверенную систему загрузки, которая интегрирует в себе разные средства безопасности.

При этом Ренат Юсупов не имел в виду далекое будущее. Уже сейчас Kraftway в партнерстве с ведущими отечественными ИБ-вендорами перешел от слов к делу. Одно из внешних его проявлений – альянс с Fujitsu и начало производства в России на базе платформ Fujitsu решений, защищенных в соответствии с нормативной базой РФ по информационной безопасности.

Банки не верят теоретическим расчетам

"Как бы кропотливо и тщательно вы ни готовили выборку, вам всегда могут сказать, что она неправильна и неприменима к данной проблеме", - такой эпиграф к своему докладу выбрал Павел Головлев. Будучи начальником управления безопасности Информационных технологий "СМП Банка", он перенес дискуссию в практическую плоскость. А именно – каков должен быть оптимальный бюджет на ИБ в отечественных банках.

Если взять на вооружение выкладки ИБ-теоретиков и перемножить с помощью нехитрой формулы элементы рисков, а потом получившуюся цифру принести руководству банка, то гарантированно можно услышать фразу "Не верю!" Все дело в сложности ИТ-инфраструктуры банка, динамике изменений ее самой и спектра окружающих ее угроз. А еще - в требованиях нормативных актов.

С фактами и цифрами на руках г-н Головлев попытался доказать альтернативную методологию расчета ИБ-бюджетов. Опирался при этом он на "Инструкцию Банка России №110-И", п.4.1 и 4.2 положения Банка России от 31 мая 2012г. №380-П "О порядке осуществления наблюдения в национальной платежной системе".

Используя цифры от ведущих аналитических агентств и требования нормативных актов, он вывел, что сумма в 10% от уровня покрытия операционного риска оптимальна и с точки зрения безопасников, и с точки зрения экономистов банка, оптимизирующих величины резервы банков.

Экономически выгодно опережать преступников

Артему Павлову, руководителю агентства экономической и кадровой безопасности D.I., нашлось, что ответить г-ну Головлеву. Действительно, будучи людьми технического склада, представители служб безопасности иногда упускают из виду малозатратные, но не менее эффективные средства.

Все дело в том, что ИБ – это лишь часть общего контура персональной, экономической и государственной безопасности. Она - их подсистема, причем самая дорогостоящая, часто на первый взгляд – затратная. В погоней за ней компании позабыли о людях и современных методах работы с ними.

Г-н Павлов призвал присутствующих не вязнуть в ортодоксальности, а также не забывать о разумном комбинировании всех методов защиты. Задача – опережать преступников, а для этого необходимо систематическое обобщение опыта работы профессионалов, формирование воедино лучших практик в отраслевые стандарты.

Кто сможет разграничить права регуляторов?

Последующие выступления Владимира Щербины, директора научно-исследовательского центра ВАНКБ, и Михаила Дубинина, президента Ассоциации "Национальный союз организаций в области обеспечения пожарной безопасности", стали поводом для диспута.

Владимир Щербина начал оптимистично. Он сообщил, что в Германии начата работа с привлечением Германской комиссии электротехники, электроники и информационных технологий (DKE) Германского института по стандартизации (DIN) и VDI по подготовке национальных немецких стандартов и проектов европейских стандартов CENELEC на основе положений серии российских стандартов серии ГОСТ Р 53195.

Тем не менее, по словам Дубинина, на фоне плачевной статистики, касающейся профилактики и борьбы с пожарами, два профильных надзорных органа долгие годы не могут решить дилемму двойного регулирования в области обеспечения пожарной безопасности. А это в свою очередь тянет целых шлейф проблем в смежных секторах.

Мелочей в работе служб безопасности не может быть

В финальной части форума Константин Сергеев, руководитель исполнительного комитета Союза руководителей служб безопасности Урала, остановился на новых трендах в подходах к безопасности компании. а примере провокации сотрудника охраны в одном из гипермаркетов Екатеринбурга г-н Сергеев наглядно показал, что повышение требований к профессиональной подготовке специалистов по безопасности становится сейчас архиважной задачей.

В их арсенале должны появиться инструменты раннего выявления информационных угроз для репутации компании и нивелирования их негативного воздействия. И только тесная интеграция всех контуров безопасности бизнеса может дать реальный результат.

Просмотров: 1243 | Добавил: max46280 | Теги: платёжные системы интернета, ИТ-безопасность | Рейтинг: 0.0/0
Всего комментариев: 0
Добавлять комментарии могут только зарегистрированные пользователи.
[ Регистрация | Вход ]
Поиск по порталу
Cityads.ru
Cityads.ru
Cityads.ru
SAPE.RU
Solomono.ru
MainLink.RU

Propage.ru
.
Друзья сайта
Статистика UCOZ

Meta tags
Мета тэги
Платёжные системы
Блогун
Setlinks.ru

Copyright MyCorp © 2020