Темы выступлений

Интегрированное управления ИТ-рисками

Константин Коротнев, Начальник отдела аудита и консалтинга, AMT GROUP

• Цели бизнеса – управление качеством;
• Управление бизнесом – управление рисками;
• ИТ-риски: Риски ИБ, Риски прерывания деятельности, Риски менеджмента ИТ;
• Цели ИБ – снижение рисков для бизнеса;
• Место комплексной системы ИБ в интегрированой системе управления рисками;
• Управление и обеспечение ИБ для снижения рисков.

---

Защита информационных систем компании от внутренних угроз

Сергей Суховерхов, ИТ менеджер, OTIS

1. Достаточную ли роль уделяют предприятия защите от внутренних угроз, почему важно ей заниматься.
2. Виды внутренних угроз
3. Способы защиты
4. Наиболее популярные системы защиты
5. Стоимость. Обоснованность защиты. Как оценить возможные потери при недостаточном внимании внутренним угрозам.

Внедрение системы управления информационной безопасностью в ESAB Russia

Алексей Квасников, менеджер по информационным системам по России и СНГ, ЭСАБ

В докладе описывается наш опыт внедрения системы управления информационной безопасностью. Я далек от мысли что эта разработка является идеальной реализацией системы управления и подойдет для любой компании. Это рассказ о практическом опыте создания системы, которая решает определенные, специфичные для нас задачи. В своем докладе я вкратце остановлюсь на использованных в работе документах и стандартах, расскажу о подходе к определению необходимых на начальном этапе процессов и контролей (этот подход отличается от рекомендованного в стандарте ISO27001) и опишу результаты проекта.

Аутсорсинг и инсорсинг ИБ

Игорь Калганов, заместитель дректора департамента информационной безопасности, «ОТКРЫТИЕ», ФК, ОАО

• Особенности аутсорсинга и инсорсинга ИБ.
• Правовые аспекты аутсорсинга и инсорсинга ИБ. Требования регуляторов.
• Практика аутсорсинга и инсорсинга ИБ.

«Практическая реализации проектов в области организации выполнения требований ФЗ-152»

Кузьмин Олег, директор департамента информационной безопасности, «Ай-Теко»

Доклад будет посвящен 100% практики, т.к. мы выполнили (ем) уже более 8 проектов по ФЗ-152 (Газфонд, НЛМК, Сибур-Холдинг, PWC Россия, банки, ФГУПы, и др.), являемся центром компетенции по ФЗ-152 в корпорации Галактика. В особо значимых проектах я выполняю роль директора проекта (соответственно участвую во всех работах у заказчиков), в остальных курирую все работы. Кроме того, со мной подробно общаются и консультируются десятки человек из регионов РФ, представляющих компании, выполняющие требования ФЗ152 самостоятельно.
Основная цель доклада - показать другую позицию, отличающуюся от типовых взглядов и подходов ряда системных интеграторов - предлагающих работу оператора по ФЗ 152 свести к некому функционалу по адаптации шаблонов заранее подготовленных обязательных документов (таковых на сегодняшний день насчитывается более 40) и реализации ряда технических требований, соответствующих выбранному классу ИСПДн.
В этой связи, следует прежде всего отметить, что реальная практика выполнения требований ФЗ152 операторами предполагает прежде всего решение правовых вопросов работы с персональными данными, именно поэтому шаблонные подходы не могут быть применены в проектах по реализации требований 152 Закона. Т.е. шаблоны в виде форм журналов и книг учета, конечно будут присутствовать, но вот все остальное, начиная с содержания согласия субъекта персональных данных, уведомления в Роскомнадзор, акта классификации ИСПДн, моделей угроз, и пр. - выполняется сугубо индивидуально для каждого оператора. От того, что будет указано в основных документах, определяющих право работы с персональными данными, будет зависеть грамотная организация работы с ПД, построение будущих систем защиты, применяемые подходы к обезличиванию или использованию общедоступных персональных данных, и многое еще другое, включая благополучное прохождение проверок со стороны государственных надзорных органов (регуляторы).
Правильно организованная работа начинается с подробного обследования на предмет всех возможных работ, проводимых у оператора с персональными данными, выяснения их необходимости, соответствия заявляемым целям и т.п.

«Аудит и управление рисками – проблемы совместимости»

Владимир Наймарк, cтарший менеджер по информационной безопасности, PricewaterhouseCoopers, Россия

Рынок информационной безопасности предлагает множество услуг аудита и управления рисками. Часто такие услуги преподносятся как панацея и средство спасения компании от хакеров, нечестных конкурентов, вирусов и прочих напастей. Эффективное использование таких услуг или организация подобных внутренних служб зависит от множества факторов, которые и рассматриваются в докладе:

• что общее и в чём разница между аудитом ИБ и управлением рисками ИБ
• каковы проблемы совместимости этих процессов
• от чего зависит качество принимаемых решений
• как организовать эффективный процесс

Опыт управления информационной безопасностью в условиях двойного экономического и отраслевого кризиса в игорном бизнесе: приоритеты и технологии

Алексей Чумаков, независимый эксперт по технологиям управления

Тезисы: В 2007-2009 г. автор возглавлял подразделение ИТ одного из ведущих игорных операторов. По закону об игорном бизнесе, к лету 2009 г. все существующие в России казино должны были закрыться. В условиях предстоящего закрытия целой отрасли, многократно выросли риски ИБ, сократилось до мннимума финансирование, и появились специфические человеческие проблемы. Потребовался, был успешно разработан и реализован нестандартный подход к обеспечению информационной безопасности, с опорой на управление целями и ценностями вовлеченных групп лиц, организацию "естественного поведения" и сопутствующие ограничения информационных потоков.

"Опыт управления информационной безопасностью в условиях двойного экономического и отраслевого кризиса в игорном бизнесе: приоритеты и технологии." В 2007-2009 г. автор возглавлял подразделение ИТ одного из ведущих игорных операторов. По закону об игорном бизнесе, к лету 2009 г. все существующие в России казино должны были закрыться. В условиях предстоящего закрытия целой отрасли, многократно выросли риски ИБ, сократилось до мннимума финансирование, и появились специфические человеческие проблемы. Потребовался, был успешно разработан и реализован нестандартный подход к обеспечению информационной безопасности, с опорой на управление целями и ценностями вовлеченных групп лиц, организацию "естественного поведения" и сопутствующие ограничения информационных потоков.

Работа с персональными данными в сфере услуг и интернет-коммерции

Сергей Ильин, исполнительный директор группы компаний «Направление»

• Основные проблемы работы с персональными данными в сфере услуг
• Специфика обработки ПД при внедрении систем интернет-продаж
• Специфика применения ФЗ в турбизнесе

7 методов оценки вероятности риска

Алексей Лукацкий, бизнес-консультант по безопасности, Cisco Systems, LLC

Классической формулой расчета риска является результат умножения ущерба риска на вероятность его осуществления. Но как оценить эту вероятность? Существуют ли адекватные и надежные методы, которые можно применять на практике? Мы рассмотрим 7 различных способов с описанием их достоинств и недостатков.

Построение эффективного DLP-решения в корпоративной среде

Сергей Вахонин, ИТ-директор, Смарт Лайн Инк

1. Развитие DLP-систем.
   Современный сегмент DLP рынка продуктов информационной защиты предлагает корпоративным пользователям множество различных продуктов. В чем их принципиальные различия, как они работают и возможно ли их взаимодействие?
2. Построение эффективной DLP-системы в корпоративной среде
   Как построить по-настоящему эффективную DLP-систему для противодействия утечкам данных?
3. Уникальные возможности DeviceLock для противостояния утечкам информации в условиях необходимости обеспечения непрерывности бизнеса.
   Проактивная защита от инсайдерских утечек корпоративных данных и предоставление высокоэффективных инструментов анализа переданных на внешние устройства данных – основное назначение программного комплекса DeviceLock.

Снижение издержек на защиту персональных данных в банке

Юрий Черкас, Руководитель отдела технической защиты информации, ReignVox

В докладе описывается подход к построению системы защиты персональных данных, позволяющий максимально снизить затраты на приведение информационных систем банка в соответствие требованиям законодательства. Данный подход включает в себя:

• логическое структурирование информационных систем персональных данных в соответствии с технологическими процессами обработки персональных данных и экономичным применением специальных мер и средств защиты информации
• классификацию информационных систем персональных данных (отнесение систем к классу специальных)
• максимальное использование существующих средств защиты банка и оптимальная настройка штатных средств защиты информации (встроенные средства ОС, СУБД, приложений)
• выбор средств защиты, которые учитывают специфику ИТ-инфраструктуры банка и отвечают предъявляемым требованиям

«Мошенничество: внутренне и внешнее - Как обеспечить эффективную профилактику, выявление и оперативное расследование»

Андрей Бажин, руководитель Департамента Информационной Безопасности, "УРАЛСИБ"

• Анализ статистики инцидентов;
• Причины мошенничества;
• Факторы успеха в противодействии:
• Ополчением войну не выиграть: организация и финансирование;
• Один в поле не воин: интеграция усилий;
• Не числом, а умением: системный подход;
• Высоко сижу – далеко гляжу: технологии;
• Факторы успеха в расследовании:
  • Написано пером - не вырубишь топором: системы мониторинга и журналирование;
  • Тяжело в учении – легко в бою: обеспечение готовности для расследования;
  • Семь раз отмерь – один раз отрежь: достаточность улик и их юридическая значимость

Бизнес-ориентированные решения по ИБ

Максим Эмм, Директор департамента аудита, Информзащита

• управление инцидентами ИБ
• защита порталов
• достижение соответствия требованиям регулятора

Операционные и информационные риски – есть ли разница?

Семен Мартюшов, Начальник отдела информационных рисков, Русь-Банк

В банках существуют подразделения операционных рисков и подразделения информационной безопасности (или информационных рисков). Деятельность подразделений операционных рисков в основном регулируется письмами ЦБ 87-Т, 76-Т, 242-П, деятельность подразделений ИБ – множеством документов во главе с СТО БР ИББС и 242-П. В докладе ставится вопрос: Нужны ли повторяющиеся функции в Банке и можно ли их оптимизировать? Приводится опыт Русь-Банка.

Активное управление безопасностью и гарантирование защищенности информационной системы

Ляпунов Игорь, директор центра информационной безопасности, «Инфосистемы Джет»

Что может более сложной задачей, чем мониторинг инцидентов информационной безопасности? Только круглосуточный мониторинг. В очень крупной информационной и постоянно развивающейся информационной системе.
И это действительно проблема. А если это нужно делать силами только трех специалистов, то - практически фатальная. При этом не заниматься этим нельзя. Мы же не страусы. И не можем избегать реальных ситуаций вокруг нас.
Мы должны в силу наших возможностей на них стараться реагировать.
Иначе как можно говорить о сколько-нибудь подтвержденном уровне защищенности информационных активов организации.
В докладе будут показаны практические примеры реализации механизмов управления безопасностью, мониторинга инцидентов безопасности, управления уязвимостями, как с точки зрения процессов, так и в части средств автоматизации данных процессов. Также будет сделан акцент на подходах к возможной реальной оценке защищенности информационных систем.

Вихорев Сергей Викторович, Заместитель Генерального директора по развитию, «ЭЛВИС-ПЛЮС»

Когда появился закон «О персональных данных», а за ним еще много-много разных нормативов о том, как защищать ПДн при обработке информации, появилось много вопросов в процессе их реализации. И один из них - а что из огромного объема информации о человеке (читай персональные данные) нужно защищать, что не нужно и т.д. Поэтому для начала персональные данные решили категорировать – оно и правильно, информацию надо защищать соразмерно тому, какой вред она может принести. А за критерий перехода от одной категории к другой взяли избыточность информации о субъекте относительно его идентификационной информации.
Таким образом, идентификационная информация стала важным пунктиком при выборе требований по защите и, следовательно привлекла к себе повышенный ин6терес. Все стали спрашивать: а что это такое: информация, которая позволяет идентифицировать субъекта, где ее граница? Естественно, тот кто обрабатывает информацию стремится как можно больше расширить состав такой информации: ниже категория – проще защищать, а те чью информацию обрабатывают – сузить. Где же истина? Где эта самая золотая середина, которая может помирить волков и овец? Вопрос не простой и мучает он многих. На портале посвященном проблемам защиты персональных данных, в разделе «Ваши вопросы» , когда спрашивают о составе минимального набора персональных данных, достаточного для идентификации человека, есть лаконичный ответ: «Указанный минимальный перечень действующим законодательством РФ не установлен…». Более того, Роскомнадзор, утверждает, что совершенно различный состав персональных данных можно найти в 75 международных актах, 13 кодексах, 100 законах и 250 Постановлениях Правительства. Именно поэтому этот уважаемый орган предлагает внести изменения во все эти нормативы в части минимизации перечня персональных данных, что позволит проще их категорировать и выбирать методы защиты. Ну, пока такие предложения будут разработаны, пока будут изменены законы – либо шах, либо ишак помрет. А защищать надо сейчас, и требования выбирать надо сейчас. Поэтому давайте посмотрим, а что можно сделать в этом направлении сегодня, как выходить из сложившейся ситуации, и есть ли на сегодня хоть какая-то правовая основа для формирования того самого минимального перечня персональных данных, позволяющих идентифицировать субъекта.

Лучшие практики» в практике (на примере группы компаний ОАО "Новосибирскэнерго")

Дронова Галина, начальник отдела информационной безопасности, "Новосибирскэнерго"

1. Цель ИБ (Common Criteria)
2. Бизнес-процесс "Обеспечение информационной безопасности " (ISO/IEC 17799, ISO/IEC 27001)
3. Категорирование информационных ресурсов с точки зрение их значимости для бизнеса (NIST SP 800-60)
4. Организационно-технические требования защиты информационных ресурсов в зависимости от категорий безопасности (NIST SP 800-53).

Защита электронного документа в СЭД: ЭЦП или усовершенствованная ЭЦП? Правовые и технические аспекты

Владимир Горностаев, Начальник отдела защиты информации в СЭД, ИнтерТраст

1. Проблемы при организации юридически значимого электронного документооборота;
2. Требования российского законодательства к ЭЦП, усовершенствованной ЭЦП и электронным документам;
3. Усовершенствованная ЭЦП на основе стандарта XML Advanced Electronic Signatures и с учетом требований российского законодательства;
4. Стандарт предприятия "Усовершенствованная ЭЦП на основе международных стандартов с использованием российских СКЗИ", правовые и технические аспекты;
5. Подсистема защиты информации в «CompanyMedia», разработанная ЗАО «Компания «ИнтерТраст»;
6. Практические рекоментации по организации юридически значимого электронного документооборота с использованием программного средства защиты электронных документов "Locker" и "CompanyMedia" или других приложений на платформе Lotus Notes.