يوم جيد للجميع. نود اليوم أن نناقش أمن المعلومات في المناطق ونتحدث عن المنتدى السنوي الثامن "القضايا الفعلية لأمن المعلومات" الذي عقد في 19-20 يونيو ، والذي نعقده تقليديا منذ عام 2009 على أساس إدارة إقليم بريمورسكي في فلاديفوستوك.
لم يكن عبثًا أن قلت إنه سيكون هناك نقاش حول القضايا الملحة لداعش ، ولا أريد نشر بيان صحفي جاف حول الحدث على حبري ، لكن من الذي يحتاجه ، يمكنك قراءته
هنا . يمكنك أيضًا تنزيل العروض التقديمية للمتحدثين هناك ، ومن بينهم ممثلو الهيئات التنظيمية ، فضلاً عن البائعين والمتكاملين.
تحت قطع الكثير من الصور ، الأنين وصخب التفاؤل.
اليوم الأول
أداء المنظمين
FSB
كان أحد المتحدثين الأوائل ممثل جهاز الأمن الفيدرالي لروسيا في إقليم بريمورسكي. الموضوع هو متطلبات خدمة الأمن الفيدرالية الروسية لاستخدام مرافق حماية معلومات التشفير (المشار إليها فيما يلي - CIPF).
على العموم ، لم تكن هناك تغييرات ثورية جديدة في هذا الخطاب مقارنة بالسنوات السابقة. تم تذكيرنا بأن معالجة حماية معلومات التشفير تنظمها
PKZ-2005 ،
152 بأمر FAPSI والترتيب 378 من FSB .
تم تذكيرنا أيضًا بما يلي:
- CIPF يجب أن تكون معتمدة ؛
- يجب أن تحيد فئة أداة حماية المعلومات المشفرة التهديدات القائمة (يمكن العثور على المزيد حول اختيار فئة حماية معلومات التشفير هنا ) ؛
- يجب الحصول على CIPF من مرخصي FSB في روسيا ؛
- يجب أن تتوفر أدوات التوزيع وأشكال وقواعد الاستخدام في مكان تشغيل CIPF ؛
- يجب أن يتم حساب CIPF وفقًا لأرقام الحسابات التي تم تعيينها بواسطة FSB في روسيا ؛
- يجب تدريب مستخدمي حماية معلومات التشفير على قواعد العمل مع الملاحظات في دفتر المستخدم الخاص بأمن معلومات التشفير ؛
- يجب تنظيم تخزين حماية معلومات التشفير ووثائقها باستثناء إمكانية الوصول غير المصرح به ؛
- أثناء تشغيل نظام حماية معلومات التشفير ، من الضروري النظر بعناية في تلبية المتطلبات والشروط المحددة في شكل وشروط الاستخدام.
الأكثر تسلية ، ربما ، كانت الشريحة مع إحصائيات الشيكات.
يعزى ممثل FSB زيادة في تحديد الانتهاكات في عام 2018 مقارنة بالفترات السابقة إلى نهج أكثر شمولا للمفتشين.
كنت أتوقع شخصيا بعض المعلومات حول استبدال FAPSI-152 ، والذي يشاع ، لكنني لم أنتظر.
FSTEC من روسيا
تحدث أليكسي ألكساندروفيتش بارانوف ، ممثل مكتب FSTEC في روسيا لمنطقة الشرق الأقصى الفيدرالية ، عن التغييرات التي أدخلت على القوانين القانونية التنظيمية الصادرة في مجال حماية كائنات البنية التحتية للمعلومات الهامة (المشار إليها فيما يلي - KII).
يعلم كل من يتابع موضوع KII أنه قد حدث مؤخرًا تغيير نشط في التشريعات في هذا المجال - كلا من مرسوم حكومة الاتحاد الروسي رقم 127 وأوامر FSTEC. لن أعيد بيع التقرير. في
العرض التقديمي ، كل شيء واضح ومفهوم تمامًا.
تمت الإشارة هنا إلى أن المهمة الأساسية لموضوعات KII هي إرسال المعلومات إلى FSTEC قبل 1 سبتمبر 2019. في الوقت نفسه ، تم الإعلان عن أن العديد من موضوعات KII التي أرسلت هذه المعلومات بالفعل لا تفعل ذلك في شكل معتمد يحتوي على معلومات زائدة أو غير كافية.
كما تحدث أيضًا ممثل الإدارة المركزية لـ FSTEC في روسيا ، أناتولي فاسيليفيتش مارشينكو. تحدث عن مشكلة نقص الموظفين المؤهلين في أمن المعلومات.
أعتقد أن الكثيرين سوف يهتمون بشريحة تحتوي على إحصائيات حول عدد متخصصي أمن المعلومات في مختلف الصناعات. من الواضح أن كل هذا مأخوذ من البيانات التي تقدمها المنظمات إلى FSTEC ؛ وبالتالي ، لا توجد منظمات تجارية لا تتقاطع مع FSTEC بأي شكل من الأشكال ، لكنها لا تزال غريبة.
حسنًا ، هذا الرقم - 22 ألف شخص ، بشكل عام ، كثيرًا. وماذا عن الجودة؟ ومع الجودة ، كل شيء محزن إلى حد ما. لا تعليق هنا ، مجرد مشاهدة الشريحة.
في الوقت نفسه ، من حيث عدد متخصصي IS ، لا يتم إغلاق عدد كبير من الوظائف الشاغرة في كل صناعة ؛ هناك حوالي 2-3 آلاف متخصص.
هنا ، كقائد وصاحب عمل للعاملين في مجال أمن المعلومات ، أردت أيضًا أن أضيف القليل عن جودة التعليم الحالي في هذا المجال. في الآونة الأخيرة ، كان لدي استبيان على الطاولة حول جودة التعليم في IBshnikov ، واضطررت إلى وضع علامات منخفضة وهذا هو السبب.
أول قصة من حياتي. عندما التحقت بالجامعة في عام 2000 ، كنت أرغب حقًا في التسجيل في تخصص جديد واعد في ذلك الوقت "أمن المعلومات" ، لكنني لم أحصل على النقاط وذهبت للدراسة في الفيزياء. كان حراس الأمن هم مجموعتنا المتوازية ، وذهبنا معهم لمدة ثلاث سنوات إلى المحاضرات نفسها تقريبًا. أي أن رجال الأمن درسوا معظم الوقت الفيزياء والرياضيات معنا.
من المحادثات مع الخريجين الحاليين ، أدركت أنه منذ ذلك الحين ، لم يتغير الكثير. الآن لدينا الكثير من الشباب والفتيات الموهوبين في فريقنا. لكن حقيقة أنهم يتعاملون بشكل جيد مع المهام المحددة ليست ميزة الجامعات ، بل هي امتيازهم (القدرة على فهم المواد الجديدة والتعلم بسرعة).
نتيجة لذلك ، يعرف خريجو اتجاه "أمن المعلومات" الفيزياء والرياضيات (بما في ذلك التشفير) ، وهم يعرفون تقنية المعلومات بشكل عام ، ويتم تدريبهم بدرجات متفاوتة في البرمجة.
وهنا ما لا يعرفون ولا يعرفون كيف:
- لا تعرف التشريعات الحالية لحماية المعلومات ؛
- إنهم لا يعرفون كيفية كتابة المستندات المتعلقة بأمن المعلومات ، ولا يعرفون المستندات المطلوبة على الإطلاق ؛
- إنهم لا يعرفون كيفية بناء نظام لأمن المعلومات في مؤسسة كبيرة إلى حد ما ؛
- إنهم لا يعرفون وسائل حماية المعلومات (أي أجنبية أو محلية) ، على التوالي ، لا يعرفون كيفية التعامل معهم أو تكوينها أو ما إلى ذلك.
- إنهم لا يعرفون أدوات المكبوتة (حتى الماسح الضوئي لحالات عدم الحصانة الشائعة) ، ولا يعرفون كيفية استخدامها ؛
- لا تعرف كيفية قراءة وتفسير التقارير المتعلقة بمواطن الضعف التي تم العثور عليها ، ولا تعرف ماذا تفعل بالبيانات المستلمة ؛
- وأكثر من ذلك بكثير.
هذه هي تجربتي الشخصية في مدينة فلاديفوستوك. ربما في مكان ما الوضع أفضل بكثير. لكن لدينا خريجين جامعيين في تخصص "أمن المعلومات" ، لسوء الحظ ، مباشرة بعد الحصول على الدبلوم المطلوب ، لا يمكنهم أداء مهام "الورقة" أو أمن المعلومات العملي. وهذا محزن.
لكن حتى لا تحزن تمامًا ، احتفظ بصور فريق من المحترفين لدينا! =)
تكامل
لذلك ، في الواقع ، لقد تصرف الموحد بواحد فقط - هذا هو نحن. وكان المتحدث الأول لدينا الرئيس التنفيذي لشركة ، ستاتسينكو بافل سيرجيفيتش.
كرس التقرير للرصد المركزي لأحداث أمن المعلومات. قيل إن ضمان أمن المعلومات هو عملية مستمرة وتتبع الأحداث المشبوهة في النظام جزء لا يتجزأ منها.
لسوء الحظ ، غالبًا ما صادفنا ، لا سيما في الوكالات الحكومية ، النهج "الذي حصل على شهادة المطابقة ونسي أمن المعلومات لمدة 5 سنوات". تكمن المشكلة هنا في أن اعتماد نظام معلومات لمتطلبات السلامة هو عملية تأكيد امتثال هذا النظام لشرط واحد أو آخر. لا توفر شهادة المطابقة نفسها الأمان ولا تقدم أي ضمانات (خاصة إذا قمت ، بعد استلام الشهادة ، بإزالة جميع معدات الحماية ، نعم).
لا يزال مركز المراقبة الخاص بنا صغيرًا وصغيرًا جدًا ، لا سيما بالمقارنة مع عمالقة هذا الاتجاه ، ولكن وفقًا لبياناتنا ، فإن الأرقام تخبرنا تمامًا.
بشكل عام ، مراقبة أحداث أمن المعلومات مهمة وليست مكلفة للغاية.
لقد القيت خطابا.
قررت أن أطرح موضوعات غالباً ما يتم الحديث عنها ، لكن لا يزال يتم تجاهلها من قبل الكثيرين. هذه هي المشاكل أساسا في الرأس.
أول ما تذكروه كان الأزرق الخالد. لماذا؟ التفت مؤخرا 2 سنة. ولأنه ، وفقًا لإحصائياتنا ، لا يزال هناك عدد كبير من العقد التي تتعرض لهذه الثغرة الأمنية ، بناءً على الكائنات التي نعمل عليها. بالفعل ، على ما يبدو - مثل هذه الحالة النادرة ، فقد تغلبوا على الضعف على القنوات الفيدرالية. ربما ركض الجميع ، تحديث. بغض النظر عن كيف ، الواقع هو أكثر حزنا. ونحن نتحدث عن الضعف قبل عامين. ما التالي؟ هل سيتم القضاء على نقاط الضعف الجديدة لسنوات أيضًا؟
كما تطرق إلى مشكلة إهمال الأمن "الورقي". يبدو أن كل شيء واضح هنا ، لن أخبرك بإيجاز أكثر من السيد فراي.
ذكر عرضًا مشكلة واحدة حصلت على مشكلة كبيرة - إلقاء اللوم على مشكلات IS على متخصصي تكنولوجيا المعلومات. يبقى فقط أن نبلغ قادة المنظمات أن IS هو مجال واسع واسع من المعرفة وأن IT + IS بشكل عام في شخص واحد هو أيضًا تضارب في المصالح. بعد كل شيء ، يحتاج تكنولوجيا المعلومات إلى كل شيء للعمل بسرعة وبشكل موثوق ، وحلول IB في أي حال تستهلك كمية معينة من موارد النظام.
تذكرت منشورات عن حبري عن الاحتيال بتوقيعات إلكترونية. لماذا؟ وهنا يسهل رسم تشبيه لمراكز الشهادات بمراكز التصديق. المشكلة هي نفسها - العميل يريد بشكل أسرع وبدون روتين ، بعض أصحاب التراخيص يتعاملون مع العميل ، نتيجة "التصديق على الصورة" وغيرها من وسائل الراحة. لكننا سنتحدث عن خدمات ذات جودة رديئة لأصحاب تراخيص FSTEC.
المشكلة التالية هي مشكلة التطوير الرديء لمكونات نظم المعلومات. المشكلة ذات أهمية خاصة بالنسبة للقطاع العام. وجزئيا بسبب نظام المشتريات العامة. هنا وكالة الدولة تعلن عن مناقصة لتطوير بوابة. الفائز هو الذي عرض سعرًا أقل. عندما يكون السعر أقل ، هناك جودة أسوأ (عادة). لا يتم تحديد شروط المسابقة ، كقاعدة عامة ، بتفاصيل أكثر من اللازم ، لذلك لن تسألها لاحقًا من فناني الأداء المهملين. نتيجة لذلك ، نحصل على أمراض الطفولة: XSS و SQLi وكلمات المرور الافتراضية و "أفراح" أخرى.
والشيء الأخير - ما هو الوقت الكافي للأداء هو مشكلة مراكز البيانات السحابية المعتمدة. للتذكير بهذه القضية الملحة ، شكرا لمؤلف هذا
المنشور . المشكلة جديدة نسبيا وخطيرة. إنه مرتبط بحقيقة أنه من الصعب في بعض الأحيان معرفة ما هو المورّد وكيف يتم اعتماده بالفعل ، وحتى إذا كان كل شيء على ما يرام هناك ، فعادةً ما لا توجد آليات للتأكد من أن الخادم الافتراضي الخاص بك يعمل فعلاً على مجموعة معتمدة.
في الوقت نفسه ، أنا لا أحث بأي حال من الأحوال على عدم التطلع إلى مراكز البيانات السحابية المعتمدة بشكل عام. لكن انتبه إلى رد فعل المزود على طلبات إظهار الشهادة ، وربما يلزم الموقع نفسه. من الضروري أيضًا تحديد مسؤولية هذا المزود في اتفاقيات الخدمة السحابية.
الباعة
نظرًا لأن حدثنا مجاني للزوار ، ونتيجة لذلك ، كان هناك العديد من البائعين. يرجع الفضل في هذا الأخير إلى أنه يجدر القول أنه في أدائهم لم يكن هناك الكثير من الإعلانات المباشرة. حاول كل متحدث تقريبًا من البائعين إخبار الجمهور بشيء مثير للاهتمام ومفيد ، على الرغم من أنهم ذكروا أيضًا منتجاتهم.
أعتقد أن الأمر لا يستحق سرد خطبهم بالتفصيل ، من يريد التعرف عليه - يمكنك تنزيل العروض التقديمية من الرابط في بداية المقال.
المدرجات
بالإضافة إلى العروض التقديمية ، تم تقديم حوامل مظاهرة في بهو إدارة Primorsky Krai. وأظهرت لايف عمل الماسحات الضوئية الضعف ، وأنظمة SIEM ، وحلول IDS / IPS.
اليوم الثاني
تم عقد اليوم الثاني للمنتدى في مكان مختلف وبتنسيق مختلف. مكان - مسرح بوشكين. التنسيق عبارة عن طاولات مستديرة.
عند المدخل ، استقبل الزوار حارس أمن من العصور الوسطى.
كما توجد منصات عرض في الردهة.
تنسيق المائدة المستديرة مثير للاهتمام لأنه تنسيق للمناقشة الحيوية. على سبيل المثال ، قام رئيس مركز المراقبة لدينا ، Alexei Isikhara ، بخداع البائعين بقوله أنهم لا يقومون بتحديث التواقيع لحلول IDS / IPS الخاصة بهم بسرعة كبيرة. الذي تلقى الجواب: "سنحاول!".
عند مناقشة موضوع "التصديق على كائنات المعلوماتية" ، تلا ذلك مناقشة حول موضوع الخدمات ذات الجودة المنخفضة التي يقدمها المرخصون من FSTEC في روسيا. روى أحد زوار المنتدى قصته. فاز أحد مقدمي التراخيص ، الذي لم يكن يرغب في المجيء إلى المرفق للعمل ، بمناقصة تقديم خدمات لتصميم نظام أمن المعلومات. بعد إجبار هذا المرخص له على القيام بعمله مباشرة في المنشأة ، كانت النتيجة سيئة.
تميز هذا الموقف هو أنه في هذه الحالة ، كشف عميل الخدمات عن جودته الرديئة قبل التوقيع على شهادة الإنجاز. لسوء الحظ ، في كثير من الأحيان يتم تحديد المشاكل بعد إغلاق العقد. هنا لا يسعني إلا أن أقول مرة أخرى عن أهمية زيادة وعي الموظفين في مجال أمن المعلومات. حتى إذا كان من المفترض أن تتم جميع عمليات أمن المعلومات بواسطة مؤسسات تابعة لجهات خارجية ، فيجب أن يكون هناك شخص يمكنه تقييم جودة العمل المنجز.
وكان ممثل FSTEC لروسيا حاضرا أيضا في القاعة وأجاب على سؤال حول تأثير المنظم على أصحاب التراخيص عديمي الضمير. وقال أليكسي بارانوف أنه يجب قمع مثل هذه الانتهاكات كجزء من FSTEC لروسيا مراقبة الأنشطة المرخصة. في حالة حدوث انتهاكات من قبل المنظم أو عند استلام الشكاوى ضد المرخص له ، سيتم إصدار أمر للقضاء على المخالفات. في حالة حدوث انتهاكات أو شكاوى متكررة ، يمكن إلغاء المرخص له.
يؤدي
وعدت بصيص من التفاؤل في هذا المقال. وهنا هو.
لقد تم عقد المنتدى منذ عام 2009. وعلى الرغم من أننا نناقش من عام إلى آخر
مشكلات IS وحلولها الممكنة ، إلا أن هناك ديناميات إيجابية. ويتكون الأمر من حقيقة أننا اليوم نناقش بالفعل مشكلات مختلفة تمامًا على مستوى مختلف تمامًا. والمشاكل نفسها ستكون دائما. من غير المحتمل عقد حدث لأمن المعلومات على الإطلاق ، حيث سيخبر المتحدثون أنه لم يتم تحديد نقاط ضعف جديدة خلال العام الماضي ، ولم يتم اختراق أي شخص ولم يتم تسريب أي بيانات شخصية.
بالنسبة لمستوى المشاكل ، ثم انظر لنفسك.
في عام 2009 ، تحدثنا عن حقيقة أنه في المؤسسة ، يجب أن يتم تكليف شخص على الأقل بمسؤولية ضمان أمن المعلومات. في عام 2019 ، نتحدث بالفعل عن عدد حراس الأمن الكاملين الذين نفتقر إليهم في المؤسسات.
في عام 2009 ، تحدثنا عن الحاجة إلى تقديم بعض وسائل حماية المعلومات على الأقل وحماية البيانات الشخصية. في عام 2019 ، نتحدث عن الحاجة إلى جمع سجلات من هذه العلاجات ، وبناء العلاقات وتتبع أحداث أمن المعلومات.
في عام 2009 ، نأتي بمعلومات حول أنظمة المعلومات التي يجب اعتمادها. في عام 2019 ، لا ينتهي أمن المعلومات بإصدار شهادة المطابقة.
لذلك ، على الرغم من كل تشاؤمي والمشاكل المشار إليها ، هناك شيء يتغير ببطء ولكن بثبات. الشيء الرئيسي هو أن يدفع شخص ما هذه القاطرة المسماة "IB".
PSانتهى المنتدى الخاص بنا للتو ، ونحن نفكر بالفعل في كيفية جعل حدثنا التالي أفضل.
اكتب ما هي انطباعاتك الإيجابية أو السلبية عن أحداث أمن المعلومات. ما الأحداث التي تقام في منطقتك؟ ما التنسيق الأفضل بالنسبة لك؟ ما هي المواضيع التي تعتبرها مبتذلة للغاية ، وأيها محرومة من الاهتمام؟
PPSالمصور:
ايلينا بيريزوفا