祝大家有美好的一天。 今天,我们要讨论该地区的信息安全问题,并讨论于6月19日至20日举行的第八届年度论坛“信息安全的实际问题”,该论坛自2009年以来一直是在符拉迪沃斯托克滨海边疆区政府的基础上举行的。
我说要讨论有关紧迫的IS问题的讨论并没有白费,我不想在Habré上发布有关该事件的新闻稿,但是谁需要它,您可以
在这里阅读。 您还可以在此处下载发言人的演讲,其中包括监管机构代表,供应商和集成商。
剪下的照片很多,发牢骚和乐观。
第一天
监管机构的表现
外频
最早的发言人之一是滨海边疆区俄罗斯联邦安全局的代表。 主题是俄罗斯联邦安全局使用密码信息保护设施(以下简称CIPF)的要求。
总体而言,与前几年相比,该演讲没有新的革命性变化。 提醒我们,加密信息保护的处理由
PKZ-2005规定 ,第
152条由FAPSI规定 ,第
378条由FSB规定 。
我们还被提醒:
- CIPF必须经过认证;
- 密码信息保护工具的类别应消除已建立的威胁(有关密码信息保护类别选择的更多信息,请参见此处 );
- CIPF必须从俄罗斯FSB的被许可方获得;
- CIPF的运营地点应提供分发工具,形式和使用规则;
- CIPF应按照俄罗斯FSB分配的帐号进行会计处理;
- 应当对密码信息保护用户进行有关使用密码信息安全用户日志中的注释的规则的培训;
- 密码信息保护和文档的存储应进行组织,但可能会出现未经授权的访问的情况;
- 在密码信息保护系统运行期间,有必要仔细考虑是否满足使用形式和条款中规定的要求和条件。
也许最有趣的是带有支票统计的幻灯片。
FSB代表认为,2018年对违规行为的识别与以前相比有所增加,这归因于检查员采取了更为彻底的方法。
我个人希望获得有关FAPSI-152更换的一些信息,但据传我没有等待。
俄罗斯FSTEC
俄罗斯FSTEC远东联邦区办公室代表Alexey Alexandrovich Baranov谈到了在关键信息基础设施对象(以下简称KII)保护领域颁布的法规法规的变化。
遵循KII主题的每个人都知道,最近这方面的立法已经发生了积极的变化-俄罗斯联邦第127号政府法令和FSTEC的命令。 我不会转述报告。 在
演示中,所有内容都非常清晰易懂。
这里指出,KII主题的主要任务是在2019年9月1日之前向FSTEC提交信息。 同时,宣布许多已经发送过此类信息的KII受试者并未以批准的形式发送过多或不足的信息。
另外,俄罗斯FSTEC中央管理机构的代表安纳托利·瓦西里耶维奇(Anatoly Vasilyevich)发言。 他谈到了信息安全方面缺乏合格人员的问题。
我认为许多人会对一张幻灯片上的幻灯片感兴趣,该幻灯片包含有关各个行业的信息安全专家人数的统计信息。 显然,这全部取自组织提交给FSTEC的数据;因此,没有商业组织不以任何方式与FSTEC相交,但仍然很好奇。
好的,这个数字-一般有22,000人。 那质量呢? 有了质量,一切都很难过。 在这里没有评论,只看幻灯片。
同时,就信息系统专家的数量而言,每个行业都没有填补大量空缺;缺少大约2-3 000名专家。
在这里,作为信息安全领域的领导者和用人单位,我还想介绍一下该领域当前教育的质量。 最近,我在桌子上收到一份有关伊布什尼科夫教育质量的问卷,我不得不打低分,这就是原因。
首先是我一生的故事。 当我2000年进入大学时,我真的很想当时注册一个新的有前途的专业“信息安全”,但没有获得积分,而是去物理学习。 保安人员是我们的平行小组,在五年中的三年中,我们与他们一起进行了几乎相同的讲座。 也就是说,安全人员大部分时间都在和我们一起学习物理和数学。
从与应届毕业生的交谈中,我意识到自那时以来,并没有太大变化。 现在我们的团队中有很多年轻的才华横溢的男孩和女孩。 但是,他们基本上做好自己的工作的事实不是大学的优点,而是他们自己的(快速找出新材料和学习的能力)。
结果,“信息安全”方向的毕业生知道物理,数学(包括密码学),他们整体上了解信息技术,并接受了不同程度的编程培训。
这是他们不知道并且不知道如何做的事情:
- 不了解有关信息保护的现行法规;
- 他们不知道如何编写有关信息安全的文档,不知道需要什么文档
- 他们不知道如何在或多或少的大型企业中建立信息安全系统;
- 他们分别不知道信息保护的手段(国外的还是国内的),也不知道如何使用它们,对其进行配置等。
- 他们不知道用于渗透测试的工具(甚至是常见的漏洞扫描程序),也不知道如何使用它们;
- 不知道如何阅读和解释有关发现的漏洞的报告,不知道如何处理收到的数据;
- 还有更多。
这是我在符拉迪沃斯托克市的亲身经历。 也许情况会好得多。 但是,不幸的是,我们有“信息安全”专业的大学毕业生,在获得令人垂涎的文凭后,他们无法立即执行“纸质”或实用的信息安全任务。 这太可悲了。
但是,为了不完全难过,请为我们的专业团队拍照! =)
整合商
因此,实际上,集成商只采取了一种行动-那就是我们。 第一位发言人是我们的首席执行官Statsenko Pavel Sergeevich。
该报告专门用于信息安全事件的集中监视。 有人说,确保信息安全是一个持续的过程,而跟踪系统中的可疑事件是其中不可或缺的一部分。
不幸的是,我们经常碰到这种情况,特别是在政府机构中,这种方法“获得了合格证书,却忘记了5年的信息安全性”。 这里的问题在于,针对安全要求的信息系统认证是确认该系统符合一个或另一个要求的过程。 合格证书本身不提供安全性,也不提供任何担保(尤其是在收到证书后,请移除所有防护设备,是的)。
我们的监控中心还很年轻,规模很小,尤其是与这个方向的巨人相比,但是根据我们的数据,这个数字确实可以说明问题。
通常,监视信息安全事件很重要,而且也不是很昂贵。
我发了言。
我决定提出经常谈论的话题,但是许多人仍然忽略了这些话题。 这些主要是头脑中的问题。
他们记得的第一件事是永恒之蓝。 怎么了 他最近刚满2岁。 并且因为根据我们的统计数据,在我们工作的对象上,仍然有大量节点暴露于此漏洞中。 看起来已经如此-如此罕见的情况下,他们甚至击败了联邦渠道上的脆弱性。 大概每个人都跑了,更新了。 无论如何,现实是更加可悲的。 我们在谈论2年前的漏洞。 接下来是什么? 新的漏洞是否还会消除多年?
他还谈到了忽视“纸质”安全的问题。 这里的一切似乎都很清楚,我不会比弗莱先生更简洁地告诉您。
他随随便便提到了另一个大问题-将IS问题归咎于IT专家。 仅向组织的领导者传达信息系统是一个单独的广泛的知识领域,并且一般而言,一个人中的信息技术与信息系统也是利益冲突。 毕竟,IT要求一切都必须快速,可靠地工作,并且IB解决方案无论如何都要消耗一定数量的系统资源。
我记得哈布雷(Habré)上有关电子签名欺诈的出版物。 怎么了 在这里很容易将认证中心与认证中心进行类比。 问题是一样的-由于“照片上的证明”和其他便利,客户希望更快并且没有繁文tape节,一些被许可人向客户走去。 但是,我们将讨论FSTEC许可证持有人的劣质服务。
下一个问题是信息系统组件开发质量低下的问题。 这个问题对公共部门尤其重要。 一部分是由于公共采购系统。 国家机构在这里宣布开发门户网站的招标。 获胜者是提供较低价格的人。 价格较低的地方(通常)质量较差。 通常,比赛的职权范围未作过多规定,因此以后您不会再向过失的表演者提出要求。 结果,我们得到了儿童疾病:XSS,SQLi,默认密码和其他“乐趣”。
最后一件事-足够的时间来提高性能是经过认证的云数据中心的问题。 为了提醒这个紧迫的问题,感谢本文的作者。 这个问题是相对较新且严重的。 与之相关的事实是,有时很难找出提供者的实际身份和方式,并且即使那里一切都很好,通常也没有任何机制可以确保您的虚拟服务器确实在经过认证的群集上运行。
同时,我绝不敦促不要将目光转向认证的云数据中心。 但是请注意提供商对显示证书请求的反应,可能还需要网站本身。 还必须指定此类提供商在云服务协议中的责任。
供应商
由于我们的活动对参观者免费,因此有很多供应商。 值得称赞的是,值得一提的是,他们的演讲中并没有那么多直接广告。 供应商的几乎每个发言人都试图告诉听众一些有趣和有用的东西,尽管他们也提到了他们的产品。
我认为值得结识谁想结识他们的演讲是不值得的-您可以从本文开头的链接下载演示文稿。
看台
除了演讲外,在滨海边疆区政府大厅还展示了示范台。 现场直播展示了漏洞扫描程序,SIEM系统,IDS / IPS解决方案的工作。
第二天
论坛的第二天在不同的地方以不同的形式举行。 地点-普希金剧院。 格式为圆桌会议。
在入口处,一名中世纪警卫会见了访客。
大堂还设有示威台。
圆桌会议的格式很有趣,因为它是进行热烈讨论的格式。 例如,我们监控中心的负责人Alexei Isikhara批评供应商说他们不会太快地更新其IDS / IPS解决方案的签名。 他收到的答案是:“我们会努力的!”。
在讨论“信息化对象的证明”主题时,随后进行了关于俄罗斯FSTEC许可证持有者提供的低质量服务主题的讨论。 一位论坛访客讲述了他的故事。 他们的一家为信息安全系统的设计提供服务的招标是由一位被许可人中标的,他们甚至不想来该工厂工作。 但是,被许可人被迫直接在工厂进行工作后,结果很差。
这种情况的独特之处在于,在这种情况下,服务的客户在签署完工证书之前就发现了他们的劣质产品。 不幸的是,合同签订后,发现问题的机会更多。 在这里,我不得不再次谈到提高员工在信息安全领域的意识的重要性。 即使所有信息安全都应该由第三方组织来完成,也必须有人可以评估所执行工作的质量。
俄罗斯FSTEC的代表也出席了会议,并回答了有关监管机构对这种无良许可证持有者的影响的问题。 阿列克谢·巴拉诺夫(Alexey Baranov)表示,应将此类违法行为作为俄罗斯FSTEC监督许可活动的一部分予以制止。 如果监管机构有违规行为,或者在收到针对被许可人的投诉后,将发布命令以消除违规行为。 如果屡次违反或投诉,被许可人可能会被吊销。
总结
我在本文中许诺了乐观的态度。 他在这里。
自2009年以来,我们一直在举办该论坛。 尽管每年我们主要讨论信息系统
问题及其可能的解决方案,但仍存在积极的动态。 它的事实在于,今天我们已经在讨论完全不同层次的完全不同的问题。 问题本身将永远存在。 不太可能举行信息安全事件,演讲者会说过去一年没有发现新的漏洞,没有人被黑客入侵,也没有泄漏任何个人数据。
至于问题的程度,那就自己看看。
在2009年,我们谈到了一个事实,即在组织中至少需要指派一个人来确保信息安全。 在2019年,我们已经在谈论组织中缺少多少成熟的安全卫士。
在2009年,我们谈到了至少需要引入一些信息保护和保护个人数据手段的必要性。 在2019年,我们谈论需要从这些补救措施中收集日志,建立关联并跟踪信息安全事件。
在2009年,我们带来了有关应该认证哪些信息系统的信息。 在2019年,信息安全不会以合格证书的签发结束。
因此,尽管我很悲观,也有指出的问题,但是某些事情正在缓慢而肯定地发生变化。 最主要的是要有人推这辆名为“ IB”的机车。
聚苯乙烯我们的论坛刚刚结束,我们已经在考虑如何使我们的下一个活动更好。
写下您对信息安全事件的正面或负面印象。 您所在地区举行了哪些活动? 哪种格式最适合您? 您认为哪些主题过于刻板,哪些主题不值得关注?
PPS摄影师:
Elena Berezova