More Related Content
Similar to Основні проблеми захисту від кібератак в українських державних установах (20)
Основні проблеми захисту від кібератак в українських державних установах
- 1. Copyright © BMS consulting, 31.05.2013
Основні проблеми захисту від
кібератак
в українських державних установах
Дмитро Петращук
Директор департаменту консалтингу в галузі
інформаційної безпеки
- 2. 2Copyright © BMS consulting, 31.05.2013
Основні питання
• Відомі інциденти в українських
державних установах
• Причини інцидентів
• Супутні проблеми
• Шляхи вирішення
- 4. 4Copyright © BMS consulting, 31.05.2013
Місце України в світі
кіберзлочинності
- 5. 5Copyright © BMS consulting, 31.05.2013
Місце України в світі
кіберзлочинності
81% веб-ресурсів, що використовуються для поширення
шкідливих об'єктів, розташовані в 10 країнах світу.
Майже 60% з них припадає на три держави: США (25%),
Росія (19%), Нідерланди (14%). Україна (3,3%)
знаходиться на 5 місці
серед країн на
веб-ресурсах
яких, розміщені
шкідливі
програми.
- 6. 6Copyright © BMS consulting, 31.05.2013
Найгучніші інциденти
• DDOS-атаки «Ex.ua» (2012)
• DDOS-атаки під час виборів 2012
• DDOS-атаки на РБК-Україна (2012)
• Сайт Партії регіонів в Івано-Франківській області (2013)
• Сайт Державної пенітенціарної служби (2013)
• Сайт МінОсвіти (2010)
• Сайт Адміністрації Президента (2009)
• Сайт проекту НАБУ «Антикібер» (2013)
• Торгівля базами даних: Митниці, ДАЇ, ЄРДПУ, реєстр
виборців
- 7. 7Copyright © BMS consulting, 31.05.2013
Причини
• КСЗІ
• «Закостеніла» нормативна база
• Захист інформації в теорії на фоні практичної бездіяльності
• Відсутність єдиної координації на рівні держави
• «Свій» підхід до стандартизації
• Невизначеність сфер відповідальності різних контролерів
• Слабка обізнаність користувачів
• Корупція
- 8. 8Copyright © BMS consulting, 31.05.2013
КСЗІ
• Більшість установ знаходяться в стані
«побудови КСЗІ»
• Формальний підхід
• Складність внесення змін до системи
• Практична реалізація не завжди відповідає ТЗ
• Концентрація на протидії в жертву спостережності
(моніторинг та виявлення інцидентів)
- 9. 9Copyright © BMS consulting, 31.05.2013
Нормативна база
• На сайті Держспецзв’язку 43 НД ТЗІ
• За 2012 год видано:
– НД ТЗІ 1.5-002-2012 Класифікатор засобів технічного захисту інформації.
– Зміни до Положення про державну експертизу в сфері технічного захисту
інформації від 2007 року
• Прийнято 4 державних стандарти:
– ДСТУ 3396 0-96 Захист інформації. Технічний захист інформації. Основні
положення.
– ДСТУ 3396 1-96 Захист інформації. Технічний захист інформації. Порядок
проведення робіт.
– ДСТУ 3396.2-97 Захист інформації. Технічний захист інформації. Терміни та
визначення.«Закостеніла» нормативна база
– ДСТУ ISO/IEC 27001:2010 «Інформаційні технології. Методи та засоби
досягнення інформаційної безпеки. Системи керування інформаційною
безпекою. Вимоги (ISO/IEC 27001:2005, IDT)
- 10. 10Copyright © BMS consulting, 31.05.2013
Варіанти вирішення
• Обов’язкове тестування на проникнення та
щорічний технічний аудит всіх Держустанов
• Прийняття міжнародних стандартів
• Розробка практичного стандарту з захисту
державних інформаційних ресурсів
• Державний центр реагування на інциденти (CSIRT)
• Широке використання досвіду та можливостей
експертів з різних організацій
• Державні освітні програми з безпеки інформації
для співробітників Держустанов (перш за все ІТ-
персоналу)
- 11. 11Copyright © BMS consulting, 31.05.2013
Приклад PCI DSS
• Практичний стандарт, направлений на захист
конфіденційних даних
• 12 широких вимог, які включають більше 200 процедур
перевірки
• Впроваджений незалежною організацією PCI Security
Standards Council
• Акредитація аудиторів QSA(Qualified Security Assessor) та
ASV (Authorized Scanning Vendor)
• Додаткові вимоги:
– Щорічний технічний аудит
– Щорічний тест на проникнення
– Щоквартальне сканування уразливостей (ззовні, зсередини, WiFi)
- 13. 13Copyright © BMS consulting, 31.05.2013
Питання
Дякую за увагу!
Дмитро Петращук
Директор департаменту консалтингу в галузі інформаційної безпеки
Dmitriy_Petrashchuk@bms-consulting.com
+380 (44) 499-6969