ЭЛЕКТРОННЫЕ ГОСУДАРСТВЕННЫЕ УСЛУГИ Взгляд со стороны злоумышленника

Всеобщая информатизация государственных учреждений Перевод услуг в «электронный формат» Предоставление удаленного доступа к своим ресурсам Появление новых уязвимостей Причины «проблемы»

Стремление освоить бюджет в заданный срок Пренебрежение анализом безопасности Наличие уязвимостей компонент системы

Не проводится оценка рисков Нет налаженных процедур контроля обновлений и изменений Отсутствие базовых процессов управления ИБ

Не внедряются процессы регистрацией и мониторингом событий и управления инцидентами SOC в государственных учреждениях будет внедряться еще не скоро IDS/IPS используются скорее для защиты от вторжений регуляторов, нежели злоумышленников Проблемы со своевременным обнаружением и последующим расследованием инцидентов Отсутствие мониторинга атак

совмещение ИТ и ИБ служб недостаток высококвалифицированных кадров в области ИБ отсутствие налаженного взаимодействия служб внутреннего контроля и ИБ приверженность к «бумажной» безопасности Недостаток квалифицированных кадров

Отказ в обслуживании Исчерпание ресурсов Ошибки приложения

Атаки на web-ресурсы Для государственных учреждений характерно: отсутствие проверки исходного кода web- приложения отсутствие тестирования на проникновение отсутствие периодического пересмотра применяемых контролей

Социальная инженерия Успешность проведения атак методом социальной инженерии за последние 3 года

Собственная служба ИБ Возможные варианты решения Аутсорсинг аудита ИБ

Определяется перечень проверяемых объектов Производится идентификация рисков ИБ Риски ИБ транслируются в риски функций Разрабатывается набор рекомендаций

Выделение объектов аудита Территориально распределенные площадки Отдельные системы и сервисы (например, web- сервисы, системы предоставления удаленного доступа и др.)

Определение и тестирование контролей Аудит применяемых защитных мер Проверка на соответствие best practice Проведение penetration test

Разработка рекомендаций Разработка рекомендаций, позволяющих снизить существующие риски ИБ предоставляемых электронных услуг

Внедрение утвержденных рекомендаций Рекомендации утверждаются руководством По утвержденным рекомендациям составляется action-plan План реализуется совместно с ИТ- подразделением и службой внутреннего контроля

Периодичность аудита Выделение объекта аудита Оценка контролей Определение последствий реализации угроз Разработка рекомендаций Снижение рисков ИБ

Резюме Аутсорсинг тестирования защитных мер – инструмент для оценки «реальной» защищенности электронных сервисов

Вопросы? Хлапов Денис Консультант Отдела консалтинга Департамента консалтинга и аудита