Вы здесь

На форуме СИИС-2017 обсудили вопросы информационной безопасности

19
Апр
2017

Секция "Защита информационной инфраструктуры" на СИИС-2017. Александр Немошкалов: "Многие пользователи не соблюдают даже элементарных способов защиты своего мобильного телефона, например, графический ключ"В рамках IX Сибирского форума «Индустрия информационных систем» (СИИС-2017), который прошел 12-13 апреля в Академпарке, состоялась секция «Технологии защиты информационной инфраструктуры». В ходе работы было рассмотрено законодательство в области информационной безопасности (ИБ), способы защиты от информационных атак и автоматизация процессов.

Заседание секции началось со вступительного слова модератора Сергея Туманова, руководителя центра «Компьютерная безопасность» НсвФ ФГУП «НТЦ “Атлас”», который представил статистические данные об информационных атаках в России и мире, а также прогнозы на 2017 год. По словам Сергея, в последние годы вопрос информационной безопасности встал остро, так как каждая вторая российская компания сталкивается с информационной атакой.

— Россия находится на 2 месте по утечке информации после США, на третьем месте ­ Великобритания, – рассказывает Сергей Туманов.

Информационным атакам подвержены и государственные структуры. В мае 2016 года появился Интернет-ресурс, на котором можно было найти телефон и адрес водителя по номеру автомобиля. Подобные ресурсы возникают, когда утечка информации происходит с баз данных ГИБДД, страховых и медицинских компаний.

С первым докладом выступил Валентин Селифанов, специалист управления Федеральной службы по техническому и экспортному контролю по СФО. Докладчик рассказал об изменениях в нормативно-правовой юридической базе в области ИБ.

По словам Валентина Селифанова, любая автоматизированная система защищается в 4 этапа: формирование требований, разработка системы защиты информации, внедрение этой системы, аттестация ИС и сопровождение. Если компания соблюдает необходимые требования, то возможность утечки информации снижается.

— На данный момент у нас есть всё, чтобы защитить абсолютно любую систему,—подвел итог Валентин Селифанов.

В 2016 году возросло количество классов и моделей угроз, появились технические требования к ПО и стадиям защиты информации, увеличился срок аттестации. По словам спикера, в скором времени произойдут изменения и в 149 Федеральном законе «Об информации, информационных технологиях».

Екатерина Шехтман, директор ООО «ИНКО», и Татьяна Гаврилюк, руководитель отдела правового обеспечения ОАО «Ростелеком», рассказали о юридических рисках в IT бизнесе, а именно об утечке разработок бывшими сотрудниками, коммерческой тайне и защите персональных данных.

— По гражданскому кодексу, когда человек что-то пишет, то «произведение» принадлежит автору. Избежать такой ситуации можно с помощью трудового договора, договора об отчуждении исключительного права на произведение и договора заказа. Кроме того, сотруднику необходимо заплатить вознаграждение. Кстати, законом не уточняется его минимальная ставка, — поясняет Екатерина Шехтман.

Утечка персональных данных может серьезно повлиять на репутацию компании.

— 7 апреля был принят Федеральный закон, по которому увеличили штраф за нарушение закона о сборе, обработке и хранении персональных данных. И вопрос о правилах работы с данными сотрудников стал актуальным для руководителей, — рассказывает Татьяна Гаврилова.

Для минимизации риска компания должна определить, какие именно данные сотрудников будут обрабатывать, возможные угрозы и необходимый уровень защиты, а также продумать меры безопасности.

Продолжил тему персональных данных Александр Лушев, генеральный директор ООО «КапиталИнвестГрупп». Докладчик рассказал о том, как компании соответствовать законодательству по защите персональных данных. В частности, о работе с сервисом Атлас.doc.

— В системе заполняется одна общая анкета, где указывается вся информация о компании, и сервис формирует комплекс документов для защиты персональных данных, – говорит Александр Лушев.

Следующий доклад представил Александр Бондаренко, руководитель регионального отделения «Лаборатории Касперского» в Сибирском и Дальневосточном федеральных округах. Александр рассказал о киберугрозах и о том, как с ними борются в «Лаборатории Касперского».

По словам Александра, 80% всех кибератак можно было избежать, соблюдая элементарные правила: белые списки приложений, обновление приложений и операционной системы, административный контроль.

Дмитрий Кандыбович, генеральный директор ООО «Атом Безопасность», рассказал о том, как снизить стоимость IT-проекта при помощи современных технологий.

— Сейчас для каждого руководителя IT-проект ­это, в первую очередь, дорого,— начал выступление докладчик.

Дмитрий Кандыбович выделил причины подорожания IT-проектов: высокая стоимость инфраструктуры, дополнительное платное ПО, аутсорсинг, услуги интеграторов. В ходе выступления Дмитрий рассказал том, как снизить убытки. ООО «Атом Безопасность» выпускает программный продукт, который может снизить стоимость IT-проекта, контролируя продуктивность работы сотрудников.

— Необходимо правильно привязывать IT-проект к главной задаче собственника – получению прибыли, – подвел итог докладчик.

После доклада Дмитрий ответил на вопросы о стоимости и эффективности StaffCopStandard.

Дмитрий Лебедев, заместитель директора по продажам НПО «Эшелон», в своем докладе затронул тему консолидации средств защиты информации. Более детально докладчик рассказал о новой версии SIEM-системы «Комрад 2.0». Дмитрий Лебедев отметил главные особенности системы:

— Высокая производительность фиксации событий (от 20 тысяч событий в секунду), универсальный адаптер для сбора информации, поддержание системой широкого спектра средств защиты информации. И наша гордость­удобный интерфейс (графики, анализ, оповещения).

Елена Шаталова, заместитель директора НТЦАО «НПО РусБИТех» рассказала о построении безопасных автоматизированных систем на примере отечественных компаний. Особенно это актуально для компаний, офисы которых находятся в разных точках города или страны. Операционная система, созданная «НП РУСБИТЕХ», позволяет взаимодействовать таким центрам без утечки информации.

Продолжил работу секции Борис Купряков, НвсФ ФГУП «НТЦ Атлас», с докладом о защите интернет-ресурсов от ботов и DDoS-атак. Увеличение мобильных устройств и домашних приборов, подключенных к Интернету – одна из главных причин появления DDos-атак.

Особое внимание докладчик уделил интеллектуальным ботам, которые совершают кражу контента для вымогательства или воздействия на репутацию компании. Классический способ защититься от DDos-атак – статистический метод, который основан на сборе информации обо всех запросах. Когда программа фиксирует резкий скачок трафика, сайт блокируется.

— У нашей компании другой метод: мы можем выявить бота с первого запроса, —рассказывает Борис Купряков.

В апреле этого года программный продукт «НТЦ Атлас» защищал ресурсы «Тотального диктанта». Пик DDoS-атак был зафиксирован, когда диктант писали в Новосибирске:  всего 103 тысяч запросов, из них только 12 тысяч легитимных.

Взгляд на рынок информационной безопасности в государственном секторе со стороны российского разработчика представил Евгений Мардыко, ведущий менеджер ГК «Конфидент». Докладчик раскрыл два мифа российского IT-сектора. Первый миф заключается в том, что реестр отечественного ПО реализуется успешно. Многие компании решили занести свои продукты в реестр, но, с увеличением срока рассмотрения заявок процесс замедлился, и на 2017 год только 13% компаний это удалось. Второй миф —российские программы на базе свободного ПО безопасны. Большинство отечественных программ создаются для операционной системы Widows, которая находится на 14 месте по операционной уязвимости.

Александр Немошкалов, заместитель технического директора компании «Код Безопасности», рассказал о том, как защитить мобильное устройство на примере программы Secret MDM. По словам докладчика, обезопасить мобильное устройство сложнее, чем компьютер. В первую очередь это связано с тем, что пользователь постоянно перемещается или может потерять устройство. Как и Александр Бондаренко, спикер отметил, что обновление приложений и графический ключ – эффективные способы защиты телефона.

Secret MDM — это программа для централизованного управления мобильными устройствами. С ее помощью пользователь может управлять обновлениями на мобильном устройстве, Bluetooth-соединением, настраивать политику безопасности.

Последним выступил Константин Емельяненко, менеджер по работе с партнёрами ЗАО «Аладдин Р.Д.». Спикер рассказал о способах минимизации утечки информации на предприятиях и о том, как решают эту проблему в их компании.

«Аладдин Р.Д.» предложила биометрический способ идентификации по отпечаткам пальцев на платформе JaCart. Это новое поколение смарт-карт, USB-, MicroUSB- и SecureMicroSD-токенов. Устройство объединяет в себе пропуск на работу, данные о сотруднике, электронную подпись. Докладчик отметил:

— Сотрудник, покидая рабочее место, извлекает smart-карту из ридера и этим автоматически блокирует компьютер. Это позволяет ограничить доступ к компьютеру другим пользователям и отслеживать, сколько работает сотрудник.

Сергей Туманов подвел итоги четырехчасовой работы и отметил высокую информативность беседы.