Практический мастер-класс «Практикум по анализу рисков информационной безопасности»

Академия Информационных Систем совместно с компанией ГлобалТраст Солюшинс 11 октября 2012 года проводит однодневный практический мастер-класс по теме «Практикум по анализу рисков информационной безопасности». Мастер-класс предназначен для практического освоения приемов оценки и обработки рисков информационной безопасности на примере реальной организации.

За основу в мастер-классе взята методология управления рисками информационной безопасности, выработанная в ходе выполнения проектов по аудиту, оценке рисков, а также внедрению и сертификации систем управления информационной безопасностью по требованиям международных стандартов. Источниками разработки методологии стали популярные методы оценки рисков OCTAVE, CRAMM, RA2 и vsRisk, а также международные стандарты ISO 27001 и ISO 27005.

В ходе мастер-класса теоретические сведения чередуются с практическими упражнениями, которые слушатели выполняют самостоятельно под руководством тренера. В общей сложности слушателям предстоит выполнить 9 упражнений (по одному на каждую стадию процесса оценки и обработки рисков информационной безопасности).

Программа мастер-класса:

- Вводная часть;

- Понятие риска информационной безопасности;

- Качественная и количественная оценка риска;

- Факторы (составные элементы) риска;

- Упражнение 1. Определение области и границ оценки рисков;

- Упражнение 2. Идентификация активов;

- Упражнение 3. Определение ценности активов;

- Упражнение 4. Определение профиля и жизненного цикла угрозы;

- Упражнение 5. Оценка угроз и уязвимостей;

- Упражнение 6. Вычисление риска;

- Упражнение 7. Калибровка шкалы оценки риска;

- Упражнение 8. Выбор механизмов контроля;

- Упражнение 9. Оценка возврата инвестиций в информационную безопасность.

Всем участникам мастер-класса дается возможность приобретет по льготной цене комплект типовых документов по управлению рисками информационной безопасности, который включает в себя:

1. Общее описание;

2. Инструкция по внедрению системы управления рисками информационной безопасности;

3. Политика управления рисками информационной безопасности;

4. Методология оценки рисков информационной безопасности;

5. Приложение 1: Реестр информационных ресурсов;

6. Приложение 2: Реестр требований безопасности;

7. Приложение 3: Определение ценности активов;

8. Приложение 4: Определение приоритетов аварийного восстановления;

9. Приложение 5: Модель угроз информационной безопасности;

10. Приложение 6: Оценка уровней угроз и уязвимостей;

11. Приложение 7: Критерии оценки ущерба;

12. Приложение 8: Реестр информационных рисков;

13. Приложение 9: Декларация о применимости механизмов контроля;

14. Приложение 10: План обработки рисков;

15 Приложение 11. План аудита безопасности;

16. Приложение 12. План оценки рисков;

17. Приложение 13. Отчет об оценке рисков.

Продолжительность – 1 день.

Дата мероприятия – 11 октября 2012 года.

Стоимость – 15000 руб. (НДС не облагается) на одного человека. При участии более одного слушателя от организации предоставляется скидка 10%.

Количество мест ограничено.

По окончании мастер-класса всем слушателям вручаются Свидетельства АИС.

Контактная информация – Ольга Карташова, security@infosystem.ru, 8(495)231-3049.

Бесплатный семинар "Анализ защищенности систем дистанционного банковского обслуживания" в АИС

   Академия Информационных Систем совместно с компанией SolidLab 06 сентября 2012 года проводят бесплатный семинар по актуальной теме "Анализ защищенности систем дистанционного банковского обслуживания".

   Семинар посвящен актуальной задаче оценки защищенности системы дистанционного банковского обслуживания (ДБО). Различные источники подсчета статистики свидетельствуют о возрастающем интересе со стороны злоумышленников к система ДБО. Так, за прошлые годы объем денежных средств, оборачиваемых в следствие вредоносных действий в системах ДБО вырос на порядок. Семинар, в первую очередь, призван повысить осведомленность руководителей бизнесов и ответственных лиц в вопросах актуальных угроз, действующих в области использования ДБО. Отдельной целью стоит донесения роли и места проекта по анализу защищенности системы ДБО в контексте проведения общей программы обеспечения ИБ в организации. В частности, у аудитории после проведения семинара должно сложиться четкое понимание того, как вписать такой проект в комплексный подход обеспечения безопасности.

   Основные цели семинара:

   - повысить осведомленность руководителей бизнесов и ответственных лиц в вопросах актуальных угроз, действующих в области использования ДБО;

   - обеспечить понимание аудитории роли и места проекта по анализу защищенности системы ДБО в контексте проведения общей программы обеспечения ИБ в организации; как вписать данный проект в комплексный подход обеспечения безопасности.

   В качестве докладчиков выступят ведущие эксперты по защите систем ДБО компании SolidLab и АИС.

Программа семинара:

   1. Введение. Общая информация.

    1.1 Назначение и роль систем ДБО для современных банков.

    1.2 Обзор функциональных возможностей системы ДБО с точки зрения клиента. Обзор бизнес-процессов, автоматизируемых в системах ДБО.

    1.3 Типичная архитектура и технологии, лежащие в основе систем ДБО.

    1.4 Обзор продуктов на рынке ДБО. Стандартные vs custom ДБО.

   2. Обзор типичных уязвимостей, порождаемых набором технологий, применяемых в системах ДБО, и их архитектурой.

   3. Обзор типичных угроз, реализуемых в экосистеме ДБО. Черный рынок монетизации вредоносных действий в сфере ДБО.

   4. Типичный проект по оценке защищенности системы ДБО. Его место в общей программе обеспечения ИБ в организации. Фазы проекта. Методика. Что делать с результатами проекта.

   5. Правовое регулирования в области использования систем ДБО.

Дата проведения – 06.09.2012 года.

Продолжительность – 09:30 – 14:00.

Стоимость участия – бесплатно, но при подтверждении от организаторов.

Место проведения – АИС, г.Москва, ул.Первомайская, 126.

Контактное лицо – Ольга Карташова, security@infosystem.ru, 8(495)231-3049.

Дистанционные банковские услуги: под прицелом киберпреступников

   Сегодня 27 июля 2012 года состоялась пресс-конференция по теме "Дистанционные банковские услуги: под прицелом киберпреступников", которую организовал и провел Международный банковский клуб с партренами в здании ИТАР-ТАСС.

   На вопросы присутствующих отвечали Курило А.П. (Банк России), Сумманен К.Т. (Банк ВТБ), Голенищев А.А. (Альфа-Банк), Конявский В.А. (МФТИ), Лайков А.Г. (Система денежных переводов BLIZKO Связь-Банка), Черноморов С.А. (HandyBank), Шумский Л.С. (Связной Банк) и ведущий круглого стола Аитов Т.Н. (АРБ).

   Скажу честно, но чего-то нового и революционного я не услышал. Основное, что бросается в глаза, это то, что от мероприятия к мероприятию меняются акценты. Наверно лет этак 5-8 назад основной акцент на таких мероприятиях делался на технических мероприятиях и необходимости внедрения технических средств. Позже акцент перешел на орг.мероприятия, в частности, говорилось, что нужно разработать отраслевой Стандарт и будет всем счастье. Однако, даже после разработки целого комплекса Стандартов в области ИБ ситуация в корне не поменялась. Еще позже акцент перенесся на необходимость разработки адекватной нормативной базы и неотвратимости наказания. Сегодня же, одним из основных докладчиков Курило А.П., акцент был сделан на системности решения проблемы безопасности не только ДБО, но и всех дистанционных банковских услуг.

   Из наиболее интересного:

   1. Курило А.П.:

- Альтернативы ДБО сейчас нет. Соответственно речи о упразднении данного вида услуг для клиентов не идет.

- Объем операций по денежным переводам превышает десять миллионов транзакций в сутки. При этом нет статистики, сколько из этих транзакций мошеннические.

- Стандартные решения для обеспечения безопасности ДБО не применимы и нужно проблему решать системно.

- Примеры эффективных решений есть у PCI Council, в частности переход с магнита на чип позволил снизить число мошеннических транзакций на 90%.

- Банковскому сообществу нужно оперативно информировать друг друга о произошедших инцидентах и мошеннических операциях.

- Нужно применять меры по блокированию мошеннических переводов. Если все же деньги уже сняты, то нужно плотно взаимодействовать с правоохранительными органами.

- Порядка 50% атак происходит с использованием методов социальной инженерии и нужно информировать и воспитывать общество.

- Нужно создать банковский CERT.

- Банки не охотно делятся информацией о компрометации карточек, т.к. это негативно играет на их репутации. В Нидерландах провели исследование и выяснилось, что после того, как пресса публикует информацию о компрометации карточки того, либо иного банка, то сразу обороты этого банка падают на 3%.

- Создание базы инцидентов поддерживается, но есть ряд серьезных вопросов, на которые пока нет четких ответов. В частности, как обеспечить безопасность этой самой базы, нужно установить ответственность всех лиц имеющих к ней доступ за разглашение, где взять деньги на финансирование этой большой работы. Банк России не готов финансировать.

   (От себя добавлю, что данная база будет одним из инструментов конкурентной борьбы одних банков с другими).

- Что касается статистики инцидентов, то пока ее нет. Выпущено указание БР 2831-У по которому участники обязаны писать отчеты и предоставлять их в БР. Через пол года будет данная система отработана и появится статистика.

   2. Шумский Л.С.:

- Есть проблемы по взаимодействию между банками при возникновении инцидентов ДБО.

- Существует рабочая группа, которая разработала рекомендации для клиентов, как действовать при инциденте, как получить деньги назад. Рекомендации содержат более 10 форм заявлений в банк, в правоохранительные органы и т.п.

Основная цель этих рекомендаций, это остановка транзакций, пока деньги не обналичились.

- На сайте НП "НПС" будет закрытый раздел по обмену информацией по инцидентам между банками.

   3. Сумманен К.Т.:

- Должен действовать принцип неотвратимости наказания.

- Риск в ДБО может быть сведен к минимуму, если клиент будет выполнять все указания банка.

- Нужно создать базу по инцидентам и мошенникам по аналогии с кредитованием и Бюро Кредитных Историй.

- Нет системы обучения и информирования клиентов (общества). Это обучение, ликбез нужно вводить в школах.

   4. Голенищев А.А.:

- В Альфа-Банке создана система on-line-мониторинга каналов ДБО. Можно видеть и отсекать мошеннические операции во время самой операции. После введения этой системы во втором квартале потери от инцидентов составили всего порядка 100т.р.

   5. Черноморов С.А.:

- Многие инциденты банками скрываются, чтобы не терять репутацию.

- Эффективность взаимодействия службы безопасности и Управления К зависит от отношений между сотрудниками СБ банка и сотрудниками Управления К. Если они хорошие, то дело сдвинется с мертвой точки.

   6. Конявский В.А.:

- Достаточно оригинальные методы предотвращения киберпреступности предложил Конявский В.А.:

- Перед запуском Банк-клиента нужно перегрузить компьютер. После этого поработать и опять перегрузить компьютер. До этого и после этого можно лазить хоть по порно-сайтам (оставлены авторские выражения). К сожалению, на вопрос, что делать если в системе сидит троян, автор этого предложения не ответил.

- Банки должны установить лимиты для клиентов по компенсации ущерба. Т.е. если клиент у себя использует слабые средства защиты и аутентификации, то лимит установить на минимуме, а если используются средства защиты рекомендованные банком и сертифицированные, то лимит установить больше.

Участники круглого стола не поддержали эту идею, т.к. установление любого лимита, это ущемление прав клиента и внесение дополнительных неудобств клиенту.

Новый игрок на рынке информационной безопасности – NGS Distribution

   На прошлой неделе произошло очередное событие в области информационной безопасности, вернее, в области предоставления услуг в этой области. Официально было объявлено о появлении новой компании Next Generation Security Distribution (NGS Distribution).

   Анонсирование новой компании состоялось на пресс-пикнике в «Золотом Сазане» 12 июля 2012 года, на который были приглашены отраслевые СМИ и блоггеры. Поэтому удалось не только пообщаться с коллегами, но и попытать счастье в рыбной ловле.
   Казалось бы, много компаний появляется чуть ли не каждый месяц, кто хочет предоставлять услуги в области защиты информации. Что может быть нового и интересного в этом событии?
   Основатели компании молодые и прогрессивные люди, являющиеся профессионалами своего дела, которые постоянно следят за последними трендами, тенденциями и вендорами с области ИБ. Основная идея заключается в создании единой площадки между заказчиками, вендорами и интеграторами. Казалось бы, идея не нова, но в таком виде, на мой взгляд, реализована впервые.
   Можно выделить следующие составляющие (объекты) бизнеса компании NGS Distribution:
   1. За рубежом достаточно много достойных небольших производителей (вендоров), которым интересен Российский рынок,
   2. В России много небольших интеграторов, которые готовы работать в регионах РФ (так сказать, на местах), но им сложно находить заказчиков,
   3. В России много крупных интеграторов, которым не всегда выгодно выполнять проекты в регионах и их необходимо отдавать надежным партнерам на местах.
   4. Часто заказчикам нужна квалифицированная помощь в подборе решений по безопасности и надежный партнер по предоставлению услуг.
   Координацией всего этого и занимается NGS Distribution.
   Также отличительной особенностью компании является то, что она не аффилирована с другими интеграторами в области защиты информации, т.к. инвесторы не из проблемных областей.
   Область деятельности компании охватывает не только Россию, но также большинство стран СНГ. Активных партнеров более 500. По словам представителей компании, сейчас идет проект на сумму порядка 15 млн. USD.
   Пожелаем успехов коллегам!

Успешное завершение семинара «Вопросы обеспечения защиты информации при осуществлении переводов денежных средств и контроля за их соблюдением»

   Академия Информационных Систем 17 июля 2012 года провела семинар по актуальной теме «Вопросы обеспечения защиты информации при осуществлении переводов денежных средств и контроля за их соблюдением».

   Семинар проводился с целью привлечения внимания к принятым в июне 2011 года Федеральным законам № 161-ФЗ от 27 июня 2011 г. «О национальной платежной системе» и № 162-ФЗ от 27 июня 2011 г. «О внесении изменений в отдельные законодательные акты Российской Федерации в связи с принятием Федерального закона «О национальной платежной системе».

   С 27 июня 2012 года вступили в силу положения статьи 27 № 161-ФЗ, определяющей требования по обеспечению защиты информации в платежной системе.

   Семинар посетило более 60 представителей как кредитных, так и не кредитных организаций.

   С докладами на семинаре выступили как эксперты Академии Информационных Систем, так и эксперты Банка России и НП АБИСС.

   Много вопросов и споров вызвали проблемные темы, озвученные начальником отдела Департамента регулирования расчетов Банка России Харламовым Валерием Павловичем, в части оценки выполнения требований (соответствия) и отчетности проведения проверок поднадзорных организаций.

   Эксперт НП АБИСС Дроздов Андрей Валентинович рассказал про НП АБИСС и его роль в формировании рынка профессиональных услуг в области информационной безопасности. Доклад в большей части относился к кредитным организациям.

   Эксперт Академии Информационных Систем Левиев Дмитрий Олегович рассказал в целом о законе «О национальной платежной системе» и его требованиях, а также разъяснил все основные понятия и определения закона. Также Дмитрий Олегович раскрыл вопросы ответственности за неисполнения положений Федерального законодательства.

   В связи с тем, что вопросы защиты информации в национальной платежной системе являются достаточно новыми как для кредитных, так и не кредитных организаций, а также для детального разъяснения вопросов внедрения положений законов и подзаконных актов, Академия Информационных Систем запускает следующие курсы повышения квалификации:

   1. Курс НПС010 «Введение в основные нормы национальной платежной системы и защиту информации при осуществлении переводов денежных средств организаций участников национальной платежной системы Российской Федерации».

   Даты проведения: 15-16 октября 2012 года.

   2. Курс НПС020 «Реализация национального законодательства и требований Банка России по защите информации при осуществлении переводов денежных средств в рамках национальной платежной системы».

   Даты проведения: 17-19 октября 2012 года.

   3. Курс НПС 030 «Контроль, оценка соответствия и самооценка соблюдения требований к защите информации при осуществлении переводов денежных средств».

   Даты проведения: 22-24 октября 2012 года.

   Более подробная информация по мероприятиям и курсам на сайте АИС – http://www.infosystems.ru/

Союз машиностроителей России поддерживает проведение ИнфоБЕРЕГ-2012

Общероссийское отраслевое объединение работодателей «Союз Машиностроителей России»  (ОООР «СоюзМаш России») поддержало инициативу проведения 11-й Всероссийской конференции «Информационная безопасность. Региональные аспекты. ИнфоБЕРЕГ 2012». Соответствующее письмо было направлено руководством ОООР всем руководителям предприятий, являющихся членами данного объединения.

Конференция проводится «Академией Информационных Систем» при поддержке и активном участии федеральных ведомств, регуляторов и отраслевых ассоциаций: ФСБ России, ФСТЭК России, Минкомсвязи России, МВД России, Роскомнадзора, АП КИТ, МОО «АЗИ», НП АБИСС.

В повестку дня предстоящего мероприятия включены как традиционные вопросы защиты персональных данных, другой конфиденциальной информации, лицензирования и сертификации при разработке и распространении СЗИ, так и новые актуальные проблемы ИБ – защиты информации в платежных системах, обеспечение безопасности объектов ТЭК, анализ уязвимости и защищенности систем промышленной автоматизации АСУ ТП, SCADA, MES и других.

Вопросы обеспечения информационной и информационно-технологической безопасности на предприятиях машиностроительного комплекса России приобретают сегодня все большую актуальность в связи с необходимостью технической модернизации и реализации курса на внедрение передовых информационных технологий. Как заявил Генеральный директор ГК «Ростехнологии», председатель Союза Машиностроителей России С. В. Чемезов на встрече с представителями Ассоциации европейского бизнеса: «Сегодня мы уделяем особое внимание модернизации производственной базы оборонно-промышленного комплекса. Акцент делается на использование его инновационного потенциала, который может создать мультипликативный эффект для других отраслей». А по словам Первого вице-президента Союза машиностроителей России В.В. Гутенева, «Высокие технологии – это определяющее условие устойчивого развития передового машиностроения национальных экономик».

Ожидается, что в конференции «ИнфоБЕРЕГ-201» примут участие свыше 200 руководителей и специалистов в области информационной безопасности, представляющие различные отрасли отечественной экономики – госсектор, банки и финансы, энергетику, машиностроение, транспорт, ИТ. Конференция состоится 11-16 сентября 2012 г. в городе Сочи.

Семинар «Вопросы обеспечения защиты информации при осуществлении переводов денежных средств и контроля за их соблюдением»

   Академия Информационных Систем проводит 17 июля 2012 года семинар по актуальной теме «Вопросы обеспечения защиты информации при осуществлении переводов денежных средств и контроля за их соблюдением», проводимый с целью привлечения внимания к принятым в июне 2011 года Федеральным законам № 161-ФЗ от 27 июня 2011 г. «О национальной платежной системе» и № 162-ФЗ от 27 июня 2011 г. «О внесении изменений в отдельные законодательные акты Российской Федерации в связи с принятием Федерального закона «О национальной платежной системе».

   Положения статьи 27 № 161-ФЗ определяют требования по обеспечению защиты информации в платежной системе и вступают в силу 27 июня 2012г.

   Для целей реализации положений статьи 27 № 161-ФЗ Федеральными органами исполнительной власти, уполномоченными в области обеспечения безопасности (ФСБ России) и противодействия техническим разведкам и технической защиты информации (ФСТЭК России), совместно с Банком России завершается согласование комплекса новых подзаконных актов, включающего:

   - Положение о защите информации в национальной платежной системе (будет введено постановлением Правительства РФ);

   - Нормативные акты Банка России по обеспечению защиты информации при осуществлении переводов денежных средств и контроля за их соблюдением (Банк России осуществляет надзор и наблюдение в национальной платежной системе).

   Требованиями подзаконных актов будут установлены обязательные нормы по защите информации, обрабатываемой операторами по переводу денежных средств, банковскими платежными агентами (субагентами), операторами платежных систем, операторами услуг платежной инфраструктуры при осуществлении ими деятельности в национальной платежной системе.

   Надзором и наблюдением Банка России в национальной платежной системе за исполнением установленных требований будут охвачены как кредитные организации – субъекты национальной платежной системы, так и субъекты национальной платежной системы, не являющиеся кредитными организациями.

   Это формирует абсолютно новые требования к деятельности участников платежного рынка, неисполнение которых сопряжено, в том числе, и с существенными санкциями, вплоть до ограничения (приостановления) оказания операционных услуг (статья 34 № 161-ФЗ).

   На семинаре будут рассмотрены следующие основные вопросы:

   - Федеральный закон от 27 июня 2011 г. № 161-ФЗ "О национальной платежной системе";

   - Требования к обеспечению защиты информации при осуществлении переводов денежных средств;

   - Оценка выполнения требований (соответствия) поднадзорными организациями (не являющимися кредитными) и отчетность;

   - Проведение проверок поднадзорных организаций (не являющихся кредитными);

   Семинар проводят эксперты Академии Информационных Систем, имеющие большой практический опыт в области выполнения требований законодательства РФ и реализации требований соответствующих стандартов по защите информации при осуществлении платежей в различных платежных системах.

   Участие в семинаре подтвердили эксперты Банка России.

   Дата проведения семинара – 17 июля 2012 года.

   Время проведения семинара – 10:00 – 14:00.

   Стоимость участия в семинаре – 4800 руб. плюс НДС.

   По окончании семинара всем слушателям вручаются Свидетельства Академии Информационных Систем.

   По всем вопросам участия в семинаре просьба обращаться по следующим контактам:

Карташова Ольга,

Тел. 8(495)231-3049,

security@infosystem.ru

   Для регистрации на семинар необходимо направить запрос на указанный адрес с указанием реквизитов компании.

МВД России поддерживает конференцию ИнфоБЕРЕГ-2012

Бюро специальных технических мероприятий МВД России, в которое входит известное Управление «К», объявило о поддержке 11-й Всероссийской конференции «Информационная безопасность. Региональные аспекты. ИнфоБЕРЕГ-2012». На конференцию будут направлены руководители и сотрудники БСТМ МВД России, которые примут участие в специальных секциях, посвященных защите систем ДБО и Национальной платежной системы, а также расследованию компьютерных преступлений. Кроме того в программу предстоящего мероприятия планируется включить такие новые для конференций по информационной безопасности темы, как обеспечение комплексной безопасности объектов промышленности и топливно-энергетического комплекса, а также защита производственных систем АСУ ТП, SCADA и др. Актуальность данной тематики продиктована вступлением в силу Федерального закона 256-ФЗ «О безопасности объектов топливно-энергетического комплекса» и недавними компьютерными атаками на энергетические объекты на Ближнем Востоке. Последствия от таких целенаправленных атак на опасные промышленные объекты могут оказаться гораздо серьезнее, чем последствия обычных сетевых вирусов.

Напомним, конференция ИнфоБЕРЕГ-2012 пройдет в Сочи с 11 по 16 сентября в СПА-отеле «Прометей Клуб» (All Inclusive).

Регистрация участников открыта на сайте конференции http://vipforum.ru/

У ИнфоБЕРЕГ-2012 спортивный характер

Конференция ИнфоБЕРЕГ-2012 продолжит традицию пропаганды спортивного образа жизни и соревновательной культуры. В этом году в рамках сочинской конференции состоятся матч по водному поло и II ежегодный открытый турнир по волейболу с участием Спортивного клуба ветеранов ФСБ России «Отдушина», сборной УФСБ России по Краснодарскому краю и сборной участников «ИнфоБЕРЕГ-2012». В прошлом году на подобном турнире победили профессионалы – команда СК «Отдушина», но соперники на их фоне выглядели очень достойно. Посмотрим, изменится ли расклад сил спустя год? В августе в Москве состоится тренировочная игра по волейболу между сборными командами «ИнфоБЕРЕГа-2012» и компании «Ай-Теко». Для участия в тренировочной игре необходимо связаться по телефону (495) 231-30-49 с Еленой Сучковой.