"cyberguard — проект государственно-частного...
TRANSCRIPT
HackIT 2017
Матюхин Андрей
Cyber Guard - проект построения кибер-центра в государственном концерне «Укроборонпром»
Технический лидер проекта
Agenda
1\ О нас
2\ Миссия и задачи проекта «Cyber Guard».
3\ Концерн «Укроборонпром».
4\ Предпосылки для начала работы.
5\ Зачем это нужно, положение дел в Украине.
6\ Предлагаемые сервисы и статус проекта.
О нас
«Cybеr Guard» это совместный проект концерна «Укроборонпром» с частными компаниями: Укроборонпром , Укринмаш, Information Security Group, Moris Group.
Наши инициативы:
Создание центра оперативного реагирования на инциденты (CERT) в Концерне;
Проведение аналитических исследований законопроектов по кибербезопасности (2126a, 4302, 2133a, 2328a);
Создание инициативной группы по разработке White Paper, Policy Paper в сфере кибербезопасности (совместно с Лабораторией Законодательных Инициатив и Советом Европы);
Миссия и задача проекта «Cyber Guard»
Создайте центр компетенции - оперативного реагирования на инциденты, который работает в про-активном режиме, может определять и эффективно реагировать на кибер-угрозы, участвует во внедрении комплексных решений по безопасности.
Концерн «Укроборонпром»
Концерн это 130+ компаний
80 тыс сотрудников
Разрозненная ИТ инфраструктура
Предпосылки для начала работы:
Рост количества угроз и ущерба от них
Кадровый голод и текучесть ценных кадров
Желание уменьшения уровня возврат инвестиций для дорогостоящих программно-аппаратных решений, понижения затрат на их сопровождение.
CERT
Термином CERT называется группа экспертовв области IT безопасности, чья основнаяобязанность реагировать на инцидентыкомпьютерной безопасности. Эти группытакже предоставляют необходимые сервисыдля обработки инцидентов и поддержки своихклиентов в процессе восстановления послеобнаружения брешей в системахбезопасности.
CERT - Группа Оперативного Реагирования на КомпьютерныеИнциденты
CERT – Havelsan, наш adviser и бизнес партнер Укроборонпрома
Ожидаемые выгоды от создания отраслевого центра оперативного реагирования на инциденты:
Преимущества существования CERT:
Обмен опытом и знаниями с глобальной сетью зарегистрированных центров (385 шт);
Наличие централизованной координации вопросов IT безопасности внутри организации;
Централизованная и специализированная система обработки сообщений об инцидентах и реакции на них;
Наличие экспертизы и поддержки в процессе быстрого восстановления инцидентов безопасности;
Взаимодействие в юридических вопросах и сохранение доказательств в случае судебных процессов;
FIRST (англ. Forum of Incident Response and Security Teams) - это первая организация – признанный глобальный лидер в реагировании на инциденты компьютерной безопасности. Членство в FIRST позволяет командам реагирования на инциденты более эффективно отвечать на инциденты по безопасности, как активно в виде реагирования, так и профилактически.
FIRST сводит друг с другом разнообразные команды CSIRT из государственных, коммерческих и образовательных организаций.
Целями FIRST являются поощрение сотрудничества и координации по предупреждению инцидентов, стимулирование быстрой реакции на инциденты и продвижение обмена информации среди членов сообщества в целом.
Основными задачами оперативной группы являются:
- организация форума для обмена опытом и знаниями;
- пилотный запуск сервисов;
- продвижение общих стандартов и процедур для реагирования на инциденты компьютерной безопасности;
- помощь в создании новых CERT и обучении персонала CERT.
Статистика других стран
Количество центров реагирования на компьютерные чрезвычайные событий в мире = 385
50% от общего количества подобных центров находятся в 4 странах – США(77), Япония(30), Англия(17), Германия(27).
Украина - 2 зарегистрированных.
US20%
JP8%
DE7%
GB4%
ES4%FR
3%CA3%
NO3%
SG3%
CO2%
KR2%
CH2%
NL2%
Все остальные
37%
Value
Оптимизация затрат
- Уменьшение расходов на персонал
- Уменьшение расходов на инфраструктуру
- Минимизация расходов/затрат на меры реагирования по возникшим инцидентам
- Повышение эффективности вложенных инвестиций
- Минимизация расходов на выполнение соответствий
Повышение эффективности
- Подход превентивной защиты
- Синергия от работы экспертов
- Минимальное время получения первых результатов
- Множественные источники данных об угрозах
- Предоставление поддержки в режиме 24х7х365
Регуляторные соответствие
- внедрение контрольных мер для выполнения соответствия набора стандартов ISO/IEC 27000 и ISO/IEC 12207 других лучших практик, NIST стандартов.
Выгоды от создания отраслевого центра для каждого подразделения
Департамент финансов
- Отсутствие CapEx
- Высокий ROI
- Масштабируемость
Департамент ИТ
- Автоматизация процессов обеспечения безопасности
- Обмен опытом
- Доступ к широкому спектр услуг
Департамент Безопасности
- Превентивный подход
- Снижение времени реакции
- Актуальные технологии
- Наличие кибер лаборатории
- Поддержка 24x7x365
Вовлеченные эксперты
- реальный опыт
- рыночные зарплаты
Кооперация с университетами
- вовлечение талантливой молодежи в работу
Сервисы, оказываемые Центром
Базовые сервисы оказываемые центромСервисы реагирования
- Оповещение и предупреждение
- Обработка инцидентов
- Анализ инцидентов
- Реакция на инциденты
- Координация реагирования на инциденты
- Реакция на инциденты на месте
- Обработка уязвимостей
- Анализ уязвимостей
- Реакция на уязвимости
- Координация реагирования на
уязвимости
Профилактические сервисы
- Объявления
- Слежение за развитием технологий
- Анализ и оценка систем безопасности
- Конфигурирование и поддержка
систем безопасности
- Разработка средств обеспечения
безопасности
- Обнаружение вторжения
- Распространение информации о
системах безопасности
Управление качеством систем
безопасности
- Анализ рисков
- Непрерывность рабочего процесса и
восстановление при аварийных ситуациях
- Консультирование по вопросам
безопасности
- Повышение осведомлённости
- Обучение / Тренинги
- Оценка продукта и Сертификация
Статус развития Проекта
Уже:
Набор middle\senior специалистов (say hi to dou );
Проведение ИБ аудита группы компаний концерна;
Регистрация в статуса CERT в курирующем органе;
Создание портфеля продуктов по безопасности.
Среднесрочные перспективы:
Предоставлять услуги обеспечения безопасности коммерческим
организациям и государственным учреждениям;
Стать образовательным провайдером по кибер безопасности;
Разработка и стратап аккселерация продуктов по кибербезопасности.
Долгосрочные перспективы:
Расширение спектра услуг для клиентов предприятий;
Предоставление услуг на международном рынке.