Обеспечение соответствия требованиям по безопасности...
TRANSCRIPT
1
Обеспечение соответствия требованиям по безопасности информации ИТ-инфраструктуры
для размещения типовых информационных систем организации
3
Безопасность инфраструктуры. Зачем?
• Бизнес функции организации Информационная система (ИС)
Окружение / среда / условия Обеспечение безопасности
• Инфраструктура – основа ИС• Безопасность инфраструктуры – база для
безопасной эксплуатации и развития ИС организации
• Инфраструктура – поставщик услуг безопасности, обеспечивающих базовые требования
4
Как решается: «Как лучше» или «Как обычно»?
Имеются угрозы безопасности ИС
«Нас это не касается!» «Должно быть. Так у всех сделано»
Касается всех Реализуем только то, что нужно
Проведите анализ защищенности /пен-тест
Оцените риски, смоделируйте угрозы
5
Суть проблемы
• Создается новая ИС,• Развиваются
существующие ИС,• Слияние/поглощение
организаций с их ИС
Под каждую ИС реализуется • собственная система
защиты
• под собственные требования
Результат: • избыточность
компонентов, • слабая управляемость, • несогласованность, • затраты на интеграцию
6
Альтернативный подход:
• Создается инфраструктура • удовлетворяющая базовым требованиям безопасности• с собственной подсистемой безопасности
• Подход позволяет:• сократить общие затраты на ИБ• обеспечить унификацию подхода и платформ• систематизировать процессы управления ИБ
• Реализуется:• собственными силами организации • силами поставщика услуг ИБ
9
Реальная безопасность…
• Угрозы бизнесу / деятельности организации• Выявить проблемные мест в ИС• Затраты на подсистему защиты.
А оно вам «надо»?• Чем доказать необходимость и
эффективность применяемой защиты• Когда начинать работы по реализации?
10
… или соответствие требованиям
• Угрозы никуда не исчезли• Соответствие требованиям регуляторов• Существуют ли требования?• Помогают ли они, нужны ли они
11
Откуда берутся угрозы / требования ?
• Угрозы в реальной безопасности• Требования в области соответствия
• Регуляторы, нормативные документы• Типы ИС, обрабатываемая информация и
источники требований • Пересечение состава требований - базовый
уровень обеспечения безопасности
12
Консолидация требований ИБ к ИС
РД по
НСД АС
(1Г)
Защита ИСПДн
(УЗХ)
СТР-К
ISO 2700
1|2700
2
BSI 2599
9|ISO
25777
TIA/EIA-942 (Tire III)
Пр. 416/489 (Класс 1)
Результирующие требова
ния
Требования по управлению доступом + + + + + +Требования по регистрации и учету + + + + +Требования по обеспечению целостности + + + +Требования по защите от вредоносного кода + + +Требования по защите межсетевого взаимодействия + + +Требования по использованию СКЗИ + + + +Требования к техническим средствам + + +Требования к использованию СЗИ + + +Требования по организации обеспечения ИБ + + + +Требования к надежности и доступности + + +Требования к ИС общего пользования + +Требования непрерывности бизнеса и восстановлению после сбоев + + + +
14
Требования ИБ для ЦОДТребования ИБ для ЦОД
Уров
ни и
нфра
стру
ктур
ы Ц
ОД
Уровень обработки данных
Уровень хранения данных
Уровень управления и мониторинга
Уровень представления данных
Уровень доступа
Уровень интеграции
Упра
влен
ию
дост
упом
Реги
стра
ция
и уч
ет
Обе
спеч
ение
це
лост
ност
и
Защ
ита
от
вред
ного
код
а
Прим
енен
ие
СКЗИ
Физ
ичес
кая
защ
ита
Конт
роль
за
щищ
енно
сти
Пред
отвр
ащен
ие
втор
жен
ий
Упра
влен
ие
безо
пасн
ость
ю
Отк
азоу
стой
-чи
вост
ь
Уровень инженерной инфраструктуры
Дос
тупн
ость
Распределение базовых требований по уровням архитектуры
Требования ИБ для инфраструктуры
Уров
ни а
рхит
екту
ры
15
Уровень обработки данных
Уровень хранения данных
Уровень управления и мониторинга
Уровень представления данных
Уровень доступа
Уровень интеграции
Уровень инженерной инфраструктуры
Инфраструктура хранения данных
Телеком. инфраструктура
Инфраструктура репликации ЦОДов
Вычислительная инфраструктура
Сетевая инфраструктура
Инфраструктура контроля и управления
Инженерная инфраструктура
Уров
ни те
хнич
еско
й ар
хите
ктур
ы
Уров
ни и
нфра
стру
ктур
ы Ц
ОД
Распределение базовых требований по уровням инфраструктуры
Уров
ни а
рхит
екту
ры
Уров
ни и
нфра
стру
ктур
ыСХД
17
Защитный меры
• Организационные • персонал • оргструктура• процессы
безопасности• функции
• Технические• архитектура• автоматизация
процессов• средства защиты
Угрозы (модель)
Меры (требования)
Средства защиты
Контроль защищенности
18
Средства защиты
Телеком. инфраструктура
Инженерная инфраструктура
Инфраструктура репликации
ЦОДов
Инфраструктура контроля и управления
Инфраструктура хранения данных
Вычислительная инфраструктура
Сетевая инфраструктура
Подключение провайдеров
Подключение ведомств
Уровень ОС
Уровень гипервизора
Уровень серверного оборудования
Вирт
уаль
ная
сред
а
ЛВС ЦОД ФНС
ЛВС ИИСЭБ
Сеть хранения
Хранилища данных
Архивы и резервные копии
Система монтроринга
Система управления
На уровне ЛВС
На уровне СХД
Комплексные сист. безопасности
Гарантированное обеспечени
МЭ
МЭ
МЭ
МЭ
МЭ
IPS
IPS
IPS
IDS
HIDS
IPS
HIDS
VPN
VPN
DDoS AV
AV
AV
AV
AV
AV
НСД
НСД
НСД ЭЗ
ЭЗ
НСД
НСД
VPN
КЗ
КЗ
КЗ
КЗ
КЗ
КЗ
КЗ
КЗ
КЗ
КЗ
КЗ
МЭ
VPN
SIEM
SIEM
SIEM
SIEM
SIEM
SIEM
SIEM
SIEM
SIEM
SIEM
SIEM
SIEM
SIEM
SIEM
SIEM
НСДAV
AV
HIDS
Орг.Меры
IDM
IDM
IDM
IDM
IDM
IRM
SC
SC
SC
SC
DLP
DLP
DLP
ФБ
ФБ
ФБ
ФБ
ФБ
ФБ
ФБМЭ
ФБ
ФБ
МЭ
IPS
IDS
HIDS
VPN
DDoS
AV
НСД
ЭЗ
КЗ
SIEM
IDM
IRM
SC
DLP
ФБ
Мэжсетевое экранирование
Предотвращение вторжений
Обнаружение вторжений
Обнаружение вторжений на уровне хоста
Создание VPN
Предотвращение атак типа «отказ в обслуживании»Защита от вредоносного кода (антивирусные средства)Защита от несанкционированного доступаДоверенная загрузка и обеспечение целостности ПО
Контроль защищенности
Управление событиями ИБ (SIEM)Управление учетными данными пользователейУправление правами доступа к даннымУсиленная аутентификация (Smart Card|USB Token)Предотвращение утечки данныхФизическая безопасность элементов
20
Что делать?
• Реализация базового уровня:• Организационных мер• Технических мер• СЗИ и КСЗИ
• сертифицированные• несертифицированные
• Где взять знания/компетенции:• Своими силами – собственные службы ИБ• Чужими руками – поставщик услуг ИБ
21
ВЫВОДЫ
1. Инфраструктура, отвечающая базовым требованиям ИБ снижает общее
расходы на создание и развитие ИС
2. Организация может самостоятельно реализовать Базовые требования
ИБ или с привлечением поставщиков услуг ИБ
Приглашаем к сотрудничеству!
23
ГК «Информзащита»Группа компаний «Информзащита» специализируется в области обеспечения безопасности информационных систем и уже 20 лет является лидером российского рынка ИБ.
27
Лицензии и сертификатыВысокое качество предоставляемых
услуг подтверждается наличием лицензий и аккредитаций на полный спектр услуг по защите информации начиная от разработки средств защиты и заканчивая аттестацией готовых систем.
Компания активно принимает участие в работе экспертных групп, направленных на формирование нормативной базы в области защиты информации.
Спасибо за внимание
Константин ФеоктистовГлавный архитектор Департамент комплексных решений ЗАО НИП «ИНФОРМЗАЩИТА»
Тел: +7 (495) 980-2345