dlp for top managers
DESCRIPTION
TRANSCRIPT
1/58 © Cisco, 2010. Все права защищены.
DLP с точки зрения топ-менеджера
Алексей Лукацкий, бизнес-консультант по безопасности
© Cisco, 2010. Все права защищены. 258
Это модно и круто! DLP 1.0
Привязать к бизнесу! DLP 3.0
Блин! Груз проблем велик! DLP 2.0
3 © Cisco, 2010. Все права защищены.
© Cisco, 2010. Все права защищены. 458
Решение бизнес-задач
Решение задач ИБ
То
п-м
енед
же
р
Безо
па
сни
к
© Cisco, 2010. Все права защищены. 558
© Cisco, 2010. Все права защищены. 658
Цели топ-менеджмента
Операционные цели
Финансовые цели
Цели ИТ
Цели ИБ
Цели ИБ в данной ситуации вторичны, т.к. их никто не понимает кроме службы ИБ
Грустно это признавать, но это так
© Cisco, 2010. Все права защищены. 758
• Снижение лояльности клиентов за счет утечки их персональных данных
COO
• Снижение дохода за счет хищения интеллектуальной собственности
CFO
• Подрыв репутации и снижение курса акций в результате утечки финансовой информации
CEO
• Иски и штрафы за счет нарушения нормативных требований
CLO
© Cisco, 2010. Все права защищены. 858
Управление рисками бизнеса
Планирование непрерывности бизнеса
Соответствие требованиям
Контракты и взаимоотношения с третьими сторонами
Лояльность
Защита от вирусов и вредоносного ПО
Защита хостов
Защита приложений
Криптография
Восстановление после катастроф
Сетевая безопасность
© Cisco, 2010. Все права защищены. 958
Регулятивные
Финансовые
Операционные
© Cisco, 2010. Все права защищены. 1058
• DLP-решение обеспечивает предотвращение или контроль утечек информации ограниченного доступа, к которой согласно российскому законодательству относят
Конфиденциальную информацию (она же информация ограниченного доступа)
Государственную тайну
• В российском законодательстве существует около 50 видов тайн
Все они требуют защиты
• Нарушение не каждой из тайн влечет за собой наказание
© Cisco, 2010. Все права защищены. 1158
• В российском праве отсутствует единая классификация тайн Указ президента №188 – только одна из попыток (не самая удачная)
• Также отсутствует четкое правовое понятие терминов «тайна» и «конфиденциальная информация»
• В различных нормативных актах Конфиденциальная информация приравнивается к гостайне
Конфиденциальная информация противопоставляется гостайне
Конфиденциальная информация включает тайну связи или находится с ней на одном и том же уровне иерархии
Конфиденциальная информация не относится к охраняемой законом
© Cisco, 2010. Все права защищены. 1258
• Сведения об операциях, счетах и вкладах ее клиентов и корреспондентов, а также об иных сведениях, устанавливаемых кредитной организацией
Определена в ФЗ 395-1 «О банках и банковской деятельности», 857 ГК РФ, Таможенный кодекс РФ, ФЗ «О реструктуризации кредитных организаций»
Наказание за разглашение - 183 УК РФ, 81 ТК РФ
Примеров наказания руководства компаний практически нет
© Cisco, 2010. Все права защищены. 1358
• Любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация
Определены в 143-ФЗ «Об актах гражданского состояния», 152-ФЗ «О персональных данных», 242-ФЗ «О государственной геномной регистрации в РФ» и т.д.
Наказание за разглашение - 13.11 КоАП, 137 УК РФ, 81 ТК РФ
Примеров наказания руководства компаний практически нет
© Cisco, 2010. Все права защищены. 1458
• Научно-техническая, технологическая, производственная, финансово-экономическая или иная информация (в том числе составляющая секреты производства (ноу-хау), которая имеет действительную или потенциальную коммерческую ценность в силу неизвестности ее третьим лицам, к которой нет свободного доступа на законном основании и в отношении которой обладателем такой информации введен режим коммерческой тайны
Определена в 98-ФЗ «О коммерческой тайне»
Наказание за разглашение - 183 УК РФ, 81 ТК РФ
Примеров наказания руководства компаний практически нет
© Cisco, 2010. Все права защищены. 1558
Тайна Содержимое Нормативный акт Наказание за
разглашение
Информация,
составляющая
коммерческую
тайну
Научно-техническая, технологическая,
производственная, финансово-
экономическая или иная информация (в
том числе составляющая секреты
производства (ноу-хау), которая имеет
действительную или потенциальную
коммерческую ценность в силу
неизвестности ее третьим лицам, к
которой нет свободного доступа на
законном основании и в отношении
которой обладателем такой информации
введен режим коммерческой тайны
98-ФЗ "О коммерческой
тайне" 183 УК РФ, 81 ТК РФ
Банковская тайна
(тайна банковских
вкладов)
Сведения об операциях, счетах и
вкладах ее клиентов и корреспондентов,
а также об иных сведениях,
устанавливаемых кредитной
организацией
ФЗ 395-1 "О банках и
банковской деятельности",
857 ГК РФ, Таможенный
кодекс РФ, ФЗ "О
реструктуризации
кредитных организаций"
183 УК РФ, 81 ТК РФ
Служебная тайна
Служебные сведения, доступ к которым
ограничен органами государственной
власти в соответствии с Гражданским
кодексом Российской Федерации и
федеральными законами
Указ Президента от
6.03.1997 №188, 139 ГК РФ,
ФЗ "Об основах
государственной службы
Российской Федерации",
Постановление
Правительства РФ от
3.11.94г. № 1233
81 ТК РФ
© Cisco, 2010. Все права защищены. 1658
Тайна Содержимое Нормативный акт Наказание за
разглашение
Тайна кредитной
истории 218-ФЗ "О кредитных
историях" 81 ТК РФ
Тайна страхования
Сведения о страхователе,
застрахованном лице и
выгодоприобретателе, состоянии их
здоровья, а также об имущественном
положении этих лиц
946 ГК РФ 81 ТК РФ
Тайна завещания Сведения, касающиеся содержания
завещания, его совершения, изменения
или отмены 1123 ГК РФ 81 ТК РФ
Налоговая тайна
Любые полученные налоговым органом,
органами внутренних дел, органом
государственного внебюджетного фонда и
таможенным органом сведения о
налогоплательщике (за рядом
исключением)
146-ФЗ "Налоговый кодекс
РФ" 183 УК РФ, 81 ТК РФ
Тайна усыновления
ребенка 223-ФЗ Семейный кодекс РФ 155 УК РФ, 81 ТК РФ
© Cisco, 2010. Все права защищены. 1758
Тайна Содержимое Нормативный акт Наказание за
разглашение
Врачебная тайна
Сведения о наличии у гражданина
психического расстройства, фактах
обращения за психиатрической помощью
и лечении в учреждении, оказывающем
такую помощь, а также иные сведения о
состоянии психического здоровья
117-ФЗ "О психиатрической
помощи и гарантиях прав
граждан при ее оказании" 81 ТК РФ
Информация о факте обращения за
медицинской помощью, состоянии
здоровья гражданина, диагнозе
заболевания, иные сведения, полученные
при обследовании и лечении гражданина,
а также сведения о проведенных
искусственном оплодотворении и
имплантации эмбриона, а также о
личности донора
Основы законодательства
РФ об охране здоровья
граждан
151 ГК РФ, 1064 ГК
РФ, 137 УК РФ, 81
ТК РФ
Медицинская тайна Результаты обследования лица,
вступающего в брак 223-ФЗ Семейный кодекс РФ 81 ТК РФ
Сведения о доноре
и реципиенте Возможно это врачебная тайна
4180-1-ФЗ "О
трансплантации органов
и(или) тканей человека" 81 ТК РФ
© Cisco, 2010. Все права защищены. 1858
Тайна Содержимое Нормативный акт Наказание за
разглашение
Тайна переписки,
телефонных
переговоров,
почтовых,
телеграфных или
иных сообщений
(тайна связи)
176-ФЗ "О почтовой связи",
126-ФЗ "О связи", УПК РФ 138 УК РФ, 81 ТК РФ
Тайна частной
жизни (личная
тайна) Общее понятие Конституция РФ, 150 ГК РФ 137 УК РФ, 81 ТК РФ
Аудиторская тайна
Любые сведения и документы,
полученные и (или) составленные
аудиторской организацией и ее
работниками, а также индивидуальным
аудитором и работниками, с которыми им
заключены трудовые договоры, при
оказании услуг (за рядом исключений)
307-ФЗ "Об аудиторской
деятельности" 81 ТК РФ
Тайна
судопроизводства
(тайна следствия и
судопроизводства)
241 УПК РФ, 10 ГПК РФ, 11
АПК РФ, 166 УПК РФ, Указ
Президента от 6.03.1997
№188
81 ТК РФ
© Cisco, 2010. Все права защищены. 1958
Тайна Содержимое Нормативный акт Наказание за
разглашение
Адвокатская тайна
(она же тайна
судебного
представительства)
Любые сведения, связанные с оказанием
адвокатом юридической помощи своему
доверителю
63-ФЗ "Об адвокатской
деятельности и адвокатуре в
РФ" 81 ТК РФ
Тайна нотариальных
действий
Основы законодательства
Российской Федерации о
нотариате 81 ТК РФ
Профессиональная
тайна Общее понятие
Указ Президента от
6.03.1997 №188 81 ТК РФ
Персональные
данные
143-ФЗ "Об актах
гражданского состояния",
152-ФЗ "О персональных
данных", 242-ФЗ "О
государственной геномной
регистрации в РФ"
13.11 КоАП, 137 УК
РФ, 81 ТК РФ
Тайна исповеди 125-ФЗ "О свободе совести
и о религиозных
объединениях"
120-е правило
Номоканона при
Большом Требнике
© Cisco, 2010. Все права защищены. 2058
Тайна Содержимое Нормативный акт Наказание за
разглашение
Государственная
тайна ФЗ 5485-1 "О
государственной тайне" 81 ТК РФ и др.
Семейная тайна 137 УК РФ 137 УК РФ, 81 ТК РФ
Тайна голосования
51-ФЗ "О выборах депутатов
Государственной Думы
Федерального Собрания
РФ", 19-ФЗ "О выборах
Президента РФ", 67-ФЗ "Об
основных гарантиях
избирательных прав и права
на участие в референдуме
граждан РФ"…
141 УК РФ, 81 ТК РФ
Журналистская
тайна 2124-1-ФЗ "О средствах
массовой информации" 81 ТК РФ
© Cisco, 2010. Все права защищены. 2158
Тайна Содержимое Нормативный акт Наказание за
разглашение
Секрет производства
(ноу-хау)
Сведения любого характера
(производственные, технические,
экономические, организационные и
другие), в том числе о результатах
интеллектуальной деятельности в научно-
технической сфере, а также сведения о
способах осуществления
профессиональной деятельности,
которые имеют действительную или
потенциальную коммерческую ценность в
силу неизвестности их третьим лицам, к
которым у третьих лиц нет свободного
доступа на законном основании и в
отношении которых обладателем таких
сведений введен режим коммерческой
тайны
1465 ГК РФ 183 УК РФ, 81 ТК РФ
Сведения об
сущности
изобретения,
полезной модели
или промышленного
образца до их
официальной
публикации
147 УК РФ, 7.12 КоАП 147 УК РФ, 7.12
КоАП, 81 ТК РФ
© Cisco, 2010. Все права защищены. 2258
Тайна Содержимое Нормативный акт Наказание за
разглашение
Тайна
предварительного
расследования
(следствия)
139 УПК РФ, ФЗ 2202-1 "О
прокуратуре РФ" 310 УК РФ, 81 ТК РФ
Тайна сведений о
мерах безопасности
в отношении судьи и
иных участников
уголовного процесса
311 УК РФ 311 УК РФ, 81 ТК РФ
Тайна сведений о
мерах безопасности
в отношении
должностного лица
правоохранительног
о или
контролирующего
органа
320 УК РФ, 17.13 КоАП 320 УК РФ, 17.13
КоАП, 81 ТК РФ
Тайна дневников и
личных записей
Сведения о частной жизни (личной и
семейной тайне), содержащиеся в
дневниках, блокнотах, записныъ книжках,
записках и т.п.
Присутствовало в
предыдущей версии ГК РФ 137 УК РФ, 81 ТК РФ
© Cisco, 2010. Все права защищены. 2358
Тайна Содержимое Нормативный акт Наказание за
разглашение
Тайна
вероисповедания
Сведения об отношении к религии, к
исповеданию или отказу от исповедания
религии, об участии или неучастии в
богослужениях, других религиозных
обрядах и церемониях, о деятельности в
религиозных объединениях, об обучении
религии
125-ФЗ "О свободе совести и
о религиозных
объединениях"
81 ТК РФ
Тайна сведений о
военнослужащих
внутренних войск
МВД
Сведения о местах дислокации или о
передислокации соединений и воинских
частей внутренних войск, а также
сведения о военнослужащих внутренних
войск, принимавших участие в пресечении
деятельности вооруженных преступников,
незаконных вооруженных формирований
и иных организованных преступных групп,
а также сведений о членах их семей
27-ФЗ "О внутренних
войсках МВД РФ" 81 ТК РФ
Тайна сведений
личного
характера, ставшие
известными
работникам
учреждений при
оказании
социальных услуг
122-ФЗ "О социальном
обслуживании граждан
пожилого возраста и
инвалидов"
81 ТК РФ
© Cisco, 2010. Все права защищены. 2458
Тайна Содержимое Нормативный акт Наказание за
разглашение
Тайна сведений о
потерпевших,
свидетелей и иных
участников
уголовного
судопроизводства
119-ФЗ "О государственной
защите потерпевших,
свидетелей и иных
участников уголовного
судопроизводства", Указ
Президента от 23.09.2005
№1111
81 ТК РФ
Производственная
тайна
Скорее всего совпадает с понятием
"секрет производства"
146-ФЗ "Налоговый кодекс
РФ" 81 ТК РФ
Тайна ценных бумаг
(она же служебная
информация)
Любая не являющаяся общедоступной
информация об эмитенте и выпущенных
им эмиссионных ценных бумагах, которая
ставит лиц, обладающих в силу своего
служебного положения, трудовых
обязанностей или договора, заключенного
с эмитентом, такой информацией, в
преимущественное положение по
сравнению с другими субъектами рынка
ценных бумаг
39-ФЗ "О рынке ценных
бумаг" 81 ТК РФ
© Cisco, 2010. Все права защищены. 2558
Тайна Содержимое Нормативный акт Наказание за
разглашение
Военная тайна
Некоторые юристы относят военную тайну
либо к государственной тайне, либо к
служебной тайне Вооруженных сил РФ
76-ФЗ "О статусе
военнослужащих", Устав
внутренней службы
Вооруженных Сил РФ
81 ТК РФ
Тайна сведений о
лицах, внедренных в
организованные
преступные группы,
штатных негласных
сотрудников
органов,осуществля
ющих оперативно-
розыскную
деятельность, а
также лицах,
оказывающих или
оказывавших им
содействие на
конфиденциальной
основе
144-ФЗ "Об оперативно-
розыскной деятельности" 81 ТК РФ
Тайна совещания
судей
Суждения, имевшие место при
обсуждении и постановлении приговора 298 УПК РФ 81 ТК РФ
© Cisco, 2010. Все права защищены. 2658
Тайна Содержимое Нормативный акт Наказание за
разглашение
Тайна совещания
присяжных
заседателей
Суждения, имевшие место во время
совещания 341 УПК РФ 81 ТК РФ
Дактилоскопическая
тайна
Информация об особенностях строения
папиллярных узоров пальцев рук
человека и о его личности (охраняется в
режиме служебной тайны)
128-ФЗ "О государственной
дактилоскопической
регистрации в РФ"
81 ТК РФ
Торговая тайна
352-ПП от 28.05.1992 "О
заключении
межправительственных
соглашений во избежании
двойного налогообложения
жоходов и имущества"
81 ТК РФ
Промышленная
тайна
352-ПП от 28.05.1992 "О
заключении
межправительственных
соглашений во избежании
двойного налогообложения
доходов и имущества"
81 ТК РФ
© Cisco, 2010. Все права защищены. 2758
Тайна Содержимое Нормативный акт Наказание за
разглашение
Секретный торговый
процесс
Соглашение между
Правительством РФ и
Правительством Республики
Беларусь об избежании
двойного налогообложения и
предотвращении уклонения
от уплаты налогов в
отношении налогов на
доходы и имущество
81 ТК РФ
Информация,
противоречащая
государственным
интересам
Соглашение между
Правительством РФ и
Правительством Республики
Узбекистан об избежании
двойного налогооблажения
доходов и имущества
81 ТК РФ
Информация,
раскрытие которой
противоречит
национальному
законодательству
Соглашение между
Правительством РФ и
Правительством Республики
Молдова об избежании
двойного налогооблажения
доходов и имущества и
предотвращении уклонения
от уплаты налогов
81 ТК РФ
© Cisco, 2010. Все права защищены. 2858
Тайна Содержимое Нормативный акт Наказание за
разглашение
Информация,
которую нельзя
получить в ходе
обычной
административной
практики
Конвенция между
Правительством РФ и
Правительством
Королевства Швеции об
избежании двойного
налогообложения в
отношении налогов на
доходы
81 ТК РФ
Конфиденциальная
информация
В зависимости от нормативного акта
может включать в себя государственную
тайну, противопоставляться ей, быть
самостоятельным видом тайны (наряду,
например, с банковской или
коммерческой тайной, а также тайной
связи), а также вообще не считаться
охраняемой законом
61-ФЗ "Таможенный Кодекс
РФ", 126-ФЗ "О связи", Указ
Президента от 6.03.1997
№188
81 ТК РФ
Депутатская тайна
3-ФЗ "О статусе депутата
Совета Федерации и статусе
депутата Государственной
Думы Федерального
Собрания РФ", 56 УПК РФ
81 ТК РФ
Тайна жилища Конституция РФ 139 УК РФ
© Cisco, 2010. Все права защищены. 2958
• Цена на запись
стоимость уведомления (создание списка пострадавших, печать, почтовые услуги) - $20 на одного клиента
стоимость реагирования пострадавших, например, звонки в Help Desk (опционально) - $20 на одного клиента
стоимость защитных мер у заказчиков, например, регулярные уведомления, системы борьбы с мошенничеством, средства ИБ (опционально)
• Дополнительные метрики
Отток клиентов (в течении 1, 3, 6, 12, n месяцев)
Удар по курсовой стоимости акций (в течении 1, 3, 6, 12, n месяцев)
Удар по доходам (в течении 1, 3, 6, 12, n дней или недель - в месяцах измерять нет смысла - рынок все забывает)
© Cisco, 2010. Все права защищены. 3058
• Первая версия опубликована в январе 2005; текущая версия - 2.0
• PCI DSS 2.0 станет обязательным с 1-го января 2012
• Влияет на ВСЕХ кто
Обрабатывает
Передает
Хранит: данные владельцев карт
• PCI – это не государственный стандарт. Это соглашение между платежной системой и ее участниками
Payment Card Industry
Data Security Standard
© Cisco, 2010. Все права защищены. 3158
$138
$182 $197 $202 $204
0
50
100
150
200
250
2005 2006 2007 2008 2009
© Cisco, 2010. Все права защищены. 3258
Цена несоответствия $9,368,351
Цена соответствия $3,529,570
$5,838,781
Разница
$0 $5,000,000 $10,000,000
Задача Цена
Политики $297,910
Взаимодействия $343,119
Управление программой $441,859
Защита данных $1,034,148
Мониторинг соответствия $636,542
Внедрение защитных мер $775,991
Всего $3,529,570
Тип инцидента Цена
Нарушения торговли $3,297,633
Потери продуктивности $2,437,795
Потери доходов $2,180,976
Штрафы $1,451,947
Всего $9,368,351
Таблица1: Средняя цена соответствия Таблица 2: Средняя цена несоответствия
Источник: The True Cost of Compliance, Ponemon, 2010
© Cisco, 2010. Все права защищены. 3358
• Каждая платежная система в каждом регионе имеет свои штрафы
• Пример
Штраф $25К-100К в месяц
Понижение на 1 уровень в иерархии
Банки-эквайеры штрафуются на $25К за каждого несоответствующего требованиям PCI DSS клиента
При несообщение об инциденте – штраф $100К (до $500К)
© Cisco, 2010. Все права защищены. 3458
• Все штаты США имеют собственные законы, обязывающие компании, ставшие жертвой утечек персональных данных своих клиентов, уведомлять последних об этих фактах
Стоимость уведомления одного клиента – от 20 долларов
• Чтобы уведомить, необходимо узнать об утечке
• Первая ласточка - California's Database Security Breach Notification Act (SB 1386) and General Security Standard for Businesses (AB 1950)
Почти все 52 штата США имеют соответствующее законодательство
В Европе готовится такое законодательство
• В России требований публичного уведомления об утечках нет!
© Cisco, 2010. Все права защищены. 3558
• Базель II (Международная конвергенция измерения капитала и стандартов капитала: новых подходы)
Принят в 2004-м году (первая версия – в 1988 г.)
• Ориентация на финансовые институты
• Базель II применяется в США, Евросоюзе, Канаде, Японии и Индии
• В России и некоторых других странах СНГ планировалось сделать эти требования обязательными в 2009-2010 гг.
Но вмешался кризис ;-(
© Cisco, 2010. Все права защищены. 3658
• Базель II предъявляет требования к минимальному размеру банковского капитала
Подход может применяться и к другим отраслям
• Необходимо оценивать кредитные, рыночные и операционные риски и резервировать капитал на их покрытие
Операционные риски появились только во второй версии соглашения
• Неэффективное управление операционными рисками приводит
К возрастанию операционных рисков
К большим финансовым резервам, «вырванным» из бизнеса
© Cisco, 2010. Все права защищены. 3758
1-ый уровень
событий
2-ой уровень
событий
3-ий уровень
событий
Внутреннее
мошенничество
Неразрешенная
деятельность
Неотраженные в отчетности
операции
Неразрешенные типы
операций
Воровство и
мошенничество
Умышленное уничтожение
активов
Присвоение чужих счетов
Воровство, хищения, грабеж
Внешнее
мошенничество
Воровство и
мошенничество
Воровство, грабеж
Подделка
Безопасность систем Хакерство
Кража информации
Кадровая политика и
безопасность труда
Взаимоотношения с
сотрудниками
Организация трудовой
деятельности
Вопросы оплаты труда
Безопасная среда Охрана здоровья
Компенсации сотрудникам
Дискриминация Все типы дискриминации
© Cisco, 2010. Все права защищены. 3858
1-ый уровень
событий
2-ой уровень
событий
3-ий уровень
событий
Клиенты, продукты и
деловая практика
Приемлемость,
раскрытие
Нарушения инструкций
Раскрытие информации
Злоупотребления
конф.информацией
Неправильная деловая
или рыночная практика
Деятельность без лицензии
Изъяны продуктов Дефекты продуктов
Ошибки конструкции
Выбор, спонсорство и
риски
Превышение лимитов риска
на одного клиента
Консалтинговые услуги Разногласия в оценках
результатов консалтинговых
услуг
Причинение ущерба
физическим активам
Катастрофы и прочие
события
Ущерб от природных
катастроф
Терроризм, вандализм
© Cisco, 2010. Все права защищены. 3958
• Ст.13.12. Нарушение правил защиты информации (КоАП)
п.1 – нарушение лицензионных условий (до 10К рублей)
п.2. – использование несертифицированных СЗИ, если они подлежат обязательной сертификации (до 20К рублей + конфискация)
п.3 – нарушение лицензионных условий по гостайне (до 20К рублей)
п.4. – использование несертифицированных СЗИ для гостайны (до 30К рублей + конфискация)
п.5 – грубое нарушение лицензионных условий (до 15К рублей + приостановление деятельности до 90 суток)
© Cisco, 2010. Все права защищены. 4058
Она имеет ценность
Имеет ценность для вас
Снижает неопределенность при принятии решений
Влияет на поведение людей, приводящее к экономическим
последствиям
Нематериальный актив (собственная стоимость)
Не имеет ценности для вас, но имеет для кого-то еще
Если ей воспользуются другие, то вы понесете
убытки или проиграете в конкурентной борьбе
Ее защита требуется государством / регулятором
Она не имеет ценности, но ее принято защищать
© Cisco, 2010. Все права защищены. 4158
ChoicePoint – Зима 2004/2005
• Кража отчета с 145,000 именами клиентов, номеров кредитных карт и т.д.
Воздействие на бизнес
• Администрация штата Нью-Йорка отказалась от контракта с ChoicePoint на сумму 800 миллионов долларов
Падение курса
акций
© Cisco, 2010. Все права защищены. 4258
43 © Cisco, 2010. Все права защищены.
© Cisco, 2010. Все права защищены. 4458
• Глобальная компания, мобильные сотрудники, большая экосистема сотрудников, партнеров, поставщиков, заказчиков
• Программа доступа с любого устройства
• Активная поддержка сред совместной работы - WebEx, корпоративные социальные сети – как внутренних, так и с доступом заказчиков/партнеров
• Cisco поддерживает облачные решения – SaaS, IaaS – как для внутреннего использования, так и общедоступные
• Постоянно растет популярность решений для мобильных устройств
• К чему это приводит?
Корпоративные данные
в закрытой корпоративной
ИТ-инфраструктуре
Корпоративные данные повсюду
(неконтролируемые устройства/
облако)
© Cisco, 2010. Все права защищены. 4558
© Cisco, 2010. Все права защищены. 4658
Критерии:
• Данные уровня не ниже Highly Confidential
• Поддержка критически важных бизнес-
процессов
• Данные, регламентируемые нормативными
требованиями
• Данные для аутентификации/авторизации
пользователей
© Cisco, 2010. Все права защищены. 4758
• Средства управления безопасностью в среде Crown-Jewel
• Аутентификация и авторизация пользователей и приложений/операций доступа к хостам
• Целостность DBlink и жизненного цикла приложений
• Аудит и журналирование доступа
• Поддержка актуальности версий СУБД и патчей в сфере безопасности
• Формализованный и контролируемый доступ в рамках защищенного сегмента сети
• Принятые стандарты повышения уровня защищенности СУБД и операционных систем
• Повышение управляемости и расширение возможностей мониторинга партнерского доступа к экстранету
• Умышленное искажение или маскирование данных при репликации в тестовых целях
• Шифрование данных
© Cisco, 2010. Все права защищены. 4858
ACL
Доку-
менты
Cisco
Прил.
B
Прил.
C
Шлюз
Фильтрация
по URL
“All or Nothing”
Ineffective with portlets
Пользователь
экстранета
ACL
Доку-
менты
Cisco
Прил.
B
Прил.
C
Шлюз
“All or Nothing”
Пользователь
экстранета
Анализ
данных
Фильтрация
по URL
Работа на основе
доверия с проверкой
Работа на
основе доверия
По мере увеличения количества партнеров, пользующихся экстранетом,
и расширения способов доступа к экстранету анализ данных становится
критически важным механизмом поддержания требуемого уровня
защищенности ИТ-инфраструктуры
© Cisco, 2010. Все права защищены. 4958
Приложение Приложение
ДМЗ
Внешний
пользователь
Оператор
системы
хранения
Внутренний
пользователь
Ключи
шифрования
Внутренняя
сеть
Метаданные
приложений
• Данные в облаке
всегда зашифрованы
• Ключи шифрования
защищены и
хранятся в
собственной ИТ-
инфраструктуре
организации
• Оптимизация
производительности
Интернет
© Cisco, 2010. Все права защищены. 5058
• Классификация данных
• Вертикализация
• Бумажная безопасность
• Спектр каналов утечки
• Нефайловые и нетекстовые источники
• Умышленные утечки
• Туманная облачность
• Мобилизация
• Синхронизация
• Интеграция
© Cisco, 2010. Все права защищены. 5158
Источник: статья IBM “Data-Centric Security”, декабрь 2006 г.
• Сопоставление бизнес-стратегии и стратегии обеспечения ИБ на основании общего множества данных
• Переход от защиты сети и хостов к защите данных при использовании, передаче и хранении
• Оценка значимости данных, последующее применение мер обеспечения ИБ в рамках их жизненного цикла
• Решения на основе данных Владение
Классификация
Управление/защита определяются классом данных
© Cisco, 2010. Все права защищены. 5258
1. Определение важных данных
Базы данных, системы хранения, каналы связи, оконечные устройства
2. Установка политики защиты данных
Укрепление политики безопасности данных для предотвращения случайной и намеренной утечки данных
3. Безопасное подключение
Устранение точек несанкционированного доступа, шифрование удаленных подключений, контроль беспроводного доступа
4. Управление доступом
Ограничение доступа к важным сетям, базам данных и файлам
5. Контроль утечек (DLP)
Контроль важных данных в местах повышенного риска, проверка содержимого на основе политик, допустимое использование, шифрование
Для защиты от потерь и краж конфиденциальных данных необходима многоуровневая
платформа безопасности
Контроль
утечек
(DLP)
Управление
доступом
Безопасные
подключения
Самозащищающаяся сеть
53 © Cisco, 2010. Все права защищены.
© Cisco, 2010. Все права защищены. 5458
© Cisco, 2010. Все права защищены. 5558
Инцидент
Требования
законов
Бизнес-
требования Обоснование
Принятие
решения
Оценка
эффективности Угрозы
Изменение
технологий
На этом
«водоразделе»
многие завершают
всю работу
Реализация
проекта ИБ
Наиболее вероятный путь
Наименее вероятный путь
© Cisco, 2010. Все права защищены. 5658
PERFORMANCEASSESMENT
CONTACTINGVENDORS
FORMALREVIEW
SELECTINGPOTENTIALVENDORS
EVALUATING
RECOMMENDINGVENDOR
APPROVINGPURCHASE
MANAGINGPURCHASE
INITIATINGEVALUATION
IDENTIFYISSUES
DECIDING WHOINVOLVED
CXO
CIO/CISO
ИТ/ИБ-менеджер
LOB Менеджер
Другие
© Cisco, 2010. Все права защищены. 5758
http://www.facebook.com/CiscoRu
http://twitter.com/CiscoRussia
http://www.youtube.com/CiscoRussiaMedia
http://www.flickr.com/photos/CiscoRussia
http://vkontakte.ru/Cisco