oracle security mineev_ru
TRANSCRIPT
<Insert Picture Here>
Обеспечения защиты ПДн и другой информации с
помощью сертифицированных решений Oracle
Игорь Минеев, ведущий консультант Oracle Росиия
План презентации
• Вопросы информационной
безопасности и эволюция
законотворчества в нашей стране
• Соответствие требованиям
с помощью решений Oracle
2
• Порядок выбора и построения решения
• Защита информации и автоматизация
бизнесс-процессов
• Что изменится с внедрением информационной
безопасности от Oracle с технологической и
экономической точки зрения
Общие проблемы: управление
рисками IT-безопасности
• Возрастающие объем данных и угрозы их
компрометации
• Фрагментированные политики безопасности
• «Сиротские» учетные записи
• Отставание обновлений политик
• Отсутствие агрегированного аудита и отчетности
3
• Отсутствие агрегированного аудита и отчетности
• Предрасположенные к ошибкам неавтоматизированные заявки
на доступ
• Организационные и ролевые изменения требуют отражения
в IT-привилегиях
• Изощренные интеллектуальные атаки
• Эволюция преступных намерений
Общие проблемы: операционная
эффективность
• Стоимость администрирования
• Управление доступом десятков тысяч пользователей
• Лавина обращения в службу поддержки
• Ручное создание учетных записей для новых сотрудников
• Ручная проверка данных аудита и построение
4
• Ручная проверка данных аудита и построение консолидированных отчетов
• Продуктивность пользователей
• Долгое получение доступа к запрошенным системам
• Забытые пароли
• Продуктивность IT
• Разработчики повторно разрабатывают политики безопасности для каждого приложения
Эволюция законотворчества
в нашей стране
• От требований для госструктур и тех, кто обеспечивает
госзаказ (например, ДСП-приказ Гостехкомиссии России
от 30.08.2002 г. № 282 «Специальные требования
и рекомендации по технической защите конфиденциальной информации
[СТР-К]» к требованиям для всех (например, Федеральный закон РФ от
27.07.2006 г. № 152-ФЗ «О персональных данных»)
http://www.rg.ru/gazeta/2006/07/29.htmlhttp://www.fstec.ru/_docs/_perech1.htm
5
• От общих рассуждений (например, Федеральный закон РФ от 27 июля
2006 г. № 149-ФЗ «Об информации, информационных технологиях и о
защите информации») к конкретным рекомендациям (например, Приказ
ФСТЭК России от 5.02.2010 г. № 58 «Положения о методах и способах
защиты информации в информационных системах персональных данных»
и Комплекс документов в области стандартизации Банка России
«Обеспечение информационной безопасности организаций банковской
системы Российской Федерации» от 21.06.2010 г.)
http://abiss.ru/news/337/http://www.rg.ru/gazeta/2010/03/05.html
Наиболее комплексный индустриальный
набор документов в области безопасности,
6
>отвечающий современным
тенденциям в области IT,>
• Преобразование модели вычислений
• Распределенные (облачные) и SaaS
• Services-based Application Architecture
• Повышенное внимание к Extranet
• Подтверждение идентификации и предотвращение краж
7
• Подтверждение идентификации и предотвращение краж
• Масштабирование и производительность
• Консолидация инфраструктуры
• Облегчение администрирования и оперативного управления
• Упрощение интеграции за счет использования стандартов
• ИС ПФР
• Федеральный регистр информации о выданных УСК
ПФР
• ЕИС ОМС
• ЕИС Соцстрах
• ИС ОАО "РЖД"
• ИС ФОИВ
Внешние информацион-ные ресурсы:
Внешние информацион-
>масштабам крупных государственных
проектов, например, «Соцкарта»>ЕГИС СУ и УСК
Национальная электронная платежная
система
Оператор НЭПС
По
дси
сте
ма
ме
ж-
ве
до
мств
енно
говза
им
од
ей
ств
ия
Контур обеспечения оказания социальных услуг гражданам
Российской Федерации
Контур информационно-технологического обеспечения процессов оформления,
изготовления и выдачи Социальной карты
Фе
де
ра
ль
ны
й у
ро
ве
нь
Фе
де
ра
льны
й п
ор
тал
со
ци
ал
ьны
х у
сл
уг
в с
ети
Инте
рне
т Федеральный регистр социальных
карт
Федеральный удостоверяющий
центр
Федеральный центр управления
выпуском УСК
Федеральный центр обработки транзакций
Подсистема ведения справочной и
нормативно-правовой информации
Подсистема учета, планирования и
контроля оказания социальных услуг
Фе
де
ра
льны
й р
ее
стр
го
суд
ар
ств
енны
х с
оц
иа
льны
х у
сл
уг
Контур обеспечения информационнойбезопасности и защиты персональных данных
Оператор системы
8
• ИС РОИВ
• ИС ПФР
• ИС ТФОМС
• ЕИС Соцстрах
• ИС Соцзащиты
• ИС ОАО "РЖД"
• ИС служб ЗАГС
• ИС страховых компаний
• ИС транспортных предприятий и др.
Внешние информацион-ные ресурсы:
• ИС гос. учреждений
• ИС ЛПУ
• ИС торгово-сервисных и транспортных предприятий
• ИС аптечных сетей и др.
Внешние информацион-ные ресурсы:
БАНК(И) НЭПС
АБС
Финансовые процессин-
говыецентры
Банковские точки
обслужива-ния УСК
Региональный регистр социальных
карт
Региональный удостоверяющий
центр
Подсистема учета, планирования и
контроля социальных услуг регионального
уровня
Распределенная база данных о правах
граждан на получение социальных услуг
Региональ-ный центр выпуска и
персонали-зации УСК
Региональ-ный центр обработки транзакций
Подсистема управления
точками обслужива-
ния
АРМ пунктов приема заявлений и
выдачи УСК
Компонент взаимодействия с
УСК в точках обслуживания
Ре
гио
на
ль
ны
й у
ро
ве
нь
Фе
де
ра
льны
й п
ор
тал
со
ци
ал
ьны
х у
сл
уг
в с
ети
Инте
рне
т
Уполномоченная организация
По
дси
сте
ма
ме
жве
до
мств
енно
го
вза
им
од
ей
ств
ия
Фе
де
ра
льны
й р
ее
стр
го
суд
ар
ств
енны
х с
оц
иа
льны
х у
сл
уг
Контур программно-технического и телекоммуникационного обеспечения
Контур обеспечения обслуживания
пользователей УСК
>и задачам крупных организаций
Thick Client Browser VPN Mobile Portal
ERPБизнес-
приложенияSCM CRM Custom
ContentСервисы уровня Info Rights Analytics Collab
Решения в области
безопасности
9
ContentMgmt
Сервисы уровня
контента
Info RightsMgmt
Analytics& Reporting
Collab
SOAИнтеграционныесервисы
BPM ESB
RDBMSСервисы уровняданных
XML
HardwareИнфраструктурные
СервисыSoftware Storage Virtualization
LDAP Unstructured
Workflow
Соответствие требованиям
с помощью решений Oracle
10
с помощью решений Oracle
Когда надо вспомнить про Oracle при
построении СЗПДн
1. Определить ответственное
структурное подразделение или
должностное лицо
2. Определить состав обрабатываемых
ПДн, цели и условия обработки, срок
хранения
3. Получить (письменное) согласие
6. Выделить и классифицировать
ИСПДн
7. Разработать модель угроз для
ИСПДн
8. Спроектировать и реализовать
СЗПДн
9. Провести аттестацию ИСПДн по
11
3. Получить (письменное) согласие
субъекта на обработку его ПДн
4. Определить порядок реагирования на
запросы со стороны субъектов ПДн
5. Определить необходимость
уведомления уполномоченного органа
по защите ПДн о начале обработки
ПДн. Если необходимость есть, то
составить и отправить уведомление
9. Провести аттестацию ИСПДн по
требованиям безопасности или
продекларировать соответствие
10.Определить перечень мер по
защите ПДн, обрабатываемых
без использования средств
автоматизации
11.Выполнять постоянный контроль
над обеспечением уровня
защищенности ПДнhttp://leta.ru/library/methodological/
«Критичные данные должны
быть доступны только
уполномоченным лицам
только тем способом,
Концепция IT-безопасности и определение
конфиденциальности
(классификация)
(управление IT-привилегиями)
12
который разрешён
политикой безопасности и
только с помощью средств
определенных политикой
безопасности»
(управление доступом)
(аудит)
-> единая стратегия
Обеспечение безопасности персональных
данных достигается> (из статьи 19 ФЗ РФ №261)
2) применением организационных и технических мер по
обеспечению безопасности персональных данных
3) применением прошедших в установленном порядке процедуру
оценки соответствия средств защиты информации;
6) обнаружением фактов несанкционированного доступа к
персональным данным и принятием мер;
13
персональным данным и принятием мер;
8) установлением правил доступа к персональным данным,
обрабатываемым в информационной системе персональных
данных, а также обеспечением регистрации и учета всех
действий, совершаемых с персональными данными в
информационной системе персональных данных;
http://rg.ru/printable/2011/07/27/dannye-dok.html
Защита информации и автоматизация процессов
14
• Защита контента • Управление привилегиями • Управление доступом
http://www.oracle.com/technetwork/ru/middleware/id-management/index.html
Устраняем
преграды...
Ра
зн
ые м
од
ел
и
угр
оз
• Сертификация
ФСТЭКом
наших решений
• Oracle DB +
Oracle DB Vault
• Oracle IAMS
15
Ра
зн
ые м
од
ел
и
угр
оз
http://security-orcl.blogspot.com/
• Oracle IAMS
• Oracle ESSO
• Oracle IRM
• Локализация
• Региональный
маркетинг
• Партнеры
Что изменится с внедрением ИБ от Oracle Технологии
• Биллинг/АБС, ERP, Система документооборота
• автоматизированное изменение и исторический контроль
привилегий, заявки, согласования, выявление «сиротских»
учетных записей, контроль неизбыточности полномочий
• SSO, авторизация и аудит обращений пользователей
• Защита СУБД от привилегированных пользователей
16
• Защита СУБД от привилегированных пользователей
• Защита информации при ее перемещении и хранении
• Биллинг/HRMS/ServiceDesk
• еще и виртуальный профиль пользователя/справочник
• Интернет-приложения
• анализ поведения пользователей, средства учета и снижения
рисков операций
Что изменится с внедрением ИБ от Oracle Возврат инвестиций
• Снижение рисков
• DLP, Compliance, выявление мошеннических действий
• Формализация и ускорение бизнес-процессов
• Назначения, изменения, отзыва IT-привилегий
• Подготовки отчетности
17
• Подключения новых систем
• Снижение нагрузки на help-desk
• Консолидированные данные, самообслуживание
• Косвенные факторы
• Повышение качества обслуживания (возможность SLA)
• Оптимизация ролевой модели и пула лицензий
Oracle IRM: Защита отчуждаемой информации
18
Oracle IRM Server
�«Запечатывание» документов и электронных сообщений
• Все документы, все копии в любом месте
• Включая копии документов и электронных писем, которые покинули организацию!
�Централизованное управление правами доступа к документам и аудит их использования
(сервером Oracle IRM)
• Агент на рабочих станциях поддерживает политики доступа (встраивается в
приложения)
• Даже в случае использования offline-режима, когда сервер Oracle IRM недоступен (с
помощью автоматической синхронизации)
Вопросы
19
123317, Россия, Москва, Пресненская набережная, 10
Башня на Набережной, Блок С
(+7495) 6411400 [email protected]