• Like
  • Save
Oracle security mineev_ru
Upcoming SlideShare
Loading in...5
×
 

Oracle security mineev_ru

on

  • 634 views

Ежегодная конференция IT UP (Сентябрь_Новосибирск)...

Ежегодная конференция IT UP (Сентябрь_Новосибирск)

предоставить бизнес-потребителям и представителям ИТ-компаний (вендоры, дистрибьюторы, интеграторы) независимую площадку для обсуждения актуальных решений для ИТ-структур в организациях.

http://askbda.ru/results/it/159-iii-ezhegodnaya-regionalnaya-konferenciya-sovremennye-it-resheniya-dlya-kompanij-yeffektivnost-logichnost-i-bezopasnost.html

Statistics

Views

Total Views
634
Views on SlideShare
634
Embed Views
0

Actions

Likes
0
Downloads
1
Comments
0

0 Embeds 0

No embeds

Accessibility

Categories

Upload Details

Uploaded via as Adobe PDF

Usage Rights

© All Rights Reserved

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Processing…
Post Comment
Edit your comment

    Oracle security mineev_ru Oracle security mineev_ru Presentation Transcript

    • <Insert Picture Here>Обеспечения защиты ПДн и другой информации спомощью сертифицированных решений OracleИгорь Минеев, ведущий консультант Oracle Росиия
    • План презентации • Вопросы информационной безопасности и эволюция законотворчества в нашей стране • Соответствие требованиям с помощью решений Oracle • Порядок выбора и построения решения • Защита информации и автоматизация бизнесс-процессов • Что изменится с внедрением информационной безопасности от Oracle с технологической и экономической точки зрения2
    • Общие проблемы: управление рисками IT-безопасности• Возрастающие объем данных и угрозы их компрометации• Фрагментированные политики безопасности • «Сиротские» учетные записи • Отставание обновлений политик • Отсутствие агрегированного аудита и отчетности• Предрасположенные к ошибкам неавтоматизированные заявки на доступ• Организационные и ролевые изменения требуют отражения в IT-привилегиях• Изощренные интеллектуальные атаки • Эволюция преступных намерений3
    • Общие проблемы: операционная эффективность• Стоимость администрирования • Управление доступом десятков тысяч пользователей • Лавина обращения в службу поддержки • Ручное создание учетных записей для новых сотрудников • Ручная проверка данных аудита и построение консолидированных отчетов• Продуктивность пользователей • Долгое получение доступа к запрошенным системам • Забытые пароли• Продуктивность IT • Разработчики повторно разрабатывают политики безопасности для каждого приложения4
    • Эволюция законотворчества в нашей стране• От требований для госструктур и тех, кто обеспечивает госзаказ (например, ДСП-приказ Гостехкомиссии России от 30.08.2002 г. № 282 «Специальные требования и рекомендации по технической защите конфиденциальной информации [СТР-К]» к требованиям для всех (например, Федеральный закон РФ от 27.07.2006 г. № 152-ФЗ «О персональных данных») http://www.fstec.ru/_docs/_perech1.htm http://www.rg.ru/gazeta/2006/07/29.html• От общих рассуждений (например, Федеральный закон РФ от 27 июля 2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации») к конкретным рекомендациям (например, Приказ ФСТЭК России от 5.02.2010 г. № 58 «Положения о методах и способах защиты информации в информационных системах персональных данных» и Комплекс документов в области стандартизации Банка России «Обеспечение информационной безопасности организаций банковской системы Российской Федерации» от 21.06.2010 г.) http://www.rg.ru/gazeta/2010/03/05.html http://abiss.ru/news/337/5
    • Наиболее комплексный индустриальный набор документов в области безопасности,6
    • отвечающий современным тенденциям в области IT, • Преобразование модели вычислений • Распределенные (облачные) и SaaS • Services-based Application Architecture • Повышенное внимание к Extranet • Подтверждение идентификации и предотвращение краж • Масштабирование и производительность • Консолидация инфраструктуры • Облегчение администрирования и оперативного управления • Упрощение интеграции за счет использования стандартов7
    • масштабам крупных государственных проектов, например, «Соцкарта» Контур обеспечения информационной ЕГИС СУ и УСК безопасности и защиты персональных данных Национальная ПФР Оператор системы электронная платежнаяФедеральный уровень • ИС ПФР Контур обеспечения оказания социальных Контур информационно-технологического услуг гражданам обеспечения процессов оформления, система • Федеральный регистр информации о Российской Федерации изготовления и выдачи Социальной карты выданных УСК Оператор Подсистема ведения НЭПС Федеральный реестр государственных социальных услуг Федеральный Федеральный Подсистема меж- Федеральный портал социальных услуг в сети Интернет взаимодействия ведомственного справочной и Внешние информацион- регистр социальных удостоверяющий нормативно-правовой ные ресурсы: карт центр информации • ЕИС ОМС Подсистема учета, • ЕИС Соцстрах Федеральный центр Федеральный центр планирования и управления обработки • ИС ОАО "РЖД" контроля оказания выпуском УСК транзакций социальных услуг • ИС ФОИВ Внешние информацион- Уполномоченная организация ные ресурсы: БАНК(И) Подсистема межведомственного НЭПС • ИС РОИВ Подсистема учета, • ИС ПФР планирования и Региональный Региональный АБС контроля социальных регистр социальных удостоверяющий взаимодействия • ИС ТФОМС услуг регионального карт центр • ЕИС Соцстрах уровня • ИС СоцзащитыРегиональный уровень Финансовые • ИС ОАО "РЖД" процессин- • ИС служб ЗАГС Региональ- Подсистема говые Распределенная база Региональ- центры ный центр управления • ИС страховых компаний данных о правах ный центр выпуска и точками граждан на получение обработки • ИС транспортных персонали- обслужива- социальных услуг транзакций предприятий и др. зации УСК ния Внешние информацион- ные ресурсы: Контур программно-технического и • ИС гос. учреждений телекоммуникационного обеспечения АРМ пунктов Банковские • ИС ЛПУ Компонент приема заявлений и взаимодействия с точки • ИС торгово-сервисных и Контур обеспечения обслужива- выдачи УСК УСК в точках транспортных обслуживания ния УСК пользователей УСК обслуживания предприятий 8 • ИС аптечных сетей и др.
    • и задачам крупных организаций Решения в областибезопасности Thick Client Browser VPN Mobile Portal Бизнес- ERP SCM CRM Custom приложения Сервисы уровня Content Info Rights Analytics Collab Mgmt Mgmt & Reporting контента Интеграционные SOA BPM ESB Workflow сервисы Сервисы уровня RDBMS XML LDAP Unstructured данных Инфраструктурные Hardware Software Storage Virtualization Сервисы9
    • Соответствие требованиям с помощью решений Oracle10
    • Когда надо вспомнить про Oracle при построении СЗПДн1. Определить ответственное 6. Выделить и классифицировать структурное подразделение или ИСПДн должностное лицо 7. Разработать модель угроз для2. Определить состав обрабатываемых ИСПДн ПДн, цели и условия обработки, срок 8. Спроектировать и реализовать хранения СЗПДн3. Получить (письменное) согласие 9. Провести аттестацию ИСПДн по субъекта на обработку его ПДн требованиям безопасности или4. Определить порядок реагирования на продекларировать соответствие запросы со стороны субъектов ПДн 10. Определить перечень мер по5. Определить необходимость защите ПДн, обрабатываемых уведомления уполномоченного органа без использования средств по защите ПДн о начале обработки автоматизации ПДн. Если необходимость есть, то 11. Выполнять постоянный контроль составить и отправить уведомление над обеспечением уровня http://leta.ru/library/methodological/ защищенности ПДн 11
    • Концепция IT-безопасности и определение конфиденциальности «Критичные данные должны (классификация) быть доступны только уполномоченным лицам (управление IT-привилегиями) только тем способом, который разрешён (аудит) политикой безопасности и только с помощью средств (управление доступом) определенных политикой -> единая стратегия безопасности»12
    • Обеспечение безопасности персональных данных достигается (из статьи 19 ФЗ РФ №261)2) применением организационных и технических мер по обеспечению безопасности персональных данных3) применением прошедших в установленном порядке процедуру оценки соответствия средств защиты информации;6) обнаружением фактов несанкционированного доступа к персональным данным и принятием мер;8) установлением правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечением регистрации и учета всех действий, совершаемых с персональными данными в информационной системе персональных данных;13 http://rg.ru/printable/2011/07/27/dannye-dok.html
    • Защита информации и автоматизация процессов• Защита контента • Управление привилегиями • Управление доступом 14 http://www.oracle.com/technetwork/ru/middleware/id-management/index.html
    • Устраняем преграды... • Сертификация ФСТЭКомРазные модели угроз наших решений • Oracle DB + Oracle DB Vault • Oracle IAMS • Oracle ESSO • Oracle IRM • Локализация • Региональный маркетинг • Партнеры 15 http://security-orcl.blogspot.com/
    • Что изменится с внедрением ИБ от Oracle Технологии• Биллинг/АБС, ERP, Система документооборота • автоматизированное изменение и исторический контроль привилегий, заявки, согласования, выявление «сиротских» учетных записей, контроль неизбыточности полномочий • SSO, авторизация и аудит обращений пользователей • Защита СУБД от привилегированных пользователей • Защита информации при ее перемещении и хранении• Биллинг/HRMS/ServiceDesk • еще и виртуальный профиль пользователя/справочник• Интернет-приложения • анализ поведения пользователей, средства учета и снижения рисков операций16
    • Что изменится с внедрением ИБ от Oracle Возврат инвестиций• Снижение рисков • DLP, Compliance, выявление мошеннических действий• Формализация и ускорение бизнес-процессов • Назначения, изменения, отзыва IT-привилегий • Подготовки отчетности • Подключения новых систем• Снижение нагрузки на help-desk • Консолидированные данные, самообслуживание• Косвенные факторы • Повышение качества обслуживания (возможность SLA) • Оптимизация ролевой модели и пула лицензий17
    • Oracle IRM: Защита отчуждаемой информации Oracle IRM Server«Запечатывание» документов и электронных сообщений • Все документы, все копии в любом месте • Включая копии документов и электронных писем, которые покинули организацию!Централизованное управление правами доступа к документам и аудит их использования(сервером Oracle IRM) • Агент на рабочих станциях поддерживает политики доступа (встраивается в приложения) • Даже в случае использования offline-режима, когда сервер Oracle IRM недоступен (с помощью автоматической синхронизации) 18
    • Вопросы 123317, Россия, Москва, Пресненская набережная, 10 Башня на Набережной, Блок С (+7495) 6411400 Igor.Mineev@Oracle.Com19