Data Centric Security Strategy

  • 5,334 views
Uploaded on

 

More in: Self Improvement
  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Be the first to comment
    Be the first to like this
No Downloads

Views

Total Views
5,334
On Slideshare
0
From Embeds
0
Number of Embeds
6

Actions

Shares
Downloads
39
Comments
0
Likes
0

Embeds 0

No embeds

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
    No notes for slide

Transcript

  • 1. Использование решений Cisco вИТ-инфраструктуре Cisco:стратегия обеспечениябезопасности, ориентированнаяна защиту данных COCSEC-2985 © 2011 Cisco and/or its affiliates. All rights reserved. Cisco Public 1
  • 2. План презентации Причины разработки стратегии ИБ, ориентированной на защиту данных: • Отраслевые тенденции • Особенности Cisco Изменения стратегий ИБ: план Cisco Система обеспечения ИБ, ориентированная на защиту данных, в Cisco • Политика • Обучение • Архитектура • Методики РезюмеCOCSEC-2985 © 2011 Cisco and/or its affiliates. All rights reserved. Cisco Public 2
  • 3. Отраслевые тенденции Исследование Cisco – «Connected World Report» 59% сотрудников хотят использовать для работы личные устройства 7 млрд новых беспроводных устройствах к 2015 году, 22 млрд к 2020 году [данные IDC] 40% организаций планируют использовать облачные сервисы Оценки роста объема данных 35 Зеттабайт к 2020 годуДанные присутствуютповсюду– на устройствахсотрудников, вкорпоративной сетии в облакеИсточник: Cisco Connected World Report 2010, статья в журнале Economist: Leaky CorporationCOCSEC-2985 © 2011 Cisco and/or its affiliates. All rights reserved. Cisco Public 3
  • 4. Утечки/утери данныхИнформацию в цифровом виде просто хранить.Но ее также легко потерять или украсть! Datalossdb.org Нарушения безопасности персональных данных Секретные проекты, финансовые данные и т. п... Wikileaks Организациям необходимо принять 2 решения: что действительно необходимо защищать и как обеспечить оптимальную защиту ценных ресурсовCOCSEC-2985 © 2011 Cisco and/or its affiliates. All rights reserved. Cisco Public 4
  • 5. Особенности Cisco Глобальная компания, мобильные сотрудники, большая экосистема сотрудников, партнеров, поставщиков, заказчиков Программа доступа с любого устройства запущена в 2009 году Активная поддержка сред совместной работы - WebEx, корпоративные социальные сети – как внутренних, так и с доступом заказчиков/партнеров Cisco поддерживает облачные решения – SaaS, IaaS – как для внутреннего использования, так и общедоступные Постоянно растет популярность решений для мобильных устройствК чему это приводит?Корпоративные данные Корпоративные данные повсюдув закрытой корпоративной (неконтролируемые устройства/ИТ-инфраструктуре облако)COCSEC-2985 © 2011 Cisco and/or its affiliates. All rights reserved. Cisco Public 5
  • 6. Принятые в Cisco методики защиты информации: реализация концепция многоуровневой защиты Совместная работа/виртуализация Информация ЭТАП 4 Приложения и СУБД Защита приложенийРиски Мобильность и доступ ЭТАП 3 Защита оконечных устройств Приоритет: ЦОД ЭТАП 2 Защита периметра ЭТАП 1 1980 1990 2000 2010 Время COCSEC-2985 © 2011 Cisco and/or its affiliates. All rights reserved. Cisco Public 6
  • 7. Направления развития 2010 2013 Управляемая Доверенное устройство,(Windows, Blackberry) Платформа PlatformV, ContentV Различные средства Встроенные средства + Оконечные устр-ва Anyconnect + MDM Сертификаты устройств, Аутентификация Сущности, политика TrustSec, федерация, пользователей учет контекстаОконечные устройства, инфраструктура, Сервисы ИБ Сеть, облако приложения (IPS, WSA, WAF, Scansafe, DLP, VSG) COCSEC-2985 © 2011 Cisco and/or its affiliates. All rights reserved. Cisco Public 7
  • 8. Модель безопасности, ориентированная на защиту данных (DCSM) Сопоставление бизнес-стратегии и стратегии обеспечения ИБ на основании общего множества данных Переход от защиты сети и хостов к защите данных при использовании, передаче и хранении Оценка значимости данных, последующее применение мер обеспечения ИБ в рамках их жизненного цикла Решения на основе данных Владение Классификация Управление/защита определяются классом данных Источник: статья IBM “Data-Centric Security”, декабрь 2006 г. COCSEC-2985 © 2011 Cisco and/or its affiliates. All rights reserved. Cisco Public 8
  • 9. Реализация стратегии обеспечения ИБ,ориентированной на защиту данныхДанный подход необходимо внедрить вмасштабах всей организации: Политики и стандарты Обучение и информированность пользователей Архитектура МетодикиCOCSEC-2985 © 2011 Cisco and/or its affiliates. All rights reserved. Cisco Public 9
  • 10. Политики и стандарты,ориентированные на защиту данныхПринятие решения на основе данных – идентификация,классификация, проверка Идентификация владельца данных Классификация данных в соответствии с уровнем конфиденциальности Проверка существования средств управления/защиты в соответствии с результатами классификации КлассификацияНоситель Управление/защитаCOCSEC-2985 © 2011 Cisco and/or its affiliates. All rights reserved. Cisco Public 10
  • 11. Стандарты, ориентированные на защиту данных: примерыКатегория Cisco Confidential Cisco Highly Cisco Restricted ConfidentialПримеры: Большая часть Сведения о Сведения о сделках, документов компании безопасности, ПДн медицинские данные, финансовые сведенияКонтроль доступа и Доступны сотрудникам Доступны Доступ ограничен явнораспространение: Cisco, кроме того, доступ ограниченному кругу перечисленным кругомлюбой носитель может предоставляться сотрудников Cisco, лиц; доступ предоставляет посторонним лицам, для доступ может по решению владельца решения легитимной предоставляться данных бизнес-задачи посторонним лицам, для решения легитимной бизнес-задачи; доступ предоставляет по решению владельца данныхСпособ передачи: Шифрование Шифрование Шифрование обязательноэлектронная почта рекомендуется при обязательно при при любой передаче передаче документов и передаче документов и данных; средства: WinZip сообщений электронной сообщений электронной или CRES почты по открытым почты по открытым сетям общего сетям общего пользования; средства: пользования; средства: WinZip или CRES WinZip или CRESХранение: носитель Нет требований Шифрование данных Шифрование данных(DVD, USB- рекомендуется обязательнонакопитель) COCSEC-2985 © 2011 Cisco and/or its affiliates. All rights reserved. Cisco Public 11
  • 12. Обучение и информированность пользователейОбеспечение безопасности – обязанность всех сотрудников CiscoПример: серия видеороликов Genoodle Повышение информированности и вовлечение сотрудников путем активного и поощряемого участия в проекте Использование платформ социальных сетей и мультимедийных средств Разрушения языковых и культурных барьеров с помощью кукол Демонстрация решений Cisco COCSEC-2985 © 2011 Cisco and/or its affiliates. All rights reserved. Cisco Public 12
  • 13. Архитектуры,ориентированные на защитуданных: опыт CiscoCOCSEC-2985 © 2011 Cisco and/or its affiliates. All rights reserved. Cisco Public 13
  • 14. Архитектура, ориентированная назащиту данных: пример № 1Репозиторий данных Crown-Jewel Критерии: • Данные уровня не ниже Highly Confidential • Поддержка критически важных бизнес- процессов • Данные, регламентируемые нормативными требованиями • Данные для аутентификации/авторизации пользователейCOCSEC-2985 © 2011 Cisco and/or its affiliates. All rights reserved. Cisco Public 14
  • 15. Архитектура, ориентированная на защитуданных: пример № 1Репозиторий данных Crown-Jewel (продолжение) Средства управления безопасностью в среде Crown-Jewel  Аутентификация и авторизация пользователей и приложений/операций доступа к хостам  Целостность DBlink и жизненного цикла приложений  Аудит и журналирование доступа  Поддержка актуальности версий СУБД и патчей в сфере безопасности  Формализованный и контролируемый доступ в рамках защищенного сегмента сети  Принятые стандарты повышения уровня защищенности СУБД и операционных систем  Повышение управляемости и расширение возможностей мониторинга партнерского доступа к экстранету  Умышленное искажение или маскирование данных при репликации в тестовых целях  Шифрование данных COCSEC-2985 © 2011 Cisco and/or its affiliates. All rights reserved. Cisco Public 15
  • 16. Архитектура, ориентированная на защиту данных: пример № 2 Анализ данных “All or Nothing” “All or Nothing” Доку- Доку- менты ментыПользователь Cisco Пользователь Cisco Шлюз Шлюз экстранета экстранета Прил. ACL Прил. ACL Фильтрация B по URL B Фильтрация Анализ по URL данных Прил. Прил. C C Ineffective with portlets Работа на Работа на основе основе доверия доверия с проверкой По мере увеличения количества партнеров, пользующихся экстранетом, и расширения способов доступа к экстранету анализ данных становится критически важным механизмом поддержания требуемого уровня защищенности ИТ-инфраструктуры COCSEC-2985 © 2011 Cisco and/or its affiliates. All rights reserved. Cisco Public 16
  • 17. Архитектура, ориентированная назащиту данных: пример № 3Облачная система хранения данных Интернет ДМЗ Внутренняя сеть Внешний пользователь Приложение Приложение • Данные в облаке всегда зашифрованы Метаданные • Ключи шифрования приложений защищены и Оператор хранятся в системы хранения собственной ИТ- Ключи инфраструктуре шифрования организации • Оптимизация производительности Внутренний пользовательCOCSEC-2985 © 2011 Cisco and/or its affiliates. All rights reserved. Cisco Public 17
  • 18. Используемые в Ciscoметодики, ориентированныена защиту данныхCOCSEC-2985 © 2011 Cisco and/or its affiliates. All rights reserved. Cisco Public 18
  • 19. Методики, ориентированные на защиту данных: пример № 1 Оценка уязвимости приложений (AVA) на основании рисков Выделенные специалисты - Крити- аналитики ческийУстаревшие в сфере ИБ Анализприложения экспертами Оценка Новые рисков приложения (показатель) Средний риск БазовыйПриложения с известными Самооб- служи- анализ Самообслу-уязвимостями вание Средства AVA живание Архитектор безопасности Низкий риск Базовый анализ Самообслуживание Факторы классификации данных для расчета показателей рисков Разработчики Специалисты по QA-тестированию COCSEC-2985 © 2011 Cisco and/or its affiliates. All rights reserved. Cisco Public 19
  • 20. Методики, ориентированные на защитуданных: пример № 2Анализ безопасности системы оператора облачнойсистемы/провайдера услуг Уровень осмотрительности в соответствии с профилем риска Данные, регламентируемые нормативными требованиями, или конфиденциальные данные приводят к автоматическому присвоению оператору облачной системы/провайдеру услуг высокого уровня риска Анализ при высоком уровне риска включает периодическую оценку уязвимости систем и регулярное проведение аудита безопасностиCOCSEC-2985 © 2011 Cisco and/or its affiliates. All rights reserved. Cisco Public 20
  • 21. Методики, ориентированные назащиту данных: пример № 3Внедрение технологий обеспечения ИБ Развертывание технологических решений для обеспечения ИБ в крупной компании, такой как Cisco, может занять долгие годы Развертывание выполняется поэтапно, при этом учитываются типы пользователей, категории данных и типы угроз – • Шифрование файлов на рабочих ПК сотрудников отдела кадров/бухгалтерии/инженеров – первый приоритет • Внедрение TrustSec в средах высокого риска (определенные регионы, офисы, расположенные в бизнес- центрах, зоны общего доступа) • Внедрение Web Application Firewall для систем электронного размещения заказов и приложений Cisco.comCOCSEC-2985 © 2011 Cisco and/or its affiliates. All rights reserved. Cisco Public 21
  • 22. Бизнес-стимулы: конфиденциальность, защита данных заказчиков, защита интеллектуальной собственности, нормативные требования Интеграция в сфере ИБ Эксплуатация (ИБ)Выбор Оценка Соотв. Анализ Монито- Опросник по ИБ Мониторинг и Периодическаяпоставщ архитектуры нормативн. уязвим. ринг для заказчиков реакция на оценка в сфереика • Стандарты и требован. • Приложение • IPD/IDS • Реакция на вопросы инциденты ИБ политики ИБ, заказчиков в сфере • Анализ журналов и • Анализ• Анализ • Норм. докум. • Инфраструк- • DLP ИБ принятые в Cisco тура событий уязвимостей облака • Обработка • Модели • Схема сети • Уведомления о • Приложения• Анализ интеграции данных критически важных продукта заказчиков • Инфраструктура патчах • Оценка рисков • ИС Cisco • Экспорт • Пентестинг • Юридич. док. Обнаружение и защита с Определение политик и использованием Обеспечение ИБ, основанной стандартов, ориентированных ориентированных на защиту на защите данных на защиту данных данных архитектур и методик COCSEC-2985 © 2011 Cisco and/or its affiliates. All rights reserved. Cisco Public 22
  • 23. Основные тезисы презентации Трансформация подхода вызвана не только привычными бизнес- стимулами • Необходимость доступа с любого устройства, развитие облачных систем и рост популярности сред совместной работы требуют пересмотра модели управления безопасностью. • Модификация архитектуры безопасности – сущности, политики, данные, сеть Основными особенностями являются фокус на данных как на ключевом объекте и изменение политик • Необходимо учитывать эти особенности при изменении подхода к эксплуатации систем обеспечения ИБ и анализе новых технологических решений • Решения по защите должны приниматься в соответствии с типом данных • Обращайтесь за помощью к экспертам в сфере ИБ COCSEC-2985 © 2011 Cisco and/or its affiliates. All rights reserved. Cisco Public 23
  • 24. http://www.twitter.com/ciscoit http://www.facebook.com/ciscoitИспользование решений Ciscoв ИТ-инфраструктуре Cisco http://www.youtube.com/ciscoБудниИТ-подразделения http://blogs.cisco.com/ciscoitCisco http:/www.cisco.com/go/ciscoit COCSEC-2985 © 2011 Cisco and/or its affiliates. All rights reserved. Cisco Public 24
  • 25. COCSEC-2985 © 2011 Cisco and/or its affiliates. All rights reserved. Cisco Public 25
  • 26. Спасибо за внимание.COCSEC-2985 © 2011 Cisco and/or its affiliates. All rights reserved. Cisco Public 26