More Related Content
More from Aleksey Lukatskiy
More from Aleksey Lukatskiy (20)
Finance Security Architecture
- 1. Архитектура
ин ф о рм ац ио н н о й
б ез о п ас н о с ти б ан ка
и с трахо в о й
ко м п ан ии
Алексей Лукацкий
Б из н ес-ко н суль т ан т п о б ез о п асн о ст и
Secu rity Architectu re © 2006 Cisco Systems, Inc. All rights reserved. 1/88
- 2. О чем пойдет речь?
Деятельность современного банка или страховой
комп ании
С лож ности обесп еч ения инф ормац ионной
без оп асности
А рхитекту ра з ащ ищ енной инф растру кту ры банка
или страховой комп ании
Ц елостная архитекту ра инф ормац ионной
без оп асности
И нф ормац ионная без оп асность в у словиях
криз иса
Secu rity Architectu re © 2006 Cisco Systems, Inc. All rights reserved. 2/88
- 3. С о в рем ен н ы й
б ан к ил и
с трахо в ая
ко м п ан ия
Secu rity Architectu re © 2006 Cisco Systems, Inc. All rights reserved. 3/88
- 4. Н а пра в л ен и я дея тел ьн ос ти б а н к а и л и
с тра х ов ой к омпа н и и
К орп оративное обслу ж ивание
Р оз нич ное обслу ж ивание
Р абота на ф инансовы х ры нках
У ч ет и отч етность
Х оз яйственная д еятельность и H R
П ланирование и у п равление
Secu rity Architectu re © 2006 Cisco Systems, Inc. All rights reserved. 4/88
- 5. К орпора ти в н ое об с л у ж и в а н и е
Расчетно-
к ассов ое
об сл у ж и в а
ни е S W IF T /
Ф З -1 1 5
T E L E X
К ассов ы е
Б ю р о
в ал ю тно-
к р ед и тны х
об м енны е
и стор и й
оп ер ац и и
Д ок у м ента
Г л ав ная
р ны е
к ни г а
Банк
оп ер ац и и
Расчетны й И нк ассац и
ц ентр я
К р ед и тов а
Ф ак тор и нг
ни е
В ал ю тны й
Д еп оз и ты
к онтр ол ь
Secu rity Architectu re © 2006 Cisco Systems, Inc. All rights reserved. 5/88
- 6. Р оз н и чн ое об с л у ж и в а н и е
К р ед и ты
Д Б О В к л ад ы
Расчетно-
Б анк ов ск и е
к ассов ое
к ар ты
об сл у ж и в ани е
Банк
П л атеж и и
Г л ав ная к ни г а
п ер ев од ы
В ал ю тно-
С ей ф ов ы е
об м енны е
ячей к и
оп ер ац и и
Secu rity Architectu re © 2006 Cisco Systems, Inc. All rights reserved. 6/88
- 7. С тра х ов ое об с л у ж и в а н и е
И м у щ еств о и
отв етств енност
ь
П ер естр ах ов ан О С А Г О /
и е К А С К О
Ж и з нь З ел еная к ар та
С т р ах о
в ая
Г р у з ы М ед и ц и на
В ы ез д ы Н есчастны й
з ар у б еж сл у чай
Secu rity Architectu re © 2006 Cisco Systems, Inc. All rights reserved. 7/88
- 8. Банковская платформа нового поколения
Источник: F o r r e s t e r R e s e a r c h I n c .
Secu rity Architectu re © 2006 Cisco Systems, Inc. All rights reserved. 8/88
- 9. С л о ж н о с ти
о б ес п еч ен ия И Б
Secu rity Architectu re © 2006 Cisco Systems, Inc. All rights reserved. 9/88
- 10. С л ож н ос ти об ес печен и я И Б
Б ольш ое колич ество требу ю щ их контроля каналов
вз аимод ействия с клиентами и п артнерами
З абы вч ивость в отнош ении ау тсорсинговы х п артнеров
Р аз р аб о т ч и ки П О
П р о ц е с с и нг
О б с л у ж и в аю щ и й п е р с о нал б анко м ат о в , C a l l C e n t e r и т . п .
А ктивное раз витие вред оносны х технологий в
ф инансовом секторе
Ц е л ь ю я в л я е т с я в с е
К онц ентрац ия на вну тренней без оп асности
« З аб ы в ч и в о с т ь » в о т но ш е ни и в не ш ни х ас п е кт о в – о п е р ат о р ы
с в я з и , кл и е нт ы , ау т с о р с е р ы и т . п .
Secu rity Architectu re © 2006 Cisco Systems, Inc. All rights reserved. 10 /88
- 11. С л ож н ос ти об ес печен и я И Б (окончание)
К онф ликт с И Т
О т с у т с т в и е ко нт р о л я п р и в и л е г и р о в анны х п о л ь з о в ат е л е й
О т с у т с т в и е т р е б о в ани й п о И Б к р аз р аб о т ке с о б с т в е нно г о П О
К т о о т в е ч ае т з а э кс п л у ат ац и ю с р е д с т в з ащ и т ы ?
К онц ентрац ия на « классич еской» И Б
Ч т о нас ч е т з ащ и т ы б анко м ат о в , « п л ас т и ка» , п р о ц е с с и нг а
К ак нас ч е т ко нт р о л я п о в е д е ни я ( п р о ф и л и р о в ани я ) кл и е нт о в ?
Н еготовность к неконтролиру емы м ситу ац иям
Ф и ш и нг , и нф о р м ац и о нны е в о й ны …
(Н ед о/ п ере) оц енка роли регу ляторов
Д е я т е л ь но с т ь р е г у л я т о р о в ч е т ко р е г у л и р у ю т с я з ако нам и
О т с у т с т в и е ко нт р о л я в ы п у с ка но в ы х но р м ат и в ны х акт о в
Secu rity Architectu re © 2006 Cisco Systems, Inc. All rights reserved. 11/88
- 12. П рим еры из
ро с с ий с ко й
п рактики
Secu rity Architectu re © 2006 Cisco Systems, Inc. All rights reserved. 12/88
- 13. К а н а л ы в з а и модейс тв и я
S W IF T
О тд ел ени е T E L E X
М об и л ьны й
Ф и л и ал
аг ент
М М В Б
Т ор г ов ая
C a ll c e n te r
точк а
… .
Банк
И нтер нет-
Б анк ом ат
б анк и нг
Б Э С П
К и оск
сам ооб сл у ж S M S -б анк и нг РТ С
и в ани я
Т ел еф онны й
К л и ент-б анк R e u te rs
б анк и нг
Secu rity Architectu re © 2006 Cisco Systems, Inc. All rights reserved. 13/88
- 14. А та к и н а проц ес с и н г
Secu rity Architectu re © 2006 Cisco Systems, Inc. All rights reserved. 14/88
- 15. А та к и н а б а н к ома ты
Secu rity Architectu re © 2006 Cisco Systems, Inc. All rights reserved. 15/88
- 16. Б ез опа с н ос ть б а н к ов с к ог о П О
Secu rity Architectu re © 2006 Cisco Systems, Inc. All rights reserved. 16/88
- 17. Б а н к ов с к и е троя н ы (п р им ер )
Т роян T o f g e r
П о с л е п о с е щ е ни я р я д а И нт е р не т -б анко в п е р е с ы л ае т
в в е д е нны е с кл ав и ат у р ы д анны е и с кр и нш о т ы э кр ана
Т роян B a n k e r . c h g
П е р е х в ат ы в ае т д о с т у п к о п р е д е л е нны м б анко в с ки м с ай т ам
и п е р е п р ав л я е т на п о д с т ав ны е с ай т ы ( ф ар м и нг )
Т роян B a n c o s . p w
П е р е х в ат H T T P S -т р аф и ка
Т роян Z b o t . i k h
П е р е х в ат д анны х H T T P д л я не ко т о р ы х р о с с и й с ки х б анко в , а
т акж е кр аж а с е р т и ф и кат о в , кл ю ч е й Э Ц П и т . п .
Secu rity Architectu re © 2006 Cisco Systems, Inc. All rights reserved. 17/88
- 18. D D o S -а та к и н а б а н к и
Secu rity Architectu re © 2006 Cisco Systems, Inc. All rights reserved. 18/88
- 19. Б ез опа с н ос ть к л и ен тов
Secu rity Architectu re © 2006 Cisco Systems, Inc. All rights reserved. 19/88
- 20. К он трол ь при в и л ег и ров а н н ы х
Secu rity Architectu re © 2006 Cisco Systems, Inc. All rights reserved. 20 /88
- 21. А та к и н а И н терн ет-б а н к и н г
Secu rity Architectu re © 2006 Cisco Systems, Inc. All rights reserved. 21/88
- 22. Б ез опа с н ос ть пл а с ти к а
Secu rity Architectu re © 2006 Cisco Systems, Inc. All rights reserved. 22/88
- 23. П одс та в н ы е с а йты ( ф и ш и н г и ф а рми н г )
Secu rity Architectu re © 2006 Cisco Systems, Inc. All rights reserved. 23/88
- 24. И н ф орма ц и он н а я в ойн а
Secu rity Architectu re © 2006 Cisco Systems, Inc. All rights reserved. 24/88
- 25. З а к он ода тел ьс тв о и И Б
Secu rity Architectu re © 2006 Cisco Systems, Inc. All rights reserved. 25/88
- 26. П о ч ем у в о з н икаю т
э ти с л о ж н о с ти и
п ро б л ем ы ?
К ч ему э то п ривод ит на
стратегич еском
у ровне?
Secu rity Architectu re © 2006 Cisco Systems, Inc. All rights reserved. 26/88
- 27. « Т ех н ол ог и чес к и е» проб л емы …
О тсу тствие станд артиз ац ии и
у ниф икац ии технологий,
п род у ктов, метод ов и п од ход ов
Р о с т о п е р ац и о нны х з ат р ат
С л о ж но с т ь п о д д е р ж ки и и нт е г р ац и и
П овтор и из бы точ ность
Н е п у т ат ь с р е з е р в и р о в ани е м
Н е х в ат ка р е с у р с о -з ат р ат
У п у щ ения неоч евид ны х вещ ей
О тсу тствие п ланов раз вития
Н е х в ат ка г и б ко с т и и ад ап т и в но с т и к но в ы м т р е б о в ани я
Secu rity Architectu re © 2006 Cisco Systems, Inc. All rights reserved. 27/88
- 28. … при в одя т к г л об а л ьн ы м проб л ема м…
Ф инансирование п о остаточ ному Дизайн и ар х ит е к т у р а
п ринц ип у •1 Х
Н еу д овлетворенность В не д р е ние
п ольз ователей, сниж ение их •5 Х
п род у ктивности и рост ц ены их
п од д ерж ки Т е с т ы инт е г р ац ии
П отенц иальны е наез д ы со стороны
•1 0 Х
регу ляторов
Б е т а-т е с т ир о в ание
Н еэ ф ф ективность И Б в вид у •1 5 Х
з абы вч ивости в отнош ении
некоторы х нап равлений биз неса Б о е в о й зап у с к
•3 0 Х
Н есогласованность отд елов
Secu rity Architectu re © 2006 Cisco Systems, Inc. All rights reserved. 28/88
- 29. … и з -з а отс у тс тв и я при в я з к и к б и з н ес у
Изменение бизнеса
У л у ч ш ение бизнеса
Р азв ит ие в мест е
с бизнесо м
« Х ао с»
Secu rity Architectu re © 2006 Cisco Systems, Inc. All rights reserved. 29/88
- 30. Н епон и ма н и е б и з н ес -при ори тетов
Бизнес-п р ио р ит ет ы П р ио р ит ет ы И Б
•П ер ех о д к сист ем а м • А к ц ент на
к о л л ек т ив но й о ч ер ч ив а ние
р а б о т ы и к о нц еп ц ии п ер им ет р а и ег о
N V O за щ ит у
•С д в иг п р о д а ж в • З а щ ит а ц ент р а
« п о л я » (P o S , P o D ) о б р а б о т к и д а нны х
•С ниж ение • С о зд а ние
о п ер а ц ио нны х и на л о ж енно й сист ем ы
к а п ит а л ь ны х за т р а т б езо п а сно ст и
Secu rity Architectu re © 2006 Cisco Systems, Inc. All rights reserved. 30 /88
- 31. К а к с в я з а ть б ез опа с н ос ть и б и з н ес ?
1 . О ц енка теку щ ей ситу ац ии с И Б
К ак е с т ь ?
2 . А нализ п отребностей биз неса своей комп ании
С т р ат е г и ч е с ки е ц е л и и т акт и ч е с ки е з ад ач и
3 . П ланирование бу д у щ ей архитекту ры И Б
К ак д о л ж но б ы т ь ?
С т о ч ки з р е ни я б и з не с а, а не м и ф и ч е с ки х « л у ч ш и х п р акт и к»
4 . А нализ раз ры ва
5 . С п особы сокращ ения раз ры ва – раз работка
стратегии И Б
К ак п е р е й т и и з с о с т о я ни я « как е с т ь » в с о с т о я ни е « как
д о л ж но б ы т ь »
Secu rity Architectu re © 2006 Cisco Systems, Inc. All rights reserved. 31/88
- 33. А рх и тек ту ра И Б
А рхитекту ра И Б су щ еству ет всегд а
М ы не в с е г д а з нае м о б э т о м , м ы не в с е г д а
г р ам о т но е е и с п о л ь з у е м …
А рхитекту ра оп исы вает ж елаему ю
стру кту ру инф растру кту ры без оп асности
организ ац ии и д ру гих связ анны х с И Б
комп онентов и интерф ейсов
В кл ю ч ае т п р о ц е с с ы , л ю д е й , т е х о л о г и и и
р аз ны е т и п ы и нф о р м ац и и
С о з д ае т с я с т о ч ки з р е ни я б и з не с а и
у ч и т ы в ае т е г о т е ку щ и е и б у д у щ и е
п о т р е б но с т и
Secu rity Architectu re © 2006 Cisco Systems, Inc. All rights reserved. 33/88
- 34. А рх и тек ту ра И Б об ес печи в а ет
П у ть оц енки новы х технологий, п род у ктов и сервисов
П лан д ля раз вития п рилож ений и инф растру кту ры
К аркас д ля п ринятия реш ений в области И Б , а такж е
д ля п ланирования, д из айна и внед рения
М етод д ля сниж ения из д ерж ек
Н ап равление д виж ения д ля И Т с точ ки з рения И Б
П у ть сниж ения п роектны х и технологич еских рисков
Р у ковод ство к соз д анию станд артов и инф растру кту ры
д ля новы х, ранее неп ред вид енны х п рилож ений
П у ть к совместимости и неп ротивореч ивости раз ны х
систем
Secu rity Architectu re © 2006 Cisco Systems, Inc. All rights reserved. 34/88
- 35. Ч то в кл ю ч ать в
архитектуру И Б ?
Secu rity Architectu re © 2006 Cisco Systems, Inc. All rights reserved. 35/88
- 36. П ос л едов а тел ьн ое опи с а н и е
а рх и тек ту ры И Б
Б и з н е с
С л у ж б а И Б И н ф о р м а ц и я
И н ф о р м а ц и о н н а я
И н ф р а с т р у к т у р а
б е з о п а с н о с т ь
И н ф о р м а ц и о н н ы е
Р и с к и и у гр о з ы
с и с т е м ы
Secu rity Architectu re © 2006 Cisco Systems, Inc. All rights reserved. 36/88
- 37. Ф а к торы в л и я н и я н а а рх и тек ту ру
Банк
Р е гу л я т о р ы А р х и т е к т у р а О т р ас л ь
Т е х но л о г и и
Secu rity Architectu re © 2006 Cisco Systems, Inc. All rights reserved. 37/88
- 38. 3 г ори з он та л ьн ы х у ров н я а рх и тек ту ры
Стратегический
( ко н ц еп ту ал ь н ы й)
Л о гический
Т ех н о л о гический
( систем н ы й)
Т ехнологич еский у ровень обы ч но п роработан
лу ч ш е всех
П о с р ав не ни ю с 2 -м я д р у г и м и у р о в ня м и
Secu rity Architectu re © 2006 Cisco Systems, Inc. All rights reserved. 38/88
- 39. 7 э л емен тов с тра тег и чес к ог о у ров н я
У ровни д оверия
О г р ани ч е ни я б и з не с а, р и с ки , в з аи м о д е й с т в и я с д р у г и м и …
К онц еп ту альны е д из айны и мод ели
Н ап р и м е р , « Л В С – D M Z – И нт е р не т »
С истема вз гляд ов на п олитики без оп асности
И е р ар х и я , п р и м е р ны й с о с т ав и т . п .
С истема вз гляд ов на классиф икац ию инф ормац ии
П роц ессная мод ель
М од ель стратегич еских ролей и ответственности
В л ад е л ь ц ы , у п р ав л е нц ы , « э кс п л у ат ат о р ы » …
М иссия И Б
Secu rity Architectu re © 2006 Cisco Systems, Inc. All rights reserved. 39/88
- 40. 7 э л емен тов л ог и чес к ог о у ров н я
С ервисы без оп асности
К аки е с е р в и с ы п о м о г аю т д о с т и ч ь у р о в не й д о в е р и я
М од ель д оменов д оверия
Г р у п п и р о в ани е р е с у р с о в на о с но в е о б щ и х кр и т е р и е в
П ринц ип ы д из айна з ащ ищ енной инф растру кту ры
Р аз д е л е ни е п о л но м о ч и й , р о л е в о е у п р ав л е ни е и т . п .
М од ели д из айна
Д е ко м п о з и ц и я м о д е л е й в е р х не г о у р о в ня
М од ель инф ормац ионны х п отоков
О рганиз ац ионны е мод ели
Ш аблоны требований
Secu rity Architectu re © 2006 Cisco Systems, Inc. All rights reserved. 40 /88
- 41. С ерв и с -ори ен ти ров а н н а я а рх и тек ту ра
Клиент П р ед с та в ление П р ило ж ения B a c k -O f f i c e
П о р т а л Application
Б р а у з е р W e b S e rv e rs M ainf r am e s
S e r v ice s
W e b
S e rv e rs W e b
S e r v ice s
Application С У Б Д
C lie nt W e b
S e r v ice s
L e g acy App
И нф р ас т р у кт у р а б ез оп ас нос т и
С е р в исы б е з оп а сности
Au th e ntication R ole Au th or iz ation Au d iting C r e d e ntial C r y ptog r aph ic P u b lic K e y
S e r v ice s S e r v ice s S e r v ice s S e r v ice s S e r v ice s S e r v ice s S e r v ice s
Secu rity Architectu re © 2006 Cisco Systems, Inc. All rights reserved. 41/88
- 42. 7 э л емен тов тех н ол ог и чес к ог о у ров н я
А рхитекту ра без оп асности п рилож ений
В кл ю ч ая E R P , C R M , И нт е р не т -б анки нг , п р о ц е с с и нг
А рхитекту ра сетевой/ инф растру кту рной
без оп асности
Н е з аб ы в ат ь п р о и нт е г р и р о в анны е ф у нкц и и
А рхитекту ра сервисов без оп асности
К лассиф икатор з ащ ищ аемой инф ормац ии
А рхитекту ра у п равления без оп асности
П ринц ип ы станд артиз ац ии и у ниф икац ии И Б
О рганиз ац ионная архитекту ра
Д о л ж но с т ны е о б я з анно с т и , п о в ы ш е ни е о с в е д о м л е нно с т и …
Secu rity Architectu re © 2006 Cisco Systems, Inc. All rights reserved. 42/88
- 43. А рх и тек ту ра з а щ и щ ен н ой с ети
З аг р у з ит ь б р ош ю р у « C is c o S A F E » м ож но на с ай т е m y . c is c o . r u
Secu rity Architectu re © 2006 Cisco Systems, Inc. All rights reserved. 43/88
- 44. 3 в ерти к а л ьн ы х у ров н я а рх и тек ту ры
M & A
Б ИЗ Н Е С , П Е Р С О Н А Л
Л Ю Д И С О В Е Т Д И Р Е К Т О Р О В
Л О Я Л Ь Н О С Т Ь К Л И Е Н Т О В
Р ЕЧ ЕВ А Я ИНФ ОР М А Ц ИЯ
В ИД ЕОК ОНФ ЕР ЕНЦ ИИ
ИН Ф О Р М А Ц ИЯ
НОСИТЕЛИ
Ф А Й ЛЫ и П ОЧ ТА
W E B M F G F IN
E R P
П Р ИЛ О Ж Е Н ИЯ X M L
E R P S C M
C R M Д ОК У М ЕНТООБ ОР ОТ
Б ИЗ НЕС-П Р ОЦ ЕСС
М ЕЖ СЕТЕВ Ы Е Э К Р А НЫ
С Е Т Ь СИСТЕМ Ы П Р ЕД ОТВ Р А Щ ЕНИЯ
V P N
А НТИВ ИР У СЫ
Secu rity Architectu re © 2006 Cisco Systems, Inc. All rights reserved. 44/88
- 45. Р а з н ое предс та в л ен и е и н ф орма ц и и
Речевая информация
И нформация, об раб ат ы ваемая
т ех ничес к ими с ред с т вами
И нформация в вид е информат ивны х
э л ек т ричес к их с иг нал ов
И нформация в вид е физ ичес к их
п ол ей
Н ос ит ел и на б у маж ной , маг нит ной ,
оп т ичес к ой и иной ос нове
И нформационны е мас с ивы
Б аз ы д анны х
Secu rity Architectu re © 2006 Cisco Systems, Inc. All rights reserved. 45/88
- 46. О с о б ен н о с ти
раз раб о тки
архитектуры И Б
Secu rity Architectu re © 2006 Cisco Systems, Inc. All rights reserved. 46/88
- 47. Э та пы ра з ра б отк и а рх и тек ту ры И Б
1 . О п ред еление биз нес-кейса
2 . С оз д ание команд ы
3 . С бор инф ормац ии д ля
архитекту ры И Б
4 . Б из нес-требования и д райверы
к архитекту ре
5 . G a p -анализ
6 . Р аз работка ф инальной
архитекту ры
7 . Р аз работка стратегии миграц ии
8 . О п ред еление п роц есса
п ересмотра архитекту ры
Secu rity Architectu re © 2006 Cisco Systems, Inc. All rights reserved. 47/88
- 48. Ф орми ров а н и е к ома н ды
H R
С л у ж б а В н у т р е н н и й
б е з о п а с н о с т и к о н т р о л ь
Ю р и д и ч е с к и й
С л у ж б а И Т
д е п а р т а м е н т
С л у ж б а И Б
ИБ Б и з н е с -
п о д р а з д е л е н и я
Secu rity Architectu re © 2006 Cisco Systems, Inc. All rights reserved. 48/88
- 49. Р а з ра б отк а а рх и тек ту ры И Б
Ч ем слож нее архитекту ра, тем больш е вероятность
ош ибки
Л у ч ш е д елать у п ор на метод ах сниж ения риска, ч ем
на технологиях и п род у ктах
О б у ч е ни е , ф и з и ч е с кая б е з о п ас но с т ь , р е и нж и ни р и нг
п р о ц е с с о в , P R и т .д .
А рхитекту ра мож ет охваты вать од ин п роект,
систему , п од раз д еление или всю комп анию
Н о … ни п р о е кт , ни п о д р аз д е л е ни е не м о г у т б ы т ь
п о л но с т ь ю и з о л и р о в аны
Secu rity Architectu re © 2006 Cisco Systems, Inc. All rights reserved. 49/88
- 50. Н е тол ьк о тех н ол ог и и
Достич ь ну ж ного состояния И Б мож но п у тем
исп ольз ования раз ны х мер:
П р акт и ка у п р ав л е ни я
П о л и т и ки
С т анд ар т ы
П р о ц е д у р ы
Д о ку м е нт ац и я
П р акт и ка ау д и т а
Т е с т и р о в ани е б е з о п ас но с т и
Secu rity Architectu re © 2006 Cisco Systems, Inc. All rights reserved. 50 /88
- 51. Н е тол ьк о тех н ол ог и и (окончание)
Достич ь ну ж ного состояния И Б мож но п у тем
исп ольз ования раз ны х мер:
Ф и з и ч е с кая б е з о п ас но с т ь
Бе з о п ас но с т ь п е р с о нал а
У п р ав л е ни е и нц и д е нт ам и
Ю р и д и ч е с ки е м е р ы
П о в ы ш е ни е о с в е д о м л е нно с т и
О р г ани з ац и о нная с т р у кт у р а
Secu rity Architectu re © 2006 Cisco Systems, Inc. All rights reserved. 51/88
- 52. Архитектуры И Б
о тC is c o д л я
б ан ко в и
с трахо в ы х
ко м п ан ий
Secu rity Architectu re © 2006 Cisco Systems, Inc. All rights reserved. 52/88
- 53. C i s c o и б ез опа с н ос ть: почему ?
Secu rity Architectu re © 2006 Cisco Systems, Inc. All rights reserved. 53/88
- 54. А рх и тек ту ры И Б C i s c o дл я б а н к ов и
с тра х ов ы х к омпа н и й
А рхитекту ры без оп асности C i s c o д ля
в ы п о л не ни я т р е б о в ани й P C I D S S
в ы п о л не ни я т р е б о в ани й С Т О БР И ББС -1 . 0 -2 0 0 8
з ащ и т ы А БС
д л я з ащ и т ы д и с т анц и о нно г о б анко в с ко г о о б с л у ж и в ани я
з ащ и т ы б анко м ат о в
з ащ и т ы п е р с о нал ь ны х д анны х
з ащ и т ы м о б и л ь ны х аг е нт о в и у д ал е нно г о д о с т у п а
п о д ав л е ни я D D o S -ат ак
п р е д о т в р ащ е ни я у т е ч е к д анны х
Secu rity Architectu re © 2006 Cisco Systems, Inc. All rights reserved. 54/88
- 55. П ри н ц и пы пос троен и я з а щ и щ ен н ы х
с етей
П ринцип ы И Т П ринцип ы И Б
• М од у л ь нос т ь / • Б ез оп ас нос т ь к ак
п оэ т ап нос т ь с вой с т во, а не оп ция
• С ниж ение T C O • Ц ел ь – л ю б ое
• С т анд арт из ация / у с т рой с т во, с ег мент ,
у нифик ация п рил ож ение
• Г иб к ос т ь • Э ш ел онированная
• Н ад еж нос т ь об орона
• П од д ерж к а новы х • Н ез авис имос т ь мод у л ей
п роек т ов • Д вой ной к онт рол ь
• А д ап т ивнос т ь / • И нт ег рация в
авт омат из ация инфрас т ру к т у ру
• М ас ш т аб иру емос т ь • С оот вет с т вие
т реб ованиям
Secu rity Architectu re © 2006 Cisco Systems, Inc. All rights reserved. 55/88
- 56. Р еш ен и е C i s c o дл я P C I D S S
Удаленная площадка П ер и м ет р Г лав ны й Б лок у пр ав лени я
М о б и л ь н ы й
P O S C a s h R e g is te r И нт ер нет оф и с ACS
P O S (P C I 1, 3, 5, 6, 7)
P O S с е р в е р (P CI 2 , 1 0 , 1 2 ) CSM
(P CI 1 0 , 1 2 )
(P C I 1, 3, 5, 6, 7)
NAC
CSA MC
(P CI 1 0 , 1 2 )
ASA
CS-MAR S
7 2 0 0 ASA
W AP (P CI 1 0 )
(P CI 1 , 4 )
In te rn e t
Ca t a l y s t
I SR
(P CI 4 ) 6 5 0 0 W AP 6 5 0 0
Sw i t c h F W SM
ASA
П К (P CI 1 , 4 ) Cr e d i t Ca r d
м а га з и н н о го W AP St o r a g e
р а б о т н и к а
(P C I 1, 3, 5, 6, 7) (P CI 1 , 3 , 5 , 6 , 7 )
Б е с п р о в о д н о е
у с т р о й с т в о E-c o m m e r c e
(P CI 1 , 3 , 5 , 6 , 7 ) Ц О Д
П р им е ча ние ! О тоб р а ж е на р е а л из а ц ия не в се х тр е б ов а ний
Secu rity Architectu re © 2006 Cisco Systems, Inc. All rights reserved. 56/88
- 57. Р еш ен и е C i s c o S e c u r e S t o r e дл я P C I
Р екоменд ованная з ащ ищ енная архитекту ра д ля
п ровод ны х и бесп ровод ны х п рименений
Т естирование в реальном окру ж ении, вклю ч ая P O S -
терминалы , сервера п рилож ений, бесп ровод ны е
у стройства, банкоматы и системы з ащ иты
С истема у п равления конф игу рац ией, мониторингом и
ау тентиф икац ией
V a lid a te d D e s ig n
S m a ll R e ta il S to r e П ар т нер ы п о « ж ел ез у » :
Secu rity Architectu re © 2006 Cisco Systems, Inc. All rights reserved. 57/88
- 58. В в еден и е в реш ен и е C i s c o S e c u r e S t o r e
Малая С р е д н яя К р у п н ая
С оответству ю щ ие P C I D S S 1 . 2 архитекту ры в
з ависимости от масш таба п ред п риятия
Детальны й отч ет п о соответствию
Р у ковод ства п о внед рению
Детальны е конф игу рац ии
Secu rity Architectu re © 2006 Cisco Systems, Inc. All rights reserved. 58/88
- 59. П ри мер реш ен и я
Т р еб о в ан ие P C I 1 . 3 . 5
Р е ко м е нд ац и и C i s c o
И л л ю с т р ац и и
о б е с п е ч и в аю т я с но с т ь
П р и м е р
ко нф и г у р ац и и
Secu rity Architectu re © 2006 Cisco Systems, Inc. All rights reserved. 59/88
- 60. Р еш ен и е C i s c o дл я С Т О Б Р И Б Б С
Д опоф и с / от делени е П ер и м ет р П лат еж ны й Б лок у пр ав лени я
A T M с ег м ент
М о б и л ь н ы й P O S -т е р м и н а л
И нт ер нет
P O S ACS CSM
NAC
К и о с к NCM
CS-MAR S
7 2 0 0 ASA
W AP ASA
In te rn e t
Ca t a l y s t
I SR
6 5 0 0 W AP 6 5 0 0
Sw i t c h F W SM
ASA
П К
б а н к о в с к о го W AP С е р в е р
р а б о т н и к а п р о ц е с с и н га
Б е с п р о в о д н о е Г лав ны й
у с т р о й с т в о И нт ер нет - оф и с Ц О Д П р оц ес с и нг
б анк
П р им е ча ние ! О тоб р а ж е на р е а л из а ц ия не в се х э л е м е нтов
Secu rity Architectu re © 2006 Cisco Systems, Inc. All rights reserved. 60 /88
- 61. Р еш ен и е C i s c o дл я з а щ и ты А Б С /А С С
D a ta C e n te r E d g e W e b -д осту п П р ил ож е ния и Х р а не ние У п р а в л е ние
• F ir e w a ll & IP S • W e b Se c u r i t y б а з ы д а нны х • D a ta En c r y p t i o n • T i e r e d Ac c e s s
• D O SP r o te c tio n • Ap p l i c a t i o n Se c u r i t y • X ML , SO AP , AJ AX •I n Mo t i o n • Mo n i t o r i n g &
• Ap p P r o t o c o l I n s p e c t i o n • Ap p l i c a t i o n I s o l a t i o n Se c u r i t y •At R e s t An a l y s i s
• W e b Se r v i c e s Se c u r i t y • Co n t e n t I n s p e c t i o n • X D o SP r e v e n tio n • St o r e d D a ta • R o l e -B a s e d
• V P Nte r m in a tio n • SSL • Ap p t o Ap p Se c u r i t y Ac c e s s Co n t r o l Ac c e s s
• Em a i l & W e b Ac c e s s En c r y p t i o n / O f f l o a d • Se r v e r H a r d e n i n g • Se g m e n ta tio n • AAA Ac c e s s
c o n tro l • Se r v e r H a r d e n i n g Co n t r o l
ACE
ACS
Iro n P o rt
W AAS E-M a i l S e c u r i t y W AF
CS A
CS M
T ie r 1 /2 /3 CS A-M C
M D S S to ra g e CW -N CM
Iro n P o rt w /S M E
W AF W e b S e c u r ity
С е р в е р а
AS A CS A п р и л о ж е н и й
Ca t 6 K CS A CS A M AR S
F W S M
CS A
W AF
W e b
S e rv e rs
Iro n P o rt С У Б Д T a p e / O f f -s i t e
W e b S e c u r ity B a c k u p
Secu rity Architectu re © 2006 Cisco Systems, Inc. All rights reserved. 61/88
- 62. Р еш ен и е C i s c o дл я з а щ и ты Д Б О/ Д С О
М од у л ь
i-B a n k in g
К м од у л ю
в з а им од е й ств ия
с п е р им е тр ом IS P A
М од у л ь в ы х од а
в И нт ер нет
IS P B
К м од у л ю
в з а им од е й ств ия
с п е р им е тр ом
К м од у л ю
V P N и
у д а л е нног о
д осту п а
Secu rity Architectu re © 2006 Cisco Systems, Inc. All rights reserved. 62/88
- 63. Р еш ен и е C i s c o по з а щ и те а г ен тов
Взгляд со стороны банка
И д е нт и ф и кац и я и
у п р ав л е ни е д о с т у п о м :
Si Si М еж с ет ев ы е э кр аны , I P S e c ,
S S L V P N , с пи с ки A C L , N A C
IP S
W A F В ы я в л е ни е и п о д ав л е ни е
M D 5 у гр о з :
У стр ой ств о
N e tF lo w , S y s lo g , S N M P , M A R S ,
N A C
DMZ N IP S , H IP S
З ащ и т а и нф р ас т р у кт у р ы :
N e tF lo w ,
Si Si
S y s lo g ,
A A A , C o P P , S S H , R F C 2 8 2 7 ,
A S A
S N M P v 3
S N M P v 3 , IG P /E G P M D 5
IP S
Бе з о п ас но с т ь
A S A п р и л о ж е ни й :
С п иски
A C L A C E , A C E X M L G a te w a y
R F C 2 8 2 7
У п р ав л е ни е
Инте р не т б е з о п ас но с т ь ю :
C S M , M A R S , N C M
Secu rity Architectu re © 2006 Cisco Systems, Inc. All rights reserved. 63/88
- 64. Р еш ен и е C i s c o по з а щ и те а г ен тов
Взгляд со стороны аге нта / кли е нта
N ok ia E S e r ie s iP h one
C is co S S L / I P S e c V P N S olu tions д л я
И нт е р не т
н а д о м н ы х и л и м о б и л ь н ы х р а б о т н и к о в
M A
Б анк
З ащ ита мобильны х агентов з а сч ет
C is c o S e c u r ity A g e n t
C is c o V P N C lie n t / C is c o A n y C o n n e c t C lie n t
C i s c o S e c u r e D e s k t o p ( м о ж е т и с п о л ь з о в ат ь с я и д л я кл и е нт о в )
Secu rity Architectu re © 2006 Cisco Systems, Inc. All rights reserved. 64/88
- 65. Р еш ен и е C i s c o дл я з а щ и ты от у течек
Удаленная площадка П ер и м ет р Г лав ны й Б лок у пр ав лени я
М о б и л ь н ы й P O S C a s h
И нт ер нет оф и с
P O S R e g is te r
I r o n P o r t S- NAC
Se r i e s
P O S с е р в е р
ASA
7 2 0 0 SME
W L C ASA
In te rn e t
Ca t a l y s t
I SR
6 5 0 0 W AP 6 5 0 0
Sw i t c h F W SM
П К
м а га з и н н о го W AP
р а б о т н и к а W e b
W AF
Б е с п р о в о д н о е I r o n P o r t M- CSA Cr e d i t Ca r d
у с т р о й с т в о Se r i e s St o r a g e
Ц О Д
- К о н т р о ль д о с т у п а - В н е д р е н и е п о ли т и к и б е з о п ас н о с т и
- З ащ и щ е н н о е в з аи м о д е й с т в и е - К о н т р о ль у т е ч е к и н ф о р м ац и и
Secu rity Architectu re © 2006 Cisco Systems, Inc. All rights reserved. 65/88
- 66. Р еш ен и е C i s c o дл я з а щ и ты Л В С
Д ля банков и страх ов ых ком п ани й
C S A
8 0 2 .1 x
И д е нт и ф и кац и я и
Б е з оп а с- у п р ав л е ни е д о с т у п о м :
ность L 2
8 0 2 . 1 x , N A C A p p l i a n c e , с пи с ки
Д осту п
u R P F
A C L , м еж с ет ев ы е э кр аны
У стр ой ств о
С п иски
В ы я в л е ни е и п о д ав л е ни е
N A C
A C L у гр о з :
F W S M
N e tF lo w , S y s lo g , S N M P , M A R S ,
IP S M N IP S , H IP S
Si Si
M D 5
Р а сп р е -
д е л е ние N e tF lo w , З ащ и т а и нф р ас т р у кт у р ы :
S y s lo g ,
S N M P v 3 A A A , C o P P , S S H , u R P F , S N M P
v 3 , I G P / E G P M D 5 , ф у нкц и и
б ез опас нос т и L 2
Я д р о
Si Si У п р ав л е ни е б е з о п ас но с т ь ю :
C S M , M A R S , N C M
Secu rity Architectu re © 2006 Cisco Systems, Inc. All rights reserved. 66/88
- 67. Р еш ен и е C i s c o дл я з а щ и ты Ц ОД
Д ля банков и страх ов ых ком п ани й
И д е нт и ф и кац и я и
у п р ав л е ни е д о с т у п о м :
Я д р о Si Si
8 0 2 . 1 x , с пи с ки A C L ,
м еж с ет ев ы е э кр аны
u R P F
В ы я в л е ни е и п о д ав л е ни е
M D 5 С п иски у гр о з :
A C L
А г р е г и- F W S M N e tF lo w , S y s lo g , S N M P , M A R S ,
р ов а ние N IP S , H IP S
A X G IP S M
A O N S З ащ и т а и нф р ас т р у кт у р ы :
N e tF lo w , A A A , C o P P , S S H , u R P F , S N M P
S y s lo g ,
8 0 2 .1 x S N M P v 3
v 3 , I G P / E G P M D 5 , ф у нкц и и
б ез опас нос т и L 2
Д осту п Б е з оп а с- Бе з о п ас но с т ь п р и л о ж е ни й :
ность L 2
A C E , A C E X M L G a te w a y
У п р ав л е ни е б е з о п ас но с т ь ю :
C S A C S M , M A R S , N C M
Secu rity Architectu re © 2006 Cisco Systems, Inc. All rights reserved. 67/88
- 68. О т архитектуры к
с тратег ии И Б
Secu rity Architectu re © 2006 Cisco Systems, Inc. All rights reserved. 68/88
- 69. А рх и тек ту ра ра з ра б ота н а . Ч то да л ьш е?
Архитектура ИБ С тратег ия ИБ
• К аки е ц ели ? • К ак м ог у т б ы т ь
• Ч т о т р еб у ет с я для дос т и г ну т ы ц ели ?
дос т и ж ени я ц елей ?
Н е стоит объ ед инять стратегию и архитекту ру в
ед ины й д оку мент
М о г у т в о з ни кну т ь с л о ж но с т и п р и ад ап т ац и и с т р ат е г и и к
т е ку щ е й с и т у ац и и
Secu rity Architectu re © 2006 Cisco Systems, Inc. All rights reserved. 69/88
- 70. Ч то та к ое с тра тег и я ?
С тратегия – оп тимальны й п у ть д остиж ения ц елей
К р и т е р и е м о п т и м ал ь но с т и м о ж е т с л у ж и т ь в р е м я , кач е с т в о ,
ц е на
Н е с т о и т в ы б и р ат ь не с ко л ь ко кр и т е р и е в о п т и м ал ь но с т и –
д о с т и ч ь ко м п р о м и с с а б у д е т с л о ж но
С тратегия - п лан д ействий, нап равленны й на:
У кр е п л е ни е п о з и ц и й о р г ани з ац и и
У д о в л е т в о р е ни е п о т р е б но с т е й з аи нт е р е с о в анны х с т о р о н
Д о с т и ж е ни е о п р е д е л е нны х р е з у л ь т ат о в д е я т е л ь но с т и
Secu rity Architectu re © 2006 Cisco Systems, Inc. All rights reserved. 70 /88
- 71. 8 ти пов з а и н терес ов а н н ы х с торон
П о л ь з о в а т е л ь
С п е ц и а л и с т
К л и е н т ы
п о И Б
Т о п -м е н е д ж е р
ИБ С п е ц и а л и с т
п о И Т
В н у т р е н н и й
Ю р и с т
а у д и т о р
H R
Secu rity Architectu re © 2006 Cisco Systems, Inc. All rights reserved. 71/88
- 72. Р ег у л я торы И Б дл я б а н к ов
Б а н к
Ф С Б
Ро с с и и
М и н к о м -
РКН
с в я з ь
P C I
C o u n c il Банк Ф С Т Э К
Secu rity Architectu re © 2006 Cisco Systems, Inc. All rights reserved. 72/88