Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.
Информационная безопасность как процесс,
а не продукт
Марат Хазиев
Руководитель отдела продаж
Идея доклада – поделиться опытом …
• По защите информации.
• По оптимизации времен`ных и финансовых затрат при
обеспечении...
Информационная безопасность - это не продукт, а процесс
• Информационная безопасность - это длительный и
сложный процесс, ...
Что есть угрозы информационной безопасности?
• Нарушение конфиденциальности (утечка, разглашение)
• Нарушение работоспособ...
Стадии обеспечения ИБ
• Реализация административных мер
(разработка, введение, актуализация политики
безопасности компании...
Ключевые процессы СОИБ
1. Процесс планирования
• Выявление, анализ и проектирование способов обработки рисков
информационн...
Ключевые процессы СОИБ
2. Процесс внедрения
• Процесс внедрения ранее спланированных методов обработки
рисков.
• Процесс в...
Ключевые процессы СОИБ
3. Процесс мониторинга функционирующих процессов
СОИБ
• При мониторинге процессов СОИБ следует помн...
Ключевые процессы СОИБ
4. Процесс совершенствования СОИБ
• Строится в соответствии с результатами мониторинга СОИБ, которы...
Компоненты СОИБ
• Разложив процесс обеспечения информационной
безопасности на более простые составляющие
(компоненты – сле...
Компоненты СОИБ
• Распределение обязанностей и ответственности.
• Повышение осведомленности сотрудников в вопросах информа...
Используйте то, что у Вас уже есть!
• Политика ИБ: следует разработать
• Технические средства: многие из них у Вас уже есть
Пример №1: Идентификация и аутентификация
• Идентификация и аутентификация пользователей, являющихся работниками
предприят...
Пример №2: Управление доступом
• Управление учетными записями пользователей.
• Реализация необходимых методов, типов и пра...
Существующее решение
Существующее решение
Разрешить
всё
Запретить
всё
кроме…кроме…
Пример №3: Ограничение программной среды
Существующее решение
Пример №3: Регистрация событий безопасности
• Определение событий безопасности, подлежащих регистрации, и сроков
хранения ...
Существующее решение
Существующее решение
Kaspersky Security Center
Пример №4: Антивирусная защита
Пример №5: Контроль уязвимостей
• Выявление, анализ уязвимостей информационной системы и оперативное
устранение вновь выяв...
Существующее решение
Kaspersky Security Center
Пример №6: Защита среды виртуализации
• Идентификация и аутентификация в виртуальной инфраструктуре, в том
числе администр...
http://contosoweb.red.com
14.1.1.100
http://contosoweb.blue.com
14.1.1.100
NVGRE
Облако поставщика услуг
«Красная» компани...
Существующее решение
Kaspersky Security для виртуальных сред
Удобное
управление
Единая консоль
управления
Применение
политик
Простой
интерфейс
Подробные
отчеты
Защита ВМ
Автоматическа...
Пример №7: Защита компонентов информационной
системы и систем передачи данных
• Обеспечение защиты информации при ее перед...
Шлюзы
Сервера приложений
Средства администрирования KSC
VPN
+ смартфоныРабочие
станции
+ ноутбуки
Сервер баз данных
+ удал...
Шлюзы
Сервера приложений
Средства администрирования KSC +
Расширенный функционал
VPN
+ смартфоныРабочие
станции
+ ноутбуки...
Шлюзы
Сервера приложений
Microsoft System CenterVPN
+ смартфоныРабочие
станции
+ ноутбуки
Сервер баз данных
+ удаленные оф...
• Мы рассмотрели лишь некоторые
из очевидных технических решений
по обеспечению ИБ.
• Не стоит думать, что СОИБ – удел тол...
«Астерит» на рынке информационной безопасности
• С 2001 года на рынке информационной безопасности
• Поставщик решений и ус...
Лицензии ФСТЭК, ФСБ
Возможности лицензиата
• Проекты по защите информации «под ключ»
• Выполнение работ в соответствии с законодательством
• К...
Почему «аутсорсинг»?
Организация
• Ограниченность
ресурсов
• Текучесть кадров
• Недостаточная
квалификация
• Отсутствие
не...
Спасибо за внимание!
Марат Хазиев
haziev@asterit.ru
Upcoming SlideShare
Loading in …5
×

Астерит: ИБ это не продукт, а процесс

453 views

Published on

Published in: Business
  • Be the first to comment

  • Be the first to like this

Астерит: ИБ это не продукт, а процесс

  1. 1. Информационная безопасность как процесс, а не продукт Марат Хазиев Руководитель отдела продаж
  2. 2. Идея доклада – поделиться опытом … • По защите информации. • По оптимизации времен`ных и финансовых затрат при обеспечении ИБ. • По реализации базовых мер по защите информации с помощью существующих в организации продуктов и ресурсов. • Использования необходимого и достаточного набора средств технической защиты информации.
  3. 3. Информационная безопасность - это не продукт, а процесс • Информационная безопасность - это длительный и сложный процесс, состоящий из множества элементов. • Одна недоработка неизбежно приводит к существенному ослаблению всей системы. • Как и ко всякому мероприятию, нужен комплексный подход. • Я расскажу об основных направлениях и концепциях процесса обеспечения информационной безопасности. • Мы рассмотрим задачу с разных точек зрения: как с точки зрения ИТ-специалиста, ИТ-руководителя, так и с позиции руководителя (или собственника) предприятия.
  4. 4. Что есть угрозы информационной безопасности? • Нарушение конфиденциальности (утечка, разглашение) • Нарушение работоспособности (дезорганизация работы) • Нарушение целостности и достоверности информации
  5. 5. Стадии обеспечения ИБ • Реализация административных мер (разработка, введение, актуализация политики безопасности компании, частных политик, регламентов, инструкций) • Реализация юридических мер (комплекс мер по введению положения о коммерческой тайне, подписанию приложений о конфиденциальности во все договоры компании) • Реализация технических мер (обеспечение физической защиты и внедрение технических средств, систем защиты от распространения информации)
  6. 6. Ключевые процессы СОИБ 1. Процесс планирования • Выявление, анализ и проектирование способов обработки рисков информационной безопасности. • При создании этого процесса следует разработать методику категорирования информационных активов и формальной оценки рисков на основе данных об актуальных для рассматриваемой информационной инфраструктуры угрозах и уязвимостях.
  7. 7. Ключевые процессы СОИБ 2. Процесс внедрения • Процесс внедрения ранее спланированных методов обработки рисков. • Процесс включает процедуру запуска нового процесса обеспечения информационной безопасности, либо модернизации существующего. • Особое внимание следует уделить описанию ролей и обязанностей, а также планированию внедрения.
  8. 8. Ключевые процессы СОИБ 3. Процесс мониторинга функционирующих процессов СОИБ • При мониторинге процессов СОИБ следует помнить, что мониторингу подлежат … • как процессы Системы Менеджмента Информационной Безопасности» (принимающей решения о том, какие риски и как обрабатывать) • так и объект управления – непосредственно процесс обработки рисков, составляющих Систему Информационной Безопасности (СИБ)
  9. 9. Ключевые процессы СОИБ 4. Процесс совершенствования СОИБ • Строится в соответствии с результатами мониторинга СОИБ, который делает возможным реализацию корректирующих и превентивных мер.
  10. 10. Компоненты СОИБ • Разложив процесс обеспечения информационной безопасности на более простые составляющие (компоненты – следующий слайд), мы достигаем необходимого уровня управляемости. • Своевременно реагируя на изменение картины информационных рисков, мы изменяем соответствующие процессы системы обеспечение информационной безопасности и тем самым поддерживаем её актуальность.
  11. 11. Компоненты СОИБ • Распределение обязанностей и ответственности. • Повышение осведомленности сотрудников в вопросах информационной безопасности. • Обеспечение непрерывности бизнес-процессов. • Мониторинг информационной инфраструктуры. • Безопасное хранение данных. • Управление доступом к данным. • Управление информационной инфраструктурой. • Управление изменениями. • Управление инцидентами и уязвимостями. • Защита от вредоносного кода. • Взаимодействие с третьими сторонами. • Управление аутентификацией и парольная защита. • Обеспечение физической безопасности. • Криптографическая защита и управление ключами.
  12. 12. Используйте то, что у Вас уже есть! • Политика ИБ: следует разработать • Технические средства: многие из них у Вас уже есть
  13. 13. Пример №1: Идентификация и аутентификация • Идентификация и аутентификация пользователей, являющихся работниками предприятия. • Управление идентификаторами, в том числе создание, присвоение, уничтожение идентификаторов. • Управление средствами аутентификации, в том числе хранение, выдача, инициализация, блокирование средств аутентификации и принятие мер в случае утраты и (или) компрометации средств аутентификации. • Защита обратной связи при вводе аутентификационной информации. • Идентификация и аутентификация пользователей, не являющихся работниками предприятия (внешних пользователей).
  14. 14. Пример №2: Управление доступом • Управление учетными записями пользователей. • Реализация необходимых методов, типов и правил разграничения доступа. • Управление информационными потоками между устройствами и сегментами информационной системы (фильтрация, маршрутизация, контроль соединений, однонаправленная передача и иные способы управления). • Разделение полномочий пользователей, администраторов и лиц, обеспечивающих функционирование информационной системы. • Назначение минимально необходимых прав. • Ограничение неуспешных попыток входа в информационную систему. • Блокирование сеанса доступа в информационную систему после установленного времени бездействия. • Реализация защищенного удаленного доступа через внешние каналы. • Регламентация и контроль использования технологий беспроводного доступа и использования мобильных устройств. • Управление взаимодействием с внешними информационными системами.
  15. 15. Существующее решение
  16. 16. Существующее решение
  17. 17. Разрешить всё Запретить всё кроме…кроме… Пример №3: Ограничение программной среды
  18. 18. Существующее решение
  19. 19. Пример №3: Регистрация событий безопасности • Определение событий безопасности, подлежащих регистрации, и сроков хранения информации. • Определение состава и содержания информации о событиях безопасности, подлежащих регистрации. • Сбор, запись и хранение информации о событиях безопасности в течение установленного времени хранения. • Защита информации о событиях безопасности.
  20. 20. Существующее решение
  21. 21. Существующее решение Kaspersky Security Center
  22. 22. Пример №4: Антивирусная защита
  23. 23. Пример №5: Контроль уязвимостей • Выявление, анализ уязвимостей информационной системы и оперативное устранение вновь выявленных уязвимостей. • Контроль установки обновлений программного обеспечения, включая обеспечения средств защиты информации. • Контроль работоспособности, параметров настройки и правильности функционирования программного обеспечения и средств защиты информации. • Контроль состава программного обеспечения и средств защиты информации.
  24. 24. Существующее решение Kaspersky Security Center
  25. 25. Пример №6: Защита среды виртуализации • Идентификация и аутентификация в виртуальной инфраструктуре, в том числе администраторов управления средствами виртуализации. • Управление доступом в виртуальной инфраструктуре, в том числе внутри виртуальных машин. • Регистрация событий безопасности в виртуальной инфраструктуре. • Реализация и управление антивирусной защитой в виртуальной инфраструктуре. • Сегментация в виртуальной инфраструктуре.
  26. 26. http://contosoweb.red.com 14.1.1.100 http://contosoweb.blue.com 14.1.1.100 NVGRE Облако поставщика услуг «Красная» компания 192.168.0.0/24 192.168.0.0/24 «Синяя» компания Существующее решение
  27. 27. Существующее решение Kaspersky Security для виртуальных сред
  28. 28. Удобное управление Единая консоль управления Применение политик Простой интерфейс Подробные отчеты Защита ВМ Автоматическая защита Защита от угроз «нулевого дня» Оптимизация проверки файлов (Shared Cache) Высокая производительность Защита на уровне сети Система обнаружения и предотвращения вторжений (IDS/IPS) Проверка сетевого трафика Гибкое лицензирование Лицензирование: - по числу ВМ - по числу ядер процессоров Существующее решение
  29. 29. Пример №7: Защита компонентов информационной системы и систем передачи данных • Обеспечение защиты информации при ее передаче по каналам связи. • Защита беспроводных соединений.
  30. 30. Шлюзы Сервера приложений Средства администрирования KSC VPN + смартфоныРабочие станции + ноутбуки Сервер баз данных + удаленные офисы Существующее решение №1
  31. 31. Шлюзы Сервера приложений Средства администрирования KSC + Расширенный функционал VPN + смартфоныРабочие станции + ноутбуки Сервер баз данных + удаленные офисы Существующее решение №2
  32. 32. Шлюзы Сервера приложений Microsoft System CenterVPN + смартфоныРабочие станции + ноутбуки Сервер баз данных + удаленные офисы Существующее решение №3
  33. 33. • Мы рассмотрели лишь некоторые из очевидных технических решений по обеспечению ИБ. • Не стоит думать, что СОИБ – удел только крупного бизнеса. Практика показывает, что живая система обработки информационных рисков, которой является набор процессов СОИБ, является доступной и для небольших организаций, при этом может быть эффективнее «монструозных» систем. Используйте то, что у Вас уже есть!
  34. 34. «Астерит» на рынке информационной безопасности • С 2001 года на рынке информационной безопасности • Поставщик решений и услуг для построения эффективной и безопасной IT-инфраструктуры предприятия • Сертифицированный партнер вендоров информационной безопасности • Лицензиат ФСТЭК и ФСБ • Опыт реализации проектов по защите информации для организаций различной специфики
  35. 35. Лицензии ФСТЭК, ФСБ
  36. 36. Возможности лицензиата • Проекты по защите информации «под ключ» • Выполнение работ в соответствии с законодательством • Консалтинг по вопросам защиты информации • Подготовка к проверкам регулирующих и надзорных органов • Независимый аудит и оценка соответствия
  37. 37. Почему «аутсорсинг»? Организация • Ограниченность ресурсов • Текучесть кадров • Недостаточная квалификация • Отсутствие необходимого опыта • Большие сроки реализации проектов Аутсорсер • Независимый внешний аудит • Сертифицированные специалисты • Опыт реализации проектов • Техническая и методическая поддержка • Четкие границы ответственности Организация Аутсорсер - Реальный результат - Экономическая выгода - Разделение ответственности
  38. 38. Спасибо за внимание! Марат Хазиев haziev@asterit.ru

×