3. Безопасность инфраструктуры. Зачем?
• Бизнес функции организации
Информационная система (ИС)
Окружение / среда / условия
Обеспечение безопасности
• Инфраструктура – основа ИС
• Безопасность инфраструктуры – база для
безопасной эксплуатации и развития ИС
организации
• Инфраструктура – поставщик услуг безопасности,
обеспечивающих базовые требования
3
4. Как решается: «Как лучше» или «Как обычно»?
Имеются угрозы безопасности ИС
«Нас это не касается!»
«Должно быть.
Так у всех сделано»
Касается всех
Реализуем только то,
что нужно
Проведите анализ
защищенности /пен-тест
Оцените риски,
смоделируйте угрозы
4
5. Суть проблемы
• Создается новая ИС,
• Развиваются
существующие ИС,
• Слияние/поглощение
организаций с их ИС
Под каждую ИС реализуется
• собственная система
защиты
• под собственные
требования
Результат:
• избыточность
компонентов,
• слабая управляемость,
• несогласованность,
• затраты на интеграцию
5
6. Альтернативный подход:
• Создается инфраструктура
• удовлетворяющая базовым требованиям безопасности
• с собственной подсистемой безопасности
• Подход позволяет:
• сократить общие затраты на ИБ
• обеспечить унификацию подхода и платформ
• систематизировать процессы управления ИБ
• Реализуется:
• собственными силами организации
• силами поставщика услуг ИБ
6
9. Реальная безопасность…
• Угрозы бизнесу / деятельности организации
• Выявить проблемные мест в ИС
• Затраты на подсистему защиты.
А оно вам «надо»?
• Чем доказать необходимость и
эффективность применяемой защиты
• Когда начинать работы по реализации?
9
10. … или соответствие требованиям
• Угрозы никуда не исчезли
• Соответствие требованиям регуляторов
• Существуют ли требования?
• Помогают ли они, нужны ли они
10
11. Откуда берутся угрозы / требования ?
• Угрозы в реальной безопасности
• Требования в области соответствия
• Регуляторы, нормативные документы
• Типы ИС, обрабатываемая информация и
источники требований
• Пересечение состава требований - базовый
уровень обеспечения безопасности
11
12. Консолидация требований ИБ к ИС
РДпоНСДАС(1Г)
ЗащитаИСПДн(УЗХ)
СТР-К
ISO27001|27002
BSI25999|ISO25777
TIA/EIA-942(TireIII)
Пр.416/489(Класс1)
Результирующие
требования
Требования по управлению доступом + + + + + +
Требования по регистрации и учету + + + + +
Требования по обеспечению целостности + + + +
Требования по защите от вредоносного кода + + +
Требования по защите межсетевого взаимодействия + + +
Требования по использованию СКЗИ + + + +
Требования к техническим средствам + + +
Требования к использованию СЗИ + + +
Требования по организации обеспечения ИБ + + + +
Требования к надежности и доступности + + +
Требования к ИС общего пользования + +
Требования непрерывности бизнеса и восстановлению
после сбоев
+ + + +
12
14. Требования
ИБ для ЦОД
Требования
ИБ для ЦОД
УровниинфраструктурыЦОД
Уровень
обработки данных
Уровень
хранения данных
Уровень управления
и мониторинга
Уровень
представления данных
Уровень
доступа
Уровень
интеграции
Управлению
доступом
Регистрация
иучет
Обеспечение
целостности
Защитаот
вредногокода
Применение
СКЗИ
Физическая
защита
Контроль
защищенности
Предотвращение
вторжений
Управление
безопасностью
Отказоустой-
чивость
Уровень инженерной
инфраструктуры
Доступность
Распределение базовых требований по
уровням архитектуры
Требования ИБ для
инфраструктуры
Уровниархитектуры
14
15. Уровень
обработки данных
Уровень
хранения данных
Уровень управления
и мониторинга
Уровень
представления данных
Уровень
доступа
Уровень
интеграции
Уровень инженерной
инфраструктуры
Инфраструктура
хранения данных
Телеком.
инфраструктура
Инфраструктура
репликации ЦОДов
Вычислительная
инфраструктура
Сетевая
инфраструктура
Инфраструктура
контроля и управления
Инженерная
инфраструктура
Уровнитехническойархитектуры
УровниинфраструктурыЦОД
Распределение базовых требований по
уровням инфраструктуры
Уровниархитектуры
Уровниинфраструктуры
СХД
15
17. Защитный меры
• Организационные
• персонал
• оргструктура
• процессы
безопасности
• функции
• Технические
• архитектура
• автоматизация
процессов
• средства защиты
Угрозы
(модель)
Меры
(требования)
Средства
защиты
Контроль
защищенности
17
18. Средства защиты
Телеком.
инфраструктура
Инженерная
инфраструктура
Инфраструктура
репликации
ЦОДов
Инфраструктура
контроля и
управления
Инфраструктура
хранения данных
Вычислительная
инфраструктура
Сетевая
инфраструктура
Подключение
провайдеров
Подключение
ведомств
Уровень ОС
Уровень
гипервизора
Уровень серверного
оборудования
Виртуальная
среда
ЛВС ЦОД ФНС
ЛВС ИИСЭБ
Сеть хранения
Хранилища данных
Архивы и резервные
копии
Система
монтроринга
Система управления
На уровне ЛВС
На уровне СХД
Комплексные сист.
безопасности
Гарантированное
обеспечени
МЭ
МЭ
МЭ
МЭ
МЭ
IPS
IPS
IPS
IDS
HIDS
IPS
HIDS
VPN
VPN
DDoS AV
AV
AV
AV
AV
AV
НСД
НСД
НСД ЭЗ
ЭЗ
НСД
НСД
VPN
КЗ
КЗ
КЗ
КЗ
КЗ
КЗ
КЗ
КЗ
КЗ
КЗ
КЗ
МЭ
VPN
SIEM
SIEM
SIEM
SIEM
SIEM
SIEM
SIEM
SIEM
SIEM
SIEM
SIEM
SIEM
SIEM
SIEM
SIEM
НСДAV
AV
HIDS
Орг.Меры
IDM
IDM
IDM
IDM
IDM
IRM
SC
SC
SC
SC
DLP
DLP
DLP
ФБ
ФБ
ФБ
ФБ
ФБ
ФБ
ФБМЭ
ФБ
ФБ
МЭ
IPS
IDS
HIDS
VPN
DDoS
AV
НСД
ЭЗ
КЗ
SIEM
IDM
IRM
SC
DLP
ФБ
Мэжсетевое экранирование
Предотвращение вторжений
Обнаружение вторжений
Обнаружение вторжений
на уровне хоста
Создание VPN
Предотвращение атак
типа «отказ в обслуживании»
Защита от вредоносного кода
(антивирусные средства)
Защита от
несанкционированного доступа
Доверенная загрузка и
обеспечение целостности ПО
Контроль защищенности
Управление событиями ИБ
(SIEM)
Управление учетными данными
пользователей
Управление правами доступа к
данным
Усиленная аутентификация
(Smart Card|USB Token)
Предотвращение утечки
данных
Физическая безопасность
элементов18
20. Что делать?
• Реализация базового уровня:
• Организационных мер
• Технических мер
• СЗИ и КСЗИ
• сертифицированные
• несертифицированные
• Где взять знания/компетенции:
• Своими силами – собственные службы ИБ
• Чужими руками – поставщик услуг ИБ
20
21. ВЫВОДЫ
1. Инфраструктура, отвечающая базовым требованиям ИБ снижает общее
расходы на создание и развитие ИС
2. Организация может самостоятельно реализовать Базовые требования
ИБ или с привлечением поставщиков услуг ИБ
Приглашаем к сотрудничеству!
21
23. ГК «Информзащита»
Группа компаний «Информзащита» специализируется в области
обеспечения безопасности информационных систем и уже 20 лет
является лидером российского рынка ИБ.
23
27. Лицензии и сертификаты
Высокое качество предоставляемых
услуг подтверждается наличием лицензий
и аккредитаций на полный спектр услуг по
защите информации начиная от
разработки средств защиты и заканчивая
аттестацией готовых систем.
Компания активно принимает участие
в работе экспертных групп, направленных
на формирование нормативной базы в
области защиты информации.
27
28. Спасибо за внимание
Константин Феоктистов
Главный архитектор
Департамент комплексных решений
ЗАО НИП «ИНФОРМЗАЩИТА»
Тел: +7 (495) 980-2345
k.feoktistov@infosec.ru
Editor's Notes
Выявить проблемные мест в системе:
Проведите анализ защищенности, пен-тест
Смоделируйте векторы атак на вашу ИС
Протестируйте надежность механизмов защиты
Затраты на подсистему защиты
Стоит дорого и в планы не входило
Нет гарантии, что угрозы реализуются
«Как бы» самому бизнесу и не дает ничего
Чем доказать необходимость и эффективность защитных механизмов
Если угроза реализуется, и ущерб будет, то зачем все расходы? Не помогло
Если угроза реализуется, но ущерба нет (потому что защищено), то «как бы» и не было ничего.
Когда начинать?
Гром не грянет – мужик не зарезервируется
Как можно раньше (на любом этапе):
бизнес планирование – процессы управления ИБ
проектирование ИС – архитектура подсистемы защиты
реализация – средства защиты и персонал
эксплуатация ИС – систематическая оценка рисков
в реальной безопасности
результат пен-тестов, анализа защищенности
результат анализа рисков, проведения самооценки защищенности
результат анализа журналов событий систем и средств защиты
анализ проектной документации на существующую/создаваемую систему
в области соответствия
корпоративные требования
требований законодательства
требования гос.регуляторов
ФСТЭК
РД АС для защиты от НСД
Приказ 21 для ИС ПДн
Приказ 17 для защиты ГИС
ФСБ
Приказ 378 об использовании СКЗИ
требования отраслевых регуляторов
ЦБ
СТО БР ИББС
Положение 382П (НПС)
типы информационных систем и источник требований к ним
ИС обрабатывающее Инф. ограниченного доступа
Требований НСД, конфиденциальность данных
ИС ПДн
Конфиденциальность, целостность, доступность
ИС ОП
Доступность, целостность
ГИС
в зависимости от состава обрабатываемой информации
АСУ ТП, КСИИ, КВО
Целостность, доступность, конфиденциальность
базовый уровень обеспечения безопасности
пересечение состава требований
в основном находится на уровне инфраструктуры
реализуется ИТ-службой на уровне инфраструктуры, лежащей в основе всех ИС
позволяет снизить объем внедряемых защитных мер на всех проектах
Угрозы (модель) -->
... Меры (требования) -->
... ... Средства защиты -->
... ... ... контроль защищенности
Защитные меры
виды
Организационные
персонал
штатный
подбирать
нанимать
учить
удерживать
нештатный
аутсорс ИБ
договорные отношения
оргструктура
спец. подразделения
ответственные
уполномоченные
процессы безопасности
(цикл управления ИБ)
Планирование
Реализация
Контроль
Оценка эффективности
функции
функциональные обязанности
Технические
архитектура
резервирование
дублирование
сегрегация сетей
автоматизация процессов
резервное копирование и восстановление
действия в аварийных ситуациях
управление обновлениями
управление полномочиями
Средства защиты
извечный русский вопрос
кто виноват?
Вопрос риторический ???
отсутствие интереса у руководства
отсутствие общей системы менеджмента
в частности, отсутствие системы менеджмента ИБ
и процессов её составляющих
что делать?
собственными силами развивать компетенции в области безопасности
определять (учиться проводить качественную оценку рисков) что важно для бизнеса в области ИТ
приглашать специализированных поставщиков, компетентных в вопросах безопасности
планировать развитие системы защиты информации
Удивительный вы человек, Александр Иванович. С таким счастьем – и на свободе. О. Бэндер
как реализуется
Оргмерами
ответственный
политики
функциональные обязанности
обучение и информирование
техническими средствами
сертифицированными
обязательно при наличии таких требований
на соответствие требованиям
на НДВ
несертифицированными
Как решать задачу?
Своими силами
Запуск программы по созданию подразделения, ответственного за безопасность, подготовка кадров, проектирование, создание, экспплуатация... Долго, дорого, компетентность зависит от стоимости кадров
Чужими руками
безопасность как услуга на всех этапах жизненного цикла процесса обеспечения безопасности: проектирование процессов и систем защиты, создание и ввод в эксплуатацию, техническая поддержка и сопровождение, развитие и модернизация под изменяющиеся условия