Data Centric Security Strategy

5,692 views

Published on

Published in: Self Improvement
0 Comments
1 Like
Statistics
Notes
  • Be the first to comment

No Downloads
Views
Total views
5,692
On SlideShare
0
From Embeds
0
Number of Embeds
4,671
Actions
Shares
0
Downloads
42
Comments
0
Likes
1
Embeds 0
No embeds

No notes for slide

Data Centric Security Strategy

  1. 1. Использование решений Cisco вИТ-инфраструктуре Cisco:стратегия обеспечениябезопасности, ориентированнаяна защиту данных COCSEC-2985 © 2011 Cisco and/or its affiliates. All rights reserved. Cisco Public 1
  2. 2. План презентации Причины разработки стратегии ИБ, ориентированной на защиту данных: • Отраслевые тенденции • Особенности Cisco Изменения стратегий ИБ: план Cisco Система обеспечения ИБ, ориентированная на защиту данных, в Cisco • Политика • Обучение • Архитектура • Методики РезюмеCOCSEC-2985 © 2011 Cisco and/or its affiliates. All rights reserved. Cisco Public 2
  3. 3. Отраслевые тенденции Исследование Cisco – «Connected World Report» 59% сотрудников хотят использовать для работы личные устройства 7 млрд новых беспроводных устройствах к 2015 году, 22 млрд к 2020 году [данные IDC] 40% организаций планируют использовать облачные сервисы Оценки роста объема данных 35 Зеттабайт к 2020 годуДанные присутствуютповсюду– на устройствахсотрудников, вкорпоративной сетии в облакеИсточник: Cisco Connected World Report 2010, статья в журнале Economist: Leaky CorporationCOCSEC-2985 © 2011 Cisco and/or its affiliates. All rights reserved. Cisco Public 3
  4. 4. Утечки/утери данныхИнформацию в цифровом виде просто хранить.Но ее также легко потерять или украсть! Datalossdb.org Нарушения безопасности персональных данных Секретные проекты, финансовые данные и т. п... Wikileaks Организациям необходимо принять 2 решения: что действительно необходимо защищать и как обеспечить оптимальную защиту ценных ресурсовCOCSEC-2985 © 2011 Cisco and/or its affiliates. All rights reserved. Cisco Public 4
  5. 5. Особенности Cisco Глобальная компания, мобильные сотрудники, большая экосистема сотрудников, партнеров, поставщиков, заказчиков Программа доступа с любого устройства запущена в 2009 году Активная поддержка сред совместной работы - WebEx, корпоративные социальные сети – как внутренних, так и с доступом заказчиков/партнеров Cisco поддерживает облачные решения – SaaS, IaaS – как для внутреннего использования, так и общедоступные Постоянно растет популярность решений для мобильных устройствК чему это приводит?Корпоративные данные Корпоративные данные повсюдув закрытой корпоративной (неконтролируемые устройства/ИТ-инфраструктуре облако)COCSEC-2985 © 2011 Cisco and/or its affiliates. All rights reserved. Cisco Public 5
  6. 6. Принятые в Cisco методики защиты информации: реализация концепция многоуровневой защиты Совместная работа/виртуализация Информация ЭТАП 4 Приложения и СУБД Защита приложенийРиски Мобильность и доступ ЭТАП 3 Защита оконечных устройств Приоритет: ЦОД ЭТАП 2 Защита периметра ЭТАП 1 1980 1990 2000 2010 Время COCSEC-2985 © 2011 Cisco and/or its affiliates. All rights reserved. Cisco Public 6
  7. 7. Направления развития 2010 2013 Управляемая Доверенное устройство,(Windows, Blackberry) Платформа PlatformV, ContentV Различные средства Встроенные средства + Оконечные устр-ва Anyconnect + MDM Сертификаты устройств, Аутентификация Сущности, политика TrustSec, федерация, пользователей учет контекстаОконечные устройства, инфраструктура, Сервисы ИБ Сеть, облако приложения (IPS, WSA, WAF, Scansafe, DLP, VSG) COCSEC-2985 © 2011 Cisco and/or its affiliates. All rights reserved. Cisco Public 7
  8. 8. Модель безопасности, ориентированная на защиту данных (DCSM) Сопоставление бизнес-стратегии и стратегии обеспечения ИБ на основании общего множества данных Переход от защиты сети и хостов к защите данных при использовании, передаче и хранении Оценка значимости данных, последующее применение мер обеспечения ИБ в рамках их жизненного цикла Решения на основе данных Владение Классификация Управление/защита определяются классом данных Источник: статья IBM “Data-Centric Security”, декабрь 2006 г. COCSEC-2985 © 2011 Cisco and/or its affiliates. All rights reserved. Cisco Public 8
  9. 9. Реализация стратегии обеспечения ИБ,ориентированной на защиту данныхДанный подход необходимо внедрить вмасштабах всей организации: Политики и стандарты Обучение и информированность пользователей Архитектура МетодикиCOCSEC-2985 © 2011 Cisco and/or its affiliates. All rights reserved. Cisco Public 9
  10. 10. Политики и стандарты,ориентированные на защиту данныхПринятие решения на основе данных – идентификация,классификация, проверка Идентификация владельца данных Классификация данных в соответствии с уровнем конфиденциальности Проверка существования средств управления/защиты в соответствии с результатами классификации КлассификацияНоситель Управление/защитаCOCSEC-2985 © 2011 Cisco and/or its affiliates. All rights reserved. Cisco Public 10
  11. 11. Стандарты, ориентированные на защиту данных: примерыКатегория Cisco Confidential Cisco Highly Cisco Restricted ConfidentialПримеры: Большая часть Сведения о Сведения о сделках, документов компании безопасности, ПДн медицинские данные, финансовые сведенияКонтроль доступа и Доступны сотрудникам Доступны Доступ ограничен явнораспространение: Cisco, кроме того, доступ ограниченному кругу перечисленным кругомлюбой носитель может предоставляться сотрудников Cisco, лиц; доступ предоставляет посторонним лицам, для доступ может по решению владельца решения легитимной предоставляться данных бизнес-задачи посторонним лицам, для решения легитимной бизнес-задачи; доступ предоставляет по решению владельца данныхСпособ передачи: Шифрование Шифрование Шифрование обязательноэлектронная почта рекомендуется при обязательно при при любой передаче передаче документов и передаче документов и данных; средства: WinZip сообщений электронной сообщений электронной или CRES почты по открытым почты по открытым сетям общего сетям общего пользования; средства: пользования; средства: WinZip или CRES WinZip или CRESХранение: носитель Нет требований Шифрование данных Шифрование данных(DVD, USB- рекомендуется обязательнонакопитель) COCSEC-2985 © 2011 Cisco and/or its affiliates. All rights reserved. Cisco Public 11
  12. 12. Обучение и информированность пользователейОбеспечение безопасности – обязанность всех сотрудников CiscoПример: серия видеороликов Genoodle Повышение информированности и вовлечение сотрудников путем активного и поощряемого участия в проекте Использование платформ социальных сетей и мультимедийных средств Разрушения языковых и культурных барьеров с помощью кукол Демонстрация решений Cisco COCSEC-2985 © 2011 Cisco and/or its affiliates. All rights reserved. Cisco Public 12
  13. 13. Архитектуры,ориентированные на защитуданных: опыт CiscoCOCSEC-2985 © 2011 Cisco and/or its affiliates. All rights reserved. Cisco Public 13
  14. 14. Архитектура, ориентированная назащиту данных: пример № 1Репозиторий данных Crown-Jewel Критерии: • Данные уровня не ниже Highly Confidential • Поддержка критически важных бизнес- процессов • Данные, регламентируемые нормативными требованиями • Данные для аутентификации/авторизации пользователейCOCSEC-2985 © 2011 Cisco and/or its affiliates. All rights reserved. Cisco Public 14
  15. 15. Архитектура, ориентированная на защитуданных: пример № 1Репозиторий данных Crown-Jewel (продолжение) Средства управления безопасностью в среде Crown-Jewel  Аутентификация и авторизация пользователей и приложений/операций доступа к хостам  Целостность DBlink и жизненного цикла приложений  Аудит и журналирование доступа  Поддержка актуальности версий СУБД и патчей в сфере безопасности  Формализованный и контролируемый доступ в рамках защищенного сегмента сети  Принятые стандарты повышения уровня защищенности СУБД и операционных систем  Повышение управляемости и расширение возможностей мониторинга партнерского доступа к экстранету  Умышленное искажение или маскирование данных при репликации в тестовых целях  Шифрование данных COCSEC-2985 © 2011 Cisco and/or its affiliates. All rights reserved. Cisco Public 15
  16. 16. Архитектура, ориентированная на защиту данных: пример № 2 Анализ данных “All or Nothing” “All or Nothing” Доку- Доку- менты ментыПользователь Cisco Пользователь Cisco Шлюз Шлюз экстранета экстранета Прил. ACL Прил. ACL Фильтрация B по URL B Фильтрация Анализ по URL данных Прил. Прил. C C Ineffective with portlets Работа на Работа на основе основе доверия доверия с проверкой По мере увеличения количества партнеров, пользующихся экстранетом, и расширения способов доступа к экстранету анализ данных становится критически важным механизмом поддержания требуемого уровня защищенности ИТ-инфраструктуры COCSEC-2985 © 2011 Cisco and/or its affiliates. All rights reserved. Cisco Public 16
  17. 17. Архитектура, ориентированная назащиту данных: пример № 3Облачная система хранения данных Интернет ДМЗ Внутренняя сеть Внешний пользователь Приложение Приложение • Данные в облаке всегда зашифрованы Метаданные • Ключи шифрования приложений защищены и Оператор хранятся в системы хранения собственной ИТ- Ключи инфраструктуре шифрования организации • Оптимизация производительности Внутренний пользовательCOCSEC-2985 © 2011 Cisco and/or its affiliates. All rights reserved. Cisco Public 17
  18. 18. Используемые в Ciscoметодики, ориентированныена защиту данныхCOCSEC-2985 © 2011 Cisco and/or its affiliates. All rights reserved. Cisco Public 18
  19. 19. Методики, ориентированные на защиту данных: пример № 1 Оценка уязвимости приложений (AVA) на основании рисков Выделенные специалисты - Крити- аналитики ческийУстаревшие в сфере ИБ Анализприложения экспертами Оценка Новые рисков приложения (показатель) Средний риск БазовыйПриложения с известными Самооб- служи- анализ Самообслу-уязвимостями вание Средства AVA живание Архитектор безопасности Низкий риск Базовый анализ Самообслуживание Факторы классификации данных для расчета показателей рисков Разработчики Специалисты по QA-тестированию COCSEC-2985 © 2011 Cisco and/or its affiliates. All rights reserved. Cisco Public 19
  20. 20. Методики, ориентированные на защитуданных: пример № 2Анализ безопасности системы оператора облачнойсистемы/провайдера услуг Уровень осмотрительности в соответствии с профилем риска Данные, регламентируемые нормативными требованиями, или конфиденциальные данные приводят к автоматическому присвоению оператору облачной системы/провайдеру услуг высокого уровня риска Анализ при высоком уровне риска включает периодическую оценку уязвимости систем и регулярное проведение аудита безопасностиCOCSEC-2985 © 2011 Cisco and/or its affiliates. All rights reserved. Cisco Public 20
  21. 21. Методики, ориентированные назащиту данных: пример № 3Внедрение технологий обеспечения ИБ Развертывание технологических решений для обеспечения ИБ в крупной компании, такой как Cisco, может занять долгие годы Развертывание выполняется поэтапно, при этом учитываются типы пользователей, категории данных и типы угроз – • Шифрование файлов на рабочих ПК сотрудников отдела кадров/бухгалтерии/инженеров – первый приоритет • Внедрение TrustSec в средах высокого риска (определенные регионы, офисы, расположенные в бизнес- центрах, зоны общего доступа) • Внедрение Web Application Firewall для систем электронного размещения заказов и приложений Cisco.comCOCSEC-2985 © 2011 Cisco and/or its affiliates. All rights reserved. Cisco Public 21
  22. 22. Бизнес-стимулы: конфиденциальность, защита данных заказчиков, защита интеллектуальной собственности, нормативные требования Интеграция в сфере ИБ Эксплуатация (ИБ)Выбор Оценка Соотв. Анализ Монито- Опросник по ИБ Мониторинг и Периодическаяпоставщ архитектуры нормативн. уязвим. ринг для заказчиков реакция на оценка в сфереика • Стандарты и требован. • Приложение • IPD/IDS • Реакция на вопросы инциденты ИБ политики ИБ, заказчиков в сфере • Анализ журналов и • Анализ• Анализ • Норм. докум. • Инфраструк- • DLP ИБ принятые в Cisco тура событий уязвимостей облака • Обработка • Модели • Схема сети • Уведомления о • Приложения• Анализ интеграции данных критически важных продукта заказчиков • Инфраструктура патчах • Оценка рисков • ИС Cisco • Экспорт • Пентестинг • Юридич. док. Обнаружение и защита с Определение политик и использованием Обеспечение ИБ, основанной стандартов, ориентированных ориентированных на защиту на защите данных на защиту данных данных архитектур и методик COCSEC-2985 © 2011 Cisco and/or its affiliates. All rights reserved. Cisco Public 22
  23. 23. Основные тезисы презентации Трансформация подхода вызвана не только привычными бизнес- стимулами • Необходимость доступа с любого устройства, развитие облачных систем и рост популярности сред совместной работы требуют пересмотра модели управления безопасностью. • Модификация архитектуры безопасности – сущности, политики, данные, сеть Основными особенностями являются фокус на данных как на ключевом объекте и изменение политик • Необходимо учитывать эти особенности при изменении подхода к эксплуатации систем обеспечения ИБ и анализе новых технологических решений • Решения по защите должны приниматься в соответствии с типом данных • Обращайтесь за помощью к экспертам в сфере ИБ COCSEC-2985 © 2011 Cisco and/or its affiliates. All rights reserved. Cisco Public 23
  24. 24. http://www.twitter.com/ciscoit http://www.facebook.com/ciscoitИспользование решений Ciscoв ИТ-инфраструктуре Cisco http://www.youtube.com/ciscoБудниИТ-подразделения http://blogs.cisco.com/ciscoitCisco http:/www.cisco.com/go/ciscoit COCSEC-2985 © 2011 Cisco and/or its affiliates. All rights reserved. Cisco Public 24
  25. 25. COCSEC-2985 © 2011 Cisco and/or its affiliates. All rights reserved. Cisco Public 25
  26. 26. Спасибо за внимание.COCSEC-2985 © 2011 Cisco and/or its affiliates. All rights reserved. Cisco Public 26

×