Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

DLP for top managers

9,304 views

Published on

  • Sex in your area is here: ♥♥♥ http://bit.ly/39mQKz3 ♥♥♥
       Reply 
    Are you sure you want to  Yes  No
    Your message goes here
  • Dating for everyone is here: ❤❤❤ http://bit.ly/39mQKz3 ❤❤❤
       Reply 
    Are you sure you want to  Yes  No
    Your message goes here

DLP for top managers

  1. 1. DLP с точки зрения топ-менеджераАлексей Лукацкий, бизнес-консультант по безопасности© Cisco, 2010. Все права защищены. 1/58
  2. 2. DLP 1.0 Это модно и круто! DLP 2.0 Блин! Груз проблем велик! DLP 3.0 Привязать к бизнесу!© Cisco, 2010. Все права защищены. 258
  3. 3. © Cisco, 2010. Все права защищены. 3
  4. 4. Топ-менеджер Решение Решение бизнес- задач задач ИБ Безопасник© Cisco, 2010. Все права защищены. 458
  5. 5. © Cisco, 2010. Все права защищены. 558
  6. 6. Цели топ- Операционные менеджмента цели Цели ИБ Финансовые Цели ИТ цели  Цели ИБ в данной ситуации вторичны, т.к. их никто не понимает кроме службы ИБ Грустно это признавать, но это так© Cisco, 2010. Все права защищены. 658
  7. 7. COO • Снижение лояльности клиентов за счет утечки их персональных данных CFO • Снижение дохода за счет хищения интеллектуальной собственности CEO • Подрыв репутации и снижение курса акций в результате утечки финансовой информации CLO • Иски и штрафы за счет нарушения нормативных требований© Cisco, 2010. Все права защищены. 758
  8. 8. Управление рисками Защита от вирусов и бизнеса вредоносного ПО Планирование Защита хостов непрерывности бизнеса Защита приложений Соответствие Криптография требованиям Восстановление после Контракты и катастроф взаимоотношения с третьими сторонами Сетевая безопасность Лояльность© Cisco, 2010. Все права защищены. 858
  9. 9. Регулятивные Финансовые Операционные© Cisco, 2010. Все права защищены. 958
  10. 10. • DLP-решение обеспечивает предотвращение или контроль утечек информации ограниченного доступа, к которой согласно российскому законодательству относят Конфиденциальную информацию (она же информация ограниченного доступа) Государственную тайну• В российском законодательстве существует около 50 видов тайн Все они требуют защиты• Нарушение не каждой из тайн влечет за собой наказание© Cisco, 2010. Все права защищены. 1058
  11. 11. • В российском праве отсутствует единая классификация тайн Указ президента №188 – только одна из попыток (не самая удачная)• Также отсутствует четкое правовое понятие терминов «тайна» и «конфиденциальная информация»• В различных нормативных актах Конфиденциальная информация приравнивается к гостайне Конфиденциальная информация противопоставляется гостайне Конфиденциальная информация включает тайну связи или находится с ней на одном и том же уровне иерархии Конфиденциальная информация не относится к охраняемой законом© Cisco, 2010. Все права защищены. 1158
  12. 12. • Сведения об операциях, счетах и вкладах ее клиентов и корреспондентов, а также об иных сведениях, устанавливаемых кредитной организацией Определена в ФЗ 395-1 «О банках и банковской деятельности», 857 ГК РФ, Таможенный кодекс РФ, ФЗ «О реструктуризации кредитных организаций» Наказание за разглашение - 183 УК РФ, 81 ТК РФ Примеров наказания руководства компаний практически нет© Cisco, 2010. Все права защищены. 1258
  13. 13. • Любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация Определены в 143-ФЗ «Об актах гражданского состояния», 152-ФЗ «О персональных данных», 242-ФЗ «О государственной геномной регистрации в РФ» и т.д. Наказание за разглашение - 13.11 КоАП, 137 УК РФ, 81 ТК РФ Примеров наказания руководства компаний практически нет© Cisco, 2010. Все права защищены. 1358
  14. 14. • Научно-техническая, технологическая, производственная, финансово-экономическая или иная информация (в том числе составляющая секреты производства (ноу-хау), которая имеет действительную или потенциальную коммерческую ценность в силу неизвестности ее третьим лицам, к которой нет свободного доступа на законном основании и в отношении которой обладателем такой информации введен режим коммерческой тайны Определена в 98-ФЗ «О коммерческой тайне» Наказание за разглашение - 183 УК РФ, 81 ТК РФ Примеров наказания руководства компаний практически нет© Cisco, 2010. Все права защищены. 1458
  15. 15. Наказание за Тайна Содержимое Нормативный акт разглашение Научно-техническая, технологическая, производственная, финансово- экономическая или иная информация (в том числе составляющая секреты Информация, производства (ноу-хау), которая имеет составляющая действительную или потенциальную 98-ФЗ "О коммерческой 183 УК РФ, 81 ТК РФ коммерческую коммерческую ценность в силу тайне" тайну неизвестности ее третьим лицам, к которой нет свободного доступа на законном основании и в отношении которой обладателем такой информации введен режим коммерческой тайны ФЗ 395-1 "О банках и Сведения об операциях, счетах и банковской деятельности", Банковская тайна вкладах ее клиентов и корреспондентов, 857 ГК РФ, Таможенный (тайна банковских а также об иных сведениях, 183 УК РФ, 81 ТК РФ кодекс РФ, ФЗ "О вкладов) устанавливаемых кредитной реструктуризации организацией кредитных организаций" Указ Президента от 6.03.1997 №188, 139 ГК РФ, Служебные сведения, доступ к которым ФЗ "Об основах ограничен органами государственной государственной службы Служебная тайна власти в соответствии с Гражданским 81 ТК РФ Российской Федерации", кодексом Российской Федерации и Постановление федеральными законами Правительства РФ от 3.11.94г. № 1233© Cisco, 2010. Все права защищены. 1558
  16. 16. Наказание за Тайна Содержимое Нормативный акт разглашение Тайна кредитной 218-ФЗ "О кредитных 81 ТК РФ истории историях" Сведения о страхователе, застрахованном лице и Тайна страхования выгодоприобретателе, состоянии их 946 ГК РФ 81 ТК РФ здоровья, а также об имущественном положении этих лиц Сведения, касающиеся содержания Тайна завещания завещания, его совершения, изменения 1123 ГК РФ 81 ТК РФ или отмены Любые полученные налоговым органом, органами внутренних дел, органом государственного внебюджетного фонда и 146-ФЗ "Налоговый кодекс Налоговая тайна 183 УК РФ, 81 ТК РФ таможенным органом сведения о РФ" налогоплательщике (за рядом исключением) Тайна усыновления 223-ФЗ Семейный кодекс РФ 155 УК РФ, 81 ТК РФ ребенка© Cisco, 2010. Все права защищены. 1658
  17. 17. Наказание за Тайна Содержимое Нормативный акт разглашение Сведения о наличии у гражданина психического расстройства, фактах 117-ФЗ "О психиатрической обращения за психиатрической помощью Врачебная тайна помощи и гарантиях прав 81 ТК РФ и лечении в учреждении, оказывающем граждан при ее оказании" такую помощь, а также иные сведения о состоянии психического здоровья Информация о факте обращения за медицинской помощью, состоянии здоровья гражданина, диагнозе заболевания, иные сведения, полученные Основы законодательства 151 ГК РФ, 1064 ГК при обследовании и лечении гражданина, РФ об охране здоровья РФ, 137 УК РФ, 81 а также сведения о проведенных граждан ТК РФ искусственном оплодотворении и имплантации эмбриона, а также о личности донора Результаты обследования лица, Медицинская тайна 223-ФЗ Семейный кодекс РФ 81 ТК РФ вступающего в брак 4180-1-ФЗ "О Сведения о доноре Возможно это врачебная тайна трансплантации органов 81 ТК РФ и реципиенте и(или) тканей человека"© Cisco, 2010. Все права защищены. 1758
  18. 18. Наказание за Тайна Содержимое Нормативный акт разглашение Тайна переписки, телефонных переговоров, 176-ФЗ "О почтовой связи", почтовых, 138 УК РФ, 81 ТК РФ 126-ФЗ "О связи", УПК РФ телеграфных или иных сообщений (тайна связи) Тайна частной жизни (личная Общее понятие Конституция РФ, 150 ГК РФ 137 УК РФ, 81 ТК РФ тайна) Любые сведения и документы, полученные и (или) составленные аудиторской организацией и ее 307-ФЗ "Об аудиторской Аудиторская тайна работниками, а также индивидуальным 81 ТК РФ деятельности" аудитором и работниками, с которыми им заключены трудовые договоры, при оказании услуг (за рядом исключений) Тайна 241 УПК РФ, 10 ГПК РФ, 11 судопроизводства АПК РФ, 166 УПК РФ, Указ 81 ТК РФ (тайна следствия и Президента от 6.03.1997 судопроизводства) №188© Cisco, 2010. Все права защищены. 1858
  19. 19. Наказание за Тайна Содержимое Нормативный акт разглашение Адвокатская тайна Любые сведения, связанные с оказанием 63-ФЗ "Об адвокатской (она же тайна адвокатом юридической помощи своему деятельности и адвокатуре в 81 ТК РФ судебного доверителю РФ" представительства) Основы законодательства Тайна нотариальных Российской Федерации о 81 ТК РФ действий нотариате Профессиональная Указ Президента от Общее понятие 81 ТК РФ тайна 6.03.1997 №188 143-ФЗ "Об актах гражданского состояния", Персональные 152-ФЗ "О персональных 13.11 КоАП, 137 УК данные данных", 242-ФЗ "О РФ, 81 ТК РФ государственной геномной регистрации в РФ" 125-ФЗ "О свободе совести 120-е правило Тайна исповеди и о религиозных Номоканона при объединениях" Большом Требнике© Cisco, 2010. Все права защищены. 1958
  20. 20. Наказание за Тайна Содержимое Нормативный акт разглашение Государственная ФЗ 5485-1 "О 81 ТК РФ и др. тайна государственной тайне" Семейная тайна 137 УК РФ 137 УК РФ, 81 ТК РФ 51-ФЗ "О выборах депутатов Государственной Думы Федерального Собрания РФ", 19-ФЗ "О выборах Тайна голосования Президента РФ", 67-ФЗ "Об 141 УК РФ, 81 ТК РФ основных гарантиях избирательных прав и права на участие в референдуме граждан РФ"… Журналистская 2124-1-ФЗ "О средствах 81 ТК РФ тайна массовой информации"© Cisco, 2010. Все права защищены. 2058
  21. 21. Наказание за Тайна Содержимое Нормативный акт разглашение Сведения любого характера (производственные, технические, экономические, организационные и другие), в том числе о результатах интеллектуальной деятельности в научно- технической сфере, а также сведения о способах осуществления Секрет производства профессиональной деятельности, 1465 ГК РФ 183 УК РФ, 81 ТК РФ (ноу-хау) которые имеют действительную или потенциальную коммерческую ценность в силу неизвестности их третьим лицам, к которым у третьих лиц нет свободного доступа на законном основании и в отношении которых обладателем таких сведений введен режим коммерческой тайны Сведения об сущности изобретения, полезной модели 147 УК РФ, 7.12 147 УК РФ, 7.12 КоАП или промышленного КоАП, 81 ТК РФ образца до их официальной публикации© Cisco, 2010. Все права защищены. 2158
  22. 22. Наказание за Тайна Содержимое Нормативный акт разглашение Тайна предварительного 139 УПК РФ, ФЗ 2202-1 "О 310 УК РФ, 81 ТК РФ расследования прокуратуре РФ" (следствия) Тайна сведений о мерах безопасности в отношении судьи и 311 УК РФ 311 УК РФ, 81 ТК РФ иных участников уголовного процесса Тайна сведений о мерах безопасности в отношении должностного лица 320 УК РФ, 17.13 320 УК РФ, 17.13 КоАП правоохранительног КоАП, 81 ТК РФ о или контролирующего органа Сведения о частной жизни (личной и Тайна дневников и семейной тайне), содержащиеся в Присутствовало в 137 УК РФ, 81 ТК РФ личных записей дневниках, блокнотах, записныъ книжках, предыдущей версии ГК РФ записках и т.п.© Cisco, 2010. Все права защищены. 2258
  23. 23. Наказание за Тайна Содержимое Нормативный акт разглашение Сведения об отношении к религии, к исповеданию или отказу от исповедания религии, об участии или неучастии в 125-ФЗ "О свободе совести и Тайна богослужениях, других религиозных о религиозных 81 ТК РФ вероисповедания обрядах и церемониях, о деятельности в объединениях" религиозных объединениях, об обучении религии Сведения о местах дислокации или о передислокации соединений и воинских частей внутренних войск, а также Тайна сведений о сведения о военнослужащих внутренних военнослужащих 27-ФЗ "О внутренних войск, принимавших участие в пресечении 81 ТК РФ внутренних войск войсках МВД РФ" деятельности вооруженных преступников, МВД незаконных вооруженных формирований и иных организованных преступных групп, а также сведений о членах их семей Тайна сведений личного характера, ставшие 122-ФЗ "О социальном известными обслуживании граждан 81 ТК РФ работникам пожилого возраста и учреждений при инвалидов" оказании социальных услуг© Cisco, 2010. Все права защищены. 2358
  24. 24. Наказание за Тайна Содержимое Нормативный акт разглашение 119-ФЗ "О государственной Тайна сведений о защите потерпевших, потерпевших, свидетелей и иных свидетелей и иных участников уголовного 81 ТК РФ участников судопроизводства", Указ уголовного Президента от 23.09.2005 судопроизводства №1111 Производственная Скорее всего совпадает с понятием 146-ФЗ "Налоговый кодекс 81 ТК РФ тайна "секрет производства" РФ" Любая не являющаяся общедоступной информация об эмитенте и выпущенных им эмиссионных ценных бумагах, которая ставит лиц, обладающих в силу своего Тайна ценных бумаг служебного положения, трудовых 39-ФЗ "О рынке ценных (она же служебная 81 ТК РФ обязанностей или договора, заключенного бумаг" информация) с эмитентом, такой информацией, в преимущественное положение по сравнению с другими субъектами рынка ценных бумаг© Cisco, 2010. Все права защищены. 2458
  25. 25. Наказание за Тайна Содержимое Нормативный акт разглашение 76-ФЗ "О статусе Некоторые юристы относят военную тайну военнослужащих", Устав Военная тайна либо к государственной тайне, либо к 81 ТК РФ внутренней службы служебной тайне Вооруженных сил РФ Вооруженных Сил РФ Тайна сведений о лицах, внедренных в организованные преступные группы, штатных негласных сотрудников органов,осуществля ющих оперативно- 144-ФЗ "Об оперативно- 81 ТК РФ розыскную розыскной деятельности" деятельность, а также лицах, оказывающих или оказывавших им содействие на конфиденциальной основе Тайна совещания Суждения, имевшие место при 298 УПК РФ 81 ТК РФ судей обсуждении и постановлении приговора© Cisco, 2010. Все права защищены. 2558
  26. 26. Наказание за Тайна Содержимое Нормативный акт разглашение Тайна совещания Суждения, имевшие место во время присяжных 341 УПК РФ 81 ТК РФ совещания заседателей Информация об особенностях строения 128-ФЗ "О государственной Дактилоскопическая папиллярных узоров пальцев рук дактилоскопической 81 ТК РФ тайна человека и о его личности (охраняется в регистрации в РФ" режиме служебной тайны) 352-ПП от 28.05.1992 "О заключении межправительственных Торговая тайна 81 ТК РФ соглашений во избежании двойного налогообложения жоходов и имущества" 352-ПП от 28.05.1992 "О заключении Промышленная межправительственных 81 ТК РФ тайна соглашений во избежании двойного налогообложения доходов и имущества"© Cisco, 2010. Все права защищены. 2658
  27. 27. Наказание за Тайна Содержимое Нормативный акт разглашение Соглашение между Правительством РФ и Правительством Республики Беларусь об избежании Секретный торговый двойного налогообложения и 81 ТК РФ процесс предотвращении уклонения от уплаты налогов в отношении налогов на доходы и имущество Соглашение между Информация, Правительством РФ и противоречащая Правительством Республики 81 ТК РФ государственным Узбекистан об избежании интересам двойного налогооблажения доходов и имущества Соглашение между Правительством РФ и Информация, Правительством Республики раскрытие которой Молдова об избежании противоречит 81 ТК РФ двойного налогооблажения национальному доходов и имущества и законодательству предотвращении уклонения от уплаты налогов© Cisco, 2010. Все права защищены. 2758
  28. 28. Наказание за Тайна Содержимое Нормативный акт разглашение Конвенция между Информация, Правительством РФ и которую нельзя Правительством получить в ходе Королевства Швеции об 81 ТК РФ обычной избежании двойного административной налогообложения в практики отношении налогов на доходы В зависимости от нормативного акта может включать в себя государственную тайну, противопоставляться ей, быть 61-ФЗ "Таможенный Кодекс Конфиденциальная самостоятельным видом тайны (наряду, РФ", 126-ФЗ "О связи", Указ 81 ТК РФ информация например, с банковской или Президента от 6.03.1997 коммерческой тайной, а также тайной №188 связи), а также вообще не считаться охраняемой законом 3-ФЗ "О статусе депутата Совета Федерации и статусе Депутатская тайна депутата Государственной 81 ТК РФ Думы Федерального Собрания РФ", 56 УПК РФ Тайна жилища Конституция РФ 139 УК РФ© Cisco, 2010. Все права защищены. 2858
  29. 29. • Цена на запись стоимость уведомления (создание списка пострадавших, печать, почтовые услуги) - $20 на одного клиента стоимость реагирования пострадавших, например, звонки в Help Desk (опционально) - $20 на одного клиента стоимость защитных мер у заказчиков, например, регулярные уведомления, системы борьбы с мошенничеством, средства ИБ (опционально)• Дополнительные метрики Отток клиентов (в течении 1, 3, 6, 12, n месяцев) Удар по курсовой стоимости акций (в течении 1, 3, 6, 12, n месяцев) Удар по доходам (в течении 1, 3, 6, 12, n дней или недель - в месяцах измерять нет смысла - рынок все забывает)© Cisco, 2010. Все права защищены. 2958
  30. 30. • Первая версия опубликована в январе 2005; текущая версия - 2.0• PCI DSS 2.0 станет обязательным с 1-го января 2012• Влияет на ВСЕХ кто Обрабатывает Передает Хранит: данные владельцев карт Payment Card Industry• PCI – это не государственный Data Security Standard стандарт. Это соглашение между платежной системой и ее участниками© Cisco, 2010. Все права защищены. 3058
  31. 31. 250 $197 $202 $204 200 $182 150 $138 100 50 0 2005 2006 2007 2008 2009© Cisco, 2010. Все права защищены. 3158
  32. 32. $5,838,781 Разница Цена соответствия $3,529,570 Цена несоответствия $9,368,351 $0 $5,000,000 $10,000,000 Таблица1: Средняя цена соответствия Таблица 2: Средняя цена несоответствия Задача Цена Тип инцидента Цена Политики $297,910 Нарушения торговли $3,297,633 Взаимодействия $343,119 Потери продуктивности $2,437,795 Управление программой $441,859 Потери доходов $2,180,976 Защита данных $1,034,148 Штрафы $1,451,947 Мониторинг соответствия $636,542 Всего $9,368,351 Внедрение защитных мер $775,991 Всего $3,529,570 Источник: The True Cost of Compliance, Ponemon, 2010© Cisco, 2010. Все права защищены. 3258
  33. 33. • Каждая платежная система в каждом регионе имеет свои штрафы• Пример Штраф $25К-100К в месяц Понижение на 1 уровень в иерархии Банки-эквайеры штрафуются на $25К за каждого несоответствующего требованиям PCI DSS клиента При несообщение об инциденте – штраф $100К (до $500К)© Cisco, 2010. Все права защищены. 3358
  34. 34. • Все штаты США имеют собственные законы, обязывающие компании, ставшие жертвой утечек персональных данных своих клиентов, уведомлять последних об этих фактах Стоимость уведомления одного клиента – от 20 долларов• Чтобы уведомить, необходимо узнать об утечке• Первая ласточка - Californias Database Security Breach Notification Act (SB 1386) and General Security Standard for Businesses (AB 1950) Почти все 52 штата США имеют соответствующее законодательство В Европе готовится такое законодательство• В России требований публичного уведомления об утечках нет!© Cisco, 2010. Все права защищены. 3458
  35. 35. • Базель II (Международная конвергенция измерения капитала и стандартов капитала: новых подходы) Принят в 2004-м году (первая версия – в 1988 г.)• Ориентация на финансовые институты• Базель II применяется в США, Евросоюзе, Канаде, Японии и Индии• В России и некоторых других странах СНГ планировалось сделать эти требования обязательными в 2009-2010 гг. Но вмешался кризис ;-(© Cisco, 2010. Все права защищены. 3558
  36. 36. • Базель II предъявляет требования к минимальному размеру банковского капитала Подход может применяться и к другим отраслям• Необходимо оценивать кредитные, рыночные и операционные риски и резервировать капитал на их покрытие Операционные риски появились только во второй версии соглашения• Неэффективное управление операционными рисками приводит К возрастанию операционных рисков К большим финансовым резервам, «вырванным» из бизнеса© Cisco, 2010. Все права защищены. 3658
  37. 37. 1-ый уровень 2-ой уровень 3-ий уровень событий событий событий Неотраженные в отчетности Неразрешенная операции деятельность Неразрешенные типы Внутреннее операций мошенничество Умышленное уничтожение Воровство и активов мошенничество Присвоение чужих счетов Воровство, хищения, грабеж Воровство и Воровство, грабеж Внешнее мошенничество Подделка мошенничество Хакерство Безопасность систем Кража информации Организация трудовой Взаимоотношения с деятельности сотрудниками Вопросы оплаты труда Кадровая политика и безопасность труда Охрана здоровья Безопасная среда Компенсации сотрудникам Дискриминация Все типы дискриминации© Cisco, 2010. Все права защищены. 3758
  38. 38. 1-ый уровень 2-ой уровень 3-ий уровень событий событий событий Нарушения инструкций Приемлемость, Раскрытие информации раскрытие Злоупотребления конф.информацией Деятельность без лицензии Неправильная деловая или рыночная практика Клиенты, продукты и деловая практика Дефекты продуктов Изъяны продуктов Ошибки конструкции Выбор, спонсорство и Превышение лимитов риска риски на одного клиента Разногласия в оценках Консалтинговые услуги результатов консалтинговых услуг Ущерб от природных Причинение ущерба Катастрофы и прочие катастроф физическим активам события Терроризм, вандализм© Cisco, 2010. Все права защищены. 3858
  39. 39. • Ст.13.12. Нарушение правил защиты информации (КоАП) п.1 – нарушение лицензионных условий (до 10К рублей) п.2. – использование несертифицированных СЗИ, если они подлежат обязательной сертификации (до 20К рублей + конфискация) п.3 – нарушение лицензионных условий по гостайне (до 20К рублей) п.4. – использование несертифицированных СЗИ для гостайны (до 30К рублей + конфискация) п.5 – грубое нарушение лицензионных условий (до 15К рублей + приостановление деятельности до 90 суток)© Cisco, 2010. Все права защищены. 3958
  40. 40. Снижает неопределенность при принятии решений Влияет на поведение людей, Имеет ценность для вас приводящее к экономическим последствиям Нематериальный актив (собственная стоимость) Она имеет ценность Если ей воспользуются другие, то вы понесете убытки или проиграете в Она не имеет ценности, но ее принято защищать конкурентной борьбе Не имеет ценности для вас, но имеет для кого-то еще Ее защита требуется государством / регулятором© Cisco, 2010. Все права защищены. 4058
  41. 41. ChoicePoint – Зима 2004/2005• Кража отчета с 145,000 Падение курса именами клиентов, номеров акций кредитных карт и т.д.Воздействие на бизнес• Администрация штата Нью- Йорка отказалась от контракта с ChoicePoint на сумму 800 миллионов долларов© Cisco, 2010. Все права защищены. 4158
  42. 42. © Cisco, 2010. Все права защищены. 4258
  43. 43. © Cisco, 2010. Все права защищены. 43
  44. 44. • Глобальная компания, мобильные сотрудники, большая экосистема сотрудников, партнеров, поставщиков, заказчиков• Программа доступа с любого устройства• Активная поддержка сред совместной работы - WebEx, корпоративные социальные сети – как внутренних, так и с доступом заказчиков/партнеров• Cisco поддерживает облачные решения – SaaS, IaaS – как для внутреннего использования, так и общедоступные• Постоянно растет популярность решений для мобильных устройств• К чему это приводит? Корпоративные данные Корпоративные данные повсюду в закрытой корпоративной (неконтролируемые устройства/ ИТ-инфраструктуре облако)© Cisco, 2010. Все права защищены. 4458
  45. 45. © Cisco, 2010. Все права защищены. 4558
  46. 46. Критерии: • Данные уровня не ниже Highly Confidential • Поддержка критически важных бизнес- процессов • Данные, регламентируемые нормативными требованиями • Данные для аутентификации/авторизации пользователей© Cisco, 2010. Все права защищены. 4658
  47. 47. • Средства управления безопасностью в среде Crown-Jewel• Аутентификация и авторизация пользователей и приложений/операций доступа к хостам• Целостность DBlink и жизненного цикла приложений• Аудит и журналирование доступа• Поддержка актуальности версий СУБД и патчей в сфере безопасности• Формализованный и контролируемый доступ в рамках защищенного сегмента сети• Принятые стандарты повышения уровня защищенности СУБД и операционных систем• Повышение управляемости и расширение возможностей мониторинга партнерского доступа к экстранету• Умышленное искажение или маскирование данных при репликации в тестовых целях• Шифрование данных© Cisco, 2010. Все права защищены. 4758
  48. 48. “All or Nothing” “All or Nothing” Доку- Доку- менты менты Пользователь Cisco Пользователь Cisco Шлюз Шлюз экстранета экстранета Прил. ACL Прил. ACL Фильтрация B по URL B Фильтрация Анализ по URL данных Прил. Прил. C C Ineffective with portlets Работа на Работа на основе основе доверия доверия с проверкой По мере увеличения количества партнеров, пользующихся экстранетом, и расширения способов доступа к экстранету анализ данных становится критически важным механизмом поддержания требуемого уровня защищенности ИТ-инфраструктуры© Cisco, 2010. Все права защищены. 4858
  49. 49. Интернет ДМЗ Внутренняя сеть Внешний пользователь Приложение Приложение • Данные в облаке всегда зашифрованы Метаданные • Ключи шифрования приложений защищены и Оператор хранятся в системы хранения собственной ИТ- Ключи инфраструктуре шифрования организации • Оптимизация производительности Внутренний пользователь© Cisco, 2010. Все права защищены. 4958
  50. 50. • Классификация данных• Вертикализация• Бумажная безопасность• Спектр каналов утечки• Нефайловые и нетекстовые источники• Умышленные утечки• Туманная облачность• Мобилизация• Синхронизация• Интеграция© Cisco, 2010. Все права защищены. 5058
  51. 51. • Сопоставление бизнес-стратегии и стратегии обеспечения ИБ на основании общего множества данных• Переход от защиты сети и хостов к защите данных при использовании, передаче и хранении• Оценка значимости данных, последующее применение мер обеспечения ИБ в рамках их жизненного цикла• Решения на основе данных Владение Источник: статья IBM “Data-Centric Security”, декабрь 2006 г. Классификация Управление/защита определяются классом данных© Cisco, 2010. Все права защищены. 5158
  52. 52. 1. Определение важных данных Для защиты от потерь и краж  Базы данных, системы хранения, каналы связи, конфиденциальных данных оконечные устройства необходима многоуровневая платформа 2. Установка политики защиты данных безопасности  Укрепление политики безопасности данных для предотвращения случайной и намеренной утечки данных 3. Безопасное подключение  Устранение точек несанкционированного доступа, шифрование удаленных подключений, Контроль контроль беспроводного доступа утечек (DLP) 4. Управление доступом  Ограничение доступа к важным сетям, базам Управление данных и файлам доступом 5. Контроль утечек (DLP) Безопасные  Контроль важных данных в местах повышенного подключения риска, проверка содержимого на основе политик, допустимое использование, шифрование Самозащищающаяся сеть© Cisco, 2010. Все права защищены. 5258
  53. 53. © Cisco, 2010. Все права защищены. 53
  54. 54. © Cisco, 2010. Все права защищены. 5458
  55. 55. Наиболее вероятный путь Изменение технологий Наименее вероятный путь Инцидент Бизнес- Принятие Реализация Обоснование требования решения проекта ИБ Требования законов На этом Оценка «водоразделе» эффективности Угрозы многие завершают всю работу© Cisco, 2010. Все права защищены. 5558
  56. 56. PERFORMANCE ASSESMENT CXO MANAGING IDENTIFY PURCHASE ISSUES INITIATING APPROVING EVALUATION PURCHASE CIO/CISO RECOMMENDING VENDOR ИТ/ИБ-менеджер DECIDING WHO INVOLVED EVALUATING SELECTING POTENTIAL LOB Менеджер VENDORS FORMAL CONTACTING REVIEW VENDORS Другие© Cisco, 2010. Все права защищены. 5658
  57. 57. http://www.facebook.com/CiscoRu http://twitter.com/CiscoRussia http://www.youtube.com/CiscoRussiaMedia http://www.flickr.com/photos/CiscoRussia http://vkontakte.ru/Cisco© Cisco, 2010. Все права защищены. 5758
  58. 58. Praemonitus praemunitus!Спасибоза внимание! security-request@cisco.com

×