Successfully reported this slideshow.

Security outsourcing or secure outsourcing?

1,946 views

Published on

Published in: Self Improvement

Security outsourcing or secure outsourcing?

  1. 1. © 2008 Cisco Systems, Inc. All rights reserved.Security outsourcing 1/50 Информационная безопасность и аутсорсинг Алексей Лукацкий Бизнес-консультант по безопасности
  2. 2. 3/50© 2008 Cisco Systems, Inc. All rights reserved.Security outsourcing Аутсорсинг и ИБ
  3. 3. 4/50© 2008 Cisco Systems, Inc. All rights reserved.Security outsourcing Аутсорсинг ИБ
  4. 4. 5/50© 2008 Cisco Systems, Inc. All rights reserved.Security outsourcing Почему мы обращаемся к аутсорсингу ИБ? 4 18 20 21 27 28 34 34 0 5 10 15 20 25 30 35 40 Другие ИТ на аутсорсинге Снижение риска ответственности Снижение сложности Рост регуляторного соответствия Снижение затрат Рост компетенции Рост качества защиты Режим 24х7 Что наиболее важно при переходе к аутсорсингу ИБ? Источник: Forrester Research
  5. 5. 6/50© 2008 Cisco Systems, Inc. All rights reserved.Security outsourcing К какому аутсорсингу мы обращаемся чаще? • 15-20%Мониторинг событий ИБ • 10-15%Управление ПК, включая мобильными • 5-10%Управление логами • 15-20%Threat Intelligence • 10-15%Управление уязвимостями • 5-10%Безопасность приложений • 0-5%Управление инцидентами • 25-30%Безопасность контента • 15-20%Политики / compliance • 10-15%Управление устройствами • 5-10%Управление IAM Источник: Forrester Research
  6. 6. 7/50© 2008 Cisco Systems, Inc. All rights reserved.Security outsourcing Зрелость перехода к аутсорсингу ИБ Самостоятельные некритичные сервисы Управляющие некритичные сервисы Управляющие критичные сервисы
  7. 7. 8/50© 2008 Cisco Systems, Inc. All rights reserved.Security outsourcing Аутсорсинг ИБ в России  При условии нехватки в России персонала в отделах ИБ, аутсорсинг – это не средство экономии Основные мотивы – экспертиза, качество сервиса, нехватка собственных ресурсов  Аутсорсинг ИБ в России (на данном этапе) применим только в Москве (реалистично) или крупных федеральных центрах (оптимистично)  Не имеет смысла обращаться к компаниям, имеющим менее 2-х лет подтвержденной экспертизы именно в аутсорсинге ИБ  Аутсорсинг – это не просто иной способ взаимодействия между компаниями, это иная культура ведения бизнеса, рассчитанная на долгосрочное партнерство
  8. 8. 9/50© 2008 Cisco Systems, Inc. All rights reserved.Security outsourcing Что есть в России сейчас?  Threat Intelligence Cisco Intellishield Alert, Cisco SIO, SecurityLab Alerts  Безопасность контента Cisco ScanSafe, WebSense, Google  Политики и compliance Positive Technologies (PCI DSS, СТО БР ИББС…)  Безопасность приложений Positive Technologies (ДБО, Web…)  Управление устройствами Cisco, Orange, ТТК
  9. 9. 10/50© 2008 Cisco Systems, Inc. All rights reserved.Security outsourcing ИБ аутсорсинга данных
  10. 10. 11/50© 2008 Cisco Systems, Inc. All rights reserved.Security outsourcing Проблема ИБ аутсорсинга данных Доступ к данным с чужих ПК Контрактники Сезонники Консультанты / аудиторы Оффшоринг Программа BYOPC
  11. 11. 12/50© 2008 Cisco Systems, Inc. All rights reserved.Security outsourcing 5 стратегий контроля своих данных на чужих устройствах • Приложения запускаются на сервере • Терминальный доступ «Тонкий» клиент • Мобильные устройства, синхронизирующиеся с сервером • Локальные данные зашифрованы • Утерянное устройство «очищается» удаленно «Тонкое» устройство • ОС и приложения контролируются централизованно • Репликация Защищенный процесс • Права доступа привязаны к документам • Технологии DRM Защищенные данные • Контроль информационных потоков «на лету» • Технологии DLP Контроль на лету
  12. 12. 13/50© 2008 Cisco Systems, Inc. All rights reserved.Security outsourcing «Тонкий» клиент  Централизованное хранение и обработка всех конфиденциальных данных MS Terminal Services, Citrix XenApp/XenDesktop, VNC Данные никогда не покидают сервер Требуется постоянное сетевое соединение
  13. 13. 14/50© 2008 Cisco Systems, Inc. All rights reserved.Security outsourcing «Тонкое» устройство  Хранение ограниченного объема реплицированных конфиденциальных данных (мастер-копия хранится в центре) на мобильных устройствах (обычно e-mail) BlackBerry, Motorola Good для Windows Mobile или Symbian Возможность существенного контроля Ограниченное число приложений
  14. 14. 15/50© 2008 Cisco Systems, Inc. All rights reserved.Security outsourcing Защищенный процесс  Хранение конфиденциальной информации на локальном устройстве в «виртуальной», централизованно управляемой среде VMware ACE, Cisco Secure Desktop, Microsoft App-V Защита локальной машины в автономном режиме Как правило, на платформе Windows
  15. 15. 16/50© 2008 Cisco Systems, Inc. All rights reserved.Security outsourcing Защищенные данные  Защита конфиденциальной информации не через окружение, а через сами данные Adobe LiveCycle Rights Management ES2, Oracle Information Rights Management, EMC Documentum Information Rights Management Эффективный контроль на уровне данных, а не ОС или устройства Сложность поддержки клиентских агентов
  16. 16. 17/50© 2008 Cisco Systems, Inc. All rights reserved.Security outsourcing Контроль на лету  Контроль конфиденциальной информации, покидающей границы предприятия Cisco E-mail Security Appliance, Infowatch Traffic Monitor, RSA DLP Эффективный контроль потоков данных Установка агентов на «чужих» устройствах
  17. 17. 18/50© 2008 Cisco Systems, Inc. All rights reserved.Security outsourcing ИБ аутсорсинга приложений
  18. 18. 19/50© 2008 Cisco Systems, Inc. All rights reserved.Security outsourcing SaaS, PaaS, IaaS… XaaS Software -as-a- Service Google Apps, Salesforce.com Platform- as-a- Service MS Azure, Google App Engine Infrastruc -ture-as- a- Service Amazon EC2, co- location
  19. 19. 20/50© 2008 Cisco Systems, Inc. All rights reserved.Security outsourcing Интерес к аутсорсингу приложений 33 33 31 29 33 28 42 41 39 39 35 32 23 19 24 25 25 36 0% 20% 40% 60% 80%100% Латинская Америка Китай, Индия Россия, ОАЭ, ЮАР Европа Азия, Австралия США, Канада Высокий приоритет Низкий приоритет Не на повестке Не знаю Источник: Forrester Research
  20. 20. 21/50© 2008 Cisco Systems, Inc. All rights reserved.Security outsourcing Что обычно отдают на аутсорсинг?  ERP  Service Desk  Управление контентом  HRM  Управление заказами (ORM)  Управление затратами и поставщиками (SRM)  Унифицированные коммуникации  Управление проектами  Управление цепочками поставок (SCM)  Web 2.0
  21. 21. 22/50© 2008 Cisco Systems, Inc. All rights reserved.Security outsourcing Проблемы аутсорсинга 36 30 23 23 20 19 18 18 16 19 0 5 10 15 20 25 30 35 40 Вопросы цены Безопасность и privacy Нет нужных приложений Вопросы интеграции Сложное ценообразование Зависимость от текущего… Слабый каналы связи Слабая кастомизация Производительность Другое Почему вы не думаете об аутсорсинге? Источник: Forrester Research
  22. 22. 23/50© 2008 Cisco Systems, Inc. All rights reserved.Security outsourcing При аутсорсинге меньше контроля! Своя ИТ- служба Хостинг- провайдер IaaS PaaS SaaS Данные Данные Данные Данные Данные Приложения Приложения Приложения Приложения Приложения VM VM VM VM VM Сервер Сервер Сервер Сервер Сервер Хранение Хранение Хранение Хранение Хранение Сеть Сеть Сеть Сеть Сеть - Контроль у заказчика - Контроль распределяется между заказчиком и аутсорсером - Контроль у аутсорсера
  23. 23. 24/50© 2008 Cisco Systems, Inc. All rights reserved.Security outsourcing Если вы решились  Стратегия безопасности аутсорсинга Пересмотрите свой взгляд на понятие «периметра ИБ» Оцените риски – стратегические, операционные, юридические Сформируйте модель угроз Сформулируйте требования по безопасности Пересмотрите собственные процессы обеспечения ИБ Проведите обучение пользователей Продумайте процедуры контроля аутсорсера Юридическая проработка взаимодействия с аутсорсером  Стратегия выбора аутсорсера Чеклист оценки ИБ аутсорсера
  24. 24. 25/50© 2008 Cisco Systems, Inc. All rights reserved.Security outsourcing Критерии выбора аутсорсера  Финансовая устойчивость аутсорсера  Схема аутсорсинга SaaS, hosted service, MSS  Клиентская база  Архитектура  Безопасность и privacy  Отказоустойчивость и резервирование  Планы развития новых функций
  25. 25. 26/50© 2008 Cisco Systems, Inc. All rights reserved.Security outsourcing Выбор аутсорсера с точки зрения ИБ  Защита данных  Управление уязвимостями  Управление identity  Объектовая охрана и персонал  Доступность и производительность  Безопасность приложений  Управление инцидентами  Privacy
  26. 26. 27/50© 2008 Cisco Systems, Inc. All rights reserved.Security outsourcing Выбор аутсорсера с точки зрения ИБ (окончание)  Непрерывность бизнеса и восстановление после катастроф  Журналы регистрации  Сompliance  Финансовые гарантии  Завершение контракта  Интеллектуальная собственность
  27. 27. 28/50© 2008 Cisco Systems, Inc. All rights reserved.Security outsourcing Защита данных  Как мои данные отделены от данных других клиентов?  Где хранятся мои данные?  Как обеспечивается конфиденциальность и целостности моих данных?  Как осуществляется контроль доступа к моим данным?  Как данные защищаются при передаче от меня к аутсорсеру?  Как данные защищаются при передаче от одной площадки аутсорсера до другой?  Релизованы ли меры по контролю утечек данных?
  28. 28. 29/50© 2008 Cisco Systems, Inc. All rights reserved.Security outsourcing Защита данных (окончание)  Может ли третья сторона получить доступ к моим данным? Как? Оператор связи, аутсорсер аутсорсера  Все ли мои данные удаляются по завершении предоставления сервиса?
  29. 29. 30/50© 2008 Cisco Systems, Inc. All rights reserved.Security outsourcing Управление уязвимостями  Как часто сканируется сеть и приложения?  Можно ли осуществить внешнее сканирование сети аутсорсера? Как?  Каков процесс устранения уязвимостей?
  30. 30. 31/50© 2008 Cisco Systems, Inc. All rights reserved.Security outsourcing Управление identity  Возможна ли интеграция с моим каталогом учетных записей? Как?  Если у аутсорсера собственная база учетных записей, то Как она защищается? Как осуществляется управление учетными записями?  Поддерживается ли SSO? Какой стандарт?  Поддерживается ли федеративная система аутентификации? Какой стандарт?
  31. 31. 32/50© 2008 Cisco Systems, Inc. All rights reserved.Security outsourcing Объектовая охрана и персонал  Контроль доступа осуществляется в режиме 24х7?  Выделенная инфраструктура или разделяемая с другими компаниями?  Регистрируется ли доступ персонала к данным клиентов?  Есть ли результаты оценки внешнего аудита?  Какова процедура набора персонала?
  32. 32. 33/50© 2008 Cisco Systems, Inc. All rights reserved.Security outsourcing Доступность  Уровень доступности в SLA (сколько девяток)  Какие меры обеспечения доступности используются для защиты от угроз и ошибок? Резервный оператор связи Защита от DDoS  Доказательства высокой доступности аутсорсера  План действия во время простоя  Пиковые нагрузки и возможность аутсорсера справляться с ними
  33. 33. 34/50© 2008 Cisco Systems, Inc. All rights reserved.Security outsourcing Безопасность приложений  Исполнение рекомендаций OWASP при разработке приложений  Процедура тестирования для внешних приложений и исходного кода  Существубт ли приложения третьих фирм при оказании сервиса?  Используемые меры защиты приложений Web Application Firewall Аудит БД
  34. 34. 35/50© 2008 Cisco Systems, Inc. All rights reserved.Security outsourcing Управление инцидентами  План реагирования на инциденты Включая метрики оценки эффективности  Взаимосвязь вашей политики управления инцидентами и аутсорсера
  35. 35. 36/50© 2008 Cisco Systems, Inc. All rights reserved.Security outsourcing Privacy  Обезличивание критичных данных и предоставление к ним доступа только авторизованному персоналу  Какие данные собираются о заказчике? Где хранятся? Как? Как долго?  Какие условия передачи данныех клиента третьим лицам? Законодательство о правоохранительных органах, адвокатские запросы и т.п.  Гарантии нераскрытия информации третьим лицам и третьими лицами?
  36. 36. 37/50© 2008 Cisco Systems, Inc. All rights reserved.Security outsourcing Непрерывность бизнеса  План обеспечения непрерывности бизнеса и восстановления после катастроф  Где находится резервный ЦОД?  Проходил ли аутсорсер внешний аудит по непрерывности бизнеса? Есть ли сертифицированные сотрудники по непррывности бизнеса?
  37. 37. 38/50© 2008 Cisco Systems, Inc. All rights reserved.Security outsourcing Журналы регистрации  Как вы обеспечиваете сбор доказательств несанкционированной деятельности?  Как долго вы храните логи? Возможно ли увеличение этого срока?  Можно ли организовать хранение логов во внешнем хранилище? Как?
  38. 38. 39/50© 2008 Cisco Systems, Inc. All rights reserved.Security outsourcing Compliance  Подчиняется ли аутсорсер локальным нормативным требованиям? Каким? Как локальные нормативные требования соотносятся с требованиями клиента?  Проходил ли аутсорсер внешний аудит соответствия? ISO 27001 PCI DSS Аттестация во ФСТЭК
  39. 39. 40/50© 2008 Cisco Systems, Inc. All rights reserved.Security outsourcing Финансовые гарантии  Какая компенсация подразумевается в случае инцидента безопасности или нарушения SLA?
  40. 40. 41/50© 2008 Cisco Systems, Inc. All rights reserved.Security outsourcing Интеллектуальная собственность  Кому принадлежат права на информацию, переданную аутсорсеру? А на резервные копии? А на реплицированные данные? А на логи?  Удостоверьтесь, что ваш контракт не приводит к потере прав на информацию и иные ресурсы, переданные аутсорсеру?
  41. 41. 42/50© 2008 Cisco Systems, Inc. All rights reserved.Security outsourcing Завершение контракта  Процедура завершения контракта? Возврат данных? В каком формате? Как скоро я получу мои данные обратно? Как будут уничтожены все резервные и иные копии моих данных? Как скоро? Какие гарантии?  Какие дополнительные затраты на завершение контракта?
  42. 42. 43/50© 2008 Cisco Systems, Inc. All rights reserved.Security outsourcing В качестве заключения
  43. 43. 44/50© 2008 Cisco Systems, Inc. All rights reserved.Security outsourcing Уходя от традиционного периметра… Периметр Филиал Приложения и данные Офис Политика Хакеры ЗаказчикиПартнеры
  44. 44. 45/50© 2008 Cisco Systems, Inc. All rights reserved.Security outsourcing …к аутсорсингу данных… Периметр Филиал Приложения и данные Офис Политика Хакеры Заказчики Дом Кафе Аэропорт Мобильный пользователь Партнеры
  45. 45. 46/50© 2008 Cisco Systems, Inc. All rights reserved.Security outsourcing …и аутсорсингу приложений (а также XaaS)… Периметр Филиал Приложения и данные Офис Политика Хакеры Дом Кафе Заказчики Аэропорт Мобильный пользователь Партнеры Platform as a Service Infrastructure as a Service X as a Service Software as a Service
  46. 46. 47/50© 2008 Cisco Systems, Inc. All rights reserved.Security outsourcing …помните о смене парадигмы ИБ… Периметр Филиал Приложения и данные Офис Политика Хакеры Дом Кафе Заказчики Аэропорт Мобильный пользователь Партнеры Platform as a Service Infrastructure as a Service X as a Service Software as a Service
  47. 47. 48/50© 2008 Cisco Systems, Inc. All rights reserved.Security outsourcing Borderless DataCenter 3 Borderless Internet 2 Borderless EndZones 1 И создайте новую стратегию ИБ! Политика Периметр Филиал Приложения и данные Офис Политика (Access Control, Acceptable Use, Malware, Data Security)4 Дом Хакеры Кафе Заказчики Аэропорт Мобильный пользователь Партнеры Platform as a Service Infrastructure as a Service X as a Service Software as a Service
  48. 48. 49/50© 2008 Cisco Systems, Inc. All rights reserved.Security outsourcing Вопросы? Дополнительные вопросы Вы можете задать по электронной почте security-request@cisco.com или по телефону: +7 495 961-1410 Полная версия презентации выложена на сайте http://lukatsky.blogspot.com/
  49. 49. 50/50© 2008 Cisco Systems, Inc. All rights reserved.Security outsourcing

×