Документ охватывает важные аспекты соблюдения законодательных требований безопасности при использовании средств от Oracle. В нем рассматривается управление доступом, шифрование данных и соответствие различным стандартам и регуляциям, включая PCI DSS. Также документ содержит информацию о сертифицированных продуктах Oracle и их роли в обеспечении безопасности информации.

2. Соблюдение требований
законодательства с помощью
сертифицированных средств
безопасности Oracle
Сергей Базылько, к.ф.-м.н.
Директор по продажам продуктов
безопасности,
Oracle СНГ
Москва, 2 декабря 2014г.
Copyright © 2014, Oracle and/or its affiliates. All rights reserved.

3. ORACLE SECURITY INSIDE OUT
ЗАЩИТА НА КАЖДОМ УРОВНЕ
S E C U R I T Y
S ECURI TY
S ECURI TY
S ECURI TY
S ECURI TY
S ECURI TY
S ECURI TY
ВЗЛОМ по СЕТИ УКРАДЕНЫЫЕ
и СЛАБЫЕ ПАРОЛИ
76%
КОМПРОМЕТАЦИЯ
СЕРВЕРОВ
ПРИЛОЖЕНИЙ
КРАЖА ДАННЫХ С
СЕРВЕРОВ
РАСПРОСТРАНЕНИЕ
ВОЗМОЖНО ИЗ-ЗА НЕПРАВИЛЬНЫХ
НАСТРОЕК
Copyright © 2014, Oracle and/or its affiliates. All rights reserved. | 3
Governance Risk & Compliance
Оценка необходимости доступа, Выявление
аномалий, Создание учетных записей,
Управление привилегиями
Мобильная безопасность,
Привилегированные
пользователи, сервисы директорий
Шифрование, маскирование, управление
ключами, защита Big Data
Solaris Trusted Extensions,
LDAP Host Access Control
Secure Live Migration
Крипто-акселераторы
Контроль целостности данных приложений
Secure backup, Шифрование дисков
ILM Security
80%
94%
50%

4. ЗАЩИТА ДОСТУПА К ПРИЛОЖЕНИЯМ И ДАННЫМ
IDENTITY MANAGEMENT DATABASE SECURITY
Copyright © 2014, Oracle and/or its affiliates. All rights reserved. | 4
Mobile
Security
Identity
Governance
Directory
Services
Access
Management
Encryption
& Redaction
Privileged
User Control
Key
Management
Activity
Monitoring
Configuration
Management
Database
Firewall

5. Соответствие требованиям
Отраслевые стандарты и локальное законодательство
Copyright © 2014, Oracle and/or its affiliates. All rights reserved. |
5

6. 12 требований PCI DSS
http://security-orcl.blogspot.co.uk/2014/05/blog-post.html
Copyright © 2014, Oracle and/or its affiliates. All rights reserved. |

7. Требования Национальной платежной системы
http://security-orcl.blogspot.co.uk/2014/05/blog-post.html
Copyright © 2014, Oracle and/or its affiliates. All rights reserved. |

8. ТРЕБОВАНИЯ ЗАКОНОДАТЕЛЬСТВА
Типы обрабатываемой информации
Информация (сведения)
Составляющие ГТ Не составляющие ГТ
Секретно Сов. секретно Конфиденциальная
Коммерческая
тайна
Copyright © 2014, Oracle and/or its affiliates. All rights reserved. |
Н/Конф
Персональные
данные
8

9. Регуляторы
• ФСТЭК – Требования для СЗИ от НСД, проверки лицензиатов
• ФСБ – СКЗИ, проверки лицензиатов
• МО – Требования для СЗИ для использования в МО
• Роскомнадзор – проверка исполнения закона о ПДн
• ...
Copyright © 2014, Oracle and/or its affiliates. All rights reserved. |
9

10. Схема автоматизированной системы (АС)
Copyright © 2014, Oracle and/or its affiliates. All rights reserved. |
Прикладное ПО
СЗИ
СЗИ
СЗИ
Антивирус
ЭЦП
СКЗИ
МСЭ
VPN
СКЗИ
Излучение - ПЭМИН
10

11. Подтверждение соответствия требованиям по защите
информации
• Для АС – аттестация, для ИСПДн – оценка соответствия
• Для ПО СЗИ – сертификация
• Для прикладного ПО - НЕ ТРЕБУЕТСЯ!
• Для HW - спец.проверки ПЭМИН, обеспечение доверенной загрузки
• Для HW+SW – сертфикация ПАК
• Цель сертификации ПО – обеспечить защиту информации без
использования наложенных средств
Copyright © 2014, Oracle and/or its affiliates. All rights reserved. |
11

12. Системы сертификации СЗИ
ГОСТ-Р
ФСТЭК ФСБ МО Газпром
Copyright © 2014, Oracle and/or its affiliates. All rights reserved. |
СЗИ СКЗИ
РД АС
РД СВТ
РД НДВ
РД МСЭ
СТР-К
СЗИ СЗИ
...
Требования
к АС
РД МО
12

13. Соответствие законодательству. Персональные данные
Copyright © 2014, Oracle and/or its affiliates. All rights reserved. |
13

14. Copyright © 2014, Oracle and/or its affiliates. All rights reserved. |
Персональные данные
14

15. Продукты Oracle, сертифицированные ФСТЭК
Identity and Access Management – защита доступа в приложения
и управление учетными записями, проведены проверки на
наличие не декларированных возможностей по 4-НДВ уровню
(по 3-НСД и 2-НДВ – декабрь 2014)
Oracle Enterprise Single Sign-On – контроль доступа в
информационные системы персональных данных
Oracle DB 11gR2 + Database Vault – разграничение доступа к
данным в приложениях на уровне СУБД
Oracle Enterprise Linux – защита сертифицированной БД Oracle
на уровне операционной системы, по 3-НСД и 2-НДВ
Oracle Fusion Middleware – по 3-НСД и 2-НДВ
Exadata, Exalogic, Primavera
Copyright © 2014, Oracle and/or its affiliates. All rights reserved. |
S E C U R I T Y
S E C U R I T Y
S E C U R I T Y
S E C U R I T Y
S E C U R I T Y
S E C U R I T Y
S E C U R I T Y

16. Продукты Oracle, сертифицированные ФСТЭК. Планы
Identity and Access Management – по 3-НСД
и 2-НДВ – декабрь 2014
Audit Vault and Database Firewall
Identity Governance Suite
Mobile Security Suite
Exalytics
СУБД Oracle 12c (ОУД, производство)
Copyright © 2014, Oracle and/or its affiliates. All rights reserved. |
S E C U R I T Y
S E C U R I T Y
S E C U R I T Y
S E C U R I T Y
S E C U R I T Y
S E C U R I T Y
S E C U R I T Y

17. Архитектура построения подсистемы защиты
http://security-orcl.blogspot.co.uk/2014/05/blog-post.html
Copyright © 2014, Oracle and/or its affiliates. All rights reserved. |
Бизнес-
приложения
(OFM)
Кадры
(DV + OEL)

18. Exadata – машина баз данных для консолидации СУБД
• Все яйца в одной
корзине?
• Уникальное ПО firmware
для ячеек хранения
• Доступ к данным
возможен как на уровне
ОС, так и СУБД и
приложений
• Кто контролирует
привилегированный
доступ?
admin
sys/dba
Приложения
Copyright © 2014, Oracle and/or its affiliates. All rights reserved. |
18

19. Программно-аппаратный комплекс средств для защиты
Exadata
Не заметно
для работы
Copyright © 2014, Oracle and/or its affiliates. All rights reserved. |
ODV
TDE
• Сертифицированная
платформа (OFM, 2НДВ,
3СВТ) для Oracle Enterprise
Manager
• Управление и
разграничение доступа к
сертифицированным
средствам защиты Exadata
• Контроль доступа
администраторов к СУБД и
запись терминальных сессий
• Хранение ключей в
сертифицированном HSM
admin
sys/dba
Приложения
19

20. Многоуровневая SECURITY
INSIDE
OUT
Copyright © 2014, Oracle and/or its affiliates. All rights reserved. | 20
защита
Безопасность
самого ценного

21. Copyright © 2014, Oracle and/or its affiliates. All rights reserved. |
Спасибо за внимание!
Сергей Базылько, к.ф.-м.н.
Директор по продажам продуктов безопасности
sergey.bazylko@oracle.com
+7 915 018 8804
21

22. Copyright © 2014, Oracle and/or its affiliates. All rights reserved. | 22