Документ представляет стратегию Cisco по обеспечению безопасности данных в IT-инфраструктуре, учитывающую глобальные тенденции и изменения в подходах к информационной безопасности. Основное внимание уделяется разработке многоуровневой защиты информации и интеграции политики управления данными в рамках всей организации. В документе также рассматриваются формы обучения сотрудников и примеры архитектур, ориентированных на защиту данных.

1. Использование решений Cisco в
ИТ-инфраструктуре Cisco:
стратегия обеспечения
безопасности, ориентированная
на защиту данных
COCSEC-2985 © 2011 Cisco and/or its affiliates. All rights reserved. Cisco Public 1

2. План презентации
 Причины разработки стратегии ИБ,
ориентированной на защиту данных:
• Отраслевые тенденции
• Особенности Cisco
 Изменения стратегий ИБ: план Cisco
 Система обеспечения ИБ, ориентированная на
защиту данных, в Cisco
• Политика
• Обучение
• Архитектура
• Методики
 Резюме
COCSEC-2985 © 2011 Cisco and/or its affiliates. All rights reserved. Cisco Public 2

3. Отраслевые тенденции
 Исследование Cisco – «Connected World Report»
59% сотрудников хотят использовать для работы личные устройства
7 млрд новых беспроводных устройствах к 2015 году,
22 млрд к 2020 году [данные IDC]
40% организаций планируют использовать облачные сервисы
 Оценки роста объема данных
35 Зеттабайт к 2020 году
Данные присутствуют
повсюду– на устройствах
сотрудников, в
корпоративной сети
и в облаке
Источник: Cisco Connected World Report 2010, статья в журнале Economist: Leaky Corporation
COCSEC-2985 © 2011 Cisco and/or its affiliates. All rights reserved. Cisco Public 3

4. Утечки/утери данных
Информацию в цифровом виде просто хранить.
Но ее также легко потерять или украсть!
 Datalossdb.org
 Нарушения безопасности персональных данных
 Секретные проекты, финансовые данные и т. п...
 Wikileaks
Организациям необходимо принять 2 решения:
что действительно необходимо защищать
и
как обеспечить оптимальную защиту ценных ресурсов
COCSEC-2985 © 2011 Cisco and/or its affiliates. All rights reserved. Cisco Public 4

5. Особенности Cisco
 Глобальная компания, мобильные сотрудники, большая экосистема
сотрудников, партнеров, поставщиков, заказчиков
 Программа доступа с любого устройства запущена в 2009 году
 Активная поддержка сред совместной работы - WebEx,
корпоративные социальные сети – как внутренних, так
и с доступом заказчиков/партнеров
 Cisco поддерживает облачные решения – SaaS, IaaS – как для
внутреннего использования, так и общедоступные
 Постоянно растет популярность решений для мобильных устройств
К чему это приводит?
Корпоративные данные Корпоративные данные повсюду
в закрытой корпоративной (неконтролируемые устройства/
ИТ-инфраструктуре облако)
COCSEC-2985 © 2011 Cisco and/or its affiliates. All rights reserved. Cisco Public 5

6. Принятые в Cisco методики защиты информации:
реализация концепция многоуровневой защиты
Совместная работа/виртуализация
Информация
ЭТАП 4
Приложения и СУБД
Защита приложений
Риски
Мобильность
и доступ ЭТАП 3
Защита оконечных устройств
Приоритет: ЦОД
ЭТАП 2
Защита периметра
ЭТАП 1
1980 1990 2000 2010
Время
COCSEC-2985 © 2011 Cisco and/or its affiliates. All rights reserved. Cisco Public 6

7. Направления развития
2010 2013
Управляемая Доверенное устройство,
(Windows, Blackberry) Платформа PlatformV, ContentV
Различные средства Встроенные средства +
Оконечные устр-ва Anyconnect + MDM
Сертификаты устройств,
Аутентификация Сущности, политика TrustSec, федерация,
пользователей
учет контекста
Оконечные устройства,
инфраструктура, Сервисы ИБ Сеть, облако
приложения (IPS, WSA, WAF,
Scansafe, DLP, VSG)
COCSEC-2985 © 2011 Cisco and/or its affiliates. All rights reserved. Cisco Public 7

8. Модель безопасности, ориентированная
на защиту данных (DCSM)
 Сопоставление бизнес-стратегии
и стратегии обеспечения ИБ на
основании общего множества
данных
 Переход от защиты сети
и хостов к защите данных при
использовании, передаче и
хранении
 Оценка значимости данных,
последующее применение мер
обеспечения ИБ
в рамках их жизненного цикла
 Решения на основе данных
Владение
Классификация
Управление/защита определяются
классом данных
Источник: статья IBM “Data-Centric Security”, декабрь 2006 г.
COCSEC-2985 © 2011 Cisco and/or its affiliates. All rights reserved. Cisco Public 8

9. Реализация стратегии обеспечения ИБ,
ориентированной на защиту данных
Данный подход необходимо внедрить в
масштабах всей организации:
 Политики и стандарты
 Обучение и информированность пользователей
 Архитектура
 Методики
COCSEC-2985 © 2011 Cisco and/or its affiliates. All rights reserved. Cisco Public 9

10. Политики и стандарты,
ориентированные на защиту данных
Принятие решения на основе данных – идентификация,
классификация, проверка
 Идентификация владельца данных
 Классификация данных в соответствии с уровнем
конфиденциальности
 Проверка существования средств управления/защиты в
соответствии с результатами классификации
Классификация
Носитель
Управление/защита
COCSEC-2985 © 2011 Cisco and/or its affiliates. All rights reserved. Cisco Public 10

11. Стандарты, ориентированные на
защиту данных: примеры
Категория Cisco Confidential Cisco Highly Cisco Restricted
Confidential
Примеры: Большая часть Сведения о Сведения о сделках,
документов компании безопасности, ПДн медицинские данные,
финансовые сведения
Контроль доступа и Доступны сотрудникам Доступны Доступ ограничен явно
распространение: Cisco, кроме того, доступ ограниченному кругу перечисленным кругом
любой носитель может предоставляться сотрудников Cisco, лиц; доступ предоставляет
посторонним лицам, для доступ может по решению владельца
решения легитимной предоставляться данных
бизнес-задачи посторонним лицам, для
решения легитимной
бизнес-задачи; доступ
предоставляет по
решению владельца
данных
Способ передачи: Шифрование Шифрование Шифрование обязательно
электронная почта рекомендуется при обязательно при при любой передаче
передаче документов и передаче документов и данных; средства: WinZip
сообщений электронной сообщений электронной или CRES
почты по открытым почты по открытым
сетям общего сетям общего
пользования; средства: пользования; средства:
WinZip или CRES WinZip или CRES
Хранение: носитель Нет требований Шифрование данных Шифрование данных
(DVD, USB- рекомендуется обязательно
накопитель)
COCSEC-2985 © 2011 Cisco and/or its affiliates. All rights reserved. Cisco Public 11

12. Обучение и информированность пользователей
Обеспечение безопасности – обязанность всех сотрудников Cisco
Пример: серия видеороликов Genoodle
 Повышение информированности и вовлечение сотрудников путем
активного и поощряемого участия в проекте
 Использование платформ социальных сетей и мультимедийных средств
 Разрушения языковых и культурных барьеров с помощью кукол
 Демонстрация решений Cisco
COCSEC-2985 © 2011 Cisco and/or its affiliates. All rights reserved. Cisco Public 12

13. Архитектуры,
ориентированные на защиту
данных: опыт Cisco
COCSEC-2985 © 2011 Cisco and/or its affiliates. All rights reserved. Cisco Public 13

14. Архитектура, ориентированная на
защиту данных: пример № 1
Репозиторий данных Crown-Jewel
Критерии:
• Данные уровня не ниже Highly Confidential
• Поддержка критически важных бизнес-
процессов
• Данные, регламентируемые нормативными
требованиями
• Данные для аутентификации/авторизации
пользователей
COCSEC-2985 © 2011 Cisco and/or its affiliates. All rights reserved. Cisco Public 14

15. Архитектура, ориентированная на защиту
данных: пример № 1
Репозиторий данных Crown-Jewel (продолжение)
Средства управления безопасностью в среде Crown-Jewel
 Аутентификация и авторизация пользователей
и приложений/операций доступа к хостам
 Целостность DBlink и жизненного цикла приложений
 Аудит и журналирование доступа
 Поддержка актуальности версий СУБД и патчей в сфере безопасности
 Формализованный и контролируемый доступ в рамках защищенного
сегмента сети
 Принятые стандарты повышения уровня защищенности СУБД
и операционных систем
 Повышение управляемости и расширение возможностей мониторинга
партнерского доступа к экстранету
 Умышленное искажение или маскирование данных при репликации
в тестовых целях
 Шифрование данных
COCSEC-2985 © 2011 Cisco and/or its affiliates. All rights reserved. Cisco Public 15

16. Архитектура, ориентированная на
защиту данных: пример № 2
Анализ данных
“All or Nothing” “All or Nothing”
Доку- Доку-
менты менты
Пользователь Cisco Пользователь Cisco
Шлюз Шлюз
экстранета экстранета
Прил.
ACL Прил.
ACL Фильтрация
B по URL B
Фильтрация
Анализ
по URL
данных
Прил. Прил.
C C
Ineffective with portlets
Работа на Работа на основе
основе доверия доверия с проверкой
По мере увеличения количества партнеров, пользующихся экстранетом,
и расширения способов доступа к экстранету анализ данных становится
критически важным механизмом поддержания требуемого уровня
защищенности ИТ-инфраструктуры
COCSEC-2985 © 2011 Cisco and/or its affiliates. All rights reserved. Cisco Public 16

17. Архитектура, ориентированная на
защиту данных: пример № 3
Облачная система хранения данных
Интернет ДМЗ Внутренняя
сеть
Внешний
пользователь
Приложение Приложение
• Данные в облаке
всегда зашифрованы
Метаданные
• Ключи шифрования
приложений защищены и
Оператор хранятся в
системы
хранения собственной ИТ-
Ключи инфраструктуре
шифрования организации
• Оптимизация
производительности
Внутренний
пользователь
COCSEC-2985 © 2011 Cisco and/or its affiliates. All rights reserved. Cisco Public 17

18. Используемые в Cisco
методики, ориентированные
на защиту данных
COCSEC-2985 © 2011 Cisco and/or its affiliates. All rights reserved. Cisco Public 18

19. Методики, ориентированные на защиту
данных: пример № 1
Оценка уязвимости приложений (AVA) на основании рисков
Выделенные
специалисты - Крити-
аналитики ческий
Устаревшие в сфере ИБ Анализ
приложения
экспертами
Оценка
Новые рисков
приложения
(показатель) Средний риск
Базовый
Приложения с
известными Самооб-
служи-
анализ
Самообслу-
уязвимостями
вание
Средства AVA живание
Архитектор
безопасности Низкий риск
Базовый анализ
Самообслуживание
Факторы классификации данных
для расчета показателей рисков Разработчики
Специалисты по
QA-тестированию
COCSEC-2985 © 2011 Cisco and/or its affiliates. All rights reserved. Cisco Public 19

20. Методики, ориентированные на защиту
данных: пример № 2
Анализ безопасности системы оператора облачной
системы/провайдера услуг
 Уровень осмотрительности в соответствии
с профилем риска
 Данные, регламентируемые нормативными
требованиями, или конфиденциальные данные
приводят к автоматическому присвоению
оператору облачной системы/провайдеру услуг
высокого уровня риска
 Анализ при высоком уровне риска включает
периодическую оценку уязвимости систем и
регулярное проведение аудита безопасности
COCSEC-2985 © 2011 Cisco and/or its affiliates. All rights reserved. Cisco Public 20

21. Методики, ориентированные на
защиту данных: пример № 3
Внедрение технологий обеспечения ИБ
 Развертывание технологических решений для
обеспечения ИБ в крупной компании, такой как
Cisco, может занять долгие годы
 Развертывание выполняется поэтапно, при этом
учитываются типы пользователей, категории
данных и типы угроз –
• Шифрование файлов на рабочих ПК сотрудников отдела
кадров/бухгалтерии/инженеров – первый приоритет
• Внедрение TrustSec в средах высокого риска
(определенные регионы, офисы, расположенные в бизнес-
центрах, зоны общего доступа)
• Внедрение Web Application Firewall для систем
электронного размещения заказов и приложений
Cisco.com
COCSEC-2985 © 2011 Cisco and/or its affiliates. All rights reserved. Cisco Public 21

22. Бизнес-стимулы: конфиденциальность, защита данных заказчиков,
защита интеллектуальной собственности, нормативные требования
Интеграция в сфере ИБ Эксплуатация (ИБ)
Выбор Оценка Соотв. Анализ Монито- Опросник по ИБ Мониторинг и Периодическая
поставщ архитектуры нормативн. уязвим. ринг для заказчиков реакция на оценка в сфере
ика • Стандарты и требован. • Приложение • IPD/IDS • Реакция на вопросы инциденты ИБ
политики ИБ, заказчиков в сфере • Анализ журналов и • Анализ
• Анализ • Норм. докум. • Инфраструк- • DLP ИБ
принятые в Cisco тура событий уязвимостей
облака • Обработка
• Модели • Схема сети • Уведомления о • Приложения
• Анализ интеграции данных критически важных
продукта заказчиков • Инфраструктура
патчах • Оценка рисков
• ИС Cisco
• Экспорт • Пентестинг
• Юридич. док.
Обнаружение и защита с
Определение политик и
использованием Обеспечение ИБ, основанной
стандартов, ориентированных
ориентированных на защиту на защите данных
на защиту данных
данных архитектур и методик
COCSEC-2985 © 2011 Cisco and/or its affiliates. All rights reserved. Cisco Public 22

23. Основные тезисы презентации
 Трансформация подхода вызвана не только привычными бизнес-
стимулами
• Необходимость доступа с любого устройства, развитие
облачных систем и рост популярности сред совместной
работы требуют пересмотра модели управления
безопасностью.
• Модификация архитектуры безопасности – сущности,
политики, данные, сеть
 Основными особенностями являются фокус на данных как на ключевом
объекте и изменение политик
• Необходимо учитывать эти особенности при изменении
подхода к эксплуатации систем обеспечения ИБ и анализе
новых технологических решений
• Решения по защите должны приниматься в соответствии
с типом данных
• Обращайтесь за помощью к экспертам в сфере ИБ
COCSEC-2985 © 2011 Cisco and/or its affiliates. All rights reserved. Cisco Public 23

24. http://www.twitter.com/ciscoit
http://www.facebook.com/ciscoit
Использование решений Cisco
в ИТ-инфраструктуре Cisco
http://www.youtube.com/cisco
Будни
ИТ-подразделения http://blogs.cisco.com/ciscoit
Cisco http:/www.cisco.com/go/ciscoit
COCSEC-2985 © 2011 Cisco and/or its affiliates. All rights reserved. Cisco Public 24

25. COCSEC-2985 © 2011 Cisco and/or its affiliates. All rights reserved. Cisco Public 25

26. Спасибо за внимание.
COCSEC-2985 © 2011 Cisco and/or its affiliates. All rights reserved. Cisco Public 26