More Related Content
Similar to Security outsourcing or secure outsourcing?
Similar to Security outsourcing or secure outsourcing? (20)
More from Aleksey Lukatskiy
More from Aleksey Lukatskiy (20)
Security outsourcing or secure outsourcing?
- 1. © 2008 Cisco Systems, Inc. All rights reserved.Security outsourcing 1/50
Информационная
безопасность и
аутсорсинг
Алексей Лукацкий
Бизнес-консультант по безопасности
- 2. 3/50© 2008 Cisco Systems, Inc. All rights reserved.Security outsourcing
Аутсорсинг и ИБ
- 3. 4/50© 2008 Cisco Systems, Inc. All rights reserved.Security outsourcing
Аутсорсинг ИБ
- 4. 5/50© 2008 Cisco Systems, Inc. All rights reserved.Security outsourcing
Почему мы обращаемся к аутсорсингу
ИБ?
4
18
20
21
27
28
34
34
0 5 10 15 20 25 30 35 40
Другие ИТ на аутсорсинге
Снижение риска ответственности
Снижение сложности
Рост регуляторного соответствия
Снижение затрат
Рост компетенции
Рост качества защиты
Режим 24х7
Что наиболее важно при переходе к
аутсорсингу ИБ?
Источник: Forrester Research
- 5. 6/50© 2008 Cisco Systems, Inc. All rights reserved.Security outsourcing
К какому аутсорсингу мы обращаемся
чаще?
• 15-20%Мониторинг событий ИБ
• 10-15%Управление ПК, включая мобильными
• 5-10%Управление логами
• 15-20%Threat Intelligence
• 10-15%Управление уязвимостями
• 5-10%Безопасность приложений
• 0-5%Управление инцидентами
• 25-30%Безопасность контента
• 15-20%Политики / compliance
• 10-15%Управление устройствами
• 5-10%Управление IAM
Источник: Forrester Research
- 6. 7/50© 2008 Cisco Systems, Inc. All rights reserved.Security outsourcing
Зрелость перехода к аутсорсингу ИБ
Самостоятельные
некритичные сервисы
Управляющие
некритичные сервисы
Управляющие
критичные сервисы
- 7. 8/50© 2008 Cisco Systems, Inc. All rights reserved.Security outsourcing
Аутсорсинг ИБ в России
При условии нехватки в России персонала в отделах
ИБ, аутсорсинг – это не средство экономии
Основные мотивы – экспертиза, качество сервиса, нехватка
собственных ресурсов
Аутсорсинг ИБ в России (на данном этапе) применим только
в Москве (реалистично) или крупных федеральных центрах
(оптимистично)
Не имеет смысла обращаться к компаниям, имеющим
менее 2-х лет подтвержденной экспертизы именно в
аутсорсинге ИБ
Аутсорсинг – это не просто иной способ
взаимодействия между компаниями, это иная
культура ведения бизнеса, рассчитанная на
долгосрочное партнерство
- 8. 9/50© 2008 Cisco Systems, Inc. All rights reserved.Security outsourcing
Что есть в России сейчас?
Threat Intelligence
Cisco Intellishield Alert, Cisco SIO, SecurityLab Alerts
Безопасность контента
Cisco ScanSafe, WebSense, Google
Политики и compliance
Positive Technologies (PCI DSS, СТО БР ИББС…)
Безопасность приложений
Positive Technologies (ДБО, Web…)
Управление устройствами
Cisco, Orange, ТТК
- 9. 10/50© 2008 Cisco Systems, Inc. All rights reserved.Security outsourcing
ИБ аутсорсинга
данных
- 10. 11/50© 2008 Cisco Systems, Inc. All rights reserved.Security outsourcing
Проблема ИБ аутсорсинга данных
Доступ к
данным
с чужих
ПК
Контрактники
Сезонники
Консультанты
/ аудиторы
Оффшоринг
Программа
BYOPC
- 11. 12/50© 2008 Cisco Systems, Inc. All rights reserved.Security outsourcing
5 стратегий контроля своих данных на
чужих устройствах
• Приложения запускаются на сервере
• Терминальный доступ
«Тонкий»
клиент
• Мобильные устройства, синхронизирующиеся с сервером
• Локальные данные зашифрованы
• Утерянное устройство «очищается» удаленно
«Тонкое»
устройство
• ОС и приложения контролируются централизованно
• Репликация
Защищенный
процесс
• Права доступа привязаны к документам
• Технологии DRM
Защищенные
данные
• Контроль информационных потоков «на лету»
• Технологии DLP
Контроль на
лету
- 12. 13/50© 2008 Cisco Systems, Inc. All rights reserved.Security outsourcing
«Тонкий» клиент
Централизованное хранение и обработка всех
конфиденциальных данных
MS Terminal Services, Citrix XenApp/XenDesktop, VNC
Данные
никогда не
покидают
сервер
Требуется
постоянное
сетевое
соединение
- 13. 14/50© 2008 Cisco Systems, Inc. All rights reserved.Security outsourcing
«Тонкое» устройство
Хранение ограниченного объема реплицированных
конфиденциальных данных (мастер-копия хранится в
центре) на мобильных устройствах (обычно e-mail)
BlackBerry, Motorola Good для Windows Mobile или Symbian
Возможность
существенного
контроля
Ограниченное
число
приложений
- 14. 15/50© 2008 Cisco Systems, Inc. All rights reserved.Security outsourcing
Защищенный процесс
Хранение конфиденциальной информации на
локальном устройстве в «виртуальной»,
централизованно управляемой среде
VMware ACE, Cisco Secure Desktop, Microsoft App-V
Защита
локальной
машины в
автономном
режиме
Как
правило, на
платформе
Windows
- 15. 16/50© 2008 Cisco Systems, Inc. All rights reserved.Security outsourcing
Защищенные данные
Защита конфиденциальной информации не через
окружение, а через сами данные
Adobe LiveCycle Rights Management ES2, Oracle Information
Rights Management, EMC Documentum Information Rights
Management
Эффективный
контроль на
уровне
данных, а не
ОС или
устройства
Сложность
поддержки
клиентских
агентов
- 16. 17/50© 2008 Cisco Systems, Inc. All rights reserved.Security outsourcing
Контроль на лету
Контроль конфиденциальной информации,
покидающей границы предприятия
Cisco E-mail Security Appliance, Infowatch Traffic Monitor, RSA
DLP
Эффективный
контроль
потоков
данных
Установка
агентов на
«чужих»
устройствах
- 17. 18/50© 2008 Cisco Systems, Inc. All rights reserved.Security outsourcing
ИБ аутсорсинга
приложений
- 18. 19/50© 2008 Cisco Systems, Inc. All rights reserved.Security outsourcing
SaaS, PaaS, IaaS… XaaS
Software
-as-a-
Service
Google Apps,
Salesforce.com
Platform-
as-a-
Service
MS Azure,
Google App
Engine
Infrastruc
-ture-as-
a-
Service
Amazon EC2, co-
location
- 19. 20/50© 2008 Cisco Systems, Inc. All rights reserved.Security outsourcing
Интерес к аутсорсингу приложений
33
33
31
29
33
28
42
41
39
39
35
32
23
19
24
25
25
36
0% 20% 40% 60% 80%100%
Латинская Америка
Китай, Индия
Россия, ОАЭ, ЮАР
Европа
Азия, Австралия
США, Канада
Высокий приоритет
Низкий приоритет
Не на повестке
Не знаю
Источник: Forrester Research
- 20. 21/50© 2008 Cisco Systems, Inc. All rights reserved.Security outsourcing
Что обычно отдают на аутсорсинг?
ERP
Service Desk
Управление контентом
HRM
Управление заказами (ORM)
Управление затратами и поставщиками (SRM)
Унифицированные коммуникации
Управление проектами
Управление цепочками поставок (SCM)
Web 2.0
- 21. 22/50© 2008 Cisco Systems, Inc. All rights reserved.Security outsourcing
Проблемы аутсорсинга
36
30
23
23
20
19
18
18
16
19
0 5 10 15 20 25 30 35 40
Вопросы цены
Безопасность и privacy
Нет нужных приложений
Вопросы интеграции
Сложное ценообразование
Зависимость от текущего…
Слабый каналы связи
Слабая кастомизация
Производительность
Другое
Почему вы не думаете об аутсорсинге?
Источник: Forrester Research
- 22. 23/50© 2008 Cisco Systems, Inc. All rights reserved.Security outsourcing
При аутсорсинге меньше контроля!
Своя ИТ-
служба
Хостинг-
провайдер
IaaS PaaS SaaS
Данные Данные Данные Данные Данные
Приложения Приложения Приложения Приложения Приложения
VM VM VM VM VM
Сервер Сервер Сервер Сервер Сервер
Хранение Хранение Хранение Хранение Хранение
Сеть Сеть Сеть Сеть Сеть
- Контроль у заказчика
- Контроль распределяется между заказчиком и аутсорсером
- Контроль у аутсорсера
- 23. 24/50© 2008 Cisco Systems, Inc. All rights reserved.Security outsourcing
Если вы решились
Стратегия безопасности аутсорсинга
Пересмотрите свой взгляд на понятие «периметра ИБ»
Оцените риски – стратегические, операционные, юридические
Сформируйте модель угроз
Сформулируйте требования по безопасности
Пересмотрите собственные процессы обеспечения ИБ
Проведите обучение пользователей
Продумайте процедуры контроля аутсорсера
Юридическая проработка взаимодействия с аутсорсером
Стратегия выбора аутсорсера
Чеклист оценки ИБ аутсорсера
- 24. 25/50© 2008 Cisco Systems, Inc. All rights reserved.Security outsourcing
Критерии выбора аутсорсера
Финансовая устойчивость аутсорсера
Схема аутсорсинга
SaaS, hosted service, MSS
Клиентская база
Архитектура
Безопасность и privacy
Отказоустойчивость и резервирование
Планы развития новых функций
- 25. 26/50© 2008 Cisco Systems, Inc. All rights reserved.Security outsourcing
Выбор аутсорсера с точки зрения ИБ
Защита данных
Управление уязвимостями
Управление identity
Объектовая охрана и персонал
Доступность и производительность
Безопасность приложений
Управление инцидентами
Privacy
- 26. 27/50© 2008 Cisco Systems, Inc. All rights reserved.Security outsourcing
Выбор аутсорсера с точки зрения ИБ
(окончание)
Непрерывность бизнеса и восстановление после
катастроф
Журналы регистрации
Сompliance
Финансовые гарантии
Завершение контракта
Интеллектуальная собственность
- 27. 28/50© 2008 Cisco Systems, Inc. All rights reserved.Security outsourcing
Защита данных
Как мои данные отделены от данных других клиентов?
Где хранятся мои данные?
Как обеспечивается конфиденциальность и
целостности моих данных?
Как осуществляется контроль доступа к моим
данным?
Как данные защищаются при передаче от меня к
аутсорсеру?
Как данные защищаются при передаче от одной
площадки аутсорсера до другой?
Релизованы ли меры по контролю утечек данных?
- 28. 29/50© 2008 Cisco Systems, Inc. All rights reserved.Security outsourcing
Защита данных (окончание)
Может ли третья сторона получить доступ к моим
данным? Как?
Оператор связи, аутсорсер аутсорсера
Все ли мои данные удаляются по завершении
предоставления сервиса?
- 29. 30/50© 2008 Cisco Systems, Inc. All rights reserved.Security outsourcing
Управление уязвимостями
Как часто сканируется сеть и приложения?
Можно ли осуществить внешнее сканирование сети
аутсорсера? Как?
Каков процесс устранения уязвимостей?
- 30. 31/50© 2008 Cisco Systems, Inc. All rights reserved.Security outsourcing
Управление identity
Возможна ли интеграция с моим каталогом учетных
записей? Как?
Если у аутсорсера собственная база учетных записей,
то
Как она защищается?
Как осуществляется управление учетными записями?
Поддерживается ли SSO? Какой стандарт?
Поддерживается ли федеративная система
аутентификации? Какой стандарт?
- 31. 32/50© 2008 Cisco Systems, Inc. All rights reserved.Security outsourcing
Объектовая охрана и персонал
Контроль доступа осуществляется в режиме 24х7?
Выделенная инфраструктура или разделяемая с
другими компаниями?
Регистрируется ли доступ персонала к данным
клиентов?
Есть ли результаты оценки внешнего аудита?
Какова процедура набора персонала?
- 32. 33/50© 2008 Cisco Systems, Inc. All rights reserved.Security outsourcing
Доступность
Уровень доступности в SLA (сколько девяток)
Какие меры обеспечения доступности используются
для защиты от угроз и ошибок?
Резервный оператор связи
Защита от DDoS
Доказательства высокой доступности аутсорсера
План действия во время простоя
Пиковые нагрузки и возможность аутсорсера
справляться с ними
- 33. 34/50© 2008 Cisco Systems, Inc. All rights reserved.Security outsourcing
Безопасность приложений
Исполнение рекомендаций OWASP при разработке
приложений
Процедура тестирования для внешних приложений и
исходного кода
Существубт ли приложения третьих фирм при
оказании сервиса?
Используемые меры защиты приложений
Web Application Firewall
Аудит БД
- 34. 35/50© 2008 Cisco Systems, Inc. All rights reserved.Security outsourcing
Управление инцидентами
План реагирования на инциденты
Включая метрики оценки эффективности
Взаимосвязь вашей политики управления
инцидентами и аутсорсера
- 35. 36/50© 2008 Cisco Systems, Inc. All rights reserved.Security outsourcing
Privacy
Обезличивание критичных данных и предоставление к
ним доступа только авторизованному персоналу
Какие данные собираются о заказчике?
Где хранятся? Как? Как долго?
Какие условия передачи данныех клиента третьим
лицам?
Законодательство о правоохранительных органах,
адвокатские запросы и т.п.
Гарантии нераскрытия информации третьим лицам и
третьими лицами?
- 36. 37/50© 2008 Cisco Systems, Inc. All rights reserved.Security outsourcing
Непрерывность бизнеса
План обеспечения непрерывности бизнеса и
восстановления после катастроф
Где находится резервный ЦОД?
Проходил ли аутсорсер внешний аудит по
непрерывности бизнеса?
Есть ли сертифицированные сотрудники по непррывности
бизнеса?
- 37. 38/50© 2008 Cisco Systems, Inc. All rights reserved.Security outsourcing
Журналы регистрации
Как вы обеспечиваете сбор доказательств
несанкционированной деятельности?
Как долго вы храните логи? Возможно ли увеличение
этого срока?
Можно ли организовать хранение логов во внешнем
хранилище? Как?
- 38. 39/50© 2008 Cisco Systems, Inc. All rights reserved.Security outsourcing
Compliance
Подчиняется ли аутсорсер локальным нормативным
требованиям? Каким?
Как локальные нормативные требования соотносятся с
требованиями клиента?
Проходил ли аутсорсер внешний аудит соответствия?
ISO 27001
PCI DSS
Аттестация во ФСТЭК
- 39. 40/50© 2008 Cisco Systems, Inc. All rights reserved.Security outsourcing
Финансовые гарантии
Какая компенсация подразумевается в случае
инцидента безопасности или нарушения SLA?
- 40. 41/50© 2008 Cisco Systems, Inc. All rights reserved.Security outsourcing
Интеллектуальная собственность
Кому принадлежат права на информацию,
переданную аутсорсеру?
А на резервные копии?
А на реплицированные данные?
А на логи?
Удостоверьтесь, что ваш контракт не приводит к
потере прав на информацию и иные ресурсы,
переданные аутсорсеру?
- 41. 42/50© 2008 Cisco Systems, Inc. All rights reserved.Security outsourcing
Завершение контракта
Процедура завершения контракта?
Возврат данных? В каком формате?
Как скоро я получу мои данные обратно?
Как будут уничтожены все резервные и иные копии моих
данных? Как скоро? Какие гарантии?
Какие дополнительные затраты на завершение
контракта?
- 42. 43/50© 2008 Cisco Systems, Inc. All rights reserved.Security outsourcing
В качестве
заключения
- 43. 44/50© 2008 Cisco Systems, Inc. All rights reserved.Security outsourcing
Уходя от традиционного периметра…
Периметр
Филиал
Приложения и
данные
Офис
Политика
Хакеры ЗаказчикиПартнеры
- 44. 45/50© 2008 Cisco Systems, Inc. All rights reserved.Security outsourcing
…к аутсорсингу данных…
Периметр
Филиал
Приложения и
данные
Офис
Политика
Хакеры Заказчики
Дом
Кафе
Аэропорт
Мобильный
пользователь Партнеры
- 45. 46/50© 2008 Cisco Systems, Inc. All rights reserved.Security outsourcing
…и аутсорсингу приложений (а также XaaS)…
Периметр
Филиал
Приложения и
данные
Офис
Политика
Хакеры
Дом
Кафе
Заказчики
Аэропорт
Мобильный
пользователь Партнеры
Platform
as a Service
Infrastructure
as a Service
X
as a Service
Software
as a Service
- 46. 47/50© 2008 Cisco Systems, Inc. All rights reserved.Security outsourcing
…помните о смене парадигмы ИБ…
Периметр
Филиал
Приложения и
данные
Офис
Политика
Хакеры
Дом
Кафе
Заказчики
Аэропорт
Мобильный
пользователь Партнеры
Platform
as a Service
Infrastructure
as a Service
X
as a Service
Software
as a Service
- 47. 48/50© 2008 Cisco Systems, Inc. All rights reserved.Security outsourcing
Borderless
DataCenter
3
Borderless
Internet
2
Borderless
EndZones
1
И создайте новую стратегию ИБ!
Политика
Периметр
Филиал
Приложения и
данные
Офис
Политика
(Access Control, Acceptable Use, Malware, Data Security)4
Дом
Хакеры
Кафе
Заказчики
Аэропорт
Мобильный
пользователь Партнеры
Platform
as a Service
Infrastructure
as a Service
X
as a Service
Software
as a Service
- 48. 49/50© 2008 Cisco Systems, Inc. All rights reserved.Security outsourcing
Вопросы?
Дополнительные вопросы Вы можете задать по электронной
почте security-request@cisco.com
или по телефону: +7 495 961-1410
Полная версия презентации выложена на сайте
http://lukatsky.blogspot.com/