View
1.390
Download
0
Category
Preview:
DESCRIPTION
Презентация по обеспечению ИБ в рамках ИТ-проектов (презентовалась на ИТ-Слете 2014 в Пензе)
Citation preview
ОБЕСПЕЧЕНИЕ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ В ИТ-ПРОЕКТАХ
Шаломович Максим, консультант по информационным технологиям
Состав доклада
• Задачи обеспечения ИБ, термины, соглашения
• Задачи обеспечения ИБ в ИТ-проектах
• Кейсы ИТ-проектов с задачами по ИБ
• Вопросы?
ЗАДАЧИ ОБЕСПЕЧЕНИЯ ИБ, ТЕРМИНЫ, СОГЛАШЕНИЯ
Обеспечение ИБ в ИТ-проектах
«Словарные» определения
• Информация - сведения (сообщения, данные) независимо от формы их представления (149-ФЗ)
• Информационные технологии - процессы, методы поиска, сбора, хранения, обработки, предоставления, распространения информации и способы осуществления таких процессов и методов (149-ФЗ)
• Информационная система - совокупность содержащейся в базах данных информации и обеспечивающих ее обработку информационных технологий и технических средств (149-ФЗ)
Ох уж эта безопасность…
• Безопасность информации (данных) - состояние защищённости информации (данных), при котором обеспечиваются её (их) конфиденциальность, доступность и целостность (Р 50.1.053-2005)
• Информационная безопасность - все аспекты, связанные с определением, достижением и поддержанием конфиденциальности, целостности, доступности, неотказуемости, подотчётности, аутентичности и достоверности информации или средств её обработки (ГОСТ Р 13335-1-2006)
• Безопасность информации (при применении информационных технологий)(англ. IT security) — состояние защищённости информации (данных), обеспечивающее безопасность информации, для обработки которой она применяется, и информационную безопасность автоматизированной информационной системы, в которой она реализована (Р 50.1.053-2005)
• Безопасность автоматизированной информационной системы — состояние защищённости автоматизированной системы, при котором обеспечиваются конфиденциальность, доступность, целостность, подотчётность и подлинность её ресурсов (Р 50.1.053-2005)
Будем оперировать термином…
ИТ-безопасность, ИБ, IT Security(определение из Р 50.1.053-2005), состоящее из:
• безопасность обрабатываемых данных
• безопасность информационной (автоматизированной) системы, обрабатывающей данные
Свойства безопасности информации
• «Классическая тройка»:
– Confidentiality (конфиденциальность)
– Integrity (целостность)
– Availability (доступность)
• Дополнительные важные свойства
– Неотказуемость (non-repudiation)
Свойства безопасности информационной системы
Независимо от характеристик информационной системы, для нее должна обеспечиваться защищенность на всех этапах жизненного цикла, включая:
1. Разработку ИС (АС)
2. Внедрение ИС (АС)
3. Эксплуатацию ИС (АС)
Откуда взялось?
В Европе и США
• «Оранжевая книга»
• Privacy Act
• NIST
• Европейская конвенция по правам субъектов персональных данных
• EU-US «Safe Harbor»
В России
• Инструкции министерства обороны и КГБ
• ГОСТы и РД Гостехкомиссии (в настоящий момент –ФСТЭК)
• Федеральные законы:– 149-ФЗ
– 152-ФЗ
– О различных видах тайн
Во что превратилось?
• Исторически ИБ в России была ориентирована на защиту конфиденциальности
ОДНАКО…
• ИБ в отношении бизнеса ставит на первое место доступность данных и неотказуемость в отношении операций с данными
Поэтому…
• Конфиденциальность обеспечивается в соответствии с законами и подзаконными актами, зачастую – в ущерб бизнесу
Во что превратилось?
Действительно актуальные задачи ИБ для бизнеса
• Обеспечение «реальной» безопасности персональных данных в организации
• Обеспечение безопасного централизованного доступа к ресурсам, в том числе:– Обеспечение удобного и безопасного доступа к ресурсам с личных
устройств на рабочих местах (BYOD)– Обеспечение удобного и безопасного доступа к ресурсам из
любых мест– Перенос критичных бизнес-приложений в облако и обеспечение
его безопасности– Централизация и разграничение доступа в международных
организациях
• Обеспечение безопасности информации в бизнес-приложениях (в том числе – в соответствии с законодательством)
ЗАДАЧИ ОБЕСПЕЧЕНИЯ ИБ В ИТ-ПРОЕКТАХ
Обеспечение ИБ в ИТ-проектах
ИТ-проект это…
• Проект по созданию ИТ-продукта?или…
• Проект по разработке ПО?или может быть…
• Проект по внедрению ИС?в рамках текущей системы терминов...
• Проект (однократное мероприятие с заранее определенным результатом в определенных условиях и ограничениях) по созданию и (или) внедрению комплексной информационной системы или ее компонента для автоматизации бизнес-процессов организации Заказчика
Задачи обеспечения безопасности ИС ( IT Security)
В организации:• Техническая защита
инфраструктуры организации от угроз безопасности информации, необходимой для бизнес-процессов организации
• Реализация организационных процессов обеспечения безопасности информации, необходимой для бизнес-процессов организации
• И т.д.
В рамках ИТ-проектов
• Техническая защита программных и аппаратных компонентов комплексной информационной системы
• Реализация элементов организационных процессов обеспечения безопасности информации, обрабатываемой в комплексной информационной системе
• И т.д.
Казалось бы, одинаковые задачи, однако…
• В организации уже существует своя система (подход, методология, видение, принципы и т.п.) обеспечения информационной безопасности
• В организации существует гетерогенная информационная среда (инфраструктура), продукт ИТ-проекта, как правило – только часть этой среды
• В организации существует размытая ответственность за бизнес-процессы, включая бизнес-процессы, автоматизируемые продуктом ИТ-проекта
• Законодательные ограничения (например, 152-ФЗ применяется в отношении организации оператора, а не только конкретной информационной системы персональных данных)
Подходы к обеспечению ИБ в ИТ -проектах
(жизненный цикл)
• Обеспечение доверенной среды разработки (включая режимные мероприятия, NDA, соглашения, кадровую политику и т.д.)
• Обеспечение защищенного жизненного цикла разработки (Security Development Lifecycle) или его компонентов
Ввод в эксплуатацию ИС
Разработка решений по обеспечению безопасности
ИС
Разработка технических решений ИС
Подходы к обеспечению ИБ в ИТ -проектах
(жизненный цикл)
• Определение требований к безопасности информации, обрабатываемой в ИС, в соответствии с нормативными документами (ISO/IEC 15408, 152-ФЗ, РД ГТК, Приказы ФСТЭК по ПДн и ГИС)
• Приведение в соответствие определенным требованиям (включая доработку технических решений ИС, закупку и настройку СЗИ, распределение ответственности за работы по ИБ и т.д.)
Ввод в эксплуатацию ИС
Разработка решений по обеспечению безопасности
ИС
Разработка технических решений ИС
Подходы к обеспечению ИБ в ИТ -проектах
(жизненный цикл)
• Модификация бизнес-процессов организации
• Модификация инфраструктуры организации
• Проведение оценки соответствия ИС
• Ввод в эксплуатацию ИС
• Сопровождение и поддержка в соответствии с жизненным циклом ИС
Ввод в эксплуатацию ИС
Разработка решений по обеспечению безопасности
ИС
Разработка технических решений ИС
КЕЙСЫ ИТ-ПРОЕКТОВ С ЗАДАЧАМИ ПО ИБ
Обеспечение ИБ в ИТ-проектах
З а щ и т а П Д н в И С , в н е д р я е м о й в о р г а н а х г о с у д а р с т в е н н о й в л а с т и
Исходные данные:
• ИС является одной из комплекса ИС органов государственной власти и встраивается в существующую инфраструктуру
• ИС развертывается в удаленном датацентре
• ИС обрабатывает данные большого количества юридических лиц (операторов), т.е. фактически представляет собой глобальное решение
ОГВ1Датацентр
Система А Система Б Система В
АРМ1
АРМ2
ОГВ2
АРМ1
АРМ2
ОГВN
АРМ1
АРМ2
Защита ПДн в ИС, внедряемой в органах государственной власти
Основные проблемы
• Ответственность за обеспечение безопасности размыта между ОГВ (по закону?), технической службой датацентра (по логике?) и разработчиком системы (согласно РД ГТК, а также ввиду наличия компетенций)
Решения
• Оператор определяется из числа ОГВ
• Техническая служба датацентра становится обработчиком (ЛОПДпПО)
• Разработчик выполняет действия по подготовке к работам по ИБ
Защита ПДн в ИС, внедряемой в органах государственной власти
Основные проблемы
• Большое количество территориально распределенных рабочих мест ИС (более 500)
• Состав рабочих мест ИС переменный
• Требуется аттестация ИС
Примечание: работа выполнялась до разработки стандарта по аттестации ИС и выпуска приказа по ГИС
Решения• Каждое рабочее место или
территориально объединенная группа рабочих мест оформляется как отдельная ИСПДн (сегментирование ИСПДн)
• На рабочие места разрабатывается типовой подход по ИБ, которые кастомизируется в случае необходимости
• Аттестация выполняется силами территориально распределенных операторов
З а щ и т а и н ф о р м а ц и и ( в т о м ч и с л е , П Д н ) в W e b - п р и л о ж е н и и в м е ж д у н а р о д н о й к о м п а н и и
Исходные данные:
• ИС представляет собой Web-приложение с архитектурой 3Tier
• ИС является одной из комплекса ИС и встраивается в существующую инфраструктуру, в том числе в качестве мастер-системы
• ИС развертывается в удаленном датацентре
• ИС обрабатывает данные граждан разных стран
• Служба безопасности Заказчика предъявляет определенные требования к самому приложению, а формирует самостоятельно наиболее значимые риски
• Служба безопасности предъявляет особые требования к защите от внутренних угроз, включая действия администраторов
Web-приложение
База данныхУчетные записи
ОПО
Защита информации (в том числе, ПДн) в Web-приложении в
международной компанииОсновные проблемы
• Служба безопасности хочет за счет средств безопасности Web-приложения решить внутренние проблемы безопасности инфраструктуры
Решения• Компоненты ИС (веб-
приложение, база данных) защищаются максимальными штатными средствами
• Компоненты инфраструктуры (ОПО серверов, база данных учетных записей, служба каталогов) защищаются средствами Заказчика
• Остаточные риски закрываются организационными мерами и дополнительным ПО
Защита информации (в том числе, ПДн) в Web-приложении в
международной компанииОсновные проблемы
• Требования различных государств несовместимы между собой (как правило, несовместимы требования других стран с требованиями РФ)
Решения• Технические требования к защите
информации, обрабатываемой на территории другого государства, должны соответствовать по уровню требованиям РФ, но по реализации – требованиям государства, в котором они развернуты
• Организацией должны быть выполнены правовые мероприятия во всех странах присутствия
• Приложение развертывается за пределами РФ для удовлетворения требований стран Евросоюза и США
З а щ и т а и н ф о р м а ц и и ( в т о м ч и с л е , П Д н ) в о б л а ч н о м р е ш е н и и в м е ж д у н а р о д н о й к о м п а н и и
Исходные данные:
• ИС представляет собой облачное SaaS-решение
• ИС является автоматизирует отдельные бизнес-процессы организации
• ИС обрабатывает данные граждан разных стран
• Служба безопасности Заказчика предъявляет определенные требования к самому приложению, а формирует самостоятельно наиболее значимые риски
• Служба безопасности предъявляет требования к интеграции данных и отслеживаемости событий в облачном решении
SaaS-решение
Инфраструктура Заказчика
Учетные записи организации
Аутентификация и SSO
Приложения Заказчика
Пользователь
Аутентификация в инфраструктуре
SIEM
Доступ
Сбор событий
З а щ и т а и н ф о р м а ц и и ( в т о м ч и с л е , П Д н ) в о б л а ч н о м р е ш е н и и в м е ж д у н а р о д н о й к о м п а н и и
Типовая (внедряемая по умолчанию) архитектура внедрения SaaS-решений в бизнес-процессы организации:
• Администратор управляет одновременно и собственной инфраструктурой организации и необходимыми настройками SaaS-решения
• Офицер безопасности контролирует безопасность собственной инфраструктуры и, насколько это возможно, безопасность SaaS-решения
• Пользователь выполняет аутентификацию и авторизацию и в собственной инфраструктуре и в SaaS-решении
В ОБЩЕМ…
SaaS-решение является полностью (или максимально) отделенным от инфраструктуры организации
SaaS-решение
Инфраструктура Заказчика
Учетные записи организации
Аутентификация и SSO
Приложения Заказчика
Пользователь
Аутентификация в инфраструктуре
SIEM
Доступ
Сбор событий
Аутентификация в инфраструктуре
Управление
Управление
Контроль
Контроль
Офицер безопасности
Управление
Администратор
З а щ и т а и н ф о р м а ц и и ( в т о м ч и с л е , П Д н ) в о б л а ч н о м р е ш е н и и в м е ж д у н а р о д н о й к о м п а н и иПредлагаемая архитектура внедрения SaaS-решений в бизнес-процессы организации:• Администратор управляет
собственной инфраструктурой организации, необходимые настройки интегрируются в SaaS-решение
• Офицер безопасности контролирует безопасность собственной инфраструктуры, SaaS-решения интегрирует данные сбор событий в собственную инфраструктуру организации
• Пользователь выполняет аутентификацию и авторизацию только в собственной инфраструктуре, для SaaS-решения реализуется принцип SSO
В ОБЩЕМ…SaaS-решение является максимально интегрированным в инфраструктуру организации, как минимум в части:• Сбора событий серверов решения• Базы данных учетных записей
организации• Стойкой аутентификации
SaaS-решение
Инфраструктура Заказчика
Учетные записи организации
Аутентификация и SSO
Приложения ЗаказчикаПользователь
Аутентификация в инфраструктуре
SIEM
Доступ
Сбор событий
Управление
Управление
Контроль
Офицер безопасности
Администратор
Интеграционное решение
Интеграционное решение
Интеграционное решение
ВОПРОСЫ?
Обеспечение ИБ в ИТ-проектах
Спасибо за внимание
Шаломович Максим Алексеевич
Консультант по информационным технологиям, консультант по информационной безопасности, аналитик
E-mail: shlmaxm@gmail.com
Телефон: +79050167962
Recommended