Embed Size (px)
Citation preview
Информационная безопасность как процесс, а не продукт
Марат ХазиевРуководитель отдела продаж
Идея доклада – поделиться опытом …
• По защите информации.• По оптимизации времен`ных и финансовых затрат при
обеспечении ИБ. • По реализации базовых мер по защите информации с
помощью существующих в организации продуктов и ресурсов.
• Использования необходимого и достаточного набора средств технической защиты информации.
Информационная безопасность - это не продукт, а процесс
• Информационная безопасность - это длительный и сложный процесс, состоящий из множества элементов.
• Одна недоработка неизбежно приводит к существенному ослаблению всей системы.
• Как и ко всякому мероприятию, нужен комплексный подход.
• Я расскажу об основных направлениях и концепциях процесса обеспечения информационной безопасности.
• Мы рассмотрим задачу с разных точек зрения: как с точки зрения ИТ-специалиста, ИТ-руководителя, так и с позиции руководителя (или собственника) предприятия.
Что есть угрозы информационной безопасности?
• Нарушение конфиденциальности (утечка, разглашение)• Нарушение работоспособности (дезорганизация работы)• Нарушение целостности и достоверности информации
Стадии обеспечения ИБ
• Реализация административных мер(разработка, введение, актуализация политики безопасности компании, частных политик, регламентов, инструкций)• Реализация юридических мер(комплекс мер по введению положения о коммерческой тайне, подписанию приложений о конфиденциальности во все договоры компании)• Реализация технических мер(обеспечение физической защиты и внедрение технических средств, систем защиты от распространения информации)
Ключевые процессы СОИБ
1. Процесс планирования
• Выявление, анализ и проектирование способов обработки рисков информационной безопасности.
• При создании этого процесса следует разработать методику категорирования информационных активов и формальной оценки рисков на основе данных об актуальных для рассматриваемой информационной инфраструктуры угрозах и уязвимостях.
Ключевые процессы СОИБ
2. Процесс внедрения
• Процесс внедрения ранее спланированных методов обработки рисков.
• Процесс включает процедуру запуска нового процесса обеспечения информационной безопасности, либо модернизации существующего.
• Особое внимание следует уделить описанию ролей и обязанностей, а также планированию внедрения.
Ключевые процессы СОИБ
3. Процесс мониторинга функционирующих процессов СОИБ
• При мониторинге процессов СОИБ следует помнить, что мониторингу подлежат …• как процессы Системы Менеджмента Информационной
Безопасности» (принимающей решения о том, какие риски и как обрабатывать)
• так и объект управления – непосредственно процесс обработки рисков, составляющих Систему Информационной Безопасности (СИБ)
Ключевые процессы СОИБ
4. Процесс совершенствования СОИБ
• Строится в соответствии с результатами мониторинга СОИБ, который делает возможным реализацию корректирующих и превентивных мер.
Компоненты СОИБ
• Разложив процесс обеспечения информационной безопасности на более простые составляющие (компоненты – следующий слайд), мы достигаем необходимого уровня управляемости.
• Своевременно реагируя на изменение картины информационных рисков, мы изменяем соответствующие процессы системы обеспечение информационной безопасности и тем самым поддерживаем её актуальность.
Компоненты СОИБ• Распределение обязанностей и ответственности.• Повышение осведомленности сотрудников в вопросах информационной
безопасности.• Обеспечение непрерывности бизнес-процессов.• Мониторинг информационной инфраструктуры.• Безопасное хранение данных.• Управление доступом к данным.• Управление информационной инфраструктурой.• Управление изменениями.• Управление инцидентами и уязвимостями.• Защита от вредоносного кода.• Взаимодействие с третьими сторонами.• Управление аутентификацией и парольная защита.• Обеспечение физической безопасности.• Криптографическая защита и управление ключами.
Используйте то, что у Вас уже есть!
• Политика ИБ: следует разработать• Технические средства: многие из них у Вас уже есть
Пример №1: Идентификация и аутентификация• Идентификация и аутентификация пользователей, являющихся работниками
предприятия.• Управление идентификаторами, в том числе создание, присвоение,
уничтожение идентификаторов.• Управление средствами аутентификации, в том числе хранение, выдача,
инициализация, блокирование средств аутентификации и принятие мер в случае утраты и (или) компрометации средств аутентификации.
• Защита обратной связи при вводе аутентификационной информации.• Идентификация и аутентификация пользователей, не являющихся
работниками предприятия (внешних пользователей).
Пример №2: Управление доступом• Управление учетными записями пользователей.• Реализация необходимых методов, типов и правил разграничения доступа.• Управление информационными потоками между устройствами и сегментами
информационной системы (фильтрация, маршрутизация, контроль соединений, однонаправленная передача и иные способы управления).
• Разделение полномочий пользователей, администраторов и лиц, обеспечивающих функционирование информационной системы.
• Назначение минимально необходимых прав.• Ограничение неуспешных попыток входа в информационную систему.• Блокирование сеанса доступа в информационную систему после
установленного времени бездействия.• Реализация защищенного удаленного доступа через внешние каналы.• Регламентация и контроль использования технологий беспроводного доступа
и использования мобильных устройств.• Управление взаимодействием с внешними информационными системами.
Существующее решение
Существующее решение
Разрешить всё
Запретитьвсё кроме…кроме…
Пример №3: Ограничение программной среды
Существующее решение
Пример №3: Регистрация событий безопасности• Определение событий безопасности, подлежащих регистрации, и сроков
хранения информации.• Определение состава и содержания информации о событиях безопасности,
подлежащих регистрации.• Сбор, запись и хранение информации о событиях безопасности в течение
установленного времени хранения.• Защита информации о событиях безопасности.
Существующее решение
Существующее решение
Kaspersky Security Center
Пример №4: Антивирусная защита
Пример №5: Контроль уязвимостей• Выявление, анализ уязвимостей информационной системы и оперативное
устранение вновь выявленных уязвимостей.• Контроль установки обновлений программного обеспечения, включая
обеспечения средств защиты информации.• Контроль работоспособности, параметров настройки и правильности
функционирования программного обеспечения и средств защиты информации.
• Контроль состава программного обеспечения и средств защиты информации.
Существующее решение
Kaspersky Security Center
Пример №6: Защита среды виртуализации• Идентификация и аутентификация в виртуальной инфраструктуре, в том числе
администраторов управления средствами виртуализации.• Управление доступом в виртуальной инфраструктуре, в том числе внутри
виртуальных машин.• Регистрация событий безопасности в виртуальной инфраструктуре.• Реализация и управление антивирусной защитой в виртуальной
инфраструктуре.• Сегментация в виртуальной инфраструктуре.
http://contosoweb.red.com14.1.1.100
http://contosoweb.blue.com14.1.1.100
NVGRE
Облако поставщика услуг
Мультитенантный шлюз VPN
Подключение типа «сеть — сеть»
«Красная» компания
192.168.0.0/24
192.168.0.0/24
«Синяя» компанияПодключение типа «сеть — сеть»
Существующее решение
Существующее решение
Kaspersky Security для виртуальных сред
Удобное управление
Единая консольуправления
Применение политик
Простой интерфейс
Подробные отчеты
Защита ВМ
Автоматическая защита
Защита от угроз «нулевого дня»
Оптимизация проверки файлов
(Shared Cache)
Высокая производительность
Защита на уровне сети
Система обнаружения и
предотвращения вторжений (IDS/IPS)
Проверка сетевого трафика
Гибкое лицензирование
Лицензирование:
- по числу ВМ
- по числу ядер процессоров
Существующее решение
Пример №7: Защита компонентов информационной системы и систем передачи данных
• Обеспечение защиты информации при ее передаче по каналам связи.• Защита беспроводных соединений.
Шлюзы
Сервера приложений
Средства администрирования KSCVP
N
+ смартфоныРабочиестанции
+ ноутбуки
Сервер баз данных
+ удаленные офисы
Существующее решение №1
Шлюзы
Сервера приложений
Средства администрирования KSC +Расширенный функционал
VPN
+ смартфоныРабочиестанции
+ ноутбуки
Сервер баз данных
+ удаленные офисы
Существующее решение №2
Шлюзы
Сервера приложений
Microsoft System CenterVP
N
+ смартфоныРабочиестанции
+ ноутбуки
Сервер баз данных
+ удаленные офисы
Существующее решение №3
• Мы рассмотрели лишь некоторые из очевидных технических решений по обеспечению ИБ.• Не стоит думать, что СОИБ – удел только крупного
бизнеса. Практика показывает, что живая система обработки информационных рисков, которой является набор процессов СОИБ, является доступной и для небольших организаций, при этом может быть эффективнее «монструозных» систем.
Используйте то, что у Вас уже есть!
«Астерит» на рынке информационной безопасности
• С 2001 года на рынке информационной безопасности• Поставщик решений и услуг для построения эффективной и безопасной IT-инфраструктуры предприятия• Сертифицированный партнер вендоров информационной безопасности• Лицензиат ФСТЭК и ФСБ• Опыт реализации проектов по защите информации для организаций различной специфики
Лицензии ФСТЭК, ФСБ
Возможности лицензиата
• Проекты по защите информации «под ключ»• Выполнение работ в соответствии с законодательством• Консалтинг по вопросам защиты информации• Подготовка к проверкам регулирующих и надзорных органов• Независимый аудит и оценка соответствия
Почему «аутсорсинг»?
Организация•Ограниченность ресурсов•Текучесть кадров•Недостаточная квалификация•Отсутствие необходимого опыта•Большие сроки реализации проектов
Аутсорсер•Независимый внешний аудит•Сертифицированные специалисты•Опыт реализации проектов•Техническая и методическая поддержка•Четкие границы ответственности
Организация
Аутсорсер
- Реальный результат
- Экономич
еская выгода
- Разделени
е ответствен
ности
