Embed Size (px)
DESCRIPTION
Всероссийский профессиональный форум Эффективный электронный документооборот: от делопроизводства до архива Круглый стол «ОБЛАЧНЫЕ ПЕРСПЕКТИВЫ» "Информационная безопасность в «облаках»?!" Александр Соколов Руководитель Комитета по вопросам информационной безопасности АП КИТ - PowerPoint PPT Presentation
Citation preview
Всероссийский профессиональный форум
Эффективный электронный документооборот: от делопроизводства до архива
Круглый стол «ОБЛАЧНЫЕ ПЕРСПЕКТИВЫ»
"Информационная безопасность в «облаках»?!"
Александр Соколов
Руководитель Комитета по вопросам информационной безопасности АП КИТПредседатель Совета директоров ЗАО «Лаборатория «СКАТ»
10-11 декабря 2013 годаТоргово-промышленная палата РФ
(ул.Ильинка, 6)
Где мы?
«…успеха в ближайшем десятилетии добьются только те компании, которые сумеют реорганизовать свою работу с помощью электронного инструментария…
"Электронная нервная система" позволит вам вести бизнес со скоростью мысли, а это и есть ключ к успеху в двадцать первом веке.»
Источник: Билл Гейтс, Бизнес со скоростью мысли, 2002
Тенденции развития ИТ-отрасли
Текст
Источник информации
Информация
Информация: «обозначение содержания,черпаемого нами из внешнего мира в процессеприспособления к нему и приведения всоответствие с ним нашего мышления»
Норберт Винер
Информация - сведения (сообщения, данные), не зависимо от формы их представления
N 149-ФЗ «Об информации, информационных технологиях и о защите информации» от 27 июля 2006 г.
Безопасность информации и информационная безопасность
Безопасность информации (данных) — состояние защищённости информации (данных), при котором обеспечены её (их) конфиденциальность, доступность и целостность.
ГОСТ Р 50922-2006 «Защита информации. Основные термины и определения»
Информационная безопасность — это процесс обеспечения конфиденциальности, целостности и доступности информации.
Конфиденциальность: Обеспечение доступа к информации только авторизованным пользователям.Целостность: Обеспечение достоверности и полноты информации и методов ее обработки.Доступность: Обеспечение доступа к информации и связанным с ней активам авторизованных пользователей по мере необходимости.
ГОСТ Р ИСО/МЭК 17799—2005 «Информационная технология. Практические правила управления информационной безопасностью»
Технологии облачных вычисленийОблачные вычисления (cloud computing) - модель предоставления пользователям по их требованию
удобного сетевого доступа к совместно используемому пулу настраиваемых вычислительных ресурсов. Ресурсы оперативно выделяются и освобождаются при минимальных усилиях, затрачиваемых пользователями на организацию управления и на взаимодействие с поставщиком услуг.
Основные характеристики On-demand self-service – Самообслуживание по мере необходимости
Broad network access – Широковещательный сетевой доступ
Resource pooling – Объединение ресурсов в пул
Rapid elasticity – Оперативная гибкость
Measured Service – Измеряемость услуги
Модели обслуживанияSaaS – ПОкУ – программное обеспечение
PaaS – ПкУ - платформа
IaaS – ИкУ - инфраструктура
Модели развертыванияPrivate Cloud – Частное (корпоративное) облако
Community cloud – Коллективное облако
Public Cloud – Публичное облако
Hybrid Cloud – Смешанное облако
Тект
Источник:2013 BSA Global Cloud Computing Scorecard
Готовность к облачным технологиям(законодательная и нормативная база,24 страны, 80% мирового рынка ИКТ)
Тект
Источник:2013 BSA Global Cloud Computing Scorecard
Готовность к облачным технологиям
Тект
Источник:2013 BSA Global Cloud Computing Scorecard
Готовность к облачным технологиям
Национальные Стратегии кибербезопасности(Европейский Союз)
Austria Austrian Cyber Security Strategy (2013)Belgium To be soon published (2013)Czech Republic EUCyber Security Strategy of Czech Republic for the 2011-2015 Period
(2011)Estonia Cyber Security Strategy (2008)Finland Finland's Cyber Security Strategy (2013)France Information systems defence and security, France's strategy (2011)Germany Cyber Security Strategy for Germany (2011)Hungary National Cyber Security Strategy (2013)Lithuania Programme for the development of electronic information security (cyber
security) for 2011-2019 (2011)Luxembourg National strategy on cyber security (2011) - in frenchThe Netherlands The national cyber security strategy (2013) - NEWPoland Govermental Program for Protection of Cyberspace for the years 2011-2016
(2013) - in polishRomania Cyber Security Strategy in Romania (2011)Slovak Republic National Strategy for Information security in the Slovak Republic (2008)Spain The National Security Strategy (2013)United Kingdom Cyber Security Strategy of the United Kingdom
(2009)
Источник: http://www.enisa.europa.eu/activities/Resilience-and-CIIP/national-cyber-security-strategies-ncsss/national-cyber-security-strategies-in-the-world
Национальные Стратегии кибербезопасности(Мировая практика)
Australia Cyber Security Strategy (2011) worldCanada Canada's cyber security strategy (2010)India National Cyber Security Strategy (2013)Japan Information Security Strategy for protecting the nation (2010)Kenya Announced 2013 - to be publishedMontenegro Announced 2013 - to be published in October 2013New Zealand New Zealands Cyber Security Strategy (2011)Norway National Strategy for Information Security (2012) - in norwegianRussia The Information Security Doctrine of the Russian Federation
(2000)Singapore Third national cyber security masterplan (2013-2018) - to be
publishedSouth Africa Cyber Security policy of South Africa (2010)South Korea National Cyber Security Strategy (2011) - not available in ENSwitzerland National strategy for Switzerlands's protection against cyber risks
(2012)Turkey National Cybersecurity Strategy (2013)Uganda Announced 2013 - to be publishedUnited States of America International Strategy for cyberspace (2011)
Источник: http://www.enisa.europa.eu/activities/Resilience-and-CIIP/national-cyber-security-strategies-ncsss/national-cyber-security-strategies-in-the-world
NSA E-Spying: Bad GovernanceHarvesting Millions of E-mail Contacts, Buddy Lists
Источник: http://www.govinfosecurity.com/nsa-e-spying-bad-governance-a-6151
1: Разработка стандартов (желательно, международных) взаимодействия, переносимости и безопасности2: Разработка требований обеспечения безопасности информации3: Подготовка технических требований для разработки высококачественных Соглашений об уровне обслуживания4: Формирование набора четко определенных и качественно категорированных облачных услуг5: Реализация инфраструктуры для прозрачного использования широкомасштабной облачной среды6: Разработка технических решений обеспечения безопасности,7: Разработка нормативных требований, технологических рекомендаций8: Определение стратегических задач по развитию и внедрению облачных технологий9: Определение и реализация задач обеспечения надежности предоставления услуг10: Разработка и внедрение оценочных количественных характеристик облачных услуг
Источник: Ernst & Young’s 2012 Global Information Security Survey
Условия широкого внедрения технологий облачных вычислений
ПОДХОД NIST К БЕЗОПАСНОСТИ ОБЛАКОВ
Выбор модели облачной системы (SaaS, IaaS, PaaS)
Учет специфики безопасности выбранной модели Разделение обязанностей в смысле безопасности между поставщиком и потребителем системы облачных вычислений Обеспечение безопасности облачной системы
Источник:
Пути решения проблем ИБ в облаках (особенности)
Доверие к поставщику услугОценка рисков при начале, в процессе и при окончании использования услугЗащита информации от утечек через специфические каналы среды виртуализации:
Контроль виртуальных устройствКонтроль целостности и доверенная загрузка ВМКонтроль доступа к элементам инфраструктурыЗапрет доступа администратора ВИ к данным ВМ
Управление доступом:Разделение ролей для исключения «суперпользователя»Усиленная аутентификация администраторовДелегирование административных полномочийМандатное управление доступом
Контроль изменений
Good Practice Guide for securely deploying Governmental Clouds
Источник: European Union Agency for Network and Information Security Publication date: Nov 15, 2013 http://www.enisa.europa.eu/activities/Resilience-and-CIIP/cloud-computing/good-practice-guide-for-securely-deploying-governmental-clouds
Российские подходы к решению вопросов защиты информации в облаке
Искусственная сегментация облачной инфраструктуры (реальная или виртуальная) таким образом, чтобы границы сегментов облака совпадали с границами информационной системы, и применение в отношении такой инфраструктуры российских норм по защите информации
Создание корпоративных (государственных или ведомственных) облаков, размещение в них государственных информационных ресурсов с реализацией определенного количества мер по защите информации и обоснование на уровне модели угроз достаточности принятых мер
ФСТЭК
Приказ ФСТЭК России №17 от 11.02.2013 Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах
Приказ ФСТЭК России №21 от 18.02.2013 Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных
МЕТОДИЧЕСКИЙ ДОКУМЕНТ (проект)Меры защиты информации в государственных информационных системах (165 стр.)
ПРОЕКТ ДОКУМЕНТА: Меры защиты информации в государственных информационных системах
СОДЕРЖАНИЕ1. Общие положения……………………………………………………………………………………….…... 32. Выбор мер защиты информации для их реализации в информационной системе в рамках системы защиты информации....................................................................................................43. Содержание мер защиты информации в информационной системе ……………………………..... 133.1. Идентификация и аутентификация субъектов доступа и объектов доступа…………………….. 133.2. Управление доступом субъектов доступа к объектам доступа………………………………..…… 223.3. Ограничение программной среды………………………………………………………………..…… 433.4. Защита машинных носителей информации…………………………………………..………………..483.5. Регистрация событий безопасности…………………………………………………………....……… 573.6. Антивирусная защита…………………………………………………………………………………… 663.7 Обнаружение (предотвращение) вторжений…………………………………………………………. 693.8. Контроль (анализ) защищенности информации……………………………………………………... 723.9. Целостность информационной системы и информации…………………………………...……….. 803.10. Доступность информации……………………………………………………………………………... 893.11. Защита среды виртуализации……………………………………………………………….….………983.12. Защита технических средств…………………………………………………………………….……...1123.13. Защита информационной системы, ее средств и систем связи и передачи данных………….…117Приложение (Содержание базовых мер защиты информации для соответствующего класса защищенности информационной системы)………………………………… 148
Источник: http://fstec.ru/tekhnicheskaya-zashchita-informatsii/dokumenty/149-tekhnicheskaya-zashchita-informatsii/dokumenty/proekty/772-proekt-metodicheskogo-dokumenta-fstek-rossii
ЗАЩИТА СРЕДЫ ВИРТУАЛИЗАЦИИ (ЗСВ) пункт 3.11 документа
ЗСВ.1 Идентификация и аутентификация субъектов доступа и объектов доступа в виртуальной инфраструктуре, в том числе администраторов управления средствами виртуализацииЗСВ.2 Управление доступом субъектов доступа к объектам доступа в виртуальной инфраструктуре, в том числе внутри виртуальных машинЗСВ.3 Регистрация событий безопасности в виртуальной инфраструктуреЗСВ.4 Управление (фильтрация, маршрутизация, контроль соединения, однонаправленная передача) потоками информации между компонентами виртуальной инфраструктуры, а также по периметру виртуальной инфраструктурыЗСВ.5 Доверенная загрузка серверов виртуализации, виртуальной машины (контейнера), серверов управления виртуализациейЗСВ.6 Управление перемещением виртуальных машин (контейнеров) и обрабатываемых на них данныхЗСВ.7 Контроль целостности виртуальной инфраструктуры и ее конфигурацийЗСВ.8 Резервное копирование данных, резервирование технических средств, программного обеспечения виртуальной инфраструктуры, а также каналов связи внутри виртуальной инфраструктурыЗСВ.9 Реализация и управление антивирусной защитой в виртуальной инфраструктуреЗСВ.10 Разбиение виртуальной инфраструктуры на сегменты (сегментирование виртуальной инфраструктуры) для обработки информации отдельным пользователем и (или) группой пользователей
Источник: http://fstec.ru/tekhnicheskaya-zashchita-informatsii/dokumenty/149-tekhnicheskaya-zashchita-informatsii/dokumenty/proekty/772-proekt-metodicheskogo-dokumenta-fstek-rossii
Облачная нормативная база РФ:ОТКРЫТЫЙ КОНКУРС
на право заключения государственного контракта на выполнение научно-исследовательской работы по теме: «Нормативно-правовое обеспечение возможности использования облачных технологий»
Заказ № 0173100007513000033 от 17.10.2013 Заказчик Минкомсвязь России
Источник: http://zakupki.gov.ru/pgz/public/action/orders/info/order_document_list_info/show?notificationId=7303812
Закон суров!
Источник: МОСКВА, 22 ноября — РИА Новости http://ria.ru/society/20131122/979050381.html#ixzz2n0oMwwxr
