Upload
alexey-lukatsky
View
3.605
Download
0
Embed Size (px)
DESCRIPTION
Citation preview
1/37 © Cisco, 2010. Все права защищены.
Классификация информации Анонс нового исследования
Алексей Лукацкий, бизнес-консультант по безопасности
© Cisco, 2010. Все права защищены. 237
А зачем нам классификация? Классификация 1.0
Давайте классифицировать! Классификация 3.0
А у меня есть перечень КИ! Классификация 2.0
3 © Cisco, 2010. Все права защищены.
© Cisco, 2010. Все права защищены. 437
1. Определение важных данных
Базы данных, системы хранения, каналы связи, оконечные устройства
2. Установка политики защиты данных
Укрепление политики безопасности данных для предотвращения случайной и намеренной утечки данных
3. Безопасное подключение
Устранение точек несанкционированного доступа, шифрование удаленных подключений, контроль беспроводного доступа
4. Управление доступом
Ограничение доступа к важным сетям, базам данных и файлам
5. Контроль утечек (DLP)
Контроль важных данных в местах повышенного риска, проверка содержимого на основе политик, допустимое использование, шифрование
Для защиты от потерь и краж конфиденциальных данных необходима многоуровневая
платформа безопасности
Контроль
утечек
(DLP)
Управление
доступом
Безопасные
подключения
Самозащищающаяся сеть
© Cisco, 2010. Все права защищены. 537
• В абсолютном большинстве организаций существуют перечни сведений конфиденциального характера
Которые определяют только направление, но не содержание защищаемой информации
• Информация о клиенте
Номер счета – это информация о клиенте, но надо ли ее защищать в отрыве от ФИО клиента?
Иванов И.И. – это ФИО клиента, но надо ли ее защищать, если «цена» этого клиента для банка равна нулю, а договор с ним прекратил свое действие?
• Врачебная тайна
Диагнозы многих болезней безопасник не только не знает, но и выговорить не может ;-)
6 © Cisco, 2010. Все права защищены.
© Cisco, 2010. Все права защищены. 737
• Классификация информации – разделение существующих информационных активов организации по типам, выполняемое в соответствии со степенью тяжести последствий от потери их значимых свойств ИБ
СТО БР ИББС-1.0-2008
• Классификацию информации следует проводить в соответствии со степенью тяжести последствий потери ее свойств ИБ, в частности, свойств доступности, целостности и конфиденциальности
СТО БР ИББС-1.0-2008
© Cisco, 2010. Все права защищены. 837
• Классификация – это схема, разделяющая информацию на категории, такие как: возможность мошенничества, конфиденциальность или критичность информации, с целью возможности применения соответствующих защитных мер
ISO/IEC TR 13569:2005 Финансовые услуги – Рекомендации по информационной безопасности
• Классификация объектов защиты выполняется с целью обеспечения дифференцированного подхода к организации их защиты с учетом уровня критичности, характеризующего влияние на деятельность и репутацию организации, ее деловых партнеров, клиентов и работников
Классификация позволяет определить приоритетность и экономическую целесообразность проведения дальнейших мероприятий по обеспечению информационной безопасности объекта защиты
Р Газпром 4.2.3-001. Методика классификации объектов защиты
9 © Cisco, 2010. Все права защищены.
© Cisco, 2010. Все права защищены. 1037
• ФЗ от 29 июля 2004 г. №98-ФЗ «О коммерческой тайне»
• ФЗ от 27 июля 2006 г. 149-ФЗ «Об информации, информационных технологиях и защите информации»
• Приказ ФСТЭК, ФСБ, Мининформсвязи от 13 февраля 2008 года №55/86/20 «Об утверждении Порядка проведения классификации информационных систем персональных данных»
• СТО БР ИББС-1.0 «Обеспечение информационной безопасности организаций банковской системы РФ. Общие положения»
• Методические организации для организации защиты информации при обработке персональных данных в учреждениях здравоохранения, социальной сферы, труда и занятости
© Cisco, 2010. Все права защищены. 1137
• Р Газпром 4.2-3-001-20ХХ. Методика проведения классификации информационных систем персональных данных ОАО «Газпром», его дочерних обществ и организаций
• СТО Газпром 4.2-3-004-2009. Система обеспечения информационной безопасности ОАО «Газпром». Классификация объектов защиты
• ISO/IEC 27002:2005 Информационные технологии – Свод правил по управлению защитой информации
• ISO/IEC 20000-2 Информационные технологии – Управление услугами. Свод практик
• ISO/IEC TR 13569:2005 Финансовые услуги – Рекомендации по информационной безопасности
© Cisco, 2010. Все права защищены. 1237
• BSI Standard 100-1 Information Security Management Systems (ISMS)
• BSI-Standard 100-2: IT-Grundschutz Methodology
• The Standard of Good Practice for Information Security (от ISF)
• OWASP Mobile Security Project Классификация для мобильных устройств
• И т.д.
13 © Cisco, 2010. Все права защищены.
© Cisco, 2010. Все права защищены. 1437
Год
Новые
действия по
классификации
Деклассификацированные
документы
Стоимость
классификации
Цена
деклассификации
2001 $8 650 735 $10 0104 990 4,5 млрд.$ 232 млн.$
2002 $11 271 618 $44 365 711 5,5 млрд.$ 113 млн.$
2003 $14 228 020 $4 3093 233 6,4 млрд.$ 54 млн.$
2004 $15 645 237 $2 8413 690 7,1 млрд.$ 48 млн.$
2005 $14 206 773 $2 9540 603 7,7 млрд.$ 57 млн.$
2006 $20 556 445 $3 7647 993 Нет данных Нет данных
© Cisco, 2010. Все права защищены. 1537
• Что такое классификация?
• Зачем нужна классификация информации?
• Схемы классификации
Иерархическая
Фасетная
Дескрипторная
• Свойства или признаки информации
• Существующие подходы к классификации
• Классификация для безопасника или для бизнеса
© Cisco, 2010. Все права защищены. 1637
Ущерб Класс конфиденциальности
Отсутствует Публичный
Финансовый – отсутствует; возможен
иной ущерб для компании или ее
сотрудников, который не сказывается
на финансовых показателях.
Для внутреннего использования
До 10 миллиона рублей Конфиденциально
Свыше 10 миллиона рублей Секретно
Однофакторная классификация, привязанная к
ущербу
© Cisco, 2010. Все права защищены. 1737
Конфиденциаль
ность
Целостность Доступность Класс
Высокая Высокая, средняя
или низкая
Высокая, средняя
или низкая
Restricted
Средняя или
низкая
Высокая Высокая, средняя
или низкая
Sensitive
Средняя или
низкая
Средняя или
низкая
Высокая Sensitive
Средняя Средняя Средняя Sensitive
Низкая Средняя Средняя Operational
Низкая Низкая Низкая Unrestricted
Многофакторная классификация с единым классом
информации
© Cisco, 2010. Все права защищены. 1837
Многофакторная независимая классификация
Информационный
актив
Доступность Целостность Конфиденциально
сть
Актив №1 низкая средняя высокая
Актив №2 низкая высокая низкая
… … … …
Актив №n высокая низкая Средняя
© Cisco, 2010. Все права защищены. 1937
• Методика определения актуальных угроз безопасности информации в ключевых системах информационных инфраструктурах
Утверждены 18 мая 2007 года
• Дана методика оценки важности (ценности) информации 5 степеней важности по конфиденциальности
3 степени важности по целостности
3 степени важности по доступности
© Cisco, 2010. Все права защищены. 2037
Она имеет ценность
Имеет ценность для вас
Снижает неопределенность при принятии решений
Влияет на поведение людей, приводящее к экономическим
последствиям
Нематериальный актив (собственная стоимость)
Не имеет ценности для вас, но имеет для кого-то еще
Если ей воспользуются другие, то вы понесете
убытки или проиграете в конкурентной борьбе
Ее защита требуется государством / регулятором
Она не имеет ценности, но ее принято защищать
© Cisco, 2010. Все права защищены. 2137
Рейтинг Описание Репутация Операции Безопасность Правовой Финансы Стратегия
Ни
зки
й
3 Незначитель
ный
«Стандартные
» язвительные
высказывания
в
национальной
прессе или
размещенные
в Интернет о
банке
Временное
невыполне-
ние
обслужива-
ния (около 1
часа)
Утечка
незначитель-
ного
количества
информации
Поправимая
возможность
несоответствия
требованиям
регуляторов
~$5000 Политики или
стандарты не
поддерживают
ся
Вы
со
кий
9 Катастрофа Широкое
освещение
прессой и
телевидением
Полное
невыполне-
ние
обслужива-
ния в
течение
нескольких
недель
Мошенничест-
во крупного
масштаба
(оценка
масштаба
отсутствует)
Систематичес-
кое и
умышленное
несоблюдение
законодатель-
ства топ-
менеджментом
~$1 000
000 000
Будущее
банка под
сомнение
© Cisco, 2010. Все права защищены. 2237
• Проблемы классификации
Классификацией занимаются службы ИБ
Нежелание классифицировать информацию
Многокритериальная классификация
Передача классифицированной информации за пределы организации
Классификация компилированных материалов
Разные классы информации в одном файле/документе
Пересмотр класса информации
Маркировка носителей информации
Классификация динамически создаваемой информации
Маркировка бумажных документов
Непонимание жизненного цикла информации
© Cisco, 2010. Все права защищены. 2337
• 4 факта с низким классом
Совет директоров московского банка принял решение о приобретении регионального банка (без имен и регионов)
Группа высокопоставленных сотрудников банка осуществила поездку в Екатеринбург
Число поездок группы высокопоставленных сотрудников банка превысило 10 за последний квартал
Длительность телефонных разговоров с екатеринбургским банком Х ежедневно составляет около часа
• Скомпилированная информация – максимальный класс
До момента поглощения
© Cisco, 2010. Все права защищены. 2437
• Жизненный цикл информации
• Политики классификации
• А все-таки как правильно или есть ли универсальный метод классификации?!
© Cisco, 2010. Все права защищены. 2537
© Cisco, 2010. Все права защищены. 2637
© Cisco, 2010. Все права защищены. 2737
• Быть краткой
• Содержать не более 3-4 классификаций
• Быть гибкой
• Разрешать исключения
• Находить баланс между требованиями бизнеса и безопасностью
• Позволять отдельным подразделениям создавать собственные политики, базирующиеся на специфических требованиях
Яркий пример - западная компания, работающая в России. Она должна соблюдать и западные правила классификации (например, метки Confidential, Public и т.д.) и учитывать закон "О коммерческой тайне", который подразумевает иные требования к "грифованию" документов
• Не должна быть привязана к конкретным технологиям или подразделениям
28 © Cisco, 2010. Все права защищены.
© Cisco, 2010. Все права защищены. 2937
Принятие решения на основе данных – идентификация, классификация, проверка
• Идентификация владельца данных
• Классификация данных в соответствии с уровнем конфиденциальности
• Проверка существования средств управления/защиты в соответствии с результатами классификации
Классификация
Управление/защита
Носитель
© Cisco, 2010. Все права защищены. 3037
Категория Cisco Confidential Cisco Highly
Confidential
Cisco Restricted
Примеры: Большая часть
документов компании
Сведения о
безопасности, ПДн
Сведения о сделках,
медицинские данные,
финансовые сведения
Контроль доступа и
распространение: любой
носитель
Доступны сотрудникам
Cisco, кроме того, доступ
может предоставляться
посторонним лицам, для
решения легитимной
бизнес-задачи
Доступны ограниченному
кругу сотрудников Cisco,
доступ может
предоставляться
посторонним лицам, для
решения легитимной
бизнес-задачи; доступ
предоставляет по решению
владельца данных
Доступ ограничен явно
перечисленным кругом лиц;
доступ предоставляет по
решению владельца данных
Способ передачи:
электронная почта
Шифрование
рекомендуется при
передаче документов и
сообщений электронной
почты по открытым сетям
общего пользования;
средства: WinZip или
CRES
Шифрование
обязательно при
передаче документов и
сообщений электронной
почты по открытым сетям
общего пользования;
средства: WinZip или
CRES
Шифрование обязательно
при любой передаче
данных; средства: WinZip или
CRES
Хранение: носитель
(DVD, USB-накопитель)
Нет требований Шифрование данных
рекомендуется
Шифрование данных
обязательно
© Cisco, 2010. Все права защищены. 3137
• Интернет-пейджеры
ICQ – это еще не все виды Интернет-пейджеров (WebEx Connect, QIP и т.д.)
• Мобильные устройства
Смартфоны, iPhone, iPad…
• IP-телефония
Skype – это еще не вся IP-телефония
Умение захватывать голос на ПК – это еще не DLP
© Cisco, 2010. Все права защищены. 3237
• Lotus Notes или Documentum
• Системы управления базами данных (СУБД)
• Системы управления предприятием (ERP), цепочками поставок (SCM), взаимоотношениями с клиентами (CRM)
• PLM / САПР
• …а если данные зашифрованы?
© Cisco, 2010. Все права защищены. 3337
“Следующей задачей по повышению производительности является повышение эффективности работы сотрудников, работу которых невозможно автоматизировать. Ставки в этой игре высоки.”
McKinsey & Company, отчет «Организация XXI века»
Текст Голос и видео
Чи
сл
о у
частн
ико
в о
бщ
ени
я
Средства совместной работы
Документы
Од
ин
Мно
го
Электронная
почта IM TelePresence
Унифицированные
коммуникации
Голосовая почта
Форумы
Видео по
запросу
Wiki Блоги Контакт-
центр
Средства проведения
конференций
Социальные сети
© Cisco, 2010. Все права защищены. 3437
Сетевые сервисы
Сервисы медиасети
Сервисы взаимодействия
Клиентские сервисы
Приложения взаимодействия
Устройства
Transport Signaling QoS
Auto-Discovery
Transcoding
Auto-Configuration
Transrating
Resource Control
Transcribing
Workflow
Scheduling and Calendaring
Session Mgmt
Presence / Location
Recording/Playback
Authoring
Real-time Data Sharing
Real-time Messaging
Search
Semantic Processing
Social Graphing
Metadata Tagging
COMMUNICATION
CONTENT
Client Services Framework
Medianet Services Interface
Lightweight APIs
Messaging
Enterprise Social Software
Conferencing
Telepresence
IP Communications
Customer Care
Desktop Mobile In-Room
Secu
rity
Serv
ices
Id
entity
P
olic
y
AA
A
Encry
ption
Federa
tion
Pro
vis
ionin
g
Main
tenance
Adm
inis
tration
Opera
tions
Man
ag
em
en
t S
erv
ices
© Cisco, 2010. Все права защищены. 3537
Источник: статья IBM “Data-Centric Security”, декабрь 2006 г.
• Сопоставление бизнес-стратегии и стратегии обеспечения ИБ на основании общего множества данных
• Переход от защиты сети и хостов к защите данных при использовании, передаче и хранении
• Оценка значимости данных, последующее применение мер обеспечения ИБ в рамках их жизненного цикла
• Решения на основе данных
Владение
Классификация
Управление/защита определяются классом данных
© Cisco, 2010. Все права защищены. 3637
http://www.facebook.com/CiscoRu
http://twitter.com/CiscoRussia
http://www.youtube.com/CiscoRussiaMedia
http://www.flickr.com/photos/CiscoRussia
http://vkontakte.ru/Cisco