ОБЕСПЕЧЕНИЕ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ В ИТ-ПРОЕКТАХ

Шаломович Максим, консультант по информационным технологиям

Состав доклада

• Задачи обеспечения ИБ, термины, соглашения

• Задачи обеспечения ИБ в ИТ-проектах

• Кейсы ИТ-проектов с задачами по ИБ

• Вопросы?

ЗАДАЧИ ОБЕСПЕЧЕНИЯ ИБ, ТЕРМИНЫ, СОГЛАШЕНИЯ

Обеспечение ИБ в ИТ-проектах

«Словарные» определения

• Информация - сведения (сообщения, данные) независимо от формы их представления (149-ФЗ)

• Информационные технологии - процессы, методы поиска, сбора, хранения, обработки, предоставления, распространения информации и способы осуществления таких процессов и методов (149-ФЗ)

• Информационная система - совокупность содержащейся в базах данных информации и обеспечивающих ее обработку информационных технологий и технических средств (149-ФЗ)

Ох уж эта безопасность…

• Безопасность информации (данных) - состояние защищённости информации (данных), при котором обеспечиваются её (их) конфиденциальность, доступность и целостность (Р 50.1.053-2005)

• Информационная безопасность - все аспекты, связанные с определением, достижением и поддержанием конфиденциальности, целостности, доступности, неотказуемости, подотчётности, аутентичности и достоверности информации или средств её обработки (ГОСТ Р 13335-1-2006)

• Безопасность информации (при применении информационных технологий)(англ. IT security) — состояние защищённости информации (данных), обеспечивающее безопасность информации, для обработки которой она применяется, и информационную безопасность автоматизированной информационной системы, в которой она реализована (Р 50.1.053-2005)

• Безопасность автоматизированной информационной системы — состояние защищённости автоматизированной системы, при котором обеспечиваются конфиденциальность, доступность, целостность, подотчётность и подлинность её ресурсов (Р 50.1.053-2005)

Будем оперировать термином…

ИТ-безопасность, ИБ, IT Security(определение из Р 50.1.053-2005), состоящее из:

• безопасность обрабатываемых данных

• безопасность информационной (автоматизированной) системы, обрабатывающей данные

Свойства безопасности информации

• «Классическая тройка»:

– Confidentiality (конфиденциальность)

– Integrity (целостность)

– Availability (доступность)

• Дополнительные важные свойства

– Неотказуемость (non-repudiation)

Свойства безопасности информационной системы

Независимо от характеристик информационной системы, для нее должна обеспечиваться защищенность на всех этапах жизненного цикла, включая:

1. Разработку ИС (АС)

2. Внедрение ИС (АС)

3. Эксплуатацию ИС (АС)

Откуда взялось?

В Европе и США

• «Оранжевая книга»

• Privacy Act

• NIST

• Европейская конвенция по правам субъектов персональных данных

• EU-US «Safe Harbor»

В России

• Инструкции министерства обороны и КГБ

• ГОСТы и РД Гостехкомиссии (в настоящий момент –ФСТЭК)

• Федеральные законы:– 149-ФЗ

– 152-ФЗ

– О различных видах тайн

Во что превратилось?

• Исторически ИБ в России была ориентирована на защиту конфиденциальности

ОДНАКО…

• ИБ в отношении бизнеса ставит на первое место доступность данных и неотказуемость в отношении операций с данными

Поэтому…

• Конфиденциальность обеспечивается в соответствии с законами и подзаконными актами, зачастую – в ущерб бизнесу

Во что превратилось?

Действительно актуальные задачи ИБ для бизнеса

• Обеспечение «реальной» безопасности персональных данных в организации

• Обеспечение безопасного централизованного доступа к ресурсам, в том числе:– Обеспечение удобного и безопасного доступа к ресурсам с личных

устройств на рабочих местах (BYOD)– Обеспечение удобного и безопасного доступа к ресурсам из

любых мест– Перенос критичных бизнес-приложений в облако и обеспечение

его безопасности– Централизация и разграничение доступа в международных

организациях

• Обеспечение безопасности информации в бизнес-приложениях (в том числе – в соответствии с законодательством)

ЗАДАЧИ ОБЕСПЕЧЕНИЯ ИБ В ИТ-ПРОЕКТАХ

Обеспечение ИБ в ИТ-проектах

ИТ-проект это…

• Проект по созданию ИТ-продукта?или…

• Проект по разработке ПО?или может быть…

• Проект по внедрению ИС?в рамках текущей системы терминов...

• Проект (однократное мероприятие с заранее определенным результатом в определенных условиях и ограничениях) по созданию и (или) внедрению комплексной информационной системы или ее компонента для автоматизации бизнес-процессов организации Заказчика

Задачи обеспечения безопасности ИС ( IT Security)

В организации:• Техническая защита

инфраструктуры организации от угроз безопасности информации, необходимой для бизнес-процессов организации

• Реализация организационных процессов обеспечения безопасности информации, необходимой для бизнес-процессов организации

• И т.д.

В рамках ИТ-проектов

• Техническая защита программных и аппаратных компонентов комплексной информационной системы

• Реализация элементов организационных процессов обеспечения безопасности информации, обрабатываемой в комплексной информационной системе

• И т.д.

Казалось бы, одинаковые задачи, однако…

• В организации уже существует своя система (подход, методология, видение, принципы и т.п.) обеспечения информационной безопасности

• В организации существует гетерогенная информационная среда (инфраструктура), продукт ИТ-проекта, как правило – только часть этой среды

• В организации существует размытая ответственность за бизнес-процессы, включая бизнес-процессы, автоматизируемые продуктом ИТ-проекта

• Законодательные ограничения (например, 152-ФЗ применяется в отношении организации оператора, а не только конкретной информационной системы персональных данных)

Подходы к обеспечению ИБ в ИТ -проектах

(жизненный цикл)

• Обеспечение доверенной среды разработки (включая режимные мероприятия, NDA, соглашения, кадровую политику и т.д.)

• Обеспечение защищенного жизненного цикла разработки (Security Development Lifecycle) или его компонентов

Ввод в эксплуатацию ИС

Разработка решений по обеспечению безопасности

ИС

Разработка технических решений ИС

Подходы к обеспечению ИБ в ИТ -проектах

(жизненный цикл)

• Определение требований к безопасности информации, обрабатываемой в ИС, в соответствии с нормативными документами (ISO/IEC 15408, 152-ФЗ, РД ГТК, Приказы ФСТЭК по ПДн и ГИС)

• Приведение в соответствие определенным требованиям (включая доработку технических решений ИС, закупку и настройку СЗИ, распределение ответственности за работы по ИБ и т.д.)

Ввод в эксплуатацию ИС

Разработка решений по обеспечению безопасности

ИС

Разработка технических решений ИС

Подходы к обеспечению ИБ в ИТ -проектах

(жизненный цикл)

• Модификация бизнес-процессов организации

• Модификация инфраструктуры организации

• Проведение оценки соответствия ИС

• Ввод в эксплуатацию ИС

• Сопровождение и поддержка в соответствии с жизненным циклом ИС

Ввод в эксплуатацию ИС

Разработка решений по обеспечению безопасности

ИС

Разработка технических решений ИС

КЕЙСЫ ИТ-ПРОЕКТОВ С ЗАДАЧАМИ ПО ИБ

Обеспечение ИБ в ИТ-проектах

З а щ и т а П Д н в И С , в н е д р я е м о й в о р г а н а х г о с у д а р с т в е н н о й в л а с т и

Исходные данные:

• ИС является одной из комплекса ИС органов государственной власти и встраивается в существующую инфраструктуру

• ИС развертывается в удаленном датацентре

• ИС обрабатывает данные большого количества юридических лиц (операторов), т.е. фактически представляет собой глобальное решение

ОГВ1Датацентр

Система А Система Б Система В

АРМ1

АРМ2

ОГВ2

АРМ1

АРМ2

ОГВN

АРМ1

АРМ2

Защита ПДн в ИС, внедряемой в органах государственной власти

Основные проблемы

• Ответственность за обеспечение безопасности размыта между ОГВ (по закону?), технической службой датацентра (по логике?) и разработчиком системы (согласно РД ГТК, а также ввиду наличия компетенций)

Решения

• Оператор определяется из числа ОГВ

• Техническая служба датацентра становится обработчиком (ЛОПДпПО)

• Разработчик выполняет действия по подготовке к работам по ИБ

Защита ПДн в ИС, внедряемой в органах государственной власти

Основные проблемы

• Большое количество территориально распределенных рабочих мест ИС (более 500)

• Состав рабочих мест ИС переменный

• Требуется аттестация ИС

Примечание: работа выполнялась до разработки стандарта по аттестации ИС и выпуска приказа по ГИС

Решения• Каждое рабочее место или

территориально объединенная группа рабочих мест оформляется как отдельная ИСПДн (сегментирование ИСПДн)

• На рабочие места разрабатывается типовой подход по ИБ, которые кастомизируется в случае необходимости

• Аттестация выполняется силами территориально распределенных операторов

З а щ и т а и н ф о р м а ц и и ( в т о м ч и с л е , П Д н ) в W e b - п р и л о ж е н и и в м е ж д у н а р о д н о й к о м п а н и и

Исходные данные:

• ИС представляет собой Web-приложение с архитектурой 3Tier

• ИС является одной из комплекса ИС и встраивается в существующую инфраструктуру, в том числе в качестве мастер-системы

• ИС развертывается в удаленном датацентре

• ИС обрабатывает данные граждан разных стран

• Служба безопасности Заказчика предъявляет определенные требования к самому приложению, а формирует самостоятельно наиболее значимые риски

• Служба безопасности предъявляет особые требования к защите от внутренних угроз, включая действия администраторов

Web-приложение

База данныхУчетные записи

ОПО

Защита информации (в том числе, ПДн) в Web-приложении в

международной компанииОсновные проблемы

• Служба безопасности хочет за счет средств безопасности Web-приложения решить внутренние проблемы безопасности инфраструктуры

Решения• Компоненты ИС (веб-

приложение, база данных) защищаются максимальными штатными средствами

• Компоненты инфраструктуры (ОПО серверов, база данных учетных записей, служба каталогов) защищаются средствами Заказчика

• Остаточные риски закрываются организационными мерами и дополнительным ПО

Защита информации (в том числе, ПДн) в Web-приложении в

международной компанииОсновные проблемы

• Требования различных государств несовместимы между собой (как правило, несовместимы требования других стран с требованиями РФ)

Решения• Технические требования к защите

информации, обрабатываемой на территории другого государства, должны соответствовать по уровню требованиям РФ, но по реализации – требованиям государства, в котором они развернуты

• Организацией должны быть выполнены правовые мероприятия во всех странах присутствия

• Приложение развертывается за пределами РФ для удовлетворения требований стран Евросоюза и США

З а щ и т а и н ф о р м а ц и и ( в т о м ч и с л е , П Д н ) в о б л а ч н о м р е ш е н и и в м е ж д у н а р о д н о й к о м п а н и и

Исходные данные:

• ИС представляет собой облачное SaaS-решение

• ИС является автоматизирует отдельные бизнес-процессы организации

• ИС обрабатывает данные граждан разных стран

• Служба безопасности Заказчика предъявляет определенные требования к самому приложению, а формирует самостоятельно наиболее значимые риски

• Служба безопасности предъявляет требования к интеграции данных и отслеживаемости событий в облачном решении

SaaS-решение

Инфраструктура Заказчика

Учетные записи организации

Аутентификация и SSO

Приложения Заказчика

Пользователь

Аутентификация в инфраструктуре

SIEM

Доступ

Сбор событий

З а щ и т а и н ф о р м а ц и и ( в т о м ч и с л е , П Д н ) в о б л а ч н о м р е ш е н и и в м е ж д у н а р о д н о й к о м п а н и и

Типовая (внедряемая по умолчанию) архитектура внедрения SaaS-решений в бизнес-процессы организации:

• Администратор управляет одновременно и собственной инфраструктурой организации и необходимыми настройками SaaS-решения

• Офицер безопасности контролирует безопасность собственной инфраструктуры и, насколько это возможно, безопасность SaaS-решения

• Пользователь выполняет аутентификацию и авторизацию и в собственной инфраструктуре и в SaaS-решении

В ОБЩЕМ…

SaaS-решение является полностью (или максимально) отделенным от инфраструктуры организации

SaaS-решение

Инфраструктура Заказчика

Учетные записи организации

Аутентификация и SSO

Приложения Заказчика

Пользователь

Аутентификация в инфраструктуре

SIEM

Доступ

Сбор событий

Аутентификация в инфраструктуре

Управление

Управление

Контроль

Контроль

Офицер безопасности

Управление

Администратор

З а щ и т а и н ф о р м а ц и и ( в т о м ч и с л е , П Д н ) в о б л а ч н о м р е ш е н и и в м е ж д у н а р о д н о й к о м п а н и иПредлагаемая архитектура внедрения SaaS-решений в бизнес-процессы организации:• Администратор управляет

собственной инфраструктурой организации, необходимые настройки интегрируются в SaaS-решение

• Офицер безопасности контролирует безопасность собственной инфраструктуры, SaaS-решения интегрирует данные сбор событий в собственную инфраструктуру организации

• Пользователь выполняет аутентификацию и авторизацию только в собственной инфраструктуре, для SaaS-решения реализуется принцип SSO

В ОБЩЕМ…SaaS-решение является максимально интегрированным в инфраструктуру организации, как минимум в части:• Сбора событий серверов решения• Базы данных учетных записей

организации• Стойкой аутентификации

SaaS-решение

Инфраструктура Заказчика

Учетные записи организации

Аутентификация и SSO

Приложения ЗаказчикаПользователь

Аутентификация в инфраструктуре

SIEM

Доступ

Сбор событий

Управление

Управление

Контроль

Офицер безопасности

Администратор

Интеграционное решение

Интеграционное решение

Интеграционное решение

ВОПРОСЫ?

Обеспечение ИБ в ИТ-проектах

Спасибо за внимание

Шаломович Максим Алексеевич

Консультант по информационным технологиям, консультант по информационной безопасности, аналитик

E-mail: shlmaxm@gmail.com

Телефон: +79050167962