Data Centric Security Strategy
1 like1,017 views
Документ представляет стратегию Cisco по обеспечению безопасности данных в IT-инфраструктуре, учитывающую глобальные тенденции и изменения в подходах к информационной безопасности. Основное внимание уделяется разработке многоуровневой защиты информации и интеграции политики управления данными в рамках всей организации. В документе также рассматриваются формы обучения сотрудников и примеры архитектур, ориентированных на защиту данных.
![Отраслевые тенденции
Исследование Cisco – «Connected World Report»
59% сотрудников хотят использовать для работы личные устройства
7 млрд новых беспроводных устройствах к 2015 году,
22 млрд к 2020 году [данные IDC]
40% организаций планируют использовать облачные сервисы
Оценки роста объема данных
35 Зеттабайт к 2020 году
Данные присутствуют
повсюду– на устройствах
сотрудников, в
корпоративной сети
и в облаке
Источник: Cisco Connected World Report 2010, статья в журнале Economist: Leaky Corporation
COCSEC-2985 © 2011 Cisco and/or its affiliates. All rights reserved. Cisco Public 3](https://image.slidesharecdn.com/datacentricsecuritystrategy-111027161644-phpapp01/85/Data-Centric-Security-Strategy-3-320.jpg)
Data Centric Security Strategy
- 1. Использование решений Cisco в ИТ-инфраструктуре Cisco: стратегия обеспечения безопасности, ориентированная на защиту данных COCSEC-2985 © 2011 Cisco and/or its affiliates. All rights reserved. Cisco Public 1
- 2. План презентации Причины разработки стратегии ИБ, ориентированной на защиту данных: • Отраслевые тенденции • Особенности Cisco Изменения стратегий ИБ: план Cisco Система обеспечения ИБ, ориентированная на защиту данных, в Cisco • Политика • Обучение • Архитектура • Методики Резюме COCSEC-2985 © 2011 Cisco and/or its affiliates. All rights reserved. Cisco Public 2
- 3. Отраслевые тенденции Исследование Cisco – «Connected World Report» 59% сотрудников хотят использовать для работы личные устройства 7 млрд новых беспроводных устройствах к 2015 году, 22 млрд к 2020 году [данные IDC] 40% организаций планируют использовать облачные сервисы Оценки роста объема данных 35 Зеттабайт к 2020 году Данные присутствуют повсюду– на устройствах сотрудников, в корпоративной сети и в облаке Источник: Cisco Connected World Report 2010, статья в журнале Economist: Leaky Corporation COCSEC-2985 © 2011 Cisco and/or its affiliates. All rights reserved. Cisco Public 3
- 4. Утечки/утери данных Информацию в цифровом виде просто хранить. Но ее также легко потерять или украсть! Datalossdb.org Нарушения безопасности персональных данных Секретные проекты, финансовые данные и т. п... Wikileaks Организациям необходимо принять 2 решения: что действительно необходимо защищать и как обеспечить оптимальную защиту ценных ресурсов COCSEC-2985 © 2011 Cisco and/or its affiliates. All rights reserved. Cisco Public 4
- 5. Особенности Cisco Глобальная компания, мобильные сотрудники, большая экосистема сотрудников, партнеров, поставщиков, заказчиков Программа доступа с любого устройства запущена в 2009 году Активная поддержка сред совместной работы - WebEx, корпоративные социальные сети – как внутренних, так и с доступом заказчиков/партнеров Cisco поддерживает облачные решения – SaaS, IaaS – как для внутреннего использования, так и общедоступные Постоянно растет популярность решений для мобильных устройств К чему это приводит? Корпоративные данные Корпоративные данные повсюду в закрытой корпоративной (неконтролируемые устройства/ ИТ-инфраструктуре облако) COCSEC-2985 © 2011 Cisco and/or its affiliates. All rights reserved. Cisco Public 5
- 6. Принятые в Cisco методики защиты информации: реализация концепция многоуровневой защиты Совместная работа/виртуализация Информация ЭТАП 4 Приложения и СУБД Защита приложений Риски Мобильность и доступ ЭТАП 3 Защита оконечных устройств Приоритет: ЦОД ЭТАП 2 Защита периметра ЭТАП 1 1980 1990 2000 2010 Время COCSEC-2985 © 2011 Cisco and/or its affiliates. All rights reserved. Cisco Public 6
- 7. Направления развития 2010 2013 Управляемая Доверенное устройство, (Windows, Blackberry) Платформа PlatformV, ContentV Различные средства Встроенные средства + Оконечные устр-ва Anyconnect + MDM Сертификаты устройств, Аутентификация Сущности, политика TrustSec, федерация, пользователей учет контекста Оконечные устройства, инфраструктура, Сервисы ИБ Сеть, облако приложения (IPS, WSA, WAF, Scansafe, DLP, VSG) COCSEC-2985 © 2011 Cisco and/or its affiliates. All rights reserved. Cisco Public 7
- 8. Модель безопасности, ориентированная на защиту данных (DCSM) Сопоставление бизнес-стратегии и стратегии обеспечения ИБ на основании общего множества данных Переход от защиты сети и хостов к защите данных при использовании, передаче и хранении Оценка значимости данных, последующее применение мер обеспечения ИБ в рамках их жизненного цикла Решения на основе данных Владение Классификация Управление/защита определяются классом данных Источник: статья IBM “Data-Centric Security”, декабрь 2006 г. COCSEC-2985 © 2011 Cisco and/or its affiliates. All rights reserved. Cisco Public 8
- 9. Реализация стратегии обеспечения ИБ, ориентированной на защиту данных Данный подход необходимо внедрить в масштабах всей организации: Политики и стандарты Обучение и информированность пользователей Архитектура Методики COCSEC-2985 © 2011 Cisco and/or its affiliates. All rights reserved. Cisco Public 9
- 10. Политики и стандарты, ориентированные на защиту данных Принятие решения на основе данных – идентификация, классификация, проверка Идентификация владельца данных Классификация данных в соответствии с уровнем конфиденциальности Проверка существования средств управления/защиты в соответствии с результатами классификации Классификация Носитель Управление/защита COCSEC-2985 © 2011 Cisco and/or its affiliates. All rights reserved. Cisco Public 10
- 11. Стандарты, ориентированные на защиту данных: примеры Категория Cisco Confidential Cisco Highly Cisco Restricted Confidential Примеры: Большая часть Сведения о Сведения о сделках, документов компании безопасности, ПДн медицинские данные, финансовые сведения Контроль доступа и Доступны сотрудникам Доступны Доступ ограничен явно распространение: Cisco, кроме того, доступ ограниченному кругу перечисленным кругом любой носитель может предоставляться сотрудников Cisco, лиц; доступ предоставляет посторонним лицам, для доступ может по решению владельца решения легитимной предоставляться данных бизнес-задачи посторонним лицам, для решения легитимной бизнес-задачи; доступ предоставляет по решению владельца данных Способ передачи: Шифрование Шифрование Шифрование обязательно электронная почта рекомендуется при обязательно при при любой передаче передаче документов и передаче документов и данных; средства: WinZip сообщений электронной сообщений электронной или CRES почты по открытым почты по открытым сетям общего сетям общего пользования; средства: пользования; средства: WinZip или CRES WinZip или CRES Хранение: носитель Нет требований Шифрование данных Шифрование данных (DVD, USB- рекомендуется обязательно накопитель) COCSEC-2985 © 2011 Cisco and/or its affiliates. All rights reserved. Cisco Public 11
- 12. Обучение и информированность пользователей Обеспечение безопасности – обязанность всех сотрудников Cisco Пример: серия видеороликов Genoodle Повышение информированности и вовлечение сотрудников путем активного и поощряемого участия в проекте Использование платформ социальных сетей и мультимедийных средств Разрушения языковых и культурных барьеров с помощью кукол Демонстрация решений Cisco COCSEC-2985 © 2011 Cisco and/or its affiliates. All rights reserved. Cisco Public 12
- 13. Архитектуры, ориентированные на защиту данных: опыт Cisco COCSEC-2985 © 2011 Cisco and/or its affiliates. All rights reserved. Cisco Public 13
- 14. Архитектура, ориентированная на защиту данных: пример № 1 Репозиторий данных Crown-Jewel Критерии: • Данные уровня не ниже Highly Confidential • Поддержка критически важных бизнес- процессов • Данные, регламентируемые нормативными требованиями • Данные для аутентификации/авторизации пользователей COCSEC-2985 © 2011 Cisco and/or its affiliates. All rights reserved. Cisco Public 14
- 15. Архитектура, ориентированная на защиту данных: пример № 1 Репозиторий данных Crown-Jewel (продолжение) Средства управления безопасностью в среде Crown-Jewel Аутентификация и авторизация пользователей и приложений/операций доступа к хостам Целостность DBlink и жизненного цикла приложений Аудит и журналирование доступа Поддержка актуальности версий СУБД и патчей в сфере безопасности Формализованный и контролируемый доступ в рамках защищенного сегмента сети Принятые стандарты повышения уровня защищенности СУБД и операционных систем Повышение управляемости и расширение возможностей мониторинга партнерского доступа к экстранету Умышленное искажение или маскирование данных при репликации в тестовых целях Шифрование данных COCSEC-2985 © 2011 Cisco and/or its affiliates. All rights reserved. Cisco Public 15
- 16. Архитектура, ориентированная на защиту данных: пример № 2 Анализ данных “All or Nothing” “All or Nothing” Доку- Доку- менты менты Пользователь Cisco Пользователь Cisco Шлюз Шлюз экстранета экстранета Прил. ACL Прил. ACL Фильтрация B по URL B Фильтрация Анализ по URL данных Прил. Прил. C C Ineffective with portlets Работа на Работа на основе основе доверия доверия с проверкой По мере увеличения количества партнеров, пользующихся экстранетом, и расширения способов доступа к экстранету анализ данных становится критически важным механизмом поддержания требуемого уровня защищенности ИТ-инфраструктуры COCSEC-2985 © 2011 Cisco and/or its affiliates. All rights reserved. Cisco Public 16
- 17. Архитектура, ориентированная на защиту данных: пример № 3 Облачная система хранения данных Интернет ДМЗ Внутренняя сеть Внешний пользователь Приложение Приложение • Данные в облаке всегда зашифрованы Метаданные • Ключи шифрования приложений защищены и Оператор хранятся в системы хранения собственной ИТ- Ключи инфраструктуре шифрования организации • Оптимизация производительности Внутренний пользователь COCSEC-2985 © 2011 Cisco and/or its affiliates. All rights reserved. Cisco Public 17
- 18. Используемые в Cisco методики, ориентированные на защиту данных COCSEC-2985 © 2011 Cisco and/or its affiliates. All rights reserved. Cisco Public 18
- 19. Методики, ориентированные на защиту данных: пример № 1 Оценка уязвимости приложений (AVA) на основании рисков Выделенные специалисты - Крити- аналитики ческий Устаревшие в сфере ИБ Анализ приложения экспертами Оценка Новые рисков приложения (показатель) Средний риск Базовый Приложения с известными Самооб- служи- анализ Самообслу- уязвимостями вание Средства AVA живание Архитектор безопасности Низкий риск Базовый анализ Самообслуживание Факторы классификации данных для расчета показателей рисков Разработчики Специалисты по QA-тестированию COCSEC-2985 © 2011 Cisco and/or its affiliates. All rights reserved. Cisco Public 19
- 20. Методики, ориентированные на защиту данных: пример № 2 Анализ безопасности системы оператора облачной системы/провайдера услуг Уровень осмотрительности в соответствии с профилем риска Данные, регламентируемые нормативными требованиями, или конфиденциальные данные приводят к автоматическому присвоению оператору облачной системы/провайдеру услуг высокого уровня риска Анализ при высоком уровне риска включает периодическую оценку уязвимости систем и регулярное проведение аудита безопасности COCSEC-2985 © 2011 Cisco and/or its affiliates. All rights reserved. Cisco Public 20
- 21. Методики, ориентированные на защиту данных: пример № 3 Внедрение технологий обеспечения ИБ Развертывание технологических решений для обеспечения ИБ в крупной компании, такой как Cisco, может занять долгие годы Развертывание выполняется поэтапно, при этом учитываются типы пользователей, категории данных и типы угроз – • Шифрование файлов на рабочих ПК сотрудников отдела кадров/бухгалтерии/инженеров – первый приоритет • Внедрение TrustSec в средах высокого риска (определенные регионы, офисы, расположенные в бизнес- центрах, зоны общего доступа) • Внедрение Web Application Firewall для систем электронного размещения заказов и приложений Cisco.com COCSEC-2985 © 2011 Cisco and/or its affiliates. All rights reserved. Cisco Public 21
- 22. Бизнес-стимулы: конфиденциальность, защита данных заказчиков, защита интеллектуальной собственности, нормативные требования Интеграция в сфере ИБ Эксплуатация (ИБ) Выбор Оценка Соотв. Анализ Монито- Опросник по ИБ Мониторинг и Периодическая поставщ архитектуры нормативн. уязвим. ринг для заказчиков реакция на оценка в сфере ика • Стандарты и требован. • Приложение • IPD/IDS • Реакция на вопросы инциденты ИБ политики ИБ, заказчиков в сфере • Анализ журналов и • Анализ • Анализ • Норм. докум. • Инфраструк- • DLP ИБ принятые в Cisco тура событий уязвимостей облака • Обработка • Модели • Схема сети • Уведомления о • Приложения • Анализ интеграции данных критически важных продукта заказчиков • Инфраструктура патчах • Оценка рисков • ИС Cisco • Экспорт • Пентестинг • Юридич. док. Обнаружение и защита с Определение политик и использованием Обеспечение ИБ, основанной стандартов, ориентированных ориентированных на защиту на защите данных на защиту данных данных архитектур и методик COCSEC-2985 © 2011 Cisco and/or its affiliates. All rights reserved. Cisco Public 22
- 23. Основные тезисы презентации Трансформация подхода вызвана не только привычными бизнес- стимулами • Необходимость доступа с любого устройства, развитие облачных систем и рост популярности сред совместной работы требуют пересмотра модели управления безопасностью. • Модификация архитектуры безопасности – сущности, политики, данные, сеть Основными особенностями являются фокус на данных как на ключевом объекте и изменение политик • Необходимо учитывать эти особенности при изменении подхода к эксплуатации систем обеспечения ИБ и анализе новых технологических решений • Решения по защите должны приниматься в соответствии с типом данных • Обращайтесь за помощью к экспертам в сфере ИБ COCSEC-2985 © 2011 Cisco and/or its affiliates. All rights reserved. Cisco Public 23
- 24. http://www.twitter.com/ciscoit http://www.facebook.com/ciscoit Использование решений Cisco в ИТ-инфраструктуре Cisco http://www.youtube.com/cisco Будни ИТ-подразделения http://blogs.cisco.com/ciscoit Cisco http:/www.cisco.com/go/ciscoit COCSEC-2985 © 2011 Cisco and/or its affiliates. All rights reserved. Cisco Public 24
- 25. COCSEC-2985 © 2011 Cisco and/or its affiliates. All rights reserved. Cisco Public 25
- 26. Спасибо за внимание. COCSEC-2985 © 2011 Cisco and/or its affiliates. All rights reserved. Cisco Public 26