Document

Download Report

Transcript Document 

Всероссийский профессиональный форум
Эффективный электронный документооборот:
от делопроизводства до архива
Круглый стол «ОБЛАЧНЫЕ ПЕРСПЕКТИВЫ»
"Информационная безопасность в «облаках»?!"
Александр Соколов
Руководитель Комитета по вопросам информационной безопасности АП КИТ
Председатель Совета директоров ЗАО «Лаборатория «СКАТ»
10-11 декабря 2013 года
Торгово-промышленная палата РФ
(ул.Ильинка, 6)
Где мы?
«…успеха в ближайшем десятилетии добьются
только те компании, которые сумеют
реорганизовать свою работу с помощью
электронного инструментария…
"Электронная нервная система" позволит вам
вести бизнес со скоростью мысли, а это и есть ключ
к успеху в двадцать первом веке.»
Источник: Билл Гейтс, Бизнес со
скоростью мысли, 2002
Тенденции развития ИТ-отрасли
Текст
Источник информации
Информация
Информация: «обозначение содержания,
черпаемого нами из внешнего мира в процессе
приспособления к нему и приведения в
соответствие с ним нашего мышления»
Норберт Винер
Информация - сведения (сообщения, данные), не
зависимо от формы их представления
N 149-ФЗ «Об информации,
информационных технологиях и о
защите информации» от 27 июля 2006 г.
Безопасность информации и
информационная безопасность
Безопасность информации (данных) — состояние защищённости
информации (данных), при котором обеспечены её (их)
конфиденциальность, доступность и целостность.
ГОСТ Р 50922-2006 «Защита информации. Основные термины и определения»
Информационная безопасность — это процесс обеспечения
конфиденциальности, целостности и доступности информации.
Конфиденциальность: Обеспечение доступа к информации только
авторизованным пользователям.
Целостность: Обеспечение достоверности и полноты информации и
методов ее обработки.
Доступность: Обеспечение доступа к информации и связанным с ней
активам авторизованных пользователей по мере необходимости.
ГОСТ Р ИСО/МЭК 17799—2005 «Информационная технология. Практические правила
управления информационной безопасностью»
Технологии облачных вычислений
Облачные вычисления (cloud computing) - модель предоставления пользователям по их требованию
удобного сетевого доступа к совместно используемому пулу настраиваемых вычислительных
ресурсов. Ресурсы оперативно выделяются и освобождаются при минимальных усилиях,
затрачиваемых пользователями на организацию управления и на взаимодействие с поставщиком
услуг.
Основные характеристики
On-demand self-service
– Самообслуживание по мере необходимости
Broad network access
– Широковещательный сетевой доступ
Resource pooling – Объединение ресурсов в пул
Rapid elasticity
– Оперативная гибкость
Measured Service – Измеряемость услуги
Модели обслуживания
SaaS
PaaS
IaaS
– ПОкУ – программное обеспечение
– ПкУ - платформа
– ИкУ - инфраструктура
Модели развертывания
Private Cloud
Community cloud
Public Cloud
Hybrid Cloud
– Частное (корпоративное) облако
– Коллективное облако
– Публичное облако
– Смешанное облако
Готовность к облачным технологиям
(законодательная и нормативная база,
24 страны, 80% мирового рынка ИКТ)
Тект
Источник:2013 BSA Global Cloud
Computing Scorecard
Готовность к облачным технологиям
Тект
Источник:2013 BSA Global Cloud
Computing Scorecard
Готовность к облачным технологиям
Тект
Источник:2013 BSA Global Cloud
Computing Scorecard
Национальные Стратегии кибербезопасности
(Европейский Союз)
Austria
Belgium
Czech Republic
Estonia
Finland
France
Germany
Hungary
Lithuania
Luxembourg
The Netherlands
Poland
Romania
Slovak Republic
Spain
United Kingdom
Austrian Cyber Security Strategy (2013)
To be soon published (2013)
EUCyber Security Strategy of Czech Republic for the 2011-2015 Period
(2011)
Cyber Security Strategy (2008)
Finland's Cyber Security Strategy (2013)
Information systems defence and security, France's strategy (2011)
Cyber Security Strategy for Germany (2011)
National Cyber Security Strategy (2013)
Programme for the development of electronic information security (cyber
security) for 2011-2019 (2011)
National strategy on cyber security (2011) - in french
The national cyber security strategy (2013) - NEW
Govermental Program for Protection of Cyberspace for the years 2011-2016
(2013) - in polish
Cyber Security Strategy in Romania (2011)
National Strategy for Information security in the Slovak Republic (2008)
The National Security Strategy (2013)
Cyber Security Strategy of the United Kingdom
(2009)
Источник: http://www.enisa.europa.eu/activities/Resilience-andCIIP/national-cyber-security-strategies-ncsss/national-cyber-securitystrategies-in-the-world
Национальные Стратегии кибербезопасности
(Мировая практика)
Australia
Canada
India
Japan
Kenya
Montenegro
New Zealand
Norway
Russia
Singapore
South Africa
South Korea
Switzerland
Turkey
Uganda
United States of America
Cyber Security Strategy (2011) world
Canada's cyber security strategy (2010)
National Cyber Security Strategy (2013)
Information Security Strategy for protecting the nation (2010)
Announced 2013 - to be published
Announced 2013 - to be published in October 2013
New Zealands Cyber Security Strategy (2011)
National Strategy for Information Security (2012) - in norwegian
The Information Security Doctrine of the Russian Federation
(2000)
Third national cyber security masterplan (2013-2018) - to be
published
Cyber Security policy of South Africa (2010)
National Cyber Security Strategy (2011) - not available in EN
National strategy for Switzerlands's protection against cyber risks
(2012)
National Cybersecurity Strategy (2013)
Announced 2013 - to be published
International Strategy for cyberspace (2011)
Источник: http://www.enisa.europa.eu/activities/Resilience-andCIIP/national-cyber-security-strategies-ncsss/national-cyber-securitystrategies-in-the-world
NSA E-Spying: Bad Governance
Harvesting Millions of E-mail Contacts, Buddy Lists
Источник:
http://www.govinfosecurity.com/nsa-espying-bad-governance-a-6151
Условия широкого внедрения
технологий облачных вычислений
1: Разработка стандартов (желательно, международных) взаимодействия,
переносимости и безопасности
2: Разработка требований обеспечения безопасности информации
3: Подготовка технических требований для разработки высококачественных
Соглашений об уровне обслуживания
4: Формирование набора четко определенных и качественно категорированных
облачных услуг
5: Реализация инфраструктуры для прозрачного использования
широкомасштабной облачной среды
6: Разработка технических решений обеспечения безопасности,
7: Разработка нормативных требований, технологических рекомендаций
8: Определение стратегических задач по развитию и внедрению облачных
технологий
9: Определение и реализация задач обеспечения надежности предоставления услуг
10: Разработка и внедрение оценочных количественных
характеристик облачных услуг
Источник: Ernst & Young’s 2012 Global
Information Security Survey
ПОДХОД NIST К БЕЗОПАСНОСТИ ОБЛАКОВ
Выбор модели облачной системы (SaaS, IaaS,
PaaS)
Учет специфики безопасности выбранной
модели
Разделение обязанностей в смысле
безопасности между поставщиком и
потребителем системы облачных вычислений
Обеспечение безопасности облачной системы
Источник:
Пути решения проблем ИБ в облаках
(особенности)
Доверие к поставщику услуг
Оценка рисков при начале, в процессе и при окончании использования
услуг
Защита информации от утечек через специфические каналы среды
виртуализации:
Контроль виртуальных устройств
Контроль целостности и доверенная загрузка ВМ
Контроль доступа к элементам инфраструктуры
Запрет доступа администратора ВИ к данным ВМ
Управление доступом:
Разделение ролей для исключения «суперпользователя»
Усиленная аутентификация администраторов
Делегирование административных полномочий
Мандатное управление доступом
Контроль изменений
Good Practice Guide for securely deploying
Governmental Clouds
Источник: European Union Agency for Network and Information Security
Publication date: Nov 15, 2013
http://www.enisa.europa.eu/activities/Resilience-and-CIIP/cloudcomputing/good-practice-guide-for-securely-deploying-governmental-clouds
Российские подходы к решению вопросов
защиты информации в облаке
Искусственная сегментация облачной инфраструктуры
(реальная или виртуальная) таким образом, чтобы границы
сегментов облака совпадали с границами информационной
системы, и применение в отношении такой инфраструктуры
российских норм по защите информации
Создание корпоративных (государственных или
ведомственных) облаков, размещение в них государственных
информационных ресурсов с реализацией определенного
количества мер по защите информации и обоснование на
уровне модели угроз достаточности принятых мер
ФСТЭК
Приказ ФСТЭК России №17 от 11.02.2013
Об утверждении Требований о защите информации, не составляющей
государственную тайну, содержащейся в государственных
информационных системах
Приказ ФСТЭК России №21 от 18.02.2013
Об утверждении Состава и содержания организационных и технических
мер по обеспечению безопасности персональных данных при их
обработке в информационных системах персональных данных
МЕТОДИЧЕСКИЙ ДОКУМЕНТ (проект)
Меры защиты информации в государственных информационных
системах (165 стр.)
ПРОЕКТ ДОКУМЕНТА: Меры защиты информации в
государственных информационных системах
СОДЕРЖАНИЕ
1. Общие положения……………………………………………………………………………………….…... 3
2. Выбор мер защиты информации для их реализации в информационной системе
в рамках системы защиты информации....................................................................................................4
3. Содержание мер защиты информации в информационной системе ……………………………..... 13
3.1. Идентификация и аутентификация субъектов доступа и объектов доступа…………………….. 13
3.2. Управление доступом субъектов доступа к объектам доступа………………………………..…… 22
3.3. Ограничение программной среды………………………………………………………………..…… 43
3.4. Защита машинных носителей информации…………………………………………..………………..48
3.5. Регистрация событий безопасности…………………………………………………………....……… 57
3.6. Антивирусная защита…………………………………………………………………………………… 66
3.7 Обнаружение (предотвращение) вторжений…………………………………………………………. 69
3.8. Контроль (анализ) защищенности информации……………………………………………………... 72
3.9. Целостность информационной системы и информации…………………………………...……….. 80
3.10. Доступность информации……………………………………………………………………………... 89
3.11. Защита среды виртуализации……………………………………………………………….….………98
3.12. Защита технических средств…………………………………………………………………….……...112
3.13. Защита информационной системы, ее средств и систем связи и передачи данных………….…117
Приложение (Содержание базовых мер защиты информации для соответствующего класса
защищенности информационной системы)………………………………… 148
Источник: http://fstec.ru/tekhnicheskaya-zashchita-informatsii/dokumenty/149tekhnicheskaya-zashchita-informatsii/dokumenty/proekty/772-proektmetodicheskogo-dokumenta-fstek-rossii
ЗАЩИТА СРЕДЫ ВИРТУАЛИЗАЦИИ (ЗСВ)
пункт 3.11 документа
ЗСВ.1 Идентификация и аутентификация субъектов доступа и объектов доступа в виртуальной
инфраструктуре, в том числе администраторов управления средствами виртуализации
ЗСВ.2 Управление доступом субъектов доступа к объектам доступа в виртуальной
инфраструктуре, в том числе внутри виртуальных машин
ЗСВ.3 Регистрация событий безопасности в виртуальной инфраструктуре
ЗСВ.4 Управление (фильтрация, маршрутизация, контроль соединения, однонаправленная
передача) потоками информации между компонентами виртуальной инфраструктуры, а также по
периметру виртуальной инфраструктуры
ЗСВ.5 Доверенная загрузка серверов виртуализации, виртуальной машины (контейнера), серверов
управления виртуализацией
ЗСВ.6 Управление перемещением виртуальных машин (контейнеров) и обрабатываемых на них
данных
ЗСВ.7 Контроль целостности виртуальной инфраструктуры и ее конфигураций
ЗСВ.8 Резервное копирование данных, резервирование технических средств, программного
обеспечения виртуальной инфраструктуры, а также каналов связи внутри виртуальной
инфраструктуры
ЗСВ.9 Реализация и управление антивирусной защитой в виртуальной инфраструктуре
ЗСВ.10 Разбиение виртуальной инфраструктуры на сегменты (сегментирование виртуальной
инфраструктуры) для обработки информации отдельным пользователем
и (или) группой пользователей
Источник: http://fstec.ru/tekhnicheskaya-zashchita-informatsii/dokumenty/149tekhnicheskaya-zashchita-informatsii/dokumenty/proekty/772-proektmetodicheskogo-dokumenta-fstek-rossii
Облачная нормативная база РФ:
ОТКРЫТЫЙ КОНКУРС
на право заключения государственного контракта
на выполнение научно-исследовательской работы
по теме:
«Нормативно-правовое обеспечение возможности
использования облачных технологий»
Заказ № 0173100007513000033 от 17.10.2013
Заказчик Минкомсвязь России
Источник:
http://zakupki.gov.ru/pgz/public/acti
on/orders/info/order_document_list_
info/show?notificationId=7303812
Закон суров!
Источник: МОСКВА, 22 ноября — РИА Новости
http://ria.ru/society/20131122/979050381.html#ixzz2n0oMwwxr
Спасибо за внимание !
WWW.APKIT.RU
WWW.LAB-SKAT.RU
+7 (985) 766-46-79
[email protected]