KEEPING SECRETS SAFE Компания и решения DCSM – Data Centric Security Model Информационно центричная модель безопасности По материалам IBM Research, Zurich Financial Services Евгений Преображенский, компания.
Download ReportTranscript KEEPING SECRETS SAFE Компания и решения DCSM – Data Centric Security Model Информационно центричная модель безопасности По материалам IBM Research, Zurich Financial Services Евгений Преображенский, компания.
KEEPING SECRETS SAFE Компания и решения DCSM – Data Centric Security Model Информационно центричная модель безопасности По материалам IBM Research, Zurich Financial Services Евгений Преображенский, компания PERIMETRIX Документооборот и развитие технологий Реалии сегодняшнего дня Концентрация информации на электронных носителях увеличивается Деловая среда становится все более виртуальной Конфиденциальная информация, хранящаяся в электронном виде, становится все более ликвидным активом, с высокой тиражируемостью* и относительной простотой конвертируемости в деньги Электронное делопроизводство не обеспечивает необходимого уровня защиты сведений, содержащих конфиденциальную информацию Факторы, усугубляющие проблему – коррупция, корпоративное мошенничество («фрод»), текучесть кадров, нерыночные методы конкуренции Растет количество инцидентов нарушения безопасности, конфиденциальности целостности данных *) Здесь под «тиражируемостью» понимается простота, в случае наличия легального доступа, клонирования (создания множества копий) одного и того же информационного ресурса (актива), без потери его аутентичности и целостности KEEPING SECRETS SAFE Информационная безопасность Реалии сегодняшнего дня Нет метрик для оценки эффективности стратегии ИБ ИБ «оторвана» от бизнеса – механизмы безопасности (технологии и организационные мероприятия) не коррелируют прямо или косвенно с бизнес-целями, что затрудняет определение необходимого уровня защиты и делает невозможным оправдание инвестиций в ИБ ИБ финансируется как «чистые затраты», которые, соответственно должны быть минимизированы Основное направление ИБ сегодня – обеспечение непрерывности бизнес – процессов, т.е. защита инфраструктуры, но не информационных активов Подходы к защите информационных ресурсов реализуются зачастую по принципу инфраструктурных проектов. KEEPING SECRETS SAFE Виды хранения деловой информации Неструктурированная информация бизнесс процессы Структурированная информация ERP Portal ТОЧКА ПЕРЕХОДА СRM KEEPING SECRETS SAFE Данные ограниченного доступа Коммерческая информация (тайна) - Ноухау Кострукторская (дизайнерская) документация; Рецептура и формулы (состав); Алгоритмы и исходные коды; Другое. - Стратегия Выпуск новых продуктов; Маркетинговые и ценовые планы; Планы развития рынков; Слияния и поглощения; Другое. - Данные о клиентах - Другое Персональные данные - Врачебная тайна - Банковская тайна - Другие KEEPING SECRETS SAFE Эволюция и развитие программных решений ИБ DLP EDRM Контроль Доступа Антивирус 1980 Контроль Доступа Антивирус Файрволл 1990 Контроль Доступа Антивирус Файрволл ERP Управление Portal системными СRM событиями 2000 ? Контроль Доступа Контроль Доступа Интернет безопасность Интернет безопасность Файрволл Файрволл Управление системными событиями Управление системными событиями 2010 2020 KEEPING SECRETS SAFE Трансформация электронных данных Виды существования электронных данных Матрица трансформации электронных данных КЛАССИФИЦИРОВАННЫЕ: данные обладающие понятным классификационным признаком и обрабатываемые в соответствии с политиками обработки, хранения и т.д. НЕКЛАССИФИЦИРОВАННЫЕ: данные без классификационных признаков. СТРУКТУРИРОВАННЫЕ: данные находящиеся базах данных, системах ERP, CRM, CAD/CAM , корпоративных порталах и системах документоооборота НЕСТРУКТУРИРОВАННЫЕ: данные находящиеся на рабочих станциях пользователей, файловых серверах и т.д. и существующие в виде файлов или др. контейнеров Классифицированная Неклассифицированная Неструктурированная Виды существования Структурированная Классификация ЕDRM Место традиционных решений на матрице DLP EDRM: возможность классифицировать неструктурированные данные и наложить запретительные политики доступа. Не решают проблему «точки перехода» и не контролируют деривативы. Бессильны против пользвателя «имеющего доступ» DLP: Фильтруют информацию в потоках данных и пытаются «угадать» на основе лингвистики или «цифровых отпечатков», какие данные идут. Не решают проблему «точки перехода» и не контролируют деривативы. Вероятностный подход и низкая эффективность. Эффективность контентной фильтрации не превышает 80%«Business Impact: This technology is not foolproof, and it is relatively easy for a smart attacker to circumvent, but it effectively addresses the 70-80% of leakage that is due to accidents and ignorance». Hype Cycle for Information Security 2007, Gartner KEEPING SECRETS SAFE Эволюция и развитие программных решений ИБ DLP IRM/DRM Контроль Доступа Антивирус 1980 Контроль Доступа Антивирус Файрволл 1990 Контроль Доступа Антивирус Файрволл ERP Управление Portal системными СRM событиями 2000 ? Контроль Доступа Контроль Доступа Интернет безопасность Интернет безопасность Файрволл Файрволл Управление системными событиями Управление системными событиями 2010 2020 В 2007 году исследовательская лаборатория компании IBM представила концепцию “Data Centric Security Model”, где впервые была детально описана модель управления жизненным циклом классифицированной информации. Ведущие аналитики ИБ (Securosis, Forrester) полагают управление жизненным циклом ИОД основным элементом защиты КИ KEEPING SECRETS SAFE Информационно центричная модель безопасности Основной фокус DCSM – предоставление «правильного» уровня безопасности на базе бизнес – анализа \ ценности обрабатываемых данных Данные классифицируются по уровню их «ценности», вне разрыва от бизнес – процесса в котором они циркулируют Такая классификация позволит управлять атрибутами контроля доступа к данным как пользователей так и приложений (процессов), реализующих соответствующий бизнес - процесс Сервисы ИБ и обеспечивающие их технологии могут быть выделены в отдельные интерфейсы, прямо поддерживающие политики управления данными DCSM не требует особенных изменений в сервисах ИБ, однако необходимо преобразование (интеграция и внедрение) технологий ИБ в интерфейсы и термины, понятные людям, определяющим и управляющим бизнес – процессами. Таким образом будет очевидна роль сервисов ИБ в поддержке бизнес – процесса и соответственно, в достижении бизнес – целей. KEEPING SECRETS SAFE Данные DCSM Откуда данные происходят? Кто владеет данными? Кто контролирует данные? Что и где содержит данные? Каков тип\формат данных? Определение набора руководящих принципов корпоративной обработки данных на основе политик Определение сервисов ИБ, необходимых для поддержки этих руководящих принципов Классификации бизнес – данных. Например, на основе владельцев данных по заданным требованиям к безопасности Кто\что может использовать данные o с какой целью? o возможен ли обмен? o при каких условиях? Где данные будут\должны храниться? Как долго мы храним данные? Должны ли данные быть защищены o в покое o в бэкапе\архиве o при использовании Как данные могут быть раскрыты o какая часть может быть раскрыта? o какая защита должна быть внедрена o должны ли данные быть изменены или помечены? Определение бизнес – ориентированных требований ИБ для каждого класса данных, описывающие как данные этого класса должны обрабатываться и защищаться. KEEPING SECRETS SAFE Компоненты DCSM Столбец политик Столбец данных KEEPING SECRETS SAFE Роли и ответственность Владелец данных Обеспечивает «режим» Определяет ценность C3 (исполнение политик C2 данных и основные безопасности) C1 DATA требования по в отношении защищаемых Оперирует данными в обеспечению Анализ данных и Матрица информационных бизнес - процессов строгом соответствии с классификации и безопасности (политики) политики обработки активов, исходя из политиками классификационных признаков Пользователь C4 Служба ИБ KEEPING SECRETS SAFE СУБЪЕКТЫ ЗАЩИТЫ 1 ПОЛЬЗОВАТЕЛИ КИ КОНТЕЙНЕРЫ 2 ПРАВИЛА ДОПУСКА АКТИВНЫЕ СУЩНОСТИ Политики (правила) DCSM в действии ПОЛНОМОЧИЯ Места хранения и обработки КИ Форматы хранения КИ Приложения обработки КИ Процессы обработки КИ Каналы транспортировки КИ ДОВЕРЕННЫЙ ПЕРЕЧЕНЬ C4 5 C2 КЛАССИФИКАТОР ИНФОРМАЦИОННЫХ АКТИВОВ C1 6 3 ЭЛЕКТРОННЫЕ ДОКУМЕНТЫ (ФАЙЛЫ) LIFECYCLE MANAGEMENT ТОПОЛОГИЯ КОМПЬЮТЕРНОЙ СИСТЕМЫ Регламенты инвентаризации КИ Автоматич. классификация в местах хранения БАЗЫ ДАННЫХ И КОРП. ПРИЛОЖЕНИЯ КЛАССИФИКАЦИЯ ПАССИВНЫЕ СУЩНОСТИ АУДИРУЕМАЯ СРЕДА ЛОГИКА РАБОТЫ СИСТЕМЫ C3 4 LIFECYCLE MANAGEMENT ПРОЦЕССЫ ХРАНЕНИЯ И ОБРАБОТКИ КИ Классификация критичных бизнес-приложений Логика интеграции с корпоративным контентом ОБЪЕКТЫ ЗАЩИТЫ KEEPING SECRETS SAFE Управление жизненным циклом КИ (данных) Управление жизненным циклом классифицированной информации (данных) Создание классифицированного объекта данных Неструктурированные данные Первичная классификация Оборот классифицированных данных Обработка классифицированных данных в сооветствии с политиками и контроль перемещения и трансформации данных Вывод данных из оборота Уничтожение Деклассификация Обработка и модификация Данные извне Конфиденциальные данные извне Отправка вовне без сохранения копии Изменение уровня классификации Хранение Структурированные данные Обмен ERP Portal СRM KEEPING SECRETS SAFE Непрерывность управлния жизненным циклом КИ Виды существования электронных данных Классификация Виды хранения Структурированная Классифицированная DCSM Неструктурированная КЛАССИФИЦИРОВАННЫЕ: данные обладающие понятным классификационным признакои и обрабатываемые в соответствии с политиками обработки . НЕКЛАССИФИЦИРОВАННЫЕ: данные без классификационных признаков. СТРУКТУРИРОВАННЫЕ: данные находящиеся базах данных, системах ERP, CRM, CAD/CAM , корпоративных порталах и системах документоооборота НЕСТРУКТУРИРОВАННЫЕ: данные находящиеся на рабочих станциях пользователей, файловых серверах и т.д. и существующие в виде файлов или др. контейнеров Матрица трансформации электронных данных Неклассифицированная DCSM СОЗДАНИЕ/ПОЛУЧЕНИЕ КИ: возможность первичной и последующей автоматической классификации данных, поступающих на рабочие станции из корпоративных систем и баз даных. Решает проблему «точки перехода». БЕЗОПАСНАЯ ОБРАБОТКА: Обработка КИ на рабочих станциях, в соответствии с политиками. «Наследование» классификационных признаков и политик обработки при трансформации КИ. Контроль дериватитвов. Инвентаризация и контроль изменения уровня конфиденциальности ХРАНЕНИЕ И ПЕРЕДАЧА: Безопасное хранение КИ и безопасная передача и обмен по различным каналам Решение DCSM должно обеспечиваеть полный контроль обработки КИ, с учетом всех трансформаций, происходящих с данными на протяжении их жизненного цикла , позволяя при этом использовать необходимые политики обработки данных и функции учета и контроля KEEPING SECRETS SAFE Подход к внедрению системы DCSM 1 Карта бизнес-процессов 2 Матрица информационных активов под риском 3 Очередность и объем внедрения систем ИБ Понимание ключевых бизнес-процессов и информационных потоков с ними связанных. Защита тех бизнес-процессов и теми средствами, которые позволяют добиться минимизации стоимости владения системой (TCO) и получить разумный баланс между требованиями информационной безопасности и потребностями бизнеса KEEPING SECRETS SAFE Политики обработки КИ Должны учитывать: Горизонтальная интеграция входящих и исходящих информационных потоков конфиденциальной информации Вертикальная интеграция с бэкофисными системами Учет индустриальной специфики и характерных для каждой отрасли бизнессценариев (SSBS, Security Sensitive Business Scenarios) KEEPING SECRETS SAFE Важно учесть при внедрении ЦЕЛОСТНОСТЬ [1] Инвентаризация всех ключевых безнес-процессов и связанных с ними информационных активов (потоков) [2] Ранжирование (приоритезация): вероятность реализации угрозы/ риска критичность для бизнеса ТОЛЕРАНТНОСТЬ Каков допустимый уровень рисков потери тех или иных информационных ресурсов? Для каких активов дешевле не предпринимать ничего с точки зрения управления рисками, нежели пытаться эти риски предотвратить или уменьшить? ЭФФЕКТИВНОСТЬ Методы реагирования должны быть адекватны масштабам проблемы. Угрозу каким информационным активам следует предотвращать проактивными (трудоемкость), а каким реактивными (трудоемкость) методами защиты?*) ОТВЕТСТВЕННОСТЬ Четкое определение ответственности и полномочий по работе с конфиденциальной информацией. Предельная ясность, кто конкретно определяет критичность информации и несет ответственность за работу с ней СПЕЦИФИЧНОСТЬ Система безопасности не должна останавливать бизнес. Сложившаяся культура управления в организации диктует свои условия, и их необходимо принимать во внимание КОМПЛЕКСНОСТЬ Выполнение обязанностей по обеспечению безопасности и соблюдению политик должно начинаться с самого верха и заключаться в предупреждении проблем, а не в реагировании на них *) “Использование неадекватных методов защиты эквивалентно применению бронированного автомобиля для перевозки кредитной карты от кого-то, живущего в картонной коробке, кому-то, живущему на скамейке в парке”. Юджин Спаффорд KEEPING SECRETS SAFE ИБ на базе DCSM Система непрерывного управления жизненным циклом классифицированной электронной информации позвляющая эффективно управлять информационными активами без ущерба для текущей деятельности предприятия Идентификация, классификация и защита информационных активов при их ► хранении ► использовании ► передаче Обеспечение сохранности КИ и «режима» обработки КИ ► информационных ресурсов ► активов ► инноваций ► ключевых компетенций Обеспечение эффективного процесса информационной безопасности бизнеса с целью противодействия ► компрометации компании, ее руководства или акционеров ► коррупционному злоупотреблению должностными полномочиями ► корпоративному шпионажу ► саботажу KEEPING SECRETS SAFE Можно ли навсегда защититься от угроз ИБ? «По - наcтоящему безопасной можно считать лишь систему, которая выключена, замурована в бетонный корпус, заперта в помещении со свинцовыми стенами и охраняется вооруженным караулом. Но и в этом случае сомнения не оставляют меня...» Юджин Спаффорд KEEPING SECRETS SAFE Cпасибо за внимание! Компания Perimetrix Россия и СНГ : ООО «ПЕРИМЕТРИКС» 119607, Москва, Мичуринский проспект, д. 45 Телефон: +7 495 737 99 91; Факс: +7 495 737 99 92 Южно – Африканская Республика: Perimetrix SA (Pty) Ltd Balblair Building, Kildrummy Office Park,Cnr Witkoppen Road and Umhlanga Drive, Paulshof, 2056 Tel: +27 11 319 7206; Fax: +27 86 669 7800 KEEPING SECRETS SAFE