Ежегодная конференция IT UP (Сентябрь_Новосибирск)
предоставить бизнес-потребителям и представителям ИТ-компаний (вендоры, дистрибьюторы, интеграторы) независимую площадку для обсуждения актуальных решений для ИТ-структур в организациях.
http://askbda.ru/results/it/159-iii-ezhegodnaya-regionalnaya-konferenciya-sovremennye-it-resheniya-dlya-kompanij-yeffektivnost-logichnost-i-bezopasnost.html
1. <Insert Picture Here>
Обеспечения защиты ПДн и другой информации с
помощью сертифицированных решений Oracle
Игорь Минеев, ведущий консультант Oracle Росиия
2. План презентации
• Вопросы информационной
безопасности и эволюция
законотворчества в нашей стране
• Соответствие требованиям
с помощью решений Oracle
• Порядок выбора и построения решения
• Защита информации и автоматизация
бизнесс-процессов
• Что изменится с внедрением информационной
безопасности от Oracle с технологической и
экономической точки зрения
2
3. Общие проблемы: управление
рисками IT-безопасности
• Возрастающие объем данных и угрозы их
компрометации
• Фрагментированные политики безопасности
• «Сиротские» учетные записи
• Отставание обновлений политик
• Отсутствие агрегированного аудита и отчетности
• Предрасположенные к ошибкам неавтоматизированные заявки
на доступ
• Организационные и ролевые изменения требуют отражения
в IT-привилегиях
• Изощренные интеллектуальные атаки
• Эволюция преступных намерений
3
4. Общие проблемы: операционная
эффективность
• Стоимость администрирования
• Управление доступом десятков тысяч
пользователей
• Лавина обращения в службу поддержки
• Ручное создание учетных записей
для новых сотрудников
• Ручная проверка данных аудита и построение
консолидированных отчетов
• Продуктивность пользователей
• Долгое получение доступа к запрошенным системам
• Забытые пароли
• Продуктивность IT
• Разработчики повторно разрабатывают политики безопасности
для каждого приложения
4
5. Эволюция законотворчества
в нашей стране
• От требований для госструктур и тех, кто обеспечивает
госзаказ (например, ДСП-приказ Гостехкомиссии России
от 30.08.2002 г. № 282 «Специальные требования
и рекомендации по технической защите конфиденциальной информации
[СТР-К]» к требованиям для всех (например, Федеральный закон РФ от
27.07.2006 г. № 152-ФЗ «О персональных данных»)
http://www.fstec.ru/_docs/_perech1.htm http://www.rg.ru/gazeta/2006/07/29.html
• От общих рассуждений (например, Федеральный закон РФ от 27 июля
2006 г. № 149-ФЗ «Об информации, информационных технологиях и о
защите информации») к конкретным рекомендациям (например, Приказ
ФСТЭК России от 5.02.2010 г. № 58 «Положения о методах и способах
защиты информации в информационных системах персональных данных»
и Комплекс документов в области стандартизации Банка России
«Обеспечение информационной безопасности организаций банковской
системы Российской Федерации» от 21.06.2010 г.)
http://www.rg.ru/gazeta/2010/03/05.html http://abiss.ru/news/337/
5
7. отвечающий современным
тенденциям в области IT,
• Преобразование модели вычислений
• Распределенные (облачные) и SaaS
• Services-based Application Architecture
• Повышенное внимание к Extranet
• Подтверждение идентификации и предотвращение краж
• Масштабирование и производительность
• Консолидация инфраструктуры
• Облегчение администрирования и оперативного управления
• Упрощение интеграции за счет использования стандартов
7
8. масштабам крупных государственных
проектов, например, «Соцкарта»
Контур обеспечения информационной
ЕГИС СУ и УСК безопасности и защиты персональных данных
Национальная
ПФР Оператор системы электронная
платежная
Федеральный уровень
• ИС ПФР Контур обеспечения оказания социальных Контур информационно-технологического
услуг гражданам обеспечения процессов оформления, система
• Федеральный
регистр информации о Российской Федерации изготовления и выдачи Социальной карты
выданных УСК Оператор
Подсистема ведения НЭПС
Федеральный реестр государственных социальных услуг
Федеральный Федеральный
Подсистема меж-
Федеральный портал социальных услуг в сети Интернет
взаимодействия
ведомственного
справочной и
Внешние информацион- регистр социальных удостоверяющий
нормативно-правовой
ные ресурсы: карт центр
информации
• ЕИС ОМС
Подсистема учета,
• ЕИС Соцстрах Федеральный центр Федеральный центр
планирования и
управления обработки
• ИС ОАО "РЖД" контроля оказания
выпуском УСК транзакций
социальных услуг
• ИС ФОИВ
Внешние информацион- Уполномоченная организация
ные ресурсы: БАНК(И)
Подсистема межведомственного
НЭПС
• ИС РОИВ Подсистема учета,
• ИС ПФР планирования и Региональный Региональный АБС
контроля социальных регистр социальных удостоверяющий
взаимодействия
• ИС ТФОМС
услуг регионального карт центр
• ЕИС Соцстрах уровня
• ИС Соцзащиты
Региональный уровень
Финансовые
• ИС ОАО "РЖД" процессин-
• ИС служб ЗАГС Региональ- Подсистема говые
Распределенная база Региональ- центры
ный центр управления
• ИС страховых компаний данных о правах ный центр
выпуска и точками
граждан на получение обработки
• ИС транспортных персонали- обслужива-
социальных услуг транзакций
предприятий и др. зации УСК ния
Внешние информацион-
ные ресурсы:
Контур программно-технического и
• ИС гос. учреждений
телекоммуникационного обеспечения АРМ пунктов Банковские
• ИС ЛПУ Компонент
приема заявлений и взаимодействия с точки
• ИС торгово-сервисных и Контур обеспечения обслужива-
выдачи УСК УСК в точках
транспортных обслуживания ния УСК
пользователей УСК обслуживания
предприятий
8
• ИС аптечных
сетей и др.
9. и задачам крупных организаций
Решения в
области
безопасности
Thick Client Browser VPN Mobile Portal
Бизнес-
ERP SCM CRM Custom
приложения
Сервисы уровня Content Info Rights Analytics Collab
Mgmt Mgmt & Reporting
контента
Интеграционные SOA BPM ESB Workflow
сервисы
Сервисы уровня RDBMS XML LDAP Unstructured
данных
Инфраструктурные Hardware Software Storage Virtualization
Сервисы
9
11. Когда надо вспомнить про Oracle при
построении СЗПДн
1. Определить ответственное 6. Выделить и классифицировать
структурное подразделение или ИСПДн
должностное лицо 7. Разработать модель угроз для
2. Определить состав обрабатываемых ИСПДн
ПДн, цели и условия обработки, срок 8. Спроектировать и реализовать
хранения СЗПДн
3. Получить (письменное) согласие 9. Провести аттестацию ИСПДн по
субъекта на обработку его ПДн требованиям безопасности или
4. Определить порядок реагирования на продекларировать соответствие
запросы со стороны субъектов ПДн 10. Определить перечень мер по
5. Определить необходимость защите ПДн, обрабатываемых
уведомления уполномоченного органа без использования средств
по защите ПДн о начале обработки автоматизации
ПДн. Если необходимость есть, то 11. Выполнять постоянный контроль
составить и отправить уведомление над обеспечением уровня
http://leta.ru/library/methodological/ защищенности ПДн
11
12. Концепция IT-безопасности и определение
конфиденциальности
«Критичные данные должны
(классификация)
быть доступны только
уполномоченным лицам
(управление IT-привилегиями)
только тем способом,
который разрешён
(аудит)
политикой безопасности и
только с помощью средств
(управление доступом)
определенных политикой -> единая стратегия
безопасности»
12
13. Обеспечение безопасности персональных
данных достигается (из статьи 19 ФЗ РФ №261)
2) применением организационных и технических мер по
обеспечению безопасности персональных данных
3) применением прошедших в установленном порядке процедуру
оценки соответствия средств защиты информации;
6) обнаружением фактов несанкционированного доступа к
персональным данным и принятием мер;
8) установлением правил доступа к персональным данным,
обрабатываемым в информационной системе персональных
данных, а также обеспечением регистрации и учета всех
действий, совершаемых с персональными данными в
информационной системе персональных данных;
13
http://rg.ru/printable/2011/07/27/dannye-dok.html
14. Защита информации и автоматизация процессов
• Защита контента • Управление привилегиями • Управление доступом
14
http://www.oracle.com/technetwork/ru/middleware/id-management/index.html
15. Устраняем
преграды...
• Сертификация
ФСТЭКом
Разные модели угроз
наших решений
• Oracle DB +
Oracle DB Vault
• Oracle IAMS
• Oracle ESSO
• Oracle IRM
• Локализация
• Региональный
маркетинг
• Партнеры
15
http://security-orcl.blogspot.com/
16. Что изменится с внедрением ИБ от Oracle
Технологии
• Биллинг/АБС, ERP, Система документооборота
• автоматизированное изменение и исторический контроль
привилегий, заявки, согласования, выявление «сиротских»
учетных записей, контроль неизбыточности полномочий
• SSO, авторизация и аудит обращений пользователей
• Защита СУБД от привилегированных пользователей
• Защита информации при ее перемещении и хранении
• Биллинг/HRMS/ServiceDesk
• еще и виртуальный профиль пользователя/справочник
• Интернет-приложения
• анализ поведения пользователей, средства учета и снижения
рисков операций
16
17. Что изменится с внедрением ИБ от Oracle
Возврат инвестиций
• Снижение рисков
• DLP, Compliance, выявление мошеннических действий
• Формализация и ускорение бизнес-процессов
• Назначения, изменения, отзыва IT-привилегий
• Подготовки отчетности
• Подключения новых систем
• Снижение нагрузки на help-desk
• Консолидированные данные, самообслуживание
• Косвенные факторы
• Повышение качества обслуживания (возможность SLA)
• Оптимизация ролевой модели и пула лицензий
17
18. Oracle IRM: Защита отчуждаемой информации
Oracle IRM Server
«Запечатывание» документов и электронных сообщений
• Все документы, все копии в любом месте
• Включая копии документов и электронных писем, которые покинули организацию!
Централизованное управление правами доступа к документам и аудит их использования
(сервером Oracle IRM)
• Агент на рабочих станциях поддерживает политики доступа (встраивается в
приложения)
• Даже в случае использования offline-режима, когда сервер Oracle IRM недоступен (с
помощью автоматической синхронизации)
18
19. Вопросы
123317, Россия, Москва, Пресненская набережная, 10
Башня на Набережной, Блок С
(+7495) 6411400 Igor.Mineev@Oracle.Com
19