2. Состав доклада
• Задачи обеспечения ИБ, термины,
соглашения
• Задачи обеспечения ИБ в ИТ-проектах
• Кейсы ИТ-проектов с задачами по ИБ
• Вопросы?
3. Обеспечение ИБ в ИТ-проектах
ЗАДАЧИ ОБЕСПЕЧЕНИЯ ИБ,
ТЕРМИНЫ, СОГЛАШЕНИЯ
4. «Словарные» определения
• Информация - сведения (сообщения, данные)
независимо от формы их представления (149-ФЗ)
• Информационные технологии - процессы, методы
поиска, сбора, хранения, обработки,
предоставления, распространения информации и
способы осуществления таких процессов и методов
(149-ФЗ)
• Информационная система - совокупность
содержащейся в базах данных информации и
обеспечивающих ее обработку информационных
технологий и технических средств (149-ФЗ)
5. Ох уж эта безопасность…
• Безопасность информации (данных) - состояние защищённости информации
(данных), при котором обеспечиваются её (их) конфиденциальность,
доступность и целостность (Р 50.1.053-2005)
• Информационная безопасность - все аспекты, связанные с определением,
достижением и поддержанием конфиденциальности, целостности,
доступности, неотказуемости, подотчётности, аутентичности и достоверности
информации или средств её обработки (ГОСТ Р 13335-1-2006)
• Безопасность информации (при применении информационных технологий)
(англ. IT security) — состояние защищённости информации (данных),
обеспечивающее безопасность информации, для обработки которой она
применяется, и информационную безопасность автоматизированной
информационной системы, в которой она реализована (Р 50.1.053-2005)
• Безопасность автоматизированной информационной системы — состояние
защищённости автоматизированной системы, при котором обеспечиваются
конфиденциальность, доступность, целостность, подотчётность и подлинность
её ресурсов (Р 50.1.053-2005)
6. Будем оперировать
термином…
ИТ-безопасность, ИБ, IT Security
(определение из Р 50.1.053-2005), состоящее
из:
• безопасность обрабатываемых данных
• безопасность информационной
(автоматизированной) системы,
обрабатывающей данные
7. Свойства безопасности
информации
• «Классическая тройка»:
– Confidentiality (конфиденциальность)
– Integrity (целостность)
– Availability (доступность)
• Дополнительные важные свойства
– Неотказуемость (non-repudiation)
8. Свойства безопасности
информационной системы
Независимо от характеристик
информационной системы, для нее должна
обеспечиваться защищенность на всех этапах
жизненного цикла, включая:
1. Разработку ИС (АС)
2. Внедрение ИС (АС)
3. Эксплуатацию ИС (АС)
9. Откуда взялось?
В Европе и США
• «Оранжевая книга»
• Privacy Act
• NIST
• Европейская конвенция по
правам субъектов
персональных данных
• EU-US «Safe Harbor»
В России
• Инструкции министерства
обороны и КГБ
• ГОСТы и РД
Гостехкомиссии (в
настоящий момент –
ФСТЭК)
• Федеральные законы:
– 149-ФЗ
– 152-ФЗ
– О различных видах тайн
10. Во что превратилось?
• Исторически ИБ в России была ориентирована
на защиту конфиденциальности
ОДНАКО…
• ИБ в отношении бизнеса ставит на первое
место доступность данных и неотказуемость в
отношении операций с данными
Поэтому…
• Конфиденциальность обеспечивается в
соответствии с законами и подзаконными
актами, зачастую – в ущерб бизнесу
12. Действительно актуальные
задачи ИБ для бизнеса
• Обеспечение «реальной» безопасности персональных данных в
организации
• Обеспечение безопасного централизованного доступа к
ресурсам, в том числе:
– Обеспечение удобного и безопасного доступа к ресурсам с личных
устройств на рабочих местах (BYOD)
– Обеспечение удобного и безопасного доступа к ресурсам из
любых мест
– Перенос критичных бизнес-приложений в облако и обеспечение
его безопасности
– Централизация и разграничение доступа в международных
организациях
• Обеспечение безопасности информации в бизнес-приложениях
(в том числе – в соответствии с законодательством)
13. Обеспечение ИБ в ИТ-проектах
ЗАДАЧИ ОБЕСПЕЧЕНИЯ ИБ В
ИТ-ПРОЕКТАХ
14. ИТ-проект это…
• Проект по созданию ИТ-продукта?
или…
• Проект по разработке ПО?
или может быть…
• Проект по внедрению ИС?
в рамках текущей системы терминов...
• Проект (однократное мероприятие с заранее
определенным результатом в определенных условиях и
ограничениях) по созданию и (или) внедрению
комплексной информационной системы или ее
компонента для автоматизации бизнес-процессов
организации Заказчика
15. Задачи обеспечения
безопасности ИС ( IT Security)
В организации:
• Техническая защита
инфраструктуры
организации от угроз
безопасности информации,
необходимой для бизнес-
процессов организации
• Реализация
организационных процессов
обеспечения безопасности
информации, необходимой
для бизнес-процессов
организации
• И т.д.
В рамках ИТ-проектов
• Техническая защита
программных и аппаратных
компонентов комплексной
информационной системы
• Реализация элементов
организационных процессов
обеспечения безопасности
информации,
обрабатываемой в
комплексной
информационной системе
• И т.д.
16. Казалось бы, одинаковые
задачи, однако…
• В организации уже существует своя система (подход,
методология, видение, принципы и т.п.) обеспечения
информационной безопасности
• В организации существует гетерогенная
информационная среда (инфраструктура), продукт ИТ-
проекта, как правило – только часть этой среды
• В организации существует размытая ответственность за
бизнес-процессы, включая бизнес-процессы,
автоматизируемые продуктом ИТ-проекта
• Законодательные ограничения (например, 152-ФЗ
применяется в отношении организации оператора, а не
только конкретной информационной системы
персональных данных)
17. П од х од ы к о б е с п е ч е н и ю И Б в И Т -
п р о е к т а х
( ж и з н е н н ы й ц и к л )
Ввод в
эксплуатацию ИС
Разработка решений по
обеспечению безопасности
ИС
Разработка технических решений
ИС
• Обеспечение доверенной среды разработки
(включая режимные мероприятия, NDA,
соглашения, кадровую политику и т.д.)
• Обеспечение защищенного жизненного цикла
разработки (Security Development Lifecycle) или
его компонентов
18. П од х од ы к о б е с п е ч е н и ю И Б в И Т -
п р о е к т а х
( ж и з н е н н ы й ц и к л )
Ввод в
эксплуатацию ИС
Разработка решений по
обеспечению безопасности
ИС
Разработка технических решений
ИС
• Определение требований к безопасности информации,
обрабатываемой в ИС, в соответствии с нормативными
документами (ISO/IEC 15408, 152-ФЗ, РД ГТК, Приказы
ФСТЭК по ПДн и ГИС)
• Приведение в соответствие определенным
требованиям (включая доработку технических решений
ИС, закупку и настройку СЗИ, распределение
ответственности за работы по ИБ и т.д.)
19. П од х од ы к о б е с п е ч е н и ю И Б в И Т -
п р о е к т а х
( ж и з н е н н ы й ц и к л )
Ввод в
эксплуатацию ИС
Разработка решений по
обеспечению безопасности
ИС
Разработка технических решений
ИС
• Модификация бизнес-процессов организации
• Модификация инфраструктуры организации
• Проведение оценки соответствия ИС
• Ввод в эксплуатацию ИС
• Сопровождение и поддержка в соответствии с
жизненным циклом ИС
21. З а щ и т а П Д н в И С ,
в н е д р я е м о й в
о р г а н а х
г о с у д а р с т в е н н о й
в л а с т и
Исходные данные:
• ИС является одной из комплекса
ИС органов государственной
власти и встраивается в
существующую инфраструктуру
• ИС развертывается в удаленном
датацентре
• ИС обрабатывает данные
большого количества
юридических лиц (операторов),
т.е. фактически представляет
собой глобальное решение
Система А Система Б Система В
АРМ1
Датацентр ОГВ1
АРМ2
ОГВ2
АРМ1
АРМ2
ОГВN
АРМ1
АРМ2
22. З ащита ПДн в И С, вн ед ряемой в
орган ах гос уд арс твен н ой влас ти
Основные проблемы
• Ответственность за
обеспечение
безопасности размыта
между ОГВ (по закону?),
технической службой
датацентра (по логике?) и
разработчиком системы
(согласно РД ГТК, а также
ввиду наличия
компетенций)
Решения
• Оператор определяется из
числа ОГВ
• Техническая служба
датацентра становится
обработчиком (ЛОПДпПО)
• Разработчик выполняет
действия по подготовке к
работам по ИБ
23. З ащита ПДн в И С, вн ед ряемой в
орган ах гос уд арс твен н ой влас ти
Основные проблемы
• Большое количество
территориально
распределенных рабочих
мест ИС (более 500)
• Состав рабочих мест ИС
переменный
• Требуется аттестация ИС
Примечание: работа
выполнялась до разработки
стандарта по аттестации
ИС и выпуска приказа по ГИС
Решения
• Каждое рабочее место или
территориально объединенная
группа рабочих мест
оформляется как отдельная
ИСПДн (сегментирование
ИСПДн)
• На рабочие места
разрабатывается типовой
подход по ИБ, которые
кастомизируется в случае
необходимости
• Аттестация выполняется силами
территориально
распределенных операторов
24. З а щ и т а и н ф о р м а ц и и
( в т о м ч и с л е , П Д н ) в
We b - п р и л о ж е н и и в
м е ж д у н а р о д н о й
к о м п а н и и
Исходные данные:
• ИС представляет собой Web-
приложение с архитектурой 3Tier
• ИС является одной из комплекса ИС
и встраивается в существующую
инфраструктуру, в том числе в
качестве мастер-системы
• ИС развертывается в удаленном
датацентре
• ИС обрабатывает данные граждан
разных стран
• Служба безопасности Заказчика
предъявляет определенные
требования к самому приложению,
а формирует самостоятельно
наиболее значимые риски
• Служба безопасности предъявляет
особые требования к защите от
внутренних угроз, включая
действия администраторов
Web-приложение
База данных
Учетные записи
ОПО
25. Защита информации (в том
чис ле, ПДн ) в Web- приложен ии в
междун арод н ой компан ии
Основные проблемы
• Служба безопасности
хочет за счет средств
безопасности Web-
приложения решить
внутренние проблемы
безопасности
инфраструктуры
Решения
• Компоненты ИС (веб-
приложение, база данных)
защищаются максимальными
штатными средствами
• Компоненты инфраструктуры
(ОПО серверов, база данных
учетных записей, служба
каталогов) защищаются
средствами Заказчика
• Остаточные риски закрываются
организационными мерами и
дополнительным ПО
26. Защита информации (в том
чис ле, ПДн ) в Web- приложен ии в
междун арод н ой компан ии
Основные проблемы
• Требования различных
государств несовместимы
между собой (как
правило, несовместимы
требования других стран с
требованиями РФ)
Решения
• Технические требования к защите
информации, обрабатываемой на
территории другого государства,
должны соответствовать по
уровню требованиям РФ, но по
реализации – требованиям
государства, в котором они
развернуты
• Организацией должны быть
выполнены правовые
мероприятия во всех странах
присутствия
• Приложение развертывается за
пределами РФ для
удовлетворения требований
стран Евросоюза и США
27. З а щ и т а и н ф о р м а ц и и
( в т о м ч и с л е , П Д н ) в
о б л а ч н о м р е ш е н и и в
м е ж д у н а р о д н о й
к о м п а н и и
Исходные данные:
• ИС представляет собой облачное
SaaS-решение
• ИС является автоматизирует
отдельные бизнес-процессы
организации
• ИС обрабатывает данные
граждан разных стран
• Служба безопасности Заказчика
предъявляет определенные
требования к самому
приложению, а формирует
самостоятельно наиболее
значимые риски
• Служба безопасности
предъявляет требования к
интеграции данных и
отслеживаемости событий в
облачном решении
SaaS-решение
Инфраструктура Заказчика
Учетные записи организации
Аутентификация и SSO
Приложения Заказчика
Пользователь
Аутентификация в
инфраструктуре
SIEM
Доступ
Сбор событий
28. З а щ и т а и н ф о р м а ц и и
( в т о м ч и с л е , П Д н ) в
о б л а ч н о м р е ш е н и и в
м е ж д у н а р о д н о й
к о м п а н и и
Типовая (внедряемая по умолчанию)
архитектура внедрения SaaS-
решений в бизнес-процессы
организации:
• Администратор управляет
одновременно и собственной
инфраструктурой организации и
необходимыми настройками
SaaS-решения
• Офицер безопасности
контролирует безопасность
собственной инфраструктуры и,
насколько это возможно,
безопасность SaaS-решения
• Пользователь выполняет
аутентификацию и авторизацию
и в собственной инфраструктуре
и в SaaS-решении
В ОБЩЕМ…
SaaS-решение является полностью
(или максимально) отделенным от
инфраструктуры организации
SaaS-решение
Инфраструктура Заказчика
Учетные записи организации
Аутентификация и SSO
Приложения Заказчика
Пользователь
Аутентификация в
инфраструктуре
SIEM
Доступ
Сбор событий
Аутентификация в
инфраструктуре
Управление
Управление
Контроль
Контроль
Офицер безопасности
Управление
Администратор
29. З а щ и т а и н ф о р м а ц и и
( в т о м ч и с л е , П Д н ) в
о б л а ч н о м р е ш е н и и в
м е ж д у н а р о д н о й
к о м п а н и и
Предлагаемая архитектура внедрения
SaaS-решений в бизнес-процессы
организации:
• Администратор управляет
собственной инфраструктурой
организации, необходимые
настройки интегрируются в SaaS-
решение
• Офицер безопасности
контролирует безопасность
собственной инфраструктуры, SaaS-
решения интегрирует данные сбор
событий в собственную
инфраструктуру организации
• Пользователь выполняет
аутентификацию и авторизацию
только в собственной
инфраструктуре, для SaaS-решения
реализуется принцип SSO
В ОБЩЕМ…
SaaS-решение является максимально
интегрированным в инфраструктуру
организации, как минимум в части:
• Сбора событий серверов решения
• Базы данных учетных записей
организации
• Стойкой аутентификации
SaaS-решение
Контроль
Инфраструктура Заказчика
Интеграционное решение
Учетные записи организации
Офицер безопасности
Пользователь Приложения Заказчика
Аутентификация и SSO
Аутентификация в
инфраструктуре
SIEM
Доступ
Сбор событий
Управление
Управление
Администратор
Интеграционное решение
Интеграционное решение
31. Спасибо за внимание
Шаломович Максим Алексеевич
Консультант по информационным
технологиям, консультант по
информационной безопасности, аналитик
E-mail: shlmaxm@gmail.com
Телефон: +79050167962