security outsourcing or secure outsourcing?
Post on 12-Jul-2015
1.676 Views
Preview:
TRANSCRIPT
© 2008 Cisco Systems, Inc. All rights reserved. Security outsourcing 1/50
Информационная безопасность и аутсорсинг
Алексей Лукацкий
Бизнес-консультант по безопасности
3/50 © 2008 Cisco Systems, Inc. All rights reserved. Security outsourcing
Аутсорсинг и ИБ
4/50 © 2008 Cisco Systems, Inc. All rights reserved. Security outsourcing
Аутсорсинг ИБ
5/50 © 2008 Cisco Systems, Inc. All rights reserved. Security outsourcing
Почему мы обращаемся к аутсорсингу ИБ?
4
18
20
21
27
28
34
34
0 5 10 15 20 25 30 35 40
Другие ИТ на аутсорсинге
Снижение риска ответственности
Снижение сложности
Рост регуляторного соответствия
Снижение затрат
Рост компетенции
Рост качества защиты
Режим 24х7
Что наиболее важно при переходе к аутсорсингу ИБ?
Источник: Forrester Research
6/50 © 2008 Cisco Systems, Inc. All rights reserved. Security outsourcing
К какому аутсорсингу мы обращаемся чаще?
• 15-20% Мониторинг событий ИБ
• 10-15% Управление ПК, включая мобильными
• 5-10% Управление логами
• 15-20% Threat Intelligence
• 10-15% Управление уязвимостями
• 5-10% Безопасность приложений
• 0-5% Управление инцидентами
• 25-30% Безопасность контента
• 15-20% Политики / compliance
• 10-15% Управление устройствами
• 5-10% Управление IAM Источник: Forrester Research
7/50 © 2008 Cisco Systems, Inc. All rights reserved. Security outsourcing
Зрелость перехода к аутсорсингу ИБ
Самостоятельные некритичные сервисы
Управляющие некритичные сервисы
Управляющие критичные сервисы
8/50 © 2008 Cisco Systems, Inc. All rights reserved. Security outsourcing
Аутсорсинг ИБ в России
При условии нехватки в России персонала в отделах ИБ, аутсорсинг – это не средство экономии
Основные мотивы – экспертиза, качество сервиса, нехватка собственных ресурсов
Аутсорсинг ИБ в России (на данном этапе) применим только в Москве (реалистично) или крупных федеральных центрах (оптимистично)
Не имеет смысла обращаться к компаниям, имеющим менее 2-х лет подтвержденной экспертизы именно в аутсорсинге ИБ
Аутсорсинг – это не просто иной способ взаимодействия между компаниями, это иная культура ведения бизнеса, рассчитанная на долгосрочное партнерство
9/50 © 2008 Cisco Systems, Inc. All rights reserved. Security outsourcing
Что есть в России сейчас?
Threat Intelligence
Cisco Intellishield Alert, Cisco SIO, SecurityLab Alerts
Безопасность контента
Cisco ScanSafe, WebSense, Google
Политики и compliance
Positive Technologies (PCI DSS, СТО БР ИББС…)
Безопасность приложений
Positive Technologies (ДБО, Web…)
Управление устройствами
Cisco, Orange, ТТК
10/50 © 2008 Cisco Systems, Inc. All rights reserved. Security outsourcing
ИБ аутсорсинга данных
11/50 © 2008 Cisco Systems, Inc. All rights reserved. Security outsourcing
Проблема ИБ аутсорсинга данных
Доступ к данным с чужих
ПК
Контрактники
Сезонники
Консультанты / аудиторы
Оффшоринг
Программа BYOPC
12/50 © 2008 Cisco Systems, Inc. All rights reserved. Security outsourcing
5 стратегий контроля своих данных на чужих устройствах
• Приложения запускаются на сервере
• Терминальный доступ
«Тонкий» клиент
• Мобильные устройства, синхронизирующиеся с сервером
• Локальные данные зашифрованы
• Утерянное устройство «очищается» удаленно
«Тонкое» устройство
• ОС и приложения контролируются централизованно
• Репликация
Защищенный процесс
• Права доступа привязаны к документам
• Технологии DRM
Защищенные данные
• Контроль информационных потоков «на лету»
• Технологии DLP
Контроль на лету
13/50 © 2008 Cisco Systems, Inc. All rights reserved. Security outsourcing
«Тонкий» клиент
Централизованное хранение и обработка всех конфиденциальных данных
MS Terminal Services, Citrix XenApp/XenDesktop, VNC
Данные никогда не покидают сервер
Требуется постоянное сетевое соединение
14/50 © 2008 Cisco Systems, Inc. All rights reserved. Security outsourcing
«Тонкое» устройство
Хранение ограниченного объема реплицированных конфиденциальных данных (мастер-копия хранится в центре) на мобильных устройствах (обычно e-mail)
BlackBerry, Motorola Good для Windows Mobile или Symbian
Возможность существенного контроля
Ограниченное число приложений
15/50 © 2008 Cisco Systems, Inc. All rights reserved. Security outsourcing
Защищенный процесс
Хранение конфиденциальной информации на локальном устройстве в «виртуальной», централизованно управляемой среде
VMware ACE, Cisco Secure Desktop, Microsoft App-V
Защита локальной машины в автономном режиме
Как правило, на платформе Windows
16/50 © 2008 Cisco Systems, Inc. All rights reserved. Security outsourcing
Защищенные данные
Защита конфиденциальной информации не через окружение, а через сами данные
Adobe LiveCycle Rights Management ES2, Oracle Information Rights Management, EMC Documentum Information Rights Management
Эффективный контроль на уровне данных, а не ОС или устройства
Сложность поддержки клиентских агентов
17/50 © 2008 Cisco Systems, Inc. All rights reserved. Security outsourcing
Контроль на лету
Контроль конфиденциальной информации, покидающей границы предприятия
Cisco E-mail Security Appliance, Infowatch Traffic Monitor, RSA DLP
Эффективный контроль потоков данных
Установка агентов на «чужих» устройствах
18/50 © 2008 Cisco Systems, Inc. All rights reserved. Security outsourcing
ИБ аутсорсинга приложений
19/50 © 2008 Cisco Systems, Inc. All rights reserved. Security outsourcing
SaaS, PaaS, IaaS… XaaS
Software-as-a-
Service
Google Apps, Salesforce.com
Platform-as-a-
Service
MS Azure, Google App
Engine
Infrastruc-ture-as-
a-Service
Amazon EC2, co-location
20/50 © 2008 Cisco Systems, Inc. All rights reserved. Security outsourcing
Интерес к аутсорсингу приложений
33
33
31
29
33
28
42
41
39
39
35
32
23
19
24
25
25
36
0% 20% 40% 60% 80%100%
Латинская Америка
Китай, Индия
Россия, ОАЭ, ЮАР
Европа
Азия, Австралия
США, Канада
Высокий приоритет
Низкий приоритет
Не на повестке
Не знаю
Источник: Forrester Research
21/50 © 2008 Cisco Systems, Inc. All rights reserved. Security outsourcing
Что обычно отдают на аутсорсинг?
ERP
Service Desk
Управление контентом
HRM
Управление заказами (ORM)
Управление затратами и поставщиками (SRM)
Унифицированные коммуникации
Управление проектами
Управление цепочками поставок (SCM)
Web 2.0
22/50 © 2008 Cisco Systems, Inc. All rights reserved. Security outsourcing
Проблемы аутсорсинга
36
30
23
23
20
19
18
18
16
19
0 5 10 15 20 25 30 35 40
Вопросы цены
Безопасность и privacy
Нет нужных приложений
Вопросы интеграции
Сложное ценообразование
Зависимость от текущего …
Слабый каналы связи
Слабая кастомизация
Производительность
Другое
Почему вы не думаете об аутсорсинге?
Источник: Forrester Research
23/50 © 2008 Cisco Systems, Inc. All rights reserved. Security outsourcing
При аутсорсинге меньше контроля!
Своя ИТ-
служба
Хостинг-
провайдер IaaS PaaS SaaS
Данные Данные Данные Данные Данные
Приложения Приложения Приложения Приложения Приложения
VM VM VM VM VM
Сервер Сервер Сервер Сервер Сервер
Хранение Хранение Хранение Хранение Хранение
Сеть Сеть Сеть Сеть Сеть
- Контроль у заказчика
- Контроль распределяется между заказчиком и аутсорсером
- Контроль у аутсорсера
24/50 © 2008 Cisco Systems, Inc. All rights reserved. Security outsourcing
Если вы решились
Стратегия безопасности аутсорсинга
Пересмотрите свой взгляд на понятие «периметра ИБ»
Оцените риски – стратегические, операционные, юридические
Сформируйте модель угроз
Сформулируйте требования по безопасности
Пересмотрите собственные процессы обеспечения ИБ
Проведите обучение пользователей
Продумайте процедуры контроля аутсорсера
Юридическая проработка взаимодействия с аутсорсером
Стратегия выбора аутсорсера
Чеклист оценки ИБ аутсорсера
25/50 © 2008 Cisco Systems, Inc. All rights reserved. Security outsourcing
Критерии выбора аутсорсера
Финансовая устойчивость аутсорсера
Схема аутсорсинга
SaaS, hosted service, MSS
Клиентская база
Архитектура
Безопасность и privacy
Отказоустойчивость и резервирование
Планы развития новых функций
26/50 © 2008 Cisco Systems, Inc. All rights reserved. Security outsourcing
Выбор аутсорсера с точки зрения ИБ
Защита данных
Управление уязвимостями
Управление identity
Объектовая охрана и персонал
Доступность и производительность
Безопасность приложений
Управление инцидентами
Privacy
27/50 © 2008 Cisco Systems, Inc. All rights reserved. Security outsourcing
Выбор аутсорсера с точки зрения ИБ (окончание)
Непрерывность бизнеса и восстановление после катастроф
Журналы регистрации
Сompliance
Финансовые гарантии
Завершение контракта
Интеллектуальная собственность
28/50 © 2008 Cisco Systems, Inc. All rights reserved. Security outsourcing
Защита данных
Как мои данные отделены от данных других клиентов?
Где хранятся мои данные?
Как обеспечивается конфиденциальность и целостности моих данных?
Как осуществляется контроль доступа к моим данным?
Как данные защищаются при передаче от меня к аутсорсеру?
Как данные защищаются при передаче от одной площадки аутсорсера до другой?
Релизованы ли меры по контролю утечек данных?
29/50 © 2008 Cisco Systems, Inc. All rights reserved. Security outsourcing
Защита данных (окончание)
Может ли третья сторона получить доступ к моим данным? Как?
Оператор связи, аутсорсер аутсорсера
Все ли мои данные удаляются по завершении предоставления сервиса?
30/50 © 2008 Cisco Systems, Inc. All rights reserved. Security outsourcing
Управление уязвимостями
Как часто сканируется сеть и приложения?
Можно ли осуществить внешнее сканирование сети аутсорсера? Как?
Каков процесс устранения уязвимостей?
31/50 © 2008 Cisco Systems, Inc. All rights reserved. Security outsourcing
Управление identity
Возможна ли интеграция с моим каталогом учетных записей? Как?
Если у аутсорсера собственная база учетных записей, то
Как она защищается?
Как осуществляется управление учетными записями?
Поддерживается ли SSO? Какой стандарт?
Поддерживается ли федеративная система аутентификации? Какой стандарт?
32/50 © 2008 Cisco Systems, Inc. All rights reserved. Security outsourcing
Объектовая охрана и персонал
Контроль доступа осуществляется в режиме 24х7?
Выделенная инфраструктура или разделяемая с другими компаниями?
Регистрируется ли доступ персонала к данным клиентов?
Есть ли результаты оценки внешнего аудита?
Какова процедура набора персонала?
33/50 © 2008 Cisco Systems, Inc. All rights reserved. Security outsourcing
Доступность
Уровень доступности в SLA (сколько девяток)
Какие меры обеспечения доступности используются для защиты от угроз и ошибок?
Резервный оператор связи
Защита от DDoS
Доказательства высокой доступности аутсорсера
План действия во время простоя
Пиковые нагрузки и возможность аутсорсера справляться с ними
34/50 © 2008 Cisco Systems, Inc. All rights reserved. Security outsourcing
Безопасность приложений
Исполнение рекомендаций OWASP при разработке приложений
Процедура тестирования для внешних приложений и исходного кода
Существубт ли приложения третьих фирм при оказании сервиса?
Используемые меры защиты приложений
Web Application Firewall
Аудит БД
35/50 © 2008 Cisco Systems, Inc. All rights reserved. Security outsourcing
Управление инцидентами
План реагирования на инциденты
Включая метрики оценки эффективности
Взаимосвязь вашей политики управления инцидентами и аутсорсера
36/50 © 2008 Cisco Systems, Inc. All rights reserved. Security outsourcing
Privacy
Обезличивание критичных данных и предоставление к ним доступа только авторизованному персоналу
Какие данные собираются о заказчике?
Где хранятся? Как? Как долго?
Какие условия передачи данныех клиента третьим лицам?
Законодательство о правоохранительных органах, адвокатские запросы и т.п.
Гарантии нераскрытия информации третьим лицам и третьими лицами?
37/50 © 2008 Cisco Systems, Inc. All rights reserved. Security outsourcing
Непрерывность бизнеса
План обеспечения непрерывности бизнеса и восстановления после катастроф
Где находится резервный ЦОД?
Проходил ли аутсорсер внешний аудит по непрерывности бизнеса?
Есть ли сертифицированные сотрудники по непррывности бизнеса?
38/50 © 2008 Cisco Systems, Inc. All rights reserved. Security outsourcing
Журналы регистрации
Как вы обеспечиваете сбор доказательств несанкционированной деятельности?
Как долго вы храните логи? Возможно ли увеличение этого срока?
Можно ли организовать хранение логов во внешнем хранилище? Как?
39/50 © 2008 Cisco Systems, Inc. All rights reserved. Security outsourcing
Compliance
Подчиняется ли аутсорсер локальным нормативным требованиям? Каким?
Как локальные нормативные требования соотносятся с требованиями клиента?
Проходил ли аутсорсер внешний аудит соответствия?
ISO 27001
PCI DSS
Аттестация во ФСТЭК
40/50 © 2008 Cisco Systems, Inc. All rights reserved. Security outsourcing
Финансовые гарантии
Какая компенсация подразумевается в случае инцидента безопасности или нарушения SLA?
41/50 © 2008 Cisco Systems, Inc. All rights reserved. Security outsourcing
Интеллектуальная собственность
Кому принадлежат права на информацию, переданную аутсорсеру?
А на резервные копии?
А на реплицированные данные?
А на логи?
Удостоверьтесь, что ваш контракт не приводит к потере прав на информацию и иные ресурсы, переданные аутсорсеру?
42/50 © 2008 Cisco Systems, Inc. All rights reserved. Security outsourcing
Завершение контракта
Процедура завершения контракта?
Возврат данных? В каком формате?
Как скоро я получу мои данные обратно?
Как будут уничтожены все резервные и иные копии моих данных? Как скоро? Какие гарантии?
Какие дополнительные затраты на завершение контракта?
43/50 © 2008 Cisco Systems, Inc. All rights reserved. Security outsourcing
В качестве заключения
44/50 © 2008 Cisco Systems, Inc. All rights reserved. Security outsourcing
Уходя от традиционного периметра…
Периметр
Филиал
Приложения и
данные
Офис
Политика
Хакеры Заказчики Партнеры
45/50 © 2008 Cisco Systems, Inc. All rights reserved. Security outsourcing
…к аутсорсингу данных…
Периметр
Филиал
Приложения и
данные
Офис
Политика
Хакеры Заказчики
Дом
Кафе
Аэропорт
Мобильный
пользователь Партнеры
46/50 © 2008 Cisco Systems, Inc. All rights reserved. Security outsourcing
…и аутсорсингу приложений (а также XaaS)…
Периметр
Филиал
Приложения и
данные
Офис
Политика
Хакеры
Дом
Кафе Заказчики
Аэропорт
Мобильный
пользователь Партнеры
Platform
as a Service
Infrastructure
as a Service X
as a Service Software
as a Service
47/50 © 2008 Cisco Systems, Inc. All rights reserved. Security outsourcing
…помните о смене парадигмы ИБ…
Периметр
Филиал
Приложения и
данные
Офис
Политика
Хакеры
Дом
Кафе Заказчики
Аэропорт
Мобильный
пользователь Партнеры
Platform
as a Service
Infrastructure
as a Service X
as a Service Software
as a Service
48/50 © 2008 Cisco Systems, Inc. All rights reserved. Security outsourcing
Bord
erle
ss
Da
ta C
en
ter
3
Bord
erle
ss
Inte
rnet
2
Bord
erle
ss
En
d Z
on
es
1
И создайте новую стратегию ИБ!
Политика
Периметр
Филиал
Приложения и
данные
Офис
Политика (Access Control, Acceptable Use, Malware, Data Security) 4
Дом
Хакеры Кафе
Заказчики
Аэропорт
Мобильный
пользователь Партнеры
Platform
as a Service
Infrastructure
as a Service X
as a Service Software
as a Service
49/50 © 2008 Cisco Systems, Inc. All rights reserved. Security outsourcing
Вопросы?
Дополнительные вопросы Вы можете задать по электронной почте security-request@cisco.com или по телефону: +7 495 961-1410
Полная версия презентации выложена на сайте http://lukatsky.blogspot.com/
50/50 © 2008 Cisco Systems, Inc. All rights reserved. Security outsourcing
top related