1 / 23

Всероссийский профессиональный форум Эффективный электронный документооборот:

Всероссийский профессиональный форум Эффективный электронный документооборот: от делопроизводства до архива Круглый стол «ОБЛАЧНЫЕ ПЕРСПЕКТИВЫ» "Информационная безопасность в «облаках»?!" Александр Соколов Руководитель Комитета по вопросам информационной безопасности АП КИТ

estelle-genero
Download Presentation

Всероссийский профессиональный форум Эффективный электронный документооборот:

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Всероссийский профессиональный форум Эффективный электронный документооборот: от делопроизводства до архива Круглый стол «ОБЛАЧНЫЕ ПЕРСПЕКТИВЫ» "Информационная безопасность в «облаках»?!" Александр Соколов Руководитель Комитета по вопросам информационной безопасности АП КИТ Председатель Совета директоров ЗАО «Лаборатория «СКАТ» 10-11 декабря 2013 года Торгово-промышленная палата РФ (ул.Ильинка, 6)

  2. Где мы? «…успеха в ближайшем десятилетии добьются только те компании, которые сумеют реорганизовать свою работу с помощью электронного инструментария… "Электронная нервная система" позволит вам вести бизнес со скоростью мысли, а это и есть ключ к успеху в двадцать первом веке.» Источник:Билл Гейтс, Бизнес со скоростью мысли, 2002

  3. Тенденции развития ИТ-отрасли Текст Источник информации

  4. Информация Информация: «обозначение содержания, черпаемого нами из внешнего мира в процессе приспособления к нему и приведения в соответствие с ним нашего мышления» Норберт Винер Информация - сведения (сообщения, данные), не зависимо от формы их представления N 149-ФЗ «Об информации, информационных технологиях и о защите информации» от 27 июля 2006 г.

  5. Безопасность информации и информационная безопасность • Безопасность информации (данных)— состояние защищённости информации (данных), при котором обеспечены её (их) конфиденциальность, доступность и целостность. • ГОСТ Р 50922-2006 «Защита информации. Основные термины и определения» • Информационная безопасность — это процесс обеспечения конфиденциальности, целостности и доступности информации. • Конфиденциальность: Обеспечение доступа к информации только авторизованным пользователям. • Целостность: Обеспечение достоверности и полноты информации и методов ее обработки. • Доступность: Обеспечение доступа к информации и связанным с ней активам авторизованных пользователей по мере необходимости. • ГОСТ Р ИСО/МЭК 17799—2005 «Информационная технология. Практические правила управления информационной безопасностью»

  6. Технологии облачных вычислений Облачные вычисления (cloud computing) - модель предоставления пользователям по их требованию удобного сетевого доступа к совместно используемому пулу настраиваемых вычислительных ресурсов. Ресурсы оперативно выделяются и освобождаются при минимальных усилиях, затрачиваемых пользователями на организацию управления и на взаимодействие с поставщиком услуг. Основные характеристики On-demand self-service – Самообслуживание по мере необходимости Broad network access – Широковещательный сетевой доступ Resource pooling – Объединение ресурсов в пул Rapid elasticity – Оперативная гибкость Measured Service – Измеряемость услуги Модели обслуживания SaaS – ПОкУ – программное обеспечение PaaS – ПкУ - платформа IaaS – ИкУ - инфраструктура Модели развертывания Private Cloud – Частное (корпоративное) облако Community cloud – Коллективное облако Public Cloud – Публичное облако Hybrid Cloud – Смешанное облако

  7. Готовность к облачным технологиям (законодательная и нормативная база, 24 страны, 80% мирового рынка ИКТ) Тект Источник:2013 BSA Global Cloud Computing Scorecard

  8. Готовность к облачным технологиям Тект Источник:2013 BSA Global Cloud Computing Scorecard

  9. Готовность к облачным технологиям Тект Источник:2013 BSA Global Cloud Computing Scorecard

  10. Национальные Стратегии кибербезопасности(Европейский Союз) Austria Austrian Cyber Security Strategy (2013) Belgium To be soon published (2013) Czech Republic EUCyber Security Strategy of Czech Republic for the 2011-2015 Period (2011) Estonia Cyber Security Strategy (2008) Finland Finland's Cyber Security Strategy (2013) France Information systems defence and security, France's strategy (2011) Germany Cyber Security Strategy for Germany (2011) Hungary National Cyber Security Strategy (2013) Lithuania Programme for the development of electronic information security (cyber security) for 2011-2019 (2011) Luxembourg National strategy on cyber security (2011) - in french The Netherlands The national cyber security strategy (2013) - NEW Poland Govermental Program for Protection of Cyberspace for the years 2011-2016 (2013) - in polish Romania Cyber Security Strategy in Romania (2011) Slovak Republic National Strategy for Information security in the Slovak Republic (2008) Spain The National Security Strategy (2013) United Kingdom Cyber Security Strategy of the United Kingdom (2009) Источник: http://www.enisa.europa.eu/activities/Resilience-and-CIIP/national-cyber-security-strategies-ncsss/national-cyber-security-strategies-in-the-world

  11. Национальные Стратегии кибербезопасности(Мировая практика) Australia Cyber Security Strategy (2011) world Canada Canada's cyber security strategy (2010) India National Cyber Security Strategy (2013) Japan Information Security Strategy for protecting the nation (2010) Kenya Announced 2013 - to be published Montenegro Announced 2013 - to be published in October 2013 New Zealand New Zealands Cyber Security Strategy (2011) Norway National Strategy for Information Security (2012) - in norwegian RussiaThe Information Security Doctrine of the Russian Federation (2000) Singapore Third national cyber security masterplan (2013-2018) - to be published South Africa Cyber Security policy of South Africa (2010) South Korea National Cyber Security Strategy (2011) - not available in EN Switzerland National strategy for Switzerlands's protection against cyber risks (2012) Turkey National Cybersecurity Strategy (2013) Uganda Announced 2013 - to be published United States of America International Strategy for cyberspace (2011) Источник: http://www.enisa.europa.eu/activities/Resilience-and-CIIP/national-cyber-security-strategies-ncsss/national-cyber-security-strategies-in-the-world

  12. NSA E-Spying: Bad GovernanceHarvesting Millions of E-mail Contacts, Buddy Lists Источник: http://www.govinfosecurity.com/nsa-e-spying-bad-governance-a-6151

  13. Условия широкого внедрения технологий облачных вычислений 1: Разработка стандартов (желательно, международных) взаимодействия, переносимости и безопасности 2: Разработка требований обеспечения безопасности информации 3: Подготовка технических требований для разработки высококачественных Соглашений об уровне обслуживания 4: Формирование набора четко определенных и качественно категорированных облачных услуг 5: Реализация инфраструктуры для прозрачного использования широкомасштабной облачной среды 6: Разработка технических решений обеспечения безопасности, 7: Разработка нормативных требований, технологических рекомендаций 8: Определение стратегических задач по развитию и внедрению облачных технологий 9: Определение и реализация задач обеспечения надежности предоставления услуг 10: Разработка и внедрение оценочных количественных характеристик облачных услуг Источник: Ernst & Young’s 2012 Global Information Security Survey

  14. ПОДХОД NIST К БЕЗОПАСНОСТИ ОБЛАКОВ  Выбор модели облачной системы (SaaS, IaaS, PaaS)  Учет специфики безопасности выбранной модели  Разделение обязанностей в смысле безопасности между поставщиком и потребителем системы облачных вычислений  Обеспечение безопасности облачной системы Источник:

  15. Пути решения проблем ИБ в облаках (особенности) • Доверие к поставщику услуг • Оценка рисков при начале, в процессе и при окончании использования услуг • Защита информации от утечек через специфические каналы среды виртуализации: • Контроль виртуальных устройств • Контроль целостности и доверенная загрузка ВМ • Контроль доступа к элементам инфраструктуры • Запрет доступа администратора ВИ к данным ВМ • Управление доступом: • Разделение ролей для исключения «суперпользователя» • Усиленная аутентификация администраторов • Делегирование административных полномочий • Мандатное управление доступом • Контроль изменений

  16. Good Practice Guide for securely deploying Governmental Clouds Источник: European Union Agency for Network and Information SecurityPublication date: Nov 15, 2013 http://www.enisa.europa.eu/activities/Resilience-and-CIIP/cloud-computing/good-practice-guide-for-securely-deploying-governmental-clouds

  17. Российские подходы к решению вопросов защиты информации в облаке Искусственная сегментация облачной инфраструктуры (реальная или виртуальная) таким образом, чтобы границы сегментов облака совпадали с границами информационной системы, и применение в отношении такой инфраструктуры российских норм по защите информации Создание корпоративных (государственных или ведомственных) облаков, размещение в них государственных информационных ресурсов с реализацией определенного количества мер по защите информации и обоснование на уровне модели угроз достаточности принятых мер

  18. ФСТЭК Приказ ФСТЭК России №17 от 11.02.2013 Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах Приказ ФСТЭК России №21 от 18.02.2013 Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных МЕТОДИЧЕСКИЙ ДОКУМЕНТ (проект) Меры защиты информации в государственных информационных системах (165 стр.)

  19. ПРОЕКТ ДОКУМЕНТА: Меры защиты информации в государственных информационных системах СОДЕРЖАНИЕ 1. Общие положения……………………………………………………………………………………….…... 3 2. Выбор мер защиты информации для их реализации в информационной системе в рамках системы защиты информации....................................................................................................4 3. Содержание мер защиты информации в информационной системе ……………………………..... 13 3.1. Идентификация и аутентификация субъектов доступа и объектов доступа…………………….. 13 3.2. Управление доступом субъектов доступа к объектам доступа………………………………..…… 22 3.3. Ограничение программной среды………………………………………………………………..…… 43 3.4. Защита машинных носителей информации…………………………………………..………………..48 3.5. Регистрация событий безопасности…………………………………………………………....……… 57 3.6. Антивирусная защита…………………………………………………………………………………… 66 3.7 Обнаружение (предотвращение) вторжений…………………………………………………………. 69 3.8. Контроль (анализ) защищенности информации……………………………………………………... 72 3.9. Целостность информационной системы и информации…………………………………...……….. 80 3.10. Доступность информации……………………………………………………………………………... 89 3.11. Защита среды виртуализации……………………………………………………………….….………98 3.12. Защита технических средств…………………………………………………………………….……...112 3.13. Защита информационной системы, ее средств и систем связи и передачи данных………….…117 Приложение (Содержание базовых мер защиты информации для соответствующего класса защищенности информационной системы)………………………………… 148 Источник: http://fstec.ru/tekhnicheskaya-zashchita-informatsii/dokumenty/149-tekhnicheskaya-zashchita-informatsii/dokumenty/proekty/772-proekt-metodicheskogo-dokumenta-fstek-rossii Источник:

  20. ЗАЩИТА СРЕДЫ ВИРТУАЛИЗАЦИИ (ЗСВ) пункт 3.11 документа ЗСВ.1 Идентификация и аутентификация субъектов доступа и объектов доступа в виртуальной инфраструктуре, в том числе администраторов управления средствами виртуализации ЗСВ.2 Управление доступом субъектов доступа к объектам доступа в виртуальной инфраструктуре, в том числе внутри виртуальных машин ЗСВ.3 Регистрация событий безопасности в виртуальной инфраструктуре ЗСВ.4 Управление (фильтрация, маршрутизация, контроль соединения, однонаправленная передача) потоками информации между компонентами виртуальной инфраструктуры, а также по периметру виртуальной инфраструктуры ЗСВ.5 Доверенная загрузка серверов виртуализации, виртуальной машины (контейнера), серверов управления виртуализацией ЗСВ.6 Управление перемещением виртуальных машин (контейнеров) и обрабатываемых на них данных ЗСВ.7 Контроль целостности виртуальной инфраструктуры и ее конфигураций ЗСВ.8 Резервное копирование данных, резервирование технических средств, программного обеспечения виртуальной инфраструктуры, а также каналов связи внутри виртуальной инфраструктуры ЗСВ.9 Реализация и управление антивирусной защитой в виртуальной инфраструктуре ЗСВ.10 Разбиение виртуальной инфраструктуры на сегменты (сегментирование виртуальной инфраструктуры) для обработки информации отдельным пользователем и (или) группой пользователей Источник: http://fstec.ru/tekhnicheskaya-zashchita-informatsii/dokumenty/149-tekhnicheskaya-zashchita-informatsii/dokumenty/proekty/772-proekt-metodicheskogo-dokumenta-fstek-rossii

  21. Облачная нормативная база РФ:ОТКРЫТЫЙ КОНКУРС на право заключения государственного контракта на выполнение научно-исследовательской работы по теме: «Нормативно-правовое обеспечение возможности использования облачных технологий» Заказ № 0173100007513000033 от 17.10.2013 Заказчик Минкомсвязь России Источник: http://zakupki.gov.ru/pgz/public/action/orders/info/order_document_list_info/show?notificationId=7303812

  22. Закон суров! Источник: МОСКВА, 22 ноября — РИА Новости http://ria.ru/society/20131122/979050381.html#ixzz2n0oMwwxr

  23. WWW.APKIT.RU WWW.LAB-SKAT.RU +7 (985) 766-46-79 alexndr.sokolov@gmail.com Спасибо за внимание !

More Related