security outsourcing or secure outsourcing?

49
© 2008 Cisco Systems, Inc. All rights reserved. Security outsourcing 1/50 Информационная безопасность и аутсорсинг Алексей Лукацкий Бизнес-консультант по безопасности

Upload: alexey-lukatsky

Post on 12-Jul-2015

1.681 views

Category:

Self Improvement


0 download

TRANSCRIPT

Page 1: Security outsourcing or secure outsourcing?

© 2008 Cisco Systems, Inc. All rights reserved. Security outsourcing 1/50

Информационная безопасность и аутсорсинг

Алексей Лукацкий

Бизнес-консультант по безопасности

Page 2: Security outsourcing or secure outsourcing?

3/50 © 2008 Cisco Systems, Inc. All rights reserved. Security outsourcing

Аутсорсинг и ИБ

Page 3: Security outsourcing or secure outsourcing?

4/50 © 2008 Cisco Systems, Inc. All rights reserved. Security outsourcing

Аутсорсинг ИБ

Page 4: Security outsourcing or secure outsourcing?

5/50 © 2008 Cisco Systems, Inc. All rights reserved. Security outsourcing

Почему мы обращаемся к аутсорсингу ИБ?

4

18

20

21

27

28

34

34

0 5 10 15 20 25 30 35 40

Другие ИТ на аутсорсинге

Снижение риска ответственности

Снижение сложности

Рост регуляторного соответствия

Снижение затрат

Рост компетенции

Рост качества защиты

Режим 24х7

Что наиболее важно при переходе к аутсорсингу ИБ?

Источник: Forrester Research

Page 5: Security outsourcing or secure outsourcing?

6/50 © 2008 Cisco Systems, Inc. All rights reserved. Security outsourcing

К какому аутсорсингу мы обращаемся чаще?

• 15-20% Мониторинг событий ИБ

• 10-15% Управление ПК, включая мобильными

• 5-10% Управление логами

• 15-20% Threat Intelligence

• 10-15% Управление уязвимостями

• 5-10% Безопасность приложений

• 0-5% Управление инцидентами

• 25-30% Безопасность контента

• 15-20% Политики / compliance

• 10-15% Управление устройствами

• 5-10% Управление IAM Источник: Forrester Research

Page 6: Security outsourcing or secure outsourcing?

7/50 © 2008 Cisco Systems, Inc. All rights reserved. Security outsourcing

Зрелость перехода к аутсорсингу ИБ

Самостоятельные некритичные сервисы

Управляющие некритичные сервисы

Управляющие критичные сервисы

Page 7: Security outsourcing or secure outsourcing?

8/50 © 2008 Cisco Systems, Inc. All rights reserved. Security outsourcing

Аутсорсинг ИБ в России

При условии нехватки в России персонала в отделах ИБ, аутсорсинг – это не средство экономии

Основные мотивы – экспертиза, качество сервиса, нехватка собственных ресурсов

Аутсорсинг ИБ в России (на данном этапе) применим только в Москве (реалистично) или крупных федеральных центрах (оптимистично)

Не имеет смысла обращаться к компаниям, имеющим менее 2-х лет подтвержденной экспертизы именно в аутсорсинге ИБ

Аутсорсинг – это не просто иной способ взаимодействия между компаниями, это иная культура ведения бизнеса, рассчитанная на долгосрочное партнерство

Page 8: Security outsourcing or secure outsourcing?

9/50 © 2008 Cisco Systems, Inc. All rights reserved. Security outsourcing

Что есть в России сейчас?

Threat Intelligence

Cisco Intellishield Alert, Cisco SIO, SecurityLab Alerts

Безопасность контента

Cisco ScanSafe, WebSense, Google

Политики и compliance

Positive Technologies (PCI DSS, СТО БР ИББС…)

Безопасность приложений

Positive Technologies (ДБО, Web…)

Управление устройствами

Cisco, Orange, ТТК

Page 9: Security outsourcing or secure outsourcing?

10/50 © 2008 Cisco Systems, Inc. All rights reserved. Security outsourcing

ИБ аутсорсинга данных

Page 10: Security outsourcing or secure outsourcing?

11/50 © 2008 Cisco Systems, Inc. All rights reserved. Security outsourcing

Проблема ИБ аутсорсинга данных

Доступ к данным с чужих

ПК

Контрактники

Сезонники

Консультанты / аудиторы

Оффшоринг

Программа BYOPC

Page 11: Security outsourcing or secure outsourcing?

12/50 © 2008 Cisco Systems, Inc. All rights reserved. Security outsourcing

5 стратегий контроля своих данных на чужих устройствах

• Приложения запускаются на сервере

• Терминальный доступ

«Тонкий» клиент

• Мобильные устройства, синхронизирующиеся с сервером

• Локальные данные зашифрованы

• Утерянное устройство «очищается» удаленно

«Тонкое» устройство

• ОС и приложения контролируются централизованно

• Репликация

Защищенный процесс

• Права доступа привязаны к документам

• Технологии DRM

Защищенные данные

• Контроль информационных потоков «на лету»

• Технологии DLP

Контроль на лету

Page 12: Security outsourcing or secure outsourcing?

13/50 © 2008 Cisco Systems, Inc. All rights reserved. Security outsourcing

«Тонкий» клиент

Централизованное хранение и обработка всех конфиденциальных данных

MS Terminal Services, Citrix XenApp/XenDesktop, VNC

Данные никогда не покидают сервер

Требуется постоянное сетевое соединение

Page 13: Security outsourcing or secure outsourcing?

14/50 © 2008 Cisco Systems, Inc. All rights reserved. Security outsourcing

«Тонкое» устройство

Хранение ограниченного объема реплицированных конфиденциальных данных (мастер-копия хранится в центре) на мобильных устройствах (обычно e-mail)

BlackBerry, Motorola Good для Windows Mobile или Symbian

Возможность существенного контроля

Ограниченное число приложений

Page 14: Security outsourcing or secure outsourcing?

15/50 © 2008 Cisco Systems, Inc. All rights reserved. Security outsourcing

Защищенный процесс

Хранение конфиденциальной информации на локальном устройстве в «виртуальной», централизованно управляемой среде

VMware ACE, Cisco Secure Desktop, Microsoft App-V

Защита локальной машины в автономном режиме

Как правило, на платформе Windows

Page 15: Security outsourcing or secure outsourcing?

16/50 © 2008 Cisco Systems, Inc. All rights reserved. Security outsourcing

Защищенные данные

Защита конфиденциальной информации не через окружение, а через сами данные

Adobe LiveCycle Rights Management ES2, Oracle Information Rights Management, EMC Documentum Information Rights Management

Эффективный контроль на уровне данных, а не ОС или устройства

Сложность поддержки клиентских агентов

Page 16: Security outsourcing or secure outsourcing?

17/50 © 2008 Cisco Systems, Inc. All rights reserved. Security outsourcing

Контроль на лету

Контроль конфиденциальной информации, покидающей границы предприятия

Cisco E-mail Security Appliance, Infowatch Traffic Monitor, RSA DLP

Эффективный контроль потоков данных

Установка агентов на «чужих» устройствах

Page 17: Security outsourcing or secure outsourcing?

18/50 © 2008 Cisco Systems, Inc. All rights reserved. Security outsourcing

ИБ аутсорсинга приложений

Page 18: Security outsourcing or secure outsourcing?

19/50 © 2008 Cisco Systems, Inc. All rights reserved. Security outsourcing

SaaS, PaaS, IaaS… XaaS

Software-as-a-

Service

Google Apps, Salesforce.com

Platform-as-a-

Service

MS Azure, Google App

Engine

Infrastruc-ture-as-

a-Service

Amazon EC2, co-location

Page 19: Security outsourcing or secure outsourcing?

20/50 © 2008 Cisco Systems, Inc. All rights reserved. Security outsourcing

Интерес к аутсорсингу приложений

33

33

31

29

33

28

42

41

39

39

35

32

23

19

24

25

25

36

0% 20% 40% 60% 80%100%

Латинская Америка

Китай, Индия

Россия, ОАЭ, ЮАР

Европа

Азия, Австралия

США, Канада

Высокий приоритет

Низкий приоритет

Не на повестке

Не знаю

Источник: Forrester Research

Page 20: Security outsourcing or secure outsourcing?

21/50 © 2008 Cisco Systems, Inc. All rights reserved. Security outsourcing

Что обычно отдают на аутсорсинг?

ERP

Service Desk

Управление контентом

HRM

Управление заказами (ORM)

Управление затратами и поставщиками (SRM)

Унифицированные коммуникации

Управление проектами

Управление цепочками поставок (SCM)

Web 2.0

Page 21: Security outsourcing or secure outsourcing?

22/50 © 2008 Cisco Systems, Inc. All rights reserved. Security outsourcing

Проблемы аутсорсинга

36

30

23

23

20

19

18

18

16

19

0 5 10 15 20 25 30 35 40

Вопросы цены

Безопасность и privacy

Нет нужных приложений

Вопросы интеграции

Сложное ценообразование

Зависимость от текущего …

Слабый каналы связи

Слабая кастомизация

Производительность

Другое

Почему вы не думаете об аутсорсинге?

Источник: Forrester Research

Page 22: Security outsourcing or secure outsourcing?

23/50 © 2008 Cisco Systems, Inc. All rights reserved. Security outsourcing

При аутсорсинге меньше контроля!

Своя ИТ-

служба

Хостинг-

провайдер IaaS PaaS SaaS

Данные Данные Данные Данные Данные

Приложения Приложения Приложения Приложения Приложения

VM VM VM VM VM

Сервер Сервер Сервер Сервер Сервер

Хранение Хранение Хранение Хранение Хранение

Сеть Сеть Сеть Сеть Сеть

- Контроль у заказчика

- Контроль распределяется между заказчиком и аутсорсером

- Контроль у аутсорсера

Page 23: Security outsourcing or secure outsourcing?

24/50 © 2008 Cisco Systems, Inc. All rights reserved. Security outsourcing

Если вы решились

Стратегия безопасности аутсорсинга

Пересмотрите свой взгляд на понятие «периметра ИБ»

Оцените риски – стратегические, операционные, юридические

Сформируйте модель угроз

Сформулируйте требования по безопасности

Пересмотрите собственные процессы обеспечения ИБ

Проведите обучение пользователей

Продумайте процедуры контроля аутсорсера

Юридическая проработка взаимодействия с аутсорсером

Стратегия выбора аутсорсера

Чеклист оценки ИБ аутсорсера

Page 24: Security outsourcing or secure outsourcing?

25/50 © 2008 Cisco Systems, Inc. All rights reserved. Security outsourcing

Критерии выбора аутсорсера

Финансовая устойчивость аутсорсера

Схема аутсорсинга

SaaS, hosted service, MSS

Клиентская база

Архитектура

Безопасность и privacy

Отказоустойчивость и резервирование

Планы развития новых функций

Page 25: Security outsourcing or secure outsourcing?

26/50 © 2008 Cisco Systems, Inc. All rights reserved. Security outsourcing

Выбор аутсорсера с точки зрения ИБ

Защита данных

Управление уязвимостями

Управление identity

Объектовая охрана и персонал

Доступность и производительность

Безопасность приложений

Управление инцидентами

Privacy

Page 26: Security outsourcing or secure outsourcing?

27/50 © 2008 Cisco Systems, Inc. All rights reserved. Security outsourcing

Выбор аутсорсера с точки зрения ИБ (окончание)

Непрерывность бизнеса и восстановление после катастроф

Журналы регистрации

Сompliance

Финансовые гарантии

Завершение контракта

Интеллектуальная собственность

Page 27: Security outsourcing or secure outsourcing?

28/50 © 2008 Cisco Systems, Inc. All rights reserved. Security outsourcing

Защита данных

Как мои данные отделены от данных других клиентов?

Где хранятся мои данные?

Как обеспечивается конфиденциальность и целостности моих данных?

Как осуществляется контроль доступа к моим данным?

Как данные защищаются при передаче от меня к аутсорсеру?

Как данные защищаются при передаче от одной площадки аутсорсера до другой?

Релизованы ли меры по контролю утечек данных?

Page 28: Security outsourcing or secure outsourcing?

29/50 © 2008 Cisco Systems, Inc. All rights reserved. Security outsourcing

Защита данных (окончание)

Может ли третья сторона получить доступ к моим данным? Как?

Оператор связи, аутсорсер аутсорсера

Все ли мои данные удаляются по завершении предоставления сервиса?

Page 29: Security outsourcing or secure outsourcing?

30/50 © 2008 Cisco Systems, Inc. All rights reserved. Security outsourcing

Управление уязвимостями

Как часто сканируется сеть и приложения?

Можно ли осуществить внешнее сканирование сети аутсорсера? Как?

Каков процесс устранения уязвимостей?

Page 30: Security outsourcing or secure outsourcing?

31/50 © 2008 Cisco Systems, Inc. All rights reserved. Security outsourcing

Управление identity

Возможна ли интеграция с моим каталогом учетных записей? Как?

Если у аутсорсера собственная база учетных записей, то

Как она защищается?

Как осуществляется управление учетными записями?

Поддерживается ли SSO? Какой стандарт?

Поддерживается ли федеративная система аутентификации? Какой стандарт?

Page 31: Security outsourcing or secure outsourcing?

32/50 © 2008 Cisco Systems, Inc. All rights reserved. Security outsourcing

Объектовая охрана и персонал

Контроль доступа осуществляется в режиме 24х7?

Выделенная инфраструктура или разделяемая с другими компаниями?

Регистрируется ли доступ персонала к данным клиентов?

Есть ли результаты оценки внешнего аудита?

Какова процедура набора персонала?

Page 32: Security outsourcing or secure outsourcing?

33/50 © 2008 Cisco Systems, Inc. All rights reserved. Security outsourcing

Доступность

Уровень доступности в SLA (сколько девяток)

Какие меры обеспечения доступности используются для защиты от угроз и ошибок?

Резервный оператор связи

Защита от DDoS

Доказательства высокой доступности аутсорсера

План действия во время простоя

Пиковые нагрузки и возможность аутсорсера справляться с ними

Page 33: Security outsourcing or secure outsourcing?

34/50 © 2008 Cisco Systems, Inc. All rights reserved. Security outsourcing

Безопасность приложений

Исполнение рекомендаций OWASP при разработке приложений

Процедура тестирования для внешних приложений и исходного кода

Существубт ли приложения третьих фирм при оказании сервиса?

Используемые меры защиты приложений

Web Application Firewall

Аудит БД

Page 34: Security outsourcing or secure outsourcing?

35/50 © 2008 Cisco Systems, Inc. All rights reserved. Security outsourcing

Управление инцидентами

План реагирования на инциденты

Включая метрики оценки эффективности

Взаимосвязь вашей политики управления инцидентами и аутсорсера

Page 35: Security outsourcing or secure outsourcing?

36/50 © 2008 Cisco Systems, Inc. All rights reserved. Security outsourcing

Privacy

Обезличивание критичных данных и предоставление к ним доступа только авторизованному персоналу

Какие данные собираются о заказчике?

Где хранятся? Как? Как долго?

Какие условия передачи данныех клиента третьим лицам?

Законодательство о правоохранительных органах, адвокатские запросы и т.п.

Гарантии нераскрытия информации третьим лицам и третьими лицами?

Page 36: Security outsourcing or secure outsourcing?

37/50 © 2008 Cisco Systems, Inc. All rights reserved. Security outsourcing

Непрерывность бизнеса

План обеспечения непрерывности бизнеса и восстановления после катастроф

Где находится резервный ЦОД?

Проходил ли аутсорсер внешний аудит по непрерывности бизнеса?

Есть ли сертифицированные сотрудники по непррывности бизнеса?

Page 37: Security outsourcing or secure outsourcing?

38/50 © 2008 Cisco Systems, Inc. All rights reserved. Security outsourcing

Журналы регистрации

Как вы обеспечиваете сбор доказательств несанкционированной деятельности?

Как долго вы храните логи? Возможно ли увеличение этого срока?

Можно ли организовать хранение логов во внешнем хранилище? Как?

Page 38: Security outsourcing or secure outsourcing?

39/50 © 2008 Cisco Systems, Inc. All rights reserved. Security outsourcing

Compliance

Подчиняется ли аутсорсер локальным нормативным требованиям? Каким?

Как локальные нормативные требования соотносятся с требованиями клиента?

Проходил ли аутсорсер внешний аудит соответствия?

ISO 27001

PCI DSS

Аттестация во ФСТЭК

Page 39: Security outsourcing or secure outsourcing?

40/50 © 2008 Cisco Systems, Inc. All rights reserved. Security outsourcing

Финансовые гарантии

Какая компенсация подразумевается в случае инцидента безопасности или нарушения SLA?

Page 40: Security outsourcing or secure outsourcing?

41/50 © 2008 Cisco Systems, Inc. All rights reserved. Security outsourcing

Интеллектуальная собственность

Кому принадлежат права на информацию, переданную аутсорсеру?

А на резервные копии?

А на реплицированные данные?

А на логи?

Удостоверьтесь, что ваш контракт не приводит к потере прав на информацию и иные ресурсы, переданные аутсорсеру?

Page 41: Security outsourcing or secure outsourcing?

42/50 © 2008 Cisco Systems, Inc. All rights reserved. Security outsourcing

Завершение контракта

Процедура завершения контракта?

Возврат данных? В каком формате?

Как скоро я получу мои данные обратно?

Как будут уничтожены все резервные и иные копии моих данных? Как скоро? Какие гарантии?

Какие дополнительные затраты на завершение контракта?

Page 42: Security outsourcing or secure outsourcing?

43/50 © 2008 Cisco Systems, Inc. All rights reserved. Security outsourcing

В качестве заключения

Page 43: Security outsourcing or secure outsourcing?

44/50 © 2008 Cisco Systems, Inc. All rights reserved. Security outsourcing

Уходя от традиционного периметра…

Периметр

Филиал

Приложения и

данные

Офис

Политика

Хакеры Заказчики Партнеры

Page 44: Security outsourcing or secure outsourcing?

45/50 © 2008 Cisco Systems, Inc. All rights reserved. Security outsourcing

…к аутсорсингу данных…

Периметр

Филиал

Приложения и

данные

Офис

Политика

Хакеры Заказчики

Дом

Кафе

Аэропорт

Мобильный

пользователь Партнеры

Page 45: Security outsourcing or secure outsourcing?

46/50 © 2008 Cisco Systems, Inc. All rights reserved. Security outsourcing

…и аутсорсингу приложений (а также XaaS)…

Периметр

Филиал

Приложения и

данные

Офис

Политика

Хакеры

Дом

Кафе Заказчики

Аэропорт

Мобильный

пользователь Партнеры

Platform

as a Service

Infrastructure

as a Service X

as a Service Software

as a Service

Page 46: Security outsourcing or secure outsourcing?

47/50 © 2008 Cisco Systems, Inc. All rights reserved. Security outsourcing

…помните о смене парадигмы ИБ…

Периметр

Филиал

Приложения и

данные

Офис

Политика

Хакеры

Дом

Кафе Заказчики

Аэропорт

Мобильный

пользователь Партнеры

Platform

as a Service

Infrastructure

as a Service X

as a Service Software

as a Service

Page 47: Security outsourcing or secure outsourcing?

48/50 © 2008 Cisco Systems, Inc. All rights reserved. Security outsourcing

Bord

erle

ss

Da

ta C

en

ter

3

Bord

erle

ss

Inte

rnet

2

Bord

erle

ss

En

d Z

on

es

1

И создайте новую стратегию ИБ!

Политика

Периметр

Филиал

Приложения и

данные

Офис

Политика (Access Control, Acceptable Use, Malware, Data Security) 4

Дом

Хакеры Кафе

Заказчики

Аэропорт

Мобильный

пользователь Партнеры

Platform

as a Service

Infrastructure

as a Service X

as a Service Software

as a Service

Page 48: Security outsourcing or secure outsourcing?

49/50 © 2008 Cisco Systems, Inc. All rights reserved. Security outsourcing

Вопросы?

Дополнительные вопросы Вы можете задать по электронной почте [email protected] или по телефону: +7 495 961-1410

Полная версия презентации выложена на сайте http://lukatsky.blogspot.com/

Page 49: Security outsourcing or secure outsourcing?

50/50 © 2008 Cisco Systems, Inc. All rights reserved. Security outsourcing