1/39 © 2006 Cisco Systems, Inc. All rights reserved. Security Architecture Архитектура информационной безопасности Алексей Лукацкий Бизнес-консультант по безопасности
Jun 16, 2015
1/39© 2006 Cisco Systems, Inc. All rights reserved.Security Architecture
Архитектура информационной безопасности
Алексей Лукацкий
Бизнес-консультант по безопасности
© 2006 Cisco Systems, Inc. All rights reserved.Security Architecture 2/39
О чем пойдет речь?
Зачем нужна архитектура ИБ?
Что такое архитектура ИБ?
Место архитектуры ИБ в программе ИБ
Особенности разработки архитектуры ИБ
© 2006 Cisco Systems, Inc. All rights reserved.Security Architecture 3/39
Зачем нужна архитектура ИБ?
© 2006 Cisco Systems, Inc. All rights reserved.Security Architecture 4/39
Технологические проблемы
Отсутствие стандартизации и унификации
Лебедь, рак и щука
Повтор и избыточность
Не путать с резервированием
Рост ресурсо-затрат
Упущения неочевидных вещей
Отсутствие планов развития
Отсутствие интеграции с ИТ и бизнесом
© 2006 Cisco Systems, Inc. All rights reserved.Security Architecture 5/39
Бизнес-проблемы
Финансирование по остаточному принципу
Неудовлетворенность пользователей
Потенциальные наезды со стороны регуляторов
Неэффективность ИБ в виду забывчивости в отношении некоторых направлений бизнеса
Несогласованность отделов
Дизайн и архитектура
• 1Х
Внедрение
• 5Х
Тесты интеграции
• 10Х
Бета-тестирование
• 15Х
Боевой запуск
• 30Х
© 2006 Cisco Systems, Inc. All rights reserved.Security Architecture 6/39
Отсутствие привязки к бизнесу
Изменение бизнеса
Улучшение бизнеса
Развитие вместес бизнесом
Хаос
© 2006 Cisco Systems, Inc. All rights reserved.Security Architecture 7/39
Как связать безопасность и бизнес?
1. Оценка текущей ситуации с ИБ
Как есть
2. Анализ потребностей бизнеса своей компании
Стратегические цели и тактические задачи
Бизнес-среда
3. Планирование будущей архитектуры ИБ
Как надо
4. Анализ разрыва
5. Способы сокращения разрыва
Стратегия ИБ
© 2006 Cisco Systems, Inc. All rights reserved.Security Architecture 8/39
TOGAF
ZachmanFramework
OnDemand
Homeland Security
Federal Enterprise Architecture
ИТ-архитектура – каркас для деятельности ИТ-подразделения
Branch
Identity Services
Compute Services
Unified Communications Services
Application Oriented Networking
Collaboration Applications
Data Center
IntegratedNetwork Services
Campus
Network Systems
Network Infrastructure Virtualization
Storage Services
Mobility Services
Security Services
Application Delivery
Business Applications
Applications
Ma
na
ge
me
nt S
erv
ice
s
Branch
Identity Services
Compute Services
Unified Communications Services
Application Oriented Networking
Collaboration Applications
Data Center
IntegratedNetwork Services
Campus
Network Systems
Network Infrastructure Virtualization
Storage Services
Mobility Services
Security Services
Application Delivery
Business Applications
Applications
Ma
na
ge
me
nt S
erv
ice
s
Разные архитектуры
© 2006 Cisco Systems, Inc. All rights reserved.Security Architecture 9/39
Архитектура ИБ
© 2006 Cisco Systems, Inc. All rights reserved.Security Architecture 10/39
Архитектура ИБ
Архитектура ИБ существует всегда
Мы не всегда знаем об этом, мы не всегда грамотно ее используем…
Архитектура описывает желаемую структуру инфраструктуры безопасности организации и других связанных с ИБ компонентов и интерфейсов
Включает процессы, людей, техологии иразные типы информации
© 2006 Cisco Systems, Inc. All rights reserved.Security Architecture 11/39
Архитектура ИБ обеспечивает
Путь оценки новых технологий, продуктов и сервисов
План для развития приложений и инфраструктуры
Каркас для принятия решений в области ИБ, а также для планирования, дизайна и внедрения
Метод для снижения издержек
Макровзгляд на системы и компоненты ИБ
Метод для создания и документирования консенсуса
Направление движения для ИТ с точки зрения ИБ
© 2006 Cisco Systems, Inc. All rights reserved.Security Architecture 12/39
Архитектура ИБ обеспечивает (продолжение)
Путь снижения проектных и технологических рисков
Руководство к созданию стандартов и инфраструктуры для новых, ранее непредвиденных приложений
Путь к совместимости и непротиворечивости разных систем
© 2006 Cisco Systems, Inc. All rights reserved.Security Architecture 13/39
Содержание архитектуры ИБ
© 2006 Cisco Systems, Inc. All rights reserved.Security Architecture 14/39
Содержание архитектуры ИБ
Бизнес
Информация
Инфраструктура
Информационные системы
Риски и угрозы
Информационная безопасность
ИБ-служба
© 2006 Cisco Systems, Inc. All rights reserved.Security Architecture 15/39
Факторы влияния на архитектуру
Архитектура
Предприятие
Отрасль
Технологии
Регуляторы
© 2006 Cisco Systems, Inc. All rights reserved.Security Architecture 16/39
3 горизонтальных уровня архитектуры
Технологический уровень обычно проработан лучше всех
По сравнению с 2-мя другими уровнями
Стратегический(концептуальный)
Логический
Технологический(системный)
© 2006 Cisco Systems, Inc. All rights reserved.Security Architecture 17/39
3 вертикальных уровня архитектуры
ПРИЛОЖЕНИЯ
СЕТЬ
WEB MFG
ERPCRM
SCM
FIN
АНТИВИРУСЫ
VPN
СИСТЕМЫ ПРЕДОТВРАЩЕНИЯ
МЕЖСЕТЕВЫЕ ЭКРАНЫ
ЛОЯЛЬНОСТЬ КЛИЕНТОВ
СОВЕТ ДИРЕКТОРОВ
ПЕРСОНАЛ
M&A
БИЗНЕС, ЛЮДИ
ДОКУМЕНТООБОРОТ
ERP
XML
БИЗНЕС-ПРОЦЕСС
ИНФОРМАЦИЯНОСИТЕЛИ
РЕЧЕВАЯ ИНФОРМАЦИЯ
ВИДЕОКОНФЕРЕНЦИИ
ФАЙЛЫ и ПОЧТА
© 2006 Cisco Systems, Inc. All rights reserved.Security Architecture 18/39
Разное представление информации
Речевая информация
Информация, обрабатываемая техническими средствами
Информация в виде информативных электрических сигналов
Информация в виде физических полей
Носители на бумажной, магнитной, оптической и иной основе
Информационные массивы
Базы данных
© 2006 Cisco Systems, Inc. All rights reserved.Security Architecture 19/39
7 элементов стратегического уровня
Уровни доверия
Ограничения бизнеса, риски, взаимодействия с другими…
Концептуальные дизайны и модели
Например, «ЛВС – DMZ – Интернет»
Система взглядов на политики безопасности
Иерархия, примерный состав и т.п.
Система взглядов на классификацию информации
Процессная модель
Модель стратегических ролей и ответственности
Владельцы, управленцы, «эксплуататоры»…
Миссия ИБ
© 2006 Cisco Systems, Inc. All rights reserved.Security Architecture 20/39
Концепция защищенного дизайна
Загрузить брошюру «Cisco SAFE» можно на сайте my.cisco.ru
© 2006 Cisco Systems, Inc. All rights reserved.Security Architecture 21/39
7 элементов логического уровня
Сервисы безопасности
Какие сервисы помогают достичь уровней доверия
Модель доменов доверия
Группирование ресурсов на основе общих критериев
Принципы дизайна защищенной инфраструктуры
Разделение полномочий, ролевое управление и т.п.
Модели дизайна
Декомпозиция моделей верхнего уровня
Модель информационных потоков
Организационные модели
Шаблоны требований
© 2006 Cisco Systems, Inc. All rights reserved.Security Architecture 22/39
Домены доверия АСУ ТП
Уровень 5SiSiSiSiSiSi
SiSiSiSiSiSiКорпоративная
ЛВС
LAN/WAN
Internet/Intranet/
ТФОП/WAN
Уровень 2
Уровень 0
Уровень 1
Уровень 3
Уровень 4
DMZ
© 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 22
© 2006 Cisco Systems, Inc. All rights reserved.Security Architecture 23/39
7 элементов технологического уровня
Архитектура безопасности приложений
Включая ERP, CRM, SCM, SCADA
Архитектура сетевой/инфраструктурной безопасности
Не забывать про интегрированные функции
Архитектура сервисов безопасности
Классификатор защищаемой информации
Архитектура управления безопасности
Принципы стандартизации и унификации ИБ
Организационная архитектура
Должностные обязанности, повышение осведомленности…
© 2006 Cisco Systems, Inc. All rights reserved.Security Architecture 24/39
Application
Client
Браузер
Application
Servers
WebServices
СУБД
Mainframes
Портал
WebServices
WebServers
КлиентПредставление Приложения Back-Office
Authentication
ServicesAuthorization
Services
Auditing
Services
Credential
Services
Cryptographic
Services
Public Key
ServicesRole
Services
Сервисы безопасности
Инфраструктура безопасности
WebServices
Legacy App
Сервис-ориентированная архитектура
© 2006 Cisco Systems, Inc. All rights reserved.Security Architecture 25/39
8 точек зрения на архитектуру
ИБ
Пользователь
Специалист по ИБ
Специалист по ИТ
Юрист
HR
Внутренний аудитор
Топ-менеджер
Клиенты
© 2006 Cisco Systems, Inc. All rights reserved.Security Architecture 26/39
Особенности разработки архитектуры ИБ
© 2006 Cisco Systems, Inc. All rights reserved.Security Architecture 27/39
Этапы разработки архитектуры ИБ
1. Определение бизнес-кейса
2. Создание команды
3. Сбор информации для архитектуры ИБ
4. Бизнес-требования и драйверы к архитектуре
5. Gap-анализ
6. Разработка финальной архитектуры
7. Разработка стратегии миграции
8. Определение процесса пересмотра архитектуры
© 2006 Cisco Systems, Inc. All rights reserved.Security Architecture 28/39
Изоляции нет!
Стратегия
Логика
Технология
• Бизнес-стратегия
• Принципы бизнес-процессов
• Бизнес-политики
• Информационные модели
• Технические требования
• Организационные модели
• Инфраструктура
• Приложения
© 2006 Cisco Systems, Inc. All rights reserved.Security Architecture 29/39
Участие в разработке архитектуры ИБ
ИБСлужба ИБ
Служба ИТ
Служба безопасности
HR
Внутренний контроль
Юридический департамент
Бизнес-подразделения
© 2006 Cisco Systems, Inc. All rights reserved.Security Architecture 30/39
Разработка архитектуры ИБ
Чем сложнее архитектура, тем больше вероятность ошибки
Лучше делать упор на методах снижения риска, чем на технологиях и продуктах
Обучение, физическая безопасность, реинжиниринг процессов, PR и т.д.
Архитектура может охватывать как один проект или подразделение так и всю компанию
Но… ни проект, ни подразделение не могут быть полностью изолированы
© 2006 Cisco Systems, Inc. All rights reserved.Security Architecture 31/39
Не только технологии
Достичь нужного состояния ИБ можно путем использования разных мер:
Практика управления
Политики
Стандарты
Процедуры
Документация
Практика аудита
Тестирование безопасности
© 2006 Cisco Systems, Inc. All rights reserved.Security Architecture 32/39
Не только технологии (продолжение)
Достичь нужного состояния ИБ можно путем использования разных мер:
Физическая безопасность
Безопасность персонала
Управление инцидентами
Юридические меры
Повышение осведомленности
Организационная структура
© 2006 Cisco Systems, Inc. All rights reserved.Security Architecture 33/39
Российская специфика
© 2006 Cisco Systems, Inc. All rights reserved.Security Architecture 34/39
Российская специфика
Рынок продуктов ИБ не развит
Все решается классической связкой «МСЭ + AV + VPN + IPS + сканер безопасности»
Приоритет отдается техническим мерам
Масштаб страны
Низкий уровень проникновения best practices
Большое количество регуляторов в области ИБ и несогласованность их действий
Концентрация усилий на консалтинге и внедрении средств защиты в ущерб security operations
© 2006 Cisco Systems, Inc. All rights reserved.Security Architecture 35/39
Концепция или архитектура
Концепция
• Сотни страниц
• Что и как надо делать
• Безопасники для безопасников
• Монолитный документ
• Отсутствие бизнес-привязки
• Отказ от учета мнения стейкхолдеров
Архитектура
• 30-50 страниц
• Зачем это надо делать
• Документ для всех стейкхолдеров
• Главный документ и подмножество политик и т.п.
• Бизнес превыше всего
© 2006 Cisco Systems, Inc. All rights reserved.Security Architecture 36/39
Заключение
© 2006 Cisco Systems, Inc. All rights reserved.Security Architecture 37/39
Преимущества архитектуры ИБ
Понимание «куда бежать» и «что делать»
Отсутствие излишней избыточности и повторов
Отсутствие противоречивости
Эффективная трата времени на управление ИБ
Интеграция с ИТ и бизнесом
Охват всех аспектов деятельности предприятия
© 2006 Cisco Systems, Inc. All rights reserved.Security Architecture 38/39
Вопросы?
Дополнительные вопросы Вы можете задать по электронной почте [email protected]или по телефону: +7 495 961-1410
© 2006 Cisco Systems, Inc. All rights reserved.Security Architecture 39/39