управление электронными данными ограниченного...
Transcript of управление электронными данными ограниченного...
KEEPING SECRETS SAFE
Компания и решения
Управление электронными данными
ограниченного доступа
Конференция «Код Безопасности»
4 октября 2012
г. Пермь
Евгений Преображенский, компания PERIMETRIX
KEEPING SECRETS SAFE
Информационное обеспечение бизнеса
Реалии сегодняшнего дня
Концентрация информации на электронных носителях
увеличивается
Деловая среда становится все более виртуальной
Конфиденциальная информация, хранящаяся в электронном виде, становится все более ликвидным активом, с высокой
тиражируемостью** и относительной простотой
конвертируемости в деньги
Традиционное электронное делопроизводство не
обеспечивает необходимого уровня защиты сведений,
содержащих конфиденциальную информацию
Факторы, усугубляющие проблему – коррупция,
корпоративное мошенничество («фрод»), текучесть кадров,
нерыночные методы конкуренции
**) Здесь под «тиражируемостью» понимается простота, в случае наличия легального доступа, клонирования (создания множества копий) одного и того
же информационного ресурса (актива), без потери его аутентичности и целостности
KEEPING SECRETS SAFE
Неструктурированная
информация
Виды хранения деловой информации
ТОЧКА
ПЕРЕХОДА
Transaction
system
Portal СRM
Структурированная
информация
бизнесс
процессы
KEEPING SECRETS SAFE
Неструктурированная информация
Реалии сегодняшнего дня
Средний объем информации, хранимой и
обрабатываемой пользователями в неструктурированном
виде, составляет ~ 40%*
86% компаний сталкиваются с постоянным увеличением
числа электронных документов, хранимых в
неструктурированном виде. Ежегодная скорость прироста
данного объема составляет ~ 7%
*) Aberdeen Group. Securing Unstructured Data, 2009
40%
KEEPING SECRETS SAFE
Что делать?
Информационная безопасность до недавнего
времени не являлась «информационной» т.к. не
имела отношения к защите и управлению
информацией как таковой
KEEPING SECRETS SAFE
DCSM: Информационно – “центричная” модель безопасности
Основной фокус DCSM – предоставление
«правильного» уровня безопасности на базе
бизнес – анализа \ ценности обрабатываемых
данных
Данные классифицируются по уровню их «ценности», без
отрыва от бизнес – процесса в котором они циркулируют
Такая классификация позволяет управлять атрибутами
контроля доступа к данным как пользователей так и
приложений (процессов), реализующих соответствующий
бизнес - процесс
Сервисы ИБ и обеспечивающие их технологии могут быть
выделены в отдельные интерфейсы, прямо поддерживающие
политики управления данными
DCSM не требует особенных изменений в сервисах ИБ, однако
необходимо преобразование (интеграция и внедрение)
технологий ИБ в интерфейсы и термины, понятные людям,
определяющим и управляющим бизнес – процессами.
Таким образом будет очевидна роль сервисов ИБ в поддержке
бизнес – процесса и соответственно, в достижении бизнес –
целей.
KEEPING SECRETS SAFE
DCSM: Роли и ответственность
Пользователь
Владелец данных
Служба ИБ
DATA
Определяет ценность данных и основные требования по обеспечению безопасности (политики)
Обеспечивает «режим» (исполнение политик безопасности) в отношении защищаемых информационных активов, исходя из классификационных признаков
Оперирует данными в строгом соответствии с политиками
KEEPING SECRETS SAFE
Классификация данных ограниченного доступа
Коммерческая информация (тайна)
- Ноухау
- Кострукторская (дизайнерская) документация
- Новые продукты
- Данные о клиентах
- Другое
Персональные данные
- Врачебная тайна
- Банковская тайна
- Другие
KEEPING SECRETS SAFE
Анализ данных и
бизнес - процессов
Матрица
классификации
Классификация с учетом рисков
DATA
C4
C3
C2
C1
ERP
Portal
СRM
Структурированные
данные
Неструктурированные
данные
Данные извне
ГДЕ ЖИВУТ ДАННЫЕ И НАСКОЛЬКО ОНИ
ЗАЩИЩЕНЫ СЕЙЧАС (В ДАННЫЙ МОМЕНТ)
КАКОВА СТОИМОСТЬ КОМПРОМЕТАЦИИ?
(УТЕЧКИ, ИСКАЖЕНИЯ, УНИЧТОЖЕНИЯ)
KEEPING SECRETS SAFE
Политики жизненного цикла КД
Должны учитывать:
Горизонтальная интеграция входящих и исходящих информационных потоков
конфиденциальной информации
Вертикальная интеграция с «бэкофисными» системами
Учет индустриальной специфики отрасли и бизнес-сценариев (SSBS, Security
Sensitive Business Scenarios)
KEEPING SECRETS SAFE
Разработка политик жизненного цикла КД
Шаг 1 Шаг 2 Шаг n..
Бизнес процесс
Рабочий процесс
Пользователи и
«контейнеры»
Устройства, приложения, процессы, форматы….
KEEPING SECRETS SAFE
Подход Perimetrix
Управление жизненным циклом
классифицированной информации (данных)
ФУНКЦИОНАЛЬНЫЕ ВОЗМОЖНОСТИ PERIMETRIX
Обработка и модификация
Хранение
Обмен
Изменение уровня классификации
Первичная классификация
Деклассификация
KEEPING SECRETS SAFE
ОБЪЕКТЫ ЗАЩИТЫ
ЭЛЕКТРОННЫЕ ДОКУМЕНТЫ (ФАЙЛЫ) БАЗЫ ДАННЫХ И КОРП. ПРИЛОЖЕНИЯ
ПА
СС
ИВ
НЫ
Е С
УЩ
НО
СТ
И
СУБЪЕКТЫ ЗАЩИТЫ
ПОЛЬЗОВАТЕЛИ КИ КОНТЕЙНЕРЫ
АК
ТИ
ВН
ЫЕ
С
УЩ
НО
СТ
И
АУ
ДИ
РУ
ЕМ
АЯ
С
РЕ
ДА
2 1
Применение политик (Perimetrix SafeUse)
1/1
БИЗНЕС – ПРОЦЕСС
РАБОЧИЙ ПРОЦЕСС
Места хранения и обработки КИ
Форматы хранения КИ
Приложения обработки КИ
Процессы обработки КИ
Каналы транспортировки КИ
ЛОГИКА РАБОТЫ СИСТЕМЫ
6
C4
C3
C2
C1
ТОПОЛОГИЯ КОМПЬЮТЕРНОЙ СИСТЕМЫ
Регламенты инвентаризации КИ
Автоматич. классификация в местах хранения
ПРОЦЕССЫ ХРАНЕНИЯ И ОБРАБОТКИ КИ
Классификация критичных бизнес-приложений
Логика интеграции с корпоративным контентом
3 4
LIFECYCLE MANAGEMENT LIFECYCLE MANAGEMENT
5
КЛАССИФИКАТОР
КОНФИДЕНЦИАЛЬНОЙ
ИНФОРМАЦИИ
ПОЛНОМОЧИЯ ДОВЕРЕННЫЙ ПЕРЕЧЕНЬ
КЛ
АС
СИ
ФИ
КА
ЦИ
Я
ПР
АВ
ИЛ
А
ДО
ПУ
СК
А
KEEPING SECRETS SAFE
АУ
ДИ
РУ
ЕМ
АЯ
С
РЕ
ДА
ОБЪЕКТЫ ЗАЩИТЫ
СУБЪЕКТЫ ЗАЩИТЫ
ПОЛНОМОЧИЯ ДОВЕРЕННЫЙ ПЕРЕЧЕНЬ
Унифицированная модель событий (УМС)
1/2
ПОЛЬЗОВАТЕЛИ КИ КОНТЕЙНЕРЫ
ЭЛЕКТРОННЫЕ ДОКУМЕНТЫ (ФАЙЛЫ)
ПОРЯДОК ПРИНЯТИЯ РЕШЕНИЙ:
1. Определить актуальный
уровень информационного
объекта
2. Идентифицировать элементы
УМС:
контейнер-источник
контейнер-приемник
инициатора действия
(перемещения)
3. Сопоставить допустимые
уровни элементов УМС с
актуальным уровнем
информационного объекта БАЗЫ ДАННЫХ И КОРП. ПРИЛОЖЕНИЯ
ЛОГИКА РАБОТЫ СИСТЕМЫ
Активная
конфигурация
АК
ТИ
ВН
ЫЕ
С
УЩ
НО
СТ
И
ПА
СС
ИВ
НЫ
Е С
УЩ
НО
СТ
И
*) Уровень – комбинация грифа секретности и тематических признаков, назначенная субъекту/объекту защиты;
ДУ – допустимый уровень; АУ – актуальный уровень
РАЗРЕШИТЬ
или
БЛОКИРОВАТЬ
ПЕРЕМЕЩЕНИЕ КИ
Допустимый
уровень
Актуальный
уровень
Д/У*
А/У*
Актуальный
уровень
KEEPING SECRETS SAFE
Применение политик обработки КИ
динамический доступ к сетевым ресурсам, переферийным устройствам и
локальным портам, в зависимости от категории обрабатываемой
пользователем КИ
наследование уровней КИ исходного документа всеми производными
файлами
расшифровка КИ возможна только на рабочем месте, находящимся под
защитой Системы
печать и создание твердых копий КИ возможно только на определенных
политикой ИБ устройствах
KEEPING SECRETS SAFE
Техническая архитектура Perimetrix SafeSpace
Pe
rim
etri
x Sa
feSt
ore
К
ри
пто
защ
ита
и
упр
авл
ени
е ж
изн
енн
ым
ц
икл
ом
Pe
rim
etri
x Sa
feU
se
Упр
авл
ени
е п
ерем
ещен
еием
дан
ны
х
Pe
rim
etri
x Sa
feEd
ge
DLP
и а
вто
мат
иче
ская
кл
асси
фи
кац
ия
дан
ны
х
Общая платформа и база данных
Perimetrix EIS Интеграциия с корпорат.
приложениями и БД
Perimetrix NetEx Аналитика и выявление атипичных активностей
KEEPING SECRETS SAFE
«По-натоящему
безопасной можно
считать лишь
систему, которая
выключена,
замурована в
бетонный корпус,
заперта в
помещении со
свинцовыми
стенами и
охраняется
вооруженным
караулом.
Но и в этом случае
сомнения не
оставляют меня...»
Юджин
Спаффорд
Можно ли навсегда защититься от внутренних угроз?
KEEPING SECRETS SAFE
Cпасибо за внимание!
Компания Perimetrix
Россия и СНГ : ООО «ПЕРИМЕТРИКС» 119607, Москва, Мичуринский проспект, д. 45 Телефон: +7 495 737 99 91; Факс: +7 495 737 99 92
Германия и DACH: Perimetrix Systems GmbH Birkenstrasse 4a, 85107 Baar-Ebenhausen Tel.: +49 (0) 8453 3399700; Fax: +49 (0) 8453 3399704
Южно – Африканская Республика: Perimetrix SA (Pty) Ltd Balblair Building, Kildrummy Office Park,Cnr Witkoppen Road and Umhlanga Drive, Paulshof, 2056 Tel: +27 11 319 7206; Fax: +27 86 669 7800
Израиль : скоро