Cоблюдение требований законодательства с помощью...
Click here to load reader
-
Upload
andrey-akulov -
Category
Technology
-
view
150 -
download
2
Transcript of Cоблюдение требований законодательства с помощью...
Соблюдение требований законодательства с помощью сертифицированных средств безопасности Oracle
Сергей Базылько, к.ф.-м.н.
Директор по продажам продуктов безопасности,
Oracle СНГ
Москва, 2 декабря 2014г.
Copyright © 2014, Oracle and/or its affiliates. All rights reserved.
Copyright © 2014, Oracle and/or its affiliates. All rights reserved. | 3
S EC U R I T Y
S EC U R I T Y
S EC U R I T Y
S EC U R I T Y
S EC U R I T Y
S EC U R I T Y
S E C U R I T Y
ORACLE SECURITY INSIDE OUT ЗАЩИТА НА КАЖДОМ УРОВНЕ
76%
ВЗЛОМ по СЕТИ УКРАДЕНЫЫЕ и СЛАБЫЕ ПАРОЛИ
Governance Risk & Compliance Оценка необходимости доступа, Выявлениеаномалий, Создание учетных записей, Управление привилегиями
Мобильная безопасность, Привилегированныепользователи, сервисы директорий
Шифрование, маскирование, управление ключами, защита Big Data
Solaris Trusted Extensions,LDAP Host Access Control
Secure Live Migration
Крипто-акселераторыКонтроль целостности данных приложений
Secure backup, Шифрование дисковILM Security
80%
КОМПРОМЕТАЦИЯ
СЕРВЕРОВ ПРИЛОЖЕНИЙ
94%
КРАЖА ДАННЫХ С СЕРВЕРОВ
50%
РАСПРОСТРАНЕНИЕ ВОЗМОЖНО ИЗ-ЗА НЕПРАВИЛЬНЫХ
НАСТРОЕК
Copyright © 2014, Oracle and/or its affiliates. All rights reserved. | 4
Mobile
Security
Identity
Governance
Directory
Services
Access
Management
Encryption
& Redaction
Privileged
User ControlKey
Management
Activity
Monitoring
Configuration
Management
Database
Firewall
ЗАЩИТА ДОСТУПА К ПРИЛОЖЕНИЯМ И ДАННЫМ
IDENTITY MANAGEMENT DATABASE SECURITY
Copyright © 2014, Oracle and/or its affiliates. All rights reserved. |
Соответствие требованиямОтраслевые стандарты и локальное законодательство
5
Copyright © 2014, Oracle and/or its affiliates. All rights reserved. |
12 требований PCI DSShttp://security-orcl.blogspot.co.uk/2014/05/blog-post.html
Copyright © 2014, Oracle and/or its affiliates. All rights reserved. |
Требования Национальной платежной системыhttp://security-orcl.blogspot.co.uk/2014/05/blog-post.html
Copyright © 2014, Oracle and/or its affiliates. All rights reserved. |
ТРЕБОВАНИЯ ЗАКОНОДАТЕЛЬСТВАТипы обрабатываемой информации
Информация (сведения)
Составляющие ГТ Не составляющие ГТ
Секретно Сов. секретно Конфиденциальная
Коммерческая
тайна
Н/Конф
Персональные
данные
8
Copyright © 2014, Oracle and/or its affiliates. All rights reserved. |
Регуляторы
• ФСТЭК – Требования для СЗИ от НСД, проверки лицензиатов
• ФСБ – СКЗИ, проверки лицензиатов
• МО – Требования для СЗИ для использования в МО
• Роскомнадзор – проверка исполнения закона о ПДн
• ...
9
Copyright © 2014, Oracle and/or its affiliates. All rights reserved. |
Схема автоматизированной системы (АС)
Прикладное ПО
СЗИ
СЗИ
СЗИ
Антивирус
ЭЦП
СКЗИ
МСЭ
VPN
СКЗИ
Излучение - ПЭМИН
10
Copyright © 2014, Oracle and/or its affiliates. All rights reserved. |
Подтверждение соответствия требованиям по защите информации
• Для АС – аттестация, для ИСПДн – оценка соответствия
• Для ПО СЗИ – сертификация
• Для прикладного ПО - НЕ ТРЕБУЕТСЯ!
• Для HW - спец.проверки ПЭМИН, обеспечение доверенной загрузки
• Для HW+SW – сертфикация ПАК
• Цель сертификации ПО – обеспечить защиту информации без использования наложенных средств
11
Copyright © 2014, Oracle and/or its affiliates. All rights reserved. |
Системы сертификации СЗИ
ГОСТ-Р
ФСТЭК ФСБ МО Газпром
СЗИ СКЗИ
РД АС
РД СВТ
РД НДВ
РД МСЭ
СТР-К
СЗИ СЗИ
...
Требования
к АС
РД МО
12
Copyright © 2014, Oracle and/or its affiliates. All rights reserved. |
Соответствие законодательству. Персональные данные
13
Copyright © 2014, Oracle and/or its affiliates. All rights reserved. |
Персональные данные
14
Copyright © 2014, Oracle and/or its affiliates. All rights reserved. |
�Identity and Access Management – защита доступа в приложения и управление учетными записями, проведены проверки на наличие не декларированных возможностей по 4-НДВ уровню (по 3-НСД и 2-НДВ – декабрь 2014)
�Oracle Enterprise Single Sign-On – контроль доступа в информационные системы персональных данных
�Oracle DB 11gR2 + Database Vault – разграничение доступа к данным в приложениях на уровне СУБД
�Oracle Enterprise Linux – защита сертифицированной БД Oracleна уровне операционной системы, по 3-НСД и 2-НДВ
�Oracle Fusion Middleware – по 3-НСД и 2-НДВ
�Exadata, Exalogic, Primavera
Продукты Oracle, сертифицированные ФСТЭК
S E C U R I T Y
S E C U R I T Y
S E C U R I T Y
S E C U R I T Y
S E C U R I T Y
S E C U R I T Y
S E C U R I T Y
Copyright © 2014, Oracle and/or its affiliates. All rights reserved. |
�Identity and Access Management – по 3-НСДи 2-НДВ – декабрь 2014
�Audit Vault and Database Firewall
�Identity Governance Suite
�Mobile Security Suite
�Exalytics
�СУБД Oracle 12c (ОУД, производство)
Продукты Oracle, сертифицированные ФСТЭК. Планы
S E C U R I T Y
S E C U R I T Y
S E C U R I T Y
S E C U R I T Y
S E C U R I T Y
S E C U R I T Y
S E C U R I T Y
Copyright © 2014, Oracle and/or its affiliates. All rights reserved. |
Архитектура построения подсистемы защитыhttp://security-orcl.blogspot.co.uk/2014/05/blog-post.html
Бизнес-приложения
(OFM)
Кадры(DV + OEL)
Copyright © 2014, Oracle and/or its affiliates. All rights reserved. |
Exadata – машина баз данных для консолидации СУБД• Все яйца в одной
корзине?
• Уникальное ПО firmwareдля ячеек хранения
• Доступ к данным возможен как на уровне ОС, так и СУБД и приложений
• Кто контролирует привилегированный доступ?
admin
sys/dba
Приложения
18
Copyright © 2014, Oracle and/or its affiliates. All rights reserved. |
Не заметно
для работы
Не заметно
для работы
Программно-аппаратный комплекс средств для защиты Exadata
TDE
ODV
• Сертифицированная платформа (OFM, 2НДВ, 3СВТ) для Oracle Enterprise Manager
• Управление и разграничение доступа к сертифицированным средствам защиты Exadata
• Контроль доступа администраторов к СУБД и запись терминальных сессий
• Хранение ключей в сертифицированном HSM
admin
sys/dba
Приложения
19
Copyright © 2014, Oracle and/or its affiliates. All rights reserved. | 20
INSIDEOUT
SECURITYМногоуровневаязащита
Безопасностьсамого ценного
Copyright © 2014, Oracle and/or its affiliates. All rights reserved. |
Спасибо за внимание!
Сергей Базылько, к.ф.-м.н.
Директор по продажам продуктов безопасности
+7 915 018 8804
21
Copyright © 2014, Oracle and/or its affiliates. All rights reserved. | 22