Компания и решения

1. Компания и решения DCSM – Data Centric Security Model Информационно центричная модель безопасности По материалам IBM Research, Zurich Financial Services Евгений Преображенский, компания PERIMETRIX

2. Документооборот и развитие технологий • Реалии сегодняшнего дня • Концентрация информации на электронных носителях увеличивается • Деловая среда становится все более виртуальной • Конфиденциальная информация, хранящаяся в электронном виде, становится все более ликвидным активом, с высокой тиражируемостью* и относительной простотой конвертируемости в деньги • Электронное делопроизводствоне обеспечивает необходимого уровня защиты сведений, содержащих конфиденциальную информацию • Факторы, усугубляющие проблему – коррупция, корпоративное мошенничество («фрод»), текучесть кадров, нерыночные методы конкуренции • Растет количество инцидентов нарушения безопасности, конфиденциальности целостности данных • *) Здесь под «тиражируемостью» понимается простота, в случае наличия легального доступа, клонирования (создания множества копий) одного и того же информационного ресурса (актива), без потери его аутентичности и целостности

3. Информационная безопасность • Реалии сегодняшнего дня • Нет метрик для оценки эффективности стратегии ИБ • ИБ «оторвана» от бизнеса – механизмы безопасности (технологии и организационные мероприятия) не коррелируют прямо или косвенно с бизнес-целями, что затрудняет определение необходимого уровня защиты и делает невозможным оправдание инвестиций в ИБ • ИБфинансируется как «чистые затраты», которые, соответственно должны быть минимизированы • Основное направление ИБ сегодня – обеспечение непрерывности бизнес – процессов, т.е. защита инфраструктуры, но не информационных активов • Подходы к защите информационных ресурсов реализуются зачастую по принципу инфраструктурных проектов.

4. Виды хранения деловой информации Неструктурированная информация Структурированная информация ТОЧКА ПЕРЕХОДА ERP Portal СRM

5. Данные ограниченного доступа • Коммерческая информация (тайна) • Ноухау • Кострукторская (дизайнерская) документация; • Рецептура и формулы (состав); • Алгоритмы и исходные коды; • Другое. • Стратегия • Выпуск новых продуктов; • Маркетинговые и ценовые планы; • Планы развития рынков; • Слияния и поглощения; • Другое. • Данные о клиентах • Другое • Персональные данные • Врачебная тайна • Банковская тайна • Другие

6. Эволюция и развитие программных решений ИБ ? DLP EDRM Контроль Доступа Интернет - безопасность Файрволл Управление системными событиями Контроль Доступа Антивирус Файрволл Управление системными событиями Контроль Доступа Интернет - безопасность Файрволл Управление системными событиями Контроль Доступа Антивирус Файрволл Контроль Доступа Антивирус ERP Portal СRM 1980 1990 2000 2010 2020

7. Трансформация электронных данных • Виды существования • электронных данных • КЛАССИФИЦИРОВАННЫЕ: данные обладающие понятным классификационным признаком и обрабатываемые в соответствии с политиками обработки, хранения и т.д. • НЕКЛАССИФИЦИРОВАННЫЕ: данные без классификационных признаков. • СТРУКТУРИРОВАННЫЕ: • данные находящиеся базах данных, системах ERP, CRM, CAD/CAM , корпоративных порталах и системах документоооборота • НЕСТРУКТУРИРОВАННЫЕ: данные находящиеся на рабочих станциях пользователей, файловых серверах и т.д. и существующие в виде файлов или др. контейнеров • Место традиционных решений на матрице • EDRM: возможность классифицировать неструктурированные данные и наложить запретительные политики доступа. Не решают проблему «точки перехода» и не контролируют деривативы. Бессильны против пользвателя «имеющего доступ» • DLP: Фильтруют информацию в потоках данных и пытаются «угадать» на основе лингвистики или «цифровых отпечатков», какие данные идут. Не решают проблему «точки перехода» и не контролируют деривативы. Вероятностный подход и низкая эффективность. Матрица трансформации электронных данных Классификация Классифицированная Неклассифицированная Структурированная Виды существования Неструктурированная DLP ЕDRM  • Эффективность контентной фильтрации не превышает 80%«Business Impact: This technology is not foolproof, and it is relatively easy for a smart attacker to circumvent, but it effectively addresses the 70-80% of leakage that is due to accidents and ignorance». • Hype Cycle for Information Security 2007,Gartner

8. Эволюция и развитие программных решений ИБ ? DLP IRM/DRM Контроль Доступа Интернет - безопасность Файрволл Управление системными событиями Контроль Доступа Антивирус Файрволл Управление системными событиями Контроль Доступа Интернет - безопасность Файрволл Управление системными событиями Контроль Доступа Антивирус Файрволл Контроль Доступа Антивирус ERP Portal СRM 1980 1990 2000 2010 2020 • В 2007 году исследовательская лаборатория компании IBM представила концепцию “Data Centric Security Model”,где впервые была детально описана модель управления жизненным циклом классифицированной информации. Ведущие аналитики ИБ (Securosis, Forrester) полагают управление жизненным циклом ИОД основным элементом защиты КИ 

9. Информационно центричная модель безопасности • Основной фокус DCSM – предоставление «правильного» уровня безопасности на базе бизнес – анализа \ ценности обрабатываемых данных • Данные классифицируются по уровню их «ценности», вне разрыва от бизнес – процесса в котором они циркулируют • Такая классификация позволит управлять атрибутами контроля доступа к данным как пользователей так и приложений (процессов), реализующих соответствующий бизнес - процесс • Сервисы ИБ и обеспечивающие их технологии могут быть выделены в отдельные интерфейсы, прямо поддерживающие политики управления данными • DCSM не требует особенных изменений в сервисах ИБ, однако необходимо преобразование (интеграция и внедрение) технологий ИБ в интерфейсы и термины, понятные людям, определяющим и управляющим бизнес – процессами. Таким образом будет очевидна роль сервисов ИБ в поддержке бизнес – процесса и соответственно, в достижении бизнес – целей.

10. Данные DCSM • Определение набора руководящих принципов корпоративной обработки данных на основе политик • Определение сервисов ИБ, необходимых для поддержки этих руководящих принципов • Классификации бизнес – данных. Например, на основе владельцев данных по заданным требованиям к безопасности • Определение бизнес – ориентированных требований ИБ для каждого класса данных, описывающие как данные этого класса должны обрабатываться и защищаться. • Откуда данные происходят? • Кто владеет данными? • Кто контролирует данные? • Что и где содержит данные? • Каков тип\формат данных? • Кто\что может использовать данные • с какой целью? • возможен ли обмен? • при каких условиях? • Где данные будут\должны храниться? • Как долго мы храним данные? • Должны ли данные быть защищены • в покое • в бэкапе\архиве • при использовании • Как данные могут быть раскрыты • какая часть может быть раскрыта? • какая защита должна быть внедрена • должны ли данные быть изменены или помечены?

11. Компоненты DCSM Столбец политик Столбец данных

12. Роли и ответственность Владелец данных C4 C3 Определяет ценность данных и основные требования по обеспечению безопасности (политики) DATA Обеспечивает «режим» (исполнение политик безопасности) в отношении защищаемых информационных активов, исходя из классификационных признаков C2 Оперирует данными в строгом соответствии с политиками C1 тематическ. признаки ВЛАДЕЛЕЦ Матрица классификации и политики обработки Анализ данных и бизнес - процессов Пользователь Служба ИБ

13. Политики (правила) DCSM в действии СУБЪЕКТЫ ЗАЩИТЫ • Места хранения и обработки КИ • Форматы хранения КИ • Приложения обработки КИ • Процессы обработки КИ • Каналы транспортировкиКИ ПОЛЬЗОВАТЕЛИКИ КОНТЕЙНЕРЫ ПРАВИЛА ДОПУСКА 1 2 АКТИВНЫЕ СУЩНОСТИ ПОЛНОМОЧИЯ ДОВЕРЕННЫЙ ПЕРЕЧЕНЬ C4 ЛОГИКА РАБОТЫ СИСТЕМЫ C3 КЛАССИФИКАТОР ИНФОРМАЦИОННЫХ АКТИВОВ 5 C2 АУДИРУЕМАЯ СРЕДА C1 6 тематическ. признаки гриф секретн. КЛАССИФИКАЦИЯ ОБЪЕКТЫ ЗАЩИТЫ 3 4 ЭЛЕКТРОННЫЕ ДОКУМЕНТЫ (ФАЙЛЫ) БАЗЫ ДАННЫХ И КОРП. ПРИЛОЖЕНИЯ ПАССИВНЫЕ СУЩНОСТИ LIFECYCLE MANAGEMENT LIFECYCLE MANAGEMENT ТОПОЛОГИЯ КОМПЬЮТЕРНОЙ СИСТЕМЫ ПРОЦЕССЫ ХРАНЕНИЯ И ОБРАБОТКИ КИ • Классификация критичных бизнес-приложений • Логика интеграции с корпоративным контентом • Регламенты инвентаризации КИ • Автоматич. классификация в местах хранения

14. Управление жизненным циклом КИ (данных) Управление жизненным циклом классифицированной информации (данных) Отправка вовне без сохранения копии • Первичная классификация Уничтожение Создание классифицированного объекта данных Оборот классифицированных данных Вывод данных из оборота Обработкаклассифицированных данных в сооветствии с политиками и контроль перемещения и трансформации данных Неструктурированные данные • Деклассификация Данные извне Конфиденциальные данные извне Структурированные данные ERP Portal СRM

15. Непрерывность управлния жизненным циклом КИ • Виды существования • электронных данных • КЛАССИФИЦИРОВАННЫЕ: данные обладающие понятным классификационным признакои и обрабатываемые в соответствии с политиками обработки . • НЕКЛАССИФИЦИРОВАННЫЕ: данные без классификационных признаков. • СТРУКТУРИРОВАННЫЕ: • данные находящиеся базах данных, системах ERP, CRM, CAD/CAM , корпоративных порталах и системах документоооборота • НЕСТРУКТУРИРОВАННЫЕ: данные находящиеся на рабочих станциях пользователей, файловых серверах и т.д. и существующие в виде файлов или др. контейнеров Матрица трансформации электронных данных • DCSM • СОЗДАНИЕ/ПОЛУЧЕНИЕ КИ: возможность первичной и последующей автоматической классификации данных, поступающих на рабочие станции из корпоративных систем и баз даных. Решает проблему «точки перехода». • БЕЗОПАСНАЯ ОБРАБОТКА: Обработка КИ на рабочих станциях, в соответствии с политиками. «Наследование» классификационных признаков и политик обработки при трансформации КИ. Контроль дериватитвов.Инвентаризация и контроль изменения уровня конфиденциальности • ХРАНЕНИЕ И ПЕРЕДАЧА: Безопасное хранение КИ и безопасная передача и обмен по различным каналам Классификация Неклассифицированная Классифицированная DCSM Структурированная Виды хранения Неструктурированная • Решение DCSM должно обеспечиваеть полный контроль обработки КИ, с учетом всех трансформаций, происходящих с данными на протяжении их жизненного цикла , позволяя при этом использовать необходимые политики обработки данных и функции учета и контроля 

16. Подход к внедрению системы DCSM 2 Матрица информационных активов под риском 3 Очередность и объем внедрения систем ИБ 1 Карта бизнес-процессов  • Понимание ключевых бизнес-процессов и информационных потоков с ними связанных. Защита тех бизнес-процессов и теми средствами, которые позволяют добиться минимизации стоимости владения системой (TCO) и получить разумный баланс между требованиями информационной безопасности и потребностями бизнеса

17. Политики обработки КИ • Должны учитывать: • Горизонтальная интеграция входящих и исходящих информационных потоков конфиденциальной информации • Вертикальная интеграция с бэкофисными системами • Учет индустриальной специфики и характерных для каждой отрасли бизнес-сценариев (SSBS, Security Sensitive Business Scenarios)

18. Важно учесть при внедрении ЦЕЛОСТНОСТЬ ОТВЕТСТВЕННОСТЬ [1]Инвентаризация всех ключевых безнес-процессов и связанных с ними информационных активов (потоков)[2] Ранжирование (приоритезация): вероятность реализации угрозы/риска критичность для бизнеса Четкое определение ответствен-ностии полномочий по работе с конфиденциальной информацией. Предельная ясность, кто конкретно определяет критичность информа-ции и несет ответственность за работу с ней КОМПЛЕКСНОСТЬ ТОЛЕРАНТНОСТЬ Выполнение обязанностей по обеспечению безопасности и соблюдению политик должно начинаться с самого верха и заключаться в предупреждении проблем, а не в реагировании на них Каков допустимый уровень рисков потери тех или иных информаци-онных ресурсов? Для каких активов дешевле не предпринимать ничего с точки зрения управления рисками, нежели пытаться эти риски предот-вратить или уменьшить? СПЕЦИФИЧНОСТЬ ЭФФЕКТИВНОСТЬ Методы реагирования должны быть адекватны масштабам проблемы. Угрозу каким информа-ционным активам следует предотвращать проактивными (трудоемкость), а каким реактив-ными (трудоемкость) методами защиты?*) Система безопасности не должнаостанавливать бизнес. Сложив-шаяся культура управления в организации диктует свои условия, и их необходимо принимать во внимание • *) “Использование неадекватных методов защиты эквивалентно применению бронированного автомобиля для перевозки кредитной карты от кого-то, живущего в картонной коробке, кому-то, живущему на скамейке в парке”. Юджин Спаффорд

19. ИБ на базе DCSM • Система непрерывного управления жизненным циклом классифицированной электронной информации позвляющая эффективно управлять информационными активами без ущерба для текущей деятельности предприятия предназначенная ЦЕЛЬ достигаемый РЕЗУЛЬТАТ решаемые ЗАДАЧИ • Обеспечение эффективного процесса информационной безопасности бизнеса с целью противодействия • компрометации компании, ее руководства или акционеров • коррупционному злоупотреблению должностными полномочиями • корпоративномушпионажу • саботажу • Идентификация, классификация и защита информационных активов при их • хранении • использовании • передаче • Обеспечение сохранности КИ и «режима» обработки КИ • информационныхресурсов • активов • инноваций • ключевых компетенций

20. Можно ли навсегда защититься от угроз ИБ? • «По-наcтоящемубезопасной можно считать лишь систему, которая выключена, замурована в бетонный корпус, заперта в помещении со свинцовыми стенами и охраняется вооруженным караулом. Но и в этом случае сомненияне оставляют меня...» • Юджин Спаффорд

21. Cпасибо за внимание! • Компания Perimetrix • Россия и СНГ : ООО «ПЕРИМЕТРИКС» 119607, Москва, Мичуринский проспект, д. 45 • Телефон: +7 495 737 99 91; Факс: +7 495 737 99 92 • Южно – Африканская Республика: Perimetrix SA (Pty) Ltd Balblair Building, Kildrummy Office Park,Cnr Witkoppen Road and Umhlanga Drive,Paulshof, 2056 • Tel: +27 11 319 7206; Fax: +27 86 669 7800