ЗАЩИЩЕННЫЕ ОБЛАКА ВЛАДИМИР МАМЫКИН Директор по информационной безопасности Microsoft в России vladim@microsoft.com блог: - презентация

1 ЗАЩИЩЕННЫЕ ОБЛАКА ВЛАДИМИР МАМЫКИН Директор по информационной безопасности Microsoft в России блог: ИНФОФОРУМ 07 февраля 2012

2 ОБЛАКА: НОВЫЕ ВОЗМОЖНОСТИ И НОВЫЕ ЗАДАЧИ ВОПРЕКИ РАСХОЖЕМУ МНЕНИЮ ОБЛАКО В РЯДЕ СЛУЧАЕВ УПРОЩАЕТ РЕШЕНИЕ ЗАДАЧ ПО БЕЗОПАСНОСТИ ИНФОРМАЦИЯ ПОД УПРАВЛЕНИЕМ ПРОВАЙДЕРА o НЕТ ОГРАНИЧЕНИЙ ПРОСТРАНСТВА И ГЕОГРАФИИ ИЗМЕНЕНИЯ В ИТ ПРОЦЕССАХ o ПРОВАЙДЕР МОЖЕТ ИМЕТЬ ЛУЧШЕ НАЛАЖЕННЫЕ ПРОЦЕССЫ ОБЕСПЕЧЕНИЯ ИБ, НАПРИМЕР, БЫСТРЕЕ УСТНАВЛИВАТЬ ОБНОВЛЕНИЯ ПО o ФИЗИЧЕСКАЯ БЕЗОПАСНОСТЬ БУДЕТ ОБЕСПЕЧИВАТЬСЯ ПРОВАЙДЕРОМ o ЮРИДИЧЕСКАЯ НЕЗАВИСИМОСТЬ ПРОВАЙДЕРА ЦЕНТРАЛИЗОВАННОЕ ХРАНЕНИЕ ДАННЫХ o ЭКОНОМИЯ ЗА СЧЕТ МАСШТАБА o ПРИВЛЕКАТЕЛЬНОСТЬ ДЛЯ КИБЕРПРЕСТУПНИКОВ СОВМЕСТНОЕ ОБЕСПЕЧЕНИЕ СОХРАННОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ

3 ОБЛАКА: ЗАДАЧИ БЕЗОПАСНОСТИ СООТВЕТСТВИЕ ЗАКОНОДАТЕЛЬСТВУ ИДЕНТИФИКАЦИЯ И КОНТРОЛЬ ДОСТУПА ОБЕСПЕЧЕНИЕ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ – МНОГОФАКТОРНЫЙ ПРОЦЕСС, ЗАТРАГИВАЮЩИЙ ТЕХНОЛОГИИ, ЛЮДЕЙ И БИЗНЕС-ПРОЦЕССЫ ЦЕЛОСТНОСТЬ СЕРВИСА ЗАЩИТА КОНЕЧНЫХ ТОЧЕК ЗАЩИТА ИНФОРМАЦИИ

4 НЕОБХОДИМА СИЛЬНАЯ КОМАНДА НА СТОРОНЕ ЗАКАЗЧИКА ДЛЯ УПРАВЛЕНИЯ РИСКАМИ В НОВЫХ УСЛОВИЯХ ДЛЯ ВЗАИМОДЕЙСТВИЯ ПО КОНТРАКТАМ С ПРОВАЙДЕРАМИ ДЛЯ ОПРЕДЕЛЕНИЯ УРОВНЕЙ КОНТРОЛЯ И МЕТРИК ДЛЯ ИНТЕГРИРОВАНИЯ КОНТРОЛЯ ВО ВНУТРЕННИЕ ПРОЦЕССЫ ЗАКАЗЧИКА И ПРОВАЙДЕРА НОВЫЕ ЗАДАЧИ ТРЕБУЮТ ОТ КОМАНДЫ НОВЫХ РЕШЕНИЙ: o ПО УПРАВЛЕНИЮ ОБОСОБЛЕННЫМИ ДАННЫХ o ПО ОРГАНИЗАЦИИ ДОСТУПА К РАСПОЛОЖЕННОЙ У ПРОВАЙДЕРА ИНФОРМАЦИИ o ПО ОРГАНИЗАЦИИ НОВЫХ ПРОЦЕССОВ ОБРАБОТКИ ДАННЫХ, В ТОМ ЧИСЛЕ КОГДА ДАННЫЕ ПОСТУПАЮТ ОТ ПРОВАЙДЕРА ПОРЦИЯМИ РОЛЬ ИТ ДЕПАРТАМЕНТА УСИЛИВАЕТСЯ, КОМПЕТЕНЦИЯ СОТРУДНИКОВ РАСТЕТ

5 СООТВЕТСТВИЕ ЗАКОНОДАТЕЛЬСТВУ ПОСТАВЩИК ДОЛЖЕН ОБЕСПЕЧИТЬ: ИНФОРМАЦИОННУЮ БЕЗОПАСНОСТЬ и ЗАЩИТУ ПЕРСОНАЛЬНЫХ ДАННЫХ, В ЧАСТНОСТИ, НА ОСНОВЕ МОДЕЛИ УГРОЗ, РАЗРАБОТАННОЙ И ПРИНЯТОЙ КЛИЕНТОМ ИСПОЛЬЗОВАНИЕ СЕРТИФИЦИРОВАННЫХ ПРОДУКТОВ В ОБЛАКЕ, ЕСЛИ ЭТО НЕОБХОДИМО ЗАКАЗЧИКУ ПОСТАВЩИК ДОЛЖЕН ОБЕСПЕЧИТЬ: ИНФОРМАЦИОННУЮ БЕЗОПАСНОСТЬ и ЗАЩИТУ ПЕРСОНАЛЬНЫХ ДАННЫХ, В ЧАСТНОСТИ, НА ОСНОВЕ МОДЕЛИ УГРОЗ, РАЗРАБОТАННОЙ И ПРИНЯТОЙ КЛИЕНТОМ ИСПОЛЬЗОВАНИЕ СЕРТИФИЦИРОВАННЫХ ПРОДУКТОВ В ОБЛАКЕ, ЕСЛИ ЭТО НЕОБХОДИМО ЗАКАЗЧИКУ ЗАКАЗЧИК ДОЛЖЕН ОБЕСПЕЧИТЬ: СООТВЕТСТВИЕ ЗАКОНОДАТЕЛЬСТВУ, В ТОМ ЧИСЛЕ, ЕСЛИ НЕОБХОДИМО, ИСПОЛЬЗОВАНИЕ СЕРТИФИЦИРОВАННЫХ ПРОДУКТОВ В КОНЕЧНЫХ ТОЧКАХ У ЗАКАЗЧИКА ЗАКАЗЧИК ДОЛЖЕН ОБЕСПЕЧИТЬ: СООТВЕТСТВИЕ ЗАКОНОДАТЕЛЬСТВУ, В ТОМ ЧИСЛЕ, ЕСЛИ НЕОБХОДИМО, ИСПОЛЬЗОВАНИЕ СЕРТИФИЦИРОВАННЫХ ПРОДУКТОВ В КОНЕЧНЫХ ТОЧКАХ У ЗАКАЗЧИКА

6 ИДЕНТИФИКАЦИЯ И КОНТРОЛЬ ДОСТУПА ВЗАИМОДЕЙСТВИЕ В ОБЛАКЕ ТРЕБУЕТ ПОВЫШЕННОГО ВНИМАНИЯ К ИДЕНТИФИКАЦИИ ЛЮДЕЙ И УСТРОЙСТВ АУТЕНТИФИКАЦИЮ НЕОБХОДИМО ПРОВОДИТЬ ХОТЯ БЫ В ОТНОШЕНИИ ЛЮДЕЙ БИЗНЕС-РЕШЕНИЯ ДЛЯ ОБЛАКА ДОЛЖНЫ ИМЕТЬ ФУНКЦИОНАЛ ДЛЯ РАБОТЫ С РАЗЛИЧНЫМИ ПРОВАЙДЕРАМИ ИДЕНТИФИКАЦИЯ/АУТЕНТИФИКАЦИЯ ДОЛЖНА ЗАВИСЕТЬ ОТ ЦЕЛЕЙ И ДОЛЖНА БЫТЬ ОСНОВАНА НА СТАНДАРТАХ ВЗАИМОДЕЙСТВИЯ

7 ЦЕЛОСТНОСТЬ СЕРВИСА ПРОВАЙДЕР ДОЛЖЕН ОБЕСПЕЧИТЬ: ПРОЗРАЧНОСТЬ ПРОЦЕССОВ РАЗРАБОТКИ И ВНЕДРЕНИЯ СЕРВИСА ПРОВАЙДЕР ДОЛЖЕН ОБЕСПЕЧИТЬ: ПРОЗРАЧНОСТЬ ПРОЦЕССОВ РАЗРАБОТКИ И ВНЕДРЕНИЯ СЕРВИСА КЛИЕНТ ДОЛЖЕН ОБЕСПЕЧИТЬ ПРОЦЕССЫ ПОЛУЧЕНИЯ СЕРВИСА ОТ РАЗЛИЧНЫХ ПРОВАЙДЕРОВ (в зависимости от используемых приложений и информации), ВКЛЮЧАЯ: МОНИТОРИНГ ИБ ПРОВАЙДЕРА АУДИТ ПРОВЕДЕНИЕ РАССЛЕДОВАНИЙ ОБРАБОТКУ ИНЦИДЕНТОВ БЕЗОПАСНОСТИ КЛИЕНТ ДОЛЖЕН ОБЕСПЕЧИТЬ ПРОЦЕССЫ ПОЛУЧЕНИЯ СЕРВИСА ОТ РАЗЛИЧНЫХ ПРОВАЙДЕРОВ (в зависимости от используемых приложений и информации), ВКЛЮЧАЯ: МОНИТОРИНГ ИБ ПРОВАЙДЕРА АУДИТ ПРОВЕДЕНИЕ РАССЛЕДОВАНИЙ ОБРАБОТКУ ИНЦИДЕНТОВ БЕЗОПАСНОСТИ

8 ЗАЩИТА КОНЕЧНЫХ ТОЧЕК У ЗАКАЗЧИКА КОНЕЧНЫЕ ТОЧКИ ЯВЛЯЮТСЯ ОСНОВОЙ ПРОВЕДЕНИЯ АТАК С ИСПОЛЬЗОВАНИЕМ СОЦИАЛЬНОЙ ИНЖЕНЕРИИ ЗАЩИТА КОНЕЧНЫХ ТОЧЕК ДОЛЖА БЫТЬ НЕОТЪЕМЛЕМОЙ ЧАСТЬЮ РАССМОТРЕНИЯ ОБЕСПЕЧЕНИЯ ИБ ЛЮБЫХ ОБЛАЧНЫХ ВЫЧИСЛЕНИЙ

9 ЗАЩИТА ИНФОРМАЦИИ КЛАССИФИКАЦИЯ ДАННЫХ – ОСНОВА ИХ ЗАЩИТЫ В ОБЛАКЕ. ЗАКАЗЧИК ДОЛЖЕН ОПРЕДЕЛИТЬ: o КАКИЕ ДАННЫЕ МОГУТ БЫТЬ РАЗМЕЩЕНЫ В ОБЛАКЕ, УЧИТЫВАЯ ПОТРЕБНОСТИ ЗАКАЗЧИКА И ТРЕБОВАНИЯ ЗАКОНОДАТЕЛЬСТВА o КАКИЕ ПОСЛЕДСТВИЯ РАЗМЕЩЕНИЯ ДАННЫХ ОЖИДАЮТСЯ o КАКОЙ УРОВЕНЬ КОНТРОЛЯ ПОТРЕБУЕТСЯ ТЕХНОЛОГИИ НЕПРЕРЫВНОЙ ЗАЩИТЫ – ПОВСЕДНЕВНАЯ НЕОБХОДИМОСТЬ o ИСПОЛЬЗОВАНИЕ ШИФРОВАНИЯ И ЭЦП СНИЖАЕТ РИСКИ ХРАНЕНИЯ ИНФОРМАЦИИ В ОБЛАКЕ

10 НАЦИОНАЛЬНОЕ РЕГУЛИРОВАНИЕ И ГЛОБАЛЬНЫЙ ХАРАКТЕР УСЛУГ ТРЕБОВАНИЯ ТЕРРИТОРИАЛЬНОСТИ ВЛАДЕНИЕ ДАННЫМИ ПРЕДОТВРАЩЕНИЕ ДОСТУПА ТРЕТЬИХ СТОРОН ТРЕБОВАНИЯ ДОСТУПНОСТИ ДЛЯ РАССЛЕДОВАНИЙ НАЛОГООБЛОЖЕНИЕ ЗАЩИТА ИНФОРМАЦИИ

11 ОБЩИЙ ПОДХОД К ПУБЛИЧНОМУ И ЧАСТНОМУ ОБЛАКУ ПРОДУКТЫ, ИСПОЛЬЗУЕМЫЕ В ЧАСТНЫХ ОБЛАКАХ СЕРТИФИЦИРОВАНЫ ФСТЭК (ВСЕ) СЕРТИФИЦИРОВАНЫ ФСБ (ОСНОВНЫЕ ПЛАТФОРМЕННЫЕ) ПУБЛИЧНОЕ ОБЛАКО ЧАСТНОЕ ОБЛАКО

12 УЯЗВИМОСТИ НА 06 ФЕВРАЛЯ 2012 Sun Solaris Red Hat Enterprise Linux Server v FreeBSD 6.x 86 Microsoft Windows Server Apple Mac OS X – 1692 Red Hat Enterprise Linux Client v Ubuntu Linux 8.04 (выпуск 2008 год)1459 Windows XP (выпуск 2001 год) 519 Windows Oracle Database 11.x 322 IBM DB2 9.x 99 MySQL 5.x 93 Microsoft SQL Server Cisco ASA 7.x 78 Microsoft ISA Server Microsoft Forefront TMG 2 Mozilla Firefox 4.0 ( ) 14 – 50%unpatched Firefox 3.5.x (2009) 161 Opera 11 ( ) 18 – 13%unpatched Opera 9.x (2008) 56 Google Chrome 11 ( ) 30 – 25%unpatched Chrome 5.x (5.2010) 56 Microsoft IE 9 ( ) 31 – 17%unpatched Explorer 8.x (3.2009) 117 источник:

13 ДАВАЙТЕ РАБОТАТЬ ВМЕСТЕ! Microsoft умеет строить высоко защищенные решения на базе своих технологий, но без участия команды со стороны заказчика невозможно обеспечить необходимый уровень безопасности Безопасность зависит от многих составляющих: технологий, архитектуры решения, уровня защиты на стороне провайдера и на стороне заказчика и объединяющих все эти кубики бизнес-процессов. Нужна совместная работа! Не ожидайте от поставщика готовое решение, подключайтесь еще на этапе проектирования, чтобы совместно разрабатывать необходимое вам решение

14 СПАСИБО! Slide 14