Проблема: - рост риска несанкционированного доступа (НСД) к данным в облачных и виртуальных средах Последствия: - потеря данных и штрафы регуляторов Решение: - МСЭ TrustAccess защищает данные, а не периметр; снижает риски НСД инсайдеров; снижает стоимость защиты ПДн К1

1. Снижение риска потери данных в облачных средах при помощи межсетевого экрана TrustAccess. Пример расчета ROI Михаил Козлов Консультант по развитию бизнеса http://devbusiness.ru/mkozloff/about Подготовлено для компании «Код Безопасности»

2. Содержание Проблема: рост риска несанкционированного доступа (НСД) к данным в облачных и виртуальных средах Последствия: потеря данных и штрафы регуляторов Решение: МСЭ TrustAccess TrustAccessROI калькулятор 2

3. Проблема Проблема: рост риска несанкционированного доступа (НСД) к данным в облачных и виртуальных средах Последствия: потеря данных и штрафы регуляторов Решение: МСЭ TrustAccess TrustAccessROI 3

4. Облака и мобильный доступ повышают риск потери данных 4

5. Межсетевой экран Межсетевой экран (МСЭ) или сетевой экран — комплекс аппаратных или программных средств, осуществляющий контроль и фильтрацию проходящих через него сетевых пакетов в соответствии с заданными правилами. Основной задачей сетевого экрана является защита компьютерных сетей или отдельных узлов от несанкционированного доступа. Источник: Википедия «Межсетевой экран» = «брандмауэр» = «фаервол» (firewall) 5

6. LAN Традиционный МСЭ защищает периметр сети 6 DMZ Интернет МСЭ МСЭ

7. Недостатки МСЭ на периметре 7

8. Облака и мобильный доступ размывают периметр 8 Виртуальные машинымигрируют в гибридном облаке Мобильные пользователи Облаковнешнегопровайдера DMZ Интернет МСЭ МСЭ

9. 2010: 48% потерь данных через инсайдеров (рост на 26%) 2010 Data Breach Investigations Report Verizon RISK Team in cooperation with the United States Secret Service

10. Последствия Проблема: рост риска несанкционированного доступа (НСД) к данным в облачных и виртуальных средах Последствия: потеря данных и штрафы регуляторов Решение: МСЭ TrustAccess TrustAccessROI 10

11. Санкции регуляторов За нарушение требований 152-ФЗ: «Лица, виновные в нарушении требований настоящего Федерального закона, несут гражданскую, уголовную, административную, дисциплинарную и иную предусмотренную законодательством Российской Федерации ответственность». (Глава 5, статья 24) За нарушение требований PCI DSS Штрафы до $500 000 11

12. Решение Проблема: рост риска несанкционированного доступа (НСД) к данным в облачных и виртуальных средах Последствия: потеря данных и штрафы регуляторов Решение: МСЭ TrustAccess TrustAccessROI 12

13. Сертифицированное решение для защиты данных а не периметра TrustAccess — распределенный межсетевой экран с централизованным управлением для защиты от НСД к данным на физических и виртуальных серверах и ПК в сети организации 13

14. TrustAccess:решаемые задачи Защищает данные от НСД на физических и виртуальных серверах и ПК, а не периметр сети снижение риска потери данных в физических, виртуальных и облачных средах Не требует изменения существующей сети при внедрении Соответствие требованиям (152-ФЗ и PCI DSS) Позволяет снизить стоимость защиты ПДн за счет сегментации ИСПДн с «К1» до «К1 + К3» (сертификация ФСТЭК) Ограничивает доступ к данным для соответствия требованиям PCI DSS 14

15. Основные возможности Аутентификация сетевых соединений на уровне пользователей и компьютеровв системах с клиент-серверной, многозвенной и терминальной архитектурой (физической и VMware) Фильтрация и защита сетевых соединений Регистрация событий, связанных с информационной безопасностью Контроль целостности и защита от НСД компонентов СЗИ Значительно снижает затраты компаний на построение системы защиты ИСПДн (за счет сегментирования) Централизованное управление 15

16. Разграничение сетевого доступа в TrustAccess 16 Регистрация в журнале Сигнализация о нарушении правил Защищенное соединение (IPSec AH)Контроль аутентичности и целостности трафика без шифрования Аутентификации субъекта доступа и объекта (защита от подмены сервера) Аутентификация может происходить как на уровне отдельного пользователя, так и компьютера целиком Проверка правил доступа на основе разных критериев: (субъекты: компьютеры, пользователи, группы; параметры соединения: адреса, порты, протоколы т.п.). Аутентификация Kerberos:устойчива к угрозам Man in The Middle

17. Сценарии применения TrustAccess 17

18. Защита персональных данных (ПДн– 152ФЗ и PCI DSS) 18

19. Регулирование 152ФЗ (защита ПДн) Принят в 2006 г. Поправки в 2011 г. ФСТЭК «Четверокнижье» (отменено) Приказ №58 (будут поправки) Ждем новостей ФСБ Ждем новостей PCI DSS 2.0 12 детализированных требований по обеспечению безопасности данных о держателях платёжных карт, которые передаются, хранятся и обрабатываются в ИС 19

20. 152-ФЗ в редакции от 25.07.2011 Статья 19.1 Оператор [ПДн] при обработке персональных данных обязан принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных. 20

21. Защита ПДн в PCI DSS 4 уровня сертификации Level 1: Требуется сервис-провайдерам, и мерчантам, с количеством транзакций более 6 млн. в год. Level 2: 1...6 млн. в год. Level 3: 20 тыс. ... 1млн. в год. Level 4: до 20 тыс. в год. 6 областей контроля и 12 основных требований по безопасности. Построение и сопровождение защищённой сети Требование 1: установка и обеспечение функционирования межсетевых экранов для защиты данных держателей карт. 21 Источник: http://ru.wikipedia.org/wiki/PCI_DSS

22. Задачи по защите ПДн Выполнение требований регуляторов 152ФЗ РФ (защита ПДн), PCI DSS (защита данных держателей банковских карт) Защита от НСД при использования внутри периметра, в облаке и при мобильном доступе 22

23. Проблемы защиты ПДн Отсутствие правил доступа к ПДн внутри периметра и угроза хищения инсайдерами Администратор директории не знает где ПДн и политику их использования Администратор ИСПДн по умолчанию имеет все права ПДн могут перемещаться за периметр Виртуализация Облака Мобильные устройства 23

24. Проблемы защиты ПДн 24 Решение с TrustAccess

25. Требования к наличию сертифицированных подсистем в СЗПДн Решается с TrustAccess

26. Методы решения с TrustAccess Исчезновение периметра Для дополнительной защиты ПДн от НСД необходимо установить Trust Access на АРМ и серверы (в т.ч. виртуальные) Защита от администраторов ПДн и других инсайдеров Разделение ответственности: АПДн + АИБ TrustAccessимеет собственные механизмы аутентификации и разграничения доступа, что позволяет развертывать продуктповерх существующих информационных систем без их изменения Сертификация ФСТЭК и ФСБ TrustAccessсертифицирован для К1 и гостайны 26

27. Сертификаты TrustAccess TrustAccess Сертификат ФСТЭК России МЭ2 и НДВ4 Защита ИСПДн К1 Защита АС 1Г (гриф «для служебного пользования») TrustAccess-S Сертификат ФСТЭК России МЭ 2 и НДВ2 Защита ИСПДн К1 Защита АС 1Б (до грифа «совершенно секретно») 27

28. Доступ к CRM-системе предоставляется только операторам Call-центра. Сотрудники, чья работа не связана с обработкой ПДн, доступ не получают Пример: защита ПДн в CALL-центре 28 Для удобства настройки однотипных правил доступа в TrustAccess реализованы группы пользователей Доступ к СУБД получает только веб-сервер с CRM-системой Call-Центра.

29. ИСПДн К1 ИСПДн К1 К3 К3 К3 Варианты использования TrustAccess. Сегментирование ИСПДн 29 В ИСПДн обрабатывается более100000 записей ПДн второй категории (ФИО, место работы, семейное положение) = К1 Экономия на средствах защиты. Из документовФСТЭКРоссии (СТР-К, приказ №58 и т.п.) следует, что АС/ИСПДн можно разделить с помощью сертифицированных МЭ на части, при этом каждая из частей будет сохранять свой класс На каждом АРМ пользователя ИСПДн одновременно обрабатывается меньше 1000 записей ПДн. Возможность сэкономить на защите ПДн

30. Варианты использования TrustAccess. Защита гостайны в КБ 30 В зависимости от того, над каким проектом работает инженер, он получает доступ к тем или иным серверам (сетевым сервисам) TrustAccess позволяет разграничить сетевой доступ на основе групп пользователей

31. Варианты использования TrustAccess. Терминальные службы 31 Все пользователи получают доступ к защищаемым данным с одного физического компьютера с одного IP-адреса

32. Варианты использования TrustAccess. Защита виртуальных машин 32 TrustAccess защищает от сетевых атак как со стороны внешних физических машин, так и со стороны виртуальных машин. Механизмы защиты TrustAccess нечувствительны к подмене MAC- или IP-адресов.

33. TrustAccessROI Задача: защита от НСД Решение с TrustAccess Сценарии применения для клиента Что зарабатывает партнер TrustAccessROI 33

34. Зачем считать отдачу от инвестиций (ROI)? Универсальный метод, объясняющий инвестору какую отдачу и с каким уровнем риска принесут возможные инвестиции Инвестиционные проекты сравниваются уровнем отдачи и риска Основа для принятия инвестиционных решений 34

35. Return on Investment (ROI)Отдача от инвестиций 35 Выгода– Затраты Затраты ROI = * 100%

36. Отдача от инвестиций (ROI) в безопасность

37. Источники ROI для TrustAccess

38. Модель для оценки возврата на инвестицию (ROI) в МСЭ TrustAccess 38

39. Стоимость потери информации 285М взломанных записей в 2008 г. (Verizon Business RISK Team) В2008 в США потеря каждой записи стоила $202, включая $152 косвенного ущерба (Ponemon Institute) Для России подобных данных нет  39 True Cost of Compliance Report, Ponemon Institute LLC, January 2011

40. Типы и стоимость инцидентов с ИБ 40

41. Потеря данных через администратора – самый дорогой тип инцидента в ИБ Администраторы ИСПДн по умолчанию имеют доступ к данным Зловредное ПО с правами администратора может получить контроль над ИСПДн 41 The Value Of Corporate Secrets How Compliance And Collaboration Affect Enterprise Perceptions Of Risk March 2010, Forrester

42. PCI-DSS: штрафы до $500,000 42

46. Модель угроз Forrester ("The Value Of Corporate Secrets - How Compliance And Collaboration Affect Enterprise Perceptions Of Risk", March 2010, by A Forrester Consulting Thought Leadership Paper (Commissioned By Microsoft And RSA, The Security Division Of EMC)

48. Дополнительная информация 47

49. Михаил Козлов 48

50. 49