Решения Oracle в области защиты информации для соответствия законодательным требованиям РФ - г. Москва, 28 октября 2011 года
←
→
Транскрипция содержимого страницы
Если ваш браузер не отображает страницу правильно, пожалуйста, читайте содержимое страницы ниже
г. Москва,
28 октября 2011 года
Решения Oracle в области защиты информации для
соответствия законодательным требованиям РФ
Андрей Гусаков, ведущий консультант Oracle EE/CIS
Решение задач информационной
безопасности…
Борьба с внешними и внутренними угрозами
Управление рисками
Обеспечение Обеспечение
соответствия конфиденциальности
законам и данных
нормативным актам
Снижение затрат
Оптимизация процессов и соответствие законодательству
2
…должно отвечать современным
тенденциям в области IT,…
• Преобразование модели вычислений
• Распределенные (облачные) и SaaS
• Services-based Application Architecture
• Повышенное внимание к Extranet
• Подтверждение идентификации и предотвращение краж
• Масштабирование и производительность
• Консолидация инфраструктуры
• Облегчение администрирования и оперативного управления
• Упрощение интеграции за счет использования стандартов
• Управление на основе бизнес-процессов
• Взаимодействие аналитических средств и решений для
обеспечения информационной безопасности
3
…масштабам крупных государственных
проектов, например, «Соцкарта»…
Контур обеспечения информационной
ЕГИС СУ и УСК безопасности и защиты персональных данных
Национальная
ПФР Оператор системы электронная
• ИС ПФР платежная
Федеральный уровень
Контур обеспечения оказания социальных Контур информационно-технологического
услуг гражданам обеспечения процессов оформления, система
• Федеральный
регистр информации о Российской Федерации изготовления и выдачи Социальной карты
выданных УСК Оператор
Подсистема ведения НЭПС
Федеральный Федеральный
Федеральный реестр государственных социальных услуг
Подсистема меж-
Федеральный портал социальных услуг в сети Интернет
взаимодействия
ведомственного
справочной и
Внешние информацион- регистр социальных удостоверяющий
нормативно-правовой
ные ресурсы: карт центр
информации
• ЕИС ОМС
Подсистема учета,
• ЕИС Соцстрах Федеральный центр Федеральный центр
планирования и
управления обработки
• ИС ОАО "РЖД" контроля оказания
выпуском УСК транзакций
социальных услуг
• ИС ФОИВ
Внешние информацион- Уполномоченная организация
ные ресурсы: БАНК(И)
Подсистема межведомственного
НЭПС
• ИС РОИВ Подсистема учета,
• ИС ПФР планирования и Региональный Региональный АБС
контроля социальных регистр социальных удостоверяющий
взаимодействия
• ИС ТФОМС
услуг регионального карт центр
• ЕИС Соцстрах уровня
• ИС Соцзащиты
Региональный уровень
Финансовые
• ИС ОАО "РЖД" процессин-
• ИС служб ЗАГС Региональ- Подсистема говые
Распределенная база Региональ- центры
ный центр управления
• ИС страховых компаний данных о правах ный центр
выпуска и точками
граждан на получение обработки
• ИС транспортных персонали- обслужива-
социальных услуг транзакций
предприятий и др. зации УСК ния
Внешние информацион-
ные ресурсы:
Контур программно-технического и
• ИС гос. учреждений
телекоммуникационного обеспечения АРМ пунктов Банковские
• ИС ЛПУ Компонент
приема заявлений и взаимодействия с точки
• ИС торгово-сервисных и Контур обеспечения обслужива-
выдачи УСК УСК в точках
транспортных обслуживания ния УСК
пользователей УСК обслуживания
предприятий
4
• ИС аптечных
сетей и др.
…и задачам крупных организаций
Решения в
области
безопасности
Thick Client Browser VPN Mobile Portal
Бизнес-
ERP SCM CRM Custom
приложения
Сервисы уровня Content Info Rights Analytics Collab
контента Mgmt Mgmt & Reporting
Интеграционные SOA BPM ESB Workflow
сервисы
Сервисы уровня RDBMS XML LDAP Unstructured
данных
Инфраструктурные Hardware Software Storage Virtualization
Сервисы
5
Специализация Oracle – защита информации
Information Rights
Management
• Аудит использования документов
• Предоставление и блокирование
доступа к документам
• Безопасность документов внутри и
вне межсетевых экранов
Identity Management
• Назначение/отзыв IT-привилегий
• Управление ролями
• Универсальная авторизация
• Контроль доступа с учетом рисков
Information • Виртуальные каталоги
Infrastructure
Database Security
Databases
• Маскирование и преобразование
Applications • Управление привилегированными
Content пользователями
• Многофакторная авторизация
• Аудит и мониторинг активности
• Безопасное конфигурирование
6
Построение системы
защиты ПДн с помощью
решений Oracle
7
Когда надо вспомнить про Oracle при
построении СЗПДн
1. Определить ответственное 6. Выделить и классифицировать
структурное подразделение или ИСПДн
должностное лицо 7. Разработать модель угроз для
2. Определить состав обрабатываемых ИСПДн
ПДн, цели и условия обработки, срок 8. Спроектировать и реализовать
хранения СЗПДн
3. Получить (письменное) согласие 9. Провести аттестацию ИСПДн по
субъекта на обработку его ПДн требованиям безопасности или
4. Определить порядок реагирования на продекларировать соответствие
запросы со стороны субъектов ПДн 10. Определить перечень мер по
5. Определить необходимость защите ПДн, обрабатываемых
уведомления уполномоченного органа без использования средств
по защите ПДн о начале обработки автоматизации
ПДн. Если необходимость есть, то 11. Выполнять постоянный контроль
составить и отправить уведомление над обеспечением уровня
http://leta.ru/library/methodological/ защищенности ПДн
8
Концепция IT-безопасности и определение
конфиденциальности
«Критичные данные должны
(классификация)
быть доступны только
уполномоченным лицам
(управление IT-привилегиями)
только тем способом,
который разрешѐн
(аудит)
политикой безопасности и
только с помощью средств
(управление доступом)
определенных политикой -> единая стратегия
безопасности»
9
Обеспечение безопасности персональных
данных достигается… (из статьи 19 ФЗ РФ №261)
2) применением организационных и технических мер по
обеспечению безопасности персональных данных
3) применением прошедших в установленном порядке процедуру
оценки соответствия средств защиты информации;
6) обнаружением фактов несанкционированного доступа к
персональным данным и принятием мер;
8) установлением правил доступа к персональным данным,
обрабатываемым в информационной системе персональных
данных, а также обеспечением регистрации и учета всех
действий, совершаемых с персональными данными в
информационной системе персональных данных;
9) контролем за принимаемыми мерами по обеспечению
безопасности персональных данных и уровня защищенности
информационных систем персональных данных.
10
http://rg.ru/printable/2011/07/27/dannye-dok.htmlЗащита информации и автоматизация процессов
• Защита контента • Управление привилегиями • Управление доступом
11
http://www.oracle.com/technetwork/ru/middleware/id-management/index.htmlС чем Oracle идет к заказчикам в России
Решения Oracle в области
информационной безопасности
=
Технологии мирового уровня
+
Знание и учет национальной специфики
Опора на партнеров, обладающих полномочиями по выполнению
работ, связанных с обеспечением информационной безопасности
• Системные интеграторы
• Компании-разработчики программного обеспечения
• Центры компетенции по информационной безопасности
12Устраняем
преграды...
• Сертификация
ФСТЭКом
Разные модели угроз
наших решений
• Oracle DB +
Oracle DB Vault
• Oracle IAMS
• Oracle ESSO
• Oracle IRM
• Локализация
• Региональный
маркетинг
13
http://security-orcl.blogspot.com/Что изменится с внедрением ИБ от Oracle
Технологии
• Биллинг/АБС, ERP, Система документооборота
• автоматизированное изменение и исторический контроль
привилегий, заявки, согласования, выявление «сиротских»
учетных записей, контроль неизбыточности полномочий
• SSO, авторизация и аудит обращений пользователей
• Защита СУБД от привилегированных пользователей
• Защита информации при ее перемещении и хранении
• Биллинг/HRMS/ServiceDesk
• еще и виртуальный профиль пользователя/справочник
• Интернет-приложения
• анализ поведения пользователей, средства учета и снижения
рисков операций
14Что изменится с внедрением ИБ от Oracle
Возврат инвестиций
• Снижение рисков
• DLP, Compliance, выявление мошеннических действий
• Формализация и ускорение бизнес-процессов
• Назначения, изменения, отзыва IT-привилегий
• Подготовки отчетности
• Подключения новых систем
• Снижение нагрузки на help-desk
• Консолидированные данные, самообслуживание
• Косвенные факторы
• Повышение качества обслуживания (возможность SLA)
• Оптимизация ролевой модели и пула лицензий
15Вопросы
123317, Россия, Москва, Пресненская набережная, 10
Башня на Набережной, Блок С
(+7495) 6411400 Andrey.Gusakov@Oracle.Com
16Вы также можете почитать
