Решения Oracle в области защиты информации для соответствия законодательным требованиям РФ - г. Москва, 28 октября 2011 года
←
→
Транскрипция содержимого страницы
Если ваш браузер не отображает страницу правильно, пожалуйста, читайте содержимое страницы ниже
г. Москва, 28 октября 2011 года Решения Oracle в области защиты информации для соответствия законодательным требованиям РФ Андрей Гусаков, ведущий консультант Oracle EE/CIS
Решение задач информационной безопасности… Борьба с внешними и внутренними угрозами Управление рисками Обеспечение Обеспечение соответствия конфиденциальности законам и данных нормативным актам Снижение затрат Оптимизация процессов и соответствие законодательству 2
…должно отвечать современным тенденциям в области IT,… • Преобразование модели вычислений • Распределенные (облачные) и SaaS • Services-based Application Architecture • Повышенное внимание к Extranet • Подтверждение идентификации и предотвращение краж • Масштабирование и производительность • Консолидация инфраструктуры • Облегчение администрирования и оперативного управления • Упрощение интеграции за счет использования стандартов • Управление на основе бизнес-процессов • Взаимодействие аналитических средств и решений для обеспечения информационной безопасности 3
…масштабам крупных государственных проектов, например, «Соцкарта»… Контур обеспечения информационной ЕГИС СУ и УСК безопасности и защиты персональных данных Национальная ПФР Оператор системы электронная • ИС ПФР платежная Федеральный уровень Контур обеспечения оказания социальных Контур информационно-технологического услуг гражданам обеспечения процессов оформления, система • Федеральный регистр информации о Российской Федерации изготовления и выдачи Социальной карты выданных УСК Оператор Подсистема ведения НЭПС Федеральный Федеральный Федеральный реестр государственных социальных услуг Подсистема меж- Федеральный портал социальных услуг в сети Интернет взаимодействия ведомственного справочной и Внешние информацион- регистр социальных удостоверяющий нормативно-правовой ные ресурсы: карт центр информации • ЕИС ОМС Подсистема учета, • ЕИС Соцстрах Федеральный центр Федеральный центр планирования и управления обработки • ИС ОАО "РЖД" контроля оказания выпуском УСК транзакций социальных услуг • ИС ФОИВ Внешние информацион- Уполномоченная организация ные ресурсы: БАНК(И) Подсистема межведомственного НЭПС • ИС РОИВ Подсистема учета, • ИС ПФР планирования и Региональный Региональный АБС контроля социальных регистр социальных удостоверяющий взаимодействия • ИС ТФОМС услуг регионального карт центр • ЕИС Соцстрах уровня • ИС Соцзащиты Региональный уровень Финансовые • ИС ОАО "РЖД" процессин- • ИС служб ЗАГС Региональ- Подсистема говые Распределенная база Региональ- центры ный центр управления • ИС страховых компаний данных о правах ный центр выпуска и точками граждан на получение обработки • ИС транспортных персонали- обслужива- социальных услуг транзакций предприятий и др. зации УСК ния Внешние информацион- ные ресурсы: Контур программно-технического и • ИС гос. учреждений телекоммуникационного обеспечения АРМ пунктов Банковские • ИС ЛПУ Компонент приема заявлений и взаимодействия с точки • ИС торгово-сервисных и Контур обеспечения обслужива- выдачи УСК УСК в точках транспортных обслуживания ния УСК пользователей УСК обслуживания предприятий 4 • ИС аптечных сетей и др.
…и задачам крупных организаций Решения в области безопасности Thick Client Browser VPN Mobile Portal Бизнес- ERP SCM CRM Custom приложения Сервисы уровня Content Info Rights Analytics Collab контента Mgmt Mgmt & Reporting Интеграционные SOA BPM ESB Workflow сервисы Сервисы уровня RDBMS XML LDAP Unstructured данных Инфраструктурные Hardware Software Storage Virtualization Сервисы 5
Специализация Oracle – защита информации Information Rights Management • Аудит использования документов • Предоставление и блокирование доступа к документам • Безопасность документов внутри и вне межсетевых экранов Identity Management • Назначение/отзыв IT-привилегий • Управление ролями • Универсальная авторизация • Контроль доступа с учетом рисков Information • Виртуальные каталоги Infrastructure Database Security Databases • Маскирование и преобразование Applications • Управление привилегированными Content пользователями • Многофакторная авторизация • Аудит и мониторинг активности • Безопасное конфигурирование 6
Когда надо вспомнить про Oracle при построении СЗПДн 1. Определить ответственное 6. Выделить и классифицировать структурное подразделение или ИСПДн должностное лицо 7. Разработать модель угроз для 2. Определить состав обрабатываемых ИСПДн ПДн, цели и условия обработки, срок 8. Спроектировать и реализовать хранения СЗПДн 3. Получить (письменное) согласие 9. Провести аттестацию ИСПДн по субъекта на обработку его ПДн требованиям безопасности или 4. Определить порядок реагирования на продекларировать соответствие запросы со стороны субъектов ПДн 10. Определить перечень мер по 5. Определить необходимость защите ПДн, обрабатываемых уведомления уполномоченного органа без использования средств по защите ПДн о начале обработки автоматизации ПДн. Если необходимость есть, то 11. Выполнять постоянный контроль составить и отправить уведомление над обеспечением уровня http://leta.ru/library/methodological/ защищенности ПДн 8
Концепция IT-безопасности и определение конфиденциальности «Критичные данные должны (классификация) быть доступны только уполномоченным лицам (управление IT-привилегиями) только тем способом, который разрешѐн (аудит) политикой безопасности и только с помощью средств (управление доступом) определенных политикой -> единая стратегия безопасности» 9
Обеспечение безопасности персональных данных достигается… (из статьи 19 ФЗ РФ №261) 2) применением организационных и технических мер по обеспечению безопасности персональных данных 3) применением прошедших в установленном порядке процедуру оценки соответствия средств защиты информации; 6) обнаружением фактов несанкционированного доступа к персональным данным и принятием мер; 8) установлением правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечением регистрации и учета всех действий, совершаемых с персональными данными в информационной системе персональных данных; 9) контролем за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищенности информационных систем персональных данных. 10 http://rg.ru/printable/2011/07/27/dannye-dok.html
Защита информации и автоматизация процессов • Защита контента • Управление привилегиями • Управление доступом 11 http://www.oracle.com/technetwork/ru/middleware/id-management/index.html
С чем Oracle идет к заказчикам в России Решения Oracle в области информационной безопасности = Технологии мирового уровня + Знание и учет национальной специфики Опора на партнеров, обладающих полномочиями по выполнению работ, связанных с обеспечением информационной безопасности • Системные интеграторы • Компании-разработчики программного обеспечения • Центры компетенции по информационной безопасности 12
Устраняем преграды... • Сертификация ФСТЭКом Разные модели угроз наших решений • Oracle DB + Oracle DB Vault • Oracle IAMS • Oracle ESSO • Oracle IRM • Локализация • Региональный маркетинг 13 http://security-orcl.blogspot.com/
Что изменится с внедрением ИБ от Oracle Технологии • Биллинг/АБС, ERP, Система документооборота • автоматизированное изменение и исторический контроль привилегий, заявки, согласования, выявление «сиротских» учетных записей, контроль неизбыточности полномочий • SSO, авторизация и аудит обращений пользователей • Защита СУБД от привилегированных пользователей • Защита информации при ее перемещении и хранении • Биллинг/HRMS/ServiceDesk • еще и виртуальный профиль пользователя/справочник • Интернет-приложения • анализ поведения пользователей, средства учета и снижения рисков операций 14
Что изменится с внедрением ИБ от Oracle Возврат инвестиций • Снижение рисков • DLP, Compliance, выявление мошеннических действий • Формализация и ускорение бизнес-процессов • Назначения, изменения, отзыва IT-привилегий • Подготовки отчетности • Подключения новых систем • Снижение нагрузки на help-desk • Консолидированные данные, самообслуживание • Косвенные факторы • Повышение качества обслуживания (возможность SLA) • Оптимизация ролевой модели и пула лицензий 15
Вопросы 123317, Россия, Москва, Пресненская набережная, 10 Башня на Набережной, Блок С (+7495) 6411400 Andrey.Gusakov@Oracle.Com 16
Вы также можете почитать