Построение единой системы прикладной защиты информации на базе альтернативного ПО Руководитель направления ИБ Андрей Иванов Почему сложно управлять безопасностью? Приложение Роль Права Закупки Права Продажи Роль Роль Каталог Отдел 1 Роль Отдел 2 Приложение Отдел 3 Роль Права Финансы Роль Роль Роль Права Кадры Администратор ИБ 2 Состав ЕСПЗИ Идентификация и аутентификация Авторизация Управление доступом Система OpenIdM Система Пользователь Система OpenAM Внешняя информационная система Администратор ИБ Аутентификация и авторизация сервиса OpenIG 3 Основные элементы комплексной системы обеспечения ИБ ЦОД Защита периметра Внешний пользователь Криптошлюзы ЕСПЗИ Межсетевые экраны Защита от DDoS-атак Наложенные СЗИ Антивирусы … … … Защита среды виртуализации Средства сбора, анализа и корреляции событий информационной безопасности Средства анализа защищенности Средства защиты баз данных Централизованное управление Проверка ЭП Интернет Филиал Защита периметра Криптошлюзы Системы обнаружения вторжений Межсетевые экраны Почта Контроллер домена Наложенные СЗИ Антивирусы Защита от утечек данных Внутренний пользователь Средства анализа защищенности … Организационно-распорядительная документация по информационной безопасности ИС Системы обнаружения вторжений СЗИ от НСД Антивирусы 4 ЕСПЗИ - удобство для пользователей До внедрения ЕСПЗИ Вход в АРМ с доменной УЗ Внутренний пользователь ИС e.ivanov evgeniy.ivanov ****** ******** Преимущества использования ЕСПЗИ: ivanov4312 1. *** 2. После внедрения ЕСПЗИ ИС 3. Вход в АРМ с доменной УЗ ЕСПЗИ Не требует установки дополнительного ПО на компьютер пользователя Возможность идентификации и аутентификации по токену Требует однократного ввода логина/пароля или использования токена доступа Внутренний пользователь 5 ЕСПЗИ - единая точка администрирования ИБ и разграничения прав пользователей Существующий подход После внедрения ЕСПЗИ Функции ИБ находятся в каждой ИС Функции ИБ выделены в одну отдельную систему Технические требования ЕСПЗИ Идентификация Выделение всех функций ИБ в единую систему Аутентификация Авторизация БД пользователей БД прав и полномочий Администраторы ИБ для каждой ИС Единый администратор ИБ 6 ЕСПЗИ - минимизация финансовых затрат на сертификацию и аттестацию Существующий подход После внедрения ЕСПЗИ Сертифицируется каждая версия каждой ИС Сертифицируется только ЕСПЗИ Аттестуется каждая версия каждой ИС Аттестация ИС проходит по типовому проекту без сертификации ППО ИС После каждого изменения ИС необходимо её пересертифицировать Нет необходимости пересертифицировать ППО ИС после каждого изменения ЕСПЗИ Идентификация Аутентификация Выделение всех функций ИБ в единую систему Авторизация БД пользователей БД прав и полномочий 7 ЕСПЗИ и аттестация ЦОД Аттестация по типовому проекту Системы обнаружения вторжений Защита периметра Криптошлюзы Межсетевые экраны ИС ЕСПЗИ Защита от DDoS-атак Аттестация по типовому проекту … Аттестованная инфраструктура Антивирусы Наложенные СЗИ Защита среды виртуализации Средства сбора, анализа и корреляции событий информационной безопасности Средства анализа защищенности Средства защиты баз данных Централизованное управление Проверка ЭП 8 Ключевые преимущества ЕСПЗИ Применение централизованных средств безопасности – эффективная долгосрочная стратегия Снижение совокупной стоимости владения: • управление доступом и доступ из единой точки • не требуется сертификация ППО при обновлениях • периодическая аттестация только инфраструктуры Снижение стоимости внедрения новой системы: • не надо сертифицировать • не надо реализовывать механизмы безопасности • аттестация по типовому проекту Обеспечение полной подотчетности доступа Импортозамещение – применение сертифицированной редакции свободного программного обеспечения 9 Спасибо за внимание! Иванов Андрей Евгеньевич Руководитель направления ИБ +7 495 223 07 99 www.otr.ru ivanov.andrey@otr.ru