ݺߣ

ݺߣShare a Scribd company logo

Мобильный доступ

Алексей Волков
Алексей Волков

Моя презентация с IT & Security Forum Kazan

1 of 18
МОБИЛЬНЫЙ ДОСТУП: КАК ЭТО БЫЛО РЕАЛИЗАЦИЯ БЕЗОПАСНОГО МОБИЛЬНОГО ДОСТУПА К КОРПОРАТИВНЫМ РЕСУРСАМ ХОЛДИНГА Алексей Волков, ОАО «Северсталь»
ХОЛДИНГ: СТРУКТУРА Сталь Лом Метизы Сбыт Уголь Золото Трубы Сервис
ХОЛДИНГ: ГЕОГРАФИЯ
БИЗНЕС-ТРЕБОВАНИЯ VS ТРЕБОВАНИЯ БЕЗОПАСНОСТИ Возможность Соблюдение доступа установленных сотрудников к правил и политик корпоративным безопасности ресурсам вне зависимости в любом месте, от места, в любое время времени и с любого и способа устройства подключения
КАК ДОСТИГАЕТСЯ БАЛАНС Подключение отдельных рабочих мест к ТФОП через модем Организация корпоративных модемных пулов Прямое подключение корпоративных ресурсов к сети «Интернет» Защищенное подключение «внешних» пользователей к корпоративной сети
ИТ-ИНСОРСИНГ И КСПД Корпоративная сеть передачи данных Корпоративный ИТ-оператор
PKI И VPN
МОБИЛЬНЫЙ ПОЛЬЗОВАТЕЛЬ Безопасный доступ к рабочему месту из любой точки земного шара (Remote Desktop, VPN) Корпоративная электронная почта на мобильных устройствах (MS Exchange, SSL) Возможность доступа к корпоративным ресурсам с любого устройства Для малого и среднего бизнеса все это весьма недешево…
МОБИЛЬНЫЙ БИЗНЕС • Оперативное развертывание и перемещение ИТ- инфраструктуры филиала без существенных капитальных затрат • Ежемесячная абонентская плата без необходимости приобретения дорогостоящего оборудования и получения лицензий • Полноценное техническое сопровождение на базе SLA • Распространение политик безопасности на все подразделения и филиалы • Централизованное управление и контроль использования информационных ресурсов VPN AS A SERVICE
РАЗНЫЕ КАТЕГОРИИ ИНФОРМАЦИИ Сведения, распространение или предоставление которой может оказать существенное влияние на цены финансовых инструментов и привести к снижению рыночной капитализации (инсайдерская информация) КТ1 Сведения, распространение или предоставление которых может привести к нанесению прямого ущерба компании (хищение ресурсов, потери от простоя, КТ2 недополученная прибыль и др.) Сведения, разглашение которых может нанести косвенный ущерб (упущенная выгода из-за нарушения бизнес-процессов, имиджевые и КТ3 репутационные риски и др.) Разрозненная информация, подлежащая защите в связи с потенциальной опасностью формирования сведений высших КТ4 категорий при анализе некоторой ее совокупности
РАЗНЫЕ ТРЕБОВАНИЯ ПО ЗАЩИТЕ Точная и конкретная информация, в связи с чем идентифицировать ее и определить область защищаемых ресурсов гораздо легче, чем в остальных категориях. К этой категории относится в основном информация о стратегических замыслах руководства, предстоящих инвестиционных проектах, будущих управленческих решениях и финансовой отчетности, до ее официального раскрытия. Меры защиты для КТ1 должны быть самые жесткие, но четкие и конкретные, а потому эффективные. КТ1 Информация для этой категории определяется путем анализа ОСНОВНЫХ бизнес-процессов компании и информационных потоков, их сопровождающих, на предмет возможных рисков, связанных с утечкой информации. Защитные меры для КТ2 выбираются на основании качественной или количественной оценки потенциального КТ2 ущерба активам в случае реализации этих рисков: чем больше ущерб – тем выше и дороже защита). Информация для этой категории определяется путем анализа ВСПОМОГАТЕЛЬНЫХ бизнес-процессов компании и информационных потоков, их сопровождающих, и определения КТ3 степени влияния утечки информации на основные бизнес- процессы компании. Как правило, такую информацию тяжело идентифицировать и защитить, поэтому бОльшая ее часть защищается путем внедрения СУИБ и оргмерами. Наименее контролируемая категория, а потому труднее всех защищаемая. КТ4 может быть везде – в КТ4 переписке, в приказах, служебных записках и т.д. Опасна тем, что в руках аналитика, умеющего сопоставлять и анализировать разрозненную информацию, некоторая ее совокупность способна после анализа дать сведения из «высших» категорий. Из-за огромного объема защитить ее практически невозможно (потому что очень дорого) – только оргмеры и постоянное обучение пользователей этой информации.
BYOD И КОММЕРЧЕСКАЯ ТАЙНА Обязательное условие установления режима коммерческой тайны (ч. 5 ст. 10 98- ФЗ): Нанесение на материальные носители (документы), содержащие информацию, составляющую коммерческую тайну, грифа "Коммерческая тайна" с указанием обладателя этой информации (для юридических лиц - полное наименование и место нахождения, для индивидуальных предпринимателей - фамилия, имя, отчество гражданина, являющегося индивидуальным предпринимателем, и место жительства) Ст. 2 98-ФЗ. Положения настоящего Федерального закона распространяются на информацию, составляющую коммерческую тайну, независимо от вида носителя, на котором она зафиксирована. ГОТОВЫ «ОКЛЕИТЬ» ЛИЧНЫЙ ГАДЖЕТ?
BYOD И ПЕРСОНАЛЬНЫЕ ДАННЫЕ Статья 19 152-ФЗ. Меры по обеспечению безопасности персональных данных при их обработке 1. Оператор при обработке персональных данных обязан принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных. 2. Обеспечение безопасности персональных данных достигается, в частности: 5) учетом машинных носителей персональных данных А КАК БЫТЬ С СЕРТИФИЦИРОВАННЫМИ АНТИВИРУСАМИ, МЕЖСЕТЕВЫМИ ЭКРАНАМИ И ПОНЯТИЕМ «КОНТРОЛИРУЕМАЯ ЗОНА» ?
BYOD И ВОЗМЕЩЕНИЕ УЩЕРБА Работник может использовать свое личное имущество при выполнении трудовой функции с согласия или с ведома работодателя и в его интересах (в том числе и на договорной основе). В этих случаях работнику выплачивается компенсация за использование, износ (амортизацию) инструмента, личного транспорта, оборудования и других технических средств и материалов, принадлежащих работнику, а также возмещаются расходы, связанные с их использованием (ст. 188 ТК РФ). При утрате или повреждении этого имущества по вине работодателя работнику должен быть возмещен понесенный им материальный ущерб (ст. 235 ТК РФ). А ЕСЛИ УЩЕРБ ИМУЩЕСТВУ ПРИЧИНЕН ТРЕТЬИМИ ЛИЦАМИ?
РЕАЛИЗАЦИЯ ТРЕБОВАНИЙ КТ1 КТ2 КТ3 КТ4 Запрет использования личных средств обработки информации Запрет использования неучтенных и немаркированных носителей информации Шифрование содержимого жестких дисков Шифрование электронной почты Использование смартфонов и планшетов для обработки информации Использование VPN для доступа к корпоративной сети передачи данных Использование защищенных терминальных серверов для доступа к корпоративным ресурсам
SAP (SYBASE) AFARIA
МОБИЛЬНОСТЬ И ОТВЕТСТВЕННОСТЬ =
СПАСИБО ЗА ВНИМАНИЕ! Блог: http://anvolkov.blogspot.com E-Mail: anvolkov@lenta.ru Алексей Волков, ОАО «Северсталь»

More Related Content

Мобильный доступ

  • 1. МОБИЛЬНЫЙ ДОСТУП: КАК ЭТО БЫЛО РЕАЛИЗАЦИЯ БЕЗОПАСНОГО МОБИЛЬНОГО ДОСТУПА К КОРПОРАТИВНЫМ РЕСУРСАМ ХОЛДИНГА Алексей Волков, ОАО «Северсталь»
  • 2. ХОЛДИНГ: СТРУКТУРА Сталь Лом Метизы Сбыт Уголь Золото Трубы Сервис
  • 4. БИЗНЕС-ТРЕБОВАНИЯ VS ТРЕБОВАНИЯ БЕЗОПАСНОСТИ Возможность Соблюдение доступа установленных сотрудников к правил и политик корпоративным безопасности ресурсам вне зависимости в любом месте, от места, в любое время времени и с любого и способа устройства подключения
  • 5. КАК ДОСТИГАЕТСЯ БАЛАНС Подключение отдельных рабочих мест к ТФОП через модем Организация корпоративных модемных пулов Прямое подключение корпоративных ресурсов к сети «Интернет» Защищенное подключение «внешних» пользователей к корпоративной сети
  • 6. ИТ-ИНСОРСИНГ И КСПД Корпоративная сеть передачи данных Корпоративный ИТ-оператор
  • 8. МОБИЛЬНЫЙ ПОЛЬЗОВАТЕЛЬ Безопасный доступ к рабочему месту из любой точки земного шара (Remote Desktop, VPN) Корпоративная электронная почта на мобильных устройствах (MS Exchange, SSL) Возможность доступа к корпоративным ресурсам с любого устройства Для малого и среднего бизнеса все это весьма недешево…
  • 9. МОБИЛЬНЫЙ БИЗНЕС • Оперативное развертывание и перемещение ИТ- инфраструктуры филиала без существенных капитальных затрат • Ежемесячная абонентская плата без необходимости приобретения дорогостоящего оборудования и получения лицензий • Полноценное техническое сопровождение на базе SLA • Распространение политик безопасности на все подразделения и филиалы • Централизованное управление и контроль использования информационных ресурсов VPN AS A SERVICE
  • 10. РАЗНЫЕ КАТЕГОРИИ ИНФОРМАЦИИ Сведения, распространение или предоставление которой может оказать существенное влияние на цены финансовых инструментов и привести к снижению рыночной капитализации (инсайдерская информация) КТ1 Сведения, распространение или предоставление которых может привести к нанесению прямого ущерба компании (хищение ресурсов, потери от простоя, КТ2 недополученная прибыль и др.) Сведения, разглашение которых может нанести косвенный ущерб (упущенная выгода из-за нарушения бизнес-процессов, имиджевые и КТ3 репутационные риски и др.) Разрозненная информация, подлежащая защите в связи с потенциальной опасностью формирования сведений высших КТ4 категорий при анализе некоторой ее совокупности
  • 11. РАЗНЫЕ ТРЕБОВАНИЯ ПО ЗАЩИТЕ Точная и конкретная информация, в связи с чем идентифицировать ее и определить область защищаемых ресурсов гораздо легче, чем в остальных категориях. К этой категории относится в основном информация о стратегических замыслах руководства, предстоящих инвестиционных проектах, будущих управленческих решениях и финансовой отчетности, до ее официального раскрытия. Меры защиты для КТ1 должны быть самые жесткие, но четкие и конкретные, а потому эффективные. КТ1 Информация для этой категории определяется путем анализа ОСНОВНЫХ бизнес-процессов компании и информационных потоков, их сопровождающих, на предмет возможных рисков, связанных с утечкой информации. Защитные меры для КТ2 выбираются на основании качественной или количественной оценки потенциального КТ2 ущерба активам в случае реализации этих рисков: чем больше ущерб – тем выше и дороже защита). Информация для этой категории определяется путем анализа ВСПОМОГАТЕЛЬНЫХ бизнес-процессов компании и информационных потоков, их сопровождающих, и определения КТ3 степени влияния утечки информации на основные бизнес- процессы компании. Как правило, такую информацию тяжело идентифицировать и защитить, поэтому бОльшая ее часть защищается путем внедрения СУИБ и оргмерами. Наименее контролируемая категория, а потому труднее всех защищаемая. КТ4 может быть везде – в КТ4 переписке, в приказах, служебных записках и т.д. Опасна тем, что в руках аналитика, умеющего сопоставлять и анализировать разрозненную информацию, некоторая ее совокупность способна после анализа дать сведения из «высших» категорий. Из-за огромного объема защитить ее практически невозможно (потому что очень дорого) – только оргмеры и постоянное обучение пользователей этой информации.
  • 12. BYOD И КОММЕРЧЕСКАЯ ТАЙНА Обязательное условие установления режима коммерческой тайны (ч. 5 ст. 10 98- ФЗ): Нанесение на материальные носители (документы), содержащие информацию, составляющую коммерческую тайну, грифа "Коммерческая тайна" с указанием обладателя этой информации (для юридических лиц - полное наименование и место нахождения, для индивидуальных предпринимателей - фамилия, имя, отчество гражданина, являющегося индивидуальным предпринимателем, и место жительства) Ст. 2 98-ФЗ. Положения настоящего Федерального закона распространяются на информацию, составляющую коммерческую тайну, независимо от вида носителя, на котором она зафиксирована. ГОТОВЫ «ОКЛЕИТЬ» ЛИЧНЫЙ ГАДЖЕТ?
  • 13. BYOD И ПЕРСОНАЛЬНЫЕ ДАННЫЕ Статья 19 152-ФЗ. Меры по обеспечению безопасности персональных данных при их обработке 1. Оператор при обработке персональных данных обязан принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных. 2. Обеспечение безопасности персональных данных достигается, в частности: 5) учетом машинных носителей персональных данных А КАК БЫТЬ С СЕРТИФИЦИРОВАННЫМИ АНТИВИРУСАМИ, МЕЖСЕТЕВЫМИ ЭКРАНАМИ И ПОНЯТИЕМ «КОНТРОЛИРУЕМАЯ ЗОНА» ?
  • 14. BYOD И ВОЗМЕЩЕНИЕ УЩЕРБА Работник может использовать свое личное имущество при выполнении трудовой функции с согласия или с ведома работодателя и в его интересах (в том числе и на договорной основе). В этих случаях работнику выплачивается компенсация за использование, износ (амортизацию) инструмента, личного транспорта, оборудования и других технических средств и материалов, принадлежащих работнику, а также возмещаются расходы, связанные с их использованием (ст. 188 ТК РФ). При утрате или повреждении этого имущества по вине работодателя работнику должен быть возмещен понесенный им материальный ущерб (ст. 235 ТК РФ). А ЕСЛИ УЩЕРБ ИМУЩЕСТВУ ПРИЧИНЕН ТРЕТЬИМИ ЛИЦАМИ?
  • 15. РЕАЛИЗАЦИЯ ТРЕБОВАНИЙ КТ1 КТ2 КТ3 КТ4 Запрет использования личных средств обработки информации Запрет использования неучтенных и немаркированных носителей информации Шифрование содержимого жестких дисков Шифрование электронной почты Использование смартфонов и планшетов для обработки информации Использование VPN для доступа к корпоративной сети передачи данных Использование защищенных терминальных серверов для доступа к корпоративным ресурсам
  • 18. СПАСИБО ЗА ВНИМАНИЕ! Блог: http://anvolkov.blogspot.com E-Mail: anvolkov@lenta.ru Алексей Волков, ОАО «Северсталь»