Embed Size (px)
Citation preview
Александр ЛипкинКонсультант по
инфраструктурным решениям
Microsoft Россия
Система информационной безопасности (СИБ) -Совокупность защитных мер, средств и процессов их эксплуатации, включая ресурсное и административное обеспечение.
Система менеджмента информационной безопасности -Часть менеджмента организации банковской системы РФ, предназначенная для создания, реализации, эксплуатации, мониторинга, анализа, поддержки и совершенствования системы обеспечения ИБ.
Система обеспечения информационной безопасности -Совокупность СИБ и СМИБ организации банковской системы Российской Федерации.
Требования к СИБ должны быть сформированы для:
• назначения и распределения ролей и обеспечения доверия к персоналу
• обеспечения ИБ на стадиях жизненного цикла АБС
• защиты от НСД и НРД, управления доступом и регистрацией всех действий в АБС, в телекоммуникационном оборудовании и др
• антивирусной защиты
• использования ресурсов Интернет
• использования СКЗИ
• защиты банковских платежных и информационных технологических процессов, в том числе в рамках которых обрабатываются персональные данные
• Модель, построенная на основе методологии эшелонированной защиты
• Всесторонний процессно-ориентированный подход, основанный на ITIL/MOF
• Роли должны быть выделены, персонифицированы и документально закреплены, определена процедура пересмотра прав при изменении роли
• Ответственность в должностных инструкциях
• Требования к разделению ролей
• Требования к аудиту и контролю за ролями с расширенными полномочиями
• Определение процедуры приема на работу− Подлинность документов и данных
− Профессиональные навыки
• Обеспечение процессов агрегации и синхронизации или консолидации различных хранилищ идентификационной информации
• Автоматизация процессов “Provisioning” и “Deprovisioning”, включая управление группами
• Построение модели ролей и отслеживание соответствия
Система управления жизненным циклом
идентификационной информацией:
• Перечень активов и прав доступа к ним
• Документально закрепленные критерии определения несанкционированных действий и операций
• Аудит событий− Операции с данными о клиентских счетах
− Проводимых транзакций
− Операции, связанных с назначением и распределением прав пользователей
• Работа всех пользователей АБС должна осуществляться под уникальными учетными записями.
• Формирование политик безопасности и организации доступа к защищенным ресурсам
• Single Sign On
• Усиление механизмов аутентификации
• Формирования политики аудита
Формирование Службы каталога и централизованной
системы управления
событиями аудита
• ЕСК на базе Active Directory− Единое хранилище пользователей
− Kerberos v5
− Централизованные политики аудита
− Двухфакторная аутентификация
− Аутентификация и авторизация на базе AD FS v2
• Управление событиями аудита на базе SCOM/ACS
• Управление жизненным циклом идентификационных данных на платформе FIM 2010
Реализация некоторых требований к формированию ролей,
управлению доступом и аудиту
Артур ГаффановТехнологический центрMicrosoft
• Автоматический режим установки обновлений антивирусного ПО и его сигнатурных баз. Антивирусная фильтрация всего трафика электронного почтового обмена.
• Эшелонированная антивирусная защита от различных производителей− Рабочие станции
− Почтовые сервера
− Межсетевые экраны
• Контроль за отключением антивирусных средств на АРМ и серверах АБС
• Антивирусные ядра от нескольких антивирусных лабораторий
• Централизованное управление и мониторинг
• Комплексный подход к защите
• Контроль за отключением антивирусных средств
Построение централизованной эшелонированной
антивирусной защиты
информационных систем Банка
• Защита серверов на базе Forefront Server Security− Ядра от ведущих антивирусных
лабораторий
− Единая консоль управления и мониторинга
− Защита от спама
• Защита от вирусов и вредоносного ПО на базе Forefront Client Security
• Контроль конфигураций в части средств антивирусной защиты на платформе SCCM
• Контроль вредоносного кода на периметре при помощиForefront TMG (ISA Server)
Реализация требования в части антивирусной защиты
• Использование сети Интернет для:− ДБО
− Информационных сайтов Банка
− Информационно-аналитической работы в интересах организации
− Электронная почты
• Рекомендации по физической изоляции внутренней сети от сегмента Интернет
• Необходимость использования межсетевых экранов, СКЗИ, антивирусных и антиспамсредств
• Для систем ДБО требования к процедурам аутентификации и авторизации
• Безопасная публикация приложений, защита систем ДБО
• Защита интернет сайта и др. ресурсов
Реализация сценариев безопасной публикации
приложений
• Независимость от платформы - SSO для распределенных систем
• Гибкие возможности для авторизации
• Использование HTTP/S как основного транспорта
Построение эффективных сервисов
аутентификации и авторизации для систем ДБО. Обеспечение SSO.
• Реализация Web Anti-Malware
• Контроль доступа на основе категорий URL Filtering
• Система предотвращения сетевых вторжений (NIS)
• Эффективная защита от спама, вирусов и фильтрация содержимого
Реализация эффективных средств
антиспам и антивирусной защиты
• Сервис аутентификации и авторизации на базе ADFS v2
• Средства защиты периметра и фильтрация почты на платформе Forefront TMG и FPE− Спам-фильтр и антивирус
− Межсетевой экран
− VPN
• Безопасная публикация приложений с использованием Forefront UAG
Реализация ряда требований по обеспечению ИБ при
использовании сети Интернет
КомпонентыСлужба каталогов – Active Directory
Directory Synchronization Services - FIM
Двухфакторная аутентификация – PKI + FIM-CM
Федеративные службы и Web SSO – AD FS v2
Audit Collection – SCOM/Audit Collection Services
Управление и контроль – System Center Conf. Manager
Антивирусная защита – Forefront (FCS, FPE, FPS)
Защита периметра – TMG 2010
Публикация приложений – UAG 2010
Directory Synchronization ServicesStrong Authentication
Forefront Identity
Manager 2010
Messaging
SharePoint
ERP
Банк
Партнеры Web Single Sign-On
AD AD FS AD FS
Web
Сайт
CAFederation Services
Клиенты
Банка
AD
Directory Services
Сотрудники
Банка HR
Threat
Management
Gateway 2010
Инфраструктура
System CenterAudit
Collection
Forefront
Rights
Management
• Необходимость использования СКЗИ определяется организацией БС РФ самостоятельно, если иное не предусмотрено законодательством РФ.
• Применение СКЗИ должно проводиться в соответствии с моделью угроз ИБ и моделью нарушителя ИБ, принятыми организацией БС РФ.
• СКЗИ должны быть сертифицированы уполномоченным государственным органом, либо иметь разрешение ФСБ России
• Интерфейс Crypto API
• Используют большинство существующих и унаследованных приложений, служб и сервисов на платформе Windows
• Партнеры, предоставляющие сертифицированные СКЗИ (ГОСТ), встроенные в платформу Windows
• Модули реализации ГОСТ 34.10-2001, ГОСТ 28147-89, ГОСТ 34.11-94
• Поддержка стандартных протоколов (TLS/SSL, SMIME) и платформ разработки (.Net, WCF) с сертифицированными СКЗИ
• Долгосрочное сотрудничество в части сертификации и взаимодействия
• CNG – Crypto Next Generation
• Долгосрочное видение гибкого механизм встраивания криптографии (в т.ч. ГОСТ)
• Реализован в ОС Windows Vista и выше
Возможность встраивания
сертифицированных СКЗИ в
коммерческое ПО
• Защиты сетевого взаимодействия− TLS/SSL
• Хранения данных− EFS
− CMS
• Обработки данных− WCF
− .NET
Реализация ряда требований к СКЗИ. Применение сертифицированных
средств для:
• Изменения в стандарте БР касательно требований к обработке персональных данных− СТО БР доработан для использования с целью
защиты персональных данных (7.7;7.10;7.11;изм. 9)
− Отраслевая частная модель угроз
− Рекомендации по выполнению законодательных требований при обработке персональных данных в организациях БС РФ.
• При успешном согласовании 4-й редакцииСТО БР с регуляторами будет две возможности:
− Вводить стандарт СТО БР внутренним приказом, привести в соответствие и не позднее 31 января проинформировать БР и регуляторов.
− Аттестовать системы на152-ФЗ
• Все ИСПДн организаций БС РФ относятся к специальным
• Должны быть определены критерии классификации ИСПДн− Классификация ИСПДн должна проводиться, в том
числе на основе категорий обрабатываемых в ИСПДн персональных данных.
• Результатом оценки рисков нарушения безопасности персональных данных является Модель угроз безопасности персональных данных, содержащая актуальные для организации БС РФ угрозы ИБ
• Требования стандарта Банка России соответствуют основным положениям концепции модели эшелонированной защиты
• Решения Microsoft позволяют эффективно реализовать ряд требований отраслевого стандарта Банка России
• Корпорация Microsoft проводит системную и последовательную политику по обеспечению соответствия требованиям регуляторов
