…
Снижение риска потери данных в облачных средах при помощи межсетевого
экрана TrustAccess. Пример расчета ROI
Михаил КозловКонсультант по развитию бизнеса
http://devbusiness.ru/mkozloff/about Подготовлено для компании «Код Безопасности»
…
Sator Arepo Tenet Opera Rotas
2
Содержание
1. Проблема: рост риска несанкционированного доступа (НСД) к данным в облачных и виртуальных средах
2. Последствия: потеря данных и штрафы регуляторов
3. Решение: МСЭ TrustAccess4. TrustAccess ROI калькулятор
…
Sator Arepo Tenet Opera Rotas
ПРОБЛЕМА
Проблема: рост риска несанкционированного доступа (НСД) к данным в облачных и виртуальных средахПоследствия: потеря данных и штрафы регуляторовРешение: МСЭ TrustAccessTrustAccess ROI
3
…
Sator Arepo Tenet Opera Rotas
Облака и мобильный доступ повышают риск потери данных
4
В облачной и мобильной
инфраструктуре нет единого периметра
Традиционные МСЭ не
ограничивают доступ ко всем
местам хранения и использования
данных
Растут риски потери данных со
стороны внешних и внутренних (инсайдеры)
злоумышленников
…
Sator Arepo Tenet Opera Rotas
Межсетевой экран
Межсетевой экран (МСЭ) или сетевой экран — комплекс аппаратных или программных средств, осуществляющий контроль и фильтрацию проходящих через него сетевых пакетов в соответствии с заданными правилами.Основной задачей сетевого экрана является защита компьютерных сетей или отдельных узлов от несанкционированного доступа.
Источник: Википедия«Межсетевой экран» = «брандмауэр» = «фаервол» (firewall)
5
…
Sator Arepo Tenet Opera Rotas
LAN
Традиционный МСЭ защищает периметр сети
6
DMZ
МСЭ МСЭ
Интернет
…
Sator Arepo Tenet Opera Rotas
Недостатки МСЭ на периметре
7
В современной сети нет единого периметра• в сети, включающей Wi-Fi, мобильных пользователей, облачные
сервисы, сети провайдеров и филиалов возникает множество черных входов (люков)
Угрозы от инсайдеров• МСЭ на периметре обычно не обеспечивают защиты от внутренних
угроз (НСД сотрудников к информации)
Ограничения производительности• концентрация средств обеспечения безопасности в одном месте
приводит к ограничению пропускной способности.
…
Sator Arepo Tenet Opera Rotas
Облака и мобильный доступ размывают периметр
8
DMZ
МСЭ МСЭ
Интернет
Облаковнешнегопровайдера
Виртуальные машинымигрируют в
гибридном облаке
Мобильные пользователи
…
Sator Arepo Tenet Opera Rotas
2010: 48% потерь данных через инсайдеров (рост на 26%)
2010 Data Breach Investigations ReportVerizon RISK Team in cooperation with the United States Secret Service
…
Sator Arepo Tenet Opera Rotas
ПОСЛЕДСТВИЯ
Проблема: рост риска несанкционированного доступа (НСД) к данным в облачных и виртуальных средахПоследствия: потеря данных и штрафы регуляторовРешение: МСЭ TrustAccessTrustAccess ROI
10
…
Sator Arepo Tenet Opera Rotas
Санкции регуляторов
За нарушение требований 152-ФЗ: «Лица, виновные в нарушении требований
настоящего Федерального закона, несут гражданскую, уголовную, административную, дисциплинарную и иную предусмотренную законодательством Российской Федерации ответственность». (Глава 5, статья 24)
За нарушение требований PCI DSS Штрафы до $500 000
11
…
Sator Arepo Tenet Opera Rotas
12
РЕШЕНИЕ
Проблема: рост риска несанкционированного доступа (НСД) к данным в облачных и виртуальных средахПоследствия: потеря данных и штрафы регуляторовРешение: МСЭ TrustAccessTrustAccess ROI
…
Sator Arepo Tenet Opera Rotas
13
Сервер
Рабочие станции пользователей
Сертифицированное решение для защиты данных а не периметра
TrustAccess — распределенный межсетевой экран с централизованным управлением для защиты от НСД к данным на физических и виртуальных серверах и ПК в сети организации
Сервер управления TrustAccess
Администратор ИБ
…
Sator Arepo Tenet Opera Rotas
14
TrustAccess: решаемые задачи
Защищает данные от НСД на физических и виртуальных серверах и ПК, а не периметр сети снижение риска потери данных в физических, виртуальных
и облачных средах
Не требует изменения существующей сети при внедренииСоответствие требованиям (152-ФЗ и PCI DSS) Позволяет снизить стоимость защиты ПДн за счет
сегментации ИСПДн с «К1» до «К1 + К3» (сертификация ФСТЭК)
Ограничивает доступ к данным для соответствия требованиям PCI DSS
…
Sator Arepo Tenet Opera Rotas
15
Основные возможности
Аутентификация сетевых соединений на уровне пользователей и компьютеров в системах с клиент-серверной, многозвенной и терминальной архитектурой (физической и VMware)Фильтрация и защита сетевых соединенийРегистрация событий, связанных с информационной безопасностьюКонтроль целостности и защита от НСД компонентов СЗИЗначительно снижает затраты компаний на построение системы защиты ИСПДн (за счет сегментирования)Централизованное управление
…
Sator Arepo Tenet Opera Rotas
ПользовательСервер
ПДн
ДСП
СС
Разграничение сетевого доступа в TrustAccess
16
Аутентификация
Авторизация (фильтрация соединений)
Установка защищенного соединения
Аутентификация Kerberos: устойчива к
угрозам Man in The Middle
Сервер управления
TrustAccess
Аутентификации субъекта доступа и объекта (защита
от подмены сервера)
?Проверка правил доступа на основе
разных критериев: (субъекты: компьютеры, пользователи, группы;
параметры соединения: адреса, порты, протоколы т.п.).
Регистрация в журнале Сигнализация о нарушении
правил
Защищенное соединение (IPSec AH)Контроль аутентичности и
целостности трафика без шифрования
Аутентификация может происходить как на уровне отдельного
пользователя, так и компьютера целиком
…
Sator Arepo Tenet Opera Rotas
СЦЕНАРИИ ПРИМЕНЕНИЯ TRUSTACCESS
17
…
Sator Arepo Tenet Opera Rotas
1. Защита персональных данных (ПДн – 152ФЗ и PCI DSS)
18
…
Sator Arepo Tenet Opera Rotas
Регулирование
152ФЗ (защита ПДн) Принят в 2006 г. Поправки в 2011 г.
ФСТЭК «Четверокнижье»
(отменено) Приказ №58 (будут
поправки) Ждем новостей
ФСБ Ждем новостей
PCI DSS 2.0 12 детализированных
требований по обеспечению безопасности данных о держателях платёжных карт, которые передаются, хранятся и обрабатываются в ИС
19
…
Sator Arepo Tenet Opera Rotas
20
152-ФЗ в редакции от 25.07.2011 Статья 19.1
Оператор [ПДн] при обработке персональных данных обязан принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.
…
Sator Arepo Tenet Opera Rotas
Защита ПДн в PCI DSS
4 уровня сертификации Level 1: Требуется
сервис-провайдерам, и мерчантам, с количеством транзакций более 6 млн. в год.
Level 2: 1...6 млн. в год. Level 3: 20 тыс. ... 1млн.
в год. Level 4: до 20 тыс. в год.
6 областей контроля и 12 основных требований по безопасности. Построение и
сопровождение защищённой сети
• Требование 1: установка и обеспечение функционирования межсетевых экранов для защиты данных держателей карт.
21Источник: http://ru.wikipedia.org/wiki/PCI_DSS
…
Sator Arepo Tenet Opera Rotas
Задачи по защите ПДн
Выполнение требований регуляторов 152ФЗ РФ (защита ПДн), PCI DSS (защита данных
держателей банковских карт)
Защита от НСД при использования внутри периметра, в облаке и при мобильном доступе
22
Данные на клиентах
Данные на серверах
В физических и
виртуальных средах
…
Sator Arepo Tenet Opera Rotas
Проблемы защиты ПДн
Отсутствие правил доступа к ПДн внутри периметра и угроза хищения инсайдерами Администратор директории не знает где ПДн и
политику их использования Администратор ИСПДн по умолчанию имеет все
права
ПДн могут перемещаться за периметр Виртуализация Облака Мобильные устройства
23
…
Sator Arepo Tenet Opera Rotas
Исчезновение периметра в облачной среде
Риск потери ПДн через администраторов или
пользователей
Санкции регуляторов за потерю ПДн
Проблемы защиты ПДн
24
Защита данных а не периметра
• TrustAccess = МСЭ для ИСПДн
Сертификация
• Сертификаты ФСТЭК и ФСБ до уровня гостайны
Сегментация
• Сегментация ПДн для уменьшения площади защиты
Решение с TrustAccess
…
Sator Arepo Tenet Opera Rotas
Требования к наличию сертифицированных подсистем в СЗПДн
Управление доступом
Межсетевое экранирование
Регистрация и учет
Обеспечение целостности
Антивирусная защита
Обнаружение вторжений
Анализ защищенности
ШифрованиеРешается
с TrustAcces
s
…
Sator Arepo Tenet Opera Rotas
Методы решения с TrustAccess
Исчезновение периметра Для дополнительной защиты ПДн от НСД необходимо
установить Trust Access на АРМ и серверы (в т.ч. виртуальные)
Защита от администраторов ПДн и других инсайдеров Разделение ответственности: АПДн + АИБ TrustAccess имеет собственные механизмы аутентификации и
разграничения доступа, что позволяет развертывать продукт поверх существующих информационных систем без их изменения
Сертификация ФСТЭК и ФСБ TrustAccess сертифицирован для К1 и гостайны
26
…
Sator Arepo Tenet Opera Rotas
Сертификаты TrustAccess
TrustAccess Сертификат ФСТЭК
России МЭ2 и НДВ4 Защита ИСПДн К1 Защита АС 1Г
(гриф «для служебного пользования»)
TrustAccess-S Сертификат ФСТЭК
России МЭ 2 и НДВ2 Защита ИСПДн К1 Защита АС 1Б (до
грифа «совершенно секретно»)
27
…
Sator Arepo Tenet Opera Rotas
28
Сервер баз данных Call-центра
CRM-система Call-Центра(веб-сервер)
Операторы Call-центра
Доступ к CRM-системе предоставляется только операторам Call-центра. Сотрудники,
чья работа не связана с обработкой ПДн, доступ не получают
Пример: защита ПДн в CALL-центреДля удобства настройки
однотипных правил доступа в TrustAccess реализованы группы
пользователей
Доступ к СУБД получает только веб-сервер с CRM-системой Call-Центра.
…
Sator Arepo Tenet Opera Rotas
29
К3
К3
К3
ИСПДн К1 ИСПДн К1
Варианты использования TrustAccess. Сегментирование ИСПДн
Сервер ИСПДн
Пользователи ИСПДн
В ИСПДн обрабатывается более100000 записей ПДн второй категории (ФИО, место работы,
семейное положение) = К1
На каждом АРМ
пользователя ИСПДн
одновременно
обрабатывается меньше
1000 записей
ПДн.
Экономия на
средствах защиты.
Из документовФСТЭК
России (СТР-К, приказ №58 и т.п.)
следует, что АС/ИСПДн можно
разделить с помощью
сертифицированных МЭ на части, при этом каждая из частей будет сохранять свой
класс
Возможность сэкономить на защите ПДн
…
Sator Arepo Tenet Opera Rotas
30
Инженеры КБ
СС
СС
СС
Проектные серверы САПР
Варианты использования TrustAccess. Защита гостайны в КБ
В зависимости от того, над каким проектом работает инженер, он получает доступ к тем или иным серверам (сетевым сервисам)
TrustAccess позволяет разграничить сетевой доступ на основе групп пользователей
…
Sator Arepo Tenet Opera Rotas
31
Сервер терминальных служб
Сервер 1С
ПДн
Сервер кадровой системы
ПДн
Бухгалтер
Кадровик
Варианты использования TrustAccess. Терминальные службы
Все пользователи получают доступ к защищаемым данным с одного физического
компьютера с одного IP-адреса
…
Sator Arepo Tenet Opera Rotas
32
Варианты использования TrustAccess. Защита виртуальных машин
Виртуальная инфраструктура (серверы виртуализации и серверы управления)
Виртуальные рабочие места
Виртуальные машины - серверы
TrustAccess защищает от сетевых атак
как со стороны внешних
физических машин, так и со
стороны виртуальных
машин.
Механизмы защиты
TrustAccess нечувствительны к подмене MAC- или IP-
адресов.
…
Sator Arepo Tenet Opera Rotas
TRUSTACCESS ROI
Задача: защита от НСДРешение с TrustAccess
Сценарии применения для клиентаЧто зарабатывает партнер
TrustAccess ROI
33
…
Sator Arepo Tenet Opera Rotas
34
Зачем считать отдачу от инвестиций (ROI)?
Универсальный метод, объясняющий инвестору какую отдачу и с каким уровнем риска принесут возможные инвестицииИнвестиционные проекты сравниваются уровнем отдачи и рискаОснова для принятия инвестиционных решений
…
Sator Arepo Tenet Opera Rotas
Return on Investment (ROI) Отдача от инвестиций
35
Выгода – Затраты
ЗатратыROI = * 100%
…
Sator Arepo Tenet Opera Rotas
Отдача от инвестиций (ROI) в безопасность
Безопасность – это бизнес-процесс,
требующий инвестиций
ROI достигается за счет снижения
рисков до приемлемого
уровня в рамках конкретной модели
угроз
Угрозы, риски и вероятности их
проявления постоянно
изменяются
…
Sator Arepo Tenet Opera Rotas
Источники ROI для TrustAccess
1
• Снижение затрат на построение системы защиты ПДн (за счет сегментирования ИСПДн и сертификации во ФСТЭК)
3• Снижение риска НСД к
данным (в т.ч. для соответствия PCI DSS)
…
Sator Arepo Tenet Opera Rotas
Модель для оценки возврата на инвестицию (ROI) в МСЭ TrustAccess
Снижение риска потери информации Сегментирование ПДн• К1 = 18000 руб. на
ПК• К3 = 6000 руб. на ПК
ЛицензииВнедрениеОбучение администратораАдминистрирование
Вы
год
а
Затр
аты
38
…
Sator Arepo Tenet Opera Rotas
Стоимость потери информации
285М взломанных записей в 2008 г. (Verizon Business RISK Team)В 2008 в США потеря каждой записи стоила $202, включая $152 косвенного ущерба (Ponemon Institute)Для России подобных данных нет
39True Cost of Compliance Report, Ponemon Institute LLC, January 2011
…
Sator Arepo Tenet Opera Rotas
Типы и стоимость инцидентов с ИБ
40
…
Sator Arepo Tenet Opera Rotas
Потеря данных через администратора – самый дорогой тип инцидента в ИБ
Администраторы ИСПДн по умолчанию имеют доступ к даннымЗловредное ПО с правами администратора может получить контроль над ИСПДн
41
The Value Of Corporate SecretsHow Compliance And Collaboration Affect Enterprise Perceptions
Of RiskMarch 2010, Forrester
…
Sator Arepo Tenet Opera Rotas
PCI-DSS: штрафы до $500,000
42
…
Sator Arepo Tenet Opera Rotas
Схема лицензирования TrustAccess
Лицензируются защищаемые при помощи TrustAccess:• Рабочие станции• Серверы (физических и
виртуальных)
Бухгалтер
Серверуправления TrustAccess
Сервер 1С
Менеджер по продажам
Сервер CRM
…
Sator Arepo Tenet Opera Rotas
Исходные данные
44
Централизованная установка, 1
администратор TrustAccess
5 серверов150 ПК
Годовая з/п администратора с учетом накладных расходов = $48к
Снижение риска потери данных
после внедрения TrustAccess = 10%
Снижение риска штрафа по PCI DSS
= 8%
Сегментируем ИСПДн с К1 до К3
Ставка дисконтирования
15%
Горизонт расчета 3 года
…
Sator Arepo Tenet Opera Rotas
TrustAccess ROI калькулятор
45
• Расчет сделан с TrustAccess ROI Calculator для вымышленной компании. Защита 5-ти серверов и 150 ПК
• Модель угроз Forrester ("The Value Of Corporate Secrets - How Compliance And Collaboration Affect Enterprise Perceptions Of Risk", March 2010, by A Forrester Consulting Thought Leadership Paper (Commissioned By Microsoft And RSA, The Security Division Of EMC)
• Снижение риска потери данных из-за НСД на 10%, штрафов PCI DSS на 8% и снижения затрат на защиту ПДн за счет сегментации ИСПДн при помощи TrustAccess
Риск Значение ПС (3 года)Инвестиции 1 589 174р. 1 430 488р. Выгода 13 146 650р. 10 304 243р. Фактор риска для выгоды 30% 3 943 995р.- 3 091 273р.- NPV 7 613 481р. 5 782 483р. ROI 404%Выгода в месяц 211 486р. 160 625р. Период окупаемости, мес. 8 9
…
Sator Arepo Tenet Opera Rotas
Заключение
46
Ситуация
Отсутствие единого периметра в современных сетях (мобильный доступ,
облака, wi-fi)
Администраторы могут иметь доступ к
критическим данным
Рост риска несанкционированного
доступа к данным в облачных и виртуальных
средах
Последствия
Утечка данных
Санкции за потерю ПДн и штрафы за
несоответствие PCI DSS
Решение
TrustAccess защищает данные а не периметр
Снижение стоимости защиты ПДн за счет
сертификации ФСТЭК и сегментации ИСПДн
…
Sator Arepo Tenet Opera Rotas
Дополнительная информация
47
• Защита ключевых ресурсов организации с помощью TrustAccess
• Оптимальное решение задач защиты персональных данных с помощью МЭ TrustAccess с учетом специфики ИСПДн, обладающих клиент-серверной и многозвенной архитектурой
• TrustAccess – эффективная сертифицированная защита серверов баз данных
• Сравнение Trust Access и SSEP• Снижение класса ИСПДн
и уровня АС через сегментирование сети
…
Sator Arepo Tenet Opera Rotas
48
Михаил Козлов
Консультант по развитию бизнеса и продаже решений на основе бизнес-ценности (ROI)
20 лет в ИТ и консалтинге
VDEL, Trend Micro, VMware, Microsoft, V6, CARANA, Cognitive Technologies…
…
Sator Arepo Tenet Opera Rotas
49
S A T O R
A R E P O
T E N E T
O P E R A
R O T A S
(c)2011, Михаил Козлов. Информация в настоящей презентации предоставляется на условиях «КАК ЕСТЬ», без предоставления каких-либо гарантий и прав. Используя данную информацию, Вы соглашаетесь с тем, что (i) автор(ы) не несут ответственности за использование Вами данной информации и (ii) Вы принимаете на себя весь риск, связанный с использованием данной информации». Упомянутые торговые марки и названия принадлежат их законным владельцам.