Cоблюдение требований законодательства с помощью...

Соблюдение требований законодательства с помощью сертифицированных средств безопасности Oracle

Сергей Базылько, к.ф.-м.н.

Директор по продажам продуктов безопасности,

Oracle СНГ

Москва, 2 декабря 2014г.

Copyright © 2014, Oracle and/or its affiliates. All rights reserved.

Copyright © 2014, Oracle and/or its affiliates. All rights reserved. | 3

S EC U R I T Y

S EC U R I T Y

S EC U R I T Y

S EC U R I T Y

S EC U R I T Y

S EC U R I T Y

S E C U R I T Y

ORACLE SECURITY INSIDE OUT ЗАЩИТА НА КАЖДОМ УРОВНЕ

76%

ВЗЛОМ по СЕТИ УКРАДЕНЫЫЕ и СЛАБЫЕ ПАРОЛИ

Governance Risk & Compliance Оценка необходимости доступа, Выявлениеаномалий, Создание учетных записей, Управление привилегиями

Мобильная безопасность, Привилегированныепользователи, сервисы директорий

Шифрование, маскирование, управление ключами, защита Big Data

Solaris Trusted Extensions,LDAP Host Access Control

Secure Live Migration

Крипто-акселераторыКонтроль целостности данных приложений

Secure backup, Шифрование дисковILM Security

80%

КОМПРОМЕТАЦИЯ

СЕРВЕРОВ ПРИЛОЖЕНИЙ

94%

КРАЖА ДАННЫХ С СЕРВЕРОВ

50%

РАСПРОСТРАНЕНИЕ ВОЗМОЖНО ИЗ-ЗА НЕПРАВИЛЬНЫХ

НАСТРОЕК


Mobile

Security

Identity

Governance

Directory

Services

Access

Management

Encryption

& Redaction

Privileged

User ControlKey

Management

Activity

Monitoring

Configuration

Management

Database

Firewall

ЗАЩИТА ДОСТУПА К ПРИЛОЖЕНИЯМ И ДАННЫМ

IDENTITY MANAGEMENT DATABASE SECURITY

Copyright © 2014, Oracle and/or its affiliates. All rights reserved. |

Соответствие требованиямОтраслевые стандарты и локальное законодательство

5


12 требований PCI DSShttp://security-orcl.blogspot.co.uk/2014/05/blog-post.html


Требования Национальной платежной системыhttp://security-orcl.blogspot.co.uk/2014/05/blog-post.html


ТРЕБОВАНИЯ ЗАКОНОДАТЕЛЬСТВАТипы обрабатываемой информации

Информация (сведения)

Составляющие ГТ Не составляющие ГТ

Секретно Сов. секретно Конфиденциальная

Коммерческая

тайна

Н/Конф

Персональные

данные

8


Регуляторы

• ФСТЭК – Требования для СЗИ от НСД, проверки лицензиатов

• ФСБ – СКЗИ, проверки лицензиатов

• МО – Требования для СЗИ для использования в МО

• Роскомнадзор – проверка исполнения закона о ПДн

• ...

9


Схема автоматизированной системы (АС)

Прикладное ПО

СЗИ

СЗИ

СЗИ

Антивирус

ЭЦП

СКЗИ

МСЭ

VPN

СКЗИ

Излучение - ПЭМИН

10


Подтверждение соответствия требованиям по защите информации

• Для АС – аттестация, для ИСПДн – оценка соответствия

• Для ПО СЗИ – сертификация

• Для прикладного ПО - НЕ ТРЕБУЕТСЯ!

• Для HW - спец.проверки ПЭМИН, обеспечение доверенной загрузки

• Для HW+SW – сертфикация ПАК

• Цель сертификации ПО – обеспечить защиту информации без использования наложенных средств

11


Системы сертификации СЗИ

ГОСТ-Р

ФСТЭК ФСБ МО Газпром

СЗИ СКЗИ

РД АС

РД СВТ

РД НДВ

РД МСЭ

СТР-К

СЗИ СЗИ

...

Требования

к АС

РД МО

12


Соответствие законодательству. Персональные данные

13


Персональные данные

14


�Identity and Access Management – защита доступа в приложения и управление учетными записями, проведены проверки на наличие не декларированных возможностей по 4-НДВ уровню (по 3-НСД и 2-НДВ – декабрь 2014)

�Oracle Enterprise Single Sign-On – контроль доступа в информационные системы персональных данных

�Oracle DB 11gR2 + Database Vault – разграничение доступа к данным в приложениях на уровне СУБД

�Oracle Enterprise Linux – защита сертифицированной БД Oracleна уровне операционной системы, по 3-НСД и 2-НДВ

�Oracle Fusion Middleware – по 3-НСД и 2-НДВ

�Exadata, Exalogic, Primavera

Продукты Oracle, сертифицированные ФСТЭК

S E C U R I T Y

S E C U R I T Y

S E C U R I T Y

S E C U R I T Y

S E C U R I T Y

S E C U R I T Y

S E C U R I T Y


�Identity and Access Management – по 3-НСДи 2-НДВ – декабрь 2014

�Audit Vault and Database Firewall

�Identity Governance Suite

�Mobile Security Suite

�Exalytics

�СУБД Oracle 12c (ОУД, производство)

Продукты Oracle, сертифицированные ФСТЭК. Планы

S E C U R I T Y

S E C U R I T Y

S E C U R I T Y

S E C U R I T Y

S E C U R I T Y

S E C U R I T Y

S E C U R I T Y


Архитектура построения подсистемы защитыhttp://security-orcl.blogspot.co.uk/2014/05/blog-post.html

Бизнес-приложения

(OFM)

Кадры(DV + OEL)


Exadata – машина баз данных для консолидации СУБД• Все яйца в одной

корзине?

• Уникальное ПО firmwareдля ячеек хранения

• Доступ к данным возможен как на уровне ОС, так и СУБД и приложений

• Кто контролирует привилегированный доступ?

admin

sys/dba

Приложения

18


Не заметно

для работы

Не заметно

для работы

Программно-аппаратный комплекс средств для защиты Exadata

TDE

ODV

• Сертифицированная платформа (OFM, 2НДВ, 3СВТ) для Oracle Enterprise Manager

• Управление и разграничение доступа к сертифицированным средствам защиты Exadata

• Контроль доступа администраторов к СУБД и запись терминальных сессий

• Хранение ключей в сертифицированном HSM

admin

sys/dba

Приложения

19


INSIDEOUT

SECURITYМногоуровневаязащита

Безопасностьсамого ценного


Спасибо за внимание!

Сергей Базылько, к.ф.-м.н.

Директор по продажам продуктов безопасности

[email protected]

+7 915 018 8804

21

Cоблюдение требований законодательства с помощью...

Technology

Transcript of Cоблюдение требований законодательства с помощью...