SlideShare a Scribd company logo

Приведение ЦОДов в соответствие требованиям ИБ, как средство повышения привлекательности ЦОДов

Download as PPTX, PDF
Konstantin Feoktistov
Konstantin Feoktistov

20.10.2015. Выступление на пртнерском семинаре Информзащиты

Technology
1 of 23
Приведение ЦОДов в соответствие требованиям ИБ как средство повышение привлекательности ЦОДов
Что происходит ? Рынок ЦОД в настоящее время
Рынок коммерческих ЦОД в России Характеристики рынка на 2015 год: • 180+ площадок - крупные и средние коммерческих ЦОД - 102,4 тыс. м2 • В 2014 г + 12 новых технологических площадок - 17,4 тыс. м2 • Среднегодовой доход ~ 0,5 млн. ₽ на стойку (42U) • Средняя нагрузка 7-10 кВт на стойку
Потребление услуг ЦОД гос. организаций • 1,3 стойки в среднем на одну серверную комнату • 3,7 сервера на стойку (4-14U на стойку 42U) • 67 % стоек с потреблением менее 3 кВт • До 18 млрд. ₽ в год – затраты федерального бюджета на содержание инфраструктуры 7.6 46.3 28.3 6.1 7.5 0.8 0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100% Кол-во стоек (тыс. шт) Площадь машинных залов (тыс.м2) Кол-во серверов (тыс. ед.) Услуги сторонних провайдеров Собственная инфраструктура Минкомсвязь России
• ЦОДов много, потребителей мало. Средняя загрузка ЦОД в РФ ~ 30% – высокая конкуренция • Программа строительства ЦОД для нужд государственных и муниципальных органов к 2018г. (МКС, Правительство РФ) – конкуренция со стороны государства • Обеспечить стабильный рост – «повернуться лицом» к ожиданиям клиентов Конкуренция на рынке услуг ЦОДов
Предпосылки Изменение законодательства и его последствия
Заграница не поможет • 242-ФЗ внес изменения в 152-ФЗ в части обработки ПДн на территории РФ с 01.09.2015 • Реакция рынка – появление спроса на услуги ЦОД • Ожидание Постановления Правительства РФ в части организации проверок порядка обработки ПДн – вопрос о полномочиях РКН
Интерес заказчика Что заказчик ожидает от предоставляемых услуг
Интерес № 0: Реальная безопасность Цель: • Защита от реальных угроз на ИС клиента, размещаемые в ЦОД Как обеспечить: • Наличие средств защиты инфраструктуры • Предоставление дополнительных сервисов безопасности (SecaaS) по требованию Чем клиенту грозит неготовность: • Финансовые и репутационные риски организации • Потери бизнеса, клиентов, партнеров
Интерес 1: Соответствие по ПДН Чему соответствовать: • Защита ПДн. Требования приказа №21 ФСТЭК в части 152-ФЗ Как обеспечить: • Привести инфраструктуру в соответствие требованиям • Подтвердить наличием аттестата Чем клиенту грозит несоответствие: • Финансовые и репутационные риски организации • Приостановка деятельности, штрафные санкции
Интерес 2: Соответствие по PCI DSS Чему соответствовать: • Защита платежных данных. Требования PCI DSS Как обеспечить: • Привести инфраструктуру в соответствие требованиям • Провести сертификацию ЦОД Чем клиенту грозит несоответствие: • Финансовые и репутационные риски организации • Невозможность запуска новых сервисов
Интерес 3: Соответствие по ISO 27001 Чему соответствовать: • Процессы управления ИБ. Требований стандарта ISO 27001 Как обеспечить: • Привести процессы управления ИБ в соответствие требованиям • Провести сертификацию системы управления Чем клиенту грозит несоответствие: • Состояний защищенности не гарантировано и не подтверждено • Несоответствие корпоративным стандартам (для западных компаний)
Интерес 4: Соответствие требованиям CSA Чему соответствовать: • Требования безопасности для поставщиков облачных услуг. Cloud Security Alliance Как обеспечить: • Провести самооценку • Реализовать требования и внедрить процессы • Провести сертификацию Чем клиенту грозит несоответствие: • Состояний защищенности не гарантировано и не подтверждено • Несоответствие корпоративным стандартам
Интерес 5: Соответствие требованиям Положения 382-П Чему соответствовать: • Защита информации о переводах денежных средств. Требования Положения 382-П ЦБ РФ Как обеспечить: • Определить роль участника НПС • Проводить оценку соответствия требованиям • Разработать план по устранению соответствий Чем клиенту грозит несоответствие: • Финансовые и репутационные риски организации • Ограничение (приостановление) оказания услуг, связанных с переводом денежных средств
Наши предложения для ЦОДов Что мы можем предложить
ЦОД, как заказчик услуг ИБ • Разработка стандартов безопасности для ЦОД • Сертификация для ЦОД: 27001, PCI DSS, CSA STAR • Аттестация на соответствие требований по ПДн • Консалтинг ЦОД на соответствие стандартам • SOC для ЦОД • Сервис сканирования уязвимостей • Аудит соответствия требованиям • Сопровождения ИБ при проверках регуляторов
ЦОД, как поставщик услуг ИБ • Реализация методологии размещения ИС заказчиков в защищенном ЦОД в соответствии с требованиями • Разработка для ЦОД услуг по безопасности, предоставляемых клиентам ЦОД по модели сервисов (SecaaS)
Организация, как заказчик услуг защищенного ЦОД • Консалтинг клиента для размещения в ЦОД • Разработка стандартов безопасности для размещений ИС клиентов в ЦОД • Аудит защищенности инфраструктуры ЦОД • Аудит соответствия требованиям ФЗ-161 (НПС) и СТО БР ИББС • Аудит соответствия требованиям PCI DSS • Сертификация по PCI DSS • Обеспечение безопасности ПДн и приведение порядка обработки ПДн к соответствию требованиям • Аудит безопасности ИС • Сопровождения ИБ при проверках регуляторов
Комплексный подход Опыт компании Информзащита
Комплексный подход Плюсы для ЦОД • Формируется безопасная среда, привлекательная для клиентов • Соответствие – это не только «бумаги и сертификаты» – это и реальная безопасность на приемлемом уровне • Оптимизация затрат ЦОД при планомерной реализации проектов в части ИБ Плюсы для заказчиков • ЦОД обеспечивает базовые услуги ИБ • Партнер ЦОД обеспечивает дополнительные услуги безопасности • Возможность выбирать услуги ИБ в рамках своих потребностей не меняя поставщика услуг ЦОД
Опыт компании Информзащита • Проект создания защищенной облачной среды О7 (Ростелеком) • Внедрение защищённой инфраструктуры Облачной платформы • Разработка сервисов безопасности как услуги для клиентов О7 • Партнерство с Cloud DC - поставщиком услуг ЦОД (Зеленоград) • Программа развития системы защиты ЦОД • Предоставления услуг безопасности клиентам ЦОД • DataLine – поставщик услуг ЦОД • Сертификация по PCI DSS, Подготовка к сертификации ISO 27001
ВЫВОДЫ 1. Рынок активно готовится к переходу клиентов в ЦОД 2. Клиенты заинтересованы в обеспечении безопасности 3. Оптимальный путь для предоставления - обеспечение соответствия 4. 20-ти летний опыт реализации процессов обеспечения ИБ 5. Мы решаем задачи комплексно, учитывая лучшие практики Приглашаем к сотрудничеству!
Спасибо за внимание Константин Феоктистов ГА ДКР ЗАО НИП «ИНФОРМЗАЩИТА» Тел: +7 (495) 980-2345 k.feoktistov@infosec.ru

Recommended

Обеспечение соответствия требованиям по безопасности информации ИТ-инфраструк...
Обеспечение соответствия требованиям по безопасности информации ИТ-инфраструк...Обеспечение соответствия требованиям по безопасности информации ИТ-инфраструк...
Обеспечение соответствия требованиям по безопасности информации ИТ-инфраструк...Konstantin Feoktistov
 
"Верхи не могут, низы не хотят", или Сказ о том, как правильно Secaas делать
"Верхи не могут, низы не хотят", или Сказ о том, как правильно Secaas делать"Верхи не могут, низы не хотят", или Сказ о том, как правильно Secaas делать
"Верхи не могут, низы не хотят", или Сказ о том, как правильно Secaas делатьKonstantin Feoktistov
 
Внедрение IDM
Внедрение IDMВнедрение IDM
Внедрение IDMАльбина Минуллина
 
иб Cti 2014
иб Cti 2014иб Cti 2014
иб Cti 2014Tim Parson
 
Clouds NN 2012 Антон Коробейников Nvision Group
Clouds NN 2012 Антон Коробейников Nvision GroupClouds NN 2012 Антон Коробейников Nvision Group
Clouds NN 2012 Антон Коробейников Nvision GroupClouds NN
 
ИТ-инфраструктура нового поколения
ИТ-инфраструктура нового поколенияИТ-инфраструктура нового поколения
ИТ-инфраструктура нового поколенияАльбина Минуллина
 
Решения КРОК для однократной и многофакторной аутентификации
Решения КРОК для однократной и многофакторной аутентификацииРешения КРОК для однократной и многофакторной аутентификации
Решения КРОК для однократной и многофакторной аутентификацииКРОК
 
Новая платформа IBM для энергетических компаний
Новая платформа IBM для энергетических компанийНовая платформа IBM для энергетических компаний
Новая платформа IBM для энергетических компанийАльбина Минуллина
 

Recommended

Обеспечение соответствия требованиям по безопасности информации ИТ-инфраструк...
Обеспечение соответствия требованиям по безопасности информации ИТ-инфраструк...Обеспечение соответствия требованиям по безопасности информации ИТ-инфраструк...
Обеспечение соответствия требованиям по безопасности информации ИТ-инфраструк...Konstantin Feoktistov
 
"Верхи не могут, низы не хотят", или Сказ о том, как правильно Secaas делать
"Верхи не могут, низы не хотят", или Сказ о том, как правильно Secaas делать"Верхи не могут, низы не хотят", или Сказ о том, как правильно Secaas делать
"Верхи не могут, низы не хотят", или Сказ о том, как правильно Secaas делатьKonstantin Feoktistov
 
Внедрение IDM
Внедрение IDMВнедрение IDM
Внедрение IDMАльбина Минуллина
 
иб Cti 2014
иб Cti 2014иб Cti 2014
иб Cti 2014Tim Parson
 
Clouds NN 2012 Антон Коробейников Nvision Group
Clouds NN 2012 Антон Коробейников Nvision GroupClouds NN 2012 Антон Коробейников Nvision Group
Clouds NN 2012 Антон Коробейников Nvision GroupClouds NN
 
ИТ-инфраструктура нового поколения
ИТ-инфраструктура нового поколенияИТ-инфраструктура нового поколения
ИТ-инфраструктура нового поколенияАльбина Минуллина
 
Решения КРОК для однократной и многофакторной аутентификации
Решения КРОК для однократной и многофакторной аутентификацииРешения КРОК для однократной и многофакторной аутентификации
Решения КРОК для однократной и многофакторной аутентификацииКРОК
 
Новая платформа IBM для энергетических компаний
Новая платформа IBM для энергетических компанийНовая платформа IBM для энергетических компаний
Новая платформа IBM для энергетических компанийАльбина Минуллина
 
Обеспечение защиты корпоративных ресурсов от DDoS-атак
Обеспечение защиты корпоративных ресурсов от DDoS-атакОбеспечение защиты корпоративных ресурсов от DDoS-атак
Обеспечение защиты корпоративных ресурсов от DDoS-атакКРОК
 
31-03-2016-aeb-acronis
31-03-2016-aeb-acronis31-03-2016-aeb-acronis
31-03-2016-aeb-acronisArtem Ageev
 
Почему в России нельзя обеспечить ИБ облаков?
Почему в России нельзя обеспечить ИБ облаков?Почему в России нельзя обеспечить ИБ облаков?
Почему в России нельзя обеспечить ИБ облаков?Aleksey Lukatskiy
 
Часто задаваемые вопросы на пути к PCI соответствию
Часто задаваемые вопросы на пути к PCI соответствиюЧасто задаваемые вопросы на пути к PCI соответствию
Часто задаваемые вопросы на пути к PCI соответствиюDigital Security
 
Электронный архив
Электронный архивЭлектронный архив
Электронный архивАльбина Минуллина
 
ProtoSecurity - сервисы для безопасности и отказоустойчивости веб-приложений
ProtoSecurity - сервисы для безопасности и отказоустойчивости веб-приложенийProtoSecurity - сервисы для безопасности и отказоустойчивости веб-приложений
ProtoSecurity - сервисы для безопасности и отказоустойчивости веб-приложенийDenis Bezkorovayny
 
CloudsNN 2014. Юрий Бражников. Безопасность виртуализации Microsoft и выполне...
CloudsNN 2014. Юрий Бражников. Безопасность виртуализации Microsoft и выполне...CloudsNN 2014. Юрий Бражников. Безопасность виртуализации Microsoft и выполне...
CloudsNN 2014. Юрий Бражников. Безопасность виртуализации Microsoft и выполне...Clouds NN
 
Trustwave: Введение в практику PCI DSS
Trustwave: Введение в практику PCI DSSTrustwave: Введение в практику PCI DSS
Trustwave: Введение в практику PCI DSSarogozhin
 
Aflex Distribution. Александр Несов. "Комплексная информационная безопасность...
Aflex Distribution. Александр Несов. "Комплексная информационная безопасность...Aflex Distribution. Александр Несов. "Комплексная информационная безопасность...
Aflex Distribution. Александр Несов. "Комплексная информационная безопасность...Expolink
 
Skydns code-ib
Skydns code-ibSkydns code-ib
Skydns code-ibSkyDNS
 
Ukrainian information security group сидорова мария
Ukrainian information security group сидорова марияUkrainian information security group сидорова мария
Ukrainian information security group сидорова марияGlib Pakharenko
 
vGate R2_Конкурс продуктов портала VirtualizationSecurityGroup.Ru
vGate R2_Конкурс продуктов портала VirtualizationSecurityGroup.RuvGate R2_Конкурс продуктов портала VirtualizationSecurityGroup.Ru
vGate R2_Конкурс продуктов портала VirtualizationSecurityGroup.RuVirtSGR
 
Управление соответствием PCI DSS - Секция 5 - Выполнение требований PCI DSS
Управление соответствием PCI DSS - Секция 5 - Выполнение требований PCI DSSУправление соответствием PCI DSS - Секция 5 - Выполнение требований PCI DSS
Управление соответствием PCI DSS - Секция 5 - Выполнение требований PCI DSSDeiteriy Co. Ltd.
 
Информационная безопасность банка 3.0: Повышение эффективности в условиях эко...
Информационная безопасность банка 3.0: Повышение эффективности в условиях эко...Информационная безопасность банка 3.0: Повышение эффективности в условиях эко...
Информационная безопасность банка 3.0: Повышение эффективности в условиях эко...Dmytro Petrashchuk
 
Безопасность SaaS. Безкоровайный. RISSPA. CloudConf
Безопасность SaaS. Безкоровайный. RISSPA. CloudConfБезопасность SaaS. Безкоровайный. RISSPA. CloudConf
Безопасность SaaS. Безкоровайный. RISSPA. CloudConfDenis Bezkorovayny
 
Positive Hack Days. Лысенко. Уязвимости систем виртуализации и варианты защит...
Positive Hack Days. Лысенко. Уязвимости систем виртуализации и варианты защит...Positive Hack Days. Лысенко. Уязвимости систем виртуализации и варианты защит...
Positive Hack Days. Лысенко. Уязвимости систем виртуализации и варианты защит...Positive Hack Days
 
Вход по сертификатам и электронная подпись для 1С-Битрикс
Вход по сертификатам и электронная подпись для 1С-БитриксВход по сертификатам и электронная подпись для 1С-Битрикс
Вход по сертификатам и электронная подпись для 1С-БитриксЦифровые технологии
 
Check Point - Актуальные угрозы сетевой безопасности
Check Point - Актуальные угрозы сетевой безопасности Check Point - Актуальные угрозы сетевой безопасности
Check Point - Актуальные угрозы сетевой безопасности Expolink
 
Управление доступом и контроль параметров безопасности виртуальной инфраструк...
Управление доступом и контроль параметров безопасности виртуальной инфраструк...Управление доступом и контроль параметров безопасности виртуальной инфраструк...
Управление доступом и контроль параметров безопасности виртуальной инфраструк...areconster
 
Osobennosti vypolnenija trebovanij standartov STO BR IBBS i PCI DSS pri ispol...
Osobennosti vypolnenija trebovanij standartov STO BR IBBS i PCI DSS pri ispol...Osobennosti vypolnenija trebovanij standartov STO BR IBBS i PCI DSS pri ispol...
Osobennosti vypolnenija trebovanij standartov STO BR IBBS i PCI DSS pri ispol...vGate R2
 
Arma PCA English
Arma PCA EnglishArma PCA English
Arma PCA EnglishArma Systems
 
Единый центр технической поддержки
Единый центр технической поддержкиЕдиный центр технической поддержки
Единый центр технической поддержкиIT Frio Development Group
 

More Related Content

What's hot

Обеспечение защиты корпоративных ресурсов от DDoS-атак
Обеспечение защиты корпоративных ресурсов от DDoS-атакОбеспечение защиты корпоративных ресурсов от DDoS-атак
Обеспечение защиты корпоративных ресурсов от DDoS-атакКРОК
 
31-03-2016-aeb-acronis
31-03-2016-aeb-acronis31-03-2016-aeb-acronis
31-03-2016-aeb-acronisArtem Ageev
 
Почему в России нельзя обеспечить ИБ облаков?
Почему в России нельзя обеспечить ИБ облаков?Почему в России нельзя обеспечить ИБ облаков?
Почему в России нельзя обеспечить ИБ облаков?Aleksey Lukatskiy
 
Часто задаваемые вопросы на пути к PCI соответствию
Часто задаваемые вопросы на пути к PCI соответствиюЧасто задаваемые вопросы на пути к PCI соответствию
Часто задаваемые вопросы на пути к PCI соответствиюDigital Security
 
ProtoSecurity - сервисы для безопасности и отказоустойчивости веб-приложений
ProtoSecurity - сервисы для безопасности и отказоустойчивости веб-приложенийProtoSecurity - сервисы для безопасности и отказоустойчивости веб-приложений
ProtoSecurity - сервисы для безопасности и отказоустойчивости веб-приложенийDenis Bezkorovayny
 
CloudsNN 2014. Юрий Бражников. Безопасность виртуализации Microsoft и выполне...
CloudsNN 2014. Юрий Бражников. Безопасность виртуализации Microsoft и выполне...CloudsNN 2014. Юрий Бражников. Безопасность виртуализации Microsoft и выполне...
CloudsNN 2014. Юрий Бражников. Безопасность виртуализации Microsoft и выполне...Clouds NN
 
Trustwave: Введение в практику PCI DSS
Trustwave: Введение в практику PCI DSSTrustwave: Введение в практику PCI DSS
Trustwave: Введение в практику PCI DSSarogozhin
 
Aflex Distribution. Александр Несов. "Комплексная информационная безопасность...
Aflex Distribution. Александр Несов. "Комплексная информационная безопасность...Aflex Distribution. Александр Несов. "Комплексная информационная безопасность...
Aflex Distribution. Александр Несов. "Комплексная информационная безопасность...Expolink
 
Skydns code-ib
Skydns code-ibSkydns code-ib
Skydns code-ibSkyDNS
 
Ukrainian information security group сидорова мария
Ukrainian information security group сидорова марияUkrainian information security group сидорова мария
Ukrainian information security group сидорова марияGlib Pakharenko
 
vGate R2_Конкурс продуктов портала VirtualizationSecurityGroup.Ru
vGate R2_Конкурс продуктов портала VirtualizationSecurityGroup.RuvGate R2_Конкурс продуктов портала VirtualizationSecurityGroup.Ru
vGate R2_Конкурс продуктов портала VirtualizationSecurityGroup.RuVirtSGR
 
Управление соответствием PCI DSS - Секция 5 - Выполнение требований PCI DSS
Управление соответствием PCI DSS - Секция 5 - Выполнение требований PCI DSSУправление соответствием PCI DSS - Секция 5 - Выполнение требований PCI DSS
Управление соответствием PCI DSS - Секция 5 - Выполнение требований PCI DSSDeiteriy Co. Ltd.
 
Информационная безопасность банка 3.0: Повышение эффективности в условиях эко...
Информационная безопасность банка 3.0: Повышение эффективности в условиях эко...Информационная безопасность банка 3.0: Повышение эффективности в условиях эко...
Информационная безопасность банка 3.0: Повышение эффективности в условиях эко...Dmytro Petrashchuk
 
Безопасность SaaS. Безкоровайный. RISSPA. CloudConf
Безопасность SaaS. Безкоровайный. RISSPA. CloudConfБезопасность SaaS. Безкоровайный. RISSPA. CloudConf
Безопасность SaaS. Безкоровайный. RISSPA. CloudConfDenis Bezkorovayny
 
Positive Hack Days. Лысенко. Уязвимости систем виртуализации и варианты защит...
Positive Hack Days. Лысенко. Уязвимости систем виртуализации и варианты защит...Positive Hack Days. Лысенко. Уязвимости систем виртуализации и варианты защит...
Positive Hack Days. Лысенко. Уязвимости систем виртуализации и варианты защит...Positive Hack Days
 
Вход по сертификатам и электронная подпись для 1С-Битрикс
Вход по сертификатам и электронная подпись для 1С-БитриксВход по сертификатам и электронная подпись для 1С-Битрикс
Вход по сертификатам и электронная подпись для 1С-БитриксЦифровые технологии
 
Check Point - Актуальные угрозы сетевой безопасности
Check Point - Актуальные угрозы сетевой безопасности Check Point - Актуальные угрозы сетевой безопасности
Check Point - Актуальные угрозы сетевой безопасности Expolink
 
Управление доступом и контроль параметров безопасности виртуальной инфраструк...
Управление доступом и контроль параметров безопасности виртуальной инфраструк...Управление доступом и контроль параметров безопасности виртуальной инфраструк...
Управление доступом и контроль параметров безопасности виртуальной инфраструк...areconster
 
Osobennosti vypolnenija trebovanij standartov STO BR IBBS i PCI DSS pri ispol...
Osobennosti vypolnenija trebovanij standartov STO BR IBBS i PCI DSS pri ispol...Osobennosti vypolnenija trebovanij standartov STO BR IBBS i PCI DSS pri ispol...
Osobennosti vypolnenija trebovanij standartov STO BR IBBS i PCI DSS pri ispol...vGate R2
 

What's hot (20)

Обеспечение защиты корпоративных ресурсов от DDoS-атак
Обеспечение защиты корпоративных ресурсов от DDoS-атакОбеспечение защиты корпоративных ресурсов от DDoS-атак
Обеспечение защиты корпоративных ресурсов от DDoS-атак
 
31-03-2016-aeb-acronis
31-03-2016-aeb-acronis31-03-2016-aeb-acronis
31-03-2016-aeb-acronis
 
Почему в России нельзя обеспечить ИБ облаков?
Почему в России нельзя обеспечить ИБ облаков?Почему в России нельзя обеспечить ИБ облаков?
Почему в России нельзя обеспечить ИБ облаков?
 
Часто задаваемые вопросы на пути к PCI соответствию
Часто задаваемые вопросы на пути к PCI соответствиюЧасто задаваемые вопросы на пути к PCI соответствию
Часто задаваемые вопросы на пути к PCI соответствию
 
Электронный архив
Электронный архивЭлектронный архив
Электронный архив
 
ProtoSecurity - сервисы для безопасности и отказоустойчивости веб-приложений
ProtoSecurity - сервисы для безопасности и отказоустойчивости веб-приложенийProtoSecurity - сервисы для безопасности и отказоустойчивости веб-приложений
ProtoSecurity - сервисы для безопасности и отказоустойчивости веб-приложений
 
CloudsNN 2014. Юрий Бражников. Безопасность виртуализации Microsoft и выполне...
CloudsNN 2014. Юрий Бражников. Безопасность виртуализации Microsoft и выполне...CloudsNN 2014. Юрий Бражников. Безопасность виртуализации Microsoft и выполне...
CloudsNN 2014. Юрий Бражников. Безопасность виртуализации Microsoft и выполне...
 
Trustwave: Введение в практику PCI DSS
Trustwave: Введение в практику PCI DSSTrustwave: Введение в практику PCI DSS
Trustwave: Введение в практику PCI DSS
 
Aflex Distribution. Александр Несов. "Комплексная информационная безопасность...
Aflex Distribution. Александр Несов. "Комплексная информационная безопасность...Aflex Distribution. Александр Несов. "Комплексная информационная безопасность...
Aflex Distribution. Александр Несов. "Комплексная информационная безопасность...
 
Skydns code-ib
Skydns code-ibSkydns code-ib
Skydns code-ib
 
Ukrainian information security group сидорова мария
Ukrainian information security group сидорова марияUkrainian information security group сидорова мария
Ukrainian information security group сидорова мария
 
vGate R2_Конкурс продуктов портала VirtualizationSecurityGroup.Ru
vGate R2_Конкурс продуктов портала VirtualizationSecurityGroup.RuvGate R2_Конкурс продуктов портала VirtualizationSecurityGroup.Ru
vGate R2_Конкурс продуктов портала VirtualizationSecurityGroup.Ru
 
Управление соответствием PCI DSS - Секция 5 - Выполнение требований PCI DSS
Управление соответствием PCI DSS - Секция 5 - Выполнение требований PCI DSSУправление соответствием PCI DSS - Секция 5 - Выполнение требований PCI DSS
Управление соответствием PCI DSS - Секция 5 - Выполнение требований PCI DSS
 
Информационная безопасность банка 3.0: Повышение эффективности в условиях эко...
Информационная безопасность банка 3.0: Повышение эффективности в условиях эко...Информационная безопасность банка 3.0: Повышение эффективности в условиях эко...
Информационная безопасность банка 3.0: Повышение эффективности в условиях эко...
 
Безопасность SaaS. Безкоровайный. RISSPA. CloudConf
Безопасность SaaS. Безкоровайный. RISSPA. CloudConfБезопасность SaaS. Безкоровайный. RISSPA. CloudConf
Безопасность SaaS. Безкоровайный. RISSPA. CloudConf
 
Positive Hack Days. Лысенко. Уязвимости систем виртуализации и варианты защит...
Positive Hack Days. Лысенко. Уязвимости систем виртуализации и варианты защит...Positive Hack Days. Лысенко. Уязвимости систем виртуализации и варианты защит...
Positive Hack Days. Лысенко. Уязвимости систем виртуализации и варианты защит...
 
Вход по сертификатам и электронная подпись для 1С-Битрикс
Вход по сертификатам и электронная подпись для 1С-БитриксВход по сертификатам и электронная подпись для 1С-Битрикс
Вход по сертификатам и электронная подпись для 1С-Битрикс
 
Check Point - Актуальные угрозы сетевой безопасности
Check Point - Актуальные угрозы сетевой безопасности Check Point - Актуальные угрозы сетевой безопасности
Check Point - Актуальные угрозы сетевой безопасности
 
Управление доступом и контроль параметров безопасности виртуальной инфраструк...
Управление доступом и контроль параметров безопасности виртуальной инфраструк...Управление доступом и контроль параметров безопасности виртуальной инфраструк...
Управление доступом и контроль параметров безопасности виртуальной инфраструк...
 
Osobennosti vypolnenija trebovanij standartov STO BR IBBS i PCI DSS pri ispol...
Osobennosti vypolnenija trebovanij standartov STO BR IBBS i PCI DSS pri ispol...Osobennosti vypolnenija trebovanij standartov STO BR IBBS i PCI DSS pri ispol...
Osobennosti vypolnenija trebovanij standartov STO BR IBBS i PCI DSS pri ispol...
 

Similar to Приведение ЦОДов в соответствие требованиям ИБ, как средство повышения привлекательности ЦОДов

Единый центр технической поддержки
Единый центр технической поддержкиЕдиный центр технической поддержки
Единый центр технической поддержкиIT Frio Development Group
 
"Контактный центр по запросу" от CTI, Платон Бегун
"Контактный центр по запросу" от CTI, Платон Бегун"Контактный центр по запросу" от CTI, Платон Бегун
"Контактный центр по запросу" от CTI, Платон БегунYulia Sedova
 
Cti контактный центр_по_запросу_v.интернет-магазины_1.1
Cti контактный центр_по_запросу_v.интернет-магазины_1.1Cti контактный центр_по_запросу_v.интернет-магазины_1.1
Cti контактный центр_по_запросу_v.интернет-магазины_1.1CTI2014
 
IaaS презентация
IaaS презентацияIaaS презентация
IaaS презентацияCTI2014
 
Внедрение программно аппаратных комплексов Vblock - опыт компании инком; алек...
Внедрение программно аппаратных комплексов Vblock - опыт компании инком; алек...Внедрение программно аппаратных комплексов Vblock - опыт компании инком; алек...
Внедрение программно аппаратных комплексов Vblock - опыт компании инком; алек...Дмитрий Карпенко
 
внедрение программно аппаратных комплексов Vblock - опыт компании инком; алек...
внедрение программно аппаратных комплексов Vblock - опыт компании инком; алек...внедрение программно аппаратных комплексов Vblock - опыт компании инком; алек...
внедрение программно аппаратных комплексов Vblock - опыт компании инком; алек...Дмитрий Карпенко
 
Vblock от VCE: опыт первого внедрения в Украине.
Vblock от VCE: опыт первого внедрения в Украине. Vblock от VCE: опыт первого внедрения в Украине.
Vblock от VCE: опыт первого внедрения в Украине. Cisco Russia
 
Особенности построения национальных центров мониторинга киберугроз
Особенности построения национальных центров мониторинга киберугрозОсобенности построения национальных центров мониторинга киберугроз
Особенности построения национальных центров мониторинга киберугрозAleksey Lukatskiy
 
Контактный центр по запросу. Интернет-магазины.
Контактный центр по запросу. Интернет-магазины.Контактный центр по запросу. Интернет-магазины.
Контактный центр по запросу. Интернет-магазины.CTI2014
 
Обеспечение высокой доступности банковской ИТ-инфраструктуры
Обеспечение высокой доступности банковской ИТ-инфраструктурыОбеспечение высокой доступности банковской ИТ-инфраструктуры
Обеспечение высокой доступности банковской ИТ-инфраструктурыVsevolod Shabad
 
Техническая поддержка от CTI
Техническая поддержка от CTIТехническая поддержка от CTI
Техническая поддержка от CTICTI2014
 
PCI DSS 3.0: к чему готовиться?
PCI DSS 3.0: к чему готовиться?PCI DSS 3.0: к чему готовиться?
PCI DSS 3.0: к чему готовиться?Andrew Gaiko
 
Совместные практики по решению кейсов (CTI-Cisco)
Совместные практики по решению кейсов (CTI-Cisco)Совместные практики по решению кейсов (CTI-Cisco)
Совместные практики по решению кейсов (CTI-Cisco)Cisco Russia
 
Техническая поддержка от CTI
Техническая поддержка от CTIТехническая поддержка от CTI
Техническая поддержка от CTICTI2014
 
Техническая поддержка CTI 06.2016
Техническая поддержка CTI 06.2016Техническая поддержка CTI 06.2016
Техническая поддержка CTI 06.2016CTI2014
 
Облачные вычисления
Облачные вычисленияОблачные вычисления
Облачные вычисленияDmitry Bulgakov
 

Similar to Приведение ЦОДов в соответствие требованиям ИБ, как средство повышения привлекательности ЦОДов (20)

Arma PCA English
Arma PCA EnglishArma PCA English
Arma PCA English
 
Единый центр технической поддержки
Единый центр технической поддержкиЕдиный центр технической поддержки
Единый центр технической поддержки
 
"Контактный центр по запросу" от CTI, Платон Бегун
"Контактный центр по запросу" от CTI, Платон Бегун"Контактный центр по запросу" от CTI, Платон Бегун
"Контактный центр по запросу" от CTI, Платон Бегун
 
Cti контактный центр_по_запросу_v.интернет-магазины_1.1
Cti контактный центр_по_запросу_v.интернет-магазины_1.1Cti контактный центр_по_запросу_v.интернет-магазины_1.1
Cti контактный центр_по_запросу_v.интернет-магазины_1.1
 
IaaS презентация
IaaS презентацияIaaS презентация
IaaS презентация
 
Марушев В.В. - аутсорсинг услуг
Марушев В.В. - аутсорсинг услугМарушев В.В. - аутсорсинг услуг
Марушев В.В. - аутсорсинг услуг
 
Внедрение программно аппаратных комплексов Vblock - опыт компании инком; алек...
Внедрение программно аппаратных комплексов Vblock - опыт компании инком; алек...Внедрение программно аппаратных комплексов Vblock - опыт компании инком; алек...
Внедрение программно аппаратных комплексов Vblock - опыт компании инком; алек...
 
внедрение программно аппаратных комплексов Vblock - опыт компании инком; алек...
внедрение программно аппаратных комплексов Vblock - опыт компании инком; алек...внедрение программно аппаратных комплексов Vblock - опыт компании инком; алек...
внедрение программно аппаратных комплексов Vblock - опыт компании инком; алек...
 
CTI_CC on demand
CTI_CC on demandCTI_CC on demand
CTI_CC on demand
 
Vblock от VCE: опыт первого внедрения в Украине.
Vblock от VCE: опыт первого внедрения в Украине. Vblock от VCE: опыт первого внедрения в Украине.
Vblock от VCE: опыт первого внедрения в Украине.
 
Security certification overview
Security certification overviewSecurity certification overview
Security certification overview
 
Особенности построения национальных центров мониторинга киберугроз
Особенности построения национальных центров мониторинга киберугрозОсобенности построения национальных центров мониторинга киберугроз
Особенности построения национальных центров мониторинга киберугроз
 
Контактный центр по запросу. Интернет-магазины.
Контактный центр по запросу. Интернет-магазины.Контактный центр по запросу. Интернет-магазины.
Контактный центр по запросу. Интернет-магазины.
 
Обеспечение высокой доступности банковской ИТ-инфраструктуры
Обеспечение высокой доступности банковской ИТ-инфраструктурыОбеспечение высокой доступности банковской ИТ-инфраструктуры
Обеспечение высокой доступности банковской ИТ-инфраструктуры
 
Техническая поддержка от CTI
Техническая поддержка от CTIТехническая поддержка от CTI
Техническая поддержка от CTI
 
PCI DSS 3.0: к чему готовиться?
PCI DSS 3.0: к чему готовиться?PCI DSS 3.0: к чему готовиться?
PCI DSS 3.0: к чему готовиться?
 
Совместные практики по решению кейсов (CTI-Cisco)
Совместные практики по решению кейсов (CTI-Cisco)Совместные практики по решению кейсов (CTI-Cisco)
Совместные практики по решению кейсов (CTI-Cisco)
 
Техническая поддержка от CTI
Техническая поддержка от CTIТехническая поддержка от CTI
Техническая поддержка от CTI
 
Техническая поддержка CTI 06.2016
Техническая поддержка CTI 06.2016Техническая поддержка CTI 06.2016
Техническая поддержка CTI 06.2016
 
Облачные вычисления
Облачные вычисленияОблачные вычисления
Облачные вычисления
 

Приведение ЦОДов в соответствие требованиям ИБ, как средство повышения привлекательности ЦОДов

  • 1. Приведение ЦОДов в соответствие требованиям ИБ как средство повышение привлекательности ЦОДов
  • 2. Что происходит ? Рынок ЦОД в настоящее время
  • 3. Рынок коммерческих ЦОД в России Характеристики рынка на 2015 год: • 180+ площадок - крупные и средние коммерческих ЦОД - 102,4 тыс. м2 • В 2014 г + 12 новых технологических площадок - 17,4 тыс. м2 • Среднегодовой доход ~ 0,5 млн. ₽ на стойку (42U) • Средняя нагрузка 7-10 кВт на стойку
  • 4. Потребление услуг ЦОД гос. организаций • 1,3 стойки в среднем на одну серверную комнату • 3,7 сервера на стойку (4-14U на стойку 42U) • 67 % стоек с потреблением менее 3 кВт • До 18 млрд. ₽ в год – затраты федерального бюджета на содержание инфраструктуры 7.6 46.3 28.3 6.1 7.5 0.8 0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100% Кол-во стоек (тыс. шт) Площадь машинных залов (тыс.м2) Кол-во серверов (тыс. ед.) Услуги сторонних провайдеров Собственная инфраструктура Минкомсвязь России
  • 5. • ЦОДов много, потребителей мало. Средняя загрузка ЦОД в РФ ~ 30% – высокая конкуренция • Программа строительства ЦОД для нужд государственных и муниципальных органов к 2018г. (МКС, Правительство РФ) – конкуренция со стороны государства • Обеспечить стабильный рост – «повернуться лицом» к ожиданиям клиентов Конкуренция на рынке услуг ЦОДов
  • 7. Заграница не поможет • 242-ФЗ внес изменения в 152-ФЗ в части обработки ПДн на территории РФ с 01.09.2015 • Реакция рынка – появление спроса на услуги ЦОД • Ожидание Постановления Правительства РФ в части организации проверок порядка обработки ПДн – вопрос о полномочиях РКН
  • 9. Интерес № 0: Реальная безопасность Цель: • Защита от реальных угроз на ИС клиента, размещаемые в ЦОД Как обеспечить: • Наличие средств защиты инфраструктуры • Предоставление дополнительных сервисов безопасности (SecaaS) по требованию Чем клиенту грозит неготовность: • Финансовые и репутационные риски организации • Потери бизнеса, клиентов, партнеров
  • 10. Интерес 1: Соответствие по ПДН Чему соответствовать: • Защита ПДн. Требования приказа №21 ФСТЭК в части 152-ФЗ Как обеспечить: • Привести инфраструктуру в соответствие требованиям • Подтвердить наличием аттестата Чем клиенту грозит несоответствие: • Финансовые и репутационные риски организации • Приостановка деятельности, штрафные санкции
  • 11. Интерес 2: Соответствие по PCI DSS Чему соответствовать: • Защита платежных данных. Требования PCI DSS Как обеспечить: • Привести инфраструктуру в соответствие требованиям • Провести сертификацию ЦОД Чем клиенту грозит несоответствие: • Финансовые и репутационные риски организации • Невозможность запуска новых сервисов
  • 12. Интерес 3: Соответствие по ISO 27001 Чему соответствовать: • Процессы управления ИБ. Требований стандарта ISO 27001 Как обеспечить: • Привести процессы управления ИБ в соответствие требованиям • Провести сертификацию системы управления Чем клиенту грозит несоответствие: • Состояний защищенности не гарантировано и не подтверждено • Несоответствие корпоративным стандартам (для западных компаний)
  • 13. Интерес 4: Соответствие требованиям CSA Чему соответствовать: • Требования безопасности для поставщиков облачных услуг. Cloud Security Alliance Как обеспечить: • Провести самооценку • Реализовать требования и внедрить процессы • Провести сертификацию Чем клиенту грозит несоответствие: • Состояний защищенности не гарантировано и не подтверждено • Несоответствие корпоративным стандартам
  • 14. Интерес 5: Соответствие требованиям Положения 382-П Чему соответствовать: • Защита информации о переводах денежных средств. Требования Положения 382-П ЦБ РФ Как обеспечить: • Определить роль участника НПС • Проводить оценку соответствия требованиям • Разработать план по устранению соответствий Чем клиенту грозит несоответствие: • Финансовые и репутационные риски организации • Ограничение (приостановление) оказания услуг, связанных с переводом денежных средств
  • 16. ЦОД, как заказчик услуг ИБ • Разработка стандартов безопасности для ЦОД • Сертификация для ЦОД: 27001, PCI DSS, CSA STAR • Аттестация на соответствие требований по ПДн • Консалтинг ЦОД на соответствие стандартам • SOC для ЦОД • Сервис сканирования уязвимостей • Аудит соответствия требованиям • Сопровождения ИБ при проверках регуляторов
  • 17. ЦОД, как поставщик услуг ИБ • Реализация методологии размещения ИС заказчиков в защищенном ЦОД в соответствии с требованиями • Разработка для ЦОД услуг по безопасности, предоставляемых клиентам ЦОД по модели сервисов (SecaaS)
  • 18. Организация, как заказчик услуг защищенного ЦОД • Консалтинг клиента для размещения в ЦОД • Разработка стандартов безопасности для размещений ИС клиентов в ЦОД • Аудит защищенности инфраструктуры ЦОД • Аудит соответствия требованиям ФЗ-161 (НПС) и СТО БР ИББС • Аудит соответствия требованиям PCI DSS • Сертификация по PCI DSS • Обеспечение безопасности ПДн и приведение порядка обработки ПДн к соответствию требованиям • Аудит безопасности ИС • Сопровождения ИБ при проверках регуляторов
  • 20. Комплексный подход Плюсы для ЦОД • Формируется безопасная среда, привлекательная для клиентов • Соответствие – это не только «бумаги и сертификаты» – это и реальная безопасность на приемлемом уровне • Оптимизация затрат ЦОД при планомерной реализации проектов в части ИБ Плюсы для заказчиков • ЦОД обеспечивает базовые услуги ИБ • Партнер ЦОД обеспечивает дополнительные услуги безопасности • Возможность выбирать услуги ИБ в рамках своих потребностей не меняя поставщика услуг ЦОД
  • 21. Опыт компании Информзащита • Проект создания защищенной облачной среды О7 (Ростелеком) • Внедрение защищённой инфраструктуры Облачной платформы • Разработка сервисов безопасности как услуги для клиентов О7 • Партнерство с Cloud DC - поставщиком услуг ЦОД (Зеленоград) • Программа развития системы защиты ЦОД • Предоставления услуг безопасности клиентам ЦОД • DataLine – поставщик услуг ЦОД • Сертификация по PCI DSS, Подготовка к сертификации ISO 27001
  • 22. ВЫВОДЫ 1. Рынок активно готовится к переходу клиентов в ЦОД 2. Клиенты заинтересованы в обеспечении безопасности 3. Оптимальный путь для предоставления - обеспечение соответствия 4. 20-ти летний опыт реализации процессов обеспечения ИБ 5. Мы решаем задачи комплексно, учитывая лучшие практики Приглашаем к сотрудничеству!
  • 23. Спасибо за внимание Константин Феоктистов ГА ДКР ЗАО НИП «ИНФОРМЗАЩИТА» Тел: +7 (495) 980-2345 k.feoktistov@infosec.ru