SlideShare a Scribd company logo

Мобильный доступ

Алексей Волков
Алексей Волков

Моя презентация с IT & Security Forum Kazan

1 of 18
МОБИЛЬНЫЙ ДОСТУП: КАК ЭТО БЫЛО РЕАЛИЗАЦИЯ БЕЗОПАСНОГО МОБИЛЬНОГО ДОСТУПА К КОРПОРАТИВНЫМ РЕСУРСАМ ХОЛДИНГА Алексей Волков, ОАО «Северсталь»
ХОЛДИНГ: СТРУКТУРА Сталь Лом Метизы Сбыт Уголь Золото Трубы Сервис
ХОЛДИНГ: ГЕОГРАФИЯ
БИЗНЕС-ТРЕБОВАНИЯ VS ТРЕБОВАНИЯ БЕЗОПАСНОСТИ Возможность Соблюдение доступа установленных сотрудников к правил и политик корпоративным безопасности ресурсам вне зависимости в любом месте, от места, в любое время времени и с любого и способа устройства подключения
КАК ДОСТИГАЕТСЯ БАЛАНС Подключение отдельных рабочих мест к ТФОП через модем Организация корпоративных модемных пулов Прямое подключение корпоративных ресурсов к сети «Интернет» Защищенное подключение «внешних» пользователей к корпоративной сети
ИТ-ИНСОРСИНГ И КСПД Корпоративная сеть передачи данных Корпоративный ИТ-оператор
PKI И VPN
МОБИЛЬНЫЙ ПОЛЬЗОВАТЕЛЬ Безопасный доступ к рабочему месту из любой точки земного шара (Remote Desktop, VPN) Корпоративная электронная почта на мобильных устройствах (MS Exchange, SSL) Возможность доступа к корпоративным ресурсам с любого устройства Для малого и среднего бизнеса все это весьма недешево…
МОБИЛЬНЫЙ БИЗНЕС • Оперативное развертывание и перемещение ИТ- инфраструктуры филиала без существенных капитальных затрат • Ежемесячная абонентская плата без необходимости приобретения дорогостоящего оборудования и получения лицензий • Полноценное техническое сопровождение на базе SLA • Распространение политик безопасности на все подразделения и филиалы • Централизованное управление и контроль использования информационных ресурсов VPN AS A SERVICE
РАЗНЫЕ КАТЕГОРИИ ИНФОРМАЦИИ Сведения, распространение или предоставление которой может оказать существенное влияние на цены финансовых инструментов и привести к снижению рыночной капитализации (инсайдерская информация) КТ1 Сведения, распространение или предоставление которых может привести к нанесению прямого ущерба компании (хищение ресурсов, потери от простоя, КТ2 недополученная прибыль и др.) Сведения, разглашение которых может нанести косвенный ущерб (упущенная выгода из-за нарушения бизнес-процессов, имиджевые и КТ3 репутационные риски и др.) Разрозненная информация, подлежащая защите в связи с потенциальной опасностью формирования сведений высших КТ4 категорий при анализе некоторой ее совокупности
РАЗНЫЕ ТРЕБОВАНИЯ ПО ЗАЩИТЕ Точная и конкретная информация, в связи с чем идентифицировать ее и определить область защищаемых ресурсов гораздо легче, чем в остальных категориях. К этой категории относится в основном информация о стратегических замыслах руководства, предстоящих инвестиционных проектах, будущих управленческих решениях и финансовой отчетности, до ее официального раскрытия. Меры защиты для КТ1 должны быть самые жесткие, но четкие и конкретные, а потому эффективные. КТ1 Информация для этой категории определяется путем анализа ОСНОВНЫХ бизнес-процессов компании и информационных потоков, их сопровождающих, на предмет возможных рисков, связанных с утечкой информации. Защитные меры для КТ2 выбираются на основании качественной или количественной оценки потенциального КТ2 ущерба активам в случае реализации этих рисков: чем больше ущерб – тем выше и дороже защита). Информация для этой категории определяется путем анализа ВСПОМОГАТЕЛЬНЫХ бизнес-процессов компании и информационных потоков, их сопровождающих, и определения КТ3 степени влияния утечки информации на основные бизнес- процессы компании. Как правило, такую информацию тяжело идентифицировать и защитить, поэтому бОльшая ее часть защищается путем внедрения СУИБ и оргмерами. Наименее контролируемая категория, а потому труднее всех защищаемая. КТ4 может быть везде – в КТ4 переписке, в приказах, служебных записках и т.д. Опасна тем, что в руках аналитика, умеющего сопоставлять и анализировать разрозненную информацию, некоторая ее совокупность способна после анализа дать сведения из «высших» категорий. Из-за огромного объема защитить ее практически невозможно (потому что очень дорого) – только оргмеры и постоянное обучение пользователей этой информации.
BYOD И КОММЕРЧЕСКАЯ ТАЙНА Обязательное условие установления режима коммерческой тайны (ч. 5 ст. 10 98- ФЗ): Нанесение на материальные носители (документы), содержащие информацию, составляющую коммерческую тайну, грифа "Коммерческая тайна" с указанием обладателя этой информации (для юридических лиц - полное наименование и место нахождения, для индивидуальных предпринимателей - фамилия, имя, отчество гражданина, являющегося индивидуальным предпринимателем, и место жительства) Ст. 2 98-ФЗ. Положения настоящего Федерального закона распространяются на информацию, составляющую коммерческую тайну, независимо от вида носителя, на котором она зафиксирована. ГОТОВЫ «ОКЛЕИТЬ» ЛИЧНЫЙ ГАДЖЕТ?
BYOD И ПЕРСОНАЛЬНЫЕ ДАННЫЕ Статья 19 152-ФЗ. Меры по обеспечению безопасности персональных данных при их обработке 1. Оператор при обработке персональных данных обязан принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных. 2. Обеспечение безопасности персональных данных достигается, в частности: 5) учетом машинных носителей персональных данных А КАК БЫТЬ С СЕРТИФИЦИРОВАННЫМИ АНТИВИРУСАМИ, МЕЖСЕТЕВЫМИ ЭКРАНАМИ И ПОНЯТИЕМ «КОНТРОЛИРУЕМАЯ ЗОНА» ?
BYOD И ВОЗМЕЩЕНИЕ УЩЕРБА Работник может использовать свое личное имущество при выполнении трудовой функции с согласия или с ведома работодателя и в его интересах (в том числе и на договорной основе). В этих случаях работнику выплачивается компенсация за использование, износ (амортизацию) инструмента, личного транспорта, оборудования и других технических средств и материалов, принадлежащих работнику, а также возмещаются расходы, связанные с их использованием (ст. 188 ТК РФ). При утрате или повреждении этого имущества по вине работодателя работнику должен быть возмещен понесенный им материальный ущерб (ст. 235 ТК РФ). А ЕСЛИ УЩЕРБ ИМУЩЕСТВУ ПРИЧИНЕН ТРЕТЬИМИ ЛИЦАМИ?
РЕАЛИЗАЦИЯ ТРЕБОВАНИЙ КТ1 КТ2 КТ3 КТ4 Запрет использования личных средств обработки информации Запрет использования неучтенных и немаркированных носителей информации Шифрование содержимого жестких дисков Шифрование электронной почты Использование смартфонов и планшетов для обработки информации Использование VPN для доступа к корпоративной сети передачи данных Использование защищенных терминальных серверов для доступа к корпоративным ресурсам
SAP (SYBASE) AFARIA
МОБИЛЬНОСТЬ И ОТВЕТСТВЕННОСТЬ =
СПАСИБО ЗА ВНИМАНИЕ! Блог: http://anvolkov.blogspot.com E-Mail: anvolkov@lenta.ru Алексей Волков, ОАО «Северсталь»

Recommended

DLP for top managers
DLP for top managersDLP for top managers
DLP for top managersAleksey Lukatskiy
 
What is effective DLP solution
What is effective DLP solutionWhat is effective DLP solution
What is effective DLP solutionAleksey Lukatskiy
 
Сети управления. Поддержка доступности сетей при кибератаке
Сети управления. Поддержка доступности сетей при кибератакеСети управления. Поддержка доступности сетей при кибератаке
Сети управления. Поддержка доступности сетей при кибератакеCisco Russia
 
Information Security Presentation (B.E.E.R 2021)
Information Security Presentation (B.E.E.R 2021)Information Security Presentation (B.E.E.R 2021)
Information Security Presentation (B.E.E.R 2021)Вячеслав Аксёнов
 
Information classification
Information classificationInformation classification
Information classificationAleksey Lukatskiy
 
SafeNet обзор решений
SafeNet обзор решенийSafeNet обзор решений
SafeNet обзор решенийSyezdbek Temirbekov
 
Clouds security (responsibility and information relations)
Clouds security (responsibility and information relations)Clouds security (responsibility and information relations)
Clouds security (responsibility and information relations)Вячеслав Аксёнов
 
Создание автоматизированных систем в защищенном исполнении
Создание автоматизированных систем в защищенном исполненииСоздание автоматизированных систем в защищенном исполнении
Создание автоматизированных систем в защищенном исполненииВячеслав Аксёнов
 

Recommended

DLP for top managers
DLP for top managersDLP for top managers
DLP for top managersAleksey Lukatskiy
 
What is effective DLP solution
What is effective DLP solutionWhat is effective DLP solution
What is effective DLP solutionAleksey Lukatskiy
 
Сети управления. Поддержка доступности сетей при кибератаке
Сети управления. Поддержка доступности сетей при кибератакеСети управления. Поддержка доступности сетей при кибератаке
Сети управления. Поддержка доступности сетей при кибератакеCisco Russia
 
Information Security Presentation (B.E.E.R 2021)
Information Security Presentation (B.E.E.R 2021)Information Security Presentation (B.E.E.R 2021)
Information Security Presentation (B.E.E.R 2021)Вячеслав Аксёнов
 
Information classification
Information classificationInformation classification
Information classificationAleksey Lukatskiy
 
SafeNet обзор решений
SafeNet обзор решенийSafeNet обзор решений
SafeNet обзор решенийSyezdbek Temirbekov
 
Clouds security (responsibility and information relations)
Clouds security (responsibility and information relations)Clouds security (responsibility and information relations)
Clouds security (responsibility and information relations)Вячеслав Аксёнов
 
Создание автоматизированных систем в защищенном исполнении
Создание автоматизированных систем в защищенном исполненииСоздание автоматизированных систем в защищенном исполнении
Создание автоматизированных систем в защищенном исполненииВячеслав Аксёнов
 
управление электронными данными ограниченного доступа
управление электронными данными ограниченного доступауправление электронными данными ограниченного доступа
управление электронными данными ограниченного доступаExpolink
 
внутренние угрозы Ph days_26 05 2015_final
внутренние угрозы Ph days_26 05 2015_finalвнутренние угрозы Ph days_26 05 2015_final
внутренние угрозы Ph days_26 05 2015_finalPositive Hack Days
 
ISMS audit and implementation
ISMS audit and implementationISMS audit and implementation
ISMS audit and implementationВячеслав Аксёнов
 
Аутсорсинг IT-инфраструктуры
Аутсорсинг IT-инфраструктурыАутсорсинг IT-инфраструктуры
Аутсорсинг IT-инфраструктурыMNUCIB
 
Краткий обзор курса: Создание автоматизированных систем в защищенном исполнении.
Краткий обзор курса: Создание автоматизированных систем в защищенном исполнении.Краткий обзор курса: Создание автоматизированных систем в защищенном исполнении.
Краткий обзор курса: Создание автоматизированных систем в защищенном исполнении.Вячеслав Аксёнов
 
IntellectTrans-2013
IntellectTrans-2013IntellectTrans-2013
IntellectTrans-2013Eugene Afonin
 
Cloud security risk management (fragment of course materials)
Cloud security risk management (fragment of course materials)Cloud security risk management (fragment of course materials)
Cloud security risk management (fragment of course materials)Вячеслав Аксёнов
 
Data Luxury Protection - защита данных с удовольствием!
Data Luxury Protection - защита данных с удовольствием!Data Luxury Protection - защита данных с удовольствием!
Data Luxury Protection - защита данных с удовольствием!Valery Boronin
 
Введение в информационную безопасность
Введение в информационную безопасностьВведение в информационную безопасность
Введение в информационную безопасностьMichael Rakutko
 
DLP-системы
DLP-системыDLP-системы
DLP-системыSoftline
 
Требования по иб фстэк (госис, пдн, асу тп) V.1
Требования по иб фстэк (госис, пдн, асу тп) V.1Требования по иб фстэк (госис, пдн, асу тп) V.1
Требования по иб фстэк (госис, пдн, асу тп) V.1Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Data protection RU vs EU
Data protection RU vs EUData protection RU vs EU
Data protection RU vs EUAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Решения Cisco для обеспечения соответствия требования регуляторов по безопасн...
Решения Cisco для обеспечения соответствия требования регуляторов по безопасн...Решения Cisco для обеспечения соответствия требования регуляторов по безопасн...
Решения Cisco для обеспечения соответствия требования регуляторов по безопасн...Cisco Russia
 
Information Security Legislations (BY)
Information Security Legislations (BY)Information Security Legislations (BY)
Information Security Legislations (BY)Вячеслав Аксёнов
 
Курс: Основы информационной безопасности.
Курс: Основы информационной безопасности.Курс: Основы информационной безопасности.
Курс: Основы информационной безопасности.Вячеслав Аксёнов
 
пр Особенности обработки и защиты ПДн в медицине
пр Особенности обработки и защиты ПДн в медицинепр Особенности обработки и защиты ПДн в медицине
пр Особенности обработки и защиты ПДн в медицинеAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
расследов..V 2
расследов..V 2расследов..V 2
расследов..V 2Vlad Bezmaly
 
пр Iw про compliance 2013 03-05 16на9
пр Iw про compliance 2013 03-05 16на9пр Iw про compliance 2013 03-05 16на9
пр Iw про compliance 2013 03-05 16на9Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Эволюция информационной безопасности в виртуализированных и облачных средах
Эволюция информационной безопасности в виртуализированных и облачных средахЭволюция информационной безопасности в виртуализированных и облачных средах
Эволюция информационной безопасности в виртуализированных и облачных средахMichael Kozloff
 
Почему не работает DLP? Типичные ошибки при внедрении и эксплуатации
Почему не работает DLP? Типичные ошибки при внедрении и эксплуатацииПочему не работает DLP? Типичные ошибки при внедрении и эксплуатации
Почему не работает DLP? Типичные ошибки при внедрении и эксплуатацииLETA IT-company
 
Когда DLP действительно работает
Когда DLP действительно работаетКогда DLP действительно работает
Когда DLP действительно работаетLETA IT-company
 
InfoWatch. Елена Нестерова. "Внутренние угрозы ИБ, мифы и реальность в услови...
InfoWatch. Елена Нестерова. "Внутренние угрозы ИБ, мифы и реальность в услови...InfoWatch. Елена Нестерова. "Внутренние угрозы ИБ, мифы и реальность в услови...
InfoWatch. Елена Нестерова. "Внутренние угрозы ИБ, мифы и реальность в услови...Expolink
 

More Related Content

What's hot

управление электронными данными ограниченного доступа
управление электронными данными ограниченного доступауправление электронными данными ограниченного доступа
управление электронными данными ограниченного доступаExpolink
 
внутренние угрозы Ph days_26 05 2015_final
внутренние угрозы Ph days_26 05 2015_finalвнутренние угрозы Ph days_26 05 2015_final
внутренние угрозы Ph days_26 05 2015_finalPositive Hack Days
 
Аутсорсинг IT-инфраструктуры
Аутсорсинг IT-инфраструктурыАутсорсинг IT-инфраструктуры
Аутсорсинг IT-инфраструктурыMNUCIB
 
Краткий обзор курса: Создание автоматизированных систем в защищенном исполнении.
Краткий обзор курса: Создание автоматизированных систем в защищенном исполнении.Краткий обзор курса: Создание автоматизированных систем в защищенном исполнении.
Краткий обзор курса: Создание автоматизированных систем в защищенном исполнении.Вячеслав Аксёнов
 
Cloud security risk management (fragment of course materials)
Cloud security risk management (fragment of course materials)Cloud security risk management (fragment of course materials)
Cloud security risk management (fragment of course materials)Вячеслав Аксёнов
 
Data Luxury Protection - защита данных с удовольствием!
Data Luxury Protection - защита данных с удовольствием!Data Luxury Protection - защита данных с удовольствием!
Data Luxury Protection - защита данных с удовольствием!Valery Boronin
 
Введение в информационную безопасность
Введение в информационную безопасностьВведение в информационную безопасность
Введение в информационную безопасностьMichael Rakutko
 
DLP-системы
DLP-системыDLP-системы
DLP-системыSoftline
 
Решения Cisco для обеспечения соответствия требования регуляторов по безопасн...
Решения Cisco для обеспечения соответствия требования регуляторов по безопасн...Решения Cisco для обеспечения соответствия требования регуляторов по безопасн...
Решения Cisco для обеспечения соответствия требования регуляторов по безопасн...Cisco Russia
 
Курс: Основы информационной безопасности.
Курс: Основы информационной безопасности.Курс: Основы информационной безопасности.
Курс: Основы информационной безопасности.Вячеслав Аксёнов
 
пр Особенности обработки и защиты ПДн в медицине
пр Особенности обработки и защиты ПДн в медицинепр Особенности обработки и защиты ПДн в медицине
пр Особенности обработки и защиты ПДн в медицинеAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
расследов..V 2
расследов..V 2расследов..V 2
расследов..V 2Vlad Bezmaly
 
Эволюция информационной безопасности в виртуализированных и облачных средах
Эволюция информационной безопасности в виртуализированных и облачных средахЭволюция информационной безопасности в виртуализированных и облачных средах
Эволюция информационной безопасности в виртуализированных и облачных средахMichael Kozloff
 

What's hot (19)

управление электронными данными ограниченного доступа
управление электронными данными ограниченного доступауправление электронными данными ограниченного доступа
управление электронными данными ограниченного доступа
 
внутренние угрозы Ph days_26 05 2015_final
внутренние угрозы Ph days_26 05 2015_finalвнутренние угрозы Ph days_26 05 2015_final
внутренние угрозы Ph days_26 05 2015_final
 
ISMS audit and implementation
ISMS audit and implementationISMS audit and implementation
ISMS audit and implementation
 
Аутсорсинг IT-инфраструктуры
Аутсорсинг IT-инфраструктурыАутсорсинг IT-инфраструктуры
Аутсорсинг IT-инфраструктуры
 
Краткий обзор курса: Создание автоматизированных систем в защищенном исполнении.
Краткий обзор курса: Создание автоматизированных систем в защищенном исполнении.Краткий обзор курса: Создание автоматизированных систем в защищенном исполнении.
Краткий обзор курса: Создание автоматизированных систем в защищенном исполнении.
 
IntellectTrans-2013
IntellectTrans-2013IntellectTrans-2013
IntellectTrans-2013
 
Cloud security risk management (fragment of course materials)
Cloud security risk management (fragment of course materials)Cloud security risk management (fragment of course materials)
Cloud security risk management (fragment of course materials)
 
Data Luxury Protection - защита данных с удовольствием!
Data Luxury Protection - защита данных с удовольствием!Data Luxury Protection - защита данных с удовольствием!
Data Luxury Protection - защита данных с удовольствием!
 
Введение в информационную безопасность
Введение в информационную безопасностьВведение в информационную безопасность
Введение в информационную безопасность
 
DLP-системы
DLP-системыDLP-системы
DLP-системы
 
Требования по иб фстэк (госис, пдн, асу тп) V.1
Требования по иб фстэк (госис, пдн, асу тп) V.1Требования по иб фстэк (госис, пдн, асу тп) V.1
Требования по иб фстэк (госис, пдн, асу тп) V.1
 
Data protection RU vs EU
Data protection RU vs EUData protection RU vs EU
Data protection RU vs EU
 
Решения Cisco для обеспечения соответствия требования регуляторов по безопасн...
Решения Cisco для обеспечения соответствия требования регуляторов по безопасн...Решения Cisco для обеспечения соответствия требования регуляторов по безопасн...
Решения Cisco для обеспечения соответствия требования регуляторов по безопасн...
 
Information Security Legislations (BY)
Information Security Legislations (BY)Information Security Legislations (BY)
Information Security Legislations (BY)
 
Курс: Основы информационной безопасности.
Курс: Основы информационной безопасности.Курс: Основы информационной безопасности.
Курс: Основы информационной безопасности.
 
пр Особенности обработки и защиты ПДн в медицине
пр Особенности обработки и защиты ПДн в медицинепр Особенности обработки и защиты ПДн в медицине
пр Особенности обработки и защиты ПДн в медицине
 
расследов..V 2
расследов..V 2расследов..V 2
расследов..V 2
 
пр Iw про compliance 2013 03-05 16на9
пр Iw про compliance 2013 03-05 16на9пр Iw про compliance 2013 03-05 16на9
пр Iw про compliance 2013 03-05 16на9
 
Эволюция информационной безопасности в виртуализированных и облачных средах
Эволюция информационной безопасности в виртуализированных и облачных средахЭволюция информационной безопасности в виртуализированных и облачных средах
Эволюция информационной безопасности в виртуализированных и облачных средах
 

Similar to Мобильный доступ

Почему не работает DLP? Типичные ошибки при внедрении и эксплуатации
Почему не работает DLP? Типичные ошибки при внедрении и эксплуатацииПочему не работает DLP? Типичные ошибки при внедрении и эксплуатации
Почему не работает DLP? Типичные ошибки при внедрении и эксплуатацииLETA IT-company
 
Когда DLP действительно работает
Когда DLP действительно работаетКогда DLP действительно работает
Когда DLP действительно работаетLETA IT-company
 
InfoWatch. Елена Нестерова. "Внутренние угрозы ИБ, мифы и реальность в услови...
InfoWatch. Елена Нестерова. "Внутренние угрозы ИБ, мифы и реальность в услови...InfoWatch. Елена Нестерова. "Внутренние угрозы ИБ, мифы и реальность в услови...
InfoWatch. Елена Нестерова. "Внутренние угрозы ИБ, мифы и реальность в услови...Expolink
 
Защищенное облако Softline(ФЗ-152)
Защищенное облако Softline(ФЗ-152)Защищенное облако Softline(ФЗ-152)
Защищенное облако Softline(ФЗ-152)Dinar Garipov
 
Управление инцидентами информационной безопасности с помощью DLP Solar Dozor
Управление инцидентами информационной безопасности с помощью DLP Solar DozorУправление инцидентами информационной безопасности с помощью DLP Solar Dozor
Управление инцидентами информационной безопасности с помощью DLP Solar DozorSolar Security
 
Кто такой специалист по иб
Кто такой специалист по ибКто такой специалист по иб
Кто такой специалист по ибTeymur Kheirkhabarov
 
Снижение риска потери данных в облачных средах при помощи межсетевого экрана ...
Снижение риска потери данных в облачных средах при помощи межсетевого экрана ...Снижение риска потери данных в облачных средах при помощи межсетевого экрана ...
Снижение риска потери данных в облачных средах при помощи межсетевого экрана ...Michael Kozloff
 
Решения Cisco для защиты персональных данных
Решения Cisco для защиты персональных данныхРешения Cisco для защиты персональных данных
Решения Cisco для защиты персональных данныхCisco Russia
 
СЛУЖБА УПРАВЛЕНИЯ ПРАВАМИ ДОСТУПА(IRM)
СЛУЖБА УПРАВЛЕНИЯ ПРАВАМИ ДОСТУПА(IRM)СЛУЖБА УПРАВЛЕНИЯ ПРАВАМИ ДОСТУПА(IRM)
СЛУЖБА УПРАВЛЕНИЯ ПРАВАМИ ДОСТУПА(IRM)Softline
 
ESET. Александр Зонов. "ESET. Просто. Удобно. Надежно"
ESET. Александр Зонов. "ESET. Просто. Удобно. Надежно"ESET. Александр Зонов. "ESET. Просто. Удобно. Надежно"
ESET. Александр Зонов. "ESET. Просто. Удобно. Надежно"Expolink
 
Incident management (part 4)
Incident management (part 4)Incident management (part 4)
Incident management (part 4)Aleksey Lukatskiy
 
КСИБ
КСИБКСИБ
КСИБpesrox
 
Сети управления. Поддержка доступности сетей при кибератаке
Сети управления. Поддержка доступности сетей при кибератакеСети управления. Поддержка доступности сетей при кибератаке
Сети управления. Поддержка доступности сетей при кибератакеCisco Russia
 
InfoWatch. Олег Коробейников. "InfoWatch. Защита от внутренних угроз и таргет...
InfoWatch. Олег Коробейников. "InfoWatch. Защита от внутренних угроз и таргет...InfoWatch. Олег Коробейников. "InfoWatch. Защита от внутренних угроз и таргет...
InfoWatch. Олег Коробейников. "InfoWatch. Защита от внутренних угроз и таргет...Expolink
 
Voprosy zaschity konfidentsialnoy_informatsii_aktualny_dlya_kazhdogo_sovremen...
Voprosy zaschity konfidentsialnoy_informatsii_aktualny_dlya_kazhdogo_sovremen...Voprosy zaschity konfidentsialnoy_informatsii_aktualny_dlya_kazhdogo_sovremen...
Voprosy zaschity konfidentsialnoy_informatsii_aktualny_dlya_kazhdogo_sovremen...Алексей Гололоб
 
InfoWatch. Олег Коробейников. "Защита от внутренних угроз и таргетированных а...
InfoWatch. Олег Коробейников. "Защита от внутренних угроз и таргетированных а...InfoWatch. Олег Коробейников. "Защита от внутренних угроз и таргетированных а...
InfoWatch. Олег Коробейников. "Защита от внутренних угроз и таргетированных а...Expolink
 
Incident management (part 3)
Incident management (part 3)Incident management (part 3)
Incident management (part 3)Aleksey Lukatskiy
 
Обзор изменений в области персональных данных. Стало ли проще
Обзор изменений в области персональных данных. Стало ли прощеОбзор изменений в области персональных данных. Стало ли проще
Обзор изменений в области персональных данных. Стало ли прощеguestfa9aa
 

Similar to Мобильный доступ (20)

Почему не работает DLP? Типичные ошибки при внедрении и эксплуатации
Почему не работает DLP? Типичные ошибки при внедрении и эксплуатацииПочему не работает DLP? Типичные ошибки при внедрении и эксплуатации
Почему не работает DLP? Типичные ошибки при внедрении и эксплуатации
 
Когда DLP действительно работает
Когда DLP действительно работаетКогда DLP действительно работает
Когда DLP действительно работает
 
InfoWatch. Елена Нестерова. "Внутренние угрозы ИБ, мифы и реальность в услови...
InfoWatch. Елена Нестерова. "Внутренние угрозы ИБ, мифы и реальность в услови...InfoWatch. Елена Нестерова. "Внутренние угрозы ИБ, мифы и реальность в услови...
InfoWatch. Елена Нестерова. "Внутренние угрозы ИБ, мифы и реальность в услови...
 
Защищенное облако Softline(ФЗ-152)
Защищенное облако Softline(ФЗ-152)Защищенное облако Softline(ФЗ-152)
Защищенное облако Softline(ФЗ-152)
 
Управление инцидентами информационной безопасности с помощью DLP Solar Dozor
Управление инцидентами информационной безопасности с помощью DLP Solar DozorУправление инцидентами информационной безопасности с помощью DLP Solar Dozor
Управление инцидентами информационной безопасности с помощью DLP Solar Dozor
 
пр Управление инцидентами ИБ (Dozor) v.2.1
пр Управление инцидентами ИБ (Dozor) v.2.1пр Управление инцидентами ИБ (Dozor) v.2.1
пр Управление инцидентами ИБ (Dozor) v.2.1
 
Кто такой специалист по иб
Кто такой специалист по ибКто такой специалист по иб
Кто такой специалист по иб
 
Снижение риска потери данных в облачных средах при помощи межсетевого экрана ...
Снижение риска потери данных в облачных средах при помощи межсетевого экрана ...Снижение риска потери данных в облачных средах при помощи межсетевого экрана ...
Снижение риска потери данных в облачных средах при помощи межсетевого экрана ...
 
Решения Cisco для защиты персональных данных
Решения Cisco для защиты персональных данныхРешения Cisco для защиты персональных данных
Решения Cisco для защиты персональных данных
 
СЛУЖБА УПРАВЛЕНИЯ ПРАВАМИ ДОСТУПА(IRM)
СЛУЖБА УПРАВЛЕНИЯ ПРАВАМИ ДОСТУПА(IRM)СЛУЖБА УПРАВЛЕНИЯ ПРАВАМИ ДОСТУПА(IRM)
СЛУЖБА УПРАВЛЕНИЯ ПРАВАМИ ДОСТУПА(IRM)
 
Volkov DLP Russia 2013
Volkov DLP Russia 2013Volkov DLP Russia 2013
Volkov DLP Russia 2013
 
ESET. Александр Зонов. "ESET. Просто. Удобно. Надежно"
ESET. Александр Зонов. "ESET. Просто. Удобно. Надежно"ESET. Александр Зонов. "ESET. Просто. Удобно. Надежно"
ESET. Александр Зонов. "ESET. Просто. Удобно. Надежно"
 
Incident management (part 4)
Incident management (part 4)Incident management (part 4)
Incident management (part 4)
 
КСИБ
КСИБКСИБ
КСИБ
 
Сети управления. Поддержка доступности сетей при кибератаке
Сети управления. Поддержка доступности сетей при кибератакеСети управления. Поддержка доступности сетей при кибератаке
Сети управления. Поддержка доступности сетей при кибератаке
 
InfoWatch. Олег Коробейников. "InfoWatch. Защита от внутренних угроз и таргет...
InfoWatch. Олег Коробейников. "InfoWatch. Защита от внутренних угроз и таргет...InfoWatch. Олег Коробейников. "InfoWatch. Защита от внутренних угроз и таргет...
InfoWatch. Олег Коробейников. "InfoWatch. Защита от внутренних угроз и таргет...
 
Voprosy zaschity konfidentsialnoy_informatsii_aktualny_dlya_kazhdogo_sovremen...
Voprosy zaschity konfidentsialnoy_informatsii_aktualny_dlya_kazhdogo_sovremen...Voprosy zaschity konfidentsialnoy_informatsii_aktualny_dlya_kazhdogo_sovremen...
Voprosy zaschity konfidentsialnoy_informatsii_aktualny_dlya_kazhdogo_sovremen...
 
InfoWatch. Олег Коробейников. "Защита от внутренних угроз и таргетированных а...
InfoWatch. Олег Коробейников. "Защита от внутренних угроз и таргетированных а...InfoWatch. Олег Коробейников. "Защита от внутренних угроз и таргетированных а...
InfoWatch. Олег Коробейников. "Защита от внутренних угроз и таргетированных а...
 
Incident management (part 3)
Incident management (part 3)Incident management (part 3)
Incident management (part 3)
 
Обзор изменений в области персональных данных. Стало ли проще
Обзор изменений в области персональных данных. Стало ли прощеОбзор изменений в области персональных данных. Стало ли проще
Обзор изменений в области персональных данных. Стало ли проще
 

More from Алексей Волков

Политика информационной безопасности: как сделать правильно и полезно
Политика информационной безопасности: как сделать правильно и полезноПолитика информационной безопасности: как сделать правильно и полезно
Политика информационной безопасности: как сделать правильно и полезноАлексей Волков
 
Как один мужик удостоверяющий центр аккредитовал
Как один мужик удостоверяющий центр аккредитовалКак один мужик удостоверяющий центр аккредитовал
Как один мужик удостоверяющий центр аккредитовалАлексей Волков
 
Как защитить свои права при проверке и после нее
Как защитить свои права при проверке и после нееКак защитить свои права при проверке и после нее
Как защитить свои права при проверке и после нееАлексей Волков
 
Мобильный доступ и проблемы безопасности
Мобильный доступ и проблемы безопасностиМобильный доступ и проблемы безопасности
Мобильный доступ и проблемы безопасностиАлексей Волков
 
Значение организационных мероприятий для обеспечения защиты персональных данн...
Значение организационных мероприятий для обеспечения защиты персональных данн...Значение организационных мероприятий для обеспечения защиты персональных данн...
Значение организационных мероприятий для обеспечения защиты персональных данн...Алексей Волков
 
Техническая защита ИСПДн: проблемы... и решения?
Техническая защита ИСПДн: проблемы... и решения?Техническая защита ИСПДн: проблемы... и решения?
Техническая защита ИСПДн: проблемы... и решения?Алексей Волков
 

More from Алексей Волков (10)

Блеск и нищета DLP систем
Блеск и нищета DLP системБлеск и нищета DLP систем
Блеск и нищета DLP систем
 
Политика информационной безопасности: как сделать правильно и полезно
Политика информационной безопасности: как сделать правильно и полезноПолитика информационной безопасности: как сделать правильно и полезно
Политика информационной безопасности: как сделать правильно и полезно
 
Как один мужик удостоверяющий центр аккредитовал
Как один мужик удостоверяющий центр аккредитовалКак один мужик удостоверяющий центр аккредитовал
Как один мужик удостоверяющий центр аккредитовал
 
Volkov CNews forum Personal Data 2013
Volkov CNews forum Personal Data 2013Volkov CNews forum Personal Data 2013
Volkov CNews forum Personal Data 2013
 
Metallurg calend 2013
Metallurg calend 2013Metallurg calend 2013
Metallurg calend 2013
 
Управление инцидентами
Управление инцидентамиУправление инцидентами
Управление инцидентами
 
Как защитить свои права при проверке и после нее
Как защитить свои права при проверке и после нееКак защитить свои права при проверке и после нее
Как защитить свои права при проверке и после нее
 
Мобильный доступ и проблемы безопасности
Мобильный доступ и проблемы безопасностиМобильный доступ и проблемы безопасности
Мобильный доступ и проблемы безопасности
 
Значение организационных мероприятий для обеспечения защиты персональных данн...
Значение организационных мероприятий для обеспечения защиты персональных данн...Значение организационных мероприятий для обеспечения защиты персональных данн...
Значение организационных мероприятий для обеспечения защиты персональных данн...
 
Техническая защита ИСПДн: проблемы... и решения?
Техническая защита ИСПДн: проблемы... и решения?Техническая защита ИСПДн: проблемы... и решения?
Техническая защита ИСПДн: проблемы... и решения?
 

Мобильный доступ

  • 1. МОБИЛЬНЫЙ ДОСТУП: КАК ЭТО БЫЛО РЕАЛИЗАЦИЯ БЕЗОПАСНОГО МОБИЛЬНОГО ДОСТУПА К КОРПОРАТИВНЫМ РЕСУРСАМ ХОЛДИНГА Алексей Волков, ОАО «Северсталь»
  • 2. ХОЛДИНГ: СТРУКТУРА Сталь Лом Метизы Сбыт Уголь Золото Трубы Сервис
  • 4. БИЗНЕС-ТРЕБОВАНИЯ VS ТРЕБОВАНИЯ БЕЗОПАСНОСТИ Возможность Соблюдение доступа установленных сотрудников к правил и политик корпоративным безопасности ресурсам вне зависимости в любом месте, от места, в любое время времени и с любого и способа устройства подключения
  • 5. КАК ДОСТИГАЕТСЯ БАЛАНС Подключение отдельных рабочих мест к ТФОП через модем Организация корпоративных модемных пулов Прямое подключение корпоративных ресурсов к сети «Интернет» Защищенное подключение «внешних» пользователей к корпоративной сети
  • 6. ИТ-ИНСОРСИНГ И КСПД Корпоративная сеть передачи данных Корпоративный ИТ-оператор
  • 8. МОБИЛЬНЫЙ ПОЛЬЗОВАТЕЛЬ Безопасный доступ к рабочему месту из любой точки земного шара (Remote Desktop, VPN) Корпоративная электронная почта на мобильных устройствах (MS Exchange, SSL) Возможность доступа к корпоративным ресурсам с любого устройства Для малого и среднего бизнеса все это весьма недешево…
  • 9. МОБИЛЬНЫЙ БИЗНЕС • Оперативное развертывание и перемещение ИТ- инфраструктуры филиала без существенных капитальных затрат • Ежемесячная абонентская плата без необходимости приобретения дорогостоящего оборудования и получения лицензий • Полноценное техническое сопровождение на базе SLA • Распространение политик безопасности на все подразделения и филиалы • Централизованное управление и контроль использования информационных ресурсов VPN AS A SERVICE
  • 10. РАЗНЫЕ КАТЕГОРИИ ИНФОРМАЦИИ Сведения, распространение или предоставление которой может оказать существенное влияние на цены финансовых инструментов и привести к снижению рыночной капитализации (инсайдерская информация) КТ1 Сведения, распространение или предоставление которых может привести к нанесению прямого ущерба компании (хищение ресурсов, потери от простоя, КТ2 недополученная прибыль и др.) Сведения, разглашение которых может нанести косвенный ущерб (упущенная выгода из-за нарушения бизнес-процессов, имиджевые и КТ3 репутационные риски и др.) Разрозненная информация, подлежащая защите в связи с потенциальной опасностью формирования сведений высших КТ4 категорий при анализе некоторой ее совокупности
  • 11. РАЗНЫЕ ТРЕБОВАНИЯ ПО ЗАЩИТЕ Точная и конкретная информация, в связи с чем идентифицировать ее и определить область защищаемых ресурсов гораздо легче, чем в остальных категориях. К этой категории относится в основном информация о стратегических замыслах руководства, предстоящих инвестиционных проектах, будущих управленческих решениях и финансовой отчетности, до ее официального раскрытия. Меры защиты для КТ1 должны быть самые жесткие, но четкие и конкретные, а потому эффективные. КТ1 Информация для этой категории определяется путем анализа ОСНОВНЫХ бизнес-процессов компании и информационных потоков, их сопровождающих, на предмет возможных рисков, связанных с утечкой информации. Защитные меры для КТ2 выбираются на основании качественной или количественной оценки потенциального КТ2 ущерба активам в случае реализации этих рисков: чем больше ущерб – тем выше и дороже защита). Информация для этой категории определяется путем анализа ВСПОМОГАТЕЛЬНЫХ бизнес-процессов компании и информационных потоков, их сопровождающих, и определения КТ3 степени влияния утечки информации на основные бизнес- процессы компании. Как правило, такую информацию тяжело идентифицировать и защитить, поэтому бОльшая ее часть защищается путем внедрения СУИБ и оргмерами. Наименее контролируемая категория, а потому труднее всех защищаемая. КТ4 может быть везде – в КТ4 переписке, в приказах, служебных записках и т.д. Опасна тем, что в руках аналитика, умеющего сопоставлять и анализировать разрозненную информацию, некоторая ее совокупность способна после анализа дать сведения из «высших» категорий. Из-за огромного объема защитить ее практически невозможно (потому что очень дорого) – только оргмеры и постоянное обучение пользователей этой информации.
  • 12. BYOD И КОММЕРЧЕСКАЯ ТАЙНА Обязательное условие установления режима коммерческой тайны (ч. 5 ст. 10 98- ФЗ): Нанесение на материальные носители (документы), содержащие информацию, составляющую коммерческую тайну, грифа "Коммерческая тайна" с указанием обладателя этой информации (для юридических лиц - полное наименование и место нахождения, для индивидуальных предпринимателей - фамилия, имя, отчество гражданина, являющегося индивидуальным предпринимателем, и место жительства) Ст. 2 98-ФЗ. Положения настоящего Федерального закона распространяются на информацию, составляющую коммерческую тайну, независимо от вида носителя, на котором она зафиксирована. ГОТОВЫ «ОКЛЕИТЬ» ЛИЧНЫЙ ГАДЖЕТ?
  • 13. BYOD И ПЕРСОНАЛЬНЫЕ ДАННЫЕ Статья 19 152-ФЗ. Меры по обеспечению безопасности персональных данных при их обработке 1. Оператор при обработке персональных данных обязан принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных. 2. Обеспечение безопасности персональных данных достигается, в частности: 5) учетом машинных носителей персональных данных А КАК БЫТЬ С СЕРТИФИЦИРОВАННЫМИ АНТИВИРУСАМИ, МЕЖСЕТЕВЫМИ ЭКРАНАМИ И ПОНЯТИЕМ «КОНТРОЛИРУЕМАЯ ЗОНА» ?
  • 14. BYOD И ВОЗМЕЩЕНИЕ УЩЕРБА Работник может использовать свое личное имущество при выполнении трудовой функции с согласия или с ведома работодателя и в его интересах (в том числе и на договорной основе). В этих случаях работнику выплачивается компенсация за использование, износ (амортизацию) инструмента, личного транспорта, оборудования и других технических средств и материалов, принадлежащих работнику, а также возмещаются расходы, связанные с их использованием (ст. 188 ТК РФ). При утрате или повреждении этого имущества по вине работодателя работнику должен быть возмещен понесенный им материальный ущерб (ст. 235 ТК РФ). А ЕСЛИ УЩЕРБ ИМУЩЕСТВУ ПРИЧИНЕН ТРЕТЬИМИ ЛИЦАМИ?
  • 15. РЕАЛИЗАЦИЯ ТРЕБОВАНИЙ КТ1 КТ2 КТ3 КТ4 Запрет использования личных средств обработки информации Запрет использования неучтенных и немаркированных носителей информации Шифрование содержимого жестких дисков Шифрование электронной почты Использование смартфонов и планшетов для обработки информации Использование VPN для доступа к корпоративной сети передачи данных Использование защищенных терминальных серверов для доступа к корпоративным ресурсам
  • 18. СПАСИБО ЗА ВНИМАНИЕ! Блог: http://anvolkov.blogspot.com E-Mail: anvolkov@lenta.ru Алексей Волков, ОАО «Северсталь»