Управление рисками и соответствие нормативным требованиям с помощью самозащищающейся сети CISCO

МЕЖДУНАРОДНЫЙ БАНКОВСКИЙ ИНСТИТУТ
INTERNATIONAL BANKING INSTITUTE
http://www.cisco.com/global/RU/netsol/ns625/networking_solutions_white_paper0900aecd80351ea6.
shtml
Управление рисками и соответствие
нормативным требованиям с помощью
самозащищающейся сети CISCO
1. Обзор
2. Задача
3. Решение
4. Самозащищающаяся четь CISCO
5. Контроль доступа
6. Защищенное взаимодействие
7. Предотвращение угроз
8. Управление угрозами и создание отчетов
9. Защищенная инфраструктура и управление изменениями
10. Отказоустойчивость и доступность сети организации
11. Учет и создание отчетов
12. Служба расширенной поддержки
13. Единый подход к обеспечению сетевой безопасности
Современные ИТ-бизнес архитектуры, ориентированные на предоставление
разнообразных услуг, создают целый ряд новых деловых возможностей, но вместе
с тем эти возможности порождают новые виды рисков, которыми необходимо
эффективно
управлять.
Самозащищающаяся
сеть
Cisco
предоставляет
комплексный системный подход к управлению рисками сетевой безопасности,
который поддерживает механизмы контроля и передовые методы защиты
деятельности
предприятия.
Этот
подход
позволяет
организациям
усовершенствовать механизм управления рисками безопасности и обеспечить их
соответствие нормативным требованиям.
1.
2.
3.
4.
Обзор
Задача
Решение
Самозащищающаяся сеть Cisco
1. Обзор
Успешное управление предприятием зависит от умения координировать
средства внутреннего контроля, а также от доступности, конфиденциальности и
целостности корпоративной информации. Репутация компании, защищенность
бренда и результаты финансовой деятельности организации полностью зависят от
качества защиты бизнес-процессов и их соответствия растущему числу законов и
постановлений. Сеть играет принципиально важную роль в достижении указанных
целей, поскольку она затрагивает практически все аспекты деятельности
организации и связывает между собой бизнес-процессы. Прежняя модель
безопасности сети на основе периметра становится все менее подходящей для
1
МЕЖДУНАРОДНЫЙ БАНКОВСКИЙ ИНСТИТУТ
INTERNATIONAL BANKING INSTITUTE
управления рисками сетевой безопасности. Поэтому необходим комплексный
системный подход, который должен быть интегрированным, совместным и
адаптивным; кроме того, этот подход должен упростить механизм управления
рисками информационной безопасности и обеспечить соответствие нормативным
документам.
2. Задача
С одной стороны, подавляющее большинство государственных и частных
организаций в настоящее время все больше зависит от автоматизированных
бизнес-процессов. Информационные системы и сети, поддерживающие эти
процессы, теперь рассматриваются как стратегический корпоративный ресурс,
который оценивается исходя из общей стратегии и целей предприятия,
фиксированного уровня инвестирования и ресурсов, а также новых рисков
информационной безопасности, которыми необходимо управлять. В статье «ИТуправление: Руководство для директоров» Алан Калдер считает, что «управление
предприятием и управление информационными технологиями становится единым
процессом, поэтому руководителям на всех уровнях в организациях любого
масштаба очень важно понимать, как информационные технологии могут
способствовать развитию деловых отношений и - что еще более важно - как
лучше работать с рисками сетевой безопасности» (http://www.itgovernance.co.uk , Alan
Calder, “IT Governance: Guidelines for Directors”).
С другой стороны, организации испытывают повышенное давление со стороны
правительств и отдельных лиц, заинтересованных вопросами надлежащего
использования информации, в особенности частной и финансовой. В результате
всем современным организациям необходимо соответствовать растущему числу
законов и постановлений, так как руководящие органы и общественность
предпринимают надлежащие действия, направленные на обеспечение целевого
использования и защиты как корпоративной, так и частной информации.
Например, организациям в Европе приходится сталкиваться с общественными
обвинителями и законодателями, которые как на государственном, так и на
общеевропейском уровне хорошо разбираются в законах и штрафных санкциях,
число которых постоянно растет, включая следующие:
1. Директива Европейского Союза о защите данных, 1995 г. (The EU Data Protection
Directive of 1995)
2. Директива Европейского Союза о конфиденциальности и электронных средствах связи,
2002 г . (The EU Directive on Privacy and Electronic Communications 2002)
3. Европейское законодательство о правах человека (European Human Rights Legislation)
4. Закон о свободе информации (Freedom of Information legislation)
5. Договор Европейского Совета о преступлениях с использованием современной
вычислительной и электронной техники, 2001 г. (The Council of Europe's Convention on
Cybercrime of 2001)
Предприятия мирового масштаба должны в полной мере подчиняться этим
законам. Кроме того, предприятиям, зарегистрированным или действующим в
Соединенных Штатах, часто требуется подчиняться закону Сарбейнса-Оксли
(Sarbanes-Oxley), а также другим законам, таким как закон Грэмма-Лича-Блили
(Gramm-Leach-Bliley), закон HIPPA или законопроект California's Senate Bill 1386,
принятый сенатом штата Калифорния. Более того, каждое финансовое
учреждение в мире попадает под действие требований к производственным
рискам. Организации, действующие на Среднем Востоке или в Африке, как
правило,
подчиняются
местным
нормам
корпоративного
управления,
постановлениям о защите данных и соблюдении конфиденциальности, однако для
выхода на западный рынок им необходимо следовать соответствующим нормам и
требованиям к защите информации. Также существуют важные соображения по
2
МЕЖДУНАРОДНЫЙ БАНКОВСКИЙ ИНСТИТУТ
INTERNATIONAL BANKING INSTITUTE
защите информации для всех инстанций в области действия законодательства и
коммерческих требований, начиная от требований местных властей по защите
информации и заканчивая законами о компьютерных преступлениях, законами об
«отмывании» денег, законами о спаме, постановлениями об электронной
коммерции и стандартом PCI (Payment Card Industry Standard).
Под влиянием этих внутренних и внешних принудительных факторов задача
ИТ-управления в организации становится особенно актуальной, поскольку
высшее руководство сосредотачивает внимание на проблеме согласования
информационных систем и сетей со стратегией предприятия, одновременно
управляя новыми рисками, связанными с угрозами конфиденциальности,
целостности и доступности бизнес-процессов и информации.* Но исторически
сложилось так, что подход к управлению рисками, касающимися информации и
сетевой безопасности, был разбит на ряд подходов, реализуемых несколькими
подразделениями и отделами организации, что приводит к удвоению усилий и
дублированию технологий. Очевидно, что эти разные подходы несовместимы,
усилия удваиваются, а системы контроля накладываются, противоречат или
подрывают работу друг друга. Задачи оценки и создания отчетов также
разбиваются на фрагменты, в результате чего руководство не имеет
представления об эффективности управления рисками сетевой безопасности,
равно как и о появляющихся нормативных требованиях.** Не удивительно, что,
согласно Forrester Research, организации в настоящее время находятся в
процессе поиска формализованного непротиворечивого подхода к управлению
информационными рисками и контролю соответствия нормативным требованиям
во всей организации.***
3. Решение
Очевидно, что оптимальным решением задачи управления рисками
информационной безопасности и контроля соответствия нормативным требований
является применение системного и комплексного подхода, основывающегося на
лучших в отрасли методах и удовлетворяющего общегосударственным нормам
корпоративного управления, который, в частности, не противоречил бы
требованиям комитета The Committee of Sponsoring Organizations of the Treadway
Commission's (COSO). Отправной точкой является создание единого, гибкого и
полномасштабного механизма контроля, в рамках которого будет осуществляться
соблюдение всех требований сетевой безопасности и соответствия. Данный
подход, по словам Дж. Л. Баяк (J.L. Bayuk), «позволяет установить правильное
соотношение рисков в масштабе предприятия и усилий по соблюдению
соответствия, а также снизить расходы, связанные с операциями аудита ИТ,
поскольку в случае корректно построенного предприятием механизма контроля
аудиторским организациям требуется тратить гораздо меньше времени и ресурсов
на оценку рисков».**** Таким образом, большое число организаций по всему
миру в настоящее время осваивают данный системный подход.
По словам Калдера (Calder), «существует два общепризнанных и широко
применяемых механизма контроля. Первый – CobiT (Control Objectives for
Information and Related Technologies) был разработан институтом IT Governance
Institute в США . Второй - ISO17799 (поддерживается стандартом ISO27001) был
разработан Международной организацией по стандартизации и применяется во
всем мире. CobiT больше ориентирован на процессы, тогда как ISO17799
определяет оптимальные средства управления безопасностью информацией. Оба
механизма представляют собой хорошую основу для разработки организационной
архитектуры для согласованного и экономичного управления рисками и контроля
соответствия нормативным требованиям сетевой безопасности, стандарта PCI,
3
МЕЖДУНАРОДНЫЙ БАНКОВСКИЙ ИНСТИТУТ
INTERNATIONAL BANKING INSTITUTE
директив о защите данных и права конфиденциальности, а также всех прочих
действующих норм корпоративного управления и внутреннего контроля. Оба
механизма - CobiT и ISO17799 - позволяют организациям применять
установленные передовые методы для упрощения и объединения ИТ-процессов и
внутренних средств контроля. Несмотря на то, что на практике применяется
CobiT, ISO17799 жизненно необходим, поскольку он является признанным на
международном уровне и предоставляет законченные средства контроля
безопасности информации». (http://www.itgovernance.co.uk/page.bs7799)
4. Самозащищающаяся сеть CISCO
Самозащищающаяся сеть Cisco - это первая линия корпоративной защиты,
поскольку она является основой всех данных, приложений и бизнес-процессов.
По данным института IT Governance institute широко распространенными
элементами общей структуры контроля организации являются: средства контроля
уровня организации, средства контроля приложений и общие средства контроля
(средства контроля, внедренные в ИТ-услуги, образуют общие средства
контроля). В частности, общие средства контроля ИТ ориентированы на
логический доступ, управление внесениями изменений, резервирование и
восстановление. Средства контроля сетевой безопасности являются частью этого
механизма и «необходимы для обеспечения функционирования средств контроля
приложений, которые зависят от автоматизированных процессов… [и] все в
большей мере дополняют средства контроля приложений и бизнес-процессов».
Например, «некоторые требования по контролю бизнес-процессов, такие как
обеспечение доступности системы, могут быть удовлетворены только в результате
приведения в действие общих средств контроля ИТ». Если средства контроля
сетевой безопасности не реализованы или ненадежны, это может привести к
возрастанию риска нарушения конфиденциальности, целостности и доступности
данных, приложений и жизненно важных бизнес-процессов. Средства контроля
сетевой безопасности обеспечивают основу для высокоуровневого контроля
приложений и бизнес-процессов и «являются основополагающими, поскольку они
поддерживают функционирование средств контроля приложений, применимы ко
всем информационным системам, поддерживают возможность безопасной и
бесперебойной работы и позволяют снизить риски, препятствующие достижению
целей предприятия.*****
Являясь первой линией корпоративной защиты, самозащищающаяся сеть Cisco
представляет собой основную составляющую стратегии организаций по
управлению
рисками
информационной
безопасности,
поскольку
она
предоставляет комплексный системный подход к проблеме сетевой безопасности,
поддерживающий общепризнанные в отрасли архитектуру управления и
передовые методики. Этот подход позволяет организациям усовершенствовать
механизм управления рисками сетевой безопасности и обеспечить их
соответствие нормативным документам.
5. Контроль доступа
Способность
предотвращения
некорректного
и
несанкционированного
использования сети на основе политики безопасности чрезвычайно важна для
обеспечения защиты доступа к данным, приложениям и жизненно важным бизнеспроцессам организации. Системы доверия и управления идентификацией Cisco
предоставляют организациям возможность эффективного и безопасного
управления доступом, позволяя определять кто, что, когда, откуда и каким
образом может получить доступ к сети. Например, стратегия по контролю
4
МЕЖДУНАРОДНЫЙ БАНКОВСКИЙ ИНСТИТУТ
INTERNATIONAL BANKING INSTITUTE
доступом в сеть Cisco Network Admission Control усиливает инфраструктуру сети,
сокращая ущерб от возможных от угроз и атак. Использование Cisco Network
Admission Control позволяет организациям повысить эффективность совместной
работы средств контроля для обеспечения полного соответствия подключающихся
к сети пользователей и устройств установленным политикам безопасности. Это
позволяет предотвратить некорректное и несанкционированное использование
сети и защитить данные, приложения и жизненно важные бизнес-процессы,
необходимые для работы современных организаций.
6. Защищенное взаимодействие
В условиях современной рыночной экономики распространение защищенных
бизнес-приложений и процессов на малых предприятиях, внешних сотрудников,
клиентов или поставщиков крайне необходимо и позволяет повысить деловую
активность организации и снизить расходы по эксплуатации. Но также
необходимы
и
средства
жесткого
контроля,
позволяющие
обеспечить
конфиденциальность, целостность и доступность данных, приложений и жизненно
важных бизнес-процессов. С целью поддержки этих деловых стратегий и
повышения производительности защищенные сетевые соединения могут быть
расширены для обеспечения взаимодействия территориально распределенных
офисов компаний или удаленных и мобильных пользователей с центральным
офисом предприятия, а также вовлечения клиентов, поставщиков или других
деловых партнеров в процесс электронного обмена данными, оформления
заказов, отправки продукции и выставления счетов. Для решения этих задач
самозащищающаяся сеть Cisco предоставляет широкий спектр возможностей для
организаций любого масштаба, позволяющих устанавливать защищенные
соединения для распространения данных, приложений и жизненно важных
бизнес-процессов, включая IP-коммуникации, что повышает эффективность при
совместной работе и производительность.
7. Предотвращение угроз
В настоящее время угрозы, нацеленные на информационные системы и сети, это не только вирусы, оказывающие воздействие на отдельные компьютеры
пользователей и автономные системы. Современные атаки постепенно становятся
более изощренными, опасными и быстрыми и способны за короткий промежуток
времени воздействовать на целый ряд компьютеров или систем. В данной
ситуации крайне необходимы средства жесткого контроля, обеспечивающие
адаптивное обнаружение и предотвращение нарушений безопасности по всей
сети. Самозащищающаяся сеть Cisco предоставляет эту возможность. В частности,
программа-агент Cisco Security Agent и серверное программное обеспечение в
сочетании с технологиями предотвращения сетевых вторжений предоставляет
данный уровень контроля. Эти объединенные средства предоставляют
возможности адаптивной комплексной защиты от новых и наиболее опасных атак,
обеспечивая защиту данных, приложений и жизненно важных бизнес-процессов,
необходимых для работы современных организаций.
8. Управление угрозами и создание отчетов
Механизм централизованного управления и создания отчетов об инцидентах
сетевой безопасности в разнородных ИТ-средах крайне необходим для
обнаружения угроз до оказания ими существенного разрушительного воздействия
на жизненно важные бизнес-процессы и предоставления удобных сводных
5
МЕЖДУНАРОДНЫЙ БАНКОВСКИЙ ИНСТИТУТ
INTERNATIONAL BANKING INSTITUTE
отчетов, отражающих информацию об угрозе и корректирующие действия. Для
удовлетворения этих требований система Cisco MARS (Cisco Security Monitoring,
Analysis, and Response System) предоставляет единый подход к проблеме
управления сетевой безопасностью и создания отчетов в неоднородных ИТсредах, позволяющий организациям повысить эффективность использования сети
и устройств защиты. Являясь ключевым элементом управления безопасностью
жизненного цикла, система Cisco MARS предоставляет организациям возможность
обнаружения, управления и отражения угроз безопасности. Данная система
позволяет повысить рентабельность организации без увеличения инвестиций в
существующую сеть и систему безопасности за счет обеспечения совместной
работы средств защиты для непрерывного контроля устройств разных вендоров.
Кроме того, данная система обеспечивает поддержку соответствия политикам
безопасности и может быть включена в состав архитектуры, позволяющей
соответствовать нормативным документам.
9. Защищенная инфраструктура и управление
изменениями
Для обеспечения эффективного управления рисками сетевой безопасности
инфраструктура сети организации должна быть построена с помощью
компонентов с интегрированными функциями защиты, соответствующими
установленным требованиям; при этом сами компоненты должны поддерживать
возможности централизованного управления изменениями и аудита, как для
проводных, так и беспроводных сетей. Это основание самозащищающейся сети
Cisco. Например, базовые компоненты инфраструктуры Cisco включают в себя
интегрированные функции обнаружения вторжений и контроля доступа и
позволяют выполнить развертывание по всей сети и ввод в эксплуатацию средств
контроля безопасности. Кроме того, серверы централизованного управления и
система безопасности позволяют определять, распределять и задействовать
конфигурации сети и механизм управления изменениями, что исключает
возможность выполнения несанкционированных действий. Объединение этих
возможностей гарантирует эффективное развертывание необходимых средств
контроля безопасности по всей сети для защиты данных, приложений и жизненно
важных бизнес-процессов, необходимых для работы современных организаций.
10. Отказоустойчивость и доступность сети
организации
Обеспечение отказоустойчивости и доступности сети крайне необходимо для
поддержки работы приложений и бизнес-процессов во всей инфраструктуре
организации. Организациям любого масштаба Cisco предлагает широкий спектр
возможностей для реализации стратегий по усилению средств контроля
работоспособности сети через обеспечение повышенной отказоустойчивости сети
и приложений при одновременном снижении расходов по эксплуатации.
Например, система Cisco Configuration Assurance обеспечивает организации
возможностями и средствами контроля для систематической проверки сети.
Система Cisco Configuration Assurance обеспечивает повышенную защиту и
доступность сети организации, а также ее соответствие необходимым нормам и
требованиям руководства ИТ.
11. Учет и создание отчетов
6
МЕЖДУНАРОДНЫЙ БАНКОВСКИЙ ИНСТИТУТ
INTERNATIONAL BANKING INSTITUTE
В результате ужесточения требований к конфиденциальности данных,
доступности сети и обеспечению безопасности возникла необходимость аудита
информационной безопасности на соответствие установленным нормам. Cisco
Security Auditor предоставляет новые уровни обеспечения безопасности, позволяя
эффективно вести учет информации о сетевой инфраструктуре для оценки
соответствия ее объектов корпоративным политикам безопасности и лучшим в
отрасли методам. Возможности автоматического учета устраняют необходимость
ведения учета вручную – процесса, требующего больших затрат в случае
крупномасштабных сетей, позволяя существенно сократить время выполнения
операций учета. Cisco Security Auditor, также предоставляет рекомендации по
усовершенствованию системы защиты и возможности создания отчетов,
упрощающие процесс противостояния угрозам сетевой безопасности. Это
позволяет эффективно управлять связанными с сетью рисками. Как результат, это
эффективный программный продукт, позволяющий обеспечить проверку
соответствия нормам защиты сети, работоспособность сети, при этом повышая
производительность и возврат инвестиций (ROI).
12. Служба расширенной поддержки
В настоящее время задача поддержки защищенности сетевой инфраструктуры
является как никогда актуальной. Обладая большим опытом, знаниями
современных технологий сетевой безопасности и проверенными на практике
средствами и методами, группа консультантов службы поддержки Cisco Advanced
Services поможет при защите ресурсов организации. Консультанты и специалисты
Cisco готовы сотрудничать с организациями с целью
планирования,
проектирования, внедрения и оптимизации систем обеспечения сетевой
безопасности, которые играют важную роль в управлении информационной
безопасностью. Кроме группы консультантов службы поддержки, многие
партнеры стратегического альянса Cisco предлагают специализированные услуги
по защите ресурсов организации.
13. Единый подход к обеспечению сетевой
безопасности
Как было сказано выше, сеть представляет собой первую линию корпоративной
обороны, поскольку она является основой всех данных, приложений и бизнеспроцессов. При недостаточной защищенности сети возрастает риск нарушения
конфиденциальности, целостности и доступности жизненно важных коммерческих
систем. Применяемый вплоть до настоящего времени подход к решению проблемы
сетевой безопасности уже не позволяет адекватно управлять рисками, с которыми
приходится сталкиваться крупным компаниям. Поэтому необходим глобальный
подход, который должен быть интегрированным, совместным и адаптивным;
кроме того, этот подход должен упростить механизм управления рисками сетевой
безопасности и контроля соответствия нормативным документам.
Самозащищающаяся сеть Cisco удовлетворяет этим требованиям за счет
комплексного системного подхода к управлению рисками сетевой безопасности,
который поддерживает механизмы контроля и передовые методы защиты
деятельности
предприятия.
Этот
подход
позволяет
организациям
усовершенствовать механизм управления рисками безопасности и обеспечить их
соответствие нормативным документам. Он также позволяет понизить сложность и
затраты и одновременно с этим повысить уровень безопасности сети с помощью
стандартных процессов (таких как процессы, включенные в CobiT) или за счет
7
МЕЖДУНАРОДНЫЙ БАНКОВСКИЙ ИНСТИТУТ
INTERNATIONAL BANKING INSTITUTE
удовлетворения базовых требований по контролю на основе таких передовых
методик, как ISO17799.
В каждой организации необходимо внимательно учесть требования по
контролю сетевой безопасности для конкретных условий, масштаба и сложности
сети. Поэтому данный документ не должен рассматриваться как единственный
основной источник. Для определения требований к контролю и нормативам ИТ,
которым
необходимо
следовать,
организациям
рекомендуется
обсудить
соответствующие подходы с независимыми аудиторами. Более подробную
информацию о том, как самозащищающаяся сеть Cisco поможет управлять
рисками сетевой безопасности и осуществлять контроль соответствия, см. по
адресу: http://www.cisco.com/go/selfdefend
 * Governance and the Extended Enterprise : Bridging Business Strategies and IT Strategies,
John Wiley & Sons: New Jersey , 2005
Cass Brewer, "The Tao of Compliance: Unifying Controls over Chaos", (
http://www.itcinstitute.com/display.aspx?id=465 )
*** Forrester, Trends 2005: Risk and Compliance Management, October 25, 2004
**** J.L Bayuk, "Stepping through the IS Audit", Information Systems Audit and Control
Association: 2004
***** IT Control Objectives for Sarbanes-Oxley: The Importance of IT in the Design,
Implementation, and Sustainability of Internal Control over Disclosure and Financial
Reporting, IT Governance Institute: 2004
 **



8