четверг, 6 июня 2013 г.

СОИБ. Проектирование. Дизайн СОИБ


В тот момент, когда мы уже определили перечень требуемых мер обеспечения ИБ, определили (пока неокончательно) какие из них будут техническими мерами и будут использовать какие технологии, возникает важная и интересная задача проектирования / разработки дизайна СОИБ.

Разработка детального проекта имеет большое влияние на проектные риски при внедрении СОИБ, возможные задержки при внедрении СОИБ и общую стоимость внедрения СОИБ. Только правильный дизайн СОИБ позволит выполнить технические и бизнес требования и при этом повысить производительность, обеспечить высокую доступность, надежность, безопасность и масштабируемость.

Я уже писал статьи про документирование выбора СЗИ и состав хорошего проекта СОИБ. Сейчас хотелось бы обратить внимание на необходимость учесть существующие и планируемые в КИС организации технологические процессы, операции, приложения. Для того чтобы новые системы СОИБ успешно интегрировались в существующую КИС и не нарушили её работу ни на одной из стадий внедрения, мы обращаемся к:
·        опыту конкретных специалистов, проводящих проектирование и внедрение конкретных решений
·        опыту организации, проводящей проектирование и внедрение (интегратор)
·        опыту производителя решения
·        опыту отраслевого объединения в конкретной области

Опыт, полученный из успешных или неуспешных испытаний и внедрений, интеграций систем и документируется в виде руководства по проектированию (design guide). Именно такие документы  могут использоваться широким кругом лиц при проектировании СОИБ.

Документы, в которых учитывается интеграция разных типов решений по защите ИБ и их интеграция в разные типы существующей инфраструктуры, можно назвать лучшими практиками (best practices).

Приведу примеры вопросов, на которые мне хотелось бы получить ответы из таких руководств и лучших практик:
·        какую топологию VPN мне выбрать для организации star, full mesh, partial mesh
·        как взаимоувязать межсетевые экраны и средства построения VPN
·        где разместить публичные сервисы, относительно средств защиты и относительно основной сети
·        как безопаснее всего подключать к сети критические приложения
·        как безопаснее всего подключать к сети критические БД
·        какие меры безопасности реализовывать на уровне узла, а какие на уровне сети
·        в каких точках и на каких уровнях ЦОД разместить средства защиты
·        в каких точках и на каких уровнях распределенного ЦОД разместить средства защиты
·        в каких точках фильтровать почтовый трафик
·        в каких точках фильтровать web трафик
·        в каких точках фильтровать трафик БД
·        в каких точках фильтровать локальный трафик пользователей
·        как будет организована отказоустойчивость в каждой из точек
·        как размещать средства защиты виртуализации?
·        какие решения по защите можно виртуализировать без потери функциональных возможностей, а какие лучше использовать в варианте выделенных аплаенсов?

Фактически единственным производителем, выпускающим  руководства по проектированию в виде лучших практик является Cisco Systems.

К сожалению,  остальные производители выпускают design guide в лучшем случае с решениями, висящими в вакуме. Отраслевые организации тоже нас почти не балуют своими документами.

Ниже привожу краткое сравнение имеющихся в доступе best practices руководства по проектированию СОИБ (не старее 2010 года) от компаний, которые в принципе могли бы создать такие руководства и которыми я периодически пользуюсь при проектировании СОИБ. Прошу не путать с руководствами по установке, настройке и администрированию – они не рассматриваются в данной статье.

Чаще всего приходится использовать SAFE от Cisco Systems даже при проектировании решений другого вендора, так как другой альтернативы просто нет. Именно поэтому у меня за спиной на рабочем месте висят постеры SAFE NG, SAFE for Small Enterprise.


Вендор или отраслевая организация или объединение
Тема design guide
Интеграция решений разных классов
Интеграция еденичных решений в КИС
Cisco Systems
v
v
v
v
v
v
v
v
v
v
v
v
v
v
v
v

v
v
Juniper

v
Check Point
-


IBM
v
v

v
HP
v
v
Fortinet
-


Palo Alto
-


Stonesoft
-


VmWare
смотреть Design Guide

v
Symantec
-


McAfee
-


Microsoft
В основном руководства по интеграции единичных продуктов в КИС

v
Imperva
-


Код Безопасности
-


Инфотекс
-


C-терра СиЭсПи
-


NIST
v
v

v

v
CSA


ISACA
ИБ мобильных устройств
(Securing Mobile Devices)



2 комментария:

ser-storchak комментирует...

Что подразумевается под дизайном СОИБ?

Сергей Борисов комментирует...

Вообще разработка дизайна СОИБ - это проектирование СОИБ
Но в данной заметке я имел в виду часть проектирования, до документирования результатов в виде проекта.

Описание этого этапа приводятся например в NIST 800-64 http://csrc.nist.gov/publications/nistpubs/800-64-Rev2/SP800-64-Revision2.pdf

в SDLC http://en.wikipedia.org/wiki/Systems_development_life-cycle#Design

И наконец даже в свежем приказе №17 ФСТЭК Р:

15.1. При проектировании системы защиты информации информационной системы:
...
выбираются меры защиты информации, подлежащие реализации в системе защиты информации информационной системы;

определяются виды и типы средств защиты информации, обеспечивающие реализацию технических мер защиты информации;

определяется структура системы защиты информации информационной системы, включая состав (количество) и места размещения ее элементов;

осуществляется выбор средств защиты информации, сертифицированных на соответствие требованиям по безопасности информации, с учетом их стоимости, совместимости с информационными технологиями и техническими средствами, функций безопасности этих средств и особенностей их реализации, а также класса защищенности информационной системы;

определяются параметры настройки программного обеспечения, включая программное обеспечение средств защиты информации, обеспечивающие реализацию мер защиты информации, а также устранение возможных уязвимостей информационной системы, приводящих к возникновению угроз безопасности информации;

определяются меры защиты информации при информационном взаимодействии с иными информационными системами и информационно-телекоммуникационными сетями, в том числе с информационными системами уполномоченного лица, а также при применении вычислительных ресурсов (мощностей), предоставляемых уполномоченным лицом для обработки информации.

Результаты проектирования системы защиты информации информационной системы отражаются в ...