______________________________________________________________ Защита персональных данных на финансовом и пенсионном рынках Основные технические решения по защите персональных данных в ИСПДн с использованием продуктов Oracle ______________________________________________________________ Ванин М.В., Начальник центра компетенции Oracle, ЗАО «РНТ» Типичные проблемы в используемых системах Неэффективное разграничение доступа Неэффективный контроль доступа: o к данным o к документам o к приложениям Неэффективное разграничение доступа Неавтоматизированная процедура предоставления/отзыва доступа o Высокая вероятность ошибки из-за бумажного оформления прав доступа o Повышенная нагрузка администраторов и сотрудников, принимающих участие в «бумажной волоките» o Длительное ожидание получения запрошенного доступа o Существование «забытых» учетных записей o Необходимость участия администраторов в процедуре увольнения сотрудника Отсутствие автоматического журналирования и проверки неизбыточности прав o Отсутствие возможности оперативно получить информацию о распределении прав доступа в системе o Сложности при расследовании инцидентов ИБ o Избыточные права пользователей в системе Неэффективный контроль доступа часть 1 Неограниченный доступ администраторов к данным o Администраторы приложений имеют полный доступ к данным, находящимся в БД Отсутствие контроля доступа к документам o Неконтролируемое использование фрагментов конфиденциальных документов o Неконтролируемое распространение конфиденциальных документов за пределы контролируемой зоны (через электронную почту, съемные носители, вывод на печать и т.д.) Неэффективный контроль доступа часть 2 Отсутствие централизованного контроля доступа к приложениям o Путаница пользователей в многочисленных логинах и паролях o Повышенный риск компрометации паролей o Отсутствие единой системы регистрации событий в приложениях o Необходимость раздельного администрирования средства контроля доступа каждого приложения o Повышенная нагрузка на администраторов приложений o Применяемые функции контроля доступа к приложению не всегда сертифицированы Решения существующих проблем Проблема Проблема РешениеРешение Продукты бумажного Переход от документооборота бумажного документооборота к электронному Переход от к электронному Неэффективное Неэффективное Автоматизация процедур предоставления/отзыва доступа Автоматизация процедур предоставления/отзыва доступа разграничение разграничение Использование единой автоматической системы регистрации событий доступа Использование единой автоматической системы регистрации событий доступа доступа доступа Автоматизация проверки неизбыточности Автоматизация проверки неизбыточности прав доступаправ доступа Использование сертифицированных функций контроля доступа к данным Использование сертифицированных функций контроля доступа к данным Неэффективный Неэффективный Ограничение доступа администраторов Ограничение доступа администраторов к данным к данным контроль доступа контроль доступа к данным к данным Использование сертифицированных функций контроля доступа к документам Использование сертифицированных функций контроля доступа к документам Неэффективный Неэффективный контроль доступа контроль доступа к документам к документам Использование сертифицированных функций контроля доступа к приложениям Использование сертифицированных функций контроля доступа к приложениям Неэффективный Неэффективный Применение единого однократной механизма однократной идентификации/аутентификации при Применение единого механизма идентификации/аутентификации при контроль доступа контроль доступа доступе к приложениям доступе к приложениям к приложениям к приложениям Использование единого администрирования механизма администрирования средств контроля доступа Использование единого механизма средств контроля доступа Почему мы предлагаем решения Почему Oracle? Компании Gartner и Forester признали лидером среди компаний, предлагающих решения по разграничению и контролю доступа The Лидер Forrester в Gartner’s Wave: Magic Identity Quadrants And Access Management, Q4 2009. Большое число поддерживаемых приложений Поддержка приложений ведущих зарубежных разработчиков ПО o Oracle o Novell o Microsoft o CA o IBM o HP o SAP o RedHat o Siemens и т.д. Поддержка отечественных приложений o 1C o АБС «ДиаСофт» o «Босс-Кадровик» o АБС «Новая Афина» o УЦ «CryptoPro» и т.д. Сертификация решений Oracle Наименование Oracle Identity and Access Management Suite Oracle Information Rights Management версии 10gR3 PR3 Oracle Enterprise Single Sign-On версии 10gR3 PR3 Oracle Database 11g + Oracle Database Vault Срок действия 18.08.2011 13.03.2012 13.03.2012 25.05.2012 Сертификат ФСТЭК Может использоваться для защиты информации в ИСПДн до 2 класса включительно Может использоваться для защиты информации в АС 1Г класса включительно и ИСПДн до 2 класса включительно Может использоваться для защиты информации в АС 1Г класса включительно и ИСПДн до 2 класса включительно Может использоваться для защиты информации в АС 1Г Проекты по Oracle Identity & Access Management в России o Русал o Аэрофлот o Вымпелком o СУЭК o ВТБ o Сибур o еще десятки проектов в различных стадиях Основные возможности решений Oracle Identity Manager Информация о новом пользователе HR-отдел 1С Кадровое хранилище Информация о новом пользователе Босс-Кадровик Назначение первоначальных прав доступа в соответствии Назначение с политиками прав доступа Запрос дополнительных прав доступа УЦ «CryptoPro» Пользователь Отчеты о правах доступа Администратор безопасности Подтверждение запрошенных прав доступа Руководитель пользователя АБС «ДиаСофт» АБС «Новая Афина» Oracle Enterprise Single Sign-On Suite Oracle Information Rights Management В реальном мире документы сложно оставить в пределах контролируемых границ Хранилище Интранет/ Экстранет Электронная почта Портал Файловая система Oracle Information Rights Management 3. Распределение 2. Классификация 1. Создание документа Пользователь Автор 7. Мониторинг доступа 4. Назначение прав Протокол аудита 6. Детальный аудит доступа 5. Проверка привилегий Сервер лицензий