Если вам есть, что сказать сообществу профессионалов ИБ и ИТ – заведите здесь свой блог

СОИБ. Проектирование. Дизайн СОИБ

Аватар пользователя SergeyBorisov
Автор: Борисов Сергей,
(0)
()
Опубликовано в:

В тот момент, когда мы уже определили перечень требуемых мер обеспечения ИБ, определили (пока неокончательно) какие из них будут техническими мерами и будут использовать какие технологии, возникает важная и интересная задача проектирования / разработки дизайна СОИБ.


Разработка детального проекта имеет большое влияние на проектные риски при внедрении СОИБ, возможные задержки при внедрении СОИБ и общую стоимость внедрения СОИБ. Только правильный дизайн СОИБ позволит выполнить технические и бизнес требования и при этом повысить производительность, обеспечить высокую доступность, надежность, безопасность и масштабируемость.


Я уже писал статьи про документирование выбора СЗИ и состав хорошего проекта СОИБ. Сейчас хотелось бы обратить внимание на необходимость учесть существующие и планируемые в КИС организации технологические процессы, операции, приложения. Для того чтобы новые системы СОИБ успешно интегрировались в существующую КИС и не нарушили её работу ни на одной из стадий внедрения, мы обращаемся к:

·        опыту конкретных специалистов, проводящих проектирование и внедрение конкретных решений

·        опыту организации, проводящей проектирование и внедрение (интегратор)

·        опыту производителя решения

·        опыту отраслевого объединения в конкретной области


Опыт, полученный из успешных или неуспешных испытаний и внедрений, интеграций систем и документируется в виде руководства по проектированию (designguide). Именно такие документы  могут использоваться широким кругом лиц при проектировании СОИБ.


Документы, в которых учитывается интеграция разных типов решений по защите ИБ и их интеграция в разные типы существующей инфраструктуры, можно назвать лучшими практиками (best practices).


Приведу примеры вопросов, на которые мне хотелось бы получить ответы из таких руководств и лучших практик:

·        какую топологию VPN мне выбрать для организации star, fullmesh, partial mesh

·        как взаимоувязать межсетевые экраны и средства построения VPN

·        где разместить публичные сервисы, относительно средств защиты и относительно основной сети

·        как безопаснее всего подключать к сети критические приложения

·        как безопаснее всего подключать к сети критические БД

·        какие меры безопасности реализовывать на уровне узла, а какие на уровне сети

·        в каких точках и на каких уровнях ЦОД разместить средства защиты

·        в каких точках и на каких уровнях распределенного ЦОД разместить средства защиты

·        в каких точках фильтровать почтовый трафик

·        в каких точках фильтровать web трафик

·        в каких точках фильтровать трафик БД

·        в каких точках фильтровать локальный трафик пользователей

·        как будет организована отказоустойчивость в каждой из точек

·        как размещать средства защиты виртуализации?

·        какие решения по защите можно виртуализировать без потери функциональных возможностей, а какие лучше использовать в варианте выделенных аплаенсов?


Фактически единственным производителем, выпускающим  руководства по проектированию в виде лучших практик является Cisco Systems.


К сожалению,  остальные производители выпускают design guide в лучшем случае с решениями, висящими в вакуме. Отраслевые организации тоже нас почти не балуют своими документами.


Ниже привожу краткое сравнение имеющихся в доступе bestpractices руководства по проектированию СОИБ (не старее 2010 года) от компаний, которые в принципе могли бы создать такие руководства и которыми я периодически пользуюсь при проектировании СОИБ. Прошу не путать с руководствами по установке, настройке и администрированию – они не рассматриваются в данной статье.


Чаще всего приходится использовать SAFE от Cisco Systemsдаже при проектировании решений другого вендора, так как другой альтернативы просто нет. Именно поэтому у меня за спиной на рабочем месте висят постеры SAFE NG, SAFE forSmall Enterprise.



Вендор или отраслевая организация или объединение

Тема design guide

Интеграция решений разных классов

Интеграция еденичных решений в КИС

Cisco Systems

v

v

v

v

v

v

v

v

v

v

v

v

v

v

v

v


v

v

Juniper


v

Check Point

-



IBM

v

v


v

HP

v

v

Fortinet

-



Palo Alto

-



Stonesoft

-



VmWare

смотреть Design Guide


v

Symantec

-



McAfee

-



Microsoft

В основном руководства по интеграции единичных продуктов в КИС


v

Imperva

-



Код Безопасности

-



Инфотекс

-



C-терра СиЭсПи

-



NIST

v

v


v


v

CSA



ISACA

ИБ мобильных устройств

(Securing Mobile Devices)




Total votes: 0
Тэги: 
 
Комментарии в Facebook
 

Вы сообщаете об ошибке в следующем тексте:
Нажмите кнопку «Сообщить об ошибке», чтобы отправить сообщение. Вы также можете добавить комментарий.