В тот момент, когда мы уже определили перечень требуемых мер обеспечения ИБ, определили (пока неокончательно) какие из них будут техническими мерами и будут использовать какие технологии, возникает важная и интересная задача проектирования / разработки дизайна СОИБ.
Разработка детального проекта имеет большое влияние на проектные риски при внедрении СОИБ, возможные задержки при внедрении СОИБ и общую стоимость внедрения СОИБ. Только правильный дизайн СОИБ позволит выполнить технические и бизнес требования и при этом повысить производительность, обеспечить высокую доступность, надежность, безопасность и масштабируемость.
Я уже писал статьи про документирование выбора СЗИ и состав хорошего проекта СОИБ . Сейчас хотелось бы обратить внимание на необходимость учесть существующие и планируемые в КИС организации технологические процессы, операции, приложения. Для того чтобы новые системы СОИБ успешно интегрировались в существующую КИС и не нарушили её работу ни на одной из стадий внедрения, мы обращаемся к:
- опыту конкретных специалистов, проводящих проектирование и внедрение конкретных решений
- опыту организации, проводящей проектирование и внедрение (интегратор)
- опыту производителя
- решения
- опыту отраслевого объединения в конкретной области
Опыт, полученный из успешных или неуспешных испытаний и внедрений, интеграций систем и документируется в виде руководства по проектированию (design guide). Именно такие документы могут использоваться широким кругом лиц при проектировании СОИБ.
Документы, в которых учитывается интеграция разных типов решений по защите ИБ и их интеграция в разные типы существующей инфраструктуры, можно назвать лучшими практиками (best practices).
Приведу примеры вопросов, на которые мне хотелось бы получить ответы из таких руководств и лучших практик:
- какую топологию VPN мне выбрать для организации star, full mesh, partial mesh
- как взаимоувязать межсетевые экраны и средства построения VPN
- где разместить публичные сервисы, относительно средств защиты и относительно основной сети
- как безопаснее всего подключать к сети критические приложения
- как безопаснее всего подключать к сети критические БД
- какие меры безопасности реализовывать на уровне узла, а какие на уровне сети
- в каких точках и на каких уровнях ЦОД разместить средства защиты
- в каких точках и на каких уровнях распределенного ЦОД разместить средства защиты
- в каких точках фильтровать почтовый трафик
- в каких точках фильтровать web трафик
- в каких точках фильтровать трафик БД
- в каких точках фильтровать локальный трафик пользователей
- как будет организована отказоустойчивость в каждой из точек
- как размещать средства защиты виртуализации?
- какие решения по защите можно виртуализировать без потери функциональных возможностей, а какие лучше использовать в варианте выделенных аплаенсов?
Фактически единственным производителем, выпускающим руководства по проектированию в виде лучших практик является Cisco Systems.
К сожалению, остальные производители выпускают design guide в лучшем случае с решениями, висящими в вакуме. Отраслевые организации тоже нас почти не балуют своими документами.
Ниже привожу краткое сравнение имеющихся в доступе best practices руководства по проектированию СОИБ (не старее 2010 года) от компаний, которые в принципе могли бы создать такие руководства и которыми я периодически пользуюсь при проектировании СОИБ. Прошу не путать с руководствами по установке, настройке и администрированию – они не рассматриваются в данной статье.
Чаще всего приходится использовать SAFE от Cisco Systems даже при проектировании решений другого вендора, так как другой альтернативы просто нет. Именно поэтому у меня за спиной на рабочем месте висят постеры SAFE NG, SAFE for Small Enterprise.
Вендор или отраслевая организация или объединение
|
Тема design guide
|
Интеграция решений разных классов
|
Интеграция еденичных решений в КИС
|
Cisco Systems
|
v
|
v
| |
v
|
v
| ||
v
|
v
| ||
v
|
v
| ||
v
|
v
| ||
v
|
v
| ||
v
|
v
| ||
v
|
v
| ||
|
v
|
v
| |
Juniper
|
|
v
| |
Check Point
|
-
|
|
|
IBM
|
v
|
v
| |
|
v
| ||
HP
|
v
|
v
| |
Fortinet
|
-
|
|
|
Palo Alto
|
-
|
|
|
Stonesoft
|
-
|
|
|
VmWare
|
смотреть Design Guide
|
|
v
|
Symantec
|
-
|
|
|
McAfee
|
-
|
|
|
Microsoft
|
В основном руководства по интеграции единичных продуктов в КИС
|
|
v
|
Imperva
|
-
|
|
|
Код Безопасности
|
-
|
|
|
Инфотекс
|
-
|
|
|
C-терра СиЭсПи
|
-
|
|
|
NIST
|
v
|
v
| |
|
v
| ||
|
v
| ||
CSA
|
|
| |
ISACA
|
ИБ мобильных устройств
(Securing Mobile Devices)
|
|
|