1/73 © Cisco, 2010. Все права защищены.
Решения Cisco для защиты персональных данных
Алексей Лукацкий, бизнес-консультант по безопасности
© Cisco, 2010. Все права защищены. 2/73
ПК127 ПК1 ТК362 КЦ
АРБ
РГ
ЦБ
«Безопасность
ИТ» (ISO SC27 в
России)
«Защита
информации в
кредитных
учреждениях»
«Защита
информации»
при ФСТЭК
Консультации
банков по
вопросам ПДн
Разработка
рекомендаций по
ПДн и СТО БР
ИББС v4
ФСБ МКС НАУФОР Дума Слушания
Экспертиза
документов
Разработка
документов
Отраслевой
стандарт
Экспертиза
документов
Оргкомитет
Слушаний
3 © Cisco, 2010. Все права защищены.
© Cisco, 2010. Все права защищены. 4/73
Приказы и иные документы
Постановления Правительства
Законы
Конвенции и иные международные договора
Европейская Конвенция
ФЗ №152 от 26.07.2006
ФЗ №160 от 19.12.2005
№781 от 17.11.2007
«Приказ трех» от
13.02.2008
2 открытых документа и 1 полуДСП от
ФСТЭК
2 открытых документа ФСБ
Регламенты осуществления
контроля и надзорар
№687 от 15.09.2008
№512 от 6.07.2008
Директивы Евросоюза /
Европарламента
Рекомендации ОЭСР
И еще около двух сотен федеральных законов, указов Президента, постановлений Правительства и других нормативных актов
© Cisco, 2010. Все права защищены. 5/73
• Классификация ИСПДн
• Моделирование угроз
• Требования по защите ПДн
• Сертификация средств защиты
• Аттестация объектов информатизации
• Лицензирование деятельности по защите информации
6 © Cisco, 2010. Все права защищены.
© Cisco, 2010. Все права защищены. 7/73
Старый ФЗ
• Класс ИСПДн определяется в зависимости от объема и типа ПДн
• Класс и модель угроз определяют защитные меры
• Класс определяется оператором
Новый ФЗ
• Понятие «классификации» отсутствует
• Вводится понятие «уровень защищенности»
• Зависит от угроз
• Определяются Правительством РФ
8 © Cisco, 2010. Все права защищены.
© Cisco, 2010. Все права защищены. 9/73
Старый ФЗ
• Модель угроз определяется оператором
• Экспертная оценка
• Методика моделирования жестко не зафиксирована
Новый ФЗ
• Актуальность угроз определяет Правительство
• ФОИВ, госорганы, Банк России принимают отраслевые модели угроз, согласуемые с ФСТЭК и ФСБ
• Ассоциации, союзы определяют дополнительные модели угроз «для себя», согласуемые с ФСТЭК и ФСБ в порядке, установленном Правительством
10 © Cisco, 2010. Все права защищены.
© Cisco, 2010. Все права защищены. 11/73
• Безопасность персданных является обязательным условием обработки ПДн
• За безопасность ПДн отвечают ФСТЭК и ФСБ
ФСТЭК выпустил приказ №58 – планируется изменение
ФСБ выпустила 2 методических документа в области криптографии – планируется изменение
• Подход регуляторов
Сертифицированные СЗИ и СКЗИ – изменений не планируется
Вновь появляется аттестация
• Отраслевые стандарты – прошлый тренд
СТО БР ИББС, НАУФОР, НАПФ, Тритон, Минздравсоцразвития…
© Cisco, 2010. Все права защищены. 12/73
• Оператор самостоятельно определяет состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных настоящим Федеральным законом и принятыми в соответствии с ним нормативными правыми актами, если иное не предусмотрено настоящим Федеральным законом или другими федеральными законами
• К числу таких мер могут, в частности, относиться
Применение мер обеспечения безопасности ПДн в соответствии со статьей 19 настоящего Федерального закона
© Cisco, 2010. Все права защищены. 13/73
• Правительство Российской Федерации устанавливает перечень мер, направленных на обеспечение выполнения обязанностей, предусмотренных настоящим Федеральным законом и принятыми в соответствии с ним нормативными правыми актами операторами, являющимися государственными и муниципальными органами
• За всех остальных перечень мер определяется ФСТЭК и ФСБ
На основании и во исполнение федеральных законов государственные органы, Банк России, органы местного самоуправления в пределах своих полномочий могут принимать нормативные правовые акты по отдельным вопросам, касающимся обработки ПДн
14 © Cisco, 2010. Все права защищены.
© Cisco, 2010. Все права защищены. 15/73
Оценка соответствия
Госконтроль и надзор
Аккредитация
Испытания
Регистрация
Подтверждение соответствия
Добровольная сертификация
Обязательная сертификация
Декларирование соответствия
Приемка и ввод в эксплуатацию
В иной форме
© Cisco, 2010. Все права защищены. 16/73
ФСТЭК ФСБ МО СВР
Все, кроме
криптографии
СКЗИ
МСЭ
Антивирусы
IDS
BIOS
Сетевое
оборудование
Все для нужд
оборонного ведомства
Тайна, покрытая
мраком
Требования
открыты Требования закрыты (часто секретны). Даже лицензиаты
зачастую не имеют их, оперируя выписками из выписок
А еще есть 3 негосударственных системы сертификации СЗИ – ГАЗПРОМСЕРТ,
«АйТиСертифика» (ЕВРААС) и Ecomex
© Cisco, 2010. Все права защищены. 17/73
Единичный экземпляр
Партия Серия
Дата выпуска: 12 декабря 2010 года
CRC: E6D3A4B567
Место производства: Ирландия,
Дублин
Смена: 12
Версия ОС: 8.2
Производительность: 40 Гбит/сек
Дата выпуска: 12 декабря 2010 года
CRC: E6D3A4B567
Место производства: Ирландия,
Дублин
Смена: 12
Версия ОС: 8.2
Производительность: 40 Гбит/сек
Cisco ASA 5585-X Cisco ASA 5585-X
© Cisco, 2010. Все права защищены. 18/73
Единичный экземпляр
Партия Серия
Основная схема для
западных вендоров
Оценивается конкретный
экземпляр (образец)
Число экземпляров – 1-2
Основная схема для
западных вендоров
Оценивается
репрезентативная выборка
образцов
Число экземпляров – 50-
200
Основная схема для
российских вендоров
Оценивается образец +
инспекционный контроль за
стабильностью характеристик
сертифицированной
продукции
Число экземпляров -
неограничено
© Cisco, 2010. Все права защищены. 19/73
Дорого Необязательно Невозможно Отвечает
потребитель
От нескольких
сотен долларов
(при сертификации
серии) до
несколько
десятков тысяч
долларов
Исключая гостайну и
СКЗИ разработка и
продажа средств
защиты возможна и без
сертификата
А западные вендоры и
так сертифицированы
во всем мире
Западные
производители не
ведут в России
коммерческой
деятельности и не
могут быть
заявителями
По КоАП
ответственность
лежит на
потребителе
© Cisco, 2010. Все права защищены. 20/73 20
0
1
2
3
4
5
6
7
8
Число нормативных актов с требованиями сертификации по требованиям безопасности
* - для 2011 – предварительная оценка проектов новых нормативных актов (ФЗ “О национальной
платежной системе”, ФЗ “О служебной тайне”, новые приказы ФСТЭК/ФСБ и т.д.)
21 © Cisco, 2010. Все права защищены.
© Cisco, 2010. Все права защищены. 22/73
• В четверокнижии ФСТЭК аттестация была обязательной для ИСПДн К1, К2 и распределенной К3
• В приказе № 58 требования аттестации нет!
• Что такое «оценка эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных»?
Ст.19 нового старого ФЗ-152
23 © Cisco, 2010. Все права защищены.
© Cisco, 2010. Все права защищены. 24/73
• Выполнение требований ФЗ-152 и смежного законодательства
Получение согласия субъекта ПДн в разных формах
Уведомление субъектов ПДн
Подготовка и публикация собственных документов по ПДн
Оформление договоров с контрагентами (обработчиками)
Обезличивание ПДн
Принятие решения об уведомлении РКН
• Защита персональных данных
• Контроль и надзор
© Cisco, 2010. Все права защищены. 25/73
• Персональные данные – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных)
• Персональные данные могут быть представлены в различных формах, требующих защиты или, как минимум, контроля использования
ПДн
Файлы
Web
Записи БД
Видео
…
© Cisco, 2010. Все права защищены. 26/73
• Персональные данные могут обрабатываться в СУБД, на почтовых и Web-серверах, в системах унифицированных коммуникаций, на виртуальных машинах и обычных АРМ, в корпоративной сети или облаке
• Все эти места обработки требуют защиты
ПДн
СУБД
Почтовые сервера
Web-сервера
ВКС
Облака
Сеть
VM
…
27 © Cisco, 2010. Все права защищены.
© Cisco, 2010. Все права защищены. 28/73
• Вы можете не обрабатывать ненужные ПДн
Это позволит вам снизить категорию ПДн
• Вы можете разбить большую ИСПДн на несколько малых
• Вы можете обезличить особые категории ПДн
Это позволит вам снизить категорию остальных ПДн
• Вы можете отдельно классифицировать ИСПДн – для сбора, хранения, передачи ПДн и т.п.
Там где это возможно разнести
• Опираться не на категории и значения из «Приказа трех», а сразу на ущерб и финальную классификацию
© Cisco, 2010. Все права защищены. 29/73
Определение Scope
Может быть scope уменьшен
за счет сегментации?
Вся сеть в Scope
POS Servers
Branch
Server Access
Storage
Data Center
inventory Servers
Server Access
WAN Access
CORE
Headquarters
Warehouse
Wide Area Accelerated
Network
© Cisco, 2010. Все права защищены. 30/73
Определение Scope
Может быть
scope уменьшен
за счет сегментации?
НЕТ
Вся сеть в защищается
Вся сеть в Scope
POS Servers
Branch
Server Access
Storage
Data Center
inventory Servers
Server Access
WAN Access
CORE
Headquarters
Warehouse
Wide Area Accelerated
Network
© Cisco, 2010. Все права защищены. 31/73
Определение Scope
Может быть
scope уменьшен
за счет сегментации?
Консультант может провести сегментацию?
ДА НЕТ
Нет
Вся сеть защищается
Да
Документирование сегментации
Scope уменьшен
Только устройства, обрабатывающие ПДн, в
Scope
POS Servers
Branch
Server Access
Storage
Data Center
inventory Servers
Server Access
WAN Access
CORE
Headquarters
Warehouse
Wide Area Accelerated
Network
Вся сеть в Scope
POS Servers
Branch
Server Access
Storage
Data Center
inventory Servers
Server Access
WAN Access
CORE
Headquarters
Warehouse
Wide Area Accelerated
Network
© Cisco, 2010. Все права защищены. 32/73
Определение Scope
Может быть
scope уменьшен
за счет сегментации?
Консультант может провести сегментацию?
ДА НЕТ
Нет
Вся сеть защищается
Да
Документирование сегментации
Scope уменьшен
Только устройства, обрабатывающие ПДн, в
Scope
POS Servers
Branch
Server Access
Storage
Data Center
inventory Servers
Server Access
WAN Access
CORE
Headquarters
Warehouse
Wide Area Accelerated
Network
Вся сеть в Scope
POS Servers
Branch
Server Access
Storage
Data Center
inventory Servers
Server Access
WAN Access
CORE
Headquarters
Warehouse
Wide Area Accelerated
Network
© Cisco, 2010. Все права защищены. 33/73
• Различные технологии
ACL, VLAN, hard/soft zoning, VSAN, LUN masking
• Различное оборудование
Маршрутизаторы Cisco ISR G1 / G2, Cisco ASR
Коммутаторы Cisco Catalyst
Коммутаторы Cisco Nexus и Cisco MDS
Межсетевые экраны Cisco ASA
• Большинство устройств сертифицировано в ФСТЭК
Именно для разделения/разграничения /сегментации сетей
© Cisco, 2010. Все права защищены. 34/73
Партнер WAN
WAN
Internet
Internet
E-Commerce
Ядро
Офисная сеть
ЦОД
Центр управления сетью
Cisco Virtual Office
Удаленный пользователь
Филиал / отделение
SiSi
SiSi SiSi
SiSi
SiSi
SiSi
SiSi
SiSi
SiSi
SensorBase
© Cisco, 2010. Все права защищены. 35/73
Принципы ИТ
• Модульность / поэтапность
• Снижение TCO
• Стандартизация / унификация
• Гибкость
• Надежность
• Поддержка новых проектов
• Адаптивность / автоматизация
• Масштабируемость
Принципы ИБ
• Безопасность как свойство, а не опция
• Цель – любое устройство, сегмент, приложение
• Эшелонированная оборона
• Независимость модулей
• Двойной контроль
• Интеграция в инфраструктуру
• Соответствие требованиям
36 © Cisco, 2010. Все права защищены.
© Cisco, 2010. Все права защищены. 37/73
• Разграничение доступа
• Регистрация действий
• Учет и хранение съемных носителей ПДн
• Резервирование ТС и дублирование носителей ПДн
• Оценка соответствия СЗИ
• Защищенные каналы связи
• Охраняемая территория
• Физическая защита помещений
• Защита от вредоносных программ и закладок
© Cisco, 2010. Все права защищены. 38/73
• Управление доступом
• Регистрация и учет
• Обеспечение целостности
• Анализ защищенности
• Обеспечение безопасного межсетевого взаимодействия
• Обнаружение вторжений
39 © Cisco, 2010. Все права защищены.
© Cisco, 2010. Все права защищены. 40/73
Безопасность сети
Контроль доступа
Защищенная мобильность
Защищенные «облака» и виртуализация
Безопасность контента
• МСЭ
• IPS
• VPN
• Управление
безопасностью
• Виртуальные
решения
• Модули
обеспечения ИБ
• Управление
политиками
• 802.1x
• NAC
• Оценка состояния
• Профилирование
устройств
• Сервисы
идентификации
• Конфиденциальность
• VPN
• Мобильный
защищенный клиент
• IPS для
беспроводных сетей
• Удаленный сотрудник
• Виртуальный офис
• Защита мобильности
• Защита
электронной почты
• Обеспечение
безопасности
web-трафика
• «Облачные»
сервисы
обеспечения
безопасности
контента
Глобальный анализ угроз: SIO
© Cisco, 2010. Все права защищены. 41/73
Защита ПДн от угроз
РЕШЕНИЕ CISCO
КТО
ЧТО
ГДЕ
КОГДА
КАК Политика с учетом контекста
IPS
WSA
ASA
ESA
СЕТЬ
Полномасштабное
решение: ASA, IPS,
«облачные» сервисы
защиты web-трафика и
электронной почты
Политика с учетом
контекста точнее
соответствует бизнес-
потребностям в сфере ИБ
Простота
развертывания и
обеспечения защиты
распределенной среды
© Cisco, 2010. Все права защищены. 42/73
Multi-Service
(Firewall/VPN и IPS)
Pe
rfo
rman
ce a
nd
Sca
lab
ility
Data Center Campus Branch Office SOHO Internet Edge
ASA 5585 SSP-60 (40 Gbps, 350K cps)
ASA 5585 SSP-40 (20 Gbps, 200K cps)
ASA 5585 SSP-20 (10 Gbps, 125K cps)
ASA 5585 SSP-10 (4 Gbps, 50K cps)
ASA 5540 (650 Mbps,25K cps)
ASA 5520 (450 Mbps,12K cps)
ASA 5510 (300 Mbps,9K cps)
ASA 5505 (150 Mbps, 4K cps)
ASA 5550 (1.2 Gbps, 36K cps)
ASA 5580-20 (10 Gbps, 90K cps)
ASA 5580-40 (20 Gbps, 150K cps)
NEW
NEW
NEW
NEW
© Cisco, 2010. Все права защищены. 43/73
Показатель FCS
Производительность шасси 64 Гбит/сек
Производительность модуля 16 Гбит/сек
Одновременных сессий 10M
Новых соединений в секунду 350K
Контекстов безопасности 250
VLANs 1K
© Cisco, 2010. Все права защищены. 44/73
Защита компании от утечек важной
информации
Защита сотрудников от фишинга, вредоносных
программ и спама
Входящая защита Исходящий контроль Cisco IronPort Email
Security Solution
Anti-Spam
• SenderBase Reputation Filtering
• IronPort Anti-Spam (IPAS)
RSA Email DLP
• 100+ политик DLP
• Аккуратность
• Простота внедрения
Anti-Virus
• Virus Outbreak Filters (VOF)
• McAfee Anti-Virus
• Sophos Anti-Virus
Шифрование
• Защищенная доставка
• Transport Layer Security
© Cisco, 2010. Все права защищены. 45/73
We need to fax the following prescription information for Roger McMillan
FEXOFENANDINE (ALLEGRA) 180 MG TABLET
Dosage: Take 1 tablet by mouth daily
Prescribed by Dr. Joseph A. Kennedy, MD on 7/22/10
Please delivery to pharmacy stat.
==============================================
SSN: 331075839
Name: Roger McMillan
Medical Record: 06135443
Primary Care Provider: Blue Cross Blue Shield CA
Clinic: Stanford Hospital
Address:
177 Bovet Road
San Mateo, CA 94402
Matches are found
in close proximity
Точный
Полный
Интегрированный
Prescription for J Smith
Весовые
коэффициенты при
повторе ключевых
фрагментов
Правильное
обнаружение имен
Соответствие
уникальным правилам
Разные номера (SSN,
кредитные карты)
© Cisco, 2010. Все права защищены. 46/73
• Контроль HTTP и FTP
• Проверка в реальном времени
• Выбор параметров фильтрации
• Проверка архивированных файлов
• Выявление подозрительных программ
• Групповые политики фильтрации
• Уведомление пользователей
• Прозрачность для пользователей
© Cisco, 2010. Все права защищены. 47/73
IP-камера
Корпоративный ресурс
MAC: F5 AB 8B 65 00 D4 Ноутбук
Корпоративный ресурс
Лаборатория
11 утра
Мария Сидорова
Сотрудник HR
Проводной доступ
11-00
Принтер
Некорпоративный актив
MAC: B2 CF 81 A4 02 D7
IP телефон G/W
Корпоративный актив
Финансовый департамент
11:00 вечера
Сергей Балазов
контрактник
IT
Проводное подключение
10 утра
Анна Петрова
сотрудник
CEO
Удаленный доступ
10 вечера
Катя Жуковская
сотрудник
R&D
WiFi
14:00 дня Антон Алмазов
консультант
Центральный офис
Удаленный доступ
6:00 вечера
Виктория Катернюк
Сотрудник
Проводной доступ
15-00
Конфиденциальные ресурсы Сеть, устройства и Приложения
Множество методов доступа Разные устройства, разные места
Все необходимо контролировать
Пользователи и устройства Сотрудники, Контрактники, Телефоны, Принтеры…
© Cisco, 2010. Все права защищены. 48/73
Разграничение доступа
Согласованная политика
на основании результатов
идентификации на всех
уровня – от устройства до
ЦОД – в соответствии с
бизнес-потребностями
Распространение сведений
о политиках и
интеллектуальных
механизмов по сети
Метки групп безопасности
позволяют обеспечить
масштабируемое
применение политик
с учетом контекста
РЕШЕНИЕ CISCO
Решения на основании состояния 1. Разрешение/блок в соответствии с политикой
2. Авторизованным устройствам назначаются
метки политики
3. Теги политики учитываются при работе в сети
VPN
ЦОД
Виртуальные машины в ЦОД
ОК
СТОП
КТО
ЧТО
ГДЕ
КОГДА
КАК ? ? ?
MACSec
© Cisco, 2010. Все права защищены. 49/73
Консолидированные сервисы в одном продукте
Simplify Deployment & Admin
ACS
NAC Profiler
NAC Guest
NAC Manager
NAC Server ISE
Location
User ID Access Rights
Каталог текущих сессий
Tracks Active Users & Devices
Гибкие схемы внедрения
Optimize Where Services Run
Admin Console
Distributed PDPs
M&T
All-in-One HA Pair
Гибкость политик доступа
Link in Policy Information Points
Управление доступом на основе Групп Безопасн
Keep Existing Logical Design
Функции детального мониторинга и поиска
неисправностей
Consolidate Data, Three-Click Drill-In
SGT Public Private
Staff
Guest
Permit
Deny
Permit
Permit
Device (& IP/MAC)
© Cisco, 2010. Все права защищены. 50/73
• Cisco validated design
• Контроль и защита
• Системный подход
Internet Edge
Data Center Distribution
SAN
ASA 5585-X ASA 5585-X
VDC Nexus 7018 Nexus 7018
Data Center
Core
10Gig Server Rack
Nexus
7000
Series
10Gig Server Rack
Nexus
5000
Series
Nexus
2100
Series
Zone
Unified Compute
Unified
Computing
System
Nexus
1000V VSG
Multizone
Secure Access: Cisco TrustSec and Cisco AnyConnect
Catalyst
6500 SERVICES
VSS
Firewall ACE
NAM IPS
VSS VPC VPC VPC VPC VPC VPC VPC VPC
© Cisco, 2010. Все права защищены. 51/73
Virtualization
Security
V-Motion (Memory)
V-Storage (VMDK)
VM Segmentation
Hypervisor Security
VM Sprawl
Patch Management
VM OS Hardening
Role Based Access
Physical Security
Virtual Security Gateway на
Nexus 1000V с vPath
© Cisco, 2010. Все права защищены. 52/73
Сеть как платформа
Инфраструктура Контроль сетевого доступа (TrustSec)
Изоляция голосовой сети
Безопасный транспорт
Защита от атак
Межсетевое экранирование
Пользовательские устройства Аутентификация устройств,
Поддержка криптографии
Сертификаты
Приложения Защита от мошенничества
Многоуровневое безопасное управление
Защищенные платформы
Сервер управления вызовами Защищенные протоколы управления звонками
Многоуровневое безопасное управление
Защищенные платформы
Unified Communications
53 © Cisco, 2010. Все права защищены.
© Cisco, 2010. Все права защищены. 54/73
• VPN-решения Cisco признаны лучшими во многих странах и признаны стандартом де-факто многими специалистами
• Использование VPN-решений Cisco в России сопряжено с рядом трудностей
Порядок ввоза на территорию Таможенного союза шифровальных средств
Требование использования национальных криптографических алгоритмов
Обязательная сертификация СКЗИ
• На сайте www.slideshare.com/CiscoRu выложена презентация по регулированию криптографии в России
© Cisco, 2010. Все права защищены. 55/73
• Для обеспечения безопасности персональных данных при их обработке в информационных системах должны использоваться сертифицированные в системе сертификации ФСБ России (имеющие положительное заключение экспертной организации о соответствии требованиям нормативных документов по безопасности информации) криптосредства
• Встраивание криптосредств класса КС1 и КС2 осуществляется без контроля со стороны ФСБ России
Относится только к встраиванию в прикладные системы (АБС, ERP, БД и т.д.)
© Cisco, 2010. Все права защищены. 56/73
• Можно ли использовать сертифицированное криптоядро в составе VPN-решений?
Можно
• Будет ли такое использование легитимным?
Нет!!!
© Cisco, 2010. Все права защищены. 57/73
• Встраивание сертифицированных криптобиблиотек должно проводиться не только в соответствие с позицией ФСБ, но и в соответствии с документацией к сертифицированной СКЗИ
• Формуляр на КриптоПро CSP
Должна проводиться проверка корректности встраивания СКЗИ «КриптоПро CSP» версии 3.0 в прикладные системы СКЗИ в случаях…если информация конфиденциального характера подлежит защите в соответствии с законодательством Российской Федерации
Указанная проверка проводится по ТЗ, согласованному с 8 Центром ФСБ России
© Cisco, 2010. Все права защищены. 58/73
• Компаниями Cisco и С-Терра СиЭсПи разработаны VPN-решения, поддерживающие российские криптоалгоритмы на базе оборудования Cisco
• Сертификат ФСБ СФ/114-1622, 114-1624, 124-1623, 124-1625, 124-1626 от 28 февраля 2011 года
Сертификат по классу КС2 на оба решения
Решение для удаленных офисов
• На базе модуля для ISR G1 и G2 (2800/2900/3800/3900)
Решение для ЦОД и штаб-квартир
• На базе UCS C-200
© Cisco, 2010. Все права защищены. 59/73
CCP NetFlow IP SLA Ролевой доступ
Управление и контроль состояния
Защищенные сетевые решения
Защищенная голосовая связь
Нормативное соответствие
Защищенная мобильность
Непрерывное ведение бизнеса
Контроль доступа к сети
Предотвращение вторжений
Интегрированное управление угрозами
Фильтрация контента 802.1x
Система защиты
основания сети
Гибкие функции
сравнения пакетов (FPM)
011111101010101011111101010101
Защищенные каналы связи
GET VPN DMVPN Easy VPN SSL VPN
Усовершенствован-ный межсетевой
экран
Cisco ISR G2
© Cisco, 2010. Все права защищены. 60/73
• Тесная интеграция с технологиями Cisco
• Единственное западное решение, имеющее сертификат ФСБ
• Единственный западный разработчик средств защиты, имеющий лицензию ФСБ
• Производство в России (монтаж и тестирование печатных плат)
• Порядок производства согласован с ФСБ
• Планы по получению КС3
© Cisco, 2010. Все права защищены. 61/73
• Листовка по RVPN
• Листовка по UCS с VPN
• Ролики на YouTube
• WP по криптографии
• www.cisco.ru/go/rvpn
• Презентация по регулированию криптографии в России
62 © Cisco, 2010. Все права защищены.
© Cisco, 2010. Все права защищены. 63/73
500+ ФСБ НДВ 28 96
Сертификатов
ФСТЭК на
продукцию Cisco
Сертифицировала
решения Cisco
(совместно с С-
Терра СиЭсПи)
Отсутствуют в
ряде
продуктовых
линеек Cisco
Линеек
продукции
Cisco прошли
сертификацию
по схеме
«серийное
производство»
Продуктовых
линеек Cisco
сертифицированы
во ФСТЭК
© Cisco, 2010. Все права защищены. 64/73
Россия
Партнер #1
ПАРТНЕРЫ
СISCO
Партнер #2
Партнер #3
Kraftway Corporation PLC
&
AMT
ФСТЭК
Оборудование с
сертификатами
ФСТЭК
Оборудование без
сертификации по
требованиям
ФСТЭК Дистрибуторы
Cisco Systems,
Inc
Партнер #N
производство по
требованиям ФСТЭК
сертификационный
пакет ФСТЭК
Производство за
пределами России
© Cisco, 2010. Все права защищены. 65/73
• FAQ по сертифицированному производству
• Регулярно обновляемый список сертификатов
• И др.
66 © Cisco, 2010. Все права защищены.
© Cisco, 2010. Все права защищены. 67/73
• Персональные данные Отраслевые стандарты НАПФ, НАУФОР, Тритон, РСА, Минздрав…
• Финансовая отрасль PCI DSS
СТО БР ИББС-1.0
ФЗ «О национальной платежной системе»
• Критически важные объекты
• Электронные госуслуги
• Новый ФЗ о лицензировании
• И др.
© Cisco, 2010. Все права защищены. 68/73
РД ФСТЭК
15408
СТР-К Четверокнижие
по ПДн
КСИИ
СТО БР ИББС Коммерческая
тайна
PCI DSS
ГОСТ Р ИСО 17799:2005
…
Контроль доступа (мандатный/
дискреционный) VLAN VPN
Биллинг ОС (одноуровневые/
многоуровневые) СУБД IDS
Электронные замки
Настройка МСЭ Контроль паролей
Защита данных держателей карт Шифрование в канале связи
Обновление антивируса Защита приложений
Разграничение доступа Идентификация и аутентификация
Физический доступ Регистрация действий Анализ безопасности
Документальное сопровождение
Разграничение доступа Изоляция процессов Управление потоками
Межсетевое экранирование Идентификация/аутентификаци
я Регистрация действий
Реакция на НСД Очистка памяти
Тестирование функций защиты Учет и маркировка носителей
Контроль целостности
Защита от утечек по техническим каналам Документальное оформление
Физическая безопасность Регистрация действий Разграничение доступа
Учет и маркировка носителей Резервирование
Антивирусная защита Защита ЛВС
Защита внешнего взаимодействия СУБД
Система управления Документальное сопровождение Управление жизненным циклом
Разграничение доступа Регистрация действий Антивирусная защита
Защита внешнего взаимодействия Защита e-mail и архив почты
Криптография Платежные процессы
Технологические процессы
Разграничение доступа Регистрация действий
Учет носителей Обеспечение целостности
Межсетевое взаимодействие Отсутствие НДВ
Антивирусная защита Анализ защищенности
Обнаружение вторжений BCP
Реагирование на инциденты Оценка рисков
Повышение осведомленности Аудит
Защита коммуникаций
Документальное сопровождение Защита от утечек по техническим
каналам Антивирусная защита
Обнаружение вторжений Разграничение доступа Регистрация действий
Учет и маркировка носителей Обеспечение целостности
Межсетевое взаимодействие Криптографическая защита
Ловушки Сканеры защищенности
Защита от утечек по техническим каналам Разграничение доступа
Межсетевое взаимодействие VPN
Аутентификация и идентификация Криптозащита
Шифрование информации ЭЦП
Пакетное шифрование Стеганография
Регистрация действий Сигнализация
Обнаружение вторжений Защита от ПМВ
Защита от сбоев, отказов и ошибок Обеспечение целостности и надежности Тестирование и контроль безопасности
Политика безопасности Организация ИБ
Управление активами Безопасность HR
Физический доступ Безопасность окружения
Управление средствами связи Контроль доступа
Приобретение, разработка и обслуживание ИС Управление инцидентами
BCP Соответствие требованиям
© Cisco, 2010. Все права защищены. 69/73
•Разграничение доступа (+ управление потоками)
•Идентификация / аутентификация
•Межсетевое взаимодействие
•Регистрация действий
•Учет и маркировка носителей (+ очистка памяти)
•Документальное сопровождение
•Физический доступ
•Контроль целостности
•Тестирование безопасности
•Сигнализация и реагирование
•Контроль целостности
•Защита каналов связи
•Обнаружение вторжений
•Антивирусная защита
•BCP
•Защита от утечки по техническим каналам
Общие
•Защита специфичных процессов (биллинг, АБС, PCI…)
•Защита приложений (Web, СУБД…)
•Нестандартные механизмы (ловушки, стеганография) Специфичные
© Cisco, 2010. Все права защищены. 70/73
• WP по защите персональных данных
• WP по соответствию СТО Банка России
• И др.
© Cisco, 2010. Все права защищены. 71/73
Лидер мирового рынка сетевой безопасности. Обширное портфолио продуктов и услуг. Тесная интеграция с сетевой инфраструктурой. Архитектурный подход
Поддержка и защита самых современных ИТ. Контроль качества. Исследования в области ИБ. Обучение и сертификация специалистов. Собственное издательство Сертификация на соответствие российским требованиям по безопасности. Сертифицированная криптография. Сертификация производства. Отраслевая экспертиза. Участие в разработке стандартов ИТ и ИБ, а также в отраслевых группах и комитетах. Участие в экспертизе НПА по ИБ Финансирование проектов по ИБ. Легитимный ввоз оборудования. Круглосуточная поддержка на русском языке. Склады запчастей по всей России. 1000+ партнеров
1
2
3
4
5
© Cisco, 2010. Все права защищены. 72/73
http://www.facebook.com/CiscoRu
http://twitter.com/CiscoRussia
http://www.youtube.com/CiscoRussiaMedia
http://www.flickr.com/photos/CiscoRussia
http://vkontakte.ru/Cisco