Upload
cisco-russia
View
916
Download
7
Embed Size (px)
Citation preview
Локализация продукции компании Cisco Systems и ее сертификация на соответствие нормативным требованиям в области безопасности
Михаил Кадер, [email protected], [email protected]
• Производство оборудования компании Cisco в России
• Сертификация ФСТЭК• Совместные разработки• Продолжение следует
О чем будем говорить
Производство на территории России
Деньги
Операционная составляющая
Время
Коммуникация требует времени
Знания
Технологии, разработки,
ноу-хау
В чем состоят инвестиции?
• Компания адаптируется к локальным требованиямПроцессы
• Западные поставщики• Российские поставщики
Цепочка поставок
• Cisco, Jabil и др.Рабочие места
Что делается?
• Этапы производства: • RVPN-модуль
• Цифровые ТВ-приставки (Set Top Boxes)
• Маршрутизатор Cisco 2911
• Четвертая группа продуктовFY11 FY12 FY13
Q3 Q4 Q1 Q2 Q3 Q4 Q1-Q2Feb Mar Apr May Jun Jul Aug Sep Oct Nov Dec Jan Feb Mar Apr May Jun Jul Aug Sep Oct
Четвертая группа
2911
STBs
RVPNRVPN
Lic. Mfg. 22 марта 2012 года
График запуска производства
Сертификация ФСТЭК
Сертификация решений Cisco по требованиям ИБ в России
500+ ФСБ НДВ 30+ 96Сертификатов
ФСТЭК на продукцию Cisco
Сертифицировала решения Cisco (совместно с С-Терра СиЭсПи)
Отсутствуют в ряде
продуктовых линеек Cisco
Линеек продукции Cisco прошли
сертификацию по схеме «серийное производство»
Продуктовых линеек Cisco
сертифицированы во ФСТЭК
• Сократить сроки исполнения проектов, в которых используется оборудование Cisco, подлежащее сертификации ФСТЭК России на соответствие требованиям законодательства в области информационной безопасности;
• Упростить партнерам и заказчикам Cisco доступ к такому сертифицированному оборудованию;
• Расширить круг потенциальных заказчиков оборудования Cisco благодаря возможности быстрого производства в России необходимых сертифицированных средств защиты
Цели проекта
Цепочка поставки сертифицированного оборудования Cisco в России
Россия
Партнер #1
ПАРТНЕРЫ СISCO
Партнер #2
Партнер #3
Партнеры по сертификации
ФСТЭК
Оборудование с сертификатами
ФСТЭК
Оборудование без сертификации по
требованиям ФСТЭКДистрибуторы
Cisco Systems, Inc
Партнер #N
производство по требованиям ФСТЭК
сертификационный пакет ФСТЭК
Производство за пределами России
ЗАО «АМТ Груп»
• ЗАО «АМТ Груп» c 1994 года работает на российском рынке системнойинтеграции. Техническая экспертиза, привнесение лучших мировых практики предложение эффективных продуктовых решений делают АМТ-ГРУПодним из технологических лидеров этого рынка.• «АМТ Груп» осуществляет проектирование, внедрение и техническуюподдержку сложных инфраструктурных систем, информационных систем исистем управления информационной безопасностью, а также выполняетконсалтинговые проекты и проводит обучение персонала заказчиков.• В настоящее время коллектив компании насчитывает более 350человек, среди которых 150 инженеров-проектировщиков и инженеровтехнической поддержки различных специализаций. 13 сотрудников «АМТГруп» обладают всемирно признанной высшей квалификацией в областисетевых технологий – Cisco Certified Internetwork Experts.
АМТ Груп
АМТ – линейки оборудования
Маршрутизаторы:Cisco 1800, Cisco 2800, Cisco 2900, Cisco 3800, Cisco 3900, Cisco 7200, Cisco 7600
Коммутаторы:Cisco Catalyst 2960, Cisco Catalyst 3560,Cisco Catalyst 3750
Межсетевые экраны:ASA 5505, ASA 5510, ASA 5520, ASA 5540, ASA 5550, ASA 5580, PIX 501, PIX 506, PIX 515, PIX 525, PIX 535, FWSM
Устройство предотвращения вторженийCisco IPS 4200
• Отдел сертификационного производстваЗАО «АМТ Груп»
• Доронин Алексей Николаевич• [email protected]• +7 (495) 725-7660
АМТ Груп - контакты
Kraftway
Kraftway — одна из крупнейших российских компаний,занимающихся промышленным производством широкого спектра высокотехнологичного оборудования и созданием инфраструктурных решений на его основе.
Kraftway
• Маршрутизаторы ISR серий 1800, 2800 и 3800.• Коммутаторы серий 3700 и 6500• Межсетевой экран PIX серии 500• Устройства адаптивной защиты ASA серии 5500
Kraftway:линейки оборудования
• Контакты ЗАО «Крафтвей Корпорейшен ПЛС»:• Белянкин Константин Сергеевич • тел.: (495) 969-24-00, (495) 956-49-80, доб. 1043;• e-mail: [email protected]
Kraftway - контакты
ООО «Верком»
Vercom
Компания Верком осуществляет производство сертифицированных программно-техническихсредств защиты информации (ПТСЗИ), соответствующих требованиям руководящих документовФедеральной службы по техническому и экспортному контролю (ФСТЭК) России, на основепродуктов компании Cisco.Выпускаемые компанией Верком сертифицированные ПТСЗИ входят в Государственный реестрсертифицированных средств защиты информации ФСТЭК России.
Выполнение требований законодательства
• Согласно требованиям российского законодательства, ПТСЗИ, использующиеся в системахобработки конфиденциальной информации и персональных данных, подлежат обязательнойсертификации. Сертификация ПТСЗИ подтверждает, что требования российскогозаконодательства и требования руководящих документов ФСТЭК России даннымоборудованием выполняются.
• Наличие у Верком сертификатов соответствия продуктов компании Cisco требованиям ФСТЭКРоссии по защите конфиденциальной информации и персональных данных позволяетзаказчикам приобретать уже сертифицированные изделия, что значительно сокращает времяпоставки сертифицированного оборудования и ввода автоматизированных систем вэксплуатацию.
ООО «Верком»Vercom
Сертифицированные ПТСЗИ на основе оборудования компании Cisco
Перечень сертифицируемого оборудования (1/2)
Vercom
Тип оборудования Модель Класс
защитыСоответствие РД
ФСТЭК России Защищаемая информация
Маршрутизатор 2911R 4 РД МЭ Конфиденциальная информация,ИСПДн до 2 кл. включительно
Межсетевой экран СерияASA 5500-X
моделиASA 5512-XASA 5515-XASA 5525-XASA 5545-XASA 5555-X
3 РД МЭ Конфиденциальная информация,ИСПДн до 2 кл. включительно
Межсетевой экран ASA 5585-X 3 РД МЭ Конфиденциальная информация,ИСПДн до 2 кл. включительно
Межсетевой экран ASA Services Moduleдля серии Cisco
Catalyst 6500
3 РД МЭ Конфиденциальнаяинформация, ИСПДн до 2 кл.включительно
Vercom
Тип оборудования Модель Класс
защитыСоответствие РД
ФСТЭК России Защищаемая информация
Системаобнаружениявторжений
Серия IPS 4300модели
IPS 4345IPS 4365
5уровня сети
МД СОВ Конфиденциальная информация,ИСПДн до 2 кл. включительно
Системаобнаружениявторжений
Серия IPS 4500модели
IPS 4510IPS 4520
5уровня сети
МД СОВ Конфиденциальная информация,ИСПДн до 2 кл. включительно
Системаобнаружениявторжений
Встроенный IPS в серии
ASA 5500-X
5уровня сети
МД СОВ Конфиденциальная информация,ИСПДн до 2 кл. включительно
Системаобнаружениявторжений
IPS модули длясерии ASA 5500 и
ASA 5585-X
5уровня сети
МД СОВ Конфиденциальная информация,ИСПДн до 2 кл.включительно
Перечень сертифицируемого оборудования (2/2)
Планируемые сроки окончания (1/2) Vercom
Тип оборудования Модель Планируемый срок окончания сертификации во ФСТЭК России
Маршрутизатор 2911R I кв. 2013 г.Межсетевой экран Серия
ASA 5500-Xмодели
ASA 5512-XASA 5515-XASA 5525-XASA 5545-XASA 5555-XASA 5585-X
I кв. 2013 г.
Межсетевой экран ASA Services Module для серии Cisco Catalyst 6500
I кв. 2013 г.
Тип оборудования Модель Планируемый срок окончания сертификации во ФСТЭК России
Системаобнаружения вторжений
Встроенный IPS в серии ASA 5500-X II кв. 2013 г.
Системаобнаружения вторжений
Серия IPS 4300модели
IPS 4345IPS 4365
II кв. 2013 г.
Системаобнаружения вторжений
Серия IPS 4500модели
IPS 4510IPS 4520
II кв. 2013 г.
Планируемые сроки окончания (2/2) Vercom
•• Консультации можно получить Консультации можно получить в Отделе сертифицированного производствав Отделе сертифицированного производства
•• по телефону +7(968) 835по телефону +7(968) 835--90459045
•• Для получения дополнительной информации обращайтесь: Для получения дополнительной информации обращайтесь: security_lab@[email protected]
ООО «Верком» - контактыVercom
Совместные разработки
Антивирусный шлюз Лаборатории Касперского
Сервисные модули Cisco SRE и UCS-E
Ключевые функциональные возможности :Универсальная платформа для размещения приложений Cisco и сторонних разработчиков
Мощное оборудование с высоким уровнем доступности
Небольшое устройство, потребляющее малое количество энергии, с минимальным воздействием на окружающую среду
Основные преимуществаУпрощение инфраструктуры филиала за счет консолидации приложений на едином устройстве
Оперативное реагирование на изменение бизнес-потребностей компании
Сокращение расходов на выездное обслуживание, эксплуатацию и техническую поддержку оборудования
Эшелонированная защита от вредоносного ПО
Перехват всего проходящего трафика и проверка его на наличие вредоносных программ
Сервера электронной почты
Рабочие станции
Сетевые сервера
Сеть Интернет
Шлюз
Уровень защиты шлюзов Уровень защиты почтовых
систем Уровень защиты сетевых серверов и рабочих станций
• Пользователи часто не соблюдают правила ИТ-безопасности
• Не все устройства поддерживают антивирусное ПО или не везде его можно установить
• Антивирус может быть отключен пользователем
• «Мёртвый срок» до обновления антивирусных баз
• Устаревшие ОС уязвимы• Персональные устройства могут быть
заражены
Зачем нужен антивирус на шлюзе?
Антивирус Касперского для Cisco SRE/UCS-E
• Обеспечивает антивирусную фильтрацию Интернет-трафика (http и ftp) в реальном времени
• Осуществляет поиск и удаление вирусов всех типов, червей, троянских и других вредоносных программ в потоке данных
• Предоставляет широкий выбор параметров фильтрации
• IP-адреса и URL, MIME-типы, имена, расширения, размер файлов
• Проверяет архивированные файлы• Поддерживает практические любые форматы архиваторов
и упаковщиков• Выявляет потенциально опасные программы
• В режиме расширенной антивирусной защиты отслеживает все объекты, потенциально способные нанести вред компьютерам пользователей
Групповые политики безопасности– Администратор может применять
индивидуальные правила фильтрации для отдельных групп пользователей, определяя уровни ограничений в соответствии с политикой безопасности компании
Уведомления для пользователей– Обнаруженный инфицированный
объект блокируется, а пользователю направляется созданное/изменённое администратором html-уведомление
Антивирус Касперского для Cisco SRE/UCS-E
Отчёты и статистика– Позволяет формировать статистические
отчеты для отслеживания вирусной активности и контроля работы приложения
Настройка режима обновления– По запросу или автоматически по
расписанию – С серверов «Лаборатории Касперского» в
Интернете или с заданных локальных серверов компании
Поддержка прозрачного проксирования
Антивирус Касперского для Cisco ISR
• Константин Матюхин, Менеджер по работе с технологическими партнерами
Совместные разработки
VPN шлюз VIP-Net компании Инфотекс (www.infotecs.ru)
В ИнфоТеКС работает более 350 сотрудников, 170 – разработчики ПО и ПАК
Продукция компании проходит регулярную сертификацию в ФСБ, ФСТЭК России, Газпромсерте, TUV в Германии и КНБ в Казахстане
ИнфоТеКС является секретарской компанией Технического комитета №26, отвечающего за стандартизацию криптографических алгоритмов и протоколов в России, представляет Россию в ISO
Компания и ее сотрудники являются действующими членами общественных организаций, работающих в области ИТ и СЗИ: АЗИ, АДЭ, ЕВРААС
ОАО "ИнфоТеКС" основано в 1991 г. В настоящее время Компания является ведущим игроком российского рынка VPN-решений и средств защиты информации в TCP/IP сетях. Все эти годы Компания развивала собственные программные продукты и технологии в области защиты корпоративных сетевых решений, поставляемых на рынок под торговой маркой ViPNet™.
21 год в разработке средств защиты информации !
О Компании
РЖД (более 100 000 программных и аппаратных VPN-узлов) ПФР (более 5000 VPN-серверов и десятки тысяч VPN-клиентов) РосАтом Министерство финансов РФ ФСС ФОМС Роснефть Министерство здравоохранения РФ Ростелекоми множество других уважаемых заказчиков – крупных государственных и коммерческий организацийКомпания имеет развитую партнерскую сеть (более 100 компаний) по всей России, в Казахстане, Киргизии и Германии
Некоторые заказчики
Security
Firewall
PKI & symmetric
crypto
VPN
AntivirusIDS/IPS
DLP
Electronic key (smart
card)
Позиционирование на рынке СЗИ
Управление имониторинг защищенной сети, Центр управления ключами, Удостоверяющий центр
Программные и программно-аппаратные VPN-серверы (криптошлюзы и МЭ)
Программные VPN-клиенты, ПСЭ и криптопровайдерыдля ОС Windows, Linux, iOS и Android
ViPNet Custom – линейка продуктов для создания VPN и PKI корпоративного уровня
ViPNet Coordinator HW-MCMVPN-модуль с поддержкой ГОСТ 28147-89 для маршрутизаторов CiscoКриптошлюз и межсетевой экран для защищенных сетей ViPNet в виде модуля расширения для универсальных маршрутизаторов Cisco ISR G1 и G2 компании Cisco Systems
Особенности работает в составе маршрутизатора Cisco, не требует внешнего
питания и отдельного места для размещения в стойке 2 интерфейса Ethernet 100/1000 (один внутренний, подключен к
шине шлюза) Независим от операционной системы маршрутизатора и
управляется аналогично другим продуктам из линейки Coordinator HW – централизованное управление и мониторинг с помощью программных комплексов ViPNet Administrator и ViPNet StateWatcher
ОС и ПО ViPNet хранятся на flash-памяти модуля Совместно с маршрутизатором реализует функции криптошлюза-
преобразователя среды для работы в неEthernet сетях Производительность по шифрования – до 30 Мбит/с, фильтрация
трафика – до 100 Мбит/с Поддержка режима failover при использовании двух модулей
ViPNet Coordinator HW-MCM Области применения
Защита информации в сетях связи, построенных на оборудовании Cisco Точка доступа для удаленных защищенных соединений с корпоративными
ресурсами Защита трафика IP-телефонии и видеоконференцсвязи
Ограничения – для работы необходим Cisco ISR 2800/2900/3800/3900
Варианты поставки – один, максимальный. Нет ограничений на число туннелируемых адресов и защищенных соединений
Сертификация – проходит сертификацию в ФСБ России на соответствие требованиям к СКЗИ класса КС3 и 4 классу МЭ, запланирована сертификация во ФСТЭК России по 3 классу МЭ и 3 уровню контроля отсутствия НДВ с целью получения разрешение на использование в ИСПДн до 1 класса включительно
ViPNet Coordinator HW-MCMТиповой сценарий применения – защита IP-телефонии
Совместные разработки
VPN решения компании S-Terra CSP (www.s-terra.com)
• Решения «С-Терра СиЭсПи» широко востребованы на рынке информационной безопасности, в структурах с высокими требованиями к надёжности и непрерывности бизнес-процессов.
• Продукты «С-Терра СиЭсПи» используются в Администрации президента РФ, Администрациях краёв и областей, Правительстве Москвы и Московской области, Совете Федерации, ГосДуме, Министерстве Юстиции, Минздраве, Росимуществе, Счётной Палате, МВД, МЧС,ФСО, ФСКН, «Газпромнефть», «Газпромбанк,» «Райффайзен Банк», «Московский Метрополитен», «ИНТЕР РАО ЕЭС, «СО ЕЭС», «Почта России», «РЖД» и др.
Использование решений С-Терра Си-Эс-Пи
Продукты CSP VPNtm
предназначены для построения виртуальных защищенных сетей (Virtual Private Network, VPN) на основе стандартов защитысетей TCP/IP – протоколов IKE/IPsec
Назначение решений «С-Терра»
Сертификация версий продуктов Версия 3.1- ФСБ России
• Сертификат СКЗИ КС1, КС2 на продукт CSP VPN Gate (в т.ч. в исполнении CSP VPN Client)
• распространяется на аппаратную платформу «Модуль Сетевой Модернизированный»
- ФСТЭК России• ГОСТ 15408, ОУД 3• РД НДВ 3й уровень контроля• Рекомендация для защиты конфиденциальной информации в АС
до класса 1Г включительно и в ИСПДн до класса К1 включительно Версия 3.11
Согласно заключению от 10.10.2012 г. программный комплекс CSP VPN Gate версии 3.11 соответствует требованиям к шифровальным (криптографическим) средствам, предназначенным для защиты информации, не содержащей сведений, составляющих государственную тайну, по классу КС3.
Продукты CSP VPN
Получено положительное заключение ФСБ России о соответствии CSP VPN Gate версии 3.11 требованиям по
классу КС3С-Терра КП(централизованный инструмент управления)Сертификация как системы управления
S-terra L2(защита на канальном уровне)СКЗИ КС3
СКЗИ КС3
СКЗИ КС3
СКЗИ КС3
СКЗИ КС3
СКЗИ КС3
CSP VPN Gate E(экспортный вариант)СКЗИ КС1
Продукт С-Терра КП 3.11 Разработан для автоматизации
обслуживания VPN-устройств, выпускаемых компанией «С-Терра СиЭсПи»
Позволяет удаленно управлять настройками VPN-устройств, такими как политики безопасности, сертификаты и т.п.
Продукт позволяет автоматизировать процесс развертывания системы VPN-продуктов
Мобильные решения Компания предлагает
сертифицированные продукты для ОС Windows, имеет отлаженные продукты для ОС Android и прототип (бета-версия) для IPad.
На сегодня имеются сертифицированные решения для бизнес-планшетов Windows
Обеспечивается ролевое управление Поддерживается качество сетевого
обслуживания и работа в сетях мобильной связи 3G и 4G.
Готовы к внедрению в виде услуги от провайдера защищенных мобильных коммуникаций в полном составе мер управления и поддержки и на основе экономически эффективных тарифов.
Архитектура решения L2-10G
Для балансировки трафика используются протоколы LACP или PAgP Перехват трафика происходит на канальном уровне
Среда построения доверенного сеанса• В защищенной области памяти формируется
целостная программная среда, включающая:1. Ограниченную ОС Linux
• изъяты все ненужные и недоверенные сервисы• оболочка (shell) недоступна пользователю
2. VPN-клиент полностью изолирует трафик из изолированной среды, исключает НСД из сети, поскольку не пропускает открытый IP-трафик
3. Веб- или терминальный клиент (серии «W» и «Т»)• Целостность программной среды
обеспечивается:1. запретом доступа любых процессов в область
ROM2. однократной загрузкой одного и того же эталона
среды в начале доверенного сеанса3. возможностью контроля хэш-суммы по коду
доверенной среды (производится администратором)
Топологические сценарии
Продолжение следует???
• Новые линейки в локальном производстве• Более тесное сотрудничество с Российскими
предприятиями• Новые сертификации• Новые совместные решения• Развитие платформы VPN модулей• Ну и т.п. ;-)
Продолжение следует!!!
Спасибо!Заполняйте анкеты он-лайн и получайте подарки в Cisco Shop: http://ciscoexpo.ru/expo2012/questВаше мнение очень важно для нас!