Локализация продукции компании Cisco Systems и ее сертификация на соответствие нормативным требованиям в области безопасности

Михаил Кадер, mkader@cisco.com, security-request@cisco.com

• Производство оборудования компании Cisco в России

• Сертификация ФСТЭК• Совместные разработки• Продолжение следует

О чем будем говорить

Производство на территории России

Деньги

Операционная составляющая

Время

Коммуникация требует времени

Знания

Технологии, разработки,

ноу-хау

В чем состоят инвестиции?

• Компания адаптируется к локальным требованиямПроцессы

• Западные поставщики• Российские поставщики

Цепочка поставок

• Cisco, Jabil и др.Рабочие места

Что делается?

• Этапы производства: • RVPN-модуль

• Цифровые ТВ-приставки (Set Top Boxes)

• Маршрутизатор Cisco 2911

• Четвертая группа продуктовFY11 FY12 FY13

Q3 Q4 Q1 Q2 Q3 Q4 Q1-Q2Feb Mar Apr May Jun Jul Aug Sep Oct Nov Dec Jan Feb Mar Apr May Jun Jul Aug Sep Oct

Четвертая группа

2911

STBs

RVPNRVPN

Lic. Mfg. 22 марта 2012 года

График запуска производства

Сертификация ФСТЭК

Сертификация решений Cisco по требованиям ИБ в России

500+ ФСБ НДВ 30+ 96Сертификатов

ФСТЭК на продукцию Cisco

Сертифицировала решения Cisco (совместно с С-Терра СиЭсПи)

Отсутствуют в ряде

продуктовых линеек Cisco

Линеек продукции Cisco прошли

сертификацию по схеме «серийное производство»

Продуктовых линеек Cisco

сертифицированы во ФСТЭК

• Сократить сроки исполнения проектов, в которых используется оборудование Cisco, подлежащее сертификации ФСТЭК России на соответствие требованиям законодательства в области информационной безопасности;

• Упростить партнерам и заказчикам Cisco доступ к такому сертифицированному оборудованию;

• Расширить круг потенциальных заказчиков оборудования Cisco благодаря возможности быстрого производства в России необходимых сертифицированных средств защиты

Цели проекта

Цепочка поставки сертифицированного оборудования Cisco в России

Россия

Партнер #1

ПАРТНЕРЫ СISCO

Партнер #2

Партнер #3

Партнеры по сертификации

ФСТЭК

Оборудование с сертификатами

ФСТЭК

Оборудование без сертификации по

требованиям ФСТЭКДистрибуторы

Cisco Systems, Inc

Партнер #N

производство по требованиям ФСТЭК

сертификационный пакет ФСТЭК

Производство за пределами России

ЗАО «АМТ Груп»

• ЗАО «АМТ Груп» c 1994 года работает на российском рынке системнойинтеграции. Техническая экспертиза, привнесение лучших мировых практики предложение эффективных продуктовых решений делают АМТ-ГРУПодним из технологических лидеров этого рынка.• «АМТ Груп» осуществляет проектирование, внедрение и техническуюподдержку сложных инфраструктурных систем, информационных систем исистем управления информационной безопасностью, а также выполняетконсалтинговые проекты и проводит обучение персонала заказчиков.• В настоящее время коллектив компании насчитывает более 350человек, среди которых 150 инженеров-проектировщиков и инженеровтехнической поддержки различных специализаций. 13 сотрудников «АМТГруп» обладают всемирно признанной высшей квалификацией в областисетевых технологий – Cisco Certified Internetwork Experts.

АМТ Груп

АМТ – линейки оборудования

Маршрутизаторы:Cisco 1800, Cisco 2800, Cisco 2900, Cisco 3800, Cisco 3900, Cisco 7200, Cisco 7600

Коммутаторы:Cisco Catalyst 2960, Cisco Catalyst 3560,Cisco Catalyst 3750

Межсетевые экраны:ASA 5505, ASA 5510, ASA 5520, ASA 5540, ASA 5550, ASA 5580, PIX 501, PIX 506, PIX 515, PIX 525, PIX 535, FWSM

Устройство предотвращения вторженийCisco IPS 4200

• Отдел сертификационного производстваЗАО «АМТ Груп»

• Доронин Алексей Николаевич• adoronin@amt.ru• +7 (495) 725-7660

АМТ Груп - контакты

Kraftway

Kraftway — одна из крупнейших российских компаний,занимающихся промышленным производством широкого спектра высокотехнологичного оборудования и созданием инфраструктурных решений на его основе.

Kraftway

• Маршрутизаторы ISR серий 1800, 2800 и 3800.• Коммутаторы серий 3700 и 6500• Межсетевой экран PIX серии 500• Устройства адаптивной защиты ASA серии 5500

Kraftway:линейки оборудования

• Контакты ЗАО «Крафтвей Корпорейшен ПЛС»:• Белянкин Константин Сергеевич • тел.: (495) 969-24-00, (495) 956-49-80, доб. 1043;• e-mail: kbelyankin@kraftway.ru

Kraftway - контакты

ООО «Верком»

Vercom

Компания Верком осуществляет производство сертифицированных программно-техническихсредств защиты информации (ПТСЗИ), соответствующих требованиям руководящих документовФедеральной службы по техническому и экспортному контролю (ФСТЭК) России, на основепродуктов компании Cisco.Выпускаемые компанией Верком сертифицированные ПТСЗИ входят в Государственный реестрсертифицированных средств защиты информации ФСТЭК России.

Выполнение требований законодательства

• Согласно требованиям российского законодательства, ПТСЗИ, использующиеся в системахобработки конфиденциальной информации и персональных данных, подлежат обязательнойсертификации. Сертификация ПТСЗИ подтверждает, что требования российскогозаконодательства и требования руководящих документов ФСТЭК России даннымоборудованием выполняются.

• Наличие у Верком сертификатов соответствия продуктов компании Cisco требованиям ФСТЭКРоссии по защите конфиденциальной информации и персональных данных позволяетзаказчикам приобретать уже сертифицированные изделия, что значительно сокращает времяпоставки сертифицированного оборудования и ввода автоматизированных систем вэксплуатацию.

ООО «Верком»Vercom

Сертифицированные ПТСЗИ на основе оборудования компании Cisco

Перечень сертифицируемого оборудования (1/2)

Vercom

Тип оборудования Модель Класс

защитыСоответствие РД

ФСТЭК России Защищаемая информация

Маршрутизатор 2911R 4 РД МЭ Конфиденциальная информация,ИСПДн до 2 кл. включительно

Межсетевой экран СерияASA 5500-X

моделиASA 5512-XASA 5515-XASA 5525-XASA 5545-XASA 5555-X

3 РД МЭ Конфиденциальная информация,ИСПДн до 2 кл. включительно

Межсетевой экран ASA 5585-X 3 РД МЭ Конфиденциальная информация,ИСПДн до 2 кл. включительно

Межсетевой экран ASA Services Moduleдля серии Cisco

Catalyst 6500

3 РД МЭ Конфиденциальнаяинформация, ИСПДн до 2 кл.включительно

Vercom

Тип оборудования Модель Класс

защитыСоответствие РД

ФСТЭК России Защищаемая информация

Системаобнаружениявторжений

Серия IPS 4300модели

IPS 4345IPS 4365

5уровня сети

МД СОВ Конфиденциальная информация,ИСПДн до 2 кл. включительно

Системаобнаружениявторжений

Серия IPS 4500модели

IPS 4510IPS 4520

5уровня сети

МД СОВ Конфиденциальная информация,ИСПДн до 2 кл. включительно

Системаобнаружениявторжений

Встроенный IPS в серии

ASA 5500-X

5уровня сети

МД СОВ Конфиденциальная информация,ИСПДн до 2 кл. включительно

Системаобнаружениявторжений

IPS модули длясерии ASA 5500 и

ASA 5585-X

5уровня сети

МД СОВ Конфиденциальная информация,ИСПДн до 2 кл.включительно

Перечень сертифицируемого оборудования (2/2)

Планируемые сроки окончания (1/2) Vercom

Тип оборудования Модель Планируемый срок окончания сертификации во ФСТЭК России

Маршрутизатор 2911R I кв. 2013 г.Межсетевой экран Серия

ASA 5500-Xмодели

ASA 5512-XASA 5515-XASA 5525-XASA 5545-XASA 5555-XASA 5585-X

I кв. 2013 г.

Межсетевой экран ASA Services Module для серии Cisco Catalyst 6500

I кв. 2013 г.

Тип оборудования Модель Планируемый срок окончания сертификации во ФСТЭК России

Системаобнаружения вторжений

Встроенный IPS в серии ASA 5500-X II кв. 2013 г.

Системаобнаружения вторжений

Серия IPS 4300модели

IPS 4345IPS 4365

II кв. 2013 г.

Системаобнаружения вторжений

Серия IPS 4500модели

IPS 4510IPS 4520

II кв. 2013 г.

Планируемые сроки окончания (2/2) Vercom

•• Консультации можно получить Консультации можно получить в Отделе сертифицированного производствав Отделе сертифицированного производства

•• по телефону +7(968) 835по телефону +7(968) 835--90459045

•• Для получения дополнительной информации обращайтесь: Для получения дополнительной информации обращайтесь: security_lab@security_lab@vercomvercom..bizbiz

ООО «Верком» - контактыVercom

Совместные разработки

Антивирусный шлюз Лаборатории Касперского

Сервисные модули Cisco SRE и UCS-E

Ключевые функциональные возможности :Универсальная платформа для размещения приложений Cisco и сторонних разработчиков

Мощное оборудование с высоким уровнем доступности

Небольшое устройство, потребляющее малое количество энергии, с минимальным воздействием на окружающую среду

Основные преимуществаУпрощение инфраструктуры филиала за счет консолидации приложений на едином устройстве

Оперативное реагирование на изменение бизнес-потребностей компании

Сокращение расходов на выездное обслуживание, эксплуатацию и техническую поддержку оборудования

Эшелонированная защита от вредоносного ПО

Перехват всего проходящего трафика и проверка его на наличие вредоносных программ

Сервера электронной почты

Рабочие станции

Сетевые сервера

Сеть Интернет

Шлюз

Уровень защиты шлюзов Уровень защиты почтовых

систем Уровень защиты сетевых серверов и рабочих станций

• Пользователи часто не соблюдают правила ИТ-безопасности

• Не все устройства поддерживают антивирусное ПО или не везде его можно установить

• Антивирус может быть отключен пользователем

• «Мёртвый срок» до обновления антивирусных баз

• Устаревшие ОС уязвимы• Персональные устройства могут быть

заражены

Зачем нужен антивирус на шлюзе?

Антивирус Касперского для Cisco SRE/UCS-E

• Обеспечивает антивирусную фильтрацию Интернет-трафика (http и ftp) в реальном времени

• Осуществляет поиск и удаление вирусов всех типов, червей, троянских и других вредоносных программ в потоке данных

• Предоставляет широкий выбор параметров фильтрации

• IP-адреса и URL, MIME-типы, имена, расширения, размер файлов

• Проверяет архивированные файлы• Поддерживает практические любые форматы архиваторов

и упаковщиков• Выявляет потенциально опасные программы

• В режиме расширенной антивирусной защиты отслеживает все объекты, потенциально способные нанести вред компьютерам пользователей

Групповые политики безопасности– Администратор может применять

индивидуальные правила фильтрации для отдельных групп пользователей, определяя уровни ограничений в соответствии с политикой безопасности компании

Уведомления для пользователей– Обнаруженный инфицированный

объект блокируется, а пользователю направляется созданное/изменённое администратором html-уведомление

Антивирус Касперского для Cisco SRE/UCS-E

Отчёты и статистика– Позволяет формировать статистические

отчеты для отслеживания вирусной активности и контроля работы приложения

Настройка режима обновления– По запросу или автоматически по

расписанию – С серверов «Лаборатории Касперского» в

Интернете или с заданных локальных серверов компании

Поддержка прозрачного проксирования

Антивирус Касперского для Cisco ISR

• Константин Матюхин, Менеджер по работе с технологическими партнерами

• Konstantin.Matyukhin@kaspersky.com

Совместные разработки

VPN шлюз VIP-Net компании Инфотекс (www.infotecs.ru)

В ИнфоТеКС работает более 350 сотрудников, 170 – разработчики ПО и ПАК

Продукция компании проходит регулярную сертификацию в ФСБ, ФСТЭК России, Газпромсерте, TUV в Германии и КНБ в Казахстане

ИнфоТеКС является секретарской компанией Технического комитета №26, отвечающего за стандартизацию криптографических алгоритмов и протоколов в России, представляет Россию в ISO

Компания и ее сотрудники являются действующими членами общественных организаций, работающих в области ИТ и СЗИ: АЗИ, АДЭ, ЕВРААС

ОАО "ИнфоТеКС" основано в 1991 г. В настоящее время Компания является ведущим игроком российского рынка VPN-решений и средств защиты информации в TCP/IP сетях. Все эти годы Компания развивала собственные программные продукты и технологии в области защиты корпоративных сетевых решений, поставляемых на рынок под торговой маркой ViPNet™.

21 год в разработке средств защиты информации !

О Компании

РЖД (более 100 000 программных и аппаратных VPN-узлов) ПФР (более 5000 VPN-серверов и десятки тысяч VPN-клиентов) РосАтом Министерство финансов РФ ФСС ФОМС Роснефть Министерство здравоохранения РФ Ростелекоми множество других уважаемых заказчиков – крупных государственных и коммерческий организацийКомпания имеет развитую партнерскую сеть (более 100 компаний) по всей России, в Казахстане, Киргизии и Германии

Некоторые заказчики

Security

Firewall

PKI & symmetric

crypto

VPN

AntivirusIDS/IPS

DLP

Electronic key (smart

card)

Позиционирование на рынке СЗИ

Управление имониторинг защищенной сети, Центр управления ключами, Удостоверяющий центр

Программные и программно-аппаратные VPN-серверы (криптошлюзы и МЭ)

Программные VPN-клиенты, ПСЭ и криптопровайдерыдля ОС Windows, Linux, iOS и Android

ViPNet Custom – линейка продуктов для создания VPN и PKI корпоративного уровня

ViPNet Coordinator HW-MCMVPN-модуль с поддержкой ГОСТ 28147-89 для маршрутизаторов CiscoКриптошлюз и межсетевой экран для защищенных сетей ViPNet в виде модуля расширения для универсальных маршрутизаторов Cisco ISR G1 и G2 компании Cisco Systems

Особенности работает в составе маршрутизатора Cisco, не требует внешнего

питания и отдельного места для размещения в стойке 2 интерфейса Ethernet 100/1000 (один внутренний, подключен к

шине шлюза) Независим от операционной системы маршрутизатора и

управляется аналогично другим продуктам из линейки Coordinator HW – централизованное управление и мониторинг с помощью программных комплексов ViPNet Administrator и ViPNet StateWatcher

ОС и ПО ViPNet хранятся на flash-памяти модуля Совместно с маршрутизатором реализует функции криптошлюза-

преобразователя среды для работы в неEthernet сетях Производительность по шифрования – до 30 Мбит/с, фильтрация

трафика – до 100 Мбит/с Поддержка режима failover при использовании двух модулей

ViPNet Coordinator HW-MCM Области применения

Защита информации в сетях связи, построенных на оборудовании Cisco Точка доступа для удаленных защищенных соединений с корпоративными

ресурсами Защита трафика IP-телефонии и видеоконференцсвязи

Ограничения – для работы необходим Cisco ISR 2800/2900/3800/3900

Варианты поставки – один, максимальный. Нет ограничений на число туннелируемых адресов и защищенных соединений

Сертификация – проходит сертификацию в ФСБ России на соответствие требованиям к СКЗИ класса КС3 и 4 классу МЭ, запланирована сертификация во ФСТЭК России по 3 классу МЭ и 3 уровню контроля отсутствия НДВ с целью получения разрешение на использование в ИСПДн до 1 класса включительно

ViPNet Coordinator HW-MCMТиповой сценарий применения – защита IP-телефонии

Совместные разработки

VPN решения компании S-Terra CSP (www.s-terra.com)

• Решения «С-Терра СиЭсПи» широко востребованы на рынке информационной безопасности, в структурах с высокими требованиями к надёжности и непрерывности бизнес-процессов.

• Продукты «С-Терра СиЭсПи» используются в Администрации президента РФ, Администрациях краёв и областей, Правительстве Москвы и Московской области, Совете Федерации, ГосДуме, Министерстве Юстиции, Минздраве, Росимуществе, Счётной Палате, МВД, МЧС,ФСО, ФСКН, «Газпромнефть», «Газпромбанк,» «Райффайзен Банк», «Московский Метрополитен», «ИНТЕР РАО ЕЭС, «СО ЕЭС», «Почта России», «РЖД» и др.

Использование решений С-Терра Си-Эс-Пи

Продукты CSP VPNtm

предназначены для построения виртуальных защищенных сетей (Virtual Private Network, VPN) на основе стандартов защитысетей TCP/IP – протоколов IKE/IPsec

Назначение решений «С-Терра»

Сертификация версий продуктов Версия 3.1- ФСБ России

• Сертификат СКЗИ КС1, КС2 на продукт CSP VPN Gate (в т.ч. в исполнении CSP VPN Client)

• распространяется на аппаратную платформу «Модуль Сетевой Модернизированный»

- ФСТЭК России• ГОСТ 15408, ОУД 3• РД НДВ 3й уровень контроля• Рекомендация для защиты конфиденциальной информации в АС

до класса 1Г включительно и в ИСПДн до класса К1 включительно Версия 3.11

Согласно заключению от 10.10.2012 г. программный комплекс CSP VPN Gate версии 3.11 соответствует требованиям к шифровальным (криптографическим) средствам, предназначенным для защиты информации, не содержащей сведений, составляющих государственную тайну, по классу КС3.

Продукты CSP VPN

Получено положительное заключение ФСБ России о соответствии CSP VPN Gate версии 3.11 требованиям по

классу КС3С-Терра КП(централизованный инструмент управления)Сертификация как системы управления

S-terra L2(защита на канальном уровне)СКЗИ КС3

СКЗИ КС3

СКЗИ КС3

СКЗИ КС3

СКЗИ КС3

СКЗИ КС3

CSP VPN Gate E(экспортный вариант)СКЗИ КС1

Продукт С-Терра КП 3.11 Разработан для автоматизации

обслуживания VPN-устройств, выпускаемых компанией «С-Терра СиЭсПи»

Позволяет удаленно управлять настройками VPN-устройств, такими как политики безопасности, сертификаты и т.п.

Продукт позволяет автоматизировать процесс развертывания системы VPN-продуктов

Мобильные решения Компания предлагает

сертифицированные продукты для ОС Windows, имеет отлаженные продукты для ОС Android и прототип (бета-версия) для IPad.

На сегодня имеются сертифицированные решения для бизнес-планшетов Windows

Обеспечивается ролевое управление Поддерживается качество сетевого

обслуживания и работа в сетях мобильной связи 3G и 4G.

Готовы к внедрению в виде услуги от провайдера защищенных мобильных коммуникаций в полном составе мер управления и поддержки и на основе экономически эффективных тарифов.

Архитектура решения L2-10G

Для балансировки трафика используются протоколы LACP или PAgP Перехват трафика происходит на канальном уровне

Среда построения доверенного сеанса• В защищенной области памяти формируется

целостная программная среда, включающая:1. Ограниченную ОС Linux

• изъяты все ненужные и недоверенные сервисы• оболочка (shell) недоступна пользователю

2. VPN-клиент полностью изолирует трафик из изолированной среды, исключает НСД из сети, поскольку не пропускает открытый IP-трафик

3. Веб- или терминальный клиент (серии «W» и «Т»)• Целостность программной среды

обеспечивается:1. запретом доступа любых процессов в область

ROM2. однократной загрузкой одного и того же эталона

среды в начале доверенного сеанса3. возможностью контроля хэш-суммы по коду

доверенной среды (производится администратором)

Топологические сценарии

Продолжение следует???

• Новые линейки в локальном производстве• Более тесное сотрудничество с Российскими

предприятиями• Новые сертификации• Новые совместные решения• Развитие платформы VPN модулей• Ну и т.п. ;-)

Продолжение следует!!!

Спасибо!Заполняйте анкеты он-лайн и получайте подарки в Cisco Shop: http://ciscoexpo.ru/expo2012/questВаше мнение очень важно для нас!