Российская криптография в решениях Cisco

1 © 2011 Cisco and/or its affiliates. All rights reserved.

Российская криптография в решениях Cisco Алексей Лукацкий, бизнес-консультант по безопасности


© 2011 Cisco and/or its affiliates. All rights reserved. 3/35

Новый подход к построению сетей

Новая плоскость управления

Отделить программы от платформы с целью быстрого/ гибкого включения сервисов и защиты инвестиций

Конвергировать системы и сервисы с целью использования единой платформы

Политики, как способ внедрения, поддержания и унификации сервисов

Программы

Платформа

Хранить Передавать

Обрабатывать


• Иерархическая архитектура

• Cisco ISR G2 2900 или 3900, Catalyst 3750 & 3560, IP-телефоны

• Скорость WAN соединения до 100 Мбит/сек

• Высокая доступность и безопасность

• Проектирование с учетов сетевых сервисов и масштабируемости

• Соответствие требованиям регуляторов

Ключевые функции

Подключение – Маршрутизация (EIGRP, OSPF, eBGP), NAT/PAT, QoS

Безопасность – МСЭ, IPS, AAA, Content Security, VPN

Голос – CME, SRST, CUE, Gateway, RSVP, PRI Trunk, FXO

Оптимизация WAN – WAAS


CCP NetFlow IP SLA Ролевой доступ

Управление и контроль состояния

Защищенные сетевые решения

Защищенная голосовая связь

Нормативное соответствие

Защищенная мобильность

Непрерывное ведение бизнеса

Контроль доступа к сети

Предотвращение вторжений

Интегрированное управление угрозами

Фильтрация контента 802.1x

Система защиты

основания сети

Гибкие функции

сравнения пакетов (FPM)

011111101010101011111101010101

Защищенные каналы связи

GET VPN DMVPN Easy VPN SSL VPN

Усовершенствован-ный межсетевой

экран

Cisco ISR G2


• Защита базовых сетевых сервисов Network Foundation Protection (NFP)

• МСЭ с зональными политиками Zone based Firewall

• Интеллект на уровне приложений Application Intelligence Control

• Система предотвращения вторжений Intrusion Prevention System

• Система контентной фильтрации Content Filtering Solution

• Анализ содержимого пакетов Flexible Packet Matching (FPM)


• Российские требования в области криптографической защиты информации

• Учет используемых в организации решений по защите информации

• Ориентация на продукцию российского производства для работы в критичных приложениях

• Чего не хватает Cisco (и ISR G2) с этих точек зрения?!

Антивирус

VPN


• Контроль HTTP и FTP

• Проверка в реальном времени

• Выбор параметров фильтрации

• Проверка архивированных файлов

• Выявление подозрительных программ

• Групповые политики фильтрации

• Уведомление пользователей

• Прозрачность для пользователей



• VPN-решения Cisco признаны лучшими во многих странах и признаны стандартом де-факто многими специалистами

• Использование VPN-решений Cisco в России сопряжено с рядом трудностей

Порядок ввоза на территорию Таможенного союза шифровальных средств

Требование использования национальных криптографических алгоритмов

Обязательная сертификация СКЗИ

• На сайте www.slideshare.com/CiscoRu выложена презентация по регулированию криптографии в России

http://www.slideshare.com/CiscoRu

© 2011 Cisco and/or its affiliates. All rights reserved. 11/35 11

0

1

2

3

4

5

6

7

8

Число нормативных актов с требованиями сертификации по требованиям безопасности

* - для 2011 – предварительная оценка проектов новых нормативных актов (ФЗ

“О национальной платежной системе”, ФЗ “О служебной тайне”, новые приказы

ФСТЭК/ФСБ и т.д.)


• Для обеспечения безопасности персональных данных при их обработке в информационных системах должны использоваться сертифицированные в системе сертификации ФСБ России (имеющие положительное заключение экспертной организации о соответствии требованиям нормативных документов по безопасности информации) криптосредства

• Встраивание криптосредств класса КС1 и КС2 осуществляется без контроля со стороны ФСБ России

Относится только к встраиванию в прикладные системы (АБС, ERP, БД и т.д.)


• Можно ли использовать сертифицированное криптоядро в составе VPN-решений?

Можно

• Будет ли такое использование легитимным?

Нет!!!


• Встраивание сертифицированных криптобиблиотек должно проводиться не только в соответствие с позицией ФСБ, но и в соответствии с документацией к сертифицированной СКЗИ

• Формуляр на КриптоПро CSP

Должна проводиться проверка корректности встраивания СКЗИ «КриптоПро CSP» версии 3.0 в прикладные системы СКЗИ в случаях…если информация конфиденциального характера подлежит защите в соответствии с законодательством Российской Федерации

Указанная проверка проводится по ТЗ, согласованному с 8 Центром ФСБ России



• Компаниями Cisco и С-Терра СиЭсПи разработаны VPN-решения, поддерживающие российские криптоалгоритмы на базе оборудования Cisco

• Сертификат ФСБ СФ/114-1622, 114-1624, 124-1623, 124-1625, 124-1626 от 28 февраля 2011 года

Сертификат по классу КС2 на оба решения

Решение для удаленных офисов

• На базе модуля для ISR G1 и G2 (2800/2900/3800/3900)

Решение для ЦОД и штаб-квартир

• На базе UCS C-200


Сертификация производства Cisco ISR как межсетевого экрана по требованиям ФСТЭК (3-й класс)

Сертификация производства Cisco ISR по требованиям безопасности ФСТЭК

Сертификация CSP VPN Gate/модуля NME-RVPN в ФСБ как СКЗИ класса КС2

Сертификация CSP VPN Gate как межсетевого экрана по требованиям безопасности ФСТЭК (3-й класс), на отсутствие недекларированных возможностей (3-й уровень), а также на оценочный уровень доверия ОУД3+

Производство модуля NME-RVPN в России по согласованному с ФСБ порядку производства


• Защита государственных органов (до гостайны)

• Защита критически важных объектов

АСУ ТП в Газпром, Smart Grid в РАО ЕЭС, сети связи и т.п.

• Защита крупных заказчиков

• Предоставление услуг Managed Services

ПДн СТР-К КСИИ PCI DSS

СТО БР ИББС

На базе одного и того же решения!


• Защита конфиденциальной информации органов государственной власти в соответствии с СТР-К, а также совместным приказом ФСБ и ФСТЭК от 31 августа 2010 года № 416/489

• Защита подключения информационных систем государственных органов к Интернет в соответствии с Указом Президента РФ от 17 марта 2008 года № 351, Постановлением Правительства РФ от 18 мая 2009 года № 424, Приказом ФСО от 7 августа 2009 года № 487

• Защита кредитных организаций в соответствии с требованиями СТО БР ИББС


• Защита персональных данных в соответствии с методическими рекомендациями ФСБ по защите персональных данных, а также в соответствии с отраслевыми стандартами Банка России, НАУФОР, НАПФ, операторов связи и др.,

• Защита объектов инфраструктуры в соответствии нормативными документами ФСТЭК России по защите ключевых систем информационной инфраструктуры,

• Защита систем управления технологическими процессами (АСУ ТП),

• Защита крупных территориально-распределенных сетей и т. п.


• VPN-решение Cisco и С-Терра могут применяться для защиты конфиденциальной информации, обрабатываемой в государственных (исключая гостайну) и коммерческих организациях

Например, в ИСПДн до 1-го класса включительно или в автоматизированных системах до класса 1Г включительно

• Данное решение соответствует требованиям, предъявляемым к VPN-решениям нормативными документами ФСБ, ФСТЭК, Газпрома, Минкомсвязи, РЖД и т.д.



• Защита высокоскоростных каналов связи

• VPN-узел доступа центрального офиса

• Концентратор удаленного доступа

• ПК удаленного (мобильного) пользователя

• Защита беспроводных сетей

• Защита унифицированных коммуникаций

• Managed VPN Services



• В России открыто локальное производство

С целью ускорения поставки оборудования, использования оборудования в критичных сферах, учета возможных требований по локализации оборудования

• Первый этап – NME-RVPN

• Второй этап – сетевое оборудование

• Продолжается работа по сертификации продукции Cisco в соответствии с российскими требованиями по ИБ



…и что предлагают Cisco и S-Terra

• Стандартизация

Полная и протестированная поддержка протоколов и алгоритмов IPSec (RFC 2401-RFC 2412), IKE (включая расширения – DPD, XAUTH и т.д.), ГОСТ 28147-89, RFC 2628, RFC 4357, MS CryptoAPI и др., обеспечивающая совместимость с решениями третьих фирм

• Совместимость с инфраструктурой Cisco

Протестированная интеграция с маршрутизатором Cisco ISR G1 и G2, вычислительной платформой Cisco UCS, IP-телефонией Cisco, решениями Cisco TelePresence и Cisco Tandberg, беспроводными решениями и т.д. Поддержка GRE, NAT, VLAN 802.1q и т.д.

• Высокая производительность отдельного VPN-шлюза

до 3,1 Гбит/сек на платформе UCS C-200

до 10 Гбит/сек на платформе UCS B



• Высокая надежность и отказоустойчивость Отказоустойчивость сети (множество сценариев обеспечения надежности)

Высокая утилизация вычислительных мощностей (резервные шлюзы не простаивают)

Малая (регулируемая) деградация производительности кластера шлюзов при единичном отказе

• Поддержка качества сетевого обслуживания (QoS) Возможность построения и поддержка качества функционирования мультисервисных сетей

Защита IP-телефонии, видеоконференцсвязи и TelePresence

Устойчивая работа медийных сервисов в условиях избыточной загрузки системы трафиком данных

Поддержка спутниковых каналов



• Удаленное и централизованное управление

Централизованное управление с помощью собственной консоли управления

Управление с помощью CLI

Единая платформа управления для коммуникационного оборудования Cisco, средств защиты Cisco и VPN-шлюзов С-Терра СиЭсПи – Cisco Security Manager

• Интеграция с инфраструктурой открытых ключей

Применение единой ключевой системы для прикладных систем (например, документооборота) и сетевой защиты

Поддержка PKCS#7,10,12, X.509 v.3 (RSA, DSA, ГОСТ), CRL,LDAP

Протестированная интеграция с MS CA, КриптоПро УЦ, NotaryPRO, Keon и др.



• Мониторинг и аудит безопасности сети

Централизация мониторинга и аудита

Поддержка SNMP и Syslog

Применение мощных современных индустриальных платформ мониторинга и аудита, например, CiscoWorks LMS, HP OpenView, Tivoli и др.

• Простота эксплуатации, низкая совокупная стоимость владения

Удобство и простота эксплуатации

Экономия затрат на эксплуатацию

Единство технологического процесса для эксплуатации для средств защиты информации и коммуникаций



• Обучение специалистов

Авторизованный учебный курс по сетевой информационной безопасности в решении Cisco c учебным разделом по продуктам «С-Терра СиЭсПи»

• Соответствие требованиям регуляторов и отраслевых стандартов

Сертификат ФСБ – СКЗИ КС1/КС2

Сертификат ФСТЭК – 3-й уровень НДВ, 3-й класс МСЭ, ОУД 3+

Применение в АС класса 1Г и в ИСПДн 1-го класса включительно



• Единственное западное решение, имеющее сертификат ФСБ

• Единственный западный разработчик средств защиты, имеющий лицензию ФСБ

• Производство в России (монтаж и тестирование печатных плат)

• Порядок производства согласован с ФСБ

• Планы по получению КС3


сеть – это платформа для реализации поставленных бизнес-целей защищенным образом в соответствие с требованиями регуляторов

=

NEW PHOTO

39% мирового рынка ИБ,

21% российского рынка ИБ

Спасибо

за внимание!

[email protected]

Technology

Российская криптография в решениях Cisco