Upload
-
View
97
Download
2
Embed Size (px)
DESCRIPTION
Citation preview
Требования в области
информационной безопасности и
соответствующие им решения Cisco (преимущественно для РФ)
• Михаил Кадер
• Инженер, Cisco
Почему Cisco говорит о законодательстве?
ТК22 ТК122 ТК362 РГ ЦБ
«Безопасность
ИТ» (ISO SC27 в
России)
«Защита
информации в
кредитных
учреждениях»
«Защита
информации»
при ФСТЭК
Разработка рекомендаций по ПДн,
СТО БР ИББС v4 и 382-П/2831-У
ФСБ МКС ФСТЭК РАЭК РКН
Экспертиза
документов Предложения
Экспертиза и
разработка
документов
Экспертиза и
разработка
документов
Консультативный
совет
Что мы защищаем?
Информация
Документированная
Общедоступная (открытая)
Ограниченного доступа
Недокументированная
• В последнее время нормативные акты регуляторов стали все
больше уделять внимания не только конфиденциальности, но и
целостности и доступности данных
– И не всегда эти данные ограниченного доступа
Обязанность защиты
• Обладатель информации обязан принимать меры по защите
информации
– Ст.6 ФЗ-149
• Обладатель информации, оператор информационной системы в
случаях, установленных законодательством Российской
Федерации, обязаны обеспечить…
– Ст.16 ФЗ-149
Требования по защите устанавливает
Обладатель
Законодательство РФ
• Какие
требования?
• Что
планируется?
Какие требования по защите установлены
законодательством РФ?
Тр
еб
ова
ни
я п
о з
ащ
ите
Персональных данных
Государственных и муниципальных
информационных систем
При осуществлении денежных переводов
Банковской тайны
Систем связи общего пользования
Критических информационных
инфраструктур (КИИ)
Требования носят рекомендательный
характер (СТО БР ИББС)
Требования есть (высокоуровневые).
Надзора за выполнением нет
Регуляторов в области ИБ в РФ 16+
• ФСБ, ФСТЭК, СВР,
МинОбороны, ФСО
• Минкомсвязь, Роскомнадзор
• МВД, Банк России
• Совет Безопасности
• PCI Council
• Минэнерго, Минэкономразвития
• Администрация Президента
• Ростехрегулирование
• Минтруд, Рособразование
• Каждый ФОИВ мнит себя
регулятором по ИБ…
Иерархия защитных мер: от общего к частному
Требования федеральных
законов
Приказы ФСТЭК/ФСБ
Методические рекомендации
Приказы Минкомсвязи/РКН
Положения, Указания и
письма Банка России
СТО БР ИББС
Ведомственные нормативные
акты
Требования Постановлений Правительства
ЗАЩИТНЫЕ МЕРЫ ФСТЭК
Меры по защите информации: общее
Защитная мера ПДн ГИС АСУ ТП
Идентификация и аутентификация субъектов доступа и объектов доступа + + +
Управление доступом субъектов доступа к объектам доступа + + +
Ограничение программной среды + + +
Защита машинных носителей информации, на которых хранятся и (или) обрабатывается КИ + + +
Регистрация событий безопасности + + +
Антивирусная защита + + +
Обнаружение (предотвращение) вторжений + + +
Контроль (анализ) защищенности персональных данных + + +
Обеспечение целостности информационной системы и КИ + + +
Обеспечение доступности персональных данных + + +
Защита среды виртуализации + + +
Защита технических средств + + +
Защита информационной системы, ее средств, систем связи и передачи данных + + +
Меры по защите информации: различия
Защитная мера ПДн ГИС АСУ ТП
Управление инцидентами + +
Управление конфигурацией информационной системы и системы защиты КИ + +
Безопасная разработка прикладного и специального программного обеспечения
разработчиком +
Управление обновлениями программного обеспечения +
Планирование мероприятий по обеспечению защиты информации +
Обеспечение действий в нештатных (непредвиденных) ситуациях +
Информирование и обучение пользователей +
Анализ угроз безопасности информации и рисков от их реализации +
Как определяются защитные меры
• Выбор мер по обеспечению безопасности,
подлежащих реализации в системе защиты,
включает
выбор базового набора мер
адаптацию выбранного базового набора мер
применительно к структурно-функциональным
характеристикам ИС, реализуемым ИТ,
особенностям функционирования ИС, а также
с учетом целей защиты
уточнение (включает дополнение или
исключение)
дополнение адаптированного базового набора мер
по обеспечению безопасности дополнительными
мерами, установленными иными нормативными
актами
Базовые меры
Адаптация базового набора
Уточнение адаптированного набора
Дополнение уточненного адаптированного набора
Компенсационные меры
Меры по защите информации и решения Cisco
Защитная мера Решения Cisco
Идентификация и аутентификация субъектов доступа и объектов доступа ISE, 802.1x, ACS, ASA,
NGFW, NGIPS, ESA, WSA,
AC
Управление доступом субъектов доступа к объектам доступа Все решения ИБ Cisco
Ограничение программной среды -
Защита машинных носителей информации, на которых хранятся и (или) обрабатываются
КИ ISE
Регистрация событий безопасности Все решения ИБ Cisco
Антивирусная защита AMP/FireAMP
Обнаружение (предотвращение) вторжений NGFW, NGIPS, wIPS, AMP,
FireAMP, WSA, CTD
Контроль (анализ) защищенности персональных данных NGFW, ISE, CTD
Обеспечение целостности информационной системы и КИ NGFW, NGIPS, wIPS, AMP,
FireAMP, ESA, WSA
Обеспечение доступности персональных данных Все решения Cisco
Защита среды виртуализации NGFW, NGIPS, ISE, AMP,
FireAMP, CTD, ASAv, VSG
Меры по защите информации и решения Cisco
Защитная мера Решения Cisco
Защита технических средств -
Защита информационной системы, ее средств, систем связи и передачи данных Все решения ИБ Cisco
Управление инцидентами CTD, FireSIGHT, ISE
Управление конфигурацией информационной системы и системы защиты КИ CSM
Безопасная разработка прикладного и специального программного обеспечения
разработчиком Cisco SDLC
Управление обновлениями программного обеспечения -
Планирование мероприятий по обеспечению защиты информации -
Обеспечение действий в нештатных (непредвиденных) ситуациях -
Информирование и обучение пользователей -
Анализ угроз безопасности информации и рисков от их реализации -
Разница между требования ФСТЭК
Особенность Приказ по
защите ПДн
Приказ по
защите ГИС/МИС
Проект приказа по
АСУ ТП
Оценка
соответствия
В любой
форме
Только
сертификация
В любой форме
Аттестация Не требуется Обязательна Не требуется
Требования по
защите
привязаны к
4 уровням
защищенности
ПДн
4 классам
защищенности
ГИС/МИС
3 классам
защищенности АСУ
ТП
Проверка на
отсутствие НДВ
Требуется для
угроз 1-2 типа (актуальность
определяется
заказчиком)
Требуется для 1-2
класса
защищенности
ГИС/МИС
Требуется только
при выборе
сертифицированных
средств защиты
• Мы готовы рассказать заказчику процесс правильного выбора
класса или уровня защищенности для того, чтобы не загонять
его в угол с завышенными требованиями по защите
Оценка соответствия ≠ сертификация
Оценка соответствия
Госконтроль и надзор
Аккредитация
Испытания
Регистрация
Подтверждение соответствия
Добровольная сертификация
Обязательная сертификация
Декларирование соответствия
Приемка и ввод в эксплуатацию
В иной форме
Обязательная сертификация средств защиты
• Средства защиты информации,
применяемые в информационных
системах, должны быть
сертифицированы на соответствие
требованиям по безопасности
информации в соответствии с
законодательством России
– Аналогичные требования есть в
Украине
• При отсутствии
сертифицированных средств
защиты информации организуется
разработка (доработка)
необходимых средств защиты
информации и их сертификация
Какие решения Cisco имеют сертификаты ФСТЭК?
• Многофункциональные защитные устройства
– Cisco ASA 5505, 5510, 5520, 5540, 5550, 5580
– Cisco ASA 5512-X, 5515-X, 5525-X, 5545-X, 5555-X, 5585-X
– Cisco ASA SM
• Системы предотвращения вторжений
– Cisco IPS 4200, AIP-SSM-10/20, IPS 4240, 4255, 4260, 4270, IDSM2
• Межсетевые экраны
– Cisco Pix 501, 506, 515, 520, 525, 535
– Cisco FWSM
– Cisco 1800, 2800, 3800, 7200, 7600, 676, 871, 881, 891, 1750, 1751,
1760-V, 1811, 1841, 2509, 26xx, 2600, 2611, 2621, 2651, 2801,
2811, 2821, 2851, 2901, 2911, 3640, 3661, 3662, 3725, 3745, 3825,
3845, 3925, 7201, 7206, 7301, 7604
– ASR 1002, GSR 12404, CGR2000, CGR2500
Какие решения Cisco имеют сертификаты ФСТЭК?
• Коммутаторы
– Cisco Catalyst 2912, 2924, 2950G, 2960, 2970, 3508G, 3512, 3524,
3548, 3550, 3560, 3750, 4003, 4503, 4506, 4507, 4510, 4900, 6006,
6504, 6506, 6509, 6513
– Cisco Nexus
• Системы управления
– CiscoWorks Monitoring Center
– Cisco Security Manager 3.2, 3.3
– Cisco Secure ACS 4.x
– Cisco Secure ACS 1121
– CS MARS 20, 25, 50, 100, 110
• Прочее
– Cisco AS5350XM
Какие решения Cisco планируется сертифицировать?
• Системы предотвращения вторжений
– Cisco IPS 4345, 4360, 4510, 4520
– Cisco IPS for АСУ ТП
• Межсетевые экраны
– Cisco ASA 1000v
– Cisco Virtual Security Gateway
• Cisco UCS
• Решения Sourcefire
НАЦИОНАЛЬНАЯ
ПЛАТЕЖНАЯ СИСТЕМА
129 требований по защите информация при переводе
денежных средств
• Банк России интересует, чтобы требование было выполнено
качественно, а выбор конкретных технологий и средств защиты
информации - задача банков
Какие решения Cisco могут быть применены для защиты
НПС?
• Банк России не устанавливает конкретных и детальных
требований по выбору технических или организационных мер,
реализующих статьи Положения 382-П
– Участники НПС вправе самостоятельно определять средства
защиты
– Любые решения Cisco могут быть применены для защиты
участников НПС и реализации требований 382-П
• Требований по применению сертифицированных СЗИ нет
РЕЗЮМЕ ПО
РЕГУЛИРОВАНИЮ
Почему все-таки Cisco – лучший выбор с точки зрения ИБ
в России
• Компания Cisco занимает лидирующие (а
иногда и уникальные) позиции по следующим
направлениям:
– Участие в разработке и экспертизе
нормативных актов в области ИБ
– Число сертификатов ФСТЭК и глубина
сертификации
– Сертификация СКЗИ в ФСБ
– Сертификация в ГАЗПРОМСЕРТ
– Локальное производство NME-RVPN
(SRE950), ISR 2911R, точек доступа,
телефонов и планы на будущее
– Лицензия ФСБ на деятельность в области
шифрования
О ДОВЕРИИ
Эффект Сноудена
Основа доверия
Жизненный цикл
Защищенный
процесс
Процесс Политики Технологии
Information Assurance (IA)
Стандарты и РД Технологии защиты продуктов
Общие модули и функции
Планируется
• NG & Common Crypto
• Secure Storage
• Run Time Integrity
• Trust Anchor
• Secure Boot
• Image Signing
• Entropy
• Immutable Identity
• Secure Cloud
Connector
FIPS / USGv6
DoD IA
• TCG
• Certificate Transport
(EST)
ФСТЭК / ФСБ
Доверенная архитектура
• TD Agent
• Simplified TLS • Pass Phrase Module
• Lawful Intercept
На радаре Реализовано
Полезные ссылки
• Внутренние
– http://iwe.cisco.com/web/product-and-cyber-integrity/home
– https://psirt.cisco.com/PSIRThot
– http://wwwin.cisco.com/osp/gov/ggsg_eng/tsi/
• Внешние
– http://www.cisco.com/web/solutions/trends/trustworthy_systems/
– http://www.cisco.com/web/go/psirt
– http://www.cisco.com/security
– http://blogs.cisco.com/security
О САНКЦИЯХ
О санкциях
• Временно приостановлена
выдача экспортных
лицензий на ряд продуктов
категории restricted для РФ
– Оборона, национальная
безопасность и
государственные
структуры
• PEPD
– http://tools.cisco.com/legal/
export/pepd/Search.do
• Cisco GET
• Некоторые заказчики
задумались об импортозамещении
Дополнительная информация
• Годовой отчет Cisco по информационной безопасности 2014
• Cisco Security Website
• Cisco Security Intelligence Operations
• Cisco Security Blog
• Cisco Security Facebook
• Cisco Security Twitter
• Блог Cisco Russia
• Твиттер Cisco Russia
• Документы и презентации на русском языке
• Cisco Russia в ВКонтакте, Фейсбуке, YouTube, LinkedIn, Google+
© Cisco и (или) дочерние компании, 2014 г. Все права защищены. Общедоступная информация Cisco 32
Благодарю вас
за внимание