Your SlideShare is downloading. ×
Безопасность Cisco в отраслевом исполнении (финансы, ТЭК, операторы связи).
Безопасность Cisco в отраслевом исполнении (финансы, ТЭК, операторы связи).
Безопасность Cisco в отраслевом исполнении (финансы, ТЭК, операторы связи).
Безопасность Cisco в отраслевом исполнении (финансы, ТЭК, операторы связи).
Безопасность Cisco в отраслевом исполнении (финансы, ТЭК, операторы связи).
Безопасность Cisco в отраслевом исполнении (финансы, ТЭК, операторы связи).
Безопасность Cisco в отраслевом исполнении (финансы, ТЭК, операторы связи).
Безопасность Cisco в отраслевом исполнении (финансы, ТЭК, операторы связи).
Безопасность Cisco в отраслевом исполнении (финансы, ТЭК, операторы связи).
Безопасность Cisco в отраслевом исполнении (финансы, ТЭК, операторы связи).
Безопасность Cisco в отраслевом исполнении (финансы, ТЭК, операторы связи).
Безопасность Cisco в отраслевом исполнении (финансы, ТЭК, операторы связи).
Безопасность Cisco в отраслевом исполнении (финансы, ТЭК, операторы связи).
Безопасность Cisco в отраслевом исполнении (финансы, ТЭК, операторы связи).
Безопасность Cisco в отраслевом исполнении (финансы, ТЭК, операторы связи).
Безопасность Cisco в отраслевом исполнении (финансы, ТЭК, операторы связи).
Безопасность Cisco в отраслевом исполнении (финансы, ТЭК, операторы связи).
Безопасность Cisco в отраслевом исполнении (финансы, ТЭК, операторы связи).
Безопасность Cisco в отраслевом исполнении (финансы, ТЭК, операторы связи).
Безопасность Cisco в отраслевом исполнении (финансы, ТЭК, операторы связи).
Безопасность Cisco в отраслевом исполнении (финансы, ТЭК, операторы связи).
Безопасность Cisco в отраслевом исполнении (финансы, ТЭК, операторы связи).
Безопасность Cisco в отраслевом исполнении (финансы, ТЭК, операторы связи).
Безопасность Cisco в отраслевом исполнении (финансы, ТЭК, операторы связи).
Безопасность Cisco в отраслевом исполнении (финансы, ТЭК, операторы связи).
Безопасность Cisco в отраслевом исполнении (финансы, ТЭК, операторы связи).
Безопасность Cisco в отраслевом исполнении (финансы, ТЭК, операторы связи).
Безопасность Cisco в отраслевом исполнении (финансы, ТЭК, операторы связи).
Безопасность Cisco в отраслевом исполнении (финансы, ТЭК, операторы связи).
Безопасность Cisco в отраслевом исполнении (финансы, ТЭК, операторы связи).
Безопасность Cisco в отраслевом исполнении (финансы, ТЭК, операторы связи).
Безопасность Cisco в отраслевом исполнении (финансы, ТЭК, операторы связи).
Безопасность Cisco в отраслевом исполнении (финансы, ТЭК, операторы связи).
Безопасность Cisco в отраслевом исполнении (финансы, ТЭК, операторы связи).
Безопасность Cisco в отраслевом исполнении (финансы, ТЭК, операторы связи).
Безопасность Cisco в отраслевом исполнении (финансы, ТЭК, операторы связи).
Безопасность Cisco в отраслевом исполнении (финансы, ТЭК, операторы связи).
Безопасность Cisco в отраслевом исполнении (финансы, ТЭК, операторы связи).
Безопасность Cisco в отраслевом исполнении (финансы, ТЭК, операторы связи).
Безопасность Cisco в отраслевом исполнении (финансы, ТЭК, операторы связи).
Безопасность Cisco в отраслевом исполнении (финансы, ТЭК, операторы связи).
Безопасность Cisco в отраслевом исполнении (финансы, ТЭК, операторы связи).
Безопасность Cisco в отраслевом исполнении (финансы, ТЭК, операторы связи).
Безопасность Cisco в отраслевом исполнении (финансы, ТЭК, операторы связи).
Безопасность Cisco в отраслевом исполнении (финансы, ТЭК, операторы связи).
Безопасность Cisco в отраслевом исполнении (финансы, ТЭК, операторы связи).
Безопасность Cisco в отраслевом исполнении (финансы, ТЭК, операторы связи).
Безопасность Cisco в отраслевом исполнении (финансы, ТЭК, операторы связи).
Безопасность Cisco в отраслевом исполнении (финансы, ТЭК, операторы связи).
Безопасность Cisco в отраслевом исполнении (финансы, ТЭК, операторы связи).
Безопасность Cisco в отраслевом исполнении (финансы, ТЭК, операторы связи).
Безопасность Cisco в отраслевом исполнении (финансы, ТЭК, операторы связи).
Безопасность Cisco в отраслевом исполнении (финансы, ТЭК, операторы связи).
Безопасность Cisco в отраслевом исполнении (финансы, ТЭК, операторы связи).
Безопасность Cisco в отраслевом исполнении (финансы, ТЭК, операторы связи).
Безопасность Cisco в отраслевом исполнении (финансы, ТЭК, операторы связи).
Безопасность Cisco в отраслевом исполнении (финансы, ТЭК, операторы связи).
Безопасность Cisco в отраслевом исполнении (финансы, ТЭК, операторы связи).
Безопасность Cisco в отраслевом исполнении (финансы, ТЭК, операторы связи).
Безопасность Cisco в отраслевом исполнении (финансы, ТЭК, операторы связи).
Безопасность Cisco в отраслевом исполнении (финансы, ТЭК, операторы связи).
Безопасность Cisco в отраслевом исполнении (финансы, ТЭК, операторы связи).
Безопасность Cisco в отраслевом исполнении (финансы, ТЭК, операторы связи).
Безопасность Cisco в отраслевом исполнении (финансы, ТЭК, операторы связи).
Безопасность Cisco в отраслевом исполнении (финансы, ТЭК, операторы связи).
Безопасность Cisco в отраслевом исполнении (финансы, ТЭК, операторы связи).
Безопасность Cisco в отраслевом исполнении (финансы, ТЭК, операторы связи).
Безопасность Cisco в отраслевом исполнении (финансы, ТЭК, операторы связи).
Безопасность Cisco в отраслевом исполнении (финансы, ТЭК, операторы связи).
Безопасность Cisco в отраслевом исполнении (финансы, ТЭК, операторы связи).
Безопасность Cisco в отраслевом исполнении (финансы, ТЭК, операторы связи).
Безопасность Cisco в отраслевом исполнении (финансы, ТЭК, операторы связи).
Безопасность Cisco в отраслевом исполнении (финансы, ТЭК, операторы связи).
Безопасность Cisco в отраслевом исполнении (финансы, ТЭК, операторы связи).
Безопасность Cisco в отраслевом исполнении (финансы, ТЭК, операторы связи).
Безопасность Cisco в отраслевом исполнении (финансы, ТЭК, операторы связи).
Upcoming SlideShare
Loading in...5
×

Thanks for flagging this SlideShare!

Oops! An error has occurred.

×
Saving this for later? Get the SlideShare app to save on your phone or tablet. Read anywhere, anytime – even offline.
Text the download link to your phone
Standard text messaging rates apply

Безопасность Cisco в отраслевом исполнении (финансы, ТЭК, операторы связи).

950

Published on

Published in: Technology
0 Comments
1 Like
Statistics
Notes
  • Be the first to comment

No Downloads
Views
Total Views
950
On Slideshare
0
From Embeds
0
Number of Embeds
0
Actions
Shares
0
Downloads
0
Comments
0
Likes
1
Embeds 0
No embeds

Report content
Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
No notes for slide

Transcript

  • 1. Безопасность Cisco в отраслевомисполненииЛукацкий Алексей, консультант по безопасности
  • 2. © Компания Cisco и (или) ее дочерние компании, 2011 г. Все права защищены. 2/49Стимулированиеизменений встиле работыПовышениеэффективностиИТПоддержкапользователейУдобство работыпользователей,инновации, повышениепроизводительности,эффективностьНовые бизнес-модели,источники прибыли ирыночные возможностиСокращение совокупнойстоимости владения,нейтрализация рисков,безопасность E2E, защитаинвестиций
  • 3. Решения SecureX Solutions для защиты бизнесаЗащищенныйунифицирован-ный доступИнтегрирован-ная защита отугрозЗащищенныйцентробработкиданныхИспользованиеразрешенныхприложений &контентаРаспределенноерабочее место &BYODРасширенныйпериметр & новыеугрозыПрименение новыхсредстввзаимодействияПереход квиртуализации &облакам• Защищенная динамическая сегментация• Встроенная защита от угроз• Обзор через «физику», виртуалку иоблака• Гибкие идентификация и контрольприложений• Внедрение в облаке и в локальнойинфраструктуре• Federated identity (SAML)• Гибкие опции внедрения• Учет состояния / политики• Понимание глобального /локального контекста• Идентификация всех устройств• Контекстный доступ• Унифицированный wired/wireless/VPNдоступ
  • 4. Cisco AnyConnect Endpoints Cisco ASAContext-AwareFirewallCisco IronPortWeb SecurityAppliancesCisco IronPortEmail SecurityAppliancesCisco IDS/IPSAppliances/ModulesCisco ScanSafeCloud-basedSecuritySecurity Intelligence Operations (SIO)Cisco SensorBaseGlobal Threat TelemetryReal-Time Feedback LoopAdvanced AlgorithmsThreat Operations CenterThreat telemetry “Meta-Data” is sent to SIO byparticipating SecureX components & devices viaSSL in real-time. Cisco SIO receives threatvectors from all types of devices; client, web,email, IPS, etc.There are more than 150 million participatingendpoints, including over 700K IPS Sensors, sendingthreat data to SIO from around the world.Additionally, directed crawling, admin feedback,crowd-sourcing, and RSS feeds are used to obtainthe latest threat information.Participating Cisco SecureX components poll SIOlooking for dynamic rules and day-zero threat dataupdates at 5 minute intervals. More than 8 million rulesare distributed daily across the SecureX platforms.Cisco ScanSafe’s 22 global data centers, withan unmatched 99.999% of uptime, analyzeover 20 billion URLS per day, deploy scanletsfor ALL types of content, employ multiple AVanalysis engines, and process threats at anaverage of 12ms per transaction.PSIRTAppliedMitigationСвыше 500 экспертов,разработчиков &инженеровCisco SIO’s multi-vector intelligenceprovides real-time anti-malware datacleansing, reputation scoring, globalcorrelation, supervised and unsupervisedlearning, and heuristic and real-timeanomaly detection.Cisco SensorBase has the industry’s largestglobal footprint, collecting and analyzingmore than 4TB of web, email, and networkdata each day from over 750,000 sensorsdeployed across the globe. It also storesand trends over 10 years of analysis,making it the largest and most accuratethreat database in the world.Over 500 Cisco security engineers,researchers, and signature/threat mitigationdevelopers work around-the-clock tomonitor, analyze, and convert real-timethreat data, in more than 40 languages, into~8 million actionable mitigation rules perday for distribution across Cisco’s SecureXproducts.10 выделенных TOCЦОДы24/7/365Perimeter BranchCampus Data CenterEvery IP236 Metrics10 YR HistoryIP ReputationScanSafe Malware Defense5 минут 5 минутAnomaly DetectionGlobal CorrelationOutbreak FiltersPhishing & AVAnti-MalwareIP Reputation ScoresCisco IdentityServices EngineGlobal Threat Telemetry: Signature and update-based security solutions tend to be one step behind the latest threats. Cisco SIO is the single largest security threat database in the world, collecting real-timethreat web, email, and network threat data, converting it into actionable information, and pushing it dynamically to security devices deployed throughout the network for critical, day zero protection.
  • 5. APWLC 802.1XAPASA VPNSwitch802.1XSwitch802.1XISE Admin (HA P) ISE Monitor (HA P)ISE Policy Services ClusterHA Inline Posture NodesSecurity Policy: Written security policies are traditionally distributed through the organization to groups such as the Network, Security, Application, and Data Center teams, who have to interpret that policy and thendeploy it. The problem is that policies are often interpreted and deployed differently, creating policy gaps that allow criminals to gain access to corporate resources. Cisco is the first vendor to address this critical issue witha robust centralized policy creation and distributed policy enforcement solution that allows organizations to create a unified policy that can be deployed consistently across the entire network infrastructure.AD/LDAP(External ID/ Attribute Store)User and Non-UserEndpoint DevicesInternal ResourcePolicy EnforcementPointAccess Request Resource AccessRequest/ResponseContextLoggingExternal Data (AD, LDAP,Remediation)Policy ServicesView/ ConfigurePoliciesQuery AttributesView Logs/ ReportsAD/LDAPCentralized Policy Administrationand DistributionLoggingLoggingSecurity PolicyMonitoring andTroubleshootingSTOPVPN and Wireless AccessCisco ISE provides VPN/Wireless (non-CoA)access policy enforcement at HQ via HA inlineposture nodesBranch Access PolicyAccess policy enforcement is also available atBranch offices via Distributed Wired/Wireless802.1X devicesDistributed Policy ServicesDistributed policy service clusters forlarger campuses allow policy decisionsto be made closer to the enforcementpoint to avoid policy bottlenecksCentralized Policy ServicesISE policy services clusters for Wired/Wireless802.1X Services at HQ provide centralized policyresponse for enforcements points, in coordinationwith AD/LDAP servers, etc.AdministrationThe ISE administration solution providescentralized policy creation, distributeddeployment, and centralized view intopolicy enforcement issues across thenetworkPolicy Enforcement PointsPolicy enforcement points can be distributedthroughout the network, either by leveraging Cisconetworking gear via 802.1X, or with an ISEappliance deployed as a simple enforcement pointoverlayMonitoring and TroubleshootingThe ISE monitoring and troubleshootingtool collects data from all enforcementpoints to quickly identify and troubleshootproblems and keep the administrationsolution apprised of the status of devicesand policies in real timeLogical view of policy solution deployed across the networkReal-Time ISE Policy FeedCisco SIOBranchЦОД
  • 6. Security ContextHowIdentifies the network accessmethod used, (wired, wireless,VPN) and determines appropriateaccess policy, such as resourcespermitted or whether traffic shouldbe encrypted.SIOWhenDetermines the time of day a user ordevice attempts to access networkresources, and makes an accessdecision as to whether the accessrequested falls within policy for thattime.WhatIdentifies and inventories alldevices connecting to thenetwork. User-based devices(phones, laptops, tablets,. PCs,etc.) are analyzed for securitycompliance and associatedwith the user’s security groupand policy. Non-user or non-authenticating devices(printers, badge readers, IPcameras, etc.) are profiled andidentified, and admitted to thenetwork based on policy.WhoIdentifies all users and devices seekingaccess to network resources. Determinesif a user is a guest, a contractor, or anemployee and what group or securitysegment and policy that user belongs to.WhereDetermines the location of the user andor device seeking network access andprovides appropriate access based onpolicy. Different levels of access can beapplied whether the user or device isinside or outside the network, forexample.WhereLeverages the network to enforce policyby controlling access to pre-assignedresources, and tracking and managinguser and device behavior.WhatCisco SIO analyzes real-time globalnetwork, web, email, and mobile devicetraffic looking for threats, trends, andanomalies. This information is processedand pushed to cloud and networkservices and devices to ensure thenetwork is protected from zero-daythreats.Security Context: Cisco SecureX leverages the power of the network infrastructure, global telemetry, and integrated security devices to add context to security decisions. Understanding the who, what, when,where, and how of any user and/or device allows for broader visibility and more accurate control of any transaction occurring on the network. And consistent monitoring of users and devices means that if a contextchanges, like a user moves from inside to outside the network, or launches a virtual device, the network recognizes this change and dynamically updates security controls.
  • 7. Device Support: Windows, Mac,Linux,Apple iOS, Android, WinMobile,SymbianAuthentication: Multi-factor,includingCertificates and OTP tokensHigh Security: DTLS/SSL- AES-128/256+SHA1IPSec IKEv1/IKEv2 AES-128-256+SHA2(192-512)Authentication & EncryptionSupplicant: 802.1x/802.1AE(MACSEC Endpoint)Posture Client: Guarantees endpointcompliance(AV / AS / FW / File / User / Group /Device, etc.)Advanced Troubleshooting: DARTWeb Security: Integrated full-timeScanSafe protection frommalware/viruses etc.Full-Time ‘DATA’ ConnectionProtected by ScanSafeOn-Demand or Always-On ‘VPN’ ConnectionProtocol Agnostic: DTLS/SSL/IPSecCisco AnyConnectDevice Agnostic End-Point ClientCisco ASA Context-Aware FirewallCisco IronPortWeb SecurityAppliances• SaaS Gateway Services• Acceptable Use Control• Web Usage Tracking• Bandwidth and AVCAuthentication and Identity Services:AD/LDAP/RADIUS/SDI/KerberosCaptive Portal Remediation Optimal Gateway Selection Trusted Network Detection Secure SSL Portal• Usage Policy• Control and Content• Filtering /AV/ Malware Single-Sign-On forAuthentication toResourcesMDM Solution handles provisioning,de-provisioning, wipe, backup, app-stores, device & SD card encryption,lost device tracking etc.outside insideAnyConnectSSO/SSLProxyTrusted Corporate ResourcesWeb Security Integration:Cisco ScanSafe and IronPort WSA provide unifiedacceptable use, AV, malware protection, identity-based application controls, and persistent securityand policy enforcement for any users and devices.DLP services protect data, and advanced webtracking and reporting allow admins to easilymanage secure mobility and device proliferationINTERNETCisco Identity ServicesEngine (ISE) or ActiveDirectory Identity AgentCaptive Portal Remediation allowsAnyConnect to roam from network tonetwork, such as WiFi to 3/4G, withoutrequiring reauthentication. AnyConnectalso mitigates WiFi hotspot connectionsby allowing the user to login to theportal and then automatically resumingthe VPN connection.Optimal Gateway Selection (OGS)automatically connects to the mostoptimal gateway. The Round TripTimer (RTT) selects the fastest ASAgateway, and results are dynamicallyadjusted if a 20% performanceimprovement can be achieved viaanother ASA.Trusted Network Detection (TND)allows AnyConnect to automaticallyconnect when on an untrustednetwork, and automaticallydisconnect when moving inside atrusted (i.e. corporate) network.For systems that must remain ‘clientless,’Cisco ASA provides a secure web portal overSSL that allows systems to securely accesscorporate applications like intranets,SharePoint, Outlook, and VDI. The secureportal supports Single Sign On and SecureVault services for secure access on anysystem from any locationAnyConnectSecure MobilitySecuring Mobile Users and Devices: The rapid growth of consumer-based remote devices, and concerns over issues like BYOD policies, are forcing organizations to rethink their strategies for securingtheir data and protecting their resources from a highly mobile and collaborative workforce. Security threats include MiTM attacks, data sniffing and interception, infected web sites and malware, split tunnelingvulnerabilities, lost or compromised devices, and unauthorized network access
  • 8. Secure AccessVPN ConnectionsASA or IOS RouterAny Device, Anywhere,AnytimeWired/Wireless or VPNAnyConnect, NAM 802.1x orNative 802.1x Supplicant / MABor WebAuth End-Point Client –MACsec ClientWired ConnectionsTrustSec supported(SGT) and/or LegacySwitches (SXP)Wireless ConnectionsAutonomous andController-basedSGT Enforced on Nexus 7KCisco Identity Services Engine(ISE)Provides policy oversight,enforcement, identity, authentication,authorization, monitoring, posture,and device profilingTrustSec & Identity Services Engine (ISE) provide ContextualAccess Visibility and ControlIdentity of Users and Applications, with intelligent actionable policies,for 75,000 applications across 65,535 ports. Fine-grained control ofeach application, by identity, function, or other contextual elementcan be applied. An intuitive GUI interfaces easily identifies, controls,and reports on all characteristics of actionable contextNexus 7k Data Center SwitchesSGT ACL enforcement, static SGT assignment forservers, SXP Listener for SGT Host mappings,802.1ae MACsec encryption supportSXPProtocolCatalyst X Series Switches802.1x & MAB authentication,dynamic ACL and assignment, nativeSGT tagging in hardware, and802.1AE MACsec encryption supportLegacy CatalystSwitches802.1x & MAB Multi-Auth,dynamic ACL and VLANassignment, SGT tagging viaSXP ProtocolNative SGT SupportSecurity Group-Based Access Control with Native SGTISE maps tags (SGT) with user identity (AD/LDAP/RADIUS), and theISE authorization policy pushes SGT to the ingress NAD and an ACL(SGACL) to the egress NAD. Since the ACL is applied close todestination (protected resource), SGACLs are intended for fine-grained access restrictionsINGRESSSGT4EGRESSINGRESSSGT3SXP (Security eXchange Protocol) Tagging between non-TrustSec and TrustSec enabled devicesUser/device is assigned an SGT by ISE, and the switch binds theendpoint IP address to the assigned SGT. The switch uses TCP-basedSXP to send the binding table to a TrustSec capable device, whichtags the packet based on its source IP address when it appears onthe forwarding tableIP Address SGT Source10.1.10.1 100 SXP peer 10.1.50.210.1.30.4 4 SXP peer 10.1.50.210.1.10.1SGT100Legacy Support w/SXPSGT4SGT3Sales ServerFinance Server10.1.30.4SGT4SGT – Security Group TaggingA unique 16 bit (65K) tag assigned to each unique rolerepresents the policy of the source user, device, orentity. Each packet is tagged at ingress of theTrustSec domain, and hop-by-hop encryption isperformed at Layer2 via 802.1AE (MACsec)SGACLInline PolicyEnforcement Point +Contextual AwarenessUser App IP-PortDevice ContentLocation TimeDataPosture ProfileThreatCustomSGT100HR ServerDEV ServerSGT4Cisco ISEADSecuring Access: As the workforce becomes more mobile, and consumerized IP devices make their way into the network, controlling user and device access to network resources becomes increasingly complex. This includesunderstanding who the user is (Identity, Profile), what is the user trying to access (app, content, data), where the access request is coming from (location, device), and how access is being made (authorization, posture.) Controllingaccess addresses common access layer threats, including infected devices and the spread of malware and botnet clients, unauthorized users, data theft, rogue devices and inventory management, device spoofing, traffic sniffing, andguest access concerns, etc.SXP Binding Table
  • 9. Secure EdgeINTERNETISP BISP APrivate WAN edgeSP 1Private WAN edgeSP 1Redundant Corporate Internet AccessBest of Breed E-mail and Web-security. Anti-Malware/AV and DLP. Stateful firewallinspection with deep application inspection.SLA-based Inline intrusion prevention withzero-day threat intelligence. Granularapplication/ User/Device/Service andbandwidth controls.Edge ProtectionTraffic filtering, routing security, and IP spoofing protection to discard anomalous traffic flows andblock illegitimate traffic.. Context-based Edge Security: User /app /device /policy. Global ThreatIntelligence (SIO) & Cloud-based policy/anti-malware protection. Hybrid-hosted Email Security &encryption. AnyConnect Secure Mobility from any device. Single Pane of Glass Security/PolicyManagement. RMS/CIPS managed security service available for config/tuning/log correlation andthreat response, etc.RMS/CIPSCorporate Access/DMZEdgeNetwork Foundation ProtectionDevice hardening, control and managementplane protection throughout the entireinfrastructure to maximize availability andresiliency. 802.1X-based access control withCisco TrustSec and Cisco Identity ServicesEngine (ISE)Corporate DMZEndpoint server protection, inline intrusion prevention with GlobalThreat Intelligence, stateful firewall inspection, Botnet Traffic Filter,application visibility &deep-packet inspection, DDoS protectionINTERNETPrivate WAN EdgeWAN DistributionInternet WAN EdgeSecure WAN ConnectivityData confidentiality and integrity with IPSec-based VPN and PKI. Data confidentiality andintegrity with IPSec-based VPN and PKI. IPSec,DMVPN, GET-VPN for MPLS, 3DES/AESEncryptionEnhanced Availability and ResiliencyHardened devices leveraging redundantsystems, stateful failover, and topologicalredundancy to ensure service availability. QoSpolicies to preserve and optimize networkservices.Layer 2 SecurityLayer 2 protection provided by CatalystIntegrated Security Features, including portsecurity, Dynamic ARP inspection, IP Sourceguard, DHCP snooping, Private VLANs, QoS,NetFlow, ERSPAN, SPAN, hop-by-hopencryption with 802.1ae (MACSec). Identity-aware user and device access with TrustSec,non-user device discovery, centralized policy& managementContext-Aware Policy ManagementDevice profiling and policy enforcement viaCisco Identity Services Engine. Role-basedaccess control and device security compliancevia Cisco TrustSec and Cisco ISE.Email and Web SecurityEmail security provided by IronPort ESA,including email scanning, threat protection,data loss prevention, and spam filtering. Websecurity provided by IronPort WSA and/orScanSafe, including web filtering, web trafficanalysis, data loss prevention and threatprotectionFirewall and IPSAdvanced firewall protection provided byASA, IOS firewall, and/or ASA switch module.IPS traffic inspection, including signaturematching, event correlation, and reputationfiltering provided by IPS appliance and/or IOSIPS.Securing the Network Edge: The network edge is a public-facing network infrastructure, and is therefore exposed to a large array of external threats. Some of these threats include: Denial of Service (DoS) and Distributed Denial ofService (DDoS) attacks; malware, spyware, and adware; network intrusion, takeover, and unauthorized access; email spam, viruses, and data loss; web-based phishing, viruses, spyware, inappropriate content, and identity and datatheft; and application-layer attacksPartner DMZExtranet resources secured with endpoint server protection, inlineintrusion prevention, stateful firewall inspection, application deep-packetinspection, DDoS protection.Remote AccessAuthenticated and encrypted access for remoteusers. Granular user/group-based access control.SSL and IPSec VPNs. Traffic inspection and inlineintrusion prevention.Secure Guest and Partner ConnectivityData confidentiality and integrity with IPSec-based VPN and PKI. Granular access control,including Guest Access services, provided by ISE.
  • 10. MPLS, WAN, InternetWAN InternetBackupISR G2Secure WAN Connectivity:Data confidentiality and integrity with IPSec-based VPN with PKI, DMVPN, GET-VPN forMPLS, 3DES/AES EncryptionWeb Security:ISR ScanSafe integration provides direct Branchaccess to secure web cloud services (ScanSafe) withintelligent connector -All Local Internet traffic can beclean/secure without back-haul to nearest ScanSafescanning towerIOS Zone Based Firewall:Integrated stateful firewall with Layer 7Inspection engines for voice, video, and dataprotocols. AVC engine for visibility and control ofover 1000 applications.Local threat detection andmitigation:Integrated IPS Module for full hardwarebased IDS/IPS appliance services or IOSsoftware based IDS/IPSSecure Access Control:Cisco TrustSec services and Identity Services Engine (ISE) control of local access switches andWLCs for 802.1x, MAB, Guest Services, Device Profiling, and NAC. Active Directory Integrationfor user/group authentication to ScanSafe portal allows granular identity-based acceptable-usepolicy to be enforced where requiredSecure WLAN:CAPWAP AP’s to a central or local WLC forsecure authentication, encryption w/IPS, rogue APdetection, Clean Air spectrum analysis. Dataconfidentiality and integrity provided by IPSec-based VPN and PKI.Catalyst Integrated SecurityFeatures:Port Security, DHCP Snooping, ARPInspect, IP Source Guard, DeviceProfilingNetwork FoundationProtection:Control and Management Plane Policing,NBAR, AutosecureSecure Unified Communication:Secure data, voice, video and mobileapplications across the network. Secure callprocessing, voice and video encryption services,dynamic and granular access control, networksecurity policy enforcementSecure BranchAnyConnect Secure Mobility Client:Always on, persistent mobile security includesIPSec, SSL, 802.1X supplicant, and ScanSafeweb security.Edge Protection:Traffic filtering, routing security, firewall integration and IPspoofing protection to discard anomalous traffic flows, preventunauthorized access and block illegitimate traffic.Access Edge Security:iACLs, STP security, DHCP protection,ARP and IP spoofing protection, MACand traffic flooding protection, QoS policyenforcement.HeadOfficeScanSafe Active Directory Integration:Active Directory Integration for user/groupauthentication to ScanSafe portal allows granularidentity-based acceptable-use policy to be enforcedwhere required. Flexible management& redundancy through GPO, (hosted) PACConnectorConInternet ConnSecuring the Branch:Branch office threats include malicious activity by branch clients, including malware proliferation, botnet detection, network and application abuse, and other malicious or non-compliant activity; WAN transit vulnerabilitiessuch as sniffing and man-in-the-middle (MITM) attacks; attacks against the infrastructure itself, such as unauthorized access, privilege escalation, and denial-of-service (DoS) attacks. Web and email threats, such asmalicious web sites, compromised legitimate web sites, spam, and phishing exist if split-tunneling is enabled to provide local Internet access directly from the Branch.
  • 11. Cisco Private CloudSecure Data Center and CloudINTERNETor WANPublic Cloud ResourcesDataCenterCoreServerAggregationPublic/PrivateDelineation PointCTX1CTX2Nexus 1000VZone/TenantvApp vAppvAppASA1000vVirtualSecurityGatewayZone/TenantvApp vAppvAppASA1000vVirtualSecurityGatewayASA1000vUnifiedComputingSystemServices are applied on a per flow basisSecurity, Scalability, Availability, are enhancedby applying combined servicesServices can be applied to each tenant or zoneas physical devices. Each device can bevirtualized to provide security and applicationservices to multiple zone or tenants, each withseparate control and data planesImplementing Compliant Architectures:Using Nexus 7000 VDCs, a certified means of providing‘leak-proof’ separation for the management, data andcontrol planes can be easily implemented with ASAFirewall contexts. At least one physical interface mustbe dedicated from each ASA to each VDC to allowsecurity to be implemented inter-VDC. Preferentially,the ASA’s should be implemented in transparent-mode(layer 2)Virtual Switching and Cloud InfrastructureVirtual switching infrastructure provides same CLI and OS features as physical switches Virtual SecurityGateway security zones create multi-layered application, (multi) tenant zones, and virtual desktopapplications. The ASA1000v provides a consistent & rich ASA 8.x feature set in a Virtual Service Node.Administrative visibility is enhanced through security log and event views and virtual network NetFlow,and (ER)SPAN capabilities. Secure Virtual Service Nodes integrate with vCloud Director and providecommon orchestration for policy management. ASA1000v can be used as a Public cloud DCinterconnectVDC1 VDC2DC2Cisco Identity Services Engine(ISE)Provides policy oversight,enforcement, identity,authentication, authorization,monitoring, posture, anddevice profiling – ISE/TrustSecSGA support ties in with the‘EGRESS” portion of the SecureAccess calloutThe Economics of Cloud Computing“A good rule of thumb is to ‘own the base, and rent the spike.’”“If there is a short enough period of peak demand, rather than useonly dedicated resources it makes sense to slice at least that out ofthe total solution and use on-demand pay-per-use resources toserve it. On the other hand, if there is a long enough duration ofnon-zero demand, you may as well use dedicated resources toserve that baseline.”Let T be uniformly distributed with peak P and the utility premiumU > Then the optimal hybrid solution consists of P / U on-demandcapacity and P – (P / U) dedicated resourcesThe Business Benefits of Cloud ComputingCloud can provide almost an immediate access to hardwareresources, with no upfront CAPEX. Pay-per-use billingdramatically reduces cost. Cloud computing can lower ITbarriers to innovation and increase interoperability betweendisjoint technology. Enterprises of all sizes can seamlessly scaletheir services in correlation with client demand. Additionaldata centers can be provisioned in minutes – extending theprivate cloud to public or hybrid modelsDCxSecureEdgeModuleSecure Access Module
  • 12. INTERNETor WANCisco ASAContext-AwareFirewallVDI Connection BrokerDTLS/SSL/IPSec AES-128-256 ConnectionDisplay Protocol Exchange: PCoIP / ICA / RDP:Provides a continuous exchange of display databetween the virtual desktop in the data center andthe endpoint, including interface devices (keyboard,mouse, USB peripheral, IP Phone, etc.) Displayprotocol provides a view of the virtualized desktopwithout allowing data to leave the Data Center.Functions like copy/paste are disabled.Cisco IronPortWeb/EmailSecurityAppliancesIntegrated withRSA DLPVirtualized Data CenterData Center EdgeServer ZonesExecutivesIT Admin UsersIT Tools Finance Apps DevContext-Aware Identityand AuthenticationServicesCisco CIUSVXI Thin ClientTablet – VXI Thinor Zero-ClientPC/LaptopVXI Thick Client(actual picture of Windows 7HVD running on iPad with VXI)Cisco AnyConnectSecure Mobility Client:Seamless, secure, context-aware,and dynamic access to DC edgefor VDI and rich-mediaapplications like Voice, UC, andVideo.Secure Mobility:Cisco AnyConnect/ASA enablesanytime, anywhere secure access tohosted virtual desktops, andintegrates with email and websecurity for DLP. Ensures sensitivebusiness data does not leave thedata center.Rich VDI Feature Set:Facilitates the exchange of display protocols with the VDI client. Authenticatesand redirects multiple client connection requests to the Virtual desktops.Provisions new virtual desktops on demand, and relays user credentials to thehosted virtual desktop.Cisco Virtual eXperience Interface (VXI)Cisco VXI Security is only a small subset of the complete , end-to-end Cisco VXI Solution.For complete Validated Design information and detail: www.cisco.com/go/vxiWhat is Cisco VXI?Cisco’s Virtualization Experience Infrastructureenhances Desktop Virtualization:• Integration into Cisco’s UnifiedCommunicationsHosted Virtual Desktop (HVD) allows usersto make and receive voice or video calls fromCisco Unified Personal Communicator• Simplified configuration, through the useof UCS virtualized computing platforms• Network optimizationCisco VXI resolves issues related to networkprotocols not optimized for networkbandwidth limitations, or impacted bybandwidth limits and/or network latenciesintroduced with VDI.• SecurityConnectivity into the network is controlled atthe access layer, where a device firstattaches to the virtual infrastructure, all theway through to the Virtualization Array. Dataleakage prevention policies protect sensitivebusiness data from leaving the Data Center.Hypervisor Security:Cisco’s Virtual Security Gateway andASAv offer Hypervisor Edge and VMto VM firewalling. VMs can beseparated into multiple zones andVM zone policies can be appliedglobally. VMs within a zone cannotcommunicate unless explicitlyallowed by policy. Protection of East-West traffic flows maximizes securitywhile enabling business agility andefficiency.Virtual Security Gateway and ASA 1000vHVD Zones Nexus 1000v
  • 13. А где же отраслевая специфика?• Рассматривать ИБ без привязки к российским реалиям нельзя• Угрозы у нас те же самые, что и во всем мире• Технологические тенденции тоже аналогичные– Но запаздывают года на 2-3• Для большинства отраслей 80% всех технологий и сценариев ихприменения идентичны– Удаленный доступ, ЦОДы, мобильность, терминальный доступ,защита от инсайдера, защита рабочего места, защита периметраи т.п.– Они составляют основные блоки• Очень небольшое количество действительно специфическихнюансов с точки зрения защиты, преимущественно виндустриальных системах и M2M-взаимодействии– + требования по безопасности бизнес-приложений
  • 14. А где же отраслевая специфика?http://www.cisco.com/go/industry
  • 15. Пример: решение Cisco для нефтегазовой отрасли
  • 16. Пример: ИБ для нефтегазовой отраслиITPCNUtilityПоддерживающиевзаимодействияB2BНадежное сегментирование сети спомощью VRF через MPLS VPN иоптику--------------------------------------------Обеспечение бесперебойностиСнижение OPEXЗащита инвестицийСегментация и разграничениедоступа к активам при доступе к нимс рабочего ПК/планшетника------------------------------------Эффективное взаимодействие стретьими лицамиОбеспечение бесперебойностиПодводнаяоптикаНаземнаяоптикаБуровое судноСудноснабжения
  • 17. ЧТО ЖЕ ТОГДА СОСТАВЛЯЕТОТРАСЛЕВУЮ СПЕЦИФИКУ?
  • 18. Регуляторы в области ИБИБФСТЭКФСБМинком-связьМОСВРФСОЦБPCICouncilРКНСовБезМВДМинЭнерго
  • 19. В среднем появляется 4 нормативных акта в месяц012345678
  • 20. НПС/банки/госорганы/операторы связи – в приоритетепоследних дней5917108102 1 1 1 1 1 ВсеНПСБанкиГосорганыОператоры связиТЭКУК, ТСЖ, ЖК, ЖСКНотариусы
  • 21. НАЦИОНАЛЬНАЯПЛАТЕЖНАЯ СИСТЕМА
  • 22. Мы только в начале пути регулирования НПС• Платежные карты• Мобильные имгновенныеплатежи• Системы ДБО• Банкоматы и ККТ• Небанковскиеорганизации• Разработчикиплатежныхприложений
  • 23. Структура основных нормативно-правовых актов по ИБ вНПСРекомендацииАРБ и НПС пореагированиюна инциденты
  • 24. Положение Банка России 382-П от 09.06.2012• Положение 382-П согласовано с ФСТЭК и ФСБ
  • 25. 129 требований по защите информация при переводеденежных средств• Банк России интересует, чтобы требование было выполненокачественно, а выбор конкретных технологий и средств защитыинформации - задача банков
  • 26. Какие решения Cisco могут быть применены для защитыНПС?• Банк России не устанавливает конкретных и детальныхтребований по выбору технических или организационных мер,реализующих статьи Положения 382-П– Участники НПС вправе самостоятельно определять средствазащиты– Любые решения Cisco могут быть применены для защитыучастников НПС и реализации требований 382-П• Требований по применению сертифицированных СЗИ нет
  • 27. Пример применения решений CiscoТребование Пункт 382-ПРешение CiscoИдентификация, аутентификация иавторизация работников и участниковплатежной системы2.6.3 Cisco IdentityService EngineРеализация запретанесанкционированного расширенияправ доступа к защищаемойинформации2.6.4 Cisco IdentityService EngineФильтрация сетевых пакетов приобмене информацией междувычислительными сетями, в которыхрасполагаются объектыинформационной инфраструктуры, исетью Интернет2.8.1 Cisco ASA 5500-XCisco IOS FirewallCisco ASA SM дляCatalyst 6500
  • 28. Пример применения решений CiscoТребование Пункт 382-ПРешение CiscoСнижение тяжести последствий отвоздействий на объектыинформационной инфраструктуры сцелью создания условийдля невозможности предоставленияуслуг по переводуденежных средств илинесвоевременности осуществленияпереводов денежных средств2.8.1 Cisco ValidatedDesignCisco SAFEУчет и контроль составаустановленного и (или) используемогона средствах вычислительнойтехники программногообеспечения2.10.1 Cisco IdentityService EngineCisco NAC
  • 29. Пример применения решений CiscoТребование Пункт 382-ПРешение CiscoПрименение организационных мерзащиты информации и (или)использование технических средствзащиты информации,предназначенных дляпредотвращениянесанкционированного доступа кзащищаемой информации наобъектах информационнойинфраструктуры с использованиемсети Интернет2.8.1 Cisco IPS 4300Cisco IPS 4500Cisco IPS-SSPАутентификация входныхэлектронных сообщений2.10.4 Cisco Email SecurityAppliance
  • 30. Применение СКЗИ в НПС• Оператор платежной системы самостоятельно определяетнеобходимость использования СКЗИ, если иное не предусмотренофедеральными законами и иными нормативными правовымиактами Российской Федерации• Если необходимость СКЗИ определена, то работы пообеспечению защиты информации с помощью СКЗИ проводятся всоответствии с Федеральным законом от 6 апреля 2011 года 63-ФЗ «Об электронной подписи», Положением о разработке,производстве, реализации и эксплуатации шифровальных(криптографических) средств защиты информации (ПоложениеПКЗ-2005), и технической документацией на СКЗИ• В случае если участники НПС применяют СКЗИ российскогопроизводителя, указанные СКЗИ должны иметь сертификатыуполномоченного государственного органа
  • 31. Письмо 34-Т от 01.03.2013• О рекомендациях по повышениюуровня безопасности банкоматов иплатежных терминалов• Оснащение специальным ПО длявыявления и предотвращения атак• Обнаружение, фиксация атак и ихпопыток• Регулярный контроль действияобслуживающих организаций• Анализ и выявление уязвимостейпосле атак или попыток ихсовершения• …
  • 32. Что думает Банк России о PCI DSS?• Какова судьба PCI DSS в контексте 382-П и СТО БР ИББС?– PCI DSS включат в состав СТО БР ИББС?– На базе PCI DSS будут создавать собственные нормативы?• Банк России (через НП АБИСС) осуществил перевод 10документов PCI DSS 2.0 для их анализа в ПК1 ТК122 и ихвозможного последующего использования в рамках НПС. Цели:– аутентичный перевод на русский язык PCI DSS и сопутствующихдокументов, официально признаваемый PCI Council– размещение перевода и поддержка его в актуальном состояниипри изменений версий стандарта PCI DSS на сайте PCI Council– использование перевода для более эффективного внедренияPCI DSS в РФ для участников международных платежных систем– использование перевода как основы для разработки БанкомРоссии национальных требований и рекомендаций к индустрииплатежных карт
  • 33. Управление• Сеть: Routers, Switches и Wireless• ИБ: Firewalls и Intrusion Detection• Точки продаж: сервера и приложения• Голос: Телефоны и ЦОВ• Email: Data Loss Prevention• Physical: Surveillance и Badge Access• Аутентификация• УправлениеInternet EdgeData Center Contact CenterStoreЦелостное решение Cisco по PCI DSS 2.0КонечныеустройстваИнфраструктураPCI DSS 2.0 Solution Framework• Шифрование• Мониторинг• Assess• Design• Implement• AuditСервисы
  • 34. Cisco PCI Solution for Retail 2.0• Позволяет выполнять указанияPCI DSS 2.0 в специфичныхтехнологических областях• Обеспечивает руководство длявыполнения требований PCI изащиты данных платежных карт
  • 35. Cisco PCI Solution for Retail 2.0• Рекомендованные архитектуры для сетей,хранящих, обрабатывающих ипередающих данные платежных карт• Протестированы в реальном окружении сPOS, серверами приложений,беспроводными устройствами,соединением с Интернет, ЦОВ исистемами безопасности• Руководства оценены PCI QSA (Verizon)• Включают расширенные рекомендации пореализации требований PCI ввиртуализированном и 3G окруженииValidated DesignSmall Retail Store
  • 36. Единое пространство доверия с операторами связи• Инфраструктура многих операторов связи используется приоказании услуг по переводу денежных средств (как минимум,ДБО)• Минкомсвязь совместно с Банком России решило вернуться ктеме «Базового уровня информационной безопасностиоператоров связи» (он же рекомендации ITU-T X.sbno) и сделатьименно эти требования (с некоторыми доработками) условиемподключения (выбора) банков к инфраструктуре оператора связи• При этом Банком России будут разработаны рекомендации повыбору именно тех операторов, которые прошли процедурудобровольной сертификации на соответствие «базовому уровню»36
  • 37. ГОСУДАРСТВЕННЫЕИНФОРМАЦИОННЫЕРЕСУРСЫ
  • 38. Новый приказ ФСТЭК• №17 от 12.02.2013 «О защитеинформации, не составляющейгосударственную тайну,содержащейся в государственныхинформационных системах»• Все новые и модернизируемыесистемы должны создаваться поновому приказу, а не по СТР-К– Старые системы «живут» по СТР-К• Меры по защите ПДн в ГИСпринимаются в соответствии стребованиями о защите информации,содержащейся в ГИС
  • 39. На кого распространяется?• Настоящие Требования предназначены для обладателейинформации, заказчиков, заключивших государственныйконтракт на создание ГИС, операторов ГИС, а также лиц,привлекаемых обладателями информации, заказчиками илиоператорами в соответствии с законодательством РоссийскойФедерации к проведению работ по защите информации,содержащейся в ГИС• Выполнение настоящих Требований является обязательнымпри обработке информации ограниченного доступа, несодержащей сведения, составляющие государственную тайну,в ГИС, функционирующих на территории РоссийскойФедерации, а также в муниципальных информационныхсистемах, если иное не установлено законодательствомРоссийской Федерации о местном самоуправлении
  • 40. Как определяются требования по защите?• Требования к системе защиты информации информационнойсистемы определяются в зависимости от– класса защищенности информационной системы– актуальных угроз безопасности информации, установленных вмодели угроз безопасности информации• Приказ вводит 4 класса защищенности и определяет методику ихвыбора• Модель угроз безопасности информации должна содержатьописание структурно-функциональных характеристикинформационной системы и актуальных угроз безопасностиинформации– Моделирование угроз осуществляется на основеразрабатываемых методических документах ФСТЭК– Предполагается, что данная методика будет единой для ПДн иГИС
  • 41. 1Г или 2 класс защищенности: как правильно?КлассыАС Классы ИСТак былоТак стало• Классификация зависит от значимости обрабатываемойинформации и масштаба ГИС• Аттестация проводится по новым классам защищенности
  • 42. Меры по защите информации• В состав мер по обеспечению безопасности ГИС, реализуемых врамках системы защиты ГИС с учетом актуальных угрозбезопасности ГИС и применяемых информационных технологий,входят– идентификация и аутентификация субъектов доступа и объектовдоступа– управление доступом субъектов доступа к объектам доступа– ограничение программной среды– защита машинных носителей информации, на которых хранятсяи (или) обрабатываются ГИР– регистрация событий безопасности– антивирусная защита– обнаружение (предотвращение) вторжений– контроль (анализ) защищенности ГИС
  • 43. Меры по защите информации• продолжение:– обеспечение целостности информационной системы и ГИР– обеспечение доступности ГИР– защита среды виртуализации– защита технических средств– защита информационной системы, ее средств, систем связи ипередачи данных– выявление инцидентов (одного события или группы событий),которые могут привести к сбоям или нарушениюфункционирования информационной системы и (или) квозникновению угроз безопасности ГИР, и реагирование на них– управление конфигурацией информационной системы и системызащиты ГИР
  • 44. Как определяются защитные меры• Выбор мер по обеспечению безопасности ПДн,подлежащих реализации в системе защиты ПДн,включает– определение базового набора мер– адаптацию базового набора мер с учетомструктурно-функциональных характеристикИСПДн, ИТ, особенностей функционированияИСПДн– уточнение адаптированного базового набора сучетом не выбранных ранее мер– дополнение уточненного адаптированногобазового набора мер по обеспечениюбезопасности ПДн дополнительными мерами,установленными иными нормативными актамиБазовые мерыАдаптациябазового набораУточнениеадаптированногонабораДополнениеуточненногоадаптированногонабора
  • 45. Компенсирующие меры• В ходе разработки системы защиты персональных данныхдолжно быть проведено обоснование применениякомпенсирующих мер для обеспечения безопасностиперсональных данных• Пример: среда виртуализации на базе KVM, Xen или Hyper-V
  • 46. УПД: набор мерСодержание мер УЗ4 УЗ3 УЗ2 УЗ1УПД.1 Управление (заведение, активация, блокирование и уничтожение)учетными записями пользователей, в том числе внешних пользователей+ + + +УПД.2 Реализация необходимых методов (дискреционный, мандатный, ролевойили иной метод), типов (чтение, запись, выполнение или иной тип) и правилразграничения доступа+ + + +УПД.3 Управление (фильтрация, маршрутизация, контроль соединений,однонаправленная передача и иные способы управления)информационными потоками между устройствами, сегментамиинформационной системы, а также между информационными системами+ + + +УПД.4 Разделение полномочий (ролей) пользователей, администраторов и лиц,обеспечивающих функционирование информационной системы+ + + +УПД.5 Назначение минимально необходимых прав и привилегий пользователям,администраторам и лицам, обеспечивающим функционированиеинформационной системы+ + + +УПД.6 Ограничение неуспешных попыток входа в информационную систему(доступа к информационной системе)+ + + +УПД.7 Предупреждение пользователя при его входе в информационную системуо том, что в информационной системе реализованы меры по обеспечениюбезопасности ГИС, и о необходимости соблюдения установленныхоператором правил обработки защищаемых данныхCisco Firewall(ASA, ISR,ASA-SM, vASA)
  • 47. УПД: набор мерСодержание мер УЗ4 УЗ3 УЗ2 УЗ1УПД.8 Оповещение пользователя после успешного входа винформационную систему о его предыдущем входе винформационную системуУПД.9 Ограничение числа параллельных сеансов доступа для каждойучетной записи пользователя информационной системыУПД.10 Блокирование сеанса доступа в информационную систему послеустановленного времени бездействия (неактивности) пользователяили по его запросу+ + +УПД.11 Разрешение (запрет) действий пользователей, разрешенных доидентификации и аутентификации+ + +УПД.12 Поддержка и сохранение атрибутов безопасности (метокбезопасности), связанных с информацией в процессе ее хранения иобработкиУПД.13 Реализация защищенного удаленного доступа субъектов доступа кобъектам доступа через внешние информационно-телекоммуникационные сети+ + + +УПД.14 Регламентация и контроль использования в информационнойсистеме технологий беспроводного доступа+ + + +УПД.15 Регламентация и контроль использования в информационнойсистеме мобильных технических средств+ + + +УПД.16 Управление взаимодействием с информационными системамисторонних организаций (внешние информационные системы)+ + + +УПД.17 Обеспечение доверенной загрузки средств вычислительной техники + +Cisco ISE + ACCisco UnifiedAccessCisco ISE
  • 48. ОЦЛ: набор мерСодержание мер УЗ4 УЗ3 УЗ2 УЗ1ОЦЛ.1 Контроль целостности программного обеспечения, включая программноеобеспечение средств защиты информации+ +ОЦЛ.2 Контроль целостности защищаемых данных, содержащихся в базах данныхинформационной системыОЦЛ.3 Обеспечение возможности восстановления программного обеспечения,включая программное обеспечение средств защиты информации, привозникновении нештатных ситуацийОЦЛ.4 Обнаружение и реагирование на поступление в информационную системунезапрашиваемых электронных сообщений (писем, документов) и инойинформации, не относящихся к функционированию информационной системы(защита от спама)+ +ОЦЛ.5 Контроль содержания информации, передаваемой из информационнойсистемы (контейнерный, основанный на свойствах объекта доступа, и (или)контентный, основанный на поиске запрещенной к передаче информации сиспользованием сигнатур, масок и иных методов), и исключениенеправомерной передачи информации из информационной системыОЦЛ.6 Ограничение прав пользователей по вводу информации в информационнуюсистемуОЦЛ.7 Контроль точности, полноты и правильности данных, вводимых винформационную системуОЦЛ.8 Контроль ошибочных действий пользователей по вводу и (или) передачезащищаемых данных и предупреждение пользователей об ошибочныхдействияхCisco ESA Cisco ESACisco ASA CX
  • 49. ЗИС: набор мерСодержание мер УЗ4 УЗ3 УЗ2 УЗ1ЗИС.13 Исключение возможности отрицания пользователем факта получениязащищаемых данных от другого пользователяЗИС.14 Использование устройств терминального доступа для обработкизащищаемых данныхЗИС.15 Защита архивных файлов, параметров настройки средств защитыинформации и программного обеспечения и иных данных, неподлежащих изменению в процессе обработки защищаемых данных+ +ЗИС.16 Выявление, анализ и блокирование в информационной системыскрытых каналов передачи информации в обход реализованных мерили внутри разрешенных сетевых протоколовЗИС.17 Разбиение информационной системы на сегменты (сегментированиеинформационной системы) и обеспечение защиты периметровсегментов информационной системы+ +ЗИС.18 Обеспечение загрузки и исполнения программного обеспечения смашинных носителей защищаемых данных, доступных только длячтения, и контроль целостности данного программного обеспеченияЗИС.19 Изоляция процессов (выполнение программ) в выделенной областипамятиЗИС.20 Защита беспроводных соединений, применяемых в информационнойсистеме+ + +Cisco VXI Cisco BNCisco UA
  • 50. Оценка соответствия средств защиты• Средства защиты информации,применяемые в информационныхсистемах, должны бытьсертифицированы насоответствие требованиям побезопасности информации всоответствии с законодательствомРоссийской Федерации• При отсутствиисертифицированных средствзащиты информации организуетсяразработка (доработка)необходимых средств защитыинформации и их сертификация
  • 51. Соответствие классов защищенности классамсертифицированных СЗИТип СЗИ / ПО 4 класс 3 класс 2 класс 1 классСВТ Не ниже 5 Не ниже 5 Не ниже 5 Не ниже 5IDSНе ниже 64 Интернет5Не ниже 4 Не ниже 4АнтивирусНе ниже 64 Интернет5Не ниже 4 Не ниже 4МСЭ43 Интернет43 Интернет43 Интернет4НДВ в СЗИ - - - -• Вопрос о сертификации на отсутствии НДВ в СЗИ для 1-го и 2-гокласса защищенности сейчас решается
  • 52. Какие решения Cisco имеют сертификаты ФСТЭК?• Многофункциональные защитные устройства– Cisco ASA 5505, 5510, 5520, 5540, 5550, 5580, 5585-X– Cisco ASA SM• Системы предотвращения вторжений– Cisco IPS 4200, AIP-SSM-10/20, IPS 4240, 4255, 4260, 4270, IDSM2• Межсетевые экраны– Cisco Pix 501, 506, 515, 520, 525, 535– Cisco FWSM– Cisco 1800, 2800, 3800, 7200, 7600, 676, 871, 881, 891, 1750, 1751,1760-V, 1811, 1841, 2509, 26xx, 2600, 2611, 2621, 2651, 2801,2811, 2821, 2851, 2901, 2911, 3640, 3661, 3662, 3725, 3745, 3825,3845, 3925, 7201, 7206, 7301, 7604– ASR 1002, GSR 12404, CGR2000, CGR2500– Cisco ISR 2911R
  • 53. Какие решения Cisco имеют сертификаты ФСТЭК?• Коммутаторы– Cisco Catalyst 2912, 2924, 2950G, 2960, 2970, 3508G, 3512, 3524,3548, 3550, 3560, 3750, 4003, 4503, 4506, 4507, 4510, 4900, 6006,6504, 6506, 6509, 6513• Системы управления– CiscoWorks Monitoring Center– Cisco Security Manager 3.2, 3.3– Cisco Secure ACS 4.x– Cisco Secure ACS 1121– CS MARS 20, 25, 50, 100, 110• Прочее– Cisco AS5350XM
  • 54. Какие решения Cisco планируется сертифицировать?• Многофункциональные защитные устройства– Cisco ASA 5512-X, 5515-X, 5525-X, 5545-X, 5555-X• Системы предотвращения вторжений– Cisco IPS 4345, 4360, 4510, 4520– Cisco IPS for АСУ ТП• Межсетевые экраны– Cisco ASA 1000v– Cisco Virtual Security Gateway– Cisco ASA CX
  • 55. КРИТИЧЕСКИ ВАЖНЫЕОБЪЕКТЫ
  • 56. Как регулируется ИБ в КВО?
  • 57. Безопасность ТЭК• 21 июля 2011 года Президент РФ подписал Федеральный Закон«О безопасности объектов топливно-энергетического комплекса»,а также Федеральный закон «О внесении изменений в отдельныезаконодательные акты Российской Федерации в частиобеспечения безопасности объектов топливно-энергетическогокомплекса»• Статья 11 «Обеспечение безопасности информационных системобъектов топливно-энергетического комплекса»– Требования и состав комплекса защитных мер пока неопределены• В проекте постановления Правительства Российской Федерации«Об утверждении требований обеспечения безопасностиобъектов топливно-энергетического комплекса и требованийантитеррористической защищенности объектов топливно-энергетического комплекса» ИБ не прописана, но… см. дальше
  • 58. Мнение Минэнерго• Три Постановления Правительства от 5 мая 2012 года– № 458 «Об утверждении Правил по обеспечению безопасности иантитеррористической защищенности объектов топливно-энергетического комплекса»– № 459 «Об утверждении Положения об исходных данных дляпроведения категорирования объекта топливно-энергетическогокомплекса, порядке его проведения и критерияхкатегорирования»– № 460 «Об утверждении Правил актуализации паспортабезопасности объекта топливно-энергетического комплекса»• Позиция Минэнерго - т.к. в ст.11 ФЗ-256 «О безопасностиобъектов ТЭК» нет требования разработать ПостановлениеПравительства, то и требования по защите можно использоватьтекущие (от ФСТЭК и ФСБ)
  • 59. Безопасность критически важных объектов• Основные направления государственной политики в областиобеспечения безопасности автоматизированных системуправления производственными и технологическими процессамикритически важных объектов инфраструктуры РоссийскойФедерации– 4 июля 2012 года– Разработаны в целях реализации основных положенийСтратегии национальной безопасности Российской Федерациидо 2020 года• Включают– Требования к разработчикам АСУ ТП– Единая гос.система обнаружения и предотвращения атак– Промышленная и научно-техническая политика,фундаментальная и прикладная наука и повышениеквалификации кадров
  • 60. А что дальше или Указ Президента 31с• 28.12.2012 – встреча Президента с офицерами, назначенными навысшие командные должности– Говорит о защите стратегической инфраструктуры• 29.12.2012 - Указ Президента №1711 об изменении составаМежведомственной комиссии Совета Безопасности РФ поинформационной безопасности– Добавление в комиссию представителей стратегических КВО• 15.01.2013 - Указ Президента №31с «О создании государственнойсистемы обнаружения, предупреждения и ликвидациипоследствий компьютерных атак на информационные ресурсыРФ»– Создание данной системы, разработка методики обнаруженияатак, обмен информацией между госорганами об инцидентах ИБ,оценка степени защищенности критической информационнойинфраструктуры
  • 61. © 2013 Cisco Systems, Inc. All rights reserved. 61ТранзитныеоператорыРаспределяющиеоператорыКонечныепотребители010101010101010101010101010101010101011010101010101010101010101010101010101010101010101011010101010101010101010101010101010101010101010101011010101010101010101010101010101010101010101010101011010101010101010101010101010101010101010101010101011010101010101010101010101010101010101010101010101011010101010101010101010101010101010101010101010101011010101010101010101010101010101010101010101010101011010101010101010101010101010101010101010101010101011010101010101010101010101010101010101010101010101011010101010101010101010101010101010101010101Надежность, безопасность, соответствие стандартамСлужбы иоператоры сбытаSmart GridСквозные сетевые архитектурыЗданияклиентов(сетиBAN / HAN)ЦентруправленияБезопасность | Сетевое управление | Распределенный интеллектСети передачи иподстанцииКоммунальныепредприятия ирегиональныесетиЛинии передачиэлектроэнергииЦентробработкиданныхЭнерговыраба-тывающиепредприятия
  • 62. © 2013 Cisco Systems, Inc. All rights reserved. 62Обеспечение соответствия нормативнымтребованиямРеализация NERC CIP на подстанциях в центрах управленияФизическая безопасностьКонтроль доступа, видео,реакция на инцидентыИнформационнаябезопасностьАвторизация, целостность,сегментацияУправлениебезопасностьюУправление доступом,архитектурой, событиямиКритическиважные ИТ-ресурсы(CCA)Управлениебезопас-ностьюПерсонали обучениеЗащитаэлектронногопериметраФизическаябезопасностьУправлениезащитойсистемУправлениеинцидентамиПланывосстанов-ления CCACIP-002 CIP-003 CIP-004 CIP-005 CIP-006 CIP-007 CIP-008 CIP-009ГлобальнаясетьУправление видеоМСЭ/VPNВидеонаблюдениеКонтроль доступаESPКонтрольдоступаЗащищеннаякоммутацияГибкийанализпакетовПодстанцияКонтрольдоступом к сетиУправлениесобытиямиУправлениебезопасностьюЦОДЦентр управления
  • 63. Архитектура промышленного предприятия: очень похожана корпоративную сетьERP, etc.УправлениепроцессамиВнутренняя сетьOperationsRouterDistributionRoutersСервераCoreRoutersУправлениеDCSУстройстваавтоматики иконтроляЗащищенная сеть Wi-FiSensor MeshNetworkУдаленныйAccessSwitchesEthernetIndustrial SwitchКонтрольСеть беспроводныхсенсоровSiSiSiSiSiSiSiSiTeleworkers/Customersand PartnersГолос по Wi-FiИндустри-альноевидеоLocationChokepointМеткиместопо-ложенияOperations DMZWirelessControllerLocationEngineУправление сетью и ИБТерминальныйсерверВидеоГолосСервера Wireless, видео иголосWANИнтернетМенеджеры,инженеры
  • 64. Что включено в международные стандарты по ИБ АСУТП?Источник: SCADA System Cyber Security – A Comparison of Standards
  • 65. Как построен NIST SP800-82?• FIPS PUB 2000– Определяет 17 областей сминимальным наборомтребований по ИБ• NIST SP800-53– Определяет порядоквыбора нужных защитныхмер• Все государственные ИС(включая и АСУ ТП) должныстроиться на базе этихтребований
  • 66. Можно ли на базе ISO27001/27002?Источник: SCADA System Cyber Security – A Comparison of Standards
  • 67. Решения Cisco для индустриальных сетей• Индустриальные коммутаторы IE 3000, IE2000, IE 3010 и CGS 2500• Индустриальные маршрутизаторы ISR819H, CGR 2000• Индустриальные беспроводные решенияCisco 1550 Outdoor AP• Индустриальные встраиваемыемаршрутизаторы в форм-факторах PC104 иcPCI• Индустриальные системы предотвращениявторжений IPS for SCADA• В ближайшее время планируетсяпоявление еще ряда решенийCat. 6500Cat. 4500Cat. 3750Available COTS PlatformsAvailable Industrial Platforms1260 and3560 APsASAIE 3010IE 30001552 APCGR 2010IE 2000ISR8197925G-EXIP Phone
  • 68. Cisco SAFE for PCNSite Business Planning and Logistics NetworkBatchControlDiscreteControlSupervisoryControlHybridControlSupervisoryControlEnterprise NetworkPatchMgmtWeb ServicesOperationsAVServerApplicationServerEmail, Intranet, etc.ProductionControlHistorianOptimizingControlEngineeringStationContinuousControlTerminalServicesHistorian(Mirror)Site Operationsand ControlAreaSupervisoryControlBasicControlProcessЛВСАСУТПЗонакорпора-тивной ЛВСDMZУровень 5Уровень 3Уровень 1Уровень 0Уровень 2Уровень 4HMI HMIМСЭ иIPSМСЭ и IDS
  • 69. Cisco IPS для АСУ ТПВсе типы оборудования• SCADA• DCS• PLC• SIS• EMS• Все основные производители• Schneider• Siemens• Rockwell• GE, ABB• Yokogawa• Motorola• Emerson• Invensys• Honeywell• SEL• И это не конец…
  • 70. Smart Grid коммутатор, маршрутизатор (как МСЭ) и IPSfor SCADA
  • 71. В ЗАКЛЮЧЕНИЕ
  • 72. Все отрасли похожи на 80% по стоящим задачам вобласти ИБ – не надо искать какую-то специфику!• Разумеется есть и своя специфика, которая составляетнебольшую долю задач, стоящих перед службами ИБ
  • 73. © Компания Cisco и (или) ее дочерние компании, 2011 г. Все права защищены. 73/49ВОЗМОЖНОСТИАКЦЕНТ НАСЕГМЕНТЕРЫНКА Промышленность,нефть и газПеревозкиСборочноепроизводствоОбмен даннымимежду машинамиТочкибеспроводного доступаповышенной надежностиПромышленныекоммутаторыОтраслеваябезопасностьНадежный мобильныйшлюз M2MОтраслевыепрофессиональныеуслуги
  • 74. Отраслевая архитектура: взгляд с высотыCIOИТ-организацияСетевыеИТ-интеграторыРазработчики ПОBDM/TDM ВендорыИнформационный уровеньПроизводителисредствавтоматизации(MACS)EPC/M & SIsПроизводителиоборудованияГлавныеинженерыИнженерыконтроляУровень управленияУровень устройствШлюз «офис –завод»Уровень предприятия Интернет• Заказчики• Поставщики• ПартнерыРоботы Сенсоры ДискиPAC HistorianSiSiSiSiSiSiЗавод.прил.(MES и т.д.)Общие завод.решенияЗавод. LAN,WLANLAN/WANEnterprise Apps(ERP, CRM и т.д.)DCSАктуаторы
  • 75. Где вы можете узнать больше?http://www.facebook.com/CiscoRuhttp://twitter.com/CiscoRussiahttp://www.youtube.com/CiscoRussiaMediahttp://www.flickr.com/photos/CiscoRussiahttp://vkontakte.ru/Ciscohttp://blog.cisco.ru/
  • 76. © Cisco и (или) дочерние компании, 2011 г. Все права защищены. Общедоступная информация CiscoBRKSEC-1065 76Благодарю васза вниманиеsecurity-request@cisco.com

×