• Like
Усилия Cisco по повышению доверия к своему оборудованию и ПО
Upcoming SlideShare
Loading in...5
×

Усилия Cisco по повышению доверия к своему оборудованию и ПО

  • 2,075 views
Uploaded on

 

More in: Technology
  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Be the first to comment
    Be the first to like this
No Downloads

Views

Total Views
2,075
On Slideshare
0
From Embeds
0
Number of Embeds
29

Actions

Shares
Downloads
4
Comments
0
Likes
0

Embeds 0

No embeds

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
    No notes for slide

Transcript

  • 1. Изменение геополитической ситуации как вопрос при обеспечении информационной безопасности в государственных органах Лукацкий Алексей, консультант по безопасности
  • 2. Левиафан – мифическое животное, вызывающее страх. Многие угрозы такие же
  • 3. Ничто не ново под луной
  • 4. Регулярные санкции не мешали использовать технологии и развиваться •  Координационный комитет по экспортному контролю (КОКОМ) –  1949 – 1994 гг. •  Многосторонний контроль экспорта в СССР и другие социалистические государства –  Регулярно обновляемые перечни «стратегических» товаров и технологий, не подлежащих экспорту в страны «восточного блока» •  Директива президента США NSDD–66 (National Security Decision Directive) –  1982 год
  • 5. Можно ли взять и прекратить экспорт из США и (или) импорт в Россию?
  • 6. Двусторонние «санкции»
  • 7. Запрещать сейчас иностранные ИТ/ИБ, все равно, что
  • 8. Спасет ли нас НПП? А где приложения?
  • 9. А на каком «железе» будет работать НПП?
  • 10. Мы не будем говорить о политике Информационная безопасность Технологическая независимость Импортозамещение
  • 11. В качестве угрозы рассматривается использование несертифицированных отечественных и зарубежных ИТ, средств защиты информации, средств информатизации, телекоммуникации и связи при создании и развитии российской информационной инфраструктуры 2000 год!!!
  • 12. 15+ НОРМОТВОРЧЕСКИХ АКТИВНОСТЕЙ ЗА 14 ЛЕТ!
  • 13. Основа доверия Жизненный цикл Защищенный процесс Процесс ПолитикиТехнологии Information Assurance (IA) Стандарты и РДТехнологии защиты продуктов Общие модули и функции Планируется •  NG & Common Crypto •  Secure Storage •  Run Time Integrity •  Trust Anchor •  Secure Boot •  Image Signing •  Entropy •  Immutable Identity •  xxx FIPS / USGv6 DoD IA •  TCG •  xxx ФСТЭК / ФСБ Усилия самого производителя: доверенная архитектура •  xxx •  xxx •  xxx •  xxx На радареРеализовано http://www.cisco.com/web/solutions/trends/trustworthy_systems/index.html
  • 14. Что определяет защищенность? •  Защищенность ПО определяет не число угроз в нем, а выстроенный процесс управления уязвимостями –  Включая скорость реагирования и устранения •  У Cisco существует команда PSIRT и публичная политика раскрытия информации об уязвимостях
  • 15. Как проверить/контролировать заявления производителя? •  Контроль импорта высокотехнологичной продукцииКонтроль •  Сертификация по требованиям безопасности Оценка соответствия •  Разработка и производство ИТ/ИБ-решений на территории России Локальное производство •  Контроль со стороны лицензирующего органа по отдельным видам деятельности Лицензирование деятельности
  • 16. Что контролируется при ввозе на территорию РФ? •  Принтеры, копиры и факсы •  Кассовые аппараты •  Карманные компьютеры •  Карманные машины для записи, воспроизведения и визуального представления •  Вычислительные машины и их комплектующие •  Абонентские устройства связи •  Базовые станции •  Телекоммуникационное оборудование •  Программное обеспечение •  Аппаратура для радио- и телевещания и приема •  Радионавигационные приемники, устройства дистанционного управления •  Аппаратура доступа в Интернет •  Схемы электронные, интегральные, запоминающие устройства •  Прочее •  Большое количество позиций групп 84 и 85 Единого Таможенного Тарифа таможенного союза Республики Беларусь, Республики Казахстан и Российской Федерации
  • 17. ФСБ не запрещает, а контролирует ввоз •  Проверка легитимности ввоза по нотификации –  http://www.tsouz.ru/db/entr/notif/Pages/default.aspx •  Проверка легитимности ввоза по лицензии –  Копия положительного заключения ФСБ на ввоз Упрощенная схема •  Ввоз по нотификации По лицензии •  Разрешение ФСБ •  Ввоз по лицензии Минпромторга
  • 18. Ввоз шифровальных средств Ввоз и использование шифровальных средств – это два разных законодательства Разделение ввозимой криптографии по длинам ключей и сферам применения (с 01.01.2010) Нотификации vs. ввоза по лицензии Минпромторга (после получения разрешения ФСБ) Cisco получила с 01.01.2010 свыше 5000 тысяч нотификаций на свои продукты
  • 19. Локальное производство •  Крупные ИТ/ИБ-игроки проводят политику локального производства своей продукции в России –  Например, Cisco не только локально производит в России маршрутизаторы, беспроводное оборудование, VPN-модули и IP- телефоны, но и ведет локальную разработку на базе Сколково Разработка •  Создание центров разработки в России Производство •  Перенос производства на территорию РФ
  • 20. Локальное производство Cisco •  В России открыто локальное производство –  С целью ускорения поставки оборудования, использования оборудования в критичных сферах, учета возможных требований по локализации оборудования и защиты от вмешательства в процесс поставки •  Первый этап – NME-RVPN •  Второй этап – STB, SmartGrid •  Третий этап – маршрутизаторы, точки беспроводного доступа, IP-телефоны •  Продолжается работа по сертификации продукции Cisco в соответствии с российскими требованиями по ИБ –  Включая сертификацию на отсутствие НДВ
  • 21. Что такое «российский производитель» по версии Путина •  «Под словами «у российских производителей», подразумеваются в том числе и предприятия с иностранным участием и со стопроцентным иностранным капиталом, но работающие на территории России и подчиняющиеся российскому законодательству»
  • 22. Сертификация по требованиям безопасности существует в РФ с конца прошлого века ФСТЭК ФСБ МО СВР Все, кроме криптографии СКЗИ МСЭ Антивирусы IDS BIOS Сетевое оборудование Все для нужд оборонного ведомства Тайна, покрытая мраком Требования открыты Требования закрыты (часто секретны). Даже лицензиаты зачастую не имеют их, оперируя выписками из выписок А еще есть 4 негосударственных системы сертификации СЗИ – ГАЗПРОМСЕРТ, «АйТиСертифика» (ЕВРААС), Ecomex и «Каскад»
  • 23. Планы по развитию систем сертификации ФСТЭК •  Новое положение о сертификации •  Порядок обновления средств защиты информации •  10+ новых РД с требованиями к средствам защиты ФСБ •  Изменение системы сертификации СКЗИ в части встраивания «криптобиблиотек»
  • 24. Цепочка поставки сертифицированного оборудования Cisco Партнер #1 ПАРТНЕРЫ СISCO Партнер #2 Партнер #3 Kraftway Corporation PLC & AMT & ООО «Верком» ФСТЭК Оборудование с сертификатами ФСТЭК Оборудование без сертификации по требованиям ФСТЭКДистрибуторы Cisco Systems, Inc Партнер #N производство по требованиям ФСТЭК сертификационный пакет ФСТЭК Производство за пределами России
  • 25. 550+ ФСБ НДВ 32 123 Сертификатов ФСТЭК на продукцию Cisco Сертифицировала решения Cisco (совместно с С- Терра СиЭсПи) ---- Ждем еще ряд важных анонсов Отсутствуют в ряде продуктовых линеек Cisco ---- На сертификацию поданы новые продукты Линейки продукции Cisco прошли сертификацию по схеме «серийное производство» Продуктовых линеек Cisco сертифицированы во ФСТЭК Сертификация решений Cisco по требованиям безопасности
  • 26. Усилия Cisco в России в области безопасности •  Локальное производство, исключающее вмешательство в процесс доставки оборудования заказчикамЛокальное производство •  Сертификация широкого спектра оборудования Cisco по требованиям информационной безопасности Сертификация по требованиям безопасности •  Доступ компетентных органов к деталям технологий и их реализации в рамках сертификации на отсутствие недекларированных возможностей Проверка на отсутствие НДВ •  Консультационная помощь регуляторам в области информационной безопасности по вопросам применения современных технологий с точки зрения информационной безопасности Консультации регуляторов •  Экспертиза и участие в разработке нормативных актов в области информационной безопасности Разработка и экспертиза нормативных актов
  • 27. Участие Cisco в разработке нормативных актов по ИБ ТК22 ТК122 ТК362 РГ ЦБ «Безопасность ИТ» (ISO SC27 в России) «Защита информации в кредитных учреждениях» «Защита информации» при ФСТЭК Разработка рекомендаций по ПДн, СТО БР ИББС v4/5 и 382-П/2831-У ФСБ МКС ФСТЭК РАЭК РКН Экспертиза документов Экспертный совет Экспертиза и разработка 17/21 приказов и проекта по АСУ ТП Экспертиза и разработка документов Консультативный совет
  • 28. © Cisco и (или) дочерние компании, 2011 г. Все права защищены. Общедоступная информация CiscoBRKSEC-1065 28 Благодарю вас за внимание security-request@cisco.com
  • 29. Дополнительная информация •  Cisco Trustworthy Systems: http://www.cisco.com/web/solutions/trends/trustworthy_systems/ index.html •  Cisco Secure Development Lifecycle: http://www.cisco.com/web/about/security/cspo/csdl/index.html •  Cisco Security Advisories, Responses and Notices: http://www.cisco.com/en/US/products/ products_security_advisories_listing.html •  Cisco Security Vulnerability Policy: http://www.cisco.com/web/about/security/psirt/ security_vulnerability_policy.html