Cisco Russia , profile picture
Uploaded byCisco Russia
1,520 views

Мобильный доступ к АБС с точки зрения СТО БР ИББС

Документ рассматривает тенденции мобильного доступа и его влияние на безопасность в бизнесе, подчеркивая необходимость управления устройствами, которые сотрудники приносят на работу. Главные вызовы связаны с обеспечением безопасности, управление доступом и соблюдение нормативных требований в условиях увеличения числа устройств. Важным элементом является внедрение политики безопасности, ориентированной на идентификацию и контекст, для защиты корпоративной информации.

Embed presentation

Защищенный мобильный доступ к АБС в контексте СТО БР ИББС Алексей Лукацкий Бизнес-консультант по безопасности, Cisco © Cisco и/или ее дочерние компании, 2011 г. Все права защищены. 1
Каковы тенденции?
Сотрудники полны новых ожиданий Эволюция ландшафта рабочего места БЫСТРЫЙ РОСТ ЧИСЛА УСТРОЙСТВ В среднем каждый пользователь имеет К 2015 году 15 миллиардов 3–4 устройства, устройств соединяющих его с сетью будут подключаться к сети 40 % сотрудников приносят свои собственные устройства на работу БЫСТРЫЙ РОСТ КАДРЫ ВИРТУАЛИЗАЦИЯ ЧИСЛА УСТРОЙСТВ НОВОГО ПОКОЛЕНИЯ © Cisco и/или ее дочерние компании, 2011 г. Все права защищены. 3
Сотрудники полны новых ожиданий Эволюция ландшафта рабочего места КАДРЫ НОВОГО ПОКОЛЕНИЯ Люди готовы к снижению 70 % конечных пользователей Работа больше не то заработной платы ради признаются в нарушении правил место, куда нужно идти возможности работать дома ИТ-безопасности ради облегчения своей жизни Им необходим доступ любых устройств в любое время, из любого места БЫСТРЫЙ РОСТ КАДРЫ ВИРТУАЛИЗАЦИЯ ЧИСЛА УСТРОЙСТВ НОВОГО ПОКОЛЕНИЯ © Cisco и/или ее дочерние компании, 2011 г. Все права защищены. 4
Сотрудники полны новых ожиданий Эволюция ландшафта рабочего места ВИРТУАЛИЗАЦИЯ «К 2013 году 60 % нагрузки серверов будет виртуализовано» ―К 2013 году управление 20 % профессиональных ПК будет осуществляться в рамках модели размещаемых виртуальных настольных систем.‖ Центры обработки данных эволюционируют. Теперь приложения — это объекты, которые перемещаются по сети БЫСТРЫЙ РОСТ КАДРЫ ВИРТУАЛИЗАЦИЯ ЧИСЛА УСТРОЙСТВ НОВОГО ПОКОЛЕНИЯ © Cisco и/или ее дочерние компании, 2011 г. Все права защищены. 5
Комплексное решение для подхода BYOD («принеси свое собственное устройство») ОГРАНИЧЕННЫЙ ДОСТУП БАЗОВЫЙ ДОСТУП РАСШИРЕННЫЙ ДОСТУП НОВОГО ПОКОЛЕНИЯ ДОСТУП Среда требует строгого Ориентирован на базовые Поддержка дифференцированных Собственные корп. контроля сервисы и удобный доступ сервисов, адаптационный период, приложения, почти для всех защищенный доступ, но не для новые сервисы, собственных устройств полный контроль Множество типов устройств и методов Только устройства компании Более широкий круг устройств, доступа Множество типов устройств, Среда производителя но только Интернет Здравоохранение (корпоративных) Торговая площадка Среды образовательных Предприятия, первыми принявшие Инновационные предприятия Закрытые сети гос. органов учреждений подход BYOD Электронная розничная торговля Традиционные предприятия Гос. учреждения Доступ для подрядчиков Сервисы мобильной торговли Простые гости (видео, совместная работа и т. д.) © Cisco и/или ее дочерние компании, 2011 г. Все права защищены. 6
Как это могло бы работать?
© Cisco и/или ее дочерние компании, 2011 г. Все права защищены. 8 Presentation_ID © Корпорация Cisco Systems, 2008. Все права защищены. Конфиденциальная информация Cisco 8
© Cisco и/или ее дочерние компании, 2011 г. Все права защищены. 9 Presentation_ID © Корпорация Cisco Systems, 2008. Все права защищены. Конфиденциальная информация Cisco 9
Доверенная сеть WiFi Адаптационный период  Аутентификация пользователя  Цифровая метка устройства  Применение корпоративной конфигурации  Корпоративный AppStore  Банковские приложения  Автоматические политики © Cisco и/или ее дочерние компании, 2011 г. Все права защищены. 10 Presentation_ID © Корпорация Cisco Systems, 2008. Все права защищены. Конфиденциальная информация Cisco 10
Доверенная сеть WiFi Политика с учетом контекста Применение установленных профилей политики, исходя из: типа устройства пользователя местоположения приложения © Cisco и/или ее дочерние компании, 2011 г. Все права защищены. 11 Presentation_ID © Корпорация Cisco Systems, 2008. Все права защищены. Конфиденциальная информация Cisco 11
Д о в е р е нн а я с е т ь W i F i Политика с учетом контекста Доступ: ПОЛНЫЙ Нет Да Электронные досье клиентов Мобильная технология TelePresence / ВКС Электронная почта Мгновенный обмен сообщениями © Cisco и/или ее дочерние компании, 2011 г. Все права защищены. 12 Presentation_ID © Корпорация Cisco Systems, 2008. Все права защищены. Конфиденциальная информация Cisco 12
Доверенная с е ть W i F i Результаты оценки клиента Х уже готовы? Еще нет, но я дам вам знать, когда они поступят © Cisco и/или ее дочерние компании, 2011 г. Все права защищены. 13 Presentation_ID © Корпорация Cisco Systems, 2008. Все права защищены. Конфиденциальная информация Cisco 13
Недоверенная сеть WiFi Политика роуминга Доступ: ограниченный Нет Да Электронные досье клиентов Мобильная технология TelePresence Электронная почта Мгновенный обмен сообщениями © Cisco и/или ее дочерние компании, 2011 г. Все права защищены. 14 Presentation_ID © Корпорация Cisco Systems, 2008. Все права защищены. Конфиденциальная информация Cisco 14
© Cisco и/или ее дочерние компании, 2011 г. Все права защищены. 15 Presentation_ID © Корпорация Cisco Systems, 2008. Все права защищены. Конфиденциальная информация Cisco 15
© Cisco и/или ее дочерние компании, 2011 г. Все права защищены. 16 Presentation_ID © Корпорация Cisco Systems, 2008. Все права защищены. Конфиденциальная информация Cisco 16
3G/4G Доступ: Ограничен Нет Да Досье на клиента Mobile TelePresence Email Instant Messenger © Cisco и/или ее дочерние компании, 2011 г. Все права защищены. 17 Presentation_ID © Корпорация Cisco Systems, 2008. Все права защищены. Конфиденциальная информация Cisco 17
UPDATE 3G/4G © Cisco и/или ее дочерние компании, 2011 г. Все права защищены. 18 Presentation_ID © Корпорация Cisco Systems, 2008. Все права защищены. Конфиденциальная информация Cisco 18
Trusted WiFi Доступ: ПОЛНЫЙ No Yes Досье на клиента Mobile TelePresence Email Instant Messenger © Cisco и/или ее дочерние компании, 2011 г. Все права защищены. 19 Presentation_ID © Корпорация Cisco Systems, 2008. Все права защищены. Конфиденциальная информация Cisco 19
Trusted Приоритет полосы WiFi © Cisco и/или ее дочерние компании, 2011 г. Все права защищены. 20 Presentation_ID © Корпорация Cisco Systems, 2008. Все права защищены. Конфиденциальная информация Cisco 20
Каковы опасения?
Как управлять доступом к сети? Кто должен иметь доступ и к чему? © Cisco и/или ее дочерние компании, 2011 г. Все права защищены. 22
Проблемы, которые сразу приходят на ум На службы ИТ ложится тяжелое бремя • Как управлять риском, возникающим, когда сотрудники приносят свои собственные устройства? • Как обеспечить единообразное качество обслуживания для всех устройств? • Как реализовать множество политик безопасности для каждого отдельного пользователя и устройства? • Что поддерживать и как? БЫСТРЫЙ РОСТ ЧИСЛА УСТРОЙСТВ © Cisco и/или ее дочерние компании, 2011 г. Все права защищены. 23
Проблемы, которые сразу приходят на ум На службы ИТ ложится тяжелое бремя • Препятствую ли я своим сотрудникам в реализации конкурентных преимуществ? • Как удержать наиболее талантливые кадры? • Как обеспечить соответствие требованиям ФЗ-152, СТО БР и т. д.? • Как достойным образом обходиться с партнерами, консультантами, гостями? ПЕРСОНАЛ СТАНОВИТСЯ ДРУГИМ © Cisco и/или ее дочерние компании, 2011 г. Все права защищены. 24
Проблемы, которые сразу приходят на ум На службы ИТ ложится тяжелое бремя • Как узнать, кто осуществляет доступ к моей инфраструктуре виртуальных настольных систем? • Как обеспечить защищенный доступ к моим данным в облаке, сохраняя масштабируемость? • Как обеспечить соответствие нормативным требованиям без ограничения рамками географических регионов? ВИРТУАЛИЗАЦИЯ © Cisco и/или ее дочерние компании, 2011 г. Все права защищены. 25
Как это работает?
Технология контроля доступа Надежная поддержка управления доступом на основе политик для вашего бизнеса Пользователь Сотрудник беспроводной Клиент виртуальной Удаленный сети / гость пользователь, п машины одключенный Всеобъемлющий учет Полная по VPN IP-устройства контекста: прозрачность кто, что, где, когда, как Использование преимуществ сети для защищенного доступа к Инфраструктура с контролем идентификационных Абсолютный данных и учетом контекста критически важным ресурсам, нейтрализации контроль рисков и поддержания соответствия нормативным требованиям Централизованное управление сервисами Эффективное Центр обработки Интранет Интернет Зоны безопасности защищенного доступа и масштабируемыми управление данных средствами обеспечения Использование существующей соответствия инфраструктуры © Cisco и/или ее дочерние компании, 2011 г. Все права защищены. 27
Архитектура решения Безопасность, ориентированная на идентификацию и контекст Политики, относящиеся к бизнесу ГДЕ ЧТО КОГДА Атрибуты КТО КАК политики безопасности Модуль централизованных политик Идентификация Динамическая политика и реализация Пользователи и устройства РЕАЛИЗАЦИЯ ПОЛИТИК МОНИТОРИНГ И ОТЧЕТНОСТЬ БЕЗОПАСНОСТИ УПРАВЛЕНИЕ ПРИЛОЖЕНИЯМИ © Cisco и/или ее дочерние компании, 2011 г. Все права защищены. 28
Элементы решения Администрирование политики Принятие решений на базе политик Система управления политиками доступа Реализация политик Коммутаторы, инфраструктура беспроводной сети и МСЭ маршрутизации Информация о политике Агент Web-агент Запрашивающий клиент 802.1x Доступ на основе идентификации — это не опция, а свойство сети, включая проводные, беспроводные сети и VPN © Cisco и/или ее дочерние компании, 2011 г. Все права защищены. 29
Защищенное управление мобильными Эффективное управление устройствами Экосистема управления мобильными устройствами (MDM) ИНТЕГРАЦИЯ С ВЕДУЩИМИ AD/LDAP ПОСТАВЩИКАМИ MDM * ISE • MobileIron, Airwatch, Zenprise Политика с MDM Manager учетом • Выбор предложений экосистемы для контекста ? клиентов Коммутаторы Контроллер WLAN ФУНКЦИИ: • Безопасная инициализация устройства Пользователь X Пользователь Y • Подробный контекст пользователя и устройства • Повышение безопасности устройства и приложения Компьютеры с Смартфоны, включая устройства Windows или OS X с iOS или Android Проводное или Беспроводное подключение беспроводное подключение © Cisco и/или ее дочерние компании, 2011 г. Все права защищены. 30
Как связать с СТО?
Требования к СИБ • Назначение и распределение ролей • Обеспечение ИБ на стадиях жизненного цикла АБС • Защита от НСД и НРД, управление доступом и регистрацией всех действий • Антивирусная защита • Использование ресурсов сети Интернет • Использование СКЗИ • Защита банковских платежных и информационно-технологических процессов © Cisco и/или ее дочерние компании, 2011 г. Все права защищены. 32
Ролевое управление ОСОБЕННОСТИ РЕАЛИЗАЦИИ Требования носят преимущественно организационный характер За мобильным устройством работает преимущественно один сотрудник и ролевое управление на самом устройстве не требуется . Доступ мобильного устройства в банковскую сеть может быть разграничен в зависимости от роли сотрудника-владельца Мобильное устройство может предоставляться в зависимости от роли/должности сотрудника © Cisco и/или ее дочерние компании, 2011 г. Все права защищены. 33
Управление доступом ОСОБЕННОСТИ РЕАЛИЗАЦИИ Средства защиты могут быть встроенными, а также навесными. Сертифицированных решений под мобильные платформы практически нет Механизмы AAA реализуется как на уровне мобильного устройства (как минимум . PIN), так и на уровне доступа к банковской сети или АБС. Аутентификация по сертификатам позволяет организовать работу под уникальными учетными записями Все попытки доступа с мобильного устройства фиксируются на периметровых средствах защиты / устройствах сетевого доступа, а также в АБС В случае компрометации информация на мобильном устройстве может быть дистанционного уничтожена, доступ с устройства в сеть запрещен, а само устройство заблокировано © Cisco и/или ее дочерние компании, 2011 г. Все права защищены. 34
Управление доступом Политики на основе Таблица доступа согласно понятного технического языка политике на основе ролей Отдельные пользователи Разрешения Ресурсы Матрица политик Аудиторы Интранет- Почтовый Серверы D1 финансовой АБС S1 (10.156.78.100) портал сервер службы (10.10.24.13) АБС Совместный Совместный web- D2 Аудитор Интернет IMAP Нет доступа web-доступ к доступ к файлам S2 файлам (10.10.28.12) Финансовая Интернет IMAP Интернет Нет доступа служба D3 (10.156.54.200) ИТ-админист- WWW, Полный Финансовая служба SQL SQL ратор SQL, SSH доступ Электронная S3 D4 почта ACL-список «Аудитор - АБС" (10.10.36.10) в интранет-сети permit tcp dst eq 443 permit tcp dst eq 80 permit tcp dst eq 445 D5 permit tcp dst eq 135 ИТ-администраторы (10.156.100.10) deny ip S4 Финансовая (10.10.135.10) D6 служба permit tcp S1 D1 eq https Требует затрат времени permit deny tcp S1 D1 eq 8081 ip S1 D1 Простота Ручные операции …… Гибкость Предрасположенность к …… permit tcp S4 D6 eq https Учет характера ошибкам permit tcp S4 D6 eq 8081 деятельности deny ip S4 D6 © Cisco и/или ее дочерние компании, 2011 г. Все права защищены. 35
Антивирусная защита ОСОБЕННОСТИ РЕАЛИЗАЦИИ Антивирус должен быть установлен, если иное не предусмотрено технологическим процессом. Для платформ Apple iOS антивирусов не существует Проверка на отсутствие вредоносных программ на мобильном устройстве может . быть осуществлена с помощью технологий NAC (Network Admission Control) Трафик с мобильного устройства может перенаправления через AV-шлюз на корпоративном периметре или через «облако» SaaS Отсутствие антивируса на мобильных устройствах может быть оправдано при условии разработки соответствующей модели угроз и реализации набора компенсационных мер (блокирование доступа, корпоративный appstore и т.д.) © Cisco и/или ее дочерние компании, 2011 г. Все права защищены. 36
Использование ресурсов Интернет ОСОБЕННОСТИ РЕАЛИЗАЦИИ Доступ к Интернет-ресурсам с мобильного устройства может быть заблокирован или ограничен только периметром банка, а также пропускаться через «облако» SaaS На мобильном устройстве могут быть задействованы различные системы . защиты, например, personal firewall и т.п. Дополнительный уровень защиты при работе через Интернет обеспечивает функция VPN На периметре банковской сети используется весь спектр защитных средств – МСЭ, IPS, антиспам, DLP и т.д. © Cisco и/или ее дочерние компании, 2011 г. Все права защищены. 37
Использование СКЗИ ОСОБЕННОСТИ РЕАЛИЗАЦИИ Необходимость использования СКЗИ определяется банком самостоятельно, если иное не предусмотрено законодательством РФ Все зависит от модели угроз. Если речь идет не о персональных данных, то . возможно применение несертифицированных СКЗИ Для ПДн СКЗИ должно быть сертифицировано по классу защиты не ниже КС2. Таких СКЗИ для мобильных платформ сегодня не существует! Возможно встраивание СКЗИ в банковские платежные (не технологические) процессы © Cisco и/или ее дочерние компании, 2011 г. Все права защищены. 38
Защита банковских процессов ОСОБЕННОСТИ РЕАЛИЗАЦИИ На мобильном устройстве возможен контроль используемых приложений и блокирование установки неразрешенных приложений (MDM) На мобильных устройствах возможно отключение сервисов (камера, диктофон, USB-порты и т.п.),.запрещенных политикой ИБ или ненужных для работы банковского процесса (MDM) На мобильных устройствах возможна реализация технологии виртуального рабочего места (VDI) для снижения объема информации, хранимой на устройстве На мобильном устройстве возможен периодический контроль требований по обеспечению ИБ © Cisco и/или ее дочерние компании, 2011 г. Все права защищены. 39
Требования к СМИБ Оценка рисков Мониторинг и контроль Реагирование на инциденты Сотрудник изнутри Любой IP-адрес Устранение проблем Мобильный Служба ИБ сотрудник • Прежде чем внедрять • Мобильные устройства не • Процедуры реагирования на мобильные устройства всегда доступны для инциденты должны оцените бизнес-потребность в дистанционного контроля учитывать специфику них мобильных устройств • Применяемые средства • При наличии потребности анализа защищеннности и • Расследование инцидентов оцените риски внедрения аудита должны учитывать требует глубоких знаний мобильных устройств с учетом специфику мобильных архитектуры и работы требований регуляторов платформ мобильных устройств Не забудьте все документировать! Не забудьте обучить сотрудников правилам пользования мобильными устройствами! © Cisco и/или ее дочерние компании, 2011 г. Все права защищены. 40
СТО РЕАЛЕН! Presentation_ID © 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential 41
Спасибо за внимание! security-request@cisco.com © Cisco и/или ее дочерние компании, 2011 г. Все права защищены. 42

More Related Content

PPTX
Концепция BYOD для руководителей
byCisco Russia
 
PDF
Cisco TrustSec
byCisco Russia
 
PDF
Byod for ya c
byExpolink
 
PDF
4 сценария внедрения BYOD на предприятии
byAleksey Lukatskiy
 
PDF
Концепция и стратегия архитектуры Cisco "Сеть без границ".
byCisco Russia
 
PDF
Проблема защиты информации в современном ЦОДе. Способы ее решения
byCisco Russia
 
PDF
Архитектура виртуализованного ЦОД - Cisco Virtual Multi-Service DataCenter. С...
byCisco Russia
 
PDF
Сетевые решения и продукты Cisco для построения интеллектуальных облачных сетей
byCisco Russia
 
Концепция BYOD для руководителей
byCisco Russia
 
Cisco TrustSec
byCisco Russia
 
Byod for ya c
byExpolink
 
4 сценария внедрения BYOD на предприятии
byAleksey Lukatskiy
 
Концепция и стратегия архитектуры Cisco "Сеть без границ".
byCisco Russia
 
Проблема защиты информации в современном ЦОДе. Способы ее решения
byCisco Russia
 
Архитектура виртуализованного ЦОД - Cisco Virtual Multi-Service DataCenter. С...
byCisco Russia
 
Сетевые решения и продукты Cisco для построения интеллектуальных облачных сетей
byCisco Russia
 

What's hot

PDF
Архитектура виртуализованного ЦОД - Cisco Virtual Multi-Service Data Center....
byCisco Russia
 
PDF
Беспроводная сеть: от А до Я
byCisco Russia
 
PDF
CISO 2010
byAleksey Lukatskiy
 
PDF
Secure Mobile Office
byAleksey Lukatskiy
 
PDF
Scada Security Standards
byAleksey Lukatskiy
 
PPTX
MUK Alcatel-Lucent roadshow
byjybronto
 
PDF
Защита виртуализированных и облачных сред.
byCisco Russia
 
PPTX
Keynote dsf consumerization of it-konstantin
byDellTeam
 
PDF
Мобильные устройства - основной движущий фактор развития унифицированной арх...
byCisco Russia
 
PDF
Решения Cisco в области ИБ для центров обработки данных
byCisco Russia
 
PPTX
Cisco ASA CX - новый прикладной МСЭ
byCisco Russia
 
PDF
Что нас ждет со стороны BN? Или ИТ.
byCisco Russia
 
PPTX
Data Centers Security
byAleksey Lukatskiy
 
PPTX
Что ждет CISO от ИТ-собратьев?
byCisco Russia
 
PDF
Клиентские приложенния унифицированных коммуникаций.
byCisco Russia
 
PPTX
ЦОД и серверные
byGracehelga
 
PDF
UC 2.0
byAnatoliy Parkhomenko
 
PDF
Review of IBM's Modern Approaches to Construction of Information Processing S...
bySSA KPI
 
PDF
Cisco-learning_club_28.06.2012_-_collaboration
byMichael Ganschuk
 
PDF
Анастасия Марченко
byit.times.com.ua
 
Архитектура виртуализованного ЦОД - Cisco Virtual Multi-Service Data Center....
byCisco Russia
 
Беспроводная сеть: от А до Я
byCisco Russia
 
CISO 2010
byAleksey Lukatskiy
 
Secure Mobile Office
byAleksey Lukatskiy
 
Scada Security Standards
byAleksey Lukatskiy
 
MUK Alcatel-Lucent roadshow
byjybronto
 
Защита виртуализированных и облачных сред.
byCisco Russia
 
Keynote dsf consumerization of it-konstantin
byDellTeam
 
Мобильные устройства - основной движущий фактор развития унифицированной арх...
byCisco Russia
 
Решения Cisco в области ИБ для центров обработки данных
byCisco Russia
 
Cisco ASA CX - новый прикладной МСЭ
byCisco Russia
 
Что нас ждет со стороны BN? Или ИТ.
byCisco Russia
 
Data Centers Security
byAleksey Lukatskiy
 
Что ждет CISO от ИТ-собратьев?
byCisco Russia
 
Клиентские приложенния унифицированных коммуникаций.
byCisco Russia
 
ЦОД и серверные
byGracehelga
 
UC 2.0
byAnatoliy Parkhomenko
 
Review of IBM's Modern Approaches to Construction of Information Processing S...
bySSA KPI
 
Cisco-learning_club_28.06.2012_-_collaboration
byMichael Ganschuk
 
Анастасия Марченко
byit.times.com.ua
 

Viewers also liked

PDF
Защита электронной почты
byCisco Russia
 
PDF
Cisco Unified Communications Manager Business Edition 3000
byCisco Russia
 
PDF
Нехватка IPv4 адресов – практический подход к решению от Cisco Systems.
byCisco Russia
 
PDF
Монетизания: Достижение прибыльности мобильного Интернета нового поколения.
byCisco Russia
 
PPTX
Каким будет бизнес-общество через 15-20 лет?
byCisco Russia
 
PDF
iWAN: предсказуемая доставка бизнес-приложений на любой топологии корпоративн...
byCisco Russia
 
PDF
Рекомендации по работе с Cisco TAC
byCisco Russia
 
PDF
Empower your Cisco Contact center with 2Ring
byCisco Russia
 
PDF
Организация записи на Cisco UCM и для Contact Center на базе Cisco MediaSense...
byCisco Russia
 
PDF
Беспроводной шлюз безопасности в сетях 4G Wireless Security Gateway (WSG)
byCisco Russia
 
PDF
Решения Cisco для оптического транспорта
byCisco Russia
 
PPT
Метафизика модели OSI. Сознательное и бессознательное в процессе индивидуализ...
byCisco Russia
 
PDF
Пользовательские устройства Cisco Collaboration. Новая линейка и новые возмож...
byCisco Russia
 
PDF
Управление унифицированными коммуникациями с Cisco Prime Collaboration 9.0
byCisco Russia
 
PDF
Беспроводные решения Cisco для развития вашего бизнеса
byCisco Russia
 
PDF
Обзор технологии Cisco Unified Presence
byCisco Russia
 
PDF
МСЭ нового поколения, смотрящий глубже и шире
byCisco Russia
 
PDF
Модернизация ядра сети пакетной передачи данных Центрального филиала ОАО «Мег...
byCisco Russia
 
PDF
CCDE сертификация глазамиTAC инженера
byCisco Russia
 
PDF
Виртуальные устройства Sourcefire и виртуальный центр защиты Sourcefire
byCisco Russia
 
Защита электронной почты
byCisco Russia
 
Cisco Unified Communications Manager Business Edition 3000
byCisco Russia
 
Нехватка IPv4 адресов – практический подход к решению от Cisco Systems.
byCisco Russia
 
Монетизания: Достижение прибыльности мобильного Интернета нового поколения.
byCisco Russia
 
Каким будет бизнес-общество через 15-20 лет?
byCisco Russia
 
iWAN: предсказуемая доставка бизнес-приложений на любой топологии корпоративн...
byCisco Russia
 
Рекомендации по работе с Cisco TAC
byCisco Russia
 
Empower your Cisco Contact center with 2Ring
byCisco Russia
 
Организация записи на Cisco UCM и для Contact Center на базе Cisco MediaSense...
byCisco Russia
 
Беспроводной шлюз безопасности в сетях 4G Wireless Security Gateway (WSG)
byCisco Russia
 
Решения Cisco для оптического транспорта
byCisco Russia
 
Метафизика модели OSI. Сознательное и бессознательное в процессе индивидуализ...
byCisco Russia
 
Пользовательские устройства Cisco Collaboration. Новая линейка и новые возмож...
byCisco Russia
 
Управление унифицированными коммуникациями с Cisco Prime Collaboration 9.0
byCisco Russia
 
Беспроводные решения Cisco для развития вашего бизнеса
byCisco Russia
 
Обзор технологии Cisco Unified Presence
byCisco Russia
 
МСЭ нового поколения, смотрящий глубже и шире
byCisco Russia
 
Модернизация ядра сети пакетной передачи данных Центрального филиала ОАО «Мег...
byCisco Russia
 
CCDE сертификация глазамиTAC инженера
byCisco Russia
 
Виртуальные устройства Sourcefire и виртуальный центр защиты Sourcefire
byCisco Russia
 

Similar to Мобильный доступ к АБС с точки зрения СТО БР ИББС

PPTX
Cisco TrustSec и Cisco ISE
byCisco Russia
 
PDF
Управление сетевым доступом корпоративных и персональных устройств с Cisco ISE
byCisco Russia
 
PDF
Управление сетевым доступом для корпоративных и персональных устройств с пом...
byCisco Russia
 
PDF
Управление сетевым доступом для корпоративных и персональных устройств.
byCisco Russia
 
PDF
Mobility and cloud security
byAleksey Lukatskiy
 
PPTX
BYOD с точки зрения ИБ. Подводные и надводные камни внедрения
byAleksey Lukatskiy
 
PDF
Обзор продуктов в области информационной безопасности.
byCisco Russia
 
PDF
Рабочее место нового поколения. Архитектура Cisco VXI. Практика проведения пи...
byCisco Russia
 
PDF
Архитектурный подход к обеспечению информационной безопасности современного п...
byCisco Russia
 
PDF
нащекин New
byАнатолий Ганин
 
PDF
What is CISO schedule for nearest two years?
byAleksey Lukatskiy
 
PDF
На что обратить внимание CISO в 2011-2012-м годах? Прогнозы и тенденции
byCisco Russia
 
PDF
Сценарии использования
byCisco Russia
 
PPTX
Защита центров обработки данных
byCisco Russia
 
PPTX
Концепция BYOD в решениях Cisco
byCisco Russia
 
PDF
Интеграция сервисов идентификации и контроля доступа. Решение Cisco Identity ...
byCisco Russia
 
PPTX
Citrix XenDesktop with Cisco UCS
bySergey Khalyapin
 
PDF
Интеграция сервисов идентификациии контроля доступа. Решение Cisco Identity S...
byCisco Russia
 
PDF
Безопасное подключение личных устройств сотрудников к корпоративным сетям ил...
byCisco Russia
 
PDF
Архитектура Cisco VXI для виртуализации рабочих мест пользователей и её внед...
byCisco Russia
 
Cisco TrustSec и Cisco ISE
byCisco Russia
 
Управление сетевым доступом корпоративных и персональных устройств с Cisco ISE
byCisco Russia
 
Управление сетевым доступом для корпоративных и персональных устройств с пом...
byCisco Russia
 
Управление сетевым доступом для корпоративных и персональных устройств.
byCisco Russia
 
Mobility and cloud security
byAleksey Lukatskiy
 
BYOD с точки зрения ИБ. Подводные и надводные камни внедрения
byAleksey Lukatskiy
 
Обзор продуктов в области информационной безопасности.
byCisco Russia
 
Рабочее место нового поколения. Архитектура Cisco VXI. Практика проведения пи...
byCisco Russia
 
Архитектурный подход к обеспечению информационной безопасности современного п...
byCisco Russia
 
нащекин New
byАнатолий Ганин
 
What is CISO schedule for nearest two years?
byAleksey Lukatskiy
 
На что обратить внимание CISO в 2011-2012-м годах? Прогнозы и тенденции
byCisco Russia
 
Сценарии использования
byCisco Russia
 
Защита центров обработки данных
byCisco Russia
 
Концепция BYOD в решениях Cisco
byCisco Russia
 
Интеграция сервисов идентификации и контроля доступа. Решение Cisco Identity ...
byCisco Russia
 
Citrix XenDesktop with Cisco UCS
bySergey Khalyapin
 
Интеграция сервисов идентификациии контроля доступа. Решение Cisco Identity S...
byCisco Russia
 
Безопасное подключение личных устройств сотрудников к корпоративным сетям ил...
byCisco Russia
 
Архитектура Cisco VXI для виртуализации рабочих мест пользователей и её внед...
byCisco Russia
 

More from Cisco Russia

PDF
Service portfolio 18
byCisco Russia
 
PDF
История одного взлома. Как решения Cisco могли бы предотвратить его?
byCisco Russia
 
PDF
Об оценке соответствия средств защиты информации
byCisco Russia
 
PDF
Обзор Сервисных Услуг Cisco в России и странах СНГ.
byCisco Russia
 
PDF
Клиентские контракты на техническую поддержку Cisco Smart Net Total Care
byCisco Russia
 
PDF
Cisco Catalyst 9000 series
byCisco Russia
 
PDF
Cisco Catalyst 9500
byCisco Russia
 
PDF
Cisco Catalyst 9400
byCisco Russia
 
PDF
Cisco Umbrella
byCisco Russia
 
PDF
Cisco Endpoint Security for MSSPs
byCisco Russia
 
PDF
Cisco FirePower
byCisco Russia
 
PDF
Профессиональные услуги Cisco для Software-Defined Access
byCisco Russia
 
PDF
Обнаружение известного вредоносного кода в зашифрованном с помощью TLS трафик...
byCisco Russia
 
PDF
Промышленный Интернет вещей: опыт и результаты применения в нефтегазовой отрасли
byCisco Russia
 
PDF
Полугодовой отчет Cisco по информационной безопасности за 2017 год
byCisco Russia
 
PDF
Годовой отчет Cisco по кибербезопасности за 2017 год
byCisco Russia
 
PDF
Безопасность для цифровой экономики. Развитие продуктов и решений Cisco
byCisco Russia
 
PDF
Cisco StealthWatch. Использование телеметрии для решения проблемы зашифрованн...
byCisco Russia
 
PDF
Обеспечение бесперебойной работы корпоративных приложений в больших гетероген...
byCisco Russia
 
PDF
Новое поколение серверов Сisco UCS. Гиперконвергентное решении Cisco HyperFle...
byCisco Russia
 
Service portfolio 18
byCisco Russia
 
История одного взлома. Как решения Cisco могли бы предотвратить его?
byCisco Russia
 
Об оценке соответствия средств защиты информации
byCisco Russia
 
Обзор Сервисных Услуг Cisco в России и странах СНГ.
byCisco Russia
 
Клиентские контракты на техническую поддержку Cisco Smart Net Total Care
byCisco Russia
 
Cisco Catalyst 9000 series
byCisco Russia
 
Cisco Catalyst 9500
byCisco Russia
 
Cisco Catalyst 9400
byCisco Russia
 
Cisco Umbrella
byCisco Russia
 
Cisco Endpoint Security for MSSPs
byCisco Russia
 
Cisco FirePower
byCisco Russia
 
Профессиональные услуги Cisco для Software-Defined Access
byCisco Russia
 
Обнаружение известного вредоносного кода в зашифрованном с помощью TLS трафик...
byCisco Russia
 
Промышленный Интернет вещей: опыт и результаты применения в нефтегазовой отрасли
byCisco Russia
 
Полугодовой отчет Cisco по информационной безопасности за 2017 год
byCisco Russia
 
Годовой отчет Cisco по кибербезопасности за 2017 год
byCisco Russia
 
Безопасность для цифровой экономики. Развитие продуктов и решений Cisco
byCisco Russia
 
Cisco StealthWatch. Использование телеметрии для решения проблемы зашифрованн...
byCisco Russia
 
Обеспечение бесперебойной работы корпоративных приложений в больших гетероген...
byCisco Russia
 
Новое поколение серверов Сisco UCS. Гиперконвергентное решении Cisco HyperFle...
byCisco Russia
 

Мобильный доступ к АБС с точки зрения СТО БР ИББС

  • 1.
    Защищенный мобильный доступ к АБСв контексте СТО БР ИББС Алексей Лукацкий Бизнес-консультант по безопасности, Cisco © Cisco и/или ее дочерние компании, 2011 г. Все права защищены. 1
  • 2.
  • 3.
    Сотрудники полны новыхожиданий Эволюция ландшафта рабочего места БЫСТРЫЙ РОСТ ЧИСЛА УСТРОЙСТВ В среднем каждый пользователь имеет К 2015 году 15 миллиардов 3–4 устройства, устройств соединяющих его с сетью будут подключаться к сети 40 % сотрудников приносят свои собственные устройства на работу БЫСТРЫЙ РОСТ КАДРЫ ВИРТУАЛИЗАЦИЯ ЧИСЛА УСТРОЙСТВ НОВОГО ПОКОЛЕНИЯ © Cisco и/или ее дочерние компании, 2011 г. Все права защищены. 3
  • 4.
    Сотрудники полны новыхожиданий Эволюция ландшафта рабочего места КАДРЫ НОВОГО ПОКОЛЕНИЯ Люди готовы к снижению 70 % конечных пользователей Работа больше не то заработной платы ради признаются в нарушении правил место, куда нужно идти возможности работать дома ИТ-безопасности ради облегчения своей жизни Им необходим доступ любых устройств в любое время, из любого места БЫСТРЫЙ РОСТ КАДРЫ ВИРТУАЛИЗАЦИЯ ЧИСЛА УСТРОЙСТВ НОВОГО ПОКОЛЕНИЯ © Cisco и/или ее дочерние компании, 2011 г. Все права защищены. 4
  • 5.
    Сотрудники полны новыхожиданий Эволюция ландшафта рабочего места ВИРТУАЛИЗАЦИЯ «К 2013 году 60 % нагрузки серверов будет виртуализовано» ―К 2013 году управление 20 % профессиональных ПК будет осуществляться в рамках модели размещаемых виртуальных настольных систем.‖ Центры обработки данных эволюционируют. Теперь приложения — это объекты, которые перемещаются по сети БЫСТРЫЙ РОСТ КАДРЫ ВИРТУАЛИЗАЦИЯ ЧИСЛА УСТРОЙСТВ НОВОГО ПОКОЛЕНИЯ © Cisco и/или ее дочерние компании, 2011 г. Все права защищены. 5
  • 6.
    Комплексное решение дляподхода BYOD («принеси свое собственное устройство») ОГРАНИЧЕННЫЙ ДОСТУП БАЗОВЫЙ ДОСТУП РАСШИРЕННЫЙ ДОСТУП НОВОГО ПОКОЛЕНИЯ ДОСТУП Среда требует строгого Ориентирован на базовые Поддержка дифференцированных Собственные корп. контроля сервисы и удобный доступ сервисов, адаптационный период, приложения, почти для всех защищенный доступ, но не для новые сервисы, собственных устройств полный контроль Множество типов устройств и методов Только устройства компании Более широкий круг устройств, доступа Множество типов устройств, Среда производителя но только Интернет Здравоохранение (корпоративных) Торговая площадка Среды образовательных Предприятия, первыми принявшие Инновационные предприятия Закрытые сети гос. органов учреждений подход BYOD Электронная розничная торговля Традиционные предприятия Гос. учреждения Доступ для подрядчиков Сервисы мобильной торговли Простые гости (видео, совместная работа и т. д.) © Cisco и/или ее дочерние компании, 2011 г. Все права защищены. 6
  • 7.
    Как это моглобы работать?
  • 8.
    © Cisco и/илиее дочерние компании, 2011 г. Все права защищены. 8 Presentation_ID © Корпорация Cisco Systems, 2008. Все права защищены. Конфиденциальная информация Cisco 8
  • 9.
    © Cisco и/илиее дочерние компании, 2011 г. Все права защищены. 9 Presentation_ID © Корпорация Cisco Systems, 2008. Все права защищены. Конфиденциальная информация Cisco 9
  • 10.
    Доверенная сеть WiFi Адаптационный период  Аутентификация пользователя  Цифровая метка устройства  Применение корпоративной конфигурации  Корпоративный AppStore  Банковские приложения  Автоматические политики © Cisco и/или ее дочерние компании, 2011 г. Все права защищены. 10 Presentation_ID © Корпорация Cisco Systems, 2008. Все права защищены. Конфиденциальная информация Cisco 10
  • 11.
    Доверенная сеть WiFi Политика с учетом контекста Применение установленных профилей политики, исходя из: типа устройства пользователя местоположения приложения © Cisco и/или ее дочерние компании, 2011 г. Все права защищены. 11 Presentation_ID © Корпорация Cisco Systems, 2008. Все права защищены. Конфиденциальная информация Cisco 11
  • 12.
    Д о ве р е нн а я с е т ь W i F i Политика с учетом контекста Доступ: ПОЛНЫЙ Нет Да Электронные досье клиентов Мобильная технология TelePresence / ВКС Электронная почта Мгновенный обмен сообщениями © Cisco и/или ее дочерние компании, 2011 г. Все права защищены. 12 Presentation_ID © Корпорация Cisco Systems, 2008. Все права защищены. Конфиденциальная информация Cisco 12
  • 13.
    Доверенная с е ть W i F i Результаты оценки клиента Х уже готовы? Еще нет, но я дам вам знать, когда они поступят © Cisco и/или ее дочерние компании, 2011 г. Все права защищены. 13 Presentation_ID © Корпорация Cisco Systems, 2008. Все права защищены. Конфиденциальная информация Cisco 13
  • 14.
    Недоверенная сеть WiFi Политика роуминга Доступ: ограниченный Нет Да Электронные досье клиентов Мобильная технология TelePresence Электронная почта Мгновенный обмен сообщениями © Cisco и/или ее дочерние компании, 2011 г. Все права защищены. 14 Presentation_ID © Корпорация Cisco Systems, 2008. Все права защищены. Конфиденциальная информация Cisco 14
  • 15.
    © Cisco и/илиее дочерние компании, 2011 г. Все права защищены. 15 Presentation_ID © Корпорация Cisco Systems, 2008. Все права защищены. Конфиденциальная информация Cisco 15
  • 16.
    © Cisco и/илиее дочерние компании, 2011 г. Все права защищены. 16 Presentation_ID © Корпорация Cisco Systems, 2008. Все права защищены. Конфиденциальная информация Cisco 16
  • 17.
    3G/4G Доступ: Ограничен Нет Да Досье на клиента Mobile TelePresence Email Instant Messenger © Cisco и/или ее дочерние компании, 2011 г. Все права защищены. 17 Presentation_ID © Корпорация Cisco Systems, 2008. Все права защищены. Конфиденциальная информация Cisco 17
  • 18.
    UPDATE 3G/4G © Cisco и/или ее дочерние компании, 2011 г. Все права защищены. 18 Presentation_ID © Корпорация Cisco Systems, 2008. Все права защищены. Конфиденциальная информация Cisco 18
  • 19.
    Trusted WiFi Доступ: ПОЛНЫЙ No Yes Досье на клиента Mobile TelePresence Email Instant Messenger © Cisco и/или ее дочерние компании, 2011 г. Все права защищены. 19 Presentation_ID © Корпорация Cisco Systems, 2008. Все права защищены. Конфиденциальная информация Cisco 19
  • 20.
    Trusted Приоритет полосы WiFi © Cisco и/или ее дочерние компании, 2011 г. Все права защищены. 20 Presentation_ID © Корпорация Cisco Systems, 2008. Все права защищены. Конфиденциальная информация Cisco 20
  • 21.
  • 22.
    Как управлять доступом к сети? Кто должен иметь доступ и к чему? © Cisco и/или ее дочерние компании, 2011 г. Все права защищены. 22
  • 23.
    Проблемы, которые сразуприходят на ум На службы ИТ ложится тяжелое бремя • Как управлять риском, возникающим, когда сотрудники приносят свои собственные устройства? • Как обеспечить единообразное качество обслуживания для всех устройств? • Как реализовать множество политик безопасности для каждого отдельного пользователя и устройства? • Что поддерживать и как? БЫСТРЫЙ РОСТ ЧИСЛА УСТРОЙСТВ © Cisco и/или ее дочерние компании, 2011 г. Все права защищены. 23
  • 24.
    Проблемы, которые сразуприходят на ум На службы ИТ ложится тяжелое бремя • Препятствую ли я своим сотрудникам в реализации конкурентных преимуществ? • Как удержать наиболее талантливые кадры? • Как обеспечить соответствие требованиям ФЗ-152, СТО БР и т. д.? • Как достойным образом обходиться с партнерами, консультантами, гостями? ПЕРСОНАЛ СТАНОВИТСЯ ДРУГИМ © Cisco и/или ее дочерние компании, 2011 г. Все права защищены. 24
  • 25.
    Проблемы, которые сразуприходят на ум На службы ИТ ложится тяжелое бремя • Как узнать, кто осуществляет доступ к моей инфраструктуре виртуальных настольных систем? • Как обеспечить защищенный доступ к моим данным в облаке, сохраняя масштабируемость? • Как обеспечить соответствие нормативным требованиям без ограничения рамками географических регионов? ВИРТУАЛИЗАЦИЯ © Cisco и/или ее дочерние компании, 2011 г. Все права защищены. 25
  • 26.
  • 27.
    Технология контроля доступа Надежнаяподдержка управления доступом на основе политик для вашего бизнеса Пользователь Сотрудник беспроводной Клиент виртуальной Удаленный сети / гость пользователь, п машины одключенный Всеобъемлющий учет Полная по VPN IP-устройства контекста: прозрачность кто, что, где, когда, как Использование преимуществ сети для защищенного доступа к Инфраструктура с контролем идентификационных Абсолютный данных и учетом контекста критически важным ресурсам, нейтрализации контроль рисков и поддержания соответствия нормативным требованиям Централизованное управление сервисами Эффективное Центр обработки Интранет Интернет Зоны безопасности защищенного доступа и масштабируемыми управление данных средствами обеспечения Использование существующей соответствия инфраструктуры © Cisco и/или ее дочерние компании, 2011 г. Все права защищены. 27
  • 28.
    Архитектура решения Безопасность, ориентированнаяна идентификацию и контекст Политики, относящиеся к бизнесу ГДЕ ЧТО КОГДА Атрибуты КТО КАК политики безопасности Модуль централизованных политик Идентификация Динамическая политика и реализация Пользователи и устройства РЕАЛИЗАЦИЯ ПОЛИТИК МОНИТОРИНГ И ОТЧЕТНОСТЬ БЕЗОПАСНОСТИ УПРАВЛЕНИЕ ПРИЛОЖЕНИЯМИ © Cisco и/или ее дочерние компании, 2011 г. Все права защищены. 28
  • 29.
    Элементы решения Администрирование политики Принятие решений на базе политик Система управления политиками доступа Реализация политик Коммутаторы, инфраструктура беспроводной сети и МСЭ маршрутизации Информация о политике Агент Web-агент Запрашивающий клиент 802.1x Доступ на основе идентификации — это не опция, а свойство сети, включая проводные, беспроводные сети и VPN © Cisco и/или ее дочерние компании, 2011 г. Все права защищены. 29
  • 30.
    Защищенное управление мобильными Эффективное управление устройствами Экосистема управления мобильными устройствами (MDM) ИНТЕГРАЦИЯ С ВЕДУЩИМИ AD/LDAP ПОСТАВЩИКАМИ MDM * ISE • MobileIron, Airwatch, Zenprise Политика с MDM Manager учетом • Выбор предложений экосистемы для контекста ? клиентов Коммутаторы Контроллер WLAN ФУНКЦИИ: • Безопасная инициализация устройства Пользователь X Пользователь Y • Подробный контекст пользователя и устройства • Повышение безопасности устройства и приложения Компьютеры с Смартфоны, включая устройства Windows или OS X с iOS или Android Проводное или Беспроводное подключение беспроводное подключение © Cisco и/или ее дочерние компании, 2011 г. Все права защищены. 30
  • 31.
  • 32.
    Требования к СИБ •Назначение и распределение ролей • Обеспечение ИБ на стадиях жизненного цикла АБС • Защита от НСД и НРД, управление доступом и регистрацией всех действий • Антивирусная защита • Использование ресурсов сети Интернет • Использование СКЗИ • Защита банковских платежных и информационно-технологических процессов © Cisco и/или ее дочерние компании, 2011 г. Все права защищены. 32
  • 33.
    Ролевое управление ОСОБЕННОСТИ РЕАЛИЗАЦИИ Требования носят преимущественно организационный характер За мобильным устройством работает преимущественно один сотрудник и ролевое управление на самом устройстве не требуется . Доступ мобильного устройства в банковскую сеть может быть разграничен в зависимости от роли сотрудника-владельца Мобильное устройство может предоставляться в зависимости от роли/должности сотрудника © Cisco и/или ее дочерние компании, 2011 г. Все права защищены. 33
  • 34.
    Управление доступом ОСОБЕННОСТИ РЕАЛИЗАЦИИ Средства защиты могут быть встроенными, а также навесными. Сертифицированных решений под мобильные платформы практически нет Механизмы AAA реализуется как на уровне мобильного устройства (как минимум . PIN), так и на уровне доступа к банковской сети или АБС. Аутентификация по сертификатам позволяет организовать работу под уникальными учетными записями Все попытки доступа с мобильного устройства фиксируются на периметровых средствах защиты / устройствах сетевого доступа, а также в АБС В случае компрометации информация на мобильном устройстве может быть дистанционного уничтожена, доступ с устройства в сеть запрещен, а само устройство заблокировано © Cisco и/или ее дочерние компании, 2011 г. Все права защищены. 34
  • 35.
    Управление доступом Политики на основе Таблица доступа согласно понятного технического языка политике на основе ролей Отдельные пользователи Разрешения Ресурсы Матрица политик Аудиторы Интранет- Почтовый Серверы D1 финансовой АБС S1 (10.156.78.100) портал сервер службы (10.10.24.13) АБС Совместный Совместный web- D2 Аудитор Интернет IMAP Нет доступа web-доступ к доступ к файлам S2 файлам (10.10.28.12) Финансовая Интернет IMAP Интернет Нет доступа служба D3 (10.156.54.200) ИТ-админист- WWW, Полный Финансовая служба SQL SQL ратор SQL, SSH доступ Электронная S3 D4 почта ACL-список «Аудитор - АБС" (10.10.36.10) в интранет-сети permit tcp dst eq 443 permit tcp dst eq 80 permit tcp dst eq 445 D5 permit tcp dst eq 135 ИТ-администраторы (10.156.100.10) deny ip S4 Финансовая (10.10.135.10) D6 служба permit tcp S1 D1 eq https Требует затрат времени permit deny tcp S1 D1 eq 8081 ip S1 D1 Простота Ручные операции …… Гибкость Предрасположенность к …… permit tcp S4 D6 eq https Учет характера ошибкам permit tcp S4 D6 eq 8081 деятельности deny ip S4 D6 © Cisco и/или ее дочерние компании, 2011 г. Все права защищены. 35
  • 36.
    Антивирусная защита ОСОБЕННОСТИ РЕАЛИЗАЦИИ Антивирус должен быть установлен, если иное не предусмотрено технологическим процессом. Для платформ Apple iOS антивирусов не существует Проверка на отсутствие вредоносных программ на мобильном устройстве может . быть осуществлена с помощью технологий NAC (Network Admission Control) Трафик с мобильного устройства может перенаправления через AV-шлюз на корпоративном периметре или через «облако» SaaS Отсутствие антивируса на мобильных устройствах может быть оправдано при условии разработки соответствующей модели угроз и реализации набора компенсационных мер (блокирование доступа, корпоративный appstore и т.д.) © Cisco и/или ее дочерние компании, 2011 г. Все права защищены. 36
  • 37.
    Использование ресурсов Интернет ОСОБЕННОСТИ РЕАЛИЗАЦИИ Доступ к Интернет-ресурсам с мобильного устройства может быть заблокирован или ограничен только периметром банка, а также пропускаться через «облако» SaaS На мобильном устройстве могут быть задействованы различные системы . защиты, например, personal firewall и т.п. Дополнительный уровень защиты при работе через Интернет обеспечивает функция VPN На периметре банковской сети используется весь спектр защитных средств – МСЭ, IPS, антиспам, DLP и т.д. © Cisco и/или ее дочерние компании, 2011 г. Все права защищены. 37
  • 38.
    Использование СКЗИ ОСОБЕННОСТИ РЕАЛИЗАЦИИ Необходимость использования СКЗИ определяется банком самостоятельно, если иное не предусмотрено законодательством РФ Все зависит от модели угроз. Если речь идет не о персональных данных, то . возможно применение несертифицированных СКЗИ Для ПДн СКЗИ должно быть сертифицировано по классу защиты не ниже КС2. Таких СКЗИ для мобильных платформ сегодня не существует! Возможно встраивание СКЗИ в банковские платежные (не технологические) процессы © Cisco и/или ее дочерние компании, 2011 г. Все права защищены. 38
  • 39.
    Защита банковских процессов ОСОБЕННОСТИ РЕАЛИЗАЦИИ На мобильном устройстве возможен контроль используемых приложений и блокирование установки неразрешенных приложений (MDM) На мобильных устройствах возможно отключение сервисов (камера, диктофон, USB-порты и т.п.),.запрещенных политикой ИБ или ненужных для работы банковского процесса (MDM) На мобильных устройствах возможна реализация технологии виртуального рабочего места (VDI) для снижения объема информации, хранимой на устройстве На мобильном устройстве возможен периодический контроль требований по обеспечению ИБ © Cisco и/или ее дочерние компании, 2011 г. Все права защищены. 39
  • 40.
    Требования к СМИБ Оценка рисков Мониторинг и контроль Реагирование на инциденты Сотрудник изнутри Любой IP-адрес Устранение проблем Мобильный Служба ИБ сотрудник • Прежде чем внедрять • Мобильные устройства не • Процедуры реагирования на мобильные устройства всегда доступны для инциденты должны оцените бизнес-потребность в дистанционного контроля учитывать специфику них мобильных устройств • Применяемые средства • При наличии потребности анализа защищеннности и • Расследование инцидентов оцените риски внедрения аудита должны учитывать требует глубоких знаний мобильных устройств с учетом специфику мобильных архитектуры и работы требований регуляторов платформ мобильных устройств Не забудьте все документировать! Не забудьте обучить сотрудников правилам пользования мобильными устройствами! © Cisco и/или ее дочерние компании, 2011 г. Все права защищены. 40
  • 41.
    СТО РЕАЛЕН! Presentation_ID © 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential 41
  • 42.
    Спасибо за внимание! security-request@cisco.com © Cisco и/или ее дочерние компании, 2011 г. Все права защищены. 42

Editor's Notes

  • #4 What are the transformations.. And the specific challengesNeed to make this more impactful.Focus on three themes:Slide #1 Device Proliferation - 15 Billion devices by 2015 that will be connecting to your network - Every person has 3-4 devices on them that connects to the network - 40% of Staff are bringing their own devices to work2) Next Generation Workforce - Work is no longer a place you go to work - People are willing to take a pay cut as long as they are able to work from home - Globalization, acquisitions, increased competitiveness - Need anywhere, anytime, any device access3) Virtualization No content yet, just put placeholderSlide #2Device ProliferationHow do I ensure consistent experience on all devices? How and what do I support?How do I implement multiple security policies per user, device? What devices are on my networks?  2) Changing WorkforceAm I hindering my workforce to be competitive?How do I retain top talent?How do I ensure compliance with SOX, HIPAA, etc?Can I handle partners, consultants, guest appropriately? 3) VirtualizationHow do I know who is accessing my virtual desktop infrastructure?How do I secure access to my data across the cloud.. in a scalable wayCan I ensure compliance across geographic boundaries
  • #5 What are the transformations.. And the specific challengesNeed to make this more impactful.Focus on three themes:Slide #1 Device Proliferation - 15 Billion devices by 2015 that will be connecting to your network - Every person has 3-4 devices on them that connects to the network - 40% of Staff are bringing their own devices to work2) Next Generation Workforce - Work is no longer a place you go to work - People are willing to take a pay cut as long as they are able to work from home - Globalization, acquisitions, increased competitiveness - Need anywhere, anytime, any device access3) Virtualization No content yet, just put placeholderSlide #2Device ProliferationHow do I ensure consistent experience on all devices? How and what do I support?How do I implement multiple security policies per user, device? What devices are on my networks?  2) Changing WorkforceAm I hindering my workforce to be competitive?How do I retain top talent?How do I ensure compliance with SOX, HIPAA, etc?Can I handle partners, consultants, guest appropriately? 3) VirtualizationHow do I know who is accessing my virtual desktop infrastructure?How do I secure access to my data across the cloud.. in a scalable wayCan I ensure compliance across geographic boundaries
  • #6 What are the transformations.. And the specific challengesNeed to make this more impactful.Focus on three themes:Slide #1 Device Proliferation - 15 Billion devices by 2015 that will be connecting to your network - Every person has 3-4 devices on them that connects to the network - 40% of Staff are bringing their own devices to work2) Next Generation Workforce - Work is no longer a place you go to work - People are willing to take a pay cut as long as they are able to work from home - Globalization, acquisitions, increased competitiveness - Need anywhere, anytime, any device access3) Virtualization No content yet, just put placeholderSlide #2Device ProliferationHow do I ensure consistent experience on all devices? How and what do I support?How do I implement multiple security policies per user, device? What devices are on my networks?  2) Changing WorkforceAm I hindering my workforce to be competitive?How do I retain top talent?How do I ensure compliance with SOX, HIPAA, etc?Can I handle partners, consultants, guest appropriately? 3) VirtualizationHow do I know who is accessing my virtual desktop infrastructure?How do I secure access to my data across the cloud.. in a scalable wayCan I ensure compliance across geographic boundaries
  • #9 What does this all really mean? It introduces a new chasm – the netherworld between trusted enterprise networks, and the wild world of the internet that is accessed while roaming hotspots, 3G/4G networks and home networks. Did you know that employee devices spend a full 50% of connected lives OFF the enterprise network? As never before, organizations must manage the transitions on and off different networks seamlessly, while protecting sensitive information.But this growth in wireless and mobility can also create new opportunities to increase efficiency and grow your business today. Just how can you take advantage of this market transition?What I’m going to do today is break it down into a very simple example. Let’s walk through a day in the life of Dr. Jack Thompson, something that is happening right now in hospitals across the country. [TRANSITION] Let’s see what a true seamless experience should be for Dr. Thompson, and the systems that make it happen.
  • #10 Dr. Thompson buys a 3G iPad during lunch, walks back to the hospital and hands his new iPad to IT and says I want to use this for my work. Now what?[TRANSITION]
  • #11 His IT manager tells him that using his username and password, he can “onboard” the device and the network will apply all the correct policies and approved apps automaticallyThe IT manager knows the importance of keeping the network secure, and complying with regulations to protect patient data. So things like remote wipe and data loss prevention are critical. [TRANSITION]
  • #12 Luckily, his system can help him apply contextual policies based on things like device type, user or location automatically, without user intervention. We’ve kept it simple for this example, but as you all know you can apply polices based on many more attributes.That’s it, Dr. Thompson has now on-boarded his new iPad. Keep in mind, to enable this seamless experience the network needs to support certain things: First, you need an 802.11n Wi-Fi network which can withstand the challenges of Mobility including complex RF interference. Second, you need identity-based network control for the contextual policy we just touched on. Mobile Device Management is required for functions such as installing enterprise applications or remote wipe if the device is lost. Last but not least, Make sure you have a management system for the infrastructure and a service assurance manager for visibility into what’s going on in the network, and what you need to do if things start going wrong. If you have branches in the Hospital, WAN optimization will help help keep network resources available.[TRANSITION]
  • #13 Let’s get back to Dr. Thompson…. He is now attending to patients in the OR. His contextual policy has been defined from an application perspective such that when he is at work, he has full access electronic medical records, mobile telepresence, email and IM. Again, we are keeping it simple here in terms of applications used. It’s key to note that you can tailor this policy for unique job and regulatory requirements, with the doctor only allowed to access sensitive patient records while in the office due to HIPPA regulations.It’s now 2 o’clock and Dr. Thompson needs his afternoon coffee, what happens when he leaves the Hospital? [TRANSITION]
  • #14 Doctor goes to OR, pulls up EMR and xray imagesCommunicates with staff via IMWe know that literally billions of devices are pouring onto networks – at hospitals that presents doctors, administrators, patients, and visitors. Each has unique needs, and along with tablets and smart phones, healthcare has specialized medical equipment, and wireless tracking tags, connecting in increasing numbersA wi-fi network must be designed to meet these challenges, these changing device profiles, application profiles, and device density.Capacity and performance to support the influx of clientsPerformance to handle new applications, such as two-way TP with patients, and EMR data housed centrally for a medical group, and application data now residing in the cloud Acceleration for all client types, even the medical asset tags, slower tablets and smart phonesPROACTIVE protection against wireless interference from things like blanket warmers and light controlsLocation tracking for assets and peoplePlus, patient data is protected by HIPPA regulations, so IT must carefully govern when and how this can be accessed
  • #15 He decides to visit the coffee shop next door, which has a Wi-Fi hotspot. Now, his contextual policy becomes a roaming policy defined by the Hospital. The policy says that Dr. Thompson will not have access to EMR while at the coffee shop, but he will be able to use email, telepresence and IM[TRANSITION] While there, he gets a paged from his nurse, and gets into a video chat session to have a two-way video chat about his patient.
  • #17 Doctor goes to his child’s soccer game, still with iPad, on 3GAgain, his VPN has roamed from hotspot to 3G, preventing any interruption or interventionHe has full access to patient data, but his applications have been throttled to prevent overloading the 3G network and to prevent application performance issuesOur doctor pulls up his EMR application, checks for updates on patient status, all is well, watches game with ease
  • #18 Doctor goes to his child’s soccer game, still with iPad, on 3GAgain, his VPN has roamed from hotspot to 3G, preventing any interruption or interventionHe has full access to patient data, but his applications have been throttled to prevent overloading the 3G network and to prevent application performance issuesOur doctor pulls up his EMR application, checks for updates on patient status, all is well, watches game with ease
  • #19 Doctor goes to his child’s soccer game, still with iPad, on 3GAgain, his VPN has roamed from hotspot to 3G, preventing any interruption or interventionHe has full access to patient data, but his applications have been throttled to prevent overloading the 3G network and to prevent application performance issuesOur doctor pulls up his EMR application, checks for updates on patient status, all is well, watches game with ease
  • #20 Doctor goes home – connects on home Wi-Fi, He has partitioned access – tunnel back to hospital, and a personal SSID for family accessDoctor calls in on his IP softphone to talk with a colleague about tomorrow’s operations[TRANSITION]
  • #21 Doctor goes home – connects on home Wi-Fi, He has partitioned access – tunnel back to hospital, and a personal SSID for family accessDoctor calls in on his IP softphone to talk with a colleague about tomorrow’s operationsSon starts a Call of Duty “Modern Warfare 3” game – but his home router applies QoS and prioritizes this lower than his phone callHis call continues with perfect quality
  • #24 What are the transformations.. And the specific challengesNeed to make this more impactful.Focus on three themes:Slide #1 Device Proliferation - 15 Billion devices by 2015 that will be connecting to your network - Every person has 3-4 devices on them that connects to the network - 40% of Staff are bringing their own devices to work2) Next Generation Workforce - Work is no longer a place you go to work - People are willing to take a pay cut as long as they are able to work from home - Globalization, acquisitions, increased competitiveness - Need anywhere, anytime, any device access3) Virtualization No content yet, just put placeholderSlide #2Device ProliferationHow do I ensure consistent experience on all devices? How and what do I support?How do I implement multiple security policies per user, device? What devices are on my networks?  2) Changing WorkforceAm I hindering my workforce to be competitive?How do I retain top talent?How do I ensure compliance with SOX, HIPAA, etc?Can I handle partners, consultants, guest appropriately? 3) VirtualizationHow do I know who is accessing my virtual desktop infrastructure?How do I secure access to my data across the cloud.. in a scalable wayCan I ensure compliance across geographic boundaries
  • #25 What are the transformations.. And the specific challengesNeed to make this more impactful.Focus on three themes:Slide #1 Device Proliferation - 15 Billion devices by 2015 that will be connecting to your network - Every person has 3-4 devices on them that connects to the network - 40% of Staff are bringing their own devices to work2) Next Generation Workforce - Work is no longer a place you go to work - People are willing to take a pay cut as long as they are able to work from home - Globalization, acquisitions, increased competitiveness - Need anywhere, anytime, any device access3) Virtualization No content yet, just put placeholderSlide #2Device ProliferationHow do I ensure consistent experience on all devices? How and what do I support?How do I implement multiple security policies per user, device? What devices are on my networks?  2) Changing WorkforceAm I hindering my workforce to be competitive?How do I retain top talent?How do I ensure compliance with SOX, HIPAA, etc?Can I handle partners, consultants, guest appropriately? 3) VirtualizationHow do I know who is accessing my virtual desktop infrastructure?How do I secure access to my data across the cloud.. in a scalable wayCan I ensure compliance across geographic boundaries
  • #26 What are the transformations.. And the specific challengesNeed to make this more impactful.Focus on three themes:Slide #1 Device Proliferation - 15 Billion devices by 2015 that will be connecting to your network - Every person has 3-4 devices on them that connects to the network - 40% of Staff are bringing their own devices to work2) Next Generation Workforce - Work is no longer a place you go to work - People are willing to take a pay cut as long as they are able to work from home - Globalization, acquisitions, increased competitiveness - Need anywhere, anytime, any device access3) Virtualization No content yet, just put placeholderSlide #2Device ProliferationHow do I ensure consistent experience on all devices? How and what do I support?How do I implement multiple security policies per user, device? What devices are on my networks?  2) Changing WorkforceAm I hindering my workforce to be competitive?How do I retain top talent?How do I ensure compliance with SOX, HIPAA, etc?Can I handle partners, consultants, guest appropriately? 3) VirtualizationHow do I know who is accessing my virtual desktop infrastructure?How do I secure access to my data across the cloud.. in a scalable wayCan I ensure compliance across geographic boundaries
  • #30 The trustsec portfolio is now enhanced with the introduction of our new policy manager ISE.Policy decision point and the platform for delivery of services is ISEPolicy enforcement is our infrastructureFinally client capabilities (802.1X, MACSec) is integrated into the Anyconnect. Or customers can use native supplicants. The NAC posture agent will be integrated into AC in the 1H CY2012
  • #31 Comprehensive device provisioningAutomated on premise MDM enrollment with appropriate device and application provisioningDetailed User and Device ContextHigh fidelity device info offer true visibility of what is connectedIncreased device details (OS version, serial number, etc) enhances policy decisioning.Increased Device and Application SecurityDevice tracking capabilities upon device loss
  • #34 Business BenefitsScalable and Consistent Policy Enforcement- Highly scalable segmentation through context-aware network devices- Centralized distribution of policy controlsConsistent enforcement across wired, wireless, physical and virtualIncreased Business Agility- Reduced Interlock between server, network and security administration- Resource moves can be handled automaticallyReduced Operational Expense- Reduction in access control entries- Keep existing logical designs- Simplified audits of firewall and datacenter policies
  • #35 Business BenefitsScalable and Consistent Policy Enforcement- Highly scalable segmentation through context-aware network devices- Centralized distribution of policy controlsConsistent enforcement across wired, wireless, physical and virtualIncreased Business Agility- Reduced Interlock between server, network and security administration- Resource moves can be handled automaticallyReduced Operational Expense- Reduction in access control entries- Keep existing logical designs- Simplified audits of firewall and datacenter policies
  • #36 Application Team – Control access to PCI Customer Data based on user, roleSystem Team – Identify data locations with PCI Customer DataNetwork Team – Create router, switch access controls for user IP addresses to Networks with PCI Customer Data
  • #37 Business BenefitsScalable and Consistent Policy Enforcement- Highly scalable segmentation through context-aware network devices- Centralized distribution of policy controlsConsistent enforcement across wired, wireless, physical and virtualIncreased Business Agility- Reduced Interlock between server, network and security administration- Resource moves can be handled automaticallyReduced Operational Expense- Reduction in access control entries- Keep existing logical designs- Simplified audits of firewall and datacenter policies
  • #38 Business BenefitsScalable and Consistent Policy Enforcement- Highly scalable segmentation through context-aware network devices- Centralized distribution of policy controlsConsistent enforcement across wired, wireless, physical and virtualIncreased Business Agility- Reduced Interlock between server, network and security administration- Resource moves can be handled automaticallyReduced Operational Expense- Reduction in access control entries- Keep existing logical designs- Simplified audits of firewall and datacenter policies
  • #39 Business BenefitsScalable and Consistent Policy Enforcement- Highly scalable segmentation through context-aware network devices- Centralized distribution of policy controlsConsistent enforcement across wired, wireless, physical and virtualIncreased Business Agility- Reduced Interlock between server, network and security administration- Resource moves can be handled automaticallyReduced Operational Expense- Reduction in access control entries- Keep existing logical designs- Simplified audits of firewall and datacenter policies
  • #40 Business BenefitsScalable and Consistent Policy Enforcement- Highly scalable segmentation through context-aware network devices- Centralized distribution of policy controlsConsistent enforcement across wired, wireless, physical and virtualIncreased Business Agility- Reduced Interlock between server, network and security administration- Resource moves can be handled automaticallyReduced Operational Expense- Reduction in access control entries- Keep existing logical designs- Simplified audits of firewall and datacenter policies
  • #42 What can you expect to see next? Plenty!Over the coming quarters, Cisco will be expanding and integrating the technologies that make this story a realityRobust WLAN infrastructure to support more mobile clients (preview 3600 and 7.2)Strategies for MDM to ensure management and security of these smart but vulnerable devices.Continuing evolution of identity-based access control to help IT cope with the rapid change in client base