2. Текущие задачи, меняющие отрасль ИБ
Изменение
бизнес-моделей
Динамический
ландшафт угроз
Сложность и
фрагментация
3. О чем пойдет речь?
• Краткий обзор текущей ситуации
• Краткий экскурс в историю ограничений
• Можно ли взять и запретить?
• 5 сценариев развития событий
• 6 точек зрения на развитие отрасли ИБ в текущей ситуации
• Рекомендации для игроков рынка
• Заключение
6. Что понимают под «санкциями» те, кто их вводил и те, кто
про них читает/слышит/смотрит?
− ±
Блокирование
чего-то
Исключение чего-
то
Приостановление
чего-то
Запрет чего-то Санкции
Ограничение
чего-то
Изменение
процедуры
7. Откуда исходят санкции?
• Важно не только то откуда исходят санкции (или не исходят), но и
то, какова цепочка прохождения продукта/услуги, а также штаб-
квартира производителя/поставщика и кто входит в руководство
– Учитывайте перспективы усиления/ослабления санкций и
появление новых стран, их поддерживающих (например, Китай
или Южная Корея)
8. «Санкции» могут исходить не только извне, но и изнутри
– на уровне отраслей, компаний или холдингов
9. Кто и что санкционировал (в контексте ИТ/ИБ)?
• ОЭСР приостановила процесс принятия РФ в свои члены
– На вопросы ИБ почти не повлияло
• НАТО приостановил сотрудничество, включая и вопросы МИБ
• Евросоюз
– Запрет на инвестиции в многие сектора экономики Крыма
– Запрет на экспорт товаров двойного назначения для военного
использования
• Великобритания, а также иные страны (Швейцария и т.д.)
– Запрет на поставки продукции двойного назначения
• США (и Канада)
– Секторальные и поименные санкции
– Приостановлена работа двусторонних комиссий, включая и МИБ
– Ограничен экспорт товаров оборонного назначения
11. Эффект Сноудена
• «ФСБ знает все закрытые
ключи от ГОСТ 28147-89»,
«антивирусный компании сами
пишут вирусы», «ИТ-компании
оставляют закладки в своей
продукции»…
– Мифотворчество
расцветаем буйным цветом
в условиях нехватки данных
• Любая спецслужба защищает
интересы своего государства
– Зачастую в ущерб
интересам отдельных
граждан, группам граждан
или бизнесу
13. Регулярные санкции не мешали использовать технологии
и развиваться
• Координационный комитет по
экспортному контролю (КОКОМ)
– 1949 – 1994 гг.
• Многосторонний контроль экспорта в
СССР и другие социалистические
государства
– Регулярно обновляемые перечни
«стратегических» товаров и
технологий, не подлежащих
экспорту в страны «восточного
блока»
• Директива президента США NSDD–66
(National Security Decision Directive)
– 1982 год
14. Контроль ИТ-поставок в Россию придумали не сейчас
• Что, куда, кому, зачем?
– Commerce Control List
– Commerce Country Chart
– «Черные списки»
15. Ввоз средств шифрования
• Необходимость реализации Вассенарских
соглашений по контролю обычных вооружений
и технологий двойного назначения
– 1996 год
– Подписали 40+ государств, включая Россию
– Продолжение идей КОКОМ, но
применительно к реалиям сегодняшнего дня
• С 1-го января 2010-го года на территории
Таможенного союза (Россия, Казахстан и
Белоруссия) вступили в силу новые правила
ввоза средств шифрования
– Не имеет отношения к ВТО
– Не запрет, а контроль
– «Санкции» = изменение процедуры
16. Что контролируется при ввозе на территорию РФ?
• Принтеры, копиры и факсы
• Кассовые аппараты
• Карманные компьютеры
• Карманные машины для записи,
воспроизведения и визуального
представления
• Вычислительные машины и их
комплектующие
• Абонентские устройства связи
• Базовые станции
• Телекоммуникационное
оборудование
• Программное обеспечение
• Аппаратура для радио- и
телевещания и приема
• Радионавигационные
приемники, устройства
дистанционного управления
• Аппаратура доступа в Интернет
• Схемы электронные,
интегральные, запоминающие
устройства
• Большое количество позиций
групп 84 и 85 Единого
Таможенного Тарифа
таможенного союза Республики
Беларусь, Республики Казахстан
и Российской Федерации
• Прочее
17. ФСБ не запрещает, а контролирует ввоз
Упрощенная схема
• Ввоз по
нотификации
По лицензии
• Разрешение ФСБ
• Ввоз по лицензии
Минпромторга
• Проверка легитимности ввоза по нотификации
– http://www.tsouz.ru/db/entr/notif/Pages/default.aspx
• Проверка легитимности ввоза по лицензии
– Копия положительного заключения ФСБ на ввоз
18. Вспомним Доктрину ИБ РФ 2000-го года
• В качестве угрозы
рассматривается использование
несертифицированных
отечественных и зарубежных ИТ,
средств защиты информации,
средств информатизации,
телекоммуникации и связи при
создании и развитии российской
информационной
инфраструктуры
– 14 лет назад!
25. Развитие событий похоже на американские горки
• Непредсказуемо
– Если не
сталкивался
раньше
• Страшно и не
хочется
– Если в первый
раз
• Страшно, но
вариантов нет
• Адреналин
– Новые опыт и
возможности
26. 6 точек зрения на текущую ситуацию
Западный
поставщик ИБ
Российский
поставщик ИБ
Потребитель Регулятор
СМИ
Законодатель
• А еще каждый эксперт имеет свою точку зрения, опирающуюся на
его знания, опыт и мировозрение
27. Сценарии развития событий (на текущий момент времени)
Оставят как
есть
Введут
новые
правила Переходный
Запретят Сценарии
период (на
несколько
лет)
Гибридный
сценарий
7%
3%
25%
15%
50%
29. Из чего складывается доверие к средству защиты?
Доверие
Требования к самим
средствам защиты
• По данным направлениям и должны действовать поставщики
средств или услуг защиты
Требования к среде
функционирования
Требования к
разработке/разработчику
30. Увеличение номенклатуры типов средств защиты и самих
средств защиты
Регуляторы и
их требования
Приказ №17
Приказ №21
Приказ №31
382-П
СТО БР ИББС
СТО Газпрома
Нужны технические
средства и
предложения услуг
для реализации
требований
31. Непаханое поле для российских разработчиков
• Реализация требований
существующих нормативных
требований – хороший шаг и
непаханное поле для
разработчиков
– Преимущественно
отечественных
• Можно разрабатывать все с
нуля, а можно работать
совместно с зарубежными
игроками, создавая
интеграционные решения
– Например, Cisco NME-RVPN совместно с С-Терра СиЭсПи, Cisco
Web Security Appliance с Traffic Monitor от Инфовотч, ViPNet IDS
на базе Snort, Positive technologies WAF на базе Cisco UCS-E…
32. Усилия самого производителя: доверенная архитектура
Основа доверия
Процесс Технологи Политики
Защищенный
процесс
Жизненный цикл
и
Технологии защиты продуктов Стандарты и РД
Information Assurance (IA)
Общие модули и функции
Реализовано Планируется
На радаре
• NG & Common Crypto
• Secure Storage
• Run Time Integrity
• Trust Anchor
• Secure Boot
• Image Signing
• Entropy
• Immutable Identity
• xxx
FIPS / USGv6
DoD IA
• TCG
• xxx
ФСТЭК / ФСБ
• xxx
• xxx
• xxx
• xxx
http://www.cisco.com/web/solutions/trends/trustworthy_systems/index.html
33. Что определяет защищенность?
• Защищенность ПО
определяет не
число угроз в нем и
не страна
происхождения, а
выстроенный
процесс
управления
уязвимостями
– Включая
скорость
реагирования
• Например, у Cisco
существует команда PSIRT и публичная политика раскрытия
информации об уязвимостях
34. Как проверить/контролировать заявления любого
производителя – отечественного или зарубежного?
• Контроль импорта высокотехнологичной
продукции Контроль
• Разработка и (или) производство ИТ/ИБ-
решений на территории России
Локальное
производство
• Сертификация по требованиям
безопасности
Оценка
соответствия
• Контроль со стороны лицензирующего
органа по отдельным видам деятельности
Лицензирование
деятельности
35. Локальное производство на территории России
Разработка
• Создание центров
разработки в
России
Производство
• Перенос
производства на
территорию РФ
• Крупные иностранные ИТ/ИБ-игроки проводят политику локального
производства своей продукции в России
– Например, Cisco не только локально производит в России
маршрутизаторы, беспроводное оборудование, VPN-модули и IP-
телефоны, но и ведет локальную разработку на базе Сколково
– Некоторые игроки передают права на интеллектуальную
собственность на свою продукцию (например, Cisco для ФГУП
ЭЗАН)
• Некоторые отечественные игроки «уходят» в Китай/Тайвань для
снижения себестоимости своей продукции
Передача прав
• Передача прав на
интеллектуальную
собственность
или ее фрагменты
36. Импорт – это не только то, что с Запада, но и то, что с
Востока. Что такое «отечественный производитель»?
37. Что такое «российский производитель»?
• «Под словами «у
российских
производителей»,
подразумеваются в том
числе и предприятия с
иностранным участием
и со стопроцентным
иностранным
капиталом, но
работающие на
территории России и
подчиняющиеся
российскому
законодательству»
– В.Путин, ПМЭФ, 2014
38. Сертификация по требованиям безопасности существует
в РФ с конца прошлого века
ФСТЭК ФСБ МО СВР
Все, кроме
криптографии
СКЗИ
МСЭ
Антивирусы
IDS
BIOS
Сетевое
оборудование
Все для нужд
оборонного ведомства
Тайна, покрытая
мраком
Требования
открыты
Требования закрыты (часто секретны). Даже лицензиаты
зачастую не имеют их, оперируя выписками из выписок
А еще есть 4 негосударственных системы сертификации СЗИ – ГАЗПРОМСЕРТ,
«АйТиСертифика» (ЕВРААС), Ecomex и «Каскад»
39. Меняется ситуация – меняются и системы сертификации
средств защиты
ФСТЭК
• Новое положение о
сертификации
• Порядок
обновления средств
защиты
информации
• 10+ новых РД с
требованиями к
средствам защиты
ФСБ
• Изменение системы
сертификации СКЗИ
в части встраивания
«криптобиблиотек»
и т.д.
• Расширение
спектра типов
сертифицируемых
средств защиты (не
только СКЗИ)
40. Сертификация – это не единичный шаг, это непрерывный
процесс
ПАРТНЕРЫ
СISCO
Партнер #1
Партнер #2
Партнер #3
AMT & ООО «Верком»
ФСТЭК
Оборудование без
сертификации по
требованиям
ФСТЭК
Оборудование с
сертификатами
ФСТЭК
Дистрибуторы
Cisco
Systems, Inc
Партнер #N
производство по
требованиям ФСТЭК
сертификационный
пакет ФСТЭК
Производство за
пределами России
Cisco
Systems, Inc
Производство в
России
Контроль, обновления,
получение информации о заказах
43. Плыть по течению тоже неправильно или рекомендации
потребителю
• Оцените риски!
– Реальные, а не мифические!
– Вы можете управлять этими рисками?
• Оцените ИТ/ИБ-активы
– Вы знаете альтернативы? Они вас
устраивают? Они производятся в
промышленных масштабах?
– Азиатское – это тоже импортное! Свое
– это только Россия (и в перспективе
ЕврАзЭС)
• Сертификация и локальное
производство на территории РФ – меры
по снижению риска
• А государство пусть стимулирует
развитие локального рынка ИТ и ИБ
44. На волне истерии о геополитике не забывайте о реальной
безопасности!
With sophisticated threats and an any to any infrastructure, customers are feeling three big challenges:
Changing business models and attack vectors
How do we maintain security posture and compliance as our IT landscape - mobility, cloud, the Internet of everything – is changing?
A dynamic threat landscape
How do we improve our ability to continuously protect against new attack vectors and the increasing sophistication of threats?
Complexity and fragmentation of security solutions
How are we going to work on the first two problems and reduce complexity in our environments at the same time?
The combination of these dynamics has created security gaps, broken the security lifecycle and reduced visibility – as well as creating increased complexity and management challenges.
Learn security considerations and solutions from cisco.com/….
Call a Cisco or partner to perform a security assessment
Assess your security status based on the 7 Security questions (and assess our organization level of security in a 5-7 steps framework - TBD)
Learn about Cisco solution from XYZ - (use the 7 Questions as a way to get to this like we do with BN)
Learn from how Cisco has deployed these security solutions through Cisco-on-Cisco case studies and customer case studies
Process, policy and technology must all work together to protect the product . You must start with a genuine product built with security in mind.
The changing business environment is also shifting user expectations of IT. The Cisco Connected World Report shows greater demand for the ability to work from anywhere with the user’s device of choice, while using video and rich media to enhance communications. Simultaneously, the report showed that IT is struggling with the performance and security implications associated with the proliferation of mobile devices and the delivery of a dynamic networked organization.
60% believe they don’t need to be in the office to be productive
66% would accept a lower-paying job (10%) for more work flexibility
45% work an extra 2-3 hours a day since they are able to work outside of the office (additional 25% work 4+ hours)
45% of IT professionals unprepared to make workforces more mobile
57% of IT professionals said security is the biggest challenge in supporting a mobile and distributed workforce
The changing business environment is also shifting user expectations of IT. The Cisco Connected World Report shows greater demand for the ability to work from anywhere with the user’s device of choice, while using video and rich media to enhance communications. Simultaneously, the report showed that IT is struggling with the performance and security implications associated with the proliferation of mobile devices and the delivery of a dynamic networked organization.
60% believe they don’t need to be in the office to be productive
66% would accept a lower-paying job (10%) for more work flexibility
45% work an extra 2-3 hours a day since they are able to work outside of the office (additional 25% work 4+ hours)
45% of IT professionals unprepared to make workforces more mobile
57% of IT professionals said security is the biggest challenge in supporting a mobile and distributed workforce
The changing business environment is also shifting user expectations of IT. The Cisco Connected World Report shows greater demand for the ability to work from anywhere with the user’s device of choice, while using video and rich media to enhance communications. Simultaneously, the report showed that IT is struggling with the performance and security implications associated with the proliferation of mobile devices and the delivery of a dynamic networked organization.
60% believe they don’t need to be in the office to be productive
66% would accept a lower-paying job (10%) for more work flexibility
45% work an extra 2-3 hours a day since they are able to work outside of the office (additional 25% work 4+ hours)
45% of IT professionals unprepared to make workforces more mobile
57% of IT professionals said security is the biggest challenge in supporting a mobile and distributed workforce
