More Related Content
Similar to Russia IT strategy from security point of view (20)
More from Aleksey Lukatskiy (20)
Russia IT strategy from security point of view
- 1. Стратегия развития
информационного
общества с точки
зрения
информационной
безопасности
Алексей Лукацкий
Бизнес-консультант по безопасности
Security Training © 2008 Cisco Systems, Inc. All rights reserved. 1/41
- 2. Вектора развития ИТ определены
Концепция инновационного развития отрасли
телекоммуникаций и информационных технологий
Разработана во исполнение поручение Президента РФ от 13
мая 2010 года
Одобрена правительственной комиссией по федеральной
связи и технологическим вопросам информатизации 19
ноября 2010 года
Стратегия развития информационного общества в
Российской Федерации
Утверждена Президентом 7 февраля 2008 года
Государственная программа «Информационное
общество (2011-2020 годы)»
Утверждена премьер-министром 20 октября 2010 года
Security Training © 2008 Cisco Systems, Inc. All rights reserved. 2/41
- 3. Основные направления
1. Повышение качества жизни граждан и улучшение условий
развития бизнеса в информационном обществе.
2. Построение электронного правительства и повышение
эффективности государственного управления.
3. Развитие российского рынка информационных и
телекоммуникационных технологий, обеспечение перехода
к экономике, осуществляемой с помощью информационных
технологий.
4. Преодоление высокого уровня различия в использовании
информационных технологий регионами, различными
слоями общества и создание базовой инфраструктуры
информационного общества.
5. Обеспечение безопасности в информационном обществе.
6. Развитие цифрового контента и сохранение культурного
наследия.
Security Training © 2008 Cisco Systems, Inc. All rights reserved. 3/41
- 4. Активное использование ИТ
Web-порталы взаимодействия с гражданами
Система межведомственного электронного
взаимодействия
Создание на основе СУБД справочников и
классификаторов, используемых в государственных и
муниципальных информационных системах
Технологии удаленного доступа к цифровому
контенту, электронным сервисам, образовательным
ресурсам
Использование мобильных устройств для доступа к
сервисам электронного правительства
Security Training © 2008 Cisco Systems, Inc. All rights reserved. 4/41
- 5. Активное использование ИТ (продолжение)
Интернет-сайты федеральных органов
исполнительной власти
Социальная сеть/форум для обеспечения обсуждения
общественно значимых вопросов
Мобильные приложения (для порталов, УЭК и т.д.)
Технологий персонального мониторинга в реальном
режиме времени здоровья человека
Телемедицина
Блокирование доступа к ненадлежащей информации
Единое пространство доверия электронной цифровой
подписи
Security Training © 2008 Cisco Systems, Inc. All rights reserved. 5/41
- 6. Активное использование ИТ (окончание)
Система электронных платежей
Интернет-платформа «облачных вычислений»
Средства коллективной работы с документами
Общедоступное сетевое хранилище данных
Средства удаленного хостинга программных
приложений
Современная магистральная сеть связи
Суперкомпьютерные и грид-технологии
Информатизация промышленности
Security Training © 2008 Cisco Systems, Inc. All rights reserved. 6/41
- 7. Что нового с точки зрения ИБ?
Активное использование мобильных устройств
Внедрение технологий Web 2.0
Облачные вычисления
Суперкомпьютеры
Средства коллективной работы
Телемедицина
Smart Grid и грид-технологии
АСУ ТП на базе IP
и иные КСИИ
Security Training © 2008 Cisco Systems, Inc. All rights reserved. 7/41
- 9. Smart Grid
Сквозные сетевые архитектуры
Энерговыраба-Транзитные Распределяющие Службы и Конечные
тывающие операторы операторы операторы сбыта потребители
предприятия
010101010101010101010101010101010101011010101010101010101010101010101010101010101010101011010101010101010101010101010101010101010101010
Надежность, безопасность, соответствие стандартам
101011010101010101010101010101010101010101010101010101011010101010101010101010101010101010101010101010101011010101010101010101010101010
101010101010101010101011010101010101010101010101010101010101010101010101011010101010101010101010101010101010101010101010101011010101010
101010101010101010101010101010101010101011010101010101010101010101010101010101010101010101011010101010101010101010101010101010101010101
Центр Центр
управления обработки Здания
Сети передачи и данных клиентов
подстанции
(сети
Коммунальные
предприятия и Линии передачи BAN / HAN)
региональные электроэнергии
сети
Безопасность | Сетевое управление | Распределенный интеллект
Security Training © 2008 Cisco Systems, Inc. All rights reserved. 9/41
- 10. Проблемы безопасности
сети электроснабжения
Высочайшая важность инфраструктуры и
уникальные задачи
Масштаб, устаревшие устройства,
географическая распространенность, отсутствие
согласованного следования стандартам
Сегодня безопасность большей части систем
обеспечивается их недоступностью и
запутанностью
Системы весьма уязвимы для атак
Отсутствие независимого тестирования,
уникальные решения
Сеть электроснабжения отличается
от обычной ИТ-инфраструктуры
Основной приоритет - надежность
Необходимо разрабатывать как архитектуру
безопасности, так и план действий при
нарушении безопасности
Сбои системы управления могут приводить
к тяжелым последствиям
Security Training © 2008 Cisco Systems, Inc. All rights reserved. 10/41
- 11. Безопасность Smart Grid
Обширная нормативная база
Анализ политик
Стандарты обеспечения
совместимости
Безопасность
Потребители
Security Training © 2008 Cisco Systems, Inc. All rights reserved. 11/41
- 12. Безопасность сетей электроснабжения
Стандарты NERC и требования ИБ
CIP-002 CIP-003 CIP-004 CIP-005 CIP-006 CIP-007 CIP-008 CIP-009
INCIDENT
CRITICAL SECURITY PERSONNEL SYSTEMS RECOVERY
ELECTRONIC PHYSICAL REPORTING &
CYBER MANAGEMENT AND SECURITY PLANS FOR
SECURITY SECURITY RESPONSE
ASSETS CONTROLS TRAINING MANAGEMENT CCA
PLANNING
1. CRITICAL 1. CYBER 1. AWARENESS 1. ELECTRONIC 1. PLAN 1. TEST 1. CYBER 1. RECOVERY
ASSETS SECURITY SECURITY 2. PHYSICAL PROCEDURES SECURITY PLANS
POLICY 2. TRAINING PERIMETER ACCESS 2. PORTS & INCIDENT
2. CRITICAL CONTROLS SERVICES RESPONSE 2. EXERCISES
CYBER 2. LEADERSHIP 3. PERSONNEL 2. ELECTRONIC PLAN
ASSETS RISK ACCESS 3. MONITORING 3. SECURITY 3. CHANGE
3. EXCEPTIONS ASSESSMENT CONTROLS PHYSICAL PATCH 2. DOCUMEN- CONTROL
3. ANNUAL ACCESS MANAGEMENT TATION
REVIEW 4. INFORMATION 4. ACCESS 3. MONITORING 4. LOGGING 4. MALICIOUS 4. BACKUP &
PROTECTION ELECTRONIC PHYSICAL SOFTWARE RESTORE
4. ANNUAL ACCESS ACCESS PREVENTION
APPROVAL 5. ACCESS 5. ACCOUNT 5. TESTING
5. ACCESS LOG
CONTROL 4. CYBER MANAGEMENT BACKUP
RETENTION
VULNER- MEDIA
6. CHANGE ABILITY 6. MAINTENANCE 6. SECURITY
CONTROL ASSESSMENT & TESTING STATUS
MONITORING
5. DOCUMEN- 7. DISPOSAL OR
TATION REDEPLOY-
MENT
8. CYBER
VULNERABILITY
ASSESSMENT
9. DOCUMEN-
TATION
Security Training © 2008 Cisco Systems, Inc. All rights reserved. 12/41
- 13. Реализация стандартов NERC CIP на
подстанциях в центрах управления
Физическая безопасность Информационная Управление
безопасность безопасностью
Контроль доступа, видео, Авторизация, целостность, Управление доступом,
реакция на инциденты сегментация архитектурой, событиями
CIP-002 CIP-003 CIP-004 CIP-005 CIP-006 CIP-007 CIP-008 CIP-009
Критически Отчеты об
Управление Управление инцидентах и Планы
важные ИТ- Персонал Информ. Физическая
безопас- защитой планирование восстанов-
ресурсы и обучение безопасность безопасность ответных
ностью систем ления CCA
(CCA) действий
Подстанция Глобальная Центр управления
сеть Управление
Управление видео
безопасностью
Видеонаблюдение
Контроль
доступом к сети
Контроль доступа
ESP Управление
событиями
МСЭ/VPN ЦОД
Защищенная Гибкий
коммутация анализ
пакетов
Контроль
доступа
Security Training © 2008 Cisco Systems, Inc. All rights reserved. 13/41
- 14. Информатизация
промышленности
АСУ ТП
Security Training © 2008 Cisco Systems, Inc. All rights reserved. 14/41
- 15. Современная Internet
АСУ ТП
Корпоративная ЛВС Корпоративная
Enterprise
ЛВС
Workplaces Optimization
Firewall
IP Suite
Third Party
Application Mobile
Server Operator
Уровень АСУТП
верхнего уровня
Connectivity Historian Application Engineering
Server Server Server Workplace
Уровень ПЛК
Serial, OPC
Redundant
or Fieldbus
Уровень датчиков и
исп. механизмов
Third Party
Controllers,
Servers, etc.
Serial RS485
Security Training © 2008 Cisco Systems, Inc. All rights reserved. 15/41
- 16. Тенденции в АСУ ТП
Использование широко распространенных технологий
Операционные системы – Windows, WinCE, Linux, различные
встроенные ОС реального времени
Приложения – БД, web-сервера, web-браузеры и т.д.
Протоколы – HTTP, RPC, FTP, DCOM, XML, SNMP и т.д.
Подключение АСУ ТП к корпоративным сетям
Увеличение эффективности управления предприятием
Удаленный доступ
Распространение IP и Ethernet сетей
Общеприняты на верхнем уровне, и распространяются ниже
Много старых протоколов могут использовать TCP и UDP как
транспорт
Большинство современных промышленных устройств имеют
Ethernet порты
Security Training © 2008 Cisco Systems, Inc. All rights reserved. 16/41
- 17. Ограничения ИТ/ИБ
Экстремальные условия эксплуатации
Отечественных средств защиты просто нет
Не типовые физические топологии
Отечественные средства защиты не работают с этими
протоколами
Много устройств специального назначения с
ограниченной функциональностью
Закрытость разработок АСУ ТП со стороны
производителей
Обязательный удаленный доступ для поддержки со
стороны производителя (уполномоченного лица)
Security Training © 2008 Cisco Systems, Inc. All rights reserved. 17/41
- 18. Стандарты безопасности АСУ ТП
ISA SP99
NERC
Guidance for Addressing Cyber Security in the Chemical
Industry
NIST PCSRF Security Capabilities Profile for Industrial
Control Systems
IEC 61784-4
Cisco SAFE for PCN
КСИИ ФСТЭК
Стандарты Газпрома
Security Training © 2008 Cisco Systems, Inc. All rights reserved. 18/41
- 19. Стандарты безопасности АСУ ТП
(продолжение)
IEEE 1402 «IEEE Guide for Electric Power Substation
Physical and Electronic Security»
IEC 62210 «Initial Report from IEC TC 57 ad-hoc WG06
on Data and Communication Security»
IEC 62351 «Data and Communication Security»
FERC Security Standards for Electric Market Participants
(SSEMP)
American Petroleum Institute (API) 1164 «SCADA
Security»
Security Guidelines for the Natural Gas Industry
Security Training © 2008 Cisco Systems, Inc. All rights reserved. 19/41
- 20. Стандарты безопасности АСУ ТП
(окончание)
API Security Guidelines for
the Petroleum Industry
API Security Vulnerability
Assessment Methodology for
the Petroleum and
Petrochemical Industries
American Gas Association
(AGA) 12 Cryptographic
Protection of SCADA
Communications (4 части)
NIST SP800-82 «Guide to
Industrial Control Systems
(ICS) Security» (проект)
Security Training © 2008 Cisco Systems, Inc. All rights reserved. 20/41
- 21. Особенности
обеспечения
информационной
безопасности
новых технологий
…в России
Security Training © 2008 Cisco Systems, Inc. All rights reserved. 21/41
- 22. История обеспечения ИБ в России
Базируется на требованиях к гостайне
Контролируемая зона, аттестация, сертификация каждого
экземпляра, модель угроз, ПЭМИН…
Обеспечение в первую очередь конфиденциальности
Для АСУ ТП (обрабатывает открытую информацию), например,
важнее целостность и доступность
Большое количество регуляторов со своими
требованиями и системами оценки соответствия
Число испытательных лабораторий не велико
Ориентация на локальные нормативные акты и
требования
Security Training © 2008 Cisco Systems, Inc. All rights reserved. 22/41
- 23. Регуляторы в области ИБ
Газпром- ФСТЭК
серт
ФСО ФСБ
PCI
ЦБ ИБ Council
Минком-
СВР
связь
Рос-
МО стандарт
Security Training © 2008 Cisco Systems, Inc. All rights reserved. 23/41
- 24. Независимые требования
СТО
PCI ФЗ-
БР СТР-К КСИИ
DSS 152
ИББС
ОБИ
ОБИ ОБИ ОБИ ОБИ
Защита
платежных
процессов
Защита
данных
Тех.каналы Тех.каналы ОБИ КСИИ
владельцев
карт СУИБ
Security Training © 2008 Cisco Systems, Inc. All rights reserved. 24/41
- 25. Пример: нефтегазовые компании
ФСБ
Междуна-
ФЗ-152 родные
требования
КСИИ
НК Газпром
Security Training © 2008 Cisco Systems, Inc. All rights reserved. 25/41
- 26. Номенклатура документов по КСИИ
Указы Приказ от
30.03.2002
Указ от
16.08.2004
Указ от
11.08.2003
«Основы» от
Президента №Пр-578 №1085 №960
28.09.2006
Иные Проект
Секретарь
СовБеза РФ
документы закона (снят)
от 08.11.2005
Распоряжения №411-рс от №1314-р от
Правительства 23.03.2006 27.08.2005
Отраслевые 4 «закрытых»
документа
документы ФСТЭК
Security Training © 2008 Cisco Systems, Inc. All rights reserved. 26/41
- 27. Особенности используемых технологий
Активное использование продуктов иностранного
производства
Rockwell, Yokogawa, Emerson, Siemens, Microsoft, Cisco,
IBM/360б Intel, Motorola…
Широкий спектр «нетрадиционных» операционных
систем и приложений
АСУ ТП, Грид, Smart Grid, телемедицина, Web 2.0 и т.д.
Широкое использование мобильных платформ
Apple iOS, Google Android, BlackBerry, Symbian, Windows Mobile
Активное использование Интернет и «облаков»
Security Training © 2008 Cisco Systems, Inc. All rights reserved. 27/41
- 28. Облака и средства коллективной
работы
Своя ИТ- Хостинг-
IaaS PaaS SaaS
служба провайдер
Данные Данные Данные Данные Данные
Приложения Приложения Приложения Приложения Приложения
VM VM VM VM VM
Сервер Сервер Сервер Сервер Сервер
Хранение Хранение Хранение Хранение Хранение
Сеть Сеть Сеть Сеть Сеть
- Контроль у заказчика
- Контроль распределяется между заказчиком и аутсорсером
- Контроль у аутсорсера
Security Training © 2008 Cisco Systems, Inc. All rights reserved. 28/41
- 29. Интеграция отечественных и
иностранных разработок
Российские решения активно используют
иностранные протоколы, технологии и элементную
базу
«SCADA Статус-4» (QNX), САВРОС-6 (Windows), Автоматика
ТК-20РС (Intel), ОВЕНТИКС (GPRS, ZigBee, 802.15)
Продукты уже сертифицированы в России, но по
профильным требованиям (ГОСТы, ОСТы и т.д.)
Также многие решения «сертифицированы» иностранными
производителями на совместимость
Security Training © 2008 Cisco Systems, Inc. All rights reserved. 29/41
- 30. Особенности обеспечения ИБ новых
технологий
Ограничения с точки
Достоинства технологий
зрения ИБ
• Открытость • Отсутствие КЗ
• Мобильность • Недоверенные
• Интеграция элементы
• Новые возможности • Отсутствие требований
• Мировые стандарты по ИБ в России
• Взаимодействие между • Отсутствие адекватных
компонентами требований по оценке
соответствия новых ИТ
• Миниатюризация
• Ориентация на
• Высокая
российские алгоритмы
производительность
шифрования
Security Training © 2008 Cisco Systems, Inc. All rights reserved. 30/41
- 31. Требование есть, а документов нет!
Число нормативных актов с требованиями
сертификации по требованиям безопасности
8
7
6
5
4
3
2
1
0
* - для 2011 – предварительная оценка проектов новых нормативных актов (ФЗ
“О национальной платежной системе”, ФЗ “О служебной тайне”, новые приказы
31 ФСТЭК/ФСБ и т.д.)
Security Training © 2008 Cisco Systems, Inc. All rights reserved. 31/41
- 32. Когда сертифицированных СКЗИ нет
STB для IP-телевидения АСУ ТП
IP-видеонаблюдение Системы управления на
базе SSH
Шифрование > 10 Гбит/сек
Защищенный доступ по
Wi-Fi на 802.11i
HTTPS с любого браузера
Устройства мобильной
Взаимодействие с
связи 2.5G, 3G, а также LTE
иностранными
и Wi-Max
предприятими
Чиповые смарткарты для
Интернет-взаимодействие
платежных систем Visa и
MasterCard, а также УЭК Шифрование не-Ethernet
Удаленный доступ с iPhone
и т.д.
Шифрование FibreChannel
Security Training © 2008 Cisco Systems, Inc. All rights reserved. 32/41
- 34. Акцент на специфику, а не на общие
вопросы
•Разграничение доступа (+ управление потоками)
•Идентификация / аутентификация
•Межсетевое взаимодействие
•Регистрация действий
•Учет и маркировка носителей (+ очистка памяти)
•Документальное сопровождение
•Физический доступ
Общие
•Контроль целостности
•Тестирование безопасности
•Сигнализация и реагирование
•Контроль целостности
•Защита каналов связи
•Обнаружение вторжений
•Антивирусная защита
•BCP
•Защита от утечки по техническим каналам
•Защита специфичных процессов (биллинг, АБС, PCI…)
Специфичные •Защита приложений (Web, СУБД…)
•Нестандартные механизмы (ловушки, стеганография)
Security Training © 2008 Cisco Systems, Inc. All rights reserved. 34/41
- 35. Препятствий нет – возможно все
5 стратегий контроля своих данных в «чужих» системах
«Тонкий» • Приложения запускаются на сервере
клиент • Терминальный доступ
«Тонкое» • Мобильные устройства, синхронизирующиеся с сервером
• Локальные данные зашифрованы
устройство • Утерянное устройство «очищается» удаленно
Защищенный • ОС и приложения контролируются централизованно
процесс • Репликация
Защищенные • Права доступа привязаны к документам
данные • Технологии DRM
Контроль на • Контроль информационных потоков «на лету»
лету • Технологии DLP
Security Training © 2008 Cisco Systems, Inc. All rights reserved. 35/41
- 36. Как правильно (фрагмент)
СУИБ
Базовые требования базовая
СУИБ
Финансы КСИИ процесс
АСУ СУИБ
АБС ДБО PCI интеграция
ТП
Базовая Расширенная
функциональность функциональность
Security Training © 2008 Cisco Systems, Inc. All rights reserved. 36/41
- 37. Что еще необходимо сделать
Разработать правила оценки соответствия защитных
функций в общесистемном и прикладном ПО
В зависимости от модели угроз и критичности применения
Разработать правила признания международных
стандартов и правил оценки соответствия
В соответствие с ФЗ «О техническом регулировании» и
последними Постановления Правительства
Стимулировать отечественные разработки в области
ИБ вне традиционных направлений
ИБ – это не только СЗИ от НСД, МСЭ, антивирус и IP-
шифратор
Security Training © 2008 Cisco Systems, Inc. All rights reserved. 37/41
- 38. Что еще необходимо сделать
Стимулировать иностранных разработчиков на
открытие локальных центров разработки
При условии оптимизации правил оценки соответствия
продуктов иностранного производства
Стимулировать обмен технологиями между
иностранными и отечественными разработчиками
Для получения синергетического эффекта
Security Training © 2008 Cisco Systems, Inc. All rights reserved. 38/41
- 39. Пример сотрудничества в интересах
РФ и с учетом требований регуляторов
Компаниями Cisco и С-Терра СиЭсПи разработаны
VPN-решения, поддерживающие российские
криптоалгоритмы на базе оборудования Cisco
Сертификат ФСБ СФ/114-1411 от 20 марта 2010 года
Сертификат по классу КС2 на оба решения
Решение для удаленных офисов
• На базе модуля для ISR G1 и G2
(2800/2900/3800/3900)
Решение для ЦОД и штаб-квартир
• На базе UCS C-200
Security Training © 2008 Cisco Systems, Inc. All rights reserved. 39/41
- 40. Вопросы?
Дополнительные вопросы Вы можете задать по электронной
почте security-request@cisco.com
или по телефону: +7 495 961-1410
Security Training © 2008 Cisco Systems, Inc. All rights reserved. 40/41