SlideShare a Scribd company logo

Почему утекает конфиденциальная информация в госорганах?

Aleksey Lukatskiy
Aleksey Lukatskiy
Technology
1 of 41
Почему госсекреты появляются в Интернет? Лукацкий Алексей, консультант по безопасности security-request@cisco.com
КАК ЭТО УЖЕ РАБОТАЕТ В ГОСОРГАНАХ
Доверенна сеть я WiFi Адаптационный период  Аутентификация пользователя  Цифровая метка устройства  Применение корпоративной конфигурации  Корпоративный AppStore  Банковские приложения  Автоматические политики
Доверенная сеть WiFi Политика с учетом контекста Применение установленных профилей политики, исходя из: типа устройства пользователя местоположения приложения
Доверенная с е т ь W i F i Политика с учетом контекста Доступ: ПОЛНЫЙ Нет Да Электронные досье клиентов Мобильная технология TelePresence / ВКС Электронная почта Мгновенный обмен сообщениями
Доверенная сеть WiFi Результаты оценки клиента Х уже готовы? Еще нет, но я дам вам знать, когда они поступят
Недоверенная сеть WiFi Политика роуминга Доступ: ограниченный Нет Да Электронные досье клиентов Мобильная технология TelePresence Электронная почта Мгновенный обмен сообщениями
3G/4G Доступ: Ограничен Нет Да Досье клиента Mobile TelePresence Email Instant Messenger
UPDATE 3G/4G
Доверенный WiFi Доступ : ПОЛНЫЙ Нет Да Досье на клиента Mobile TelePresence Email Instant Messenger
Доверенный W i F i Приоритет полосы
ПОЧЕМУ ИНФОРМАЦИЯ УТЕКАЕТ
Государева информация защищается хорошо… в теории
Документы устарели морально • РД «Концепция защиты средств вычислительной техники и автоматизированных систем от несанкционированного доступа к информации» • РД «Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации» • РД «Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации» • РД «Средства вычислительной техники. Межсетевые экраны. Защита от несанкционированного доступа. Показатели защищенности от несанкционированного доступа к информации»
и технологически • Специальные требования и рекомендации по технической защите конфиденциальной информации (СТР-К) – Одобрены решением коллегии Гостехкомиссии России от 2 марта 2001 г. № 7.2 – Введены приказом Гостехкомиссии России от 30.08.02 №282
Основная парадигма – контролируемая зона
А есть ли у нас периметр? • Все объекты, к которым предоставляется доступ, и все субъекты, которые этот доступ получают, должны находиться в контролируемой зоне – Действия пользователей контролируются и ограничиваются системой разграничения доступа – Посторонние субъекты получить доступ в контролируемую зону получить не могут – Для борьбы с средствами электронной разведки используется защита от ПЭМИН, виброакустика и т.п. – При наличии нескольких распределенных контролируемых зон, каналы связи между ними защищаются сертифицированными СКЗИ и сертифицированными МСЭ – Периметр контролируемой зоны – это наше все!
А кто у нас нарушитель? • «В качестве нарушителя рассматривается субъект, имеющий доступ к работе со штатными средствами АС и СВТ как части АС» – П.4.1 Концепции защиты СВТ и АС от НСД • Внешний нарушитель не рассматривается в принципе – Но он есть! – Он атакует внешний периметр, который не бывает непробиваемым, т.к. администраторы тоже люди и тоже совершают ошибки при настройке и конфигурировании – Внешний нарушитель попадает в DMZ, оттуда в ядро сети, затем ЦОД и пользовательские сегменты – Внутри периметра препятствий обычно уже нет, т.к. концепция защиты ориентирована на контролируемого пользователя, а не свободно разгуливающего хакера
СТР-К ориентируется только на внутренние угрозы Внутренние угрозы Внешние угрозы Ботнеты ВПО ПРОБЛЕМА Доступ из защищаемой Доступ из защищаемой сети Доступ извне к сети к менее доверенной к такой же по уровню защищаемой сети требует защиты не требует средств вообще не сертифицированного МСЭ разграничения (кроме СКЗИ) регламентируется
А если нужен доступ из Интернет к защищаемому ресурсу? ОТЕЛЬ ОФИС
Как это сделано в Cisco: общий взгляд Интернет Демилитаризованная зона (DMZ) Основной сайт
Как это сделано в Cisco: анализ проникновения в DMZ  Злоумышленники могут захватить эти интернет-серверы
Как это сделано в Cisco: анализ проникновения внутрь  Возможно действие лишь некоторых основных атак
Как это сделано в Cisco: анализ веерной атаки внутри  Злоумышленник может проникнуть в случае, если он найдет брешь, которую вы еще не устранили
Основной объект защиты - ПК Мобильный Мейнфрейм Мини ПК Интернет+ПК Интернет Вычиления Вычисления Вычисления Вычисления Вычисления 1950-х 1960-х 1980-х 1990-х 2000-х
z Приложения ОС пользователя ОС Сервера Клиентские устройства
Бизнес вышел за рамки ПК
А есть ли сертифицированные средства защиты не для ПК? Защищенный Незащищенный
А если платформа закрыта для разработчиков?! Apple iOS МСЭ IPS 33
Традиционный подход не справляется с требованиями сегодняшнего дня Мобильность Социальность Видео Виртуализация Отсутствие поддержки Невозможно Низкое качество Ограничения в мобильных устройств и взаимодействовать с и совместимость работе с голосом и OC социальными сетями видео через VDI X X X X
В КАЧЕСТВЕ РЕЗЮМЕ
Традиционный периметр Политика Периметр Приложения и данные Офис Филиал Хакеры Партнеры Заказчики
Мобильность и взаимодействие растворяют Интернет-периметр Политика Периметр Приложения и данные Офис Филиал Дом Аэропорт Мобильный Кафе пользователь Хакеры Партнеры Заказчики
Cloud Computing растворяет границу ЦОД Политика Периметр Platform Infrastructure Приложения и as a Service as a Service Software X данные as a Service as a Service Офис Филиал Дом Аэропорт Мобильный Кафе пользователь Хакеры Партнеры Заказчики
Пользователи хотят вести бизнес без границ Политика Периметр Platform Infrastructure Приложения и as a Service as a Service Software X данные as a Service as a Service Офис Филиал Дом Аэропорт Мобильный Кафе пользователь Хакеры Партнеры Заказчики
Нужен новый подход! Политика Политика 4 (Access Control, Acceptable Use, Malware, Data Security) Data Center Borderless Периметр Platform Infrastructure Приложения и Software as a Service as a Service X 3 данные as a Service as a Service Офис Borderless Internet 2 Филиал End Zones Borderless Дом Аэропорт 1 Мобильный Кафе пользователь Хакеры Партнеры Заказчики
security-request@cisco.com Благодарю вас за внимание BRKSEC-1065 © Cisco и (или) дочерние компании, 2011 г. Все права защищены. Общедоступная информация Cisco 41

Recommended

Cisco ScanSafe Cloud SecurityService
Cisco ScanSafe Cloud SecurityServiceCisco ScanSafe Cloud SecurityService
Cisco ScanSafe Cloud SecurityServiceAleksey Lukatskiy
 
Безопасность облачной платформы: теория и практика.
Безопасность облачной платформы: теория и практика. Безопасность облачной платформы: теория и практика.
Безопасность облачной платформы: теория и практика. Cisco Russia
 
Cisco Connected Mobile Experiences - мощный инструмент монетизации WiFi сетей
Cisco Connected Mobile Experiences - мощный инструмент монетизации WiFi сетейCisco Connected Mobile Experiences - мощный инструмент монетизации WiFi сетей
Cisco Connected Mobile Experiences - мощный инструмент монетизации WiFi сетейCisco Russia
 
Безопасность различных архитектур облачных вычислений
Безопасность различных архитектур облачных вычисленийБезопасность различных архитектур облачных вычислений
Безопасность различных архитектур облачных вычисленийAleksey Lukatskiy
 
Аналитика поведения клиентов с решением Cisco Connected Mobile Experiences
Аналитика поведения клиентов с решением Cisco Connected Mobile ExperiencesАналитика поведения клиентов с решением Cisco Connected Mobile Experiences
Аналитика поведения клиентов с решением Cisco Connected Mobile ExperiencesCisco Russia
 
Защита корпоративных сервисов от распределенных атак на отказ в обслуживании.
Защита корпоративных сервисов от распределенных атак на отказ в обслуживании. Защита корпоративных сервисов от распределенных атак на отказ в обслуживании.
Защита корпоративных сервисов от распределенных атак на отказ в обслуживании.Cisco Russia
 
Управление сетевым доступом корпоративных и персональных устройств с Cisco ISE
Управление сетевым доступом корпоративных и персональных устройств с Cisco ISEУправление сетевым доступом корпоративных и персональных устройств с Cisco ISE
Управление сетевым доступом корпоративных и персональных устройств с Cisco ISECisco Russia
 
Защита центров обработки данных
Защита центров обработки данныхЗащита центров обработки данных
Защита центров обработки данныхCisco Russia
 

Recommended

Cisco ScanSafe Cloud SecurityService
Cisco ScanSafe Cloud SecurityServiceCisco ScanSafe Cloud SecurityService
Cisco ScanSafe Cloud SecurityServiceAleksey Lukatskiy
 
Безопасность облачной платформы: теория и практика.
Безопасность облачной платформы: теория и практика. Безопасность облачной платформы: теория и практика.
Безопасность облачной платформы: теория и практика. Cisco Russia
 
Cisco Connected Mobile Experiences - мощный инструмент монетизации WiFi сетей
Cisco Connected Mobile Experiences - мощный инструмент монетизации WiFi сетейCisco Connected Mobile Experiences - мощный инструмент монетизации WiFi сетей
Cisco Connected Mobile Experiences - мощный инструмент монетизации WiFi сетейCisco Russia
 
Безопасность различных архитектур облачных вычислений
Безопасность различных архитектур облачных вычисленийБезопасность различных архитектур облачных вычислений
Безопасность различных архитектур облачных вычисленийAleksey Lukatskiy
 
Аналитика поведения клиентов с решением Cisco Connected Mobile Experiences
Аналитика поведения клиентов с решением Cisco Connected Mobile ExperiencesАналитика поведения клиентов с решением Cisco Connected Mobile Experiences
Аналитика поведения клиентов с решением Cisco Connected Mobile ExperiencesCisco Russia
 
Защита корпоративных сервисов от распределенных атак на отказ в обслуживании.
Защита корпоративных сервисов от распределенных атак на отказ в обслуживании. Защита корпоративных сервисов от распределенных атак на отказ в обслуживании.
Защита корпоративных сервисов от распределенных атак на отказ в обслуживании.Cisco Russia
 
Управление сетевым доступом корпоративных и персональных устройств с Cisco ISE
Управление сетевым доступом корпоративных и персональных устройств с Cisco ISEУправление сетевым доступом корпоративных и персональных устройств с Cisco ISE
Управление сетевым доступом корпоративных и персональных устройств с Cisco ISECisco Russia
 
Защита центров обработки данных
Защита центров обработки данныхЗащита центров обработки данных
Защита центров обработки данныхCisco Russia
 
Алексей Лукацкий (Cisco) - Пошаговое руководство по защите мобильного доступа.
Алексей Лукацкий (Cisco) - Пошаговое руководство по защите мобильного доступа.Алексей Лукацкий (Cisco) - Пошаговое руководство по защите мобильного доступа.
Алексей Лукацкий (Cisco) - Пошаговое руководство по защите мобильного доступа.Expolink
 
McAfee Enterpise Firewall v8
McAfee Enterpise Firewall v8McAfee Enterpise Firewall v8
McAfee Enterpise Firewall v8Andrei Novikau
 
Cisco CMX. Геопозиционирование в сетях Cisco Wi-Fi
Cisco CMX. Геопозиционирование в сетях Cisco Wi-FiCisco CMX. Геопозиционирование в сетях Cisco Wi-Fi
Cisco CMX. Геопозиционирование в сетях Cisco Wi-FiCisco Russia
 
Безопасность мобильного доступа: пошаговое руководство
Безопасность мобильного доступа: пошаговое руководствоБезопасность мобильного доступа: пошаговое руководство
Безопасность мобильного доступа: пошаговое руководствоAleksey Lukatskiy
 
Совместное применение решений SafePhone и Cisco CleanAir для защиты мобильны...
Совместное применение решений SafePhone и Cisco CleanAir для защиты мобильны... Совместное применение решений SafePhone и Cisco CleanAir для защиты мобильны...
Совместное применение решений SafePhone и Cisco CleanAir для защиты мобильны...Cisco Russia
 
Чеклист по безопасности облачного провайдера
Чеклист по безопасности облачного провайдераЧеклист по безопасности облачного провайдера
Чеклист по безопасности облачного провайдераAleksey Lukatskiy
 
Stonesoft: ИБ в банке: мульти или моно?
Stonesoft: ИБ в банке: мульти или моно?Stonesoft: ИБ в банке: мульти или моно?
Stonesoft: ИБ в банке: мульти или моно?Expolink
 
Защита данных безнеса с помощью шифрования
Защита данных безнеса с помощью шифрованияЗащита данных безнеса с помощью шифрования
Защита данных безнеса с помощью шифрованияVladyslav Radetsky
 
Основы PA-DSS
Основы PA-DSSОсновы PA-DSS
Основы PA-DSSDigital Security
 
Операторский Wi-Fi Cisco и его интеграция в мобильное пакетное ядро.
Операторский Wi-Fi Cisco и его интеграция в мобильное пакетное ядро. Операторский Wi-Fi Cisco и его интеграция в мобильное пакетное ядро.
Операторский Wi-Fi Cisco и его интеграция в мобильное пакетное ядро. Cisco Russia
 
Fortinet Security Email gateway - FortiMail
Fortinet Security Email gateway - FortiMailFortinet Security Email gateway - FortiMail
Fortinet Security Email gateway - FortiMailMUK Extreme
 
Managed firewall customer presentation
Managed firewall customer presentationManaged firewall customer presentation
Managed firewall customer presentationorangebusinessrussia
 
Кредитный конвеер
Кредитный конвеерКредитный конвеер
Кредитный конвеерIT Group
 
Cистема бизнес - досье - база данных о клиентах и Crm - аналитика. C.Утемов
Cистема бизнес - досье - база данных о клиентах и Crm - аналитика. C.УтемовCистема бизнес - досье - база данных о клиентах и Crm - аналитика. C.Утемов
Cистема бизнес - досье - база данных о клиентах и Crm - аналитика. C.УтемовExpolink
 
Электронный архив документов операционного дня банка на базе системы Docsvision
Электронный архив документов операционного дня банка на базе системы DocsvisionЭлектронный архив документов операционного дня банка на базе системы Docsvision
Электронный архив документов операционного дня банка на базе системы DocsvisionDocsvision
 
Внедрение Docsvision в банке ВТБ24
Внедрение Docsvision в банке ВТБ24Внедрение Docsvision в банке ВТБ24
Внедрение Docsvision в банке ВТБ24Docsvision
 
Мастер-класс "Экспресс-погружение в e-learning"
Мастер-класс "Экспресс-погружение в e-learning"Мастер-класс "Экспресс-погружение в e-learning"
Мастер-класс "Экспресс-погружение в e-learning"Svetlana Ponomarenko
 
Мастер-класс "Разработка электронных курсов"
Мастер-класс "Разработка электронных курсов"Мастер-класс "Разработка электронных курсов"
Мастер-класс "Разработка электронных курсов"Svetlana Ponomarenko
 
Security apocalypse
Security apocalypseSecurity apocalypse
Security apocalypseAleksey Lukatskiy
 
Information Security Trends
Information Security TrendsInformation Security Trends
Information Security TrendsAleksey Lukatskiy
 
Security Effectivness and Efficiency
Security Effectivness and EfficiencySecurity Effectivness and Efficiency
Security Effectivness and EfficiencyAleksey Lukatskiy
 
Глобальные системы предотвращения атак: международный опыт
Глобальные системы предотвращения атак: международный опытГлобальные системы предотвращения атак: международный опыт
Глобальные системы предотвращения атак: международный опытAleksey Lukatskiy
 

More Related Content

What's hot

Алексей Лукацкий (Cisco) - Пошаговое руководство по защите мобильного доступа.
Алексей Лукацкий (Cisco) - Пошаговое руководство по защите мобильного доступа.Алексей Лукацкий (Cisco) - Пошаговое руководство по защите мобильного доступа.
Алексей Лукацкий (Cisco) - Пошаговое руководство по защите мобильного доступа.Expolink
 
McAfee Enterpise Firewall v8
McAfee Enterpise Firewall v8McAfee Enterpise Firewall v8
McAfee Enterpise Firewall v8Andrei Novikau
 
Cisco CMX. Геопозиционирование в сетях Cisco Wi-Fi
Cisco CMX. Геопозиционирование в сетях Cisco Wi-FiCisco CMX. Геопозиционирование в сетях Cisco Wi-Fi
Cisco CMX. Геопозиционирование в сетях Cisco Wi-FiCisco Russia
 
Безопасность мобильного доступа: пошаговое руководство
Безопасность мобильного доступа: пошаговое руководствоБезопасность мобильного доступа: пошаговое руководство
Безопасность мобильного доступа: пошаговое руководствоAleksey Lukatskiy
 
Совместное применение решений SafePhone и Cisco CleanAir для защиты мобильны...
Совместное применение решений SafePhone и Cisco CleanAir для защиты мобильны... Совместное применение решений SafePhone и Cisco CleanAir для защиты мобильны...
Совместное применение решений SafePhone и Cisco CleanAir для защиты мобильны...Cisco Russia
 
Чеклист по безопасности облачного провайдера
Чеклист по безопасности облачного провайдераЧеклист по безопасности облачного провайдера
Чеклист по безопасности облачного провайдераAleksey Lukatskiy
 
Stonesoft: ИБ в банке: мульти или моно?
Stonesoft: ИБ в банке: мульти или моно?Stonesoft: ИБ в банке: мульти или моно?
Stonesoft: ИБ в банке: мульти или моно?Expolink
 
Защита данных безнеса с помощью шифрования
Защита данных безнеса с помощью шифрованияЗащита данных безнеса с помощью шифрования
Защита данных безнеса с помощью шифрованияVladyslav Radetsky
 
Операторский Wi-Fi Cisco и его интеграция в мобильное пакетное ядро.
Операторский Wi-Fi Cisco и его интеграция в мобильное пакетное ядро. Операторский Wi-Fi Cisco и его интеграция в мобильное пакетное ядро.
Операторский Wi-Fi Cisco и его интеграция в мобильное пакетное ядро. Cisco Russia
 
Fortinet Security Email gateway - FortiMail
Fortinet Security Email gateway - FortiMailFortinet Security Email gateway - FortiMail
Fortinet Security Email gateway - FortiMailMUK Extreme
 
Managed firewall customer presentation
Managed firewall customer presentationManaged firewall customer presentation
Managed firewall customer presentationorangebusinessrussia
 

What's hot (12)

Алексей Лукацкий (Cisco) - Пошаговое руководство по защите мобильного доступа.
Алексей Лукацкий (Cisco) - Пошаговое руководство по защите мобильного доступа.Алексей Лукацкий (Cisco) - Пошаговое руководство по защите мобильного доступа.
Алексей Лукацкий (Cisco) - Пошаговое руководство по защите мобильного доступа.
 
McAfee Enterpise Firewall v8
McAfee Enterpise Firewall v8McAfee Enterpise Firewall v8
McAfee Enterpise Firewall v8
 
Cisco CMX. Геопозиционирование в сетях Cisco Wi-Fi
Cisco CMX. Геопозиционирование в сетях Cisco Wi-FiCisco CMX. Геопозиционирование в сетях Cisco Wi-Fi
Cisco CMX. Геопозиционирование в сетях Cisco Wi-Fi
 
Безопасность мобильного доступа: пошаговое руководство
Безопасность мобильного доступа: пошаговое руководствоБезопасность мобильного доступа: пошаговое руководство
Безопасность мобильного доступа: пошаговое руководство
 
Совместное применение решений SafePhone и Cisco CleanAir для защиты мобильны...
Совместное применение решений SafePhone и Cisco CleanAir для защиты мобильны... Совместное применение решений SafePhone и Cisco CleanAir для защиты мобильны...
Совместное применение решений SafePhone и Cisco CleanAir для защиты мобильны...
 
Чеклист по безопасности облачного провайдера
Чеклист по безопасности облачного провайдераЧеклист по безопасности облачного провайдера
Чеклист по безопасности облачного провайдера
 
Stonesoft: ИБ в банке: мульти или моно?
Stonesoft: ИБ в банке: мульти или моно?Stonesoft: ИБ в банке: мульти или моно?
Stonesoft: ИБ в банке: мульти или моно?
 
Защита данных безнеса с помощью шифрования
Защита данных безнеса с помощью шифрованияЗащита данных безнеса с помощью шифрования
Защита данных безнеса с помощью шифрования
 
Основы PA-DSS
Основы PA-DSSОсновы PA-DSS
Основы PA-DSS
 
Операторский Wi-Fi Cisco и его интеграция в мобильное пакетное ядро.
Операторский Wi-Fi Cisco и его интеграция в мобильное пакетное ядро. Операторский Wi-Fi Cisco и его интеграция в мобильное пакетное ядро.
Операторский Wi-Fi Cisco и его интеграция в мобильное пакетное ядро.
 
Fortinet Security Email gateway - FortiMail
Fortinet Security Email gateway - FortiMailFortinet Security Email gateway - FortiMail
Fortinet Security Email gateway - FortiMail
 
Managed firewall customer presentation
Managed firewall customer presentationManaged firewall customer presentation
Managed firewall customer presentation
 

Viewers also liked

Кредитный конвеер
Кредитный конвеерКредитный конвеер
Кредитный конвеерIT Group
 
Cистема бизнес - досье - база данных о клиентах и Crm - аналитика. C.Утемов
Cистема бизнес - досье - база данных о клиентах и Crm - аналитика. C.УтемовCистема бизнес - досье - база данных о клиентах и Crm - аналитика. C.Утемов
Cистема бизнес - досье - база данных о клиентах и Crm - аналитика. C.УтемовExpolink
 
Электронный архив документов операционного дня банка на базе системы Docsvision
Электронный архив документов операционного дня банка на базе системы DocsvisionЭлектронный архив документов операционного дня банка на базе системы Docsvision
Электронный архив документов операционного дня банка на базе системы DocsvisionDocsvision
 
Внедрение Docsvision в банке ВТБ24
Внедрение Docsvision в банке ВТБ24Внедрение Docsvision в банке ВТБ24
Внедрение Docsvision в банке ВТБ24Docsvision
 
Мастер-класс "Экспресс-погружение в e-learning"
Мастер-класс "Экспресс-погружение в e-learning"Мастер-класс "Экспресс-погружение в e-learning"
Мастер-класс "Экспресс-погружение в e-learning"Svetlana Ponomarenko
 
Мастер-класс "Разработка электронных курсов"
Мастер-класс "Разработка электронных курсов"Мастер-класс "Разработка электронных курсов"
Мастер-класс "Разработка электронных курсов"Svetlana Ponomarenko
 
Security Effectivness and Efficiency
Security Effectivness and EfficiencySecurity Effectivness and Efficiency
Security Effectivness and EfficiencyAleksey Lukatskiy
 
Глобальные системы предотвращения атак: международный опыт
Глобальные системы предотвращения атак: международный опытГлобальные системы предотвращения атак: международный опыт
Глобальные системы предотвращения атак: международный опытAleksey Lukatskiy
 
Worldwide security requirements
Worldwide security requirementsWorldwide security requirements
Worldwide security requirementsAleksey Lukatskiy
 
Бизнес-модель киберпреступности v2
Бизнес-модель киберпреступности v2Бизнес-модель киберпреступности v2
Бизнес-модель киберпреступности v2Aleksey Lukatskiy
 
Психология в деятельности CISO
Психология в деятельности CISOПсихология в деятельности CISO
Психология в деятельности CISOAleksey Lukatskiy
 
Crypto regulations in Russia
Crypto regulations in RussiaCrypto regulations in Russia
Crypto regulations in RussiaAleksey Lukatskiy
 
Принцип Парето в стандартизации ИБ
Принцип Парето в стандартизации ИБПринцип Парето в стандартизации ИБ
Принцип Парето в стандартизации ИБAleksey Lukatskiy
 
Регулирование ИБ в России
Регулирование ИБ в РоссииРегулирование ИБ в России
Регулирование ИБ в РоссииAleksey Lukatskiy
 
What every cio should know about security
What every cio should know about securityWhat every cio should know about security
What every cio should know about securityAleksey Lukatskiy
 
Vertical approaches for personal data standartization
Vertical approaches for personal data standartizationVertical approaches for personal data standartization
Vertical approaches for personal data standartizationAleksey Lukatskiy
 

Viewers also liked (20)

Кредитный конвеер
Кредитный конвеерКредитный конвеер
Кредитный конвеер
 
Cистема бизнес - досье - база данных о клиентах и Crm - аналитика. C.Утемов
Cистема бизнес - досье - база данных о клиентах и Crm - аналитика. C.УтемовCистема бизнес - досье - база данных о клиентах и Crm - аналитика. C.Утемов
Cистема бизнес - досье - база данных о клиентах и Crm - аналитика. C.Утемов
 
Электронный архив документов операционного дня банка на базе системы Docsvision
Электронный архив документов операционного дня банка на базе системы DocsvisionЭлектронный архив документов операционного дня банка на базе системы Docsvision
Электронный архив документов операционного дня банка на базе системы Docsvision
 
Внедрение Docsvision в банке ВТБ24
Внедрение Docsvision в банке ВТБ24Внедрение Docsvision в банке ВТБ24
Внедрение Docsvision в банке ВТБ24
 
Мастер-класс "Экспресс-погружение в e-learning"
Мастер-класс "Экспресс-погружение в e-learning"Мастер-класс "Экспресс-погружение в e-learning"
Мастер-класс "Экспресс-погружение в e-learning"
 
Мастер-класс "Разработка электронных курсов"
Мастер-класс "Разработка электронных курсов"Мастер-класс "Разработка электронных курсов"
Мастер-класс "Разработка электронных курсов"
 
Security apocalypse
Security apocalypseSecurity apocalypse
Security apocalypse
 
Information Security Trends
Information Security TrendsInformation Security Trends
Information Security Trends
 
Security Effectivness and Efficiency
Security Effectivness and EfficiencySecurity Effectivness and Efficiency
Security Effectivness and Efficiency
 
Глобальные системы предотвращения атак: международный опыт
Глобальные системы предотвращения атак: международный опытГлобальные системы предотвращения атак: международный опыт
Глобальные системы предотвращения атак: международный опыт
 
Worldwide security requirements
Worldwide security requirementsWorldwide security requirements
Worldwide security requirements
 
Бизнес-модель киберпреступности v2
Бизнес-модель киберпреступности v2Бизнес-модель киберпреступности v2
Бизнес-модель киберпреступности v2
 
Психология в деятельности CISO
Психология в деятельности CISOПсихология в деятельности CISO
Психология в деятельности CISO
 
News in FZ-152
News in FZ-152News in FZ-152
News in FZ-152
 
Crypto regulations in Russia
Crypto regulations in RussiaCrypto regulations in Russia
Crypto regulations in Russia
 
Принцип Парето в стандартизации ИБ
Принцип Парето в стандартизации ИБПринцип Парето в стандартизации ИБ
Принцип Парето в стандартизации ИБ
 
Регулирование ИБ в России
Регулирование ИБ в РоссииРегулирование ИБ в России
Регулирование ИБ в России
 
What every cio should know about security
What every cio should know about securityWhat every cio should know about security
What every cio should know about security
 
Vertical approaches for personal data standartization
Vertical approaches for personal data standartizationVertical approaches for personal data standartization
Vertical approaches for personal data standartization
 
Как писать?
Как писать?Как писать?
Как писать?
 

Similar to Почему утекает конфиденциальная информация в госорганах?

рынок иб вчера и сегодня рекомендации и практика микротест
рынок иб вчера и сегодня рекомендации и практика микротестрынок иб вчера и сегодня рекомендации и практика микротест
рынок иб вчера и сегодня рекомендации и практика микротестExpolink
 
MAKING THE BEST FROM HARDWARE AND SOFTWARE FOR TRUE CORPORATE MOBILITY
MAKING THE BEST FROM HARDWARE AND SOFTWARE FOR TRUE CORPORATE MOBILITYMAKING THE BEST FROM HARDWARE AND SOFTWARE FOR TRUE CORPORATE MOBILITY
MAKING THE BEST FROM HARDWARE AND SOFTWARE FOR TRUE CORPORATE MOBILITYAnna Rastova
 
Компания "Связьком"
Компания "Связьком"Компания "Связьком"
Компания "Связьком"Svyazcom
 
Решения для защиты корпоративных и коммерческих цод
Решения для защиты корпоративных и коммерческих цод Решения для защиты корпоративных и коммерческих цод
Решения для защиты корпоративных и коммерческих цод Denis Batrankov, CISSP
 
Визуализация взломов в собственной сети
Визуализация взломов в собственной сетиВизуализация взломов в собственной сети
Визуализация взломов в собственной сетиDenis Batrankov, CISSP
 
Алексей Лукацкий (Сisco): Пошаговое руководство по защите мобильного доступа
Алексей Лукацкий (Сisco): Пошаговое руководство по защите мобильного доступаАлексей Лукацкий (Сisco): Пошаговое руководство по защите мобильного доступа
Алексей Лукацкий (Сisco): Пошаговое руководство по защите мобильного доступаExpolink
 
Алексей Лукацкий - Пошаговое руководство по защите мобильного доступа
Алексей Лукацкий - Пошаговое руководство по защите мобильного доступаАлексей Лукацкий - Пошаговое руководство по защите мобильного доступа
Алексей Лукацкий - Пошаговое руководство по защите мобильного доступаExpolink
 
Алексей Лукацкий: Secure mobile access step by-step
Алексей Лукацкий: Secure mobile access step by-stepАлексей Лукацкий: Secure mobile access step by-step
Алексей Лукацкий: Secure mobile access step by-stepExpolink
 
Защита корпорации на платформе Palo Alto Networks
Защита корпорации на платформе Palo Alto Networks Защита корпорации на платформе Palo Alto Networks
Защита корпорации на платформе Palo Alto Networks Denis Batrankov, CISSP
 
CloudsNN 2014. Юрий Бражников. Безопасность виртуализации Microsoft и выполне...
CloudsNN 2014. Юрий Бражников. Безопасность виртуализации Microsoft и выполне...CloudsNN 2014. Юрий Бражников. Безопасность виртуализации Microsoft и выполне...
CloudsNN 2014. Юрий Бражников. Безопасность виртуализации Microsoft и выполне...Clouds NN
 
портфель решений для компаний малого и среднего бизнеса
портфель решений для компаний малого и среднего бизнесапортфель решений для компаний малого и среднего бизнеса
портфель решений для компаний малого и среднего бизнесаSoftline
 
Комплексная презентация IT for Retail
Комплексная презентация IT for Retail Комплексная презентация IT for Retail
Комплексная презентация IT for Retail MOBILE DIMENSION LLC
 
Стратегия развития технологий Интернета Вещей в Cisco
Стратегия развития технологий Интернета Вещей в CiscoСтратегия развития технологий Интернета Вещей в Cisco
Стратегия развития технологий Интернета Вещей в CiscoCisco Russia
 
Ivideon - облачное видеонаблюдение
Ivideon - облачное видеонаблюдениеIvideon - облачное видеонаблюдение
Ivideon - облачное видеонаблюдениеDigital Sunrise
 
Интеграция сервисов идентификациии контроля доступа. Решение Cisco Identity S...
Интеграция сервисов идентификациии контроля доступа. Решение Cisco Identity S...Интеграция сервисов идентификациии контроля доступа. Решение Cisco Identity S...
Интеграция сервисов идентификациии контроля доступа. Решение Cisco Identity S...Cisco Russia
 
Коммуникации из «Облака»
Коммуникации из «Облака»Коммуникации из «Облака»
Коммуникации из «Облака»Anatoliy Parkhomenko
 
Подход CTI к информационной безопасности бизнеса, Максим Лукин
Подход CTI к информационной безопасности бизнеса, Максим ЛукинПодход CTI к информационной безопасности бизнеса, Максим Лукин
Подход CTI к информационной безопасности бизнеса, Максим ЛукинYulia Sedova
 
Fortinet корпоративная фабрика безопасности
Fortinet корпоративная фабрика безопасностиFortinet корпоративная фабрика безопасности
Fortinet корпоративная фабрика безопасностиDiana Frolova
 
Интеграция сервисов идентификации и контроля доступа. Решение Cisco Identity ...
Интеграция сервисов идентификации и контроля доступа. Решение Cisco Identity ...Интеграция сервисов идентификации и контроля доступа. Решение Cisco Identity ...
Интеграция сервисов идентификации и контроля доступа. Решение Cisco Identity ...Cisco Russia
 

Similar to Почему утекает конфиденциальная информация в госорганах? (20)

рынок иб вчера и сегодня рекомендации и практика микротест
рынок иб вчера и сегодня рекомендации и практика микротестрынок иб вчера и сегодня рекомендации и практика микротест
рынок иб вчера и сегодня рекомендации и практика микротест
 
MAKING THE BEST FROM HARDWARE AND SOFTWARE FOR TRUE CORPORATE MOBILITY
MAKING THE BEST FROM HARDWARE AND SOFTWARE FOR TRUE CORPORATE MOBILITYMAKING THE BEST FROM HARDWARE AND SOFTWARE FOR TRUE CORPORATE MOBILITY
MAKING THE BEST FROM HARDWARE AND SOFTWARE FOR TRUE CORPORATE MOBILITY
 
Компания "Связьком"
Компания "Связьком"Компания "Связьком"
Компания "Связьком"
 
Решения для защиты корпоративных и коммерческих цод
Решения для защиты корпоративных и коммерческих цод Решения для защиты корпоративных и коммерческих цод
Решения для защиты корпоративных и коммерческих цод
 
Визуализация взломов в собственной сети
Визуализация взломов в собственной сетиВизуализация взломов в собственной сети
Визуализация взломов в собственной сети
 
Secure Mobile Office
Secure Mobile OfficeSecure Mobile Office
Secure Mobile Office
 
Алексей Лукацкий (Сisco): Пошаговое руководство по защите мобильного доступа
Алексей Лукацкий (Сisco): Пошаговое руководство по защите мобильного доступаАлексей Лукацкий (Сisco): Пошаговое руководство по защите мобильного доступа
Алексей Лукацкий (Сisco): Пошаговое руководство по защите мобильного доступа
 
Алексей Лукацкий - Пошаговое руководство по защите мобильного доступа
Алексей Лукацкий - Пошаговое руководство по защите мобильного доступаАлексей Лукацкий - Пошаговое руководство по защите мобильного доступа
Алексей Лукацкий - Пошаговое руководство по защите мобильного доступа
 
Алексей Лукацкий: Secure mobile access step by-step
Алексей Лукацкий: Secure mobile access step by-stepАлексей Лукацкий: Secure mobile access step by-step
Алексей Лукацкий: Secure mobile access step by-step
 
Защита корпорации на платформе Palo Alto Networks
Защита корпорации на платформе Palo Alto Networks Защита корпорации на платформе Palo Alto Networks
Защита корпорации на платформе Palo Alto Networks
 
CloudsNN 2014. Юрий Бражников. Безопасность виртуализации Microsoft и выполне...
CloudsNN 2014. Юрий Бражников. Безопасность виртуализации Microsoft и выполне...CloudsNN 2014. Юрий Бражников. Безопасность виртуализации Microsoft и выполне...
CloudsNN 2014. Юрий Бражников. Безопасность виртуализации Microsoft и выполне...
 
портфель решений для компаний малого и среднего бизнеса
портфель решений для компаний малого и среднего бизнесапортфель решений для компаний малого и среднего бизнеса
портфель решений для компаний малого и среднего бизнеса
 
Комплексная презентация IT for Retail
Комплексная презентация IT for Retail Комплексная презентация IT for Retail
Комплексная презентация IT for Retail
 
Стратегия развития технологий Интернета Вещей в Cisco
Стратегия развития технологий Интернета Вещей в CiscoСтратегия развития технологий Интернета Вещей в Cisco
Стратегия развития технологий Интернета Вещей в Cisco
 
Ivideon - облачное видеонаблюдение
Ivideon - облачное видеонаблюдениеIvideon - облачное видеонаблюдение
Ivideon - облачное видеонаблюдение
 
Интеграция сервисов идентификациии контроля доступа. Решение Cisco Identity S...
Интеграция сервисов идентификациии контроля доступа. Решение Cisco Identity S...Интеграция сервисов идентификациии контроля доступа. Решение Cisco Identity S...
Интеграция сервисов идентификациии контроля доступа. Решение Cisco Identity S...
 
Коммуникации из «Облака»
Коммуникации из «Облака»Коммуникации из «Облака»
Коммуникации из «Облака»
 
Подход CTI к информационной безопасности бизнеса, Максим Лукин
Подход CTI к информационной безопасности бизнеса, Максим ЛукинПодход CTI к информационной безопасности бизнеса, Максим Лукин
Подход CTI к информационной безопасности бизнеса, Максим Лукин
 
Fortinet корпоративная фабрика безопасности
Fortinet корпоративная фабрика безопасностиFortinet корпоративная фабрика безопасности
Fortinet корпоративная фабрика безопасности
 
Интеграция сервисов идентификации и контроля доступа. Решение Cisco Identity ...
Интеграция сервисов идентификации и контроля доступа. Решение Cisco Identity ...Интеграция сервисов идентификации и контроля доступа. Решение Cisco Identity ...
Интеграция сервисов идентификации и контроля доступа. Решение Cisco Identity ...
 

More from Aleksey Lukatskiy

4 сценария мониторинга ИБ изолированных промышленных площадок
4 сценария мониторинга ИБ изолированных промышленных площадок4 сценария мониторинга ИБ изолированных промышленных площадок
4 сценария мониторинга ИБ изолированных промышленных площадокAleksey Lukatskiy
 
Аутсорсинг. Управление рисками информационной безопасности
Аутсорсинг. Управление рисками информационной безопасностиАутсорсинг. Управление рисками информационной безопасности
Аутсорсинг. Управление рисками информационной безопасностиAleksey Lukatskiy
 
Чеклист организации, выстраивающей стратегию безопасного удаленного доступа
Чеклист организации, выстраивающей стратегию безопасного удаленного доступаЧеклист организации, выстраивающей стратегию безопасного удаленного доступа
Чеклист организации, выстраивающей стратегию безопасного удаленного доступаAleksey Lukatskiy
 
Как ловить кибермафию с помощью DNS
Как ловить кибермафию с помощью DNSКак ловить кибермафию с помощью DNS
Как ловить кибермафию с помощью DNSAleksey Lukatskiy
 
Презентация по ИБ для руководства компании
Презентация по ИБ для руководства компанииПрезентация по ИБ для руководства компании
Презентация по ИБ для руководства компанииAleksey Lukatskiy
 
13 советов, от которых зависит успешность вашего SOC
13 советов, от которых зависит успешность вашего SOC13 советов, от которых зависит успешность вашего SOC
13 советов, от которых зависит успешность вашего SOCAleksey Lukatskiy
 
От разрозненных фидов к целостной программе Threat intelligence
От разрозненных фидов к целостной программе Threat intelligenceОт разрозненных фидов к целостной программе Threat intelligence
От разрозненных фидов к целостной программе Threat intelligenceAleksey Lukatskiy
 
Дашборды по ИБ АСУ ТП
Дашборды по ИБ АСУ ТПДашборды по ИБ АСУ ТП
Дашборды по ИБ АСУ ТПAleksey Lukatskiy
 
Техническая защита персональных данных в соответствие с GDPR и ФЗ-152
Техническая защита персональных данных в соответствие с GDPR и ФЗ-152Техническая защита персональных данных в соответствие с GDPR и ФЗ-152
Техническая защита персональных данных в соответствие с GDPR и ФЗ-152Aleksey Lukatskiy
 
17 способов проникновения во внутреннюю сеть компании
17 способов проникновения во внутреннюю сеть компании17 способов проникновения во внутреннюю сеть компании
17 способов проникновения во внутреннюю сеть компанииAleksey Lukatskiy
 
Бизнес-метрики ИБ для руководства финансовой организации
Бизнес-метрики ИБ для руководства финансовой организацииБизнес-метрики ИБ для руководства финансовой организации
Бизнес-метрики ИБ для руководства финансовой организацииAleksey Lukatskiy
 
Уральский форум 2020 за 15 минут
Уральский форум 2020 за 15 минутУральский форум 2020 за 15 минут
Уральский форум 2020 за 15 минутAleksey Lukatskiy
 
Кибербезопасность прорывных технологий
Кибербезопасность прорывных технологийКибербезопасность прорывных технологий
Кибербезопасность прорывных технологийAleksey Lukatskiy
 
Тенденции киберугроз. Что необходимо знать?
Тенденции киберугроз. Что необходимо знать?Тенденции киберугроз. Что необходимо знать?
Тенденции киберугроз. Что необходимо знать?Aleksey Lukatskiy
 
Новая концепция кибербезопасности Zero Trust
Новая концепция кибербезопасности Zero TrustНовая концепция кибербезопасности Zero Trust
Новая концепция кибербезопасности Zero TrustAleksey Lukatskiy
 
Измерение эффективности SOC. 3 года спустя
Измерение эффективности SOC. 3 года спустяИзмерение эффективности SOC. 3 года спустя
Измерение эффективности SOC. 3 года спустяAleksey Lukatskiy
 
Как правильно выборать аутсорсингового партнера
Как правильно выборать аутсорсингового партнераКак правильно выборать аутсорсингового партнера
Как правильно выборать аутсорсингового партнераAleksey Lukatskiy
 
ICS Cyber Security Effectiveness Measurement
ICS Cyber Security Effectiveness MeasurementICS Cyber Security Effectiveness Measurement
ICS Cyber Security Effectiveness MeasurementAleksey Lukatskiy
 
Измерение эффективности ИБ промышленных систем
Измерение эффективности ИБ промышленных системИзмерение эффективности ИБ промышленных систем
Измерение эффективности ИБ промышленных системAleksey Lukatskiy
 
Один зеродей и тысяча ночей без сна
Один зеродей и тысяча ночей без снаОдин зеродей и тысяча ночей без сна
Один зеродей и тысяча ночей без снаAleksey Lukatskiy
 

More from Aleksey Lukatskiy (20)

4 сценария мониторинга ИБ изолированных промышленных площадок
4 сценария мониторинга ИБ изолированных промышленных площадок4 сценария мониторинга ИБ изолированных промышленных площадок
4 сценария мониторинга ИБ изолированных промышленных площадок
 
Аутсорсинг. Управление рисками информационной безопасности
Аутсорсинг. Управление рисками информационной безопасностиАутсорсинг. Управление рисками информационной безопасности
Аутсорсинг. Управление рисками информационной безопасности
 
Чеклист организации, выстраивающей стратегию безопасного удаленного доступа
Чеклист организации, выстраивающей стратегию безопасного удаленного доступаЧеклист организации, выстраивающей стратегию безопасного удаленного доступа
Чеклист организации, выстраивающей стратегию безопасного удаленного доступа
 
Как ловить кибермафию с помощью DNS
Как ловить кибермафию с помощью DNSКак ловить кибермафию с помощью DNS
Как ловить кибермафию с помощью DNS
 
Презентация по ИБ для руководства компании
Презентация по ИБ для руководства компанииПрезентация по ИБ для руководства компании
Презентация по ИБ для руководства компании
 
13 советов, от которых зависит успешность вашего SOC
13 советов, от которых зависит успешность вашего SOC13 советов, от которых зависит успешность вашего SOC
13 советов, от которых зависит успешность вашего SOC
 
От разрозненных фидов к целостной программе Threat intelligence
От разрозненных фидов к целостной программе Threat intelligenceОт разрозненных фидов к целостной программе Threat intelligence
От разрозненных фидов к целостной программе Threat intelligence
 
Дашборды по ИБ АСУ ТП
Дашборды по ИБ АСУ ТПДашборды по ИБ АСУ ТП
Дашборды по ИБ АСУ ТП
 
Техническая защита персональных данных в соответствие с GDPR и ФЗ-152
Техническая защита персональных данных в соответствие с GDPR и ФЗ-152Техническая защита персональных данных в соответствие с GDPR и ФЗ-152
Техническая защита персональных данных в соответствие с GDPR и ФЗ-152
 
17 способов проникновения во внутреннюю сеть компании
17 способов проникновения во внутреннюю сеть компании17 способов проникновения во внутреннюю сеть компании
17 способов проникновения во внутреннюю сеть компании
 
Бизнес-метрики ИБ для руководства финансовой организации
Бизнес-метрики ИБ для руководства финансовой организацииБизнес-метрики ИБ для руководства финансовой организации
Бизнес-метрики ИБ для руководства финансовой организации
 
Уральский форум 2020 за 15 минут
Уральский форум 2020 за 15 минутУральский форум 2020 за 15 минут
Уральский форум 2020 за 15 минут
 
Кибербезопасность прорывных технологий
Кибербезопасность прорывных технологийКибербезопасность прорывных технологий
Кибербезопасность прорывных технологий
 
Тенденции киберугроз. Что необходимо знать?
Тенденции киберугроз. Что необходимо знать?Тенденции киберугроз. Что необходимо знать?
Тенденции киберугроз. Что необходимо знать?
 
Новая концепция кибербезопасности Zero Trust
Новая концепция кибербезопасности Zero TrustНовая концепция кибербезопасности Zero Trust
Новая концепция кибербезопасности Zero Trust
 
Измерение эффективности SOC. 3 года спустя
Измерение эффективности SOC. 3 года спустяИзмерение эффективности SOC. 3 года спустя
Измерение эффективности SOC. 3 года спустя
 
Как правильно выборать аутсорсингового партнера
Как правильно выборать аутсорсингового партнераКак правильно выборать аутсорсингового партнера
Как правильно выборать аутсорсингового партнера
 
ICS Cyber Security Effectiveness Measurement
ICS Cyber Security Effectiveness MeasurementICS Cyber Security Effectiveness Measurement
ICS Cyber Security Effectiveness Measurement
 
Измерение эффективности ИБ промышленных систем
Измерение эффективности ИБ промышленных системИзмерение эффективности ИБ промышленных систем
Измерение эффективности ИБ промышленных систем
 
Один зеродей и тысяча ночей без сна
Один зеродей и тысяча ночей без снаОдин зеродей и тысяча ночей без сна
Один зеродей и тысяча ночей без сна
 

Почему утекает конфиденциальная информация в госорганах?

  • 1. Почему госсекреты появляются в Интернет? Лукацкий Алексей, консультант по безопасности security-request@cisco.com
  • 2. КАК ЭТО УЖЕ РАБОТАЕТ В ГОСОРГАНАХ
  • 3.
  • 4.
  • 5. Доверенна сеть я WiFi Адаптационный период  Аутентификация пользователя  Цифровая метка устройства  Применение корпоративной конфигурации  Корпоративный AppStore  Банковские приложения  Автоматические политики
  • 6. Доверенная сеть WiFi Политика с учетом контекста Применение установленных профилей политики, исходя из: типа устройства пользователя местоположения приложения
  • 7. Доверенная с е т ь W i F i Политика с учетом контекста Доступ: ПОЛНЫЙ Нет Да Электронные досье клиентов Мобильная технология TelePresence / ВКС Электронная почта Мгновенный обмен сообщениями
  • 8. Доверенная сеть WiFi Результаты оценки клиента Х уже готовы? Еще нет, но я дам вам знать, когда они поступят
  • 9. Недоверенная сеть WiFi Политика роуминга Доступ: ограниченный Нет Да Электронные досье клиентов Мобильная технология TelePresence Электронная почта Мгновенный обмен сообщениями
  • 10.
  • 11.
  • 12. 3G/4G Доступ: Ограничен Нет Да Досье клиента Mobile TelePresence Email Instant Messenger
  • 13. UPDATE 3G/4G
  • 14. Доверенный WiFi Доступ : ПОЛНЫЙ Нет Да Досье на клиента Mobile TelePresence Email Instant Messenger
  • 15. Доверенный W i F i Приоритет полосы
  • 18. Документы устарели морально • РД «Концепция защиты средств вычислительной техники и автоматизированных систем от несанкционированного доступа к информации» • РД «Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации» • РД «Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации» • РД «Средства вычислительной техники. Межсетевые экраны. Защита от несанкционированного доступа. Показатели защищенности от несанкционированного доступа к информации»
  • 19. и технологически • Специальные требования и рекомендации по технической защите конфиденциальной информации (СТР-К) – Одобрены решением коллегии Гостехкомиссии России от 2 марта 2001 г. № 7.2 – Введены приказом Гостехкомиссии России от 30.08.02 №282
  • 20. Основная парадигма – контролируемая зона
  • 21. А есть ли у нас периметр? • Все объекты, к которым предоставляется доступ, и все субъекты, которые этот доступ получают, должны находиться в контролируемой зоне – Действия пользователей контролируются и ограничиваются системой разграничения доступа – Посторонние субъекты получить доступ в контролируемую зону получить не могут – Для борьбы с средствами электронной разведки используется защита от ПЭМИН, виброакустика и т.п. – При наличии нескольких распределенных контролируемых зон, каналы связи между ними защищаются сертифицированными СКЗИ и сертифицированными МСЭ – Периметр контролируемой зоны – это наше все!
  • 22. А кто у нас нарушитель? • «В качестве нарушителя рассматривается субъект, имеющий доступ к работе со штатными средствами АС и СВТ как части АС» – П.4.1 Концепции защиты СВТ и АС от НСД • Внешний нарушитель не рассматривается в принципе – Но он есть! – Он атакует внешний периметр, который не бывает непробиваемым, т.к. администраторы тоже люди и тоже совершают ошибки при настройке и конфигурировании – Внешний нарушитель попадает в DMZ, оттуда в ядро сети, затем ЦОД и пользовательские сегменты – Внутри периметра препятствий обычно уже нет, т.к. концепция защиты ориентирована на контролируемого пользователя, а не свободно разгуливающего хакера
  • 23. СТР-К ориентируется только на внутренние угрозы Внутренние угрозы Внешние угрозы Ботнеты ВПО ПРОБЛЕМА Доступ из защищаемой Доступ из защищаемой сети Доступ извне к сети к менее доверенной к такой же по уровню защищаемой сети требует защиты не требует средств вообще не сертифицированного МСЭ разграничения (кроме СКЗИ) регламентируется
  • 24. А если нужен доступ из Интернет к защищаемому ресурсу? ОТЕЛЬ ОФИС
  • 25. Как это сделано в Cisco: общий взгляд Интернет Демилитаризованная зона (DMZ) Основной сайт
  • 26. Как это сделано в Cisco: анализ проникновения в DMZ  Злоумышленники могут захватить эти интернет-серверы
  • 27. Как это сделано в Cisco: анализ проникновения внутрь  Возможно действие лишь некоторых основных атак
  • 28. Как это сделано в Cisco: анализ веерной атаки внутри  Злоумышленник может проникнуть в случае, если он найдет брешь, которую вы еще не устранили
  • 29. Основной объект защиты - ПК Мобильный Мейнфрейм Мини ПК Интернет+ПК Интернет Вычиления Вычисления Вычисления Вычисления Вычисления 1950-х 1960-х 1980-х 1990-х 2000-х
  • 30. z Приложения ОС пользователя ОС Сервера Клиентские устройства
  • 31. Бизнес вышел за рамки ПК
  • 32. А есть ли сертифицированные средства защиты не для ПК? Защищенный Незащищенный
  • 33. А если платформа закрыта для разработчиков?! Apple iOS МСЭ IPS 33
  • 34. Традиционный подход не справляется с требованиями сегодняшнего дня Мобильность Социальность Видео Виртуализация Отсутствие поддержки Невозможно Низкое качество Ограничения в мобильных устройств и взаимодействовать с и совместимость работе с голосом и OC социальными сетями видео через VDI X X X X
  • 36. Традиционный периметр Политика Периметр Приложения и данные Офис Филиал Хакеры Партнеры Заказчики
  • 37. Мобильность и взаимодействие растворяют Интернет-периметр Политика Периметр Приложения и данные Офис Филиал Дом Аэропорт Мобильный Кафе пользователь Хакеры Партнеры Заказчики
  • 38. Cloud Computing растворяет границу ЦОД Политика Периметр Platform Infrastructure Приложения и as a Service as a Service Software X данные as a Service as a Service Офис Филиал Дом Аэропорт Мобильный Кафе пользователь Хакеры Партнеры Заказчики
  • 39. Пользователи хотят вести бизнес без границ Политика Периметр Platform Infrastructure Приложения и as a Service as a Service Software X данные as a Service as a Service Офис Филиал Дом Аэропорт Мобильный Кафе пользователь Хакеры Партнеры Заказчики
  • 40. Нужен новый подход! Политика Политика 4 (Access Control, Acceptable Use, Malware, Data Security) Data Center Borderless Периметр Platform Infrastructure Приложения и Software as a Service as a Service X 3 данные as a Service as a Service Офис Borderless Internet 2 Филиал End Zones Borderless Дом Аэропорт 1 Мобильный Кафе пользователь Хакеры Партнеры Заказчики
  • 41. security-request@cisco.com Благодарю вас за внимание BRKSEC-1065 © Cisco и (или) дочерние компании, 2011 г. Все права защищены. Общедоступная информация Cisco 41

Editor's Notes

  1. What does this all really mean? It introduces a new chasm – the netherworld between trusted enterprise networks, and the wild world of the internet that is accessed while roaming hotspots, 3G/4G networks and home networks. Did you know that employee devices spend a full 50% of connected lives OFF the enterprise network? As never before, organizations must manage the transitions on and off different networks seamlessly, while protecting sensitive information.But this growth in wireless and mobility can also create new opportunities to increase efficiency and grow your business today. Just how can you take advantage of this market transition?What I’m going to do today is break it down into a very simple example. Let’s walk through a day in the life of Dr. Jack Thompson, something that is happening right now in hospitals across the country. [TRANSITION] Let’s see what a true seamless experience should be for Dr. Thompson, and the systems that make it happen.
  2. Dr. Thompson buys a 3G iPad during lunch, walks back to the hospital and hands his new iPad to IT and says I want to use this for my work. Now what?[TRANSITION]
  3. His IT manager tells him that using his username and password, he can “onboard” the device and the network will apply all the correct policies and approved apps automaticallyThe IT manager knows the importance of keeping the network secure, and complying with regulations to protect patient data. So things like remote wipe and data loss prevention are critical. [TRANSITION]
  4. Luckily, his system can help him apply contextual policies based on things like device type, user or location automatically, without user intervention. We’ve kept it simple for this example, but as you all know you can apply polices based on many more attributes.That’s it, Dr. Thompson has now on-boarded his new iPad. Keep in mind, to enable this seamless experience the network needs to support certain things: First, you need an 802.11n Wi-Fi network which can withstand the challenges of Mobility including complex RF interference. Second, you need identity-based network control for the contextual policy we just touched on. Mobile Device Management is required for functions such as installing enterprise applications or remote wipe if the device is lost. Last but not least, Make sure you have a management system for the infrastructure and a service assurance manager for visibility into what’s going on in the network, and what you need to do if things start going wrong. If you have branches in the Hospital, WAN optimization will help help keep network resources available.[TRANSITION]
  5. Let’s get back to Dr. Thompson…. He is now attending to patients in the OR. His contextual policy has been defined from an application perspective such that when he is at work, he has full access electronic medical records, mobile telepresence, email and IM. Again, we are keeping it simple here in terms of applications used. It’s key to note that you can tailor this policy for unique job and regulatory requirements, with the doctor only allowed to access sensitive patient records while in the office due to HIPPA regulations.It’s now 2 o’clock and Dr. Thompson needs his afternoon coffee, what happens when he leaves the Hospital? [TRANSITION]
  6. Doctor goes to OR, pulls up EMR and xray imagesCommunicates with staff via IMWe know that literally billions of devices are pouring onto networks – at hospitals that presents doctors, administrators, patients, and visitors. Each has unique needs, and along with tablets and smart phones, healthcare has specialized medical equipment, and wireless tracking tags, connecting in increasing numbersA wi-fi network must be designed to meet these challenges, these changing device profiles, application profiles, and device density.Capacity and performance to support the influx of clientsPerformance to handle new applications, such as two-way TP with patients, and EMR data housed centrally for a medical group, and application data now residing in the cloud Acceleration for all client types, even the medical asset tags, slower tablets and smart phonesPROACTIVE protection against wireless interference from things like blanket warmers and light controlsLocation tracking for assets and peoplePlus, patient data is protected by HIPPA regulations, so IT must carefully govern when and how this can be accessed
  7. He decides to visit the coffee shop next door, which has a Wi-Fi hotspot. Now, his contextual policy becomes a roaming policy defined by the Hospital. The policy says that Dr. Thompson will not have access to EMR while at the coffee shop, but he will be able to use email, telepresence and IM[TRANSITION] While there, he gets a paged from his nurse, and gets into a video chat session to have a two-way video chat about his patient.
  8. Doctor goes to his child’s soccer game, still with iPad, on 3GAgain, his VPN has roamed from hotspot to 3G, preventing any interruption or interventionHe has full access to patient data, but his applications have been throttled to prevent overloading the 3G network and to prevent application performance issuesOur doctor pulls up his EMR application, checks for updates on patient status, all is well, watches game with ease
  9. Doctor goes to his child’s soccer game, still with iPad, on 3GAgain, his VPN has roamed from hotspot to 3G, preventing any interruption or interventionHe has full access to patient data, but his applications have been throttled to prevent overloading the 3G network and to prevent application performance issuesOur doctor pulls up his EMR application, checks for updates on patient status, all is well, watches game with ease
  10. Doctor goes to his child’s soccer game, still with iPad, on 3GAgain, his VPN has roamed from hotspot to 3G, preventing any interruption or interventionHe has full access to patient data, but his applications have been throttled to prevent overloading the 3G network and to prevent application performance issuesOur doctor pulls up his EMR application, checks for updates on patient status, all is well, watches game with ease
  11. Doctor goes home – connects on home Wi-Fi, He has partitioned access – tunnel back to hospital, and a personal SSID for family accessDoctor calls in on his IP softphone to talk with a colleague about tomorrow’s operations[TRANSITION]
  12. Doctor goes home – connects on home Wi-Fi, He has partitioned access – tunnel back to hospital, and a personal SSID for family accessDoctor calls in on his IP softphone to talk with a colleague about tomorrow’s operationsSon starts a Call of Duty “Modern Warfare 3” game – but his home router applies QoS and prioritizes this lower than his phone callHis call continues with perfect quality
  13. The threat environment presents two challenges, protecting against attack targeted at or coming from internal users as well as protecting from attack from outsiders. As hackers become industrialized, meaning that they are organized and deliberate in their efforts, and that they operate from an actual for-profit business model, their efforts to break into and steal data, resources, personal information, and even electronic funds, goods, and services are becoming increasingly sophisticated. These threats are not only from the outside, but increasingly, are aided, or even initiated, by insiders.Traditional, legacy security solutions are poorly suited to address these new threats. They exist in siloed environments with no ability to see behaviors within a larger context, nor to leverage the network in order to better mitigate events. Signature-based solutions are becoming irrelevant as polymorphic threats are able to self-modify their code to avoid signature-matching security approaches. More often than not, these solutions also impede an organization’s ability to deploy new mobility or collaboration solutions because as the edges of the network blur these devices become even less effective.We need to have visibility into these inside and outside actions and apply greater context to effectively protect from successful attacks.
  14. With users demanding access to data from anywhere, the choice for you is to either to keep your network very restrictive, which your business leaders do not like, or to fully open up access even if that makes your network more vulnerable.As an element of context, location can play an important role in determining whether the access request is legitimate or not. For example, if the CFO access the finance application from his laptop as well as iPad, maybe it is ok. However, the fact that the access from these two devices happened simultaneously from 2000 miles apart is a strong indication that one of the devices may be compromised.ASA CX allows you to create location-based policies. In the first release, you can create separate policies for local and VPN (AnyConnect) user traffic. As an example, you can allow access to a sensitive financial application from a local laptop, while denying access from a remote iPad.In future, the planned integration with TrustSec and Identity Services Engine (ISE) will allow you to set more granular policies based on where in the network you connected from. For example, if you are connecting from employee workstations in San Jose campus > Building H, you get a different level of access than if you were connecting from a lab environment.
  15. To understand the first pillar in the borderless end zone, consider how a traditional Virtual Private Network works. <ENTER> Today, when a user is connected through a VPN, the user is fully protected from threats by corporate scanners, filters and firewall systems.However, if users aren’t VPN’d in there is no protection in place and they are completely exposed to threats, as well as acceptable use and data security violations. In this case the dollars that corporations have invested in security infrastructure doesn’t help them at all.So in the traditional model you are completely reliant on the end user and the limitations of their client-based security.<ENTER> Cisco’s vision is to extend the security perimeter by linking end points to an array of enforcement engines. This tether will monitor connections at the endpoint and intelligently redirect traffic to high-performance scanning elements in the network. Cisco devices like Adaptive Services Appliances, Integrated Security Routers, and Web and Email Security Appliances perform the policy enforcement. This makes it possible for customers to enforce consistent policies for any device, anywhere.
  16. So let me walk you through the components that make up the architecture for borderless network security. Of course there are policy enforcement systems. These are Cisco devices located inside your corporate office and in distributed locations. We call this the Cisco Security Enforcement Array. Some are firewalls, some are email and web filtering systems, some are virtual services running on routers and switches. We’ll talk more about these in a moment.<ENTER>Part of our solution resides in the borderless end zones, covering mobile users, remote workers, partners and others.<ENTER>Part of our solution resides in the internet, in the Security Enforcement Array and in Cisco products globally.<ENTER>Part of our solution provides Single-Sign-On and secures the new cloud-based services from Cisco and other vendors, that make up the borderless data center.<ENTER>Finally, there is a layer of policy control over acceptable use, access control, malware and data security. These are the four pillars that define the reach and layout of the secure borderless network architecture.