1. Защищенные сети без
границ – подход Cisco
Алексей Лукацкий, бизнес-консультант по безопасности
© Cisco, 2010. Все права защищены. 1/38

2. Смена ожиданий бизнеса в отношении
информационной безопасности
© Cisco, 2010. Все права защищены. 2/99

3. © Cisco, 2010. Все права защищены. 3

4. Malware
Вирус Шпионское (трояны, Эксплоиты
ПО кейлоггеры,
скрипты)
Исследования Вредоносные Web и социальные Вредоносные
NSS LAB программы сети все чаще программы
показывают, что воруют уже не становятся используют для
даже лучшие ссылки на рассадником своих действий
антивирусы и посещаемые вредоносных неизвестные
Web-шлюзы не вами сайты, а программ, а также уязвимости (0-Day,
эффективны реквизиты инструментом 0-Hour)
против доступа к ним разведки
современных злоумышленников
угроз
© Cisco, 2010. Все права защищены. 4/99

5. Фокус на Передовые
Массовое Полимор- и тайные
конкретную
заражение физм средства
жертву
(APT)
Злоумышленников Современные угрозы Угрозы могут быть Угрозы становятся
не интересует постоянно меняются, разработаны модульными,
известность и чтобы средства специально под вас – самовосстанавлива-
слава – им важна защиты их не они учитывают вашу ющимися и
финансовая отследили – инфраструктуры и устойчивыми к
выгода от изменение встраиваются в нее, что отказам и
реализации угрозы поведения, адресов делает невозможным обнаружению
серверов управления применение
стандартных методов
анализа
© Cisco, 2010. Все права защищены. 5/99

6. Устойчивые, сложные, мутирующие
Каждый экземпляр атаки может отличаться от другого
Домены меняются ежедневно, даже ежечасно
Контент мутирует и маскируется под легальный трафик
80% спама исходит от инцифицированных клиентов
70% «зомби» используют динамические IP-адреса
Угрозы из легальных доменов растут на сотни процентов в год
Спам составляет более 180 миллиардов сообшений в день
© 2010 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 6

7. © Cisco, 2010. Все права защищены. 7/99

8. © Cisco, 2010. Все права защищены. 8/99

9. © Cisco, 2010. Все права защищены. 9/99

10. © Cisco, 2010. Все права защищены. 10/99

11. • 51% пользователей имеет обычно 1-4
пароля ко всем своим учетным записям
© Cisco, 2010. Все права защищены. 11/99

12. Malware
Нарушения
Утечки данных правил
использования
40% потерь
в производительности
в связи с использованием web для личных нужд во время работы
Риск нарушения законодательства
когда запрещенный контент загружается
пользователями
© Cisco, 2010. Все права защищены. 12/99

13. © Cisco, 2010. Все права защищены. 13/99

14. • Взломанные web-узлы отвечают за распространение более 87%
всех Web-угроз сегодня
• Более 79% web-узлов с вредоносным кодом легитимные**
• 9 из 10 web-узлов уязвимы к атакам**
• Cross-site Scripting (XSS) и SQL Injections лидируют в числе
разных методик взлома
-Cross-Site Scripting (7 их10 узлов)**
-SQL Injection (1 из 5)**
*Source: IronPort TOC
**Source: White праваSecurity, Website Sec Statistics Report 10/2007 & PPT 8/2008
© Cisco, 2010. Все
Hat защищены. 14/99

15. • Botnets настраиваются и внедряют malware в web-узлы с помощью SQL
Injections используя уязвимости в web-приложениях
• Хакеры используют SQL Injections для вставки JavaScript iFrames, которые
перенаправляют пользователей на web-сайты, на которых хостится malware
© Cisco, 2010. Все права защищены. 15/99

16. Взломанные сайты
 Простое посещение сайта может
инфицировать компьютер пользователя
 Ответствены на 87% всех web-угроз*
 Категория: Новости
Социальная инженерия
DNS Poisoning  Актуальный контент,
содержащий общественный
интерес
 Социальная инженерия
заставляет пользователей
отключать защиту на
десктопе
 Категория: Правительство
© Cisco, 2010. Все права защищены. * Source: Cisco Threat Operations Center
16/99

17. • Ссылка размещается (или посылается от имени) на взломанной
учетной записи социальной сети
• Эта ссылка отсылает вас на сайт с «потрясным» видео, которое
просит установить вас последнюю версию Flash player или
отсутствующий кодек
© Cisco, 2010. Все права защищены. 17/99

18. © 2010 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 18

19. © Cisco, 2010. Все права защищены. 19/99

20. © Cisco, 2010. Все права защищены. 20/99

21. © Cisco, 2010. Все права защищены. 21/99

22. © Cisco, 2010. Все права защищены. 22/99

23. © Cisco, 2010. Все права защищены. 23/99

24. © Cisco, 2010. Все права защищены. 24/99

25. © Cisco, 2010. Все права защищены. 25/99

26. Мотивация Известность Деньги
Метод Дерзко Незаметно
Фокус Все равно Мишень
Средства Вручную Автомат
Результат Подрыв Катастрофа
Тип Уникальный код Tool kit
Цель Инфраструктура Приложения
Агент Изнутри Третье лицо
© Cisco, 2010. Все права защищены. 26/99

27. Атаки первой Атаки второй
Разработчики волны Посредники Результат
волны
Инструменты Прямая атака Слава
атак от хакера
Атака на отдельные
системы и
приложения
Шпионаж
Вредоносное ПО
Создание
Заражение ботнетов DDoS
Вымогательство
Черви
Рассылка
Вирусы Спама Месть
Управление ботнетом:
Аренда, продажа Реклама
Трояны Фарминг,
Фишинг/ Сбор DNS Poisoning Мошеннические
информации продажи
Шпионское
ПО Кража
информации Накручивание
Продажа
информации кликов
Мошенничество
$$$ Финансовые потоки $$$
© Cisco, 2010. Все права защищены. 27/99

28. • Партнерская сеть по
продаже scareware
• Партнеры загружают
scareware на зараженные
компьютеры и получают
комиссию 60% c продаж
• Объем продаж за десять
дней $147K (154 825
установки и 2 772 продажи)
• $5M в год Статистика продаж Bakasoftware
за 10 дней
Источник: http://www.secureworks.com/research/threats/rogue-antivirus-part-2/?threat=rogue-antivirus-part-2
© Cisco, 2010. Все права защищены. 28/99

29. Web Reputation Filters
Scan each object, not just
the initial request
Web servers not affiliated
Client PC Trusted Web Site
with the trusted web site
(e.g. ad servers)
 Веб-страницы создаются из  Скомпрометированные узлы берут
объектов, которые находятся на вредоносное содержимое из
разных источниках внешних источников
 Объекты – это изображения,  Безопасность – это просмотр
html-код, JavaScript… каждого объекта в отдельности, а не
только первоначального запроса.
© Cisco, 2010. Все права защищены. 29/99

30. 1. Адресов в браузере: 1
2. HTTP запросов: 162
3. Изображений: 66 с 18
разных доменов
4. Скриптов: 87 с 7 доменов
5. Cookie: 118 с 15 доменов
6. Flash объектов: 8 c 4
доменов
© Cisco, 2010. Все права защищены. 30/99

31. © Cisco, 2010. Все права защищены. 31/99

32. • Эффективна ли защита
рабочих станций
основанная только на
антивирусном ПО?
• Способен ли МСЭ
проверять
содержимое?
• Как технические
средства помогут
бороться с атаками с
применением
социальной
инженерии?
© Cisco, 2010. Все права защищены. 32/99

33. © Cisco, 2010. Все права защищены. 33/99

34. 1. Непрерывно повышайте свою
осведомленность
2. Не гонитесь за новинками –
решите «старые» задачи
3. Обучите персонал вопросам
ИБ — и вовлеките их в сам
процесс
4. Помните, что безопасность
сегодня не ограничивается
одним периметром / границей
5. Безопасность – это часть
вашего бизнеса
© Cisco, 2010. Все права защищены. 34/99

35. © Cisco, 2010. Все права защищены. 35

36. Социальные
Аутсорсинг Виртуализация Облака Мобильность Web 2.0
сети
© Cisco, 2010. Все права защищены. 36/99

37. становятся причинами появления новых угроз
7 млрд новых беспроводных ―Энтузиасты совместной 40% заказчиков планируют
Новые цели атак: виртуальные
внедрить
устройств к 2015 г. работы‖ в среднем
Украденный ноутбук больницы: Skype = возможность вторжения машины и гипервизор
используют 22 средства для распределенные сетевые
14 000 историй болезни
50% предприятий-участников общения с коллегами
Системы IM могут обходить сервисы («облака»)
Более 400 угроз Отсутствие контроля над
опроса разрешают
для мобильных устройств, 45%механизмы защиты
сотрудников нового внутренней виртуальной сетью
использовать–личные К 2013 г. объем рынка «облачных
к концу года до 1000 поколения пользуются ведет к снижению эффективности
устройства для работы вычислений» составит 44,2 млрд
социальными сетями
© Cisco, 2010. Все права защищены. политик безопасности
долларов США
37/99

38. 66% 45% 59% 45% 57%
Согласятся на Готовы Хотят ИТ- ИТ-специалистов
снижение поработать на использовать специалистов утверждают, что
компенсации 2-3 часа в день на работе не готовы основной задачей
(10%), если больше, если личные обеспечить при повышении
смогут работать смогут сделать устройства бóльшую мобильности
из любой точки это удаленно мобильность сотрудников
мира сотрудников является
обеспечение
безопасности
© Cisco, 2010. Все права защищены. 38/99

39. 21% 64% 47% 20% 55%
Людей Людей не думая Пользователей Людей уже Людей были
принимают кликают по Интернет уже сталкивалось с подменены с
«приглашения ссылкам, становились кражей целью получения
дружбы» от присылаемым жертвами идентификаци персональных
людей, которых «друзьями» заражений онных данных данных
они не знают вредоносными
программами
© Cisco, 2010. Все права защищены. 39/99

40. «Заплаточный» подход к защите – нередко
в архитектуре безопасности используются
решения 20-30 поставщиков
Непонимание смены ландшафта угроз
Концентрация на требованиях регулятора в
ущерб реальной безопасности
Неучет и забывчивость в отношении новых
технологий и потребностей бизнеса
© Cisco, 2010. Все права защищены. 40/99

41. © Cisco, 2010. Все права защищены. 41

42. Противодействие Соответствие
вредоносным нормативным
воздействиям требованиям
Мониторинг
Защита пользователей,
ресурсов устройств,
операций
Поддержание
Экономическая
работы критически
эффективность
важных сервисов
ТРЕБУЕТСЯ АРХИТЕКТУРНЫЙ ПОДХОД
© Cisco, 2010. Все права защищены. 42/99

43. Глобальный анализ угроз: SIO
Безопасность Контроль Защищенная Безопасность
сети доступа мобильность контента
• МСЭ • Управление • VPN • Защита
• IPS политиками • Мобильный электронной почты
• VPN • 802.1x защищенный клиент • Обеспечение
• Управление • NAC • IPS для безопасности
безопасностью • Оценка состояния беспроводных сетей web-трафика
• Виртуальные • Профилирование • Удаленный сотрудник • «Облачные»
решения устройств • Виртуальный офис сервисы
• Модули • Сервисы • Защита мобильности обеспечения
обеспечения ИБ идентификации безопасности
• Конфиденциальность контента
Защищенные «облака» и виртуализация
© Cisco, 2010. Все права защищены. 43/99

44. Глобальные сложные угрозы
Поддельные сайты «Сбор средств
KOOBFACE
Microsoft Update на восстановление Гаити»
РИСК
РИСК: ВЫСОКИЙ РИСК: ВЫСОКИЙ РИСК: СРЕДНИЙ
ПРОБЛЕМА
Высокая сложность Необнаруженное Надежность защиты
Многовекторные атаки – вредоносное ПО ограничивается
ни одна не похожа на Отключается системы ИБ, сигнатурными методами
другую крадет данные, открывает и поиском по локальным
© Cisco, 2010. Все права защищены. удаленный доступ к системе данным 44/99

45. Глобальный мониторинг
SIO ГЛОБАЛЬНЫЙ ЦЕНТР Исследователи, аналитики, разработчики
ISP, партнеры,
сенсоры
Исследователи,
Бюллетени
аналитики,
об устранении
разработчики
угроз
IPS ASA ESA WSA ESA
Cisco AnyConnect
РЕШЕНИЕ CISCO
Крупнейшая система Более 700K сенсоров 5 млрд Анализ репутации,
анализа угроз – защита от Web-запросов/день спама, вредоносного ПО
многовекторных атак 35% мирового Email-трафика и категорий URL,
классификация
Телеметрия угроз оконечным приложений
© Cisco, 2010. Все права защищены. устройствам 45/99

46. © Cisco, 2010. Все права защищены. 46/99

47. Внешние и внутренние
угрозы
Внутренние угрозы Внешние угрозы
Ботнеты ВПО
ПРОБЛЕМА
Масштабирование Отсутствие глобальной Слабая координация
производительности и информации об угрозах и действий систем
своевременное контекстной информации обеспечения ИБ и
распространение для обеспечения надежной сетевого оборудования
обновлений
© Cisco, 2010. Все права защищены. защиты 47/99

48. Защита от угроз ГДЕ
ЧТО КОГДА
КТО КАК
Политика
с учетом
контекста
IPS ASA
WSA ESA
СЕТЬ
РЕШЕНИЕ CISCO
Полномасштабное Политика с учетом Простота
решение: ASA, IPS, контекста точнее развертывания и
«облачные» сервисы соответствует бизнес- обеспечения защиты
защиты web-трафика и потребностям в сфере ИБ распределенной среды
электронной почты
© Cisco, 2010. Все права защищены. 48/99

49. ASA 5585 SSP-60
(40 Gbps, 350K cps)
NEW
ASA 5585 SSP-40
(20 Gbps, 200K cps)
Multi-Service NEW
ASA 5585 SSP-20
(10 Gbps, 125K cps)
(Firewall/VPN и IPS)
Performance and Scalability
NEW
ASA 5585 SSP-10
(4 Gbps, 50K cps)
ASA 5540 NEW
(650 Mbps,25K cps)
ASA 5520
(450 Mbps,12K cps)
ASA 5510
(300 Mbps,9K cps)
ASA 5505
(150 Mbps, 4K cps) ASA 5580-40
(20 Gbps, 150K cps)
ASA 5580-20
(10 Gbps, 90K cps)
ASA 5550
(1.2 Gbps, 36K cps)
SOHO Branch Office Internet Edge Campus Data Center
© Cisco, 2010. Все права защищены. 49/99

50. ASA 5585-X
IPS SSP-10 IPS SSP-20 IPS SSP-40 IPS SSP-60
Yes Yes
Processor Yes Yes
(Dual CPU) (Dual CPU)
Maximum Memory 6 GB 12 GB 24 GB 48 GB
Maximum Storage 2 GB eUSB 2 GB eUSB 2 GB eUSB 2 GB eUSB
2 x SFP+ 2 x SFP+ 4 x SFP+ 4 x SFP+
Ports 8 x 1GbE Cu 8 x 1GbE Cu 6 x 1GbE Cu 6 x 1GbE Cu
2 x 1GbE Cu 2 x 1GbE Cu 2 x 1GbE Cu 2 x 1GbE Cu
Mgmt Mgmt Mgmt Mgmt
© Cisco, 2010. Все права защищены. 50/99

51. Показатель FCS
Производительность шасси 64 Гбит/сек
Производительность модуля 16 Гбит/сек
Одновременных сессий 10M
Новых соединений в секунду 350K
Контекстов безопасности 250
VLANs 1K
© Cisco, 2010. Все права защищены. 51/99

52. Cisco ASA: Context Aware Firewall
Identity Приложения
TrustSec Контент
CSC Enhancements Состояние
Местоположение
Репутация
2011
1H 2011 2H 2011
Версия ПО ASA 8.4.3 ―Falcon‖ Module
© Cisco, 2010. Все права защищены. 52/99

53. 462 млн
ПРОБЛЕМА
Мобильным сотрудникам На разнообразных Кража/утеря устройств –
требуется доступ к пользовательских высочайший риск утери
сетевым и «облачным» устройствах используются корпоративных данных и
сервисам как пользовательские, так и нарушения нормативных
© Cisco, 2010. Все права защищены.
корпоративные профили требований 53/99

54. Поддержка любых пользователей и любых устройств
Cisco AnyConnect
Коммутаторы
доступа
ISR ASA WSA
Внутренние, «облачные», социальные приложения
РЕШЕНИЕ CISCO
Единственный в отрасли Поддержка широкого спектра Защищенные подключения
унифицированный клиент; устройств: Windows XP/7,MAC Сквозное шифрование
постоянная защита OSX, Linux, Apple iOS (iPhone и (MACsec)
iPad), Nokia Symbian, Webos,
Windows Mobile, Android* (скоро) Использование ScanSafe
© Cisco, 2010. Все права защищены. 54/99

55. • Клиент IPSec/SSL/DTLS VPN
Client/Clientless
• Контроль защищенности
• Location-Specific Web Security
На периметре (Ironport WSA) или через ScanSafe
облако (ScanSafe)
• Защищенный доступ в облако через SSO
Internet-Bound
Web Communications
• Контроль сетевого доступа
802.1X Authentication and Posture
MACsec encryption
Cisco TrustSec devices (план)
• Windows, Mac, Linux, Windows Mobile, Apple iOS,
Palm, Symbian, Android (план), Cius (план), Windows Phone (план)
© Cisco, 2010. Все права защищены. 55/99

56. Доступ с любого устройства
КАФЕ
ОФИС
ПРОБЛЕМА
Учет результатов Обеспечение Защита
идентификации и ролевая выполнения политик: от конфиденциальности
модель контроля доступа пользовательских в рамках всей сети
Гостевой доступ устройств до ЦОД
© Cisco, 2010. Все права защищены. 56/99

57. Контроль доступа ГДЕ
ЧТО КОГДА
КТО КАК
? ? ?
Виртуальные
машины в ЦОД
VPN MACSec
Решения на основании состояния
1. Разрешение/блок в соответствии с политикой СТОП ЦОД
2. Авторизованным устройствам назначаются
метки политики ОК
3. Теги политики учитываются при работе в сети
РЕШЕНИЕ CISCO
Согласованная политика Распространение сведений Метки групп безопасности
на основании результатов о политиках и позволяют обеспечить
идентификации на всех интеллектуальных масштабируемое
уровня – от устройства до механизмов по сети применение политик
ЦОД – в соответствии с с учетом контекста
бизнес-потребностями
© Cisco, 2010. Все права защищены. 57/99

58. Identity &
Access Control
Access Control Solution
Identity & Access
Control + Posture
NAC Manager NAC Server
Device Profiling & ISE
Provisioning +
Identity Monitoring
NAC Profiler NAC Collector
Standalone appliance
or licensed as a
module on NAC Server
Guest Lifecycle
Management
NAC Guest Server
© Cisco, 2010. Все права защищены. 58/99

59. Центральный
SaaS
офис
Филиал
Интернет
ЦОД
Удаленный
сотрудник
ПРОБЛЕМА
Использование SaaS-решений и
Ограниченность числа «облачных» систем приводит к Нормативные
ИТ-специалистов и раздельному туннелированию требования
специалистов по ИБ в трафика — новые проблемы
филиале, рост затрат безопасности
© Cisco, 2010. Все права защищены. 59/99

60. Центральный
офис
Все функции для защиты филиала
$ Лучшие показатели ROI
(реплицируемые)
+ Безопасность + оптимизация
работы приложений
ISR G2
РЕШЕНИЕ CISCO
VPN (IPSEc, GET VPN, Лучшие показатели ROI Оптимизация работы
DMVPN, SSL), МСЭ, IPS, (простота, согласованность, приложений в WAN
клиент ScanSafe интеграция), снижение затрат и WLAN/WAN
повышение производительности Ethernet-коммутатор
при раздельном туннелировании
© Cisco, 2010. Все права защищены.
Интегрированный сервер
60/99

61. ПРОБЛЕМА
Новые проблемы Совершенно новые Высокие требования
безопасности, технологии, отсутствие к масштабированию
отсутствие систем согласованности
мониторинга «облака»
© Cisco, 2010. Все права защищены. 61/99

62. ЗАЩИЩЕННЫЕ
ГИБРИДНЫЕ «ОБЛАКА»
ЗАЩИЩЕННЫЕ
ЧАСТНЫЕ «ОБЛАКА» ЗАЩИЩЕННЫЕ
ОБЩЕДОСТУПНЫЕ «ОБЛАКА»
Cisco Virtual Security Gateway
Nexus 1000v
Cisco ASA
Сенсоры IPS
РЕШЕНИЕ CISCO
Высокопроизводи- Унификация систем защиты Распространение политик
тельные устройства физических и виртуальных Безопасная работа с приложениями
обеспечения ИБ сред; тонки настройки Поддержка Vmotion
для ЦОД основанной на зонах политики Защищенная сегментация VM
© Cisco, 2010. Все права защищены.
с учетом контекста Защищенная сегментация «облака»
62/99

63. V-Motion
(Memory)
Physical V-Storage
Security (VMDK)
Role VM
Based Segmentation
Access Virtualization
Security
VM OS Hypervisor
Hardening Security
Patch VM
Management Sprawl
Virtual Security Gateway на
Nexus 1000V с vPath
© Cisco, 2010. Все права защищены. 63/99

64. Awards
Security product
Профиль компании: of the year 2008
 Основана в 2004г.
Customers
 Пионер и мировой лидер в области
SaaS услуг Web безопасности
 Клиенты - от SMB до Large Enterprise в
более чем 100 странах
 100% Uptime за всю историю
предоставления услуги Partners
 Является подразделением Cisco с
Декабря 2009г.
 На момент приобретения - 80%
продаж через операторов связи
© Cisco, 2010. Все права защищены. 64/99

65. • В июне мы выпустили новую брошюру
© Cisco, 2010. Все права защищены. 65/99

66. © Cisco, 2010. Все права защищены. 66

67. Необходимо защитить
Все устройства: планшетные
устройства, смартфоны
Новые системы для
совместной работы и
платформы социальных
сетей
Данные, передающиеся в
«облако»
Среды ЦОД и виртуализации
настольных систем
© Cisco, 2010. Все права защищены. 67/99

68. Требуется
НОВЫЙ
подход к
обеспечению
безопасности
© Cisco, 2010. Все права защищены. 68/99

69. Большое количество регуляторов
Легитимный ввоз криптографии в соответствие
с правилами Таможенного союза
Использование легитимной криптографии
Требования сертификации
Собственные отраслевые стандарты
Ориентация на продукты отечественного
производства
© Cisco, 2010. Все права защищены. 69/99

70. Газпром- ФСТЭК РЖД
серт
ФСО ФСБ
PCI
ЦБ ИБ Council
Минком-
СВР
связь
Рос-
Энерго-
МО стандарт
серт
© Cisco, 2010. Все права защищены. 70/99

71. ISO 15408:1999 («Общие критерии») в России
(ГОСТ Р ИСО/МЭК 15408) так и не заработал
Перевод СоДИТ ISO 15408:2009 – судьба
неизвестна ;-(
ПП-608 разрешает признание западных
сертификатов – не работает
ФЗ «О техническом регулировании» разрешает
оценку по западным стандартам – не работает
ПП-455 обязывает ориентироваться на
международные нормы – не работает
© Cisco, 2010. Все права защищены. 71/99

72. Разграничение доступа
Система утечек по техническимпроцессов
Защита от управления Изоляция каналам Коммерческая
РД ФСТЭК
Документальное сопровождениеСТО БР ИББС
Управление потоками
Разграничение доступа Разграничениетайна
Межсетевое экранирование доступа
Управление жизненным циклом
Межсетевое взаимодействие Регистрация действий
Идентификация/аутентификаци
Разграничение доступа
VPN я Учет носителей
Регистрация действий
Документальное сопровождение
Аутентификация иРегистрация действий
идентификация
Политика безопасности Обеспечение целостности
Антивируснаятехническим доступа
Защита от утечек по защита ИБ
Контроль
Криптозащита
Организация Реакция на НСДМежсетевое взаимодействие
Защита внешнего взаимодействия
каналам Настройка МСЭ памяти Отсутствие НДВ
(мандатный/
Шифрованиеактивами
Управление информации
Очистка
Защита e-mail и архив почтыКСИИ по техническим каналам
15408 Защита от утечек
Контроль паролей
Антивирусная защита HRдискреционный) Антивирусная защита
ЭЦП
Безопасность PCI DSS
Криптографияшифрованиефункций защиты
Тестирование
Документальное оформление
Обнаружение вторженийи держателей карт
Защита данных маркировка носителей
ПакетноеУчет
Физический доступ VLAN Анализ защищенности
Платежные процессы Физическая безопасность вторжений
Разграничение доступа в канале связи
Шифрование VPN
Стеганография
Безопасность окружения целостности
Обнаружение
Контроль
Технологические процессыантивируса действий
Регистрация Обновление Регистрация
действий Биллинг
Регистрация действий
Управление средствами связи BCP
носителей
Сигнализация
Контроль доступа Разграничение доступа на инциденты
Учет и маркировкаЗащита(одноуровневые/
ОС приложенийРеагирование
Приобретение, разработка Учет и доступа ИСОценка рисков
Обеспечение целостности обслуживание носителей
Разграничение маркировка
многоуровневые)
Обнаружение вторжений
и
Идентификация ПМВ Резервирование осведомленности
от и аутентификация
Межсетевое взаимодействие СУБД Повышение ГОСТ Р ИСО
Защита Четверокнижие
Управление инцидентами
СТР-К
Криптографическая защита Антивирусная защита
ФизическийIDS ошибок
доступ
Защита от сбоев, отказов ПДн
BCP по и Защита ЛВС Аудит 17799:2005
Обеспечение Регистрация действий Защита коммуникаций
Ловушки
Соответствие Электронные замки
целостности и надежности
требованиям
ТестированиеАнализ безопасности взаимодействия
Сканеры защищенности Защита внешнего
и контроль безопасности
СУБД
Документальное сопровождение
© Cisco, 2010. Все права защищены.
… 72/99

73. •Разграничение доступа (+ управление потоками)
•Идентификация / аутентификация
•Межсетевое взаимодействие
•Регистрация действий
•Учет и маркировка носителей (+ очистка памяти)
•Документальное сопровождение
•Физический доступ
Общие
•Контроль целостности
•Тестирование безопасности
•Сигнализация и реагирование
•Контроль целостности
•Защита каналов связи
•Обнаружение вторжений
•Антивирусная защита
•BCP
•Защита от утечки по техническим каналам
•Защита специфичных процессов (биллинг, АБС, PCI…)
Специфичные •Защита приложений (Web, СУБД…)
•Нестандартные механизмы (ловушки, стеганография)
© Cisco, 2010. Все права защищены. 73/99

74. СТО БР ИББС
1.0
Росинформ-
ФСБ
технологии
Национальная
ФЗ-152 платежная
система
PCI DSS
КО Фин-
Мониторинг
© Cisco, 2010. Все права защищены. 74/99

75. • Персональные данные
Отраслевые стандарты НАПФ,
НАУФОР, Тритон, РСА,
Минздрав…
• Финансовая отрасль
PCI DSS
СТО БР ИББС-1.0
ФЗ «О национальной платежной
системе»
• Критически важные объекты
• Электронные госуслуги
• Новый ФЗ о лицензировании
• И др.
© Cisco, 2010. Все права защищены. 75/99

76. КЦ РГ
ПК127 ПК3 ТК362
АРБ ЦБ
«Безопасность «Защита «Защита Консультации Разработка
ИТ» информации в информации» банков по рекомендаций по
(представитель кредитно- при ФСТЭК вопросам ПДн ПДн и СТО БР
ISO SC27 в финансовых ИББС v4
России) учреждениях»
© Cisco, 2010. Все права защищены. 76/99

77. • WP по защите
персональных данных
• WP по соответствию
СТО Банка России
• И др.
© Cisco, 2010. Все права защищены. 77/99

78. Требования Требования закрыты (часто секретны). Даже лицензиаты
открыты зачастую не имеют их, оперируя выписками из выписок
ФСТЭК ФСБ МО СВР
Все, кроме СКЗИ Все для нужд Тайна, покрытая
криптографии МСЭ оборонного ведомства мраком
Антивирусы
IDS
BIOS
Сетевое
оборудование
А еще есть 3 негосударственных системы сертификации СЗИ – ГАЗПРОМСЕРТ,
«АйТиСертифика» (ЕВРААС) и Ecomex
© Cisco, 2010. Все права защищены. 78/99

79. Единичный 5585-X
Cisco ASA Партия Cisco ASA 5585-X
Серия
экземпляр
Дата выпуска: 12 декабря 2010 года Дата выпуска: 12 декабря 2010 года
CRC: E6D3A4B567 CRC: E6D3A4B567
Место производства: Ирландия, Место производства: Ирландия,
Дублин Дублин
Смена: 12 Смена: 12
Версия ОС: 8.2 Версия ОС: 8.2
Производительность: 30 Гбит/сек Производительность: 30 Гбит/сек
© Cisco, 2010. Все права защищены. 79/99

80. Единичный
Партия Серия
экземпляр
Основная схема для Основная схема для Основная схема для
западных вендоров западных вендоров российских вендоров
Оценивается конкретный Оценивается Оценивается образец +
экземпляр (образец) репрезентативная выборка инспекционный контроль за
образцов стабильностью характеристик
Число экземпляров – 1-2 сертифицированной
Число экземпляров – 50- продукции
200
Число экземпляров -
неограничено
© Cisco, 2010. Все права защищены. 80/99

81. Производство за Россия
пределами России
ПАРТНЕРЫ Оборудование без
СISCO сертификации по
требованиям
ФСТЭК
Партнер #1
Дистрибуторы
Cisco Systems, Партнер #2
Inc
Партнер #3 Оборудование с
сертификатами
ФСТЭК
Партнер #N
Kraftway Corporation PLC
производство по
&
AMT требованиям ФСТЭК
сертификационный
пакет ФСТЭК
ФСТЭК
© Cisco, 2010. Все права защищены. 81/99

82. Число нормативных актов с требованиями
сертификации по требованиям безопасности
8
7
6
5
4
3
2
1
0
* - для 2011 – предварительная оценка проектов новых нормативных актов (ФЗ ―О национальной
платежной системе‖, ФЗ ―О служебной тайне‖, новые приказы ФСТЭК/ФСБ и т.д.)
82
© Cisco, 2010. Все права защищены. 82/99

83. Невозможно Отвечает
Дорого Необязательно
потребитель
От нескольких Исключая гостайну и Западные По КоАП
сотен долларов СКЗИ разработка и производители не ответственность
(при сертификации продажа средств ведут в России лежит на
серии) до защиты возможна и без коммерческой потребителе
несколько сертификата деятельности и не
десятков тысяч могут быть
долларов А западные вендоры и заявителями
так сертифицированы
во всем мире
© Cisco, 2010. Все права защищены. 83/99

84. 500+ ФСБ НДВ 28 96
Сертификатов Сертифицировала Отсутствуют в Линеек Продуктовых
ФСТЭК на решения Cisco ряде продукции линеек Cisco
продукцию Cisco (совместно с С- продуктовых Cisco прошли сертифицированы
Терра СиЭсПи) линеек Cisco сертификацию во ФСТЭК
по схеме
«серийное
производство»
© Cisco, 2010. Все права защищены. 84/99

85. • FAQ по
сертифицированному
производству
• Регулярно
обновляемый список
сертификатов
• И др.
© Cisco, 2010. Все права защищены. 85/99

86. Ввоз и Разделение
Нотификации vs.
использование ввозимой
ввоза по лицензии
шифровальных криптографии по
Минпромторга
средств – это два длинам ключей и
(после получения
разных сферам применения
разрешения ФСБ)
законодательства (с 01.01.2010)
Cisco не только ввозит свое
оборудование легально, но и
планирует запустить производство
оборудования в России
© Cisco, 2010. Все права защищены. 86/99

87. • FAQ по импорту
• Рекомендации по составлению
заявления в ФСБ на ввоз
шифровальных средств
© Cisco, 2010. Все права защищены. 87/99

88. Позиция Встраивания Важно знать, что
регулятора (ФСБ) – криптоядра написано в
использование достаточно для формуляре на
VPN-решений на прикладных систем СКЗИ – часто явно
базе и недостаточно для требуется
отечественных VPN-продуктов сертификация в
криптоалгоритмов (разъяснение ФСБ) ФСБ
Cisco и С-Терра СиЭсПи имеют
сертификат ФСБ на целостное
решение для Cisco ISR G2 и
Cisco UCS C-200
© Cisco, 2010. Все права защищены. 88/99

89. • WP по криптографии
• Ролики на YouTube
• www.cisco.ru/go/rvpn
© Cisco, 2010. Все права защищены. 89/99

90. • Компаниями Cisco и С-Терра СиЭсПи разработаны VPN-
решения, поддерживающие российские криптоалгоритмы на
базе оборудования Cisco
• Сертификат ФСБ СФ/114-1622, 114-1624, 124-1623, 124-1625,
124-1626 от 28 февраля 2011 года
Сертификат по классу КС2 на оба решения
Решение для удаленных офисов
• На базе модуля для ISR G1 и G2
(2800/2900/3800/3900)
Решение для ЦОД и штаб-квартир
• На базе UCS C-200
© Cisco, 2010. Все права защищены. 90/99

91. • Листовка по RVPN
• Листовка по UCS с VPN
• Ролики на YouTube
• www.cisco.ru/go/rvpn
© Cisco, 2010. Все права защищены. 91/99

92. Безопасность в России и во всем мире –
две большие разницы
ИТ-безопасность и информационная
безопасность – не одно и тоже
Нужно осознавать все риски
Необходимо искать компромисс
Не закрывайтесь – контактируйте с
CISO, регуляторами, ассоциациями…
© Cisco, 2010. Все права защищены. 92/99

93. Антивирусный модуль от Лаборатории Касперского в
1 Cisco ISR G2
Интеграция с MaxPatrol от Positive Technologies
2
3 Интеграция с Traffic Monitor от Infowatch
4 Интеграция с Дозор-Джет от Инфосистемы Джет
Антивирусный движок от Лаборатории Касперского в
5 сервисе облачной безопасности ScanSafe
6 Интеграция с VPN-решениями С-Терра СиЭсПи
7 Поддержка Dr.Web, Лаборатории Касперского в
решениях Cisco NAC Appliance
© Cisco, 2010. Все права защищены. 93/99

94. 1 Лидер мирового рынка сетевой безопасности. Обширное портфолио продуктов и
услуг. Тесная интеграция с сетевой инфраструктурой. Архитектурный подход
2 Поддержка и защита самых современных ИТ. Контроль качества. Исследования в
области ИБ. Обучение и сертификация специалистов. Собственное издательство
3 Сертификация на соответствие российским требованиям по безопасности.
Сертифицированная криптография. Сертификация производства.
Отраслевая экспертиза. Участие в разработке стандартов ИТ и ИБ, а также в
4 отраслевых группах и комитетах. Участие в экспертизе НПА по ИБ
Финансирование проектов по ИБ. Легитимный ввоз оборудования. Круглосуточная
5 поддержка на русском языке. Склады запчастей по всей России. 1000+ партнеров
© Cisco, 2010. Все права защищены. 94/99

95. http://www.facebook.com/CiscoRu
http://twitter.com/CiscoRussia
http://www.youtube.com/CiscoRussiaMedia
http://www.flickr.com/photos/CiscoRussia
http://vkontakte.ru/Cisco
© Cisco, 2010. Все права защищены. 95/99

96. Спасибо
за внимание!
security-request@cisco.com