More Related Content
Similar to Решения Cisco для защиты персональных данных
Similar to Решения Cisco для защиты персональных данных (20)
More from Cisco Russia (20)
Решения Cisco для защиты персональных данных
- 1. Решения Cisco для
защиты персональных
данных
Алексей Лукацкий, бизнес-консультант по безопасности
© Cisco, 2010. Все права защищены. 1/73
- 2. КЦ РГ
ПК127 ПК1 ТК362
АРБ ЦБ
«Безопасность «Защита «Защита Консультации Разработка
ИТ» (ISO SC27 в информации в информации» банков по рекомендаций по
России) кредитных при ФСТЭК вопросам ПДн ПДн и СТО БР
учреждениях» ИББС v4
ФСБ МКС НАУФОР Дума Слушания
Экспертиза Разработка Отраслевой Экспертиза Оргкомитет
документов документов стандарт документов Слушаний
© Cisco, 2010. Все права защищены. 2/73
- 4. Конвенции и иные Директивы
Евросоюза /
Европейская Рекомендации
международные договора Европарламента
Конвенция ОЭСР
ФЗ №152 от
26.07.2006
Законы ФЗ №160 от
19.12.2005
Постановления №781 от №687 от №512 от
Правительства 17.11.2007 15.09.2008 6.07.2008
2 открытых Регламенты
Приказы и «Приказ
трех» от
документа и 1 2 открытых осуществления
иные документы 13.02.2008
полуДСП от
ФСТЭК
документа ФСБ контроля и
надзорар
И еще около двух сотен федеральных законов, указов
Президента, постановлений Правительства и других
нормативных актов
© Cisco, 2010. Все права защищены. 4/73
- 5. • Классификация ИСПДн
• Моделирование угроз
• Требования по защите ПДн
• Сертификация средств защиты
• Аттестация объектов информатизации
• Лицензирование деятельности по защите информации
© Cisco, 2010. Все права защищены. 5/73
- 7. Старый ФЗ Новый ФЗ
• Класс ИСПДн • Понятие
определяется в «классификации»
зависимости от отсутствует
объема и типа ПДн • Вводится понятие
• Класс и модель «уровень
угроз определяют защищенности»
защитные меры • Зависит от угроз
• Класс определяется • Определяются
оператором Правительством РФ
© Cisco, 2010. Все права защищены. 7/73
- 9. Старый ФЗ Новый ФЗ
• Модель угроз • Актуальность угроз определяет
определяется Правительство
оператором • ФОИВ, госорганы, Банк России
• Экспертная принимают отраслевые модели
оценка угроз, согласуемые с ФСТЭК и
• Методика ФСБ
моделирования • Ассоциации, союзы
жестко не определяют дополнительные
зафиксирована модели угроз «для себя»,
согласуемые с ФСТЭК и ФСБ в
порядке, установленном
Правительством
© Cisco, 2010. Все права защищены. 9/73
- 11. • Безопасность персданных является обязательным условием
обработки ПДн
• За безопасность ПДн отвечают ФСТЭК и ФСБ
ФСТЭК выпустил приказ №58 – планируется изменение
ФСБ выпустила 2 методических документа в области криптографии –
планируется изменение
• Подход регуляторов
Сертифицированные СЗИ и СКЗИ – изменений не планируется
Вновь появляется аттестация
• Отраслевые стандарты – прошлый тренд
СТО БР ИББС, НАУФОР, НАПФ, Тритон, Минздравсоцразвития…
© Cisco, 2010. Все права защищены. 11/73
- 12. • Оператор самостоятельно определяет состав и перечень мер,
необходимых и достаточных для обеспечения выполнения
обязанностей, предусмотренных настоящим Федеральным
законом и принятыми в соответствии с ним нормативными
правыми актами, если иное не предусмотрено настоящим
Федеральным законом или другими федеральными законами
• К числу таких мер могут, в частности, относиться
Применение мер обеспечения безопасности ПДн в соответствии со
статьей 19 настоящего Федерального закона
© Cisco, 2010. Все права защищены. 12/73
- 13. • Правительство Российской Федерации устанавливает
перечень мер, направленных на обеспечение выполнения
обязанностей, предусмотренных настоящим Федеральным
законом и принятыми в соответствии с ним нормативными
правыми актами операторами, являющимися
государственными и муниципальными органами
• За всех остальных перечень мер определяется ФСТЭК и ФСБ
На основании и во исполнение федеральных законов государственные
органы, Банк России, органы местного самоуправления в пределах своих
полномочий могут принимать нормативные правовые акты по отдельным
вопросам, касающимся обработки ПДн
© Cisco, 2010. Все права защищены. 13/73
- 15. Госконтроль и
надзор
Аккредитация
Испытания
Оценка Добровольная
Регистрация
соответствия сертификация
Подтверждение Обязательная
соответствия сертификация
Приемка и ввод Декларирование
в эксплуатацию соответствия
В иной форме
© Cisco, 2010. Все права защищены. 15/73
- 16. Требования Требования закрыты (часто секретны). Даже лицензиаты
открыты зачастую не имеют их, оперируя выписками из выписок
ФСТЭК ФСБ МО СВР
Все, кроме СКЗИ Все для нужд Тайна, покрытая
криптографии МСЭ оборонного ведомства мраком
Антивирусы
IDS
BIOS
Сетевое
оборудование
А еще есть 3 негосударственных системы сертификации СЗИ – ГАЗПРОМСЕРТ,
«АйТиСертифика» (ЕВРААС) и Ecomex
© Cisco, 2010. Все права защищены. 16/73
- 17. Единичный 5585-X
Cisco ASA Партия Cisco ASA 5585-X
Серия
экземпляр
Дата выпуска: 12 декабря 2010 года Дата выпуска: 12 декабря 2010 года
CRC: E6D3A4B567 CRC: E6D3A4B567
Место производства: Ирландия, Место производства: Ирландия,
Дублин Дублин
Смена: 12 Смена: 12
Версия ОС: 8.2 Версия ОС: 8.2
Производительность: 40 Гбит/сек Производительность: 40 Гбит/сек
© Cisco, 2010. Все права защищены. 17/73
- 18. Единичный
Партия Серия
экземпляр
Основная схема для Основная схема для Основная схема для
западных вендоров западных вендоров российских вендоров
Оценивается конкретный Оценивается Оценивается образец +
экземпляр (образец) репрезентативная выборка инспекционный контроль за
образцов стабильностью характеристик
Число экземпляров – 1-2 сертифицированной
Число экземпляров – 50- продукции
200
Число экземпляров -
неограничено
© Cisco, 2010. Все права защищены. 18/73
- 19. Невозможно Отвечает
Дорого Необязательно
потребитель
От нескольких Исключая гостайну и Западные По КоАП
сотен долларов СКЗИ разработка и производители не ответственность
(при сертификации продажа средств ведут в России лежит на
серии) до защиты возможна и без коммерческой потребителе
несколько сертификата деятельности и не
десятков тысяч могут быть
долларов А западные вендоры и заявителями
так сертифицированы
во всем мире
© Cisco, 2010. Все права защищены. 19/73
- 20. Число нормативных актов с требованиями
сертификации по требованиям безопасности
8
7
6
5
4
3
2
1
0
* - для 2011 – предварительная оценка проектов новых нормативных актов (ФЗ “О национальной
платежной системе”, ФЗ “О служебной тайне”, новые приказы ФСТЭК/ФСБ и т.д.)
20
© Cisco, 2010. Все права защищены. 20/73
- 22. • В четверокнижии ФСТЭК аттестация была обязательной для
ИСПДн К1, К2 и распределенной К3
• В приказе № 58 требования аттестации нет!
• Что такое «оценка эффективности принимаемых мер по
обеспечению безопасности персональных данных до ввода в
эксплуатацию информационной системы персональных
данных»?
Ст.19 нового старого ФЗ-152
© Cisco, 2010. Все права защищены. 22/73
- 24. • Выполнение требований ФЗ-152 и смежного
законодательства
Получение согласия субъекта ПДн в разных формах
Уведомление субъектов ПДн
Подготовка и публикация собственных документов по ПДн
Оформление договоров с контрагентами (обработчиками)
Обезличивание ПДн
Принятие решения об уведомлении РКН
• Защита персональных данных
• Контроль и надзор
© Cisco, 2010. Все права защищены. 24/73
- 25. • Персональные данные –
любая информация,
Файлы
относящаяся к прямо или
косвенно определенному или
определяемому физическому … E-mail
лицу (субъекту персональных
данных)
ПДн
• Персональные данные могут
быть представлены в Видео Web
различных формах,
требующих защиты или, как Записи
минимум, контроля БД
использования
© Cisco, 2010. Все права защищены. 25/73
- 26. • Персональные данные могут
обрабатываться в СУБД, на
СУБД
почтовых и Web-серверах, в
системах унифицированных …
Почтовые
сервера
коммуникаций, на
виртуальных машинах и
обычных АРМ, в
корпоративной сети или VM ПДн Web-
сервера
облаке
• Все эти места обработки
требуют защиты
Сеть ВКС
Облака
© Cisco, 2010. Все права защищены. 26/73
- 28. • Вы можете не обрабатывать ненужные ПДн
Это позволит вам снизить категорию ПДн
• Вы можете разбить большую ИСПДн на несколько малых
• Вы можете обезличить особые категории ПДн
Это позволит вам снизить категорию остальных ПДн
• Вы можете отдельно классифицировать ИСПДн – для сбора,
хранения, передачи ПДн и т.п.
Там где это возможно разнести
• Опираться не на категории и значения из «Приказа трех», а
сразу на ущерб и финальную классификацию
© Cisco, 2010. Все права защищены. 28/73
- 29. Определение
Scope
Вся сеть в Scope
Branch Warehouse Может быть
scope уменьшен
за счет сегментации?
Wide Area
Accelerated
Network
Data Center
WAN
Access
CORE
Server Server
Access Access
POS inventory
Servers Servers
Storage
Headquarters
© Cisco, 2010. Все права защищены. 29/73
- 30. Определение
Scope
Вся сеть в Scope
Branch Warehouse
Может быть
scope уменьшен
за счет сегментации?
НЕТ
Wide Area
Accelerated
Network
Data Center
WAN
Access
CORE
Server Server
Access Access
POS
Servers
inventory
Servers
Вся сеть в
защищается
Storage
Headquarters
© Cisco, 2010. Все права защищены. 30/73
- 31. Только устройства,
Определение
Scope обрабатывающие ПДн, в
Вся сеть в Scope Scope
Branch Warehouse Branch Warehouse
Может быть
scope уменьшен
за счет сегментации?
НЕТ ДА
Wide Area Wide Area
Accelerated Консультант Accelerated
Network может провести Network
сегментацию?
Data Center
Нет Data Center
WAN WAN
Access Да Access
Документирование
сегментации
CORE CORE
Server Server Server Server
Access Access Access Access
POS inventory Вся сеть Scope уменьшен POS inventory
Servers Servers Servers Servers
защищается
Storage
Headquarters Storage Headquarters
© Cisco, 2010. Все права защищены. 31/73
- 32. Только устройства,
Определение
Scope обрабатывающие ПДн, в
Вся сеть в Scope Scope
Branch Warehouse Branch Warehouse
Может быть
scope уменьшен
за счет сегментации?
НЕТ ДА
Wide Area Wide Area
Accelerated Консультант Accelerated
Network может провести Network
сегментацию?
Data Center
Нет Data Center
WAN WAN
Access Да Access
Документирование
сегментации
CORE CORE
Server Server Server Server
Access Access Access Access
POS inventory Вся сеть Scope уменьшен POS inventory
Servers Servers Servers Servers
защищается
Storage
Headquarters Storage Headquarters
© Cisco, 2010. Все права защищены. 32/73
- 33. • Различные технологии
ACL, VLAN, hard/soft zoning, VSAN, LUN
masking
• Различное оборудование
Маршрутизаторы Cisco ISR G1 / G2, Cisco
ASR
Коммутаторы Cisco Catalyst
Коммутаторы Cisco Nexus и Cisco MDS
Межсетевые экраны Cisco ASA
• Большинство устройств
сертифицировано в ФСТЭК
Именно для разделения/разграничения
/сегментации сетей
© Cisco, 2010. Все права защищены. 33/73
- 34. Центр управления сетью Филиал /
отделение
WAN
Офисная
сеть Si
WAN
Партнер
Si
Ядро Internet
Si Si
Si
Cisco Virtual Office
ЦОД
Internet
E-Commerce
Si
Si
Удаленный
пользователь
Si
Si
SensorBase
© Cisco, 2010. Все права защищены. 34/73
- 35. Принципы ИТ Принципы ИБ
• Модульность / • Безопасность как
поэтапность свойство, а не опция
• Снижение TCO • Цель – любое
• Стандартизация / устройство, сегмент,
унификация приложение
• Гибкость • Эшелонированная
• Надежность оборона
• Поддержка новых • Независимость модулей
проектов • Двойной контроль
• Адаптивность / • Интеграция в
автоматизация инфраструктуру
• Масштабируемость • Соответствие
требованиям
© Cisco, 2010. Все права защищены. 35/73
- 37. • Разграничение доступа
• Регистрация действий
• Учет и хранение съемных носителей ПДн
• Резервирование ТС и дублирование носителей ПДн
• Оценка соответствия СЗИ
• Защищенные каналы связи
• Охраняемая территория
• Физическая защита помещений
• Защита от вредоносных программ и закладок
© Cisco, 2010. Все права защищены. 37/73
- 38. • Управление доступом
• Регистрация и учет
• Обеспечение целостности
• Анализ защищенности
• Обеспечение безопасного межсетевого взаимодействия
• Обнаружение вторжений
© Cisco, 2010. Все права защищены. 38/73
- 40. Глобальный анализ угроз: SIO
Безопасность Контроль Защищенная Безопасность
сети доступа мобильность контента
• МСЭ • Управление • VPN • Защита
• IPS политиками • Мобильный электронной почты
• VPN • 802.1x защищенный клиент • Обеспечение
• Управление • NAC • IPS для безопасности
безопасностью • Оценка состояния беспроводных сетей web-трафика
• Виртуальные • Профилирование • Удаленный сотрудник • «Облачные»
решения устройств • Виртуальный офис сервисы
• Модули • Сервисы • Защита мобильности обеспечения
обеспечения ИБ идентификации безопасности
• Конфиденциальность контента
Защищенные «облака» и виртуализация
© Cisco, 2010. Все права защищены. 40/73
- 41. Защита ПДн от угроз ГДЕ
ЧТО КОГДА
КТО КАК
Политика
с учетом
контекста
IPS ASA
WSA ESA
СЕТЬ
РЕШЕНИЕ CISCO
Полномасштабное Политика с учетом Простота
решение: ASA, IPS, контекста точнее развертывания и
«облачные» сервисы соответствует бизнес- обеспечения защиты
защиты web-трафика и потребностям в сфере ИБ распределенной среды
электронной почты
© Cisco, 2010. Все права защищены. 41/73
- 42. ASA 5585 SSP-60
(40 Gbps, 350K cps)
NEW
ASA 5585 SSP-40
(20 Gbps, 200K cps)
Multi-Service NEW
ASA 5585 SSP-20
(10 Gbps, 125K cps)
(Firewall/VPN и IPS)
Performance and Scalability
NEW
ASA 5585 SSP-10
(4 Gbps, 50K cps)
ASA 5540 NEW
(650 Mbps,25K cps)
ASA 5520
(450 Mbps,12K cps)
ASA 5510
(300 Mbps,9K cps)
ASA 5505
(150 Mbps, 4K cps) ASA 5580-40
(20 Gbps, 150K cps)
ASA 5580-20
(10 Gbps, 90K cps)
ASA 5550
(1.2 Gbps, 36K cps)
SOHO Branch Office Internet Edge Campus Data Center
© Cisco, 2010. Все права защищены. 42/73
- 43. Показатель FCS
Производительность шасси 64 Гбит/сек
Производительность модуля 16 Гбит/сек
Одновременных сессий 10M
Новых соединений в секунду 350K
Контекстов безопасности 250
VLANs 1K
© Cisco, 2010. Все права защищены. 43/73
- 44. Anti-Spam RSA Email DLP
• SenderBase Reputation Filtering • 100+ политик DLP
• IronPort Anti-Spam (IPAS) • Аккуратность
• Простота внедрения
Входящая защита Cisco IronPort Email Исходящий контроль
Security Solution
Anti-Virus Шифрование
• Virus Outbreak Filters (VOF) • Защищенная доставка
• McAfee Anti-Virus • Transport Layer Security
• Sophos Anti-Virus
Защита сотрудников от Защита компании
фишинга, вредоносных от утечек важной
программ и спама
© Cisco, 2010. Все права защищены.
информации 44/73
- 45. Точный
jsmith@acme.com
Полный Prescription for J Smith
Правильное
We need to fax the following prescription information for Roger McMillan
Интегрированный FEXOFENANDINE (ALLEGRA) 180 MG TABLET
обнаружение имен
Dosage: Take 1 tablet by mouth daily
Prescribed by Dr. Joseph A. Kennedy, MD on 7/22/10
Please delivery to pharmacy stat.
==============================================
SSN: 331075839
Разные номера (SSN,
Matches are found кредитные карты)
Name: Roger McMillan
in close proximity
Medical Record: 06135443
Primary Care Provider: Blue Cross Blue Shield CA
Весовые Clinic: Stanford Hospital
коэффициенты при Address:
Соответствие
повторе ключевых 177 Bovet Road
уникальным правилам
San Mateo, CA 94402
фрагментов
© Cisco, 2010. Все права защищены. 45/73
- 46. • Контроль HTTP и FTP
• Проверка в реальном времени
• Выбор параметров фильтрации
• Проверка архивированных
файлов
• Выявление подозрительных
программ
• Групповые политики фильтрации
• Уведомление пользователей
• Прозрачность для пользователей
© Cisco, 2010. Все права защищены. 46/73
- 47. Пользователи и устройства
Сотрудники, Контрактники, Телефоны, Принтеры…
Виктория Катернюк
Сотрудник Мария Сидорова
IP-камера Проводной доступ Сотрудник HR
Корпоративный ресурс
Конфиденциальные ресурсы
15-00 Проводной доступ Ноутбук
MAC: F5 AB 8B 65 00 D4 11-00 Корпоративный ресурс
Сеть, устройства и Приложения Лаборатория
11 утра
Множество методов доступа
Анна Петрова
Катя Жуковская
Разные устройства, разныесотрудник
сотрудник
CEO места
Удаленный доступ R&D
10 вечера WiFi Антон Алмазов
14:00 дня консультант
Центральный офис
Сергей Балазов Удаленный доступ
контрактник 6:00 вечера
Все необходимо контролировать
IT
Проводное подключение
10 утра
IP телефон G/W Принтер
Корпоративный актив Некорпоративный актив
Финансовый департамент MAC: B2 CF 81 A4 02 D747/73
© Cisco, 2010. Все права защищены.
11:00 вечера
- 48. Разграничение доступа ГДЕ
ЧТО КОГДА
КТО КАК
? ? ?
Виртуальные
машины в ЦОД
VPN MACSec
Решения на основании состояния
1. Разрешение/блок в соответствии с политикой СТОП ЦОД
2. Авторизованным устройствам назначаются
метки политики ОК
3. Теги политики учитываются при работе в сети
РЕШЕНИЕ CISCO
Согласованная политика Распространение сведений Метки групп безопасности
на основании результатов о политиках и позволяют обеспечить
идентификации на всех интеллектуальных масштабируемое
уровня – от устройства до механизмов по сети применение политик
ЦОД – в соответствии с с учетом контекста
бизнес-потребностями
© Cisco, 2010. Все права защищены. 48/73
- 49. Консолидированные Каталог текущих сессий Гибкие схемы
сервисы в одном продукте внедрения
ACS User ID Access Rights
NAC Manager
Admin M&T
All-in-One Console
NAC Profiler HA Pair
NAC Server ISE
Distributed PDPs
NAC Guest Location Device (& IP/MAC)
Simplify Deployment & Admin Tracks Active Users & Devices Optimize Where Services Run
Функции детального
Гибкость политик доступа Управление доступом на
основе Групп Безопасн мониторинга и поиска
неисправностей
SGT Public Private
Staff Permit Permit
Guest Permit Deny
Link in Policy Information Points Keep Existing Logical Design Consolidate Data, Three-Click
Drill-In
© Cisco, 2010. Все права защищены. 49/73
- 50. • Cisco validated design
Internet Edge
• Контроль и защита
• Системный подход
Data Center
Core
Data Center Distribution VDC
Nexus 7018 Nexus 7018
SAN
ASA 5585-X ASA 5585-X
VPC VPC VPC VPC VPC VPC VPC VPC VSS
VSS
Nexus
5000 Catalyst
Series SERVICES
Unified 6500
Nexus Nexus Computing
7000 2100 System
Series Series
Nexus Firewall ACE
VSG
Zone 1000V
Multizone NAM IPS
10Gig 10Gig Unified Secure Access:
Server Rack Server Rack Compute Cisco TrustSec and Cisco AnyConnect
© Cisco, 2010. Все права защищены. 50/73
- 51. V-Motion
(Memory)
Physical V-Storage
Security (VMDK)
Role VM
Based Segmentation
Access Virtualization
Security
VM OS Hypervisor
Hardening Security
Patch VM
Management Sprawl
Virtual Security Gateway на
Nexus 1000V с vPath
© Cisco, 2010. Все права защищены. 51/73
- 52. Инфраструктура Пользовательские
Контроль сетевого устройства
доступа (TrustSec) Аутентификация устройств,
Изоляция голосовой Поддержка криптографии
сети
Сертификаты
Безопасный транспорт
Unified
Защита от атак Communications
Межсетевое
экранирование
Сервер управления
вызовами Приложения
Защищенные протоколы Защита от мошенничества
управления звонками Многоуровневое
Многоуровневое безопасное безопасное управление
управление Защищенные платформы
Защищенные платформы Сеть как платформа
© Cisco, 2010. Все права защищены. 52/73
- 54. • VPN-решения Cisco признаны лучшими во многих странах и
признаны стандартом де-факто многими специалистами
• Использование VPN-решений Cisco в России сопряжено с
рядом трудностей
Порядок ввоза на территорию Таможенного союза шифровальных
средств
Требование использования национальных криптографических алгоритмов
Обязательная сертификация СКЗИ
• На сайте www.slideshare.com/CiscoRu выложена презентация
по регулированию криптографии в России
© Cisco, 2010. Все права защищены. 54/73
- 55. • Для обеспечения безопасности персональных данных при их
обработке в информационных системах должны
использоваться сертифицированные в системе сертификации
ФСБ России (имеющие положительное заключение
экспертной организации о соответствии требованиям
нормативных документов по безопасности информации)
криптосредства
• Встраивание криптосредств класса КС1 и КС2
осуществляется без контроля со стороны ФСБ России
Относится только к встраиванию в прикладные системы (АБС, ERP, БД и
т.д.)
© Cisco, 2010. Все права защищены. 55/73
- 56. • Можно ли использовать сертифицированное криптоядро в
составе VPN-решений?
Можно
• Будет ли такое использование легитимным?
Нет!!!
© Cisco, 2010. Все права защищены. 56/73
- 57. • Встраивание сертифицированных криптобиблиотек должно
проводиться не только в соответствие с позицией ФСБ, но и в
соответствии с документацией к сертифицированной СКЗИ
• Формуляр на КриптоПро CSP
Должна проводиться проверка корректности встраивания СКЗИ
«КриптоПро CSP» версии 3.0 в прикладные системы СКЗИ в
случаях…если информация конфиденциального характера подлежит
защите в соответствии с законодательством Российской Федерации
Указанная проверка проводится по ТЗ, согласованному с 8 Центром ФСБ
России
© Cisco, 2010. Все права защищены. 57/73
- 58. • Компаниями Cisco и С-Терра СиЭсПи разработаны VPN-
решения, поддерживающие российские криптоалгоритмы на
базе оборудования Cisco
• Сертификат ФСБ СФ/114-1622, 114-1624, 124-1623, 124-1625,
124-1626 от 28 февраля 2011 года
Сертификат по классу КС2 на оба решения
Решение для удаленных офисов
• На базе модуля для ISR G1 и G2
(2800/2900/3800/3900)
Решение для ЦОД и штаб-квартир
• На базе UCS C-200
© Cisco, 2010. Все права защищены. 58/73
- 59. Cisco ISR G2
Защищенные сетевые решения
Непрерывное Защищенная Защищенная Нормативное
ведение бизнеса голосовая связь мобильность соответствие
Интегрированное управление угрозами
011111101010101
Усовершенствован- Фильтрация Предотвращение Гибкие Контроль Система
ный межсетевой контента вторжений функции доступа 802.1x защиты
экран сравнения к сети основания сети
пакетов (FPM)
Защищенные каналы связи Управление и контроль состояния
Ролевой
GET VPN DMVPN Easy VPN SSL VPN CCP доступ NetFlow IP SLA
© Cisco, 2010. Все права защищены. 59/73
- 60. • Тесная интеграция с
технологиями Cisco
• Единственное западное решение,
имеющее сертификат ФСБ
• Единственный западный
разработчик средств защиты,
имеющий лицензию ФСБ
• Производство в России (монтаж и
тестирование печатных плат)
• Порядок производства согласован
с ФСБ
• Планы по получению КС3
© Cisco, 2010. Все права защищены. 60/73
- 61. • Листовка по RVPN
• Листовка по UCS с VPN
• Ролики на YouTube
• WP по криптографии
• www.cisco.ru/go/rvpn
• Презентация по
регулированию
криптографии в России
© Cisco, 2010. Все права защищены. 61/73
- 63. 500+ ФСБ НДВ 28 96
Сертификатов Сертифицировала Отсутствуют в Линеек Продуктовых
ФСТЭК на решения Cisco ряде продукции линеек Cisco
продукцию Cisco (совместно с С- продуктовых Cisco прошли сертифицированы
Терра СиЭсПи) линеек Cisco сертификацию во ФСТЭК
по схеме
«серийное
производство»
© Cisco, 2010. Все права защищены. 63/73
- 64. Производство за Россия
пределами России
ПАРТНЕРЫ Оборудование без
СISCO сертификации по
требованиям
ФСТЭК
Партнер #1
Дистрибуторы
Cisco Systems, Партнер #2
Inc
Партнер #3 Оборудование с
сертификатами
ФСТЭК
Партнер #N
Kraftway Corporation PLC
производство по
&
AMT требованиям ФСТЭК
сертификационный
пакет ФСТЭК
ФСТЭК
© Cisco, 2010. Все права защищены. 64/73
- 65. • FAQ по
сертифицированному
производству
• Регулярно
обновляемый список
сертификатов
• И др.
© Cisco, 2010. Все права защищены. 65/73
- 67. • Персональные данные
Отраслевые стандарты НАПФ,
НАУФОР, Тритон, РСА,
Минздрав…
• Финансовая отрасль
PCI DSS
СТО БР ИББС-1.0
ФЗ «О национальной платежной
системе»
• Критически важные объекты
• Электронные госуслуги
• Новый ФЗ о лицензировании
• И др.
© Cisco, 2010. Все права защищены. 67/73
- 68. Разграничение доступа
Система утечек по техническимпроцессов
Защита от управления Изоляция каналам Коммерческая
РД ФСТЭК
Документальное сопровождениеСТО БР ИББС
Управление потоками
Разграничение доступа Разграничениетайна
Межсетевое экранирование доступа
Управление жизненным циклом
Межсетевое взаимодействие Регистрация действий
Идентификация/аутентификаци
Разграничение доступа
VPN я Учет носителей
Регистрация действий
Документальное сопровождение
Аутентификация иРегистрация действий
идентификация
Политика безопасности Обеспечение целостности
Антивируснаятехническим доступа
Защита от утечек по защита ИБ
Контроль
Криптозащита
Организация Реакция на НСДМежсетевое взаимодействие
Защита внешнего взаимодействия
каналам Настройка МСЭ памяти Отсутствие НДВ
(мандатный/
Шифрованиеактивами
Управление информации
Очистка
Защита e-mail и архив почтыКСИИ по техническим каналам
15408 Защита от утечек
Контроль паролей
Антивирусная защита HRдискреционный) Антивирусная защита
ЭЦП
Безопасность PCI DSS
Криптографияшифрованиефункций защиты
Тестирование
Документальное оформление
Обнаружение вторженийи держателей карт
Защита данных маркировка носителей
ПакетноеУчет
Физический доступ VLAN Анализ защищенности
Платежные процессы Физическая безопасность вторжений
Разграничение доступа в канале связи
Шифрование VPN
Стеганография
Безопасность окружения целостности
Обнаружение
Контроль
Технологические процессыантивируса действий
Регистрация Обновление Регистрация
действий Биллинг
Регистрация действий
Управление средствами связи BCP
носителей
Сигнализация
Контроль доступа Разграничение доступа на инциденты
Учет и маркировкаЗащита(одноуровневые/
ОС приложенийРеагирование
Приобретение, разработка Учет и доступа ИСОценка рисков
Обеспечение целостности обслуживание носителей
Разграничение маркировка
многоуровневые)
Обнаружение вторжений
и
Идентификация ПМВ Резервирование осведомленности
от и аутентификация
Межсетевое взаимодействие СУБД Повышение ГОСТ Р ИСО
Защита Четверокнижие
Управление инцидентами
СТР-К
Криптографическая защита Антивирусная защита
ФизическийIDS ошибок
доступ
Защита от сбоев, отказов ПДн
BCP по и Защита ЛВС Аудит 17799:2005
Обеспечение Регистрация действий Защита коммуникаций
Ловушки
Соответствие Электронные замки
целостности и надежности
требованиям
ТестированиеАнализ безопасности взаимодействия
Сканеры защищенности Защита внешнего
и контроль безопасности
СУБД
Документальное сопровождение
© Cisco, 2010. Все права защищены.
… 68/73
- 69. •Разграничение доступа (+ управление потоками)
•Идентификация / аутентификация
•Межсетевое взаимодействие
•Регистрация действий
•Учет и маркировка носителей (+ очистка памяти)
•Документальное сопровождение
•Физический доступ
Общие
•Контроль целостности
•Тестирование безопасности
•Сигнализация и реагирование
•Контроль целостности
•Защита каналов связи
•Обнаружение вторжений
•Антивирусная защита
•BCP
•Защита от утечки по техническим каналам
•Защита специфичных процессов (биллинг, АБС, PCI…)
Специфичные •Защита приложений (Web, СУБД…)
•Нестандартные механизмы (ловушки, стеганография)
© Cisco, 2010. Все права защищены. 69/73
- 70. • WP по защите
персональных данных
• WP по соответствию
СТО Банка России
• И др.
© Cisco, 2010. Все права защищены. 70/73
- 71. 1 Лидер мирового рынка сетевой безопасности. Обширное портфолио продуктов и
услуг. Тесная интеграция с сетевой инфраструктурой. Архитектурный подход
2 Поддержка и защита самых современных ИТ. Контроль качества. Исследования в
области ИБ. Обучение и сертификация специалистов. Собственное издательство
3 Сертификация на соответствие российским требованиям по безопасности.
Сертифицированная криптография. Сертификация производства.
Отраслевая экспертиза. Участие в разработке стандартов ИТ и ИБ, а также в
4 отраслевых группах и комитетах. Участие в экспертизе НПА по ИБ
Финансирование проектов по ИБ. Легитимный ввоз оборудования. Круглосуточная
5 поддержка на русском языке. Склады запчастей по всей России. 1000+ партнеров
© Cisco, 2010. Все права защищены. 71/73
- 72. http://www.facebook.com/CiscoRu
http://twitter.com/CiscoRussia
http://www.youtube.com/CiscoRussiaMedia
http://www.flickr.com/photos/CiscoRussia
http://vkontakte.ru/Cisco
© Cisco, 2010. Все права защищены. 72/73