1. Регулирование рынка ИБ в
России и роль Cisco в этом
процессе
Лукацкий Алексей, менеджер по развитию бизнеса
security-request@cisco.com

2. Содержание
• ФЗ-152 и защита персональных данных
• СТО Банка России
• Безопасность национальной платежной системы
• PCI DSS
• Ключевые системы информационной инфраструктуры
• Электронный документооборот
• Социальные сети и контроль Интернет
• Защита детей от негативной информации
• Облачные технологии – отдельный поток 23-го ноября
• Вступление в ВТО и импорт шифровальных средств
• Изменения законодательства о лицензировании

3. Почему Cisco говорит о законодательстве?
КЦ РГ
ТК22 ТК122 ТК362
АРБ ЦБ
«Безопасность «Защита «Защита Консультации Разработка
ИТ» (ISO SC27 в информации в информации» банков по рекомендаций по
России) кредитных при ФСТЭК вопросам ПДн ПДн и СТО БР
учреждениях» ИББС v4
ФСБ МКС НАУФОР Дума Слушания
Экспертиза Отраслевой Экспертиза Оргкомитет
документов Предложения стандарт документов Слушаний

4. ОБЩИЕ ЗАМЕЧАНИЯ

5. Чего боятся отечественные производители средств
защиты?
• Риски, связанные со все более укрепляющимся положением
международных производителей на отечественном рынке
программного обеспечения в сфере ИБ, особенно принимая во
внимание фактическую либерализацию импорта СКЗИ
• Рост роли международных стандартов на национальном рынке
информационной безопасности, перекос регулирования
«экспорт/импорт» может привести к падению спроса на
продукцию отечественных производителей программного
обеспечения

6. Чего боятся в ФСБ/Совете Безопасности?
• В российских информационно-коммуникационных технологиях
используется до 98% зарубежных разработок и оборудования
– Данные ФСБ для Совбеза РФ
• ФСБ не раз заявляла о том, что для борьбы с этой угрозой
национальной безопасности будут использованы два основных
механизмы
– Недопущение на российский рынок западных продуктов
– Сертификация средств защиты информации
• В качестве угрозы рассматривается использование
несертифицированных отечественных и зарубежных ИТ, средств
защиты информации, средств информатизации,
телекоомуникации и связи при создании и развитии российской
информационной инфраструктуры
– Доктрина информационной безопасности РФ

7. О чем говорят в Госдуме?
• Россия зависима от западных технологий
– Их разработчики находятся под колпаком у западных спецслужб
• Невозможность бороться с киберпреступлениями
– Г-н Путин сначала подписал Будапештскую конвенцию ЕС «О
борьбе с киберпреступностью», а потом отозвал свою подпись
• Готовятся кибервойны
– США внесло в ООН предложение отвечать военными ударами на
кибератаки
• Законодательство других стран дает право спецслужбам
контролировать весь Интернет-трафик, проходящий через эти
страны
– В России такое же законодательство

8. Как поступают в других странах?
• Развивать свое, постепенно вытесняя все зарубежное
недоверенное
– Пример: Китай
• Дать возможность применять для гражданского применения все,
что угодно, контролируя наиболее критичные сферы (гостайна,
КВО, оборонка), пытаясь внедрить в них собственные наработки
Бизнес
ИТ ИБ
ИТ ИБ
Россия
Запад

9. Что предлагают регуляторы?
• Выработка мер по минимизации непосредственного участия
иностранных компаний в информатизации процессов
государственного управления
• Содействие развитию отечественного производства средств
связи и телекоммуникаций, ПО, микроэлектронной базы и т.д.
• И еще 5 предложений
• По поводу СПО
– ФСБ не раз заявляла, что уровень затрат на анализ СПО и
проприетарного ПО в контексте ИБ одинаков
– Основным поставщиком ПО для Сочи-2014 выбрана компания
Microsoft – уже после принятия курса на СПО

10. Что происходит в России?
Большое количество регуляторов
Легитимный ввоз криптографии в соответствие
с правилами Таможенного союза
Использование легитимной криптографии
Требования сертификации
Локальные и закрытые нормативные акты
Отсутствие учета рыночных потребностей
Исторический бэкграунд

11. ЗАКОНОДАТЕЛЬСТВО И
РЕГУЛЯТОРЫ

12. Регуляторы в области ИБ
Газпром- ФСТЭК РЖД
серт
ФСО ФСБ
PCI
ЦБ ИБ Council
Минком-
СВР
связь
Рос-
Росатом МО стандарт

13. Новые нормативные требования
• Персональные данные
• Финансовая отрасль
– PCI DSS
– СТО БР ИББС-1.0
– ФЗ «О национальной
платежной системе»
• Электронная подпись
• Критически важные объекты
• Госуслуги и УЭК
• Новый ФЗ о лицензировании
• Социальные сети и контроль
Интернет
• Защита детей от информации
• Облачные технологии
• И др.

14. ПЕРСОНАЛЬНЫЕ ДАННЫЕ

15. Базовая иерархия документов по ПДн
Конвенции и иные Директивы
Евросоюза /
Европейская Рекомендации
международные договора Европарламента
Конвенция ОЭСР
ФЗ №152 от
26.07.2006
Законы ФЗ №160 от
19.12.2005
Постановления №781 от №687 от №512 от
Правительства 17.11.2007 15.09.2008 6.07.2008
2 открытых Регламенты
Приказы и «Приказ
трех» от
документа и 1 2 открытых осуществления
иные документы 13.02.2008
полуДСП от
ФСТЭК
документа ФСБ контроля и
надзорар
• Готовится 9 новых Постановлений Правительства
• «Старые» Постановления пока действуют

16. Что поменялось?
• Терминология
– ПДн, биометрические ПДн, обезличивание, обработка,
автоматизированная обработка, трансграничная передача
• Условия обработки ПДн без согласия
• Появление «обработчика» ПДн (ЛОПДПО)
• Условия обработки специальных категорий ПДн
• Условия трансграничной передачи ПДн
• Условия ограничения доступа субъекта к его ПДн
• Условия непредоставления субъекту сведений
• Контроль и надзор со стороны ФСТЭК и ФСБ
• Содержание уведомления в РКН
• Возмещение морального вреда

17. Что под вопросом?
• Классификация ИСПДн – ее больше нет
– Разные управления РКН считают по разному
• Моделирование угроз – его больше нельзя делать
самостоятельно
– Но ФСТЭК считает иначе
• Требования по защите ПДн – стало жестче
– Или точнее могут стать
• Сертификация средств защиты – на уровне закона
– Сертификация и оценка соответствия это не одно и тоже
– Нечеткость терминологии и жесткость позиции регулятора
• Аттестация объектов информатизации – на уровне закона
• Лицензирование деятельности по защите информации
– Об этом постоянно говорят регуляторы в лице ФСТЭК и ФСБ

18. Аттестация и новый ФЗ-152
• В четверокнижии ФСТЭК аттестация была обязательной для
ИСПДн К1, К2 и распределенной К3
• В приказе № 58 требования аттестации нет!
• Что такое «оценка эффективности принимаемых мер по
обеспечению безопасности персональных данных до ввода в
эксплуатацию информационной системы персональных данных»?
– Ст.19 нового старого ФЗ-152
• Во ФСТЭК готовятся документы по аттестации объектов
информатизации, обрабатывающих конфиденциальную
информцию

19. За госорганы все решит Правительство
• Правительство Российской Федерации устанавливает перечень
мер, направленных на обеспечение выполнения обязанностей,
предусмотренных настоящим Федеральным законом и
принятыми в соответствии с ним нормативными правыми актами
операторами, являющимися государственными и
муниципальными органами
• За всех остальных перечень мер определяется ФСТЭК и ФСБ
– На основании и во исполнение федеральных законов
государственные органы, Банк России, органы местного
самоуправления в пределах своих полномочий могут принимать
нормативные правовые акты по отдельным вопросам,
касающимся обработки ПДн
– Пока ФСТЭК и ФСБ не имеют полномочий самостоятельно
проводить проверки операторов персданных
– РКН приглашает ФСТЭК, ФСБ и УСТМ в качестве экспертов

20. Текущая и будущая ситуация с ЗИ ПДн
• Безопасность персданных является обязательным условием
обработки ПДн
• За безопасность ПДн отвечают ФСТЭК и ФСБ
– ФСТЭК выпустил приказ №58 – в 2012 г. планируется изменение
– ФСБ выпустила 2 методических документа в области
криптографии – в 2012 г. планируется изменение
• Подход регуляторов
– Сертифицированные СЗИ и СКЗИ – подход не меняется,
планируется законодательное ухудшение
– Вновь появляется аттестация
• Отраслевые стандарты – тренд с неочевидной судьбой
– СТО БР ИББС, НАУФОР, НАПФ, Тритон, Минздравсоцразвития…
– ФСТЭК и ФСБ по-прежнему поддерживают отраслевые
стандарты

21. Стандарт НАУФОР
• Применяется для всех участников
фондового рынка
• Согласован с ФСТЭК и ФСБ
• Отправлен на согласование в
ФСФР
• Традиционный подход к защите
– Cisco ASA, ISR, IPS, RVPN, CSM
и т.д.
• Официальное мнение
разработчиков стандарта –
решения Cisco полностью
соответствуют требованиям
стандарта НАУФОР

22. Мероприятия по защите
• Определение угроз безопасности ПДн при их обработке в ИСПДн
– Перед моделирование угроз необходимо определить ИСПДн
• Применение организационных и технических мер по обеспечению
безопасности ПДн при их обработке в ИСПДн, необходимых для
выполнения требований к защите ПДн, исполнение которых
обеспечивает установленные Правительством РФ уровни
защищенности ПДн
• Применение прошедших в установленном порядке процедуру
оценки соответствия средств защиты информации
– Регуляторы считают, что это сертификация
– Существует Постановление Правительства
• Оценка эффективности принимаемых мер по обеспечению
безопасности ПДн до ввода в эксплуатацию ИСПДн
– Регуляторы считают, что это аттестация и готовят нормативку

23. Мероприятия по защите
• Учет машинных носителей ПДн
• Обнаружение фактов несанкционированного доступа к ПДн и
принятием мер
• Восстановление ПДн, модифицированных или уничтоженных
вследствие несанкционированного доступа к ним
• Установление правил доступа к ПДн, обрабатываемым в ИСПДн,
а также обеспечением регистрации и учета всех действий,
совершаемых с ПДн в ИСПДн
• Контроль за принимаемыми мерами по обеспечению
безопасности ПДн и уровня защищенности ИСПДн

24. Класс ИСПДн или уровень защищенности?
Старый ФЗ Новый ФЗ
• Класс ИСПДн • Понятие
определяется в «классификации»
зависимости от отсутствует
объема и типа ПДн • Вводится понятие
• Класс и модель «уровень
угроз определяют защищенности»
защитные меры • Зависит от угроз
• Класс определяется • Определяются
оператором Правительством РФ

25. Как Cisco SAFE поможет в классификации ИСПДн?
Загрузить брошюру «Cisco SAFE» можно на сайте www.slideshare.com/CiscoRu

26. Принципы построения защищенных сетей Cisco SAFE
Принципы ИТ Принципы ИБ
• Модульность / • Безопасность как
поэтапность свойство, а не опция
• Снижение TCO • Цель – любое
• Стандартизация / устройство, сегмент,
унификация приложение
• Гибкость • Эшелонированная
• Надежность оборона
• Поддержка новых • Независимость модулей
проектов • Двойной контроль
• Адаптивность / • Интеграция в
автоматизация инфраструктуру
• Масштабируемость • Соответствие
требованиям

27. Модульность SAFE = классификация ИСПДн
Устройства ИБ
 VPNs  Firewall  Admission Control
Решения  Monitoring  Email Filtering  Intrusion Prevention
Сетевые
по ИБ устройства
 PCI  Routers
 DLP  Servers
 Threat Policy and  Switches
Control
Device
Management
Identify Harden
Monitor Isolate
Видимость Контроль
Correlate Enforce
Data WAN Internet E-comm- Cisco Virtual Partner
Campus Branch
Center Edge Edge erce Teleworker User Sites
Secured Mobility, Unified Communications, Network Virtualization
Network Foundation Protection
Сервисы

28. ИСПДн для PCI DSS
Удаленная площадка Периметр Главный Блок управления
Мобильный
POS Cash Register Интернет офис ACS
POS (PCI 1,3,5,6,7) POS сервер (PCI 2, 10,12) CSM
(PCI 10,12)
(PCI 1,3,5,6,7) NAC
CSA MC
(PCI 10,12)
ASA
CS-MARS
7200 ASA
WAP (PCI 10)
(PCI 1,4)
Internet
Catalyst
ISR
(PCI 4) 6500 WAP 6500
Switch FWSM
ASA
ПК (PCI 1,4) Credit Card
магазинного WAP Storage
работника
(PCI 1,3,5,6,7) (PCI 1,3,5,6,7)
Беспроводное
устройство E-commerce
(PCI 1,3,5,6,7) ЦОД
Примечание! Отображена реализация не всех требований

29. ИСПДн по СТО БР ИББС-1.0
Допофис / отделение Периметр Платежный Блок управления
ATM сегмент
Мобильный POS-терминал Интернет
POS ACS CSM
NAC
Киоск NCM
CS-MARS
7200 ASA
WAP ASA
Internet
Catalyst
ISR
6500 WAP 6500
Switch FWSM
ASA
ПК
банковского
WAP Сервер
работника процессинга
Беспроводное Главный
устройство Интернет- офис ЦОД Процессинг
банк
Примечание! Отображена реализация не всех элементов

30. Сегментация
Определение
Scope
Вся сеть в Scope
Branch Warehouse
Может быть
scope уменьшен
за счет сегментации?
Wide Area
Accelerated
Network
Data Center
WAN
Access
CORE
Server Server
Access Access
POS inventory
Servers Servers
Storage
Headquarters

31. Сегментация
Определение
Scope
Вся сеть в Scope
Branch Warehouse
Может быть
scope уменьшен
за счет сегментации?
НЕТ
Wide Area
Accelerated
Network
Data Center
WAN
Access
CORE
Server Server
Access Access
POS
Servers
inventory
Servers
Вся сеть в
защищается
Storage
Headquarters

32. Сегментация Только устройства,
Определение
Scope обрабатывающие ПДн, в
Вся сеть в Scope Scope
Branch Warehouse Branch Warehouse
Может быть
scope уменьшен
за счет сегментации?
НЕТ ДА
Wide Area Wide Area
Accelerated Консультант Accelerated
Network может провести Network
сегментацию?
Data Center
Нет Data Center
WAN WAN
Access Да Access
Документирование
сегментации
CORE CORE
Server Server Server Server
Access Access Access Access
POS inventory Вся сеть Scope уменьшен POS inventory
Servers Servers Servers Servers
защищается
Storage
Headquarters Storage Headquarters

33. Сегментация Только устройства,
Определение
Scope обрабатывающие ПДн, в
Вся сеть в Scope Scope
Branch Warehouse Branch Warehouse
Может быть
scope уменьшен
за счет сегментации?
НЕТ ДА
Wide Area Wide Area
Accelerated Консультант Accelerated
Network может провести Network
сегментацию?
Data Center
Нет Data Center
WAN WAN
Access Да Access
Документирование
сегментации
CORE CORE
Server Server Server Server
Access Access Access Access
POS inventory Вся сеть Scope уменьшен POS inventory
Servers Servers Servers Servers
защищается
Storage
Headquarters Storage Headquarters

34. Что предлагает Cisco для сегментации?
• Различные технологии
– ACL, VLAN, hard/soft zoning, VSAN,
LUN masking
• Различное оборудование
– Маршрутизаторы Cisco ISR G1 / G2,
Cisco ASR
– Коммутаторы Cisco Catalyst
– Коммутаторы Cisco Nexus и Cisco MDS
– Межсетевые экраны Cisco ASA
• Большинство устройств
сертифицировано в ФСТЭК
– Именно для
разделения/разграничения
/сегментации сетей

35. Функции защиты ПДн в контексте Cisco
Функция защиты Решение Cisco
Антивирус • Cisco Ironport E-mail Security Appliance /
Web Security Appliance
• Kaspersky Antivirus for Cisco AXP
Управление доступом • Cisco Secure ACS
• Cisco NAC
• Cisco ISE
Регистрация и учет • Cisco Secure ACS
• Cisco ISE
• Cisco Security Manager
Обеспечение целостности Не обеспечивается
Анализ защищенности Cisco Network Compliance Manager
Обеспечение безопасного межсетевого • Cisco ASA / Cisco ASA SM
взаимодействия • Cisco IOS Firewall
Обнаружение вторжений • Cisco IPS
• Cisco IOS IPS
Защита при передаче по каналам связи • NME-RVPN

36. СТО БАНКА РОССИИ

37. Комплекс стандартов ИБ
СТО РС
Отраслевая
Рекомендации Руководство
Общие Методика частная
Аудит ИБ по по самооценке Методика Требования
положения оценки модель угроз
1.1-2007 документации соответствия оценки рисков по ИБ ПДн
1.0-2010 соответствия безопасности
в области ИБ ИБ 2.2-2009 2.3-2010
v1 1.2-2010 ПДн
v4 2.0-2007 2.1-2007 v1 v1
v3 2.4-2010
v1 v1
v1
• СТО – стандарт организации
• РС – рекомендации по стандартизации

38. Требования к обеспечению ИБ (СИБ) и управлению ИБ
(СМИБ)
• ISO определяет меры по
защите исходя из оценки
ISO СТО 1.0
рисков
27000 Глава 3. Термины
• Набор защитных мер в
СТО обязателен к Глава 8. Система
применению 27001
менеджмента ИБ
– Оценка рисков позволяет
Глава 7. Система
добавить защитные 27002
ИБ
мероприятия, но не
уменьшить их перечень 27003
Глава 8 в части
осознания
• Требования СТО
адаптированы к банкам
27014
– Преимущественно
крупным

39. Требования к организации аудита ИБ
• СТО позволяет
формировать ISO СТО
численные оценки
• СТО вводит единые 27002
СТО 1.0. Глава 9.
критерии оценки по Проверка
частным показателям
СТО 1.2. Оценка
• СТО позволяет 27004
соответствия
сравнивать различные
банки 27006 СТО 1.1. Аудит ИБ
• СТО вводит новое
руководство по
27008 РС 2.1 Самооценка
самооценке

40. Требования к оценке рисков нарушения ИБ
• Банк России уже
провел первичную
оценку рисков и
разработал набор
ISO СТО
защитных мер в СТО
СТО 1.0. Глава 8.
1.0 27001
СМИБ
• Под специфику
конкретного банка РС 2.2. Оценка
27005
рисков
можно провести свою
оценку рисков и РС 2.4. Модель
разработать свои угроз ПДн
защитные меры

41. Требования к защите ПДн
• СТО формирует единый
набор требований для
защиты КТ, БТ и ПДн
• Процесс оценки
ISO СТО
соответствия также РС 2.3. Защита
унифицирован для всех 27002
ИСПДн
видов защищаемой
информации СТО 1.0. Раздел
29100
7.10
• СТО уже вводит
требования по защите
29101
ПДн (ISO 2910x – пока
проект)

42. О технических требованиях СТО в контексте Cisco
Функция защиты Решение Cisco
Распределение ролей • Cisco Secure ACS
• Cisco ISE
• Cisco NAC
Управление доступом и регистрация • Cisco ISE
• Cisco Security Manager
• Cisco Secure ACS
• Любое сетевое оборудование
Cisco
Антивирус • Cisco IronPort E-mail Security
Appliance
• Kaspersky Antivirus for Cisco AXP
• Cisco NAC / Cisco ISE
Доступ к ресурсам Интернет • Cisco ASA / ASA SM
• Cisco IOS Firewall
• Cisco AnyConnect Secure Mobile
Client
• Cisco IPS / Cisco IOS IPS

43. О технических требованиях СТО в контексте Cisco
Функция защиты Решение Cisco
Криптографическая защита • NME-RVPN (КС2)
Защита персональных данных • В соответствие с предыдущим
разделом по защите персданных
Защита банковских платежных • Cisco NAC / Cisco ISE
процессов • Cisco IronPort E-mail Security
Appliance
Мониторинг и контроль защитных мер • Cisco Network Compliance Manager

44. Рекомендательность стандарта ;-(

45. Чьи требования выполнять для защиты ПДн?
«Письмо шести» согласовано с
тремя регуляторами в области ПДн
ФСБ
ФСТЭК
СТО

46. Таблица соответствия требований

47. Динамика присоединения
50
45
40
35 Приняли
Планируют
30
25
20
2007 2010

48. Развитие Комплекса стандартов
Термины и
Классификатор
определения
0.0
0.1
Рекомендации по выполнению
законодательных требований при
обработке ПДн
• РС «Методика назначения и описания ролей» (принята)
• РС «Методика классификация активов» (под вопросом)
• РС «Требования по обеспечению безопасности СКЗИ» (план)

49. Перемены в вопросе стандартизации ИБ банков
• В декабре 2010 года в России при Росстандарте создан новый
технический комитет - ТК 122 «Стандартизация в области
финансовых услуг»
– ТК 122 соответствует ISO TC 68 “Financial Services»
• Базовая организация – Центральный банк
• В связи с определенными разногласиями работы по
стандартизации в области информационной безопасности в
кредитно-финансовой сфере будут перенесены из ТК 362 и
продолжены в рамках ПК1

50. Развитие регулирования ИБ банков
• Упор на отраслевые стандарты
– Разработанные в рамках ТК 122 и рабочих групп ЦБ
• В середине ноября в ЦБ создана рабочая группа по разработке
требования по защите участников Национальной платежной
системы
– Процессинг
– ДБО
– Платежные системы
– Электронные и мгновенные платежи (включая мобильных
операторов)
– Карточный бизнес
• Банк России стал официальным регулятором
– СТО станет обязательным к применению
• Саморегуляция также возможна

51. PCI DSS

52. PCI Data Security Standard
• Первая версия опубликована в
январе 2005; текущая версия - 2.0
• PCI DSS 2.0 станет обязательным с
1-го января 2012
• Влияет на ВСЕХ кто
– Обрабатывает
– Передает
– Хранит: данные владельцев карт
• PCI – это не государственный
стандарт
Payment Card Industry
– Это соглашение между платежной
Data Security Standard
системой и ее участниками

53. 12 требований PCI DSS
Требования PCI Data Security Standard
Построить и поддерживать 1. Внедрение и поддержка конфигурации МСЭ
сеть в защищенном 2. Не использовать пароли и настройки по умолчанию
состоянии
Защитить данные 3. Защита хранимых данных
владельцев карт 4. Шифрование данных платежных карт и иной
информации при передаче по открытым сетям
Поддержка программы 5. Использование и обновление антивирусов
управления уязвимостями 6. Разработка и поддержка систем в защищенном
состоянии
Внедрение мер строгого 7. Ограничение доступа к данным
контроля доступа 8. Привязка уникального ID каждому пользователю
9. Ограничение физического доступа
Регулярный мониторинг и 10.Контроль и мониторинг доступа к сетевым ресурсам и
тестирование сетей данным платежных карт
11. Регулярное тестирование систем и процессов ИБ
Поддержка политики ИБ 12. Поддержка политики информационной безопасности

54. Изменения PCI 2.0
• 119 изменений в виде разъяснений
• 15 изменений в виде дополнительных
указаний
• 2 изменения в виде новых требований
Ключевые изменения PCI DSS 2.0
• Виртуализация
• Обнаружение чужих Wi-Fi устройств

55. Новые сроки соответствия
• PCI DSS 2.0 начинает трехлетний жизненный цикл на разработку
и внедрение новых версий стандартов
• Новый стандарт действует с 1-го января 2011, но проверка на
соответствие предыдущей версии стандарта (1.2.1) будет
разрешена до 31 декабря 2011
• С 1-го января 2012 вся оценка соответствия проводится только
на PCI DSS 2.0

56. Virtualization Guidelines
• Новые указания по использованию
виртуализации в рамках проектов по
PCI DSS
– Включая все технологии
виртуализации, а не только для
серверов
• Включает раздел по облачным
вычислениям

57. Виртуализация в контексте Cisco
Виртуальный ЦОД
Виртуальное рабочее
пространство
Сеть с поддержкой технологий CUPC MS Office Video
виртуализации
Рабочие Microsoft OS
Устройства
Клиент Филиал ЦОД Desktop Virtualization Software
Cisco VXI
ISR
FC
Hypervisor
Бизнес-
планшеты Тонкие Cisco
клиенты WAN
Nexus Virtual Virtual
QUAD CUCM
Cius
Экосистема тонких
клиентов WAAS
Cisco UCS
ASA ACE
Broker vWAAS
VSG
Единый подход к вопросам безопасности, управления и автоматизации

58. Виртуализация: точка присутствия
• Виртуальные LAN
Access Point
– Wired: Cisco Catalyst VLANs VLANs
2960/3560/3750 series
Switches
– Wireless: Cisco Aironet 1040, Switch
1200, 3500 Series Access Sensitive Scope Out of Scope
Points
• Виртуальные Firewall/IPS
UCS Express UCS Express
– Cisco Integrated Service POS Server Print Server
Router
Routers (ISR) Generation 2: Integrated Firewall/IPS
800, 1900, 2900, 3900 Series
• Виртуальные сервера WAN, Data Center, and Centralized
– Cisco Service Ready Engine Management Wireless IPS
with Unified Computing
System (UCS) Express image

59. Виртуализация: ЦОД
Data Center, Aggregation Layer
• Виртуальные LANs
– Nexus 1000v virtual Switch WAN
and CORE
– Nexus 5000 & 7000 Switches VLAN Routing
– MDS 9000 Storage Switch
Segmentation
• Виртуальный МСЭ Nexus
Switches
VDC1
– Virtual Secure Gateway
(VSG)
– ASA 5585 Firewall VDC2
• Виртуальные сервера
Adaptive
Security
Appliance
– Unified Compute Systems
– VCE VBLOCK-1 Architecture
Access Layer

60. Детальные руководства

61. Обнаружение чужих Wi-Fi устройств
• 11.1: Обнаружение беспроводных точек доступа обновлено за
счет новых методов:
– Сканирование беспроводных сетей
– Физическая/логическая инспекция
– NAC
– Wireless IDS и IPS
• 11.1b: Проверка методов
тестирования для аккуратного
обнаружения:
– WLAN cards
– Portable wireless devices (USB, etc.)
– Attached wireless devices and
access points

62. Защита телефонии в PCI
• Новые указания по использование
телефонных технологий в рамках PCI
• Cisco IP Phones с внутренним
коммутатором, подключенные к
терминалам (Point of Service
Terminals)
• Центры обработки вызовов

63. Целостное решение
PCI DSS 2.0 Solution Framework
• Точки продаж: сервера и приложения
Конечные • Голос: Телефоны и ЦОВ
устройства • Email: Data Loss Prevention
Сервисы
• Physical: Surveillance и Badge Access
• Assess
• Аутентификация • Шифрование • Design
Управление • Управление • Мониторинг • Implement
• Audit
Store Data Center Contact Center Internet Edge
Инфраструктура • Сеть: Routers, Switches и Wireless
• ИБ: Firewalls и Intrusion Detection

64. Продуктовые линейки Cisco
Routing Cisco Integrated Services Routers (ISR, ISR G2), Cisco Aggregation Services Routers (ASR)
Switching Cisco Catalyst Compact, Access and Data Center Switches, Cisco Nexus 1000 Virtual, 5000 and 7000
Switches, Cisco Application Control Engine (ACE), Cisco Multilayer Director Switch (MDS) with Storage
Media Encryption Module
Network Security Cisco Adaptive Security Appliance (ASA), Cisco IronPort Email Security Appliance, Cisco Network
Admission Control Appliance (NAC), Cisco AnyConnect VPN, Cisco Firewall Services Modules (FWSM),
Cisco Intrusion Detection System Services Modules (IDSM), Cisco Intrusion Prevention System
Appliances (IPS), Cisco Nexus Virtual Security Gateway (VSG), Cisco IOS Firewall, Cisco IOS IPS,
Cisco Secure Access Control Server (ACS)
Wireless Cisco Aironet Access Points, Cisco Wireless LAN Controllers, Cisco Mobility Services Engine with
enhanced local mode (ELM), Cisco Adaptive Wireless IPS
Physical Security Cisco Video Surveillance Operations Manager (VSOM), Cisco Video Surveillance IP Cameras, Cisco
Physical Security Multiservices Platform (MSP), Cisco Physical Access Manager (CPAM), Cisco Physical
Access Gateways
Compute Systems and Cisco Unified Computing System (UCS) Blade and Rack-Mount Servers, Cisco UCS Express
Storage
Management Cisco Security Manager (CSM), Cisco Wireless Control System (WCS), CiscoWorks LAN Management
Solution (LMS)
Voice Cisco Unified Communications Manager (CUCM), Cisco Unified IP Phones
WAN Optimization Cisco Wide Area Application Engine (WAE), Cisco Wide Area Application Services (WAAS)

65. Не продуктом единым
Campus or HQ Data Center
AGGREGATION INTERNET EDGE
INTERNET
WAN
Aggregation
Core
Adaptive Web App FW
Security
Service Appliance
DMZ
Aggregation
POS POS PC Mobile
Servers Register POS Service Web Servers VPN
Provider
Store SERVER ACCESS STORAGE
External
Integrated
Access MDS 9000 Locations
SAN Switches
Catalyst Services Router
Authentication POS
Switch
Servers
LWAPP
Network Business
Management Servers Disk
Arrays
Security
Database
Management
Network Tape
POS POS PC Mobile Monitoring Services Storage Remote
Servers Register POS and Workers Partners
Inventory

66. Конкретные рекомендации: Требование 1
Campus or HQ Data Center
AGGREGATION INTERNET EDGE
Security
Management: INTERNET
Key Manager
Client
WAN
Aggregation
Core
Adaptive Web App FW
Security
Service Appliance
DMZ
Payment Mobile
Aggregation
POS POS
Devices POS/
Servers Register Service Web Servers VPN
Inventory
Provider
Store SERVER ACCESS STORAGE
External
Integrated
Access MDS 9000 Locations
Security SAN Switches
Services Router
Management: Authentication POS
Key Manager Servers
Client LWAPP
Network
Management: Business
CiscoWorks LMS Servers Disk
Arrays
Security
Management: Database
Cisco Security
Manager
Monitoring: Network Tape
File Security POS Payment Remote
Mobile SIEM Services Storage
Adapter +
Register Devices POS and Workers Partners
Inventory

67. Cisco PCI Solution for Retail 2.0
• Позволяет выполнять указания
PCI DSS 2.0 в специфичных
технологических областях
• Обеспечивает руководство для
выполнения требований PCI и
защиты данных платежных карт

68. Детальные руководство Cisco PCI Solution for Retail 2.0
• Рекомендованные архитектуры для сетей,
хранящих, обрабатывающих и
Validated Design
Small Retail Store
передающих данные платежных карт
• Протестированы в реальном окружении с
POS, серверами приложений,
беспроводными устройствами,
соединением с Интернет, ЦОВ и
системами безопасности
• Руководства оценены PCI QSA (Verizon)
• Включают расширенные рекомендации по
реализации требований PCI в
виртуализированном и 3G окружении

69. Специальные SKU для маршрутизаторов Cisco ISR 800
• Стандарт PCI DSS не разрешает
использовать «слабую» криптографию для
защиты данных платежных карт
– Для Cisco это означает, что необходимо
использовать только оборудование -K9
– Это сопряжено с рядом сложностей при
ввозе этой продукции в Россию –
требуется разрешение ФСБ
• Для облегчения выполнения требований
PCI DSS компания Cisco создала
специальные SKU с кодом –PCI
– Для ISR 861, 881 и 891
– Имеет код K9, но ввозится по нотификации
– Не отличается от продукта без кода -PCI

70. Дополнительная информация
• Презентация (на русском языке) о стандарте PCI DSS 2.0
• Ролик на YouTube (с русскими субтитрами) о стандарте PCI DSS
• Презентация (на русском языке) о том, как Cisco ISR помогает
выполнять требования PCI DSS
• Онлайн-помощник (на английском языке) по изучению стандарта
PCI DSS
• Раздел на сайте Cisco (на английском языке), посвященный
стандарту PCI DSS
• Картины художников, посвященные стандарту PCI DSS
• Руководство по дизайну и внедрению PCI DSS 2.0 на базе
решений Cisco
• Чеклист по настройкам беспроводных решений Cisco для
выполнения требований PCI DSS
• И многое другое

71. ЭЛЕКТРОННЫЙ
ДОКУМЕНТООБОРОТ

72. Две стороны одной медали
Внутренний ЭД
Межведомственный
ЭД
• Приказ Минкомсвязи РФ от 02.09.2011 • Приказ Минкомсвязи РФ от 27.12.2010
№ 221 «Об утверждении Требований к № 190 «Об утверждении технических
информационным системам требований к взаимодействию систем
электронного документооборота в единой системе межведомственного
ФОИВ, учитывающих в том числе электронного взаимодействия»
необходимость обработки посредством
данных систем служебной
информации ограниченного
распространения»
– Зарегистрировано в Минюсте РФ
15.11.2011 N 22304

73. Межведомственный электронный документооборот
• Подсистема информационной безопасности каждой
информационной системы, подключаемой к системе
взаимодействия, должна обеспечивать установленные
законодательством Российской Федерации уровни защищенности
информации, обрабатываемой в этой системе
– Пока не утверждены
• Каналы защищаются VPN-решениями класса не ниже КС3
– Учитывайте, что речь идет о межведомственном, а не
внутреннем электронном документообороте
• Сертифицированные межсетевые экраны
– Cisco ASA, Cisco ASA SM, Cisco IOS Firewall

74. Внутренний электронный документооборот
• Защищенность от несанкционированного доступа в случаях,
когда в СЭД предусмотрена обработка служебной информации
ограниченного распространения - не ниже класса 1Г
• Для защиты служебной информации ограниченного
распространения должны использоваться сертифицированные в
соответствии с требованиями безопасности информации
технические и (или) программные средства защиты информации
• Требования по защите информации и мероприятия по их
выполнению, а также конкретные программно-технические
средства защиты должны определяться и уточняться в
зависимости от установленного класса защищенности
– Пока не установлены
• СЭД не должна иметь прямого (незащищенного) подключения к
Интернет в соответствии с Указом Президента №351
– Необходимо применение сертифицированных межсетевых
экранов и VPN-решений (любого класса)

75. Требования к УЦ и ЭП
• Проект приказа ФСБ «Об утверждении Требований к средствам
электронной подписи»
• Проект приказа ФСБ «Об утверждении Требований к средствам
удостоверяющего центра»
• Проект приказа ФСБ «Об утверждении Требований к форме
квалифицированного сертификата ключа проверки электронной
подписи»

76. Электронная подпись и банки
• В соответствии с Указанием Банка России от 16 января 2004 года
№ 1375-У «О правилах составления и представления отчетности
кредитными организациями в Центральный банк Российской» (далее
- Указание № 1375-У) при составлении и представлении отчетности
кредитных организаций в Банк России в электронном виде для
подтверждения подлинности и контроля целостности электронного
сообщения используется код аутентификации
• Код аутентификации является аналогом электронной подписи,
отвечающим требованиям, предусмотренным пунктами 2 и 3 статьи
5 Федерального закона от 06.04.2011 года 63-Ф3 «Об электронной
подписи»
• Учитывая изложенное, кредитным организациям при составлении и
представлении отчетности в Банк России в электронном виде
следует руководствоваться порядком, установленным Указанием
Банка России от 24 января 2005 года № 1546-У «О порядке
представления кредитными организациями в Центральный банк
Российской Федерации отчетности в виде электронных сообщений,
снабженных кодом аутентификации»

77. КРИТИЧЕСКИ ВАЖНЫЕ
ОБЪЕКТЫ

78. Последние изменения
• 21 июля 2011 года Президент РФ подписал Федеральный Закон
«О безопасности объектов топливно-энергетического комплекса»,
а также Федеральный закон «О внесении изменений в отдельные
законодательные акты Российской Федерации в части
обеспечения безопасности объектов топливно-энергетического
комплекса»
• Статья 11 «Обеспечение безопасности информационных систем
объектов топливно-энергетического комплекса»
– Требования и состав комплекса защитных мер пока не
определены

79. Термины и определения
• Ключевая (критически важная) система информационной
инфраструктуры – информационно-управляющая или
информационно-телекоммуникационная система, которая
осуществляет управление критически важным объектом
(процессом), или информационное обеспечение таким объектом
(процессом), или официальное информирование граждан и в
результате деструктивных действий на которую может сложиться
чрезвычайная ситуация или будут нарушены выполняемые
системой функции управления со значительными негативными
последствиями
• Критически важный объект – объект, оказывающий существенное
влияние на национальную безопасность РФ, прекращение или
нарушения деятельности которого приводит к чрезвычайной
ситуации или к значительным негативным последствиям для
обороны, безопасности, международных отношений, экономики,
другой сферы хозяйства или инфраструктуры страны, либо для
жизнедеятельности населения, проживающего на
соответствующей территории, на длительный период времени

80. Ключевые системы образуются
• Государственной автоматизированной системой «Выборы»
• Системами органов государственной власти
• Автоматизированными системами управления войсками и оружием
• Спутниковыми системами, используемыми для обеспечения органов управления и в специальных целях
• Системами органов управления правоохранительных структур
• Средствами и системами телерадиовещания и другими системами информирования населения
• Общегосударственными кадастрами и базами данных справочной информации
• Магистральными сетями связи общего пользования и сетями связи общего пользования на участках, не
имеющих резервных или альтернативных видов связи
• Программно-техническими комплексами центров управления сетей связи
• Системами финансово-кредитной и банковской деятельности - расчетно-кассовые системы, системы
электронных платежей, информационные системы сбора обязательных платежей в бюджет,
информационные системы учета и распределения бюджетных поступлений и расходов
• Системами управления добычей и транспортировкой нефти, нефтепродуктов и газа
• Системами управления водоснабжением, водонапорным и гидротехническим оборудованием
• Системами управления энергоснабжением
• Системами управления транспортом
• Системами управления потенциально опасными объектами
• Системами предупреждения и ликвидации чрезвычайных ситуаций
• Географическими и навигационными системами
• И другими системами, влияющими на национальную безопасность страны

81. Номенклатура документов по КСИИ
Приказ от Указ от Указ от
Указы 30.03.2002 16.08.2004 11.08.2003
«Основы» от
28.09.2006
Президента №Пр-578 №1085 №960
Секретарь
Иные Проект
СовБеза РФ
закона (снят)
документы от 08.11.2005
Распоряжения №411-рс от №1314-р от
23.03.2006 27.08.2005
Правительства
4 «закрытых»
Отраслевые документа
документы ФСТЭК

82. Требования по безопасности
• Требования по обеспечению безопасности информации в КСИИ
отличаются в зависимости от их типа и между собой не
пересекаются (!!!)
– 1-й тип – системы сбора и хранения открытой информации, а
также системы управления СМИ
– 2-й тип – системы управления критически важными объектами
• Требования по обеспечению безопасности информации в КСИИ
различных уровней важности соответствуют требованиям для
различных классов защищенности АС и МСЭ или уровней
контроля отсутствия НДВ
– Исключение составляют требования, для которых у ФСТЭК
отсутствуют руководящие документы – антивирусная защита,
анализ защищенности, обнаружение вторжений и требования
доверия к безопасности

83. Требования по защите КСИИ 1-го типа
Уровень важности КСИИ
Группы требований
3 2 1
Управление доступом 1Г 1В 1Б
Регистрация и учет 1Г 1В 1Б
Обеспечение целостности 1Г 1В 1Б
Обеспечение безопасного межсетевого
4 3 2
взаимодействия в КСИИ
Уровень контроля отсутствия НДВ 4 3 2
Антивирусная защита + + +
Анализ защищенности + + +
Обнаружение вторжений + + +
Требования доверия к безопасности + + +

84. Требования по защите КСИИ 2-го типа
Уровень важности КСИИ
Группы требований
3 2 1
Планирование обеспечения безопасности + + +
Действия в непредвиденных ситуациях + + +
Реагирование на инциденты + + +
Оценка рисков + + +
Защита носителей информации + + +
Обеспечение целостности + + +
Физическая защита и защиты среды + + +
Безопасность и персонал + + +
Информирование и обучение по вопросам ИБ + + +
Защита коммуникаций + + +
Аудит безопасности + + +

85. КОНТРОЛЬ СОЦИАЛЬНЫХ
СЕТЕЙ И ИНТЕРНЕТ

86. Контроль социальных сетей и Интернет
• Кодекс (Конвенция) поведения ООН в области ИБ
– Инициирован Россией, Китаем, Узбекистаном и Таджикистаном
– Запрет на вмешательство в национальное Интернет-
пространство
– Запрет на использования Интернет и социальных сетей для
свержения правительств
• Социальные сети и Интернет надо контролировать
– Юрий Чайка, Генеральная прокуратура
• Интернет не приемлет анонимности – надо контролировать
– Кирилл, Русская Православная Церковь
• Интернет не приемлет анонимности – надо контролировать
– Рашид Нургалиев, МВД
• Пользователи должны иметь Интернет-паспорта
– Евгений Касперский

87. Социальные сети несут другие угрозы с точки зрения
Cisco
21% 64% 47% 20% 55%
Людей Людей не думая Пользователей Людей уже Людей были
принимают кликают по Интернет уже сталкивалось с подменены с
«приглашения ссылкам, становились кражей целью получения
дружбы» от присылаемым жертвами идентификаци персональных
людей, которых «друзьями» заражений онных данных данных
они не знают вредоносными
программами

88. Контроль социальных сетей с помощью Cisco Ironport
Web Security Appliance
 URL база данных с широким
URL фильтры покрытием (>50M узлов)
 Динамическая категоризация
неизвестных URL
 Обновления БД с
пятиминутным интервалом
Application Visibility
and Control
 Глубокий контроль
приложений -- IM, Facebook,
WebEx
 Управление полосой для
потокового видео
 Рейтинг узлов

89. ЗАЩИТА ДЕТЕЙ ОТ
ИНТЕРНЕТ

90. Защита детей от Интернет
• ФЗ «О защите детей от негативной информации»
– Вступление в силу с осени 2012 года
• Изменения в КоАП в части ответственности за невыполнение
требований закона
• Новый регулятор – Роскомнадзор
– Bдет оформление полномочий
– Будет устанавливать требования к средствам фильтрации
• Требования к пунктам коллективного доступа использования
средств фильтрации контента
– Непонятно, что такое пункт коллективного доступа (по мнению
Минкомсвязи – это только Почта России)

91. ОБ ОЦЕНКЕ СООТВЕТСТВИЯ

92. Оценка соответствия ≠ сертификация
• Старые НПА «говорят»
преимущественно о сертификации, а
новые – об оценке соответствия
• Оценка соответствия ≠
сертификация
• Оценка соответствия - прямое или
косвенное определение соблюдения
требований, предъявляемых к
объекту
• Оценка соответствия регулируется
ФЗ-184 «О техническом
регулировании»

93. Оценка соответствия
Госконтроль и
надзор
Аккредитация
Испытания
Оценка Добровольная
Регистрация
соответствия сертификация
Подтверждение Обязательная
соответствия сертификация
Приемка и ввод Декларирование
в эксплуатацию соответствия
В иной форме

94. Системы сертификации
Требования Требования закрыты (часто секретны). Даже лицензиаты
открыты зачастую не имеют их, оперируя выписками из выписок
ФСТЭК ФСБ МО СВР
Все, кроме СКЗИ Все для нужд Тайна, покрытая
криптографии МСЭ оборонного ведомства мраком
Антивирусы
IDS
BIOS
Сетевое
оборудование
А еще есть 4 негосударственных системы сертификации СЗИ – ГАЗПРОМСЕРТ,
«АйТиСертифика» (ЕВРААС), Ecomex и «Каскад»

95. Есть ли разница?
Единичный 5585-X
Cisco ASA Партия Cisco ASA 5585-X
Серия
экземпляр
Дата выпуска: 12 декабря 2010 года Дата выпуска: 12 декабря 2010 года
CRC: E6D3A4B567 CRC: E6D3A4B567
Место производства: Ирландия, Место производства: Ирландия,
Дублин Дублин
Смена: 12 Смена: 12
Версия ОС: 8.2 Версия ОС: 8.2
Производительность: 40 Гбит/сек Производительность: 40 Гбит/сек

96. В чем проблема?
Единичный
Партия Серия
экземпляр
Основная схема для Основная схема для Основная схема для
западных вендоров западных вендоров российских вендоров
Оценивается конкретный Оценивается Оценивается образец +
экземпляр (образец) репрезентативная выборка инспекционный контроль за
образцов стабильностью характеристик
Число экземпляров – 1-2 сертифицированной
Число экземпляров – 50- продукции
200
Число экземпляров -
неограничено

97. И что? Пусть вендор и сертифицирует!
Невозможно Отвечает
Дорого Необязательно
потребитель
От нескольких Исключая гостайну и Западные По КоАП
сотен долларов СКЗИ разработка и производители не ответственность
(при сертификации продажа средств ведут в России лежит на
серии) до защиты возможна и без коммерческой потребителе
несколько сертификата деятельности и не
десятков тысяч могут быть
долларов А западные вендоры и заявителями
так сертифицированы
во всем мире

98. Рост числа нормативных актов с требованиями
сертификации СЗИ
Преимущественно для госорганов
10
9
8
7
6
5
4
3
2
1
0
* - для 2011 – предварительная оценка проектов новых нормативных актов (ФЗ “О национальной
платежной системе”, ФЗ “О служебной тайне”, новые приказы ФСТЭК/ФСБ и т.д.)
98