Решения cisco для обеспечения соответствия требования...
DESCRIPTION
Решения Cisco для обеспечения соответствия требования регуляторов по безопасностиTRANSCRIPT
Решения Cisco для обеспечения соответствия требованиям регуляторов по безопасности
#1153
Лукацкий Алексей, консультант по безопасности
Активность законодателей только возрастает
• В среднем 4 нормативных акта (проекта) в месяц – 2012 – 5, 2013 – 4, 2014 – 6 – Активность будет только возрастать – В октябре почему-то всегда минимальная активность J
Это только начало
• Около 50 нормативных актов уже запланировано к разработке на ближайшее время – Они не включены в диаграмму
Жертвы давно определены
• Национальная платежная система и банки • Госорганы • КВО / ТЭК / КИИ • Операторы связи
Какие направления будут в фаворе в 2015/16?
ИБ Персональные данные
Критические инфраструктуры
Государственные ИС
Национальная платежная система
Субъекты Интернет-отношений
Облачные технологии
Регуляторов в области ИБ у нас 16+
• ФСБ, ФСТЭК, СВР, МинОбороны, ФСО
• Минкомсвязь, Роскомнадзор • МВД, Банк России • Совет Безопасности • PCI Council • Минэнерго, Минэкономразвития • Администрация Президента • Ростехрегулирование • Минтруд, Рособразование • Каждый ФОИВ мнит себя регулятором по ИБ…
ФСТЭК
ФСБ
Банк России
УНИФИКАЦИЯ ЗАЩИТНЫХ МЕР ФСТЭК
ФСТЭК унифицирует требования по защите информации
Особенность Приказ по защите ПДн
Приказ по защите ГИС/МИС
Приказ по АСУ ТП
Требования по защите привязаны к
4 уровням защищенности ПДн
4 классам защищенности ГИС/МИС
3 классам защищенности АСУ ТП
Порядок в триаде КЦД КЦД ДЦК Возможность гибкого выбора защитных мер
Да Да Да
Проверка на отсутствие НДВ
Требуется для угроз 1-2 типа (актуальность определяется заказчиком)
Требуется для 1-2 класса защищенности ГИС/МИС
Требуется только при выборе сертифицированных средств защиты
Но разница между требованиями ФСТЭК все-таки есть
Особенность Приказ №21 Приказ №17 Приказ №31 Оценка соответствия
В любой форме (нечеткость формулировки и непонятное ПП-330)
Только сертификация
В любой форме (в соответствии с ФЗ-184)
Аттестация Коммерческий оператор - на выбор оператора Госоператор - аттестация
Обязательна Возможна, но не обязательна
Контроль и надзор
Прокуратура – все ФСТЭК/ФСБ – только госоператоры (РКН не имеет полномочий проверять коммерческих операторов ПДн)
ФСТЭК ФСБ и ФОИВ, ответственный за безопасность КИИ (определяется в настоящий момент)
Меры по защите информации
• Организационные и технические меры защиты информации, реализуемые в АСУ ТП – идентификация и аутентификация субъектов доступа и объектов доступа
– управление доступом субъектов доступа к объектам доступа
– ограничение программной среды
– защита машинных носителей информации
– регистрация событий безопасности
– антивирусная защита
– обнаружение (предотвращение) вторжений
– контроль (анализ) защищенности – целостность АСУ ТП – доступность технических средств и информации – защита среды виртуализации
Меры по защите информации
• продолжение: – защита технических средств и оборудования – защита АСУ ТП и ее компонентов – безопасная разработка прикладного и специального программного обеспечения разработчиком
– управление обновлениями программного обеспечения – планирование мероприятий по обеспечению защиты информации – обеспечение действий в нештатных (непредвиденных) ситуациях – информирование и обучение пользователей – анализ угроз безопасности информации и рисков от их реализации
– выявление инцидентов и реагирование на них – управление конфигурацией информационной системы и ее системы защиты
ПДн
+ АСУ ТП
АСУ ТП
Меры по защите информации: общее
Защитная мера ПДн ГИС АСУ ТП Идентификация и аутентификация субъектов доступа и объектов доступа + + + Управление доступом субъектов доступа к объектам доступа + + + Ограничение программной среды + + + Защита машинных носителей информации, на которых хранятся и (или) обрабатывается КИ + + + Регистрация событий безопасности + + + Антивирусная защита + + + Обнаружение (предотвращение) вторжений + + + Контроль (анализ) защищенности персональных данных + + + Обеспечение целостности информационной системы и КИ + + + Обеспечение доступности персональных данных + + + Защита среды виртуализации + + + Защита технических средств + + + Защита информационной системы, ее средств, систем связи и передачи данных + + +
Меры по защите информации: различия
Защитная мера ПДн ГИС АСУ ТП Управление инцидентами + + Управление конфигурацией информационной системы и системы защиты КИ + + Безопасная разработка прикладного и специального программного обеспечения разработчиком + Управление обновлениями программного обеспечения + Планирование мероприятий по обеспечению защиты информации + Обеспечение действий в нештатных (непредвиденных) ситуациях + Информирование и обучение пользователей + Анализ угроз безопасности информации и рисков от их реализации +
• Планы – Унификация перечня защитных мер для всех трех приказов
– Выход на 2-хлетний цикл обновления приказов
Что есть у Cisco с точки зрения защиты информации?
А что из этого позволяет выполнить требования приказов ФСТЭК?
• Решения Cisco позволяют выполнить многие требования приказов ФСТЭК по защите ПДн, ГИС/МИС и АСУ ТП
На всех участках корпоративной, ведомственной и индустриальной сети
Что включается в базовый набор?
• Базовый набор защитных мер – это не минимально возможный перечень мер защиты
• Это рекомендуемый набор мер защиты «по умолчанию», составленный как набор «лучших практик» – Для тех, кто не готов пересматривать защитные меры исходя из особенностей своей информационной системы
Как трактовать меры?
• 11 февраля 2014 утвержден методический документ «Меры защиты информации в государственных системах»
• Методический документ детализирует организационные и технические меры защиты информации, а также определяет содержание мер защиты информации и правила их реализации
• По решению оператора ПДн настоящий методический документ применяется для обеспечения безопасности ПДн
• Планируется разработка аналогичного документа по АСУ ТП
Когда сказать «достаточно»?
• В подразделах «требования к реализации меры защиты информации» для каждой меры указано требование к тому, каким образом и в каком объеме должна быть реализована каждая мера защиты информации
• В зависимости от класса защищенности ИС минимальные требования к реализации уточненной адаптированной базовой меры защиты информации подлежат усилению для повышения уровня защищенности информации – Усиления мер защиты информации применяются дополнительно к требованиям по реализации мер защиты информации
Как определяются защитные меры?
• Выбор мер по обеспечению безопасности ПДн, подлежащих реализации в системе защиты ПДн, включает – определение базового набора мер – адаптацию базового набора мер с учетом структурно-функциональных характеристик ИСПДн, ИТ, особенностей функционирования ИСПДн
– уточнение адаптированного базового набора с учетом не выбранных ранее мер
– дополнение уточненного адаптированного базового набора мер по обеспечению безопасности ПДн дополнительными мерами, установленными иными нормативными актами
Базовые меры
Адаптация базового набора
Уточнение адаптированного набора
Дополнение уточненного адаптированного набора
Компенсационные меры
А можно ли исключать защитные меры из списка?
• Исключение из базового набора мер возможно, если какие-либо информационные технологии не используются в информационной системе, или присутствуют структурно-функциональные характеристики, не свойственные информационной системе
• Например, мера – ИАФ.6 «Идентификация и аутентификация пользователей, не являющихся работниками оператора (внешних пользователей)» при отсутствии внешних пользователей – если данная характеристика не свойственна ИСПДн
– УПД.14 «Регламентация и контроль использования в информационной системе технологий беспроводного доступа» - если данная ИТ не используется в ИСПДн
А если какую-то меру невозможно реализовать?
• При невозможности технической реализации отдельных выбранных мер по обеспечению безопасности персональных данных, а также с учетом экономической целесообразности на этапах адаптации базового набора мер и (или) уточнения адаптированного базового набора мер могут разрабатываться иные (компенсирующие) меры, направленные на нейтрализацию актуальных угроз безопасности персональных данных
Компенсирующие меры
• В ходе разработки системы защиты персональных данных должно быть проведено обоснование применения компенсирующих мер для обеспечения безопасности персональных данных
• Примеры – Среда виртуализации на базе KVM, Xen или Hyper-V и отсутствие сертифицированных МСЭ
– Антивирус на Apple iOS и MDM / NAC / перенаправление на шлюз – Замена антивируса замкнутой программной средой – Замена МСЭ маршрутизатором или коммутатором – Замена системы обнаружения вторжений системой анализа сетевого трафика
ОЦЕНКА СООТВЕТСТВИЯ СРЕДСТВ ЗАЩИТЫ
Оценка соответствия средств защиты
Приказ №17
• Оценка соответствия проводится в форме обязательной сертификации
• Сертификация средств защиты в системах ФСТЭК или ФСБ
Приказ №21
• Особых требований к форме оценки соответствия не предъявляется
• Могут использоваться в том числе и сертифицирован-ные средства защиты
Приказ №31
• Требований к форме оценки соответствия не предъявляются
• Могут использоваться в том числе и сертифицирован-ные средства защиты (если есть)
Оценка соответствия ≠ сертификация
Оценка соответствия
Госконтроль и надзор
Аккредитация
Испытания
Регистрация
Подтверждение соответствия
Добровольная сертификация
Обязательная сертификация
Декларирование соответствия
Приемка и ввод в эксплуатацию
В иной форме
Каждый приказ содержит привязку классов защищенности к классам защиты СрЗИ (где надо)
Тип СЗИ / ПО 3 класс АСУ ТП 2 класс 1 класс
СВТ Не ниже 5 Не ниже 5 Не ниже 5
IDS Не ниже 5 Не ниже 4 Не ниже 3
Антивирус Не ниже 5 Не ниже 4 Не ниже 3
Средства доверенной загрузки Не ниже 5 Не ниже 4 Не ниже 3
Средства контроля съемных носителей Не ниже 5 Не ниже 4 Не ниже 3
МСЭ Не ниже 4 3Интернет 4
3Интернет 4
НДВ в СЗИ - Не ниже 4 Не ниже 4
Какие решения Cisco имеют сертификаты ФСТЭК?
• Многофункциональные защитные устройства – Cisco ASA 5505, 5510, 5520, 5540, 5550, 5580 – Cisco ASA 5512-X, 5515-X, 5525-X, 5545-X, 5555-X, 5585-X – Cisco ASA SM
• Системы предотвращения вторжений – Cisco IPS 4200, AIP-SSM-10/20, IPS 4240, 4255, 4260, 4270, IDSM2
• Межсетевые экраны – Cisco Pix 501, 506, 515, 520, 525, 535 – Cisco FWSM – Cisco 1800, 2800, 3800, 7200, 7600, 676, 871, 881, 891, 1750, 1751,
1760-V, 1811, 1841, 2509, 26xx, 2600, 2611, 2621, 2651, 2801, 2811, 2821, 2851, 2901, 2911, 3640, 3661, 3662, 3725, 3745, 3825, 3845, 3925, 7201, 7206, 7301, 7604
– ASR 1002, GSR 12404, CGR2000, CGR2500
Какие решения Cisco имеют сертификаты ФСТЭК?
• Коммутаторы – Cisco Catalyst 2912, 2924, 2950G, 2960, 2970, 3508G, 3512, 3524,
3548, 3550, 3560, 3750, 4003, 4503, 4506, 4507, 4510, 4900, 6006, 6504, 6506, 6509, 6513
– Cisco Nexus • Системы управления
– CiscoWorks Monitoring Center – Cisco Security Manager 3.2, 3.3 – Cisco Secure ACS 4.x – Cisco Secure ACS 1121 – CS MARS 20, 25, 50, 100, 110
• Прочее – Cisco AS5350XM
Какие решения Cisco поданы на сертификацию?
• Системы предотвращения вторжений – Cisco IPS 4345, 4360, 4510, 4520 – Cisco IPS for АСУ ТП
• Межсетевые экраны – Cisco ASA 1000v – Cisco Virtual Security Gateway
• Cisco UCS • Решения Sourcefire
ПЕРСОНАЛЬНЫЕ ДАННЫЕ
Недавние и планируемые изменения по направлению ПДн
Что было
• Приказ ФСТЭК №21 по защите ПДн в ИСПДн
• Приказ об отмене «приказа трех» по классификации ИСПДн
• Приказ и методичка РКН по обезличиванию
• Новая версия стандарта Банка России (СТО БР ИББС)
• Закон 242-ФЗ о запрете хранения ПДн россиян за границей
• Письмо Банка России 42-Т • Приказ ФСБ №378 по использованию СКЗИ для защиты ПДн
• ПП-911 по отмене обязательного обезличивания
Что будет
• Законопроект Совета Федерации по внесению изменений в ФЗ-152
• Законопроект по внесению изменений в КоАП
• Работа Межведомственного экспертного совета при Минкомсвязи по совершенствованию законодательства в области регулирования отношений, связанных с обработкой ПДн
• Отраслевые модели угроз • Ратификация дополнительного протокола Евроконвенции (181)
Законопроект по штрафам
• В новом законопроекте меняется текст статьи 13.11, которая устанавливает два состава правонарушений – Нарушение требований к письменному согласию субъекта
(<=50K) – Обработка ПДн без согласия или иных законных оснований
(<=50K) • Также вводится еще 3 новых статьи:
– 13.11.1 - незаконная обработка спецкатегорий ПДн (<=300K) – 13.11.2 - непредоставление оператором информации и (или) доступа к сведениям, предусмотренным законодательством о ПДн. Данная статья наказывает в т.ч. и за отсутствие политики в отношении обработки ПДн (<=45K)
– 13.11.3 – нарушение правил неавтоматизированной обработки и обезличивания (<=50K)
«Приказ трех» по классификации больше не действует
• «Приказ трех» формально не действует с 01.11.2012 – Согласно нормам правам
• ФСТЭК специально разработала приказ о недействительности «приказа трех» – Утвержден 31 декабря 2013 года – №151/786/461
– Подписан руководителями ФСТЭК, ФСБ и Минкомсвязи
• Теперь необходимо определять уровни защищенности – Уровень зависит от типа актуальных угроз, а не количества и типа ПДн
Актуальные ли угрозы 1-го и 2-го типов?
КН1 • Н1-Н3
КН2 • Н4-Н5
КН3 • Н6 1 тип
2 тип
3 тип
Категории нарушителей Типы угроз
• Согласно ПП-1119 определение типа угроз, актуальных для ИСПДн, производится оператором ПДн – Или в отраслевой модели угроз (как у Банка России)
• Речь идет об актуальной, а не теоретической опасности
Было
Стало
Закон о запрете хранения ПДн россиян за границей
• Реализация положения ФЗ-242 «о запрете хранения ПДн россиян за границей» – Запрет хранения – Наказание за нарушение – Выведение РКН из под действия
294-ФЗ • Вступает в силу с 1 сентября 2016 года
– Возможен сдвиг на 01.01.2015 – Возможно будут вноситься изменения
• Как решить проблему при вступлении закона в силу в жестком варианте? – Передача и хранение обезличенных данных – Передача и хранение архивных данных
Приказ ФСБ №378
• Настоящий документ устанавливает состав и содержание необходимых для выполнения установленных Правительством Российской Федерации требований к защите ПДн для каждого из уровней защищенности организационных и технических мер по обеспечению безопасности ПДн при их обработке в ИСПДн
• Принят 10 июля 2014 года, вступил в силу с 28 сентября 2014 года
Приказ ФСБ №378
• Даны разъяснения (имеющие характер обязательных) положений ПП-1119 – Например, что такое «организация режима обеспечения безопасности помещений», «сохранность персональных данных», «электронный журнал сообщений» и т.п.
• Средства криптографической защиты персональных данных могут быть ТОЛЬКО сертифицированными
Соответствие уровней защищенности классам СКЗИ
Уровень защищенности
3-й тип угроз 2-й тип угроз 1-й тип угроз
4 КС1+ КС1+ КС1+
3 КС1+ КВ -
2 КС1+ КВ
1 - КВ КА
• В зависимости от совокупности предположений о возможностях, которые могут использоваться при создании способов, подготовке и проведении атак СКЗИ подразделяются на классы
Сертифицированная криптография Cisco
• Совместное решение Cisco и С-Терра СиЭсПи – Ведутся сертификационные испытания совместно с ИнфоТеКС
• Сертификат ФСБ по классам КС1/КС2/КС3 – На новой платформе КС1 (в данной момент)
– КС2 – конец года • Данная платформа может быть использована и для установки других сертифицированных средств защиты
ViPNet IDS (Intrusion Detection System)
Обнаружение компьютерных атак на основе динамического анализа сетевого трафика стека протоколов TCP/IP
Установление источников компьютерных инцидентов
Производить эвристический анализ по выявлению аномалий в сетевом трафике и в действиях пользователей ViPNet IDS.
Регистрация компьютерных атак (вторжений) в моменты времени, близкие к реальным, с уведомлением администратора
Автоматически передавать параметры ViPNet IDS в системы управления событиями ИБ в формате syslog или syslog (CEF)
Об изменении правил сертификации СКЗИ с конца 2013-го года
• Можно ли использовать сертифицированное криптоядро в составе VPN-решений? – Можно
• Будет ли такое решение сертифицированным? – Нет!!!
Что делать, если сертифицированной криптографии физически нет?
• Понятие конфиденциальности ПДн упоминают ст.6.3, ст.7 и 23.4 • Согласно ст.7 под конфиденциальностью ПДн понимается обязанность операторами и иными лицами, получивших доступ к персональным данным: – Не раскрывать ПДн третьим лицам – Не распространять ПДн без согласия субъекта персональных данных
– Если иное не предусмотрено федеральным законом • Оператор при обработке персональных данных обязан принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты персональных данных от неправомерного или случайного доступа к ним… – Ст.19
Как обеспечить конфиденциальность или защиту от ознакомления с ПДн?
• Получить согласие субъекта на передачу ПДн в открытом виде • Сделать ПДн общедоступными • Обеспечить контролируемую зону • Использовать оптические каналы связи при правильной модели угроз
• Использовать соответствующие механизмы защиты от НСД, исключая шифрование, например, MPLS или архивирование
• Переложить задачу обеспечения конфиденциальности на оператора связи
• Передавать в канал связи обезличенные данные • Использовать СКЗИ для защиты ПДн
Только 8-10% операторов использует СКЗИ
• РКН раньше на своем сайте, а портал госуслуг до сих пор вынуждает вас отказаться от конфиденциальности
• У вас есть выбор – или соглашаться, или нет
Ответ Роскомнадзора
Вы можете принудить субъекта отказаться от конфиденциальности его ПДн
Вы можете сделать ПДн общедоступными
• РЖД делает регистрационные данные пользователей своего сайта общедоступными
• РКН не против • Шифрование в таком случае не нужно
Вы можете правильно провести границу ИСПДн
Еще четыре сценария
• Обезличивание из персональных данных делает неперсональные • Они выпадают из под ФЗ-152 • Не требуется даже конфиденциальность
Обезличивание
• Оператор связи по закону «О связи» обязан обеспечивать тайну связи • Почему бы в договоре с оператором явно не прописать обязанность обеспечить конфиденциальность всех передаваемых данных, включая и ПДн
Оператор связи
• Снять информацию с оптического канала связи возможно, но непросто и недешево
• Почему бы не зафиксировать в модели угроз соответствующую мысль Оптика
• Для защиты от несанкционированного доступа на сетевом уровне могут применяться различные технологии; не только шифрование
• Например, MPLS, обеспечивающая разграничение доступа
Виртуальные сети
КРИТИЧЕСКИ ВАЖНЫЕ ОБЪЕКТЫ
Недавние и планируемые изменения по направлению КИИ / КСИИ / КВО / АСУ ТП
Что было
• Постановление Правительства №861 от 02.10.2013
• Приказ ФСТЭК №31 по защите АСУ ТП
Что будет
• Законопроект по безопасности критических информационных инфраструктур
• Законопроект о внесении изменений в связи с принятием закона о безопасности КИИ
• Подзаконные акты • Методические документы ФСТЭК
Новый приказ ФСТЭК №31
• «Об утверждении Требований к обеспечению защиты информации в автоматизированных системах управления производственными и технологическими процессами на критически важных объектах, потенциально опасных объектах, а также объектах, представляющих повышенную опасность для жизни и здоровья людей и для окружающей природной среды» – Ориентация на объекты ТЭК, транспортной безопасности, использования атомной энергии, опасных производственных объектов, гидротехнических сооружений
Смена парадигмы
• Принимаемые организационные и технические меры защиты информации должны обеспечивать доступность обрабатываемой в АСУ ТП (исключение неправомерного блокирования информации), ее целостность (исключение неправомерного уничтожения, модифицирования информации), а также, при необходимости, конфиденциальность (исключение неправомерного доступа, копирования, предоставления или распространения информации)
• Организационные и технические меры защиты информации должны быть согласованы с мерами по промышленной, физической, пожарной, экологической, радиационной безопасности, иными мерами по обеспечению безопасности АСУ ТП и управляемого (контролируемого) объекта и (или) процесса и не должны оказывать отрицательного (мешающего) влияния на штатный режим функционирования АСУ ТП
Ключевые отличия требований по ИБ КСИИ и АСУ ТП
• Объект защиты • Классификация АСУ ТП / КСИИ • Уровень открытости циркулируемой в АСУ ТП / КСИИ информации
• Парадигма (КЦД vs ДЦК) • Требования по защите • Требования по оценке соответствия • Участники процесса защиты информации
АСУ ТП – это подмножество КСИИ
Решения Cisco для индустриальных сетей
VPN
VDI
WSA
IPS
NGFW
FW
ISE
Level 5
Level 4
Level 3
Level 2
Level 1
Level 0
Level 3½
Enterprise Zone
DMZ
PCD /
Manufacturing Zone
PCN /
Cell / Area Zone
?
?
Поправки в связи с принятием закона о безопасности КИИ
• Поправки в УК РФ и УПК РФ – Внесение изменений в статьи 272, 274, 151 (УПК)
• Поправки в закон «О государственной тайне» – Сведения о степени защищенности и мерах безопасности объектов средней и высокой степени опасности
• Поправки в 294-ФЗ – Выведение из под порядка проведения проверок КИИ
• Поправки в 184-ФЗ – Исключение двойного регулирования
Что еще готовится в связи с законопроектом о безопасности КИИ?
• Определение ФОИВ, уполномоченного в области безопасности КИИ – Через 6 месяцев после принятия закона
• Постановления Правительства «Об утверждении показателей критериев категорирования элементов критической информационной инфраструктуры» – Принятие в течение 6 месяцев после определения ФОИВ, уполномоченного в области безопасности КИИ
• Постановление Правительства «Об утверждении порядка подготовки и использования ресурсов единой сети связи электросвязи для обеспечения функционирования и взаимодействия объектов КИИ»
• Приказ уполномоченного ФОИВ об утверждении требований по безопасности КИИ – Это не 31-й приказ!!!
Что еще готовится в связи с законопроектом о безопасности КИИ?
• Приказы уполномоченного ФОИВ об аккредитации, о представлении сведений для категорирования, о контроле/надзоре, о реестре объектов КИИ
• Приказ ФСБ об утверждении порядка реагирования на компьютерные инциденты и ликвидации последствий компьютерных атак на объектах КИИ
• Приказ ФСБ о перечне и порядке предоставлений сведений в СОПКА
• Приказ ФСБ о порядке доступа к информации в СОПКА • Приказ ФСБ об утверждении требований к техсредствам СОПКА • Приказ ФСБ об установке и эксплуатации техсредств СОПКА Приказ ФСБ о национальном CERT
• Приказ Минкомсвязи об условиях установки СОВ на сетях электросвязи
Планируемые методические документы ФСТЭК
• Применение «старых» документов ФСТЭК по КСИИ в качестве рекомендательных и методических – «Рекомендации…» и «Методика определения актуальных угроз…»
• Методичка по реагированию на инциденты (в разработке) • Методичка по анализу уязвимостей (в разработке) • Методичка по управлению конфигурацией (в разработке) • Методичка по аттестации (в разработке) • Методичка по мерам защиты в АСУ ТП (в разработке)
– По аналогии с «Мерами защиты в ГИС»
ГОСУДАРСТВЕННЫЕ ИНФОРМАЦИОННЫЕ СИСТЕМЫ
Недавние и планируемые изменения по направлению ГИС
Что было
• Приказ ФСТЭК №17 по защите информации в ГИС
• Методический документ по мерам защиты информации в государственных информационных системах
Что будет
• Порядок моделирования угроз безопасности информации в информационных системах
• Новая редакция приказа №17 и «мер защиты в ГИС»
• Методические и руководящие документы ФСТЭК
• Законопроекты о запрете хостинга ГИС за пределами РФ, о служебной тайне, по импортозамещению…
Что такое ГИС?
• В РФ существует множество различных классификаций информационных систем – Особенно для государственных органов и органов местного самоуправления
• В вопросе отнесения информационных систем госорганов к ГИС до сих пор остаются неясные моменты
• Требования по безопасности прописаны преимущественно в ПП-424 и приказе ФСТЭК №17 – Возможны и иные требования, специфичные для отдельных видов ИС
ГИС = создана в государственном
органе
ГИС = есть приказ о ее создании
(вводе в эксплуатацию)
ГИС = зарегистрирована
в реестре
Что еще есть кроме 17-го приказа?
• ИС организаций, подключаемых к инфраструктуре, обеспечивающей информационно-технологическое взаимодействие ИС, используемых для предоставления государственных и муниципальных услуг в электронной форме – Приказ Минкомсвязи от 9 декабря 2013 г. №390
• ИС общего пользования – ПП-424 + Приказ Минкомсвязи от 25 августа 2009 года №104 + Приказ ФСБ и ФСТЭК от 31 августа 2010 г. N 416/489
• ИС открытых данных – Приказ Минкомсвязи России от 27.06.2013 №149
• Сайты ФОИВ – Приказ Минэкономразвития России от 16.11.2009 №470
• ИС, предназначенные для информирования общественности о деятельности ФОГВ и ОГВ субъектов РФ (ИСИОД)
ФСТЭК планирует установить новые требования к средствам защиты
• ФСТЭК (2013-2015) – Требования к средствам доверенной загрузки (принят) – Требования к средствам контроля съемных носителей – Требования к средствам контроля утечек информации (DLP) – Требования к средствам аутентификации – Требования к средствам разграничения доступа – Требования к средствам контроля целостности – Требования к средствам очистки памяти – Требования к средствам ограничения программной среды – Требования к средствам управления потоками информации – Требования к МСЭ – Требования к средствам защиты виртуализации – ГОСТы по защите виртуализации и облачных вычислений – ГОСТ по защищенному программированию (SDLC)
У ФСТЭК большие планы по регулированию госорганов и муниципалов
Планируемые методические документы ФСТЭК
• Порядок аттестации распределенных информационных систем • Порядок обновления программного обеспечения в аттестованных информационных системах
• Порядок обновления сертифицированных средств защиты информации
• Порядок выявления и устранения уязвимостей в информационных системах
• Порядок реагирования на инциденты, которые могут привести к сбоям или нарушению функционирования информационной системы и (или) к возникновению угроз безопасности информации
• …
Единая методика моделирования угроз
• Методика определения угроз безопасности информации в информационных системах
• Распространяется на – ГИС / МИС – ИСПДн – КСИИ – АСУ ТП – Иные ИС и АС, в которых в соответствии с законодательством РФ и (или) требованиями заказчика должна быть обеспечена конфиденциальность, целостность и (или) доступность информации
• Исключает угрозы СКЗИ и ПЭМИН
НАЦИОНАЛЬНАЯ ПЛАТЕЖНАЯ СИСТЕМА
Недавние и планируемые изменения по направлению НПС/банковской тайны
Что было
• 382-П (3007-У) • 2831-У (3024-У) • 55-Т • 42-Т • 49-Т • 242-П • СТО БР ИББС 1.0 и 1.2 • Отмена РС 2.3 и 2.4 • Принятие новых РС 2.5 и 2.6
Что будет
• Новая редакция 382-П (3361-У)
• Новые РС • Требования для организаций финансового рынка (ФСФР)
• Банковский CERT • Отраслевая модель угроз ПДн
Указание 3361-У
• Утверждено 14 августа 2014 • Опубликовано в «Вестнике Банка России» №83 17 сентября
• Вступает в силу с 16 марта 2015 года
Важные изменения в 382-П
• Основные изменения – Требования к обеспечению защиты информации при осуществлении переводов денежных средств с применением банкоматов и платежных терминалов, с использованием систем Интернет-банкинга, мобильного банкинга
– Требования к использованию платежных карт, оснащенных микропроцессором
– Требования к обеспечению ИБ жизненного цикла платежных приложений
Что планирует Банк России в новой версии СТО?
• СТО БР ИББС 1.0 (5-я версия) – Принятие Банком России произошло путем подписания распоряжения Банка России от 17 мая 2014 года № Р-399 и № Р-400
– Вступил в силу с 01.06.2014 • С 1-го июня отменены предыдущие версии СТО 1.0 и 1.2, а также РС 2.3 (защита ПДн) и 2.4 (отраслевая модель угроз)
Также Банк России принял
• Четвертая редакция стандарта Банка России «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Методика оценки соответствия информационной безопасности организаций банковской системы Российской Федерации требованиям СТО БР ИББС-1.0-2014»
С 01.06.14
• Рекомендации в области стандартизации Банка России «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Менеджмент инцидентов информационной безопасности»
С 01.06.14
• Рекомендации в области стандартизации Банка России «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Обеспечение информационной безопасности на стадиях жизненного цикла автоматизированных банковских систем»
С 01.09.14
Планируемые изменения по направлению СТО БР ИББС в 2015-2016-м годах
• Проекты новых РС – Проект РС по ресурсному обеспечению информационной безопасности
– Проект РС по виртуализации – Проект РС по предотвращению утечек информации
• Пересмотр «старых» документов СТО • СТО 1.1, РС 2.0, 2.1 и 2.2 • Разработка новых РС
– Противодействие мошенничеству – Облачные технологии и аутсорсинг – Распределение ролей
74
Архитектура защиты НПС с помощью решений Cisco
Сервер процессинга
Допофис / отделение Периметр Интернет
ISR Catalyst
ASA
6500 ASA SM
OpenSOC
ISE
Главный офис
Nexus WAP
Интернет- банк
ASA
ASR
CTD
WAP
POS-терминал Мобильный POS
Киоск
ПК банковского работника
Блок управления
ЦОД
MDM
WAP Internet
Беспроводное устройство
FireSIGHT
ASA
Процессинг
Платежный сегмент ATM
Какие решения Cisco могут быть применены для защиты НПС?
• Банк России не устанавливает конкретных и детальных требований по выбору технических или организационных мер, реализующих статьи Положения 382-П – Участники НПС вправе самостоятельно определять средства защиты
– Любые решения Cisco могут быть применены для защиты участников НПС и реализации требований 382-П
• Требований по применению сертифицированных СЗИ нет – Криптография может быть любой – сертифицированной или нет – СТО БР ИББС рекомендует использовать СКЗИ КС2+
Пример применения решений Cisco
Требование Пункт 382-П
Решение Cisco
Идентификация, аутентификация и авторизация работников и участников платежной системы
2.6.3 Cisco Identity Service Engine
Реализация запрета несанкционированного расширения прав доступа к защищаемой информации
2.6.4 Cisco Identity Service Engine
Фильтрация сетевых пакетов при обмене информацией между вычислительными сетями, в которых располагаются объекты информационной инфраструктуры, и сетью Интернет
2.8.1 Cisco ASA 5500-X Cisco IOS Firewall Cisco ASA SM для Catalyst 6500
Пример применения решений Cisco
Требование Пункт 382-П
Решение Cisco
Снижение тяжести последствий от воздействий на объекты информационной инфраструктуры с целью создания условий для невозможности предоставления услуг по переводу денежных средств или несвоевременности осуществления переводов денежных средств
2.8.1 Cisco Validated Design Cisco SAFE
Учет и контроль состава установленного и (или) используемого на средствах вычислительной техники программного обеспечения
2.10.1 Cisco Identity Service Engine Cisco NAC
Пример применения решений Cisco
Требование Пункт 382-П
Решение Cisco
Применение организационных мер защиты информации и (или) использование технических средств защиты информации, предназначенных для предотвращения несанкционированного доступа к защищаемой информации на объектах информационной инфраструктуры с использованием сети Интернет
2.8.1 Cisco FirePOWER Cisco ASA with FirePOWER Services Cisco Wireless IPS
Аутентификация входных электронных сообщений
2.10.4 Cisco Email Security Appliance
Письмо 49-Т от 24.03.2014
• Детализирует требования 382-П (или СТО БР ИББС) в части защиты от вредоносного кода
• Предполагает применение следующих решений Cisco – Cisco AMP for XXX – Cisco Cyber Threat Defense – Cisco OpenSOC – Cisco FireSIGHT – Cisco ISE – Cisco TrustSec
ОПЕРАТОРЫ СВЯЗИ
Недавние и планируемые изменения по направлению ССОП
• Закон «О внесении изменений в отдельные законодательные акты Российской Федерации по вопросам регулирования отношений при использовании информационно-телекоммуникационной сети Интернет» и ФЗ-139 «О защите детей от негативной информации»
• Постановление Правительства №611 от 15.04.2013 «Об утверждении перечня нарушений целостности, устойчивости функционирования и безопасности единой сети электросвязи РФ»
• Иных требований по информационной безопасности на операторов связи пока не планируется
• Все изменения касаются контроля Интернет – Антипиратский закон, контроль социальных сетей, Единая система аутентификации (ЕСИА), запрет анонимайзеров, регулирование Интернет-компаний как организаторов распространения информации, регулирование облачных вычислений и т.п.
В КАЧЕСТВЕ ЗАКЛЮЧЕНИЯ
Нас ждет непростой 2015-й год
• Рост числа нормативных актов с требованиями по информационной безопасности
• Усиление ответственности за невыполнение требований по ИБ – Включая уголовную и крупные штрафы
• ФСТЭК унифицирует свои требования по защите информации, но отличия все равно остаются – В части оценки соответствия
• Компания Cisco обладает полным набором технических решений по реализации требований нормативных актов – ПДн, АСУ ТП, ГИС/МИС, НПС, операторы связи
• Cisco активно сертифицирует свои решения по требованиям безопасности ФСТЭК и ФСБ – В ближайшее время планируется ряд новых анонсов по оценке соответствия
Дополнительная информация
© Cisco и (или) дочерние компании, 2011 г. Все права защищены. Общедоступная информация Cisco BRKSEC-1065 86
Спасибо Пожалуйста, заполните анкеты #1153