Защищенные сети без границ – подход cisco

1/38 © Cisco, 2010. Все права защищены.

Защищенные сети без границ – подход Cisco

Алексей Лукацкий, бизнес-консультант по безопасности

© Cisco, 2010. Все права защищены. 2/99

Смена ожиданий бизнеса в отношении информационной безопасности


Вирус Шпионское

ПО

Malware

(трояны,

кейлоггеры,

скрипты)

Эксплоиты

Исследования

NSS LAB

показывают, что

даже лучшие

антивирусы и

Web-шлюзы не

эффективны

против

современных

угроз

Вредоносные

программы

воруют уже не

ссылки на

посещаемые

вами сайты, а

реквизиты

доступа к ним

Web и социальные

сети все чаще

становятся

рассадником

вредоносных

программ, а также

инструментом

разведки

злоумышленников

Вредоносные

программы

используют для

своих действий

неизвестные

уязвимости (0-Day,

0-Hour)


Массовое

заражение Полимор-

физм

Фокус на

конкретную

жертву

Передовые

и тайные

средства

(APT)

Злоумышленников

не интересует

известность и

слава – им важна

финансовая

выгода от

реализации угрозы

Современные угрозы

постоянно меняются,

чтобы средства

защиты их не

отследили –

изменение

поведения, адресов

серверов управления

Угрозы могут быть

разработаны

специально под вас –

они учитывают вашу

инфраструктуры и

встраиваются в нее, что

делает невозможным

применение

стандартных методов

анализа

Угрозы становятся

модульными,

самовосстанавлива-

ющимися и

устойчивыми к

отказам и

обнаружению

Cisco Confidential 6 © 2010 Cisco and/or its affiliates. All rights reserved.

Устойчивые, сложные, мутирующие

Каждый экземпляр атаки может отличаться от другого

Домены меняются ежедневно, даже ежечасно

Контент мутирует и маскируется под легальный трафик

80% спама исходит от инцифицированных клиентов

70% «зомби» используют динамические IP-адреса

Угрозы из легальных доменов растут на сотни процентов в год

Спам составляет более 180 миллиардов сообшений в день


• 51% пользователей имеет обычно 1-4 пароля ко всем своим учетным записям


Malware

40% потерь в производительности

в связи с использованием web для личных нужд во время работы

Риск нарушения законодательства когда запрещенный контент загружается

пользователями

Нарушения

правил

использования

Утечки данных


• Взломанные web-узлы отвечают за распространение более 87% всех Web-угроз сегодня

• Более 79% web-узлов с вредоносным кодом легитимные**

• 9 из 10 web-узлов уязвимы к атакам**

• Cross-site Scripting (XSS) и SQL Injections лидируют в числе разных методик взлома

-Cross-Site Scripting (7 их10 узлов)**

-SQL Injection (1 из 5)**

*Source: IronPort TOC

**Source: White Hat Security, Website Sec Statistics Report 10/2007 & PPT 8/2008


• Botnets настраиваются и внедряют malware в web-узлы с помощью SQL Injections используя уязвимости в web-приложениях

• Хакеры используют SQL Injections для вставки JavaScript iFrames, которые перенаправляют пользователей на web-сайты, на которых хостится malware


DNS Poisoning

Взломанные сайты

* Source: Cisco Threat Operations Center

Социальная инженерия

Простое посещение сайта может инфицировать компьютер пользователя

Ответствены на 87% всех web-угроз*

Категория: Новости

Актуальный контент, содержащий общественный интерес

Социальная инженерия заставляет пользователей отключать защиту на десктопе

Категория: Правительство


• Ссылка размещается (или посылается от имени) на взломанной учетной записи социальной сети

• Эта ссылка отсылает вас на сайт с «потрясным» видео, которое просит установить вас последнюю версию Flash player или отсутствующий кодек


Мотивация

Метод

Фокус

Средства

Результат

Тип

Цель

Агент

Известность

Дерзко

Все равно

Вручную

Подрыв

Уникальный код

Инфраструктура

Изнутри

Деньги

Незаметно

Мишень

Автомат

Катастрофа

Tool kit

Приложения

Третье лицо


Разработчики Посредники Атаки второй волны

Создание ботнетов

$$$ Финансовые потоки $$$

Черви

Шпионское ПО

Инструменты атак

Вирусы

Трояны

Вредоносное ПО

Атаки первой волны

Заражение

Прямая атака от хакера

Продажа информации

Рассылка Спама

Фишинг/ Сбор информации

DDoS

Атака на отдельные системы и

приложения

Результат

Мошенничество

Реклама

Мошеннические продажи

Накручивание кликов

Шпионаж

Слава

Месть

Вымогательство

Управление ботнетом:

Аренда, продажа

Кража информации

Фарминг, DNS Poisoning


• Партнерская сеть по продаже scareware

• Партнеры загружают scareware на зараженные компьютеры и получают комиссию 60% c продаж

• Объем продаж за десять дней $147K (154 825 установки и 2 772 продажи)

• $5M в год

Источник: http://www.secureworks.com/research/threats/rogue-antivirus-part-2/?threat=rogue-antivirus-part-2

Статистика продаж Bakasoftware за 10 дней


Веб-страницы создаются из объектов, которые находятся на разных источниках

Объекты – это изображения, html-код, JavaScript…

Trusted Web Site Client PC Web servers not affiliated

with the trusted web site

(e.g. ad servers)

Web Reputation Filters

Scan each object, not just

the initial request

Скомпрометированные узлы берут вредоносное содержимое из внешних источников

Безопасность – это просмотр каждого объекта в отдельности, а не только первоначального запроса.


1. Адресов в браузере: 1

2. HTTP запросов: 162

3. Изображений: 66 с 18 разных доменов

4. Скриптов: 87 с 7 доменов

5. Cookie: 118 с 15 доменов

6. Flash объектов: 8 c 4 доменов


• Эффективна ли защита рабочих станций основанная только на антивирусном ПО?

• Способен ли МСЭ проверять содержимое?

• Как технические средства помогут бороться с атаками с применением социальной инженерии?


1. Непрерывно повышайте свою осведомленность

2. Не гонитесь за новинками – решите «старые» задачи

3. Обучите персонал вопросам ИБ — и вовлеките их в сам процесс

4. Помните, что безопасность сегодня не ограничивается одним периметром / границей

5. Безопасность – это часть вашего бизнеса


Аутсорсинг Виртуализация Мобильность Web 2.0 Облака Социальные

сети


7 млрд новых беспроводных устройств к 2015 г.

50% предприятий-участников

опроса разрешают использовать личные

устройства для работы

40% заказчиков планируют внедрить

распределенные сетевые сервисы («облака»)

К 2013 г. объем рынка «облачных вычислений» составит 44,2 млрд

долларов США

―Энтузиасты совместной работы‖ в среднем

используют 22 средства для общения с коллегами

45% сотрудников нового поколения пользуются социальными сетями

Украденный ноутбук больницы: 14 000 историй болезни

Более 400 угроз для мобильных устройств,

к концу года – до 1000

становятся причинами появления новых угроз

Skype = возможность вторжения

Системы IM могут обходить механизмы защиты

Новые цели атак: виртуальные машины и гипервизор

Отсутствие контроля над внутренней виртуальной сетью

ведет к снижению эффективности политик безопасности


66% 45% 59% 45% 57%

Согласятся на

снижение

компенсации

(10%), если

смогут работать

из любой точки

мира

Готовы

поработать на

2-3 часа в день

больше, если

смогут сделать

это удаленно

Хотят

использовать

на работе

личные

устройства

ИТ-

специалистов

не готовы

обеспечить

бóльшую

мобильность

сотрудников

ИТ-специалистов

утверждают, что

основной задачей

при повышении

мобильности

сотрудников

является

обеспечение

безопасности


21% 64% 47% 20% 55%

Людей

принимают

«приглашения

дружбы» от

людей, которых

они не знают

Людей не думая

кликают по

ссылкам,

присылаемым

«друзьями»

Пользователей

Интернет уже

становились

жертвами

заражений

вредоносными

программами

Людей уже

сталкивалось с

кражей

идентификаци

онных данных

Людей были

подменены с

целью получения

персональных

данных


«Заплаточный» подход к защите – нередко

в архитектуре безопасности используются

решения 20-30 поставщиков

Непонимание смены ландшафта угроз

Концентрация на требованиях регулятора в

ущерб реальной безопасности

Неучет и забывчивость в отношении новых

технологий и потребностей бизнеса


Противодействие вредоносным воздействиям

Защита ресурсов

Соответствие нормативным требованиям

Поддержание работы критически важных сервисов

Экономическая эффективность

Мониторинг пользователей, устройств, операций

ТРЕБУЕТСЯ АРХИТЕКТУРНЫЙ ПОДХОД


Безопасность сети

Контроль доступа

Защищенная мобильность

Защищенные «облака» и виртуализация

Безопасность контента

• МСЭ

• IPS

• VPN

• Управление

безопасностью

• Виртуальные

решения

• Модули

обеспечения ИБ

• Управление

политиками

• 802.1x

• NAC

• Оценка состояния

• Профилирование

устройств

• Сервисы

идентификации

• Конфиденциальность

• VPN

• Мобильный

защищенный клиент

• IPS для

беспроводных сетей

• Удаленный сотрудник

• Виртуальный офис

• Защита мобильности

• Защита

электронной почты

• Обеспечение


web-трафика

• «Облачные»

сервисы

обеспечения


контента

Глобальный анализ угроз: SIO


Глобальные сложные угрозы

Высокая сложность

Многовекторные атаки –

ни одна не похожа на

другую

Необнаруженное

вредоносное ПО

Отключается системы ИБ,

крадет данные, открывает

удаленный доступ к системе

Надежность защиты

ограничивается

сигнатурными методами

и поиском по локальным

данным

ПРОБЛЕМА

РИСК: РИСК: РИСК: РИСК ВЫСОКИЙ ВЫСОКИЙ СРЕДНИЙ

Поддельные сайты Microsoft Update

KOOBFACE «Сбор средств

на восстановление Гаити»


Глобальный мониторинг

Крупнейшая система

анализа угроз – защита от

многовекторных атак

Более 700K сенсоров 5 млрд

Web-запросов/день

35% мирового Email-трафика

Телеметрия угроз оконечным

устройствам

Анализ репутации,

спама, вредоносного ПО

и категорий URL,

классификация

приложений

РЕШЕНИЕ CISCO

ISP, партнеры,

сенсоры

IPS ASA WSA

SIO ГЛОБАЛЬНЫЙ ЦЕНТР Исследователи, аналитики, разработчики

ESA

Бюллетени

об устранении

угроз

Исследователи,

аналитики,

разработчики

ESA

Cisco AnyConnect


Внешние и внутренние угрозы

Внутренние угрозы Внешние угрозы

Ботнеты

Масштабирование

производительности и

своевременное

распространение

обновлений

Отсутствие глобальной

информации об угрозах и

контекстной информации

для обеспечения надежной

защиты

Слабая координация

действий систем

обеспечения ИБ и

сетевого оборудования

ПРОБЛЕМА

ВПО


Защита от угроз


КТО

ЧТО

ГДЕ

КОГДА

КАК Политика с учетом контекста

IPS

WSA

ASA

ESA

СЕТЬ

Полномасштабное

решение: ASA, IPS,

«облачные» сервисы

защиты web-трафика и

электронной почты

Политика с учетом

контекста точнее

соответствует бизнес-

потребностям в сфере ИБ

Простота

развертывания и

обеспечения защиты

распределенной среды


Multi-Service

(Firewall/VPN и IPS)

Pe

rfo

rman

ce a

nd

Sca

lab

ility

Data Center Campus Branch Office SOHO Internet Edge

ASA 5585 SSP-60 (40 Gbps, 350K cps)




ASA 5540 (650 Mbps,25K cps)



ASA 5505 (150 Mbps, 4K cps)

ASA 5550 (1.2 Gbps, 36K cps)

ASA 5580-20 (10 Gbps, 90K cps)

ASA 5580-40 (20 Gbps, 150K cps)

NEW

NEW

NEW

NEW


ASA 5585-X

IPS SSP-10 IPS SSP-20 IPS SSP-40 IPS SSP-60

Processor Yes Yes Yes

(Dual CPU)

Yes

(Dual CPU)

Maximum Memory 6 GB 12 GB 24 GB 48 GB

Maximum Storage 2 GB eUSB 2 GB eUSB 2 GB eUSB 2 GB eUSB

Ports

2 x SFP+

8 x 1GbE Cu

2 x 1GbE Cu Mgmt

2 x SFP+

8 x 1GbE Cu

2 x 1GbE Cu Mgmt

4 x SFP+

6 x 1GbE Cu

2 x 1GbE Cu Mgmt

4 x SFP+

6 x 1GbE Cu

2 x 1GbE Cu Mgmt


Показатель FCS

Производительность шасси 64 Гбит/сек

Производительность модуля 16 Гбит/сек

Одновременных сессий 10M

Новых соединений в секунду 350K

Контекстов безопасности 250

VLANs 1K


2011

Приложения

Контент

Состояние

Местоположение

Репутация

Identity

TrustSec

CSC Enhancements

1H 2011 2H 2011

Cisco ASA: Context Aware Firewall

Версия ПО ASA 8.4.3 ―Falcon‖ Module


Мобильным сотрудникам

требуется доступ к

сетевым и «облачным»

сервисам

На разнообразных

пользовательских

устройствах используются

как пользовательские, так и

корпоративные профили

Кража/утеря устройств –

высочайший риск утери

корпоративных данных и

нарушения нормативных

требований

462 млн

ПРОБЛЕМА


Поддержка любых пользователей и любых устройств

Единственный в отрасли

унифицированный клиент;

постоянная защита

Поддержка широкого спектра

устройств: Windows XP/7,MAC

OSX, Linux, Apple iOS (iPhone и

iPad), Nokia Symbian, Webos,

Windows Mobile, Android* (скоро)

Защищенные подключения

Сквозное шифрование

(MACsec)

Использование ScanSafe


ASA WSA ISR Коммутаторы

доступа

Cisco AnyConnect

Внутренние, «облачные», социальные приложения

http://aws.amazon.com/


• Клиент IPSec/SSL/DTLS VPN

Client/Clientless

• Контроль защищенности

• Location-Specific Web Security

На периметре (Ironport WSA) или через облако (ScanSafe)

• Защищенный доступ в облако через SSO

• Контроль сетевого доступа

802.1X Authentication and Posture

MACsec encryption

Cisco TrustSec devices (план)

• Windows, Mac, Linux, Windows Mobile, Apple iOS, Palm, Symbian, Android (план), Cius (план), Windows Phone (план)

Internet-Bound Web Communications

ScanSafe


Доступ с любого устройства

Учет результатов

идентификации и ролевая

модель контроля доступа

Гостевой доступ

Обеспечение

выполнения политик: от

пользовательских

устройств до ЦОД

Защита

конфиденциальности

в рамках всей сети

ПРОБЛЕМА

ОФИС КАФЕ


Контроль доступа

Согласованная политика

на основании результатов

идентификации на всех

уровня – от устройства до

ЦОД – в соответствии с

бизнес-потребностями

Распространение сведений

о политиках и

интеллектуальных

механизмов по сети

Метки групп безопасности

позволяют обеспечить

масштабируемое

применение политик

с учетом контекста


Решения на основании состояния 1. Разрешение/блок в соответствии с политикой

2. Авторизованным устройствам назначаются

метки политики

3. Теги политики учитываются при работе в сети

VPN

ЦОД

Виртуальные машины в ЦОД

ОК

СТОП

КТО

ЧТО

ГДЕ

КОГДА

КАК ? ? ?

MACSec


NAC Manager NAC Server

NAC Profiler

NAC Guest Server

NAC Collector Standalone appliance

or licensed as a module on NAC Server

Access Control Solution

ISE

Identity &

Access Control

Identity & Access

Control + Posture

Device Profiling &

Provisioning +

Identity Monitoring

Guest Lifecycle

Management


Ограниченность числа

ИТ-специалистов и

специалистов по ИБ в

филиале, рост затрат

Использование SaaS-решений и

«облачных» систем приводит к

раздельному туннелированию

трафика — новые проблемы


Нормативные

требования

Удаленный сотрудник

Филиал

ПРОБЛЕМА

ЦОД

Центральный

офис SaaS

Интернет


VPN (IPSEc, GET VPN,

DMVPN, SSL), МСЭ, IPS,

клиент ScanSafe

Лучшие показатели ROI

(простота, согласованность,

интеграция), снижение затрат и

повышение производительности

при раздельном туннелировании

Оптимизация работы

приложений в WAN

WLAN/WAN

Ethernet-коммутатор

Интегрированный сервер

Все функции для защиты филиала

Лучшие показатели ROI

(реплицируемые)

Безопасность + оптимизация

работы приложений

$

+

ISR G2


Центральный

офис


Новые проблемы

безопасности,

отсутствие систем

мониторинга «облака»

Совершенно новые

технологии, отсутствие

согласованности

Высокие требования

к масштабированию

ПРОБЛЕМА


Высокопроизводи-

тельные устройства

обеспечения ИБ

для ЦОД

Унификация систем защиты

физических и виртуальных

сред; тонки настройки

основанной на зонах политики

с учетом контекста

Распространение политик

Безопасная работа с приложениями

Поддержка Vmotion

Защищенная сегментация VM

Защищенная сегментация «облака»


Nexus 1000v

Cisco ASA

Сенсоры IPS

ЗАЩИЩЕННЫЕ

ЧАСТНЫЕ «ОБЛАКА» ЗАЩИЩЕННЫЕ

ОБЩЕДОСТУПНЫЕ «ОБЛАКА»

Cisco Virtual Security Gateway

ЗАЩИЩЕННЫЕ

ГИБРИДНЫЕ «ОБЛАКА»


Virtualization

Security

V-Motion (Memory)

V-Storage (VMDK)

VM Segmentation

Hypervisor Security

VM Sprawl

Patch Management

VM OS Hardening

Role Based Access

Physical Security

Virtual Security Gateway на

Nexus 1000V с vPath


Профиль компании:

Основана в 2004г.

Пионер и мировой лидер в области SaaS услуг Web безопасности

Клиенты - от SMB до Large Enterprise в более чем 100 странах

100% Uptime за всю историю предоставления услуги

Является подразделением Cisco с Декабря 2009г.

На момент приобретения - 80% продаж через операторов связи

Customers

Security product of the year 2008

Awards

Partners


• В июне мы выпустили новую брошюру

../../Documents/Разработанные/New_Cisco_Security_Soltions.pdf


Необходимо защитить Все устройства: планшетные устройства, смартфоны

Новые системы для совместной работы и платформы социальных сетей

Данные, передающиеся в «облако»

Среды ЦОД и виртуализации настольных систем


Требуется НОВЫЙ подход к обеспечению безопасности


Большое количество регуляторов

Легитимный ввоз криптографии в соответствие

с правилами Таможенного союза

Использование легитимной криптографии

Требования сертификации

Собственные отраслевые стандарты

Ориентация на продукты отечественного

производства


ИБ

ФСТЭК

ФСБ

Минком-связь

МО

СВР

ФСО

ЦБ

PCI

Council

Газпром-

серт

Энерго-

серт

РЖД

Рос-

стандарт


ISO 15408:1999 («Общие критерии») в России

(ГОСТ Р ИСО/МЭК 15408) так и не заработал

Перевод СоДИТ ISO 15408:2009 – судьба

неизвестна ;-(

ПП-608 разрешает признание западных

сертификатов – не работает

ФЗ «О техническом регулировании» разрешает

оценку по западным стандартам – не работает

ПП-455 обязывает ориентироваться на

международные нормы – не работает


РД ФСТЭК

15408

СТР-К Четверокнижие

по ПДн

КСИИ

СТО БР ИББС Коммерческая

тайна

PCI DSS

ГОСТ Р ИСО 17799:2005

…

Контроль доступа (мандатный/

дискреционный) VLAN VPN

Биллинг ОС (одноуровневые/

многоуровневые) СУБД IDS

Электронные замки

Настройка МСЭ Контроль паролей

Защита данных держателей карт Шифрование в канале связи

Обновление антивируса Защита приложений

Разграничение доступа Идентификация и аутентификация

Физический доступ Регистрация действий Анализ безопасности

Документальное сопровождение

Разграничение доступа Изоляция процессов Управление потоками

Межсетевое экранирование Идентификация/аутентификаци

я Регистрация действий

Реакция на НСД Очистка памяти

Тестирование функций защиты Учет и маркировка носителей

Контроль целостности

Защита от утечек по техническим каналам Документальное оформление

Физическая безопасность Регистрация действий Разграничение доступа

Учет и маркировка носителей Резервирование

Антивирусная защита Защита ЛВС

Защита внешнего взаимодействия СУБД

Система управления Документальное сопровождение Управление жизненным циклом

Разграничение доступа Регистрация действий Антивирусная защита

Защита внешнего взаимодействия Защита e-mail и архив почты

Криптография Платежные процессы

Технологические процессы

Разграничение доступа Регистрация действий

Учет носителей Обеспечение целостности

Межсетевое взаимодействие Отсутствие НДВ

Антивирусная защита Анализ защищенности

Обнаружение вторжений BCP

Реагирование на инциденты Оценка рисков

Повышение осведомленности Аудит

Защита коммуникаций

Документальное сопровождение Защита от утечек по техническим

каналам Антивирусная защита

Обнаружение вторжений Разграничение доступа Регистрация действий

Учет и маркировка носителей Обеспечение целостности

Межсетевое взаимодействие Криптографическая защита

Ловушки Сканеры защищенности

Защита от утечек по техническим каналам Разграничение доступа

Межсетевое взаимодействие VPN

Аутентификация и идентификация Криптозащита

Шифрование информации ЭЦП

Пакетное шифрование Стеганография

Регистрация действий Сигнализация

Обнаружение вторжений Защита от ПМВ

Защита от сбоев, отказов и ошибок Обеспечение целостности и надежности Тестирование и контроль безопасности

Политика безопасности Организация ИБ

Управление активами Безопасность HR

Физический доступ Безопасность окружения

Управление средствами связи Контроль доступа

Приобретение, разработка и обслуживание ИС Управление инцидентами

BCP Соответствие требованиям


•Разграничение доступа (+ управление потоками)

•Идентификация / аутентификация

•Межсетевое взаимодействие

•Регистрация действий

•Учет и маркировка носителей (+ очистка памяти)

•Документальное сопровождение

•Физический доступ

•Контроль целостности

•Тестирование безопасности

•Сигнализация и реагирование

•Контроль целостности

•Защита каналов связи

•Обнаружение вторжений

•Антивирусная защита

•BCP

•Защита от утечки по техническим каналам

Общие

•Защита специфичных процессов (биллинг, АБС, PCI…)

•Защита приложений (Web, СУБД…)

•Нестандартные механизмы (ловушки, стеганография) Специфичные


КО PCI DSS

ФЗ-152

ФСБ

СТО БР ИББС 1.0

Росинформ-технологии

Национальная платежная

система

Фин-Мониторинг


• Персональные данные Отраслевые стандарты НАПФ, НАУФОР, Тритон, РСА, Минздрав…

• Финансовая отрасль PCI DSS

СТО БР ИББС-1.0

ФЗ «О национальной платежной системе»

• Критически важные объекты

• Электронные госуслуги

• Новый ФЗ о лицензировании

• И др.


ПК127 ПК3 ТК362 КЦ

АРБ

РГ

ЦБ

«Безопасность

ИТ»

(представитель

ISO SC27 в

России)

«Защита

информации в

кредитно-

финансовых

учреждениях»

«Защита

информации»

при ФСТЭК

Консультации

банков по

вопросам ПДн

Разработка

рекомендаций по

ПДн и СТО БР

ИББС v4


• WP по защите персональных данных

• WP по соответствию СТО Банка России

• И др.


ФСТЭК ФСБ МО СВР

Все, кроме

криптографии

СКЗИ

МСЭ

Антивирусы

IDS

BIOS

Сетевое

оборудование

Все для нужд

оборонного ведомства

Тайна, покрытая

мраком

Требования

открыты Требования закрыты (часто секретны). Даже лицензиаты

зачастую не имеют их, оперируя выписками из выписок

А еще есть 3 негосударственных системы сертификации СЗИ – ГАЗПРОМСЕРТ,

«АйТиСертифика» (ЕВРААС) и Ecomex


Единичный экземпляр

Партия Серия

Дата выпуска: 12 декабря 2010 года

CRC: E6D3A4B567

Место производства: Ирландия,

Дублин

Смена: 12

Версия ОС: 8.2

Производительность: 30 Гбит/сек

Дата выпуска: 12 декабря 2010 года

CRC: E6D3A4B567

Место производства: Ирландия,

Дублин

Смена: 12

Версия ОС: 8.2

Производительность: 30 Гбит/сек

Cisco ASA 5585-X Cisco ASA 5585-X


Единичный экземпляр

Партия Серия

Основная схема для

западных вендоров

Оценивается конкретный

экземпляр (образец)

Число экземпляров – 1-2


западных вендоров

Оценивается

репрезентативная выборка

образцов

Число экземпляров – 50-

200


российских вендоров

Оценивается образец +

инспекционный контроль за

стабильностью характеристик

сертифицированной

продукции

Число экземпляров -

неограничено


Россия

Партнер #1

ПАРТНЕРЫ

СISCO

Партнер #2

Партнер #3

Kraftway Corporation PLC

&

AMT

ФСТЭК

Оборудование с

сертификатами

ФСТЭК

Оборудование без

сертификации по

требованиям

ФСТЭК Дистрибуторы

Cisco Systems,

Inc

Партнер #N

производство по

требованиям ФСТЭК

сертификационный

пакет ФСТЭК

Производство за

пределами России

© Cisco, 2010. Все права защищены. 82/99 82

0

1

2

3

4

5

6

7

8

Число нормативных актов с требованиями сертификации по требованиям безопасности

* - для 2011 – предварительная оценка проектов новых нормативных актов (ФЗ ―О национальной

платежной системе‖, ФЗ ―О служебной тайне‖, новые приказы ФСТЭК/ФСБ и т.д.)


Дорого Необязательно Невозможно Отвечает

потребитель

От нескольких

сотен долларов

(при сертификации

серии) до

несколько

десятков тысяч

долларов

Исключая гостайну и

СКЗИ разработка и

продажа средств

защиты возможна и без

сертификата

А западные вендоры и

так сертифицированы

во всем мире

Западные

производители не

ведут в России

коммерческой

деятельности и не

могут быть

заявителями

По КоАП

ответственность

лежит на

потребителе


500+ ФСБ НДВ 28 96

Сертификатов

ФСТЭК на

продукцию Cisco

Сертифицировала

решения Cisco

(совместно с С-

Терра СиЭсПи)

Отсутствуют в

ряде

продуктовых

линеек Cisco

Линеек

продукции

Cisco прошли

сертификацию

по схеме

«серийное

производство»

Продуктовых

линеек Cisco

сертифицированы

во ФСТЭК


• FAQ по сертифицированному производству

• Регулярно обновляемый список сертификатов

• И др.


Ввоз и использование шифровальных

средств – это два разных

законодательства

Разделение ввозимой

криптографии по длинам ключей и

сферам применения (с 01.01.2010)

Нотификации vs. ввоза по лицензии

Минпромторга (после получения разрешения ФСБ)

Cisco не только ввозит свое оборудование легально, но и

планирует запустить производство оборудования в России


• FAQ по импорту

• Рекомендации по составлению заявления в ФСБ на ввоз шифровальных средств

../../Documents/Разработанные/Import_FAQ-SSn-02.pdf


Позиция регулятора (ФСБ) –

использование VPN-решений на

базе отечественных

криптоалгоритмов

Встраивания криптоядра

достаточно для прикладных систем и недостаточно для

VPN-продуктов (разъяснение ФСБ)

Важно знать, что написано в

формуляре на СКЗИ – часто явно

требуется сертификация в

ФСБ

Cisco и С-Терра СиЭсПи имеют сертификат ФСБ на целостное решение для Cisco ISR G2 и

Cisco UCS C-200


• WP по криптографии

• Ролики на YouTube

• www.cisco.ru/go/rvpn

../../Documents/Разработанные/Cisco_Russian_Crypto_DS_PRINT.pdf


• Компаниями Cisco и С-Терра СиЭсПи разработаны VPN-решения, поддерживающие российские криптоалгоритмы на базе оборудования Cisco

• Сертификат ФСБ СФ/114-1622, 114-1624, 124-1623, 124-1625, 124-1626 от 28 февраля 2011 года

Сертификат по классу КС2 на оба решения

Решение для удаленных офисов

• На базе модуля для ISR G1 и G2 (2800/2900/3800/3900)

Решение для ЦОД и штаб-квартир

• На базе UCS C-200


• Листовка по RVPN

• Листовка по UCS с VPN

• Ролики на YouTube

• www.cisco.ru/go/rvpn


Безопасность в России и во всем мире –

две большие разницы

ИТ-безопасность и информационная

безопасность – не одно и тоже

Нужно осознавать все риски

Необходимо искать компромисс

Не закрывайтесь – контактируйте с

CISO, регуляторами, ассоциациями…


Антивирусный модуль от Лаборатории Касперского в Cisco ISR G2

Интеграция с MaxPatrol от Positive Technologies

Интеграция с Traffic Monitor от Infowatch

Интеграция с Дозор-Джет от Инфосистемы Джет

Антивирусный движок от Лаборатории Касперского в сервисе облачной безопасности ScanSafe

Интеграция с VPN-решениями С-Терра СиЭсПи

Поддержка Dr.Web, Лаборатории Касперского в решениях Cisco NAC Appliance

1

2

3

4

5

6

7


Лидер мирового рынка сетевой безопасности. Обширное портфолио продуктов и услуг. Тесная интеграция с сетевой инфраструктурой. Архитектурный подход

Поддержка и защита самых современных ИТ. Контроль качества. Исследования в области ИБ. Обучение и сертификация специалистов. Собственное издательство Сертификация на соответствие российским требованиям по безопасности. Сертифицированная криптография. Сертификация производства. Отраслевая экспертиза. Участие в разработке стандартов ИТ и ИБ, а также в отраслевых группах и комитетах. Участие в экспертизе НПА по ИБ Финансирование проектов по ИБ. Легитимный ввоз оборудования. Круглосуточная поддержка на русском языке. Склады запчастей по всей России. 1000+ партнеров

1

2

3

4

5


http://www.facebook.com/CiscoRu

http://twitter.com/CiscoRussia

http://www.youtube.com/CiscoRussiaMedia

http://www.flickr.com/photos/CiscoRussia

http://vkontakte.ru/Cisco

Спасибо

за внимание!

[email protected]

Защищенные сети без границ – подход cisco

Technology