Требования в области

информационной безопасности и

соответствующие им решения Cisco (преимущественно для РФ)

• Михаил Кадер

• Инженер, Cisco

Почему Cisco говорит о законодательстве?

ТК22 ТК122 ТК362 РГ ЦБ

«Безопасность

ИТ» (ISO SC27 в

России)

«Защита

информации в

кредитных

учреждениях»

«Защита

информации»

при ФСТЭК

Разработка рекомендаций по ПДн,

СТО БР ИББС v4 и 382-П/2831-У

ФСБ МКС ФСТЭК РАЭК РКН

Экспертиза

документов Предложения

Экспертиза и

разработка

документов

Экспертиза и

разработка

документов

Консультативный

совет

Что мы защищаем?

Информация

Документированная

Общедоступная (открытая)

Ограниченного доступа

Недокументированная

• В последнее время нормативные акты регуляторов стали все

больше уделять внимания не только конфиденциальности, но и

целостности и доступности данных

– И не всегда эти данные ограниченного доступа

Обязанность защиты

• Обладатель информации обязан принимать меры по защите

информации

– Ст.6 ФЗ-149

• Обладатель информации, оператор информационной системы в

случаях, установленных законодательством Российской

Федерации, обязаны обеспечить…

– Ст.16 ФЗ-149

Требования по защите устанавливает

Обладатель

Законодательство РФ

• Какие

требования?

• Что

планируется?

Какие требования по защите установлены

законодательством РФ?

Тр

еб

ова

ни

я п

о з

ащ

ите

Персональных данных

Государственных и муниципальных

информационных систем

При осуществлении денежных переводов

Банковской тайны

Систем связи общего пользования

Критических информационных

инфраструктур (КИИ)

Требования носят рекомендательный

характер (СТО БР ИББС)

Требования есть (высокоуровневые).

Надзора за выполнением нет

Регуляторов в области ИБ в РФ 16+

• ФСБ, ФСТЭК, СВР,

МинОбороны, ФСО

• Минкомсвязь, Роскомнадзор

• МВД, Банк России

• Совет Безопасности

• PCI Council

• Минэнерго, Минэкономразвития

• Администрация Президента

• Ростехрегулирование

• Минтруд, Рособразование

• Каждый ФОИВ мнит себя

регулятором по ИБ…

Иерархия защитных мер: от общего к частному

Требования федеральных

законов

Приказы ФСТЭК/ФСБ

Методические рекомендации

Приказы Минкомсвязи/РКН

Положения, Указания и

письма Банка России

СТО БР ИББС

Ведомственные нормативные

акты

Требования Постановлений Правительства

ЗАЩИТНЫЕ МЕРЫ ФСТЭК

Меры по защите информации: общее

Защитная мера ПДн ГИС АСУ ТП

Идентификация и аутентификация субъектов доступа и объектов доступа + + +

Управление доступом субъектов доступа к объектам доступа + + +

Ограничение программной среды + + +

Защита машинных носителей информации, на которых хранятся и (или) обрабатывается КИ + + +

Регистрация событий безопасности + + +

Антивирусная защита + + +

Обнаружение (предотвращение) вторжений + + +

Контроль (анализ) защищенности персональных данных + + +

Обеспечение целостности информационной системы и КИ + + +

Обеспечение доступности персональных данных + + +

Защита среды виртуализации + + +

Защита технических средств + + +

Защита информационной системы, ее средств, систем связи и передачи данных + + +

Меры по защите информации: различия

Защитная мера ПДн ГИС АСУ ТП

Управление инцидентами + +

Управление конфигурацией информационной системы и системы защиты КИ + +

Безопасная разработка прикладного и специального программного обеспечения

разработчиком +

Управление обновлениями программного обеспечения +

Планирование мероприятий по обеспечению защиты информации +

Обеспечение действий в нештатных (непредвиденных) ситуациях +

Информирование и обучение пользователей +

Анализ угроз безопасности информации и рисков от их реализации +

Как определяются защитные меры

• Выбор мер по обеспечению безопасности,

подлежащих реализации в системе защиты,

включает

выбор базового набора мер

адаптацию выбранного базового набора мер

применительно к структурно-функциональным

характеристикам ИС, реализуемым ИТ,

особенностям функционирования ИС, а также

с учетом целей защиты

уточнение (включает дополнение или

исключение)

дополнение адаптированного базового набора мер

по обеспечению безопасности дополнительными

мерами, установленными иными нормативными

актами

Базовые меры

Адаптация базового набора

Уточнение адаптированного набора

Дополнение уточненного адаптированного набора

Компенсационные меры

Меры по защите информации и решения Cisco

Защитная мера Решения Cisco

Идентификация и аутентификация субъектов доступа и объектов доступа ISE, 802.1x, ACS, ASA,

NGFW, NGIPS, ESA, WSA,

AC

Управление доступом субъектов доступа к объектам доступа Все решения ИБ Cisco

Ограничение программной среды -

Защита машинных носителей информации, на которых хранятся и (или) обрабатываются

КИ ISE

Регистрация событий безопасности Все решения ИБ Cisco

Антивирусная защита AMP/FireAMP

Обнаружение (предотвращение) вторжений NGFW, NGIPS, wIPS, AMP,

FireAMP, WSA, CTD

Контроль (анализ) защищенности персональных данных NGFW, ISE, CTD

Обеспечение целостности информационной системы и КИ NGFW, NGIPS, wIPS, AMP,

FireAMP, ESA, WSA

Обеспечение доступности персональных данных Все решения Cisco

Защита среды виртуализации NGFW, NGIPS, ISE, AMP,

FireAMP, CTD, ASAv, VSG

Меры по защите информации и решения Cisco

Защитная мера Решения Cisco

Защита технических средств -

Защита информационной системы, ее средств, систем связи и передачи данных Все решения ИБ Cisco

Управление инцидентами CTD, FireSIGHT, ISE

Управление конфигурацией информационной системы и системы защиты КИ CSM

Безопасная разработка прикладного и специального программного обеспечения

разработчиком Cisco SDLC

Управление обновлениями программного обеспечения -

Планирование мероприятий по обеспечению защиты информации -

Обеспечение действий в нештатных (непредвиденных) ситуациях -

Информирование и обучение пользователей -

Анализ угроз безопасности информации и рисков от их реализации -

Разница между требования ФСТЭК

Особенность Приказ по

защите ПДн

Приказ по

защите ГИС/МИС

Проект приказа по

АСУ ТП

Оценка

соответствия

В любой

форме

Только

сертификация

В любой форме

Аттестация Не требуется Обязательна Не требуется

Требования по

защите

привязаны к

4 уровням

защищенности

ПДн

4 классам

защищенности

ГИС/МИС

3 классам

защищенности АСУ

ТП

Проверка на

отсутствие НДВ

Требуется для

угроз 1-2 типа (актуальность

определяется

заказчиком)

Требуется для 1-2

класса

защищенности

ГИС/МИС

Требуется только

при выборе

сертифицированных

средств защиты

• Мы готовы рассказать заказчику процесс правильного выбора

класса или уровня защищенности для того, чтобы не загонять

его в угол с завышенными требованиями по защите

Оценка соответствия ≠ сертификация

Оценка соответствия

Госконтроль и надзор

Аккредитация

Испытания

Регистрация

Подтверждение соответствия

Добровольная сертификация

Обязательная сертификация

Декларирование соответствия

Приемка и ввод в эксплуатацию

В иной форме

Обязательная сертификация средств защиты

• Средства защиты информации,

применяемые в информационных

системах, должны быть

сертифицированы на соответствие

требованиям по безопасности

информации в соответствии с

законодательством России

– Аналогичные требования есть в

Украине

• При отсутствии

сертифицированных средств

защиты информации организуется

разработка (доработка)

необходимых средств защиты

информации и их сертификация

Какие решения Cisco имеют сертификаты ФСТЭК?

• Многофункциональные защитные устройства

– Cisco ASA 5505, 5510, 5520, 5540, 5550, 5580

– Cisco ASA 5512-X, 5515-X, 5525-X, 5545-X, 5555-X, 5585-X

– Cisco ASA SM

• Системы предотвращения вторжений

– Cisco IPS 4200, AIP-SSM-10/20, IPS 4240, 4255, 4260, 4270, IDSM2

• Межсетевые экраны

– Cisco Pix 501, 506, 515, 520, 525, 535

– Cisco FWSM

– Cisco 1800, 2800, 3800, 7200, 7600, 676, 871, 881, 891, 1750, 1751,

1760-V, 1811, 1841, 2509, 26xx, 2600, 2611, 2621, 2651, 2801,

2811, 2821, 2851, 2901, 2911, 3640, 3661, 3662, 3725, 3745, 3825,

3845, 3925, 7201, 7206, 7301, 7604

– ASR 1002, GSR 12404, CGR2000, CGR2500

Какие решения Cisco имеют сертификаты ФСТЭК?

• Коммутаторы

– Cisco Catalyst 2912, 2924, 2950G, 2960, 2970, 3508G, 3512, 3524,

3548, 3550, 3560, 3750, 4003, 4503, 4506, 4507, 4510, 4900, 6006,

6504, 6506, 6509, 6513

– Cisco Nexus

• Системы управления

– CiscoWorks Monitoring Center

– Cisco Security Manager 3.2, 3.3

– Cisco Secure ACS 4.x

– Cisco Secure ACS 1121

– CS MARS 20, 25, 50, 100, 110

• Прочее

– Cisco AS5350XM

Какие решения Cisco планируется сертифицировать?

• Системы предотвращения вторжений

– Cisco IPS 4345, 4360, 4510, 4520

– Cisco IPS for АСУ ТП

• Межсетевые экраны

– Cisco ASA 1000v

– Cisco Virtual Security Gateway

• Cisco UCS

• Решения Sourcefire

НАЦИОНАЛЬНАЯ

ПЛАТЕЖНАЯ СИСТЕМА

129 требований по защите информация при переводе

денежных средств

• Банк России интересует, чтобы требование было выполнено

качественно, а выбор конкретных технологий и средств защиты

информации - задача банков

Какие решения Cisco могут быть применены для защиты

НПС?

• Банк России не устанавливает конкретных и детальных

требований по выбору технических или организационных мер,

реализующих статьи Положения 382-П

– Участники НПС вправе самостоятельно определять средства

защиты

– Любые решения Cisco могут быть применены для защиты

участников НПС и реализации требований 382-П

• Требований по применению сертифицированных СЗИ нет

РЕЗЮМЕ ПО

РЕГУЛИРОВАНИЮ

Почему все-таки Cisco – лучший выбор с точки зрения ИБ

в России

• Компания Cisco занимает лидирующие (а

иногда и уникальные) позиции по следующим

направлениям:

– Участие в разработке и экспертизе

нормативных актов в области ИБ

– Число сертификатов ФСТЭК и глубина

сертификации

– Сертификация СКЗИ в ФСБ

– Сертификация в ГАЗПРОМСЕРТ

– Локальное производство NME-RVPN

(SRE950), ISR 2911R, точек доступа,

телефонов и планы на будущее

– Лицензия ФСБ на деятельность в области

шифрования

О ДОВЕРИИ

Эффект Сноудена

Основа доверия

Жизненный цикл

Защищенный

процесс

Процесс Политики Технологии

Information Assurance (IA)

Стандарты и РД Технологии защиты продуктов

Общие модули и функции

Планируется

• NG & Common Crypto

• Secure Storage

• Run Time Integrity

• Trust Anchor

• Secure Boot

• Image Signing

• Entropy

• Immutable Identity

• Secure Cloud

Connector

FIPS / USGv6

DoD IA

• TCG

• Certificate Transport

(EST)

ФСТЭК / ФСБ

Доверенная архитектура

• TD Agent

• Simplified TLS • Pass Phrase Module

• Lawful Intercept

На радаре Реализовано

Полезные ссылки

• Внутренние

– http://iwe.cisco.com/web/product-and-cyber-integrity/home

– https://psirt.cisco.com/PSIRThot

– http://wwwin.cisco.com/osp/gov/ggsg_eng/tsi/

• Внешние

– http://www.cisco.com/web/solutions/trends/trustworthy_systems/

– http://www.cisco.com/web/go/psirt

– http://www.cisco.com/security

– http://blogs.cisco.com/security

О САНКЦИЯХ

О санкциях

• Временно приостановлена

выдача экспортных

лицензий на ряд продуктов

категории restricted для РФ

– Оборона, национальная

безопасность и

государственные

структуры

• PEPD

– http://tools.cisco.com/legal/

export/pepd/Search.do

• Cisco GET

– export@cisco.com

• Некоторые заказчики

задумались об импортозамещении

Дополнительная информация

• Годовой отчет Cisco по информационной безопасности 2014

• Cisco Security Website

• Cisco Security Intelligence Operations

• Cisco Security Blog

• Cisco Security Facebook

• Cisco Security Twitter

• Блог Cisco Russia

• Твиттер Cisco Russia

• Документы и презентации на русском языке

• Cisco Russia в ВКонтакте, Фейсбуке, YouTube, LinkedIn, Google+

© Cisco и (или) дочерние компании, 2014 г. Все права защищены. Общедоступная информация Cisco 32

Благодарю вас

за внимание

security-request@cisco.com