SlideShare a Scribd company logo
1 of 86
Download to read offline
Решения Cisco для обеспечения 
соответствия требованиям 
регуляторов по безопасности 
#1153 
Лукацкий Алексей, консультант по безопасности
Активность законодателей только возрастает 
• В среднем 4 нормативных акта (проекта) в месяц 
– 2012 – 5, 2013 – 4, 2014 – 6 
– Активность будет только возрастать 
– В октябре почему-то всегда минимальная активность J
Это только начало 
• Около 50 нормативных актов уже запланировано к разработке на 
ближайшее время 
– Они не включены в диаграмму
Жертвы давно определены 
• Национальная платежная система и банки 
• Госорганы 
• КВО / ТЭК / КИИ 
• Операторы связи
Какие направления будут в фаворе в 2015/16? 
Критические 
инфраструктуры 
Персональные данные 
ИБ 
Государственные 
ИС 
Национальная 
платежная 
система 
Субъекты 
Интернет- 
отношений 
Облачные 
технологии
Регуляторов в области ИБ у нас 16+ 
• ФСБ, ФСТЭК, СВР, 
МинОбороны, ФСО 
• Минкомсвязь, Роскомнадзор 
• МВД, Банк России 
• Совет Безопасности 
• PCI Council 
• Минэнерго, Минэкономразвития 
• Администрация Президента 
• Ростехрегулирование 
• Минтруд, Рособразование 
• Каждый ФОИВ мнит себя 
регулятором по ИБ… 
ФСТЭК 
ФСБ 
Банк России
УНИФИКАЦИЯ ЗАЩИТНЫХ 
МЕР ФСТЭК
ФСТЭК унифицирует требования по 
защите информации 
Особенность Приказ по 
защите ПДн 
Приказ по 
защите ГИС/МИС 
Приказ по АСУ ТП 
Требования по 
защите 
привязаны к 
4 уровням 
защищенности 
ПДн 
4 классам 
защищенности 
ГИС/МИС 
3 классам 
защищенности АСУ 
ТП 
Порядок в 
триаде КЦД КЦД ДЦК 
Возможность 
Да Да Да 
гибкого выбора 
защитных мер 
Проверка на 
отсутствие НДВ 
Требуется для 
угроз 1-2 типа 
(актуальность 
определяется 
заказчиком) 
Требуется для 1-2 
класса 
защищенности 
ГИС/МИС 
Требуется только 
при выборе 
сертифицированных 
средств защиты
Но разница между требованиями ФСТЭК 
все-таки есть 
Особенность Приказ №21 Приказ №17 Приказ №31 
Оценка 
соответствия 
В любой форме 
(нечеткость 
формулировки и 
непонятное ПП-330) 
Только 
сертификация 
В любой форме (в 
соответствии с ФЗ-184) 
Аттестация Коммерческий 
оператор - на выбор 
оператора 
Госоператор - 
аттестация 
Обязательна Возможна, но не 
обязательна 
Контроль и 
надзор 
Прокуратура – все 
ФСТЭК/ФСБ – 
только 
госоператоры (РКН не 
имеет полномочий 
проверять коммерческих 
операторов ПДн) 
ФСТЭК ФСБ и ФОИВ, 
ответственный за 
безопасность КИИ 
(определяется в 
настоящий момент)
Меры по защите информации 
• Организационные и технические меры защиты информации, 
реализуемые в АСУ ТП 
– идентификация и аутентификация субъектов доступа и объектов 
доступа 
– управление доступом субъектов доступа к объектам доступа 
– ограничение программной среды 
– защита машинных носителей информации 
– регистрация событий безопасности 
– антивирусная защита 
– обнаружение (предотвращение) вторжений 
– контроль (анализ) защищенности 
– целостность АСУ ТП 
– доступность технических средств и информации 
– защита среды виртуализации
Меры по защите информации 
• продолжение: 
– защита технических средств и оборудования 
– защита АСУ ТП и ее компонентов 
– безопасная разработка прикладного и специального 
программного обеспечения разработчиком 
– управление обновлениями программного обеспечения 
– планирование мероприятий по обеспечению защиты информации 
– обеспечение действий в нештатных (непредвиденных) ситуациях 
– информирование и обучение пользователей 
– анализ угроз безопасности информации и рисков от их 
реализации 
– выявление инцидентов и реагирование на них 
– управление конфигурацией информационной системы и ее 
системы защиты 
АСУ ТП ПДн + АСУ ТП
Меры по защите информации: общее 
Защитная мера ПДн ГИС АСУ ТП 
Идентификация и аутентификация субъектов доступа и объектов доступа + + + 
Управление доступом субъектов доступа к объектам доступа + + + 
Ограничение программной среды + + + 
Защита машинных носителей информации, на которых хранятся и (или) обрабатывается КИ + + + 
Регистрация событий безопасности + + + 
Антивирусная защита + + + 
Обнаружение (предотвращение) вторжений + + + 
Контроль (анализ) защищенности персональных данных + + + 
Обеспечение целостности информационной системы и КИ + + + 
Обеспечение доступности персональных данных + + + 
Защита среды виртуализации + + + 
Защита технических средств + + + 
Защита информационной системы, ее средств, систем связи и передачи данных + + +
Меры по защите информации: различия 
Защитная мера ПДн ГИС АСУ ТП 
Управление инцидентами + + 
Управление конфигурацией информационной системы и системы защиты КИ + + 
Безопасная разработка прикладного и специального программного обеспечения 
разработчиком + 
Управление обновлениями программного обеспечения + 
Планирование мероприятий по обеспечению защиты информации + 
Обеспечение действий в нештатных (непредвиденных) ситуациях + 
Информирование и обучение пользователей + 
Анализ угроз безопасности информации и рисков от их реализации + 
• Планы 
– Унификация перечня защитных мер для всех трех приказов 
– Выход на 2-хлетний цикл обновления приказов
Что есть у Cisco с точки зрения защиты 
информации?
А что из этого позволяет выполнить требования 
приказов ФСТЭК? 
• Решения Cisco 
позволяют 
выполнить 
многие 
требования 
приказов ФСТЭК 
по защите ПДн, 
ГИС/МИС и АСУ 
ТП
На всех участках корпоративной, 
ведомственной и индустриальной сети
Что включается в базовый набор? 
• Базовый набор защитных мер – это 
не минимально возможный 
перечень мер защиты 
• Это рекомендуемый набор мер 
защиты «по умолчанию», 
составленный как набор «лучших 
практик» 
– Для тех, кто не готов 
пересматривать защитные меры 
исходя из особенностей своей 
информационной системы
Как трактовать меры? 
• 11 февраля 2014 утвержден 
методический документ «Меры защиты 
информации в государственных 
системах» 
• Методический документ детализирует 
организационные и технические меры 
защиты информации, а также определяет 
содержание мер защиты информации и 
правила их реализации 
• По решению оператора ПДн настоящий 
методический документ применяется для 
обеспечения безопасности ПДн 
• Планируется разработка аналогичного 
документа по АСУ ТП
Когда сказать «достаточно»? 
• В подразделах «требования к реализации меры защиты 
информации» для каждой меры указано требование к тому, каким 
образом и в каком объеме должна быть реализована каждая 
мера защиты информации 
• В зависимости от класса защищенности ИС минимальные 
требования к реализации уточненной адаптированной базовой 
меры защиты информации подлежат усилению для повышения 
уровня защищенности информации 
– Усиления мер защиты информации применяются дополнительно 
к требованиям по реализации мер защиты информации
Как определяются защитные меры? 
• Выбор мер по обеспечению безопасности ПДн, 
подлежащих реализации в системе защиты ПДн, 
включает 
– определение базового набора мер 
– адаптацию базового набора мер с учетом 
структурно-функциональных характеристик 
ИСПДн, ИТ, особенностей функционирования 
ИСПДн 
– уточнение адаптированного базового набора с 
учетом не выбранных ранее мер 
– дополнение уточненного адаптированного 
базового набора мер по обеспечению 
безопасности ПДн дополнительными мерами, 
установленными иными нормативными актами 
Базовые меры 
Адаптация базового 
набора 
Уточнение 
адаптированного набора 
Дополнение уточненного 
адаптированного набора 
Компенсационные меры
А можно ли исключать защитные меры из списка? 
• Исключение из базового набора мер возможно, если какие-либо 
информационные технологии не используются в 
информационной системе, или присутствуют структурно- 
функциональные характеристики, не свойственные 
информационной системе 
• Например, мера 
– ИАФ.6 «Идентификация и аутентификация пользователей, не 
являющихся работниками оператора (внешних пользователей)» 
при отсутствии внешних пользователей – если данная 
характеристика не свойственна ИСПДн 
– УПД.14 «Регламентация и контроль использования в 
информационной системе технологий беспроводного доступа» - 
если данная ИТ не используется в ИСПДн
А если какую-то меру невозможно реализовать? 
• При невозможности технической 
реализации отдельных выбранных мер 
по обеспечению безопасности 
персональных данных, а также с 
учетом экономической 
целесообразности на этапах 
адаптации базового набора мер и 
(или) уточнения адаптированного 
базового набора мер могут 
разрабатываться иные 
(компенсирующие) меры, 
направленные на нейтрализацию 
актуальных угроз безопасности 
персональных данных
Компенсирующие меры 
• В ходе разработки системы защиты персональных данных 
должно быть проведено обоснование применения 
компенсирующих мер для обеспечения безопасности 
персональных данных 
• Примеры 
– Среда виртуализации на базе KVM, Xen или Hyper-V и отсутствие 
сертифицированных МСЭ 
– Антивирус на Apple iOS и MDM / NAC / перенаправление на шлюз 
– Замена антивируса замкнутой программной средой 
– Замена МСЭ маршрутизатором или коммутатором 
– Замена системы обнаружения вторжений системой анализа 
сетевого трафика
ОЦЕНКА СООТВЕТСТВИЯ 
СРЕДСТВ ЗАЩИТЫ
Оценка соответствия средств защиты 
Приказ №17 
• Оценка 
соответствия 
проводится в 
форме 
обязательной 
сертификации 
• Сертификация 
средств защиты 
в системах 
ФСТЭК или ФСБ 
Приказ №21 
• Особых 
требований к 
форме оценки 
соответствия не 
предъявляется 
• Могут 
использоваться в 
том числе и 
сертифицирован- 
ные средства 
защиты 
Приказ №31 
• Требований к 
форме оценки 
соответствия не 
предъявляются 
• Могут 
использоваться в 
том числе и 
сертифицирован- 
ные средства 
защиты (если 
есть)
Оценка соответствия ≠ сертификация 
Оценка 
соответствия 
Госконтроль и 
надзор 
Аккредитация 
Испытания 
Регистрация 
Подтверждение 
соответствия 
Добровольная 
сертификация 
Обязательная 
сертификация 
Декларирование 
соответствия 
Приемка и ввод 
в эксплуатацию 
В иной форме
Каждый приказ содержит привязку классов 
защищенности к классам защиты СрЗИ (где надо) 
Тип СЗИ / ПО 3 класс АСУ ТП 2 класс 1 класс 
СВТ Не ниже 5 Не ниже 5 Не ниже 5 
IDS Не ниже 5 Не ниже 4 Не ниже 3 
Антивирус Не ниже 5 Не ниже 4 Не ниже 3 
Средства доверенной 
загрузки Не ниже 5 Не ниже 4 Не ниже 3 
Средства контроля 
съемных носителей Не ниже 5 Не ниже 4 Не ниже 3 
МСЭ Не ниже 4 3Интернет 
4 
3Интернет 
4 
НДВ в СЗИ - Не ниже 4 Не ниже 4
Какие решения Cisco имеют сертификаты ФСТЭК? 
• Многофункциональные защитные устройства 
– Cisco ASA 5505, 5510, 5520, 5540, 5550, 5580 
– Cisco ASA 5512-X, 5515-X, 5525-X, 5545-X, 5555-X, 5585-X 
– Cisco ASA SM 
• Системы предотвращения вторжений 
– Cisco IPS 4200, AIP-SSM-10/20, IPS 4240, 4255, 4260, 4270, IDSM2 
• Межсетевые экраны 
– Cisco Pix 501, 506, 515, 520, 525, 535 
– Cisco FWSM 
– Cisco 1800, 2800, 3800, 7200, 7600, 676, 871, 881, 891, 1750, 1751, 
1760-V, 1811, 1841, 2509, 26xx, 2600, 2611, 2621, 2651, 2801, 
2811, 2821, 2851, 2901, 2911, 3640, 3661, 3662, 3725, 3745, 3825, 
3845, 3925, 7201, 7206, 7301, 7604 
– ASR 1002, GSR 12404, CGR2000, CGR2500
Какие решения Cisco имеют сертификаты ФСТЭК? 
• Коммутаторы 
– Cisco Catalyst 2912, 2924, 2950G, 2960, 2970, 3508G, 3512, 3524, 
3548, 3550, 3560, 3750, 4003, 4503, 4506, 4507, 4510, 4900, 6006, 
6504, 6506, 6509, 6513 
– Cisco Nexus 
• Системы управления 
– CiscoWorks Monitoring Center 
– Cisco Security Manager 3.2, 3.3 
– Cisco Secure ACS 4.x 
– Cisco Secure ACS 1121 
– CS MARS 20, 25, 50, 100, 110 
• Прочее 
– Cisco AS5350XM
Какие решения Cisco поданы на сертификацию? 
• Системы предотвращения вторжений 
– Cisco IPS 4345, 4360, 4510, 4520 
– Cisco IPS for АСУ ТП 
• Межсетевые экраны 
– Cisco ASA 1000v 
– Cisco Virtual Security Gateway 
• Cisco UCS 
• Решения Sourcefire
ПЕРСОНАЛЬНЫЕ ДАННЫЕ
Недавние и планируемые изменения по 
направлению ПДн 
Что было 
• Приказ ФСТЭК №21 по защите ПДн в 
ИСПДн 
• Приказ об отмене «приказа трех» по 
классификации ИСПДн 
• Приказ и методичка РКН по 
обезличиванию 
• Новая версия стандарта Банка 
России (СТО БР ИББС) 
• Закон 242-ФЗ о запрете хранения 
ПДн россиян за границей 
• Письмо Банка России 42-Т 
• Приказ ФСБ №378 по использованию 
СКЗИ для защиты ПДн 
• ПП-911 по отмене обязательного 
обезличивания 
Что будет 
• Законопроект Совета Федерации по 
внесению изменений в ФЗ-152 
• Законопроект по внесению 
изменений в КоАП 
• Работа Межведомственного 
экспертного совета при Минкомсвязи 
по совершенствованию 
законодательства в области 
регулирования отношений, 
связанных с обработкой ПДн 
• Отраслевые модели угроз 
• Ратификация дополнительного 
протокола Евроконвенции (181)
Законопроект по штрафам 
• В новом законопроекте меняется текст статьи 13.11, которая 
устанавливает два состава правонарушений 
– Нарушение требований к письменному согласию субъекта 
(<=50K) 
– Обработка ПДн без согласия или иных законных оснований 
(<=50K) 
• Также вводится еще 3 новых статьи: 
– 13.11.1 - незаконная обработка спецкатегорий ПДн (<=300K) 
– 13.11.2 - непредоставление оператором информации и (или) 
доступа к сведениям, предусмотренным законодательством о 
ПДн. Данная статья наказывает в т.ч. и за отсутствие политики в 
отношении обработки ПДн (<=45K) 
– 13.11.3 – нарушение правил неавтоматизированной обработки и 
обезличивания (<=50K)
«Приказ трех» по классификации больше 
не действует 
• «Приказ трех» формально не 
действует с 01.11.2012 
– Согласно нормам правам 
• ФСТЭК специально разработала 
приказ о недействительности «приказа 
трех» 
– Утвержден 31 декабря 2013 года – 
№151/786/461 
– Подписан руководителями ФСТЭК, 
ФСБ и Минкомсвязи 
• Теперь необходимо определять 
уровни защищенности 
– Уровень зависит от типа актуальных 
угроз, а не количества и типа ПДн
Актуальные ли угрозы 1-го и 2-го типов? 
КН1 • Н1-Н3 
3 тип 
КН2 • Н4-Н5 
КН3 • Н6 1 тип 
2 тип 
Категории нарушителей Типы угроз 
Было 
• Согласно ПП-1119 определение типа угроз, актуальных для 
ИСПДн, производится оператором ПДн 
– Или в отраслевой модели угроз (как у Банка России) 
• Речь идет об актуальной, а не теоретической опасности 
Стало
Закон о запрете хранения ПДн россиян 
за границей 
• Реализация положения ФЗ-242 «о запрете хранения ПДн россиян 
за границей» 
– Запрет хранения 
– Наказание за нарушение 
– Выведение РКН из под действия 
294-ФЗ 
• Вступает в силу с 1 сентября 2016 года 
– Возможен сдвиг на 01.01.2015 
– Возможно будут вноситься изменения 
• Как решить проблему при вступлении закона в силу в жестком 
варианте? 
– Передача и хранение обезличенных данных 
– Передача и хранение архивных данных
Приказ ФСБ №378 
• Настоящий документ устанавливает 
состав и содержание необходимых 
для выполнения установленных 
Правительством Российской 
Федерации требований к защите ПДн 
для каждого из уровней защищенности 
организационных и технических мер 
по обеспечению безопасности ПДн 
при их обработке в ИСПДн 
• Принят 10 июля 2014 года, вступил в 
силу с 28 сентября 2014 года
Приказ ФСБ №378 
• Даны разъяснения (имеющие характер обязательных) положений 
ПП-1119 
– Например, что такое «организация режима обеспечения 
безопасности помещений», «сохранность персональных данных», 
«электронный журнал сообщений» и т.п. 
• Средства криптографической защиты персональных данных 
могут быть ТОЛЬКО сертифицированными
Соответствие уровней защищенности 
классам СКЗИ 
• В зависимости от совокупности предположений о возможностях, 
которые могут использоваться при создании способов, подготовке 
и проведении атак СКЗИ подразделяются на классы 
Уровень 
защищенности 
3-й тип угроз 2-й тип угроз 1-й тип угроз 
4 КС1+ КС1+ КС1+ 
3 КС1+ КВ - 
2 КС1+ КВ 
1 - КВ КА
Сертифицированная криптография Cisco 
• Совместное решение Cisco и С- 
Терра СиЭсПи 
– Ведутся сертификационные 
испытания совместно с 
ИнфоТеКС 
• Сертификат ФСБ по классам КС1/ 
КС2/КС3 
– На новой платформе КС1 (в 
данной момент) 
– КС2 – конец года 
• Данная платформа может быть 
использована и для установки 
других сертифицированных 
средств защиты
ViPNet IDS (Intrusion Detection System) 
Обнаружение компьютерных атак на основе динамического анализа сетевого трафика стека протоколов TCP/IP 
Установление источников компьютерных инцидентов 
Производить эвристический анализ по выявлению аномалий в сетевом трафике и в действиях пользователей ViPNet 
IDS. 
Регистрация компьютерных атак (вторжений) в моменты времени, близкие к реальным, с уведомлением 
администратора 
Автоматически передавать параметры ViPNet IDS в системы управления событиями ИБ в формате syslog или syslog 
(CEF)
Об изменении правил сертификации СКЗИ 
с конца 2013-го года 
• Можно ли использовать сертифицированное криптоядро в 
составе VPN-решений? 
– Можно 
• Будет ли такое решение сертифицированным? 
– Нет!!!
Что делать, если сертифицированной 
криптографии физически нет? 
• Понятие конфиденциальности ПДн упоминают ст.6.3, ст.7 и 23.4 
• Согласно ст.7 под конфиденциальностью ПДн понимается 
обязанность операторами и иными лицами, получивших доступ к 
персональным данным: 
– Не раскрывать ПДн третьим лицам 
– Не распространять ПДн без согласия субъекта персональных 
данных 
– Если иное не предусмотрено федеральным законом 
• Оператор при обработке персональных данных обязан принимать 
необходимые правовые, организационные и технические меры 
или обеспечивать их принятие для защиты персональных данных 
от неправомерного или случайного доступа к ним… 
– Ст.19
Как обеспечить конфиденциальность или 
защиту от ознакомления с ПДн? 
• Получить согласие субъекта на передачу ПДн в открытом виде 
• Сделать ПДн общедоступными 
• Обеспечить контролируемую зону 
• Использовать оптические каналы связи при правильной модели 
угроз 
• Использовать соответствующие механизмы защиты от НСД, 
исключая шифрование, например, MPLS или архивирование 
• Переложить задачу обеспечения конфиденциальности на 
оператора связи 
• Передавать в канал связи обезличенные данные 
• Использовать СКЗИ для защиты ПДн
Только 8-10% операторов использует СКЗИ
Вы можете принудить субъекта отказаться от 
конфиденциальности его ПДн 
• РКН раньше на 
своем сайте, а 
портал госуслуг до 
сих пор вынуждает 
вас отказаться от 
конфиденциально 
сти 
• У вас есть выбор – 
или соглашаться, 
или нет 
Ответ Роскомнадзора
Вы можете сделать ПДн общедоступными 
• РЖД делает 
регистрационные 
данные 
пользователей 
своего сайта 
общедоступными 
• РКН не против 
• Шифрование в 
таком случае не 
нужно
Вы можете правильно провести границу ИСПДн
Еще четыре сценария 
• Обезличивание из персональных данных делает неперсональные 
• Они выпадают из под ФЗ-152 
• Не требуется даже конфиденциальность Обезличивание 
• Оператор связи по закону «О связи» обязан обеспечивать тайну связи 
• Почему бы в договоре с оператором явно не прописать обязанность 
обеспечить конфиденциальность всех передаваемых данных, 
включая и ПДн 
Оператор связи 
• Снять информацию с оптического канала связи возможно, но 
непросто и недешево 
• Почему бы не зафиксировать в модели угроз соответствующую мысль Оптика 
• Для защиты от несанкционированного доступа на сетевом уровне 
могут применяться различные технологии; не только шифрование 
• Например, MPLS, обеспечивающая разграничение доступа 
Виртуальные 
сети
КРИТИЧЕСКИ ВАЖНЫЕ 
ОБЪЕКТЫ
Недавние и планируемые изменения по 
направлению КИИ / КСИИ / КВО / АСУ ТП 
Что было 
• Постановление 
Правительства №861 от 
02.10.2013 
• Приказ ФСТЭК №31 по 
защите АСУ ТП 
Что будет 
• Законопроект по 
безопасности критических 
информационных 
инфраструктур 
• Законопроект о внесении 
изменений в связи с 
принятием закона о 
безопасности КИИ 
• Подзаконные акты 
• Методические документы 
ФСТЭК
Новый приказ ФСТЭК №31 
• «Об утверждении Требований к 
обеспечению защиты информации в 
автоматизированных системах 
управления производственными и 
технологическими процессами на 
критически важных объектах, 
потенциально опасных объектах, а 
также объектах, представляющих 
повышенную опасность для жизни и 
здоровья людей и для окружающей 
природной среды» 
– Ориентация на объекты ТЭК, 
транспортной безопасности, 
использования атомной энергии, 
опасных производственных объектов, 
гидротехнических сооружений
Смена парадигмы 
• Принимаемые организационные и технические меры защиты 
информации должны обеспечивать доступность обрабатываемой 
в АСУ ТП (исключение неправомерного блокирования 
информации), ее целостность (исключение неправомерного 
уничтожения, модифицирования информации), а также, при 
необходимости, конфиденциальность (исключение 
неправомерного доступа, копирования, предоставления или 
распространения информации) 
• Организационные и технические меры защиты информации 
должны быть согласованы с мерами по промышленной, 
физической, пожарной, экологической, радиационной 
безопасности, иными мерами по обеспечению безопасности АСУ 
ТП и управляемого (контролируемого) объекта и (или) процесса и 
не должны оказывать отрицательного (мешающего) влияния на 
штатный режим функционирования АСУ ТП
Ключевые отличия требований по ИБ КСИИ 
и АСУ ТП 
• Объект защиты 
• Классификация АСУ ТП / КСИИ 
• Уровень открытости циркулируемой в АСУ ТП / КСИИ 
информации 
• Парадигма (КЦД vs ДЦК) 
• Требования по защите 
• Требования по оценке соответствия 
• Участники процесса защиты информации 
АСУ ТП – это подмножество КСИИ
Решения Cisco для индустриальных сетей 
FW 
NGFW 
IPS 
ISE 
VPN 
VDI 
WSA 
Level 5 
Level 4 
Level 3½ 
Level 3 
Level 2 
Level 1 
Level 0 
Enterprise Zone 
DMZ 
PCD / 
Manufacturing Zone 
PCN / 
Cell / Area Zone 
? 
?
Поправки в связи с принятием закона 
о безопасности КИИ 
• Поправки в УК РФ и УПК РФ 
– Внесение изменений в статьи 272, 274, 151 (УПК) 
• Поправки в закон «О государственной тайне» 
– Сведения о степени защищенности и мерах безопасности 
объектов средней и высокой степени опасности 
• Поправки в 294-ФЗ 
– Выведение из под порядка проведения проверок КИИ 
• Поправки в 184-ФЗ 
– Исключение двойного регулирования
Что еще готовится в связи с законопроектом о 
безопасности КИИ? 
• Определение ФОИВ, уполномоченного в области безопасности 
КИИ 
– Через 6 месяцев после принятия закона 
• Постановления Правительства «Об утверждении показателей 
критериев категорирования элементов критической 
информационной инфраструктуры» 
– Принятие в течение 6 месяцев после определения ФОИВ, 
уполномоченного в области безопасности КИИ 
• Постановление Правительства «Об утверждении порядка 
подготовки и использования ресурсов единой сети связи 
электросвязи для обеспечения функционирования и 
взаимодействия объектов КИИ» 
• Приказ уполномоченного ФОИВ об утверждении требований по 
безопасности КИИ 
– Это не 31-й приказ!!!
Что еще готовится в связи с законопроектом о 
безопасности КИИ? 
• Приказы уполномоченного ФОИВ об аккредитации, о 
представлении сведений для категорирования, о контроле/ 
надзоре, о реестре объектов КИИ 
• Приказ ФСБ об утверждении порядка реагирования на 
компьютерные инциденты и ликвидации последствий 
компьютерных атак на объектах КИИ 
• Приказ ФСБ о перечне и порядке предоставлений сведений в 
СОПКА 
• Приказ ФСБ о порядке доступа к информации в СОПКА 
• Приказ ФСБ об утверждении требований к техсредствам СОПКА 
• Приказ ФСБ об установке и эксплуатации техсредств СОПКА 
Приказ ФСБ о национальном CERT 
• Приказ Минкомсвязи об условиях установки СОВ на сетях 
электросвязи
Планируемые методические документы ФСТЭК 
• Применение «старых» документов ФСТЭК по КСИИ в качестве 
рекомендательных и методических 
– «Рекомендации…» и «Методика определения актуальных угроз…» 
• Методичка по реагированию на инциденты (в разработке) 
• Методичка по анализу уязвимостей (в разработке) 
• Методичка по управлению конфигурацией (в разработке) 
• Методичка по аттестации (в разработке) 
• Методичка по мерам защиты в АСУ ТП (в разработке) 
– По аналогии с «Мерами защиты в ГИС»
ГОСУДАРСТВЕННЫЕ 
ИНФОРМАЦИОННЫЕ 
СИСТЕМЫ
Недавние и планируемые изменения по 
направлению ГИС 
Что было 
• Приказ ФСТЭК №17 по 
защите информации в ГИС 
• Методический документ по 
мерам защиты информации 
в государственных 
информационных системах 
Что будет 
• Порядок моделирования 
угроз безопасности 
информации в 
информационных системах 
• Новая редакция приказа 
№17 и «мер защиты в ГИС» 
• Методические и 
руководящие документы 
ФСТЭК 
• Законопроекты о запрете 
хостинга ГИС за пределами 
РФ, о служебной тайне, по 
импортозамещению…
Что такое ГИС? 
• В РФ существует множество 
различных классификаций 
информационных систем 
– Особенно для государственных 
органов и органов местного 
самоуправления 
• В вопросе отнесения информационных 
систем госорганов к ГИС до сих пор 
остаются неясные моменты 
• Требования по безопасности 
прописаны преимущественно в ПП-424 
и приказе ФСТЭК №17 
– Возможны и иные требования, 
специфичные для отдельных видов 
ИС 
ГИС = создана в 
государственном 
органе 
ГИС = есть приказ 
о ее создании 
(вводе в 
эксплуатацию) 
ГИС = 
зарегистрирована 
в реестре
Что еще есть кроме 17-го приказа? 
• ИС организаций, подключаемых к инфраструктуре, 
обеспечивающей информационно-технологическое 
взаимодействие ИС, используемых для предоставления 
государственных и муниципальных услуг в электронной форме 
– Приказ Минкомсвязи от 9 декабря 2013 г. №390 
• ИС общего пользования 
– ПП-424 + Приказ Минкомсвязи от 25 августа 2009 года №104 + 
Приказ ФСБ и ФСТЭК от 31 августа 2010 г. N 416/489 
• ИС открытых данных 
– Приказ Минкомсвязи России от 27.06.2013 №149 
• Сайты ФОИВ 
– Приказ Минэкономразвития России от 16.11.2009 №470 
• ИС, предназначенные для информирования общественности о 
деятельности ФОГВ и ОГВ субъектов РФ (ИСИОД)
ФСТЭК планирует установить новые требования 
к средствам защиты 
• ФСТЭК (2013-2015) 
– Требования к средствам доверенной загрузки (принят) 
– Требования к средствам контроля съемных носителей 
– Требования к средствам контроля утечек информации (DLP) 
– Требования к средствам аутентификации 
– Требования к средствам разграничения доступа 
– Требования к средствам контроля целостности 
– Требования к средствам очистки памяти 
– Требования к средствам ограничения программной среды 
– Требования к средствам управления потоками информации 
– Требования к МСЭ 
– Требования к средствам защиты виртуализации 
– ГОСТы по защите виртуализации и облачных вычислений 
– ГОСТ по защищенному программированию (SDLC)
У ФСТЭК большие планы по регулированию 
госорганов и муниципалов
Планируемые методические документы ФСТЭК 
• Порядок аттестации распределенных информационных систем 
• Порядок обновления программного обеспечения в аттестованных 
информационных системах 
• Порядок обновления сертифицированных средств защиты 
информации 
• Порядок выявления и устранения уязвимостей в 
информационных системах 
• Порядок реагирования на инциденты, которые могут привести к 
сбоям или нарушению функционирования информационной 
системы и (или) к возникновению угроз безопасности 
информации 
• …
Единая методика моделирования угроз 
• Методика определения угроз 
безопасности информации в 
информационных системах 
• Распространяется на 
– ГИС / МИС 
– ИСПДн 
– КСИИ 
– АСУ ТП 
– Иные ИС и АС, в которых в 
соответствии с законодательством РФ 
и (или) требованиями заказчика должна 
быть обеспечена конфиденциальность, 
целостность и (или) доступность 
информации 
• Исключает угрозы СКЗИ и ПЭМИН
НАЦИОНАЛЬНАЯ 
ПЛАТЕЖНАЯ СИСТЕМА
Недавние и планируемые изменения по 
направлению НПС/банковской тайны 
Что было 
• 382-П (3007-У) 
• 2831-У (3024-У) 
• 55-Т 
• 42-Т 
• 49-Т 
• 242-П 
• СТО БР ИББС 1.0 и 1.2 
• Отмена РС 2.3 и 2.4 
• Принятие новых РС 2.5 
и 2.6 
Что будет 
• Новая редакция 382-П 
(3361-У) 
• Новые РС 
• Требования для 
организаций 
финансового рынка 
(ФСФР) 
• Банковский CERT 
• Отраслевая модель 
угроз ПДн
Указание 3361-У 
• Утверждено 14 августа 2014 
• Опубликовано в «Вестнике Банка 
России» №83 17 сентября 
• Вступает в силу с 16 марта 2015 года
Важные изменения в 382-П 
• Основные изменения 
– Требования к обеспечению защиты 
информации при осуществлении 
переводов денежных средств с 
применением банкоматов и 
платежных терминалов, с 
использованием систем Интернет- 
банкинга, мобильного банкинга 
– Требования к использованию 
платежных карт, оснащенных 
микропроцессором 
– Требования к обеспечению ИБ 
жизненного цикла платежных 
приложений
Что планирует Банк России в новой версии СТО? 
• СТО БР ИББС 1.0 (5-я версия) 
– Принятие Банком России 
произошло путем подписания 
распоряжения Банка России от 17 
мая 2014 года № Р-399 и № Р-400 
– Вступил в силу с 01.06.2014 
• С 1-го июня отменены предыдущие 
версии СТО 1.0 и 1.2, а также РС 2.3 
(защита ПДн) и 2.4 (отраслевая 
модель угроз)
Также Банк России принял 
• Четвертая редакция стандарта Банка России «Обеспечение 
информационной безопасности организаций банковской системы 
Российской Федерации. Методика оценки соответствия 
информационной безопасности организаций банковской системы 
Российской Федерации требованиям СТО БР ИББС-1.0-2014» 
С 01.06.14 
• Рекомендации в области стандартизации Банка России 
«Обеспечение информационной безопасности организаций 
банковской системы Российской Федерации. Менеджмент 
инцидентов информационной безопасности» С 01.06.14 
• Рекомендации в области стандартизации Банка России 
«Обеспечение информационной безопасности организаций 
банковской системы Российской Федерации. Обеспечение 
информационной безопасности на стадиях жизненного цикла 
автоматизированных банковских систем» 
С 01.09.14
Планируемые изменения по направлению 
СТО БР ИББС в 2015-2016-м годах 
• Проекты новых РС 
– Проект РС по ресурсному обеспечению информационной 
безопасности 
– Проект РС по виртуализации 
– Проект РС по предотвращению утечек информации 
• Пересмотр «старых» документов СТО 
• СТО 1.1, РС 2.0, 2.1 и 2.2 
• Разработка новых РС 
– Противодействие мошенничеству 
– Облачные технологии и аутсорсинг 
– Распределение ролей 
74
Архитектура защиты НПС с помощью 
решений Cisco 
Сервер 
процессинга 
Допофис / отделение Периметр 
Интернет 
ISR 
Catalyst 
ASA 
MDM 
6500 
ASA SM 
OpenSOC 
ISE 
Nexus WAP 
Главный 
офис 
ASR 
ASA 
Интернет- 
банк 
CTD 
WAP 
Мобильный POS-терминал 
POS 
Киоск 
ПК 
банковского 
работника 
Блок управления 
ЦОД 
WAP 
Internet 
Беспроводное 
устройство 
FireSIGHT 
ASA 
Процессинг 
Платежный 
ATM сегмент
Какие решения Cisco могут быть применены 
для защиты НПС? 
• Банк России не устанавливает конкретных и детальных 
требований по выбору технических или организационных мер, 
реализующих статьи Положения 382-П 
– Участники НПС вправе самостоятельно определять средства 
защиты 
– Любые решения Cisco могут быть применены для защиты 
участников НПС и реализации требований 382-П 
• Требований по применению сертифицированных СЗИ нет 
– Криптография может быть любой – сертифицированной или нет 
– СТО БР ИББС рекомендует использовать СКЗИ КС2+
Пример применения решений Cisco 
Требование Пункт 382- 
П 
Решение Cisco 
Идентификация, аутентификация и 
авторизация работников и участников 
платежной системы 
2.6.3 Cisco Identity 
Service Engine 
Реализация запрета 
несанкционированного расширения 
прав доступа к защищаемой 
информации 
2.6.4 Cisco Identity 
Service Engine 
Фильтрация сетевых пакетов при 
обмене информацией между 
вычислительными сетями, в которых 
располагаются объекты 
информационной инфраструктуры, и 
сетью Интернет 
2.8.1 Cisco ASA 5500-X 
Cisco IOS Firewall 
Cisco ASA SM для 
Catalyst 6500
Пример применения решений Cisco 
Требование Пункт 382- 
П 
Решение Cisco 
Снижение тяжести последствий от 
воздействий на объекты 
информационной инфраструктуры с 
целью создания условий 
для невозможности предоставления 
услуг по переводу 
денежных средств или 
несвоевременности осуществления 
переводов денежных средств 
2.8.1 Cisco Validated 
Design 
Cisco SAFE 
Учет и контроль состава 
установленного и (или) используемого 
на средствах вычислительной 
техники программного 
обеспечения 
2.10.1 Cisco Identity 
Service Engine 
Cisco NAC
Пример применения решений Cisco 
Требование Пункт 382- 
П 
Решение Cisco 
Применение организационных мер 
защиты информации и (или) 
использование технических средств 
защиты информации, 
предназначенных для 
предотвращения 
несанкционированного доступа к 
защищаемой информации на 
объектах информационной 
инфраструктуры с использованием 
сети Интернет 
2.8.1 Cisco FirePOWER 
Cisco ASA with 
FirePOWER 
Services 
Cisco Wireless IPS 
Аутентификация входных 
электронных сообщений 
2.10.4 Cisco Email Security 
Appliance
Письмо 49-Т от 24.03.2014 
• Детализирует требования 382-П (или 
СТО БР ИББС) в части защиты от 
вредоносного кода 
• Предполагает применение 
следующих решений Cisco 
– Cisco AMP for XXX 
– Cisco Cyber Threat Defense 
– Cisco OpenSOC 
– Cisco FireSIGHT 
– Cisco ISE 
– Cisco TrustSec
ОПЕРАТОРЫ СВЯЗИ
Недавние и планируемые изменения по 
направлению ССОП 
• Закон «О внесении изменений в отдельные законодательные акты 
Российской Федерации по вопросам регулирования отношений при 
использовании информационно-телекоммуникационной сети 
Интернет» и ФЗ-139 «О защите детей от негативной информации» 
• Постановление Правительства №611 от 15.04.2013 «Об 
утверждении перечня нарушений целостности, устойчивости 
функционирования и безопасности единой сети электросвязи РФ» 
• Иных требований по информационной безопасности на 
операторов связи пока не планируется 
• Все изменения касаются контроля Интернет 
– Антипиратский закон, контроль социальных сетей, Единая система 
аутентификации (ЕСИА), запрет анонимайзеров, регулирование 
Интернет-компаний как организаторов распространения 
информации, регулирование облачных вычислений и т.п.
В КАЧЕСТВЕ ЗАКЛЮЧЕНИЯ
Нас ждет непростой 2015-й год 
• Рост числа нормативных актов с требованиями по 
информационной безопасности 
• Усиление ответственности за невыполнение требований по ИБ 
– Включая уголовную и крупные штрафы 
• ФСТЭК унифицирует свои требования по защите информации, но 
отличия все равно остаются 
– В части оценки соответствия 
• Компания Cisco обладает полным набором технических решений 
по реализации требований нормативных актов 
– ПДн, АСУ ТП, ГИС/МИС, НПС, операторы связи 
• Cisco активно сертифицирует свои решения по требованиям 
безопасности ФСТЭК и ФСБ 
– В ближайшее время планируется ряд новых анонсов по оценке 
соответствия
Дополнительная информация
Спасибо 
Пожалуйста, заполните анкеты 
#1153 
security-request@cisco.com 
© Cisco и (или) дочерние компании, 2011 г. Все права защищены. Общедоступная BRKSEC-1065 информация Cisco 86

More Related Content

What's hot

Сопоставление приказов ФСТЭК по КСИИ и АСУ ТП
Сопоставление приказов ФСТЭК по КСИИ и АСУ ТПСопоставление приказов ФСТЭК по КСИИ и АСУ ТП
Сопоставление приказов ФСТЭК по КСИИ и АСУ ТПAleksey Lukatskiy
 
Современные средства обеспечения кибербезопасности АСУ ТП
Современные средства обеспечения кибербезопасности АСУ ТПСовременные средства обеспечения кибербезопасности АСУ ТП
Современные средства обеспечения кибербезопасности АСУ ТПAlexander Dorofeev
 
Нюансы проведения аудита ИБ АСУ ТП
Нюансы проведения аудита ИБ АСУ ТПНюансы проведения аудита ИБ АСУ ТП
Нюансы проведения аудита ИБ АСУ ТПКомпания УЦСБ
 
5. Автоматизация процессов по обеспечению целостности объектов ИТ-инфраструкт...
5. Автоматизация процессов по обеспечению целостности объектов ИТ-инфраструкт...5. Автоматизация процессов по обеспечению целостности объектов ИТ-инфраструкт...
5. Автоматизация процессов по обеспечению целостности объектов ИТ-инфраструкт...Компания УЦСБ
 
Алгоритм действий оператора ПДн по созданию системы защиты ИСПДн
Алгоритм действий оператора ПДн по созданию системы защиты ИСПДнАлгоритм действий оператора ПДн по созданию системы защиты ИСПДн
Алгоритм действий оператора ПДн по созданию системы защиты ИСПДнSecurity Code Ltd.
 
Cisco 7 key data security trends
Cisco 7 key data security trendsCisco 7 key data security trends
Cisco 7 key data security trendsTim Parson
 
Управление информационной безопасностью
Управление информационной безопасностьюУправление информационной безопасностью
Управление информационной безопасностьюВячеслав Аксёнов
 
Требования в области информационной безопасности и соответствующие им решения...
Требования в области информационной безопасности и соответствующие им решения...Требования в области информационной безопасности и соответствующие им решения...
Требования в области информационной безопасности и соответствующие им решения...Cisco Russia
 
Политика обнаружения и реагирования на инциденты информационной безопасности
Политика  обнаружения и реагирования на инциденты информационной безопасностиПолитика  обнаружения и реагирования на инциденты информационной безопасности
Политика обнаружения и реагирования на инциденты информационной безопасностиEvgeniy Shauro
 
пр Обзор Методических рекомендаций по ГосСОПКА
пр Обзор Методических рекомендаций по ГосСОПКАпр Обзор Методических рекомендаций по ГосСОПКА
пр Обзор Методических рекомендаций по ГосСОПКАAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Типовые уязвимости компонентов АСУ ТП
Типовые уязвимости компонентов АСУ ТПТиповые уязвимости компонентов АСУ ТП
Типовые уязвимости компонентов АСУ ТПКомпания УЦСБ
 
3. Первый. Сертифицированный. DATAPK
3. Первый. Сертифицированный. DATAPK3. Первый. Сертифицированный. DATAPK
3. Первый. Сертифицированный. DATAPKКомпания УЦСБ
 
Лицензирование деятельности в области защиты информации
Лицензирование деятельности в области защиты информацииЛицензирование деятельности в области защиты информации
Лицензирование деятельности в области защиты информацииBulat Shamsutdinov
 

What's hot (18)

Нормативная база ИБ (кво, ксии, кии, асу)
Нормативная база ИБ (кво, ксии, кии, асу)Нормативная база ИБ (кво, ксии, кии, асу)
Нормативная база ИБ (кво, ксии, кии, асу)
 
Сопоставление приказов ФСТЭК по КСИИ и АСУ ТП
Сопоставление приказов ФСТЭК по КСИИ и АСУ ТПСопоставление приказов ФСТЭК по КСИИ и АСУ ТП
Сопоставление приказов ФСТЭК по КСИИ и АСУ ТП
 
Современные средства обеспечения кибербезопасности АСУ ТП
Современные средства обеспечения кибербезопасности АСУ ТПСовременные средства обеспечения кибербезопасности АСУ ТП
Современные средства обеспечения кибербезопасности АСУ ТП
 
4. ePlat4m Security GRC
4. ePlat4m Security GRC4. ePlat4m Security GRC
4. ePlat4m Security GRC
 
Нюансы проведения аудита ИБ АСУ ТП
Нюансы проведения аудита ИБ АСУ ТПНюансы проведения аудита ИБ АСУ ТП
Нюансы проведения аудита ИБ АСУ ТП
 
5. Автоматизация процессов по обеспечению целостности объектов ИТ-инфраструкт...
5. Автоматизация процессов по обеспечению целостности объектов ИТ-инфраструкт...5. Автоматизация процессов по обеспечению целостности объектов ИТ-инфраструкт...
5. Автоматизация процессов по обеспечению целостности объектов ИТ-инфраструкт...
 
People-Centric security (intro) rus
People-Centric security (intro) rusPeople-Centric security (intro) rus
People-Centric security (intro) rus
 
Алгоритм действий оператора ПДн по созданию системы защиты ИСПДн
Алгоритм действий оператора ПДн по созданию системы защиты ИСПДнАлгоритм действий оператора ПДн по созданию системы защиты ИСПДн
Алгоритм действий оператора ПДн по созданию системы защиты ИСПДн
 
Cisco 7 key data security trends
Cisco 7 key data security trendsCisco 7 key data security trends
Cisco 7 key data security trends
 
Управление информационной безопасностью
Управление информационной безопасностьюУправление информационной безопасностью
Управление информационной безопасностью
 
Требования в области информационной безопасности и соответствующие им решения...
Требования в области информационной безопасности и соответствующие им решения...Требования в области информационной безопасности и соответствующие им решения...
Требования в области информационной безопасности и соответствующие им решения...
 
ISMS audit and implementation
ISMS audit and implementationISMS audit and implementation
ISMS audit and implementation
 
Политика обнаружения и реагирования на инциденты информационной безопасности
Политика  обнаружения и реагирования на инциденты информационной безопасностиПолитика  обнаружения и реагирования на инциденты информационной безопасности
Политика обнаружения и реагирования на инциденты информационной безопасности
 
пр Обзор Методических рекомендаций по ГосСОПКА
пр Обзор Методических рекомендаций по ГосСОПКАпр Обзор Методических рекомендаций по ГосСОПКА
пр Обзор Методических рекомендаций по ГосСОПКА
 
Information Security Presentation (B.E.E.R 2021)
Information Security Presentation (B.E.E.R 2021)Information Security Presentation (B.E.E.R 2021)
Information Security Presentation (B.E.E.R 2021)
 
Типовые уязвимости компонентов АСУ ТП
Типовые уязвимости компонентов АСУ ТПТиповые уязвимости компонентов АСУ ТП
Типовые уязвимости компонентов АСУ ТП
 
3. Первый. Сертифицированный. DATAPK
3. Первый. Сертифицированный. DATAPK3. Первый. Сертифицированный. DATAPK
3. Первый. Сертифицированный. DATAPK
 
Лицензирование деятельности в области защиты информации
Лицензирование деятельности в области защиты информацииЛицензирование деятельности в области защиты информации
Лицензирование деятельности в области защиты информации
 

Viewers also liked

Новое поколение DPI решений для задач контентной фильтрации и виртуализации с...
Новое поколение DPI решений для задач контентной фильтрации и виртуализации с...Новое поколение DPI решений для задач контентной фильтрации и виртуализации с...
Новое поколение DPI решений для задач контентной фильтрации и виртуализации с...Cisco Russia
 
PiN Telecom: опыт внедрения DPI на базе Cisco SCE.
PiN Telecom: опыт внедрения DPI на базе Cisco SCE. PiN Telecom: опыт внедрения DPI на базе Cisco SCE.
PiN Telecom: опыт внедрения DPI на базе Cisco SCE. Cisco Russia
 
Обзор решения Cisco NSO
Обзор решения Cisco NSOОбзор решения Cisco NSO
Обзор решения Cisco NSOCisco Russia
 
Развитие платформ Cisco для MPLS доступа и пре-агрегации
Развитие платформ Cisco для MPLS доступа и пре-агрегацииРазвитие платформ Cisco для MPLS доступа и пре-агрегации
Развитие платформ Cisco для MPLS доступа и пре-агрегацииCisco Russia
 
Как защитить сеть от web-угроз с помощью Cisco WSA (ex IronPort)
Как защитить сеть от web-угроз с помощью Cisco WSA (ex IronPort)Как защитить сеть от web-угроз с помощью Cisco WSA (ex IronPort)
Как защитить сеть от web-угроз с помощью Cisco WSA (ex IronPort)SkillFactory
 
Рекомендованные Cisco архитектуры для различных вертикалей
Рекомендованные Cisco архитектуры для различных вертикалейРекомендованные Cisco архитектуры для различных вертикалей
Рекомендованные Cisco архитектуры для различных вертикалейCisco Russia
 
Пять шагов для защиты ЦОД. Почему традиционная защита может оказаться неэффек...
Пять шагов для защиты ЦОД. Почему традиционная защита может оказаться неэффек...Пять шагов для защиты ЦОД. Почему традиционная защита может оказаться неэффек...
Пять шагов для защиты ЦОД. Почему традиционная защита может оказаться неэффек...Cisco Russia
 

Viewers also liked (7)

Новое поколение DPI решений для задач контентной фильтрации и виртуализации с...
Новое поколение DPI решений для задач контентной фильтрации и виртуализации с...Новое поколение DPI решений для задач контентной фильтрации и виртуализации с...
Новое поколение DPI решений для задач контентной фильтрации и виртуализации с...
 
PiN Telecom: опыт внедрения DPI на базе Cisco SCE.
PiN Telecom: опыт внедрения DPI на базе Cisco SCE. PiN Telecom: опыт внедрения DPI на базе Cisco SCE.
PiN Telecom: опыт внедрения DPI на базе Cisco SCE.
 
Обзор решения Cisco NSO
Обзор решения Cisco NSOОбзор решения Cisco NSO
Обзор решения Cisco NSO
 
Развитие платформ Cisco для MPLS доступа и пре-агрегации
Развитие платформ Cisco для MPLS доступа и пре-агрегацииРазвитие платформ Cisco для MPLS доступа и пре-агрегации
Развитие платформ Cisco для MPLS доступа и пре-агрегации
 
Как защитить сеть от web-угроз с помощью Cisco WSA (ex IronPort)
Как защитить сеть от web-угроз с помощью Cisco WSA (ex IronPort)Как защитить сеть от web-угроз с помощью Cisco WSA (ex IronPort)
Как защитить сеть от web-угроз с помощью Cisco WSA (ex IronPort)
 
Рекомендованные Cisco архитектуры для различных вертикалей
Рекомендованные Cisco архитектуры для различных вертикалейРекомендованные Cisco архитектуры для различных вертикалей
Рекомендованные Cisco архитектуры для различных вертикалей
 
Пять шагов для защиты ЦОД. Почему традиционная защита может оказаться неэффек...
Пять шагов для защиты ЦОД. Почему традиционная защита может оказаться неэффек...Пять шагов для защиты ЦОД. Почему традиционная защита может оказаться неэффек...
Пять шагов для защиты ЦОД. Почему традиционная защита может оказаться неэффек...
 

Similar to Решения Cisco для обеспечения соответствия требования регуляторов по безопасности

Решения Cisco для обеспечения соответствия требованиям регуляторов по безопас...
Решения Cisco для обеспечения соответствия требованиям регуляторов по безопас...Решения Cisco для обеспечения соответствия требованиям регуляторов по безопас...
Решения Cisco для обеспечения соответствия требованиям регуляторов по безопас...Cisco Russia
 
Решения Cisco и их соответствие требованиям 21-го приказа ФСТЭК по защите пер...
Решения Cisco и их соответствие требованиям 21-го приказа ФСТЭК по защите пер...Решения Cisco и их соответствие требованиям 21-го приказа ФСТЭК по защите пер...
Решения Cisco и их соответствие требованиям 21-го приказа ФСТЭК по защите пер...Cisco Russia
 
Оценка защищенности информационных систем, использующих средства криптографич...
Оценка защищенности информационных систем, использующих средства криптографич...Оценка защищенности информационных систем, использующих средства криптографич...
Оценка защищенности информационных систем, использующих средства криптографич...SQALab
 
Обеспечение информационной безопасности систем, внедряемых в рамках ИТ-проектов
Обеспечение информационной безопасности систем, внедряемых в рамках ИТ-проектовОбеспечение информационной безопасности систем, внедряемых в рамках ИТ-проектов
Обеспечение информационной безопасности систем, внедряемых в рамках ИТ-проектовMax Shalomovich
 
Концепция активной обороны
Концепция активной обороныКонцепция активной обороны
Концепция активной обороныAleksey Lukatskiy
 
аутсорсинг It систем леонов-finopolis2016_14окт
аутсорсинг It систем леонов-finopolis2016_14октаутсорсинг It систем леонов-finopolis2016_14окт
аутсорсинг It систем леонов-finopolis2016_14октfinopolis
 
Астерит: ИБ это не продукт, а процесс
Астерит: ИБ это не продукт, а процессАстерит: ИБ это не продукт, а процесс
Астерит: ИБ это не продукт, а процессExpolink
 
Текущее состояние и тенденции развития НПА по ИБ
Текущее состояние и тенденции развития НПА по ИБТекущее состояние и тенденции развития НПА по ИБ
Текущее состояние и тенденции развития НПА по ИБCisco Russia
 
Решения Cisco и их соответствие требованиям 31-го приказа ФСТЭК по защите АСУ ТП
Решения Cisco и их соответствие требованиям 31-го приказа ФСТЭК по защите АСУ ТПРешения Cisco и их соответствие требованиям 31-го приказа ФСТЭК по защите АСУ ТП
Решения Cisco и их соответствие требованиям 31-го приказа ФСТЭК по защите АСУ ТПCisco Russia
 
seminar_fz-152_dataline(1)
seminar_fz-152_dataline(1)seminar_fz-152_dataline(1)
seminar_fz-152_dataline(1)Ignat Dydyshko
 
Информационная безопасность без CEO - не информационная безопасность. Конгрес...
Информационная безопасность без CEO - не информационная безопасность. Конгрес...Информационная безопасность без CEO - не информационная безопасность. Конгрес...
Информационная безопасность без CEO - не информационная безопасность. Конгрес...aspectspb
 
Принцип Парето в информационной безопасности
Принцип Парето в информационной безопасностиПринцип Парето в информационной безопасности
Принцип Парето в информационной безопасностиAleksey Lukatskiy
 
Мониторинг событий информационной безопасности на базе решений HP ArcSight ES...
Мониторинг событий информационной безопасности на базе решений HP ArcSight ES...Мониторинг событий информационной безопасности на базе решений HP ArcSight ES...
Мониторинг событий информационной безопасности на базе решений HP ArcSight ES...DialogueScience
 
Вебинар по HP ArcSight 25.11.14
Вебинар по HP ArcSight 25.11.14Вебинар по HP ArcSight 25.11.14
Вебинар по HP ArcSight 25.11.14DialogueScience
 
Что нас ждет в отечественном законодательстве по ИБ?
Что нас ждет в отечественном законодательстве по ИБ?Что нас ждет в отечественном законодательстве по ИБ?
Что нас ждет в отечественном законодательстве по ИБ?Cisco Russia
 
Документ, как средство защиты: ОРД как основа обеспечения ИБ
Документ, как средство защиты: ОРД как основа обеспечения ИБДокумент, как средство защиты: ОРД как основа обеспечения ИБ
Документ, как средство защиты: ОРД как основа обеспечения ИБSelectedPresentations
 
Обеспечение безопасности при использовании облачных вычислений
Обеспечение безопасности при использовании облачных вычисленийОбеспечение безопасности при использовании облачных вычислений
Обеспечение безопасности при использовании облачных вычисленийAleksei Goldbergs
 
ESET. Александр Зонов. "ESET. Просто. Удобно. Надежно"
ESET. Александр Зонов. "ESET. Просто. Удобно. Надежно"ESET. Александр Зонов. "ESET. Просто. Удобно. Надежно"
ESET. Александр Зонов. "ESET. Просто. Удобно. Надежно"Expolink
 
Техническая защита персональных данных. Как соблюсти GDPR и ФЗ-152
Техническая защита персональных данных.Как соблюсти GDPR и ФЗ-152Техническая защита персональных данных.Как соблюсти GDPR и ФЗ-152
Техническая защита персональных данных. Как соблюсти GDPR и ФЗ-152Aleksey Lukatskiy
 
Безопасность в Интернете
Безопасность в ИнтернетеБезопасность в Интернете
Безопасность в ИнтернетеMatevosyan Artur
 

Similar to Решения Cisco для обеспечения соответствия требования регуляторов по безопасности (20)

Решения Cisco для обеспечения соответствия требованиям регуляторов по безопас...
Решения Cisco для обеспечения соответствия требованиям регуляторов по безопас...Решения Cisco для обеспечения соответствия требованиям регуляторов по безопас...
Решения Cisco для обеспечения соответствия требованиям регуляторов по безопас...
 
Решения Cisco и их соответствие требованиям 21-го приказа ФСТЭК по защите пер...
Решения Cisco и их соответствие требованиям 21-го приказа ФСТЭК по защите пер...Решения Cisco и их соответствие требованиям 21-го приказа ФСТЭК по защите пер...
Решения Cisco и их соответствие требованиям 21-го приказа ФСТЭК по защите пер...
 
Оценка защищенности информационных систем, использующих средства криптографич...
Оценка защищенности информационных систем, использующих средства криптографич...Оценка защищенности информационных систем, использующих средства криптографич...
Оценка защищенности информационных систем, использующих средства криптографич...
 
Обеспечение информационной безопасности систем, внедряемых в рамках ИТ-проектов
Обеспечение информационной безопасности систем, внедряемых в рамках ИТ-проектовОбеспечение информационной безопасности систем, внедряемых в рамках ИТ-проектов
Обеспечение информационной безопасности систем, внедряемых в рамках ИТ-проектов
 
Концепция активной обороны
Концепция активной обороныКонцепция активной обороны
Концепция активной обороны
 
аутсорсинг It систем леонов-finopolis2016_14окт
аутсорсинг It систем леонов-finopolis2016_14октаутсорсинг It систем леонов-finopolis2016_14окт
аутсорсинг It систем леонов-finopolis2016_14окт
 
Астерит: ИБ это не продукт, а процесс
Астерит: ИБ это не продукт, а процессАстерит: ИБ это не продукт, а процесс
Астерит: ИБ это не продукт, а процесс
 
Текущее состояние и тенденции развития НПА по ИБ
Текущее состояние и тенденции развития НПА по ИБТекущее состояние и тенденции развития НПА по ИБ
Текущее состояние и тенденции развития НПА по ИБ
 
Решения Cisco и их соответствие требованиям 31-го приказа ФСТЭК по защите АСУ ТП
Решения Cisco и их соответствие требованиям 31-го приказа ФСТЭК по защите АСУ ТПРешения Cisco и их соответствие требованиям 31-го приказа ФСТЭК по защите АСУ ТП
Решения Cisco и их соответствие требованиям 31-го приказа ФСТЭК по защите АСУ ТП
 
seminar_fz-152_dataline(1)
seminar_fz-152_dataline(1)seminar_fz-152_dataline(1)
seminar_fz-152_dataline(1)
 
Информационная безопасность без CEO - не информационная безопасность. Конгрес...
Информационная безопасность без CEO - не информационная безопасность. Конгрес...Информационная безопасность без CEO - не информационная безопасность. Конгрес...
Информационная безопасность без CEO - не информационная безопасность. Конгрес...
 
Принцип Парето в информационной безопасности
Принцип Парето в информационной безопасностиПринцип Парето в информационной безопасности
Принцип Парето в информационной безопасности
 
Мониторинг событий информационной безопасности на базе решений HP ArcSight ES...
Мониторинг событий информационной безопасности на базе решений HP ArcSight ES...Мониторинг событий информационной безопасности на базе решений HP ArcSight ES...
Мониторинг событий информационной безопасности на базе решений HP ArcSight ES...
 
Вебинар по HP ArcSight 25.11.14
Вебинар по HP ArcSight 25.11.14Вебинар по HP ArcSight 25.11.14
Вебинар по HP ArcSight 25.11.14
 
Что нас ждет в отечественном законодательстве по ИБ?
Что нас ждет в отечественном законодательстве по ИБ?Что нас ждет в отечественном законодательстве по ИБ?
Что нас ждет в отечественном законодательстве по ИБ?
 
Документ, как средство защиты: ОРД как основа обеспечения ИБ
Документ, как средство защиты: ОРД как основа обеспечения ИБДокумент, как средство защиты: ОРД как основа обеспечения ИБ
Документ, как средство защиты: ОРД как основа обеспечения ИБ
 
Обеспечение безопасности при использовании облачных вычислений
Обеспечение безопасности при использовании облачных вычисленийОбеспечение безопасности при использовании облачных вычислений
Обеспечение безопасности при использовании облачных вычислений
 
ESET. Александр Зонов. "ESET. Просто. Удобно. Надежно"
ESET. Александр Зонов. "ESET. Просто. Удобно. Надежно"ESET. Александр Зонов. "ESET. Просто. Удобно. Надежно"
ESET. Александр Зонов. "ESET. Просто. Удобно. Надежно"
 
Техническая защита персональных данных. Как соблюсти GDPR и ФЗ-152
Техническая защита персональных данных.Как соблюсти GDPR и ФЗ-152Техническая защита персональных данных.Как соблюсти GDPR и ФЗ-152
Техническая защита персональных данных. Как соблюсти GDPR и ФЗ-152
 
Безопасность в Интернете
Безопасность в ИнтернетеБезопасность в Интернете
Безопасность в Интернете
 

More from Cisco Russia

Service portfolio 18
Service portfolio 18Service portfolio 18
Service portfolio 18Cisco Russia
 
История одного взлома. Как решения Cisco могли бы предотвратить его?
История одного взлома. Как решения Cisco могли бы предотвратить его?История одного взлома. Как решения Cisco могли бы предотвратить его?
История одного взлома. Как решения Cisco могли бы предотвратить его?Cisco Russia
 
Об оценке соответствия средств защиты информации
Об оценке соответствия средств защиты информацииОб оценке соответствия средств защиты информации
Об оценке соответствия средств защиты информацииCisco Russia
 
Обзор Сервисных Услуг Cisco в России и странах СНГ.
Обзор Сервисных Услуг Cisco в России и странах СНГ.Обзор Сервисных Услуг Cisco в России и странах СНГ.
Обзор Сервисных Услуг Cisco в России и странах СНГ.Cisco Russia
 
Клиентские контракты на техническую поддержку Cisco Smart Net Total Care
Клиентские контракты на техническую поддержку Cisco Smart Net Total CareКлиентские контракты на техническую поддержку Cisco Smart Net Total Care
Клиентские контракты на техническую поддержку Cisco Smart Net Total CareCisco Russia
 
Cisco Catalyst 9000 series
Cisco Catalyst 9000 series Cisco Catalyst 9000 series
Cisco Catalyst 9000 series Cisco Russia
 
Cisco Endpoint Security for MSSPs
Cisco Endpoint Security for MSSPsCisco Endpoint Security for MSSPs
Cisco Endpoint Security for MSSPsCisco Russia
 
Профессиональные услуги Cisco для Software-Defined Access
Профессиональные услуги Cisco для Software-Defined AccessПрофессиональные услуги Cisco для Software-Defined Access
Профессиональные услуги Cisco для Software-Defined AccessCisco Russia
 
Обнаружение известного вредоносного кода в зашифрованном с помощью TLS трафик...
Обнаружение известного вредоносного кода в зашифрованном с помощью TLS трафик...Обнаружение известного вредоносного кода в зашифрованном с помощью TLS трафик...
Обнаружение известного вредоносного кода в зашифрованном с помощью TLS трафик...Cisco Russia
 
Промышленный Интернет вещей: опыт и результаты применения в нефтегазовой отрасли
Промышленный Интернет вещей: опыт и результаты применения в нефтегазовой отраслиПромышленный Интернет вещей: опыт и результаты применения в нефтегазовой отрасли
Промышленный Интернет вещей: опыт и результаты применения в нефтегазовой отраслиCisco Russia
 
Полугодовой отчет Cisco по информационной безопасности за 2017 год
Полугодовой отчет Cisco по информационной безопасности за 2017 год Полугодовой отчет Cisco по информационной безопасности за 2017 год
Полугодовой отчет Cisco по информационной безопасности за 2017 год Cisco Russia
 
Годовой отчет Cisco по кибербезопасности за 2017 год
Годовой отчет Cisco по кибербезопасности за 2017 годГодовой отчет Cisco по кибербезопасности за 2017 год
Годовой отчет Cisco по кибербезопасности за 2017 годCisco Russia
 
Безопасность для цифровой экономики. Развитие продуктов и решений Cisco
Безопасность для цифровой экономики. Развитие продуктов и решений CiscoБезопасность для цифровой экономики. Развитие продуктов и решений Cisco
Безопасность для цифровой экономики. Развитие продуктов и решений CiscoCisco Russia
 
Cisco StealthWatch. Использование телеметрии для решения проблемы зашифрованн...
Cisco StealthWatch. Использование телеметрии для решения проблемы зашифрованн...Cisco StealthWatch. Использование телеметрии для решения проблемы зашифрованн...
Cisco StealthWatch. Использование телеметрии для решения проблемы зашифрованн...Cisco Russia
 
Обеспечение бесперебойной работы корпоративных приложений в больших гетероген...
Обеспечение бесперебойной работы корпоративных приложений в больших гетероген...Обеспечение бесперебойной работы корпоративных приложений в больших гетероген...
Обеспечение бесперебойной работы корпоративных приложений в больших гетероген...Cisco Russia
 
Новое поколение серверов Сisco UCS. Гиперконвергентное решении Cisco HyperFle...
Новое поколение серверов Сisco UCS. Гиперконвергентное решении Cisco HyperFle...Новое поколение серверов Сisco UCS. Гиперконвергентное решении Cisco HyperFle...
Новое поколение серверов Сisco UCS. Гиперконвергентное решении Cisco HyperFle...Cisco Russia
 

More from Cisco Russia (20)

Service portfolio 18
Service portfolio 18Service portfolio 18
Service portfolio 18
 
История одного взлома. Как решения Cisco могли бы предотвратить его?
История одного взлома. Как решения Cisco могли бы предотвратить его?История одного взлома. Как решения Cisco могли бы предотвратить его?
История одного взлома. Как решения Cisco могли бы предотвратить его?
 
Об оценке соответствия средств защиты информации
Об оценке соответствия средств защиты информацииОб оценке соответствия средств защиты информации
Об оценке соответствия средств защиты информации
 
Обзор Сервисных Услуг Cisco в России и странах СНГ.
Обзор Сервисных Услуг Cisco в России и странах СНГ.Обзор Сервисных Услуг Cisco в России и странах СНГ.
Обзор Сервисных Услуг Cisco в России и странах СНГ.
 
Клиентские контракты на техническую поддержку Cisco Smart Net Total Care
Клиентские контракты на техническую поддержку Cisco Smart Net Total CareКлиентские контракты на техническую поддержку Cisco Smart Net Total Care
Клиентские контракты на техническую поддержку Cisco Smart Net Total Care
 
Cisco Catalyst 9000 series
Cisco Catalyst 9000 series Cisco Catalyst 9000 series
Cisco Catalyst 9000 series
 
Cisco Catalyst 9500
Cisco Catalyst 9500Cisco Catalyst 9500
Cisco Catalyst 9500
 
Cisco Catalyst 9400
Cisco Catalyst 9400Cisco Catalyst 9400
Cisco Catalyst 9400
 
Cisco Umbrella
Cisco UmbrellaCisco Umbrella
Cisco Umbrella
 
Cisco Endpoint Security for MSSPs
Cisco Endpoint Security for MSSPsCisco Endpoint Security for MSSPs
Cisco Endpoint Security for MSSPs
 
Cisco FirePower
Cisco FirePowerCisco FirePower
Cisco FirePower
 
Профессиональные услуги Cisco для Software-Defined Access
Профессиональные услуги Cisco для Software-Defined AccessПрофессиональные услуги Cisco для Software-Defined Access
Профессиональные услуги Cisco для Software-Defined Access
 
Обнаружение известного вредоносного кода в зашифрованном с помощью TLS трафик...
Обнаружение известного вредоносного кода в зашифрованном с помощью TLS трафик...Обнаружение известного вредоносного кода в зашифрованном с помощью TLS трафик...
Обнаружение известного вредоносного кода в зашифрованном с помощью TLS трафик...
 
Промышленный Интернет вещей: опыт и результаты применения в нефтегазовой отрасли
Промышленный Интернет вещей: опыт и результаты применения в нефтегазовой отраслиПромышленный Интернет вещей: опыт и результаты применения в нефтегазовой отрасли
Промышленный Интернет вещей: опыт и результаты применения в нефтегазовой отрасли
 
Полугодовой отчет Cisco по информационной безопасности за 2017 год
Полугодовой отчет Cisco по информационной безопасности за 2017 год Полугодовой отчет Cisco по информационной безопасности за 2017 год
Полугодовой отчет Cisco по информационной безопасности за 2017 год
 
Годовой отчет Cisco по кибербезопасности за 2017 год
Годовой отчет Cisco по кибербезопасности за 2017 годГодовой отчет Cisco по кибербезопасности за 2017 год
Годовой отчет Cisco по кибербезопасности за 2017 год
 
Безопасность для цифровой экономики. Развитие продуктов и решений Cisco
Безопасность для цифровой экономики. Развитие продуктов и решений CiscoБезопасность для цифровой экономики. Развитие продуктов и решений Cisco
Безопасность для цифровой экономики. Развитие продуктов и решений Cisco
 
Cisco StealthWatch. Использование телеметрии для решения проблемы зашифрованн...
Cisco StealthWatch. Использование телеметрии для решения проблемы зашифрованн...Cisco StealthWatch. Использование телеметрии для решения проблемы зашифрованн...
Cisco StealthWatch. Использование телеметрии для решения проблемы зашифрованн...
 
Обеспечение бесперебойной работы корпоративных приложений в больших гетероген...
Обеспечение бесперебойной работы корпоративных приложений в больших гетероген...Обеспечение бесперебойной работы корпоративных приложений в больших гетероген...
Обеспечение бесперебойной работы корпоративных приложений в больших гетероген...
 
Новое поколение серверов Сisco UCS. Гиперконвергентное решении Cisco HyperFle...
Новое поколение серверов Сisco UCS. Гиперконвергентное решении Cisco HyperFle...Новое поколение серверов Сisco UCS. Гиперконвергентное решении Cisco HyperFle...
Новое поколение серверов Сisco UCS. Гиперконвергентное решении Cisco HyperFle...
 

Решения Cisco для обеспечения соответствия требования регуляторов по безопасности

  • 1. Решения Cisco для обеспечения соответствия требованиям регуляторов по безопасности #1153 Лукацкий Алексей, консультант по безопасности
  • 2. Активность законодателей только возрастает • В среднем 4 нормативных акта (проекта) в месяц – 2012 – 5, 2013 – 4, 2014 – 6 – Активность будет только возрастать – В октябре почему-то всегда минимальная активность J
  • 3. Это только начало • Около 50 нормативных актов уже запланировано к разработке на ближайшее время – Они не включены в диаграмму
  • 4. Жертвы давно определены • Национальная платежная система и банки • Госорганы • КВО / ТЭК / КИИ • Операторы связи
  • 5. Какие направления будут в фаворе в 2015/16? Критические инфраструктуры Персональные данные ИБ Государственные ИС Национальная платежная система Субъекты Интернет- отношений Облачные технологии
  • 6. Регуляторов в области ИБ у нас 16+ • ФСБ, ФСТЭК, СВР, МинОбороны, ФСО • Минкомсвязь, Роскомнадзор • МВД, Банк России • Совет Безопасности • PCI Council • Минэнерго, Минэкономразвития • Администрация Президента • Ростехрегулирование • Минтруд, Рособразование • Каждый ФОИВ мнит себя регулятором по ИБ… ФСТЭК ФСБ Банк России
  • 8. ФСТЭК унифицирует требования по защите информации Особенность Приказ по защите ПДн Приказ по защите ГИС/МИС Приказ по АСУ ТП Требования по защите привязаны к 4 уровням защищенности ПДн 4 классам защищенности ГИС/МИС 3 классам защищенности АСУ ТП Порядок в триаде КЦД КЦД ДЦК Возможность Да Да Да гибкого выбора защитных мер Проверка на отсутствие НДВ Требуется для угроз 1-2 типа (актуальность определяется заказчиком) Требуется для 1-2 класса защищенности ГИС/МИС Требуется только при выборе сертифицированных средств защиты
  • 9. Но разница между требованиями ФСТЭК все-таки есть Особенность Приказ №21 Приказ №17 Приказ №31 Оценка соответствия В любой форме (нечеткость формулировки и непонятное ПП-330) Только сертификация В любой форме (в соответствии с ФЗ-184) Аттестация Коммерческий оператор - на выбор оператора Госоператор - аттестация Обязательна Возможна, но не обязательна Контроль и надзор Прокуратура – все ФСТЭК/ФСБ – только госоператоры (РКН не имеет полномочий проверять коммерческих операторов ПДн) ФСТЭК ФСБ и ФОИВ, ответственный за безопасность КИИ (определяется в настоящий момент)
  • 10. Меры по защите информации • Организационные и технические меры защиты информации, реализуемые в АСУ ТП – идентификация и аутентификация субъектов доступа и объектов доступа – управление доступом субъектов доступа к объектам доступа – ограничение программной среды – защита машинных носителей информации – регистрация событий безопасности – антивирусная защита – обнаружение (предотвращение) вторжений – контроль (анализ) защищенности – целостность АСУ ТП – доступность технических средств и информации – защита среды виртуализации
  • 11. Меры по защите информации • продолжение: – защита технических средств и оборудования – защита АСУ ТП и ее компонентов – безопасная разработка прикладного и специального программного обеспечения разработчиком – управление обновлениями программного обеспечения – планирование мероприятий по обеспечению защиты информации – обеспечение действий в нештатных (непредвиденных) ситуациях – информирование и обучение пользователей – анализ угроз безопасности информации и рисков от их реализации – выявление инцидентов и реагирование на них – управление конфигурацией информационной системы и ее системы защиты АСУ ТП ПДн + АСУ ТП
  • 12. Меры по защите информации: общее Защитная мера ПДн ГИС АСУ ТП Идентификация и аутентификация субъектов доступа и объектов доступа + + + Управление доступом субъектов доступа к объектам доступа + + + Ограничение программной среды + + + Защита машинных носителей информации, на которых хранятся и (или) обрабатывается КИ + + + Регистрация событий безопасности + + + Антивирусная защита + + + Обнаружение (предотвращение) вторжений + + + Контроль (анализ) защищенности персональных данных + + + Обеспечение целостности информационной системы и КИ + + + Обеспечение доступности персональных данных + + + Защита среды виртуализации + + + Защита технических средств + + + Защита информационной системы, ее средств, систем связи и передачи данных + + +
  • 13. Меры по защите информации: различия Защитная мера ПДн ГИС АСУ ТП Управление инцидентами + + Управление конфигурацией информационной системы и системы защиты КИ + + Безопасная разработка прикладного и специального программного обеспечения разработчиком + Управление обновлениями программного обеспечения + Планирование мероприятий по обеспечению защиты информации + Обеспечение действий в нештатных (непредвиденных) ситуациях + Информирование и обучение пользователей + Анализ угроз безопасности информации и рисков от их реализации + • Планы – Унификация перечня защитных мер для всех трех приказов – Выход на 2-хлетний цикл обновления приказов
  • 14. Что есть у Cisco с точки зрения защиты информации?
  • 15. А что из этого позволяет выполнить требования приказов ФСТЭК? • Решения Cisco позволяют выполнить многие требования приказов ФСТЭК по защите ПДн, ГИС/МИС и АСУ ТП
  • 16. На всех участках корпоративной, ведомственной и индустриальной сети
  • 17. Что включается в базовый набор? • Базовый набор защитных мер – это не минимально возможный перечень мер защиты • Это рекомендуемый набор мер защиты «по умолчанию», составленный как набор «лучших практик» – Для тех, кто не готов пересматривать защитные меры исходя из особенностей своей информационной системы
  • 18. Как трактовать меры? • 11 февраля 2014 утвержден методический документ «Меры защиты информации в государственных системах» • Методический документ детализирует организационные и технические меры защиты информации, а также определяет содержание мер защиты информации и правила их реализации • По решению оператора ПДн настоящий методический документ применяется для обеспечения безопасности ПДн • Планируется разработка аналогичного документа по АСУ ТП
  • 19. Когда сказать «достаточно»? • В подразделах «требования к реализации меры защиты информации» для каждой меры указано требование к тому, каким образом и в каком объеме должна быть реализована каждая мера защиты информации • В зависимости от класса защищенности ИС минимальные требования к реализации уточненной адаптированной базовой меры защиты информации подлежат усилению для повышения уровня защищенности информации – Усиления мер защиты информации применяются дополнительно к требованиям по реализации мер защиты информации
  • 20. Как определяются защитные меры? • Выбор мер по обеспечению безопасности ПДн, подлежащих реализации в системе защиты ПДн, включает – определение базового набора мер – адаптацию базового набора мер с учетом структурно-функциональных характеристик ИСПДн, ИТ, особенностей функционирования ИСПДн – уточнение адаптированного базового набора с учетом не выбранных ранее мер – дополнение уточненного адаптированного базового набора мер по обеспечению безопасности ПДн дополнительными мерами, установленными иными нормативными актами Базовые меры Адаптация базового набора Уточнение адаптированного набора Дополнение уточненного адаптированного набора Компенсационные меры
  • 21. А можно ли исключать защитные меры из списка? • Исключение из базового набора мер возможно, если какие-либо информационные технологии не используются в информационной системе, или присутствуют структурно- функциональные характеристики, не свойственные информационной системе • Например, мера – ИАФ.6 «Идентификация и аутентификация пользователей, не являющихся работниками оператора (внешних пользователей)» при отсутствии внешних пользователей – если данная характеристика не свойственна ИСПДн – УПД.14 «Регламентация и контроль использования в информационной системе технологий беспроводного доступа» - если данная ИТ не используется в ИСПДн
  • 22. А если какую-то меру невозможно реализовать? • При невозможности технической реализации отдельных выбранных мер по обеспечению безопасности персональных данных, а также с учетом экономической целесообразности на этапах адаптации базового набора мер и (или) уточнения адаптированного базового набора мер могут разрабатываться иные (компенсирующие) меры, направленные на нейтрализацию актуальных угроз безопасности персональных данных
  • 23. Компенсирующие меры • В ходе разработки системы защиты персональных данных должно быть проведено обоснование применения компенсирующих мер для обеспечения безопасности персональных данных • Примеры – Среда виртуализации на базе KVM, Xen или Hyper-V и отсутствие сертифицированных МСЭ – Антивирус на Apple iOS и MDM / NAC / перенаправление на шлюз – Замена антивируса замкнутой программной средой – Замена МСЭ маршрутизатором или коммутатором – Замена системы обнаружения вторжений системой анализа сетевого трафика
  • 25. Оценка соответствия средств защиты Приказ №17 • Оценка соответствия проводится в форме обязательной сертификации • Сертификация средств защиты в системах ФСТЭК или ФСБ Приказ №21 • Особых требований к форме оценки соответствия не предъявляется • Могут использоваться в том числе и сертифицирован- ные средства защиты Приказ №31 • Требований к форме оценки соответствия не предъявляются • Могут использоваться в том числе и сертифицирован- ные средства защиты (если есть)
  • 26. Оценка соответствия ≠ сертификация Оценка соответствия Госконтроль и надзор Аккредитация Испытания Регистрация Подтверждение соответствия Добровольная сертификация Обязательная сертификация Декларирование соответствия Приемка и ввод в эксплуатацию В иной форме
  • 27. Каждый приказ содержит привязку классов защищенности к классам защиты СрЗИ (где надо) Тип СЗИ / ПО 3 класс АСУ ТП 2 класс 1 класс СВТ Не ниже 5 Не ниже 5 Не ниже 5 IDS Не ниже 5 Не ниже 4 Не ниже 3 Антивирус Не ниже 5 Не ниже 4 Не ниже 3 Средства доверенной загрузки Не ниже 5 Не ниже 4 Не ниже 3 Средства контроля съемных носителей Не ниже 5 Не ниже 4 Не ниже 3 МСЭ Не ниже 4 3Интернет 4 3Интернет 4 НДВ в СЗИ - Не ниже 4 Не ниже 4
  • 28. Какие решения Cisco имеют сертификаты ФСТЭК? • Многофункциональные защитные устройства – Cisco ASA 5505, 5510, 5520, 5540, 5550, 5580 – Cisco ASA 5512-X, 5515-X, 5525-X, 5545-X, 5555-X, 5585-X – Cisco ASA SM • Системы предотвращения вторжений – Cisco IPS 4200, AIP-SSM-10/20, IPS 4240, 4255, 4260, 4270, IDSM2 • Межсетевые экраны – Cisco Pix 501, 506, 515, 520, 525, 535 – Cisco FWSM – Cisco 1800, 2800, 3800, 7200, 7600, 676, 871, 881, 891, 1750, 1751, 1760-V, 1811, 1841, 2509, 26xx, 2600, 2611, 2621, 2651, 2801, 2811, 2821, 2851, 2901, 2911, 3640, 3661, 3662, 3725, 3745, 3825, 3845, 3925, 7201, 7206, 7301, 7604 – ASR 1002, GSR 12404, CGR2000, CGR2500
  • 29. Какие решения Cisco имеют сертификаты ФСТЭК? • Коммутаторы – Cisco Catalyst 2912, 2924, 2950G, 2960, 2970, 3508G, 3512, 3524, 3548, 3550, 3560, 3750, 4003, 4503, 4506, 4507, 4510, 4900, 6006, 6504, 6506, 6509, 6513 – Cisco Nexus • Системы управления – CiscoWorks Monitoring Center – Cisco Security Manager 3.2, 3.3 – Cisco Secure ACS 4.x – Cisco Secure ACS 1121 – CS MARS 20, 25, 50, 100, 110 • Прочее – Cisco AS5350XM
  • 30. Какие решения Cisco поданы на сертификацию? • Системы предотвращения вторжений – Cisco IPS 4345, 4360, 4510, 4520 – Cisco IPS for АСУ ТП • Межсетевые экраны – Cisco ASA 1000v – Cisco Virtual Security Gateway • Cisco UCS • Решения Sourcefire
  • 32. Недавние и планируемые изменения по направлению ПДн Что было • Приказ ФСТЭК №21 по защите ПДн в ИСПДн • Приказ об отмене «приказа трех» по классификации ИСПДн • Приказ и методичка РКН по обезличиванию • Новая версия стандарта Банка России (СТО БР ИББС) • Закон 242-ФЗ о запрете хранения ПДн россиян за границей • Письмо Банка России 42-Т • Приказ ФСБ №378 по использованию СКЗИ для защиты ПДн • ПП-911 по отмене обязательного обезличивания Что будет • Законопроект Совета Федерации по внесению изменений в ФЗ-152 • Законопроект по внесению изменений в КоАП • Работа Межведомственного экспертного совета при Минкомсвязи по совершенствованию законодательства в области регулирования отношений, связанных с обработкой ПДн • Отраслевые модели угроз • Ратификация дополнительного протокола Евроконвенции (181)
  • 33. Законопроект по штрафам • В новом законопроекте меняется текст статьи 13.11, которая устанавливает два состава правонарушений – Нарушение требований к письменному согласию субъекта (<=50K) – Обработка ПДн без согласия или иных законных оснований (<=50K) • Также вводится еще 3 новых статьи: – 13.11.1 - незаконная обработка спецкатегорий ПДн (<=300K) – 13.11.2 - непредоставление оператором информации и (или) доступа к сведениям, предусмотренным законодательством о ПДн. Данная статья наказывает в т.ч. и за отсутствие политики в отношении обработки ПДн (<=45K) – 13.11.3 – нарушение правил неавтоматизированной обработки и обезличивания (<=50K)
  • 34. «Приказ трех» по классификации больше не действует • «Приказ трех» формально не действует с 01.11.2012 – Согласно нормам правам • ФСТЭК специально разработала приказ о недействительности «приказа трех» – Утвержден 31 декабря 2013 года – №151/786/461 – Подписан руководителями ФСТЭК, ФСБ и Минкомсвязи • Теперь необходимо определять уровни защищенности – Уровень зависит от типа актуальных угроз, а не количества и типа ПДн
  • 35. Актуальные ли угрозы 1-го и 2-го типов? КН1 • Н1-Н3 3 тип КН2 • Н4-Н5 КН3 • Н6 1 тип 2 тип Категории нарушителей Типы угроз Было • Согласно ПП-1119 определение типа угроз, актуальных для ИСПДн, производится оператором ПДн – Или в отраслевой модели угроз (как у Банка России) • Речь идет об актуальной, а не теоретической опасности Стало
  • 36. Закон о запрете хранения ПДн россиян за границей • Реализация положения ФЗ-242 «о запрете хранения ПДн россиян за границей» – Запрет хранения – Наказание за нарушение – Выведение РКН из под действия 294-ФЗ • Вступает в силу с 1 сентября 2016 года – Возможен сдвиг на 01.01.2015 – Возможно будут вноситься изменения • Как решить проблему при вступлении закона в силу в жестком варианте? – Передача и хранение обезличенных данных – Передача и хранение архивных данных
  • 37. Приказ ФСБ №378 • Настоящий документ устанавливает состав и содержание необходимых для выполнения установленных Правительством Российской Федерации требований к защите ПДн для каждого из уровней защищенности организационных и технических мер по обеспечению безопасности ПДн при их обработке в ИСПДн • Принят 10 июля 2014 года, вступил в силу с 28 сентября 2014 года
  • 38. Приказ ФСБ №378 • Даны разъяснения (имеющие характер обязательных) положений ПП-1119 – Например, что такое «организация режима обеспечения безопасности помещений», «сохранность персональных данных», «электронный журнал сообщений» и т.п. • Средства криптографической защиты персональных данных могут быть ТОЛЬКО сертифицированными
  • 39. Соответствие уровней защищенности классам СКЗИ • В зависимости от совокупности предположений о возможностях, которые могут использоваться при создании способов, подготовке и проведении атак СКЗИ подразделяются на классы Уровень защищенности 3-й тип угроз 2-й тип угроз 1-й тип угроз 4 КС1+ КС1+ КС1+ 3 КС1+ КВ - 2 КС1+ КВ 1 - КВ КА
  • 40. Сертифицированная криптография Cisco • Совместное решение Cisco и С- Терра СиЭсПи – Ведутся сертификационные испытания совместно с ИнфоТеКС • Сертификат ФСБ по классам КС1/ КС2/КС3 – На новой платформе КС1 (в данной момент) – КС2 – конец года • Данная платформа может быть использована и для установки других сертифицированных средств защиты
  • 41. ViPNet IDS (Intrusion Detection System) Обнаружение компьютерных атак на основе динамического анализа сетевого трафика стека протоколов TCP/IP Установление источников компьютерных инцидентов Производить эвристический анализ по выявлению аномалий в сетевом трафике и в действиях пользователей ViPNet IDS. Регистрация компьютерных атак (вторжений) в моменты времени, близкие к реальным, с уведомлением администратора Автоматически передавать параметры ViPNet IDS в системы управления событиями ИБ в формате syslog или syslog (CEF)
  • 42. Об изменении правил сертификации СКЗИ с конца 2013-го года • Можно ли использовать сертифицированное криптоядро в составе VPN-решений? – Можно • Будет ли такое решение сертифицированным? – Нет!!!
  • 43. Что делать, если сертифицированной криптографии физически нет? • Понятие конфиденциальности ПДн упоминают ст.6.3, ст.7 и 23.4 • Согласно ст.7 под конфиденциальностью ПДн понимается обязанность операторами и иными лицами, получивших доступ к персональным данным: – Не раскрывать ПДн третьим лицам – Не распространять ПДн без согласия субъекта персональных данных – Если иное не предусмотрено федеральным законом • Оператор при обработке персональных данных обязан принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты персональных данных от неправомерного или случайного доступа к ним… – Ст.19
  • 44. Как обеспечить конфиденциальность или защиту от ознакомления с ПДн? • Получить согласие субъекта на передачу ПДн в открытом виде • Сделать ПДн общедоступными • Обеспечить контролируемую зону • Использовать оптические каналы связи при правильной модели угроз • Использовать соответствующие механизмы защиты от НСД, исключая шифрование, например, MPLS или архивирование • Переложить задачу обеспечения конфиденциальности на оператора связи • Передавать в канал связи обезличенные данные • Использовать СКЗИ для защиты ПДн
  • 45. Только 8-10% операторов использует СКЗИ
  • 46. Вы можете принудить субъекта отказаться от конфиденциальности его ПДн • РКН раньше на своем сайте, а портал госуслуг до сих пор вынуждает вас отказаться от конфиденциально сти • У вас есть выбор – или соглашаться, или нет Ответ Роскомнадзора
  • 47. Вы можете сделать ПДн общедоступными • РЖД делает регистрационные данные пользователей своего сайта общедоступными • РКН не против • Шифрование в таком случае не нужно
  • 48. Вы можете правильно провести границу ИСПДн
  • 49. Еще четыре сценария • Обезличивание из персональных данных делает неперсональные • Они выпадают из под ФЗ-152 • Не требуется даже конфиденциальность Обезличивание • Оператор связи по закону «О связи» обязан обеспечивать тайну связи • Почему бы в договоре с оператором явно не прописать обязанность обеспечить конфиденциальность всех передаваемых данных, включая и ПДн Оператор связи • Снять информацию с оптического канала связи возможно, но непросто и недешево • Почему бы не зафиксировать в модели угроз соответствующую мысль Оптика • Для защиты от несанкционированного доступа на сетевом уровне могут применяться различные технологии; не только шифрование • Например, MPLS, обеспечивающая разграничение доступа Виртуальные сети
  • 51. Недавние и планируемые изменения по направлению КИИ / КСИИ / КВО / АСУ ТП Что было • Постановление Правительства №861 от 02.10.2013 • Приказ ФСТЭК №31 по защите АСУ ТП Что будет • Законопроект по безопасности критических информационных инфраструктур • Законопроект о внесении изменений в связи с принятием закона о безопасности КИИ • Подзаконные акты • Методические документы ФСТЭК
  • 52. Новый приказ ФСТЭК №31 • «Об утверждении Требований к обеспечению защиты информации в автоматизированных системах управления производственными и технологическими процессами на критически важных объектах, потенциально опасных объектах, а также объектах, представляющих повышенную опасность для жизни и здоровья людей и для окружающей природной среды» – Ориентация на объекты ТЭК, транспортной безопасности, использования атомной энергии, опасных производственных объектов, гидротехнических сооружений
  • 53. Смена парадигмы • Принимаемые организационные и технические меры защиты информации должны обеспечивать доступность обрабатываемой в АСУ ТП (исключение неправомерного блокирования информации), ее целостность (исключение неправомерного уничтожения, модифицирования информации), а также, при необходимости, конфиденциальность (исключение неправомерного доступа, копирования, предоставления или распространения информации) • Организационные и технические меры защиты информации должны быть согласованы с мерами по промышленной, физической, пожарной, экологической, радиационной безопасности, иными мерами по обеспечению безопасности АСУ ТП и управляемого (контролируемого) объекта и (или) процесса и не должны оказывать отрицательного (мешающего) влияния на штатный режим функционирования АСУ ТП
  • 54. Ключевые отличия требований по ИБ КСИИ и АСУ ТП • Объект защиты • Классификация АСУ ТП / КСИИ • Уровень открытости циркулируемой в АСУ ТП / КСИИ информации • Парадигма (КЦД vs ДЦК) • Требования по защите • Требования по оценке соответствия • Участники процесса защиты информации АСУ ТП – это подмножество КСИИ
  • 55. Решения Cisco для индустриальных сетей FW NGFW IPS ISE VPN VDI WSA Level 5 Level 4 Level 3½ Level 3 Level 2 Level 1 Level 0 Enterprise Zone DMZ PCD / Manufacturing Zone PCN / Cell / Area Zone ? ?
  • 56. Поправки в связи с принятием закона о безопасности КИИ • Поправки в УК РФ и УПК РФ – Внесение изменений в статьи 272, 274, 151 (УПК) • Поправки в закон «О государственной тайне» – Сведения о степени защищенности и мерах безопасности объектов средней и высокой степени опасности • Поправки в 294-ФЗ – Выведение из под порядка проведения проверок КИИ • Поправки в 184-ФЗ – Исключение двойного регулирования
  • 57. Что еще готовится в связи с законопроектом о безопасности КИИ? • Определение ФОИВ, уполномоченного в области безопасности КИИ – Через 6 месяцев после принятия закона • Постановления Правительства «Об утверждении показателей критериев категорирования элементов критической информационной инфраструктуры» – Принятие в течение 6 месяцев после определения ФОИВ, уполномоченного в области безопасности КИИ • Постановление Правительства «Об утверждении порядка подготовки и использования ресурсов единой сети связи электросвязи для обеспечения функционирования и взаимодействия объектов КИИ» • Приказ уполномоченного ФОИВ об утверждении требований по безопасности КИИ – Это не 31-й приказ!!!
  • 58. Что еще готовится в связи с законопроектом о безопасности КИИ? • Приказы уполномоченного ФОИВ об аккредитации, о представлении сведений для категорирования, о контроле/ надзоре, о реестре объектов КИИ • Приказ ФСБ об утверждении порядка реагирования на компьютерные инциденты и ликвидации последствий компьютерных атак на объектах КИИ • Приказ ФСБ о перечне и порядке предоставлений сведений в СОПКА • Приказ ФСБ о порядке доступа к информации в СОПКА • Приказ ФСБ об утверждении требований к техсредствам СОПКА • Приказ ФСБ об установке и эксплуатации техсредств СОПКА Приказ ФСБ о национальном CERT • Приказ Минкомсвязи об условиях установки СОВ на сетях электросвязи
  • 59. Планируемые методические документы ФСТЭК • Применение «старых» документов ФСТЭК по КСИИ в качестве рекомендательных и методических – «Рекомендации…» и «Методика определения актуальных угроз…» • Методичка по реагированию на инциденты (в разработке) • Методичка по анализу уязвимостей (в разработке) • Методичка по управлению конфигурацией (в разработке) • Методичка по аттестации (в разработке) • Методичка по мерам защиты в АСУ ТП (в разработке) – По аналогии с «Мерами защиты в ГИС»
  • 61. Недавние и планируемые изменения по направлению ГИС Что было • Приказ ФСТЭК №17 по защите информации в ГИС • Методический документ по мерам защиты информации в государственных информационных системах Что будет • Порядок моделирования угроз безопасности информации в информационных системах • Новая редакция приказа №17 и «мер защиты в ГИС» • Методические и руководящие документы ФСТЭК • Законопроекты о запрете хостинга ГИС за пределами РФ, о служебной тайне, по импортозамещению…
  • 62. Что такое ГИС? • В РФ существует множество различных классификаций информационных систем – Особенно для государственных органов и органов местного самоуправления • В вопросе отнесения информационных систем госорганов к ГИС до сих пор остаются неясные моменты • Требования по безопасности прописаны преимущественно в ПП-424 и приказе ФСТЭК №17 – Возможны и иные требования, специфичные для отдельных видов ИС ГИС = создана в государственном органе ГИС = есть приказ о ее создании (вводе в эксплуатацию) ГИС = зарегистрирована в реестре
  • 63. Что еще есть кроме 17-го приказа? • ИС организаций, подключаемых к инфраструктуре, обеспечивающей информационно-технологическое взаимодействие ИС, используемых для предоставления государственных и муниципальных услуг в электронной форме – Приказ Минкомсвязи от 9 декабря 2013 г. №390 • ИС общего пользования – ПП-424 + Приказ Минкомсвязи от 25 августа 2009 года №104 + Приказ ФСБ и ФСТЭК от 31 августа 2010 г. N 416/489 • ИС открытых данных – Приказ Минкомсвязи России от 27.06.2013 №149 • Сайты ФОИВ – Приказ Минэкономразвития России от 16.11.2009 №470 • ИС, предназначенные для информирования общественности о деятельности ФОГВ и ОГВ субъектов РФ (ИСИОД)
  • 64. ФСТЭК планирует установить новые требования к средствам защиты • ФСТЭК (2013-2015) – Требования к средствам доверенной загрузки (принят) – Требования к средствам контроля съемных носителей – Требования к средствам контроля утечек информации (DLP) – Требования к средствам аутентификации – Требования к средствам разграничения доступа – Требования к средствам контроля целостности – Требования к средствам очистки памяти – Требования к средствам ограничения программной среды – Требования к средствам управления потоками информации – Требования к МСЭ – Требования к средствам защиты виртуализации – ГОСТы по защите виртуализации и облачных вычислений – ГОСТ по защищенному программированию (SDLC)
  • 65. У ФСТЭК большие планы по регулированию госорганов и муниципалов
  • 66. Планируемые методические документы ФСТЭК • Порядок аттестации распределенных информационных систем • Порядок обновления программного обеспечения в аттестованных информационных системах • Порядок обновления сертифицированных средств защиты информации • Порядок выявления и устранения уязвимостей в информационных системах • Порядок реагирования на инциденты, которые могут привести к сбоям или нарушению функционирования информационной системы и (или) к возникновению угроз безопасности информации • …
  • 67. Единая методика моделирования угроз • Методика определения угроз безопасности информации в информационных системах • Распространяется на – ГИС / МИС – ИСПДн – КСИИ – АСУ ТП – Иные ИС и АС, в которых в соответствии с законодательством РФ и (или) требованиями заказчика должна быть обеспечена конфиденциальность, целостность и (или) доступность информации • Исключает угрозы СКЗИ и ПЭМИН
  • 69. Недавние и планируемые изменения по направлению НПС/банковской тайны Что было • 382-П (3007-У) • 2831-У (3024-У) • 55-Т • 42-Т • 49-Т • 242-П • СТО БР ИББС 1.0 и 1.2 • Отмена РС 2.3 и 2.4 • Принятие новых РС 2.5 и 2.6 Что будет • Новая редакция 382-П (3361-У) • Новые РС • Требования для организаций финансового рынка (ФСФР) • Банковский CERT • Отраслевая модель угроз ПДн
  • 70. Указание 3361-У • Утверждено 14 августа 2014 • Опубликовано в «Вестнике Банка России» №83 17 сентября • Вступает в силу с 16 марта 2015 года
  • 71. Важные изменения в 382-П • Основные изменения – Требования к обеспечению защиты информации при осуществлении переводов денежных средств с применением банкоматов и платежных терминалов, с использованием систем Интернет- банкинга, мобильного банкинга – Требования к использованию платежных карт, оснащенных микропроцессором – Требования к обеспечению ИБ жизненного цикла платежных приложений
  • 72. Что планирует Банк России в новой версии СТО? • СТО БР ИББС 1.0 (5-я версия) – Принятие Банком России произошло путем подписания распоряжения Банка России от 17 мая 2014 года № Р-399 и № Р-400 – Вступил в силу с 01.06.2014 • С 1-го июня отменены предыдущие версии СТО 1.0 и 1.2, а также РС 2.3 (защита ПДн) и 2.4 (отраслевая модель угроз)
  • 73. Также Банк России принял • Четвертая редакция стандарта Банка России «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Методика оценки соответствия информационной безопасности организаций банковской системы Российской Федерации требованиям СТО БР ИББС-1.0-2014» С 01.06.14 • Рекомендации в области стандартизации Банка России «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Менеджмент инцидентов информационной безопасности» С 01.06.14 • Рекомендации в области стандартизации Банка России «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Обеспечение информационной безопасности на стадиях жизненного цикла автоматизированных банковских систем» С 01.09.14
  • 74. Планируемые изменения по направлению СТО БР ИББС в 2015-2016-м годах • Проекты новых РС – Проект РС по ресурсному обеспечению информационной безопасности – Проект РС по виртуализации – Проект РС по предотвращению утечек информации • Пересмотр «старых» документов СТО • СТО 1.1, РС 2.0, 2.1 и 2.2 • Разработка новых РС – Противодействие мошенничеству – Облачные технологии и аутсорсинг – Распределение ролей 74
  • 75. Архитектура защиты НПС с помощью решений Cisco Сервер процессинга Допофис / отделение Периметр Интернет ISR Catalyst ASA MDM 6500 ASA SM OpenSOC ISE Nexus WAP Главный офис ASR ASA Интернет- банк CTD WAP Мобильный POS-терминал POS Киоск ПК банковского работника Блок управления ЦОД WAP Internet Беспроводное устройство FireSIGHT ASA Процессинг Платежный ATM сегмент
  • 76. Какие решения Cisco могут быть применены для защиты НПС? • Банк России не устанавливает конкретных и детальных требований по выбору технических или организационных мер, реализующих статьи Положения 382-П – Участники НПС вправе самостоятельно определять средства защиты – Любые решения Cisco могут быть применены для защиты участников НПС и реализации требований 382-П • Требований по применению сертифицированных СЗИ нет – Криптография может быть любой – сертифицированной или нет – СТО БР ИББС рекомендует использовать СКЗИ КС2+
  • 77. Пример применения решений Cisco Требование Пункт 382- П Решение Cisco Идентификация, аутентификация и авторизация работников и участников платежной системы 2.6.3 Cisco Identity Service Engine Реализация запрета несанкционированного расширения прав доступа к защищаемой информации 2.6.4 Cisco Identity Service Engine Фильтрация сетевых пакетов при обмене информацией между вычислительными сетями, в которых располагаются объекты информационной инфраструктуры, и сетью Интернет 2.8.1 Cisco ASA 5500-X Cisco IOS Firewall Cisco ASA SM для Catalyst 6500
  • 78. Пример применения решений Cisco Требование Пункт 382- П Решение Cisco Снижение тяжести последствий от воздействий на объекты информационной инфраструктуры с целью создания условий для невозможности предоставления услуг по переводу денежных средств или несвоевременности осуществления переводов денежных средств 2.8.1 Cisco Validated Design Cisco SAFE Учет и контроль состава установленного и (или) используемого на средствах вычислительной техники программного обеспечения 2.10.1 Cisco Identity Service Engine Cisco NAC
  • 79. Пример применения решений Cisco Требование Пункт 382- П Решение Cisco Применение организационных мер защиты информации и (или) использование технических средств защиты информации, предназначенных для предотвращения несанкционированного доступа к защищаемой информации на объектах информационной инфраструктуры с использованием сети Интернет 2.8.1 Cisco FirePOWER Cisco ASA with FirePOWER Services Cisco Wireless IPS Аутентификация входных электронных сообщений 2.10.4 Cisco Email Security Appliance
  • 80. Письмо 49-Т от 24.03.2014 • Детализирует требования 382-П (или СТО БР ИББС) в части защиты от вредоносного кода • Предполагает применение следующих решений Cisco – Cisco AMP for XXX – Cisco Cyber Threat Defense – Cisco OpenSOC – Cisco FireSIGHT – Cisco ISE – Cisco TrustSec
  • 82. Недавние и планируемые изменения по направлению ССОП • Закон «О внесении изменений в отдельные законодательные акты Российской Федерации по вопросам регулирования отношений при использовании информационно-телекоммуникационной сети Интернет» и ФЗ-139 «О защите детей от негативной информации» • Постановление Правительства №611 от 15.04.2013 «Об утверждении перечня нарушений целостности, устойчивости функционирования и безопасности единой сети электросвязи РФ» • Иных требований по информационной безопасности на операторов связи пока не планируется • Все изменения касаются контроля Интернет – Антипиратский закон, контроль социальных сетей, Единая система аутентификации (ЕСИА), запрет анонимайзеров, регулирование Интернет-компаний как организаторов распространения информации, регулирование облачных вычислений и т.п.
  • 84. Нас ждет непростой 2015-й год • Рост числа нормативных актов с требованиями по информационной безопасности • Усиление ответственности за невыполнение требований по ИБ – Включая уголовную и крупные штрафы • ФСТЭК унифицирует свои требования по защите информации, но отличия все равно остаются – В части оценки соответствия • Компания Cisco обладает полным набором технических решений по реализации требований нормативных актов – ПДн, АСУ ТП, ГИС/МИС, НПС, операторы связи • Cisco активно сертифицирует свои решения по требованиям безопасности ФСТЭК и ФСБ – В ближайшее время планируется ряд новых анонсов по оценке соответствия
  • 86. Спасибо Пожалуйста, заполните анкеты #1153 security-request@cisco.com © Cisco и (или) дочерние компании, 2011 г. Все права защищены. Общедоступная BRKSEC-1065 информация Cisco 86