2. Почему Cisco говорит о законодательстве?
ТК22 ТК122 ТК362 РГ ЦБ
«Безопасность
ИТ» (ISO SC27 в
России)
«Защита
информации в
кредитных
учреждениях»
«Защита
информации»
при ФСТЭК
Разработка рекомендаций по ПДн,
СТО БР ИББС v4 и 382-П/2831-У
ФСБ МКС ФСТЭК РАЭК РКН
Экспертиза
документов
Предложения
Экспертиза и
разработка
документов
Экспертиза и
разработка
документов
Консультативный
совет
4. Обязанность защиты
• Обладатель информации обязан принимать меры по защите
информации
– Ст.6 ФЗ-149
• Обладатель информации, оператор информационной системы в
случаях, установленных законодательством Российской
Федерации, обязаны обеспечить…
– Ст.16 ФЗ-149
Требования по защите
устанавливает
Обладатель
Законодательство РФ
• Какие
требования?
• Что
планируется?
5. Какие требования по защите установлены
законодательством РФ?
Требованияпозащите Персональных данных
Государственных и
муниципальных
информационных систем
При осуществлении
денежных переводов
Банковской тайны
Систем связи общего
пользования
Критических
информационных
инфраструктур (КИИ)
Требования носят рекомендательный
характер (СТО БР ИББС)
Требования есть (высокоуровневые).
Надзора за выполнением нет
6. Регуляторов в области ИБ в РФ 16+
• ФСБ, ФСТЭК, СВР,
МинОбороны, ФСО
• Минкомсвязь, Роскомнадзор
• МВД, Банк России
• Совет Безопасности
• PCI Council
• Минэнерго, Минэкономразвития
• Администрация Президента
• Ростехрегулирование
• Минтруд, Рособразование
• Каждый ФОИВ мнит себя
регулятором по ИБ…
7. Иерархия защитных мер: от общего к частному
Требования
федеральных
законов
Приказы
ФСТЭК/ФСБ
Методические
рекомендации
Приказы
Минкомсвязи/РКН
Положения,
Указания и
письма Банка
России
СТО БР ИББС
Ведомственные
нормативные
акты
Требования
Постановлений
Правительства
9. Меры по защите информации: общее
Защитная мера ПДн ГИС АСУ ТП
Идентификация и аутентификация субъектов доступа и объектов доступа
+ + +
Управление доступом субъектов доступа к объектам доступа
+ + +
Ограничение программной среды
+ + +
Защита машинных носителей информации, на которых хранятся и (или) обрабатывается КИ
+ + +
Регистрация событий безопасности
+ + +
Антивирусная защита
+ + +
Обнаружение (предотвращение) вторжений
+ + +
Контроль (анализ) защищенности персональных данных
+ + +
Обеспечение целостности информационной системы и КИ
+ + +
Обеспечение доступности персональных данных
+ + +
Защита среды виртуализации
+ + +
Защита технических средств
+ + +
Защита информационной системы, ее средств, систем связи и передачи данных
+ + +
10. Меры по защите информации: различия
Защитная мера ПДн ГИС АСУ ТП
Управление инцидентами
+ +
Управление конфигурацией информационной системы и системы защиты КИ
+ +
Безопасная разработка прикладного и специального программного обеспечения
разработчиком +
Управление обновлениями программного обеспечения
+
Планирование мероприятий по обеспечению защиты информации
+
Обеспечение действий в нештатных (непредвиденных) ситуациях
+
Информирование и обучение пользователей
+
Анализ угроз безопасности информации и рисков от их реализации
+
11. Как определяются защитные меры
• Выбор мер по обеспечению безопасности,
подлежащих реализации в системе защиты,
включает
выбор базового набора мер
адаптацию выбранного базового набора мер
применительно к структурно-функциональным
характеристикам ИС, реализуемым ИТ,
особенностям функционирования ИС, а также
с учетом целей защиты
уточнение (включает дополнение или
исключение)
дополнение адаптированного базового набора мер
по обеспечению безопасности дополнительными
мерами, установленными иными нормативными
актами
Базовые меры
Адаптация базового
набора
Уточнение
адаптированного набора
Дополнение уточненного
адаптированного набора
Компенсационные меры
12. Меры по защите информации и решения Cisco
Защитная мера Решения Cisco
Идентификация и аутентификация субъектов доступа и объектов доступа ISE, 802.1x, ACS, ASA,
NGFW, NGIPS, ESA, WSA,
AC
Управление доступом субъектов доступа к объектам доступа Все решения ИБ Cisco
Ограничение программной среды -
Защита машинных носителей информации, на которых хранятся и (или) обрабатываются
КИ
ISE
Регистрация событий безопасности Все решения ИБ Cisco
Антивирусная защита AMP/FireAMP
Обнаружение (предотвращение) вторжений NGFW, NGIPS, wIPS, AMP,
FireAMP, WSA, CTD
Контроль (анализ) защищенности персональных данных NGFW, ISE, CTD
Обеспечение целостности информационной системы и КИ NGFW, NGIPS, wIPS, AMP,
FireAMP, ESA, WSA
Обеспечение доступности персональных данных Все решения Cisco
Защита среды виртуализации NGFW, NGIPS, ISE, AMP,
FireAMP, CTD, ASAv, VSG
13. Меры по защите информации и решения Cisco
Защитная мера Решения Cisco
Защита технических средств -
Защита информационной системы, ее средств, систем связи и передачи данных Все решения ИБ Cisco
Управление инцидентами CTD, FireSIGHT, ISE
Управление конфигурацией информационной системы и системы защиты КИ CSM
Безопасная разработка прикладного и специального программного обеспечения
разработчиком
Cisco SDLC
Управление обновлениями программного обеспечения -
Планирование мероприятий по обеспечению защиты информации -
Обеспечение действий в нештатных (непредвиденных) ситуациях -
Информирование и обучение пользователей -
Анализ угроз безопасности информации и рисков от их реализации -
14. Разница между требования ФСТЭК
Особенность Приказ по
защите ПДн
Приказ по
защите ГИС/МИС
Проект приказа по
АСУ ТП
Оценка
соответствия
В любой
форме
Только
сертификация
В любой форме
Аттестация Не требуется Обязательна Не требуется
Требования по
защите
привязаны к
4 уровням
защищенности
ПДн
4 классам
защищенности
ГИС/МИС
3 классам
защищенности АСУ
ТП
Проверка на
отсутствие НДВ
Требуется для
угроз 1-2 типа
(актуальность
определяется
заказчиком)
Требуется для 1-2
класса
защищенности
ГИС/МИС
Требуется только
при выборе
сертифицированных
средств защиты
• Мы готовы рассказать заказчику процесс правильного выбора
класса или уровня защищенности для того, чтобы не загонять
его в угол с завышенными требованиями по защите
15. Оценка соответствия ≠ сертификация
Оценка
соответствия
Госконтроль и
надзор
Аккредитация
Испытания
Регистрация
Подтверждение
соответствия
Добровольная
сертификация
Обязательная
сертификация
Декларирование
соответствия
Приемка и ввод
в эксплуатацию
В иной форме
16. Обязательная сертификация средств защиты
• Средства защиты информации,
применяемые в информационных
системах, должны быть
сертифицированы на соответствие
требованиям по безопасности
информации в соответствии с
законодательством России
– Аналогичные требования есть в
Украине
• При отсутствии
сертифицированных средств
защиты информации организуется
разработка (доработка)
необходимых средств защиты
информации и их сертификация
21. 129 требований по защите информация при переводе
денежных средств
• Банк России интересует, чтобы требование было выполнено
качественно, а выбор конкретных технологий и средств защиты
информации - задача банков
22. Какие решения Cisco могут быть применены для защиты
НПС?
• Банк России не устанавливает конкретных и детальных
требований по выбору технических или организационных мер,
реализующих статьи Положения 382-П
– Участники НПС вправе самостоятельно определять средства
защиты
– Любые решения Cisco могут быть применены для защиты
участников НПС и реализации требований 382-П
• Требований по применению сертифицированных СЗИ нет
24. Почему все-таки Cisco – лучший выбор с точки зрения ИБ
в России
• Компания Cisco занимает лидирующие (а
иногда и уникальные) позиции по следующим
направлениям:
– Участие в разработке и экспертизе
нормативных актов в области ИБ
– Число сертификатов ФСТЭК и глубина
сертификации
– Сертификация СКЗИ в ФСБ
– Сертификация в ГАЗПРОМСЕРТ
– Локальное производство NME-RVPN
(SRE950), ISR 2911R, точек доступа,
телефонов и планы на будущее
– Лицензия ФСБ на деятельность в области
шифрования
27. Основа доверия
Жизненный цикл
Защищенный
процесс
Процесс ПолитикиТехнологии
Information Assurance (IA)
Стандарты и РДТехнологии защиты продуктов
Общие модули и функции
Планируется
• NG & Common Crypto
• Secure Storage
• Run Time Integrity
• Trust Anchor
• Secure Boot
• Image Signing
• Entropy
• Immutable Identity
• Secure Cloud
Connector
FIPS / USGv6
DoD IA
• TCG
• Certificate Transport
(EST)
ФСТЭК / ФСБ
Доверенная архитектура
• TD Agent
• Simplified TLS
• Pass Phrase Module
• Lawful Intercept
На радареРеализовано
30. О санкциях
• Временно приостановлена
выдача экспортных
лицензий на ряд продуктов
категории restricted для РФ
– Оборона, национальная
безопасность и
государственные
структуры
• PEPD
– http://tools.cisco.com/legal/
export/pepd/Search.do
• Cisco GET
– export@cisco.com
• Некоторые заказчики
задумались об импортозамещении
31. Дополнительная информация
• Годовой отчет Cisco по информационной безопасности 2014
• Cisco Security Website
• Cisco Security Intelligence Operations
• Cisco Security Blog
• Cisco Security Facebook
• Cisco Security Twitter
• Блог Cisco Russia
• Твиттер Cisco Russia
• Документы и презентации на русском языке
• Cisco Russia в ВКонтакте, Фейсбуке, YouTube, LinkedIn, Google+