Решения cisco и их соответствие требованиям 17-го приказа...

© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 1


Решения Cisco и 17-й приказ ФСТЭК по защите ГИС/МИС Обзор Алексей Лукацкий Бизнес-консультант по безопасности


Приказ ФСТЭК №17 по защите ГИС/МИС

•  №17 от 11.02.2013 «Об утверждении требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах»

•  Все новые и модернизируемые системы должны создаваться по новому приказу, а не по СТР-К Старые системы «живут» по СТР-К до момента их модернизации

•  Меры по защите ПДн в ГИС принимаются в соответствии с требованиями о защите информации, содержащейся в ГИС

•  Приказ распространяется как на государственные, так и на муниципальные информационные системы


Меры по защите информации ГИС/МИС Защитная мера ПДн ГИС АСУ ТП Идентификация и аутентификация субъектов доступа и объектов доступа + + + Управление доступом субъектов доступа к объектам доступа + + + Ограничение программной среды + + + Защита машинных носителей информации, на которых хранятся и (или) обрабатывается КИ + + + Регистрация событий безопасности + + + Антивирусная защита + + + Обнаружение (предотвращение) вторжений + + + Контроль (анализ) защищенности персональных данных + + + Обеспечение целостности информационной системы и КИ + + + Обеспечение доступности персональных данных + + + Защита среды виртуализации + + + Защита технических средств + + + Защита информационной системы, ее средств, систем связи и передачи данных + + +


Меры по защите информации: что может добавиться Защитная мера ПДн ГИС АСУ ТП Управление инцидентами + + Управление конфигурацией информационной системы и системы защиты КИ + + Безопасная разработка прикладного и специального программного обеспечения разработчиком + Управление обновлениями программного обеспечения + Планирование мероприятий по обеспечению защиты информации + Обеспечение действий в нештатных (непредвиденных) ситуациях + Информирование и обучение пользователей + Анализ угроз безопасности информации и рисков от их реализации +

•  Планы ФСТЭК Первое полугодие 2016-го года – утверждение новой редакции 17-го приказа Унификация перечня защитных мер для всех трех приказов Выход на 2-хлетний цикл обновления приказов


IPS и NGIPS •  Cisco FirePOWER •  Cisco ASA with FirePOWER •  Cisco FirePOWER for ISR

•  Cisco wIPS •  Cisco vNGIPS

Интернет-безопасность

•  Cisco WSA / vWSA •  Cisco Cloud Web Security

МСЭ и NGFW •  Cisco ASA / ASA-SM •  Cisco IOS Firewall •  Cisco ASAv •  Cisco FirePOWER •  Meraki MX

Advanced Malware Protection

•  AMP для Endpoint •  AMP для Network •  AMP для Content

NAC + Identity Services

•  Cisco ISE / vISE •  Cisco ACS

Безопасность электронной почты

•  Cisco ESA / vESA •  Cisco Cloud Email Security

UTM •  Meraki MX •  ASA with FirePOWER

VPN •  Cisco AnyConnect •  Cisco ASA •  Cisco ISR / RVPN

Policy-based сеть •  Cisco TrustSec •  Cisco ISE •  Cisco ONE

Мониторинг инфраструктуры

•  Cisco Cyber Threat Defense

Контроль приложений •  Cisco ASA NGFW / AVC •  Cisco IOS AVC / NBAR •  FirePOWER NGFW

Secure DC •  Cisco ASA / 1000v /

ASAv / VSG •  Cisco TrustSec

Какие решения по ИБ есть у Cisco?


Что из этого выполняет требования 17-го приказа?

•  Решения Cisco позволяют выполнить многие требования приказа ФСТЭК №17 по защите ГИС/МИС


На всех участках ведомственной сети

Филиалы

Кампус Центр обработки данных

Интернет

ASA

ISR

IPS

ASA

Почта

Веб ISE

Active Directory

Беспроводная сеть

Коммутатор

Маршрутизатор

Контент Политика

Интегрированные сервисы ISR-G2

CSM

ASA

ASAv ASAv ASAv ASAv

Гипервизор

Виртуальный ЦОД

Физический ЦОД

Аналитический центр Talos

Удаленные устройства

Доступ

Облачный шлюз

безопасности

Облачный шлюз

безопасности

Матрица ASA, (сеть SDN)

АСУ ТП

CTD

IDS RA

МСЭ Беспроводная

сеть

Коммутатор

Маршрутизатор

Сегментация Мониторинг


Отличия в оценке соответствия

Особенность Приказ №21 Приказ №17 Приказ №31 Оценка соответствия В любой форме (нечеткость

формулировки и непонятное ПП-330)

Только сертификация в системах сертификации ФСТЭК или ФСБ

В любой форме (в соответствии с ФЗ-184)

Аттестация Коммерческий оператор - на выбор оператора Госоператор - аттестация

Обязательна Возможна, но не обязательна

Контроль и надзор Прокуратура – все ФСТЭК/ФСБ – только госоператоры (РКН не имеет полномочий проверять коммерческих операторов ПДн)

ФСТЭК ФСБ и ФОИВ, ответственный за безопасность КИИ (определяется в настоящий момент)


Оценка соответствия средств защиты для ГИС/МИС

•  Средства защиты информации, применяемые в информационных системах, должны быть сертифицированы на соответствие требованиям по безопасности информации в соответствии с законодательством Российской Федерации

•  При отсутствии сертифицированных средств защиты информации организуется разработка (доработка) необходимых средств защиты информации и их сертификация


Оценка соответствия в форме обязательной сертификации

Тип СЗИ / ПО 4 класс защищенности ГИС

3 класс защищенности ГИС



СВТ Не ниже 5 Не ниже 5 Не ниже 5 Не ниже 5

IDS Не ниже 5 4при наличии Интернет

5без Интернет Не ниже 4 Не ниже 4

Антивирус Не ниже 5 4при наличии Интернет

5без Интернет Не ниже 4 Не ниже 4

МСЭ Не ниже 4 3при наличии Интернет

4без Интернет 3при наличии Интернет

4без Интернет 3при наличии Интернет

4без Интернет

НДВ в СЗИ - - Не ниже 4 Не ниже 4


~600 ФСБ НДВ 34 123 Сертификатов ФСТЭК на

продукцию Cisco

Сертифицировала решения Cisco

(совместно с С-Терра СиЭсПи)

---- Ждем еще ряд важных

анонсов

Отсутствуют в ряде продуктовых линеек Cisco

---- На сертификацию поданы новые продукты

Линейки продукции Cisco

прошли сертификацию по схеме «серийное производство»

Продуктовых линейки Cisco

сертифицированы во ФСТЭК

Что делает Cisco в части сертификации?


Какие решения Cisco имеют сертификаты ФСТЭК?

•  Многофункциональные защитные устройства Cisco ASA 5505, 5510, 5520, 5540, 5550, 5580 Cisco ASA 5512-X, 5515-X, 5525-X, 5545-X, 5555-X, 5585-X Cisco ASA SM

•  Системы предотвращения вторжений Cisco IPS 4200/4300/4500, AIP-SSM-10/20, IDSM2, IPS SSP10/20/40

•  Межсетевые экраны Cisco Pix 501, 506, 515, 520, 525, 535 Cisco FWSM Cisco 676, 871, 881, 891, 1750, 1751, 1760-V, 1800, 2800, 3800, 7200, 7600, 1811, 1841, 2509, 26xx, 2600, 2611, 2621, 2651, 2801, 2811, 2821, 2851, 2901, 2911, 2911R, 2921, 2951, 3640, 3661, 3662, 3725, 3745, 3750, 3825, 3845, 3925, 3925E, 3925, 3945E, 7201, 7206, 7301, 7604 ASR 1001/1002, GSR 12404, CGR2000, CGS2500 Sourcefire 3D System


Какие решения Cisco имеют сертификаты ФСТЭК?

•  Коммутаторы Cisco Catalyst 2912, 2924, 2948, 2950G, 2960, 2960C, 2960S, 2970, 29xx, 3508G, 3512, 3524, 3548, 3550, 3560, 3750, 3750G, 3750X, 4003, 4503, 4506, 4507R, 4510R, 4900, 4ххх, 6006, 6504, 6506, 6509, 6509E, 6513, 65xx IE-3000-8TC Cisco Nexus 1110, 1010, 5548, 2000, 5000, 7010

•  Системы управления CiscoWorks Monitoring Center Cisco Security Manager 3.2, 3.3 Cisco Secure ACS 4.x Cisco Secure ACS 1121 CS MARS 20, 25, 50, 100, 110

•  Прочее Cisco AS5350XM


Какие решения Cisco поданы на сертификацию? (по открытой информации)

•  Маршрутизаторы Cisco 2911R (на НДВ) Cisco 2921, 2951

•  Коммутаторы Cisco Catalyst 3560C, 3850

•  Системы предотвращения вторжений Cisco FirePOWER NGIPS

•  Межсетевые экраны Cisco ASAv Cisco Virtual Security Gateway

•  Cisco UCS

По данным на начало апреля 2015


Сертифицированная криптография Cisco

•  Совместное решение Cisco и С-Терра СиЭсПи Ведутся сертификационные испытания совместно с ИнфоТеКС

•  Сертификат ФСБ по классам КС1/КС2/КС3 Новая платформа с ПО С-Терра в данной момент уже обладает сертификатом ФСБ по классу КС1 Сертификат ФСБ по классу КС2 на модуль с ПО С-Терра ожидается летом 2015-го года Сертификат ФСБ на модуль с ПО Инфотекс ожидается летом 2015-го года

•  Данная платформа может быть использована и для установки других сертифицированных средств защиты


Резюме

•  Приказ ФСТЭК №17 по защите государственных и муниципальных информационных систем устанавливает совершенно новый подход к защите ГИС/МИС, базирующийся на лучших практиках и позволяющий заказчикам и операторам ГИС/МИС самостоятельно выбирать оптимальный и адекватный набор защитных мер

•  Данный приказ позволяет в полной мере использовать все решения Cisco по информационной безопасности, а также другие наши технологии (унифицированные коммуникации, Wi-Fi, унифицированные доступ, виртуализацию, технологии центров обработки данных и т.д.)

•  Решения Cisco обладают всем необходимым набором сертификатов ФСТЭК и ФСБ


Дополнительные сведения

Раздел «Брошюры» на сайте www.cisco.ru


Дополнительные сведения

Канал Cisco Russia на YouTube - https://www.youtube.com/user/CiscoRussiaMedia/


Пишите на [email protected]

Быть в курсе всех последних новостей вам помогут:

Где вы можете узнать больше?

http://www.facebook.com/CiscoRu

http://twitter.com/CiscoRussia http://www.youtube.com/CiscoRussiaMedia

http://www.flickr.com/photos/CiscoRussia

http://vkontakte.ru/Cisco

http://blogs.cisco.ru/

http://habrahabr.ru/company/cisco

http://linkedin.com/groups/Cisco-Russia-3798428

http://slideshare.net/CiscoRu

https://plus.google.com/106603907471961036146/posts http://www.cisco.ru/


Благодарю за внимание

Решения cisco и их соответствие требованиям 17-го приказа...

Technology