20131212 s-terra

Cisco Systems, Inc. All rights reserved. Confidential 1

Network Scenarios

Российская криптография в решениях Cisco


О чем семинар?!

Типовая задача

Почему организации не могут обойтись без ГОСТ шифрования?

Бизнес-задачи

Правовые аспекты

Какие существуют апробированные решения?

Какие есть решения для Cisco и для других производителей оборудования?

Как научиться работать с RVPN?


Network Scenarios

Типовая задача


Дано:

Группа территориально-распределенных предприятий

Офисы трех типов:

Головной – 500 рабочих мест

Крупный филиал – 200 рабочих мест

Малый филиал – 10 рабочих мест

Собственники и руководители хотят иметь доступ к информации в любом месте и в любое время

Сотрудники ездят в командировки

Сотрудники могут работать из дома

Для бизнес-приложений требуются более 50 серверов


Network Scenarios

Как решать?


Ключевые факторы:

Удовлетворить задачи бизнеса

Защищенное взаимодействие офисов

Конференц- и видеоконференцсвязь

Поддержка мульти сервисных приложений

Поддержка мобильных пользователей

Персональные решения для руководителей

Соответствовать требованиям законодательства


Network Scenarios

Бизнес-задачи


Защищенное взаимодействие офисов

Высокая скорость передачи данных

Высокоскоростные каналы

Концентраторы региональных сетей

Надежность

Маршрутизация внутри защищенной сети

Гибкий дизайн структуры периметра сети


Конференцсвязь


Мультисервисные решения

Полный набор функций поддержки качества сетевого обслуживания:

– Маркировка защищенного трафика

– Приоритезация

– Прозрачная пересинхронизация сеансовых ключей

– Классификация трафика


Удаленный доступ, мобильные решения

Доступность корпоративной сети при наличии любого коммуникационного ресурса:

– Проводной модем

– Интернет-кафе

– Выделенная линия, «широкополосный Интернет»

– WiFi хот-спот

– GPRG, 3G (CDMA)

Изоляция сети удаленного доступа

Доступность ресурсов ЛВС для удаленных пользователей


Защита беспроводных сетей

Функционально полный комплекс мер защиты:

– Мониторинг радиополя

– Защита среды передачи данных

– Конфиденциальность в эфире и в проводном сегменте

– Управление логической топологией сети (VPN)


Персональные решения для руководителей

Высокая ответственность информации руководства

– Приоритет для вербальных и конференционных коммуникаций

– Персональный узел защиты всех видов связи в кабинете

– Единый «ключ» к ноутбуку и к сети


Network Scenarios

Правовые аспекты


Юридические и правовые нормы

Две группы требований, определяющих необходимость обеспечения информационной безопасности информационных ресурсов и систем:

– Первая группа – это требования российского законодательства, определяющие обязательность защиты информации ограниченного доступа, в том числе и персональных данных граждан, всеми субъектами информационных отношений на всей территории Российской Федерации. Требования этой группы определяются в указах, законах, в документах Федеральной службы по техническому и экспортному контролю Российской Федерации (ФСТЭК РФ, бывшая Гостехкомиссия России), ФСБ России и других

– Вторая группа определяется тем, что информация, средства информатизации, информационная инфраструктура вовлечены в бизнес-процессы предприятий и организаций (государственных и коммерческих). В частности:

• Международный стандарт безопасности информационных систем ISO/IEC 17799 "Управление информационной безопасностью"

• Международный стандарт ISO/IEC 15408-1:1999 "Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий"

• Стандарт Банка России "Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения".


Законодательная база

Федеральные законы РФ

– Об информации, информационных технологиях и защите информации

– О коммерческой тайне

– О лицензировании отдельных видов деятельности

– О персональных данных, ...

Указы Президента РФ

– О мерах по соблюдению законности в области разработки производства, реализации и эксплуатации шифровальных средств, а также предоставления услуг в области шифрования информации

– О мерах по обеспечению информационной безопасности Российской Федерации в сфере международного информационного обмена, ...

Постановления Правительства РФ

– от 17 ноября 2007 г. N 781 г. Москва "Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных«, ...

Ведомственные документы

– ФСБ РФ. «Положение о разработке, производстве, реализации и эксплуатации шифровальных (криптографических) средств защиты информации» (ПКЗ-2005)

– ФСТЭК РФ. «Перечень средств защиты информации, подлежащих сертификации в Системе сертификации средств защиты информации по требованиям безопасности информации», ...


Сведения ограниченного доступа

Информационные ресурсы могут быть:

– открытыми, то есть общедоступными (публикации, сообщения в СМИ, выступления на конференциях и выставках, интервью и т.п.)

– ограниченного доступа, то есть охраняемыми, требующими защиты.

В свою очередь, информационные ресурсы ограниченного доступа подразделяются на ресурсы:

– составляющие государственную тайну (секретные);

– конфиденциальные.

ФЕДЕРАЛЬНЫЙ ЗАКОН

«Об информации, информационных технологиях

и защите информации»


Конфиденциальная информация

К конфиденциальной информации относятся:

– сведения о фактах, событиях и обстоятельствах частной жизни гражданина, позволяющие идентифицировать его личность (персональные данные), за исключением сведений, подлежащих распространению в средствах массовой информации в установленных федеральными законами случаях;

– сведения, составляющие тайну следствия и судопроизводства;

– служебные сведения, доступ к которым ограничен органами государственной власти в соответствии с Гражданским кодексом РФ и федеральными законами. Эти сведения составляют служебную тайну;

– сведения, связанные с профессиональной деятельностью, доступ к которым ограничен в соответствии с Конституцией РФ и федеральными законами (врачебная, нотариальная, адвокатская тайна, тайна переписки, телефонных переговоров, почтовых отправлений, телеграфных сообщений и т.д.);

– сведения, связанные с коммерческой деятельностью, доступ к которым ограничен в соответствии с Гражданским кодексом РФ и федеральными законами. Эти сведения составляют коммерческую тайну;

– сведения о существе изобретения (идеи, конструкторской разработки или промышленного образца) до официальной публикации информации о нем.

Указ №188 от 06.03.1997

"Об утверждении перечня сведений конфиденциального

характера"


Лицензионные требования

…

4. Лицензионными требованиями и условиями при осуществлении деятельности по технической защите конфиденциальной информации являются.

а) осуществление лицензируемой деятельности специалистами, имеющими высшее Профессиональное образование по специальности «компьютерная безопасность», ..... либо специалистами, прошедшими переподготовку по вопросам защиты информации;

б) соответствие производственных помещений, производственного, испытательного и контрольно - измерительного оборудования техническим нормам и требованиям, установленным государственными стандартами Российской Федерации, ...;

в) использование сертифицированных (аттестованных по требованиям безопасности информации) автоматизированных систем, обрабатывающих конфиденциальную информацию, а также средств защиты такой информации;

г) использование третьими лицами программ для электронно-вычислительных машин или баз данных на основании договора с их правообладателем.

Постановление Правительства

« О лицензировании деятельности по технической

защите конфиденциальной информации от 30.04.02 № 290»


Защита информации при межсетевом взаимодействии

5.7. Защита информации при межсетевом взаимодействии

5.7.4. Подключение ЛВС к другой автоматизированной системе (локальной или распределенной вычислительной сети) должно осуществляться с использованием МЭ, требования к которым определяются РД Гостехкомиссии России. Например, для защиты АС при ее взаимодействии с другой АС по каналам связи необходимо использовать:

– в АС класса 1Г – МЭ не ниже класса 4;

– в АС класса 1Д и 2Б, ЗБ – МЭ класса 5 или выше.

5.7.5. Для защиты конфиденциальной информации, передаваемой между АС по каналам связи, выходящим за пределы КЗ, необходимо использовать защищенные каналы связи, включая доверенные каналы и защищенные волоконно-оптические линии связи, а при использовании открытых каналов связи - сертифицированные ФАПСИ криптографические средства защиты информации.

ФСТЭК России

«Специальные требования и рекомендации по технической

защите конфиденциальной информации (СТР-К)»


Рекомендации по обеспечению защиты

6. Рекомендации по обеспечению защиты конфиденциальной информации ... при взаимодействии абонентов с сетями общего доступа

6.1.4. Методами обеспечения безопасности информации при взаимодействии АП [абонентского пункта] с Сетью являются:

межсетевое экранирование с целью управления доступом, фильтрации сетевых пакетов и трансляции сетевых адресов для скрытия структуры АП;

мониторинг вторжений в ЛВС, .....;

анализ защищенности АП, предполагающий применение специализированных программных средств (сканеров безопасности), ......;

шифрование информации при ее передаче по Сети, а также использование электронно-цифровой подписи для контроля целостности и подтверждения подлинности отправителя и/или получателя информации;

использование смарт-карт, электронных замков и других носителей информации для надежной идентификации и аутентификации пользователей;

использование средств антивирусной защиты;

централизованное управление системой информационной безопасности АП.

ФСТЭК России

«Специальные требования и рекомендации по технической

защите конфиденциальной информации (СТР-К)»


Защита персональных данных. Нормативная база

• Закон «О персональных данных» (статья 19)

• Положение об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных, Постановление правительства от 17.11.2007

• Порядок проведения классификации информационных систем персональных данных, Приказы ФСТЭК России, ФСБ России, Мининформсвязи России от 13.02.2008 № 55/86/20

• Приказ Россвязьохранкультуры от 28.03.2008 г. N 154 «Об утверждении положения «О ведении реестра операторов, осуществляющих обработку Персональных данных»

• Базовая модель угроз безопасности ПДн при их обработке в информационных системах ПДн, ФСТЭК России, 2008

• Методика определения актуальных угроз безопасности ПДн при их обработке в информационных системах ПДн, ФСТЭК России, 2008

• Рекомендации обеспечению безопасности ПДн при их обработке в информационных системах ПДн, ФСТЭК России, 2008

• Основные мероприятия по организации и техническому обеспечению безопасности ПДн, обрабатываемых в информационных системах ПДн, ФСТЭК России, 2008


Постановления правительства РФ

Устанавливает, как обязательное, требование защиты персональных данных и требование применения сертифицированных средств защиты информации.

2. ... Безопасность персональных данных при их обработке в информационных системах обеспечивается с помощью системы защиты персональных данных, включающей организационные меры и средства защиты информации (в том числе шифровальные (криптографические) средства), ..... Технические и программные средства должны удовлетворять устанавливаемым в соответствии с законодательством Российской Федерации требованиям, обеспечивающим защиту информации.

4. Работы по обеспечению безопасности персональных данных при их обработке в информационных системах являются неотъемлемой частью работ по созданию информационных систем.

7. Обмен персональными данными при их обработке в информационных системах осуществляется по каналам связи, защита которых обеспечивается путем реализации соответствующих организационных мер и (или) путем применения технических средств.

17. Реализация требований по обеспечению безопасности информации в средствах защиты информации возлагается на их разработчиков

Постановление Правительства РФ N 781 от 17 ноября 2007 г.

«Положение об обеспечении безопасности персональных данных при их обработке в информационных системах

персональных данных»


Категории обрабатываемых в информационной системе ПДн

категория 1 – ПДн, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных и философских убеждений, состояния здоровья, интимной жизни;

категория 2 – ПДн, позволяющие идентифицировать субъекта персональных данных и получить о нем дополнительную информацию, за исключением ПДн, относящихся к категории 1;

категория 3 – ПДн, позволяющие идентифицировать субъекта ПДн;

категория 4 – обезличенные и (или) общедоступные ПДн.


Объем обрабатываемых ПДн

Значение - 1

– ИСПДн обрабатывает ПДн свыше 100000 субъектов

– ИСПДн обрабатывает ПДн субъектов ПДн в рамках субъекта РФ или РФ в целом


– ИСПДн обрабатывает ПДн от 1000 до 100000 субъектов

– ИСПДн обрабатывает ПДн субъектов из отрасли экономики

– ИСПДн обрабатывает ПДн субъектов из органа госвласти

– ИСПДн обрабатывает ПДн субъектов проживающих в пределах муниципального образования


– ИСПДн обрабатывает ПДн менее 1000 субъектов

– ИСПДн обрабатывает ПДн субъектов в пределах одной организации


Network Scenarios

Риски реализации или кому отвечать?


Риски реализации

• Постановка задачи (ТЗ)

• Кто будет разворачивать решение и как их (исполнителей) проконтролировать

• Сколько потребуется времени на ввоз шифровального оборудования

• Как впоследствии данное решение обслуживать и сопровождать


Network Scenarios

Апробированные решения


Что обеспечивают:

защиту индивидуальных пользователей;

защиту серверов;

защиту отдельных сетей;

защиту специализированных устройств.


Реализация VPN:

CSP VPN включает программные средства:

CSP VPN Client. Программный комплекс для защиты индивидуальных пользователей.

CSP VPN Server. Программный комплекс для сетевой защиты серверов.

http://www.s-terra.com/products/productline/client



http://www.s-terra.com/products/productline/server

http://www.s-terra.com/products/productline/server


Линейка шлюзов безопасности CSP VPN сетевого уровня

CSP VPN Gate 100B. Программно-аппаратный комплекс – шлюз безопасности, ориентированный на защиту специализированных устройств (банкоматов и/или платежных терминалов).

CSP VPN Gate 100 (100V). Программно-аппаратный комплекс – шлюз безопасности, ориентированный на защиту малых офисов до 10 компьютеров (до 200 компьютеров) и для каналов с пропускной способностью до 2 Мбит/c.

CSP VPN Gate 1000 (1000V). Программно-аппаратный комплекс – шлюз безопасности, ориентированный на защиту малых офисов до 50 компьютеров (до 500 компьютеров) и для каналов с пропускной способностью до 10 Мбит/c.

http://www.s-terra.com/products/productline/gate100b

http://www.s-terra.com/products/productline/gate100



Линейка шлюзов безопасности CSP VPN сетевого уровня

CSP VPN Gate 3000. Программно-аппаратный комплекс – шлюз безопасности,ориентированный на защиту средних офисов (до 250 компьютеров) и для каналов с пропускной способностью не менее 200 Мбит/c, 300 Мбит/c, 400 Мбит/c.

CSP VPN Gate 7000. Программно-аппаратный комплекс – шлюз безопасности, ориентированный на защиту крупных офисов (свыше 250 компьютеров) и для каналов с пропускной способностью не менее 500 Мбит/c,1 Гбит/c.

Модуль NME-RVPN (МСМ). Программно-аппаратный комплекс – шлюз безопасности, предназначенный для использования в составе маршрутизаторов серии Cisco® 2800/3800 и 2900/3900 Integrated Services Routers.



http://www.s-terra.com/products/productline/nmervpn




Централизованное удаленное управление продуктами

С-Терра КП. Программный продукт для централизованного управления продуктами линейки CSP VPN Client / CSP VPN Server / CSP VPN Gate / NME-RVPN (МСМ) / СПДС «ПОСТ» версий 3.1, 3.11.

СПДС «ПОСТ». Технология СПДС для удалённого доступа обеспечивает доверенную загрузку целостной информационной среды и изолированное сетевое соединение с сервером приложений.

Среда построения доверенного сеанса

http://www.s-terra.com/products/productline/vpnupdater



http://www.s-terra.com/products/productline/post





Network Scenarios

Как научиться работать?


Учебный курс: Построение защищенных виртуальных сетей на основе IPsec с

использованием ГОСТ-шифрования на базе шлюзов безопасности S-Terra CSP

Продолжительность: 3 дня

Курс предназначен:

Для технических специалистов и инженеров в области информационной безопасности и безопасности сетей, отвечающих за обеспечение обмена информацией, подпадающей под действие закона 152-ФЗ и иных законов и правовых актов в области защиты информации на территории РФ.

Требования к начальной подготовке слушателей: техническая подготовка на уровне Cisco CCNA.


Что изучается в курсе

Начальная инициализация шлюза безопасности.

Консоль управления.

Построение защищенного соединения site-to-site с аутентификацией на предопределенных ключах.

Графический интерфейс управления GUI – управление политиками безопасности с помощью GUI.

Сертификаты, удостоверяющие центры – работа с сертификатами.

Статическая и динамическая крипто-карта – способы построения защищенных соединений, работа через NAT.

Миграция решения с аутентификацией на базе предопределенных ключей на аутентификацию с использованием сертификатов.

Построение защищенного соединения site-to-site с аутентификацией на сертификатах.

Свободное задание – построение защищенных соединений между рабочими местами обучаемых.

CSM – управление сетью с помощью Cisco Security Manager.

Резервирование, масштабирование и балансировка – отказоустойчивые решения.


Специальное предложение от SkillFactory!

Скидка 5% на обучение по курсу

«Построение защищенных виртуальных сетей на основе IPsec с использованием

ГОСТ-шифрования на базе шлюзов безопасности S-Terra CSP»

для участников вебинара.

Контактная информация: +7 495 9678055

[email protected]

20131212 s-terra

Education