1. Безопасность Cisco в отраслевом
исполнении
Лукацкий Алексей, консультант по безопасности

2. © Компания Cisco и (или) ее дочерние компании, 2011 г. Все права защищены. 2/49
Стимулирование
изменений в
стиле работы
Повышение
эффективности
ИТ
Поддержка
пользователей
Удобство работы
пользователей,
инновации, повышение
производительности,
эффективность
Новые бизнес-модели,
источники прибыли и
рыночные возможности
Сокращение совокупной
стоимости владения,
нейтрализация рисков,
безопасность E2E, защита
инвестиций

3. Решения SecureX Solutions для защиты бизнеса
Защищенный
унифицирован-
ный доступ
Интегрирован-
ная защита от
угроз
Защищенный
центр
обработки
данных
Использование
разрешенных
приложений &
контента
Распределенное
рабочее место &
BYOD
Расширенный
периметр & новые
угрозы
Применение новых
средств
взаимодействия
Переход к
виртуализации &
облакам
• Защищенная динамическая сегментация
• Встроенная защита от угроз
• Обзор через «физику», виртуалку и
облака
• Гибкие идентификация и контроль
приложений
• Внедрение в облаке и в локальной
инфраструктуре
• Federated identity (SAML)
• Гибкие опции внедрения
• Учет состояния / политики
• Понимание глобального /
локального контекста
• Идентификация всех устройств
• Контекстный доступ
• Унифицированный wired/wireless/VPN
доступ

4. Cisco AnyConnect Endpoints Cisco ASA
Context-Aware
Firewall
Cisco IronPort
Web Security
Appliances
Cisco IronPort
Email Security
Appliances
Cisco IDS/IPS
Appliances/Modules
Cisco ScanSafe
Cloud-based
Security
Security Intelligence Operations (SIO)
Cisco SensorBase
Global Threat Telemetry
Real-Time Feedback Loop
Advanced AlgorithmsThreat Operations Center
Threat telemetry “Meta-Data” is sent to SIO by
participating SecureX components & devices via
SSL in real-time. Cisco SIO receives threat
vectors from all types of devices; client, web,
email, IPS, etc.
There are more than 150 million participating
endpoints, including over 700K IPS Sensors, sending
threat data to SIO from around the world.
Additionally, directed crawling, admin feedback,
crowd-sourcing, and RSS feeds are used to obtain
the latest threat information.
Participating Cisco SecureX components poll SIO
looking for dynamic rules and day-zero threat data
updates at 5 minute intervals. More than 8 million rules
are distributed daily across the SecureX platforms.
Cisco ScanSafe’s 22 global data centers, with
an unmatched 99.999% of uptime, analyze
over 20 billion URLS per day, deploy scanlets
for ALL types of content, employ multiple AV
analysis engines, and process threats at an
average of 12ms per transaction.
PSIRT
Applied
Mitigation
Свыше 500 экспертов,
разработчиков &
инженеров
Cisco SIO’s multi-vector intelligence
provides real-time anti-malware data
cleansing, reputation scoring, global
correlation, supervised and unsupervised
learning, and heuristic and real-time
anomaly detection.
Cisco SensorBase has the industry’s largest
global footprint, collecting and analyzing
more than 4TB of web, email, and network
data each day from over 750,000 sensors
deployed across the globe. It also stores
and trends over 10 years of analysis,
making it the largest and most accurate
threat database in the world.
Over 500 Cisco security engineers,
researchers, and signature/threat mitigation
developers work around-the-clock to
monitor, analyze, and convert real-time
threat data, in more than 40 languages, into
~8 million actionable mitigation rules per
day for distribution across Cisco’s SecureX
products.
10 выделенных TOC
ЦОДы
24/7/365
Perimeter BranchCampus Data Center
Every IP
236 Metrics
10 YR History
IP Reputation
ScanSafe Malware Defense
5 минут 5 минут
Anomaly Detection
Global Correlation
Outbreak Filters
Phishing & AV
Anti-Malware
IP Reputation Scores
Cisco Identity
Services Engine
Global Threat Telemetry: Signature and update-based security solutions tend to be one step behind the latest threats. Cisco SIO is the single largest security threat database in the world, collecting real-time
threat web, email, and network threat data, converting it into actionable information, and pushing it dynamically to security devices deployed throughout the network for critical, day zero protection.

5. AP
WLC 802.1X
AP
ASA VPN
Switch
802.1X
Switch
802.1X
ISE Admin (HA P) ISE Monitor (HA P)
ISE Policy Services Cluster
HA Inline Posture Nodes
Security Policy: Written security policies are traditionally distributed through the organization to groups such as the Network, Security, Application, and Data Center teams, who have to interpret that policy and then
deploy it. The problem is that policies are often interpreted and deployed differently, creating policy gaps that allow criminals to gain access to corporate resources. Cisco is the first vendor to address this critical issue with
a robust centralized policy creation and distributed policy enforcement solution that allows organizations to create a unified policy that can be deployed consistently across the entire network infrastructure.
AD/LDAP
(External ID/ Attribute Store)
User and Non-User
Endpoint Devices
Internal ResourcePolicy EnforcementPointAccess Request Resource Access
Request/Response
Context
Logging
External Data (AD, LDAP,
Remediation)
Policy Services
View/ Configure
Policies
Query Attributes
View Logs/ Reports
AD/LDAP
Centralized Policy Administration
and Distribution
Logging
Logging
Security Policy
Monitoring and
Troubleshooting
ST
OP
VPN and Wireless Access
Cisco ISE provides VPN/Wireless (non-CoA)
access policy enforcement at HQ via HA inline
posture nodes
Branch Access Policy
Access policy enforcement is also available at
Branch offices via Distributed Wired/Wireless
802.1X devices
Distributed Policy Services
Distributed policy service clusters for
larger campuses allow policy decisions
to be made closer to the enforcement
point to avoid policy bottlenecks
Centralized Policy Services
ISE policy services clusters for Wired/Wireless
802.1X Services at HQ provide centralized policy
response for enforcements points, in coordination
with AD/LDAP servers, etc.
Administration
The ISE administration solution provides
centralized policy creation, distributed
deployment, and centralized view into
policy enforcement issues across the
network
Policy Enforcement Points
Policy enforcement points can be distributed
throughout the network, either by leveraging Cisco
networking gear via 802.1X, or with an ISE
appliance deployed as a simple enforcement point
overlay
Monitoring and Troubleshooting
The ISE monitoring and troubleshooting
tool collects data from all enforcement
points to quickly identify and troubleshoot
problems and keep the administration
solution apprised of the status of devices
and policies in real time
Logical view of policy solution deployed across the network
Real-Time ISE Policy Feed
Cisco SIO
Branch
ЦОД

6. Security Context
How
Identifies the network access
method used, (wired, wireless,
VPN) and determines appropriate
access policy, such as resources
permitted or whether traffic should
be encrypted.
SIO
When
Determines the time of day a user or
device attempts to access network
resources, and makes an access
decision as to whether the access
requested falls within policy for that
time.
What
Identifies and inventories all
devices connecting to the
network. User-based devices
(phones, laptops, tablets,. PCs,
etc.) are analyzed for security
compliance and associated
with the user’s security group
and policy. Non-user or non-
authenticating devices
(printers, badge readers, IP
cameras, etc.) are profiled and
identified, and admitted to the
network based on policy.
Who
Identifies all users and devices seeking
access to network resources. Determines
if a user is a guest, a contractor, or an
employee and what group or security
segment and policy that user belongs to.
Where
Determines the location of the user and
or device seeking network access and
provides appropriate access based on
policy. Different levels of access can be
applied whether the user or device is
inside or outside the network, for
example.
Where
Leverages the network to enforce policy
by controlling access to pre-assigned
resources, and tracking and managing
user and device behavior.
What
Cisco SIO analyzes real-time global
network, web, email, and mobile device
traffic looking for threats, trends, and
anomalies. This information is processed
and pushed to cloud and network
services and devices to ensure the
network is protected from zero-day
threats.
Security Context: Cisco SecureX leverages the power of the network infrastructure, global telemetry, and integrated security devices to add context to security decisions. Understanding the who, what, when,
where, and how of any user and/or device allows for broader visibility and more accurate control of any transaction occurring on the network. And consistent monitoring of users and devices means that if a context
changes, like a user moves from inside to outside the network, or launches a virtual device, the network recognizes this change and dynamically updates security controls.

7. Device Support: Windows, Mac,
Linux,
Apple iOS, Android, WinMobile,
Symbian
Authentication: Multi-factor,
including
Certificates and OTP tokens
High Security: DTLS/SSL- AES-
128/256+SHA1
IPSec IKEv1/IKEv2 AES-128-
256+SHA2(192-512)
Authentication & Encryption
Supplicant: 802.1x/802.1AE
(MACSEC Endpoint)
Posture Client: Guarantees endpoint
compliance
(AV / AS / FW / File / User / Group /
Device, etc.)
Advanced Troubleshooting: DART
Web Security: Integrated full-time
ScanSafe protection from
malware/viruses etc.
Full-Time ‘DATA’ Connection
Protected by ScanSafe
On-Demand or Always-On ‘VPN’ Connection
Protocol Agnostic: DTLS/SSL/IPSec
Cisco AnyConnect
Device Agnostic End-Point Client
Cisco ASA Context-
Aware Firewall
Cisco IronPort
Web Security
Appliances
• SaaS Gateway Services
• Acceptable Use Control
• Web Usage Tracking
• Bandwidth and AVC
Authentication and Identity Services:
AD/LDAP/RADIUS/SDI/Kerberos
Captive Portal Remediation Optimal Gateway Selection Trusted Network Detection Secure SSL Portal
• Usage Policy
• Control and Content
• Filtering /AV/ Malware Single-Sign-On for
Authentication to
Resources
MDM Solution handles provisioning,
de-provisioning, wipe, backup, app-
stores, device & SD card encryption,
lost device tracking etc.
outside inside
AnyConnect
SSO/SSL
Proxy
Trusted Corporate Resources
Web Security Integration:
Cisco ScanSafe and IronPort WSA provide unified
acceptable use, AV, malware protection, identity-
based application controls, and persistent security
and policy enforcement for any users and devices.
DLP services protect data, and advanced web
tracking and reporting allow admins to easily
manage secure mobility and device proliferation
INTERNET
Cisco Identity Services
Engine (ISE) or Active
Directory Identity Agent
Captive Portal Remediation allows
AnyConnect to roam from network to
network, such as WiFi to 3/4G, without
requiring reauthentication. AnyConnect
also mitigates WiFi hotspot connections
by allowing the user to login to the
portal and then automatically resuming
the VPN connection.
Optimal Gateway Selection (OGS)
automatically connects to the most
optimal gateway. The Round Trip
Timer (RTT) selects the fastest ASA
gateway, and results are dynamically
adjusted if a 20% performance
improvement can be achieved via
another ASA.
Trusted Network Detection (TND)
allows AnyConnect to automatically
connect when on an untrusted
network, and automatically
disconnect when moving inside a
trusted (i.e. corporate) network.
For systems that must remain ‘clientless,’
Cisco ASA provides a secure web portal over
SSL that allows systems to securely access
corporate applications like intranets,
SharePoint, Outlook, and VDI. The secure
portal supports Single Sign On and Secure
Vault services for secure access on any
system from any location
AnyConnect
Secure Mobility
Securing Mobile Users and Devices: The rapid growth of consumer-based remote devices, and concerns over issues like BYOD policies, are forcing organizations to rethink their strategies for securing
their data and protecting their resources from a highly mobile and collaborative workforce. Security threats include MiTM attacks, data sniffing and interception, infected web sites and malware, split tunneling
vulnerabilities, lost or compromised devices, and unauthorized network access

8. Secure Access
VPN Connections
ASA or IOS Router
Any Device, Anywhere,
Anytime
Wired/Wireless or VPN
AnyConnect, NAM 802.1x or
Native 802.1x Supplicant / MAB
or WebAuth End-Point Client –
MACsec Client
Wired Connections
TrustSec supported
(SGT) and/or Legacy
Switches (SXP)
Wireless Connections
Autonomous and
Controller-based
SGT Enforced on Nexus 7K
Cisco Identity Services Engine
(ISE)
Provides policy oversight,
enforcement, identity, authentication,
authorization, monitoring, posture,
and device profiling
TrustSec & Identity Services Engine (ISE) provide Contextual
Access Visibility and Control
Identity of Users and Applications, with intelligent actionable policies,
for 75,000 applications across 65,535 ports. Fine-grained control of
each application, by identity, function, or other contextual element
can be applied. An intuitive GUI interfaces easily identifies, controls,
and reports on all characteristics of actionable context
Nexus 7k Data Center Switches
SGT ACL enforcement, static SGT assignment for
servers, SXP Listener for SGT Host mappings,
802.1ae MACsec encryption support
SXP
Protocol
Catalyst X Series Switches
802.1x & MAB authentication,
dynamic ACL and assignment, native
SGT tagging in hardware, and
802.1AE MACsec encryption support
Legacy Catalyst
Switches
802.1x & MAB Multi-Auth,
dynamic ACL and VLAN
assignment, SGT tagging via
SXP Protocol
Native SGT Support
Security Group-Based Access Control with Native SGT
ISE maps tags (SGT) with user identity (AD/LDAP/RADIUS), and the
ISE authorization policy pushes SGT to the ingress NAD and an ACL
(SGACL) to the egress NAD. Since the ACL is applied close to
destination (protected resource), SGACLs are intended for fine-
grained access restrictions
INGRESS
SGT
4
EGRESS
INGRESS
SGT
3
SXP (Security eXchange Protocol) Tagging between non-
TrustSec and TrustSec enabled devices
User/device is assigned an SGT by ISE, and the switch binds the
endpoint IP address to the assigned SGT. The switch uses TCP-based
SXP to send the binding table to a TrustSec capable device, which
tags the packet based on its source IP address when it appears on
the forwarding table
IP Address SGT Source
10.1.10.1 100 SXP peer 10.1.50.2
10.1.30.4 4 SXP peer 10.1.50.2
10.1.10.1
SGT
100
Legacy Support w/SXP
SGT
4
SGT
3
Sales Server
Finance Server
10.1.30.4
SGT
4
SGT – Security Group Tagging
A unique 16 bit (65K) tag assigned to each unique role
represents the policy of the source user, device, or
entity. Each packet is tagged at ingress of the
TrustSec domain, and hop-by-hop encryption is
performed at Layer2 via 802.1AE (MACsec)
SGACL
Inline Policy
Enforcement Point +
Contextual Awareness
User App IP-Port
Device Content
Location Time
Data
Posture Profile
Threat
Custom
SGT
100
HR Server
DEV Server
SGT
4
Cisco ISE
AD
Securing Access: As the workforce becomes more mobile, and consumerized IP devices make their way into the network, controlling user and device access to network resources becomes increasingly complex. This includes
understanding who the user is (Identity, Profile), what is the user trying to access (app, content, data), where the access request is coming from (location, device), and how access is being made (authorization, posture.) Controlling
access addresses common access layer threats, including infected devices and the spread of malware and botnet clients, unauthorized users, data theft, rogue devices and inventory management, device spoofing, traffic sniffing, and
guest access concerns, etc.
SXP Binding Table

9. Secure Edge
INTERNET
ISP B
ISP A
Private WAN edge
SP 1
Private WAN edge
SP 1
Redundant Corporate Internet Access
Best of Breed E-mail and Web-security. Anti-
Malware/AV and DLP. Stateful firewall
inspection with deep application inspection.
SLA-based Inline intrusion prevention with
zero-day threat intelligence. Granular
application/ User/Device/Service and
bandwidth controls.
Edge Protection
Traffic filtering, routing security, and IP spoofing protection to discard anomalous traffic flows and
block illegitimate traffic.. Context-based Edge Security: User /app /device /policy. Global Threat
Intelligence (SIO) & Cloud-based policy/anti-malware protection. Hybrid-hosted Email Security &
encryption. AnyConnect Secure Mobility from any device. Single Pane of Glass Security/Policy
Management. RMS/CIPS managed security service available for config/tuning/log correlation and
threat response, etc.
RMS/CIPS
Corporate Access/DMZ
Edge
Network Foundation Protection
Device hardening, control and management
plane protection throughout the entire
infrastructure to maximize availability and
resiliency. 802.1X-based access control with
Cisco TrustSec and Cisco Identity Services
Engine (ISE)
Corporate DMZ
Endpoint server protection, inline intrusion prevention with Global
Threat Intelligence, stateful firewall inspection, Botnet Traffic Filter,
application visibility &deep-packet inspection, DDoS protection
INTERNET
Private WAN Edge
WAN Distribution
Internet WAN Edge
Secure WAN Connectivity
Data confidentiality and integrity with IPSec-
based VPN and PKI. Data confidentiality and
integrity with IPSec-based VPN and PKI. IPSec,
DMVPN, GET-VPN for MPLS, 3DES/AES
Encryption
Enhanced Availability and Resiliency
Hardened devices leveraging redundant
systems, stateful failover, and topological
redundancy to ensure service availability. QoS
policies to preserve and optimize network
services.
Layer 2 Security
Layer 2 protection provided by Catalyst
Integrated Security Features, including port
security, Dynamic ARP inspection, IP Source
guard, DHCP snooping, Private VLANs, QoS,
NetFlow, ERSPAN, SPAN, hop-by-hop
encryption with 802.1ae (MACSec). Identity-
aware user and device access with TrustSec,
non-user device discovery, centralized policy
& management
Context-Aware Policy Management
Device profiling and policy enforcement via
Cisco Identity Services Engine. Role-based
access control and device security compliance
via Cisco TrustSec and Cisco ISE.
Email and Web Security
Email security provided by IronPort ESA,
including email scanning, threat protection,
data loss prevention, and spam filtering. Web
security provided by IronPort WSA and/or
ScanSafe, including web filtering, web traffic
analysis, data loss prevention and threat
protection
Firewall and IPS
Advanced firewall protection provided by
ASA, IOS firewall, and/or ASA switch module.
IPS traffic inspection, including signature
matching, event correlation, and reputation
filtering provided by IPS appliance and/or IOS
IPS.
Securing the Network Edge: The network edge is a public-facing network infrastructure, and is therefore exposed to a large array of external threats. Some of these threats include: Denial of Service (DoS) and Distributed Denial of
Service (DDoS) attacks; malware, spyware, and adware; network intrusion, takeover, and unauthorized access; email spam, viruses, and data loss; web-based phishing, viruses, spyware, inappropriate content, and identity and data
theft; and application-layer attacks
Partner DMZ
Extranet resources secured with endpoint server protection, inline
intrusion prevention, stateful firewall inspection, application deep-packet
inspection, DDoS protection.
Remote Access
Authenticated and encrypted access for remote
users. Granular user/group-based access control.
SSL and IPSec VPNs. Traffic inspection and inline
intrusion prevention.
Secure Guest and Partner Connectivity
Data confidentiality and integrity with IPSec-
based VPN and PKI. Granular access control,
including Guest Access services, provided by ISE.

10. MPLS, WAN, Internet
WAN Internet
Backup
ISR G2
Secure WAN Connectivity:
Data confidentiality and integrity with IPSec-
based VPN with PKI, DMVPN, GET-VPN for
MPLS, 3DES/AES Encryption
Web Security:
ISR ScanSafe integration provides direct Branch
access to secure web cloud services (ScanSafe) with
intelligent connector -All Local Internet traffic can be
clean/secure without back-haul to nearest ScanSafe
scanning tower
IOS Zone Based Firewall:
Integrated stateful firewall with Layer 7
Inspection engines for voice, video, and data
protocols. AVC engine for visibility and control of
over 1000 applications.
Local threat detection and
mitigation:
Integrated IPS Module for full hardware
based IDS/IPS appliance services or IOS
software based IDS/IPS
Secure Access Control:
Cisco TrustSec services and Identity Services Engine (ISE) control of local access switches and
WLCs for 802.1x, MAB, Guest Services, Device Profiling, and NAC. Active Directory Integration
for user/group authentication to ScanSafe portal allows granular identity-based acceptable-use
policy to be enforced where required
Secure WLAN:
CAPWAP AP’s to a central or local WLC for
secure authentication, encryption w/IPS, rogue AP
detection, Clean Air spectrum analysis. Data
confidentiality and integrity provided by IPSec-
based VPN and PKI.
Catalyst Integrated Security
Features:
Port Security, DHCP Snooping, ARP
Inspect, IP Source Guard, Device
Profiling
Network Foundation
Protection:
Control and Management Plane Policing,
NBAR, Autosecure
Secure Unified Communication:
Secure data, voice, video and mobile
applications across the network. Secure call
processing, voice and video encryption services,
dynamic and granular access control, network
security policy enforcement
Secure Branch
AnyConnect Secure Mobility Client:
Always on, persistent mobile security includes
IPSec, SSL, 802.1X supplicant, and ScanSafe
web security.
Edge Protection:
Traffic filtering, routing security, firewall integration and IP
spoofing protection to discard anomalous traffic flows, prevent
unauthorized access and block illegitimate traffic.
Access Edge Security:
iACLs, STP security, DHCP protection,
ARP and IP spoofing protection, MAC
and traffic flooding protection, QoS policy
enforcement.
Head
Office
ScanSafe Active Directory Integration:
Active Directory Integration for user/group
authentication to ScanSafe portal allows granular
identity-based acceptable-use policy to be enforced
where required. Flexible management
& redundancy through GPO, (hosted) PAC
Connector
C
o
n
Internet C
o
n
n
Securing the Branch:
Branch office threats include malicious activity by branch clients, including malware proliferation, botnet detection, network and application abuse, and other malicious or non-compliant activity; WAN transit vulnerabilities
such as sniffing and man-in-the-middle (MITM) attacks; attacks against the infrastructure itself, such as unauthorized access, privilege escalation, and denial-of-service (DoS) attacks. Web and email threats, such as
malicious web sites, compromised legitimate web sites, spam, and phishing exist if split-tunneling is enabled to provide local Internet access directly from the Branch.

11. Cisco Private Cloud
Secure Data Center and Cloud
INTERNET
or WAN
Public Cloud Resources
DataCenterCore
Server
Aggregation
Public/Private
Delineation Point
CTX1
CTX2
Nexus 1000V
Zone/Tenant
vApp vApp
vApp
ASA1000v
Virtual
Security
Gateway
Zone/Tenant
vApp vApp
vApp
ASA1000v
Virtual
Security
Gateway
ASA1000v
Unified
Computing
System
Services are applied on a per flow basis
Security, Scalability, Availability, are enhanced
by applying combined services
Services can be applied to each tenant or zone
as physical devices. Each device can be
virtualized to provide security and application
services to multiple zone or tenants, each with
separate control and data planes
Implementing Compliant Architectures:
Using Nexus 7000 VDCs, a certified means of providing
‘leak-proof’ separation for the management, data and
control planes can be easily implemented with ASA
Firewall contexts. At least one physical interface must
be dedicated from each ASA to each VDC to allow
security to be implemented inter-VDC. Preferentially,
the ASA’s should be implemented in transparent-mode
(layer 2)
Virtual Switching and Cloud Infrastructure
Virtual switching infrastructure provides same CLI and OS features as physical switches Virtual Security
Gateway security zones create multi-layered application, (multi) tenant zones, and virtual desktop
applications. The ASA1000v provides a consistent & rich ASA 8.x feature set in a Virtual Service Node.
Administrative visibility is enhanced through security log and event views and virtual network NetFlow,
and (ER)SPAN capabilities. Secure Virtual Service Nodes integrate with vCloud Director and provide
common orchestration for policy management. ASA1000v can be used as a Public cloud DC
interconnect
VDC1 VDC2
DC2
Cisco Identity Services Engine
(ISE)
Provides policy oversight,
enforcement, identity,
authentication, authorization,
monitoring, posture, and
device profiling – ISE/TrustSec
SGA support ties in with the
‘EGRESS” portion of the Secure
Access callout
The Economics of Cloud Computing
“A good rule of thumb is to ‘own the base, and rent the spike.’”
“If there is a short enough period of peak demand, rather than use
only dedicated resources it makes sense to slice at least that out of
the total solution and use on-demand pay-per-use resources to
serve it. On the other hand, if there is a long enough duration of
non-zero demand, you may as well use dedicated resources to
serve that baseline.”
Let T be uniformly distributed with peak P and the utility premium
U > Then the optimal hybrid solution consists of P / U on-demand
capacity and P – (P / U) dedicated resources
The Business Benefits of Cloud Computing
Cloud can provide almost an immediate access to hardware
resources, with no upfront CAPEX. Pay-per-use billing
dramatically reduces cost. Cloud computing can lower IT
barriers to innovation and increase interoperability between
disjoint technology. Enterprises of all sizes can seamlessly scale
their services in correlation with client demand. Additional
data centers can be provisioned in minutes – extending the
private cloud to public or hybrid models
DCx
SecureEdgeModule
Secure Access Module

12. INTERNET
or WAN
Cisco ASA
Context-Aware
Firewall
VDI Connection Broker
DTLS/SSL/IPSec AES-128-256 Connection
Display Protocol Exchange: PCoIP / ICA / RDP:
Provides a continuous exchange of display data
between the virtual desktop in the data center and
the endpoint, including interface devices (keyboard,
mouse, USB peripheral, IP Phone, etc.) Display
protocol provides a view of the virtualized desktop
without allowing data to leave the Data Center.
Functions like copy/paste are disabled.
Cisco IronPort
Web/EmailSecurity
Appliances
Integrated with
RSA DLP
Virtualized Data Center
Data Center Edge
Server Zones
ExecutivesIT Admin Users
IT Tools Finance Apps Dev
Context-Aware Identity
and Authentication
Services
Cisco CIUS
VXI Thin Client
Tablet – VXI Thin
or Zero-Client
PC/Laptop
VXI Thick Client
(actual picture of Windows 7
HVD running on iPad with VXI)
Cisco AnyConnect
Secure Mobility Client:
Seamless, secure, context-aware,
and dynamic access to DC edge
for VDI and rich-media
applications like Voice, UC, and
Video.
Secure Mobility:
Cisco AnyConnect/ASA enables
anytime, anywhere secure access to
hosted virtual desktops, and
integrates with email and web
security for DLP. Ensures sensitive
business data does not leave the
data center.
Rich VDI Feature Set:
Facilitates the exchange of display protocols with the VDI client. Authenticates
and redirects multiple client connection requests to the Virtual desktops.
Provisions new virtual desktops on demand, and relays user credentials to the
hosted virtual desktop.
Cisco Virtual eXperience Interface (VXI)
Cisco VXI Security is only a small subset of the complete , end-to-end Cisco VXI Solution.
For complete Validated Design information and detail: www.cisco.com/go/vxi
What is Cisco VXI?
Cisco’s Virtualization Experience Infrastructure
enhances Desktop Virtualization:
• Integration into Cisco’s Unified
Communications
Hosted Virtual Desktop (HVD) allows users
to make and receive voice or video calls from
Cisco Unified Personal Communicator
• Simplified configuration, through the use
of UCS virtualized computing platforms
• Network optimization
Cisco VXI resolves issues related to network
protocols not optimized for network
bandwidth limitations, or impacted by
bandwidth limits and/or network latencies
introduced with VDI.
• Security
Connectivity into the network is controlled at
the access layer, where a device first
attaches to the virtual infrastructure, all the
way through to the Virtualization Array. Data
leakage prevention policies protect sensitive
business data from leaving the Data Center.
Hypervisor Security:
Cisco’s Virtual Security Gateway and
ASAv offer Hypervisor Edge and VM
to VM firewalling. VMs can be
separated into multiple zones and
VM zone policies can be applied
globally. VMs within a zone cannot
communicate unless explicitly
allowed by policy. Protection of East-
West traffic flows maximizes security
while enabling business agility and
efficiency.
Virtual Security Gateway and ASA 1000v
HVD Zones Nexus 1000v

13. А где же отраслевая специфика?
• Рассматривать ИБ без привязки к российским реалиям нельзя
• Угрозы у нас те же самые, что и во всем мире
• Технологические тенденции тоже аналогичные
– Но запаздывают года на 2-3
• Для большинства отраслей 80% всех технологий и сценариев их
применения идентичны
– Удаленный доступ, ЦОДы, мобильность, терминальный доступ,
защита от инсайдера, защита рабочего места, защита периметра
и т.п.
– Они составляют основные блоки
• Очень небольшое количество действительно специфических
нюансов с точки зрения защиты, преимущественно в
индустриальных системах и M2M-взаимодействии
– + требования по безопасности бизнес-приложений

14. А где же отраслевая специфика?
http://www.cisco.com/go/industry

15. Пример: решение Cisco для нефтегазовой отрасли

16. Пример: ИБ для нефтегазовой отрасли
IT
PCN
Utility
Поддерживающие
взаимодействия
B2B
Надежное сегментирование сети с
помощью VRF через MPLS VPN и
оптику
--------------------------------------------
Обеспечение бесперебойности
Снижение OPEX
Защита инвестицийСегментация и разграничение
доступа к активам при доступе к ним
с рабочего ПК/планшетника
------------------------------------
Эффективное взаимодействие с
третьими лицами
Обеспечение бесперебойности
Подводная
оптика
Наземная
оптика
Буровое судно
Судно
снабжения

17. ЧТО ЖЕ ТОГДА СОСТАВЛЯЕТ
ОТРАСЛЕВУЮ СПЕЦИФИКУ?

18. Регуляторы в области ИБ
ИБ
ФСТЭК
ФСБ
Минком-
связь
МО
СВР
ФСО
ЦБ
PCI
Council
РКН
СовБез
МВД
МинЭнерго

19. В среднем появляется 4 нормативных акта в месяц
0
1
2
3
4
5
6
7
8

20. НПС/банки/госорганы/операторы связи – в приоритете
последних дней
59
17
10
8
10
2 1 1 1 1 1 Все
НПС
Банки
Госорганы
Операторы связи
ТЭК
УК, ТСЖ, ЖК, ЖСК
Нотариусы

21. НАЦИОНАЛЬНАЯ
ПЛАТЕЖНАЯ СИСТЕМА

22. Мы только в начале пути регулирования НПС
• Платежные карты
• Мобильные и
мгновенные
платежи
• Системы ДБО
• Банкоматы и ККТ
• Небанковские
организации
• Разработчики
платежных
приложений

23. Структура основных нормативно-правовых актов по ИБ в
НПС
Рекомендации
АРБ и НПС по
реагированию
на инциденты

24. Положение Банка России 382-П от 09.06.2012
• Положение 382-П согласовано с ФСТЭК и ФСБ

25. 129 требований по защите информация при переводе
денежных средств
• Банк России интересует, чтобы требование было выполнено
качественно, а выбор конкретных технологий и средств защиты
информации - задача банков

26. Какие решения Cisco могут быть применены для защиты
НПС?
• Банк России не устанавливает конкретных и детальных
требований по выбору технических или организационных мер,
реализующих статьи Положения 382-П
– Участники НПС вправе самостоятельно определять средства
защиты
– Любые решения Cisco могут быть применены для защиты
участников НПС и реализации требований 382-П
• Требований по применению сертифицированных СЗИ нет

27. Пример применения решений Cisco
Требование Пункт 382-
П
Решение Cisco
Идентификация, аутентификация и
авторизация работников и участников
платежной системы
2.6.3 Cisco Identity
Service Engine
Реализация запрета
несанкционированного расширения
прав доступа к защищаемой
информации
2.6.4 Cisco Identity
Service Engine
Фильтрация сетевых пакетов при
обмене информацией между
вычислительными сетями, в которых
располагаются объекты
информационной инфраструктуры, и
сетью Интернет
2.8.1 Cisco ASA 5500-X
Cisco IOS Firewall
Cisco ASA SM для
Catalyst 6500

28. Пример применения решений Cisco
Требование Пункт 382-
П
Решение Cisco
Снижение тяжести последствий от
воздействий на объекты
информационной инфраструктуры с
целью создания условий
для невозможности предоставления
услуг по переводу
денежных средств или
несвоевременности осуществления
переводов денежных средств
2.8.1 Cisco Validated
Design
Cisco SAFE
Учет и контроль состава
установленного и (или) используемого
на средствах вычислительной
техники программного
обеспечения
2.10.1 Cisco Identity
Service Engine
Cisco NAC

29. Пример применения решений Cisco
Требование Пункт 382-
П
Решение Cisco
Применение организационных мер
защиты информации и (или)
использование технических средств
защиты информации,
предназначенных для
предотвращения
несанкционированного доступа к
защищаемой информации на
объектах информационной
инфраструктуры с использованием
сети Интернет
2.8.1 Cisco IPS 4300
Cisco IPS 4500
Cisco IPS-SSP
Аутентификация входных
электронных сообщений
2.10.4 Cisco Email Security
Appliance

30. Применение СКЗИ в НПС
• Оператор платежной системы самостоятельно определяет
необходимость использования СКЗИ, если иное не предусмотрено
федеральными законами и иными нормативными правовыми
актами Российской Федерации
• Если необходимость СКЗИ определена, то работы по
обеспечению защиты информации с помощью СКЗИ проводятся в
соответствии с Федеральным законом от 6 апреля 2011 года 63-
ФЗ «Об электронной подписи», Положением о разработке,
производстве, реализации и эксплуатации шифровальных
(криптографических) средств защиты информации (Положение
ПКЗ-2005), и технической документацией на СКЗИ
• В случае если участники НПС применяют СКЗИ российского
производителя, указанные СКЗИ должны иметь сертификаты
уполномоченного государственного органа

31. Письмо 34-Т от 01.03.2013
• О рекомендациях по повышению
уровня безопасности банкоматов и
платежных терминалов
• Оснащение специальным ПО для
выявления и предотвращения атак
• Обнаружение, фиксация атак и их
попыток
• Регулярный контроль действия
обслуживающих организаций
• Анализ и выявление уязвимостей
после атак или попыток их
совершения
• …

32. Что думает Банк России о PCI DSS?
• Какова судьба PCI DSS в контексте 382-П и СТО БР ИББС?
– PCI DSS включат в состав СТО БР ИББС?
– На базе PCI DSS будут создавать собственные нормативы?
• Банк России (через НП АБИСС) осуществил перевод 10
документов PCI DSS 2.0 для их анализа в ПК1 ТК122 и их
возможного последующего использования в рамках НПС. Цели:
– аутентичный перевод на русский язык PCI DSS и сопутствующих
документов, официально признаваемый PCI Council
– размещение перевода и поддержка его в актуальном состоянии
при изменений версий стандарта PCI DSS на сайте PCI Council
– использование перевода для более эффективного внедрения
PCI DSS в РФ для участников международных платежных систем
– использование перевода как основы для разработки Банком
России национальных требований и рекомендаций к индустрии
платежных карт

33. Управление
• Сеть: Routers, Switches и Wireless
• ИБ: Firewalls и Intrusion Detection
• Точки продаж: сервера и приложения
• Голос: Телефоны и ЦОВ
• Email: Data Loss Prevention
• Physical: Surveillance и Badge Access
• Аутентификация
• Управление
Internet EdgeData Center Contact CenterStore
Целостное решение Cisco по PCI DSS 2.0
Конечные
устройства
Инфраструктура
PCI DSS 2.0 Solution Framework
• Шифрование
• Мониторинг
• Assess
• Design
• Implement
• Audit
Сервисы

34. Cisco PCI Solution for Retail 2.0
• Позволяет выполнять указания
PCI DSS 2.0 в специфичных
технологических областях
• Обеспечивает руководство для
выполнения требований PCI и
защиты данных платежных карт

35. Cisco PCI Solution for Retail 2.0
• Рекомендованные архитектуры для сетей,
хранящих, обрабатывающих и
передающих данные платежных карт
• Протестированы в реальном окружении с
POS, серверами приложений,
беспроводными устройствами,
соединением с Интернет, ЦОВ и
системами безопасности
• Руководства оценены PCI QSA (Verizon)
• Включают расширенные рекомендации по
реализации требований PCI в
виртуализированном и 3G окружении
Validated Design
Small Retail Store

36. Единое пространство доверия с операторами связи
• Инфраструктура многих операторов связи используется при
оказании услуг по переводу денежных средств (как минимум,
ДБО)
• Минкомсвязь совместно с Банком России решило вернуться к
теме «Базового уровня информационной безопасности
операторов связи» (он же рекомендации ITU-T X.sbno) и сделать
именно эти требования (с некоторыми доработками) условием
подключения (выбора) банков к инфраструктуре оператора связи
• При этом Банком России будут разработаны рекомендации по
выбору именно тех операторов, которые прошли процедуру
добровольной сертификации на соответствие «базовому уровню»
36

37. ГОСУДАРСТВЕННЫЕ
ИНФОРМАЦИОННЫЕ
РЕСУРСЫ

38. Новый приказ ФСТЭК
• №17 от 12.02.2013 «О защите
информации, не составляющей
государственную тайну,
содержащейся в государственных
информационных системах»
• Все новые и модернизируемые
системы должны создаваться по
новому приказу, а не по СТР-К
– Старые системы «живут» по СТР-К
• Меры по защите ПДн в ГИС
принимаются в соответствии с
требованиями о защите информации,
содержащейся в ГИС

39. На кого распространяется?
• Настоящие Требования предназначены для обладателей
информации, заказчиков, заключивших государственный
контракт на создание ГИС, операторов ГИС, а также лиц,
привлекаемых обладателями информации, заказчиками или
операторами в соответствии с законодательством Российской
Федерации к проведению работ по защите информации,
содержащейся в ГИС
• Выполнение настоящих Требований является обязательным
при обработке информации ограниченного доступа, не
содержащей сведения, составляющие государственную тайну,
в ГИС, функционирующих на территории Российской
Федерации, а также в муниципальных информационных
системах, если иное не установлено законодательством
Российской Федерации о местном самоуправлении

40. Как определяются требования по защите?
• Требования к системе защиты информации информационной
системы определяются в зависимости от
– класса защищенности информационной системы
– актуальных угроз безопасности информации, установленных в
модели угроз безопасности информации
• Приказ вводит 4 класса защищенности и определяет методику их
выбора
• Модель угроз безопасности информации должна содержать
описание структурно-функциональных характеристик
информационной системы и актуальных угроз безопасности
информации
– Моделирование угроз осуществляется на основе
разрабатываемых методических документах ФСТЭК
– Предполагается, что данная методика будет единой для ПДн и
ГИС

41. 1Г или 2 класс защищенности: как правильно?
Классы
АС Классы ИС
Так было
Так стало
• Классификация зависит от значимости обрабатываемой
информации и масштаба ГИС
• Аттестация проводится по новым классам защищенности

42. Меры по защите информации
• В состав мер по обеспечению безопасности ГИС, реализуемых в
рамках системы защиты ГИС с учетом актуальных угроз
безопасности ГИС и применяемых информационных технологий,
входят
– идентификация и аутентификация субъектов доступа и объектов
доступа
– управление доступом субъектов доступа к объектам доступа
– ограничение программной среды
– защита машинных носителей информации, на которых хранятся
и (или) обрабатываются ГИР
– регистрация событий безопасности
– антивирусная защита
– обнаружение (предотвращение) вторжений
– контроль (анализ) защищенности ГИС

43. Меры по защите информации
• продолжение:
– обеспечение целостности информационной системы и ГИР
– обеспечение доступности ГИР
– защита среды виртуализации
– защита технических средств
– защита информационной системы, ее средств, систем связи и
передачи данных
– выявление инцидентов (одного события или группы событий),
которые могут привести к сбоям или нарушению
функционирования информационной системы и (или) к
возникновению угроз безопасности ГИР, и реагирование на них
– управление конфигурацией информационной системы и системы
защиты ГИР

44. Как определяются защитные меры
• Выбор мер по обеспечению безопасности ПДн,
подлежащих реализации в системе защиты ПДн,
включает
– определение базового набора мер
– адаптацию базового набора мер с учетом
структурно-функциональных характеристик
ИСПДн, ИТ, особенностей функционирования
ИСПДн
– уточнение адаптированного базового набора с
учетом не выбранных ранее мер
– дополнение уточненного адаптированного
базового набора мер по обеспечению
безопасности ПДн дополнительными мерами,
установленными иными нормативными актами
Базовые меры
Адаптация
базового набора
Уточнение
адаптированного
набора
Дополнение
уточненного
адаптированного
набора

45. Компенсирующие меры
• В ходе разработки системы защиты персональных данных
должно быть проведено обоснование применения
компенсирующих мер для обеспечения безопасности
персональных данных
• Пример: среда виртуализации на базе KVM, Xen или Hyper-V

46. УПД: набор мер
Содержание мер УЗ4 УЗ3 УЗ2 УЗ1
УПД.1 Управление (заведение, активация, блокирование и уничтожение)
учетными записями пользователей, в том числе внешних пользователей
+ + + +
УПД.2 Реализация необходимых методов (дискреционный, мандатный, ролевой
или иной метод), типов (чтение, запись, выполнение или иной тип) и правил
разграничения доступа
+ + + +
УПД.3 Управление (фильтрация, маршрутизация, контроль соединений,
однонаправленная передача и иные способы управления)
информационными потоками между устройствами, сегментами
информационной системы, а также между информационными системами
+ + + +
УПД.4 Разделение полномочий (ролей) пользователей, администраторов и лиц,
обеспечивающих функционирование информационной системы
+ + + +
УПД.5 Назначение минимально необходимых прав и привилегий пользователям,
администраторам и лицам, обеспечивающим функционирование
информационной системы
+ + + +
УПД.6 Ограничение неуспешных попыток входа в информационную систему
(доступа к информационной системе)
+ + + +
УПД.7 Предупреждение пользователя при его входе в информационную систему
о том, что в информационной системе реализованы меры по обеспечению
безопасности ГИС, и о необходимости соблюдения установленных
оператором правил обработки защищаемых данных
Cisco Firewall
(ASA, ISR,
ASA-SM, vASA)

47. УПД: набор мер
Содержание мер УЗ4 УЗ3 УЗ2 УЗ1
УПД.8 Оповещение пользователя после успешного входа в
информационную систему о его предыдущем входе в
информационную систему
УПД.9 Ограничение числа параллельных сеансов доступа для каждой
учетной записи пользователя информационной системы
УПД.10 Блокирование сеанса доступа в информационную систему после
установленного времени бездействия (неактивности) пользователя
или по его запросу
+ + +
УПД.11 Разрешение (запрет) действий пользователей, разрешенных до
идентификации и аутентификации
+ + +
УПД.12 Поддержка и сохранение атрибутов безопасности (меток
безопасности), связанных с информацией в процессе ее хранения и
обработки
УПД.13 Реализация защищенного удаленного доступа субъектов доступа к
объектам доступа через внешние информационно-
телекоммуникационные сети
+ + + +
УПД.14 Регламентация и контроль использования в информационной
системе технологий беспроводного доступа
+ + + +
УПД.15 Регламентация и контроль использования в информационной
системе мобильных технических средств
+ + + +
УПД.16 Управление взаимодействием с информационными системами
сторонних организаций (внешние информационные системы)
+ + + +
УПД.17 Обеспечение доверенной загрузки средств вычислительной техники + +
Cisco ISE + AC
Cisco Unified
Access
Cisco ISE

48. ОЦЛ: набор мер
Содержание мер УЗ4 УЗ3 УЗ2 УЗ1
ОЦЛ.1 Контроль целостности программного обеспечения, включая программное
обеспечение средств защиты информации
+ +
ОЦЛ.2 Контроль целостности защищаемых данных, содержащихся в базах данных
информационной системы
ОЦЛ.3 Обеспечение возможности восстановления программного обеспечения,
включая программное обеспечение средств защиты информации, при
возникновении нештатных ситуаций
ОЦЛ.4 Обнаружение и реагирование на поступление в информационную систему
незапрашиваемых электронных сообщений (писем, документов) и иной
информации, не относящихся к функционированию информационной системы
(защита от спама)
+ +
ОЦЛ.5 Контроль содержания информации, передаваемой из информационной
системы (контейнерный, основанный на свойствах объекта доступа, и (или)
контентный, основанный на поиске запрещенной к передаче информации с
использованием сигнатур, масок и иных методов), и исключение
неправомерной передачи информации из информационной системы
ОЦЛ.6 Ограничение прав пользователей по вводу информации в информационную
систему
ОЦЛ.7 Контроль точности, полноты и правильности данных, вводимых в
информационную систему
ОЦЛ.8 Контроль ошибочных действий пользователей по вводу и (или) передаче
защищаемых данных и предупреждение пользователей об ошибочных
действиях
Cisco ESA Cisco ESA
Cisco ASA CX

49. ЗИС: набор мер
Содержание мер УЗ4 УЗ3 УЗ2 УЗ1
ЗИС.13 Исключение возможности отрицания пользователем факта получения
защищаемых данных от другого пользователя
ЗИС.14 Использование устройств терминального доступа для обработки
защищаемых данных
ЗИС.15 Защита архивных файлов, параметров настройки средств защиты
информации и программного обеспечения и иных данных, не
подлежащих изменению в процессе обработки защищаемых данных
+ +
ЗИС.16 Выявление, анализ и блокирование в информационной системы
скрытых каналов передачи информации в обход реализованных мер
или внутри разрешенных сетевых протоколов
ЗИС.17 Разбиение информационной системы на сегменты (сегментирование
информационной системы) и обеспечение защиты периметров
сегментов информационной системы
+ +
ЗИС.18 Обеспечение загрузки и исполнения программного обеспечения с
машинных носителей защищаемых данных, доступных только для
чтения, и контроль целостности данного программного обеспечения
ЗИС.19 Изоляция процессов (выполнение программ) в выделенной области
памяти
ЗИС.20 Защита беспроводных соединений, применяемых в информационной
системе
+ + +
Cisco VXI Cisco BN
Cisco UA

50. Оценка соответствия средств защиты
• Средства защиты информации,
применяемые в информационных
системах, должны быть
сертифицированы на
соответствие требованиям по
безопасности информации в
соответствии с законодательством
Российской Федерации
• При отсутствии
сертифицированных средств
защиты информации организуется
разработка (доработка)
необходимых средств защиты
информации и их сертификация

51. Соответствие классов защищенности классам
сертифицированных СЗИ
Тип СЗИ / ПО 4 класс 3 класс 2 класс 1 класс
СВТ Не ниже 5 Не ниже 5 Не ниже 5 Не ниже 5
IDS
Не ниже 6
4 Интернет
5
Не ниже 4 Не ниже 4
Антивирус
Не ниже 6
4 Интернет
5
Не ниже 4 Не ниже 4
МСЭ
4
3 Интернет
4
3 Интернет
4
3 Интернет
4
НДВ в СЗИ - - - -
• Вопрос о сертификации на отсутствии НДВ в СЗИ для 1-го и 2-го
класса защищенности сейчас решается

52. Какие решения Cisco имеют сертификаты ФСТЭК?
• Многофункциональные защитные устройства
– Cisco ASA 5505, 5510, 5520, 5540, 5550, 5580, 5585-X
– Cisco ASA SM
• Системы предотвращения вторжений
– Cisco IPS 4200, AIP-SSM-10/20, IPS 4240, 4255, 4260, 4270, IDSM2
• Межсетевые экраны
– Cisco Pix 501, 506, 515, 520, 525, 535
– Cisco FWSM
– Cisco 1800, 2800, 3800, 7200, 7600, 676, 871, 881, 891, 1750, 1751,
1760-V, 1811, 1841, 2509, 26xx, 2600, 2611, 2621, 2651, 2801,
2811, 2821, 2851, 2901, 2911, 3640, 3661, 3662, 3725, 3745, 3825,
3845, 3925, 7201, 7206, 7301, 7604
– ASR 1002, GSR 12404, CGR2000, CGR2500
– Cisco ISR 2911R

53. Какие решения Cisco имеют сертификаты ФСТЭК?
• Коммутаторы
– Cisco Catalyst 2912, 2924, 2950G, 2960, 2970, 3508G, 3512, 3524,
3548, 3550, 3560, 3750, 4003, 4503, 4506, 4507, 4510, 4900, 6006,
6504, 6506, 6509, 6513
• Системы управления
– CiscoWorks Monitoring Center
– Cisco Security Manager 3.2, 3.3
– Cisco Secure ACS 4.x
– Cisco Secure ACS 1121
– CS MARS 20, 25, 50, 100, 110
• Прочее
– Cisco AS5350XM

54. Какие решения Cisco планируется сертифицировать?
• Многофункциональные защитные устройства
– Cisco ASA 5512-X, 5515-X, 5525-X, 5545-X, 5555-X
• Системы предотвращения вторжений
– Cisco IPS 4345, 4360, 4510, 4520
– Cisco IPS for АСУ ТП
• Межсетевые экраны
– Cisco ASA 1000v
– Cisco Virtual Security Gateway
– Cisco ASA CX

55. КРИТИЧЕСКИ ВАЖНЫЕ
ОБЪЕКТЫ

56. Как регулируется ИБ в КВО?

57. Безопасность ТЭК
• 21 июля 2011 года Президент РФ подписал Федеральный Закон
«О безопасности объектов топливно-энергетического комплекса»,
а также Федеральный закон «О внесении изменений в отдельные
законодательные акты Российской Федерации в части
обеспечения безопасности объектов топливно-энергетического
комплекса»
• Статья 11 «Обеспечение безопасности информационных систем
объектов топливно-энергетического комплекса»
– Требования и состав комплекса защитных мер пока не
определены
• В проекте постановления Правительства Российской Федерации
«Об утверждении требований обеспечения безопасности
объектов топливно-энергетического комплекса и требований
антитеррористической защищенности объектов топливно-
энергетического комплекса» ИБ не прописана, но… см. дальше

58. Мнение Минэнерго
• Три Постановления Правительства от 5 мая 2012 года
– № 458 «Об утверждении Правил по обеспечению безопасности и
антитеррористической защищенности объектов топливно-
энергетического комплекса»
– № 459 «Об утверждении Положения об исходных данных для
проведения категорирования объекта топливно-энергетического
комплекса, порядке его проведения и критериях
категорирования»
– № 460 «Об утверждении Правил актуализации паспорта
безопасности объекта топливно-энергетического комплекса»
• Позиция Минэнерго - т.к. в ст.11 ФЗ-256 «О безопасности
объектов ТЭК» нет требования разработать Постановление
Правительства, то и требования по защите можно использовать
текущие (от ФСТЭК и ФСБ)

59. Безопасность критически важных объектов
• Основные направления государственной политики в области
обеспечения безопасности автоматизированных систем
управления производственными и технологическими процессами
критически важных объектов инфраструктуры Российской
Федерации
– 4 июля 2012 года
– Разработаны в целях реализации основных положений
Стратегии национальной безопасности Российской Федерации
до 2020 года
• Включают
– Требования к разработчикам АСУ ТП
– Единая гос.система обнаружения и предотвращения атак
– Промышленная и научно-техническая политика,
фундаментальная и прикладная наука и повышение
квалификации кадров

60. А что дальше или Указ Президента 31с
• 28.12.2012 – встреча Президента с офицерами, назначенными на
высшие командные должности
– Говорит о защите стратегической инфраструктуры
• 29.12.2012 - Указ Президента №1711 об изменении состава
Межведомственной комиссии Совета Безопасности РФ по
информационной безопасности
– Добавление в комиссию представителей стратегических КВО
• 15.01.2013 - Указ Президента №31с «О создании государственной
системы обнаружения, предупреждения и ликвидации
последствий компьютерных атак на информационные ресурсы
РФ»
– Создание данной системы, разработка методики обнаружения
атак, обмен информацией между госорганами об инцидентах ИБ,
оценка степени защищенности критической информационной
инфраструктуры

61. © 2013 Cisco Systems, Inc. All rights reserved. 61
Транзитные
операторы
Распределяющие
операторы
Конечные
потребители
010101010101010101010101010101010101011010101010101010101010101010101010101010101010101011010101010101010101010101010101010101010101010
101011010101010101010101010101010101010101010101010101011010101010101010101010101010101010101010101010101011010101010101010101010101010
101010101010101010101011010101010101010101010101010101010101010101010101011010101010101010101010101010101010101010101010101011010101010
101010101010101010101010101010101010101011010101010101010101010101010101010101010101010101011010101010101010101010101010101010101010101
Надежность, безопасность, соответствие стандартам
Службы и
операторы сбыта
Smart Grid
Сквозные сетевые архитектуры
Здания
клиентов
(сети
BAN / HAN)
Центр
управления
Безопасность | Сетевое управление | Распределенный интеллект
Сети передачи и
подстанции
Коммунальные
предприятия и
региональные
сети
Линии передачи
электроэнергии
Центр
обработки
данных
Энерговыраба-
тывающие
предприятия

62. © 2013 Cisco Systems, Inc. All rights reserved. 62
Обеспечение соответствия нормативным
требованиям
Реализация NERC CIP на подстанциях в центрах управления
Физическая безопасность
Контроль доступа, видео,
реакция на инциденты
Информационная
безопасность
Авторизация, целостность,
сегментация
Управление
безопасностью
Управление доступом,
архитектурой, событиями
Критически
важные ИТ-
ресурсы
(CCA)
Управление
безопас-
ностью
Персонал
и обучение
Защита
электронного
периметра
Физическая
безопасность
Управление
защитой
систем
Управление
инцидентами
Планы
восстанов-
ления CCA
CIP-002 CIP-003 CIP-004 CIP-005 CIP-006 CIP-007 CIP-008 CIP-009
Глобальная
сетьУправление видео
МСЭ/VPN
Видеонаблюдение
Контроль доступа
ESP
Контроль
доступа
Защищенная
коммутация
Гибкий
анализ
пакетов
Подстанция
Контроль
доступом к сети
Управление
событиями
Управление
безопасностью
ЦОД
Центр управления

63. Архитектура промышленного предприятия: очень похожа
на корпоративную сеть
ERP, etc.
Управление
процессами
Внутренняя сеть
Operations
Router
Distribution
Routers
Сервера
Core
Routers
УправлениеDCS
Устройства
автоматики и
контроля
Защищенная сеть Wi-Fi
Sensor Mesh
Network
Удаленный
Access
Switches
Ethernet
Industrial SwitchКонтроль
Сеть беспроводных
сенсоров
SiSiSiSi
SiSiSiSi
Teleworkers/
Customers
and Partners
Голос по Wi-Fi
Индустри-
альное
видео
Location
Chokepoint
Метки
местопо-
ложения
Operations DMZ
Wireless
Controller
Location
Engine
Управление сетью и ИБ
Терминальный
сервер
Видео
Голос
Сервера Wireless, видео и
голос
WAN
Интернет
Менеджеры,
инженеры

64. Что включено в международные стандарты по ИБ АСУ
ТП?
Источник: SCADA System Cyber Security – A Comparison of Standards

65. Как построен NIST SP800-82?
• FIPS PUB 2000
– Определяет 17 областей с
минимальным набором
требований по ИБ
• NIST SP800-53
– Определяет порядок
выбора нужных защитных
мер
• Все государственные ИС
(включая и АСУ ТП) должны
строиться на базе этих
требований

66. Можно ли на базе ISO27001/27002?
Источник: SCADA System Cyber Security – A Comparison of Standards

67. Решения Cisco для индустриальных сетей
• Индустриальные коммутаторы IE 3000, IE
2000, IE 3010 и CGS 2500
• Индустриальные маршрутизаторы ISR
819H, CGR 2000
• Индустриальные беспроводные решения
Cisco 1550 Outdoor AP
• Индустриальные встраиваемые
маршрутизаторы в форм-факторах PC104 и
cPCI
• Индустриальные системы предотвращения
вторжений IPS for SCADA
• В ближайшее время планируется
появление еще ряда решений
Cat. 6500Cat. 4500
Cat. 3750
Available COTS Platforms
Available Industrial Platforms
1260 and
3560 APs
ASA
IE 3010
IE 3000
1552 AP
CGR 2010
IE 2000
ISR
819
7925G-EX
IP Phone

68. Cisco SAFE for PCN
Site Business Planning and Logistics Network
Batch
Control
Discrete
Control
Supervisory
Control
Hybrid
Control
Supervisory
Control
Enterprise Network
Patch
Mgmt
Web Services
Operations
AV
Server
Application
Server
Email, Intranet, etc.
Production
Control
Historian
Optimizing
Control
Engineering
Station
Continuous
Control
Terminal
Services
Historian
(Mirror)
Site Operations
and Control
Area
Supervisory
Control
Basic
Control
Process
ЛВС
АСУТП
Зона
корпора-
тивной ЛВС
DMZ
Уровень 5
Уровень 3
Уровень 1
Уровень 0
Уровень 2
Уровень 4
HMI HMI
МСЭ и
IPS
МСЭ и IDS

69. Cisco IPS для АСУ ТП
Все типы оборудования
• SCADA
• DCS
• PLC
• SIS
• EMS
• Все основные производители
• Schneider
• Siemens
• Rockwell
• GE, ABB
• Yokogawa
• Motorola
• Emerson
• Invensys
• Honeywell
• SEL
• И это не конец…

70. Smart Grid коммутатор, маршрутизатор (как МСЭ) и IPS
for SCADA

71. В ЗАКЛЮЧЕНИЕ

72. Все отрасли похожи на 80% по стоящим задачам в
области ИБ – не надо искать какую-то специфику!
• Разумеется есть и своя специфика, которая составляет
небольшую долю задач, стоящих перед службами ИБ

73. © Компания Cisco и (или) ее дочерние компании, 2011 г. Все права защищены. 73/49
ВОЗМОЖНОСТИ
АКЦЕНТ НА
СЕГМЕНТЕ
РЫНКА Промышленность,
нефть и газ
Перевозки
Сборочное
производство
Обмен данными
между машинами
Точки
беспроводного доступа
повышенной надежности
Промышленные
коммутаторы
Отраслевая
безопасность
Надежный мобильный
шлюз M2M
Отраслевые
профессиональные
услуги

74. Отраслевая архитектура: взгляд с высоты
CIO
ИТ-организация
Сетевые
ИТ-интеграторы
Разработчики ПО
BDM/TDM Вендоры
Информационный уровень
Производители
средств
автоматизации
(MACS)
EPC/M & SIs
Производители
оборудования
Главные
инженеры
Инженеры
контроля
Уровень управления
Уровень устройств
Шлюз «офис –
завод»
Уровень предприятия Интернет
• Заказчики
• Поставщики
• Партнеры
Роботы Сенсоры Диски
PAC Historian
SiSiSiSiSiSi
Завод.прил.
(MES и т.д.)
Общие завод.
решения
Завод. LAN,
WLAN
LAN/
WAN
Enterprise Apps
(ERP, CRM и т.д.)
DCS
Актуаторы

75. Где вы можете узнать больше?
http://www.facebook.com/CiscoRu
http://twitter.com/CiscoRussia
http://www.youtube.com/CiscoRussiaMedia
http://www.flickr.com/photos/CiscoRussia
http://vkontakte.ru/Cisco
http://blog.cisco.ru/

76. © Cisco и (или) дочерние компании, 2011 г. Все права защищены. Общедоступная информация CiscoBRKSEC-1065 76
Благодарю вас
за внимание
security-request@cisco.com