Инновационное SDN решение для ЦОД Cisco ACI Anywhere
Локализация производства продукции компании Cisco и ее сертификация на соответствие нормативным требованиям.
1. Локализация продукции компании Cisco Systems
и ее сертификация на соответствие
нормативным требованиям в области
безопасности
Михаил Кадер, mkader@cisco.com, security-request@cisco.com
2. О чем будем говорить
• Производство оборудования компании Cisco
в России
• Сертификация ФСТЭК
• Совместные разработки
• Продолжение следует
4. В чем состоят инвестиции?
Деньги Время Знания
Коммуникация Технологии,
Операционная
требует разработки,
составляющая
времени ноу-хау
5. Что делается?
• Компания адаптируется к
Процессы локальным требованиям
Цепочка • Западные поставщики
поставок • Российские поставщики
Рабочие • Cisco, Jabil и др.
места
6. График запуска производства
• Этапы производства:
• RVPN-модуль
• Цифровые ТВ-приставки (Set Top Boxes)
• Маршрутизатор Cisco 2911
• Четвертая группа продуктов
FY11 FY12 FY13
Q3 Q4 Q1 Q2 Q3 Q4 Q1-Q2
Feb Mar Apr May Jun Jul Aug Sep Oct Nov Dec Jan Feb Mar Apr May Jun Jul Aug Sep Oct
RVPN
RVPN
Lic. Mfg.
STBs
22 марта 2012 года
2911 Четвертая
группа
8. Сертификация решений Cisco по
требованиям ИБ в России
500+ ФСБ НДВ 30+ 96
Сертификатов Сертифицировала Отсутствуют в Линеек продукции Продуктовых
ФСТЭК на решения Cisco ряде Cisco прошли линеек Cisco
продукцию Cisco (совместно с С- продуктовых сертификацию по сертифицированы
Терра СиЭсПи) линеек Cisco схеме «серийное во ФСТЭК
производство»
9. Цели проекта
• Сократить сроки исполнения проектов, в которых
используется оборудование Cisco, подлежащее
сертификации ФСТЭК России на соответствие требованиям
законодательства в области информационной
безопасности;
• Упростить партнерам и заказчикам Cisco доступ к такому
сертифицированному оборудованию;
• Расширить круг потенциальных заказчиков оборудования
Cisco благодаря возможности быстрого производства в
России необходимых сертифицированных средств защиты
10. Цепочка поставки сертифицированного
оборудования Cisco в России
Производство за Россия
пределами России Оборудование без
ПАРТНЕРЫ СISCO
сертификации по
требованиям ФСТЭК
Дистрибуторы Партнер #1
Партнер #2
Cisco Systems, Inc
Партнер #3 Оборудование с
сертификатами
ФСТЭК
Партнер #N
производство по
Партнеры по сертификации требованиям ФСТЭК
сертификационный
пакет ФСТЭК
ФСТЭК
12. АМТ Груп
• ЗАО «АМТ Груп» c 1994 года работает на российском рынке системной
интеграции. Техническая экспертиза, привнесение лучших мировых практик
и предложение эффективных продуктовых решений делают АМТ-ГРУП
одним из технологических лидеров этого рынка.
• «АМТ Груп» осуществляет проектирование, внедрение и техническую
поддержку сложных инфраструктурных систем, информационных систем и
систем управления информационной безопасностью, а также выполняет
консалтинговые проекты и проводит обучение персонала заказчиков.
• В настоящее время коллектив компании насчитывает более 350
человек, среди которых 150 инженеров-проектировщиков и инженеров
технической поддержки различных специализаций. 13 сотрудников «АМТ
Груп» обладают всемирно признанной высшей квалификацией в области
сетевых технологий – Cisco Certified Internetwork Experts.
16. Kraftway
Kraftway — одна из крупнейших российских компаний,
занимающихся промышленным производством широкого
спектра высокотехнологичного оборудования и созданием
инфраструктурных решений на его основе.
17. Kraftway:
линейки оборудования
• Маршрутизаторы ISR серий 1800, 2800 и 3800.
• Коммутаторы серий 3700 и 6500
• Межсетевой экран PIX серии 500
• Устройства адаптивной защиты ASA серии 5500
20. Vercom
ООО «Верком»
Компания Верком осуществляет производство сертифицированных программно-технических
средств защиты информации (ПТСЗИ), соответствующих требованиям руководящих документов
Федеральной службы по техническому и экспортному контролю (ФСТЭК) России, на основе
продуктов компании Cisco.
Выпускаемые компанией Верком сертифицированные ПТСЗИ входят в Государственный реестр
сертифицированных средств защиты информации ФСТЭК России.
Выполнение требований законодательства
• Согласно требованиям российского законодательства, ПТСЗИ, использующиеся в системах
обработки конфиденциальной информации и персональных данных, подлежат обязательной
сертификации. Сертификация ПТСЗИ подтверждает, что требования российского
законодательства и требования руководящих документов ФСТЭК России данным
оборудованием выполняются.
• Наличие у Верком сертификатов соответствия продуктов компании Cisco требованиям ФСТЭК
России по защите конфиденциальной информации и персональных данных позволяет
заказчикам приобретать уже сертифицированные изделия, что значительно сокращает время
поставки сертифицированного оборудования и ввода автоматизированных систем в
эксплуатацию.
21. Перечень сертифицируемого Vercom
оборудования (1/2)
Сертифицированные
Тип
Модель
ПТСЗИ на основе оборудования компании Cisco
Класс Соответствие РД
Защищаемая информация
оборудования защиты ФСТЭК России
Маршрутизатор 2911R 4 РД МЭ Конфиденциальная информация,
ИСПДн до 2 кл. включительно
Межсетевой экран Серия 3 РД МЭ Конфиденциальная информация,
ASA 5500-X ИСПДн до 2 кл. включительно
модели
ASA 5512-X
ASA 5515-X
ASA 5525-X
ASA 5545-X
ASA 5555-X
Межсетевой экран ASA 5585-X 3 РД МЭ Конфиденциальная информация,
ИСПДн до 2 кл. включительно
Межсетевой экран ASA Services Module 3 РД МЭ Конфиденциальная
для серии Cisco информация, ИСПДн до 2 кл.
Catalyst 6500 включительно
22. Перечень сертифицируемого Vercom
оборудования (2/2)
Тип Класс Соответствие РД
Модель Защищаемая информация
оборудования защиты ФСТЭК России
Система Серия IPS 4300 5 МД СОВ Конфиденциальная информация,
обнаружения модели уровня сети ИСПДн до 2 кл. включительно
вторжений IPS 4345
IPS 4365
Система Серия IPS 4500 5 МД СОВ Конфиденциальная информация,
обнаружения модели уровня сети ИСПДн до 2 кл. включительно
вторжений IPS 4510
IPS 4520
Система Встроенный IPS в 5 МД СОВ Конфиденциальная информация,
обнаружения серии уровня сети ИСПДн до 2 кл. включительно
вторжений ASA 5500-X
Система IPS модули для 5 МД СОВ Конфиденциальная информация,
обнаружения серии ASA 5500 и уровня сети ИСПДн до 2 кл.
вторжений ASA 5585-X включительно
23. Планируемые сроки окончания (1/2) Vercom
Планируемый срок окончания
Тип оборудования Модель
сертификации во ФСТЭК России
Маршрутизатор 2911R I кв. 2013 г.
Межсетевой экран Серия
ASA 5500-X
модели
ASA 5512-X
ASA 5515-X I кв. 2013 г.
ASA 5525-X
ASA 5545-X
ASA 5555-X
ASA 5585-X
Межсетевой экран ASA Services Module для I кв. 2013 г.
серии Cisco Catalyst 6500
24. Планируемые сроки окончания (2/2) Vercom
Планируемый срок окончания
Тип оборудования Модель
сертификации во ФСТЭК России
Система Встроенный IPS в серии
обнаружения вторжений ASA 5500-X II кв. 2013 г.
Система Серия IPS 4300
обнаружения вторжений модели
IPS 4345
II кв. 2013 г.
IPS 4365
Система Серия IPS 4500
обнаружения вторжений модели
IPS 4510
II кв. 2013 г.
IPS 4520
25. Vercom
ООО «Верком» - контакты
• Консультации можно получить
в Отделе сертифицированного производства
• по телефону +7(968) 835-9045
835-
• Для получения дополнительной информации обращайтесь:
security_lab@vercom
security_lab@vercom..biz
27. Сервисные модули Cisco
SRE и UCS-E
Ключевые функциональные возможности :
Универсальная платформа для размещения
приложений Cisco и сторонних разработчиков
Мощное оборудование с высоким уровнем доступности
Небольшое устройство, потребляющее малое
количество энергии, с минимальным воздействием на
окружающую среду
Основные преимущества
Упрощение инфраструктуры филиала за счет
консолидации приложений на едином устройстве
Оперативное реагирование на изменение бизнес-
потребностей компании
Сокращение расходов на выездное обслуживание,
эксплуатацию и техническую поддержку оборудования
28. Эшелонированная защита
от вредоносного ПО
Перехват всего проходящего
трафика и проверка его на наличие
вредоносных программ
Уровень защиты
шлюзов Уровень защиты почтовых
систем Уровень защиты сетевых серверов и
рабочих станций
Шлюз Рабочие Сетевые
Сервера
электронной станции сервера
почты
Сеть
Интернет
29. Зачем нужен антивирус на шлюзе?
• Пользователи часто не соблюдают
правила ИТ-безопасности
• Не все устройства поддерживают
антивирусное ПО или не везде его
можно установить
• Антивирус может быть отключен
пользователем
• «Мёртвый срок» до обновления
антивирусных баз
• Устаревшие ОС уязвимы
• Персональные устройства могут быть
заражены
30. Антивирус Касперского для
Cisco SRE/UCS-E
• Обеспечивает антивирусную фильтрацию
Интернет-трафика (http и ftp) в реальном времени
• Осуществляет поиск и удаление вирусов всех типов,
червей, троянских и других вредоносных программ в
потоке данных
• Предоставляет широкий выбор параметров
фильтрации
• IP-адреса и URL, MIME-типы, имена, расширения, размер
файлов
• Проверяет архивированные файлы
• Поддерживает практические любые форматы архиваторов
и упаковщиков
• Выявляет потенциально опасные программы
• В режиме расширенной антивирусной защиты
отслеживает все объекты, потенциально способные
нанести вред компьютерам пользователей
31. Антивирус Касперского для
Cisco SRE/UCS-E
Групповые политики безопасности Отчёты и статистика
– Администратор может применять – Позволяет формировать статистические
индивидуальные правила фильтрации отчеты для отслеживания вирусной
для отдельных групп пользователей, активности и контроля работы приложения
определяя уровни ограничений в Настройка режима обновления
соответствии с политикой безопасности
компании – По запросу или автоматически по
расписанию
Уведомления для пользователей – С серверов «Лаборатории Касперского» в
– Обнаруженный инфицированный Интернете или с заданных локальных
объект блокируется, а пользователю серверов компании
направляется созданное/изменённое
администратором html-уведомление
Поддержка прозрачного проксирования
32. Антивирус Касперского для Cisco ISR
• Константин Матюхин, Менеджер по
работе с технологическими партнерами
• Konstantin.Matyukhin@kaspersky.com
34. О Компании
ОАО "ИнфоТеКС" основано в 1991 г. В настоящее время Компания является ведущим
игроком российского рынка VPN-решений и средств защиты информации в TCP/IP сетях.
Все эти годы Компания развивала собственные программные продукты и технологии в
области защиты корпоративных сетевых решений, поставляемых на рынок под торговой
маркой ViPNet™.
В ИнфоТеКС работает более 350 сотрудников, 170 – разработчики
ПО и ПАК
Продукция компании проходит регулярную сертификацию в ФСБ,
ФСТЭК России, Газпромсерте, TUV в Германии и КНБ в Казахстане
ИнфоТеКС является секретарской компанией Технического
комитета №26, отвечающего за стандартизацию криптографических
алгоритмов и протоколов в России, представляет Россию в ISO
Компания и ее сотрудники являются действующими членами
общественных организаций, работающих в области ИТ и СЗИ: АЗИ,
АДЭ, ЕВРААС
21 год в разработке средств защиты информации !
35. Некоторые заказчики
РЖД (более 100 000 программных и аппаратных VPN-узлов)
ПФР (более 5000 VPN-серверов и десятки тысяч VPN-клиентов)
РосАтом
Министерство финансов РФ
ФСС
ФОМС
Роснефть
Министерство здравоохранения РФ
Ростелеком
и множество других уважаемых заказчиков – крупных государственных и
коммерческий организаций
Компания имеет развитую партнерскую сеть (более 100 компаний) по всей России, в
Казахстане, Киргизии и Германии
36. Позиционирование на рынке СЗИ
Firewall
Electronic PKI &
key (smart symmetric
card) crypto
Security
DLP VPN
IDS/IPS Antivirus
37. ViPNet Custom – линейка продуктов для
создания VPN и PKI корпоративного уровня
Управление и
мониторинг защищенной
сети, Центр управления
ключами,
Удостоверяющий центр
Программные и
программно-
аппаратные VPN-
серверы
(криптошлюзы и МЭ)
Программные VPN-
клиенты, ПСЭ и
криптопровайдеры
для ОС Windows,
Linux, iOS и Android
38. ViPNet Coordinator HW-MCM
VPN-модуль с поддержкой ГОСТ 28147-89 для маршрутизаторов Cisco
Криптошлюз и межсетевой экран для защищенных сетей ViPNet в виде
модуля расширения для универсальных маршрутизаторов Cisco ISR G1
и G2 компании Cisco Systems
Особенности
работает в составе маршрутизатора Cisco, не требует внешнего
питания и отдельного места для размещения в стойке
2 интерфейса Ethernet 100/1000 (один внутренний, подключен к
шине шлюза)
Независим от операционной системы маршрутизатора и
управляется аналогично другим продуктам из линейки Coordinator
HW – централизованное управление и мониторинг с помощью
программных комплексов ViPNet Administrator и ViPNet StateWatcher
ОС и ПО ViPNet хранятся на flash-памяти модуля
Совместно с маршрутизатором реализует функции криптошлюза-
преобразователя среды для работы в неEthernet сетях
Производительность по шифрования – до 30 Мбит/с, фильтрация
трафика – до 100 Мбит/с
Поддержка режима failover при использовании двух модулей
39. ViPNet Coordinator HW-MCM
Области применения
Защита информации в сетях связи, построенных на оборудовании Cisco
Точка доступа для удаленных защищенных соединений с корпоративными
ресурсами
Защита трафика IP-телефонии и видеоконференцсвязи
Ограничения – для работы необходим Cisco ISR 2800/2900/3800/3900
Варианты поставки – один, максимальный. Нет ограничений на число
туннелируемых адресов и защищенных соединений
Сертификация – проходит сертификацию в ФСБ России на соответствие
требованиям к СКЗИ класса КС3 и 4 классу МЭ, запланирована сертификация во
ФСТЭК России по 3 классу МЭ и 3 уровню контроля отсутствия НДВ с целью
получения разрешение на использование в ИСПДн до 1 класса включительно
42. Использование решений С-Терра Си-Эс-Пи
• Решения «С-Терра СиЭсПи» широко
востребованы на рынке информационной
безопасности, в структурах с высокими
требованиями к надёжности и непрерывности
бизнес-процессов.
• Продукты «С-Терра СиЭсПи» используются в
Администрации президента РФ, Администрациях
краёв и областей, Правительстве Москвы и
Московской области, Совете Федерации,
ГосДуме, Министерстве Юстиции, Минздраве,
Росимуществе, Счётной Палате, МВД,
МЧС,ФСО, ФСКН, «Газпромнефть»,
«Газпромбанк,» «Райффайзен Банк»,
«Московский Метрополитен», «ИНТЕР РАО ЕЭС,
«СО ЕЭС», «Почта России», «РЖД» и др.
43. Назначение решений «С-Терра»
Продукты CSP VPNtm
предназначены для
построения виртуальных
защищенных сетей (Virtual
Private Network, VPN) на
основе стандартов защиты
сетей TCP/IP – протоколов
IKE/IPsec
44. Сертификация версий продуктов
Версия 3.1
- ФСБ России
• Сертификат СКЗИ КС1, КС2 на продукт CSP VPN Gate
(в т.ч. в исполнении CSP VPN Client)
• распространяется на аппаратную платформу «Модуль Сетевой
Модернизированный»
- ФСТЭК России
• ГОСТ 15408, ОУД 3
• РД НДВ 3й уровень контроля
• Рекомендация для защиты конфиденциальной информации в АС
до класса 1Г включительно и в ИСПДн до класса К1 включительно
Версия 3.11
Согласно заключению от 10.10.2012 г. программный комплекс CSP VPN
Gate версии 3.11 соответствует требованиям к шифровальным
(криптографическим) средствам, предназначенным для защиты
информации, не содержащей сведений, составляющих государственную
тайну, по классу КС3.
45. Продукты CSP VPN
СКЗИ КС3
СКЗИ КС3
СКЗИ КС3
Получено положительное заключение ФСБ России о
СКЗИ КС3 соответствии CSP VPN Gate версии 3.11 требованиям по СКЗИ КС3
классу КС3
С-Терра КП S-terra L2
(централизованный инструмент CSP VPN Gate E (защита на канальном уровне)
управления) (экспортный вариант) СКЗИ КС3
Сертификация как системы управления СКЗИ КС1
46. Продукт С-Терра КП 3.11
Разработан для автоматизации
обслуживания VPN-устройств,
выпускаемых компанией «С-Терра
СиЭсПи»
Позволяет удаленно
управлять настройками VPN-
устройств, такими как политики
безопасности, сертификаты и т.п.
Продукт позволяет
автоматизировать процесс
развертывания системы
VPN-продуктов
47. Мобильные решения
Компания предлагает
сертифицированные продукты для ОС
Windows, имеет отлаженные продукты
для ОС Android и прототип (бета-версия)
для IPad.
На сегодня имеются
сертифицированные решения для
бизнес-планшетов Windows
Обеспечивается ролевое управление
Поддерживается качество сетевого
обслуживания и работа в сетях
мобильной связи 3G и 4G.
Готовы к внедрению в виде услуги от
провайдера защищенных мобильных
коммуникаций в полном составе мер
управления и поддержки и на основе
экономически эффективных тарифов.
48. Архитектура решения L2-10G
Для балансировки трафика используются протоколы LACP или PAgP
Перехват трафика происходит на канальном уровне
49. Среда построения доверенного сеанса
• В защищенной области памяти формируется
целостная программная среда, включающая:
1. Ограниченную ОС Linux
• изъяты все ненужные и недоверенные сервисы
• оболочка (shell) недоступна пользователю
2. VPN-клиент полностью изолирует трафик из
изолированной среды, исключает НСД из сети,
поскольку не пропускает открытый IP-трафик
3. Веб- или терминальный клиент (серии «W» и «Т»)
• Целостность программной среды
обеспечивается:
1. запретом доступа любых процессов в область
ROM
2. однократной загрузкой одного и того же эталона
среды в начале доверенного сеанса
3. возможностью контроля хэш-суммы по коду
доверенной среды (производится
администратором)
52. Продолжение следует!!!
• Новые линейки в локальном производстве
• Более тесное сотрудничество с Российскими
предприятиями
• Новые сертификации
• Новые совместные решения
• Развитие платформы VPN модулей
• Ну и т.п. ;-)
53. Спасибо!
Заполняйте анкеты он-лайн и получайте подарки в Cisco
Shop: http://ciscoexpo.ru/expo2012/quest
Ваше мнение очень важно для нас!