Формальная и реальная безопасность: как построить систему защиты для будущего?  

Содержание

Слайд 2

Типичные проблемы

Нет политики ИБ
Нет модели угроз
«Зоопарк» в сети
Недостаточное финансирование
Разное толкование требований регуляторов,

Типичные проблемы Нет политики ИБ Нет модели угроз «Зоопарк» в сети Недостаточное
а также изменения законодательства
Малые сроки на внедрение, не смотря на неоднократный перенос сроков
Унаследованные лоскутные решения
Проприетарные протоколы
Большое количество мобильных устройств

Слайд 3

Типичные угрозы

Вредоносное ПО (вирусы , фишинг и др..)
Деятельность кибер-ОПГ (адресные целенаправленные атаки)
Реакция

Типичные угрозы Вредоносное ПО (вирусы , фишинг и др..) Деятельность кибер-ОПГ (адресные
регуляторов на нарушения законодательства по ПДн
Размытый периметр безопасности
Низкая культура ИБ у пользователей и контрагентов
Ошибочные действия администраторов или саботаж
Расходы на поездки в дальние филиалы на настройки или перенастройки
Низкая доступность (отказоустойчивость) сервисов

Слайд 4

Муки выбора, или в поисках баланса

Злоумышленники или регуляторы: кто страшнее?
Функциональность или сертификат?
Недорого

Муки выбора, или в поисках баланса Злоумышленники или регуляторы: кто страшнее? Функциональность
или работоспособно?
Поставить “рядом”или интегрировать в инфраструктуру?
Теперь есть персональный ответственный за защиту ПДн....!

Слайд 5

Как сейчас строится защита?

Рабочее место :
СЗИ НСД ( Secret Net, Accord, DallasLock…)
Антивирус

Как сейчас строится защита? Рабочее место : СЗИ НСД ( Secret Net,

Персональный файрвол ? ( чаще не ставят)
Система HOST IPS ( чаще обходятся антивирусом)
Защита портов ( Device Lock и др…)
VPN client ( часто с криптографией своей)
Криптобиблиотеки ( CSP)
Ключи типа Aladdin ( Рутокен) для хранения ключей
различные «пробы», агенты от других систем …..

Слайд 6

Как сейчас строится защита?

а еще :
Firewall
Antispam
URL Filtering
СЗИ НСД в сети ….

Как сейчас строится защита? а еще : Firewall Antispam URL Filtering СЗИ

Контроль принтеров – стали приспосабливать DLP
Система аутентификации
Каталог ( AD. LDAP, метакаталог …..)
HoneyPot ( ставят только маньяки )
Шифраторы Шлюзы ( IPSEC и другие )

Слайд 7

Нужны нормальные сертификаты

Сертификат № 1774
Microsoft Windows Vista с Service Pack 1. Задание

Нужны нормальные сертификаты Сертификат № 1774 Microsoft Windows Vista с Service Pack
по безопасности OEM_MS.Win_Vista_SP1.ЗБ. Версия 1.0, 2008", имеет оценочный уровень доверия ОУД 1 (усиленный)
Выписка из руководящего документа :
ОУД1 применим, когда требуется некоторая уверенность в правильном функционировании, а угрозы безопасности не рассматривают как серьезные.
При оценке на этом уровне следует предоставить свидетельство, что ….. предоставляет приемлемую защиту против идентифицированных угроз.
Вы поняли, о чем этот сертификат?

Слайд 8

Статья 19. Меры по обеспечению безопасности персональных данных при их обработке

Статья 19. Меры по обеспечению безопасности персональных данных при их обработке (в
(в ред. ФЗ от 25.07.2011 N 261-ФЗ):
Пункт 2. Обеспечение безопасности ПДн достигается, в частности:
1) определением угроз безопасности ПДн при их обработке в ИСПДн;
2) применением организационных и технических мер по обеспечению безопасности ПДн при их обработке в ИСПДн, необходимых для выполнения требований к защите ПДн, исполнение которых обеспечивает установленные Правительством РФ уровни защищенности ПДн;
3) применением прошедших в установленном порядке процедуру оценки соответствия средств защиты информации;
4) оценкой эффективности принимаемых мер по обеспечению безопасности ПДн до ввода в эксплуатацию ИСПДн;
5) учетом машинных носителей персональных данных;
6) обнаружением фактов НСД к ПДн и принятием мер;
7) восстановлением ПДн, модифицированных или уничтоженных вследствие НСД;
8) установлением правил доступа к ПДн, обрабатываемым в ИСПДн, а также обеспечением регистрации и учета всех действий, совершаемых с ПДн;
9) контролем за принимаемыми мерами по обеспечению безопасности ПДн и уровня защищенности ИСПДн.

Изменения в ФЗ "О персональных данных“: что изменилось в части технических требований?

Слайд 9

При взаимодействии ...с ...сетями международного информационного обмена (сетями связи общего пользования) ……основными

При взаимодействии ...с ...сетями международного информационного обмена (сетями связи общего пользования) ……основными
методами и способами защиты информации от НСД являются:
межсетевое экранирование с целью управления доступом, фильтрации сетевых пакетов и трансляции сетевых адресов для скрытия ИС;
обнаружение вторжений в информационную систему, нарушающих или создающих предпосылки к нарушению установленных требований .....;
анализ защищенности информационных систем, предполагающий применение специализированных программных средств (сканеров безопасности);
защита информации при ее передаче по каналам связи;
использование смарт-карт, электронных замков и др. носителей информации для надежной идентификации и аутентификации пользователей;
использование средств антивирусной защиты;
централизованное управление системой защиты персональных данных информационной системы.

«Положение о методах и способах защиты информации в ИСПДн» (Приказ директора ФСТЭК России от 05.02.10 № 58)

Слайд 10

Выполнение других стандартов и требований

Кроме закона о персональных данных есть требования

Выполнение других стандартов и требований Кроме закона о персональных данных есть требования
других стандартов по ИБ:
Стандарт Центрального Банка России
СТР – К (построение систем, обрабатывающих конфиденциальную информацию и ДСП и др…)
Отраслевые стандарты (КСИИ и др.)
Требований международных стандартов (SoX, HIPAA, PCI DSS и др.)
Требования нормативных документов ФСБ России
Ведомственные документы

Слайд 11

а что в будущем ?

Стандартизация является трендом и в будущем

а что в будущем ? Стандартизация является трендом и в будущем требования
требования различных регуляторов будут только расти
Сращивание технологий ( FW + IPS, AV + PFW…..)
Более целенаправленные атаки и все больше целевых атак ( коммерциализация хакерства)
Больше сложных систем – больше цена эксплуатации и более высокая цена ошибки .
Требуется все более короткое время на реагирование на инциденты
Безопасность постепенно уходит в область сервисов предоставляемых профессиональными компаниями .
Более сложные системы – должны стать более простыми в эксплуатации или они становятся бесполезными.

Слайд 12

Возьмите все сразу

Реальная защита
Высокая производительность
Отказоустойчивость до 0.99999
Автоматическая балансировка нагрузки
Наглядное централизованное управление
Сертификация производства
Широкая

Возьмите все сразу Реальная защита Высокая производительность Отказоустойчивость до 0.99999 Автоматическая балансировка
линейка устройств

Слайд 13

Сертификации производства по ФСТЭК:

Межсетевой экран StoneGate cертифицирован по 2 классу для МЭ,

Сертификации производства по ФСТЭК: Межсетевой экран StoneGate cертифицирован по 2 классу для
1 класс ПДн, 1Г, 4 класс НДВ
в составе МЭ сертифицированы по ТУ встроенные антивирус, механизм инспекции трафика Deep Inspection и др.
в составе МЭ сертифицирован VPN клиент как часть распределенного МЭ
StoneGate IPS cертифицирована как прозрачный МЭ 3 класса, а также по ТУ как IPS, 1 класс ПДн, 1Г, 4 класс НДВ.
По ТУ сертифицированы механизмы предотвращения вторжений, анализ аномалий, виртуальный патч и др.,
Шлюз защиты удаленного доступа StoneGate SSL* – 3 класс МЭ, 1класс ПДн, 4 класс НДВ.
В составе сертифицирована система многофакторной аутентификации!
В составе каждого средства защиты как компонент сертифицирован центр управления! А также сертифицирована версия продуктов для виртуальной среды!

Слайд 14

Особенности сертификации ФСБ

Сертифицируются решения SSL VPN и IPSEC VPN (с VPN клиентом

Особенности сертификации ФСБ Сертифицируются решения SSL VPN и IPSEC VPN (с VPN
)
Классы защиты КС1 – КС3!
SSL VPN – 9 исполнений!
IPSec VPN - 11 исполнений!
(поддержка МАРШ, различные операционные системы )
SSL VPN поддерживает работу на клиентском компьютере – Crypto Pro, ValiData.
Тестируется совместимость: Signal-Сom, VipNet (TLS).

Слайд 15

Защита персональных данных

Защита персональных данных

Слайд 16

Выполнение требований стандарта Payment Card Industry (PCI)

Выполнение требований стандарта Payment Card Industry (PCI)

Слайд 17

Комплексный подход

Комплексный подход

Слайд 18

Требования по 58 приказу

Требования по 58 приказу

Слайд 19

Обеспечение безопасности

Защита периметра с управлением приложениями!
Защита 10G каналов по ГОСТ !
Обеспечение непрерывности

Обеспечение безопасности Защита периметра с управлением приложениями! Защита 10G каналов по ГОСТ
бизнеса (полная отказоустойчивость)
Гибкая защита критичных бизнес-приложений с анализом контента
Защита распределенных офисов – простое управление 1000+ устройствами из одного центра !
Эффективное управление инцидентами
Защита от новейших угроз (в т.ч. АЕТ)
Безопасный удаленный доступ (мобильный офис)
Мощная система аутентификации с системой аудита

Слайд 20

Использование созданного элемента во всех конфигурациях
Централизованное хранилище
Наглядность управления сетью
Оптимизация политик ИБ
Глобальное администрирование
Интерактивный

Использование созданного элемента во всех конфигурациях Централизованное хранилище Наглядность управления сетью Оптимизация
мониторинг и оповещение администратора в режиме реального времени
Мониторинг сторонних устройств
SOC / SIEM интеграция
Управление ПО, программно-аппаратными и виртуальными решениями из одной точки

Проактивная система управления нового поколения

Слайд 21

Требования по хранению логов

Большинство требований стандартов и ведомственных документов требует хранить лог

Требования по хранению логов Большинство требований стандартов и ведомственных документов требует хранить
информацию для разбора в дальнейшем инцидентов безопасности и случаев несанкционированного доступа.
SMC совместно с LOG Server может использоваться именно для этих целей
Надежное хранилище – масштабируемое и простое в эксплуатации
Сохранение и управление лог информацией, собираемых со сторонних устройств …

Слайд 22

Разные сценарии аутентификации

Internal Network

IPSec Tunnel

4 встроенных метода (Password, MobileID Synchronized , MobileID Challenge,

Разные сценарии аутентификации Internal Network IPSec Tunnel 4 встроенных метода (Password, MobileID
Mobile Text)
Кроме того, возможна аутентификация через VPN c использованием двухфакторной аутентификации
Поддерживаются eToken, RUToken

Центр аутентификации пользователей встроен прямо в SMC

Слайд 23

Next Gen Firewall

Multi-Layer Inspection ™
Прокси для приложений, stateful inspection технология, определение приложений,

Next Gen Firewall Multi-Layer Inspection ™ Прокси для приложений, stateful inspection технология,
анализ на всех уровнях и др.
UTM возможности (AV, IPS, Web Filtering, AntiSpam)
Поддержка критических технологий
VoIP, video конференции и др.
Технологии QOS , Load Balancing , Multilink приоретезация потоков, обеспечение непрерывностb потоков информации
Работа в качеств распределенного межсетевого экрана вместе с VPN клиентом
SSL инспекция в обоих направлениях
Обеспечение динамической идентификации пользователей
Анализ контента

Слайд 24

Идентификация приложений

Теперь можно динамически определять, какое приложение работает в сети, и разрешать

Идентификация приложений Теперь можно динамически определять, какое приложение работает в сети, и
или обеспечивать заданную полосу пропускания данному приложению. Хосты можно описывать как URL ссылки …..
Приложения независимо от протоколов ….
Принятие решения о доступе может также осуществляться на основе учетных записей, названий служб и приложений
А также с учетом времени аутентификации, расписания работы хоста и др. Для остальных сотрудников можно, например, разрешить использование Интернет, но не загружая основную полосу пропускания .

Слайд 25

Управление большими конфигурациями

Plug & Play инсталляция новых экранов в удаленных офисах
Policy Push:

Управление большими конфигурациями Plug & Play инсталляция новых экранов в удаленных офисах
немедленное распространение апдейтов на все инсталлированные устройства – без задержек.
Secure & redundant connectivity через множество ISP/CSP соединений.
Простое управление помогает упростить и ускорить IT функции, минимизируя количество администраторов и освобождая ресурсы для выполнения ключевых задач вместо командировок на места.

1

2

3

4

Слайд 26

Почему это дешевле ?

Пример : 500 сайтов TCO через 3 года

Обычное решение

Почему это дешевле ? Пример : 500 сайтов TCO через 3 года

Профиль стоимости

MASS SECURITY SOLUTION

Время/цена на сайт
15 новых сайтов в год

Дешевле

Слайд 27

Как это работает

Installation Cloud

Начальная конфигурация

Для меня есть начальная
конфигурация ?

Начальная

Как это работает Installation Cloud Начальная конфигурация Для меня есть начальная конфигурация
конфигурация

First contact

Security policy

Cloud upload

Call Cloud

Connect Home

Слайд 28

StoneGate UTM для удаленных офисов

Remote Office

FW-315
UTM

Sales Office

FW-315L
UTM

FW-3200

Mail Services

Anti-spam
Anti-virus

Internet

Malicious websites
Free

StoneGate UTM для удаленных офисов Remote Office FW-315 UTM Sales Office FW-315L
webmails

Headquarters

antispyware?
antiadware?
antiphishing?
antivirus?
antispam?
URL Filtering with DB?
web content inspection?
HTTP inspection
VoIP Security
QoS
HTTPS (SSL) inspection
IPS (AET ready)
Multilink VPN
Application Identification
и многое др., чего нет в традиционных UTM

YES

YES

YES

YES

YES

YES

YES

YES

YES

YES

YES

YES

YES

YES

Small, mobile Office
Банкоматы

FW-105

Слайд 29

Безопасный удаленный доступ

Отказоустойчивый шлюз
Бесклиентская технология
Самый низкий TCO на пользователя

Если организации нужно, чтобы

Безопасный удаленный доступ Отказоустойчивый шлюз Бесклиентская технология Самый низкий TCO на пользователя
сотрудники имели доступ к своим приложениям с ноутбуков, чужих компьютеров, IPAD, Android и др. без опасений компрометации корпоративных данных..

Слайд 30

StoneGate NextGen IPS

StoneGate NextGen IPS

Слайд 31

В последнем тесте ICSA LAB StoneGate IPS - единственная, которая не выдала

В последнем тесте ICSA LAB StoneGate IPS - единственная, которая не выдала
ложных срабатываний и показала лучший результат по обнаружению атак.
У ближайшего конкурента Sourcefire были ложные срабатывания.

NSS: Одни из лучших по соотношению цена – качество!
IPS-3205: "At only $38 per Protected-Megabit, the Stonesoft 3205 is an excellent value purchase for enterprises looking to protect DMZs and datacenters. “
IPS-1205: "At only $84 per Protected-Megabit, the Stonesoft 1205 provides the best price per Mbps-protected in the sub-gigabit category and is an excellent value purchase.“
Практически не требует времени на установку, конфигурирование и настройку.
100% защита от evasion техник.

Тестирование NSS и ICSA LABS

Слайд 32

Пара слов об AET

Пара слов об AET

Слайд 33

Защита SCADA сетей

Analysis &
Black/Whitelisting

Traffic Sensor
L2 Access Control

Production Network

Office Network

Process Network

SCADA
Control &

Защита SCADA сетей Analysis & Black/Whitelisting Traffic Sensor L2 Access Control Production
Monitoring

Local
Maintenance
Terminal

Traffic Sensor
L2 Access Control

Termination

Слайд 34

Обеспечение отказоустойчивых VPN

Единственное на рынке решение, позволяющее агрегировать VPN туннели.
Сертификация ФСБ

Обеспечение отказоустойчивых VPN Единственное на рынке решение, позволяющее агрегировать VPN туннели. Сертификация
по классам КС1 – КС3!
Возможность включения USB модема прямо в устройство МЭ

Слайд 35

Разделение различных VPN на разные уровни ПДн
Сертификация как распределенный МЭ дает

Разделение различных VPN на разные уровни ПДн Сертификация как распределенный МЭ дает
возможность аттестовать систему гораздо проще

Обеспечение разноуровневых VPN

Слайд 36

Выбираем лучшее :

Переписка на ispdn.ru: Скажу Вам по секрету, что в продуктах ViPNet

Выбираем лучшее : Переписка на ispdn.ru: Скажу Вам по секрету, что в
тоже есть механизм обнаружения вторжений (IDS), но почему-то его никто целенаправленно в этих целях не использует …. Для справки: согласно документации ViPNet противостоит аж целым 6 атакам !!! При этом стоимость шлюза ViPNet порядка 46 000 руб. Про UserGate было официальное письме с вопросом - "Как настроить UG, чтобы были реализованы все требования 58 приказа?" И был технический ответ с настройками тех "особых" пунктов, которые отсутствуют в UG, но при таком подходе могут быть настроены. Итог - UG можно использовать и в К1 (4 НДВ, 4 МЭ). Стоимость этого решения 32 000 руб. Cтоимость решения StoneGate Firewall 315L порядка 52 000 рублей … При этом, Вы получаете 100 Мб межсетевой экран, который может посредством лицензионного апгрейда стать 1 Гб файрволом! Почувствуйте разницу: в базовую лицензию включены все технологии (опционально предлагается только подписка на антивирус и URL фильтрацию!) При этом Вы получаете российский VPN, централизованное управление и многое др.

Слайд 37

Выводы:

Решение на StoneGate оказываются часто .. дешевле, и при этом:
Функциональность UTM

Выводы: Решение на StoneGate оказываются часто .. дешевле, и при этом: Функциональность
или NGFW…
Проще развертывание и управляемость
Отказоустойчивость любого элемента и кластеризация в режиме балансировки нагрузки
Использование одновременно множества каналов связи (доступность), поддержка QoS и др.
Интегрируемость в инфраструктуру
Хорошая техническая поддержка
Автоматические безопасные обновления
Совместимость с другими решениями
Нужные сертификаты

Слайд 38

Самый низкий TCO на рынке

Проактивный контроль = сильно снижает расходы администрирования
Always-on

Самый низкий TCO на рынке Проактивный контроль = сильно снижает расходы администрирования
технологии подключения = уменьшает расходы на оборудование, инфраструктуру и связь ( коммуникации )
Множество встроенных просто настраиваемых механизмов защиты

Слайд 39

Русский интерфейс!

Русский интерфейс!
Имя файла: Формальная-и-реальная-безопасность:-как-построить-систему-защиты-для-будущего?- .pptx
Количество просмотров: 407
Количество скачиваний: 0
- Предыдущая
Автоматизированная система контроля уровня знаний в системе дистанционного образования Магистерская диссертация по специальн
Следующая -
16 ноября 2007 г. Николай Димченко Управляющий директор Долговое агентство «Пристав» Управление проблемными активами – современный

Похожие презентации

Синтаксические свойства инфинитива
Презентация 1
Die BRD (1949 -1990)
Родными тропами
SPb_GBOU_SPO_Akusherskiy_kolledzh_Yana_Skolova_402 (1)
Реставрация картины Г. Угрюмова Испытание силы Яна Усмаря
«Пётр Великий русской литературы» (В.Г.Белинский)
История и перспективы производства видеопродукции нового формата в России и за рубежом
Создание единого китайского государства
Экологические проблемы мира
Национальная посуда народов мира
Персидская империя.
Программное обеспечение для поддержки информационной бизнес-аналитики
Презентация на тему Классификация профессий Профессия и специальность Способы классификации
Сжатие информации. Алгоритм Хаффмана
LIEBHERR LTM 1160-5.1Самоходный кран большой грузоподъемности (160 тонн)
Презентация на тему Кайнозойская эра
Презентация на тему Трудовая дисциплина и ответственность за её нарушение
Poker face
Волейбол – виды подач
Эволюция интернет-трейдинга
ГЕНЕРАТОРЫ ИМПУЛЬСНЫХ НАПРЯЖЕНИЙ СУБНАНОСЕКУНДНОЙ ДЛИТЕЛЬНОСТИразработки ЗАО «НПАО ФИД-технология»
Название проекта
Новый Год
Немеркнущая красота России или Сквозь эпохи и поколения
Основные понятия «Теории вероятностей»
Овощи и их вредители
География сельского хозяйства мира
LiveInternet
Обратная связь
Для правообладателей
Email: Нажмите что бы посмотреть