Russia IT strategy from security point of view
-
Upload
alexey-lukatsky -
Category
Documents
-
view
2.041 -
download
0
description
Transcript of Russia IT strategy from security point of view
1/41 © 2008 Cisco Systems, Inc. All rights reserved. Security Training
Стратегия развития информационного общества с точки зрения информационной безопасности
Алексей Лукацкий
Бизнес-консультант по безопасности
© 2008 Cisco Systems, Inc. All rights reserved. Security Training 2/41
Концепция инновационного развития отрасли телекоммуникаций и информационных технологий
Разработана во исполнение поручение Президента РФ от 13 мая 2010 года
Одобрена правительственной комиссией по федеральной связи и технологическим вопросам информатизации 19 ноября 2010 года
Стратегия развития информационного общества в Российской Федерации
Утверждена Президентом 7 февраля 2008 года
Государственная программа «Информационное общество (2011-2020 годы)»
Утверждена премьер-министром 20 октября 2010 года
Вектора развития ИТ определены
© 2008 Cisco Systems, Inc. All rights reserved. Security Training 3/41
1. Повышение качества жизни граждан и улучшение условий развития бизнеса в информационном обществе.
2. Построение электронного правительства и повышение эффективности государственного управления.
3. Развитие российского рынка информационных и телекоммуникационных технологий, обеспечение перехода к экономике, осуществляемой с помощью информационных технологий.
4. Преодоление высокого уровня различия в использовании информационных технологий регионами, различными слоями общества и создание базовой инфраструктуры информационного общества.
5. Обеспечение безопасности в информационном обществе.
6. Развитие цифрового контента и сохранение культурного наследия.
Основные направления
© 2008 Cisco Systems, Inc. All rights reserved. Security Training 4/41
Web-порталы взаимодействия с гражданами
Система межведомственного электронного взаимодействия
Создание на основе СУБД справочников и классификаторов, используемых в государственных и муниципальных информационных системах
Технологии удаленного доступа к цифровому контенту, электронным сервисам, образовательным ресурсам
Использование мобильных устройств для доступа к сервисам электронного правительства
Активное использование ИТ
© 2008 Cisco Systems, Inc. All rights reserved. Security Training 5/41
Интернет-сайты федеральных органов исполнительной власти
Социальная сеть/форум для обеспечения обсуждения общественно значимых вопросов
Мобильные приложения (для порталов, УЭК и т.д.)
Технологий персонального мониторинга в реальном режиме времени здоровья человека
Телемедицина
Блокирование доступа к ненадлежащей информации
Единое пространство доверия электронной цифровой подписи
Активное использование ИТ (продолжение)
© 2008 Cisco Systems, Inc. All rights reserved. Security Training 6/41
Система электронных платежей
Интернет-платформа «облачных вычислений»
Средства коллективной работы с документами
Общедоступное сетевое хранилище данных
Средства удаленного хостинга программных приложений
Современная магистральная сеть связи
Суперкомпьютерные и грид-технологии
Информатизация промышленности
Активное использование ИТ (окончание)
© 2008 Cisco Systems, Inc. All rights reserved. Security Training 7/41
Активное использование мобильных устройств
Внедрение технологий Web 2.0
Облачные вычисления
Суперкомпьютеры
Средства коллективной работы
Телемедицина
Smart Grid и грид-технологии
АСУ ТП на базе IP
и иные КСИИ
Что нового с точки зрения ИБ?
© 2008 Cisco Systems, Inc. All rights reserved. Security Training 8/41
Smart Grid
© 2008 Cisco Systems, Inc. All rights reserved. Security Training 9/41
Транзитные операторы
Распределяющие операторы
Конечные потребители
010101010101010101010101010101010101011010101010101010101010101010101010101010101010101011010101010101010101010101010101010101010101010101011010101010101010101010101010101010101010101010101011010101010101010101010101010101010101010101010101011010101010101010101010101010101010101010101010101011010101010101010101010101010101010101010101010101011010101010101010101010101010101010101010101010101011010101010101010101010101010101010101010101010101011010101010101010101010101010101010101010101010101011010101010101010101010101010101010101010101
Надежность, безопасность, соответствие стандартам
Службы и операторы сбыта
Smart Grid Сквозные сетевые архитектуры
Здания
клиентов
(сети BAN / HAN)
Центр управления
Безопасность | Сетевое управление | Распределенный интеллект
Сети передачи и подстанции
Коммунальные предприятия и региональные
сети
Линии передачи электроэнергии
Центр обработки
данных
Энерговыраба-тывающие
предприятия
© 2008 Cisco Systems, Inc. All rights reserved. Security Training 10/41
Проблемы безопасности сети электроснабжения
Высочайшая важность инфраструктуры и уникальные задачи
Масштаб, устаревшие устройства, географическая распространенность, отсутствие согласованного следования стандартам
Сегодня безопасность большей части систем обеспечивается их недоступностью и запутанностью
Системы весьма уязвимы для атак
Отсутствие независимого тестирования, уникальные решения
Сеть электроснабжения отличается от обычной ИТ-инфраструктуры
Основной приоритет - надежность
Необходимо разрабатывать как архитектуру безопасности, так и план действий при нарушении безопасности
Сбои системы управления могут приводить к тяжелым последствиям
© 2008 Cisco Systems, Inc. All rights reserved. Security Training 11/41
Безопасность Smart Grid Обширная нормативная база
Анализ политик
Стандарты обеспечения совместимости
Безопасность
Потребители
© 2008 Cisco Systems, Inc. All rights reserved. Security Training 12/41
CRITICAL CYBER ASSETS
SECURITY MANAGEMENT
CONTROLS
PERSONNEL AND
TRAINING
ELECTRONIC SECURITY
PHYSICAL SECURITY
SYSTEMS SECURITY
MANAGEMENT
INCIDENT REPORTING &
RESPONSE PLANNING
RECOVERY PLANS FOR
CCA
CIP-002 CIP-003 CIP-004 CIP-005 CIP-006 CIP-007 CIP-008 CIP-009
1. PLAN
2. PHYSICAL ACCESS CONTROLS
3. MONITORING PHYSICAL ACCESS
4. LOGGING PHYSICAL ACCESS
5. ACCESS LOG RETENTION
6. MAINTENANCE & TESTING
1. TEST
PROCEDURES
2. PORTS & SERVICES
3. SECURITY PATCH MANAGEMENT
4. MALICIOUS SOFTWARE PREVENTION
5. ACCOUNT MANAGEMENT
6. SECURITY STATUS MONITORING
7. DISPOSAL OR REDEPLOY-MENT
8. CYBER VULNERABILITY ASSESSMENT
9. DOCUMEN-TATION
1. CYBER SECURITY INCIDENT RESPONSE PLAN
2. DOCUMEN-TATION
1. RECOVERY PLANS
2. EXERCISES
3. CHANGE CONTROL
4. BACKUP & RESTORE
5. TESTING BACKUP MEDIA
1. CRITICAL ASSETS
2. CRITICAL CYBER ASSETS
3. ANNUAL REVIEW
4. ANNUAL APPROVAL
1. ELECTRONIC SECURITY PERIMETER
2. ELECTRONIC ACCESS CONTROLS
3. MONITORING ELECTRONIC ACCESS
4. CYBER VULNER-ABILITY ASSESSMENT
5. DOCUMEN-TATION
1. AWARENESS
2. TRAINING
3. PERSONNEL RISK ASSESSMENT
4. ACCESS
1. CYBER SECURITY POLICY
2. LEADERSHIP
3. EXCEPTIONS
4. INFORMATION PROTECTION
5. ACCESS CONTROL
6. CHANGE CONTROL
Безопасность сетей электроснабжения Стандарты NERC и требования ИБ
© 2008 Cisco Systems, Inc. All rights reserved. Security Training 13/41
Реализация стандартов NERC CIP на подстанциях в центрах управления
Физическая безопасность
Контроль доступа, видео,
реакция на инциденты
Информационная безопасность
Авторизация, целостность, сегментация
Управление безопасностью
Управление доступом, архитектурой, событиями
Критически важные ИТ-
ресурсы (CCA)
Управление безопас-ностью
Персонал и обучение
Информ. безопасность
Физическая безопасность
Управление защитой систем
Отчеты об инцидентах и планирование
ответных действий
Планы восстанов-ления CCA
CIP-002 CIP-003 CIP-004 CIP-005 CIP-006 CIP-007 CIP-008 CIP-009
Глобальная сеть
Управление видео
МСЭ/VPN
Видеонаблюдение
Контроль доступа
ESP
Контроль доступа
Защищенная коммутация
Гибкий анализ пакетов
Подстанция
Контроль доступом к сети
Управление событиями
Управление безопасностью
ЦОД
Центр управления
© 2008 Cisco Systems, Inc. All rights reserved. Security Training 14/41
Информатизация промышленности АСУ ТП
© 2008 Cisco Systems, Inc. All rights reserved. Security Training 15/41
Third Party
Controllers,
Servers, etc.
Serial, OPC
or Fieldbus
Engineering
Workplace
Уровень датчиков и
исп. механизмов
Firewall
Уровень АСУТП
верхнего уровня
Third Party
Application
Server
Application
Server
Historian
Server
Workplaces Enterprise
Optimization
Suite
Mobile
Operator
Connectivity
Server
Уровень ПЛК
Redundant
Корпоративная ЛВС
Serial RS485
Современная АСУ ТП
IP
Internet
Корпоративная
ЛВС
© 2008 Cisco Systems, Inc. All rights reserved. Security Training 16/41
Тенденции в АСУ ТП
Использование широко распространенных технологий
Операционные системы – Windows, WinCE, Linux, различные встроенные ОС реального времени
Приложения – БД, web-сервера, web-браузеры и т.д.
Протоколы – HTTP, RPC, FTP, DCOM, XML, SNMP и т.д.
Подключение АСУ ТП к корпоративным сетям
Увеличение эффективности управления предприятием
Удаленный доступ
Распространение IP и Ethernet сетей Общеприняты на верхнем уровне, и распространяются ниже
Много старых протоколов могут использовать TCP и UDP как транспорт
Большинство современных промышленных устройств имеют Ethernet порты
© 2008 Cisco Systems, Inc. All rights reserved. Security Training 17/41
Ограничения ИТ/ИБ
Экстремальные условия эксплуатации
Отечественных средств защиты просто нет
Не типовые физические топологии
Отечественные средства защиты не работают с этими протоколами
Много устройств специального назначения с ограниченной функциональностью
Закрытость разработок АСУ ТП со стороны производителей
Обязательный удаленный доступ для поддержки со стороны производителя (уполномоченного лица)
© 2008 Cisco Systems, Inc. All rights reserved. Security Training 18/41
Стандарты безопасности АСУ ТП
ISA SP99
NERC
Guidance for Addressing Cyber Security in the Chemical Industry
NIST PCSRF Security Capabilities Profile for Industrial Control Systems
IEC 61784-4
Cisco SAFE for PCN
КСИИ ФСТЭК
Стандарты Газпрома
© 2008 Cisco Systems, Inc. All rights reserved. Security Training 19/41
Стандарты безопасности АСУ ТП (продолжение)
IEEE 1402 «IEEE Guide for Electric Power Substation Physical and Electronic Security»
IEC 62210 «Initial Report from IEC TC 57 ad-hoc WG06 on Data and Communication Security»
IEC 62351 «Data and Communication Security»
FERC Security Standards for Electric Market Participants (SSEMP)
American Petroleum Institute (API) 1164 «SCADA Security»
Security Guidelines for the Natural Gas Industry
© 2008 Cisco Systems, Inc. All rights reserved. Security Training 20/41
Стандарты безопасности АСУ ТП (окончание)
API Security Guidelines for the Petroleum Industry
API Security Vulnerability Assessment Methodology for the Petroleum and Petrochemical Industries
American Gas Association (AGA) 12 Cryptographic Protection of SCADA Communications (4 части)
NIST SP800-82 «Guide to Industrial Control Systems (ICS) Security» (проект)
© 2008 Cisco Systems, Inc. All rights reserved. Security Training 21/41
Особенности обеспечения информационной безопасности новых технологий …в России
© 2008 Cisco Systems, Inc. All rights reserved. Security Training 22/41
Базируется на требованиях к гостайне
Контролируемая зона, аттестация, сертификация каждого экземпляра, модель угроз, ПЭМИН…
Обеспечение в первую очередь конфиденциальности
Для АСУ ТП (обрабатывает открытую информацию), например, важнее целостность и доступность
Большое количество регуляторов со своими требованиями и системами оценки соответствия
Число испытательных лабораторий не велико
Ориентация на локальные нормативные акты и требования
История обеспечения ИБ в России
© 2008 Cisco Systems, Inc. All rights reserved. Security Training 23/41
Регуляторы в области ИБ
ИБ
ФСТЭК
ФСБ
Минком-связь
МО
СВР
ФСО
ЦБ
PCI Council
Газпром- серт
Рос- стандарт
© 2008 Cisco Systems, Inc. All rights reserved. Security Training 24/41
Независимые требования
PCI DSS
ОБИ
Защита данных
владельцев карт
СТО БР
ИББС
ОБИ
Защита платежных процессов
СУИБ
ФЗ-152
ОБИ
Тех.каналы
СТР-К
ОБИ
Тех.каналы
КСИИ
ОБИ
ОБИ КСИИ
© 2008 Cisco Systems, Inc. All rights reserved. Security Training 25/41
Пример: нефтегазовые компании
НК КСИИ
ФЗ-152
ФСБ
Междуна-родные
требования
Газпром
© 2008 Cisco Systems, Inc. All rights reserved. Security Training 26/41
Номенклатура документов по КСИИ
Указ от 16.08.2004
№1085
Указ от 11.08.2003
№960
Приказ от 30.03.2002 №Пр-578
Проект закона (снят)
№411-рс от 23.03.2006
4 «закрытых» документа
ФСТЭК
Указы Президента
Иные документы
Распоряжения Правительства
Отраслевые документы
Секретарь СовБеза РФ от 08.11.2005
«Основы» от 28.09.2006
№1314-р от 27.08.2005
© 2008 Cisco Systems, Inc. All rights reserved. Security Training 27/41
Активное использование продуктов иностранного производства
Rockwell, Yokogawa, Emerson, Siemens, Microsoft, Cisco, IBM/360б Intel, Motorola…
Широкий спектр «нетрадиционных» операционных систем и приложений
АСУ ТП, Грид, Smart Grid, телемедицина, Web 2.0 и т.д.
Широкое использование мобильных платформ
Apple iOS, Google Android, BlackBerry, Symbian, Windows Mobile
Активное использование Интернет и «облаков»
Особенности используемых технологий
© 2008 Cisco Systems, Inc. All rights reserved. Security Training 28/41
Облака и средства коллективной работы
Своя ИТ-
служба
Хостинг-
провайдер IaaS PaaS SaaS
Данные Данные Данные Данные Данные
Приложения Приложения Приложения Приложения Приложения
VM VM VM VM VM
Сервер Сервер Сервер Сервер Сервер
Хранение Хранение Хранение Хранение Хранение
Сеть Сеть Сеть Сеть Сеть
- Контроль у заказчика
- Контроль распределяется между заказчиком и аутсорсером
- Контроль у аутсорсера
© 2008 Cisco Systems, Inc. All rights reserved. Security Training 29/41
Российские решения активно используют иностранные протоколы, технологии и элементную базу
«SCADA Статус-4» (QNX), САВРОС-6 (Windows), Автоматика ТК-20РС (Intel), ОВЕНТИКС (GPRS, ZigBee, 802.15)
Продукты уже сертифицированы в России, но по профильным требованиям (ГОСТы, ОСТы и т.д.)
Также многие решения «сертифицированы» иностранными производителями на совместимость
Интеграция отечественных и иностранных разработок
© 2008 Cisco Systems, Inc. All rights reserved. Security Training 30/41
Особенности обеспечения ИБ новых технологий
Достоинства технологий
• Открытость
• Мобильность
• Интеграция
• Новые возможности
• Мировые стандарты
• Взаимодействие между компонентами
• Миниатюризация
• Высокая производительность
Ограничения с точки зрения ИБ
• Отсутствие КЗ
• Недоверенные элементы
• Отсутствие требований по ИБ в России
• Отсутствие адекватных требований по оценке соответствия новых ИТ
• Ориентация на российские алгоритмы шифрования
© 2008 Cisco Systems, Inc. All rights reserved. Security Training 31/41 31
0
1
2
3
4
5
6
7
8
Число нормативных актов с требованиями сертификации по требованиям безопасности
* - для 2011 – предварительная оценка проектов новых нормативных актов (ФЗ “О национальной платежной системе”, ФЗ “О служебной тайне”, новые приказы
ФСТЭК/ФСБ и т.д.)
Требование есть, а документов нет!
© 2008 Cisco Systems, Inc. All rights reserved. Security Training 32/41
STB для IP-телевидения
IP-видеонаблюдение
Шифрование > 10 Гбит/сек
Wi-Fi на 802.11i
Устройства мобильной связи 2.5G, 3G, а также LTE и Wi-Max
Чиповые смарткарты для платежных систем Visa и MasterCard, а также УЭК
Удаленный доступ с iPhone и т.д.
Шифрование FibreChannel
Когда сертифицированных СКЗИ нет
АСУ ТП
Системы управления на базе SSH
Защищенный доступ по HTTPS с любого браузера
Взаимодействие с иностранными предприятими
Интернет-взаимодействие
Шифрование не-Ethernet
© 2008 Cisco Systems, Inc. All rights reserved. Security Training 33/41
Что делать?
© 2008 Cisco Systems, Inc. All rights reserved. Security Training 34/41
Акцент на специфику, а не на общие вопросы
•Разграничение доступа (+ управление потоками)
•Идентификация / аутентификация
•Межсетевое взаимодействие
•Регистрация действий
•Учет и маркировка носителей (+ очистка памяти)
•Документальное сопровождение
•Физический доступ
•Контроль целостности
•Тестирование безопасности
•Сигнализация и реагирование
•Контроль целостности
•Защита каналов связи
•Обнаружение вторжений
•Антивирусная защита
•BCP
•Защита от утечки по техническим каналам
Общие
•Защита специфичных процессов (биллинг, АБС, PCI…)
•Защита приложений (Web, СУБД…)
•Нестандартные механизмы (ловушки, стеганография) Специфичные
© 2008 Cisco Systems, Inc. All rights reserved. Security Training 35/41
Препятствий нет – возможно все 5 стратегий контроля своих данных в «чужих» системах
• Приложения запускаются на сервере
• Терминальный доступ
«Тонкий» клиент
• Мобильные устройства, синхронизирующиеся с сервером
• Локальные данные зашифрованы
• Утерянное устройство «очищается» удаленно
«Тонкое» устройство
• ОС и приложения контролируются централизованно
• Репликация
Защищенный процесс
• Права доступа привязаны к документам
• Технологии DRM
Защищенные данные
• Контроль информационных потоков «на лету»
• Технологии DLP
Контроль на лету
© 2008 Cisco Systems, Inc. All rights reserved. Security Training 36/41
Как правильно (фрагмент)
Базовые требования
Финансы
АБС ДБО PCI
КСИИ
АСУ ТП
СУИБ базовая
СУИБ процесс
СУИБ интеграция
Базовая функциональность
Расширенная функциональность
© 2008 Cisco Systems, Inc. All rights reserved. Security Training 37/41
Разработать правила оценки соответствия защитных функций в общесистемном и прикладном ПО
В зависимости от модели угроз и критичности применения
Разработать правила признания международных стандартов и правил оценки соответствия
В соответствие с ФЗ «О техническом регулировании» и последними Постановления Правительства
Стимулировать отечественные разработки в области ИБ вне традиционных направлений
ИБ – это не только СЗИ от НСД, МСЭ, антивирус и IP-шифратор
Что еще необходимо сделать
© 2008 Cisco Systems, Inc. All rights reserved. Security Training 38/41
Стимулировать иностранных разработчиков на открытие локальных центров разработки
При условии оптимизации правил оценки соответствия продуктов иностранного производства
Стимулировать обмен технологиями между иностранными и отечественными разработчиками
Для получения синергетического эффекта
Что еще необходимо сделать
© 2008 Cisco Systems, Inc. All rights reserved. Security Training 39/41
Компаниями Cisco и С-Терра СиЭсПи разработаны VPN-решения, поддерживающие российские криптоалгоритмы на базе оборудования Cisco
Сертификат ФСБ СФ/114-1411 от 20 марта 2010 года
Сертификат по классу КС2 на оба решения
Пример сотрудничества в интересах РФ и с учетом требований регуляторов
Решение для удаленных офисов
• На базе модуля для ISR G1 и G2 (2800/2900/3800/3900)
Решение для ЦОД и штаб-квартир
• На базе UCS C-200
© 2008 Cisco Systems, Inc. All rights reserved. Security Training 40/41
Вопросы?
Дополнительные вопросы Вы можете задать по электронной почте [email protected] или по телефону: +7 495 961-1410
© 2008 Cisco Systems, Inc. All rights reserved. Security Training 41/41