1 / 30

dallaslock.ru

Основные критерии выбора СЗИ от НСД. Особенности системы Dallas Lock 8.0. www.dallaslock.ru. 2013 г. Что представляет собой СЗИ от НСД. СЗИ от НСД. Системы защиты информации от несанкционированного доступа. служат для защиты персонального компьютера:

marvin-carney
Download Presentation

dallaslock.ru

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Основные критерии выбора СЗИ от НСД. Особенности системы DallasLock 8.0 www.dallaslock.ru 2013 г.

  2. Что представляет собой СЗИ от НСД

  3. СЗИ от НСД Системы защиты информации от несанкционированного доступа • служат для защиты персонального компьютера: • от доступа к информации в нарушение должностных полномочий сотрудников • от доступа к закрытой для публичного доступа информации со стороны лиц, не имеющих разрешения • от доступа к информации в объёме, превышающем необходимый для выполнения служебных обязанностей • представляют собой программный или программно-аппаратный комплекс 1 www.confident.ru

  4. СЗИ от НСД Системы защиты информации от несанкционированного доступа Позволяют обеспечить защиту конфиденциальной информации организации в соответствии с требованиями законодательства: • РД «Положение о методах и способах защиты информации в информационных системах персональных данных», утвержденный Приказом ФСТЭК России от 05.02.2010 № 58 • Руководящий документ «Специальные требования и рекомендации по технической защите конфиденциальной информации» СТР-К • Федеральный Закон №98-ФЗ «О коммерческой тайне» • Федеральный Закон №152-ФЗ «О персональных данных» • Стандарт Банка России по обеспечению информационной безопасности организаций банковской системы Российской Федерации (СТО БР ИББС) • РД Гостехкомиссии РФ «Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации» • РД Гостехкомиссии РФ «Защита от несанкционированного доступа к информации. Часть 1. Программное обеспечение средств защиты информации. Классификация по уровню контроля недекларированных возможностей 2 www.confident.ru

  5. Показатели выбора СЗИ от НСД

  6. Показатели выбора СЗИ ЗАКАЗЧИКИ ИНОГДА ГОВОРЯТ… ¿ Мы приобретаем СЗИ и этого достаточно… ¿ Зачем она вообще нужна, эта СЗИ ¿ Использующаяся СЗИ не имеет сертификата… ¿ Не отвечает техподдержка разработчика… ¿ Сертификат был на момент приобретения… ¿ Разработчик устранил несовместимость, но… ¿ Цена СЗИ – главный критерий… 3 www.confident.ru

  7. Показатели выбора СЗИ Юридические аспекты • Оценка возможности использования в информационных системах персональных данных (ИСПДн) определенного класса • Наличие сертификатов ФСТЭК по различным уровням и классам РД • История версий и продления сертификатов, проведения инспекционного контроля (ИК) производителем 4 www.confident.ru

  8. Показатели выбора СЗИ • Надежность, удобство, апробированность: • Простота внедрения (развертывания) для различных конфигураций • Простота управления системой защиты • Стабильность работы и совместимость с Вашими приложениями, ИС, СЗИ в режиме «жестких настроек» • Проекты какого масштаба реализованы с использованием данной СЗИ, количество внедрений • Сроки присутствия решения на рынке и объектах заказчиков Технико-технологические аспекты • Технологическое совершенство продукта: • Развитость функционала (помимо требований РД) • Совместимость с другими технологиями и продуктами по ЗИ (антивирус, межсетевой экран, VPN, криптопровайдер, IDS/IPS) 5 www.confident.ru

  9. Показатели выбора СЗИ • Первичное приобретение • Внедрение (сторонними силами) Экономические аспекты Ценовая политика. Совокупная стоимость владения (TCO): • Обучение администраторов и пользователей СЗИ • Затраты на развертывание и управление СЗИ собственными силами – в том числе: • заработная плата для штата администраторов безопасности (администраторов СЗИ на всех площадках) • потери от простоя на время неработоспособности СЗИ • простота и «незаметность» для пользователей и необходимость ресурсов для их обучения • Продление сопровождения • Условия получения исправлений/обновлений по результатам ИК • Обновление (апгрейд) версий 6 www.confident.ru

  10. Dallas Lock 8.0

  11. Контроль целостности программно-аппаратной среды и данных ЧТО ТАКОЕ DALLAS LOCK 8.0? • Аудит и регистрация событий безопасности • Разграничение доступа к защищаемым ресурсам • Защита информации в распределенных системах программный комплекс средств защиты информации (СЗИ) в ОС семейства Windows, в процессе её хранения и обработки, от несанкционированного доступа (НСД) Система защиты информации от несанкционированного доступа (СЗИ от НСД) Dallas Lock 8.0 СЗИ от НСД Dallas Lock 8.0 предназначается для: 7 www.dallaslock.ru

  12. ЧТО ТАКОЕ DALLAS LOCK 8.0? 8 www.dallaslock.ru

  13. О РАЗРАБОТЧИКЕ Разработчик –Группа компаний«Конфидент» Год основания – 1992 г. Персонал – более 200 человек О компании Конфидент «К настоящему моменту «Конфидент» – это крупный системный интегратор, который занимает лидирующие позиции на российском рынке инженерных систем, обеспечения информационной безопасности и защиты информации, эксплуатации и технического обслуживания»,- Петр Кузнецов, ген. директор. 9 www.dallaslock.ru

  14. О РАЗРАБОТЧИКЕ Администрации областей и АО РФ(в том числе - Правительства Москвы иСанкт-Петербурга), Министерство обороны РФ, Министерство внутренних дел РФ,Центральный банк РФ, Федеральная налоговая служба РФ, Федеральная службаисполнения наказаний, Федеральное медико-биологическое агентство,Федеральная таможенная служба, Росстат, Роскомнадзор, РАО Газпром, ОАОСвязьинвест, ОАО Норильский никель, ОАО Ленэнерго, ОАО Тюменьэнерго,ОАО Татнефть, Фонды обязательного медицинского страхования, предприятияОПК, другие организации и предприятия О компании Конфидент ООО «Конфидент» обладает всеми необходимыми для осуществления эффективной деятельности лицензиями ФСБ, ФСТЭК, МЧС России: Более 10 000 заказчиков в России и странах ближнего зарубежья, среди которых: • Лицензии ФСБ России • на право работы со сведениями, составляющими государственную тайну рег. №5168 от 30.09.2010 г. • на осуществление разработки, производства шифровальных (криптографических) средств рег.№8971П от 17.06.2010 г. • Лицензии ФСТЭК России • на проведение работ, связанных с созданием средств защиты информации рег.№ 1101 от 06.10.2011 г. • на осуществление мероприятий и (или) оказание услуг в области защиты государственной тайны рег. № 1100 от 06.10.2011 г. • на деятельность по разработке и (или) производству средств защиты конфиденциальной информации рег.№ 0016 от 31.10.2002 г. (срок действия – бессрочно). • Лицензии Министерства обороны России • на деятельность в области создания средств защиты информации рег. № 756 от 19.07.11 г. 10 www.dallaslock.ru

  15. О РАЗРАБОТЧИКЕ С чего все начиналось 1992 год - 1993год - Первый офис программно-аппаратные СЗИ НСД «Dallas Lock» и «Cerber Lock», которые дополнялись системами управления доступом «Менуэт» образование Ассоциации Защиты Информации «Конфидент» Ассоциация стала первой в России негосударственной организацией, получившей гос. лицензию на деятельность в области защиты информации СЗИ НСД «Dallas Lock» сертифицирована Гостехкомиссиейпри Президенте РФ (ныне ФСТЭК) располагался в Смольном, поэтому характерной чертой деятельности с первых дней стала работа в тесном сотрудничестве с гос. структурами Первые разработки: 1995год - 11 www.dallaslock.ru

  16. DALLAS LOCK8.0 DL 8.0-K,C DL 4.1, 5.0 • 6.0 – Win 95, 98, ME • 7.0 –Win 2003, XP • 7.5 – централизованное управление • 7.7 – Win Vista, 7 Эволюционный путь развития от простого замка на включение компьютера под MS-DOS до современной распределенной системы защиты информации: История создания DL 7.X • Поддержка ОС Win x64 • 8.0-K – для конфиденциальных данных (1Г) • 8.0-С – до уровня «совершенно секретно» (1Б) • Аппаратно-программный комплекс для Win 95, 98, NT 12 www.dallaslock.ru

  17. DALLAS LOCK8.0 Сертификаты и уровни защиты «…Второйуровень контроля достаточен для ПО, используемого при защите информации с грифом «Совершенно секретно» Четвертыйдостаточен для ПО, используемого при защите конфиденциальной информации…» «…При разработке АС для обработки информации, являющейся собственностью государства и отнесенной к категории секретной, необходимо использовать СВТ не ниже 3 класса - для класса защищенности АС 1Б; При обработке или хранении информации, не отнесенной к категории секретной (конфиденциальные данные) - СВТ не ниже 5 класса - для класса защищенности АС 1Г…» 13 www.dallaslock.ru

  18. DALLAS LOCK8.0 Наличие того или иного функционала в СЗИ НСД обусловлено: • требованиями согласно Руководящим документам • конкурентными требованиями и уникальными возможностями 14 www.dallaslock.ru

  19. DALLAS LOCK8.0 Требования согласно РД РД:Средства вычислительной техники. Защита от НСД к информации. Показатели защищенности от НСД к информации 15 www.dallaslock.ru

  20. РЕАЛИЗАЦИЯ ТРЕБОВАНИЙ Требования к оборудованию для корректной работы Недостатки типовых решений в Dallas Lock 8.0 НЕУДОБНО • Не требуется установки стороннего программного обеспечения, кроме утилит аппаратных идентификаторов. • Используются аппаратные идентификаторы: • USB-flash-накопители • ключи Touch Memory • смарт-карты eToken • USB-ключи eToken , • USB-ключи ruToken и ruToken ЭЦП Недостатки типовых решений в Dallas Lock 8.0 НЕУДОБНО Требуется установка сторонней СУБД=> увеличиваются время внедрения, стоимость, требования к администратору безопасности • Требуется наличие Active Directory, дополнительная модификация AD => увеличиваются время внедрения, стоимость, требования к квалификации системного администратора, риски стабильной работы сети Требуется обязательная аппаратная составляющая => возрастает время внедрения, возникают проблемы с установкой на ноутбуки (отказ от использования платы влечет снижение класса защиты) Замена аппаратной части программными решениями => «Прозрачное преобразование жесткого диска» (данные преобразованного диска не могут быть прочитаны ни на одном другом компьютере, кроме того, на котором выполнено преобразование) НЕУДОБНО 16 www.dallaslock.ru

  21. РЕАЛИЗАЦИЯ ТРЕБОВАНИЙ Подсистема управления доступом Недостатки типовых решений в Dallas Lock 8.0 НЕУДОБНО Недостатки типовых решений в Dallas Lock 8.0 • Настройка параметров входа в систему: • пароли: минимальная длина, необходимое наличие цифр, спец. символов, строчных и прописных букв, срок действия и проч. • генератор сложных паролей • включения механизма доверенной загрузки НЕУДОБНО НЕУДОБНО • Используются два принципа разграничения доступа (применяется полностью независимый от ОС механизм): • дискреционный • мандатный • Разграничения касаются прав доступа к объектам ФС, локальным, сетевым, аппаратным ресурсам, сменным накопителям Делегирование прав или части прав на администрирование СЗИ • Отсутствует возможность делегирования прав на управление СЗИ НСД • Отсутствует возможность переименования меток конфиденциальности мандатного доступа; ограниченный набор меток Возможность настройки особых режимов доступа: Замкнутой программной среды, «мягкого режима», «режима обучения» • Отсутствует разграничение доступа к удаленным папкам общего пользования • Негибкое управление требованиями к паролям Используются средства NTFS для настройки доступа • Отсутствует возможность создания замкнутой программной среды, режима обучения, «мягкий» режима НЕУДОБНО 17 www.dallaslock.ru

  22. Блокировка компьютера при выявлении изменений Механизмы сохранения резервной копии файлов системы, сохранения конфигурации системы, возврата к настройкам по умолчанию РЕАЛИЗАЦИЯ ТРЕБОВАНИЙ Подсистема контроля целостности Недостатки типовых решений в Dallas Lock 8.0 НЕУДОБНО НЕУДОБНО НЕУДОБНО Контроль целостности файлов при доступек ним Контроль целостности программно-аппаратной среды и ресурсов файловой системы при загрузке компьютера Контроль целостности ресурсов файловой системы и программно-аппаратной среды по команде администратора и через заданные интервалы времени (периодический контроль) • Отсутствуют средства восстановления системы защиты • Отсутствует контроль целостности ФС по расписанию или по команде • Отсутствует возможность блокировки компьютера при нарушении целостности 18 www.dallaslock.ru

  23. Возможность архивации, экспорта записей, применения фильтров РЕАЛИЗАЦИЯ ТРЕБОВАНИЙ Подсистема регистрации и учета Недостатки типовых решений в Dallas Lock 8.0 НЕУДОБНО Недостатки типовых решений в Dallas Lock 8.0 НЕУДОБНО • Ведение 6-ти журналов регистрации событий: • журнал входов • журнал управления учетными записями • журнал доступа к ресурсам • журнал печати • журнал управления политиками • журнал процессов Параметры аудита для глобальных и локальных объектов настраиваются собственными независимыми от ОС средствами Используются средства NTFS для аудита действий пользователей по доступу к файловой системе Используется один журнал для всех событий, его записи избыточны и занимают большой объем 19 www.dallaslock.ru

  24. ПРЕИМУЩЕСТВА Dallas Lock 8.0 ДБ ДБ ДБ Централизованное управление ДБ С помощью СБ возможна установка Dallas Lock на ПК и ввод защищенных ПК в ДБ Модуль «Сервер безопасности» Dallas Lock (СБ) устанавливается на защищенный компьютер С помощью СБ возможно: централизованное управление политиками безопасности, просмотр состояния, сбор журналов, создание/удаление/редактирование параметров пользователей и прочее С помощью модуля «Менеджер серверов безопасности» можно объединить несколько ДБ и применять параметры безопасности для всего «Леса безопасности» Другие защищенные компьютеры, введенные под управление СБ, образуют «Домен безопасности» (ДБ) и становятся клиентами СБ Лес безопасности 20 www.dallaslock.ru

  25. ПРЕИМУЩЕСТВА Dallas Lock 8.0 Удалённая установка средствами СБ 1. Формированиесписка ПК для установки 2. Добавление дистрибутива и заполнение параметров 3. Установка DL и перезагрузка клиентского ПК 21 www.dallaslock.ru

  26. ПРЕИМУЩЕСТВА Dallas Lock 8.0 Защита рабочего пространства Windows To Go После запуска ПК из рабочего пространства Windows To Go установка Dallas Lock 8.0 происходит в штатном режиме С помощью технологии Windows To Go на USB-накопителе создаётся рабочее пространство из ОС Windows 8 и файлов, папок и приложений,  созданных при работе Защита данных самого носителя осуществляется путём прозрачного преобразованияобласти USB-накопителя 26 www.dallaslock.ru Защита путём разграничения доступа, контроля целостности и аудита осуществляется как при штатной работе Dallas Lock 8.0

  27. ПРЕИМУЩЕСТВА Dallas Lock 8.0 Экономические аспекты • Гибкая ценовая политика – заказчику сертифицированная защита обходитсядешевле • средняя стоимость защиты для крупных объектов – порядка 3300-4000 рублей за рабочее место\сервер с учетом централизованного управления • Низкая совокупная стоимость владения сертифицированным решением с учетом внедрения, эксплуатации, обучения персонала и штата по администрированию, а также продления технического сопровождения • стоимость технического сопровождения 10% в год • сертифицированные обновления в рамках ТС – бесплатно • централизация развёртывания и управления минимизирует расходы на штат и обучение специалистов 27 www.dallaslock.ru

  28. ПРЕИМУЩЕСТВА Dallas Lock 8.0 Юридические аспекты • Компания - разработчик обладает всеминеобходимыми для разработки системызащиты лицензиями ФСБ и ФСТЭК • Периодическое продление сертификатов и инспекционного контроля всех актуальныхверсий 28 www.dallaslock.ru

  29. Особенности DallasLock 8.0 Технологические аспекты Юридические аспекты Экономические аспекты … «DallasLock» - лучшее по совокупности показателей программное решение для защиты информации от несанкционированного доступа, отвечающее современным требованиям законодательства, обладающее необходимым и уникальным функционалом 29 www.confident.ru

  30. Спасибо за внимание! Сергей Кузнецов Руководитель отдела по работе с партнерами ЦЗИ ООО «Конфидент» ksp@confident.spb.ru (812) 325-1037 www.dallaslock.ru 2013 г.

More Related