600 likes | 1.25k Views
Dallas Lock 8.0 Опыт построения системы защиты Основные критерии выбора СЗИ от НСД . www.confident.ru www.dallaslock.ru. 2013 г. Что представляет собой СЗИ от НСД. СЗИ от НСД. Системы защиты информации от несанкционированного доступа (СЗИ от НСД).
E N D
Dallas Lock 8.0 Опыт построения системы защиты Основные критерии выбора СЗИ от НСД www.confident.ru www.dallaslock.ru 2013 г.
СЗИ от НСД Системы защиты информации от несанкционированного доступа (СЗИ от НСД) • служат для защиты информационных ресурсов персонального компьютера: • от доступа к информации в нарушение должностных полномочий сотрудников • от доступа к закрытой для публичного доступа информации со стороны лиц, не имеющих разрешения • от доступа к информации в объёме, превышающем необходимый для выполнения служебных обязанностей • представляют собой программный или программно-аппаратный комплекс 1 www.dallaslock.ru
СЗИ от НСД Системы защиты информации от несанкционированного доступа • Средства предотвращения вторжений • Угрозы мобильного доступа • Угрозы межсетевого взаимодействия • Средства антивирусной защиты • Средства • анализа защищенности • CЗИот НСД • Межсетевые экраны • Средства резервного копирования • Орг. меры • СКЗИ • Встроенные механизмы систем Риски претензий регуляторов Угрозы слабых политик безопасности • Угрозы использования внешних носителей • Угрозы воздействия вредоносного ПО Угрозы претензий регуляторов Риски ошибок конфигурации ПО • Угрозы нарушения целостности ПДн • Угрозы незарегистрированных действий нарушителя 2 www.dallaslock.ru
СЗИ от НСД • Стандарт Банка России по обеспечению информационной безопасности организаций банковской системы Российской Федерации (СТО БР ИББС) Системы защиты информации от несанкционированного доступа Позволяют сертифицировать деятельность государственных организаций и бизнеса на соответствие законодательным требованиям: • РД «Положение о методах и способах защиты информации в информационных системах персональных данных», утвержденный Приказом ФСТЭК России от 05.02.2010 № 58 • РД Гостехкомиссии РФ «Специальные требования и рекомендации по технической защите конфиденциальной информации» СТР-К • Федеральный Закон №98-ФЗ «О коммерческой тайне» • Федеральный Закон №152-ФЗ «О персональных данных» • РД Гостехкомиссии РФ «Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации» • РД Гостехкомиссии РФ «Защита от несанкционированного доступа к информации. Часть 1. Программное обеспечение средств защиты информации. Классификация по уровню контроля недекларированных возможностей 3 www.dallaslock.ru
Опыт построения системы защиты информации на основе Dallas Lock 8.0
Опыт построения СЗИ на основе DallasLock 8.0 Инфраструктура объектов заказчика (ТЭК) • 1000 АРМ ИСПДн; • 10 филиалов; • каналы связи от 128 Кбит\секдо 10 Мбит\сек. 1 www.dallaslock.ru
Опыт построения СЗИ на основе DallasLock 8.0 Инфраструктура Географически удаленные объекты, каналы связи различных технологий, принадлежности, пропускной способности; Гетерогенная программно-аппаратная среда. 2 www.dallaslock.ru
Опыт построения СЗИ на основе DallasLock 8.0 Цели и задачи • Приведение информационных систем персональных данных (ИСПДн) и процессов обработки персональных данных (ПДн) в соответствие с требованиями законодательства РФ; • Снижение уровня рисков несанкционированного доступа к ПДн; • Повышение общего уровня защищенности корпоративных ресурсов . 3 www.dallaslock.ru
Опыт построения СЗИ на основе DallasLock 8.0 Актуальные угрозы и их нейтрализация с помощью Dallas Lock Анализ моделей угроз позволяет сделать вывод о возможностях Dallas Lock по закрытию угроз безопасности конфиденциальной информации: • угрозы НСД; • угрозы незарегистрированных действий нарушителей; • угрозы целостности персональных данных; • сетевые угрозы (частично). 4 www.dallaslock.ru
Опыт построения СЗИ на основе DallasLock 8.0 Подсистемы управление доступом обеспечение целостности регистрация и учет сетевой защиты (межсетевое экранирование) криптографическая защита обнаружение вторжений анализ защищенности антивирусной защиты централизованного управления 5 www.dallaslock.ru
Опыт построения СЗИ на основе DallasLock 8.0 Особенности внедрения Dallas Lock • Поддержка служб каталогов Novell eDirectoryи Microsoft AD; • Удаленная установка средствами AD, СБили через сформированный на СБ дистрибутив с предустановленными параметрами для связи (Сервер-клиент); • Использование собственных механизмов защиты, отличных от механизмов операционной системы; • Возможность создания доменов безопасности под управлением сервера безопасности DallasLock, политики которых накладываются на доменные политики ActiveDirectory; • Совместимость с другими средствами защиты (антивирусы, СКЗИ и т.д.). 6 www.dallaslock.ru
Опыт построения СЗИ на основе DallasLock 8.0 Dallas Lock в территориально-удаленных филиалах 7 www.dallaslock.ru
Показатели выбора СЗИ от НСД
Показатели выбора СЗИ Юридические аспекты • Оценка возможности использования в АС определенного класса защищенности и в информационных системах персональных данных (ИСПДн) определенного уровня • Наличие сертификатов ФСТЭК по различным уровням и классам РД • История версий и продления сертификатов, проведения инспекционного контроля (ИК) производителем 5 www.dallaslock.ru
Показатели выбора СЗИ Технико-технологические аспекты • Надежность, удобство, апробированность: • Простота внедрения (развертывания) для различных конфигураций • Простота управления системой защиты • Стабильность работы и совместимость с Вашими приложениями, ИС, СЗИ в режиме «жестких настроек» • Проекты какого масштаба реализованы с использованием данной СЗИ, количество внедрений • Сроки присутствия решения на рынке и объектах заказчиков • Технологическое совершенство продукта: • Развитость функционала (помимо требований РД) • Совместимость с другими технологиями и продуктами по ЗИ (антивирус, межсетевой экран, VPN, криптопровайдер, IDS/IPS) 6 www.dallaslock.ru
Показатели выбора СЗИ • Первичное приобретение • Внедрение (сторонними силами) Экономические аспекты Ценовая политика. Совокупная стоимость владения (TCO): • Обучение администраторов и пользователей СЗИ • Затраты на развертывание и управление СЗИ собственными силами – в том числе: • заработная плата для штата администраторов безопасности (администраторов СЗИ на всех площадках) • потери от простоя на время неработоспособности СЗИ • простота и «незаметность» для пользователей и необходимость ресурсов для их обучения • Продление сопровождения • Условия получения исправлений/обновлений по результатам ИК • Обновление (апгрейд) версий 7 www.dallaslock.ru
О РАЗРАБОТЧИКЕ Разработчик –Группа компаний«Конфидент» Год основания – 1992 г. Персонал – более 200 человек О компании Конфидент Более 30 собственных разработок за всю историю Несколько десятков тысяч объектов Первая в России негосударственная организация, получившая гос. лицензию на деятельность в области защиты информации взаимодействие ФСТЭК ФСБ 8 МО www.dallaslock.ru
О РАЗРАБОТЧИКЕ Группа компаний Конфидент сегодня • Системы ОВК и ВК (отопление, вентиляция, кондиционирование, водоснабжение, водоотведение) • Слаботочные системы и автоматизация зданий • Системы противопожарной защиты • Системы ЭОМ (электроснабжение, электроосвещение) • Техническое обслуживание систем пожарно-охранной безопасности и инженерных систем • Приемка в эксплуатацию • Ремонт и модернизация • Аварийные работы КРУГЛОСУТОЧНО • Поставка оборудования и материалов Собственные разработкиСЗИ от НСД и управление партнерской сетью Построение комплексных систем и отдельных подсистем обеспечения безопасности информации на основе решений ведущих российских и мировых производителей 9 www.dallaslock.ru
О РАЗРАБОТЧИКЕ Под защитой Dallas Lock – несколько десятков тысяч объектов некоторые из наших пользователей: • Банк России • Национальный банк Республики Абхазия • Правительство Москвы, Правительство Санкт-Петербурга, Администрации субъектов РФ • департаменты и центры занятости населения субъектов РФ • министерства и департаменты здравоохранения и социального развития субъектов РФ • фонды обязательного медицинского страхования субъектов РФ • министерства и комитеты по управлению имуществом, по земельным отношениям субъектов РФ • высшие учебные заведения • НПФ «Сургутнефтегаз» • ОАО «Детский мир» • ОАО «Объединенная авиастроительная корпорация», • ОАО «РСК МиГ» • ОАО «Ангестрем» • ФГУП «Росморпорт» • ФГУП «ПО «Октябрь» • ФГУП «ГосНИИПП» ФСТЭК РФ • ФГУП «Гостехстрой» ФСТЭК РФ • ОАО «Улан-Удэнский авиационный завод» («Вертолеты России») • ФГУП «ЦНИИХМ» • ОАО «ТАНЕКО», • ООО «Газпром межрегионгаз», • ОАО «СибурТюменьГаз», • ЗАО «Донэнергосбыт» • ОАО «Владимирская областная электросетевая компания» • ООО «Саратовское предприятие городских электрических сетей » • Банковская группа BSGV • ОАО «Первый Республиканский Банк» • ООО «Страховое общество «Сургутнефтегаз» • ООО «Росгосстрах-Медицина» • НПФ ВТБ • ФНС РФ • МВД РФ • ФСИН РФ • ФСТЭК РФ • ФТС РФ • ФСКН РФ • Роскомнадзор РФ • Рособрнадзор РФ • Росстат РФ • Федеральное медико-биологическое агентство РФ • Федеральное дорожное агентство РФ 10 www.dallaslock.ru
О РАЗРАБОТЧИКЕ Некоторые наши партнеры в Уральском федеральном округе: Аста-Информ, Астра СТ,Цинтур, ФГУП Центринформ, Риланс, ФГУП НПП Гамма, Софтлайн, Энвижн, ИРС, Тетроникс ВТ, ФГУП Защитаинфотранс, ИТ Энигма… Более 300 интеграторов–дилеров федерального и регионального уровней некоторые из них: • Софтлайн • ФГУП НПП Гамма • ФГУП Атлас • ФГУП Центринформ • ФГУП Защитаинфотранс • НПП СВК • Техцентр • Лаборатория ППШ • Эшелон • НТЦ Евраас • Крок • ИнфосистемыДжет • Микротест • Лета • Ланит • NVisionGroup • Аквариус • Kraftway • Сюртель 10 www.dallaslock.ru
О РАЗРАБОТЧИКЕ Наличие сертификатов совместимости с российскими производителями ПО и аппаратных устройств, являющимися технологическими партнерами компании некоторые из них: • Рутокен (ЗАО «Актив-софт») • Aladdin eToken (ЗАО «Аладдин Р.Д.») • VipNet (ОАО «ИнфоТеКС» ) • «VPN/FW «Застава» (ОАО «Элвис-Плюс») • «DeepSecurity 8.0» («TrendMicroIncorporated») • ESET NOD32 11 www.dallaslock.ru
История создания DALLAS LOCK Названиесистемы защиты «Dallas Lock» происходит от названия американского производителя телекоммуникационных чипов, а также электронных ключейiButton(известных под названием Dallas Key, TouchMemory)Dallas Semiconductor и английского слова«lock»- запирать Dallas Lock 12 www.dallaslock.ru
СЗИ от НСД DALLAS LOCK DL 8.0-K,C DL 4.1, 5.0 • 6.0 – Win 95, 98, ME • 7.0 –Win 2000, XP • 7.5 – Win 2000, 2003,XP • централизованное управление • 7.7 – Win Vista, 2008,7 Эволюционный путь развития от простого замка на включение компьютера под MS-DOS до современной распределенной системы защиты информации: История создания DL 7.X • Поддержка ОС Win x64 • 8.0-K – для конфиденциальных данных (1Г) • 8.0-С – до уровня «совершенно секретно» (1Б) • Аппаратно-программный комплекс для Win 95, 98, NT 13 www.dallaslock.ru
СЗИ от НСД DALLAS LOCK Среда функционирования Dallas Lock 8.0 *Поддерживаются 32-х и 64-х битные версии ОС 13 www.dallaslock.ru
СЗИ от НСД DALLAS LOCK Характеристики уровней защиты «…Второйуровень контроля достаточен для ПО, используемого при защите информации с грифом «Совершенно секретно» Четвертыйдостаточен для ПО, используемого при защите конфиденциальной информации…» «…При разработке АС для обработки информации, являющейся собственностью государства и отнесенной к категории секретной, необходимо использовать СВТ не ниже 3 класса - для класса защищенности АС 1Б; При обработке или хранении информации, не отнесенной к категории секретной (конфиденциальные данные) - СВТ не ниже 5 класса - для класса защищенности АС 1Г…» 14 www.dallaslock.ru
СЗИ от НСД DALLAS LOCK Наличие того или иного функционала в СЗИ НСД обусловлено: • требованиями согласно Руководящим документам • конкурентными требованиями и уникальными возможностями 15 www.dallaslock.ru
СЗИ от НСД DALLAS LOCK Требования согласно РД РД:Средства вычислительной техники. Защита от НСД к информации. Показатели защищенности от НСД к информации 16 www.dallaslock.ru
РЕАЛИЗАЦИЯ ТРЕБОВАНИЙ Подсистема управления доступом • созданных средствами ОС на локальном ПК • созданных средствами Active Directory • созданных непосредственно в СЗИ • USB-флэш-накопители • ключи Touch Memory • смарт-карты eToken • USB-ключи eToken , ruToken, ruTokenЭЦП Настройка параметров входа в систему. Политики сложности паролей Генератор сложных паролей • Разграничение доступа: • Дискреционный принцип • Мандатный принцип • к объектам ФС: локальным, глобальным, сетевым, аппаратным ресурсам, сменным накопителям Модуль доверенной загрузки-идентификация до старта ОС Регистрация пользователей Использование аппаратной идентификации: 18 www.dallaslock.ru
Возможность архивации, экспорта записей, применения фильтров РЕАЛИЗАЦИЯ ТРЕБОВАНИЙ Подсистема регистрации и учета • журнал входов • журнал управления учетными записями • журнал доступа к ресурсам • журнал печати • журнал управления политиками • журнал процессов Удаление файлов и зачистка остаточной информации: автоматически и по команде Штамп на документах Теневые копии документов 6 журналов регистрации событий: Настройка параметров аудита для глобальных и локальных объектов 19 www.dallaslock.ru
Блокировка компьютера при выявлении изменений • Сохранение резервной копии файлов СЗИ НСД и конфигурации настроек системы. • Возврат к настройкам по умолчанию РЕАЛИЗАЦИЯ ТРЕБОВАНИЙ Подсистема контроля целостности • при загрузке компьютера • по команде администратора • через заданные интервалы времени • Контроль целостности программно-аппаратной среды и ресурсов файловой системы: • Контроль целостности файлов при доступек ним 20 www.dallaslock.ru
ПРЕИМУЩЕСТВА Dallas Lock8.0-С Дополнительный функционал Отчет - права и конфигурации Отчет - список установленного ПО Оболочка Dallas Lock вместо стандартной Windows Механизм преобразования данных в файл-контейнер (кодирование) • Список блокируемых расширений Удалённое администрирование без Сервера Безопасности Замкнутая программная среда, «мягкий режим», «режима обучения» Прозрачное преобразование жесткого диска 21 www.dallaslock.ru
ПРЕИМУЩЕСТВА Dallas Lock 8.0 ДБ ДБ ДБ Централизованное управление ДБ СБ Dallas Lock централизованное управление просмотр состоянияклиентов СБ сбор журналов, создание/удаление/редактирование параметров пользователей удаленная установка Dallas Lock на ПК ввод ранее защищенных ПК в ДБ Dallas Lock прочее «Сервер безопасности» Dallas Lock (СБ) защищенный компьютер, не нужна серверная ОС, не нужны AD,eDirectory, не нужны СУБД… С помощью модуля «Менеджер серверов безопасности» можно объединить несколько ДБ и применять параметры безопасности для всего «Леса безопасности» «Домен безопасности» Dallas Lock (ДБ) клиенты СБ = защищенные Dallas Lock компьютеры Лес безопасности 22 www.dallaslock.ru
ПРЕИМУЩЕСТВА Dallas Lock 8.0 Удалённая установка средствами СБ 1. Формированиесписка ПК для установки 2. Добавление дистрибутива и заполнение параметров 3. Установка DL и перезагрузка клиентского ПК 23 www.dallaslock.ru
ПРЕИМУЩЕСТВА Dallas Lock 8.0 Удалённая установка средствами AD Средствами Microsoft Windows с помощью Сервера администрирования и установленной на нём службы Active Directory возможна удалённая установка DallasLock 8.0 на рабочие станции, входящие в состав домена 4. Конфигурация и применение групповой политики 3. Создание объекта групповойполитики 2.Создание точки распространения 1.Формирование файла установки 24 www.dallaslock.ru
ПРЕИМУЩЕСТВА Dallas Lock 8.0 Удалённая установка средствами AD 1.Формирование файла установки НЕУДОБНО 2.Технологический процесс установки msi-файла средствами AD • DallasLock8.0 имеет механизм, позволяющий сформировать msi-файл системы защиты одним нажатием кнопки: • Вся необходимая для установки информация содержится в установочных пакетах имеющих расширение .msi • Для формирования msi-файла необходимо воспользоваться дополнительными инструментами или программами 25 www.dallaslock.ru
ПРЕИМУЩЕСТВА Dallas Lock 8.0 Аппаратная идентификация Dallas Lock 8.0 позволяет в качестве средств опознавания пользователей использовать электронные идентификаторы После назначения идентификатора для учетной записи, для входа в ОС помимо ввода авторизационной информации, необходимо предъявить и назначенный аппаратный идентификатор Для идентификаторов типа USB-ключи Aladdin eTokenPro/Java, смарт-карты AladdineTokenPRO/SC, USB-ключи Rutoken (Рутокен) и Rutoken ЭЦП доступназапись авторизационных данных в память идентификатора 26 www.dallaslock.ru
ПРЕИМУЩЕСТВА Dallas Lock 8.0 Аппаратная идентификация Возможны следующие способы авторизации: 3. Выбор только аппаратного идентификатора (логин и пароль автоматически считываются с идентификатора) 4. Выбор аппаратного идентификатора и ввод только pin-кода идентификатора (логин и пароль автоматически считываются с идентификатора) 2.Выбор аппаратного идентификатора и ввод только пароля (логин автоматически считывается с идентификатора)* Таким образом, в системе реализована двухфакторная аутентификация, присущая системамс повышенной защитой. В тоже время аппаратная идентификация обязательной не является 1.Выбор аппаратного идентификатора и заполнение всех авторизационных полей 27 www.dallaslock.ru * Для Dallas Lock 8.0-C выбор мандатного уровня (или - по умолчанию) останется обязательным при любом способе авторизации
ПРЕИМУЩЕСТВА Dallas Lock 8.0 Защита рабочего пространства Windows To Go После запуска ПК из рабочего пространства Windows To Go установка Dallas Lock 8.0 происходит в штатном режиме С помощью технологии Windows To Go на USB-накопителе создаётся рабочее пространство из ОС Windows 8 и файлов, папок и приложений, созданных при работе Защита данных самого носителя осуществляется путём прозрачного преобразованияобласти USB-накопителя 28 www.dallaslock.ru Защита путём разграничения доступа, контроля целостности и аудита осуществляется как при штатной работе Dallas Lock 8.0
ПРЕИМУЩЕСТВА Dallas Lock 8.0 Экономические аспекты • Гибкая ценовая политика – заказчику сертифицированная защита обходитсядешевле • средняя стоимость защиты для крупных объектов – порядка 3300-4000 рублей за рабочее место\сервер с учетом централизованного управления • Низкая совокупная стоимость владения сертифицированным решением с учетом внедрения, эксплуатации, обучения персонала и штата по администрированию, а также продления технического сопровождения • стоимость технического сопровождения 10% в год • сертифицированные обновления в рамках ТС – бесплатно • централизация развёртывания и управления минимизирует расходы на штат и обучение специалистов 29 www.confident.ru
Критерии выбора СЗИ Технологические аспекты Юридические аспекты Экономические аспекты … «DallasLock» - лучшее по совокупности показателей программное решение для защиты информации от несанкционированного доступа, отвечающее современным требованиям законодательства, обладающее необходимым и уникальным функционалом 30 www.confident.ru
Разработчик DALLAS LOCK Участие в мероприятиях по Информационной безопасности 31 www.dallaslock.ru
Разработчик DALLAS LOCK Участие в мероприятиях по Информационной безопасности Выставочная деятельность и участие в профильных конференциях способствуют расширению рынков сбыта, развитию корпоративных связей, новых возможностей, партнерских отношений,положительно влияет на уровень информированности потенциальных заказчиков 32 www.dallaslock.ru
Разработчик DALLAS LOCK Сотрудничество с кафедрами выпускающими специалистов по Информационной безопасности Цель: Для ВУЗов ЦЗИ ООО «Конфидент» предлагает: Дополнительная информация – по запросу 33 www.dallaslock.ru • договор сотрудничества: • получение полнофункциональной версии Dallas Lock(клиентская часть, СБ, Менеджер СБ) • бесплатный доступ к системе тестирования технических специалистов по DL(выдается номерной сертификат специалиста DL) Рост числа квалифицированных специалистов с навыками внедрения и администрирования Dallas Lock, т.к. данные специалисты востребованы на рынке труда
Разработчик DALLAS LOCK Команда 34 www.dallaslock.ru
Спасибо за внимание! www.confident.ru www.dallaslock.ru 2013 г.
Демо, маркетинг, инструкции Доступно здесь и сейчас Дополнительная информация – по запросу www.dallaslock.ru