371 likes | 971 Views
Опыт построения системы защиты персональных данных на основе « Dallas Lock 8.0». Полянский Денис Руководитель проектного отдела ООО « Конфидент». План доклада. Коротко о СЗИ от НСД Dallas Lock 8 . 0. Реализованные проекты. Особенности внедрения Dallas Lock .
E N D
Опыт построения системы защиты персональных данных на основе «DallasLock 8.0» Полянский Денис Руководитель проектного отдела ООО «Конфидент»
План доклада • Коротко о СЗИ от НСД Dallas Lock 8.0. • Реализованные проекты. • Особенности внедрения Dallas Lock. • Использование Dallas Lock8.0в связи с изменениями требованиями.
1. Dallas Lock 8.0 • аудита действий пользователей • разграничения доступа к информационным ресурсам Программный комплекс средств защиты информации (СЗИ) в автоматизированных системах, в процессе её хранения и обработки, от несанкционированного доступа (НСД) СЗИ от НСД Dallas Lock 8.0 представляет собой СЗИ от НСД Dallas Lock 8.0 предназначен для: • обеспечения целостности программных средств и обрабатываемой информации • централизованного управления механизмами безопасности
Сертификаты ФСТЭК России позволяют использовать СЗИ от НСД DallasLock для защиты: • конфиденциальной информации и государственной тайны в автоматизированных системах до класса 1Б включительно; • информационных систем персональных данных до класса К1 включительно.
Инфраструктура объектов ТЭК • 1000 АРМ ИСПДн; • 10 филиалов; • каналы связи от 128 Кбит\секдо 10 Мбит\сек.
Инфраструктура Географически удаленные объекты, каналы связи различных технологий, принадлежности, пропускной способности; Гетерогенная программно-аппаратная среда.
Цели и задачи • Приведение информационных систем персональных данных (ИСПДн) и процессов обработки персональных данных (ПДн) в соответствие с требованиями законодательства РФ; • Снижение уровня рисков несанкционированного доступа к ПДн; • Повышение общего уровня защищенности корпоративных ресурсов .
Этапы работ ГОСТ серии 34, СТР-К. • Предпроектное обследование: • Сбор и анализ исходных данных о технической инфраструктуре и информационных системах; • Определение видов конфиденциальной информации. • Анализ процессов обработки конфиденциальной информации.
Этапы работ • Определение актуальных угроз: • Модель угроз и нарушителя
Этапы работ • Классификация ИСПДн: • Акт классификации.
Этапы работ • Разработка организационно-распорядительной документации: • Приказы; • Положение обобработке и защите персональных данных; • Инструкции, руководства; • Журналы учета, шаблоны, формы документов.
Этапы работ • Определение требований к создаваемой СЗПДн: • Техническое (частное) техническое задание.
Этапы работ • Эскизное проектирование: • Пояснительная записка к эскизному проекту; • Стендовые испытания.
Этапы работ • Технорабочее проектирование: • Пояснительная записка к техническому проекту; • Рабочая и эксплуатационная документация (Схемы установки, инструкции по эксплуатации).
Этапы работ • Установка и монтаж: • Поставка компонентов СЗПДн (средств защиты); • Создания пилотной зоны и тестирование; • Установка и настройка средств защиты информации.
Этапы работ • Ввод в действие: • Предварительные испытания; • Опытная эксплуатация; • Приемочные испытания; • Оценка соответствия (аттестация).
СЗПДн • Угрозы мобильного доступа • Средства предотвращения вторжений • Угрозы межсетевого взаимодействия Риски претензий регуляторов • Средства антивирусной защиты • Средства • анализа защищенности • Орг. меры • СКЗИ • Межсетевые экраны • Средства резервного копирования • CЗИот НСД Угрозы слабых политик безопасности • Встроенные механизмы систем • Угрозы использования внешних носителей • Угрозы воздействия вредоносного ПО Угрозы претензий регуляторов Риски ошибок конфигурации ПО • Угрозы нарушения целостности ПДн • Угрозы незарегистрированных действий нарушителя
Актуальные угрозы безопасности ПДн и их нейтрализация с помощью Dallas Lock Анализ моделей угроз позволяет сделать вывод о возможностях DallasLockпо закрытию угроз безопасности конфиденциальной информации: • угрозы НСД; • угрозы незарегистрированных действий нарушителей; • угрозы целостности персональных данных; • сетевые угрозы (частично).
Подсистемы управление доступом регистрация и учет обеспечение целостности сетевой защиты (межсетевое экранирование) криптографическая защита обнаружение вторжений анализ защищенности антивирусной защиты централизованного управления
Особенности внедрения DallasLock • Поддержка служб каталогов Novell eDirectoryи Microsoft AD; • Удаленная установка средствами AD, СБили через сформированный на СБ дистрибутив с предустановленными параметрами для связи (Сервер-клиент); • Использование собственных механизмов защиты, отличных от механизмов операционной системы; • Возможность создания доменов безопасности под управлением сервера безопасности DallasLock, политики которых накладываются на доменные политики ActiveDirectory; • Совместимость с другими средствами защиты (антивирусы, СКЗИ и т.д.).
Авторизация посредством доменных служб
СЗИ от НСД на базе DallasLockс использованием сервера безопасности DallasLock
DallasLockдля удаленных пользователей с защищенным каналом связи
Dallas Lock в территориально-удаленных филиалах
Новые требования 1119 постановление правительства РФ «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных». Краткий обзор: Типы угроз: • 1 тип - НДВ системного ПО; • 2 тип - НДВ прикладного ПО; • 3 тип- Не связанные с НДВ. Тип ИСПДн: • Специальные; • Биометрические; • Общедоступные; • Иные.
Принадлежность: • Являющиеся ПДн сотрудников оператора; • Не являющиеся ПДн сотрудников оператора. Уровни защищенности: 1 уровень; • - угрозы 1 типа для специальных, биометрических или иных ПДн; • - угрозы 2 типа для специальных категорий более 100000 субъектов, не являющихся сотрудниками оператора. 2 уровень; 3 уровень; 4 уровень.
Типы угроз Категории ПДн Защищенность 1 УРОВЕНЬ Специальные НДВ сист. ПО Биометрические 2 УРОВЕНЬ НДВ прикл. ПО 3 УРОВЕНЬ Общедоступные Не связанные с НДВ 4 УРОВЕНЬ Иные Требования по обеспечению уровня защищенности 4 УРОВЕНЬ Носителей Безопасность Список лиц Помещения Безпоасность Другие 1 УРОВЕНЬ СрЗИ Регистр. изм. полномочий Безопасность
Требования обеспечения защищенности: 4 уровень • Ограничение доступа в помещения для обработки ПДн; • Сохранность носителей ПДн; • Перечень лиц; • Использование СЗИ, прошедших процедуру оценки соответствия, нейтрализующие угрозы; 3 уровень • Назначается должностное лицо, ответственное за безопасность ПДн; 2 уровень • Электронный журнал сообщений, ограничение доступа к электронному журналу только для должностных лиц; 1 уровень • Автоматическая регистрация изменения полномочий по доступу к ПДн; • Структурное подразделение безопасности.
Dallas Lockимеет необходимые сертификаты для защиты конфиденциальной информации и ПДн; • Dallas Lockведет электронные журналы доступа к информационным ресурсам, а так же изменения полномочий субъектов на системном уровне; • Доступ к электронным журналам регистрации событий безопасности имеют только администраторы.
Проекты новых постановлений правительства по защите конфиденциальной информации • Проект приказа ФСТЭК России «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных» Проект приказа ФСТЭК России «Об утверждении требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах» с Требованиями о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах
Идентификация и аутентификация субъектов доступа и объектов доступа (ИАФ) Подсистемы Управление доступом субъектов доступа к объектам доступа Обеспечение доверенной загрузки (ДЗГ) Ограничение программной среды (ОПС) Защита машинных носителей информации (ЗНИ) Регистрация событий безопасности (РСБ) Обеспечение целостности информационной системы и информации (ОЦЛ) Защита среды виртуализации (ЗСВ) Защита информационной системы, ее средств и систем связи и передачи данных (ЗИС)
Спасибо за внимание! Вопросы?