1 / 32

Опыт построения системы защиты персональных данных на основе « Dallas Lock 8.0»

Опыт построения системы защиты персональных данных на основе « Dallas Lock 8.0». Полянский Денис Руководитель проектного отдела ООО « Конфидент». План доклада. Коротко о СЗИ от НСД Dallas Lock 8 . 0. Реализованные проекты. Особенности внедрения Dallas Lock .

rooney-carey
Download Presentation

Опыт построения системы защиты персональных данных на основе « Dallas Lock 8.0»

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Опыт построения системы защиты персональных данных на основе «DallasLock 8.0» Полянский Денис Руководитель проектного отдела ООО «Конфидент»

  2. План доклада • Коротко о СЗИ от НСД Dallas Lock 8.0. • Реализованные проекты. • Особенности внедрения Dallas Lock. • Использование Dallas Lock8.0в связи с изменениями требованиями.

  3. 1. Dallas Lock 8.0 • аудита действий пользователей • разграничения доступа к информационным ресурсам Программный комплекс средств защиты информации (СЗИ) в автоматизированных системах, в процессе её хранения и обработки, от несанкционированного доступа (НСД) СЗИ от НСД Dallas Lock 8.0 представляет собой СЗИ от НСД Dallas Lock 8.0 предназначен для: • обеспечения целостности программных средств и обрабатываемой информации • централизованного управления механизмами безопасности

  4. Сертификаты ФСТЭК России позволяют использовать СЗИ от НСД DallasLock для защиты: • конфиденциальной информации и государственной тайны в автоматизированных системах до класса 1Б включительно; • информационных систем персональных данных до класса К1 включительно.

  5. Инфраструктура объектов ТЭК • 1000 АРМ ИСПДн; • 10 филиалов; • каналы связи от 128 Кбит\секдо 10 Мбит\сек.

  6. Инфраструктура Географически удаленные объекты, каналы связи различных технологий, принадлежности, пропускной способности; Гетерогенная программно-аппаратная среда.

  7. Цели и задачи • Приведение информационных систем персональных данных (ИСПДн) и процессов обработки персональных данных (ПДн) в соответствие с требованиями законодательства РФ; • Снижение уровня рисков несанкционированного доступа к ПДн; • Повышение общего уровня защищенности корпоративных ресурсов .

  8. Этапы работ ГОСТ серии 34, СТР-К. • Предпроектное обследование: • Сбор и анализ исходных данных о технической инфраструктуре и информационных системах; • Определение видов конфиденциальной информации. • Анализ процессов обработки конфиденциальной информации.

  9. Этапы работ • Определение актуальных угроз: • Модель угроз и нарушителя

  10. Этапы работ • Классификация ИСПДн: • Акт классификации.

  11. Этапы работ • Разработка организационно-распорядительной документации: • Приказы; • Положение обобработке и защите персональных данных; • Инструкции, руководства; • Журналы учета, шаблоны, формы документов.

  12. Этапы работ • Определение требований к создаваемой СЗПДн: • Техническое (частное) техническое задание.

  13. Этапы работ • Эскизное проектирование: • Пояснительная записка к эскизному проекту; • Стендовые испытания.

  14. Этапы работ • Технорабочее проектирование: • Пояснительная записка к техническому проекту; • Рабочая и эксплуатационная документация (Схемы установки, инструкции по эксплуатации).

  15. Этапы работ • Установка и монтаж: • Поставка компонентов СЗПДн (средств защиты); • Создания пилотной зоны и тестирование; • Установка и настройка средств защиты информации.

  16. Этапы работ • Ввод в действие: • Предварительные испытания; • Опытная эксплуатация; • Приемочные испытания; • Оценка соответствия (аттестация).

  17. СЗПДн • Угрозы мобильного доступа • Средства предотвращения вторжений • Угрозы межсетевого взаимодействия Риски претензий регуляторов • Средства антивирусной защиты • Средства • анализа защищенности • Орг. меры • СКЗИ • Межсетевые экраны • Средства резервного копирования • CЗИот НСД Угрозы слабых политик безопасности • Встроенные механизмы систем • Угрозы использования внешних носителей • Угрозы воздействия вредоносного ПО Угрозы претензий регуляторов Риски ошибок конфигурации ПО • Угрозы нарушения целостности ПДн • Угрозы незарегистрированных действий нарушителя

  18. Актуальные угрозы безопасности ПДн и их нейтрализация с помощью Dallas Lock Анализ моделей угроз позволяет сделать вывод о возможностях DallasLockпо закрытию угроз безопасности конфиденциальной информации: • угрозы НСД; • угрозы незарегистрированных действий нарушителей; • угрозы целостности персональных данных; • сетевые угрозы (частично).

  19. Подсистемы управление доступом регистрация и учет обеспечение целостности сетевой защиты (межсетевое экранирование) криптографическая защита обнаружение вторжений анализ защищенности антивирусной защиты централизованного управления

  20. Особенности внедрения DallasLock • Поддержка служб каталогов Novell eDirectoryи Microsoft AD; • Удаленная установка средствами AD, СБили через сформированный на СБ дистрибутив с предустановленными параметрами для связи (Сервер-клиент); • Использование собственных механизмов защиты, отличных от механизмов операционной системы; • Возможность создания доменов безопасности под управлением сервера безопасности DallasLock, политики которых накладываются на доменные политики ActiveDirectory; • Совместимость с другими средствами защиты (антивирусы, СКЗИ и т.д.).

  21. Авторизация посредством доменных служб

  22. СЗИ от НСД на базе DallasLockс использованием сервера безопасности DallasLock

  23. DallasLockдля удаленных пользователей с защищенным каналом связи

  24. Dallas Lock в территориально-удаленных филиалах

  25. Новые требования 1119 постановление правительства РФ «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных». Краткий обзор: Типы угроз: • 1 тип - НДВ системного ПО; • 2 тип - НДВ прикладного ПО; • 3 тип- Не связанные с НДВ. Тип ИСПДн: • Специальные; • Биометрические; • Общедоступные; • Иные.

  26. Принадлежность: • Являющиеся ПДн сотрудников оператора; • Не являющиеся ПДн сотрудников оператора. Уровни защищенности: 1 уровень; • - угрозы 1 типа для специальных, биометрических или иных ПДн; • - угрозы 2 типа для специальных категорий более 100000 субъектов, не являющихся сотрудниками оператора. 2 уровень; 3 уровень; 4 уровень.

  27. Типы угроз Категории ПДн Защищенность 1 УРОВЕНЬ Специальные НДВ сист. ПО Биометрические 2 УРОВЕНЬ НДВ прикл. ПО 3 УРОВЕНЬ Общедоступные Не связанные с НДВ 4 УРОВЕНЬ Иные Требования по обеспечению уровня защищенности 4 УРОВЕНЬ Носителей Безопасность Список лиц Помещения Безпоасность Другие 1 УРОВЕНЬ СрЗИ Регистр. изм. полномочий Безопасность

  28. Требования обеспечения защищенности: 4 уровень • Ограничение доступа в помещения для обработки ПДн; • Сохранность носителей ПДн; • Перечень лиц; • Использование СЗИ, прошедших процедуру оценки соответствия, нейтрализующие угрозы; 3 уровень • Назначается должностное лицо, ответственное за безопасность ПДн; 2 уровень • Электронный журнал сообщений, ограничение доступа к электронному журналу только для должностных лиц; 1 уровень • Автоматическая регистрация изменения полномочий по доступу к ПДн; • Структурное подразделение безопасности.

  29. Dallas Lockимеет необходимые сертификаты для защиты конфиденциальной информации и ПДн; • Dallas Lockведет электронные журналы доступа к информационным ресурсам, а так же изменения полномочий субъектов на системном уровне; • Доступ к электронным журналам регистрации событий безопасности имеют только администраторы.

  30. Проекты новых постановлений правительства по защите конфиденциальной информации • Проект приказа ФСТЭК России «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных» Проект приказа ФСТЭК России «Об утверждении требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах» с Требованиями о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах

  31. Идентификация и аутентификация субъектов доступа и объектов доступа (ИАФ) Подсистемы Управление доступом субъектов доступа к объектам доступа Обеспечение доверенной загрузки (ДЗГ) Ограничение программной среды (ОПС) Защита машинных носителей информации (ЗНИ) Регистрация событий безопасности (РСБ) Обеспечение целостности информационной системы и информации (ОЦЛ) Защита среды виртуализации (ЗСВ) Защита информационной системы, ее средств и систем связи и передачи данных (ЗИС)

  32. Спасибо за внимание! Вопросы?

More Related