LOGO КСЗИ «Панцирь-К» ЗАЩИТА конфиденциальной информации и персональных данных конфиденциальной информации и персональных данных

Общие сведения «Панцирь-К» - это комплексная система защиты информации. Реализована программно и имеет как автономное, так и сетевое решение. Функционирует под управлением ОС Windows 2000/XP/2003/Vista/2008 Обеспечивает эффективную защиту от НСД Реализует возможность шифрования данных

Вариант комплексного решения

Дополнительная информация 1 КСЗИ «Панцирь-К» имеет сертификат ФСТЭК России на соответствие 5 классу СВТ и 4 уровню контроля НДВ 2 Выполняет все требования к классу защищенности 1Г для АС 3 Выполняет все требования по защите от НСД для ИСПДн 1 класса (В соответствии с приказом ФСТЭК России 58 от г)

Возможности КСЗИ ПАНЦИРЬ-К B E C D A Идентификация и аутентификация: Console, flash, eToken USB, … Идентификация и аутентификация: Console, flash, eToken USB, … Разграничение и аудит действий пользователей и приложений Контроль целостности Шифрование: 3DES, AES, DES, ГОСТ … Гарантированное удаление

Назначение КСЗИ КСЗИ «Панцирь-К» предназначена для решения актуальных задач защиты конфиденциальной информации, персональных данных и системных ресурсов: 1.Защита от внешних угроз - обеспечивается эффективное противодействие атакам со стороны хакеров 2.Защита от внутренних угроз - обеспечивается эффективное противодействие атакам со стороны инсайдеров (санкционированных пользователей) 3.Защита от вирусных атак, вредоносных, шпионских и любых иных деструктивных программ. 4.Защита от атак на ошибки программирования в системном и прикладном ПО (эксплойты) 5. Защита как от известных, так и потенциально возможных атак на защищаемые ресурсы, обеспечивает устранение архитектурных недостатков защиты современных ОС семейства Windows 1.Защита от внешних угроз - обеспечивается эффективное противодействие атакам со стороны хакеров 2.Защита от внутренних угроз - обеспечивается эффективное противодействие атакам со стороны инсайдеров (санкционированных пользователей) 3.Защита от вирусных атак, вредоносных, шпионских и любых иных деструктивных программ. 4.Защита от атак на ошибки программирования в системном и прикладном ПО (эксплойты) 5. Защита как от известных, так и потенциально возможных атак на защищаемые ресурсы, обеспечивает устранение архитектурных недостатков защиты современных ОС семейства Windows

Авторизация пользователей Возможность использования аппаратных решений для авторизации пользователей при входе в систему (в том числе для двухфакторной авторизации) и при доступе к критичным файловым объектам: Aladdin eToken USB Aladdin eToken смарт-карта И др. …

Угрозы вредоносного ПО Временной период Кол-во обнаружений Кол-во добавленных сигнатур 1987 – Независимые тесты компонентов эвристического анализа показывают, что уровень обнаружения новых вредоносных программ составляет не более чем % от их числа

Защита. Интерфейсы + настройки Главную угрозу современности – внедрение и запуск вредоносного ПО, достаточно просто предотвратить реализацией разграничительной политики доступа к ресурсам, но для решения этой задачи защиты должны использоваться специализированные средства, т.к. требуется кардинальное изменение возможностей и интерфейса механизма разграничения прав доступа к файловым объектам, по сравнению с реализацией данного механизма защиты в современных универсальных ОС

Cамозапускающееся вредоносное ПО «Исследователи McAfee также установили, что за 30 дней самозапускающееся вредоносное ПО заразило более 27 млн. файлов. Данное ПО использует особенности Windows, позволяющие запускать приложения автоматически, не требуя от пользователя даже клика мышкой для активации программы. Оно наиболее часто распространяется через Usb - flash drive и другие устройства для внешнего хранения информации. Количество обнаружений данного ПО превзошло даже показатели печально известного червя Conficker на 400%, что делает самозапускающееся вредоносное ПО угрозой 1 во всем мире»

Сетевая атака – одна из актуальнейших угроз современности Только за первый квартал 2008 года финансовые потери в мировом масштабе сравнялись с потерями за весь 2004 год и составили почти 50 % от всей суммы потерь за 2007 год. Это наглядно показывает неспособность классических антивирусных программ справляться с данным видом атак.

Сетевая атака – одна из актуальнейших угроз современности Всего исправлено 57.58% уязвимостей, исправления отсутствуют для 39.91% уязвимостей.

Защита от сетевых атак реализацией разграничительной политики доступа к ресурсам

Защита от атак на уязвимости ОС и приложений Как в ОС, так и в приложениях доминируют следующие уязвимости: отказ в обслуживании, компрометация системы и повышение привилегий.

Защита реализацией разграничительной политики доступа к ресурсам в общем случае Защита от атак на уязвимости отказа в обслуживании и компрометации системы Запуск только санкционированных программ, включая приложения и системные процессы – только программ из папок Windows и Program Files (никакие иные программы не могут быть запущены). Это и защита от атак на уязвимости компрометации системы и одновременно предотвращение любой возможности модификации исполняемых файлов и файлов настроек системы и приложений – запрет записи в папки Windows и Program Files - защита от атак на уязвимости отказов обслуживании.

Атаки на системные ресурсы Статистика обнаруженных уязвимостей в интернет - браузерах Использование следующих браузеров в настоящее время несет наибольшую опасность: это Microsoft Internet Explorer, который интегрирован в операционные системы, как следствие, в настоящее время лидирует по популярности, и Mozilla Firefox, который также довольно популярен и имеет наибольшее количество обнаруженных уязвимостей

Разграничения для критичных процессов

Атаки на повышение привилегий При таких простейших настройках пользователю, несанкционированно повысив свои права до системных, будет не получить доступ к тем ресурсам, к которым разрешен доступ пользователю System и не разрешен доступ пользователю, совершившему несанкционированное олицетворение. используя данный механизм защиты из состава КСЗИ, можно усилить и механизм идентификации и аутентификации пользователя при входе в систему

Портрет инсайдера

Существующие методы защиты от инсайдерских атак По оценкам компании Gartner (Hype Cycle of Information Security), эффективность механизмов контентной фильтрации не превышает 80%, а это автоматически означает не менее 20% пропущенных конфиденциальных файлов. Для защиты от инсайдерских атак сегодня широко применяются, так называемые, системы предотвращения утечек или DLP-системы. DLP (англ. Data Leak Prevention) -системы строятся на анализе потоков данных, пересекающих периметр защищаемой информационной системы

Состав механизмов Технология должна включать: Управление монтированием устройств на защищаемых компьютерах; Управление запуском приложений на защищаемых компьютерах; Управление обработкой конфиденциальной информации на защищаемых компьютерах (локально, в сети, какими приложениями и т.д.); Управление хранением и передачи защищаемой информации с использованием внешних накопителей; Разграничения по использованию для передачи защищаемой информации по сети (ЛВС, по каналам сети общего использования, какими приложениями, к каким компьютерам – адреса и порты, и т.д.); Управление выдачей конфиденциальной информации на печать (использование локальных и сетевых принтеров); Управление работой с открытой и конфиденциальной информацией на защищаемых компьютерах; И т.д. Технология должна включать: Управление монтированием устройств на защищаемых компьютерах; Управление запуском приложений на защищаемых компьютерах; Управление обработкой конфиденциальной информации на защищаемых компьютерах (локально, в сети, какими приложениями и т.д.); Управление хранением и передачи защищаемой информации с использованием внешних накопителей; Разграничения по использованию для передачи защищаемой информации по сети (ЛВС, по каналам сети общего использования, какими приложениями, к каким компьютерам – адреса и порты, и т.д.); Управление выдачей конфиденциальной информации на печать (использование локальных и сетевых принтеров); Управление работой с открытой и конфиденциальной информацией на защищаемых компьютерах; И т.д.

Механизмы защиты Управление доступом к буферу обмена Разграничения доступа, реализованные в КСЗИ «Панцирь-К»: Разграничение доступа к файловой системе Разграничение доступа к реестру системы Разграничение доступа к принтерам Разграничение доступа к сети Управление переназначением путей к каталогам Управление доступом к сетевым службам Управление олицетворением Управление подключением устройств

Удаленное администрирование Система удаленного администрирования клиентских частей КСЗИ Система хранения синхронизации центральной базы КСЗИ Система удаленного управления защищаемым объектом Система удаленного администрирования клиентских частей КСЗИ Система хранения синхронизации центральной базы КСЗИ Система удаленного управления защищаемым объектом Система удаленного сбора и обработки журналов аудита: В реальном времени По запросу администратора безопасности Защищенное взаимодействие клиентских частей КСЗИ с сервером КСЗИ Система удаленного сбора и обработки журналов аудита: В реальном времени По запросу администратора безопасности Защищенное взаимодействие клиентских частей КСЗИ с сервером КСЗИ

Контроль рабочего времени пользователя Статистика работы пользователя с приложениями Просмотр снимков экрана в реальном времени или с использованием правил Лог клавиатуры пользователя

Награды и дипломы