Dallas Lock 8.0 Опыт построения системы защиты Основные критерии выбора СЗИ от НСД 2013 г.

Что представляет собой СЗИ от НСД

1 служат для защиты информационных ресурсов персонального компьютера: от доступа к информации в нарушение должностных полномочий сотрудников от доступа к закрытой для публичного доступа информации со стороны лиц, не имеющих разрешения от доступа к информации в объёме, превышающем необходимый для выполнения служебных обязанностей представляют собой программный или программно-аппаратный комплекс Системы защиты информации от несанкционированного доступа (СЗИ от НСД) СЗИ от НСД

2 Системы защиты информации от несанкционированного доступа СЗИ от НСД Угрозы использован ия внешних носителей Риски претензий регулятор ов Риски ошибок конфигура ции ПО Угрозы нарушения целостност и ПДн Угрозы претензий регуляторов Угрозы слабых политик безопасности Угрозы незарегистри рованных действий нарушителя Угрозы воздействия вредоносного ПО Угрозы межсетевого взаимодейст вия Угрозы мобильно го доступа Встроенные механизмы систем Средства резервного копирования Средства антивирусной защиты Межсетевые экраны Средства предотвращения вторжений СКЗИ Орг. меры CЗИ от НСД Средства анализа защищенности

Федеральный Закон 98-ФЗ «О коммерческой тайне» Федеральный Закон 152-ФЗ «О персональных данных» Стандарт Банка России по обеспечению информационной безопасности организаций банковской системы Российской Федерации (СТО БР ИББС) 3 РД Гостехкомиссии РФ «Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации» СЗИ от НСД Позволяют сертифицировать деятельность государственных организаций и бизнеса на соответствие законодательным требованиям: РД Гостехкомиссии РФ «Защита от несанкционированного доступа к информации. Часть 1. Программное обеспечение средств защиты информации. Классификация по уровню контроля недекларированных возможностей РД Гостехкомиссии РФ «Специальные требования и рекомендации по технической защите конфиденциальной информации» СТР-К РД «Положение о методах и способах защиты информации в информационных системах персональных данных», утвержденный Приказом ФСТЭК России от Системы защиты информации от несанкционированного доступа Системы защиты информации от несанкционированного доступа

Опыт построения системы защиты информации на основе Dallas Lock 8.0

Опыт построения СЗИ на основе Dallas Lock 8.0 Инфраструктура объектов заказчика (ТЭК) АРМ ИСПДн; 10 филиалов; каналы связи от 128 Кбит\сек до 10 Мбит\сек.

Инфраструктура 2 Географически удаленные объекты, каналы связи различных технологий, принадлежности, пропускной способности; Гетерогенная программно-аппаратная среда. Опыт построения СЗИ на основе Dallas Lock 8.0

Цели и задачи 3 Приведение информационных систем персональных данных (ИСПДн) и процессов обработки персональных данных (ПДн) в соответствие с требованиями законодательства РФ; Снижение уровня рисков несанкционированного доступа к ПДн; Повышение общего уровня защищенности корпоративных ресурсов. Опыт построения СЗИ на основе Dallas Lock 8.0

Актуальные угрозы и их нейтрализация с помощью Dallas Lock 4 Анализ моделей угроз позволяет сделать вывод о возможностях Dallas Lock по закрытию угроз безопасности конфиденциальной информации: угрозы НСД; угрозы незарегистрированных действий нарушителей; угрозы целостности персональных данных; сетевые угрозы (частично). Опыт построения СЗИ на основе Dallas Lock 8.0

Подсистемы 5 Опыт построения СЗИ на основе Dallas Lock 8.0 Подсистемы СЗПДн управление доступом обеспечение целостностирегистрация и учетсетевой защиты (межсетевое экранирование)криптографическая защитаобнаружение вторженийанализ защищенностиантивирусной защитыцентрализованного управления

Особенности внедрения Dallas Lock 6 Опыт построения СЗИ на основе Dallas Lock 8.0 Поддержка служб каталогов Novell eDirectory и Microsoft AD; Удаленная установка средствами AD, СБ или через сформированный на СБ дистрибутив с предустановленными параметрами для связи (Сервер-клиент); Использование собственных механизмов защиты, отличных от механизмов операционной системы; Возможность создания доменов безопасности под управлением сервера безопасности Dallas Lock, политики которых накладываются на доменные политики Active Directory; Совместимость с другими средствами защиты (антивирусы, СКЗИ и т.д.).

Dallas Lock в территориально- удаленных филиалах Опыт построения СЗИ на основе Dallas Lock 8.0 7

Показатели выбора СЗИ от НСД

Показатели выбора СЗИ ЗАКАЗЧИКИ ИНОГДА ГОВОРЯТ… 4 ¿ З ачем она вообще нужна, эта СЗИ ¿ М ы приобретаем СЗИ и этого достаточно… ¿ Ц ена СЗИ – главный критерий… ¿ И спользующаяся СЗИ не имеет сертификата… ¿ С ертификат был на момент приобретения… ¿ Н е отвечает техподдержка разработчика… ¿ Р азработчик устранил несовместимость, но…

Показатели выбора СЗИ Юридические аспекты 5 Наличие сертификатов ФСТЭК по различным уровням и классам РД Оценка возможности использования в АС определенного класса защищенности и в информационных системах персональных данных (ИСПДн) определенного уровня История версий и продления сертификатов, проведения инспекционного контроля (ИК) производителем

Показатели выбора СЗИ Технико-технологические аспекты 6 Технологическое совершенство продукта: Развитость функционала (помимо требований РД) Совместимость с другими технологиями и продуктами по ЗИ (антивирус, межсетевой экран, VPN, криптопровайдер, IDS/IPS) Надежность, удобство, апробированность: Простота внедрения (развертывания) для различных конфигураций Простота управления системой защиты Стабильность работы и совместимость с Вашими приложениями, ИС, СЗИ в режиме «жестких настроек» Проекты какого масштаба реализованы с использованием данной СЗИ, количество внедрений Сроки присутствия решения на рынке и объектах заказчиков

Показатели выбора СЗИ Экономические аспекты 7 Первичное приобретение Внедрение (сторонними силами) Продление сопровождения Условия получения исправлений/обновлений по результатам ИК Обновление (апгрейд) версий Затраты на развертывание и управление СЗИ собственными силами – в том числе: заработная плата для штата администраторов безопасности (администраторов СЗИ на всех площадках) потери от простоя на время неработоспособности СЗИ простота и «незаметность» для пользователей и необходимость ресурсов для их обучения Ценовая политика. Совокупная стоимость владения (TCO): Обучение администраторов и пользователей СЗИ

СЗИ от НСД Dallas Lock

О компании Конфидент О РАЗРАБОТЧИКЕ Разработчик – Группа компаний «Конфидент» Год основания – 1992 г. Персонал – более 200 человек Первая в России негосударственная организация, получившая гос. лицензию на деятельность в области защиты информации взаимодействие ФСБ ФСТЭК МО Более 30 собственных разработок за всю историю Несколько десятков тысяч объектов 8

Группа компаний Конфидент сегодня Системы ОВК и ВК (отопление, вентиляция, кондиционирование, водоснабжение, водоотведение) Слаботочные системы и автоматизация зданий Системы противопожарной защиты Системы ЭОМ (электроснабжение, электроосвещение) Техническое обслуживание систем пожарно-охранной безопасности и инженерных систем Приемка в эксплуатацию Ремонт и модернизация Аварийные работы КРУГЛОСУТОЧНО Поставка оборудования и материалов Построение комплексных систем и отдельных подсистем обеспечения безопасности информации на основе решений ведущих российских и мировых производителей Собственные разработки СЗИ от НСД и управление партнерской сетью О РАЗРАБОТЧИКЕ 9

Под защитой Dallas Lock – несколько десятков тысяч объектов некоторые из наших пользователей: О РАЗРАБОТЧИКЕ 10 ФНС РФ МВД РФ ФСИН РФ ФСТЭК РФ ФТС РФ ФСКН РФ Роскомнадзор РФ Рособрнадзор РФ Росстат РФ Федеральное медико-биологическое агентство РФ Федеральное дорожное агентство РФ Банк России Национальный банк Республики Абхазия Правительство Москвы, Правительство Санкт-Петербурга, Администрации субъектов РФ департаменты и центры занятости населения субъектов РФ министерства и департаменты здравоохранения и социального развития субъектов РФ фонды обязательного медицинского страхования субъектов РФ министерства и комитеты по управлению имуществом, по земельным отношениям субъектов РФ высшие учебные заведения ОАО «ТАНЕКО», ООО «Газпром межрегионгаз», ОАО «СибурТюменьГаз», ЗАО «Донэнергосбыт» ОАО «Владимирская областная электросетевая компания» ООО «Саратовское предприятие городских электрических сетей » Банковская группа BSGV ОАО «Первый Республиканский Банк» ООО «Страховое общество «Сургутнефтегаз» ООО «Росгосстрах-Медицина» НПФ ВТБ НПФ «Сургутнефтегаз» ОАО «Детский мир» ОАО «Объединенная авиастроительная корпорация», ОАО «РСК МиГ» ОАО «Ангестрем» ФГУП «Росморпорт» ФГУП «ПО «Октябрь» ФГУП «ГосНИИПП» ФСТЭК РФ ФГУП «Гостехстрой» ФСТЭК РФ ОАО «Улан-Удэнский авиационный завод» («Вертолеты России») ФГУП «ЦНИИХМ»

Крок Инфосистемы Джет Микротест Лета Ланит NVision Group Аквариус Kraftway Сюртель Более 300 интеграторов–дилеров федерального и регионального уровней некоторые из них: Софтлайн ФГУП НПП Гамма ФГУП Атлас ФГУП Центринформ ФГУП Защитаинфотранс НПП СВК Техцентр Лаборатория ППШ Эшелон НТЦ Евраас О РАЗРАБОТЧИКЕ 10 Некоторые наши партнеры в Уральском федеральном округе: Аста-Информ, Астра СТ, Цинтур, ФГУП Центринформ, Риланс, ФГУП НПП Гамма, Софтлайн, Энвижн, ИРС, Тетроникс ВТ, ФГУП Защитаинфотранс, ИТ Энигма…

Наличие сертификатов совместимости с российскими производителями ПО и аппаратных устройств, являющимися технологическими партнерами компании некоторые из них: Рутокен (ЗАО «Актив-софт») Aladdin eToken (ЗАО «Аладдин Р.Д.») VipNet (ОАО «ИнфоТеКС» ) «VPN/FW «Застава» (ОАО «Элвис-Плюс») «Deep Security 8.0» («Trend Micro Incorporated») ESET NOD32 О РАЗРАБОТЧИКЕ 11

названия американского производителя телекоммуникационных чипов, а также электронных ключей iButton (известных под названием Dallas Key, Touch Memory) Dallas Semiconductor Название системы защиты «Dallas Lock» происходит от и английского слова «lock» - запирать Dallas Lock История создания DALLAS LOCK 12

Эволюционный путь развития от простого замка на включение компьютера под MS-DOS до современной распределенной системы защиты информации: СЗИ от НСД DALLAS LOCK DL 4.1, 5.0 Аппаратно- программный комплекс для Win 95, 98, NT 6.0 – Win 95, 98, ME 7.0 – Win 2000, XP 7.5 – Win 2000, 2003,XP централизованное управление 7.7 – Win Vista, 2008, 7 DL 7.X DL 8.0-K,C Поддержка ОС Win x K – для конфиденциальных данных (1Г) 8.0-С – до уровня «совершенно секретно» (1Б) История создания 13

СЗИ от НСД DALLAS LOCK Среда функционирования Dallas Lock Название ОС, версия и разрядность* Совместимость с Dallas Lock 8.0-K/C Windows ХР (SP 3)да Windows Server 2003 (R2) (SP 2)да Windows Vista (SP 2)да Windows Server 2008 (SP 2)да Windows 7 (SP 1)да Windows Server 2008 R2 (SP 1)да Windows 8да Windows Server 2012да *Поддерживаются 32-х и 64-х битные версии ОС

Характеристики уровней защиты Характеристика Dallas Lock 8.0 K Dallas Lock 8.0-C 1 Класс защищенности (РД СВТ Защита от НСД к информации. Показатели защищенности от НСД к информации) 53 2 Уровень контроля НДВ (РД Защита от НСД к информации. Часть 1. Программное обеспечение СЗИ. Классификация по уровню контроля отсутствия не декларированных возможностей) 42 3 Класс АС (РД Автоматизированные системы. Защита от НСД к информации. Классификация АС и требования по защите информации) До класса 1Г включительно До класса 1Б включительно 4 Класс ИСПДн (Приказ ФСТЭК России, ФСБ России, Мининформсвязи России от 13 февраля 2008 г. N 55/86/20 г. Москва «Об утверждении Порядка проведения классификации информационных систем персональных данных») До 1 класса включительно «…Второй уровень контроля достаточен для ПО, используемого при защите информации с грифом «Совершенно секретно» Четвертый достаточен для ПО, используемого при защите конфиденциальной информации…» «…При разработке АС для обработки информации, являющейся собственностью государства и отнесенной к категории секретной, необходимо использовать СВТ не ниже 3 класса - для класса защищенности АС 1Б; При обработке или хранении информации, не отнесенной к категории секретной (конфиденциальные данные) - СВТ не ниже 5 класса - для класса защищенности АС 1Г…» 14 СЗИ от НСД DALLAS LOCK

Наличие того или иного функционала в СЗИ НСД обусловлено: требованиями согласно Руководящим документам конкурентными требованиями и уникальными возможностями 15 СЗИ от НСД DALLAS LOCK

Требования согласно РД Наименование показателя класс защищенности K C 1 Дискреционный принцип контроля доступа ++ 2 Мандатный принцип контроля доступа -+ 3 Очистка памяти ++ 4 Изоляция модулей -+ 5 Маркировка документов -+ 6 Защита ввода и вывода на отчуждаемый физ носитель -+ 7 Сопоставление пользователя с устройством -+ 8 Идентификация и аутентификация ++ 9 Гарантии проектирования Регистрация Взаимодействие пользователя с КСЗ Надежное восстановление Целостность КСЗ Тестирование Документация ++ РД: Средства вычислительной техники. Защита от НСД к информации. Показатели защищенности от НСД к информации 16 СЗИ от НСД DALLAS LOCK

Подсистемы системы защиты ПДн управление доступом регистрация и учетобеспечение целостностисетевая защита (межсетевое экранирование)криптографическая защитаобнаружение вторженийанализ защищенностиантивирусная защитацентрализованное управление СЗИ от НСД DALLAS LOCK Требования согласно РД

Подсистема управления доступом Регистрация пользователей созданных средствами ОС на локальном ПК созданных средствами Active Directory созданных непосредственно в СЗИ Использование аппаратной идентификации: USB-флэш-накопители ключи Touch Memory смарт-карты eToken USB-ключи eToken, ruToken, ruToken ЭЦП РЕАЛИЗАЦИЯ ТРЕБОВАНИЙ Настройка параметров входа в систему. Политики сложности паролей Генератор сложных паролей Модуль доверенной загрузки- идентификация до старта ОС Разграничение доступа: Дискреционный принцип Мандатный принцип к объектам ФС: локальным, глобальным, сетевым, аппаратным ресурсам, сменным накопителям 1818

Настройка параметров аудита для глобальных и локальных объектов 6 журналов регистрации событий: журнал входов журнал управления учетными записями журнал доступа к ресурсам журнал печати журнал управления политиками журнал процессов РЕАЛИЗАЦИЯ ТРЕБОВАНИЙ Подсистема регистрации и учета Возможность архивации, экспорта записей, применения фильтров Удаление файлов и зачистка остаточной информации: автоматически и по команде Штамп на документах Теневые копии документов 1919

20 РЕАЛИЗАЦИЯ ТРЕБОВАНИЙ Подсистема контроля целостности Контроль целостности программно- аппаратной среды и ресурсов файловой системы: Контроль целостности файлов при доступе к ним Блокировка компьютера при выявлении изменений Сохранение резервной копии файлов СЗИ НСД и конфигурации настроек системы. Возврат к настройкам по умолчанию при загрузке компьютера по команде администратора через заданные интервалы времени

Прозрачное преобразование жесткого диска 21 ПРЕИМУЩЕСТВА Dallas Lock 8.0-С Дополнительный функционал Механизм преобразования данных в файл-контейнер (кодирование) Список блокируемых расширений Отчет - права и конфигурации Отчет - список установленного ПО Оболочка Dallas Lock вместо стандартной Windows Замкнутая программная среда, «мягкий режим», «режима обучения» Удалённое администрирование без Сервера Безопасности

22 ПРЕИМУЩЕСТВА Dallas Lock 8.0 Централизованное управление ДБ «Сервер безопасности» Dallas Lock (СБ) защищенный компьютер, не нужна серверная ОС, не нужны AD,eDirectory, не нужны СУБД… «Домен безопасности» Dallas Lock (ДБ) клиенты СБ = защищенные Dallas Lock компьютеры СБ Dallas Lock централизованное управление просмотр состояния клиентов СБ сбор журналов, создание/удаление/редактирование параметров пользователей удаленная установка Dallas Lock на ПК ввод ранее защищенных ПК в ДБ Dallas Lock прочее С помощью модуля «Менеджер серверов безопасности» можно объединить несколько ДБ и применять параметры безопасности для всего «Леса безопасности» Лес безопасности ДБ

23 ПРЕИМУЩЕСТВА Dallas Lock 8.0 Удалённая установка средствами СБ 1. Формирование списка ПК для установки 2. Добавление дистрибутива и заполнение параметров 3. Установка DL и перезагрузка клиентского ПК

24 ПРЕИМУЩЕСТВА Dallas Lock 8.0 Удалённая установка средствами AD Средствами Microsoft Windows с помощью Сервера администрирования и установленной на нём службы Active Directory возможна удалённая установка Dallas Lock 8.0 на рабочие станции, входящие в состав домена необходимые действиясредства 1. Формирование файла установки 2. Создание точки распространения 3. Создание объекта групповой политики 4. Конфигурация и применение групповой политики

ПРЕИМУЩЕСТВА Dallas Lock Формирование файла установки Вся необходимая для установки информация содержится в установочных пакетах имеющих расширение.msi Для формирования msi-файла необходимо воспользоваться дополнительными инструментами или программами НЕУДОБНО DallasLock8.0 DallasLock8.0 имеет механизм, позволяющий сформировать msi-файл системы защиты одним нажатием кнопки: 2. Технологический процесс установки msi-файла средствами AD Удалённая установка средствами AD 25

26 ПРЕИМУЩЕСТВА Dallas Lock 8.0 Аппаратная идентификация Dallas Lock 8.0 позволяет в качестве средств опознавания пользователей использовать электронные идентификаторы После назначения идентификатора для учетной записи, для входа в ОС помимо ввода авторизационной информации, необходимо предъявить и назначенный аппаратный идентификатор Для идентификаторов типа USB-ключи Aladdin eToken Pro/Java, смарт-карты Aladdin eToken PRO/SC, USB-ключи Rutoken (Рутокен) и Rutoken ЭЦП доступна запись авторизационных данных в память идентификатора

27 ПРЕИМУЩЕСТВА Dallas Lock 8.0 Аппаратная идентификация Возможны следующие способы авторизации: * Для Dallas Lock 8.0-C выбор мандатного уровня (или - по умолчанию) останется обязательным при любом способе авторизации Таким образом, в системе реализована двухфакторная аутентификация, присущая системам с повышенной защитой. В тоже время аппаратная идентификация обязательной не является 1. Выбор аппаратного идентификатора и заполнение всех авторизационных полей 2. Выбор аппаратного идентификатора и ввод только пароля (логин автоматически считывается с идентификатора)* 3. Выбор только аппаратного идентификатора (логин и пароль автоматически считываются с идентификатора) 4. Выбор аппаратного идентификатора и ввод только pin-кода идентификатора (логин и пароль автоматически считываются с идентификатора)

2828 ПРЕИМУЩЕСТВА Dallas Lock С помощью технологии Windows To Go на USB-накопителе создаётся рабочее пространство из ОС Windows 8 и файлов, папок и приложений, созданных при работе После запуска ПК из рабочего пространства Windows To Go установка Dallas Lock 8.0 происходит в штатном режиме Защита данных самого носителя осуществляется путём прозрачного преобразования области USB-накопителя Защита путём разграничения доступа, контроля целостности и аудита осуществляется как при штатной работе Dallas Lock 8.0 Защита рабочего пространства Windows To Go

29 Экономические аспекты Гибкая ценовая политика – заказчику сертифицированная защита обходится дешевле средняя стоимость защиты для крупных объектов – порядка рублей за рабочее место\сервер с учетом централизованного управления Низкая совокупная стоимость владения сертифицированным решением с учетом внедрения, эксплуатации, обучения персонала и штата по администрированию, а также продления технического сопровождения стоимость технического сопровождения 10% в год сертифицированные обновления в рамках ТС – бесплатно централизация развёртывания и управления минимизирует расходы на штат и обучение специалистов ПРЕИМУЩЕСТВА Dallas Lock 8.0

Экономические аспекты Критерии выбора СЗИ Юридические аспекты Технологические аспекты … «Dallas Lock» - лучшее по совокупности показателей программное решение для защиты информации от несанкционированного доступа, отвечающее современным требованиям законодательства, обладающее необходимым и уникальным функционалом

Участие в мероприятиях по Информационной безопасности Разработчик DALLAS LOCK 31

Участие в мероприятиях по Информационной безопасности Выставочная деятельность и участие в профильных конференциях способствуют расширению рынков сбыта, развитию корпоративных связей, новых возможностей, партнерских отношений, положительно влияет на уровень информированности потенциальных заказчиков Разработчик DALLAS LOCK

Сотрудничество с кафедрами выпускающими специалистов по Информационной безопасности Цель: Dallas Lock Рост числа квалифицированных специалистов с навыками внедрения и администрирования Dallas Lock, т.к. данные специалисты востребованы на рынке труда Для ВУЗов ЦЗИ ООО «Конфидент» предлагает: договор сотрудничества: Dallas Lockполучение полнофункциональной версии Dallas Lock (клиентская часть, СБ, Менеджер СБ) DL DLбесплатный доступ к системе тестирования технических специалистов по DL (выдается номерной сертификат специалиста DL ) Дополнительная информация – по запросу Разработчик DALLAS LOCK 3

Команда Разработчик DALLAS LOCK

Спасибо за внимание! 2013 г.

Доступно здесь и сейчас Дополнительная информация – по запросу Демо, маркетинг, инструкции