Основные критерии выбора СЗИ от НСД. Особенности системы Dallas Lock г.

Что представляет собой СЗИ от НСД

1 служат для защиты персонального компьютера: от доступа к информации в нарушение должностных полномочий сотрудников от доступа к закрытой для публичного доступа информации со стороны лиц, не имеющих разрешения от доступа к информации в объёме, превышающем необходимый для выполнения служебных обязанностей представляют собой программный или программно-аппаратный комплекс Системы защиты информации от несанкционированного доступа СЗИ от НСД

2 Федеральный Закон 98-ФЗ «О коммерческой тайне» Федеральный Закон 152-ФЗ «О персональных данных» Системы защиты информации от несанкционированного доступа СЗИ от НСД Позволяют обеспечить защиту конфиденциальной информации организации в соответствии с требованиями законодательства: Стандарт Банка России по обеспечению информационной безопасности организаций банковской системы Российской Федерации (СТО БР ИББС) РД Гостехкомиссии РФ «Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации» РД Гостехкомиссии РФ «Защита от несанкционированного доступа к информации. Часть 1. Программное обеспечение средств защиты информации. Классификация по уровню контроля недекларированных возможностей Руководящий документ «Специальные требования и рекомендации по технической защите конфиденциальной информации» СТР-К РД «Положение о методах и способах защиты информации в информационных системах персональных данных», утвержденный Приказом ФСТЭК России от

Показатели выбора СЗИ от НСД

Показатели выбора СЗИ ЗАКАЗЧИКИ ИНОГДА ГОВОРЯТ… 3 ¿ З ачем она вообще нужна, эта СЗИ ¿ М ы приобретаем СЗИ и этого достаточно… ¿ Ц ена СЗИ – главный критерий… ¿ И спользующаяся СЗИ не имеет сертификата… ¿ С ертификат был на момент приобретения… ¿ Н е отвечает техподдержка разработчика… ¿ Р азработчик устранил несовместимость, но…

Показатели выбора СЗИ Юридические аспекты 4 Наличие сертификатов ФСТЭК по различным уровням и классам РД Оценка возможности использования в информационных системах персональных данных (ИСПДн) определенного класса История версий и продления сертификатов, проведения инспекционного контроля (ИК) производителем

Показатели выбора СЗИ Технико-технологические аспекты 5 Технологическое совершенство продукта: Развитость функционала (помимо требований РД) Совместимость с другими технологиями и продуктами по ЗИ (антивирус, межсетевой экран, VPN, криптопровайдер, IDS/IPS) Надежность, удобство, апробированность: Простота внедрения (развертывания) для различных конфигураций Простота управления системой защиты Стабильность работы и совместимость с Вашими приложениями, ИС, СЗИ в режиме «жестких настроек» Проекты какого масштаба реализованы с использованием данной СЗИ, количество внедрений Сроки присутствия решения на рынке и объектах заказчиков

Показатели выбора СЗИ Экономические аспекты 6 Первичное приобретение Внедрение (сторонними силами) Продление сопровождения Условия получения исправлений/обновлений по результатам ИК Обновление (апгрейд) версий Затраты на развертывание и управление СЗИ собственными силами – в том числе: заработная плата для штата администраторов безопасности (администраторов СЗИ на всех площадках) потери от простоя на время неработоспособности СЗИ простота и «незаметность» для пользователей и необходимость ресурсов для их обучения Ценовая политика. Совокупная стоимость владения (TCO): Обучение администраторов и пользователей СЗИ

Dallas Lock 8.0

ЧТО ТАКОЕ DALLAS LOCK 8.0? программный комплекс средств защиты информации (СЗИ) в ОС семейства Windows, в процессе её хранения и обработки, от несанкционированного доступа (НСД) Система защиты информации от несанкционированного доступа (СЗИ от НСД) Dallas Lock 8.0 СЗИ от НСД Dallas Lock 8.0 предназначается для: 7 Разграничение доступа к защищаемым ресурсам Аудит и регистрация событий безопасности Контроль целостности программно-аппаратной среды и данных Защита информации в распределенных системах

ЧТО ТАКОЕ DALLAS LOCK 8.0? 8

О компании Конфидент О РАЗРАБОТЧИКЕ Разработчик – Группа компаний «Конфидент» Год основания – 1992 г. Персонал – более 200 человек «К настоящему моменту «Конфидент» – это крупный системный интегратор, который занимает лидирующие позиции на российском рынке инженерных систем, обеспечения информационной безопасности и защиты информации, эксплуатации и технического обслуживания», - Петр Кузнецов, ген. директор. 9

О компании Конфидент О РАЗРАБОТЧИКЕ ООО «Конфидент» обладает всеми необходимыми для осуществления эффективной деятельности лицензиями ФСБ, ФСТЭК, МЧС России: Лицензии ФСБ России на право работы со сведениями, составляющими государственную тайну рег от г. на осуществление разработки, производства шифровальных (криптографических) средств рег. 8971П от г. Лицензии ФСТЭК России на проведение работ, связанных с созданием средств защиты информации рег от г. на осуществление мероприятий и (или) оказание услуг в области защиты государственной тайны рег от г. на деятельность по разработке и (или) производству средств защиты конфиденциальной информации рег от г. (срок действия – бессрочно). Лицензии Министерства обороны России на деятельность в области создания средств защиты информации рег. 756 от г. Более заказчиков в России и странах ближнего зарубежья, среди которых: Администрации областей и АО РФ (в том числе - Правительства Москвы и Санкт-Петербурга), Министерство обороны РФ, Министерство внутренних дел РФ, Центральный банк РФ, Федеральная налоговая служба РФ, Федеральная служба исполнения наказаний, Федеральное медико-биологическое агентство, Федеральная таможенная служба, Росстат, Роскомнадзор, РАО Газпром, ОАО Связьинвест, ОАО Норильский никель, ОАО Ленэнерго, ОАО Тюменьэнерго, ОАО Татнефть, Фонды обязательного медицинского страхования, предприятия ОПК, другие организации и предприятия 10

С чего все начиналось О РАЗРАБОТЧИКЕ образование Ассоциации Защиты Информации «Конфидент» Ассоциация стала первой в России негосударственной организацией, получившей гос. лицензию на деятельность в области защиты информации располагался в Смольном, поэтому характерной чертой деятельности с первых дней стала работа в тесном сотрудничестве с гос. структурами программно-аппаратные СЗИ НСД «Dallas Lock» и «Cerber Lock», которые дополнялись системами управления доступом «Менуэт» СЗИ НСД «Dallas Lock» сертифицирована Гостехкомиссией при Президенте РФ (ныне ФСТЭК) 1992 год год - Первый офис Первые разработки: 1995 год

Эволюционный путь развития от простого замка на включение компьютера под MS-DOS до современной распределенной системы защиты информации: DALLAS LOCK 8.0 DL 4.1, 5.0 Аппаратно- программный комплекс для Win 95, 98, NT 6.0 – Win 95, 98, ME 7.0 – Win 2003, XP 7.5 – централизованное управление 7.7 – Win Vista, 7 DL 7.X DL 8.0-K,C Поддержка ОС Win x K – для конфиденциальных данных (1Г) 8.0-С – до уровня «совершенно секретно» (1Б) История создания 12

DALLAS LOCK 8.0 Сертификаты и уровни защиты Характеристика Dallas Lock 8.0 K Dallas Lock 8.0-C 1 Класс защищенности (РД СВТ Защита от НСД к информации. Показатели защищенности от НСД к информации) 53 2 Уровень контроля НДВ (РД Защита от НСД к информации. Часть 1. Программное обеспечение СЗИ. Классификация по уровню контроля отсутствия не декларированных возможностей) 42 3 Класс АС (РД Автоматизированные системы. Защита от НСД к информации. Классификация АС и требования по защите информации) До класса 1Г включительно До класса 1Б включительно 4 Класс ИСПДн (Приказ ФСТЭК России, ФСБ России, Мининформсвязи России от 13 февраля 2008 г. N 55/86/20 г. Москва «Об утверждении Порядка проведения классификации информационных систем персональных данных») До 1 класса включительно «…Второй уровень контроля достаточен для ПО, используемого при защите информации с грифом «Совершенно секретно» Четвертый достаточен для ПО, используемого при защите конфиденциальной информации…» «…При разработке АС для обработки информации, являющейся собственностью государства и отнесенной к категории секретной, необходимо использовать СВТ не ниже 3 класса - для класса защищенности АС 1Б; При обработке или хранении информации, не отнесенной к категории секретной (конфиденциальные данные) - СВТ не ниже 5 класса - для класса защищенности АС 1Г…» 13

DALLAS LOCK 8.0 Наличие того или иного функционала в СЗИ НСД обусловлено: требованиями согласно Руководящим документам конкурентными требованиями и уникальными возможностями 14

DALLAS LOCK 8.0 Требования согласно РД Наименование показателя класс защищенности K C 1 Дискреционный принцип контроля доступа ++ 2 Мандатный принцип контроля доступа -+ 3 Очистка памяти ++ 4 Изоляция модулей -+ 5 Маркировка документов -+ 6 Защита ввода и вывода на отчуждаемый носитель -+ 7 Сопоставление пользователя с устройством -+ 8 Идентификация и аутентификация ++ 9 Гарантии проектирования Регистрация Взаимодействие пользователя с КСЗ Надежное восстановление Целостность КСЗ Тестирование Документация ++ РД: Средства вычислительной техники. Защита от НСД к информации. Показатели защищенности от НСД к информации 15

РЕАЛИЗАЦИЯ ТРЕБОВАНИЙ Требуется обязательная аппаратная составляющая => возрастает время внедрения, возникают проблемы с установкой на ноутбуки (отказ от использования платы влечет снижение класса защиты) Требуется установка сторонней СУБД => увеличиваются время внедрения, стоимость, требования к администратору безопасности Требуется наличие Active Directory, дополнительная модификация AD => увеличиваются время внедрения, стоимость, требования к квалификации системного администратора, риски стабильной работы сети НЕУДОБНО НЕУДОБНО НЕУДОБНО Недостатки типовых решений Требования к оборудованию для корректной работы в Dallas Lock 8.0 Замена аппаратной части программными решениями => «Прозрачное преобразование жесткого диска» (данные преобразованного диска не могут быть прочитаны ни на одном другом компьютере, кроме того, на котором выполнено преобразование) Недостатки типовых решений в Dallas Lock 8.0 Не требуется установки стороннего программного обеспечения, кроме утилит аппаратных идентификаторов. Используются аппаратные идентификаторы: USB-flash-накопители ключи Touch Memory смарт-карты eToken USB-ключи eToken, USB-ключи ruToken и ruToken ЭЦП 16

17 НЕУДОБНО НЕУДОБНО НЕУДОБНО РЕАЛИЗАЦИЯ ТРЕБОВАНИЙ Подсистема управления доступом Используются средства NTFS для настройки доступа Отсутствует возможность переименования меток конфиденциальности мандатного доступа; ограниченный набор меток Отсутствует разграничение доступа к удаленным папкам общего пользования Негибкое управление требованиями к паролям Отсутствует возможность создания замкнутой программной среды, режима обучения, «мягкий» режима Используются два принципа разграничения доступа (применяется полностью независимый от ОС механизм): дискреционный мандатный Разграничения касаются прав доступа к объектам ФС, локальным, сетевым, аппаратным ресурсам, сменным накопителям Отсутствует возможность делегирования прав на управление СЗИ НСД Настройка параметров входа в систему: пароли: минимальная длина, необходимое наличие цифр, спец. символов, строчных и прописных букв, срок действия и проч. генератор сложных паролей включения механизма доверенной загрузки Возможность настройки особых режимов доступа: Замкнутой программной среды, «мягкого режима», «режима обучения» Делегирование прав или части прав на администрирование СЗИ Недостатки типовых решений в Dallas Lock 8.0 НЕУДОБНО Недостатки типовых решений в Dallas Lock 8.0

18 НЕУДОБНО НЕУДОБНО НЕУДОБНО РЕАЛИЗАЦИЯ ТРЕБОВАНИЙ Подсистема контроля целостности Отсутствует возможность блокировки компьютера при нарушении целостности Отсутствует контроль целостности ФС по расписанию или по команде Отсутствуют средства восстановления системы защиты Контроль целостности программно- аппаратной среды и ресурсов файловой системы при загрузке компьютера Контроль целостности ресурсов файловой системы и программно-аппаратной среды по команде администратора и через заданные интервалы времени (периодический контроль) Контроль целостности файлов при доступе к ним Блокировка компьютера при выявлении изменений Механизмы сохранения резервной копии файлов системы, сохранения конфигурации системы, возврата к настройкам по умолчанию Недостатки типовых решений в Dallas Lock 8.0

19 НЕУДОБНО НЕУДОБНО РЕАЛИЗАЦИЯ ТРЕБОВАНИЙ Подсистема регистрации и учета Недостатки типовых решений в Dallas Lock 8.0 Используются средства NTFS для аудита действий пользователей по доступу к файловой системе Используется один журнал для всех событий, его записи избыточны и занимают большой объем Ведение 6-ти журналов регистрации событий: журнал входов журнал управления учетными записями журнал доступа к ресурсам журнал печати журнал управления политиками журнал процессов Параметры аудита для глобальных и локальных объектов настраиваются собственными независимыми от ОС средствами Недостатки типовых решений в Dallas Lock 8.0 Возможность архивации, экспорта записей, применения фильтров

20 ПРЕИМУЩЕСТВА Dallas Lock 8.0 Централизованное управление ДБ Модуль «Сервер безопасности» Dallas Lock (СБ) устанавливается на защищенный компьютер Другие защищенные компьютеры, введенные под управление СБ, образуют «Домен безопасности» (ДБ) и становятся клиентами СБ С помощью СБ возможна установка Dallas Lock на ПК и ввод защищенных ПК в ДБ С помощью СБ возможно: централизованное управление политиками безопасности, просмотр состояния, сбор журналов, создание/удаление/редактирование параметров пользователей и прочее С помощью модуля «Менеджер серверов безопасности» можно объединить несколько ДБ и применять параметры безопасности для всего «Леса безопасности» Лес безопасности ДБ

21 ПРЕИМУЩЕСТВА Dallas Lock 8.0 Удалённая установка средствами СБ 1. Формирование списка ПК для установки 2. Добавление дистрибутива и заполнение параметров 3. Установка DL и перезагрузка клиентского ПК

22 ПРЕИМУЩЕСТВА Dallas Lock 8.0 Удалённая установка средствами AD Средствами Microsoft Windows с помощью Сервера администрирования и установленной на нём службы Active Directory возможна удалённая установка Dallas Lock 8.0 на рабочие станции, входящие в состав домена необходимые действиясредства 1. Формирование файла установки 2. Создание точки распространения 3. Создание объекта групповой политики 4. Конфигурация и применение групповой политики

ПРЕИМУЩЕСТВА Dallas Lock Формирование файла установки Вся необходимая для установки информация содержится в установочных пакетах имеющих расширение.msi Для формирования msi-файла необходимо воспользоваться дополнительными инструментами или программами НЕУДОБНО DallasLock8.0 DallasLock8.0 имеет механизм, позволяющий сформировать msi-файл системы защиты одним нажатием кнопки: 2. Установка msi-файла средствами AD Удалённая установка средствами AD 23

24 ПРЕИМУЩЕСТВА Dallas Lock 8.0 Аппаратная идентификация Dallas Lock 8.0 позволяет в качестве средств опознавания пользователей использовать электронные идентификаторы После назначения идентификатора для учетной записи, для входа в ОС помимо ввода авторизационной информации, необходимо предъявить и назначенный аппаратный идентификатор Для идентификаторов типа USB-ключи Aladdin eToken Pro/Java, смарт-карты Aladdin eToken PRO/SC, USB-ключи Rutoken (Рутокен) и Rutoken ЭЦП доступна запись авторизационных данных в память идентификатора

25 ПРЕИМУЩЕСТВА Dallas Lock 8.0 Аппаратная идентификация Возможны следующие способы авторизации: * Для Dallas Lock 8.0-C выбор мандатного уровня (или - по умолчанию) останется обязательным при любом способе авторизации Таким образом, в системе реализована двухфакторная аутентификация, присущая системам с повышенной защитой. В тоже время аппаратная идентификация обязательной не является 1. Выбор аппаратного идентификатора и заполнение всех авторизационных полей 2. Выбор аппаратного идентификатора и ввод только пароля (логин автоматически считывается с идентификатора)* 3. Выбор только аппаратного идентификатора (логин и пароль автоматически считываются с идентификатора) 4. Выбор аппаратного идентификатора и ввод только pin-кода идентификатора (логин и пароль автоматически считываются с идентификатора)

26 ПРЕИМУЩЕСТВА Dallas Lock С помощью технологии Windows To Go на USB-накопителе создаётся рабочее пространство из ОС Windows 8 и файлов, папок и приложений, созданных при работе После запуска ПК из рабочего пространства Windows To Go установка Dallas Lock 8.0 происходит в штатном режиме Защита данных самого носителя осуществляется путём прозрачного преобразования области USB-накопителя Защита путём разграничения доступа, контроля целостности и аудита осуществляется как при штатной работе Dallas Lock 8.0 Защита рабочего пространства Windows To Go

2727 ПРЕИМУЩЕСТВА Dallas Lock Гибкая ценовая политика – заказчику сертифицированная защита обходится дешевле средняя стоимость защиты для крупных объектов – порядка рублей за рабочее место\сервер с учетом централизованного управления Экономические аспекты Низкая совокупная стоимость владения сертифицированным решением с учетом внедрения, эксплуатации, обучения персонала и штата по администрированию, а также продления технического сопровождения стоимость технического сопровождения 10% в год сертифицированные обновления в рамках ТС – бесплатно централизация развёртывания и управления минимизирует расходы на штат и обучение специалистов

ПРЕИМУЩЕСТВА Dallas Lock Компания - разработчик обладает всеми необходимыми для разработки системы защиты лицензиями ФСБ и ФСТЭК Периодическое продление сертификатов и инспекционного контроля всех актуальных версий Юридические аспекты Версия Класс АС Класс ИСПДн Центра лизова нное управл ение Поддерживаемые ОС Поддерживаемые аппаратные идентификаторы Сертификат соответствия Dallas Lock 7.0 1Б-НетWindows 2000/XP х32 USB eToken, iButton, смарт-карта 896 от г. продлен до г. Dallas Lock 7.5 1БК1Есть Windows 2000/XP/2003 х32 USB eToken, iButton, смарт-карта 1685 от г. продлен до г. Dallas Lock 7.7 1БК1Есть Windows XP/2003/Vista/2008/7 х32 USB eToken, USB ruToken, iButton, смарт- карта 2209 от г. действителен до г. Dallas Lock 8.0-K 1ГК1Есть Windows XP/2003/Vista/2008/7/200 8 R2 х32/х64 USB eToken, USB ruToken, iButton, смарт- карта, USB-Flash- накопители 2720 от г. действителен до г. Dallas Lock 8.0-С 1Б1БК1К1Есть Windows XP/2003/Vista/2008/7/200 8 R2/8/2012 х32/х64 USB eToken, USB ruToken, iButton, смарт- карта, USB-Flash- накопители Версия системы проходит сертификационные испытания

29 Экономические аспекты Особенности Dallas Lock 8.0 Юридические аспекты Технологические аспекты … «Dallas Lock» - лучшее по совокупности показателей программное решение для защиты информации от несанкционированного доступа, отвечающее современным требованиям законодательства, обладающее необходимым и уникальным функционалом

Спасибо за внимание! 2013 г. Сергей Кузнецов Руководитель отдела по работе с партнерами ЦЗИ ООО «Конфидент» (812)