Группа компаний Информзащита 2009 год Группа компаний Информзащита НИП «Информзащита» Учебный центр «Информзащита» Национальный аттестационный центр SafeLine TrustVerse Код безопасности 2009 год

Основные направления деятельности Проектирование защищенных информационных систем Консалтинг в области информационной безопасности Поставка, внедрение и поддержка защищенных решений Аттестация объектов информатизации Разработка систем защиты информации Профессиональная подготовка сотрудников служб информационной безопасности

Группа компаний «Информзащита» Продукты и решения для защиты персональных данных: Security Studio, Secret Net, Соболь, М-506А-ХР, Континент, Linux-XP, (краткий обзор)

Какие средства защиты необходимо применять? Защита ИСПДн требует использования сертифицированных средств защиты: Средства защиты от несанкционированного доступа (СЗИ от НСД) Межсетевые экраны Антивирусные средства Системы защиты от программно-математического воздействия (защита от ПМВ) Обычно входят в состав антивирусных пакетов Средства криптографической защиты (СКЗИ) Применяются в случае защиты ИСПДн по требованиям ФСБ

Раздел требований Продукт К1К2К3 СЗИ от НСД Защита среды исполнения Secret Net Security Studio : Агент конфиденциальности Security Studio : Агент контроля целостности Secret Net for VMware Infrastructure Security Studio for VMware Infrastructure Защита среды обработки ПД Secret Net for DB Security Studio for DB : Конфиденциальность Security Studio for DB: Агент КЦ Аутентификация КЦ, МДЗ Соболь Межсетевое Экранирование Континент 3.5 (МЭ 3 и АП 3) Континент АП / ПМЭ 3 класса СКЗИ M-506A-XP Регламент предоставления доступа КУБ Защита от ПМВ Honey Pot Защита персональных данных - Обязательные - Возможные - можно заменить орг.мерами

СЗИ от НСД Главное отличие – уровень целевой ИС Продукт Secret Net Security Studio Агент конф-тиАгент КЦ Класс ИСПДн К1К2К3 Средства защиты информации от несанкционированного доступа: Security Studio Агент конфиденциальности Агент контроля целостности Secret Net

Упрощает процесс аттестации ИСПДн организации до класса К2 включительно Security Studio Средства централизованного управления настройками защитных механизмов, Средства оперативного реагирования на действия нарушителей Возможность централизованного мониторинга безопасности защищаемой информационной системы в режиме реального времени. Security Studio - средство защиты информации от несанкционированного доступа, сочетающее в себе:

Состав системы Security Studio Система Security Studio состоит из следующих программных компонент: Программа модификации схемы Active Directory(AD) Программа пакетной установки СУБД Oracle Сервер мониторинга Средства управления (оперативное управление, мониторинг и аудит) Агенты системы: Агент конфиденциальности Агент контроля целостности Windows (Агент КЦ) Агент контроля целостности Linux (Агент КЦ Linux) Агент контроля настроек сетевого оборудования (КНСО)

Security Studio Агент контроля целостности Контроль целостности среды обработки данных: контроль аппаратной конфигурации компьютеров контроль настроек операционной системы, критичных приложений серверов и рабочих станций Аутентификация: Идентификация и аутентификация пользователей, в том числе с использованием электронных идентификаторов; Регистрация событий безопасности Централизованный аудит и мониторинг событий безопасности Защита ИСПДн класса К 3 Релиз доработанной версии - 2 квартал (сертификат ФСТЭК - 3 квартал).

Security Studio Агент конфиденциальности Дискреционное разграничение прав доступа пользователей; Разграничение прав доступа пользователей к любому внутреннему и внешнему устройству: последовательные и параллельные порты, сменные, логические и оптические диски, USB–порты. Защита ИСПДн класса К 2 Добавляется требование по наличию дискреционного разграничения доступа (в том числе к устройствам).

Достоинства решения Соответствие требованиям регулирующих документов: 98-ФЗ «О коммерческой тайне» 152-ФЗ «О персональных данных» Международный стандарт Payment Card Industry Data Security Standard (PCI DSS) Сертификат ФСТЭК 1597 Выдан Действует до (под ОС Windows 2000/XP/2003 и open SUSE Linux 10.2) Соответствует требованиям: по 4 уровню контроля недекларированных возможностей по 5 классу защищенности от НСД

Security Studio 6.0 for DB Security Studio 6.0 for DB (SQL Server edition) – это сертифицированное средство защиты информации от несанкционированного доступа (СЗИ от НСД) для информационных систем, использующих для хранения данных СУБД MS SQL Server и имеющих двухзвенную или трехзвенную архитектуру. Система предназначена для защиты коммерческой тайны и персональных данных.

Архитектура продукта Клиентские компоненты устанавливаются на рабочие места пользователей. Серверные компоненты устанавливаются на защищаемые сервера. АРМ администратора централизованная консоль управления системой безопасности. Сервер управления доступом обеспечивает аутентификацию пользователей.

Основные возможности Усиленная аутентификация с возможностью как парольной защиты, так и аппаратных средств для хранения ключей пользователей (eToken). Аутентификация происходит на уровне пользователей, а не рабочих мест, что позволяет одним и тем же пользователям работать с разных рабочих мест в соответствии с их уровнем допуска. Разграничение доступа на уровне допуска пользователя к соединению с MS SQL Server. Причем, если на одном Windows-сервере размещены несколько экземпляров SQL-серверов, Security Studio 6.0 for DB позволяет разграничить доступ на уровне каждого из экземпляров. Распределенная архитектура и централизованное управление позволяют гибкую установку и управление системой. Защита от атак типа Man In The Middle в процессе аутентификации и последующего взаимодействия.

Основные возможности Контроль целостности компонентов СЗИ. Интеграция с Microsoft Active Directory, позволяющая импортировать учетные данные пользователей для аутентификации. Это позволяет легко развертывать СЗИ в существующей доменной структуре локальной сети. Интеграция с Security Studio 6.0 for VI, позволяющая совместно использовать продукты защищать сервера БД в виртуальной инфраструктуре, имея при этом общую базу учетных записей, механизмы аутентификации и общие средства управления. Внедрение не требует изменять топологию локальной сети. Поддержка двухзвенных (Client+DB Server) и трехзвенных (Client+Application Server+DB Server) архитектур информационных

Системные требования Сервер управления доступом Устанавливается на компьютер с ОС Windows (Windows XP, 2003). Рекомендуется устанавливать на выделенный сервер. Защищаемый сервер баз данных Windows Server 2003 x86 и x64. SQL Server 2000 (последний SP), SQL Server 2005 (последний SP), редакции Enterprise, Standard, Workgroup, Web, Express. Рабочие места пользователей Устанавливается на компьютер с ОС Windows (Windows XP, 2003). АРМ администратора Устанавливается на определенное рабочее место пользователя. Будет сертифицироваться на соответствие: ПДн ФСТЭК К3 АС ФСТЭК 1Д * НДВ ФСТЭК 4 СВТ ФСТЭК 5 *

Secret Net Организация разграничения доступа к конфиденциальной информации; Контроль каналов распространения конфиденциальной информации; Централизованное и оперативное управление информационной безопасностью. Применяется для защиты ИСПДн до класса К1 Secret Net – это средство защиты информации от несанкционированного доступа на серверах и рабочих станциях.

Архитектура

Функциональные возможности Идентификация и аутентификация пользователей Шифрование информации Гарантированное затирание удалённой информации Контроль аппаратной конфигурации Регистрация событий Контроль целостности программ и данных Избирательное и полномочное управление доступом Контроль устройств Замкнутая программная среда Защита от загрузки с внешних носителей Централизованное и оперативное управление Мониторинг и аудит

Возможности Разграничение доступа Усиленная идентификация и аутентификация пользователей Мандатное управление доступом Разграничение доступа к устройствам Доверенная информационная среда Защита от загрузки с внешних носителей Замкнутая программная среда и контроль целостности Функциональный самоконтроль подсистем Контроль аппаратной конфигурации компьютера Защита информации в процессе хранения Шифрование файлов Контроль печати конфиденциальной информации Гарантированное уничтожение данных Регистрация событий Удобство управления и настроек Централизованное управление и мониторинг Импорт и экспорт параметров

Версии Secret Net Автономный вариант Мобильный вариант Сетевой вариант

Secret Net Для ИСПДн класса К1 СЗИ от НСД дополнительно должно реализовывать: Мандатное управление доступом Доверенную программную среду Контроль потоков конфиденциальной информации Защита ИСПДн класса К 1

Сертификаты Автономный вариант: Сертификат ФСТЭК по 3 классу защищённости СВТ и 2 уровню контроля НДВ (Государственная тайна, гриф «Совершенно Секретно») Мобильный вариант: Сертификат ФСТЭК 1119 на соответствие Общим Критериям (ОУД3), 4 уровню контроля НДВ и АС 1Г (Конфиденциальная Информация) Сетевой вариант: Сертификат ФСТЭК по 4 классу защищенности СВТ и по 3 уровню контроля НДВ (Государственная тайна, гриф «Секретно»)

Развитие Новая версия – Secret Net й квартал 2009 года Поддержка Microsoft Windows Vista (на данный момент проходит сертификацию по СВТ3, НДВ2) Следующая версия – Secret Net 6 3-й квартал 2009 года Поддержка Microsoft Windows Vista и Windows Server 2008 (64 bit) Поддержка работы с iKey и ruToken Централизованный учет носителей ключевой информации (TMS) Увеличение гибкости правил разграничения доступа к устройствам Добавление дополнительной категории конфиденциальности и упрощение администрирования Интеграция с Trusted Boot Loader (позволит применить СЗИ без аппаратной поддержки до класса 1Б)

Перспектива Secret Net for Data Base Средство защиты информации от несанкционированного доступа для информационных систем, использующих для хранения данных СУБД. В первом релизе будет реализована поддержка MS SQL Server, в дальнейшем планируется поддержка Oracle. Предназначено для защиты коммерческой тайны и персональных данных в ИСПДн класса К3. Выход продукта запланирован на 3-й квартал 2009 года.

Сравнение Security Studio и Secret Net 5.0 Security StudioSecret Net 5.0 Наличие платы аппаратной поддержкиНетЕсть Варианты поставкиСетевойСетевой, автономный, мобильный Аттестация АСДо класса 1Г До класса 1В (автономный – до 1Б) Схема работы с конфиденциальной информацией ПлоскаяМногоуровневая (неконфиденциальный, конфиденциальный и строго конфиденциальный уровни) (метки, до 50 категорий) МодульностьЕстьНет Агент контроля целостности для серверов Linux ЕстьНет Агент контроля настроек сетевого оборудования Есть (оборудование Cisco) Нет Secret Net 5.1 (c поддержкой Vista) сетевой и автономный вариант поданы во ФСТЭК на сертификацию по уровням: СВТ 3 и НДВ 2 – этого будет достаточно для защиты АС класса 1Б и для защиты «СС».

Плата ПАК " Соболь " 3.0 (PCI-E) Версия 3.0 ПАК « Соболь », в которой : новая плата для PCI-E, новая прошивка для плат PCI и PCI-E поддержка работы с USB- идентификаторами iKey 2032 поддержка работы с USB- идентификаторами eToken PRO ПО для ОС МСВС

" Средство защиты информации Security Studio 6 – Trusted Boot Loader. СЗИ Trusted Boot Loader предназначено для блокирования несанкционированного доступа к информации, хранящейся на жестких дисках компьютера. Средство защиты обеспечивает: скрытие информации о логических разделах жестких дисков компьютера в случае несанкционированной загрузки операционной системы (ОС); автоматическое раскрытие информации о логических разделах жестких дисков компьютера в случае санкционированной загрузки ОС. По сути - Модуль доверенной загрузки… Загрузка считается санкционированной, если она выполнена средствами операционной системы с установленным программным обеспечением (ПО) средства Trusted Boot Loader. Все другие способы загрузки ОС считаются несанкционированными (например, загрузка с внешнего носителя или загрузка другой ОС, установленной на компьютере). Несанкционированной так же считается загрузка ОС в безопасном режиме.

Средства криптографической защиты информации (СКЗИ) Когда организация обеспечивает защиту ИСПДн по требованиям ФСБ (например госорганов, органов исполнительной власти). Когда в типовой системе разграничение доступа невозможно обеспечить средствами СЗИ от НСД В определенных случаях для защиты ПД необходимо применять сертифицированные средства криптографической защиты информации:

M-506A-XP

М -506 А - ХР Средство криптографической защиты информации «М-506А-XP» – это программно-аппаратный комплекс, предназначенный для защиты информации от несанкционированного доступа в локальных вычислительных сетях, функционирующих под управлением ОС MS Windows 2000, MS Windows XP и MS Windows СКЗИ М-506А-ХР создано на основе системы Secret Net 5.0 – одного из самых распространенных сертифицированных средств защиты информации от несанкционированного доступа, дополненного механизмами шифрования сетевого трафика, прозрачного шифрования файлов и ЭЦП. СКЗИ M-506А-XP сертифицировано ФСБ России и может применяться для защиты конфиденциальной информации, а также сведений, составляющих государственную тайну. Сертификат ФСБ от СФ/ Обладает сертификатами ФСБ России, как СКЗИ, и может применяться для защиты информации, содержащей сведения, составляющие государственную тайну. Может применяться, как сертифицированное СКЗИ в ИСПДн до класса К1 включительно.

Межсетевые экраны Разделение подсетей внутри ЛВС компании Отделение ЛВС компании от сети общего пользования

Практика VPN-решений на базе АПКШ «Континент» Требования к VPN-решениям: Простота внедрения Надежность Прозрачность Возможность организации различных схем связи Интеграция с PKI Сертификация ФСБ, ФСТЭК АПКШ «Континент»

Структура АПКШ «Континент» Межсетевой экран VPN шлюз (крипто-модуль) + = Маршрутизатор

АПКШ «Континент» Аппаратно-программный комплекс «Континент» Комплексное решение сочетающее: VPN шлюз, межсетевой экран и маршрутизатор обеспечивающее: Проходит сертификацию по требованиям ФСТЭК как МСЭ 3 класса. Может применяться, как сертифицированный МСЭ в ИСПДн до класса К1 включительно. Объединение локальных сетей территориально распределенных подразделений в единую сеть через VPN; Подключение удаленных пользователей к ресурсам корпоративной сети посредством защищенных соединений VPN; Разграничение доступа между информационными подсистемами организации; Защищенное взаимодействие со сторонними организациями.

«Континент - АП» Программный продукт для организации VPN-доступа удаленных компьютеров к ресурсам локальной сети организации. Функционирует в комплексе с АПКШ «Континент» Сертифицирован ФСБ, как СКЗИ по КС1/КС2. Проходит сертификацию ФСТЭК, как МСЭ 3 класса. Может применяться, как сертифицированный МЭ в ИСПДн до класса К1 включительно. Средство защиты информации «Континент АП» VPN-клиент + Персональный межсетевой экран.

Схема построения VPN-сети на примере АПКШ «Континент» КШ ПУ КШ+ЦУС КШ+СД АП

Скорость Мбит/с Большая сеть Размер сети Малая сетьСредняя сеть Модельный ряд 235 АПКШ "Континент-standart": новая ступень производительности В результате проведения комплексных испытаний АПКШ "Континент-standart" на новой аппаратной платформе был показан результат 235Мбит/с в режиме шифрования. В пиковой нагрузке производительность достигает 370 Мбит/с. «Континент-1000» высокопроизводительный «Континет-mini» для малых офисов " Континент-standart »

Сертификаты Сертификаты соответствия ФСБ СФ/ , СФ/ , СФ/ , СФ/ , СФ/ , СФ/ и ФСТЭК 1168 и 1650, удостоверяют, что АПКШ "Континент" СКЗИ «Континент-АП» могут быть использованы для защиты конфиденциальной информации ПЛАНЫ : - Получить сертификат ФСТЭК на соответствие АПКШ "Континент" требованиям руководящих документов Гостехкомиссии России по 3-му классу защищенности для межсетевых экранов - Получить сертификат ФСБ на соответствие шифру класса КВ2

ЗАЩИЩЕННАЯ ОПЕРАЦИОННАЯ СИСТЕМА

Предпосылки возникновения Безопасность страны Нарастающая технологическая зависимость Экономические аспекты Социальная ответственность производителя ГОСУДАРСТВЕННАЯ ПОДДЕРЖКА

Цитата Разработка отечественного ПО обеспечит нашу информационную безопасность и будет способствовать существенной экономии средств

Критерии выбора ОС Требования к « мощности » компьютера Поддержка современного многообразия компьютерного железа Наличие уже разработанного под данную ОС программного обеспечения Удобство работы и локализация ЗАЩИЩЕННОСТЬ

Проблема Можно перечислить не менее полутора десятков дистрибутивов Linux, пользующихся популярностью только в нашей стране. Слово Linux объединяет настолько разнородные системы, в том числе и по внутренней архитектуре, что создать какое-то универсальное средство защиты под них оказалось невозможно, равно как и угадать, что же выберут пользователи.

Решение НАРОДНАЯ МУДРОСТЬ Если …(процесс)… невозможно предотвратить, то его надо возглавить… - Создать собственную российскую защищенную операционную систему на базе ПО с открытым кодом Опасения: Неприятие нового Переучивание Технологические проблемы Инфраструктурные проблемы Финансовые проблемы

Продукты TV Linux XP Desktop 2008 Home Edition TV Linux XP Desktop 2008 Enterprise Edition Начаты работы по сертификации – класс 1 Г – TV Linux XP Desktop 2008 Secure Edition ( далее планируется поднять до 1 Б ) TV Linux XP SERVER 2008 Важнейшим дополнением в новой сборке является интеграция в систему протокола Kerberos. Теперь пользователи Linux XP имеют возможность в полной мере использовать все преимущества данной системы инфраструктурной аутентификации : высокий уровень безопасности даже при использовании незащищённых сетевых соединений, механизм однократной сквозной аутентификации при доступе к серверным ресурсам и много другое. Мини Linux XP - ( защищенный терминальный доступ )

Рабочее место Linux XP Desktop 2008 Текстовый редактор OpenOffice.org Writer Редактор электронных таблиц OpenOffice.org Calc Редактор презентаций OpenOffice.org Impress База данных OpenOffice.org Database Программа для создания диаграмм Kivio ( похожа на Windows(TM) Visio) Графическое приложение для организации управления проектами – Planner Интернет - браузер Mozilla Firefox Электронная почта - Evolution ( программа, похожая на Outlook) Приложение для обмена короткими сообщениями Pidgin ( службы - ICQ, Jabber, MSN, IRC, Novell Groupwise и другие ) Для организации связи VoIP и видеоконференций Ekiga

Рабочее место Linux XP Desktop 2008 Удалённый доступ к рабочему столу ( с любого Windows/Mac/Linux компьютера ) Для обработки изображения и организации альбомов - gThumb. Графический редактор GIMP Музыкальный проигрыватель Rhytmbox Для просмотра видео Totem ( удобный проигрыватель видео для GNOME- desktop) Просмотр телепрограмм – kdetv ( если в вашем компьютере установлен TV- тюнер ) Редактирование аудио и видео файлов - audacity и kino Запись на компакт - диски - просто одним нажатием мыши в файловом менеджере Наутилус.

Рабочее место Linux XP Desktop 2008 Современные среды разработки Eclipse, Lazarus, Kdevelop ( дают возможность разрабатывать эффективные приложения на языках C, C++, Java, Pascal и других ) В составе системы существуют и традиционные для Linux средства разработки. Например, среда разработки Kdevelop, которая позволяет создавать и отлаживать программы, написанные на разных языках. Благодаря встроенному в дистрибутив эмулятору под Linux XP работают программы, написанные для Windows- платформ. Игры. Например : Unreal Tournament, Quake 4, Enemy Territory, Doom 3, Eve- Online. Windows- игры – через эмулятор Windows ( пока только не использующие последних возможностей Windows)

В итоге Полностью русскоязычный удобный графический интерфейс, понятный пользователям, работавшим ранее с MS Windows Cовместимость с наиболее распространенной ОС MS Windows - Локализация, Форматы данных, Приложения (частично) - Сетевая инфраструктура (системы управления сетями типа AD) ОС и приложения дешевле ОС, которая безопаснее (архитектурные особенности) Простая процедура установки ОС, механизмы управление базовыми функциями аппаратного и программного обеспечения Сразу после установки пользователь получает не «голую» ОС, а рабочее место, полностью готовое к работе

Привычный интерфейс и локализация

- ярлыки - почта - ICQ - документы - настройки раб. стола Мигратор неотъемлемый компонент перехода на Linux С Windows на Linux - просто !

Linux 2008 AS Fedora DS/Novell DS Windows XP Professional Linux XP Desktop Corporate Edition В локальную сеть на основе домена Windows 2003 подключаются рабочие станции на Linux XP Desktop Corporate Edition Управление такими станциями производится через Microsoft Management Console / собственные утилиты Linux-станции переводятся под управление сервера с альтернативной службой каталогов Интеграция

Защищенный терминальный доступ Мини Linux XP - ( защищенный терминальный доступ ) Дистрибутив Linux XP mini занимает около 128 Мб и помещается на переносном носителе, например, USB- брелке. Операционная система стартует с мобильного носителя, при этом, время запуска занимает всего 20 секунд. После загрузки пользователь получает возможность работать на удаленном терминальном сервере. Немаловажно, что при такой схеме обработки информации, все документы и данные, к которым обращается пользователь, хранятся на сервере. Доступ к ним с ПК пользователя осуществляется через защищенный VPN- канал ( организация VPN- канала возможна благодаря встроенному в дистрибутив Linux XP mini сертифицированному средству защиты информации « Континент АП ( абонентский пункт )». Так же в состав Linux XP mini входит криптоядро, позволяющее осуществлять шифрование данных по ГОСТу. Применение этого решения позволяет безопасно обрабатывать конфиденциальную информацию и персональные данные.

Linux XP + сетевые экраны компании ИнфоТеКС В дистрибутив российской защищенной ОС Linux XP включается персональный межсетевой экран ViPNet. До сих пор ни одна *nix –подобная операционная система не могла похвастаться наличием в своем дистрибутиве встроенного специализированного межсетевого экрана, имеющего сертификат соответствия защищенности от НСД. Межсетевой экран ViPNet будет встроен в дистрибутивы корпоративной версии Linux XP Enterprise Edition, защищенной версии Linux XP Secure Edition и серверной версии Linux Server.

Linux XP и СУБД Компании SafeLine и Kорпорация "Ред Софт", российский поставщик решений в области управления информацией, основанных на ПО с открытым кодом, объявляют, что СУБД Red Database корректно работает на ОС Linux XP Desktop Enterprise Edition. Испытания проводились с целью проверки совместимости OC Linux XP и СУБД Red Database, как весьма актуальных в современных российских реалиях решений, построенных на открытых исходных кодах. Оба продукта развиваются и сопровождаются российскими командами разработчиков, что создает определенные преимущества для пользователей: позволяет не только решить текущие проблемы клиента с учетом специфики его отрасли, но и минимизировать его дальнейшие затраты на развитие и поддержку информационной системы.

Политика лицензирования Linux XP Desktop 2008 Home Edition рублей за рабочее место Linux XP Desktop 2008 Enterprise Edition рублей за рабочее место Linux XP Desktop 2008 Secure Edition рублей за рабочее место Linux XP SERVER 2008от за инсталляцию

Актуальные задачи Основная проблема сейчас та, что, к сожалению, производители оборудования редко утруждают себя написанием драйверов под Linux, в силу их невостребованности. Сейчас за них это делаем и еще некоторое время будем делать мы. Но это всего лишь вопрос времени. Европейская волна перехода на Linux уже подстегивает разработчиков на создание и поддержку соответствующего ПО, интерес к нашей системе в России еще усилит эту тенденцию. С некоторыми поставщиками мы уже заключаем технологические договора, и их драйвера в ближайшее время войдут в состав Linux XP.

Ближайшие планы Сейчас усилия нашей компании сосредоточены на методике перехода: разрабатывается и испытывается методология, включающая в себя как предварительное тестирование, начиная с того, насколько вообще легко ОС встанет на конкретном компьютере, до финального тестирования работоспособности приложений. Мы считаем, что обязаны вложить в руки администратора не советы, а инструкцию и инструментарий по миграции. Кроме того взяв на себя ответственность за развитие Linux XP, мы уже в ближайшее время видим задачу взращивания специалистов по поддержке системы. Предстоит: Сертификация во ФСТЭК + Протоколирование совместимостей с российским ПО Актуальные задачи

Спасибо за внимание. Вопросы? Вся информация о продуктах на сайтах: (495) Николай Ревизцев региональный представитель (343)