Опыт построения системы защиты персональных данных на основе «Dallas Lock 8.0» Полянский Денис Руководитель проектного отдела ООО «Конфидент»
План доклада 1.Коротко о СЗИ от НСД Dallas Lock Реализованные проекты. 3.Особенности внедрения Dallas Lock. 4.Использование Dallas Lock 8.0 в связи с изменениями требованиями.
1. Dallas Lock 8.0 Программный комплекс средств защиты информации (СЗИ) в автоматизированных системах, в процессе её хранения и обработки, от несанкционированного доступа (НСД) разграничения доступа к информационным ресурсам аудита действий пользователей централизованного управления механизмами безопасности СЗИ от НСД Dallas Lock 8.0 представляет собой СЗИ от НСД Dallas Lock 8.0 предназначен для: обеспечения целостности программных средств и обрабатываемой информации
Сертификаты ФСТЭК России позволяют использовать СЗИ от НСД Dallas Lock для защиты: конфиденциальной информации и государственной тайны в автоматизированных системах до класса 1Б включительно; информационных систем персональных данных до класса К1 включительно.
1000 АРМ ИСПДн; 10 филиалов; каналы связи от 128 Кбит\сек до 10 Мбит\сек. Инфраструктура объектов ТЭК
Инфраструктура Географически удаленные объекты, каналы связи различных технологий, принадлежности, пропускной способности; Гетерогенная программно-аппаратная среда.
Цели и задачи Приведение информационных систем персональных данных (ИСПДн) и процессов обработки персональных данных (ПДн) в соответствие с требованиями законодательства РФ; Снижение уровня рисков несанкционированного доступа к ПДн; Повышение общего уровня защищенности корпоративных ресурсов.
ГОСТ серии 34, СТР-К. 1.Предпроектное обследование: -Сбор и анализ исходных данных о технической инфраструктуре и информационных системах; -Определение видов конфиденциальной информации. -Анализ процессов обработки конфиденциальной информации. Этапы работ
2.Определение актуальных угроз: Модель угроз и нарушителя Этапы работ
3.Классификация ИСПДн: Акт классификации. Этапы работ
4.Разработка организационно- распорядительной документации: Приказы; Положение об обработке и защите персональных данных; Инструкции, руководства; Журналы учета, шаблоны, формы документов. Этапы работ
5.Определение требований к создаваемой СЗПДн: Техническое (частное) техническое задание. Этапы работ
5.Эскизное проектирование: Пояснительная записка к эскизному проекту; Стендовые испытания. Этапы работ
6.Технорабочее проектирование: Пояснительная записка к техническому проекту; Рабочая и эксплуатационная документация (Схемы установки, инструкции по эксплуатации). Этапы работ
7. Установка и монтаж: Поставка компонентов СЗПДн (средств защиты); Создания пилотной зоны и тестирование; Установка и настройка средств защиты информации. Этапы работ
8. Ввод в действие: Предварительные испытания; Опытная эксплуатация; Приемочные испытания; Оценка соответствия (аттестация). Этапы работ
Угрозы использован ия внешних носителей СЗПДн Риски претензий регулятор ов Риски ошибок конфигура ции ПО Угрозы нарушения целостност и ПДн Угрозы претензий регуляторов Угрозы слабых политик безопасности Угрозы незарегистри рованных действий нарушителя Угрозы воздействия вредоносного ПО Угрозы межсетевого взаимодейст вия Угрозы мобильно го доступа Встроенные механизмы систем Средства резервного копирования Средства антивирусной защиты Межсетевые экраны Средства предотвращения вторжений СКЗИ Орг. меры CЗИ от НСД Средства анализа защищенности
Актуальные угрозы безопасности ПДн и их нейтрализация с помощью Dallas Lock Анализ моделей угроз позволяет сделать вывод о возможностях DallasLock по закрытию угроз безопасности конфиденциальной информации: угрозы НСД; угрозы незарегистрированных действий нарушителей; угрозы целостности персональных данных; сетевые угрозы (частично).
Подсистемы СЗПДн управление доступом регистрация и учетобеспечение целостностисетевой защиты (межсетевое экранирование)криптографическая защитаобнаружение вторженийанализ защищенностиантивирусной защитыцентрализованного управления Подсистемы
Поддержка служб каталогов Novell eDirectory и Microsoft AD; Удаленная установка средствами AD, СБ или через сформированный на СБ дистрибутив с предустановленными параметрами для связи (Сервер-клиент); Использование собственных механизмов защиты, отличных от механизмов операционной системы; Возможность создания доменов безопасности под управлением сервера безопасности Dallas Lock, политики которых накладываются на доменные политики Active Directory; Совместимость с другими средствами защиты (антивирусы, СКЗИ и т.д.). Особенности внедрения Dallas Lock
Авторизация посредством доменных служб
СЗИ от НСД на базе Dallas Lock с использованием сервера безопасности Dallas Lock
DallasLock для удаленных пользователей с защищенным каналом связи
Dallas Lock в территориально-удаленных филиалах
Новые требования 1119 постановление правительства РФ «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных». Краткий обзор: Типы угроз: 1 тип - НДВ системного ПО; 2 тип - НДВ прикладного ПО; 3 тип- Не связанные с НДВ. Тип ИСПДн: Специальные; Биометрические; Общедоступные; Иные.
Принадлежность: Являющиеся ПДн сотрудников оператора; Не являющиеся ПДн сотрудников оператора. Уровни защищенности: 1 уровень; - угрозы 1 типа для специальных, биометрических или иных ПДн; - угрозы 2 типа для специальных категорий более субъектов, не являющихся сотрудниками оператора. 2 уровень; 3 уровень; 4 уровень.
Категории ПДн Специальные Биометрические Общедоступные Иные Типы угроз НДВ сист. ПО НДВ прикл. ПО Не связанные с НДВ Защищенность 1 УРОВЕНЬ 2 УРОВЕНЬ 3 УРОВЕНЬ 4 УРОВЕНЬ Требования по обеспечению уровня защищенности 4 УРОВЕНЬ Помещения Носителей Список лиц 1 УРОВЕНЬ Регистр. изм. полномочий СрЗИ Другие
4 уровень Ограничение доступа в помещения для обработки ПДн; Сохранность носителей ПДн; Перечень лиц; Использование СЗИ, прошедших процедуру оценки соответствия, нейтрализующие угрозы; 3 уровень Назначается должностное лицо, ответственное за безопасность ПДн; 2 уровень Электронный журнал сообщений, ограничение доступа к электронному журналу только для должностных лиц; 1 уровень Автоматическая регистрация изменения полномочий по доступу к ПДн; Структурное подразделение безопасности. Требования обеспечения защищенности:
Dallas Lock имеет необходимые сертификаты для защиты конфиденциальной информации и ПДн; Dallas Lock ведет электронные журналы доступа к информационным ресурсам, а так же изменения полномочий субъектов на системном уровне; Доступ к электронным журналам регистрации событий безопасности имеют только администраторы.
Проекты новых постановлений правительства по защите конфиденциальной информации Проект приказа ФСТЭК России «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных» Проект приказа ФСТЭК России «Об утверждении требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах» с Требованиями о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах
Обеспечение доверенной загрузки (ДЗГ) Идентификация и аутентификация субъектов доступа и объектов доступа (ИАФ) Управление доступом субъектов доступа к объектам доступаОграничение программной среды (ОПС)Защита машинных носителей информации (ЗНИ)Регистрация событий безопасности (РСБ)Обеспечение целостности информационной системы и информации (ОЦЛ) Защита среды виртуализации (ЗСВ) Защита информационной системы, ее средств и систем связи и передачи данных (ЗИС) Подсистемы
Спасибо за внимание! Вопросы?