Импортозамещение в системах информационной безопасности

банков. Практические аспекты перехода

на российские решения.

Михаил Глухов Руководитель направления информационной безопасности ISBC Group

● Разработчик и производитель средств ИБ (бренд ESMART®);

● Дистрибьютор оборудования для работы со смарт-картами и RFID;

● Производитель всех типов контактных и бесконтактных смарт-карт;

● На рынке с 2002 года.

• Зачем использовать PKI?

• PKI-решения: какие задачи решают и сколько стоят?

• Конвергенция физического и логического доступа

• Импортозамещение: полностью российское PKI-решение для управления доступом

PKI: проблематика внедрения

Зачем использовать PKI?

Основные методы аутентификации в корпоративных информационных системах

Пароль Одноразовый пароль (OTP)

Биометрия Аутентификация по сертификату (PKI)

Недостатки других методов аутентификации

Пароль • Может быть украден при помощи «троянов» • Атака по словарю • Угадывание пароля и методы «социальной инженерии»

Одноразовый пароль • Ограниченное время действия • Требует специальной инфраструктуры • В случае использования SMS-сервис может оказаться недоступен

Биометрия • Возможна подделка биометрических показателей

Аутентификация на базе PKI

• Наиболее функциональный и защищённый метод: большинство атак при корректной реализации становятся невозможными

• Механизмы PKI, как правило, уже встроены в ОС и приложения

• Интеграция с Active Directory позволяет использовать готовую инфраструктуру открытых ключей для аутентификации в корпоративной сети

PKI-решения: какие задачи решают и сколько стоят?

Выбор решения по управлению доступом пользователей

Аутентификация пользователей по паролям

PKI ручное управление

PKI CMS-решение

Комплексное решение IDM+PKI+SSO

Затраты на ПО — —

Затраты на «железо» —

Затраты на администрирование

Безопасность и управляемость системы

Требования к решениям от регуляторов

• Сертификация ФСБ/ФСТЭК России

• Поддержка российских криптопровайдеров и удостоверяющих центров

• Учет СКЗИ (приказ ФАПСИ № 152 от 13.06.2001)

Экономическое обоснование внедрения решения на базе PKI

Высокая цена утечки информации • Снижение рисков безопасности,

вызванными избыточными правами доступа

• Облегчение задачи внутреннего аудита ИБ

Снижение затрат на администрирование ИБ • Высвобождение трудовых

ресурсов ИТ и ИБ специалистов

• Повышение эффективности управления учетными записями

• Снижение административных издержек на согласование заявок на доступ

Конвергенция физического и логического доступа

Универсальная карта доступа сотрудника

Пропуск (визуальная идентификация)

Квалифицированная электронная подпись

PKI-сертификаты

(доступ к ОС и информационным

системам)

RFID-метка (доступ в помещения) Платежное средство Биометрия СКЗИ

Что делать с парком карт СКУД?

Можно дополнить существующие карты СКУД контактным чипом для логического доступа в информационные системы компании

Миграция парка старых СКУД карт

Имплантация чипа в существующие карты

Перевыпуск карты

Графическая персонализация

12

5 K

Hz

EM-Marine, ISO

1

EM-Marine, Clamshell 1

HID Prox II, ISO 1

HID Prox II, Clamshell 1

HID Indala, ISO 1

HID Indala, Clamshell 1

13

,56

MH

z

HID iCLASS, ISO

HID iCLASS, Clamshell

MIFARE Classic, ISO

MIFARE Classic, Clamshell

1 Возможно сохранение номеров карт при перевыпуске на заводе ISBC

Импортозамещение: полностью российское PKI-решение для

управления доступом

Совместное решение: ESMART + Avanpost

• Программный комплекс «Avanpost», автоматизирующий все аспекты, связанные с организацией и управлением доступом к ИТ ресурсам предприятия

• Смарт-карты и USB-токены ESMART Token и ESMART Token ГОСТ

• Считыватели смарт-карт

• Мобильное решение для персонализации карт

• Разработка программного обеспечения для интеграции с СКЗИ и СЗИ (PKCS#11, minidriver, модули поддержки КриптоПро);

ESMART Token ГОСТ — смарт-карты и USB-токены с аппаратной реализацией алгоритмов ГОСТ на базе отечественной микросхемы MIK51

Основные преимущества и особенности ESMART Token ГОСТ

Российский продукт:

• 100% российская разработка и изготовление микросхемы СКЗИ на территории России

• 100% российское производство конечного продукта в формате смарт-карты и USB-токена

• Российская разработка ПО для интеграции в продукты ИБ (PKCS#11 и др.)

• Реализация ГОСТ алгоритмов в ОС смарт-чипа на уровне маски (в кремнии)

• Сертификация ФСБ (по уровню KC3), EMVCo, MasterCard (CAST)

• 72 КБ памяти EEPROM (весь объем доступен для пользовательских данных)

• Максимальная интеграция российской криптографии: Gost JC API, Global Platform SCP F2

• Протестировано в «Лаборатории по анализу защиты от инвазивных и неинвазивных атак (Микрон)»

Программный комплекс для управления доступом: Avanpost

Ключевые функции (модули): Avanpost IDM – модуль управления учетными записями и правами пользователей - полнофункциональное IDM-решение; Avanpost PKI – модуль управления элементами инфраструктуры открытых ключей PKI; Avanpost SSO – модуль однократной аутентификации (single sign on);

Коннекторы: Коннекторы – необходимы для интеграции ПК «Avanpost» с различными информационными системами.

Основные преимущества ПК «Аванпост»

• Стоимость значительно ниже западных конкурентов (в 3-4 раза ниже);

• Время внедрения всегда существенно ниже – типовой проект от 6 месяцев (в 3 раза быстрее);

• Решение разработано с учетом специфики отечественных ИТ-систем.

• Ценовая политика компании Аванпост, позволяет даже компаниям среднего и малого сегмента бизнеса приобрести себе IDM-решение, что ранее было просто невозможно.

Спасибо за внимание!