Upload
selectedpresentations
View
60
Download
1
Embed Size (px)
Citation preview
Импортозамещение в системах информационной безопасности
банков. Практические аспекты перехода
на российские решения.
Михаил Глухов Руководитель направления информационной безопасности ISBC Group
● Разработчик и производитель средств ИБ (бренд ESMART®);
● Дистрибьютор оборудования для работы со смарт-картами и RFID;
● Производитель всех типов контактных и бесконтактных смарт-карт;
● На рынке с 2002 года.
• Зачем использовать PKI?
• PKI-решения: какие задачи решают и сколько стоят?
• Конвергенция физического и логического доступа
• Импортозамещение: полностью российское PKI-решение для управления доступом
PKI: проблематика внедрения
Основные методы аутентификации в корпоративных информационных системах
Пароль Одноразовый пароль (OTP)
Биометрия Аутентификация по сертификату (PKI)
Недостатки других методов аутентификации
Пароль • Может быть украден при помощи «троянов» • Атака по словарю • Угадывание пароля и методы «социальной инженерии»
Одноразовый пароль • Ограниченное время действия • Требует специальной инфраструктуры • В случае использования SMS-сервис может оказаться недоступен
Биометрия • Возможна подделка биометрических показателей
Аутентификация на базе PKI
• Наиболее функциональный и защищённый метод: большинство атак при корректной реализации становятся невозможными
• Механизмы PKI, как правило, уже встроены в ОС и приложения
• Интеграция с Active Directory позволяет использовать готовую инфраструктуру открытых ключей для аутентификации в корпоративной сети
Выбор решения по управлению доступом пользователей
Аутентификация пользователей по паролям
PKI ручное управление
PKI CMS-решение
Комплексное решение IDM+PKI+SSO
Затраты на ПО — —
Затраты на «железо» —
Затраты на администрирование
Безопасность и управляемость системы
Требования к решениям от регуляторов
• Сертификация ФСБ/ФСТЭК России
• Поддержка российских криптопровайдеров и удостоверяющих центров
• Учет СКЗИ (приказ ФАПСИ № 152 от 13.06.2001)
Экономическое обоснование внедрения решения на базе PKI
Высокая цена утечки информации • Снижение рисков безопасности,
вызванными избыточными правами доступа
• Облегчение задачи внутреннего аудита ИБ
Снижение затрат на администрирование ИБ • Высвобождение трудовых
ресурсов ИТ и ИБ специалистов
• Повышение эффективности управления учетными записями
• Снижение административных издержек на согласование заявок на доступ
Универсальная карта доступа сотрудника
Пропуск (визуальная идентификация)
Квалифицированная электронная подпись
PKI-сертификаты
(доступ к ОС и информационным
системам)
RFID-метка (доступ в помещения) Платежное средство Биометрия СКЗИ
Что делать с парком карт СКУД?
Можно дополнить существующие карты СКУД контактным чипом для логического доступа в информационные системы компании
Миграция парка старых СКУД карт
Имплантация чипа в существующие карты
Перевыпуск карты
Графическая персонализация
12
5 K
Hz
EM-Marine, ISO
1
EM-Marine, Clamshell 1
HID Prox II, ISO 1
HID Prox II, Clamshell 1
HID Indala, ISO 1
HID Indala, Clamshell 1
13
,56
MH
z
HID iCLASS, ISO
HID iCLASS, Clamshell
MIFARE Classic, ISO
MIFARE Classic, Clamshell
1 Возможно сохранение номеров карт при перевыпуске на заводе ISBC
Совместное решение: ESMART + Avanpost
• Программный комплекс «Avanpost», автоматизирующий все аспекты, связанные с организацией и управлением доступом к ИТ ресурсам предприятия
• Смарт-карты и USB-токены ESMART Token и ESMART Token ГОСТ
• Считыватели смарт-карт
• Мобильное решение для персонализации карт
• Разработка программного обеспечения для интеграции с СКЗИ и СЗИ (PKCS#11, minidriver, модули поддержки КриптоПро);
ESMART Token ГОСТ — смарт-карты и USB-токены с аппаратной реализацией алгоритмов ГОСТ на базе отечественной микросхемы MIK51
Основные преимущества и особенности ESMART Token ГОСТ
Российский продукт:
• 100% российская разработка и изготовление микросхемы СКЗИ на территории России
• 100% российское производство конечного продукта в формате смарт-карты и USB-токена
• Российская разработка ПО для интеграции в продукты ИБ (PKCS#11 и др.)
• Реализация ГОСТ алгоритмов в ОС смарт-чипа на уровне маски (в кремнии)
• Сертификация ФСБ (по уровню KC3), EMVCo, MasterCard (CAST)
• 72 КБ памяти EEPROM (весь объем доступен для пользовательских данных)
• Максимальная интеграция российской криптографии: Gost JC API, Global Platform SCP F2
• Протестировано в «Лаборатории по анализу защиты от инвазивных и неинвазивных атак (Микрон)»
Программный комплекс для управления доступом: Avanpost
Ключевые функции (модули): Avanpost IDM – модуль управления учетными записями и правами пользователей - полнофункциональное IDM-решение; Avanpost PKI – модуль управления элементами инфраструктуры открытых ключей PKI; Avanpost SSO – модуль однократной аутентификации (single sign on);
Коннекторы: Коннекторы – необходимы для интеграции ПК «Avanpost» с различными информационными системами.
Основные преимущества ПК «Аванпост»
• Стоимость значительно ниже западных конкурентов (в 3-4 раза ниже);
• Время внедрения всегда существенно ниже – типовой проект от 6 месяцев (в 3 раза быстрее);
• Решение разработано с учетом специфики отечественных ИТ-систем.
• Ценовая политика компании Аванпост, позволяет даже компаниям среднего и малого сегмента бизнеса приобрести себе IDM-решение, что ранее было просто невозможно.