Конфидент - Dallas Lock как комплексная система защиты информации

Г. КРАСНОДАР16 АПРЕЛЯ 2015#CODEIB

ЕВГЕНИЙ МАРДЫКОВЕДУЩИЙ МЕНЕДЖЕР ПО РАБОТЕ С ПАРТНЕРАМИ,ЦЕНТР ЗАЩИТЫ ИНФОРМАЦИИГК «КОНФИДЕНТ».

DALLAS LOCK КАК КОМПЛЕКСНАЯ СИСТЕМА ЗАЩИТЫ ИНФОРМАЦИИ.

НОВЫЕ ВОЗМОЖНОСТИ – 2015. ПРАКТИКА ПРИМЕНЕНИЯ.

E-MAIL:

WEB:

[email protected]

WWW.DALLASLOCK.RU

ГРУППА КОМПАНИЙ «КОНФИДЕНТ»

Г. КРАСНОДАР16 АПРЕЛЯ 2015#CODEIB WWW.DALLASLOCK.RU

Год основания – 1992Персонал – более 200 человек

Первая в России негосударственная организация, получившая государственную лицензию на деятельность в области защиты информации

Группа компаний «Конфидент» сегодня:

Инженерные системы Сервисный центр Информационная безопасность

• ( , Системы ОВК и ВК отопление, , вентиляция кондиционирование

, )водоснабжение водоотведение• Слаботочные системы и автоматизациязданий

• Системы противопожарной защиты• ( , Системы ЭОМ электроснабжение

)электроосвещение

• Техническое обслуживание систем- пожарно охранной безопасности и

инженерных систем• Приемка в эксплуатацию• Ремонт и модернизация• Аварийные работы КРУГЛОСУТОЧНО• Поставка оборудования и материалов

Центр защиты информации( )ЦЗИ

« -ООО Конфидент» ( )Интеграция КИ

• Разработка и продвижение Dallas Lockлинейки

• Управление партнерской сетью – 300 ЦЗИ более партнеров по всей территории России

• – , Консалтинговые услуги аудит , анализ рисков разработка

, документации• – Интеграция в сфере ИБ

от проектирования комплексных , систем ИБ до внедрения

сопровождения

ГРУППА КОМПАНИЙ «КОНФИДЕНТ»

Г. КРАСНОДАР16 АПРЕЛЯ 2015#CODEIB WWW.DALLASLOCK.RU

Лицензии и сертификаты для осуществления деятельности в области ИБ

Лицензии ФСБ России:•на право работы со сведениями, составляющими государственную тайну, № 5168 от 30.09.2010 г.•на осуществление разработки, производства шифровальных (криптографических) средств, защищенных с

использованием шифровальных (криптографических) средств информационных и телекоммуникационных систем (действует бессрочно) № 801Н от 08.08.2013 г.

•на осуществление разработки и производства средств защиты конфиденциальной информации (действует бессрочно) № 13458К от 05.03.2014 г.

Лицензии ФСТЭК России:•на проведение работ, связанных с созданием средств защиты информации, № 1101 от 06.10.2011 г.•на деятельность по разработке и производству средств защиты конфиденциальной информации

(переоформлена бессрочно) № 0016 от 31.10.2002 г.•на осуществление мероприятий и (или) оказание услуг в области защиты государственной тайны № 1100 от

06.10.2011 г.•на осуществление мероприятий и оказание услуг по технической защите конфиденциальной информации

(переоформлена бессрочно) № 0024 от 31.10.2002 г.•на деятельность по разработке и производству средств защиты конфиденциальной информации (действует

бессрочно) № 1062 от 19.11.2012 г.•на деятельность по технической защите конфиденциальной информации (действует бессрочно) № 1877 от

19.11.2012 г. Лицензия Минобороны России•на деятельность в области создания средств защиты информации рег. № 1083 от 11.07.2014 г.Сертификат менеджмента качества ISO 9001:2008

Г. ЕКАТЕРИНБУРГ4 СЕНТЯБРЯ 2014#CODEIB APPLE INC.

CALIFORNIA, USA#CODEIB WWW.DALLASLOCK.RU

СЗИ НСД DALLAS LOCK

Dallas Lock – программный комплекс средств защиты информации (СЗИ) в ОС семейства Windows, в процессе её хранения и обработки, от несанкционированного доступа (НСД)

Передовые версии:

Dallas Lock 8.0 K‑ Dallas Lock 8.0-C

Класс защищенностиСВТ 5 3

Уровень контроля НДВ 4 2

Класс АС 1до Г 1до Б Уровень ПДн 1 1

Класс ГИС 1 1

№ сертификата № 2720 25.09.2015 .до г

№ 2945 16.08.2016 .до г

Эволюционное развитие от замка на включение ПК под MS-DOS до современной распределенной системы:

DL 4.1, 5.0Аппаратно-

программный комплекс для Win 95, 98, NT

6.0 – Win 95, 98, ME7.0 – Win 2003, XP7.5 – Win 2000, 2003, XP

централизованное управление

7.7 – + Win Vista, 2008, 7

DL 7.X DL 8.0-K, 8.0-CДобавлена поддержка

x64; + Win 8,8.1, 2012(R2)

8.0-K – для конфиденциальныхданных (1Г)

8.0-С – до уровня «сов. секретно» (1Б)

ФУНКЦИОНАЛЬНЫЕ ОСОБЕННОСТИ

Аутентификация и разграничение доступа:•Двухфакторная авторизация (пароль+ идентификатор)•Дискреционный и мандатный принципы разграничения доступа к

объектам ФС и устройствам•Настройка ЗПС

Регистрация и учет событий:•Аудит и ведение 6 журналов регистрации событий•Добавление штампа на распечатываемые документы•Разграничение доступа к печати

Контроль целостности:•Контроль целостности ФС, программно-аппаратной среды и реестра

•Блокировка загрузки ПК при нарушении целостности•Очистка остаточной информации

Централизованное управление •Трехуровневая архитектура: клиент – Сервер безопасности –

Менеджер серверов безопасности

Дополнительный и уникальный функционал•Прозрачное преобразование жесткого диска•Поддержка планшетов, новых BIOS•Преобразование сменных накопителей

Г. КРАСНОДАР16 АПРЕЛЯ 2015



СОВМЕСТИМОСТЬ С DALLAS LOCK

некоторые из них:

•Рутокен (ЗАО «Актив-софт»)•VipNet (ОАО «ИнфоТеКС»)• VPN/FW «Застава»(ОАО «Элвис-Плюс»)

• ESET NOD32• Aladdin eToken(ЗАО «Аладдин Р.Д.»)

СЕРТИФИКАТЫ СОВМЕСТИМОСТИ




ПОЛЬЗОВАТЕЛИ DALLAS LOCK

• ФНС России • МВД России • ФСИН России • ФСТЭК России• ФТС России• ФСКН России• Роскомнадзор• Рособрнадзор• Росстат• Федеральное медико-биологическое агентство РФ • Федеральное дорожное агентство РФ • Банк России • Национальный банк Республики Абхазия• Правительство Москвы • Правительство Санкт-Петербурга • Администрации субъектов РФ • Департаменты и центры занятости населения субъектов РФ• Министерства и департаменты здравоохранения и социального

развития субъектов РФ• Фонды ОМС субъектов РФ• Министерства и комитеты по управлению имуществом, по

земельным отношениям субъектов РФ• Высшие учебные заведения• ОАО «ТАНЕКО»

• ООО «Газпром межрегионгаз»• ОАО «СибурТюменьГаз»• ЗАО «Донэнергосбыт»• ОАО «Владимирская областная электросетевая компания»• ООО «Саратовское предприятие городских электрических

сетей»• ОАО «Первобанк»• ОАО «Первый Республиканский Банк»• ООО «Страховое общество «Сургутнефтегаз»• ООО «Росгосстрах-Медицина» • НПФ ВТБ• НПФ «Сургутнефтегаз»• ОАО «Детский мир»• ОАО «Объединенная авиастроительная корпорация» • ОАО «РСК МиГ»• ОАО «Ангестрем»• ФГУП «Росморпорт»• ФГУП «ПО «Октябрь»• ФГУП «ГосНИИПП» ФСТЭК России• ФГУП «Гостехстрой» ФСТЭК России• ОАО «Улан-Удэнский авиационный завод» («Вертолеты

России») и другие




DALLAS LOCK – КОМПЛЕКСНАЯ СИСТЕМА ЗАЩИТЫ

Модель функционирования системы защиты информации и место СЗИ НСД Dallas Lock в этой модели

Естественное воздействие

Управляющее воздействие

Уязвимости

Информационные ресурсы

Защитные меры

Стремится…

…усилить

…ум

ень

ши

ть

…со

хра

ни

ть

Использует

Обладают

Создает Направлены на

Увеличивают

Во

зде

йст

вую

т

Провоцируют

Нарушают

СЗИ НСДDallas Lock

Возможные последствия для бизнеса•Прямые убытки из-за несостоявшихся заказов•Снижение котировок акций (для акционерных компаний) в результате попадания на рынок инсайдерской информации•Стоимость разработки технологических решений, стоимость проигранных в результате утечек данных тендеров и т. д.•Упущенная выгода в результате испорченного имиджа (отток существующих клиентов)•Штрафы со стороны регуляторов•Компенсации по судебным искам•Убытки из-за временной остановки бизнес-процессов •Убытки из-за снижения показателей эффективности




Естественное воздействие

Управляющее воздействие

Общие угрозы информационной безопасности:

Уязвимости

Информационные ресурсы

Защитные меры

Стремится…

…усилить

…ум

ень

ши

ть

…со

хран

ит

ь

Использует

Обладают

Создает Направлены на

Увеличивают

Во

здей

ств

уют

Провоцируют

Нарушают

Несанкциониро-ванный вход в информацион-ную

систему

Несанкциони-рованный доступ к объектам ФС

Угрозы нарушения целостности и

несанкциониро-ванной модификации данных

Угрозы утечки информации по

техническим каналам

Угрозы заражения вредоносными программами

Угрозы мобильной среды

Угрозы несвоевременной реакции на нарушения

безопасности

Угрозы использования уязвимостей в ПО

Несанкционированный доступ

в обход СЗИ НСД, кража носителей информации

Угрозы НСД к остаточнойинформации

(восстановление удаленных объектов ФС)

Угрозы несанкционированного доступа к информации

по каналам связи





Группы мер по обеспечению информационной безопасности, закрывающие угрозы:

* Группы мер составлены на основании приказов

ФСТЭК России № 17 и № 21

Управление доступом

Защита виртуальной среды

Обеспечение доверенной загрузки

Антивирусная защита Защита мобильной

среды

Защита технических средств

Контроль и анализ защищенности

информации

Идентификацияи

аутентификация

Гарантированное уничтожение информации

Защита от утечек информации

Обеспечение доступности информации

Защита сетей передачи данных

Управление событиями





Применение средств для реализации мер по обеспечению информационной безопасности:







среды











СДЗ – средства доверенной загрузки: аппаратная плата, BIOS, MBR

DLP-системы предотвращения передачи информации за пределы ИС

Антивирусные системыБазы сигнатур

SIEM-системы SOC-системы

Межсетевые экраныСОВ – системы

обнаружения вторженийDPI – анализ пакетовVPN-шифрование

Защита от утечек по техническим каналам

Аппаратные и программные комплексы уничтожения информации

Анализаторы уязвимостей

Резервирование каналов, оборудования, резервное копирование информации

Программно-аппаратные Средства Идентификации и Аутентификации

Автоматизированные системы обработки данных

Системы управления состоянием защиты виртуальной среды

Системы контроля доступа к виртуальной инфраструктуре

Системы управления доступом

MDM-решенияVPN-клиенты





Выполнение мер по обеспечению ИБ с помощью СЗИ НСД Dallas Lock:







среды













•Усиленная авторизация в ОС по логину, паролю и аппаратному идентификатору

•Используются USB-Flash-накопители, ключи Touch Memory, смарт-карты eToken и USB-ключи eToken, ruToken, JaCarta

•Набор парольных политик

•Генератор паролей


•Расширенные настройки доступа пользователей к каталогам, файлам, на основе ролевой, дискреционной и мандатной модели доступа. Возможна одновременная работа по трем моделям

•Разграничение доступа к файловым объектам на съемных носителях и к сетевым каталогам

•Создание замкнутой программной среды (по принципу, что явно не разрешено – то запрещено)


•Сигнализация событий несанкционированного доступа

•Ведение журналасобытий НСД












среды












•Программный механизм уровня загрузочной записи, предотвращающий получение доступа к ОС и её ресурсам в обход Dallas Lock (в том числе при попытках загрузки ОС с внешних носителей)

•Производится авторизация пользователя до загрузки ОС по имени пользователяи PIN-коду


•Предотвращение доступа к информации даже в случае кражи жесткого диска/системного блока

•Контроль (запрет, разрешение) подключения локальных и внешних устройств (принтеров, сканеров, видео-камер, внешних дисков, смартфонов и пр.). Запрет использования как класса устройств, так и конкретного устройства

•Возможность использования съемных носителей информации только внутри компании (защищаемого периметра)

•Возможность запрета выхода в Интернет (в сеть) (реализуется с помощью мандатного доступа к устройствам (сетевой карте)). Запрет использования беспроводных каналов передачи данных (Wi-Fi), запрет работы с браузерами, интернет-мессенджерами

•Хранение и передача данных в закодированных криптопровайдером архивах с паролем •Сохранение незаметно для пользователя документов, отправляемых на печать, а также файлов, копируемых на съемные носители












среды











•Производится контроль целостности программных средств СЗИ НСД (по умолчанию) и отдельно назначенных объектов ФС, программно-аппаратной среды и веток реестра

•При нарушении целостности защищаемых объектов блокируется сеанс работы пользователя, администратор безопасности информируется об инциденте


•Производится автоматическая очистка освобождаемого дискового пространства (в том числе для внешних накопителей) при удалении, перемещении или уменьшении размеров файлов

•Имеется возможность принудительной зачистки конкретной папки/файла

•Имеется возможность полной зачистки остаточных данных всего диска или его разделов

•Зачистка освобождаемого дискового пространства только для объектов ФС, имеющих метку конфиденциальности больше нуля Защита сетей передачи

данных•Разграничение доступа выхода в сеть с помощью мандатного и дискреционного доступов к устройствам (сетевой карте)












среды











Антивирусная защита

Защита от вирусов:

•Контроль целостности файлов (т. е. нет возможности заражения файлов)

•Запуск только заранее разрешенных процессов при создании замкнутой программной среды (т. е. новый вредоносный процесс не может запуститься)


•Поддержка терминального режима работы пользователей для платформ Microsoft и Citrix, а также при использовании бездисковых рабочих станций («тонких клиентов»)

•Полнофункциональная работа СЗИ НСД Dallas Lock на виртуальных машинах

Защита мобильной среды


•Восстановление файлов в случае обнаружения нарушения целостности

•Сохранение резервной копии файлов СЗИ

•Поддерживается работа на планшетных ПК в ОС Windows 8

•Осуществляется полноценная защита планшетных ПК




Антивирусная защита










среды











Управление доступомОбеспечение

доверенной загрузки

Защита мобильной среды















НОВЫЕ ВОЗМОЖНОСТИ – 2015


• Система уведомлений о сроке технической поддержки. Действующая тех. поддержка - условие предоставления консультаций по установке и настройке СЗИ НСД, и доступа к сертифицированным обновлениям

• Новые способы преобразования информации. Создание средствами СЗИ НСД виртуальных дисков (любого размера на любых носителях) для преобразования информации (незаметно для пользователя) при работе на данных дисках

• Использование внешних модулей, реализующих функции преобразования, (сертифицированных и нет) при различных способах преобразования информации

• Новые возможности централизованного управления средствами СБ:oроль аудитора безопасностиoуправление доступом к сменным накопителямoмногоуровневая иерархия групп клиентов

Обновления Dallas Lock 8.0 по результатам ИК 2014





Обновления Dallas Lock 8.0 по результатам ИК 2014

Элементы DLP-систем в составе функционала Dallas Lock:•Контроль устройств•Теневое копирование файлов, отправляемых на печать•Теневое копирование файлов, отправляемых на съемные носители•Преобразование съемных носителей





Реализован для управления возможными лицензиями Dallas Lock и другими в пределах организации:•Контроль числа использованных лицензий на СБ•Контроль суммарного числа используемых в один момент времени терминальных подключений•Мониторинг используемых лицензий (какой компьютер какую лицензию использует)•Установка квот подключаемых DL-клиентов к СБ (возможность перераспределения максимально разрешенного количества DL-клиентов)•Контроль использования в ИС реплицируемых (дублирующих) СБ

Терминальные клиенты

Клиенты Домена безопасности

Сервер безопасности +

Сервер лицензий

ДОМЕН БЕЗОПАСНОСТИ

• Сервер лицензий Dallas Lock

Запланированные обновления Dallas Lock 8.0 на II-III квартал 2015





Запланированные обновления Dallas Lock 8.0 на II-III квартал 2015

Сертификация на соответствие Требованиям ФСТЭК России к средствам контроля съемных машинных носителей информации (Профиль защиты средств контроля подключения съемных машинных носителей информации 4 класса защиты)

Подсистема контроля съемных машинных носителей информации•Контроль подключения съемных носителей:oприсвоение описания для экземпляров носителейoразграничение доступа к классам, к отдельным экземплярам, к объектам ФС на носителяхoединое управление доступом к съемным носителям средствами СБoаудит событий доступа к съемным носителямoсигнализация событий НСД к носителям

•Контроль отчуждения информации с носителей:oавтоматическое теневое копирование файлов, отправляемых на носителиoхранение и обработка информации на съемных носителях, помеченных как преобразуемые





МЭ

Класс защищенности СВТ 3

Уровень контроля НДВ 4

Класс АС до 1Г

Уровень ПДн 1

Класс ГИС 1

DLL

Класс защищенности СВТ 5

Уровень контроля НДВ 4

Класс АС до 1Г

Уровень ПДн 1

Класс ГИС 1

• Dallas Lock для ОС Linux • Dallas Lock + персональный МЭ

Требования при построении КСЗИ в ГИС (группы мер) Инструментами Dallas Lock можно реализовать:

1I. Идентификация и аутентификация субъектов доступа и объектов доступа (ИАФ)

•Идентификацию и аутентификацию субъектов доступа по имени пользователя, паролю и аппаратному идентификатору.

•Идентификацию объектов доступа:• терминалов, ЭВМ и узлов сети ЭВМ - по логическим именам.• внешних устройств и внешних носителей информации - по серийному номеру и типу носителя.• программ, томов, каталогов, файлов, записей - по именам

2II. Управление доступом субъектов доступа к объектам доступа (УПД) •Разграничение доступа дискреционным и мандатным принципами, не зависимыми от ОС механизмами

3 III. Ограничение программной среды (ОПС) •Организацию замкнутой программной среды, в том числе автоматизированными способами

4IV. Защита машинных носителей информации (ЗНИ)

•Контроль устройств: разграничение доступа к устройствам, аудит событий.•Преобразование жесткого диска, преобразование сменных накопителей

5V. Регистрация событий безопасности (РСБ) •Ведение журналов событий, настройку журналов

6 VI. Антивирусная защита (АВЗ) •Обеспечение целостности: контроль целостности папок, файлов, веток реестра, восстановление файлов и реестра

7 VII. Обнаружение вторжений (СОВ)•Сбор событий, связанных с безопасностью защищаемой системы, хранение информации о событиях.•Отслеживание модификаций объектов ФС и реестра.•Сигнализацию событий НСД, нарушения целостности; блокировку ПК



ПРАКТИКА ПРИМЕНЕНИЯ DALLAS LOCK


Требования при построении КСЗИ в ГИС (группы мер) Инструментами Dallas Lock можно реализовать:

8 VIII. Контроль (анализ) защищенности информации (АНЗ)

•Контроль целостности программных средств СЗИ НСД и отдельно назначенных объектов, проверка целостности.

•Самотестирование механизмов защиты СЗИ

9IX. Обеспечение целостности информационной системы и

информации (ОЦЛ)

•Назначение и проверка целостности объектов (ФС и реестра) различными способами.•Сохранения резервной копии файлов СЗИ НСД

10 X. Обеспечение доступности информации (ОДТ) •Восстановление файлов в случае обнаружения нарушения целостности.

11 XI. Защита среды виртуализации (ЗСВ) •Полноценное управление доступом внутри виртуальных машин

12 XII. Защита технических средств (ЗТС) •Защита от утечки по техническим каналам путем разграничения доступа к устройствам, аудит событий доступа

13XIII. Защита информационной системы,

ее средств, систем связи и передачи данных (ЗИС)

•Защиту путем контроля целостности объектов. •Изоляцию процессов (выполнение программ) в выделенной области памяти.•Очистку остаточной информации различными способами для различных данных: оперативной памяти,

конфиденциальной информации, объектов ФС.•Защиту мобильных тех. средств: поддерживается работа на планшетах с Windows 8, 8.1



ПРАКТИКА ПРИМЕНЕНИЯ DALLAS LOCK




УГРОЗЫ ИБ


Статистика: утечки конфиденциальной информации по годам (данные www.infowatch.ru)

Статистика: виновники утечек конфиденциальной информации (данные www.infowatch.ru)

• В 55% виновниками утечек информации были настоящие (54%) или бывшие (1%) сотрудники• Доля утечек, случившихся на стороне подрядчиков, чей персонал имел легитимный доступ к охраняемой информации - 4%• Вина руководителей организаций (топ-менеджмент, главы отделов и департаментов) и пользователей с расширенными правами

доступа к информации (системных администраторов) > чем в 1% случаев



УГРОЗЫ ИБ


Угроза: злоупотребление полномочиями администратора информационной системы (НСД к конфиденциальной информации системным администратором информационной системы)

Решение:• Использование собственных механизмов

разграничения доступа и аудита событий безопасности, независимых от ОС

• Полными правами обладает только администратор информационной безопасности, установивший Dallas Lock

• Таким образом, при использованииDallas Lock есть возможность ограничения в правах администраторов информационной системы (не являющихся администраторами безопасности), обладающих максимальными правами в домене



УГРОЗЫ ИБ


Решение:

Настройка доступа к накопителям.•Запрет подключения всех типов накопителей•Запрет подключения определенного типа (CD, DVD и пр.)•Запрет подключения для всех, но разрешение для определенных экземпляров

Угроза: подключение к ПК накопителя (USB-flash-диска, внешнего HDD или иного устройства, способного накапливать информацию) с целью копирования конфиденциальных данных



УГРОЗЫ ИБ


Угроза: кража, утеря накопителя или перенос конфиденциальной информации за пределы установленной зоны, угроза хищения информации с накопителя

Решение:Преобразование информации на определенном сменном накопителе (незаметно для пользователя), в следствие чего, информация с накопителя может быть доступна только на защищенном DL ПК



УГРОЗЫ ИБ


Решение:

Прозрачное преобразование жесткого диска (его областей), в следствие чего доступ к конфиденциальной информации на преобразованном диске путем загрузки нештатной операционной системы становится невозможен

Угроза: обход контроля доступа и аутентификации ОС Windows путем загрузки нештатной ОС (с накопителя или оптического диска) и, как следствие, – получение доступа к конфиденциальной

информации на жестком диске ПК



УГРОЗЫ ИБ


Угроза: использование беспроводных устройств на ПК

Решение:

Контроль устройств.•Ограничение или запрет работы всего класса Wi-Fi-устройств•Ограничение или запрет работы определенного Wi-Fi-устройства

Г. ЕКАТЕРИНБУРГ4 СЕНТЯБРЯ 2014#CODEIB

ВОПРОСЫ?

#CODEIB WWW.DALLASLOCK.RU

E-MAIL:

WEB:

[email protected]

WWW.DALLASLOCK.RU


ЕВГЕНИЙ МАРДЫКОВЕДУЩИЙ МЕНЕДЖЕР ПО РАБОТЕ С ПАРТНЕРАМИ,ЦЕНТР ЗАЩИТЫ ИНФОРМАЦИИГК «КОНФИДЕНТ».

Г. ЕКАТЕРИНБУРГ4 СЕНТЯБРЯ 2014#CODEIB

СПАСИБО ЗА ВНИМАНИЕ!

E-MAIL:

WEB:

[email protected]

WWW.DALLASLOCK.RU

#CODEIB WWW.DALLASLOCK.RU

АДРЕС:

ТЕЛЕФОН:

ЦЕНТР ЗАЩИТЫ ИНФОРМАЦИИГК «КОНФИДЕНТ»

192029, г. Санкт-Петербург, пр. Обуховской обороны, д. 51, лит. К

+7 (812) 325-10-37


Business

Конфидент - Dallas Lock как комплексная система защиты информации