Transcript

Dallas Lock 8.0Опыт построения системы защиты

Основные критерии выбора СЗИ от НСД

2013 г.

www.confident.ruwww.dallaslock.ru

Что представляет собой СЗИ от НСД

1

служат для защиты информационных ресурсов персонального компьютера:• от доступа к информации в нарушение

должностных полномочий сотрудников• от доступа к закрытой для публичного доступа

информации со стороны лиц, не имеющих разрешения

• от доступа к информации в объёме, превышающем необходимый для выполнения служебных обязанностей

представляют собой программный или программно-аппаратный комплекс

Системы защиты информации от несанкционированного доступа

(СЗИ от НСД)

СЗИ от НСД

www.dallaslock.ru

2

Системы защиты информации от несанкционированного доступа

СЗИ от НСД

www.dallaslock.ru

Угрозы использования внешних носителей

Риски претензий регулятор

ов

Риски ошибок

конфигурации ПО

Угрозы нарушения целостност

и ПДн

Угрозы претензий

регуляторов

Угрозы слабых политик

безопасности

Угрозы незарегистри

рованных действий

нарушителя

Угрозы воздействия

вредоносного ПО

Угрозы межсетевого взаимодейст

вия

Угрозы мобильного доступа

Встроенные механизмы

систем

Средства резервного

копирования

Средства антивирусной

защиты

Межсетевые экраны

Средства предотвращения

вторженийСКЗИОрг.

мерыCЗИ от

НСД

Средства анализа

защищенности

Федеральный Закон №98-ФЗ «О коммерческой тайне» Федеральный Закон №152-ФЗ «О персональных данных»

Стандарт Банка России по обеспечению информационной безопасности организаций банковской системы Российской Федерации (СТО БР ИББС)

3

РД Гостехкомиссии РФ «Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации»

СЗИ от НСД

Позволяют сертифицировать деятельность государственных организаций и бизнеса на соответствие законодательным требованиям:

РД Гостехкомиссии РФ «Защита от несанкционированного доступа к информации. Часть 1. Программное обеспечение средств защиты информации. Классификация по уровню контроля недекларированных возможностей

РД Гостехкомиссии РФ «Специальные требования и рекомендации по технической защите конфиденциальной информации» СТР-К

РД «Положение о методах и способах защиты информации в информационных системах персональных данных», утвержденный Приказом ФСТЭК России от 05.02.2010 № 58

www.dallaslock.ru

Системы защиты информации от несанкционированного доступа

Опыт построения системы защиты

информации на основе Dallas Lock 8.0

www.dallaslock.ru

Опыт построения СЗИ на основе Dallas Lock 8.0

Инфраструктура объектов заказчика (ТЭК)

1

• 1000 АРМ ИСПДн;• 10 филиалов;• каналы связи от 128 Кбит\сек до 10

Мбит\сек.

www.dallaslock.ru

Инфраструктура

2

Географически удаленные объекты, каналы связи различных технологий, принадлежности, пропускной способности;Гетерогенная программно-аппаратная среда.

Опыт построения СЗИ на основе Dallas Lock 8.0

www.dallaslock.ru

Цели и задачи

3

• Приведение информационных систем персональных данных (ИСПДн) и процессов обработки персональных данных (ПДн) в соответствие с требованиями законодательства РФ;

• Снижение уровня рисков несанкционированного доступа к ПДн;

• Повышение общего уровня защищенности корпоративных ресурсов .

Опыт построения СЗИ на основе Dallas Lock 8.0

www.dallaslock.ru

Актуальные угрозы и их нейтрализация с помощью Dallas Lock

4

Анализ моделей угроз позволяет сделать вывод о возможностях Dallas Lock по закрытию угроз безопасности конфиденциальной информации:

• угрозы НСД;• угрозы незарегистрированных действий нарушителей;• угрозы целостности персональных данных;• сетевые угрозы (частично).

Опыт построения СЗИ на основе Dallas Lock 8.0

www.dallaslock.ru

Подсистемы

5

Опыт построения СЗИ на основе Dallas Lock 8.0

Подсистемы СЗПДн

управление доступом

обеспечение целостности

регистрация и учет

сетевой защиты (межсетевое экранирование)

криптографическая защита

обнаружение вторжений

анализ защищенности

антивирусной защиты

централизованного управления

www.dallaslock.ru

Особенности внедрения Dallas Lock

6

Опыт построения СЗИ на основе Dallas Lock 8.0

• Поддержка служб каталогов Novell eDirectory и Microsoft AD;• Удаленная установка средствами AD, СБ или через сформированный

на СБ дистрибутив с предустановленными параметрами для связи (Сервер-клиент);

• Использование собственных механизмов защиты, отличных от механизмов операционной системы;

• Возможность создания доменов безопасности под управлением сервера безопасности Dallas Lock, политики которых накладываются на доменные политики Active Directory;

• Совместимость с другими средствами защиты (антивирусы, СКЗИ и т.д.).

www.dallaslock.ru

Dallas Lock в территориально-удаленных филиалах

Опыт построения СЗИ на основе Dallas Lock 8.0

7

Показатели выбораСЗИ от НСД

www.dallaslock.ru

Показатели выбора СЗИ

Юридические аспекты

5

Наличие сертификатов ФСТЭК по различным уровням и классам РД

Оценка возможности использования в АС определенного класса защищенности и в информационных системах персональных данных (ИСПДн) определенного уровня

История версий и продления сертификатов, проведения инспекционного контроля (ИК) производителем

www.dallaslock.ru

Показатели выбора СЗИТехнико-технологические

аспекты

6

Технологическое совершенство продукта: • Развитость функционала (помимо требований РД) • Совместимость с другими технологиями и продуктами по

ЗИ (антивирус, межсетевой экран, VPN, криптопровайдер, IDS/IPS)

Надежность, удобство, апробированность: • Простота внедрения (развертывания) для различных

конфигураций• Простота управления системой защиты• Стабильность работы и совместимость с Вашими

приложениями, ИС, СЗИ в режиме «жестких настроек»• Проекты какого масштаба реализованы с

использованием данной СЗИ, количество внедрений• Сроки присутствия решения на рынке и объектах

заказчиков

www.dallaslock.ru

Показатели выбора СЗИЭкономические аспекты

7

Первичное приобретениеВнедрение (сторонними силами)

Продление сопровождения Условия получения исправлений/обновлений по

результатам ИКОбновление (апгрейд) версий

Затраты на развертывание и управление СЗИ собственными силами – в том числе:• заработная плата для штата администраторов безопасности

(администраторов СЗИ на всех площадках)• потери от простоя на время неработоспособности СЗИ• простота и «незаметность» для пользователей и

необходимость ресурсов для их обучения

Ценовая политика. Совокупная стоимость владения (TCO):

Обучение администраторов и пользователей СЗИ

СЗИ от НСД Dallas Lock

О компании Конфидент

О РАЗРАБОТЧИКЕ

Разработчик – Группа компаний «Конфидент»

Год основания – 1992 г.Персонал – более 200 человек

Первая в России негосударственная организация, получившая гос. лицензию на деятельность в области защиты информации

www.dallaslock.ru

взаимодействие

ФСБ ФСТЭК

МО

Более 30 собственных разработок за всю историюНесколько десятков тысяч объектов

8

Группа компаний Конфидент сегодня

• Системы ОВК и ВК (отопление, вентиляция, кондиционирование, водоснабжение, водоотведение)

• Слаботочные системы и автоматизация зданий

• Системы противопожарной защиты

• Системы ЭОМ (электроснабжение, электроосвещение)

• Техническое обслуживание систем пожарно-охранной безопасности и инженерных систем

• Приемка в эксплуатацию

• Ремонт и модернизация

• Аварийные работы КРУГЛОСУТОЧНО

• Поставка оборудования и материалов

Построение комплексных систем и отдельных подсистем обеспечения безопасности информации на основе решений ведущих российских и мировых производителей

Собственные разработкиСЗИ от НСД и управление партнерской сетью

О РАЗРАБОТЧИКЕ

www.dallaslock.ru9

Под защитой Dallas Lock – несколько десятков тысяч объектов

некоторые из наших пользователей:

www.dallaslock.ru

О РАЗРАБОТЧИКЕ

10

• ФНС РФ • МВД РФ • ФСИН РФ• ФСТЭК РФ• ФТС РФ• ФСКН РФ • Роскомнадзор РФ • Рособрнадзор РФ• Росстат РФ • Федеральное медико-биологическое агентство РФ • Федеральное дорожное агентство РФ

• Банк России • Национальный банк Республики Абхазия• Правительство Москвы, Правительство Санкт-Петербурга,

Администрации субъектов РФ • департаменты и центры занятости населения субъектов РФ• министерства и департаменты здравоохранения и социального

развития субъектов РФ • фонды обязательного медицинского страхования субъектов РФ • министерства и комитеты по управлению имуществом, по

земельным отношениям субъектов РФ • высшие учебные заведения

• ОАО «ТАНЕКО», • ООО «Газпром межрегионгаз»,• ОАО «СибурТюменьГаз»,• ЗАО «Донэнергосбыт»• ОАО «Владимирская областная электросетевая компания»• ООО «Саратовское предприятие городских электрических сетей » • Банковская группа BSGV• ОАО «Первый Республиканский Банк»• ООО «Страховое общество «Сургутнефтегаз»• ООО «Росгосстрах-Медицина» • НПФ ВТБ

• НПФ «Сургутнефтегаз»• ОАО «Детский мир»• ОАО «Объединенная авиастроительная корпорация», • ОАО «РСК МиГ»• ОАО «Ангестрем»• ФГУП «Росморпорт»• ФГУП «ПО «Октябрь»• ФГУП «ГосНИИПП» ФСТЭК РФ• ФГУП «Гостехстрой» ФСТЭК РФ• ОАО «Улан-Удэнский авиационный завод» («Вертолеты России»)• ФГУП «ЦНИИХМ»

• Крок

• Инфосистемы Джет

• Микротест

• Лета

• Ланит

• NVision Group

•  Аквариус

• Kraftway

• Сюртель

Более 300 интеграторов–дилеров федерального и регионального

уровнейнекоторые из них:

• Софтлайн• ФГУП НПП Гамма• ФГУП Атлас• ФГУП Центринформ• ФГУП Защитаинфотранс• НПП СВК• Техцентр• Лаборатория ППШ• Эшелон• НТЦ Евраас

www.dallaslock.ru

О РАЗРАБОТЧИКЕ

10

Некоторые наши партнеры в Уральском федеральном округе:

Аста-Информ, Астра СТ, Цинтур, ФГУП Центринформ,

Риланс, ФГУП НПП Гамма, Софтлайн, Энвижн, ИРС,

Тетроникс ВТ, ФГУП Защитаинфотранс, ИТ Энигма…

Наличие сертификатов совместимости с российскими производителями ПО и

аппаратных устройств, являющимися технологическими

партнерами компаниинекоторые из них:

• Рутокен  (ЗАО «Актив-софт»)

• Aladdin eToken (ЗАО «Аладдин Р.Д.»)

• VipNet (ОАО «ИнфоТеКС» )

• «VPN/FW «Застава» (ОАО «Элвис-Плюс»)

• «Deep Security 8.0» («Trend Micro Incorporated»)

• ESET NOD32

www.dallaslock.ru

О РАЗРАБОТЧИКЕ

11

названия американского производителя телекоммуникационных чипов, а также электронных ключей iButton (известных под названием Dallas Key, Touch Memory)Dallas Semiconductor

Название системы защиты «Dallas Lock» происходит от

и английского слова «lock» - запирать

Dallas Lockwww.dallaslock.ru

История создания DALLAS LOCK

12

www.dallaslock.ru

Эволюционный путь развития от простого замка на включение компьютера под MS-DOS до современной распределенной системы защиты информации:

СЗИ от НСД DALLAS LOCK

DL 4.1, 5.0

Аппаратно-программный комплекс для Win 95, 98, NT

6.0 – Win 95, 98, ME 7.0 – Win 2000, XP 7.5 – Win 2000, 2003,XP

централизованное управление

7.7 – Win Vista, 2008, 7

DL 7.X DL 8.0-K,C Поддержка ОС Win x64 8.0-K – для

конфиденциальных данных (1Г)

8.0-С – до уровня «совершенно секретно» (1Б)

История создания

13

www.dallaslock.ru

СЗИ от НСД DALLAS LOCKСреда функционирования Dallas Lock 8.0

13

Название ОС, версия и разрядность*Совместимость

с Dallas Lock 8.0-K/C

Windows ХР (SP 3) да

Windows Server 2003 (R2) (SP 2) да

Windows Vista (SP 2) да

Windows Server 2008 (SP 2) да

Windows 7 (SP 1) да

Windows Server 2008 R2 (SP 1) да

Windows 8 да

Windows Server 2012 да

*Поддерживаются 32-х и 64-х битные версии ОС

Характеристики уровней защиты№ Характеристика Dallas Lock 8.0‑K Dallas Lock 8.0-C

1Класс защищенности (РД СВТ Защита от НСД к информации. Показатели защищенности от НСД к информации)

5 3

2Уровень контроля НДВ (РД Защита от НСД к информации. Часть 1. Программное обеспечение СЗИ. Классификация по уровню контроля отсутствия не декларированных возможностей)

4 2

3Класс АС (РД Автоматизированные системы. Защита от НСД к информации. Классификация АС и требования по защите информации)

До класса 1Г включительно

До класса 1Б включительно

4

Класс ИСПДн (Приказ ФСТЭК России, ФСБ России, Мининформсвязи России от 13 февраля 2008 г. N 55/86/20 г. Москва «Об утверждении Порядка проведения классификации информационных систем персональных данных») 

До 1 класса включительно

До 1 класса включительно

«…Второй уровень контроля достаточен для ПО, используемого при защите информации с грифом

«Совершенно секретно»Четвертый достаточен для ПО, используемого при

защите конфиденциальной информации…»

«…При разработке АС для обработки информации, являющейся собственностью государства и отнесенной к

категории секретной, необходимо использовать СВТ не ниже 3 класса - для класса защищенности АС 1Б;

При обработке или хранении информации, не отнесенной к категории секретной (конфиденциальные данные)

- СВТ не ниже 5 класса - для класса защищенности АС 1Г…»14www.dallaslock.ru

СЗИ от НСД DALLAS LOCK

Наличие того или иного функционала в СЗИ НСД обусловлено:

• требованиями согласно Руководящим документам

• конкурентными требованиями и уникальными возможностями

15www.dallaslock.ru

СЗИ от НСД DALLAS LOCK

Требования согласно РД

№ Наименование показателя класс защищенности 5 8.0‑K 3 8.0-C

1 Дискреционный принцип контроля доступа + +2 Мандатный принцип контроля доступа - +3 Очистка памяти + +4 Изоляция модулей - +5 Маркировка документов - +6 Защита ввода и вывода на отчуждаемый физ носитель - +7 Сопоставление пользователя с устройством - +8 Идентификация и аутентификация + +9 Гарантии проектирования + +

10 Регистрация + +11 Взаимодействие пользователя с КСЗ - +12 Надежное восстановление - +13 Целостность КСЗ + +17 Тестирование + +19 Документация + +

РД: Средства вычислительной техники. Защита от НСД к информации. Показатели защищенности от НСД к информации

16www.dallaslock.ru

СЗИ от НСД DALLAS LOCK

www.dallaslock.ru

Подсистема управления доступомРегистрация пользователей

• созданных средствами ОС на локальном ПК• созданных средствами Active Directory• созданных непосредственно в СЗИ

Использование аппаратной идентификации:• USB-флэш-накопители• ключи Touch Memory• смарт-карты eToken • USB-ключи eToken , ruToken, ruToken ЭЦП

РЕАЛИЗАЦИЯ ТРЕБОВАНИЙ

Настройка параметров входа в систему.Политики сложности паролейГенератор сложных паролей

Модуль доверенной загрузки-идентификация до старта ОС

Разграничение доступа:• Дискреционный принцип• Мандатный принцип

к объектам ФС: локальным, глобальным, сетевым, аппаратным ресурсам, сменным накопителям18

www.dallaslock.ru

Настройка параметров аудита для глобальных и локальных объектов

6 журналов регистрации событий:

• журнал входов• журнал управления учетными записями• журнал доступа к ресурсам• журнал печати• журнал управления политиками• журнал процессов

РЕАЛИЗАЦИЯ ТРЕБОВАНИЙПодсистема регистрации и учета

Возможность архивации, экспорта записей, применения фильтров

Удаление файлов и зачистка остаточной информации: автоматически и по команде

Штамп на документахТеневые копии документов

19

www.dallaslock.ru20

РЕАЛИЗАЦИЯ ТРЕБОВАНИЙПодсистема контроля целостности

Контроль целостности программно-аппаратной среды и ресурсов файловой системы:

Контроль целостности файлов при доступе к ним

Блокировка компьютера при выявлении изменений

Сохранение резервной копии файлов СЗИ НСД и конфигурации настроек системы. Возврат к настройкам по умолчанию

• при загрузке компьютера• по команде администратора• через заданные интервалы

времени

Прозрачное преобразование жесткого диска

21www.dallaslock.ru

ПРЕИМУЩЕСТВА Dallas Lock 8.0-С

Дополнительный функционал

Механизм преобразования данных в файл-контейнер (кодирование)

Список блокируемых расширений

Отчет - права и конфигурацииОтчет - список установленного ПО

Оболочка Dallas Lock вместо стандартной Windows

Замкнутая программная среда, «мягкий режим», «режима обучения»

Удалённое администрирование без Сервера Безопасности

22

ПРЕИМУЩЕСТВА Dallas Lock 8.0

Централизованное управление

ДБ

«Сервер безопасности» Dallas Lock (СБ) защищенный компьютер, не нужна серверная ОС, не нужны AD,eDirectory, не нужны СУБД…

«Домен безопасности» Dallas Lock (ДБ) клиенты СБ = защищенные Dallas Lock компьютеры

СБ Dallas Lockцентрализованное управление просмотр состояния клиентов СБсбор журналов, создание/удаление/редактирование параметров пользователейудаленная установка Dallas Lock на ПКввод ранее защищенных ПК в ДБ Dallas Lockпрочее

С помощью модуля «Менеджер серверов безопасности» можно объединить несколько ДБ и применять параметры безопасности для всего «Леса безопасности» Лес безопасности

ДБ

ДБ

ДБ

www.dallaslock.ru

23

ПРЕИМУЩЕСТВА Dallas Lock 8.0

Удалённая установка средствами СБ

www.dallaslock.ru

1. Формированиесписка ПК для установки

2. Добавление дистрибутива и заполнение параметров

3. Установка DL и перезагрузка клиентского ПК

24

ПРЕИМУЩЕСТВА Dallas Lock 8.0

Удалённая установка средствами AD

www.dallaslock.ru

Средствами Microsoft Windows с помощью Сервера администрирования и установленной на нём службы Active Directory возможна удалённая установка Dallas Lock 8.0 на рабочие станции, входящие в состав домена

необходимые действия средства

1. Формирование файла установки

 2. Создание точки распространения

3. Создание объекта групповой политики

 4. Конфигурация и применение групповой политики

www.dallaslock.ru

ПРЕИМУЩЕСТВА Dallas Lock 8.0

1. Формирование файла установкиВся необходимая для установки информация содержится в установочных пакетах имеющих расширение .msi

Для формирования msi-файла необходимо воспользоваться дополнительными инструментами или программами НЕУДОБНОDallasLock8.0 имеет механизм, позволяющий сформировать msi-файл системы защиты одним нажатием кнопки:

2. Технологический процесс установки msi-файла средствами AD

Удалённая установка средствами AD

25

26

ПРЕИМУЩЕСТВА Dallas Lock 8.0

Аппаратная идентификация

www.dallaslock.ru

Dallas Lock 8.0 позволяет в качестве средств опознавания пользователей использовать электронные идентификаторы

После назначения идентификатора для учетной записи, для входа в ОС помимо ввода авторизационной информации, необходимо предъявить и назначенный аппаратный идентификатор

Для идентификаторов типа USB-ключи Aladdin eToken Pro/Java, смарт-карты

Aladdin eToken PRO/SC, USB-ключи Rutoken (Рутокен) и Rutoken ЭЦП доступна

запись авторизационных данных в память идентификатора

27

ПРЕИМУЩЕСТВА Dallas Lock 8.0

Аппаратная идентификацияВозможны следующие способы авторизации:

* Для Dallas Lock 8.0-C выбор мандатного уровня (или - по умолчанию) останется обязательным при любом способе авторизации

Таким образом, в системе реализована двухфакторная аутентификация, присущая системамс повышенной защитой.

В тоже время аппаратная идентификацияобязательной не является

1. Выбор аппаратного идентификатора и заполнение всех авторизационных полей

2. Выбор аппаратного идентификатора и ввод только пароля (логин автоматически считывается с идентификатора)*

3. Выбор только аппаратного идентификатора (логин и пароль автоматически считываются с идентификатора)

4. Выбор аппаратного идентификатора и ввод только pin-кода идентификатора (логин и пароль автоматически считываются с идентификатора)

www.dallaslock.ru

28

ПРЕИМУЩЕСТВА Dallas Lock 8.0

www.dallaslock.ru

С помощью технологии Windows To Go на USB-накопителе создаётся рабочее пространство из ОС Windows 8 и файлов, папок и приложений, созданных при работе

После запуска ПК из рабочего пространства Windows To Go установка Dallas Lock 8.0 происходит в штатном режиме

Защита данных самого носителя осуществляется путём прозрачного преобразования области USB-накопителя

Защита путём разграничения доступа, контроля целостности и аудита осуществляется как при штатной работе Dallas Lock 8.0

Защита рабочего пространства Windows To Go

www.confident.ru29

Экономические аспекты Гибкая ценовая политика – заказчику

сертифицированная защита обходится дешевле• средняя стоимость защиты для крупных объектов – порядка

3300-4000 рублей за рабочее место\сервер с учетом централизованного управления

Низкая совокупная стоимость владения сертифицированным решением с учетом внедрения, эксплуатации, обучения персонала и штата по администрированию, а также продления технического сопровождения

• стоимость технического сопровождения 10% в год• сертифицированные обновления в рамках ТС – бесплатно• централизация развёртывания и управления минимизирует

расходы на штат и обучение специалистов

ПРЕИМУЩЕСТВА Dallas Lock 8.0

www.confident.ru30

Экономические аспекты

Критерии выбора СЗИ

Юридические аспектыТехнологические аспекты

…«Dallas Lock» - лучшее по совокупности

показателей программное решение для защиты информации от несанкционированного

доступа, отвечающее современным требованиям законодательства, обладающее необходимым и уникальным функционалом

Участие в мероприятиях по Информационной безопасности

Разработчик DALLAS LOCK

www.dallaslock.ru31

Участие в мероприятиях по Информационной безопасности

Выставочная деятельность и участие в профильных конференциях способствуют расширению рынков сбыта, развитию корпоративных связей, новых возможностей, партнерских отношений,положительно влияет на уровень информированности потенциальных заказчиков

Разработчик DALLAS LOCK

www.dallaslock.ru32

Сотрудничество с кафедрами выпускающими специалистов по

Информационной безопасности

Цель:Рост числа квалифицированных специалистов с навыками внедрения и администрирования Dallas Lock, т.к. данные специалисты востребованы на рынке труда

Для ВУЗов ЦЗИ ООО «Конфидент» предлагает:договор сотрудничества: • получение полнофункциональной версии Dallas

Lock (клиентская часть, СБ, Менеджер СБ)• бесплатный доступ к системе тестирования

технических специалистов по DL (выдается номерной сертификат специалиста DL)

Дополнительная информация – по запросу

Разработчик DALLAS LOCK

www.dallaslock.ru33

Команда

Разработчик DALLAS LOCK

www.dallaslock.ru34

Спасибо за внимание!

2013 г.

www.confident.ruwww.dallaslock.ru

Доступно здесь и сейчас

Дополнительная информация – по запросу

Демо, маркетинг, инструкции

www.dallaslock.ru