close

Вход

Забыли?

вход по аккаунту

?

Презентация

код для вставкиСкачать
Основные критерии
выбора СЗИ от НСД.
Особенности системы
Dallas Lock 8.0
www.dallaslock.ru
2013 г.
Что представляет
собой СЗИ от НСД
СЗИ от НСД
Системы защиты информации от
несанкционированного доступа
служат для защиты персонального
компьютера:
• от доступа к информации в нарушение
должностных полномочий сотрудников
• от доступа к закрытой для публичного доступа
информации со стороны лиц, не имеющих
разрешения
• от доступа к информации в объёме,
превышающем необходимый для выполнения
служебных обязанностей
представляют собой программный или
программно-аппаратный комплекс
1
www.confident.ru
СЗИ от НСД
Системы защиты информации от
несанкционированного доступа
Позволяют обеспечить защиту конфиденциальной информации организации в
соответствии с требованиями законодательства:
Федеральный Закон №98-ФЗ «О коммерческой тайне»
Федеральный Закон №152-ФЗ «О персональных данных»
Стандарт Банка России по обеспечению информационной
безопасности организаций банковской системы Российской
Федерации (СТО БР ИББС)
РД Гостехкомиссии РФ «Автоматизированные системы. Защита от
несанкционированного доступа к информации. Классификация
автоматизированных систем и требования по защите
информации»
РД Гостехкомиссии РФ «Защита от несанкционированного
доступа к информации. Часть 1. Программное обеспечение
средств защиты информации. Классификация по уровню
контроля недекларированных возможностей
Руководящий документ «Специальные требования и
рекомендации по технической защите конфиденциальной
информации» СТР-К
РД «Положение о методах и способах защиты информации в
информационных системах персональных данных»,
утвержденный Приказом ФСТЭК России от 05.02.2010 № 58
2
www.confident.ru
Показатели выбора
СЗИ от НСД
Показатели выбора СЗИ
ЗАКАЗЧИКИ ИНОГДА ГОВОРЯТ…
¿ Зачем она вообще нужна, эта СЗИ
¿ Мы приобретаем СЗИ и этого достаточно…
¿ Цена СЗИ – главный критерий…
¿ Использующаяся СЗИ не имеет сертификата…
¿ Сертификат был на момент приобретения…
¿ Не отвечает техподдержка разработчика…
3
¿ Разработчик устранил несовместимость, но…
www.confident.ru
Показатели выбора СЗИ
Юридические аспекты
Наличие сертификатов ФСТЭК по
различным уровням и классам РД
Оценка возможности использования в
информационных системах
персональных данных (ИСПДн)
определенного класса
История версий и продления
сертификатов, проведения
инспекционного контроля (ИК)
производителем
4
www.confident.ru
Показатели выбора СЗИ
Технико-технологические
аспекты
Технологическое совершенство продукта:
• Развитость функционала (помимо требований РД)
• Совместимость с другими технологиями и продуктами по ЗИ
(антивирус, межсетевой экран, VPN, криптопровайдер, IDS/IPS)
Надежность, удобство, апробированность:
• Простота внедрения (развертывания) для различных
конфигураций
• Простота управления системой защиты
• Стабильность работы и совместимость с Вашими
приложениями, ИС, СЗИ в режиме «жестких настроек»
• Проекты какого масштаба реализованы с использованием
данной СЗИ, количество внедрений
• Сроки присутствия решения на рынке и объектах заказчиков
5
www.confident.ru
Показатели выбора СЗИ
Экономические аспекты
Ценовая политика. Совокупная стоимость владения (TCO):
Первичное приобретение
Внедрение (сторонними силами)
Продление сопровождения
Условия получения исправлений/обновлений по
результатам ИК
Обновление (апгрейд) версий
Затраты на развертывание и управление СЗИ
собственными силами – в том числе:
•
•
•
заработная плата для штата администраторов безопасности
(администраторов СЗИ на всех площадках)
потери от простоя на время неработоспособности СЗИ
простота и «незаметность» для пользователей и необходимость
ресурсов для их обучения
Обучение администраторов и пользователей СЗИ
6
www.confident.ru
Dallas Lock 8.0
ЧТО ТАКОЕ DALLAS LOCK 8.0?
Система защиты информации от
несанкционированного доступа (СЗИ от НСД)
Dallas Lock 8.0
программный комплекс средств защиты информации (СЗИ) в ОС
семейства Windows, в процессе её хранения и обработки,
от несанкционированного доступа (НСД)
СЗИ от НСД Dallas Lock 8.0 предназначается для:
Разграничение доступа к защищаемым ресурсам
Аудит и регистрация событий безопасности
Контроль целостности программно-аппаратной среды
и данных
Защита информации в распределенных системах
7
www.dallaslock.ru
ЧТО ТАКОЕ DALLAS LOCK 8.0?
8
www.dallaslock.ru
О РАЗРАБОТЧИКЕ
О компании Конфидент
Разработчик – Группа компаний «Конфидент»
Год основания – 1992 г.
Персонал – более 200 человек
«К настоящему моменту «Конфидент» – это крупный
системный интегратор, который занимает лидирующие
позиции на российском рынке инженерных систем,
обеспечения информационной безопасности и защиты
информации, эксплуатации и технического обслуживания»,
- Петр Кузнецов, ген. директор.
9
www.dallaslock.ru
О РАЗРАБОТЧИКЕ
О компании Конфидент
ООО «Конфидент» обладает всеми необходимыми для осуществления
эффективной деятельности лицензиями ФСБ, ФСТЭК, МЧС России:
Лицензии ФСБ России
•
•
на право работы со сведениями, составляющими государственную
тайну рег. № 5168 от 30.09.2010 г.
на осуществление разработки, производства шифровальных
(криптографических) средств рег. № 8971П от 17.06.2010 г.
Лицензии ФСТЭК России
•
•
•
на проведение работ, связанных с созданием средств защиты
информации рег. № 1101 от 06.10.2011 г.
на осуществление мероприятий и (или) оказание услуг в области
защиты государственной тайны рег. № 1100 от 06.10.2011 г.
на деятельность по разработке и (или) производству средств
защиты конфиденциальной информации рег. № 0016
от 31.10.2002 г. (срок действия – бессрочно).
Лицензии Министерства обороны России
•
на деятельность в области создания средств защиты информации
рег. № 756 от 19.07.11 г.
Более 10 000 заказчиков в России и странах ближнего
зарубежья, среди которых:
10
Администрации областей и АО РФ (в том числе - Правительства Москвы и Санкт-Петербурга),
Министерство обороны РФ, Министерство внутренних дел РФ, Центральный банк РФ, Федеральная
налоговая служба РФ, Федеральная служба исполнения наказаний, Федеральное медико-биологическое
агентство, Федеральная таможенная служба, Росстат, Роскомнадзор, РАО Газпром, ОАО Связьинвест, ОАО
Норильский никель, ОАО Ленэнерго, ОАО Тюменьэнерго, ОАО Татнефть, Фонды обязательного
медицинского страхования, предприятия ОПК, другие организации и предприятия
www.dallaslock.ru
О РАЗРАБОТЧИКЕ
С чего все начиналось
1992 год 1993 год -
образование Ассоциации Защиты
Информации «Конфидент»
Ассоциация стала первой в России
негосударственной организацией,
получившей гос. лицензию на
деятельность в области защиты
информации
Первый офис
располагался в Смольном, поэтому
характерной чертой деятельности с
первых дней стала работа в тесном
сотрудничестве с гос. структурами
Первые
разработки:
программно-аппаратные СЗИ НСД
«Dallas Lock» и «Cerber Lock»,
которые дополнялись системами
управления доступом «Менуэт»
1995 год -
СЗИ НСД «Dallas Lock»
сертифицирована Гостехкомиссией
при Президенте РФ (ныне ФСТЭК)
11
www.dallaslock.ru
DALLAS LOCK 8.0
История создания
Эволюционный путь развития от простого замка на включение
компьютера под MS-DOS до современной распределенной
системы защиты информации:
Аппаратнопрограммный
комплекс для
Win 95, 98, NT
DL 8.0-K,C
DL 7.X
DL 4.1, 5.0
6.0 – Win 95, 98, ME
7.0 – Win 2003, XP
7.5 – централизованное
управление
7.7 – Win Vista, 7
Поддержка ОС Win x64
8.0-K – для
конфиденциальных
данных (1Г)
8.0-С – до уровня
«совершенно секретно»
(1Б)
12
www.dallaslock.ru
DALLAS LOCK 8.0
Сертификаты и уровни защиты
Характеристика
№
1
Класс защищенности (РД СВТ Защита от
НСД к информации. Показатели защищенности от
НСД к информации)
Dallas Lock 8.0-K
Dallas Lock 8.0-C
5
3
4
2
Уровень контроля НДВ (РД Защита от НСД
2
3
к информации. Часть 1. Программное обеспечение
СЗИ. Классификация по уровню контроля
отсутствия не декларированных возможностей)
Класс АС
(РД Автоматизированные системы.
До класса 1Г
До класса 1Б
Защита от НСД к информации. Классификация АС
включительно
включительно
и требования
по защитеуровень
информации)
«…Второй
контроля достаточен для ПО,
используемого при защите информации с грифом
«…При
разработке
АС для
информации,
являющейся
«Совершенно
секретно»
России,
Мининформсвязи
России
от 13обработки
февраля
До
1
класса
До 1 класса
2008 г. N 55/86/20
г. Москва «Об утверждении
собственностью
государства и отнесенной
к
категории
включительно
Четвертый
достаточениспользовать
для ПО, используемого
при 3включительно
Порядка
проведения классификации
секретной,
необходимо
СВТ
не
ниже
класса информационных
систем
персональных
данных»)
защите конфиденциальной
информации…»
для класса
защищенности АС 1Б;
При обработке или хранении информации, не отнесенной к
категории секретной (конфиденциальные данные)
- СВТ не ниже 5 класса - для класса защищенности АС 1Г…»
Класс ИСПДн (Приказ ФСТЭК России, ФСБ
4
13
www.dallaslock.ru
DALLAS LOCK 8.0
Наличие того или иного функционала
в СЗИ НСД обусловлено:
• требованиями согласно
Руководящим документам
• конкурентными требованиями и
уникальными возможностями
14
www.dallaslock.ru
DALLAS LOCK 8.0
Требования согласно РД
РД: Средства вычислительной техники. Защита от НСД к
информации. Показатели защищенности от НСД к информации
№
1
2
3
4
5
6
7
8
9
10
11
12
13
17
15
19
Наименование показателя
Дискреционный принцип контроля доступа
Мандатный принцип контроля доступа
Очистка памяти
Изоляция модулей
Маркировка документов
Защита ввода и вывода на отчуждаемый носитель
Сопоставление пользователя с устройством
Идентификация и аутентификация
Гарантии проектирования
Регистрация
Взаимодействие пользователя с КСЗ
Надежное восстановление
Целостность КСЗ
Тестирование
Документация
класс защищенности
5 8.0-K
+
+
+
+
+
+
+
+
3 8.0-C
+
+
+
+
+
+
+
+
+
+
+
+
+
+
+
www.dallaslock.ru
РЕАЛИЗАЦИЯ ТРЕБОВАНИЙ
Требования к оборудованию для
корректной работы
Недостатки
решений
в
Dallas Lockтиповых
8.0
Замена
аппаратной
частиаппаратная
программными
Требуется
обязательная
решениями
=> «Прозрачное
преобразование
составляющая
=> возрастает
время
жесткого
диска»
(данные
преобразованного
внедрения, возникают проблемы с установкой
диска
не могут
бытьотпрочитаны
ни на платы
одном
на ноутбуки
(отказ
использования
другом
кромезащиты)
того, на котором
влечеткомпьютере,
снижение класса
выполнено преобразование)
НЕУДОБНО
в
Недостатки
Dallas Lockтиповых
8.0
решений
Требуется
установка
сторонней
СУБД
=>
Не
требуется
установки
стороннего
программного
увеличиваются
время
внедрения,
стоимость,
обеспечения,
кроме
утилит
аппаратных
требования к администратору безопасности
идентификаторов.
Используются аппаратные идентификаторы:
• USB-flash-накопители
Требуется
наличие Active Directory,
дополнительная
модификация AD =>
• ключи Touch Memory
увеличиваются
внедрения, стоимость,
• смарт-картывремя
eToken
требования к квалификации системного
• USB-ключи eToken
администратора,
риски ,
• USB-ключи
ruToken
стабильной
работы
сетии ruToken ЭЦП
НЕУДОБНО
НЕУДОБНО
16
www.dallaslock.ru
РЕАЛИЗАЦИЯ ТРЕБОВАНИЙ
Подсистема управления доступом
в
Dallas Lockтиповых
8.0
Недостатки
решений
Используютсядва
средства
NTFS
для
Используются
принципа
разграничения
настройки
доступа
доступа (применяется полностью
независимый от ОС механизм):
Отсутствует
возможность переименования
• дискреционный
меток
конфиденциальности мандатного
• мандатный
доступа;
ограниченный
меток к
Разграничения
касаются набор
прав доступа
объектам ФС, локальным, сетевым,
Отсутствуетресурсам,
разграничение
доступа
к
аппаратным
сменным
накопителям
удаленным папкам общего пользования
НЕУДОБНО
в
Dallas Lockтиповых
8.0
Недостатки
решений
Настройка
параметров требованиями
входа в систему:
Негибкое управление
• пароли: минимальная длина, необходимое
к паролям
наличие цифр, спец. символов, строчных и
прописных букв, срок действия и проч.
Отсутствует
возможность
создания
• генератор
сложных паролей
замкнутой
программной
среды,
режимазагрузки
• включения
механизма
доверенной
обучения, «мягкий» режима
Возможность
настройки особых
режимов
Отсутствует
возможность
делегирования
доступа:
Замкнутой СЗИ
программной
среды,
прав
на управление
НСД
«мягкого режима», «режима обучения»
17
НЕУДОБНО
НЕУДОБНО
НЕУДОБНО
Делегирование прав или части прав на
администрирование СЗИ
www.dallaslock.ru
РЕАЛИЗАЦИЯ ТРЕБОВАНИЙ
Подсистема контроля целостности
Недостатки
решений
в
Dallas Lockтиповых
8.0
Контроль целостности
программноОтсутствует
возможность
аппаратной
среды
и
ресурсов
блокировки компьютера при файловойНЕУДОБНО
системы при
загрузке компьютера
нарушении
целостности
Контроль целостности ресурсов файловой
системы
и программно-аппаратной
среды по
Отсутствует
контроль
команде
администратора
и
через
заданные
целостности ФС по расписанию
НЕУДОБНО
интервалы
времени (периодический
или по команде
контроль)
Контроль
целостности
Отсутствуют
средства файлов при
доступе
к ним системы
НЕУДОБНО
восстановления
защиты
Блокировка компьютера при выявлении
изменений
Механизмы сохранения резервной копии
файлов системы, сохранения конфигурации
системы, возврата к настройкам по
умолчанию
18
www.dallaslock.ru
РЕАЛИЗАЦИЯ ТРЕБОВАНИЙ
Подсистема регистрации и учета
Недостатки
решений
в
Dallas Lockтиповых
8.0
Используются
средства
NTFS для и
Параметры
аудита
для глобальных
аудита действий
пользователей
по
локальных
объектов
настраиваются
доступу
к
файловой
системе
собственными независимыми от ОС
средствами
НЕУДОБНО
в
Dallas Lockтиповых
8.0
Недостатки
решений
Ведение 6-ти журналов регистрации
Используется
один журнал для всех
событий:
событий,
его
записи избыточны и
• журнал
входов
занимают
объем
• журналбольшой
управления
учетными
записями
• журнал доступа к ресурсам
• журнал печати
• журнал управления политиками
• журнал процессов
НЕУДОБНО
Возможность архивации, экспорта
записей, применения фильтров
19
www.dallaslock.ru
ПРЕИМУЩЕСТВА Dallas Lock 8.0
Централизованное управление
Модуль «Сервер безопасности» Dallas Lock
(СБ) устанавливается на защищенный
компьютер
Другие защищенные компьютеры, введенные
под управление СБ, образуют «Домен
безопасности» (ДБ) и становятся клиентами СБ
С помощью СБ возможна установка Dallas Lock
на ПК и ввод защищенных ПК в ДБ
С помощью СБ возможно:
централизованное управление политиками
безопасности, просмотр состояния, сбор
журналов, создание/удаление/редактирование
параметров пользователей и прочее
С помощью модуля «Менеджер серверов
безопасности» можно объединить несколько ДБ
и применять параметры безопасности для всего
«Леса безопасности»
ДБ
ДБ
ДБ
Лес безопасности
ДБ
20
www.dallaslock.ru
ПРЕИМУЩЕСТВА Dallas Lock 8.0
Удалённая установка средствами СБ
1. Формирование
списка ПК для
установки
2. Добавление
дистрибутива и
заполнение
параметров
3. Установка DL и
перезагрузка
клиентского ПК
21
www.dallaslock.ru
ПРЕИМУЩЕСТВА Dallas Lock 8.0
Защита рабочего пространства
Windows To Go
Защита путём
С помощью технологии
разграничения
доступа,
После запуска
ПК
Windows To Go
целостности и
из
рабочего
на USB-накопителе контроля
аудита осуществляется
пространства
создаётся рабочее
как
при штатной работе
Windows
To Go
Lock 8.0
пространство из ОС Dallas
установка
Windows 8
Dallas Lock 8.0
и файлов, папок и
Защита
данных в
самого
происходит
приложений,
штатном режиме
созданных при работе носителя
осуществляется путём
прозрачного
преобразования области
USB-накопителя
26
www.dallaslock.ru
ПРЕИМУЩЕСТВА Dallas Lock 8.0
Экономические аспекты
Гибкая ценовая политика – заказчику
сертифицированная защита обходится дешевле
•
средняя стоимость защиты для крупных объектов – порядка
3300-4000 рублей за рабочее место\сервер с учетом
централизованного управления
Низкая совокупная стоимость владения
сертифицированным решением с учетом внедрения,
эксплуатации, обучения персонала и штата по
администрированию, а также продления
технического сопровождения
•
•
•
стоимость технического сопровождения 10% в год
сертифицированные обновления в рамках ТС – бесплатно
централизация развёртывания и управления минимизирует
расходы на штат и обучение специалистов
27
www.dallaslock.ru
ПРЕИМУЩЕСТВА Dallas Lock 8.0
Юридические аспекты
Компания - разработчик обладает всеми
необходимыми для разработки системы защиты
лицензиями ФСБ и ФСТЭК
Периодическое продление сертификатов и
инспекционного контроля всех актуальных версий
28
Версия
Класс
АС
Класс
ИСПДн
Центра
лизова
нное
управл
ение
Поддерживаемые ОС
Dallas Lock 7.0
1Б
-
Нет
Windows 2000/XP х32
Dallas Lock 7.5
1Б
К1
Есть
Windows 2000/XP/2003
х32
Dallas Lock 7.7
1Б
К1
Есть
Windows
XP/2003/Vista/2008/7 х32
Dallas Lock 8.0-K
1Г
К1
Есть
Windows
XP/2003/Vista/2008/7/200
8 R2
х32/х64
Dallas Lock 8.0-С
1Б
К1
Есть
Windows
XP/2003/Vista/2008/7/200
8 R2/8/2012 х32/х64
Поддерживаемые
аппаратные
идентификаторы
USB eToken, iButton,
смарт-карта
USB eToken, iButton,
смарт-карта
USB eToken, USB
ruToken, iButton, смарткарта
USB eToken, USB
ruToken, iButton, смарткарта, USB-Flashнакопители
USB eToken, USB
ruToken, iButton, смарткарта, USB-Flashнакопители
Сертификат соответствия
№896 от 06.05.2004 г.
продлен до 11.05.2013 г.
№1685 от 18.09.2008 г.
продлен до 18.09.2014 г.
№2209 от 19.11.2010 г.
действителен до
19.11.2013 г.
№2720 от 25.09.2012 г.
действителен до
25.09.2015 г.
Версия системы проходит
сертификационные
испытания
www.dallaslock.ru
Особенности Dallas Lock 8.0
Технологические аспекты
Юридические аспекты
Экономические аспекты
…
«Dallas Lock» - лучшее по совокупности
показателей программное решение для защиты
информации от несанкционированного
доступа, отвечающее современным
требованиям законодательства, обладающее
необходимым и уникальным функционалом
29
www.confident.ru
Спасибо за внимание!
Сергей Кузнецов
Руководитель отдела по работе с партнерами ЦЗИ ООО «Конфидент»
ksp@confident.spb.ru
(812) 325-1037
www.dallaslock.ru
2013 г.
Документ
Категория
Презентации
Просмотров
132
Размер файла
9 089 Кб
Теги
1/--страниц
Пожаловаться на содержимое документа