Dallas Lock 8.0

Download Report

Transcript Dallas Lock 8.0 

Опыт построения системы защиты
персональных данных на основе
«Dallas Lock 8.0»
Полянский Денис
Руководитель проектного отдела
ООО «Конфидент»
План доклада
1.
2.
3.
4.
Коротко о СЗИ от НСД Dallas Lock 8.0.
Реализованные проекты.
Особенности внедрения Dallas Lock.
Использование Dallas Lock 8.0 в связи с изменениями
требованиями.
1. Dallas Lock 8.0
СЗИ от НСД Dallas Lock 8.0 представляет собой
Программный комплекс средств защиты информации (СЗИ)
в автоматизированных системах, в процессе её хранения и
обработки, от несанкционированного доступа (НСД)
СЗИ от НСД Dallas Lock 8.0 предназначен для:
 разграничения доступа к информационным ресурсам
 аудита действий пользователей
 обеспечения целостности программных средств и
обрабатываемой информации
 централизованного управления механизмами
безопасности
Сертификаты ФСТЭК России позволяют использовать
СЗИ от НСД Dallas Lock для защиты:
• конфиденциальной информации и государственной тайны в
автоматизированных системах до класса 1Б включительно;
• информационных систем персональных данных до класса К1
включительно.
Инфраструктура объектов ТЭК
• 1000 АРМ ИСПДн;
• 10 филиалов;
• каналы связи от 128 Кбит\сек до 10
Мбит\сек.
Инфраструктура
Географически удаленные объекты, каналы связи различных технологий,
принадлежности, пропускной способности;
Гетерогенная программно-аппаратная среда.
Цели и задачи
• Приведение
информационных
систем
персональных данных (ИСПДн) и процессов
обработки
персональных
данных
(ПДн)
в
соответствие с требованиями законодательства
РФ;
• Снижение уровня рисков несанкционированного
доступа к ПДн;
• Повышение
общего
уровня
корпоративных ресурсов .
защищенности
Этапы работ
ГОСТ серии 34, СТР-К.
1. Предпроектное обследование:
-
Сбор и анализ исходных данных о технической инфраструктуре и
информационных системах;
Определение видов конфиденциальной информации.
Анализ процессов обработки конфиденциальной информации.
Этапы работ
2. Определение актуальных угроз:
• Модель угроз и нарушителя
Этапы работ
3. Классификация ИСПДн:
• Акт классификации.
Этапы работ
4. Разработка организационнораспорядительной документации:
•
•
•
•
Приказы;
Положение об обработке и защите персональных данных;
Инструкции, руководства;
Журналы учета, шаблоны, формы документов.
Этапы работ
5. Определение требований к
создаваемой СЗПДн:
• Техническое (частное) техническое задание.
Этапы работ
5. Эскизное проектирование:
• Пояснительная записка к эскизному проекту;
• Стендовые испытания.
Этапы работ
6. Технорабочее проектирование:
• Пояснительная записка к техническому проекту;
• Рабочая и эксплуатационная документация (Схемы
установки, инструкции по эксплуатации).
Этапы работ
7. Установка и монтаж:
• Поставка компонентов СЗПДн (средств защиты);
• Создания пилотной зоны и тестирование;
• Установка и настройка средств защиты информации.
Этапы работ
8. Ввод в действие:
•
•
•
•
Предварительные испытания;
Опытная эксплуатация;
Приемочные испытания;
Оценка соответствия (аттестация).
СЗПДн
Угрозы
мобильно
го доступа
Угрозы
межсетевого
Средства
резервного
взаимодейст
виякопирования
Угрозы
Встроенные
механизмы
использован
систем
ия
внешних
Орг.
меры
Угрозы
воздействия
вредоносного
ПО
СКЗИ
Межсетевые
Риски
экраны
претензий
регулятор
ов
Угрозы
слабыхСредства
политик
предотвращения
вторжений
безопасности
носителей
CЗИ от
НСД
Угрозы
нарушения
целостност
и ПДн
Угрозы
претензий
регуляторов
Средства
Угрозы
антивирусной
незарегистри
защиты
рованных
действий
нарушителя
Средства
Риски
анализа
ошибок
конфигура
защищенности
ции ПО
Актуальные угрозы безопасности ПДн и их
нейтрализация с помощью Dallas Lock
Анализ моделей угроз позволяет сделать вывод о возможностях
DallasLock по закрытию угроз безопасности конфиденциальной информации:
•
•
•
•
угрозы НСД;
угрозы незарегистрированных действий нарушителей;
угрозы целостности персональных данных;
сетевые угрозы (частично).
Подсистемы
Подсистемы СЗПДн
управление доступом
регистрация и учет
обеспечение целостности
сетевой защиты (межсетевое экранирование)
криптографическая защита
обнаружение вторжений
анализ защищенности
антивирусной защиты
централизованного управления
Особенности
внедрения Dallas Lock
• Поддержка служб каталогов Novell eDirectory и Microsoft AD;
• Удаленная установка средствами AD, СБ или через сформированный
на СБ дистрибутив с предустановленными параметрами для связи
(Сервер-клиент);
• Использование собственных механизмов защиты, отличных от
механизмов операционной системы;
• Возможность создания доменов безопасности под управлением
сервера безопасности Dallas Lock, политики которых накладываются
на доменные политики Active Directory;
• Совместимость с другими средствами защиты (антивирусы, СКЗИ и
т.д.).
Авторизация посредством доменных служб
СЗИ от НСД на базе Dallas Lock с использованием сервера
безопасности Dallas Lock
DallasLock для удаленных пользователей
с защищенным каналом связи
Dallas Lock в территориально-удаленных филиалах
Новые требования
1119 постановление правительства РФ «Об утверждении требований к
защите персональных данных при их обработке в информационных
системах персональных данных». Краткий обзор:
Типы угроз:
• 1 тип - НДВ системного ПО;
• 2 тип - НДВ прикладного ПО;
• 3 тип- Не связанные с НДВ.
Тип ИСПДн:
• Специальные;
• Биометрические;
• Общедоступные;
• Иные.
Принадлежность:
• Являющиеся ПДн сотрудников оператора;
• Не являющиеся ПДн сотрудников оператора.
Уровни защищенности:
1 уровень;
• - угрозы 1 типа для специальных, биометрических или иных ПДн;
• - угрозы 2 типа для специальных категорий более 100000 субъектов, не
являющихся сотрудниками оператора.
2 уровень;
3 уровень;
4 уровень.
Категории ПДн
Специальные
Биометрические
Общедоступные
Иные
Типы угроз
Защищенность
1 УРОВЕНЬ
НДВ сист. ПО
2 УРОВЕНЬ
НДВ прикл. ПО
3 УРОВЕНЬ
Не связанные с
НДВ
4 УРОВЕНЬ
Требования по обеспечению уровня защищенности
4 УРОВЕНЬ
Помещения
1 УРОВЕНЬ
Регистр. изм.
полномочий
Носителей
Список лиц
СрЗИ
Другие
Требования обеспечения защищенности:
4 уровень
• Ограничение доступа в помещения для обработки ПДн;
• Сохранность носителей ПДн;
• Перечень лиц;
• Использование СЗИ, прошедших процедуру оценки соответствия,
нейтрализующие угрозы;
3 уровень
• Назначается должностное лицо, ответственное за безопасность ПДн;
2 уровень
• Электронный журнал сообщений, ограничение доступа к электронному
журналу только для должностных лиц;
1 уровень
• Автоматическая регистрация изменения полномочий по доступу к ПДн;
• Структурное подразделение безопасности.
• Dallas Lock имеет необходимые сертификаты для
защиты конфиденциальной информации и ПДн;
• Dallas Lock ведет электронные журналы доступа к
информационным ресурсам, а так же изменения
полномочий субъектов на системном уровне;
• Доступ к электронным журналам регистрации событий
безопасности имеют только администраторы.
Проекты новых постановлений
правительства по защите конфиденциальной
информации
Проект приказа ФСТЭК России «Об утверждении состава и содержания
организационных и технических мер по обеспечению безопасности
персональных данных при их обработке в информационных системах
персональных данных»
Проект приказа ФСТЭК России «Об утверждении требований о защите
информации, не составляющей государственную тайну, содержащейся в
государственных информационных системах» с Требованиями о защите
информации, не составляющей государственную тайну, содержащейся в
государственных информационных системах
Подсистемы
Обеспечение доверенной загрузки (ДЗГ)
Идентификация и аутентификация субъектов доступа и
объектов доступа (ИАФ)
Управление доступом субъектов доступа к объектам доступа
Ограничение программной среды (ОПС)
Защита машинных носителей информации (ЗНИ)
Регистрация событий безопасности (РСБ)
Обеспечение целостности информационной системы и
информации (ОЦЛ)
Защита среды виртуализации (ЗСВ)
Защита информационной системы, ее средств и систем
связи и передачи данных (ЗИС)
Спасибо за внимание!
Вопросы?