Решения для защиты ГИС и ИСПДн

Менеджер по продукту
Иван Бойцов
Решения для защиты ГИС и ИСПДн
29.05.2014, г. Санкт-Петербург
Приказ ФСТЭК № 17 от 11 февраля 2013 года
«Об утверждении Требований о защите информации, не
составляющей государственную тайну, содержащейся в
государственных информационных системах»
Приказ ФСТЭК № 21 от 18 февраля 2013 года
«Состав и содержание организационных и технических мер по
обеспечению безопасности персональных данных при их
обработке в информационных системах персональных
данных»
2
Область действия 17 приказа
• Государственные информационные системы –
федеральные ИС и региональные ИС, созданные на основании соответственно
федеральных законов, законов субъектов РФ, на основании правовых актов
государственных органов.
(кроме ГИС АП РФ, СовБез, ФС, Правительства РФ, КС, ВС, ВАС и ФСБ)
• Муниципальные информационные системы –
ИС, созданные на основании решения органа местного самоуправления.
• Для общедоступной информации – по желанию.
• Сведения, не составляющие государственную тайну.
Рекомендация - принять решение о применении настоящих Требований
для любой ИС в государственных органах.
149-ФЗ "Об информации, информационных технологиях и о защите информации"
3
Особенности
Только сертифицированные средства защиты информации
Список базовых мер в приложении № 1, реализуемые с
помощью СрЗИ и организационных мер
• Обязательна аттестация ГИС по требованиям защиты
информации:
– ГОСТ РО 0043-003-2012 «Защита информации. Аттестация
объектов информатизации. Общие положения»
– ГОСТ РО 0043-004-2013 «Защита информации. Аттестация
объектов информатизации. Программа и методики
аттестационных испытаний»
• «РД АС» и «СТР-К» не отменяются и действуют, СТР-К в части ТЗИ
обязательно, РД АС и СТР-К в остальном – по желанию
•
•
Информационное сообщение ФСТЭК от 15 июля 2013 г. N 240/22/2637
4
Определение класса ГИС
Уровень значимости определяется заказчиком (владельцем системы):
1. Высокий (возможны существенные негативные последствия в
социальной, политической, международной, экономической,
финансовой или иных областях деятельности (или) информационная
система и (или) оператор (обладатель информации) не могут выполнять
возложенные на них функции);
2. Средний (умеренные негативные последствия);
3. Низкий (незначительные негативные последствия);
4. Неопределенный.
Хотя бы для одного из свойств – конфиденциальности, целостности или
доступности.
Уровень
значимости
1
2
3
4
Масштаб информационной системы
Федеральный
Региональный
Объектовый
К1
К1
К2
К3
К1
К2
К3
К3
К1
К2
К3
К4
5
Применяемые средства защиты
№
п/п
СрЗИ сертифицированные по
требованиям безопасности
4
Класс защиты ГИС
3
2и1
Интернет
Интернет
1
2
3
4
5
Классы средств
вычислительной техники
(СВТ)
Классы систем обнаружения
вторжений (СОВ)
Классы средств антивирусной
защиты (САВ)
Классы межсетевых экранов
(МЭ)
Уровни контроля отсутствия
недекларированных
возможностей (НДВ)
5
5
5
5
5
4
4
5
5
4
4
4
4
3
-
-
4
3
4
6
Защита ИСПДн в ГИС
• Меры защиты по 17 приказу обеспечивают уровни
защищенности ПДн по 21 приказу
Класс
защиты
ГИС
1
2
3
4
Уровень защищенности ИСПДН
1
2
3
4
√
√
√
√
√
√
√
√
√
√
7
О компании
«Код Безопасности»
О компании «Код Безопасности»
• Российский разработчик программных и
аппаратных средств для защиты информации;
• 18 лет на рынке, более 300 человек заняты в R&D;
• Лицензии ФСТЭК, ФСБ, Минобороны России;
• Партнерства VMWare, Microsoft, Citrix;
• Около 800 партнеров.
Сертификация
Обеспечение безопасности информационных ресурсов и
приведение в соответствие требованиям законодательства.
Продукты сертифицированы и подходят для защиты ГИС и
ИСПДн всех классов и уровней защищенности, а также
коммерческой тайны, банковской тайны, конфиденциальной
информации и государственной тайны с грифом до «совершенно
секретно» включительно.
Продукты для защиты информации
ПАК «Соболь»
Аппаратно-программный модуль доверенной загрузки
12
ПАК «Соболь» - функции
1.
2.
3.
4.
5.
6.
7.
8.
Идентификация и аутентификация пользователей




iButton, iKey 2032
eToken PRO и eToken PRO (Java)
Rutoken, Rutoken RF S
Смарт-карты eToken PRO
Блокировка загрузки ОС со съемных носителей
Сторожевой таймер
Регистрация попыток доступа к ПЭВМ
Контроль целостности системного реестра Windows
Контроль целостности программной среды
Контроль конфигурации
Дополнительно - аппаратный ДСЧ
Secret Net
Классическое средство защиты от НСД на рабочих станциях и
серверах.
Лидер на российском рынке.
15-летняя история.
Более 1.200.000 установок.
14
Secret Net - функции
Secret Net - функции
Защита входа в систему
• Усиленная аутентификация пользователей
• Поддержка электронных идентификаторов
• Поддержка входа по стандартным сертификатам
Доверенная информационная среда
• Защита от несанкционированной загрузки с внешних носителей
• Замкнутая программная среда (контроль запуска приложений) с
широкими возможностями по настройке
• Контроль целостности приложений и данных
Контроль печати
• Разграничение доступа к принтерам
• Настраиваемая маркировки распечатываемых документов
Контроль утечек и каналов распространения информации
• Полномочное (мандатное) управление доступом
• Контроль вывода информации
• Теневое копирование отчуждаемой информации
• Гарантированное уничтожение информации
Secret Net - функции
Защита терминальной и VDI-инфраструктур
• Поддержка электронных идентификаторов
• Контроль устройств, подключаемых к терминальному серверу
• Контроль подключения устройств к виртуальной машине средствами
VDI
Контроль устройств и съемных носителей информации
• Контроль неизменности аппаратной конфигурации компьютера
• Контроль внешних устройств
• Централизованные политики
Централизованное управление, мониторинг и аудит
• Собственные механизмы централизованного управления политиками
• Работа с доменной инфраструктурой
• СУБД для сервера безопасности – Oracle Database или MS SQL Server
• Оперативный мониторинг, журналы, отчеты
Security Studio Endpoint Protection
• Персональный межсетевой экран
• Антивирус и антишпион
• Средство обнаружения вторжений (NIPS)
• Контроль приложений (HIPS)
• Веб-контроль
• Антиспам
• Централизованное развертывание, управление и обновление
Построен на технологии Agnitum Outpost
TrustAccess
Распределенный межсетевой экран,
основанный на технологиях Kerberos и IPSEC
•
•
•
•
•
•
•
•
•
•
Разграничения сетевого доступа на основе бизнес-ролей или
должностей пользователей
Ограничение доступа пользователей к файл-серверу на уровне
общих папок
Независимое разграничение доступа пользователей, работающих
на терминальных серверах
Сегментирование АС и ИСПДн без изменения конфигурации сети
Логическая изоляция АС и ИСПДн в одной локальной сети
предприятия без изменения топологии
Аутентификация сетевых соединений
Поддержка аппаратных идентификаторов
Фильтрация и защита сетевых соединений
Контроль целостности передаваемых данных
Централизованное управление и аудит событий безопасности
19
АПКШ «Континент»
Средство построения виртуальных частных сетей (VPN)
Шифрование трафика по ГОСТ 28147–89
20
Континент Т-10
Защищенный планшет на ОС Android с VPN-шифрованием
АПКШ «Континент»
22
vGate
•
•
•
•
•
•
•
•
Средство защиты виртуализации
VMware vSphere и Microsoft Hyper-V
Усиленная аутентификация;
Защита средств управления виртуальной
инфраструктурой и ESX-серверов от НСД;
Мандатное управление доступом;
Контроль целостности и доверенная загрузка;
Контроль целостности и защита от НСД;
Контроль доступа администраторов ВИ;
Регистрация событий;
Централизованное управление и мониторинг;
23
vGate
Подробнее – www.securitycode.ru
• Документация и
демоверсии
• Типовые схемы
применения
• Рекомендации по
настройке для
защиты различных
видов тайн
• Регулярные вебинары
по продуктам и
новинкам
законодательства
СПАСИБО ЗА ВНИМАНИЕ!
ВОПРОСЫ?
Иван Бойцов
Менеджер по продукту
тел: +7 (495) 982-30-20 доб. 462
+7 (812) 313-80-28
i.boytsov@securitycode.ru
www.securitycode.ru
www.ivanboytsov.ru