Менеджер по продукту Иван Бойцов Решения для защиты ГИС и ИСПДн 29.05.2014, г. Санкт-Петербург Приказ ФСТЭК № 17 от 11 февраля 2013 года «Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах» Приказ ФСТЭК № 21 от 18 февраля 2013 года «Состав и содержание организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных» 2 Область действия 17 приказа • Государственные информационные системы – федеральные ИС и региональные ИС, созданные на основании соответственно федеральных законов, законов субъектов РФ, на основании правовых актов государственных органов. (кроме ГИС АП РФ, СовБез, ФС, Правительства РФ, КС, ВС, ВАС и ФСБ) • Муниципальные информационные системы – ИС, созданные на основании решения органа местного самоуправления. • Для общедоступной информации – по желанию. • Сведения, не составляющие государственную тайну. Рекомендация - принять решение о применении настоящих Требований для любой ИС в государственных органах. 149-ФЗ "Об информации, информационных технологиях и о защите информации" 3 Особенности Только сертифицированные средства защиты информации Список базовых мер в приложении № 1, реализуемые с помощью СрЗИ и организационных мер • Обязательна аттестация ГИС по требованиям защиты информации: – ГОСТ РО 0043-003-2012 «Защита информации. Аттестация объектов информатизации. Общие положения» – ГОСТ РО 0043-004-2013 «Защита информации. Аттестация объектов информатизации. Программа и методики аттестационных испытаний» • «РД АС» и «СТР-К» не отменяются и действуют, СТР-К в части ТЗИ обязательно, РД АС и СТР-К в остальном – по желанию • • Информационное сообщение ФСТЭК от 15 июля 2013 г. N 240/22/2637 4 Определение класса ГИС Уровень значимости определяется заказчиком (владельцем системы): 1. Высокий (возможны существенные негативные последствия в социальной, политической, международной, экономической, финансовой или иных областях деятельности (или) информационная система и (или) оператор (обладатель информации) не могут выполнять возложенные на них функции); 2. Средний (умеренные негативные последствия); 3. Низкий (незначительные негативные последствия); 4. Неопределенный. Хотя бы для одного из свойств – конфиденциальности, целостности или доступности. Уровень значимости 1 2 3 4 Масштаб информационной системы Федеральный Региональный Объектовый К1 К1 К2 К3 К1 К2 К3 К3 К1 К2 К3 К4 5 Применяемые средства защиты № п/п СрЗИ сертифицированные по требованиям безопасности 4 Класс защиты ГИС 3 2и1 Интернет Интернет 1 2 3 4 5 Классы средств вычислительной техники (СВТ) Классы систем обнаружения вторжений (СОВ) Классы средств антивирусной защиты (САВ) Классы межсетевых экранов (МЭ) Уровни контроля отсутствия недекларированных возможностей (НДВ) 5 5 5 5 5 4 4 5 5 4 4 4 4 3 - - 4 3 4 6 Защита ИСПДн в ГИС • Меры защиты по 17 приказу обеспечивают уровни защищенности ПДн по 21 приказу Класс защиты ГИС 1 2 3 4 Уровень защищенности ИСПДН 1 2 3 4 √ √ √ √ √ √ √ √ √ √ 7 О компании «Код Безопасности» О компании «Код Безопасности» • Российский разработчик программных и аппаратных средств для защиты информации; • 18 лет на рынке, более 300 человек заняты в R&D; • Лицензии ФСТЭК, ФСБ, Минобороны России; • Партнерства VMWare, Microsoft, Citrix; • Около 800 партнеров. Сертификация Обеспечение безопасности информационных ресурсов и приведение в соответствие требованиям законодательства. Продукты сертифицированы и подходят для защиты ГИС и ИСПДн всех классов и уровней защищенности, а также коммерческой тайны, банковской тайны, конфиденциальной информации и государственной тайны с грифом до «совершенно секретно» включительно. Продукты для защиты информации ПАК «Соболь» Аппаратно-программный модуль доверенной загрузки 12 ПАК «Соболь» - функции 1. 2. 3. 4. 5. 6. 7. 8. Идентификация и аутентификация пользователей iButton, iKey 2032 eToken PRO и eToken PRO (Java) Rutoken, Rutoken RF S Смарт-карты eToken PRO Блокировка загрузки ОС со съемных носителей Сторожевой таймер Регистрация попыток доступа к ПЭВМ Контроль целостности системного реестра Windows Контроль целостности программной среды Контроль конфигурации Дополнительно - аппаратный ДСЧ Secret Net Классическое средство защиты от НСД на рабочих станциях и серверах. Лидер на российском рынке. 15-летняя история. Более 1.200.000 установок. 14 Secret Net - функции Secret Net - функции Защита входа в систему • Усиленная аутентификация пользователей • Поддержка электронных идентификаторов • Поддержка входа по стандартным сертификатам Доверенная информационная среда • Защита от несанкционированной загрузки с внешних носителей • Замкнутая программная среда (контроль запуска приложений) с широкими возможностями по настройке • Контроль целостности приложений и данных Контроль печати • Разграничение доступа к принтерам • Настраиваемая маркировки распечатываемых документов Контроль утечек и каналов распространения информации • Полномочное (мандатное) управление доступом • Контроль вывода информации • Теневое копирование отчуждаемой информации • Гарантированное уничтожение информации Secret Net - функции Защита терминальной и VDI-инфраструктур • Поддержка электронных идентификаторов • Контроль устройств, подключаемых к терминальному серверу • Контроль подключения устройств к виртуальной машине средствами VDI Контроль устройств и съемных носителей информации • Контроль неизменности аппаратной конфигурации компьютера • Контроль внешних устройств • Централизованные политики Централизованное управление, мониторинг и аудит • Собственные механизмы централизованного управления политиками • Работа с доменной инфраструктурой • СУБД для сервера безопасности – Oracle Database или MS SQL Server • Оперативный мониторинг, журналы, отчеты Security Studio Endpoint Protection • Персональный межсетевой экран • Антивирус и антишпион • Средство обнаружения вторжений (NIPS) • Контроль приложений (HIPS) • Веб-контроль • Антиспам • Централизованное развертывание, управление и обновление Построен на технологии Agnitum Outpost TrustAccess Распределенный межсетевой экран, основанный на технологиях Kerberos и IPSEC • • • • • • • • • • Разграничения сетевого доступа на основе бизнес-ролей или должностей пользователей Ограничение доступа пользователей к файл-серверу на уровне общих папок Независимое разграничение доступа пользователей, работающих на терминальных серверах Сегментирование АС и ИСПДн без изменения конфигурации сети Логическая изоляция АС и ИСПДн в одной локальной сети предприятия без изменения топологии Аутентификация сетевых соединений Поддержка аппаратных идентификаторов Фильтрация и защита сетевых соединений Контроль целостности передаваемых данных Централизованное управление и аудит событий безопасности 19 АПКШ «Континент» Средство построения виртуальных частных сетей (VPN) Шифрование трафика по ГОСТ 28147–89 20 Континент Т-10 Защищенный планшет на ОС Android с VPN-шифрованием АПКШ «Континент» 22 vGate • • • • • • • • Средство защиты виртуализации VMware vSphere и Microsoft Hyper-V Усиленная аутентификация; Защита средств управления виртуальной инфраструктурой и ESX-серверов от НСД; Мандатное управление доступом; Контроль целостности и доверенная загрузка; Контроль целостности и защита от НСД; Контроль доступа администраторов ВИ; Регистрация событий; Централизованное управление и мониторинг; 23 vGate Подробнее – www.securitycode.ru • Документация и демоверсии • Типовые схемы применения • Рекомендации по настройке для защиты различных видов тайн • Регулярные вебинары по продуктам и новинкам законодательства СПАСИБО ЗА ВНИМАНИЕ! ВОПРОСЫ? Иван Бойцов Менеджер по продукту тел: +7 (495) 982-30-20 доб. 462 +7 (812) 313-80-28 [email protected] www.securitycode.ru www.ivanboytsov.ru