ЭЛВИС ПЛЮС. Сергей Акимов. " Построение среды доверия на базе средств криптографической защиты - путь

© АО “ЭЛВИС-ПЛЮС”, 2016 elvis.ru



Источник: Infowatch «Глобальное исследование утечек конфиденциальной информации в I полугодии 2015 года»

2



Источник: Infowatch «Глобальное исследование утечек конфиденциальной информации в I полугодии 2015 года»

3



Источник: Infowatch «Глобальное исследование утечек конфиденциальной информации в I полугодии 2015

года»

4



Удобным и лёгким

2

Совместимым с привычными ОС и ППП3

Российским4

5

6

Производительным

Надёжным с точки зрения защиты

С безопасным удалённым доступом

5



- Несанкционированный доступ к мобильному устройству;

- использование мобильных устройств для осуществления несанкционированного доступа к ресурсам компании.

6



7

1. Физического доступа к накопителю (потеря, кража, подмена)

2. Изменения среды функционирования (вредоносное ПО)

3. Перехвата информации в канале связи

!



1. Сложность в реализации

2. Аппаратная несовместимость с мобильными устройствами

3. Сложность в обслуживании и эксплуатации

4. Неудобство использования

8



9

+



Федеральный закон (Статья 19. ФСБ и ФСТЭК определяют состав и содержание мер по защите ПД, контроль и надзор за их выполнением, согласование НПА ФОИВ)

Постановления и распоряжения Правительства РФ• ПП № 940 «Правила согласования проектов решений ассоциаций, союзов и иных

объединений операторов об определении дополнительных угроз безопасности ПДн, актуальных при обработке в ИСПДн, … с ФСТЭК и ФСБ», 2012

• ПП № 1119 «Требования к защите ПДн при их обработке в ИСПДн» 2012г.

Документы ФСБ• Приказ ФСБ № 378 от 10 июля 2014г.«Состав и содержание организационных и

технических мер по обеспечению безопасности ПДн с использованием СКЗИ при их обработке в ИСПДн…….»

10



Приказ ФСБ РФ от 9 февраля 2005 г. N 66 "Об утверждении Приказ ФСБ РФ от 9 февраля 2005 г. N 66 "Об утверждении Положения о разработке, производстве, реализации и эксплуатации Положения о разработке, производстве, реализации и эксплуатации шифровальных (криптографических) средств защиты информации шифровальных (криптографических) средств защиты информации (Положение ПКЗ-2005)" (с изменениями от 12 апреля 2010 г.);(Положение ПКЗ-2005)" (с изменениями от 12 апреля 2010 г.);

Приказ ФАПСИ от 13 июня 2001 г. N 152 «Об утверждении Приказ ФАПСИ от 13 июня 2001 г. N 152 «Об утверждении Инструкции об организации и обеспечении безопасности хранения, Инструкции об организации и обеспечении безопасности хранения, обработки и передачи по каналам связи с использованием средств обработки и передачи по каналам связи с использованием средств криптографической защиты информации с ограниченным доступом, криптографической защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну».не содержащей сведений, составляющих государственную тайну».

11



ОсобоОсобо

О «Методических рекомендациях по разработке нормативных О «Методических рекомендациях по разработке нормативных правовых актов, определяющих угрозы безопасности персональных правовых актов, определяющих угрозы безопасности персональных

данных, актуальные при обработке персональных данных в данных, актуальные при обработке персональных данных в информационных системах персональных данных, эксплуатируемых информационных системах персональных данных, эксплуатируемых

при осуществлении соответствующих видов деятельности». при осуществлении соответствующих видов деятельности».

Утвержден руководством 8 Центра ФСБ России 31 марта 2015 года.Утвержден руководством 8 Центра ФСБ России 31 марта 2015 года.

12



ОСНОВНЫЕ РАЗДЕЛЫ ОСНОВНЫЕ РАЗДЕЛЫ

1.1.Рекомендации по описанию Информационных систем персональных данных при Рекомендации по описанию Информационных систем персональных данных при осуществлении соответствующих видов деятельности.осуществлении соответствующих видов деятельности.

2.2.Определение актуальности использования СКЗИ для обеспечения безопасности Определение актуальности использования СКЗИ для обеспечения безопасности персональных данныхперсональных данных

3.3.Определение актуальных угроз (Рекомендации по определению актуальности угроз в Определение актуальных угроз (Рекомендации по определению актуальности угроз в зависимости от типа информационной системы, анализ компенсирующих мер, зависимости от типа информационной системы, анализ компенсирующих мер, позволяющих снизить класс защищенности СКЗИ, описание объектов защиты и т.д). позволяющих снизить класс защищенности СКЗИ, описание объектов защиты и т.д). И главное, примеры обоснований и выбора актуальных угроз с заполнением И главное, примеры обоснований и выбора актуальных угроз с заполнением соответствующих таблиц…соответствующих таблиц…

13



Когда же необходимо использовать СКЗИ?Когда же необходимо использовать СКЗИ?

-если персональные данные подлежат криптографической защите в соответствии с -если персональные данные подлежат криптографической защите в соответствии с законодательством Российской Федерации;законодательством Российской Федерации;-если в информационной системе существуют угрозы, которые могут быть -если в информационной системе существуют угрозы, которые могут быть нейтрализованы только с помощью СКЗИ.нейтрализованы только с помощью СКЗИ.

Когда угрозы могут быть нейтрализованы только с помощью СКЗИ"?Когда угрозы могут быть нейтрализованы только с помощью СКЗИ"?

- передача персональных данных по каналам связи, не защищенным от перехвата - передача персональных данных по каналам связи, не защищенным от перехвата нарушителем передаваемой по ним информации (например, при передаче нарушителем передаваемой по ним информации (например, при передаче персональных данных по информационно-телекоммуникационным сетям общего персональных данных по информационно-телекоммуникационным сетям общего пользования);пользования);-хранение персональных данных на носителях информации, несанкционированный хранение персональных данных на носителях информации, несанкционированный доступ к которым со стороны нарушителя не может быть исключен с помощью не доступ к которым со стороны нарушителя не может быть исключен с помощью не криптографических методов и способов;криптографических методов и способов;

14



При обработке информации должен быть При обработке информации должен быть обеспечен требуемый уровень доверия:обеспечен требуемый уровень доверия:

• К окружениюК окружению• К субъектамК субъектам• К правилам (политике)К правилам (политике)• К аппаратной платформе (К аппаратной платформе (Hard)Hard)• К программной платформе (К программной платформе (Soft)Soft)• К каналам передачиК каналам передачи

15



При обработке информации должен быть обеспечен требуемый уровень доверия:

• К окружению• К субъектам• К правилам (политике)• К аппаратной платформе (Hard)• К программной платформе (Soft)• К каналам передачи

16





17



Контроль целостности• Аппаратная конфигурация• BIOS• Начальный сектор диска• Специальное ПО ЭЛВИС-ПЛЮС• Критичные файлы и настройки ОС

Усиленная аутентификация• PIN• Token

Прозрачное шифрование (ГОСТ 28147-89)• Доверенная ОС• Пользовательские данные• Временные файлы, файлы подкачки и др.

18



Высокая производительность шифрованияВысокая производительность шифрования

Комфортная работа без задержек

e8918259cbed8ae42ba1c44a89a8cf2356965d0bcad0e85

19



В отличие от аналогичных решений технология БДМ В отличие от аналогичных решений технология БДМ шифруетшифрует не только пользовательские данные и не только пользовательские данные и

системный раздел, но исистемный раздел, но и временные файлы, файлы временные файлы, файлы подкачки, файлы-журналы приложений, дампы подкачки, файлы-журналы приложений, дампы

памяти, образы рабочей станциипамяти, образы рабочей станции. .

20





21



1. Мобильное устройство на базе технологией БДМ.

2. VPN-клиент.

3. Антивирусное ПО.

4. Средства резервного копирования.

5. Офисные приложения.

6. Файловые хранилища.

7. Интернет браузер.

22



1. Мобильный руководитель

2. Мобильное рабочее место выездного сотрудника(аудитора)

3. Стационарное АРМ высокого класса защищённости

4. Доступ к сервисам дистанционного банковского обслуживания

23



Выполнение требований нормативных документовВыполнение требований нормативных документов Снижение риска утечекСнижение риска утечек Уверенность в уровне защищённости информации Уверенность в уровне защищённости информации Повышение эффективности работы сотрудниковПовышение эффективности работы сотрудников

24


Ваши вопросы?

[email protected]

АКИМОВ СЕРГЕЙ ЛЕОНИДОВИЧ

mailto:[email protected]

Software

ЭЛВИС ПЛЮС. Сергей Акимов. " Построение среды доверия на базе средств криптографической защиты - путь