Upload
ngs-distribution
View
140
Download
3
Embed Size (px)
DESCRIPTION
Презентация с вебинара "Сертифицированная версия платформы аутентификации Swivel" от 01.10.2014. Ведущий: Евгений Царёв. Видео с вебинара: http://www.youtube.com/watch?v=skEntmd3Khc.
Citation preview
Swivel Secure в России. Осень 2014
www.swivelsecure.com
Сертификация и лицензирование
• Лицензии ФСТЭК России
• Сертификат на ТУ и НДВ4
www.swivelsecure.com
Основные требования к сертификации
• Клиент-серверная архитектура
• Проверка на НДВ
• Проверка в рамках ТУ требований по доступу и аутентификации:
• 152-ФЗ,
• Профиль защиты средства двухфакторной аутентификации,
• НПС,
• СТО БР ИББС,
• 27001,
• PCI DSS,
и др.
www.swivelsecure.com
21 приказ ФСТЭК по ПДн. Требования по аутентификации «+»
+ другие требования
www.swivelsecure.com
Профиль защиты средства двухфакторной аутентификации
www.swivelsecure.com
НПС (382-П)
www.swivelsecure.com
СТО БР ИББС
• 7.4.3. В организации БС РФ должны быть документально определены и утверждены руководством, выполняться и контролироваться процедуры идентификации, аутентификации, авторизации; управления доступом; контроля целостности; регистрации событий и действий.
• Процедуры управления доступом должны исключать возможность “самосанкционирования”.
…
• 7.4.11. В организации БС РФ должны применяться защитные меры, направленные на обеспечение защиты от НСД и НРД, повреждения или нарушения целостности информации, необходимой для регистрации, идентификации, аутентификации и (или) авторизации клиентов и работников организации БС РФ. Все попытки НСД и НРД к такой информации должны регистрироваться. При увольнении или изменении должностных обязанностей работников организации БС РФ, имевших доступ к указанной информации, необходимо выполнить документированные процедуры соответствующего пересмотра прав доступа.
…
www.swivelsecure.com
PCI DSS (Назначить уникальный идентификатор каждому лицу, имеющему доступ к информационной инфраструктуре)
8.1 Назначение пользователям уникальных идентификаторов
8.2 Механизмы аутентификации пользователей
8.3 Механизм двухфакторной аутентификации
8.4 Передача и хранение паролей в зашифрованном виде
8.5 Процедуры аутентификации пользователей и управления паролями учетных записей
8.5.1 Контроль над добавлением, удалением и изменением объектов идентификации
8.5.2 Проверка подлинности пользователя перед сменой пароля
8.5.3 Установка уникального первоначальный пароль и его смена при первом входе в систему
8.5.4 Отзыв доступа при увольнении пользователя
8.5.5 Удаление/блокировка неактивных учетных записей
8.5.6 Контроль над учетными записями поставщиков
8.5.7 Информирование пользователей о положениях парольных политик и процедур
8.5.8 Запрет использования групповых, разделяемых и стандартных учетных записей и паролей
8.5.9 Периодичность изменения пароля пользователя
8.5.10 Длина пароля
8.5.11 Использование в пароле цифровых и буквенных символов
8.5.12 Запрет выбора использованного ранее пароля
8.5.13 Блокировка учетной записи после неудачных попыток ввода пароля
8.5.14 Период блокировки учетной записи
8.5.15 Блокировка рабочей сессии
8.5.16 Аутентификация доступа к базе данных, содержащей данные о держателях карт
www.swivelsecure.com
Основные функции по сертификату №3216 1 Способы вычисления одноразового кода (пароля) 2 Доставка security string пользователю 3 Разграничение доступа администраторов 4 Восстановление 5 Идентификация и аутентификация пользователей 6 Управление идентификаторами. 7 Управление средствами аутентификации. 8 Защита обратной связи при вводе аутентификационной информации 9 Определение событий безопасности, подлежащих регистрации, и сроков их хранения 10 Определение состава и содержания информации о событиях безопасности, подлежащих
регистрации 11 Сбор, запись, хранение и просмотр информации о событиях безопасности в течение
установленного времени. 12 Защита информации о событиях безопасности. 13 Контроль целостности программного обеспечения включая программное обеспечение
средств защиты информации 14 Использование отказоустойчивых технических средств 15 Обнаружение, идентификация и регистрация инцидентов 16 Обнаружение превышения максимально допустимого числа неуспешных попыток входа 17 Идентификация пользователя с помощью физического устройства
www.swivelsecure.com
Текущая ситуация • Сертификаты и лицензии
• Полностью «локализованный» вендор
• Завершенные и текущие проекты
• Завершены сложные интеграции
• Создан ряд новых интеграций
• Оперативная доработка продукта (при необходимости)
• Оперативная техподдержка в UK и России
• Защита сделок
• Отличное ценовое предложение
• Активное бюджетирование проектов и активный пресейл
www.swivelsecure.com
Наши заказчики
Вопросы?
Power of knowing…