Swivel Secure в России. Осень 2014

www.swivelsecure.com

Сертификация и лицензирование

•  Лицензии ФСТЭК России

•  Сертификат на ТУ и НДВ4

www.swivelsecure.com

Основные требования к сертификации

•  Клиент-серверная архитектура

•  Проверка на НДВ

•  Проверка в рамках ТУ требований по доступу и аутентификации:

•  152-ФЗ,

•  Профиль защиты средства двухфакторной аутентификации,

•  НПС,

•  СТО БР ИББС,

•  27001,

•  PCI DSS,

и др.

www.swivelsecure.com

21 приказ ФСТЭК по ПДн. Требования по аутентификации «+»

+ другие требования

www.swivelsecure.com

Профиль защиты средства двухфакторной аутентификации

www.swivelsecure.com

НПС (382-П)

www.swivelsecure.com

СТО БР ИББС

•  7.4.3. В организации БС РФ должны быть документально определены и утверждены руководством, выполняться и контролироваться процедуры идентификации, аутентификации, авторизации; управления доступом; контроля целостности; регистрации событий и действий.

•  Процедуры управления доступом должны исключать возможность “самосанкционирования”.

…

•  7.4.11. В организации БС РФ должны применяться защитные меры, направленные на обеспечение защиты от НСД и НРД, повреждения или нарушения целостности информации, необходимой для регистрации, идентификации, аутентификации и (или) авторизации клиентов и работников организации БС РФ. Все попытки НСД и НРД к такой информации должны регистрироваться. При увольнении или изменении должностных обязанностей работников организации БС РФ, имевших доступ к указанной информации, необходимо выполнить документированные процедуры соответствующего пересмотра прав доступа.

…

www.swivelsecure.com

PCI DSS (Назначить уникальный идентификатор каждому лицу, имеющему доступ к информационной инфраструктуре)

8.1 Назначение пользователям уникальных идентификаторов

8.2 Механизмы аутентификации пользователей

8.3 Механизм двухфакторной аутентификации

8.4 Передача и хранение паролей в зашифрованном виде

8.5 Процедуры аутентификации пользователей и управления паролями учетных записей

8.5.1 Контроль над добавлением, удалением и изменением объектов идентификации

8.5.2 Проверка подлинности пользователя перед сменой пароля

8.5.3 Установка уникального первоначальный пароль и его смена при первом входе в систему

8.5.4 Отзыв доступа при увольнении пользователя

8.5.5 Удаление/блокировка неактивных учетных записей

8.5.6 Контроль над учетными записями поставщиков

8.5.7 Информирование пользователей о положениях парольных политик и процедур

8.5.8 Запрет использования групповых, разделяемых и стандартных учетных записей и паролей

8.5.9 Периодичность изменения пароля пользователя

8.5.10 Длина пароля

8.5.11 Использование в пароле цифровых и буквенных символов

8.5.12 Запрет выбора использованного ранее пароля

8.5.13 Блокировка учетной записи после неудачных попыток ввода пароля

8.5.14 Период блокировки учетной записи

8.5.15 Блокировка рабочей сессии

8.5.16 Аутентификация доступа к базе данных, содержащей данные о держателях карт

www.swivelsecure.com

Основные функции по сертификату №3216 1 Способы вычисления одноразового кода (пароля) 2 Доставка security string пользователю 3 Разграничение доступа администраторов 4 Восстановление 5 Идентификация и аутентификация пользователей 6 Управление идентификаторами. 7 Управление средствами аутентификации. 8 Защита обратной связи при вводе аутентификационной информации 9 Определение событий безопасности, подлежащих регистрации, и сроков их хранения 10 Определение состава и содержания информации о событиях безопасности, подлежащих

регистрации 11 Сбор, запись, хранение и просмотр информации о событиях безопасности в течение

установленного времени. 12 Защита информации о событиях безопасности. 13 Контроль целостности программного обеспечения включая программное обеспечение

средств защиты информации 14 Использование отказоустойчивых технических средств 15 Обнаружение, идентификация и регистрация инцидентов 16 Обнаружение превышения максимально допустимого числа неуспешных попыток входа 17 Идентификация пользователя с помощью физического устройства

www.swivelsecure.com

Текущая ситуация •  Сертификаты и лицензии

•  Полностью «локализованный» вендор

•  Завершенные и текущие проекты

•  Завершены сложные интеграции

•  Создан ряд новых интеграций

•  Оперативная доработка продукта (при необходимости)

•  Оперативная техподдержка в UK и России

•  Защита сделок

•  Отличное ценовое предложение

•  Активное бюджетирование проектов и активный пресейл

www.swivelsecure.com

Наши заказчики

Вопросы?

Power of knowing…