Workshop Продукты и решения АО «ЭЛВИС-ПЛЮС», используемые для создания доверенных сред обработки информации. Международная выставка Infosecurity Russia‘2015 Москва. 23-25 сентября 2015 г. О чем пойдет речь 1. Импортозамещение. Возможности и ограничения. 2. Решения АО «ЭЛВИС-ПЛЮС», ориентированные на построение доверенных сред обработки информации. 3. Демонстрация решений. 2 Формат выступления 1. Теоретическая часть. 2. Демонстрация. 3. Вопросы-ответы. 3 Компания АО «ЭЛВИС-ПЛЮС» 1991 год – основание компании. Основные виды деятельности: • Реализация крупномасштабных интеграционных проектов. • Консалтинг в области построения защищённых информационных систем. • Разработка собственных программных продуктов. 4 Наши клиенты Ведущие крупные российские компании из ФИНАНСОВОГО СЕКТОРА, энергетики, ГАЗО- И НЕФТЯНОЙ НЕФТЕДОБЫВАЮЩЕЙ ПРОМЫШЛЕННОСТИ, ТЕЛЕКОММУНИКАЦИОННОЙ ОТРАСЛИ, предприятия оборонного комплекса, региональные и федеральные органы власти, ГОСУДАРСТВЕННЫЕ УЧРЕЖДЕНИЯ И ОРГАНИЗАЦИИ 5 Масштаб проектов сотни проектов ключевые отрасли МАСШТАБ СТРАНЫ 6 Несколько слов про импортозамещение 7 Нужен баланс 8 Импортозамещение. Портфель решений 1. Решения, ориентированные на построение доверенных сред обработки информации. 2. Решения, ориентированные на построение защищенных корпоративных сетей. 9 Портфель решений. Практическое применение ! В частности перечисленные решения широко ориентированы на безопасность при организации мобильных рабочих мест. 10 Неизбежность в использовании мобильных рабочих мест 1 Удобно. 2 Выгодно. 3 Эффективно. 11 Основная проблема 12 { { Несанкционированный доступ к конфиденциальной информации, хранящейся на мобильном устройстве Несанкционированный доступ возможен ! В результате реализации угроз: 1. физическому доступ к накопителя (потеря, кража, подмена). 2. Изменения среды функционирования (вредоносное ПО). 3. Перехват информации в канале связи (подслушивание траффика). 13 Как защититься? Радикально: Рационально: Не терять и/или не пользоваться устройством Реализация достаточного уровня защиты 14 Рациональный подход 1. Усиленная аутентификация. 2. Контроль целостности. 3. Шифрование. 15 Существующие технологии Аппаратные модули доверенной загрузки и электронные замки. Специальное ПО для контроля целостности. Специальное ПО для шифрования дисков. + х2 = ? Мобильное рабочее место? 17 Недостатки существующих технологий 1. Сложность в реализации. 2. Аппаратная несовместимость с мобильными устройствами. 3. Сложность в обслуживании и эксплуатации. 4. Неудобство использования. 18 Решение АО «ЭЛВИС+ПЛЮС» + 19 20 Два в одном ! Технология БДМ использует в своей основе программное решение которое не требует применение дополнительных аппаратных средств защиты. 21 В состав решения входят компоненты: 1. Специальное ПО – Базовый доверенный модуль. 2. Аппаратная платформа • ноутбук • планшет • смартфон 3. ОС Windows. 4. Идентификатор для усиленной аутентификации. 22 Доверенная загрузка 23 БДМ: усиленная аутентификация 1. Двухфакторная аутентификация – отчуждаемый носитель + пароль. 2. Аутентификация до загрузки ОС в доверенном режиме. 3. Невозможность расшифровки данных и загрузки в доверенный режим до прохождения успешной аутентификации. 24 БДМ: контроль целостности Контроль целостности обеспечивается до загрузки ОС (ГОСТ Р 34.11-2012): 1. Целостность ПО BIOS. 2. Проверка «самого себя». 3. Файлов ОС. 4. Веток реестра. 25 БДМ: шифрование 1. Криптографическая защита по алгоритму ГОСТ 28147-89. 2. Прозрачное для пользователя, сквозное шифрование раздела жесткого диска под доверенной ОС. 3. Скорость шифрования до 300 мб/с. 4. Перешифрование жесткого диска при смене ключевой информации. 26 Совместимость 1. x86/ia64. 2. Оперативная память: от 2 Гб. 3. ОС Windows 7/8/10. 27 БДМ: интегрируемость 1. Legacy - загрузка 2. Unified Extensible Firmware Interface (UEFI) 3. Intel® Platform Trust Technology 4. Secure Boot 28 Используемые платформы • Lenovo • Asus • Aquarius 29 Сертификация 1. Как СКЗИ. Сертификат ФСБ. 2. Как средство доверенной загрузки. Соответствие требованиям для средств доверенной загрузки по 4 классу защиты ФСТЭК. 30 31 Семейство продуктов ЗАСТАВА • • • • • Гарантия защиты информации. Производительность. Прозрачность Наличие сертификатов соответствия Гибкое и удобное управление 32 Линейка продуктов 1. ЗАСТАВА-Офис. 2. ЗАСТАВА-Клиент. 3. ЗАСТАВА-Управление. 33 Решаемые задачи 1. Защита периметра корпоративной сети, объединение удаленных офисов в единую защищенную корпоративную сеть. 2. Защищенный удаленный, в том числе мобильный доступ в корпоративную сеть из любой географической точки. 3. Централизованное управление средствами защиты для распределенной корпоративной сети. 34 Используемые технологии ! Защита трафика на сетевом уровне при помощи протоколов IKEv2, IPsec AH и/или IPsec ESP. 35 Сертификаты соответствия 1. Сертификат ФСТЭК (МЭ 2, НДВ 3) на линейку продуктов ЗАСТАВА (Windows/Linux). 2. Сертификаты ФСБ (КС1, КС2, КС3) на линейку продуктов ЗАСТАВА (Windows/Linux). 3. Сертификат ФСБ (МЭ 4) на линейку продуктов ЗАСТАВА (Windows/Linux). 36 Архитектура защищаемой сети на базе продуктов ЗАСТАВА Элементы Корпоративной сети, УЦ ЗАСТАВАУправление Удаленные пользователи ЗАСТАВА-Клиент Центральный офис Кластер ЗАСТАВА-Офис Интернет Кластер ЗАСТАВА-Офис Спутниковые каналы связи Выделенные каналы связи Элементы Корпоративной сети Филиалы компании ЗАСТАВА-Офис ЗАСТАВА-Офис Защищенное взаимодействие Централизованное управление средствами криптографической защиты Региональные представительства, компании-партнеры Удаленные подразделения компании Конкурентные преимущества + 1. Высокая степень защиты. 2. Нет необходимости в применении наложенных аппаратных модулей. 3. Функции доверенной загрузки, шифрования и обеспечения целостности объединены в едином ПО. 4. Высокая производительность шифрования «на лету» 5. Возможность работать из любой географической точки. 38 6. Совместимость с любым набором ПО. Пример реализации Рассмотрим решение на примере сотрудников, часто выезжающих в служебные командировки и работающих удаленно 39 Важно: Обеспечить комфортную работу пользователя 40 При этом, необходимо: Исключить возможность потери информации 41 Технология БДМ Единственное решение для ультрабуков и планшетов, сочетающее в себе гибкость, функциональность и высокий уровень защищенности 42 Состав программного обеспечения 1. Мобильное устройство на базе технологией БДМ. 2. VPN-клиент. 3. Антивирусное ПО. 4. Средства резервного копирования. 5. Офисные приложения. 6. Файловые хранилища. 7. Интернет браузер. 43 Ключевые особенности Лёгкость интеграции в существующие информационные системы 44 Корпоративная сеть Элементы Корпоративной сети, УЦ ЗАСТАВАУправление Центральный офис Мобильное рабочее место Кластер ЗАСТАВА-Офис ЗАСТАВА-Клиент Интернет Выделенные каналы связи Кластер ЗАСТАВА-Офис Защищенное взаимодействие Централизованное управление средствами криптографической защиты Элементы Корпоративной сети Филиалы компании 45 Консоль ЗАСТАВА-Управление 46 Консоль ЗАСТАВА-Управление 47 ЗАСТАВА-клиент Где бы Вы ни были – Вы всегда на рабочем месте 48 Любые офисные приложения 49 Доступ к корпоративным ресурсам из любой точки мира 50 Антивирусное ПО 51 Средства резервного копирования Acronis Backup 52 Эксплуатация Управление компонентами решения Обновление системного и прикладного ПО Установка и настройка БДМ-ноутбука, ПО Резервное копирование критичной информации 53 Ваша выгода 1. Уверенность в конфиденциальности данных. 2. Независимая мобильность. 3. Простота в эксплуатации и обслуживании. 4. Повышение эффективности работы сотрудников и их мобильности. 5. Выполнение требований нормативных документов. 54 Сценарии использования 1. Мобильный руководитель. 2. Мобильное рабочее место. 3. Стационарное АРМ высокого класса защищённости. 4. Бизнес-планшет 5. Доступ к ДБО. 55 Мобильный руководитель Компьютер руководителя — финансовая информация, бизнес-планы и ноу-хау 56 Мобильное рабочее место Для сотрудников, часто выезжающих в служебные командировки или проводящих выездные проверки 57 Стационарное АРМ высокого класса защищённости Экономия ресурсов ИТ- и ИБ-службы и создание задела по повышению мобильности сотрудников 58 Бизнес-планшет Для мобильного бизнеса и бизнеса вне пределов офиса: такси, курьерская служба, интернетмагазин, небольшие розничные магазины, лавки 59 Доступ к ДБО для ключевых клиентов Большие деньги — большая ответственность! Поэтому можно использовать только одобренные банком приложения. 60 elvis.ru