Использование сертифицированных СЗИ от НСД для Linux при построении защищенных автоматизированных систем Инфофорум-2012 Юрий Ровенский Москва, 7 февраля. - презентация

1 Использование сертифицированных СЗИ от НСД для Linux при построении защищенных автоматизированных систем Инфофорум-2012 Юрий Ровенский Москва, 7 февраля 2012 Ведущий эксперт в области разработки сертифицированных СЗИ для Linux компании «Код Безопасности» (ГК «Информзащита»)

2 Содержание Требования регуляторов к СЗИ, используемым в защищенных АС и ИСПДн Как выполнить требования регуляторов при использовании Linux в ИТ-инфраструктуре организаций Ограничения при использовании сертифицированной ОС со встроенными СЗИ от НСД Возможности наложенных СЗИ от НСД на примере «Secret Net для Linux» Комплексная защита информации в виртуальной инфраструктуре на базе Linux Преимущества использования «Secret Net для Linux» и перспективы развития 2

3 Требования регуляторов к СЗИ для защищенных АС Документ: «Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации» Документ: «Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации» Приказ 58: «Об утверждении положения о методах и способах защиты информации в информационных системах» Идентификация и аутентификация пользователей Дискреционный принцип контроля доступа Очистка памяти и очистка остаточной информации на диске Регистрация событий безопасности Регистрация несанкционированных действий пользователей Контроль целостности СЗИ + Контроль исходных текстов СЗИ на отсутствие НДВ (4 уровень) РД ФСТЭК Функции СЗИ от НСД для АС 1Г и ИСПДн К1

4 Как выполнить требования регуляторов при использовании Linux? 4 Подход 1 Подход 2

5 Ограничения использования сертифицированного дистрибутива 5 Сложность обновления общесистемного программного обеспечения Привязанность к дистрибутивам конкретных поставщиков, выполнивших сертификацию своих продуктов Потеря аттестации объекта информатизации при установке приложения, меняющего общесистемное ПО Отсутствие гибкости при создании решений на базе сертифицированного дистрибутива. Изменение конфигурации и состава файлов из комплекта поставки сертифицированного дистрибутива невозможны в силу фиксации набора файлов при сертификации дистрибутива Отсутствие встроенных средств централизованного управления и мониторинга событий ИБ. Специализированные дополнительные средства защиты обычно предлагают более широкий спектр функций для удобного управления безопасностью в сети ?

6 Использование наложенных СЗИ от НСД на примере «Secret Net для Linux» «Secret Net для Linux» удовлетворяет требованиям ФСТЭК к СВТ 5 класса и обеспечивает: Идентификацию и аутентификацию пользователей Разграничение доступа Очистку освобождаемой оперативной памяти Очистку блоков данных на файловой системе Регистрацию событий безопасности в журнале Аудит действий пользователей Контроль целостности файлов и каталогов 6

7 Дополнительные удобные возможности для ИБ и ИТ-администраторов Secret Net позволяет выполнить требования регуляторов без миграции системы на новую платформу Программа установки позволяет просто и быстро развернуть в системе комплекс средств защиты Включает графические и консольные средства управления Включает графический генератор отчетов, позволяющий делать выборки из журналов ИБ по разным критериям и сохранять эти выборки в файлы различных форматов Расширенные возможности системы аудита действий пользователей Модульная архитектура - дополнительные функций защиты при необходимости 7

8 Преимущества использования наложенных СЗИ от НСД Возможность применения дистрибутивов Linux от ведущих вендоров с единой концепцией управления безопасностью и набором средств для управления настройками безопасности 8 Возможность обновлять общесистемное ПО и расширять функциональность системы не дожидаясь сертификации обновлений системных компонент, поставляемых создателем дистрибутива Повышенная защищенность обновления безопасности от вендора дистрибутива быстрее окажутся в системе, чем в случае сертифицированного дистрибутива Возможность создания различных по функциональности решений на базе дистрибутива Linux и защита этих решений с использованием наложенных СЗИ Централизованное управление безопасностью при использовании специализированных СЗИ с сетевым сервером управления безопасностью (в перспективе)

9 Комплексная защита информации в виртуальной инфраструктуре на базе Linux Сертифицированные СЗИ для серверов и терминальных клиентов 9 «Secret Net для Linux» - защита от НСД серверов или терминалов на базе Linux ПАК «Соболь» - обеспечение доверенной загрузки АПКШ «Континент» - защита каналов связи при обмене информацией через внешние сети

10 Перспективы развития продукта Secret Net для Linux Интеграция Secret Net с другими средствами защиты компании «Код Безопасности» для Linux - «Соболь», «Континент-АП», «TrustAccess» Защита гостайны - выпуск версии для использования в АС класса до 1Б Сетевая версия - интеграция с сервером централизованного управления Secret Net Расширение списка поддерживаемых платформ, включая все популярные Linux-платформы 10

11 ВОПРОСЫ? +7 (495) Юрий Ровенский Ведущий эксперт в области разработки сертифицированных СЗИ для Linux компании «Код Безопасности» (ГК «Информзащита»)