Средства защиты информации
Средства защиты информации (СЗИ) – это специализированные программные, программно-аппаратные средства, предназначенные для защиты от актуальных угроз.
При защите информации, требования к защите которой определены действующим законодательством, применяемые СЗИ должны обладать сертификатами соответствия требованиям регуляторов. Для большинства СЗИ требуется наличие сертификатов, выданных Федеральной службой по техническому и экспортному контролю России, однако в случае необходимости применения средств криптографической защиты информации (СКЗИ) требуется наличие сертификатов, выданных Федеральной службой безопасности России.
Организация, устанавливающая данные СЗИ в виде услуги, должна обладать лицензиями, выданными соответствующими лицензирующими органами. ГКУ КО ЦЦТ является партнером ведущих производителей средств защиты информации, обладает необходимыми лицензиями и обширным опытом работы с ними
Мы поможем Вам подобрать комплексные решения, которые будут оптимальны именно для Вашей организации, организуем поставку, проведем установку и настройку в соответствии с особенностями Вашей информационной инфраструктуры и требованиями регуляторов.
Средства защиты от несанкционированного доступа (CЗИ от НСД) — это программные и/или аппаратные средства, позволяющие предотвратить попытки несанкционированного доступа, такие как неавторизованный физический доступ, доступ к файлам, хранящимся на компьютере, уничтожение конфиденциальных данных.
- идентификация и аутентификация пользователей и устройств;
- регистрация запуска (завершения) программ и процессов;
- реализация необходимых методов (дискреционный, мандатный, ролевой или иной метод), типов (чтение, запись, выполнение или иной тип) и правил разграничения доступа;
- управление информационными потоками между устройствами;
- учет носителей информации и другие функции.
Модуль доверенной загрузки (МДЗ) представляет собой комплекс аппаратно-программных средств (плата, аппаратные средства идентификации и аутентификации, программное обеспечение для поддерживаемых операционных систем), устанавливаемый на рабочее место вычислительной системы (персональный компьютер, сервер, ноутбук, специализированный компьютер и др.) и выполняет следующие функции:
- идентификация и аутентификация пользователей до загрузки операционной системы с помощью персональных электронных идентификаторов (USB-ключи, смарт-карты, идентификаторы iButton и др.);
- контроль целостности программного и аппаратного обеспечения компьютера до загрузки операционной системы;
- блокировка несанкционированной загрузки операционной системы с внешних съемных носителей;
- функционирование сторожевого таймера, позволяющего блокировать работу компьютера при условии, что после его включения и по истечении определенного времени управление не было передано плате МДЗ;
- контроль работоспособности основных компонентов МДЗ (энергонезависимой памяти, идентификаторов, датчика случайных чисел и др.);
- регистрация действий пользователей и совместная работа с внешними приложениями (датчики случайных чисел, средства идентификации и аутентификации, программные средства защиты информации и др.).
В зависимости от реализации модули доверенной загрузки различаются на аппаратно-программные и программные. Функции исполняемые МДЗ в зависимости от вида могут различаться.
Межсетевой экран (файрвол, МЭ) — это локальное (однокомпонентное) или функционально — распределенное программное (программно-аппаратное) средство (комплекс), реализующее контроль за информацией, поступающей в информационную систему и/или выходящей из информационной системы.
Среди задач, которые решают межсетевые экраны, основной является защита сегментов сети или отдельных хостов от несанкционированного доступа с использованием уязвимых мест в протоколах сетевой модели OSI или в программном обеспечении, установленном на компьютерах сети. Межсетевые экраны пропускают или запрещают трафик, сравнивая его характеристики с заданными шаблонами.
Наиболее распространённое место для установки межсетевых экранов — граница периметра локальной сети для защиты внутренних хостов от атак извне. Однако атаки могут начинаться и с внутренних узлов — в этом случае, если атакуемый хост расположен в той же сети, трафик не пересечёт границу сетевого периметра, и межсетевой экран не будет задействован. Поэтому в настоящее время межсетевые экраны размещают не только на границе, но и между различными сегментами сети, что обеспечивает дополнительный уровень безопасности
Выделяют следующие виды межсетевых экранов:
межсетевой экран уровня сети;
межсетевой экран уровня логических границ;
межсетевой экран уровня узла;
межсетевой экран уровня веб-сервера колу передачи гипертекста, проходящих к веб-серверу и от веб-сервера;
межсетевой экран уровня промышленной сети.
Системы обнаружения и предотвращения вторжений (IPS/IDS) — это комплекс программных или аппаратных средств, которые выявляют факты и предотвращают попытки несанкционированного доступа в корпоративную систему. Их обычно разделяют на два основных компонента: системы обнаружения, IDS, и IPS — системы предотвращения вторжений.
К основным функциям систем IDS относятся:
- обнаружение вторжений и выявление сетевых атак,
- прогнозирование и поиск уязвимостей,
- распознавание источника атаки (взломщики или инсайдеры),
- обеспечение контроля качества системного администрирования.
Концептуальная схема систем обнаружения вторжений включает в себя:
- подсистему сбора событий, или сенсорную,
- подсистему анализа данных, полученных от сенсорной подсистемы,
- подсистему хранения событий,
- консоль администрирования.
Выделяют следующие виды систем обнаружения вторжений:
Сканеры уязвимостей — это программные или аппаратные средства, служащие для осуществления диагностики и мониторинга сетевых компьютеров, позволяющее сканировать сети, компьютеры и приложения на предмет обнаружения возможных проблем в системе безопасности, оценивать и устранять уязвимости.
Сканеры уязвимостей позволяют проверить различные приложения в системе на предмет наличия «дыр», которыми могут воспользоваться злоумышленники. Также могут быть использованы низкоуровневые средства, такие как сканер портов, для выявления и анализа возможных приложений и протоколов, выполняющихся в системе.
В нормативных требованиях сканеры уязвимости периодически называются средствами анализа и контроля защищенности информации.
Основные функции сканеров уязвимости:
- получения информации о системе;
- проверки сетевых устройств;
- проверки возможности осуществления атак типа «отказ в обслуживании» («Denial of Service»), «подмена» («Spoofing»);
- проверки паролей;
- проверки межсетевых экранов;
- проверки удаленных сервисов;
- проверки DNS;
- проверки учетных записей ОС;
- проверки сервисов ОС;
- проверки установленных patch’ей системы безопасности ОС и другие функции.
Системы мониторинга и управления событиями безопасности строятся на базе SIEM-систем. Аббревиатура SIEM образована от security information and event management, что дословно можно перевести как система управления событиями и информационной безопасностью. SIEM обеспечивает анализ в реальном времени событий, происходящих в ИТ-инфраструктуре. Подобный анализ необходим для обнаружения и определения среди всех событий событий информационной безопасности и реагирования на них.
SIEM системы, вне зависимости от производителя, обладают следующим функционалом:
- агрегация данных — сбор, обработка и хранение логов с различных устройств и приложений;
- корреляция событий — поиск общих атрибутов события. Подобная технология обеспечивает применение различных технических приёмов для интеграции данных из различных источников для превращения исходных данных в информацию с которой можно работать дальше;
- оповещение — SIEM системы поддерживают возможность оповещения о событиях по различным каналам связи;
- анализ и управления рисками безопасности;
- проведение расследования инцидентов;
- формирование отчётов;
- реакция на атаки.
Источниками данных для SIEM систем являются:
- IDS/IPS системы;
- антивирусные программы;
- журналы событий операционных систем и программного обеспечения;
- межсетевые экраны;
- сканеры уязвимостей;
- системы инвентаризации;
- прокси-сервера;
- системы аутентификации;
- средства защиты от несанкционированного доступа;
- сетевое оборудование.
Антивирусная программа (антивирус) — специализированная программа для обнаружения компьютерных вирусов, а также нежелательных (считающихся вредоносными) программ вообще и восстановления заражённых (модифицированных) такими программами файлов, а также для профилактики — предотвращения заражения (модификации) файлов или операционной системы вредоносным кодом.
Выделяет следующие виды средств антивирусной защиты:
- предназначенные для централизованного администрирования средствами антивирусной защиты, установленными на компонентах информационных систем (серверах, автоматизированных рабочих местах);
- предназначенные для применения на серверах информационных систем;
- предназначенные для применения на автоматизированных рабочих местах информационных систем;
- предназначенные для применения на автономных автоматизированных рабочих местах.
Системы предотвращения утечек информации (Data Leak Prevention, DLP) — технические устройства (программные или программно-аппаратные), которые строятся на анализе потоков данных, пересекающих периметр защищаемой информационной системы. При детектировании в этом потоке конфиденциальной информации срабатывает активная компонента системы, и передача сообщения (пакета, потока, сессии) блокируется.
- архивирование пересылаемых сообщений на случай возможных в будущем расследований инцидентов;
- предотвращение передачи вовне не только конфиденциальной, но и другой нежелательной информации (обидных выражений, спама, эротики, излишних объёмов данных и т. п.);
- предотвращение передачи нежелательной информации не только изнутри наружу, но и снаружи внутрь информационной системы;
- предотвращение использования работниками казённых информационных ресурсов в личных целях;
- оптимизация загрузки каналов, экономия трафика;
- контроль присутствия работников на рабочем месте;
- контроль активности работника на рабочем месте;
- контроль записи информации в различные источники;
- контроль содержимого текстов;
- отслеживание благонадёжности сотрудников, их политических взглядов, убеждений, сбор компромата.
Средства криптографической защиты информации (СКЗИ) – аппаратные, программные и аппаратно–программные средства, системы и комплексы, реализующие алгоритмы криптографического преобразования информации и предназначенные для защиты информации при передаче по каналам связи и (или) для защиты информации от несанкционированного доступа при ее обработке и хранении.
Выделяют следующие виды СКЗИ:
- СКЗИ для локального шифрования информации (для доверенного хранения на рабочем месте);
- СКЗИ для обеспечения юридической значимости электронных документов, подтверждения подлинности адресата и целостности информации (криптопровайдеры, иные криптокомбайны);
- СКЗИ для организации частных виртуальных сетей (криптомаршрутизаторы, крипто-клиенты, удостоверяющие ключевые центры и центры управления сетями);
- СКЗИ для организации защищенных сессий на основе отечественных алгоритмов шифрования протокола защиты транспортного уровня (TLS-сервера, tls-клиенты).
Средства унифицированного управления угрозами (Unified threat management — UTM) — универсальное устройство, решение в сфере компьютерной безопасности, обеспечивающее мощную комплексную защиту от сетевых угроз. UTM — модификация обыкновенного файервола, продукт «все включено», объединяющий в себе множество функций, связанных с обеспечением сетевой связанной и безопасности, например: система обнаружения и предотвращения вторжений, межсетевой экран, VPN, антивирус, средства анализа и инспектирования сетевого трафика.
Защита информационных систем
Полный цикл защиты от отдельных персональных компьютеров до организации в целом, проведение аттестационных испытаний
Средства защиты информации
Определение потребности, поставка, установка, интеграция с существующими информационными системами и технологическими процессами
Администрирование и техническая поддержка
Администрирование любых средств и систем защиты информации, техническая поддержка пользователей и администраторов
Аудит информационной безопасности
От технологических аудитов информационных процессов до инструментального внешнего и внутреннего аудита
Техническая защита информации
Экспертная и инструментальная оценка безопасности выделенных помещений и рабочих мест. Внедрение технической защиты
Сбор событий безопасности, определение следов компрометации, выявление и расследование инцидентов безопасности, обмен с ГосСОПКА
Лицензии на программы и носители информации
Лицензии на программы и носители информации Лицензии КриптоПро, КриптоАРМ, защищенные носители информации
Государственное казенное учреждение Калининградской области «Центр цифровых технологий»
г. Калининград, ул. Дм. Донского, 1
8 (4012) 640-417