Импортозамещение в системах ИБ банков. Практические аспекты перехода на российские решения
1. Импортозамещение в системах
информационной безопасности
банков.
Практические аспекты перехода
на российские решения.
Михаил Глухов
Руководитель направления информационной безопасности
ISBC Group
2. ● Разработчик и производитель средств ИБ (бренд ESMART®);
● Дистрибьютор оборудования для работы со смарт-картами и RFID;
● Производитель всех типов контактных и бесконтактных смарт-карт;
● На рынке с 2002 года.
3. • Зачем использовать PKI?
• PKI-решения: какие задачи решают и сколько
стоят?
• Конвергенция физического и логического
доступа
• Импортозамещение: полностью российское PKI-
решение для управления доступом
PKI: проблематика внедрения
5. Основные методы аутентификации
в корпоративных информационных системах
Пароль Одноразовый пароль
(OTP)
Биометрия Аутентификация по
сертификату (PKI)
6. Недостатки других методов
аутентификации
Пароль
• Может быть украден при помощи «троянов»
• Атака по словарю
• Угадывание пароля и методы «социальной инженерии»
Одноразовый пароль
• Ограниченное время действия
• Требует специальной инфраструктуры
• В случае использования SMS-сервис может оказаться недоступен
Биометрия
• Возможна подделка биометрических показателей
7. Аутентификация на базе PKI
• Наиболее функциональный и защищённый метод:
большинство атак при корректной реализации
становятся невозможными
• Механизмы PKI, как правило, уже встроены в ОС и
приложения
• Интеграция с Active Directory позволяет использовать
готовую инфраструктуру открытых ключей для
аутентификации в корпоративной сети
9. Выбор решения по управлению
доступом пользователей
Аутентификация
пользователей по
паролям
PKI
ручное управление
PKI
CMS-решение
Комплексное
решение
IDM+PKI+SSO
Затраты на ПО — —
Затраты на «железо» —
Затраты на
администрирование
Безопасность и
управляемость
системы
10. Требования к решениям от регуляторов
• Сертификация
ФСБ/ФСТЭК России
• Поддержка российских
криптопровайдеров и
удостоверяющих центров
• Учет СКЗИ
(приказ ФАПСИ № 152
от 13.06.2001)
11. Экономическое обоснование
внедрения решения на базе PKI
Высокая цена утечки
информации
• Снижение рисков безопасности,
вызванными избыточными
правами доступа
• Облегчение задачи внутреннего
аудита ИБ
Снижение затрат на
администрирование ИБ
• Высвобождение трудовых
ресурсов ИТ и ИБ специалистов
• Повышение эффективности
управления учетными записями
• Снижение административных
издержек на согласование
заявок на доступ
17. Совместное решение: ESMART + Avanpost
• Программный комплекс «Avanpost»,
автоматизирующий все аспекты,
связанные с организацией и
управлением доступом к ИТ
ресурсам предприятия
• Смарт-карты и USB-токены
ESMART Token и ESMART Token
ГОСТ
• Считыватели смарт-карт
• Мобильное решение для
персонализации карт
• Разработка программного
обеспечения для интеграции с
СКЗИ и СЗИ (PKCS#11,
minidriver, модули поддержки
КриптоПро);
18. ESMART Token ГОСТ— смарт-карты и USB-токены с
аппаратной реализацией алгоритмов ГОСТ на базе
отечественной микросхемы MIK51
19. Основные преимущества и особенности
ESMART Token ГОСТ
Российский продукт:
• 100% российская разработка и изготовление микросхемы СКЗИ на
территории России
• 100% российское производство конечного продукта в формате смарт-карты
и USB-токена
• Российская разработка ПО для интеграции в продукты ИБ (PKCS#11 и др.)
• Реализация ГОСТ алгоритмов в ОС смарт-чипа на уровне маски (в кремнии)
• Сертификация ФСБ (по уровню KC3), EMVCo, MasterCard (CAST)
• 72 КБ памяти EEPROM (весь объем доступен для пользовательских данных)
• Максимальная интеграция российской криптографии: Gost JC API, Global
Platform SCP F2
• Протестировано в «Лаборатории по анализу защиты от инвазивных и
неинвазивных атак (Микрон)»
20. Программный комплекс для
управления доступом: Avanpost
Ключевые функции (модули):
Avanpost IDM – модуль управления
учетными записями и правами
пользователей - полнофункциональное
IDM-решение;
Avanpost PKI – модуль управления
элементами инфраструктуры открытых
ключей PKI;
Avanpost SSO – модуль однократной
аутентификации (single sign on);
Коннекторы:
Коннекторы – необходимы для
интеграции ПК «Avanpost» с различными
информационными системами.
21. Основные преимущества ПК «Аванпост»
• Стоимость значительно ниже западных конкурентов (в 3-4 раза
ниже);
• Время внедрения всегда существенно ниже – типовой проект от
6 месяцев (в 3 раза быстрее);
• Решение разработано с учетом специфики отечественных ИТ-
систем.
• Ценовая политика компании Аванпост, позволяет даже
компаниям среднего и малого сегмента бизнеса приобрести
себе IDM-решение, что ранее было просто невозможно.