УБРиР. Михаил Цыкарев. "Корпоративная культура. Lifestyle поколения Z."
Элвис Плюс - На пути к мобильной безопасности
1. АО «ЭЛВИС-ПЛЮС», 2015
Конференция
«Код информационной безопасности.
Управление информационной безопасностью»
23.04.2015г.
Мухортов Юрий Валерьевич
Директор департамента специальных проектов
АО «ЭЛВИС-ПЛЮС»
3. АО «ЭЛВИС-ПЛЮС», 2015
Главные угрозы:
• Внедрение вредоносного ПО
• Утеря или кража
Защита:
• Доверенная среда
• Шифрование всех данных
Мобильность — головная боль безопасника
4. АО «ЭЛВИС-ПЛЮС», 2015
Что такое технология БДМ?
Ключевые преимущества технологии БДМ
Как работает БДМ-Ноутбук ?
Как можно использовать БДМ-Ноутбук
Перспективы технологии БДМ
О чём пойдёт речь
5. АО «ЭЛВИС-ПЛЮС», 2015
Обеспечить 100% импортозамещение в России
в сфере ИТ сегодня (и в короткой перспективе)
невозможно.
Предпосылки создания продукта:
6. АО «ЭЛВИС-ПЛЮС», 2015
Пример «гибридного импортозамещения» на
примере технологии Базовый Доверенный Модуль
Создание решения для работы с конфиденциальной
информацией на мобильной платформе (ультрабук,
планшет, смартофон) с физическим разделением
доверенной и недоверенной сред на одном устройстве и
обеспечение всей цепочки доверия, начиная от загрузки.
Задача
7. АО «ЭЛВИС-ПЛЮС», 2015
Парадигма доверенной среды
При обработке информации должен быть
обеспечен требуемый уровень доверия:
• К окружению
• К субъектам
• К правилам (политике)
• К аппаратной платформе (Hard)
• К программной платформе (Soft)
• К каналам передачи
8. АО «ЭЛВИС-ПЛЮС», 2015
При обработке информации должен быть
обеспечен требуемый уровень доверия:
• К окружению
• К субъектам
• К правилам (политике)
• К аппаратной платформе (Hard)
• К программной платформе (Soft)
• К каналам передачи
= Орг. методы
Парадигма доверенной среды
9. АО «ЭЛВИС-ПЛЮС», 2015
= БДМ
Парадигма доверенной среды
При обработке информации должен быть
обеспечен требуемый уровень доверия:
• К окружению
• К субъектам
• К правилам (политике)
• К аппаратной платформе (Hard)
• К программной платформе (Soft)
• К каналам передачи
= Орг. методы
10. АО «ЭЛВИС-ПЛЮС», 2015
Архитектура защиты не должна зависеть от
используемых информационных технологий, состава
используемого общесистемного и прикладного ПО и
средств обработки информации
Такой подход обеспечивает неизменный уровень безопасности
даже при неизбежном изменении ПО, добавления/изъятия
приложений или технических средств
Важное замечание
11. АО «ЭЛВИС-ПЛЮС», 2015
Специальное ПО разработки ЭЛВИС-ПЛЮС
+
Аппаратный Корень Доверия
+
Аппаратная платформа — ноутбук Lenovo
Что такое Технология БДМ?
12. АО «ЭЛВИС-ПЛЮС», 2015
Контроль целостности
• Аппаратная конфигурация
• BIOS
• Начальный сектор диска
• Специальное ПО ЭЛВИС-ПЛЮС
• Критичные файлы и настройки ОС
Усиленная аутентификация
• PIN
• Token
Прозрачное шифрование (ГОСТ 28147-89)
• Доверенная ОС
• Пользовательские данные
• Временные файлы, файлы подкачки и др.
Функции, реализуемые технологией БДМ
13. АО «ЭЛВИС-ПЛЮС», 2015
Контроль целостности
• Аппаратная конфигурация
• BIOS
• Начальный сектор диска
• Специальное ПО ЭЛВИС-ПЛЮС
• Критичные файлы и настройки ОС
Усиленная аутентификация
• PIN
• Token
Прозрачное шифрование (ГОСТ 28147)
• Доверенная ОС
• Пользовательские данные
• Временные файлы, файлы подкачки и др.
Функции, реализуемые технологией БДМ
= электронный
замок
14. АО «ЭЛВИС-ПЛЮС», 2015
Использование существующих сертифицированных
аппаратных модулей доверенной загрузки и
электронных замков в современных ноутбуках
проблематично — производители используют новые
интерфейсы (форм-фактор М.2).
Технология БДМ в отличие от аналогичных решений
не требует наличия в компьютере шин PCI и Mini PCI.
Важное замечание
16. АО «ЭЛВИС-ПЛЮС», 2015
Технология БДМ использует в своей основе встроенный
Аппаратный Корень Доверия и в отличие от
аналогичных решений
не требует дополнительных аппаратных средств защиты.
Важное замечание
18. АО «ЭЛВИС-ПЛЮС», 2015
Стоимость аттестации одного рабочего места может
доходить до нескольких десятков тысяч рублей.
БДМ-Ноутбук соответствует требованиям для ГИС и
уже прошел аттестацию как типовой сегмент ИС.
Пользователю проводить повторную аттестацию
не требуется.
Важное замечание
20. АО «ЭЛВИС-ПЛЮС», 2015
В отличие от аналогичных решений технология БДМ
позволяет разместить в доверенной среде любые
приложения и уже используемые в ИС средства
защиты, а также контролировать их целостность.
Интеграция в существующую ИС ничем не отличается от
простой замены АРМа на новый.
Важное замечание
21. АО «ЭЛВИС-ПЛЮС», 2015
Ключевые преимущества
Высокая производительность шифрования
ГОСТ
Комфортная работа
без задержек
e8918259cbed8ae42ba1c44
a89a8cf2356965d0bcad0e85
22. АО «ЭЛВИС-ПЛЮС», 2015
В отличие от аналогичных решений технология БДМ
шифрует не только пользовательские данные и
системный раздел, но и временные файлы, файлы
подкачки, файлы-журналы приложений, дампы
памяти, образы рабочей станции.
Важное замечание
23. АО «ЭЛВИС-ПЛЮС», 2015
Что такое технология БДМ?
Ключевые преимущества технологии БДМ
Как работает БДМ-Ноутбук ?
Как можно использовать БДМ-Ноутбук
Перспективы технологии БДМ
О чём пойдёт речь
25. АО «ЭЛВИС-ПЛЮС», 2015
На одном мобильном компьютере должны быть одновременно
две среды – доверенная и недоверенная, физически разделенные и
никогда не пересекающиеся между собой.
26. АО «ЭЛВИС-ПЛЮС», 2015
Недоверенная система Доверенная система
На одном мобильном компьютере должны быть одновременно
две среды – доверенная и недоверенная, физически разделенные и
никогда не пересекающиеся между собой.
27. АО «ЭЛВИС-ПЛЮС», 2015
Технология БДМ формирует 2 рабочие среды.
Пока не активирован доверенный режим работы,
БДМ-Ноутбук ничем не отличается от обычного.
Его можно дать попользоваться родственникам или
друзьям, не опасаясь за сохранность
конфиденциальной информации.
Важное замечание
30. АО «ЭЛВИС-ПЛЮС», 2015
МИ ФНС по ЦОД
Защищённый сегмент
УФНС
«Дионис-КМ»
Шлюз
«Застава-
офис»
Серверы
АИС «Налог-3»
Условные обозначения:
Межобъектовый
защищённый трафик
РУТокен для доступу к ТОРМ
«БДМ-Ноутбук»
ПО «ЗАСТАВА-Клиент»
СПО «Хостовый Агент»
СПО «Сервер СНТС»
Мобильный ТОРМ
Федерального уровня
Распространение локальной
политики безопасности
Мобильный ТОРМ
Налоговый
инспектор
ЦУБИ
АРМ АИБ
Системы РАМС ИБ
ЗАСТАВА
Федерального уровня
Сервер
«ЗАСТАВА-Управление»
Серверный кластер
«Сервер РАМС ИБ»
Шлюз
«Застава-
офис»
РучноесогласованиеполитикидлядоступакФИР
- Антивирус Касперского
«Дионис-КМ»
Интернет DMZ
Интранет DMZ
Сервер
«ЗАСТАВА-Управление»
АРМ
Подготовки ТОРМ
Федерального Уровня
Кластер МЭ ЦОД
Серверный кластер
«Сервер РАМС ИБ»
Грничные МЭ ЦОД
ИР УФНС
ИФНСИФНСИФНСИФНСИФНС
Мобильный ТОРМ
Шлюз
«Застава-
офис» «Дионис-КМ»
ИФНСИФНСИФНСИФНСИФНСШлюз
«Застава-
офис» «Дионис-КМ»
СОА «Аргус»
Мобильный ТОРМ
ИР ИФНСИР УФНС
АРМ АИБ
Системы РАМС ИБ
ЗАСТАВА
Федерального уровня
АРМ
Подготовки ТОРМ
Федерального Уровня
Мобильный ТОРМ
Федерального уровня
Мобильный ТОРМ
Регионального и местного уровня
Налоговый
инспектор
Шифрованный трафик ТОРМ
Открытый трафик ТОРМ
События безопасности
Системы РАМС
Трафик управления
Консоль ЦУП «ЗАСТАВА-
Управление»
Сеть
Интернет
31. АО «ЭЛВИС-ПЛЮС», 2015
Что такое технология БДМ?
Ключевые преимущества технологии БДМ
Как работает БДМ-Ноутбук?
Как можно использовать БДМ-Ноутбук
Перспективы технологии БДМ
О чём пойдёт речь
33. АО «ЭЛВИС-ПЛЮС», 2015
Мобильное рабочее место
Для сотрудников, часто выезжающих в служебные
командировки или проводящих выездные проверки
34. АО «ЭЛВИС-ПЛЮС», 2015
Стационарное АРМ высокогокласса защищённости
Экономия ресурсов ИТ- и ИБ-службы и создание
задела по повышению мобильности сотрудников
35. АО «ЭЛВИС-ПЛЮС», 2015
Доступ к ДБО
Большие деньги — большая ответственность!
Поэтому можно использовать только одобренные
банком приложения.
36. АО «ЭЛВИС-ПЛЮС», 2015
Выполнение требований нормативных документов
Снижение риска утечек
Уверенность в уровне защищённости информации
Повышение эффективности работы сотрудников
Выгоды от применения технологии БДМ
37. АО «ЭЛВИС-ПЛЮС», 2015
Что такое технология БДМ?
Ключевые преимущества технологии БДМ
Как работает БДМ-Ноутбук ?
Как можно использовать БДМ-Ноутбук
Перспективы технологии БДМ
О чём пойдёт речь
Оперативность и удобство работы для пользователя обеспечили широкое распространение мобильных компьютеров, планшетов и смартфонов для работы в корпоративных информационных системах и «облаках», в том числе в государственных предприятиях и организациях. Вместе с тем использование мобильных устройств существенно повышает уровень рисков утечки конфиденциальной информации, реализующихся в результате целого ряда угроз, в том числе:
внедрения вредоносного ПО в систему мобильного устройства в процессе работы в сети общего пользования Интернет;
потери или кражи мобильного устройства.
Контроль целостности. С момента запуска компьютера, ещё до начала загрузки операционной системы, контролируются целостность и неизменность аппаратной конфигурации, BIOS, начального сектора диска, специального ПО ЭЛВИС-ПЛЮС, критичных файлов и настроек операционной системы. Такой подход предупреждает любые изменения аппаратной части и операционной системы, которые могли бы повлиять на безопасность данных.
Электронный замок. Решение ЭЛВИС-ПЛЮС поддерживает двухфакторную строгую аутентификацию, что в сочетании с контролем целостности реализует функции электронного замка. Это значит, что для начала работы и доступа к данным нужно не только знать пароль для входа в операционную систему, но и обладать специальным физическим ключом (токеном).
Прозрачное шифрование. Утеря или кража компьютера больше не является угрозой конфиденциальности хранимых данных. Доверенный раздел жесткого диска, на котором установлена доверенная операционная система, шифруется с использованием алгоритма ГОСТ 28147-89 (до класса КС3).
Контроль целостности. С момента запуска компьютера, ещё до начала загрузки операционной системы, контролируются целостность и неизменность аппаратной конфигурации, BIOS, начального сектора диска, специального ПО ЭЛВИС-ПЛЮС, критичных файлов и настроек операционной системы. Такой подход предупреждает любые изменения аппаратной части и операционной системы, которые могли бы повлиять на безопасность данных.
Электронный замок. Решение ЭЛВИС-ПЛЮС поддерживает двухфакторную строгую аутентификацию, что в сочетании с контролем целостности реализует функции электронного замка. Это значит, что для начала работы и доступа к данным нужно не только знать пароль для входа в операционную систему, но и обладать специальным физическим ключом (токеном).
Прозрачное шифрование. Утеря или кража компьютера больше не является угрозой конфиденциальности хранимых данных. Доверенный раздел жесткого диска, на котором установлена доверенная операционная система, шифруется с использованием алгоритма ГОСТ 28147-89 (до класса КС3).
Технология БДМ в отличие от аналогичных решений не требует наличия в компьютере дополнительных шин типа PCI и Mini PCI, что делает её уникальной для построения доверенных сред на базе ультрабуков или планшетов.
Нормативно-правовые акты требуют, чтобы информация в государственных информационных системах обрабатывалась на аттестованных рабочих местах. Вместе с тем, стоимость аттестации одного рабочего места может доходить до нескольких десятков тысяч рублей. Устройства из линейки мобильных защищённых рабочих мест, созданных по технологии БДМ, с предустановленным программным обеспечением антивирусной защиты, межсетевого экранирования и создания доверенных каналов связи в полном объеме отвечают требованиям Приказа ФСТЭК № 17 от 11.02.2013 г. и могут быть аттестованы как типовые сегменты информационной системы. Применение к ним процедуры аттестации для типовых элементов информационных систем, предусмотренной ГОСТ РО 0043-2012 и п. 17.3 Приказа ФСТЭК № 17, позволяет распространить аттестаты на вновь разворачиваемые объекты. Это позволит в разы снизить затраты на аттестацию рабочих мест.
Вся линейка мобильных защищённых рабочих мест поставляется в нескольких вариантах исполнения. Различные варианты исполнения обеспечивают разный уровень готовности к интеграции в корпоративную информационную систему. В основной вариант входят защищённый мобильный компьютер, созданный по технологии БДМ, с операционной системой и VPN/FW ЗАСТАВА. В расширенном варианте добавляются средства защиты информации, используемые заказчиком. Такой подход обеспечивает лёгкость интеграции и снижает затраты ресурсов ИТ- и ИБ- служб.
При использовании технологии БДМ соблюдается основной принцип доверенной среды: независимость от используемых информационных технологий и состава средств обработки информации. Как известно, именно такой подход обеспечивает неизменный уровень безопасности даже при добавлении или изъятия приложений.
Производительность уникального специального высокоскоростного шифратора, начинающего свою работу еще до загрузки операционной системы, практически равна скорости чтения/записи современных накопителей. Это обеспечивает комфортную работу пользователей без заметных задержек в прозрачном режиме шифрования.
БДМ-Ноутбук представляет собой программно-аппаратный комплекс, состоящий из ноутбука Lenovo с установленным чипом безопасности TPM и специального программного обеспечения, разработанного компанией ЭЛВИС-ПЛЮС.
БДМ-Ноутбук предоставляет уникальную возможность работать на одном устройстве в двух средах — доверенной (для обработки конфиденциальной информации) и открытой (для работы с личной, неслужебной информацией). Эти две среды никогда не пересекаются и никак не могут влиять друг на друга. Более того, по внешнему виду ноутбука и при обычном включении нельзя понять, что в ноутбуке хранится какая-либо зашифрованная конфиденциальная информация — БДМ-Ноутбук ничем (ни внешним видом, ни процессом загрузки) не отличается от обычного.
В базовом режиме работы пользователь имеет доступ к своим личным данным, публичным сетям и произвольным приложениям, не нужны токен и пароль. В этом режиме пользователю предоставляется полная свобода действий — от запуска компьютерных игр до общения в социальных сетях.
Для запуска доверенной операционной системы и работы со служебной информацией пользователь должен предъявить токен и пароль. В этом режиме, в зависимости от требований политики ИБ организации, пользователь может использовать только доверенные приложения и подключаться только к определённым сетям.
Специальное программное обеспечение ЭЛВИС-ПЛЮС выполняет следующие функции:
Доверенная начальная загрузка компьютера с контролем целостности его конфигурации, BIOS (UEFI), начального сектора диска, специального ПО ЭЛВИС-ПЛЮС, критичных файлов и настроек операционной системы.
Обеспечение конфиденциальности хранимых данных при утере или краже компьютера за счёт прозрачного шифрования доверенного раздела жесткого диска по алгоритму ГОСТ 28147-89 (до класса КС3).
Создание VPN-канала передачи данных с шифрованием по алгоритму ГОСТ 28147-89 (до класса КС3).
Руководитель всегда должен иметь возможность получать оперативную информацию о работе своей организации. Часто на его компьютере хранятся важнейшие корпоративные данные: финансовая информация, бизнес-планы и ноу-хау. Компьютер руководителя — самая привлекательная цель для любого злоумышленника. Защиту от скрытых угроз — вирусов, троянов, сетевых атак, и т.д. — обеспечивают предустановленные средства защиты информации, интегрированные в общую систему обеспечения безопасности информации организации. А защиту от явных — кражи или потери устройства — полное шифрование всей информации в доверенной области памяти устройства.
Идеальное решение для обеспечения работы сотрудников, часто выезжающих в служебные командировки или проводящих какие-либо выездные проверки. Благодаря наличию предустановленного средства построения VPN-сетей, такой сотрудник получает безопасный канал доступа к корпоративным информационным ресурсам (почта, файлы, средства управления базами данных, прикладные приложения и т.д.), находящимся на сетевом хранилище или в Центре обработки данных. Даже если такие данные перехватить, то их нельзя расшифровать, не зная ключа шифрования. Эта информация просто бесполезна для злоумышленника.
Устройство на базе решения ЭЛВИС-ПЛЮС может стать заменой стационарного рабочего места высокого класса защищённости. Устройство «из коробки» обеспечивает соответствие нормативным требованиям для компьютеров, где необходимо наличие строгой аутентификации и электронного замка. Такой подход экономит ресурсы ИТ- и ИБ-службы за счёт отсутствия необходимости в каких-либо дополнительных манипуляциях по настройке программной и аппаратной части и создаёт необходимый задел по повышению мобильности сотрудников как внутри организации, так и за её пределами.
Большие деньги — большая ответственность! Решение на основе технологии БДМ создает на компьютере, оборудованном чипом безопасности, специализированную доверенную среду, которая может быть предназначена только для доступа в систему дистанционного банковского обслуживания и ни для чего другого и которая может использовать только одобренные банком приложения. Доверенная и открытая среды независимы друг от друга, поэтому одно устройство можно использовать и для личных, и для рабочих задач.
Выполнение требований нормативных документов по защите персональных данных и государственных информационных систем;
Снижение риска утечек конфиденциальной информации при работе с мобильными автоматизированными рабочими местами;
Уверенность руководства организации в обеспечении требуемого уровня защищённости обрабатываемой информации ограниченного распространения и персональных данных;
Повышение эффективности работы сотрудников за счет оперативного доступа к корпоративной сети и возможности обработки конфиденциальной информации вне пределов контролируемой зоны;
- Экономия средств на реализацию системы защиты в сравнении с аналогичными решениями, т.к. отпадает необходимость приобретения аппаратного модуля доверенной загрузки и электронного замка.