Приказ фстэк 87

применение Требований к средствам контроля съемных машинных носителей информации (Приказ ФСТЭК России от 28.07.2014 № 87)

Здравствуйте.
Наша компания занимается разработкой и реализацией DLP-систем. Наши программные решения, могут использоваться, в том числе, для контроля подключения съемных машинных носителей информации и контроля переноса информации со съемных машинных носителей. В марте 2013 года наш программный продукт успешно прошел сертификацию в Системе сертификации средств защиты информации по требованиям безопасности информации РОСС RU.0001.01 БИ00. Выдан соответствующий сертификат № 2851.
В связи с принятием Требований к средствам контроля съемных машинных носителей информации (Приказ ФСТЭК России от 28.07.2014 № 87) возникли следующие вопросы:
— признается ли программное обеспечение, прошедшее сертификацию в Системе сертификации средств защиты информации по требованиям безопасности информации РОСС RU.0001.01 БИ00ПО до вступления в силу Требований к средствам контроля съемных машинных носителей информации (Приказ ФСТЭК России от 28.07.2014 № 87), соответствующим указанным Требованиям, а также иным требованиям безопасности информации, установленным российсикм законодательством;
— влечет ли отсутствие сертификации на соответствие Требованиям к средствам контроля съемных машинных носителей информации (Приказ ФСТЭК России от 28.07.2014 № 87) в отношении программного обеспечения, сертифицированного до их вступления в силу в Системе сертификации РОСС RU.0001.01 БИ00, понижение уровня РД НДВ и ТУ такого программного обеспечения;
— является ли обязательным дополнительное сертифицирование на соответствие Требованиям к средствам контроля съемных машинных носителей информации (Приказ ФСТЭК России от 28.07.2014 № 87) программного обеспечения, сертифицированного до их вступления в силу в Системе сертификации РОСС RU.0001.01 БИ00.

Может, кто-то поможет разобраться?

Если кратко, то хочется понять, как соотносятся новые ФСТЭКовские Требований к средствам контроля съемных машинных носителей информации и используемая Система сертификации средств защиты информации по требованиям безопасности информации РОСС RU.0001.01?

Буду признателен за любую инфу по этому вопросу

www.itsec.ru

Приказ Минприроды России от 12.03.2018 N 87 «Об утверждении Плана информатизации Министерства природных ресурсов и экологии Российской Федерации на 2018 финансовый год и плановый период 2019 — 2020 гг.»

МИНИСТЕРСТВО ПРИРОДНЫХ РЕСУРСОВ И ЭКОЛОГИИ

от 12 марта 2018 г. N 87

ОБ УТВЕРЖДЕНИИ ПЛАНА

ИНФОРМАТИЗАЦИИ МИНИСТЕРСТВА ПРИРОДНЫХ РЕСУРСОВ И ЭКОЛОГИИ

РОССИЙСКОЙ ФЕДЕРАЦИИ НА 2018 ФИНАНСОВЫЙ ГОД И ПЛАНОВЫЙ

ПЕРИОД 2019 — 2020 ГГ.

В соответствии с постановлением Правительства Российской Федерации от 24.05.2010 N 365 «О координации мероприятий по использованию информационно-коммуникационных технологий в деятельности государственных органов» приказываю:

Утвердить прилагаемый План информатизации Министерства природных ресурсов и экологии Российской Федерации на 2018 финансовый год и плановый период 2019 — 2020 гг.

приказом Минприроды России

от 12.03.2018 N 87

ИНФОРМАТИЗАЦИИ МИНИСТЕРСТВА ПРИРОДНЫХ РЕСУРСОВ И ЭКОЛОГИИ

РОССИЙСКОЙ ФЕДЕРАЦИИ НА 2018 ФИНАНСОВЫЙ ГОД И ПЛАНОВЫЙ

ПЕРИОД 2019 — 2020 ГГ.

Положительное заключение Минкомсвязи России

Уникальный номер мероприятия

Тип мероприятия по информатизации

Наименование объекта учета

Номер приоритетного направления

Финансирование за счет средств федерального бюджета (тыс. рублей)

Целевые показатели по приоритетным направлениям, которые будут обеспечены в результате реализации мероприятия по информатизации

Основания реализации мероприятия по информатизации (наименование, дата, номер, пункты, статьи)

Очередной финансовый год

1 год планового периода

2 год планового периода

Базовое (текущее) значение

Ожидаемые (плановые) значения

1 год планового периода

2 год планового периода

Телекоммуникационная инфраструктура, обеспечивающая внешнюю связь

Постановление Правительства Российской Федерации от 11.11.2015 N 1219 «Об утверждении Положения о Министерстве природных ресурсов и экологии Российской Федерации и об изменении и признании утратившими силу некоторых актов Правительства Российской Федерации»

Подсистема обеспечения информационной безопасности информационно-телекоммуникационной инфраструктуры Минприроды России

Письмо Минкомсвязи России от 30.12.2015 N ОП-П8-25076ДСП; приказ ФСБ России и ФСТЭК России от 31.08.2010 N 416/489 «Об утверждении требований о защите информации, содержащейся в информационных системах общего пользования»; приказ ФСТЭК России от 11.02.2013 N 17 «Об утверждении требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах»; постановление Правительства Российской Федерации от 11.11.2015 N 1219 «Об утверждении Положения о Министерстве природных ресурсов и экологии Российской Федерации и об изменении и признании утратившими силу некоторых актов Правительства Российской Федерации».

Кодексы РФ

Популярные материалы

Федеральный закон от 02.10.2007 N 229-ФЗ

Для пятидневной рабочей недели

Федеральный закон от 03.07.2016 N 230-ФЗ

Федеральный закон от 03.07.2016 N 226-ФЗ

Постановление Правительства РФ от 23.10.1993 N 1090

Федеральный закон от 26.07.2006 N 135-ФЗ

Федеральный закон от 04.05.2011 N 99-ФЗ

Федеральный закон от 17.01.1992 N 2202-1

Федеральный закон от 08.02.1998 N 14-ФЗ

Федеральный закон от 26.10.2002 N 127-ФЗ

Федеральный закон от 27.07.2006 N 152-ФЗ

Федеральный закон от 05.04.2013 N 44-ФЗ

Федеральный закон от 28.03.1998 N 53-ФЗ

Федеральный закон от 02.12.1990 N 395-1

Федеральный закон от 29.12.2012 N 275-ФЗ

Федеральный закон от 07.02.2011 N 3-ФЗ

Законы Российской Федерации

«О ведении гражданами садоводства и огородничества для собственных нужд и о внесении изменений в отдельные законодательные акты Российской Федерации»

«О внесении изменений в Федеральный закон «О водоснабжении и водоотведении» и отдельные законодательные акты Российской Федерации»

«О прокуратуре Российской Федерации»

Указы и распоряжения Президента Российской Федерации

«Об Организационном комитете по подготовке и проведению XXIII конгресса Международной организации высших органов финансового контроля»

«Об утверждении состава Комиссии при Президенте Российской Федерации по формированию и подготовке резерва управленческих кадров, изменении и признании утратившими силу некоторых актов Президента Российской Федерации»

«О Комиссии при Президенте Российской Федерации по вопросам стратегии развития топливно-энергетического комплекса и экологической безопасности» (вместе с «Положением о Комиссии при Президенте Российской Федерации по вопросам стратегии развития топливно-энергетического комплекса и экологической безопасности»)

Постановления и распоряжения Правительства Российской Федерации

«Об утверждении схемы территориального планирования Российской Федерации в области федерального транспорта (железнодорожного, воздушного, морского, внутреннего водного транспорта) и автомобильных дорог федерального значения»

«О составе организационного комитета по подготовке и проведению празднования 100-летия образования Республики Башкортостан»

«О Государственной программе развития сельского хозяйства и регулирования рынков сельскохозяйственной продукции, сырья и продовольствия на 2013 — 2020 годы»

rulaws.ru

DeviceLock DLP в едином реестре российских программ для ЭВМ и БД

Программный комплекс DeviceLock DLP Suite, предназначенный для защиты от утечек данных, включен в единый реестр российских программ для электронных вычислительных машин и баз данных в классе средств обеспечения информационной безопасности приказом №421 министра Минкомсвязи от 16 августа 2017 г. на основании решения Экспертного совета по российскому программному обеспечению при Министерстве связи и массовых коммуникаций РФ от 14 августа 2017 года.

Решение Экспертного совета подтверждает соответствие программного комплекса DeviceLock DLP требованиям, предъявляемым участникам реестра ПО и указанному классу программного обеспечения (Средства обеспечения информационной безопасности).

DeviceLock DLP включен в реестр российского ПО под регистрационным номером 3888, правообладателем является АО «Смарт Лайн Инк».

Соответствующая информация приведена на официальном сайте оператора единого реестра российских программ для электронных вычислительных машин и баз данных в информационно-телекоммуникационной сети «Интернет».

Лицензия ФСТЭК России на деятельность по разработке и производству средств защиты конфиденциальной информации

Лицензия Федеральной службы по техническому и экспортному контролю на деятельность по разработке и производству средств защиты конфиденциальной информации.

Лицензия ФСТЭК является подтверждением соответствия компании всем требованиям в области информационной безопасности, которые предъявляет федеральный орган исполнительной власти России к разработчикам средств защиты конфиденциальной информации. Согласно полученной лицензии, специалисты АО «Смарт Лайн Инк» вправе осуществлять производство и разработку программных (программно-технических) средств для контроля защищенности информации, а также для её защиты и обработки. Лицензия предоставлена на основании приказа ФСТЭК России № 282-л от 30 мая 2017 года и не имеет срока действия.

Сертифицированная версия DeviceLock DLP Suite

Российская Федерация

Программный комплекс DeviceLock 8 DLP Suite, включающий в себя компоненты DeviceLock, NetworkLock, ContentLock, DeviceLock Search Server (DLSS) и DeviceLock Discovery, имеет действующий сертификат соответствия ФСТЭК России № 3465 от 05.11.2015 г. Программный комплекс соответствует требованиям документов «Требования к средствам контроля съемных машинных носителей информации, ФСТЭК России», утверждённых Приказом ФСТЭК России от 28 июля 2014 г. N 87 — по 4 классу защиты и «Профиль защиты средств контроля подключения съемных машинных носителей информации четвертого класса защиты (ИТ.СКН.П4.ПЗ)» (ФСТЭК России, 2014), руководящего документа «Защита от несанкционированного доступа к информации. Часть 1. Программное обеспечение средств защиты информации. Классификация по уровню контроля отсутствия недекларированных возможностей» (Гостехкомиссия России, 1999).

Программный комплекс может использоваться в составе АС до класса защищенности 1Г и информационных системах персональных данных (ИСПДн), государственных информационных системах (ГИС), автоматизированных системах управления производственными и технологическими процессами на критически важных объектах, потенциально опасных объектах, а также объектах, представляющих повышенную опасность для жизни и здоровья людей и для окружающей природной среды до 1 класса (уровня) защищенности включительно.

Программный комплекс предназначен для реализации мер защиты согласно «Требованиям о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах» (утверждённым приказом ФСТЭК России № 17 от 11.02.2013), «Составу и содержанию организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных» (утверждённым приказом ФСТЭК России № 21 от 18.02.2013), «Требованиям к обеспечению защиты информации в автоматизированных системах управления производственными и технологическими процессами на критически важных объектах, потенциально опасных объектах, а также объектах, представляющих повышенную опасность для жизни и здоровья людей и для окружающей природной среды» (утверждённых приказом ФСТЭК России от №31 от 14.03.2014:

• Учет машинных носителей информации (ЗНИ.1).
• Управление доступом к машинным носителям информации (ЗНИ.2).
• Исключение возможности несанкционированного ознакомления с содержанием информации, хранящейся на машинных носителях, и (или) использования носителей информации в иных информационных системах (ЗНИ.4).
• Контроль использования интерфейсов ввода (вывода) информации на машинные носители информации (ЗНИ.5).
• Контроль ввода-вывода на машинные носители информации (ЗНИ.6).
• Контроль подключения машинных носителей информации (ЗНИ.7).

АО «Смарт Лайн Инк» передало права на производство и распространение сертифицированной версии DeviceLock 8 DLP Suite компании ЗАО «АЛТЭКС-СОФТ». Сертифицированная версия поставляется на отдельных условиях (цена, способ поставки, канал поставки) и не допускает обновлений, отличных от обновлений, прошедших установленную ФСТЭК России процедуру инспекционного контроля. Поставка обновлений сертифицированной версии организуется также через компанию ЗАО «АЛТЭКС-СОФТ».

Функциональные возможности сертифицированной версии аналогичны версии DeviceLock 8 DLP Suite 8.0.7.61357. Отличительной особенностью сертифицированного DeviceLock является его применение:

• установка должна осуществляться с дистрибутива из комплекта поставки сертифицированной версии, прошедшего верификацию;
• обновление версии может осуществляться только с дистрибутива, прошедшего, в рамках инспекционного контроля, сертификационные испытания. При наличии, такой дистрибутив программы, прошедший инспекционный контроль, размещается в Центре сертифицированных обновлений АЛТЭКС-СОФТ. Для его закачки всем пользователям данной версии предоставляется индивидуальный ключ для авторизации в Центре сертифицированных обновлений;
• среда функционирования сертифицированной версии должна соответствовать указанной в Формуляре;
• функционирование продукта должно быть обеспечено в соответствии с разделом «Указания по эксплуатации» Формуляра на программу.

По всем интересующим вопросам о приобретении сертифицированной версии, а также за ценовым предложением просим обращаться в ЗАО «АЛТЭКС-СОФТ»:

141090, Московская обл., г. Королев, мкр. Болшево
ул. Маяковского, д.10А
Телефон: (495) 543-31-01
Факс: (498) 720-89-14
Эл. почта: [email protected]
Веб-сайт: http://www.altx-soft.ru

Пакет приобретается по количеству рабочих мест (лицензий на использование ПО). В состав пакета поставки входят:

1. Верифицированный установочный комплект ПО ( CD – диск, один комплект на поставку);

2. Голографический знак соответствия ФСТЭК России на поставляемые программные продукты (наносится на Формуляр);

3. Абонемент на сертификационную поддержку программного обеспечения (действует в течение всего срока действия Сертификата ФСТЭК);

4. Комплект документации (один на поставку на одного конечного заказчика), документы заверены печатью и подписью:

• Копия сертификата ФСТЭК России на сертифицируемое ПО;
• Формуляр на сертифицируемое ПО;

5. CD-диск, содержащий:

• Дистрибутив;
• Файлы с ключами активации ПО;
• Руководства по установке, настройке и работе с ПО;
• Набор информационных материалов.

www.devicelock.com

Приказ фстэк 87

Почему же «долгожданный»? Да потому, что с момента выхода постановления Правительства РФ № 1119 (1 ноября 2012 года) любые вопросы по технической защите персональных данных оказались в неопределенно-подвешенном состоянии. Получилось так: новым постановлением отменены старые классы информационных систем персональных данных (ИСПДн) и введено понятие «Уровни защищенности ИСПДн», но как и чем защищаться в каждом конкретном случае как раз и должен был нам рассказать новый приказ ФСТЭК, который мы ждали «каких-то» полгода.

Сразу после опубликования нового приказа по Интернету прокатилась волна восторженных отзывов о новом документе. Мол, это огромный шаг вперед в сфере законодательства по защите персональных данных. В какой-то мере это действительно так (учитывая то, что предыдущие документы выходили сразу морально устаревшими и не учитывали многих нюансов функционирования современных информационных систем — мобильные платформы, виртуализация и тд), но, лично у меня к новому документу есть масса претензий.

В этой статье я постараюсь простым языком проанализировать новый документ ФСТЭК России, взвесить его плюсы и минусы, а также постараться ответить на вопрос «что же теперь делать операторам персональных данных?».

Что из себя представляет документ в целом

В целом, это действительно шаг вперед в плане законотворчества в сфере защиты персональных данных. Наконец-то в списке мер мы увидели упоминание мобильных устройств и средств виртуализации, чего раньше законодатели тщательно старались избегать. Наконец-то нет обязаловки как в прошлом приказе: «Если у тебя ИСПДн 1 класса, тебе нужно потратить n денег на средства защиты информации, если 2 класса, то n-m денег, а если 3 класса, то n-m-k денег.».

Сейчас ситуация такая: у нас есть 15 групп различных технических и организационных мер, в каждой группе от 2 до 20 различных мер, напротив каждой меры отмечено, является ли эта мера базовой (я буду их называть далее условно обязательными) для определенного уровня защищенности (если стоит плюс, то мера базовая, если нет — компенсирующая). Тут нужно заметить, что в перечне есть немало мер, которые могут быть только компенсирующими, то есть не отмечены плюсом ни для одного из четырех уровней защищенности.

Оператор персональных данных действует по следующему алгоритму:
— определяет уровень защищенности своей ИСПДн согласно ПП 1119;
— выбирает все меры, которые отмечены плюсом для выбранного уровня защищенности (базовые меры);
— убирает из полученного списка меры, которые связаны с технологиями, не используемыми в ИСПДн (например, убираем меры для защиты виртуальной инфраструктуры, если средства виртуализации не используются);
— смотрит на полученный список мер и сравнивает с актуальными угрозами в модели угроз, если выбранными мерами нейтрализуются не все актуальные угрозы, добавляет в список компенсирующие меры, необходимые для нейтрализации всех оставшихся угроз;
— добавляет к полученному списку меры, определенные в других нормативных актах (например в ПП № 1119 есть небольшое количестве мер, а также есть общие требования в ФЗ-152), после чего получает итоговый список мер, которые нужно выполнить;
— выполняет меры из окончательного списка…

Вроде бы все просто: определяем уровень защищенности, рисуем модель угроз, выбираем и уточняем меры из нового приказа ФСТЭК, выполняем эти меры и у нас комар носа не подточит. Но…

Ложка дегтя

Собственно здесь начинается критика как нового документа, так и остального законодательства в целом.

Проблемы у 21 приказа ФСТЭК в целом такие же как и у многих других законодательных документов — использование размытых формулировок, возможность двоякого толкования текста, отсутствие пояснений там, где они жизненно необходимы.

Понять как тщательно готовился документ и сколько раз его перечитывали и редактировали за эти полгода можно уже по тому факту, что после четвертого пункта в приказе сразу идет шестой… Ну ладно, это придирки, а что есть по существу?

Непонятки начинаются с классики жанра, которая тянется с незапамятных времен. Пункт 2 документа гласит, что для выполнения работ по защите ПДн могут привлекаться организации, имеющие лицензию на техническую защиту конфиденциальной информации (ТЗКИ).
Эта фраза кочует из документа в документ ФСТЭК уже давно, но что значит «могут» однозначного ответа так и нет. Естественно, ушлые интеграторы будут трактовать это как «могут привлекать сторонние организации, если сами не имеют лицензию на ТЗКИ». Формально, они будут правы, потому что если копнуть другие нормативные акты, выясняется, что под ТЗКИ попадает даже банальная установка антивируса, а в положении о лицензировании касаемо ТЗКИ нет оговорки о том, что лицензия не нужна если работы проводятся для личных нужд. Но операторы не любят выкидывать деньги на ветер и, к несчастью ушлых интеграторов, включают здравый смысл и трактуют это предложение как «могут привлекать, а могут и сами сделать». Это первое место, где не помешало бы более конкретно описать условия привлечения сторонних организаций.

Едем дальше. Пункт 3 говорит нам о том, что меры по обеспечению безопасности ПДн должны быть направлены на нейтрализацию актуальных угроз безопасности. С другой стороны ФЗ-152 говорит нам о том, что организационные и технические меры применяются для выполнения требований по защите ПДн. Так все-таки, есть у нас свобода или очередная обязаловка? Опять необходимо разъяснение.

Далее. Шестой пункт гласит о том, что раз в 3 года оператор самостоятельно или с привлечением сторонних организаций должен проводить оценку эффективности реализованных мер защиты ПДн. Тут получилось как с оценкой вреда субъекту персональных данных в 152-ФЗ. Получается, что оценку провести нужно, а какой-либо методики проведения такой оценки нет. А может быть оценка эффективности является заменой аттестации информационной системы? Тогда почему оператор может проводить ее самостоятельно, не имея лицензии на ТЗКИ?

Десятый пункт документа на первый взгляд очень многообещающий, в нем сказано «При невозможности технической реализации отдельных выбранных мер по обеспечению безопасности персональных данных, а также с учетом экономической целесообразности на этапах адаптации базового набора мер и (или) уточнения адаптированного базового набора мер могут разрабатываться иные (компенсирующие) меры, направленные на нейтрализацию актуальных угроз безопасности персональных данных«.

Казалось бы, вот оно — ссылаемся на экономическую нецелесообразность и не покупаем никаких сертифицированных средств защиты. Ну тут же нас выводит из состояния эйфории следующий абзац: «В этом случае в ходе разработки системы защиты персональных данных должно быть проведено обоснование применения компенсирующих мер для обеспечения безопасности персональных данных».

То есть вот как, просто сказать проверяющему «Мы тут с мужиками прикинули и решили, что внедрять сертифицированные СЗИ это слишком дорого и поставили бесплатный китайский антивирус» не получится. Нужно показывать какие-то бумажки, обосновывающие применение иных мер, а не базовых. Как обосновать? Мне пока на ум приходит только проведение процедуры анализа рисков по ISO 27001, что, в случае найма для этих целей сторонней организации, само по себе может влететь в копеечку. К тому же, еще не факт, что анализ рисков покажет, что внедрять сертифицированные СЗИ экономически нецелесообразно…

Собственно тут мы и дошли до основной части документа — приложение с перечнем мер. Тут тоже не все так просто как хотелось бы. Вроде бы и меры разбиты на группы и удобно пронумерованы, вроде бы и удобные столбики с плюсиками показывают является ли в нашем случае та или иная мера условно обязательной или нет. Но, все равно, после изучения таблицы с мерами остается чувство неопределенности. Вот, например, пункт четвертый основного текста приказа уже не обязывает, вроде как, применять только сертифицированные СЗИ. Это хорошо. Но этот же пункт и не говорит прямым текстом, что можно применять несертифицированные СЗИ или не применять СЗИ вообще. Вот как он звучит дословно:
Меры по обеспечению безопасности персональных данных реализуются в том числе посредством применения в информационной системе средств защиты информации, прошедших в установленном порядке процедуру оценки соответствия, в случаях, когда применение таких средств необходимо для нейтрализации актуальных угроз безопасности персональных данных.

В то же время, первая же мера, условно обязательная для всех уровней защищенности, звучит так: «Идентификация и аутентификация пользователей, являющихся работниками оператора». Понятно, что эта мера может быть реализована и штатными средствами любой ОС. И вроде как четвертый пункт не обязывает применять тот же Secret Net или Dallas Lock, но где гарантия, что не придет проверяющий и не скажет «Вы все не так поняли, тут должно стоять сертифицированное СЗИ, вот вам предписание»? Кто и как определяет — для нейтрализации конкретной угрозы необходимо ли сертифицированное СЗИ или можно обойтись без него? Почему нельзя написать прямым текстом, что применение сертифицированных СЗИ не обязательно, или обязательно в каких-то конкретных случаях?

Ну и формулировка самих мер иногда очень интересна. Вот например условно-обязательная мера защиты сред виртуализации для уровней защищенности от третьего и выше:
«Разбиение виртуальной инфраструктуры на сегменты для обработки персональных данных отдельным пользователем и/или группой пользователей».

По какому принципу сегментировать-то? И в чем такая необходимость? Конечно, мы можем при уточнении или адаптации набора мер выкинуть эту меру из списка, но опять же, а если проверяющий скажет «Вы все не так поняли. »?

Я очень надеюсь, что когда-нибудь представители ФСТЭК все же дадут официальные разъяснения по поводу спорных вопросов.

Вместо резюме

В общем и целом заметны попытки ФСТЭК дать большую свободу действия операторам при выборе стратегии защиты персональных данных, но размытости и неопределенности в формулировках в сочетании с неясностью позиции самого регулятора в спорных моментах, заставляют насторожиться.

Что же делать операторам сейчас?

Тем, кто уже защитил свои ИСПДн по «старому стилю», немного подредактировать свою документацию, приведя ее в соответствие действующему законодательству. В любом случае, скорее всего, ваша система защиты в техническом плане будет соответствовать и новому документу, так как раньше требования были жестче.

Остальным — классифицировать свои ИСПДн, построить модель угроз, составить список мер и, по мере возможности, их выполнять. Мониторить всевозможные новости, касающиеся разъяснений регуляторов, практики проведения проверок, мнений экспертов и общей тенденции развития законодательства в этой сфере.

m.habr.com

СЗИ DallasLock 8.0-К

СЗИ Dallas Lock 8.0-K — система защиты конфиденциальной информации от несанкционированного доступа в процессе её хранения и обработки.

Представляет собой программный комплекс средств защиты информации в ОС семейства Windows с возможностью подключения аппаратных идентификаторов.

Соответствие требованиям регуляторов:

• «Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации» (Гостехкомиссия России, 1992) – по 5 классу защищенности;
• «Средства вычислительной техники. Межсетевые экраны. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации» (Гостехкомиссия России, 1992) – по 3 классу защищенности;
• «Требования к средствам контроля съемных машинных носителей информации» (документ утвержден приказом ФСТЭК России № 87 от 28 июля 2014 г.) – по 4 классу защиты;
• «Защита от несанкционированного доступа к информации. Часть 1. Программное обеспечение средств защиты информации. Классификация по уровню контроля отсутствия недекларированных возможностей» (Гостехкомиссия России, 1999) – по 4 уровню контроля отсутствия НДВ;
• «Профиль защиты средств контроля подключения съемных машинных носителей информации четвертого класса защиты» ИТ.СКН.П4.ПЗ.

Назначение:

• создание защищенных автоматизированных систем до класса защищенности 1Г включительно (Руководящий документ «Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации» (Гостехкомиссия России, 1992));
• обеспечение 1 уровня защищенности персональных данных (Приказ ФСТЭК России от 18 февраля 2013 г. № 21 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных»);
• защита информации в государственных информационных системах 1 класса защищенности (Приказ ФСТЭК России от 11 февраля 2013 г. № 17 «Об утверждении требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах»);
• создание защищенных информационных систем управления производственными и технологическими процессами (АСУ ТП) на критически важных объектах, потенциально опасных объектах, а также объектах, представляющих повышенную опасность для жизни и здоровья людей и для окружающей природной среды, до 1 класса защищенности включительно (Приказ ФСТЭК России от 14 марта 2014 г. № 31 «Об утверждении требований к обеспечению защиты информации в автоматизированных системах управления производственными и технологическими процессами на критически важных объектах, потенциально опасных объектах, а также объектах, представляющих повышенную опасность для жизни и здоровья людей и для окружающей природной среды»).

Обеспечивает:

• защиту конфиденциальной информации от несанкционированного доступа на персональных, портативных и мобильных компьютерах (ноутбуках и планшетных ПК), серверах (файловых, контроллерах домена и терминального доступа), работающих как автономно, так и в составе ЛВС; поддерживает виртуальные среды;
• дискреционный принцип разграничения доступа к информационным ресурсам и подключаемым устройствам в соответствии со списками пользователей и их правами доступа (матрица доступа);
• аудит действий пользователей – санкционированных и без соответствующих прав, ведение журналов регистрации событий;
• контроль целостности файловой системы, программно-аппаратной среды и реестра;
• объединение защищенных ПК для централизованного управления механизмами безопасности;
• приведение АС, ГИС, АСУ ТП и систем обработки ПДн в соответствие законодательству РФ по защите информации.

Компоненты:

Используемые аппаратные электронные идентификаторы:

• USB-Flash-накопители;
• электронные ключи Touch Memory (iButton);
• USB-ключи и смарт-карты eToken;
• USB-ключи и смарт-карты Рутокен;
• USB-ключи и смарт-карты JaCarta;
• карты HID Proximity.

Сертификация:

СЗИ Dallas Lock 8.0-K сертифицирована ФСТЭК России на соответствие 4 уровню контроля отсутствия НДВ, 5 классу защищенности от НСД, 3 классу защищенности МЭ, 4 классу защиты СКН.

labvs.ru