|
|
Обзор подготовлен
В настоящее время «Код безопасности» – это единственный на российском рынке разработчик средств защиты информации, чей продуктовый ряд содержит все необходимые средства защиты и управления безопасностью для систем обработки персональных данных от класса К3 до класса К1 включительно, согласно рекомендациям ФСТЭК и ФСБ России.
Нормативные документы * ФСТЭК России по защите персональных данных фактически сформулировали новые дополнительные технические требования к безопасности информации при ее автоматизированной обработке, расширяющие и дополняющие существующие руководящие документы по безопасности автоматизированных систем. Эти документы определили требования по антивирусной защите, контролю сетевого доступа к конфиденциальной информации, защите от программно-математических воздействий. В них уточнены требования по применению средств межсетевого экранирования и средств криптографической защиты информации.
В соответствии с новыми требованиями государственных регулирующих органов в компании «Код Безопасности» разработаны программные продукты, пока не имеющие аналогов на российском рынке.
Прежде всего, это Security Studio Suite – комплексная защита персональных данных на АРМ. Включает в себя средство защиты информации от несанкционированного доступа, персональный межсетевой экран, антивирус и систему обнаружения атак. Это ПО обеспечивает защиту ИСПДн до класса К1.
Средством для защиты сети от программно-математических воздействий (ПМВ) является Honeypot Manager – программа-«имитатор», предназначенная для обнаружения несанкционированного доступа к данным с помощью специальных ловушек СУБД Oracle. Honeypot Manager позволит привести автоматизированную систему организации в соответствие с требованиями законодательства и регулирующих документов в части защиты конфиденциальной информации с использованием диагностических модулей-ловушек (требования ФСТЭК России по защите персональных данных и стандарта PCI DSS). С помощью этого ПО можно существенно снизить риски раскрытия персональных данных и конфиденциальной информации, обрабатываемых в базах данных современных бизнес-приложений (CRM, ERP, бухгалтерия и кадры), и своевременно обнаружить несанкционированный доступ к ним посредством внешних хакерских атак или действий внутренних нарушителей (инсайдеров).
Специфические угрозы информационной безопасности, возникающие в среде виртуализации, могут быть успешно нейтрализованы новым продуктом «Кода Безопасности» vGate for VMware Infrastructure, который предназначен для сертифицированной защиты данных ограниченного доступа, обрабатываемых в среде виртуализации VMware ESX 3.5, 4.0 и в виртуальной инфраструктуре vSphere™. Основные функции Security Code vGate for VMware Infrastructure — аутентификация администраторов виртуальной инфраструктуры и администраторов безопасности, разграничение доступа к элементам управления виртуальной инфраструктурой, доверенная загрузка виртуальных машин и регистрация событий, связанных с информационной безопасностью. Продукт обладает функциями централизованного управления и мониторинга. В настоящее время программный продукт проходит сертификационные испытания на соответствие требованиям руководящих документов ФСТЭК в части защиты от несанкционированного доступа по 5 уровню защищенности («СВТ 5») и в части контроля отсутствия недекларированных возможностей по 4 уровню контроля («НДВ 4»). Сертификаты дадут возможность использовать продукт для защиты конфиденциальной информации, обрабатываемой в автоматизированных системах до класса 1Г включительно и персональных данных, обрабатываемых в информационных системах персональных данных до 2 класса включительно.
Для защиты сетевых приложений и сервисов, обрабатывающих информацию ограниченного доступа, в «Коде Безопасности» создан продукт TrustAccess, который представляет собой систему распределенных межсетевых экранов высокого класса защищенности с централизованным управлением и мониторингом. TrustAccess — это по сути это «защитная оболочка», в которую можно «обернуть» практически любую информационную систему. Высокий класс межсетевого экранирования (МЭ 2 по ФСТЭК) позволяет удовлетворить всем требованиям защиты ИСПДн в части межсетевого экранирования. Продукт является простым и гибким в развертывании. Дело в том, что программные межсетевые экраны TrustAccess устанавливаются непосредственно на защищаемые компьютеры, внедрение продукта не требует реконфигурирования существующей сетевой инфраструктуры.
Совсем недавно компания анонсировала программный комплекс «Код Безопасности: Инвентаризация», предназначенный для сбора, обработки и систематизации информации о программном и аппаратном обеспечении, установленном как на автономных рабочих местах, так и на серверах в локальной сети под управлением операционных систем семейства Windows. «Код Безопасности: Инвентаризация» поможет гарантировать отсутствие трансляторов и отладчиков в корпоративной сети (требование ФСТЭК России при построении автоматизированных систем и ИСПДн). Регулярный аудит программного и аппаратного обеспечения с помощью «Код Безопасности: Инвентаризация» обеспечит соответствие законодательным, отраслевым и корпоративным требованиям к ПО, снизит риски за счет получения достоверной информации о ПО в сети компании. «Код Безопасности: Инвентаризация» проходит сертификационные испытания во ФСТЭК России, по окончании которых будет получен сертификат соответствия, по 3-му уровню контроля на отсутствие недекларированных возможностей (НДВ), что позволит использовать продукт в автоматизированных системах уровня защищенности до 1В включительно.
Компания «Код Безопасности» также представляет систему Комплексного Управления информационной Безопасностью предприятия КУБ. Система КУБ является сертифицированным средством общего назначения, обеспечивающим соблюдение единого регламента управления информационной безопасностью на основе электронного документооборота заявок, контроль соблюдения политики информационной безопасности и выявление несанкционированных изменений настроек информационных систем.
С помощью КУБа можно организовать регистрацию запросов на предоставление доступа и автоматизированный учет лиц, допущенных к конфиденциальной информации, обеспечить постоянный контроль защищенности и оповещение о фактах несанкционированного доступа к персональным данным и другой конфиденциальной информации, защититься от фактов предоставления доступа от внутреннего нарушителя с административными полномочиями и обеспечить доказательную базу и предоставление отчетности с учетом истории согласований и изменений прав доступа.
*Федеральным законом от 27 июля 2006 г. № 152-ФЗ "О персональных данных", главой 14 Трудового Кодекса Российской Федерации от 30 декабря 2001 г. № 197-ФЗ и постановлением Правительства РФ от 17 ноября 2007 г. № 781 установлены правила в отношении порядка обработки и обеспечения конфиденциальности персональных данных собственных работников и сторонних физических лиц, персональные данные которых обрабатываются в организации. В 2008 г был издан приказ от 13 февраля 2008 года №55/86/20 “Об утверждении Порядка проведения классификации информационных систем персональных данных”, а также были утверждены нормативные документы ФСТЭК и ФСБ по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств автоматизации.