Распределенный МЭ TrustAccess - ГК "Астрал" в г.Махачкала (Дагестан) - Защита информации - ViPNet. Электронная отчетность. Изготовление квалифицированной электронной подписи ЭП КЭП. Электронные аукционы (торги). Оператор фискальных данных ОФД, Кассы онлайн POS терминал Эвотор, Фискальный накопитель ФН, ККТ, ЕГАИС, Госуслуги gosuslugi.ru. Защита персональных данных. Электронный документооборот. Удостоверяющий центр. Системная интеграция. Видеонаблюдение

Распределенный межсетевой экран TrustAccess

TrustAccess — распределенный сертифицированный ФСТЭК межсетевой экран высокого класса защиты с централизованным управлением и аудитом событий информационной безопасности, предназначенный для защиты серверов и рабочих станций локальной сети от несанкционированного доступа, разграничения сетевого доступа к информационным системам предприятия.

Группа компаний "Астрал", являясь официальным представителем Компании «Код Безопасности» на территории Республики Дагестан, представляет сертифицированный МЭ TrustAccess, позволяющий реализовать множество сценариев защиты информации.

СЗИ TrustAccess предназначено для решения следующих типовых задач:

Разделение локальной сети на сегменты, обрабатывающие защищаемую информацию
Разграничение доступа к информационным системам на сетевом уровне

Основные возможности

	Аутентификация В TrustAccess реализован собственный механизм аутентификации, основанный на протоколе Kerberos, обеспечивающий защиту от прослушивания, попыток подбора и перехвата паролей		Фильтрация TrustAccess может ограничивать сетевые соединения на уровне служебных протоколов, периодов времени, пользователей или их групп, параметров прикладных протоколов
	Контроль целостности Встроенная подсистема контроля целостности TrustAccess обеспечивает слежение за неизменностью содержимого служебных файлов		Централизованное управление TrustAccess позволяет централизованно управлять учетными записями абонентов, списком защищаемых компьютеров, а также средствами и механизмами защиты
	Централизованный сбор событий В TrustAccess реализован централизованный сбор и аудит событий информационной безопасности со всех компьютеров, на которых установлены компоненты системы		Система отчетов TrustAccess предоставляет наглядные отчеты о происходящих на защищаемых компьютерах событиях, сетевой активности и конфигурации системы

Сценарии использования

Защита клиент-серверных и многозвенных ИСПДн

Как правило, современные информационные системы, в том числе и информационные системы персональных данных, представляют собой клиент-серверные или многозвенные распределенные системы. Данные в таких системах обрабатываются не только локально на компьютерах, но и на серверах баз данных, в клиентских приложениях, использующих сетевые сервисы, в веб-приложениях и т. д. Традиционные СЗИ от НСД не гарантируют защиту данных при их передаче по сети. TrustAccess обеспечит эффективную сертифицированную защиту данных в клиент-серверных и многозвенных ИСПДн.

Рассмотрим сценарий организации защиты персональных данных с помощью TrustAccess на примере Call-центра. Операторы Call-центра принимают или совершают телефонные звонки и фиксируют результаты в CRM-системе, осуществляя при этом обработку персональных данных.

TrustAccess, установленный на рабочие места операторов Call-центра, позволит предоставить доступ к CRM-системе только операторам Call-центра. Пользователям корпоративной компьютерной сети, работа которых не связана с обработкой персональных данных, доступ в CRM-системе запрещается. TrustAccess, установленный на серверы CRM-системы и сервер баз данных, предоставляет доступ к базам данных только веб-серверу с CRM-системой Call-центра.

Снижение класса ИСПДн

Сегментирование ИСПДн посредством сертифицированных межсетевых экранов является легитимным способом снижения класса ИСПДн — согласно приказу 58 ФСТЭК «При разделении информационной системы при помощи межсетевых экранов на отдельные части системы для указанных частей системы может устанавливаться более низкий класс, чем для информационной системы в целом».

TrustAccess, установленный на сегментированные участки сети, позволяет снизить класс защищенности сегментированных участков и, соответственно, сэкономить на защите.

Описание: shema_ISPDN_12_ed2.jpg

Поскольку на сервере ИСПДн обрабатывается обрабатывается более 100 тыс. записей персональных данных второй категории (ФИО, место работы, семейное положение), то вся ИСПДн классифицируется как К1. Разбив с помощью межсетевого экрана всю ИСПДн на отдельные сегменты, рабочие станции можно классифицировать как ИСПДн класса К3, поскольку на каждой рабочей станции обрабатывается единовременно не более 1000 записей ПДн.

Разграничение доступа к файл-серверу на уровне общих папок

Некоторые ИСПДн имеют архитектуру типа «файл-сервер», когда обработка персональных данных осушествляется на рабочем месте пользователя, а на сервере осуществляется только их хранение. Вместе с персональными данными, к которым необходимо ограничить доступ для отдельных категорий пользователей, на файл-сервере хранятся и общедоступные данные. Понятно, что простое ограничение доступа к файл-серверу не явлется решением проблемы.

TrustAccess позволяет ограничить доступ к файл-серверу на уровне общих папок. Это значит, что к папке, где хранятся ПДн, смогут получить доступ только те пользователи (группа пользователей или компьютеры), которые обрабатывают ПДн. Для всех остальных пользователей доступ к этой папке файл-сервера будет запрещен.

Разграничения доступа пользователей к серверам

Как правило, в организации используется несколько различных по своим функциям и характеру обрабатываемой информации информационных систем — и сервер также может быть не один. Например, сотрудники разных отделов могут использовать разные серверы.

TrustAccess позволяет разграничить сетевой доступ к нескольким серверам на основе групп пользователей. В зависимости от того, в каком отделе работает сотрудник, он получает доступ к тому или иному серверу БД.

Защита терминальных соединений

В случае применения решений на основе терминальных служб разные пользователи получают доступ к обрабатываемым данным с одного физического компьютера и с одного IP-адреса — сервера терминальных служб. В этом случае традиционные межсетевые экраны, где аутентификация осуществляется базе IP-адреса компьютера пользователя, не позволяют разграничить доступ к серверам БД.

В отличие от них, в TrustAccess реализован более сложный алгоритм аутентификации на базе протокола Kerberos, который позволяет разграничить доступ к данным на уровне пользователей, работающих на одном физическом компьютере.

В случае использования TrustAccess для защиты терминальных соединений бухгалтер получит доступ только серверу 1С, а сотрудник отдела кадров — к кадровой системе даже при терминальных соединениях.

Защита виртуальных машин

Большинство атак на виртуальные машины на уровне сети пользователей базируются на подмене MAC- или IP-адресов. Тот факт, что механизмы защиты TrustAccess нечувствительны к подобным атакам, позволяет использовать его для защиты виртуальных машин.

Описание: visio_61_6.jpg

TrustAccess, установленный на виртуальные машины, позволяет защитить как виртуальные машины – сервера, так и виртуальные рабочие места. При этом виртуальные машины будут защищены от сетевых атак как со стороны внешних физических машин, так и со стороны виртуальных машин.

Отдельно следует отметить, что TrustAccess имеет статус VMware Ready и внесен в каталог партнерских продуктов VMware, что подтверждает его совместимость со средами виртуализации на базе платформ VMware.

По вопросам приобретения продукта и технической поддержки необходимо обращаться по телефонам 8(8722)56-88-99, 8(988)298-88-99, по электронной почте info@astral-rd.ru или в наш офис по адресу г. Махачкала, ул. Казбекова, д. 161 "А".