Сертифицированный DLP - Защита от утечки информации (DLP) и шифрование - Форумы Anti-Malware.ru Перейти к содержанию
Даллас

Сертифицированный DLP

Recommended Posts

Даллас

По форуму поискал но ответа для себя не нашел :( а время поджимает!

Необходимо решение DLP имеющее сертификат ФСТЭК, для защиты персональных данных и конфиденциальной информации! Уважаемы форумяне :) где бы найти список вендоров и продуктов которые имеют действующий сертификат ФСТЭК?

НА данный момент рассматриваю решения DeviceLock, InfoWatch, Perimetrix! Что есть еще и как бы их независимо пропозиционировать - нет времени сравнивать функционал!

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Ashot

У нас (DeviceLock) точно есть ФСТЭК (оценочный уровень доверия ОУД2, может использоваться в автоматизированных системах до класса защищенности 1Г включительно)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин
Необходимо решение DLP имеющее сертификат ФСТЭК

Лицензии точно есть у DeviceLock и InfoWatch, Ashot уже отписался про первый. Про Perimetrix точно не знаю, но не помню, чтобы они получали такой сертификат.

НА данный момент рассматриваю решения DeviceLock, InfoWatch, Perimetrix!

Выбор вендоров немного ставит в тупик. Не могли бы вы немного конкретизировать на каком уровне (шлюз или рабочие станции) вы хотите внедрять DLP?

Отвечу немного на опережение. Если речь идет о защите от утечек на уровне шлюза - вам надо присмотреться к InfoWatch Traffic Monitor. Если же речь идет о контроле портов на рабочих станциях сотрудников, то варианты - DeviceLock, InfoWatch Device Monitor.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Алeксaндр Кoвaлев

У Zlock есть сертификат (3 по НДВ и ОУД4, можно использовать для 1Г).

Если нужно шлюзовое решение, то у Zgate планируется аналогичная сертификация, как и у Zserver Suite (сейчас решение поддерживает ГОСТ от Анкада и КриптоПро).

Присоединюсь к Сергею, необходимо уточнить, какие именно компоненты DLP Вам необходимы?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Н.Зенин

Уважаемый Даллас, в реестре сертифицированных средств ФСТЭК есть СЗИ Dallas Lock производства ООО "Конфидент", - Вы наверное неспроста тезки ;)

Если серьезно, DLP как класс систем, не включен регулирующими органами в перечень необходимых средств для защиты информации в ИСПДн.

DLP немного подходит под требования к "Подсистеме управления доступом"; агентская часть DLP немного подходит под требования "Подсистеме регистрации и учета" и "Подсистеме обеспечения целостности". В целом, нельзя обосновывать внедрение DLP требованиями сертификации ФСТЭК.

152-ФЗ требует, чтобы операторами ПДн обеспечивалась конфиденциальность персональных данных. Но способ, которым оператор будет обеспечивать конфиденциальность, не регламентирован. РД ФСТЭК «Основные мероприятия…» содержит только традиционные (из регламентирующих документов Гостехкомиссии 1992 года) требования: к защите от внешних угроз и к контролю доступа.

DLP – это решение из другой эпохи :huh: , а использовать или не использовать DLP, - оператор ПДн решает по своему усмотрению. Говоря (например в статье) о применении DLP к защите информации в ИСПДн, мы говорим лишь о реальной (а не формальной) защите ПДн (о снижении вероятности того, что к Вам нагрянут с внеплановой проверкой на основе жалоб физических или юридических лиц в Роскомнадзор).

Если не привязываться к необязательной для DLP сертификации ФСТЭК, - есть много хороших решений, - и Ваш выбор будет зависеть только от особенностей Ваших задач, способа размещения защищаемых данных, административной нагрузки, инфраструктуры.

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Даллас
Лицензии точно есть у DeviceLock и InfoWatch, Ashot уже отписался про первый. Про Perimetrix точно не знаю, но не помню, чтобы они получали такой сертификат.

Выбор вендоров немного ставит в тупик. Не могли бы вы немного конкретизировать на каком уровне (шлюз или рабочие станции) вы хотите внедрять DLP?

Отвечу немного на опережение. Если речь идет о защите от утечек на уровне шлюза - вам надо присмотреться к InfoWatch Traffic Monitor. Если же речь идет о контроле портов на рабочих станциях сотрудников, то варианты - DeviceLock, InfoWatch Device Monitor.

Ну в общем я получил ответ на вопрос, точнее остался при прежнем мнении - DeviceLock и InfoWatch Enterprise Solution, вес до кучи - наш выбор, ибо надо защищать растущую сеть на данный момент порядка 250 РС, и в ближайшее время грозит вырасти до 300.

Утечки интересуют и на уровне шлюза, и на уровне портов, так как конфиденциальная информация размазана примерно поровну, на первый взгляд между пользователями с выходом в Инет и с пользователями ограниченными корпоративной сетью!

Защита на уровне портов необходима так как конф. инфа частенько хранится только на флешках, и хотелось бы ограничить считывание ее на не допущенных РС.

На уровне шлюза - необходим контентный контроль исходящего траффика в основном направленный на пользователей веб - интерфесных мыльников, с целью закрыть канал утечки, и техническая защита от нагрузки на канал при передаче файлов больших размеров. Конечно большую часть функционала можно заменить встроеными средствами, но так как пока нет должности администратора безопасности, и по массе другой причин необходим сертифицированный инструмент= так как грядет комиссия ФСТЭК...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Даллас
152-ФЗ требует, чтобы операторами ПДн обеспечивалась конфиденциальность персональных данных. Но способ, которым оператор будет обеспечивать конфиденциальность, не регламентирован. РД ФСТЭК «Основные мероприятия…» содержит только традиционные (из регламентирующих документов Гостехкомиссии 1992 года) требования: к защите от внешних угроз и к контролю доступа.

DLP – это решение из другой эпохи :huh: , а использовать или не использовать DLP, - оператор ПДн решает по своему усмотрению. Говоря (например в статье) о применении DLP к защите информации в ИСПДн, мы говорим лишь о реальной (а не формальной) защите ПДн (о снижении вероятности того, что к Вам нагрянут с внеплановой проверкой на основе жалоб физических или юридических лиц в Роскомнадзор).

Не нагрянут, но защитить надо и формально и реально! Практика показывает что ориентирование концепции на только одно направление приводит рано или поздно ко второй, в той или иной степени :)

Уважаемый Даллас, в реестре сертифицированных средств ФСТЭК есть СЗИ Dallas Lock производства ООО "Конфидент", - Вы наверное неспроста тезки ;)

Нет это из другой оперы но ничего не случается просто так :rolleyes:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Даллас

К стати тут " http://www.fstec.ru/_razd/_serto.htm" Инфо вотч тока под 2000 выньду :) И под красную шапку! :(

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Н.Зенин
К стати тут " http://www.fstec.ru/_razd/_serto.htm" ...

а вот и появились в реестре новые записи "InfoWatch Traffic Monitor 3.1" и "Perimetrix SafeEdge 2.22-6077"

Отредактировал Н.Зенин

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Алeксaндр Кoвaлев

кстати, у ФСТЭКа в реестре ошибка в схеме сертификации...

Отредактировал Алeксaндр Кoвaлев

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Ashot
кстати, у ФСТЭКа в реестре ошибка в схеме сертификации

а что за ошибка?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Алeксaндр Кoвaлев

Ну, у них в схеме сертификации написано, что сертифицирована партия в 1 экземпляр. То есть максимум они могут продать 1 лицензию. Никакой особой разницы, сертифицировать партию 1 или 10 000 ед. нет, да и коллеги из ФСТЭКа подтвердили, что там ошибка.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Н.Зенин

Ну почему же ошибка? 40% (943 из всех 2370) сертифицированных продуктов в реестре - это партия в 1 экземпляр (это есть 1 дистрибутив).

Если прошла сертификация 1 экземпляра, - то уже на порядок легче проводить сертификацию любых других экземпляров под конкретных заказчиков (если потребуется), - самое сложное - позади.

Главное, что сертификат у InfoWatch хороший, грамотно составленный:

ПК "InfoWatch Traffic Monitor 3.1" – на соответствие 4 уровню РД НДВ, ТУ и может использоваться при создании автоматизированных систем до класса защищенности 1Г включительно, а также для защиты информации в ИСПДн до 2 класса включительно.

Для системы DLP лучшей формулировки к требованиям регулятора не придумаешь . Хорошую работу проделали Инфовотч, молодцы!

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PolKan

Коллеги, что Вы можете сказать про Symantec DLP - по функционалу это решение мне понравилось больше перечисленных (при первом поверхностном изучении), да к тому же слышал, что его хотят сертифицировать во ФСТЭК (это правда на уровне слухов - но вот вот одна из компаний по защите ПДн это решение уже продвигает -http://www.reignvox.ru/about-partners-symantec.html) - может слухи оправданы?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Н.Зенин
Коллеги, что Вы можете сказать про Symantec DLP - по функционалу это решение мне понравилось больше перечисленных (при первом поверхностном изучении), да к тому же слышал, что его хотят сертифицировать во ФСТЭК (это правда на уровне слухов - но вот вот одна из компаний по защите ПДн это решение уже продвигает -http://www.reignvox.ru/about-partners-symantec.html) - может слухи оправданы?

После того, как мы выполнили ряд масштабных внедрений Symantec DLP могу сказать, что решение оправдало наши ожидания по функциональности (детектирование, управляемость, отчетность) и превзошло наши ожидания по производительности (один перехватывающий сервер справляется с исходящим трафиком от десятков тысяч реальных пользователей). Подробнее по решению предлагаю продолжить в ветке по Symantec DLP.

Сертификация Symantec DLP во ФСТЭК планируется, но официальных подробностей об этом пока нет.

А продвигают Symantec DLP на сегодняшний день только 3 партнера, в том числе ЛЕТА

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • demkd
      "CurrentControlSet" это виртуальный ключ, он указывает на последний рабочий CurrentControlSetXXX, потому копировать там обычно нечего потому что есть лишь CurrentControlSet001, который и есть CurrentControlSet, другое дело когда есть 001 и 002, один из них может быть живым, а может и не быть.
      Но на самом деле не нужно маяться фигней, нужно пользоваться бэкапом и восстановлением реестра, тем более что в uVS есть твик для включения системного бэкапа реестра, так же копии реестра есть в теневых копиях и точках восстановления, где гарантировано можно найти рабочую ветку реестра и восстановить ее либо руками либо через uVS->Реестр->Восстановить из копии ключ SafeBoot
    • PR55.RP55
      " Вот еще в помощь рекомендации от Зайцева Олега:   Цитата Кроме того, есть еще один метод восстановления испорченных ключей. Как известно, в самом реестре есть копии ключа SafeBoot. Они находятся в HKLM\SYSTEM\CurrentControlSet001\Control\SafeBoot и HKLM\SYSTEM\CurrentControlSet002\Control\SafeBoot. Следовательно, можно попробовать следующую операцию:
      1. Экспортировать HKLM\SYSTEM\CurrentControlSet001\Control\SafeBoot
      2. В полученном REG файле заменить "CurrentControlSet001" на "CurrentControlSet" (REG файл текстовый, поэтому заменить несложно)
      3. Импортировать модифицированный файл
      Данная операция может быть успешной сразу после запуска повреждающей ключ реестра вредоносной программы, до перезагрузки. Нарушена загрузка в защищенном режиме (SafeBoot) Изменено 6 часов назад пользователем safety " https://forum.kasperskyclub.ru/topic/466078-privetstvuju-slovil-majner-po-nazvaniem-toolbtcmine2782/page/6/#comments А, что если это будет делать uVS ? т.е. Копировать ключ > модифицировать > производить перезапись.
    • Ego Dekker
      Домашние антивирусы для Windows были обновлены до версии 18.1.10.
    • PR55.RP55
      1) По поводу реестра и восстановления. Некоторые программы при работе создают копию реестра. Например в корне диска от FRST  т.е. предлагаю добавить в uVS поиск таких копий. Единственно проверять копии на соответствие Системе. В образ писать информацию о такой копии и дату её создания. 2) Окно с твиками в будущем разбить на два окна, твики работающие с реестром выделить в отдельное окно. 3) В Doc - добавить  информацию по твику 35 и его возможном применении с виртуализацией. 4) Проверять возможность загрузиться с другого диска\системы и добавлять в Инфо. сведения о возможности загрузиться с другого диска\системы. Это я о том, что возможно у PC были\есть несколько пользователей и человек просто не знает, что на дисках есть другие системы.  
    • demkd
      С виртуализацией можно удалять все, защиты от нее практически нет. Выполнить 45-й твик.

      ---------------------------------------------------------
       4.99.12
      ---------------------------------------------------------
      o При удалении исключений Defender-а теперь не_используется powershell из-за неадекватного
         поведения антивируса Kaspersky Free. Теперь удаление производится через сам Defender без
         посредников.
         (!) Если Defender отключен ИЛИ неисправен ИЛИ у вас установлен и АКТИВЕН другой антивирус
         (!) то удаление исключений возможно лишь при использовании виртуализации реестра
         (!) ИЛИ при приостановке защиты этого антивируса.
         (!) Я рекомендую отключать антивирус перед запуском, он все равно бесполезен
         (!) и лишь существенно замедляет и усложняет процесс лечения.

       o Теперь в лог выводится информация о зарегистрированных в системе антивирусах/фаерволах и их состоянии.
         (Доступно для Windows Vista+)

       o Улучшена функция поиска неизвестных DLL в адресном пространстве uVS, теперь она более устойчива
         к мерам противодействия поиску.

       o Удалено ошибочное сообщение в логе для Windows Vista о блокировке kernelbase.dll,
         которой в этой системе нет.

       o Антисплайсинг: расширен список контролируемых функций.

       
×