3. СЕРТИФИКАТЫ И ЛИЦЕНЗИИ
Uptime Institute
Management & Operations
Tier III Certified: Design
Tier III Certified: Facility
Сертификаты
ISO/IEC 27001:2013
ISO 9001:2011
PCI DSS v. 3.1
ISAE 3402
Лицензии ФСТЭК
№ 1279 и № 0763
Лицензия ФСБ
№ 0011865
4. НЕКОТОРЫЕ ТИПОВЫЕ
ПРОБЛЕМЫ БЕЗОПАСНОСТИ
ТЕХНИЧЕСКИЕ
Права доступа:
несегментированная сеть,
отсутствие фильтрации и контроля
трафика, компрометация паролей,
избыточные права доступа.
Атаки на информационную
систему: отсутствие защиты от атак,
информации об источниках атак,
затронутых системах и успешности
атак, простои в работе сервисов из-
за сбоев и DDoS-атак, отсутствие
защиты от спама.
Уязвимости в инфраструктуре:
отсутствие сбора информации об
уязвимостях, ошибки при
настройке.
ОРГАНИЗАЦИОННЫЕ
Нехватка персонала: отсутствие
квалифицированных специалистов
по ИБ, перегрузка специалистов
эксплуатационными задачами.
Медленное внедрение новых
сервисов: отсутствие
взаимодействия между
функциональными IT-
подразделениями и
подразделением информационной
безопасности.
Несоответствие требованиям
законодательства: ограничения в
ведении бизнеса и штрафы.
Несоответствие стандартам и
отраслевым регламентам.
5. УРОВЕНЬ 3 УРОВЕНЬ 4
НАШ ПОДХОД
Security-as-a-Service – набор продуктов и сервисов для обеспечения безопасности
инфраструктуры. Мы предлагаем 4 уровня сервисов: от базовой установки средств
защиты до полного мониторинга уязвимостей и подготовки инфраструктуры к
сертификации в соответствии со стандартами и требованиям законодательства.
КОНТРОЛЬ
ЗАЩИЩЕННОСТИ
Проведение
сканирований
инфраструктуры на
уязвимости.
Анализ критичности.
Предоставление
рекомендаций по
устранению
уязвимостей.
СООТВЕТСТВИЕ
ТРЕБОВАНИЯМ
РЕГУЛЯТОРОВ
Помощь в приведении
инфраструктуры в
соответствие с
требованиями
регуляторов.
Содействие в
получении
сертификатов PCI DSS.
ВНЕДРЕНИЕ СРЕДСТВ
ЗАЩИТЫ
Установка.
Настройка.
Администрирование.
УРОВЕНЬ 1 УРОВЕНЬ 2
РАБОТА С
ИНЦИДЕНТАМИ
Мониторинг
срабатывания
средств защиты.
Оповещение
клиента.
Рекомендации по
защите.
Изменение правил
и дополнительные
настройки.
7. УСЛУГИ ПО ЗАЩИТЕ ИНФРАСТРУКТУРЫ
СЕТЕВАЯ
БЕЗОПАСНОСТЬ
СОЕДИНЕНИЕ
ГОСТ VPN
WEB APPLICATION
FIREWALL
ЗАЩИТА ОТ
DDOS-АТАК
ЗАЩИТА
ЭЛЕКТРОННОЙ
ПОЧТЫ
ДВУХФАКТОРНАЯ
АУТЕНТИФИКАЦИЯ
SSL-СЕРТИФИКАТЫ
8. СЕТЕВАЯ БЕЗОПАСНОСТЬ: CHECK POINT
Защита инфраструктуры от атак
изнутри и извне.
Разделение внутренней сети на
функциональные сегменты,
фильтрация и глубокий контроль
трафика между сегментами.
Разграничение доступа
пользователей.
Выполнение требований ФЗ-152,
PCI DSS, ISO27001 в части сетевой
безопасности.
КАКИЕ ЗАДАЧИ РЕШАЕТ
Межсетевое экранирование с
возможностью гибкой настройки
правил.
Защита от сетевых атак: IPS, IDS.
URL-фильтрация и ограничение работы
любых приложений на уровне сети.
Обнаружение и блокирование вирусов
и ботов на уровне сети.
VPN.
Единая консоль управления и
логирования.
ВОЗМОЖНОСТИ СЕРВИСА
9. СОСТАВ УСЛУГИ БАЗОВЫЙ РАСШИРЕННЫЙ
Установка операционной системы GAiA. V V
Установка сервера управления. V V
Активация межсетевого экрана. V V
Настройка сетевых интерфейсов и маршрутизации. V V
Инициализация HA кластера. V V
Настройка правил межсетевого экрана, application control,
URL-filtering.
V V
Активация базовых профилей IPS, Anti-Virus, Anti-Bot. V V
Настройка HTTPS inspection. V V
Установка обновлений. V V
Мониторинг состояния оборудования. V V
Детальная настройка правил и профилей IPS, Anti-Virus, Anti-Bot
под инфраструктуру клиента, устранение ложных срабатываний.
V
Мониторинг срабатывания правил IPS, Anti-Virus, Anti-Bot. V
Оповещение клиента об атаках. V
Анализ текущих правил и предоставление рекомендаций. V
УРОВНИ ПРЕДОСТАВЛЕНИЯ CHECK POINT
10. Защита каналов передачи
данных между несколькими
площадками.
Разграничение доступа
пользователей.
Выполнение требований
ФЗ-152 в части защиты каналов
связи.
Защита каналов связи с
помощью криптографии,
сертифицированной ФСБ.
Построение Site-to-Site и
Client-to-Site туннелей.
Разделение доступа
пользователей на уровне сети.
Единая консоль управления,
мониторинга и логирования.
ГОСТ VPN
ГОСТ VPN – сервис по защите каналов связи со встроенной криптографией
на базе продуктов S-Terra, Континент, ViPNet.
КАКИЕ ЗАДАЧИ РЕШАЕТ ВОЗМОЖНОСТИ СЕРВИСА
11. ГОСТ VPN: СОСТАВ УСЛУГИ
Предоставление и
инициализация
оборудования.
Настройка сетевых
интерфейсов и
маршрутизации.
Инициализация
HA кластера.
Настройка VPN-соединений
и правил доступа.
Установка обновлений.
Мониторинг состояния
оборудования.
12. ЗАЩИТА ОТ DDoS-АТАК: QRATOR
Защита информационной системы от
DDoS-атак на уровнях L3–L7:
• Атаки уровня приложений.
• Атаки с использованием SSL.
• Атаки на механизмы шифрования.
• Атаки с использованием
уязвимостей TCP-драйвера.
• Атаки на сетевую инфраструктуру.
• Атака на канал связи.
Блокирование вредоносного трафика.
Простая настройка: изменения
вносятся в DNS-записи сервиса.
Постоянный анализ и фильтрация
пользовательского трафика.
Узлы фильтрации обучаются и
определяют, какой профиль
трафика является нормой для сайта.
Любые отклонения в трафике
немедленно блокируются.
В Личном кабинете можно
самостоятельно формировать
белые и черные списки IP-адресов,
устанавливать сертификаты для
фильтрации трафика HTTPS.
Qrator – сервис по защите от DDoS-атак № 1
КАКИЕ ЗАДАЧИ РЕШАЕТ ВОЗМОЖНОСТИ СЕРВИСА
14. WEB APPLICATION FIREWALL
Сервис по отслеживанию и блокированию атак на сайты, построенный
на основе Wallarm и инфраструктуры DataLine.
Защита веб-сайта или веб-
приложения от атак хакеров:
платежные шлюзы, веб-магазины,
сайты СМИ.
Выполнение требований стандартов
PCI DSS и ISO27001 по защите от атак
на приложения.
Защита сайтов от атак уровня
приложений.
Автоматическое обнаружение и
блокирование атак.
Автоматический поиск уязвимостей
в приложении.
Легкая настройка правил: для
обучения системы необходимо
отметить в личном кабинете
ложные срабатывания.
Единая консоль управления,
мониторинга и логирования.
КАКИЕ ЗАДАЧИ РЕШАЕТ ВОЗМОЖНОСТИ СЕРВИСА
15. WEB APPLICATION FIREWALL: СОСТАВ УСЛУГИ
Установка nginx + wallarm.
Инициализация HA
кластера.
Настройка взаимодействия
с защищаемым
веб-сервером.
Предоставление доступа
клиенту в личный кабинет
Wallarm.
Установка обновлений.
Мониторинг
работоспособности.
16. ЗАЩИТА ЭЛЕКТРОННОЙ ПОЧТЫ
Фильтрация спам-
корреспонденции.
Предотвращение вирусных
заражений через вложения к
письмам.
Гибкая настройка политик
фильтрации спама и вирусов.
Минимизация количества
ложных срабатываний.
Личный кабинет пользователя.
Быстрая первоначальная
настройка.
Подключение сервиса в ЦОД
и на клиентской площадке.
Сервис по защите электронной почты от угроз на основе решения
PineApp MailSecure.
КАКИЕ ЗАДАЧИ РЕШАЕТ ВОЗМОЖНОСТИ СЕРВИСА
@
17. ДВУХФАКТОРНАЯ АУТЕНТИФИКАЦИЯ
Защита от компрометации паролей.
Защита доступа к критичной
системе, обрабатывающей
чувствительные данные клиента
или его пользователей.
Защищенный удаленный доступ к
офисной сети или рабочему месту,
в том числе VDI.
Выполнение требований PCI DSS,
ISO27001 в части обеспечения
надежной аутентификации
пользователей.
Сервис по защите доступа пользователей и администраторов на основе
RSA SecurID.
Подключение «из коробки» к
распространенным решениям от
Microsoft, VMware, Cisco.
Гибкое подключение к системам через
RADIUS и SAML.
Различные варианты токенов генерации
кода: карта, брелок, приложение на
смартфон, SMS.
КАКИЕ ЗАДАЧИ РЕШАЕТ ВОЗМОЖНОСТИ СЕРВИСА
Token
1-158-567-7
18. RSA SecurID: СОСТАВ УСЛУГИ
Мониторинг работоспособности.
Установка обновлений.
Настройка политик и правил доступа.
Совместно с клиентом: подключение
систем клиента к Authentication Manager.
Заведение учетных записей пользователей.
Привязка токенов к пользователям.
Импорт токенов.
Установка Authentication Manager.
19. SSL-СЕРТИФИКАТЫ
Защита канала между пользователем и веб-сервером.
Повышение доверия пользователей к сервису. Трафик данных
по шифрованному каналу.
Выполнение требования PCI DSS в части защиты каналов связи.
ОСНОВНЫЕ ТИПЫ SSL-сертификатов
Сертификаты Symantec, GeoTrust, Thawte.
МЫ ПРЕДЛАГАЕМ
ДЛЯ ЧЕГО НУЖНЫ SSL-сертификаты
НАЗВАНИЕ ТИП НАЗНАЧЕНИЕ
Web Server/Secure Site Обычный SSL-сертификат
Для корпоративных приложений,
бизнес веб-сайтов.
SSL Certificate with EV
SSL-сертификат с
расширенной проверкой
Для платежных сервисов, сайтов банков,
интернет-магазинов.
SSL Certificate Wildcard
SSL-сертификат для
поддоменов
Для защиты всех поддоменов
одного домена (*.example.com).
21. МОНИТОРИНГ УЯЗВИМОСТЕЙ
Аудит и получение фактической картины
состояния защищенности сети,
операционных систем, прикладного ПО.
Выявление ошибок при установке и
конфигурировании оборудования и ПО.
Контроль выполнения уже
применяемых мер защиты.
Выполнение требований ФЗ-152, PCI
DSS, ISO27001 в части управления
уязвимостями.
Сервис предлагается на базе профессиональной платформы мониторинга
и аудита уязвимостей сети Tenable SecurityCenter.
Проведение сканирований периметра
извне, а также внутренней
инфраструктуры.
Возможность входа на сервер для
глубокого анализа конфигурации
оборудования и ПО «изнутри».
Информативные отчеты с данными о
критичности уязвимости и способами
устранения.
Ведение истории сканирований.
Формирования политик соответствия
инфраструктуры стандартам.
КАКИЕ ЗАДАЧИ РЕШАЕТ ВОЗМОЖНОСТИ СЕРВИСА
22. СОСТАВ УСЛУГИ
Установка сканера для
внешнего/внутреннего
сканирования.
Подключение сканера к
SecurityCenter.
Определение границ
сканирования.
Настройка политик и
расписания сканирования.
Предоставление отчета.
Предоставление
рекомендаций по
устранению уязвимостей.
24. ЗАЩИТА ПЕРСОНАЛЬНЫХ ДАННЫХ
Обработка персональных
данных сотрудников и
пользователей сервиса.
Выполнение требований
Федерального Закона № 152
«О персональных данных».
Размещение инфраструктуры,
обрабатывающей персональные
данные в дата-центре DataLine
на территории РФ.
Размещение информационной
системы в облачной
инфраструктуре Cloud-152.
Сервис построен в соответствии
с требованиями ФЗ-152 и
размещается в дата-центре
DataLine.
КАКИЕ ЗАДАЧИ РЕШАЕТ ВОЗМОЖНОСТИ СЕРВИСА
Cloud-152
25. КАК МЫ
РАБОТАЕМ
Совместно с партнером выполняем комплекс работ
по приведению информационной системы клиента в
соответствие с требованиями законодательства РФ:
Проведение аудита,
описание состава и
процесса обработки
персональных данных.
Разработка модели угроз и
технического проекта на
систему защиты.
Разработка
организационной
документации.
Оказание консультационных
услуг в ходе приведения в
соответствие требованиям
ФЗ-152.
Предоставление
необходимых сервисов и
средств защиты, помощь в
настройке.
Опционально:
аттестация системы.
26. СЕРТИФИКАЦИЯ PCI DSS
Обработка данных платежных
карт в соответствии с
требованиями международных
платежных систем Visa,
MasterCard, JCB, American
Express и Discovery.
Размещение инфраструктуры,
обрабатывающей данные
платежных карт, в дата-центре
DataLine. Дата-центр
сертифицирован PCI DSS v. 3.1 в
части физической безопасности.
Размещение информационной
системы в облачной
инфраструктуре Cloud-152,
сертифицированной в
соответствии с требованиями
PCI DSS v. 3.1 для IaaS.
КАКИЕ ЗАДАЧИ РЕШАЕТ ВОЗМОЖНОСТИ СЕРВИСА
DSS
PCI
27. Совместно с партнером выполняем комплекс
работ по приведению системы клиента в
соответствие с требованием стандарта PCI DSS.
Предварительный аудит,
разработка и утверждение
плана работ по приведению
инфраструктуры в
соответствие стандарту.
Разработка нормативной
документации в
соответствии с
требованиями PCI DSS.
Консультационные
услуги по приведению в
соответствие с PCI DSS.
Проведение ASV
сканирований и
тестирования на
проникновение.
Проведение итогового
сертификационного аудита.
Поддержание
соответствия
инфраструктуры заказчика
требованиям PCI DSS.
КАК МЫ
РАБОТАЕМ
29. ВНЕДРЕНИЕ
СРЕДСТВ
ЗАЩИТЫ И
МОНИТОРИНГА
КЛИЕНТ: крупная ритейловая сеть,
более 100 магазинов, ключевые
системы: интернет-магазин, кассовое
обслуживание, программы
лояльности, электронная почта,
логистика, документооборот,
аналитика посещаемости магазинов.
ПРОБЛЕМЫ
Быстрый рост инфраструктуры:
отсутствие понимания уровня
защищенности инфраструктуры,
нехватка специалистов ИБ,
отсутствие разграничения
доступа в сети,
отсутствие ограничения доступа
для подрядчиков,
обслуживающих системы.
РЕШЕНИЕ
Этап 1: внедрение сервиса сетевой безопасности,
защиты электронной почты и защиты от атак на сайты.
Этап 2: внедрение двухфакторной аутентификации для
доступа к ключевым системам.
Этап 3: внедрение сервиса мониторинга уязвимостей
и отладка процессов установки обновлений и
безопасной настройки.
30. ЗАЩИТА
ПЕРСОНАЛЬНЫХ
ДАННЫХ
КЛИЕНТ: страховая компания,
более 100 000 субъектов
персональных данных.
Уровень защищенности данных – 2.
ПРОБЛЕМЫ
Процессы обработки и защиты
персональных данных
частично не соответствуют
требованиям
законодательства,
Нехватка специалистов ИБ,
Отсутствие механизмов
централизованного
управления доступом
сотрудников из
дополнительных офисов и
представительств.
РЕШЕНИЕ
Этап 1: миграция инфраструктуры в ЦОД DataLine.
Этап 2: проведение предварительного аудита на
соответствие ФЗ-152, определение плана работ.
Этап 3:
внедрение сервисов сетевой безопасности и ГОСТ VPN;
защита сайтов от атак;
защита от DDoS;
защита каналов связи с помощью SSL сертификатов.
Этап 4:
разработка необходимой нормативной документации.
31. ВЫПОЛНЕНИЕ
ТРЕБОВАНИЙ
PCI DSS
КЛИЕНТ: платежный сервис,
более 90 000 транзакций в месяц,
международные продажи.
ПРОБЛЕМЫ И ПОТРЕБНОСТИ
Приведение сервиса в
соответствие с требованиями
международных платежных
систем (стандарт PCI DSS) для
дальнейшего
функционирования бизнеса.
Отсутствие специалистов ИБ в
штате.
Низкая скорость внедрения
изменений в сервисе:
запутанные требования к
безопасности.
РЕШЕНИЕ
Этап 1: миграция инфраструктуры в Cloud-152.
Этап 2: проведение предварительного аудита на
соответствие PCI DSS, определение плана работ.
Этап 3: внедрение сервисов сетевой
безопасности, защиты сайтов от атак, защиты от
DDoS, двухфакторной аутентификации и
мониторинга уязвимостей, защита каналов связи
с помощью SSL-сертификатов.
Этап 4: разработка необходимой нормативной
документации.
Этап 5: сертификация на соответствие PCI DSS.
32. ИНТЕРЕСНО,
НО ОСТАЛИСЬ
ВОПРОСЫ?
Любые дополнительные вопросы о сервисах Security-as-
a-Service можно задать нам
по телефону +7 (495) 784 65 05 доб.1162
Моб.+7 911 9999 656
или электронной почте tyankina@dtln.ru Татьяна Янкина