Сценарии использования TrustAccess

TrustAccess
Сертифицированный распределенный межсетевой экран высокого класса защиты для управления доступом внутри защищаемой сети

В реестре российского ПО

Защита клиент-серверных и многозвенных ИСПДн

Наверх

Как правило, современные информационные системы, в том числе и информационные системы персональных данных, представляют собой клиент-серверные или многозвенные распределенные системы. Данные в таких системах обрабатываются не только локально на компьютерах, но и на серверах баз данных, в клиентских приложениях, использующих сетевые сервисы, в веб-приложениях и т. д. Традиционные СЗИ от НСД не гарантируют защиту данных при их передаче по сети. TrustAccess обеспечит эффективную сертифицированную защиту данных в клиент-серверных и многозвенных ИСПДн.

Рассмотрим сценарий организации защиты персональных данных с помощью TrustAccess на примере Call-центра. Операторы Call-центра принимают или совершают телефонные звонки и фиксируют результаты в CRM-системе, осуществляя при этом обработку персональных данных.


TrustAccess, установленный на рабочие места операторов Call-центра, позволит предоставить доступ к CRM-системе только операторам Call-центра. Пользователям корпоративной компьютерной сети, работа которых не связана с обработкой персональных данных, доступ в CRM-системе запрещается. TrustAccess, установленный на серверы CRM-системы и сервер баз данных, предоставляет доступ к базам данных только веб-серверу с CRM-системой Call-центра.

Защита ИСПДн и ГИС

Наверх

Межсетевой экран TrustAccess выполняет следующие требования 17 и 21 приказов ФСТЭК:

  • ЗИС.1 Разделение в информационной системе функций по управлению ИС, управлению системой защиты, функций по обработке информации и иных функций;
  • ЗИС.4 Обеспечение доверенных каналов, маршрута между администратором, пользователем и средствами защиты информации;
  • ЗИС.10 Подтверждение происхождения источника информации, получаемой в процессе определения сетевых адресов или определения сетевых имен;
  • ЗИС.11 Обеспечение подлинности сетевых соединений, в том числе для защиты от подмены сетевых устройств и сервисов;
  • ЗИС.14 Использование устройств терминального доступа для обработки информации и персональных данных;
  • ЗИС.17 Разбиение информационной системы на сегменты и обеспечение защиты периметров сегментов информационной системы;
  • ЗИС.22 Защита информационной системы от угроз безопасности информации, направленных на отказ в обслуживании информационной системы;
  • ЗИС.23 Защита периметра информационной системы при ее взаимодействии с иными системами и информационно-телекоммуникационными сетями;
  • ЗИС.24 Прекращение сетевых соединений по их завершении или по истечении заданного оператором временного интервала неактивности сетевого соединения;
  • ЗИС. 29 Перевод информационной системы в заранее определенную конфигурацию, обеспечивающую защиту в случае возникновения сбоев.

Кроме того, TrustAccess, установленный на сегментированные участки сети, позволяет снизить уровень защищенности ПДн или класс защищенности ГИС сегментированных участков и, соответственно, сэкономить на защите.

Разграничение доступа к файл-серверу на уровне общих папок

Наверх

Некоторые ИСПДн имеют архитектуру типа «файл-сервер», когда обработка персональных данных осуществляется на рабочем месте пользователя, а на сервере осуществляется только их хранение. Вместе с персональными данными, к которым необходимо ограничить доступ для отдельных категорий пользователей, на файл-сервере хранятся и общедоступные данные. Понятно, что простое ограничение доступа к файл-серверу не является решением проблемы.

TrustAccess позволяет ограничить доступ к файл-серверу на уровне общих папок. Это значит, что к папке, где хранятся ПДн, смогут получить доступ только те пользователи (группа пользователей или компьютеры), которые обрабатывают ПДн. Для всех остальных пользователей доступ к этой папке файл-сервера будет запрещен.

Разграничения доступа пользователей к серверам

Наверх

Как правило, в организации используется несколько различных по своим функциям и характеру обрабатываемой информации информационных систем — и сервер также может быть не один. Например, сотрудники разных отделов могут использовать разные серверы.

TrustAccess позволяет разграничить сетевой доступ к нескольким серверам на основе групп пользователей. В зависимости от того, в каком отделе работает сотрудник, он получает доступ к тому или иному серверу БД.

Защита терминальных соединений

Наверх

В случае применения решений на основе терминальных служб разные пользователи получают доступ к обрабатываемым данным с одного физического компьютера и с одного IP-адреса — сервера терминальных служб. В этом случае традиционные межсетевые экраны, где аутентификация осуществляется на базе IP-адреса компьютера пользователя, не позволяют разграничить доступ к серверам БД.

В отличие от них в TrustAccess реализован более сложный алгоритм аутентификации на базе протокола Kerberos, который позволяет разграничить доступ к данным на уровне пользователей, работающих на одном физическом компьютере.

В случае использования TrustAccess для защиты терминальных соединений бухгалтер получит доступ только к серверу 1С, а сотрудник отдела кадров — к кадровой системе даже при терминальных соединениях.

Защита виртуальных машин

Наверх

Большинство атак на виртуальные машины на уровне сети пользователей базируются на подмене MAC- или IP-адресов. Тот факт, что механизмы защиты TrustAccess нечувствительны к подобным атакам, позволяет использовать его для защиты виртуальных машин.

Описание: visio_61_6.jpg

TrustAccess, установленный на виртуальные машины, позволяет защитить как виртуальные машины – серверы, так и виртуальные рабочие места. При этом виртуальные машины будут защищены от сетевых атак как со стороны внешних физических машин, так и со стороны виртуальных машин.

Отдельно следует отметить, что TrustAccess имеет статус VMware Ready и внесен в каталог партнерских продуктов VMware, что подтверждает его совместимость со средами виртуализации на базе платформ VMware.

Задать вопрос:

Вход:

Восстановить пароль: