Существует такое понятие как объект информатизации, который так же нуждается в защите. Защищаемый объект информатизации, как и информационная система, предназначается для обработки защищаемой информации.
В данной информационной системе защищаются следующие объекты:
Метаданные; системное программное обеспечение; прикладное программное обеспечение; сетевое программное обеспечение; информационная система; сетевой трафик; микропрограммное обеспечение; учётные данные пользователя; объекты файловой системы; реестр; сетевой узел; носитель информации; BIOS/UEFI; аппаратное обеспечение; сервер; рабочая станция; средства защиты информации; программно-аппаратные средства со встроенными функциями защиты; микропрограммное и аппаратное обеспечение BIOS/UEFI; база данных; носители информации; машинный носитель информации; сетевое оборудование; каналы связи; программное обеспечение; объект файловой системы; технические средства воздушного кондиционирования; включая трубопроводные системы для циркуляции охлаждённого воздуха в ЦОД; программируемые логические контроллеры; распределённые системы контроля; управленческие системы и другие программные средства контроля; система управления доступом; встроенная в операционную систему компьютера (программное обеспечение) ; аппаратное устройство.
Рисунок 2. 1 - Схема структурная комплекса технических средств
3. СРЕДСТВА ЗАЩИТЫ ИНФОРМАЦИИ
3. 1. Обоснование выбора средств защиты информации
Согласно 187 федеральному закону «О безопасности критической информационной инфраструктуры Российской Федерации» от 26. 07. 2017, Постановлению правительства №1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных» от 01. 11. 2012, и модели угроз, требуется обеспечить защиту рабочих мест:
Рабочая среда автоматизированного рабочего места
Обеспечить целостность и доступность информации автоматизированного рабочего места
Защита от вирусной угрозы
Защиты от кражи
Защита от нелегитимных пользователей
Требуется обеспечить защиту сетевой инфраструктуры
Обеспечить проверку уровня безопасности, и активных угроз.
3. 2. Подбор средств защиты информации
Подсистема обеспечения информационной безопасности системы включает в себя комплекс технических средств и организационных мер, направленных на защиту обрабатываемой информации от несанкционированного доступа.
Подсистема обеспечения информационной безопасности состоит из следующих подсистем:
межсетевого экранирования и криптографической защиты информации; обнаружения вторжений;
антивирусной защиты;
разграничения доступа;
контроля защищенности;
регистрации и учета;
управления ИБ.
Для выполнения требований по обеспечению безопасности информации, обрабатываемой и хранящейся в системе, используются следующие средства информационной безопасности:
средство защиты информации от НСД Dallas Lock 8. 0-K;
ПО ViPNet Administrator;
ПАК ViPNet HW1000;
ПАК VipNet IDS1000;
антивирус Kaspersky Endpoint Security;
средства анализа защищенности RedCheck.
Характеристики технических средств приведены в таблице 3.
Таблица 3. 1 - Характеристики технических средств
|
Характеристика |
Описание |
|
|
ПО VipNet Administrator 3. х |
||
|
Поддержка операционных систе |
MS Windows: XP / Server 2003 / Vista /Server 2008 Windows 7 32bit |
|
|
Состав |
Центр управления сетью и ключевой удостоверяющий центр |
|
|
Шифрование |
-симметричные ключ связи узлов (криптошлюзы и криптографические клиенты) между собой -соответствует ГОСТ 28147-89, ГОСТ Р 34. 11-94, ГОСТ Р34. 10-2001 |
|
|
Возможности |
- создание узлов защищенной сети, удаление узлов защищенной сети, определение политик связей защищённых узлов между собой, определение политики безопасности и формирование списков прикладных задач для узлов защищенной сети; - проведение автоматического обновления программного обеспечения криптошлюзов и криптографических клиентов - автоматическая рассылка справочной и ключевой информации. |
|
|
Наличие Сертификатов |
- ФСБ России, подтверждающий соответствие требованиям ФСБ России к средствам криптографической защиты информации класса не ниже КС2. - ФСТЭК России, подтверждающий соответствие требованиям руководящих документов «Средства вычислительной техники. Межсетевые экраны. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации» - не ниже 3 класса защищенности. |
|
|
Программно-аппаратный комплекс VipNet Coordinator HW1000 |
||
|
Количество одновременно поддерживаемых VPN туннелей |
Без ограничений |
|
|
Количество сетевых интерфейсов |
4x10/100/1000Мбит/c RJ 45 |
|
|
Производительность шифрования |
UDP-, TCP-трафик - до 280 Мбит/сек. |
|
|
Протоколы туннелирования |
По технологии ViPNet (инкапсуляция любого IPтрафика приложений в IP#241 и UDP) |
|
|
Количество процессоров |
1 |
|
|
Корпус |
19” Rack 1U (для установки в стойку глубиной от 480 мм и более) |
|
|
Операционная система |
GNU/Linux |
|
|
Шифрование |
- Шифрование по ГОСТ 28147-89 (256 бит) ; - Выполнение шифрования каждого IP-пакета на уникальном ключе, основанном на паре симметричных ключей связи с другими криптографическими шлюзами и клиентами, выработанными в программном обеспечении, реализующем функции управления защищённой сетью. |
|
|
Резервирование |
Возможность реализации на 2-х ПАК схемы с горячим резервированием. |
|
|
Продолжение таблицы 3. 1 |
||
|
Характеристика |
Описание |
|
|
Фильтрация |
- пакетная, по IP-адресу источника и назначения (или диапазону IP-адресов), номерам портов и типам протоколов, типам и кодам сообщений ICMP, направлению пакетов, клиенту или серверу в TCP -соединении; - контроль фрагментированных пакетов, предотвращение DoS-атак; - поддержка раздельной фильтрации для открытого IP-трафика (функция межсетевого экрана) и шифруемого IP-трафика (функция криптошлюза) ; - антиспуфинг. |
|
|
Наличие Сертификатов |
? сертификат ФСТЭК России по требованиям к межсетевым экранам 3 класса; ? отсутствие не декларируемых возможностей по 3 уровню контроля; ? наличие сертификата ФСБ России на соответствие требованиям к СКЗИ по классу КС3 и на соответствие требованиям к МЭ по 4-ому классу защищенности; |
|
|
Программно-аппаратный комплекс ViPNet IDS 1000 |
||
|
Процессор |
Intel Core i5 |
|
|
Корпус |
19” Rack 1U (для установки в стойку глубиной от 480 мм и более) |
|
|
Количество сетевых интерфейсов |
4x10/100/1000Мбит/c RJ 45 |
|
|
Возможности |
- обнаружение компьютерных атак (вторжений) на основе динамического анализа сетевого трафика стека протоколов TCP/IP для протоколов всех уровней модели взаимодействия открытых систем, начиная с сетевого и заканчивая прикладным; - регистрация компьютерных атак (вторжений) в момент времени, близкий к реальному; отображение обобщенной статистической информации об атаках; - журналирование обнаруженных событий и атак для последующего анализа. |
|
|
Производительность |
до 950 Мбит/сек |
|
|
Наличие сертификатов |
- сертификат ФСБ России, подтверждающий соответствие требованиям, предъявляемым к системам обнаружения компьютерных атак класса В - сертификат ФСТЭК России, подтверждающий соответствие требованиям, предъявляемым к системы обнаружения вторжений уровня сети 4 класса |
|
|
Средство анализа защищённости RedCheck |
||
|
Операционная система |
Microsoft Windows XP/Vista/7/8, Microsoft Windows Server 2003R2/2008/2008R2/2012/2012. |
|
|
Возможности |
- поиск уязвимостей; - документирование результатов проверок; - проверки хранимых процедур и настроек безопасности популярных СУБД Microsoft SQL Server 2005/2008/2012; - инвентаризация сети; - контроль целостности программного обеспечение; - проверка стойкости паролей. |
|
|
Сертификат |
наличие сертификата ФСТЭК России на отсутствие не декларированных возможностей 4 уровня |
|
|
Продолжение таблицы 3. 1 |
||
|
Характеристика |
Описание |
|
|
Компоненты защиты от несанкционированного доступа DallasLock 8. 0-К |
||
|
Операционная система |
Windows XP (SP 3) ; Windows Server 2003 (R2) (SP 2) ; Windows Vista (SP 2) ; Windows Server 2008 (SP 2) ; Windows 7 (SP 1) ; Windows Server 2008 R2 (SP 1) ; Windows 8; Windows Server 2012; Windows 8. 1 (Update) ; Windows Server 2012 R2. |
|
|
Возможности |
- регистрация различных пользователей: локальных, доменных, сетевых. Определение количества одновременных сеансов для пользователя; - идентификация и проверка подлинности пользователей при входе в операционную систему; - реализация настроек сложности паролей и механизм генерации пароля, соответствующего настройкам; - реализация независимой от механизмов ОС механизма разграничения прав доступа к объектам файловой системы. - сохранение теневых копий распечатываемых документов |
|
|
Управление |
Возможность локального и удалённого администрирования (управление пользователями, политиками безопасности, правами доступа, аудитом, просмотр журналов) |
|
|
Контроль целостности |
Возможность контроля целостности программноаппаратной среды при загрузке ПЭВМ, по команде администратора и по расписанию, а также контроль целостности файлов при доступе и блокировка входа в ОС при выявлении изменений |
|
|
Затирание данных |
Возможность очистки остаточной информации (освобождаемого дискового пространства, зачистку определённых файлов и папок по команде пользователя), а также возможность полной зачистки дисков и разделов. Запрет смены пользователей без перезагрузки |
|
|
Аппаратные идентификаторы |
Поддержка USB-flash-накопители, TouchMemory (iButton), eTokenPro/Java (в т. ч. смарт-карты eToken), Rutoken, Rutoken ЭП. |
|
|
Сертификат |
Наличие сертификата ФСТЭК России на соответствие требованиям, предъявляемым к средствам вычислительной техники 5 класса защищенности и отсутствия недекларированных возможностей 4 уровня |
3. 3. Режимы функционирования, диагностирования подсистемы обеспечения информационной безопасности
Определены следующие режимы функционирования СЗИ: штатный режим функционирования; нештатный (аварийный) режим функционирования. Основным режимом функционирования СЗИ является штатный режим. В штатном режиме работы системы клиентское ПО, технические средства пользователей и администраторов системы обеспечивают возможность штатной работы в рабочие часы. Серверное программное обеспечение и технические средства серверов обеспечивают возможность круглосуточного функционирования, с перерывами на обслуживание. Степень точности и частоты технического обслуживания определяется внутренними документами.
Основными признаками штатного функционирования являются исправно действующее оборудование системы. Исправно функционирует системное и прикладное ПО системы. Для обеспечения нормального режима функционирования системы необходимо выдерживать условия эксплуатации программного обеспечения и программно-аппаратных комплексов системы, указанные в соответствующих технических документах (техническая документация, инструкции по эксплуатации).
Аварийный режим работы системы характеризуется отказом одного или нескольких компонентов программного и (или) технического обеспечения. В случае переключения системы в аварийный режим требуется при необходимости завершить работу всех приложений с сохранением данных. Выключить при необходимости рабочие станции. Выключить при необходимости все подключенные устройства. Выполнить резервное копирование выделенных информационных ресурсов. После этого необходимо выполнить комплекс мероприятий по устранению причины переключения системы в аварийный режим.
Таблица 3. 2 - Режимы функционирования компонент подсистемы обеспечения информационной безопасности
|
Компонент |
Режим функционирования |
|
|
Антивирус Kaspersky Endpoint Security для бизнеса - расширенный |
Круглосуточно и ежедневно (для серверов) ; В рабочие часы пользователей; В рабочие часы администраторов |
|
|
DallasLock 8. 0-К клиент |
Круглосуточно и ежедневно (для серверов) ; В рабочие часы пользователей; В рабочие часы администраторов |
|
|
RedCheck |
Круглосуточно и ежедневно |
|
|
ViPNet Client 3. х (КС2) |
В рабочие часы пользователей |
|
|
ViPNet [Администратор] |
Круглосуточно и ежедневно |
|
|
ViPNet Coordinator HW1000 |
Круглосуточно и ежедневно |
|
|
VipNet IDS 1000 |
Круглосуточно и ежедневно |
Диагностика работы систем, анализ защищенности, проверка корректности работы и настройки механизмов защиты производится посредством сканера безопасности «RedCheck» и стандартных механизмов, предоставляемых программным обеспечением и аппаратными средствами средств защиты.
Диагностике должны быть подвергнуты АРМ и серверное оборудование.
Подсистема межсетевого экранирования и криптографической защиты информации обеспечивает фильтрацию всего входящего и исходящего трафика, проходящего между информационными ресурсами системы и внешними системами, а также обеспечивает шифрование передаваемых данных при осуществлении удалённого административного доступа к информационным ресурсам системы и обеспечивает возможность организации виртуальных частных сетей (VPN) для обеспечения конфиденциальности данных, передаваемых между системой и внешними информационными системами. Весь трафик, в явном виде не разрешённый правилами межсетевого экранирования, блокируется.
Для решения задачи межсетевого экранирования и криптографической защиты информации используется программно-аппаратный комплекс VipNet Coordinator HW1000 производства компании «ИнфоТеКС». В состав комплекса входит программное обеспечение (ПО) ViPNet Coordinator Linux, которое выполняет следующие основные функции:
криптошлюза для организации защищенных туннелей в рамках виртуальной частной сети ViPNet;
межсетевого экрана;
сервера IP-адресов виртуальной частной сети ViPNet (поддержка работы удаленных мобильных пользователей и любых других узлов сети с динамическими IP-адресами).
VipNet Coordinator HW1000 настроен в режиме горячего резервирования, позволяющим автоматически переключаться на второй (резервный) комплекс в случае выхода из строя основного, без вмешательства администратора.
Программно-аппаратный комплекс VipNet Coordinator HW1000 имеет сертификат ФСБ России № СФ/124 1970 (выдан 12 сентября 2012 г., действителен до 12 сентября 2015 г.) подтверждающий соответствие требований ФСБ России к средствам криптографической защиты информации класса КС3, а также сертификат ФСТЭК России № 2253 (выдан 26 мая 2011 г., действителен до 26 мая 2017 г.) подтверждает соответствие требованиям руководящих документов «Средства вычислительной техники. Межсетевые экраны. Защита от несанкционированного доступа к информации. Показатели защищенности от НСД к информации» (Гостехкомиссия России, 1997 г.) - по 3 классу защищенности, «Защита от несанкционированного доступа к информации. Часть 1. Программное обеспечение средств защиты информации. Классификация по уровню контроля отсутствия недекларированных возможностей» (Гостехкомиссия России, 1999 г.) - по 3 уровню контроля и возможность использования ПАК ЗИ при создании автоматизированных систем класса защищенности до 1В включительно, а также информационных систем персональных данных до 1 класса включительно.
Подсистема обнаружения вторжений
Подсистема обнаружения вторжений выявляет признаки проведения сетевых атак (вторжений) в проходящем через неё трафике. Для выполнения данной задачи проводится анализ трафика на предмет наличия в нем программного кода, который, используя возможности, предоставляемые ошибкой, отказом или уязвимостью, ведёт к повышению привилегий, несанкционированному доступу к данным или нарушению функционирования сетевых средств.
В качестве решения указанных задач используется программно-аппаратный комплекс VipNet IDS1000 производства компании «ИнфоТеКС». Комплекс выполняет следующие основные функции:
обнаружение компьютерных атак (вторжений) на основе динамического анализа сетевого трафика стека протоколов TCP/IP для протоколов всех уровней модели взаимодействия открытых систем, начиная с сетевого и заканчивая прикладным;
регистрация компьютерных атак (вторжений) в момент времени, близкий к реальному;
отображение обобщенной статистической информации об атаках;
журналирование обнаруженных событий и атак для последующего анализа;
выборочный поиск событий (атак) в соответствии с заданными фильтрами (по временному диапазону, IP-адресу, порту, степени критичности и др.) ;
экспорт журнала атак (вторжений) в файл формата CSV для последующего анализа в сторонних приложениях;
обновление баз решающих правил в автоматизированном режиме;
возможность маскирование в составе контролируемой сети;
добавление собственных правил для анализа сетевого трафика;
выборочный контроль ресурсов сети на уровне отдельных объектов;
регистрация, отображение и экспорт в файл формата PCAP IP-пакетов, соответствующих зарегистрированным событиям (атакам) для последующего анализа в стороннем ПО;
контроль целостности исполняемых и конфигурационных файлов;
контроль целостности загружаемых баз правил обнаружения атак.
Программно-аппаратный комплекс VipNet IDS1000 имеет сертификат соответствия ФСТЭК России №3285 от 28. 11. 2014, действителен до 28. 11. 2017, подтверждающий соответствие требованиям документов «Требования к системам обнаружения вторжений» (ФСТЭК России, 2011) - по 4 классу защиты и «Профиль защиты систем обнаружения вторжений уровня сети четвертого класса защиты» (ФСТЭК России, 2012).
Подсистема антивирусной защиты
Подсистема антивирусной защиты препятствует проникновению вредоносного ПО различных типов (компьютерных вирусов, троянских программ, шпионского ПО, сетевых червей, руткитов) на серверы и рабочие станции.