2.4. Разработка системы информационной безопасности ЗАО «Кукушкинд & Co.»
В общем случае, комплекс программно-технических средств и организационных (процедурных) решений по защите информации от несанкционированного доступа реализуется в рамках системы защиты информации от несанкционированного доступа, условно состоящей из следующих четырех подсистем: управления доступом; регистрации и учета; криптографической; обеспечения целостности.
|
|
|
Подсистема управления доступом:
- должна осуществляться идентификация и проверка подлинности субъектов доступа при входе в систему по идентификатору (коду) и паролю;
- должна осуществляться идентификация терминалов, ЭВМ, узлов сети ЭВМ, каналов связи, внешних устройств ЭВМ по логическим именам;
- должна осуществляться идентификация программ, томов, каталогов, файлов, записей, полей записей по именам;
- должен осуществляться контроль доступа субъектов к защищаемым ресурсам в соответствии с матрицей доступа.
Подсистема регистрации и учета:
- должна осуществляться регистрация входа (выхода) субъектов доступа в систему (из системы), либо регистрация загрузки и инициализации операционной системы и ее программного останова;
- должна осуществляться регистрация выдачи печатных (графических) документов на "твердую" копию;
- должна осуществляться регистрация запуска (завершения) программ и процессов (заданий, задач), предназначенных для обработки защищаемых файлов;
- должна осуществляться регистрация попыток доступа программных средств (программ, процессов, задач, заданий) к защищаемым файлам;
- должна осуществляться регистрация попыток доступа программных средств к следующим дополнительным защищаемым объектам доступа;
- должна осуществляться очистка (обнуление, обезличивание) освобождаемых областей оперативной памяти ЭВМ и внешних накопителей;
Подсистема обеспечения целостности:
- должна быть обеспечена целостность программных средств защиты информации от несанкционированного доступа, а также неизменность программной среды;
- должна осуществляться физическая охрана СВТ (устройств и носителей информации;
- должно проводиться периодическое тестирование функций средств защиты информации от несанкционированного доступа при изменении программной среды и персонала с помощью тест - программ, имитирующих попытки несанкционированного доступа;
- должны быть в наличии средства восстановления средств защиты информации от несанкционированного доступа, предусматривающие ведение двух копий программных средств защиты информации от несанкционированного доступа и их периодическое обновление и контроль работоспособности.
Целью данного дипломного проекта является повышение эффективности работы ЗАО «Кукушкинд & Со» посредством выбора решения по организации защиты информации от несанкционированного доступа в корпоративной сети фирмы. В первом разделе были рассмотрены общие вопросы, связанные с проблемами несанкционированного доступа в корпоративной сети, а также проанализирован объект защиты. Программно-технические средства защиты должны обеспечивать разграничение доступа к информационным ресурсам, программам, к базам данных, интернету и сетевым принтерам.
Построение модели корпоративной безопасности и защиты от несанкционированного доступа
Главная цель любой системы корпоративной безопасности заключается в обеспечении устойчивого функционирования объекта: предотвращении угроз его безопасности, защите законных интересов владельца информации от противоправных посягательств. Для этого необходимо [18]:
- отнести информацию к категории ограниченного доступа (служебной тайне);
- прогнозировать и своевременно выявлять угрозы безопасности информационным ресурсам, причины и условия, способствующие нанесению финансового, материального и морального ущерба, нарушению его нормального функционирования и развития;
- создать условия функционирования с наименьшей вероятностью реализации угроз безопасности информационным ресурсам и нанесения различных видов ущерба;
- создать механизм и условия оперативного реагирования на угрозы информационной безопасности;
- создать условия для максимально возможного возмещения и локализации ущерба, наносимого неправомерными действиями физических и юридических лиц, и тем самым ослабить возможное негативное влияние последствий нарушения информационной безопасности.
Структура модели
При выполнении работ можно использовать модель построения корпоративной системы защиты информации, основанную на адаптации Общих Критериев (ISO 15408) и проведении анализа риска (ISO 17799). Эта модель соответствует специальным нормативным документам по обеспечению информационной безопасности, принятым в Российской Федерации, международному стандарту ISO/IEC 15408 "Информационная технология - методы защиты - критерии оценки информационной безопасности”, стандарту ISO/IEC 17799 "Управление информационной безопасностью" и ГОСТ Р ИСО/МЭК ТО 15446-2008.
Рассматриваются следующие объективные факторы [21]:
- угрозы информационной безопасности, характеризующиеся вероятностью возникновения и вероятностью реализации;
- уязвимости информационной системы или системы контрмер (системы информационной безопасности), влияющие на вероятность реализации угрозы;
- риск - фактор, отражающий возможный ущерб организации в результате реализации угрозы информационной безопасности.
Для построения сбалансированной системы информационной безопасности предполагается первоначально провести анализ рисков в области информационной безопасности. Затем определить оптимальный уровень риска для организации на основе заданного критерия. Систему информационной безопасности (контрмеры) предстоит построить таким образом, чтобы достичь заданного уровня риска.
Технические решения по защите информационной системы
Разработка контекстных и DFD-диаграммы инфраструктуры ЗАО «Кукушкинд & Со» по направлению информационной безопасности и защите от несанкционированного доступа
Модель информационной безопасности фирмы представлена на рисунке 2.
Рисунок 2. Диаграмма уровня А-0 "Обеспечение информационной безопасности"
Информация, поступающая на предприятие проходит несколько стадий обработки на наличие программных, сетевых и физических угроз безопасности, прежде чем поступит в использование сотрудниками организации.
За безопасностью следит главным образом системный администратор, который настраивает все программные и аппаратные средства для защиты предприятия. Все это регламентируется регламентом предприятия, политикой безопасности и должностными инструкциями. В результате сотрудники получают безопасную информацию, также формируется отчет о событиях обработки.
Декомпозиция блока "Обеспечение информационной безопасности" представлена анна рисунке 3.
Рисунок 3 - Декомпозиция диаграммы уровня А-0
Поступающая информация проходит стадию анализа, где выявляются угрозы, которые она может нанести, далее применяются средства для устранения этих угроз и происходит распределение информации по уровням защиты (административный, программно-технический, законодательный, организационный). Далее применяются средства для дальнейшей защиты информации. Все это в соответствии с нормативными и правовыми актами, действующими на предприятии.
DFD-диаграмма представлена на рисунке 4.
 Рисунок 4 - Диаграмма DFD уровня А-1 "Анализ информации"
На данной диаграмме представлен процесс работы пользователя и системы, который рекомендуется к внедрению в инфраструктуре ЗАО «Кукушкинд & Cо».
В "Положении о методах и способах защиты информации в информационных системах персональных данных", утвержденном приказом ФСТЭК России от 5.02.2010 № 58, содержатся требования к подсистемам [24]: управления доступом; регистрации и учёта; обеспечения целостности; анализа защищённости; обеспечения безопасного межсетевого взаимодействия; обнаружения вторжений, антивирусной защиты.
В соответствии с "Положением об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных", утвержденном постановлением Правительства Российской Федерации от 17 ноября 2007 года N 781 в системе защиты персональных данных могут применяться шифровальные (криптографические) средства защиты информации.
Установка межсетевого экрана - внешней защиты от несанкционированного доступа
При выборе реализации учитываем, что для объекта защиты 1Г класса необходимо выбрать средства МЭ не ниже 4 класса защиты. Межсетевые экраны предназначены в первую очередь для защиты компьютерных сетей или отдельных узлов от внешних атак. Межсетевой экран делает возможной фильтрацию входящего и исходящего трафика, идущего через систему. Для корпоративной сети фирмы ЗАО «Кукушкинд & Cо» был выбран программный межсетевой экран UserGate Proxy & Firewall 5.2 F, который является эффективной альтернативой дорогостоящим программным и аппаратным межсетевым экранам и маршрутизаторам, используемым для защиты конфиденциальной информации и данных в защищенных системах.
Продукт использует комплексный подход к обеспечению безопасности локальной сети и современные методы борьбы с Интернет-угрозами, предназначен для организации безопасного межсетевого взаимодействия, учета трафика и защиты локальной сети организации от внешних угроз и яыляется cертифицированным средством межсетевого экранирования и безопасного доступа в Интернет для защищенных систем.
Данное комплексное решение UserGate Proxy позволяет:
- поддерживать передачу трафика через протоколы PPTP и L2TP для соединения VPN-сервера с VPN-клиентами локальной сети с дальнейшей публикацией сетевых ресурсов с целью удаленного использования;
- определять политику доступа в Интернет и осуществлять полный контроль над использованием Интернет-трафика в компании с ведением подробной статистики;
- создавать правила для контроля скорости передачи данных между локальной сетью и Интернетом с ограничением объема трафика и времени пребывания в сети для пользователей и групп;
- упростить сетевое администрирование.
Сертификаты: ФСТЭК России №2076 от 19 апреля 2010 г. - программный комплекс UserGate Proxy & Firewall 5.2 F, на соответствие ЗБ и имеет оценочный уровень доверия ОУД2 для ОК, по 4 классу РД МЭ, 4 уровень - РД НДВ, может использоваться при создании АС до класса 1Г включительно.
Установка криптопровайдера в системе защиты данных от несанкционированного доступа
Криптографические средства защиты от несанкционированного доступа должны соответствовать следующим ГОСТам по криптографии:
- ГОСТ Р 34.10-2001 Информационная технология. Криптографическая защита информации. Процессы формирования и проверки электронной цифровой подписи;
- ГОСТ Р 34.11-94 Информационная технология. Криптографическая защита информации. Функция хэширования;
- ГОСТ 28147-89 Системы обработки информации. Защита криптографическая. Алгоритм криптографического преобразования.
Особый интерес представляет средство криптографической защиты информации "ViPNet CSP" (может использоваться для защиты информации в АС до 1В и ИСПДн до 1 класса включительно), которое [28]:
- предназначено для формирования ключей шифрования и ключей электронной подписи, шифрования и имитозащиты данных;
- обеспечения целостности и подлинности информации. СКЗИ "ViPNet CSP" может использоваться в государственных и коммерческих структурах, а так же физическими лицами путем встраивания в прикладное программное обеспечение (ПО);
- обеспечивает хранение и обработку персональных данных, конфиденциальной, служебной, коммерческой и др. информации, не содержащей сведений, составляющих государственную тайну, а также обеспечивает обмен такой информацией и юридическую значимость электронного документооборота.
СКЗИ "ViPNet CSP" предназначено не только для использования в программном обеспечении ViPNet производства ОАО "ИнфоТеКС", но и для встраивания в прикладное программное обеспечение других производителей и для поставки конечным пользователям и обеспечивает:
- Создание ключей электронной подписи по алгоритму ГОСТ Р 34.10-2001. Проверку электронной подписи по алгоритму ГОСТ Р 34.10-94, вычисление и проверку электронной подписи по алгоритму ГОСТ Р 34.10-2001.
- Хэширование данных в соответствии с алгоритмом ГОСТ Р 34.11-94.
- Шифрование и имитозащиту данных в соответствии с алгоритмом ГОСТ 28147-89. Генерацию случайных и псевдослучайных чисел, сессионных ключей шифрования.
- Аутентификацию и выработку сессионного ключа при передаче данных по протоколам SSL/TLS. Хранение сертификатов открытых ключей непосредственно в контейнере ключей.
- Поддержку различных устройств хранения ключей (eToken, ruToken, Shipka и др.).
Для осуществления функций шифрования и проверки электронной подписи криптопровайдер ViPNet CSP использует открытый ключ, находящийся в сертификате того пользователя, которому адресован зашифрованный документ или от которого поступил документ с электронной подписью. Для расшифрования и формирования электронной подписи криптопровайдер использует закрытый ключ пользователя, который совершает данные операции (тот ключ, который будет указан самим пользователем).
Пользователю А необходимо передать пользователю В конфиденциальное сообщение Outlook:
· Пользователь А запрашивает из сетевого хранилища сертификат открытого ключа пользователя В и сопоставляет его с контактом В в программе Outlook.
· А зашифровывает документ с использованием открытого ключа из сертификата В.
· А отправляет пользователю В зашифрованное сообщение.
· В расшифровывает документ с помощью своего закрытого ключа.
· Таким образом пользователь В получает конфиденциальное сообщение от пользователя А.
Если сообщение перехватит злоумышленник, прочитать письмо ему не удастся, поскольку у него нет закрытого ключа пользователя В. Если пользователь В не сможет расшифровать сообщение, пришедшее от А, это значит, что письмо было изменено сторонними лицами или повреждено в процессе пересылки. В этом случае В может запросить у пользователя А повторную отправку сообщения.
Процесс формирования и проверки электронной подписи (ЭП) представлен ниже.
Пользователю А необходимо заверить документ (например, сообщение Outlook) электронной подписью, для того чтобы остальные пользователи не смогли внести в него изменения и каждый мог удостовериться, что автор данного документа - пользователь А;
· Пользователь А подписывает документ своим закрытым ключом.
· А отправляет данный документ всем заинтересованным лицам (пользователи В, C и D) или выкладывает для общего доступа.
· Пользователь В запрашивает в Хранилище сертификатов сертификат открытого ключа А.
· В проверяет документ с помощью открытого ключа А, который находится в его сертификате.
СКЗИ "ViPNet CSP" предназначено для работы на IBM-совместимых компьютерах (стационарных, переносных или мобильных) со следующей рекомендуемой конфигурацией: процессор с архитектурой x86 или x86-64; ОЗУ - не менее 512 Мбайт; свободное место на жестком диске - не менее 30 Мбайт.
Для обеспечения класса выше К1 необходимо использование сертифицированных ФСБ России устройств типа "электронный замок" (аппаратно-программный модуль доверенной загрузки) по классу не ниже 2В. В настоящее время поддерживается "электронный замок" "Соболь" (версии 2.0).
Добавление сертификата в контейнер и окно свойств сертификата
Операционные системы: MS Windows: Microsoft XP SP3 (32-разрядная) /Server 2003 (32-разрядная) /Vista SP2 (32/64-разрядная) /Windows 7 (32/64-разрядная) /Windows Server 2008 (32/64-разрядная) /Windows Server 2008 R2 (64-разрядная); SuSe Linux Enterprise Server 10, Slackware Linux 12.0, RedHat Enterprise Linux 4, SuSe Linux Enterprise Server 10 SP1,SP2, SuSe Linux 10.0, Slackware Linux 10.2, Ubuntu 8.04 LTS Desktop, Debian Etch 4.0 r1, Linux XP 2008 Server, Linux XP 2008 Desktop Secure Edition, Open SuSe Linux 11.1.
Дополнительное ПО: Internet Explorer 6.0 (SP1) и выше; антивирусные программы - рекомендуются. Запрещается: пользоваться измененными или отладочными версиями ОС, такими как, например, Debug/Checked Build.
Набор низкоуровневых криптографических функций (криптопровайдер) - динамическая библиотека itccsp. dll для платформы Windows, предназначенная для встраивания в приложения, использующие вызовы криптографических функций через интерфейс, аналогичный Microsoft CryptoAPI 2.0. Набор низкоуровневых криптографических функций - динамическая библиотека ITCPKCS11. DLL для платформы Windows, предназначенная для встраивания в приложения, использующие вызовы криптографических функций через интерфейс, RSA Security Inc. PKCS #11 Cryptographic Token Interface.
СКЗИ "ViPNet CSP" может быть рекомендовано к использованию инфраструктуре ООО "Минерал" в отделах, использующие информацию, категории 2: бухгалтерии и финансового отдела; кадровой деятельности; юридической деятельности; отдела ИТ.
Установка средства обнаружения вторжений и антивируса
Security Studio Endpoint Protection 6.0 обеспечивает защиту компьютера с применением межсетевого экрана, антивируса и средства обнаружения вторжений. Обеспечивает безопасную и комфортную работу с сетью Интернет, предотвращая любые попытки проникновения на компьютер вредоносного программного обеспечения и блокируя нежелательный трафик [29].
Security Studio Endpoint Protection 6.0 защищает компьютер от сетевых вторжений, вредоносных программ и спама;
· Безопасный доступ в сеть
· Защита от известных вирусов и программ-шпионов
· Защита от неизвестных угроз
· Безопасное использование сетевых ресурсов и защита от спама
· Централизованное управление.
Security Studio Endpoint Protection (SSEP) обеспечивает защиту компьютера с применением межсетевого экрана, антивируса и средства обнаружения вторжений. Обеспечивает безопасную и комфортную работу с сетью интернет, предотвращая любые попытки проникновения на компьютер вредоносного программного обеспечения и блокируя нежелательный трафик.
Сертифицированная версия Security Studio Endpoint Protection позволит выполнить требования ФСТЭК по защите персональных данных. SSEP может быть использован совместно с Средств комплексной защиты информации от несанкционированного доступа Secret Net для обеспечения комплексной защиты автоматизированного рабочего места.
Межсетевой экран. Двусторонний контроль трафика позволяет пресечь попытки несанкционированного доступа к компьютеру из локальной сети интернета.
Антивирус и антишпион. Быстрый и эффективный сканер, сочетающий антивирус и антишпион, обнаруживает и обезвреживает вредоносное программное обеспечение.
Средство обнаружения вторжений. Модуль "Детектор атак" предотвращает более 25 типовых атак, а "Локальная безопасность" контролирует взаимодействие программ, защищая систему от нераспознаваемых угроз.
Web-контроль. Интерактивные элементы web-серверов могут нанести вред компьютеру и привести к утечке конфиденциальной информации. Для предотвращения данного вида угроз SSEP контролирует работу интерактивных элементов, которые встроены в загружаемые web-страницы.
Централизованное управление. "Центр администрирования" SSEP позволяет произвести централизованную установку или обновление SSEP на рабочих станциях, удалённую настройку механизмов защиты и мониторинг событий безопасности.
Достоинства и преимущества Security Studio Endpoint Protection.
Возможность работы параллельно с антивирусом другого производителя.
Возможность внедрения комплексного решения совместно с Secret Net.
Поддерживаемые операционные системы:
Windows 2000 SP4 Rollup 1 (x86), Windows XP SP3 (x86/x64), Windows Server 2003 SP2 (x86/x64), Windows Vista SP1 (x86/x64), Windows Server 2008 (x86/x64), Windows Server 2008 R2 (x86/x64), Windows 7 (x86/x64).
SSEP рекомендован к установке в инфраструктуре ЗАО «Кукушкинд & Со» на всех рабочих станциях.
Перспектива установки комплексных средств защиты информации от несанкционированного доступа
Сертифицированное средство защиты информации от несанкционированного доступа на рабочих станциях и серверах средства комплексной защиты информации Secret Net 7 предназначено для защиты информации, составляющей коммерческую или государственную тайну или относящейся к персональным данным. Является эффективным средством защиты от внутренних (инсайдерских) угроз, может применяться как на автономных станциях, так и в информационных сетях [30].
Secret Net является сертифицированным средством защиты информации от несанкционированного доступа и позволяет привести автоматизированные системы в соответствие с требованиями регулирующих документов:
Сертификаты ФСТЭК России позволяют использовать средства комплексной защиты информации от несанкционированного доступа Secret Net для защиты:
конфиденциальной информации в автоматизированных системах до класса 1Б включительно
информационных систем обработки персональных данных до класса К1 включительно.
Ключевые возможности средств комплексной защиты информации от несанкционированного доступа Secret Net:
- Аутентификация пользователей. Разграничение доступа пользователей к информации и ресурсам автоматизированной системы.
- Доверенная информационная среда. Контроль утечек и каналов распространения конфиденциальной информации.
- Контроль устройств компьютера и отчуждаемых носителей информации на основе централизованных политик, исключающих утечки конфиденциальной информации.
- Централизованное управление системой защиты, оперативный мониторинг, аудит безопасности. Масштабируемая система защиты, возможность применения Secret Net (сетевой вариант) в организации с большим количеством филиалов.
Реализована возможность развертывания и использования сетевого варианта Secret Net 7 без модификации схемы AD (но при этом для установки средств комплексной защиты информации единовременно необходимы права Enterprise Admin). При этом полностью решается задача делегирования полномочий администраторам подразделений в рамках организационного подразделения или одного домена. Старая схема развертывания (с модификацией AD) так же может быть использована при необходимости.
Защита терминальных сессий (при использовании "тонких клиентов"). Теперь появилась возможность использования либо усиленной аутентификации пользователя с удаленного терминала ("тонкого клиента"), либо с использованием собственной аутентификации средств комплексной защиты информации (по логину/паролю, без использования персональных идентификаторов).
Удаленное управление локальными политиками безопасности и состоянием защитных систем средств комплексной защиты информации с рабочего места администратора.
Таким образом, реализовано централизованное управление контролем устройств на уровне компьютера.
Реализована возможность управления (разрешения) устройств с использованием информации из журналов. Позволяет администратору безопасности удаленно управлять подключаемыми устройствами к АС.
Возможность задать описание для контролируемых отчуждаемых носителей. В средствах ЦУ отчуждаемые носители отображаются не только по серийному номеру, но и по описанию, присвоенному администратором безопасности. Таким образом, значительно упрощается мониторинг и контроль большого количества отчуждаемых носителей в организации (например, при использовании более 30-40 идентификаторов в сети).
Расширены возможности по контролю утечек конфиденциальной информации - средство комплексной защиты информации обеспечивает возможность теневого копирования при отчуждении конфиденциальной информации. Например, при копировании на отчуждаемые носители или при печати конфиденциальных документов.
Универсальный контроль печати - вывод грифа конфиденциальности на документы, распечатываемые из любого приложения. Разграничение доступа к принтерам - возможность печати конфиденциальных документов только на специально выделенных для этого принтерах.
Реализована возможность назначения меток конфиденциальности устройствам (кроме диска с системным логическим разделом). Доступ пользователя к таким устройствам осуществляется в соответствии с правилами полномочного доступа. Реализована возможность автоматического отключения доступа к сети (сетевых интерфейсов), если того требует уровень сессии полномочного доступа (может быть востребовано в некоторых случаях при обработке секретной информации).
средство комплексной защиты информации Trusted Boot Loader вошло в состав Secret Net 7, как отдельно лицензируемый компонент средств комплексной защиты информации - модуль блокировки несанкционированного доступа к жесткому диску. Так же возможны варианты совместного использования Secret Net 7 с ПАК Соболь 3.0/2.1, Secret Net Card, Secret Net Touch Memory Card PCI 2.
Производитель средств комплексной защиты информации от несанкционированного доступа Secret Net 7. Варианты развертывания Secret Net:
Автономный режим - предназначен для защиты небольшого количества (до 20-25) рабочих станций и серверов. При этом каждая машина администрируется локально.
Сетевой режим (с централизованным управлением) - предназначен для развертывания в доменной сети c Active Directory. Данный вариант имеет средства централизованного управления и позволяет применить политики безопасности в масштабах организации. Сетевой вариант Secret Net может быть успешно развернут в сложной доменной сети (domain tree/forest).
Secret Net рекомендован к перспективной установке в инфраструктуре ООО "Минерал" в рамках сетевого варианта на сервере администратора при развитии стратегии.
В результате отработки проектного решения по защите информации от несанкционированного доступа в корпоративной сети ЗАО «Кукушкинд & Со» были установлены следующие средства комплексной защиты информации:
- криптографическое средство защиты от несанкционированного доступа - СКЗИ "ViPNet CSP";
- межсетевой экран UserGate Proxy & Firewall 5.2 F
- средство обнаружения вторжений и антивирус – SSEP.
|
