1 / 41

Принципы построения СЗИ с разделением контуров различного уровня конфиденциальности

Принципы построения СЗИ с разделением контуров различного уровня конфиденциальности. Красников Вячеслав, +7 (495) 721-91-54. О чем я буду говорить.

yolanda-henderson
Download Presentation

Принципы построения СЗИ с разделением контуров различного уровня конфиденциальности

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Принципы построения СЗИ с разделением контуров различного уровня конфиденциальности Красников Вячеслав, +7 (495) 721-91-54

  2. О чем я буду говорить Особенности требований нормативных правовых актов к организации, выполняющей работы по построению системы информационной безопасности информационной системы, в которой обрабатывается информация, содержащая сведения, составляющие ГТ. Принципы построения СИБ с разделением контуров разного уровня конфиденциальности - вариант технического решения.

  3. О чем я буду говорить Дополнительные работы, выполняемые при создании СИБ ГТ. Особенности технической поддержки СИБ ГТ.

  4. Основные нормативные правовые акты • «О лицензировании отдельных видов деятельности» от 4 мая 2011 года N 99-ФЗ. «Положения настоящего ФЗ не применяются к отношениям, связанным с осуществлением лицензирования: … 3) деятельности, связанной с защитой государственной тайны;». 2. «О государственной тайне» от 21 июля 1993 года № 5485-1 (ред. от 08.11.2011 № 309-ФЗ).

  5. Основные нормативные правовые акты Статья 27. Допуск предприятий, учреждений и организаций к проведению работ, связанных с использованием сведений, составляющих государственную тайну Допуск предприятий, учреждений и организаций к проведению работ, связанных с использованием сведений, составляющих ГТ, созданием СЗИ, а также с осуществлением мероприятий и (или) оказанием услуг по защите ГТ, осуществляется путем получения ими в порядке, устанавливаемом Правительством Российской Федерации, лицензий на проведение работ со сведениями соответствующей степени секретности. Лицензия на проведение указанных работ выдается на основании результатов специальной экспертизы предприятия, учреждения и организации и государственной аттестации их руководителей, ответственных за защиту сведений, составляющих ГТ, …

  6. Основные нормативные правовые акты Порядок оформления лицензий регулируется Положением «О лицензировании деятельности предприятий, учреждений и организаций по проведению работ, связанных с использованием сведений, составляющих государственную тайну, созданием средств защиты информации, а также с осуществлением мероприятий и (или) оказанием услуг по защите государственной тайны» Утверждено Постановлением Правительства РФ 15 апреля 1995 г. N 333 (в ред. от 05.05.2012 № 445). 1. … устанавливает порядок лицензирования деятельности предприятий, учреждений и организаций … по проведению работ, связанных с использованием сведений, составляющих ГТ, созданием средств защиты информации, а также с осуществлением мероприятий и (или) оказанием услуг по защите ГТ. Лицензия является официальным документом, который разрешает осуществление на определенных условиях конкретного вида деятельности в течение установленного срока. Лицензия действительна на всей территории Российской Федерации, а также в учреждениях Российской Федерации, находящихся за границей.

  7. Основные нормативные правовые акты 2. Органами, уполномоченными на ведение лицензионной деятельности, являются: • по допуску предприятий к проведению работ, связанных с использованием сведений, составляющих государственную тайну, - Федеральная служба безопасности Российской Федерации и ее территориальные органы (на территории Российской Федерации), Служба внешней разведки Российской Федерации (за рубежом); • на право проведения работ, связанных с созданием средств защиты информации, - Федеральная служба по техническому и экспортному контролю, Служба внешней разведки Российской Федерации, Министерство обороны Российской Федерации, Федеральная служба безопасности Российской Федерации (в пределах их компетенции); • на право осуществления мероприятий и (или) оказания услуг в области защиты государственной тайны - Федеральная служба безопасности Российской Федерации и ее территориальные органы, Федеральная служба по техническому и экспортному контролю, Служба внешней разведки Российской Федерации (в пределах их компетенции).

  8. Что у нас есть и для чего это нужно? Лицензия регистрационный номер 22070 от 17 октября 2012 года на осуществление работ, связанных с использованием сведений, составляющих государственную тайну, при условии обслуживания РСП ФГУП «НИИА» по адресу: 127106, г. Москва, ул. Ботаническая, д. 25. Порядок допуска регламентирован Постановлением от 6 февраля 2010 г. N 63 «ОБ УТВЕРЖДЕНИИ ИНСТРУКЦИИ О ПОРЯДКЕ ДОПУСКА ДОЛЖНОСТНЫХ ЛИЦ И ГРАЖДАН РОССИЙСКОЙ ФЕДЕРАЦИИ К ГОСУДАРСТВЕННОЙ ТАЙНЕ». В соответствии со степенями секретности сведений, составляющих государственную тайну, устанавливаются следующие формы допуска граждан к государственной тайне: • первая форма - для граждан, допускаемых к сведениям особой важности; • вторая форма - для граждан, допускаемых к совершенно секретным сведениям; • третья форма - для граждан, допускаемых к секретным сведениям.

  9. Что выдается для выполнения работ? «66. Доступ граждан к сведениям, составляющим государственную тайну, в организациях, в которые они командируются, осуществляется после предъявления ими предписаний на выполнение задания (форма 5), документов, удостоверяющих личность, и справок о допуске по соответствующей форме (формы 6 - 8). 67. Гражданам, командируемым для выполнения заданий, связанных с доступом к государственной тайне, выдаются: … для имеющих допуск к секретным сведениям - справка о допуске по третьей форме (форма 8), … . 69. Требовать от командированного гражданина, прибывшего в организацию для выполнения задания, не связанного с работами со сведениями, составляющими государственную тайну, справку о допуске по соответствующей форме (формы 6 - 8) запрещается. Исключение составляют случаи, когда командированный гражданин при выполнении задания неизбежно будет иметь доступ к сведениям, составляющим государственную тайну.»

  10. Что выдается для выполнения работ? «70. Предписание на выполнение задания (форма 5) подписывается руководителем организации, а в органах государственной власти - должностным лицом, уполномоченным руководителем соответствующего органа, заверяется печатью организации (органа) и регистрируется в журнале учета выдачи предписаний на выполнение заданий (форма 14). В предписании на выполнение задания (форма 5) указывается основание для командирования (номер и дата постановления, решения, договора, совместного плана научно-исследовательских и опытно-конструкторских работ и т.п.).»

  11. Наши лицензии в данной области У ЗАО «ЛАНИТ» оформлены 5 лицензий, связанные с информацией, содержащей сведения, составляющие гостайну: • Лицензия Управления ФСБ, дающая право работы с гостайной. • Две лицензии ЦЛСЗ на работу с СКЗИ. • Две лицензии ФСТЭК с названиями, аналогичными двум предыдущим, но на защиту информации техническими средствами (кроме криптографических).

  12. Что у нас есть и для чего это нужно? ЦЛСЗ ФСБ России №1 Проведение работ, связанных с созданием средств защиты информации, содержащей сведения, составляющие государственную тайну: • Разработка защищенных с использованием шифровальных средств информационных систем, систем и комплексов телекоммуникаций; • Производство защищенных с использованием шифровальных средств информационных систем, систем и комплексов телекоммуникаций; • Разработка информационных и телекоммуникационных систем органов государственной власти Российской Федерации (ОГВ РФ); • Производство информационных и телекоммуникационных систем (ОГВ РФ). №2 Осуществление мероприятий и оказание услуг в области защиты государственной тайны: • Техническое обслуживание (монтаж, наладка, установка) шифровальных средств; • Распространение (продажа, передача) шифровальных средств; • Техническое обслуживание (монтаж, наладка, установка, сервисное обслуживание, ремонт) защищенных с использованием шифровальных средств информационных систем, систем и комплексов телекоммуникаций; • Распространение (продажа, передача) защищенных с использованием шифровальных средств информационных систем, систем и комплексов телекоммуникаций; • Техническое обслуживание (монтаж, наладка, установка, сервисное обслуживание, ремонт) информационных и телекоммуникационных систем (ОГВ РФ); • Распространение (продажа, передача) информационных и телекоммуникационных систем (ОГВ РФ); • Техническое обслуживание (монтаж, наладка, установка, сервисное обслуживание, ремонт) защищенных средств обработки информации, средств защиты информации (кроме криптографических), предназначенных для использования в (ОГВ РФ);; • Распространение (продажа, передача) защищенных средств обработки информации, средств защиты информации (кроме криптографических), предназначенных для использования в (ОГВ РФ)..

  13. Что у нас есть и для чего это нужно? ФСТЭК России №1 Перечень мероприятий и услуг в области защиты государственной тайны: • Контроль защищенности информации, составляющей государственную тайну, автоматизированных систем различного уровня и назначения; систем связи, приема, обработки и передачи данных; систем отображения и размножения; технических средств (систем), не обрабатывающих информацию, составляющую государственную тайну, но, размещенных в помещениях, где она обрабатывается; помещений со средствами (системами), подлежащими защите; помещений, предназначенных для ведения секретных переговоров; • Проектирование объектов в защищенном исполнении(автоматизированных систем различного уровня и назначения; систем связи, приема, обработки и передачи данных; систем отображения и размножения; помещений со средствами (системами), подлежащими защите; помещений, предназначенных для ведения секретных переговоров). №2 Перечень работ, связанных с созданием средств защиты информации: • разработка, производство, реализация, установка, монтаж, наладка, испытания, ремонт, сервисное обслуживание: • технических средств защиты информации; • защищенных технических средств обработки информации; • технических средств контроля эффективности мер защиты информации; • программных (программно-технических) средств защиты информации; • защищенных программных (программно-технических) средств обработки информации; • программных (программно-технических) средств контроля защищенности информации.

  14. КЗ и организационно-технические мероприятия в пределах КЗ Контролируемая зона - это пространство (территория, здание, часть здания), в котором исключено неконтролируемое пребывание сотрудников и посетителей организации, а также транспортных средств. Выполнение организационных и организационно-технических мероприятий в пределах контролируемых зон обеспечивает невозможность перехвата информации по побочным каналам, а также исключает несанкционированное подключение потенциального нарушителя к линиям связи. В пределах контролируемой зоны должны быть обеспечены легальность пользователя и легальность программного обеспечения, что означает в частности отсутствие в нем средств разработки и отладки ПО. Для обеспечения требований по безопасности информации на каждом СВТ, расположенном в физически замкнутом контуре, должны быть установлены средства контроля доступа. КЗ 14

  15. Создание защищенного контура – Основные принципы • Защищенный контур (ЗК) должен быть физически выделен, то есть изолирован от основной ЛВС корпоративной информационной системы (КИС). • Должна быть создана отдельная СКС, удовлетворяющая требованиям нормативно-методических документов для сетей данного класса защищенности. • Должна быть создана независимая инфраструктура ЗК. • Должна быть создана система защиты информации (СЗИ) ЗК. • Должна быть проведена аттестация АС по классу защищенности не ниже 1В. • В ЗК необходимо сосредоточить все ресурсы, необходимые для работы, включая собственную структуру AD и сервер управления графическими станциями.

  16. Стадии реализации • предпроектная стадия – сбор информации для проектирования; • стадия проектирования, включающая разработку СЗИ в составе объекта информатизации; • стадия ввода в действие СЗИ, включающая аттестацию объекта информатизации на соответствие требованиям безопасности информации; • техническая поддержка.

  17. Технические средства защиты Для создания СЗИ используются: • Сертифицированные антивирусы; • Межсетевые экраны; • Системы IPS (СОА); • Однонаправленные шлюзы; • Средства авторизации; • Средства защиты от НСД; • … Автоматизированная система должна быть аттестована по самым высоким классам защищенности (3А, 2А, 1Б, 1В и 1Г) в соответствии с РД ФСТЭК России.

  18. Примерная схема СЗИ

  19. Состав комплекса СЗИ • Подсистема управления ИБ. • Подсистема защиты рабочей станции, обеспечивающая контроль доступа к СВТ и целостность программных компонент, необходимых для доступа к АС; • Подсистема защиты информации на серверах, в том числе серверах баз данных и серверах приложений. • Средства двухфакторной идентификации (электронный ключ). • Средства антивирусной защиты рабочих станций и серверов.

  20. АПК защиты рабочей станции ПАК Diamond ACS Workstation позволяет реализовать требования защиты информации и аттестовать АС по соответствующему классу защищенности.

  21. АПК защиты рабочей станции Возможностимодуля: • контроль доступа при входе в СВТ; • поддержка различных идентификаторов с интерфейсом USB, в том числе eToken Pro, MsKey, Diamond Key USB; • возможность физического разделения до 3 контуров (SATA HDD); • собственная вычислительная подсистема на базе 32-битного процессора; • возможность осуществления доверенных вычислений в изолированной (функционально замкнутой) среде; • осуществление вычислений параллельно с основным процессором СВТ.

  22. Преимущества решения Стоимость затрат на одноАРМ уменьшается за счет: • Уменьшения количества оборудования в два раза. • Уменьшения количества средств защиты. • Сокращения затрат на СПСИ оборудования. • Сокращения затрат на проектирование, монтаж и наладку оборудования. • Сокращение затрат на последующее техническое обслуживание.

  23. Сертификат Diamond ACS

  24. Сертификат Diamond ACS СЕРТИФИКАТ  СООТВЕТСТВИЯ № 2130 Выдан 8 июля 2010 г. … Действителен до 8 июля 2013 г. Сертификат удостоверяет, что «Система контроля и разграничения доступа «Diamond ACS», разработанная и производимая ООО «ТСС» в соответствии с техническими условиями ТУ 5015-001-61649217-10, функционирующая под управлением операционных систем Windows 2000/XP/2003/2008/Vista/7, Linux 2.6 kernel, Solaris 9/10, FreeBSD 4/5, OpenBSD 4 является программно-техническим средством защиты информации от несанкционированного доступа, соответствует требованиям руководящих документов «Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации» (Гостехкомиссия России, 1992) - по 3 классу защищенности, «Защита от несанкционированного доступа к информации. Часть 1. Программное обеспечение средств защиты информации. Классификация по уровню контроля отсутствия недекларированных возможностей» (Гостехкомиссия России, 1999) - по 2 уровню контроля, требованиям технических условий и может использоваться при создании автоматизированных систем до класса защищенности 1Б (в ред. от 08.07.10 - 1В), 2А и 3А включительно, а также для защиты информации в информационных системах персональных данных до 1 класса включительно.

  25. Сертификат Diamond ACS

  26. Проблема обмена информацией Проблема обеспечения передачи информации из ОС в ЗС: • Через зарегистрированные отчуждаемые носители. • Через администратора безопасности. • С использованием однонаправленных шлюзов.

  27. Однонаправленные шлюзы Технология работы • предназначен для организации однонаправленной передачи информации из сегмента ЛВС, подключённого к сети Интернет (открытый сегмент), в сегмент ЛВС, в котором происходит обработка и хранение информации ограниченного пользования (закрытый сегмент). • состоит из двух серверов, связанных между собой одноволоконным оптическим трактом, обеспечивающим на физическом уровне отсутствие обратного канала.

  28. ПАК «Shield Fiber Channel» (ПАК «SFC») Технология работы

  29. ПАК «Shield Fiber Channel» (ПАК «SFC») • Наличие гальванической развязки между внешним и внутренним серверами.. • Передача данных от ВншСна ВнтС, на которых установлен ПАК «SFC», по однонаправленному оптическому интерфейсу. • Блокировку на физическом уровне передачи данных с ВнтCна ВншCчерез оптический контроллер, устанавливаемым на ВнтСдля связи с ВншС(на контроллере ВнтC отсутствует передатчик, на ВншСотсутствует приемник). • Блокировку на физическом уровне приема данных на ВншСчерез оптический контроллер, устанавливаемым на ВншСдля связи с внутренним сервером (на контроллере ВншСотсутствует приемник). • Блокировку на ВншСпередачу любых пакетов, не предназначенных ВнтС. • Блокировку на ВнтСприем любых пакетов, не предназначенных ВнтС. • Идентификация и аутентификация администратора ПАК «SFC». • Регистрацию в системном журнале всех попыток несанкционированного доступа к ПАК «SFC», а также начало и окончание каждой сессии, объем принятых и переданных данных в каждой сессии и количество активных сессий. • ПАК «SFC» должен обеспечивать передачу файлов и потоков данных из внешней сети во внутреннюю,. • Автономный старт внутреннего и внешнего серверов  ПАК «SFC» при включении питания, проверку целостности программного обеспечения и переход к основному режиму работы.

  30. Техническая поддержка Системы Оборудование, работающее в составе закрытого контура, является частью автоматизированной системы, подлежащей аттестации. «1.4. Под аттестацией объектов информатизации понимается комплекс организационно-технических мероприятий, в результате которых посредством специального документа - "Аттестата соответствия" подтверждается, что объект соответствует требованиям стандартов или иных нормативно-технических документов по безопасности информации, утвержденных Гостехкомиссией России.Наличие на объекте информатизации действующего "Аттестата соответствия" дает право обработки информации с уровнем секретности (конфиденциальности) и на период времени, установленными в "Аттестате соответствия". »

  31. Основные положения «1.5. Обязательной аттестации подлежат объекты информатизации, предназначенные для обработки информации, составляющей государственную тайну, управления экологически опасными объектами, ведения секретных переговоров.        В остальных случаях аттестация носит добровольный характер (добровольная аттестация) и может осуществляться по инициативе заказчика или владельца объекта информатизации.        Аттестация по требованиям безопасности информации предшествует началу обработки подлежащей защите информации и вызвана необходимостью официального подтверждения эффективности комплекса используемых на конкретном объекте информатизации мер и средств защиты информации.» Одним из обязательных требований при этом является наличие документов о проведении специальных проверок и специальных лабораторных исследований оборудования.

  32. Услуга СПСИ Перед поставкой каждого комплекта аппаратного обеспечения для установки в составе защищенного контура все компоненты этих комплектов должны быть проверены на отсутствие в них возможно установленных электронных устройств перехвата информации (спецпроверка), а также должны быть проведены их лабораторные (стендовые) специальные исследования (специсследования) в соответствии с требованиями «Сборника методических документов по контролю защищенности информации, обрабатываемой средствами вычислительной техники, от утечки за счет побочных электромагнитных излучений и наводок (новая редакция)» (ФСТЭК России, 2005). Специсследования и спецпроверки должны быть проведены в соответствии с требованиями нормативных правовых актов, нормативно-методических и методических документов ФСБ России и ФСТЭК России. Специсследования с целью установления величины максимально возможной зоны разведки (перехвата) побочных электромагнитных излучений и предельных расстояний от СВТ до вспомогательных технических средств и систем и их кабельных коммуникаций, имеющих выход за границу контролируемой зоны должны быть проведены на измерительной площадке, оборудованной в соответствии с упомянутым выше Сборником методических документов, а также ГОСТ Р 51320-9.

  33. Предоставляемые документы По результатам специальных проверок и специальных исследований для каждого комплекта аппаратного обеспечения, поставляемого Исполнителем для установки в составе защищенного контура будут предоставлены в бумажном виде следующие документы установленного образца (в соответствии с действующими нормативными документами): • положительное заключение по результатам специальной проверки; • предписание на эксплуатацию; • протокол (ы) специальных лабораторных исследований.

  34. Опыт аналогичных работ • Высший Арбитражный суд – поставка оборудования для защищенных сетей, пуско-наладочные работы, аттестация объектов информатизации в защищенном исполнении. Техническая поддержка с обеспечением запасных частей с проведением работ СПСИ. • Федеральное казначейство – поставка оборудования для защищенных сетей, пуско-наладочные работы, объектов информатизации в защищенном исполнении. Техническая поддержка с обеспечением запасных частей с проведением работ СПСИ. • Спецстрой России – поставка оборудования для защищенных сетей, пуско-наладочные работы, объектов информатизации в защищенном исполнении. Техническая поддержка с обеспечением запасных частей с проведением работ СПСИ.

  35. Опыт аналогичных работ Услуга сервисной поддержки Заказчику предоставляется Сервисным центром ДСИ по формуле 8 х 5. Поступающие обращения принимаются по единому электронному адресу, либо по телефону и регистрируются в системе ServiceDesk с присвоением уникального номера. Предоставляется выделенный менеджер по каждому Заказчику. Наличие на складе оборудования и запасных частей, прошедших процедуры СПСИ. По завершению работ с оборудованием на объект направляются оборудование (запасные части), а также специальной почтой высылаются в адрес РСП Заказчика необходимые документы о проведении СПСИ. Отслеживание этапов прохождения заявки на ремонт.

  36. Опыт аналогичных работ Отслеживание этапов прохождения заявки на ремонт.

  37. Опыт аналогичных работ Отправка оборудования на процедуру СПСИ после ремонта 37 Enterprise Vault 2007 FSA

  38. Спасибо за внимание Красников Вячеслав, +7 (495) 721-91-54, krasnikov@lanit.ru

  39. Для справки ФСБ России • Разработка, производство, распространение шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств, выполнение работ, оказание услуг в области шифрования информации, техническое обслуживание шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств (за исключением случая, если техническое обслуживание шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств, осуществляется для обеспечения собственных нужд юридического лица или индивидуального предпринимателя) • Разработка, производство, реализация и приобретение в целях продажи специальных технических средств, предназначенных для негласного получения информации • Деятельность по выявлению электронных устройств, предназначенных для негласного получения информации (за исключением случая, если указанная деятельность осуществляется для обеспечения собственных нужд юридического лица или индивидуального предпринимателя) ФСБ России, ФСТЭК России • Разработка и производство средств защиты конфиденциальной информации ФСТЭК России • Деятельность по технической защите конфиденциальной информации

  40. Чем это грозит сотруднику? Допуск граждан к государственной тайне предусматривает: • а) принятие на себя обязательств перед государством по нераспространению доверенных им сведений, составляющих государственную тайну; • б) письменное согласие на частичные, временные ограничения их прав в соответствии со статьей 24 Закона Российской Федерации "О государственной тайне"; • в) письменное согласие на проведение в отношении их полномочными органами проверочных мероприятий; • г) определение видов, размеров и порядка предоставления социальных гарантий, предусмотренных законодательством Российской Федерации; • д) ознакомление с нормами законодательства Российской Федерации о государственной тайне, предусматривающими ответственность за его нарушение; • е) принятие руководителем организации решения (в письменном виде) о допуске оформляемого гражданина к сведениям, составляющим государственную тайну.

  41. Обозначения на схеме Т1 – графические станции ЗК, со средствами защиты: два SATA-диска с независимыми ОС открытого и закрытого контуров, ПАК «электронного замка», USB-идентификатор (электронный ключ). Т2 – АРМ – графические станции открытого сегмента. S1 – Сервер Централизованного Управления Безопасностью. S2 – Сервер приложений (авторизация графических станций закрытого сегмента), оборудован агентом безопасности сервера и USB-Идентификатором. S3 – Сервер приложений (авторизация графических станций открытого сегмента). S4 – Сервер управления печатью закрытого сегмента, оборудован агентом безопасности сервера и USB-Идентификатором. S5 – Сервер контроллера домена закрытого сегмента, оборудован агентом безопасности сервера и USB-Идентификатором. S6 – Сервер контроллера домена открытого сегмента. Т3 – АРМ Администратора безопасности (ПАК «Электронный замок», USB-идентификатор).

More Related