поиск по сайту
Защита ИСПДн К1. Терминальное решение

Борисова Т. М., Конявская С. В., к.ф.н.

Россия, Москва, ЗАО «ОКБ САПР»

 Защита ИСПДн К1. Терминальное решение

Требования закона о ПД могут выполняться самыми разными способами, выбор одного из которых зависит от такого серьезного количества вводных данных, что попытки представления типовых решений иногда кажутся начетническими.

Для систем, обрабатывающих данные одной категории (допустим даже первой категории, автоматически обозначающей 1 класс ИСПДн), может быть уместно как сведение всех операций с ПД на один ПК (который уже, в свою очередь, нужно защитить «по полной программе»), так и перенос обработки ПД на бумажную картотеку, а для какой-то АС с точно такими же данными - просто в силу особенностей ее функциональных задач - необходим одинаково высокий уровень защищенности сразу на 200 рабочих мест.

Понимая все это, мы далеки от того, чтобы говорить об оптимальном решении на все случаи жизни. Для разных  организаций, в зависимости от типов задач, решаемых их АС, мы предлагаем разные по архитектуре и стоимости средства защиты.

В данном случае описано, как мы предлагаем строить систему защиты в АС, включающей в себя достаточно большое количество рабочих мест, на части из которых обрабатываются ПД 1 категории.

Причем возьмем наиболее травматичную ситуацию - когда требования ФЗ-152 надо не учесть при создании новой системы, а привести к соответствию этим требованиям систему, которая уже существует и функционирует, а значит, необходимо свести к минимуму не только затраты на переоборудование, но и потери от списания техники, возможно, не отслужившей свой срок, от замены СЗИ, использовавшихся ранее, и отмененных в связи с необходимостью внедрения новой системы защиты. Более того, для АС функционирующей организации едва ли не более, чем штрафы или затраты на внедрение средств, критична остановка работы, вызванная переоборудованием, или потери  данных, произошедшие в ходе смены технических средств.

Рассмотрим самую очевидную (и это не снижает ее достоинств) схему, рекомендуемую для снижения затрат на защиту ИСПДн 1 класса. Следует выделить рабочие места, обрабатывающие ПД, и объединить их в терминальную систему, чтобы хранились и обрабатывались данные на терминальном сервере, а в качестве клиентов использовались предельно простые аппаратные терминалы, только передающие на сервер сигналы клавиатуры и мыши, а с сервера на терминал, в свою очередь, передавались бы только изменения изображений на мониторе.

Экономичность такого решения очевидна - данные обрабатываются в одном месте, и именно оно нуждается в защите по требованиям ИСПДн 1 класса.

Однако необходимо понимать, что защита терминальной системы - это не только защита терминального сервера. Даже в том случае, если терминальные клиенты не обрабатывают и не хранят данные, они обеспечивают интерфейс между пользователем и этими самыми данными, нуждающимися в защите высокого уровня.

Что обозначает «защищенный сервер», если рассуждать с точки зрения вопросов НСД, оставляя в стороне межсетевое экранирование, антивирусную защиту и прочие важные вещи. Защищенный терминальный сервер - это такой, на котором аппаратно обеспечивается доверенная загрузка ОС, а также разграничение доступа  пользователей к информационным ресурсам и потокам данных.

Что это дает, если к серверу подключены незащищенные терминалы?

В самом худшем случае, если терминал вообще не обеспечивает даже идентификацию/аутентификацию пользователя на сервере, то подключиться к серверу может вообще кто угодно, но такой вариант не стоит даже серьезно принимать во внимание, потому что разграничение доступа к ресурсам сервера в этом случае вообще не имеет смысла. Но и сам факт наличия механизмов идентификации/аутентификации пользователя, подключающегося к серверу, не может быть гарантией от утечки. Ведь важно не только то, правильные ли аутентификационные данные предъявил пользователь на терминале, но и были ли они корректно доставлены на сервер, и могут ли они на сервере быть корректно обработаны.

Однако это не значит, что защита терминальных систем должна быть точно такой, как просто, скажем, ЛВС.

Все зависит от того, какие именно технические средства используются в качестве терминального сервера и терминалов. Терминальные технологии Citrix, в частности, очень сильным качеством которых является предельно экономное использование имеющихся ресурсов, допускают использование в качестве терминального сервера не только специализированных серверов, но и обычных ПК, и при этом будет возможно работать с достаточным для целей обработки ПД количеством клиентских мест.

Если при этом в качестве клиентов использовать не полнофункциональные современные машины, а аппаратные терминалы, то это тоже выйдет существенно дешевле, не говоря уже об экономии места на рабочих столах, ведь, как правило, тем, кто занимается обработкой ПД, всегда не хватает места для рабочих материалов.

С точки зрения СЗИ для защиты такой системы понадобится установить на сервер ПАК СЗИ НСД Аккорд-NT/2000 V3.0 TSE и количество лицензий по количеству подключаемых терминалов, а на терминал - ПСКЗИ ШИПКА. Весь комплекс СЗИ на систему из 1 сервера и 5 терминалов обойдется примерно в 2,5 раза дешевле, чем защита такого же количества (6) автономных ПК на тот же уровень защиты (до 1Б включительно, 1 класс ПД), потому что на каждый ПК тогда надо было бы ставить полный комплект, как на сервер.

Не забывая о других плюсах применения терминальных решений, заметим, что система эта получится наращиваемой. Ведь переход от одного IT-решения к другому, даже более современному, удобному и выгодному, всегда плох тем, что надо сразу вложить в это много денег. В данном же случае, будучи вынужденными защитить ИСПДн, в дальнейшем, постепенно, можно будет перевести в терминальную систему и остальные рабочие места, по мере списывания используемых на них компьютеров, заменяя их на менее дорогие терминалы, не снижая при этом защищенности ИСПДн, и, напротив, повышая защищенность системы в целом.

Поскольку характеристики ПАК Аккорд-NT/2000 давно известны, подробно остановимся только на том, как с его помощью выполняются требования к подсистемам контроля доступа, регистрации и учета, а также контроля целостности, предъявляемые к защите ИСПДн 1 класса.

Необходимо заметить, что по отношению к подсистемам контроля доступа и регистрации и учета явно сформулировано требование к использованию специальных программных или программно-аппаратных СЗИ, не встроенных в ОС.

Требования же к механизмам защиты в ИСПДн 1 класса соотносятся с реализованными в Аккорде-NT/2000 механизмами следующим образом:

 Управление доступом:

1. должна производиться идентификация/аутентификация пользователя при входе в ОС, при входе в СЗИ, при управлении функциями СЗИ;

2. аутентифицирующая информация субъекта доступа должна быть защищена от НСД нарушителя;

Эти требования выполняются за счет того, что  в ПАК Аккорд-NT/2000 применяется аппаратная идентификация/аутентификация пользователя с помощью ТМ-идентификаторов (если на терминале установлен контроллер Аккорд) или ПСКЗИ ШИПКА, если клиент на аппаратном терминале. Аутентификация пользователя при этом не только двухфакторная, но усиленная криптографическими преобразованиями, а передается в установленный на сервере Аккорд аутентифицирующая информация по виртуальному каналу, устанавливаемому средствами защиты между собой. Аккорд, установленный на сервере, - это доверенное устройство с активным процессором, это значит, что данные о пользователях в нем хранятся защищенно, а решение о доступе принимается независимым от процессора сервера устройством. Это важно, поскольку если решение о доступе принимает процессор компьютера, пусть даже на основе данных проверки, произведенной контролирующим устройством, то в случае внесения в ПО компьютера (в том числе и сервера - в этом смысле нет существенных отличий) - несложных изменений, результаты такой проверки могут быть заменены на прямо противоположные, со всеми вытекающими последствиями.

3. механизмы блокирования терминала субъекта доступа самим субъектом доступа или в случае истечения заданного интервала времени неактивности субъекта доступа;

В случае превышения установленного времени бездействия ПО Аккорд-NT\2000 блокирует работу скрин-сейвером. Для того же, чтобы блокировать терминал намеренно, пользователю достаточно выдернуть из USB-порта ШИПКУ.

4. идентификация терминалов, технических средств обработки ПДн, узлов ИСПДн, каналов связи, внешних устройств ИСПНд, программ, томов, каталогов, файлов, записей, полей записей; файлов, каталогов, программных модулей и внешних устройств, используемых СЗИ, аппаратного обеспечения ИСПДн, необходимого для функционирования СЗИ;

5.  механизм ролевого разграничения доступа ко всем модулям СЗИ;

6. механизм контроля информационных потоков ко всем модулям СЗИ;

7. импорт и экспорт объектов (сообщений, данных, программ и т. п.) дол­жен выполняться субъектом доступа со специальной ролью «оператора ввода/вывода»;

8. для каждого субъекта доступа должен быть определен перечень испол­няемых модулей, которые он может активизировать;

9. управление потоками информации с помощью меток конфиденциальности, при этом уровень конфиденциальности накопителей должен быть не ниже уровня конфиденциальности записываемой на них информации

Эти 6 требований выполняются с помощью правильной настройки правил разграничения доступа в Аккорд-NT/2000.

Регистрация и учет:

1. регистрация входа в ОС и выхода из ОС субъекта доступа либо загрузки и инициализации ОС и ее программного останова

2. регистрация обращений субъекта доступа к СЗИ, загрузки и инициализации СЗИ и ее программного останова

3. регистрация событий проверки или обнаружения попыток НСД

4. регистрация обновлений СЗИ

5. регистрация событий запуска/завершения модулей СЗИ

6. регистрация событий управления СЗИ

7. регистрация событий попыток доступа программных средств к модулям СЗИ или специальным ловушкам

8. регистрация событий отката для СЗИ

9. регистрация запуска (завершения) программ (процессов, заданий, задач), предназначенных для обработки защищаемых файлов, результата запуска;

10. регистрация выдачи печатных документов на «твердую» копию;

11. регистрация попыток доступа программных средств (программ, процессов, задач, заданий) к защищаемым файлам и к следующим дополнительным защищаемым объектам доступа: тер­миналам, компьютерам, узлам сети ИСПДн, линиям (каналам) связи, внешним устройствам компьютеров в составе ИСПДн, программам, томам, ката­логам, файлам, записям, полям записей;

12. автоматический учет создаваемых защищае­мых файлов с помощью их дополнительной маркировки, используемой в подсистеме управления доступом. Маркировка должна отражать уровень конфиденциальности объекта;

13. сигнализация попыток нарушения защиты

14. данные регистрации должны быть защищены от уничтожения или модификации нарушителем

15. должны быть механизмы сохранения данных регистрации в случае сокращения отведенного места

16. должны быть механизмы просмотра и анализа с фильтрацией по заданным параметрам

17. очистка (обнуление, обезличивание) освобождаемых областей оперативной памяти компьютера и внешних накопителей;

18. автоматический непрерывный мониторинг событий, которые могут являться причиной реализации ПМВ

19. механизм автоматического анализа по шаблонам типовых проявлений ПМВ с автоматическим блокированием и уведомлением администратора безопасности.

Все эти задачи решаются ПО Аккорд-NT/2000 и администратор безопасности информации (а наличие такого человека обязательно по требованиям к 1 классу ИСПДн) может управлять соответствующими настройками через две специальные программы из состава этого ПО. Отдельного упоминания требует маркировка документов, выводимых на печать. Серьезным преимуществом Аккорд-NT/2000 является возможность контроля печати на локальных принтерах, а не только на сетевых.

Обеспечение целостности:

1. должна быть обеспечена целостность программных СЗ в составе СЗПДн и неизменность программной среды, контроль целостности программной и информационной части МЭ

2. проверка целостности модулей СЗ от ПМВ при его загрузке с использованием контрольных сумм

3. должен проводиться автоматический контроль корректности функционирования аппаратного обеспечения ИСПДн, необходимого для функционирования средства защиты от ПМВ;    

Эти требования выполняются за счет того, что Аккорд-NT/2000 построен на Аккорд-АМДЗ, который контролирует целостность аппаратуры, ОС, включая ветви реестра, и назначенных для контроля файлов каждый раз при загрузке системы, а также на ПО Аккорд-NT, которое контролирует целостность программ непосредственно при их запуске.

4. должны использоваться сертифицированные средства защиты информации.

ПАК СЗИ НСД Аккорд-NT/2000, напомним, сертифицирован ФСТЭК России для использования в АС до 1Б и для использования в ИСПДн до 1 класса. Сертификат № 1161.

 


ФорумФорум
Форум ОКБ САПР
Вопросы специалистовВопросы специалистов
Вопросы, которые нам присылают, и наши ответы на них