Geum.ru

Президенте Российской Федерации по развитию информационного общества межрегиональный семинар

Вид материалаСеминар
6. Технологические решения Microsoft для защиты персональных данных
В настоящее время во ФСТЭК (бывшая Гостехкомиссия России) сертифицированы следующие продукты Microsoft
В настоящее время в ФСБ сертифицированы следующие продукты Microsoft
7. Технология защиты в гетерогенных сетях «Diamond ACS»
Объекты доступа
8. Вопросы подготовки специалистов органов исполнительной власти субъектов РФ в области защиты информационных систем
Подобный материал:
1   2   3   4   5   6

6. Технологические решения Microsoft для защиты персональных данных


Владимир Мамыкин («Microsoft Россия»)





см. презентацию доклада (на вкладке)


Стратегия создания защищенных информационных систем продолжает оставаться самой приоритетной стратегией для Майкрософт. Анонсированная более шести лет назад, она представляет собой взгляд на комплексное обеспечение информационной безопасности. Ключевыми моментами, определяющими успешность создания защищенных систем, являются сотрудничество с государством и выполнение национальных требований, предъявляемых для обеспечения безопасности критически важных элементов информационной структуры.

Microsoft продолжает работать над выпуском продуктов с повышенным уровнем защищенности. Высокое качество наших новых продуктов подтверждается, в частности, тем, что в соответствии с данными наиболее уважаемого в области отслеживания уязвимостей независимого сайта om продукты Microsoft имеют минимальное число обнаруженных уязвимостей среди продуктов своего класса.

В 2002 году Майкрософт разработала программу Government Security Program (GSP), в рамках которой организациям, участвующим в государственных проектах по совершенствованию защищенных информационных систем, предоставляет доступ к исходным кодам продуктов Майкрософт. Россия является первой страной в мире, подписавшей с Майкрософт Соглашение GSP. Это Соглашение было подписано в 2002 году между Майкрософт и ФГУП НТЦ «Атлас» и согласовано с ФАПСИ. После преобразования ФАПСИ Соглашение было переподписано с ФГУП НТЦ «Атлас» и согласовано с ФСБ. Соглашение действует и по настоящее время. Структура Соглашения позволяет иметь доступ к исходным кодам продуктов Майкрософт не только ФСБ, но и ФСТЭК, Министерству обороны, Министерству атомной промышленности, и другими организациями, работающим в государственных проектах по совершенствованию защищенных информационных систем.

ФГУП НТЦ «Атлас» является Центром по предоставлению доступа к исходным кодам продуктов Майкрософт. В нем организованы специальные помещения, где специалисты проводят анализ исходных кодов не только для целей сертификации продуктов Майкрософт на соответствие российским требования по безопасности информации, но и для решения других государственных задач. Майкрософт активно поддерживает эти работы, постоянно расширяя список доступных для исследования исходных кодов, и предоставляя необходимую технологическую и консультационную поддержку по вопросам функционирования продуктов.

Сотрудничество Майкрософт с российскими организациями в области сертификации имеет долгую историю. Еще в 1998 году Windows NT 4.0 и SQL Server 6.5 были сертифицированы в Гостехкомиссии России.

В настоящее время Майкрософт продолжает сотрудничать в области сертификации с ФСТЭК и с ФСБ, и готово начать сертификацию с системе сертификации Министерства обороны.

В настоящее время во ФСТЭК (бывшая Гостехкомиссия России) сертифицированы следующие продукты Microsoft:
  • клиентская операционная система Windows XP Professional русская версия (включая ОЕМ производство)
  • клиентская операционная система Windows Vista (Business, Enterprise, Ultimate) русская версия (включая ОЕМ производство)
  • серверная операционная система Windows Server 2003 (Standard Edition и Enterprise Edition) русские версии
  • серверная операционная система Windows Server 2003 R2 (Standard Edition и Enterprise Edition) русские версии
  • система управления базами данных SQL Server 2000 (Standard Edition и Enterprise Edition) английские версии
  • система управления базами данных SQL Server 2005 (Standard Edition и Enterprise Edition) русские версии
  • платформа приложений Office 2003 Professional русская версия, включая встроенную технологию управления цифровыми правами документов IRM, работающую с серверной технологией RMS, встроенную в Windows Server 2003
  • платформа приложений Office 2007 Professional русская версия, включая встроенную технологию управления цифровыми правами документов IRM, работающую с серверной технологией RMS, встроенную в Windows Server 2003
  • межсетевой экран ISA Server 2006 (Standard Edition) русская версия – сертификаты получены как на соответствие Общим Критериям, так и на соответствие Руководящим документам «СВТ. Межсетевые экраны…» - по третьему классу защищенности
  • линейка антивирусных продуктов Forefront для серверов и рабочих станций (Forefront для Exchange Server, Forefront для SharePoint Server, и Forefront Client)
  • сервер управления почтовыми сообщениями Exchange Server 2007
  • сервер для документооборота Office SharePoint Server 2007
  • сервер для управления бизнес-процессами BizTalk Server 2006 R2.

В соответствии с полученными сертификатами ФСТЭК указанные сертифицированные продукты позволяют строить автоматизированные системы до класса защищенности 1Г включительно. В настоящее время в России организовано массовое производство всех сертифицированных версий продуктов Майкрософт. Это позволяет заказчикам приобретать любые количества сертифицированных продуктов. Непрерывная сертификация выходящих ежемесячно новых патчей к продуктам позволяет покупателям иметь сертифицированную версию не только с самыми последними обновлениями системы безопасности, но и соответствующую при этом требованиям законодательства.

В настоящее время в ФСБ сертифицированы следующие продукты Microsoft:
  • клиентская операционная система Windows XP Professional русская версия
  • серверная операционная система Windows Server 2003 Enterprise Edition русская версия

Сертификаты ФСБ удостоверяют, что указанные продукты соответствуют требованиям ФСБ России к защите информации, не содержащей сведений, составляющих государственную тайну, от несанкционированного доступа в автоматизированных информационных системах класса АК2.

В ФСБ также получено положительное заключение экспертной организации по результатам сертификационных испытаний Удостоверяющего центра, входящего в состав Windows Server 2003, на соответствие его уровню КС2 в соответствии с требованиями ФСБ.

Продукты Майкрософт, сертифицированные во ФСТЭК, с точки зрения программного кода ничем не отличаются от обычных лицензионных легальных продуктов Майкрософт. Программная реализация продуктов Майкрософт позволила получить соответствующие сертификаты ФСТЭК без изменений программного кода. Однако в соответствии с законодательством России сертифицированные продукты ФСТЭК имеют ряд других важных отличий от несертифицированных продуктов. Так как в соответствии с законодательством государство проверяет каждый экземпляр сертифицированного продукта на его идентичность экземпляру, прошедшему сертификацию, с выдачей соответствующих документов, и ведет поэкземплярный учет каждой копии сертифицированного продукта, то :

Каждый экземпляр сертифицированнго продукта имеет пакет документов государственного образца о том, что данный продукт является сертифицированным, включая голографический знак соответствия ФСТЭК с уникальным номером, которая идентифицирует данный экземпляр в системе государственного учета сертифицированных продуктов.

Дополнительно к этому каждая организация, купившая сертифицированный продукт, имеет защищенный доступ к персональной для этой организации странице на специализированном сайте, откуда данная организация будет получать сертифицированные обновления.

Продукты Майкрософт, сертифицированные в ФСБ, кроме обычного лицензионного продукта Майкрософт содержат дополнительное программное обеспечение, разработанное российскими организациями для того, чтобы данные продукты Майкрософт могли удовлетворять требованиям, предъявляемым ФСБ к программным продуктам. Дополнительные программые продукты называются «Service Pack Rus для Windows XP», «Service Pack Rus для Windows Server» и «Service Pack Rus для Удостоверяющего центра» соответственно. Эти дополнительные программные продукты содержат и крипто-сервис провайдеры компании Крипто-Про, которые позволяют зашифровывать информацию и подписывать документы электронной цифровой подписью с использованием российских криптографических алгоритмов.

Таким образом, сертифицированные в ФСБ продукты состоят из:
  • Обычного лицензионного продукта Майкрософт, и
  • Дополнительного «Service Pack Rus» для этого продукта.

Наши долгосрочные планы сотрудничества включают в себя сертификацию всех продуктов, которые необходимо сертифицировать в соответствии с российским законодательством. Это позволит нашим клиентам, при построении своих решений использовать полностью сертифицированную платформу продуктов Майкрософт.

В настоящее время к сертификации во ФСТЭК готовятся следующие продукты:

Система управления операциями в информационной системе System Center Operations Manager 2007

Система управления индентификацией в гетерогенных средах Identity Lifecycle Manager 2007 v.2

Сервер виртуализации Hyper-V

Система управления политиками безопасности Forefront Stirling

Серверная операционная система Windows Server 2008

Система управления базами данных SQL Server 2008

А также другие продукты, необходимые нашим клиентам.

В ФСБ продолжаются работы по разработке удовлетворяющей требованиям ФСБ системы защищенного документооборота, построенной с использованием таких продуктов Майкрософт, как Windows Server 2003, Windows XP, SQL Server 2005, SharePoint Server 2007, и других.


7. Технология защиты в гетерогенных сетях «Diamond ACS»


А.Н. Атаманов (ООО «ТСС»)





см. презентацию доклада (на вкладке)


При создании СЗКИ (систем защиты конфиденциальной информации) на объекте информатизации должны быть обеспечены легальность пользователя и легальность программного обеспечения, а так же отсутствие в нем средств разработки и отладки ПО. Этот вопрос решается путем:
  • надежного разделения контуров различной степени конфиденциальности и открытых сетей (систем);
  • применением средств контроля и разграничения доступа к СВТ, их ресурсам и сетевым ресурсам;
  • организации контролируемой зоны и исключения несанкционированного подключения к линиям связи.


При построении СЗКИ и ПД необходимо выполнение следующих требований:
  • криптографическое разделение каналов связи – построение виртуальных частных сетей;
  • применение сертифицированных ФСБ средств криптографической защиты;
  • выполнение требований по межсетевому экранированию – внедрение сертифицированного по требованиям безопасности МЭ как многокомпонентного устройства;
  • требований по анализу и обнаруже нию вторжений;
  • требования по анализу защищенности;
  • требований по контролю защищенности;
  • требований по антивирусной защите.


Возможности модуля:
  • контроль доступа при входе в СВТ;
  • поддержка различных идентификаторов с интерфейсом USB, в том числе eToken Pro, MsKey, Diamond Key USB;
  • возможность физического разделения до 3 контуров (SATA HDD);
  • собственная высокопроизводительная вычислительная подсистема на базе 32-битного процессора;
  • возможность осуществления доверенных вычислений в изолированной (функционально замкнутой) среде;
  • осуществление вычислений параллельно с основным процессором СВТ;
  • реализация модулей антивирусной защиты на отдельном устройстве.

Для защиты от несанкционированного доступа в автоматизированных системах необходимо обеспечить выполнение требований по защите от несанкционированного доступа, в том числе разграничение доступа к конфиденциальной информации и персональным данным, регистрацию и учет попыток доступа, контроль целостности.


Объекты доступа:
  • локальные ресурсы – файлы, базы данных, отчуждаемые носители;
  • сетевые ресурсы – сетевые файловые системы, базы данных, сервера приложений.



Субъекты доступа – локальные и сетевые пользователи, процессы.

Основные функции системы Diamond ACS:
  • Выполнение требований по защите от НСД в гетерогенных сетях – в том числе разграничение доступа к сетевым ресурсам.
  • Реализация концепции разделения контуров различных уровней конфиденциальности.
  • Возможность централизованного управления безопасностью, осуществления мониторинга и аудита ИБ.
  • Поддержка большого количества платформ.

Возможности системы:
  • реализация функциональности VPN концентратора для рабочих групп;
  • поддержка единого носителя ключевой и идентифицирующей информации с интерфейсом USB, в том числе eToken Pro, MsKey, Diamond Key USB;
  • реализация межсетевого экрана как распределенного многокомпонентного устройства;
  • поддержка единой системы управления безопасностью, мониторинга и аудита.



см. презентацию доклада (на вкладке)

8. Вопросы подготовки специалистов органов исполнительной власти субъектов РФ в области защиты информационных систем


Дэлия Зарипова («Академия Информационных Систем»)



Закон №152-ФЗ «О персональных данных» устанавливает деление ИС по заданным оператором характеристикам безопасности персональных данных, обрабатываемых в информационной системе, на типовые и специальные (п. 8 Порядка классификации).

При этом к типовым ИС относятся информационные системы, в которых требуется обеспечение только конфиденциальности персональных данных, а к специальным - ИС, в которых вне зависимости от необходимости обеспечения конфиденциальности персональных данных требуется обеспечить хотя бы одну из характеристик безопасности персональных данных, отличную от конфиденциальности (защищенность от уничтожения, изменения, блокирования, а также иных несанкционированных действий).

Согласно ч. 1 ст. 19 федерального закона Российской Федерации от 27 июля 2006 г. № 152-ФЗ «О персональных данных»:

«Оператор при обработке персональных данных обязан принимать необходимые организационные и технические меры, в том числе использовать шифровальные (криптографические) средства, для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных, а также от иных неправомерных действий».

Т.е. закон устанавливает необходимость обеспечения для всех ИС ПДн кроме конфиденциальности и других характеристик безопасности – в том числе их защиту от модификации и др. (Например, в ИС кадрового органа любой организации требуется обеспечить защиту ПДн от модификации, хотя бы для того, чтобы правильно обеспечить выплату работникам зарплаты и социальных пособий. То же касается ИС общеобразовательных школ и ВУЗов, где необходимо обеспечить защиту данных об успеваемости обучаемых от модификации и т.д. и т.п.)

Отсюда следует, что согласно этого Порядка классификации все ИС, в которых осуществляется обработка персональных данных, должны быть отнесены к специальным ИС, а типовых ИС согласно Закону быть не может.

Алгоритм определения класса ИС ПДн установлен только для типовых ИС (п. 14 и 15 Порядка), а для специальных ИС класс должен устанавливаться на основании модели угроз (п. 16 Порядка классификации). Однако ни в этом документе, ни в других документах ФСТЭК России, определяющих требования по защите ПДн («Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных», «Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных» и др.), никакого алгоритма (критериев) отнесения специальных систем к тому или иному классу не приводится.

Вывод: типовых ИС ПДн быть не может, а критерии и порядок классификации специальных ИС ПДн не установлены. Таким образом, механизм классификации в настоящее время реализовать на практике невозможно.