Архитектура системы защиты персональных данных. Подсистема межсетевого экранирования © ОАО «ЭЛВИС-ПЛЮС», 2010 г., Ростислав Рыжков ОАО «ЭЛВИС-ПЛЮС» 2010 год

ВОПРОСЫ ПРЕЗЕНТАЦИИ Регуляторы о системе защиты персональных данных. Требования к средствам ИБ, применяемых в подсистемах Примеры решений Подсистема межсетевого экранирования, ее специфика и место в СЗПДн Как традиционно выглядит подсистема МЭ, и почему Проблемы ПМЭ для малых и больших ИС Управление ПМЭ, инфраструктура и обеспечивающие сервисы. Практика решений. Презентация нацелена на операторов персональных данных, в том числе и не имеющих достаточного опыта в вопросах информационной безопасности

Требования регуляторов ясно определяют состав ИСПДн и требования к ее подсистемам Регуляторы о системе защиты персональных данных Регуляторы о системе защиты персональных данных Подсистемы СЗПДн Предусмотрены однопользовательский и многопользовательский режимы обработки данных в ИСПДн, во втором случае – с равными либо разными правами доступа Подсистема управления доступом Подсистема регистрации и учета Подсистема обеспечения целостности Подсистема антивирусной защиты Подсистема обнаружения вторжений Подсистема криптографической защиты Подсистема защиты ПДн от утечки за счет ПЭМИН ПОДСИСТЕМЫ:

Требования к средствам ИБ, применяемых в подсистемах, и примеры решений Рекомендации регуляторов по архитектуре СЗПДн. Подсистемы СЗПДн ПодсистемыТребования Регистрации и учета Регистрация запросов на получение ПДн и их предоставления в электронном журнале, защита данных регистрации Обеспечения целостности Резервное копирование ПДн на отчуждаемые носители в ИСПДн К1 иК2, с разными правами пользователей Антивирусной защиты Антивирусное ПО должно быть сертифицировано по требованиям соответствующего уровня контроля НДВ, а также на соответствие ТУ с требованиями не ниже соответствующего класса ИСПДн Обнаружения вторжений Мероприятия по обнаружению вторжений в ИСПДн в соответствии с требованиями НД ФСБ. Для ИСПДн 3 класса рекомендуеются СОВ, использующие сигнатурные методы, для ИСПДН 1 и 2 класса – СОВ, использующие также методы выявления аномалий.

Далее - о двух последних подсистемах Требования к средствам ИБ, применяемых в подсистемах, и примеры решений Рекомендации регуляторов по архитектуре СЗПДн. Подсистемы СЗПДн ПодсистемыТребования Защиты ПДн от утечки за счет ПЭМИН К2- в соответствии стандартам по ЭМС и санитарным нормам, К1- по СТР-К Криптографической защиты Шифрование ПДн в каналах связи и на съёмных носителях, в ИСПДн К1, с равными и разными правами пользователей Управления доступом Межсетевые экраны от 5 до 3 класса

В системах, где АРМ или ЛВС объединены средствами связи. Необходимость криптографической защиты возникает при передаче информации в среду, в которой она может оказаться доступной нарушителю (незащищенные от НСД средства хранения информации, каналы связи) В системах, в которых в соответствии с моделью угроз возможно наличие инсайдера, а безопасность хранения и обработки не может быть гарантированно обеспечена другими средствами Подсистема криптографической защиты Когда использовать криптографию? Решение о необходимости защиты ПДн с использованием криптографических средств принимается оператором в криптографической подсистеме……… должны использоваться сертифицированные средства криптографической защиты Шифрование файлов и папок не проблема – имеется много инструментов Шифрование баз данных – также решаемо.

Конечно, подсистема включает не только МЭ, но регуляторы обращают внимание именно на них Подсистема управления доступом Межсетевые экраны В зависимости от класса ИСПДн (1- 4 классы) и режима обработки данных (однопользовательский, многопользовательский) должны использоваться межсетевые экраны, сертифицированные ФСТЭК по классам от 5 до 3 (для межсетевых экранов) Пример текста в сертификате: «…по 3 классу для МЭ и по 3 уровню НДВ (может использоваться для защиты информации в ИСПДн до 1 класса включительно)» ПОДРОБНОСТИ reestr_sszi.xls

Fire wall, он же – Брандмауэр 200 лет назад Fire wall, он же – Брандмауэр 200 лет назад Сегодня так называют межсетевой экран БРАНДМАУЭР Стена из несгораемого материала, разделяющая смежные строения или части одного строения в противопожарных целях

Традиционные средства межсетевого экранирования Cisco Secure Private Internet Exchange (PIX) Firewall Firewalls D-Link CheckPoint Connectra Даже если снаружи все горит – у нас покой и порядок. В чем же проблема?

Наличие сертификата - как будто и не обязательно Требования регуляторов к межсетевым экранам и другим средствам защиты «Средства защиты информации, применяемые в информационных системах, в установленном порядке проходят процедуру оценки соответствия» Постановление Правительства РФ от г. 781, п.5 Прямой нормы, определяющей понятие «оценка соответствия» применительно к средствам защиты ПДн– нет, это порождает много вопросов, связанных с порядком такой оценки. Для разрешения проблемы юристы предлагают проверенный метод – применить аналогию закона (ст. 6 ГК РФ)

НО! Наличие сертификата позволяет избежать экспертизы результатов оценки соответствия во ФСТЭК или ФСБ России Требования регуляторов к межсетевым экранам и другим средствам защиты Для защиты персональных данных возможно применение не сертифицированных СЗИ, оценка соответствия которых осуществлена в форме декларирования соответствия. Порядок оценки соответствия устанавливается на основании стандартов (например, ГОСТ ), устанавливающих порядок ввода в эксплуатацию ИС, а саму оценку необходимо проводить на соответствие выполняемых средством защиты функций, предусмотренных «Положением о методах и способах защиты информации в информационных системах персональных данных ». Завершить работы по оценке надо проведением экспертизы результатов во ФСТЭК или ФСБ России

Если уж применение межсетевых экранов в ИСПДн обязательно, хотелось бы иметь необходимую функциональность и минимум хлопот. Межсетевые экраны для малых информационных систем Чего хотят владельцы малых ИСПДн? Функции управление доступом (фильтрация и преобразование фильтруемой информации) на сетевом уровне идентификация и аутентификация хостов и пользователей регистрация и учет администрирование Дополнительные требования Простота установки и администрирования невысокая стоимость соответствие требованиям регуляторов Недорогие межсетевые экраны – от 7000 рублей? Вспомним про экспертизу результатов оценки соответствия во ФСТЭК или ФСБ России

Серьезная проблема крупных ИСПДн – администрирование сотен и тысяч межсетевых экранов Межсетевое экранирование в крупных информационных системах Что необходимо в крупных ИСПДН? Требования Соответствие требованиям регуляторов Эффективное, желательно централизованное, обновление ПО МЭ Простое, желательно централизованное администрирование Совместная работа с МЭ разных производителей Строгая аутентификация агентов Взаимодействие с агентами по защищенному каналу Протоколирование и анализ состояния агентов и событий сети Проблемы Наличие значительного числа квалифицированных администраторов Большие трудозатраты специалистов на обслуживание МЭ Содержательные журналы событий сетевой безопасности и средства их анализа

Проблемы начинаются, когда межсетевых экранов в ИСПДн становится много Организация работы межсетевых экранов Организация работы межсетевых экранов Инфраструктура и обеспечивающие сервисы Что понадобитсяКак обеспечить Сертификаты цифрового ключа Организовать собственный удостоверяющий центр, или получать ключи в стороннем УЦ Криптопровайдер Входит в комплект поставки МЭ либо приобретается отдельно Политики безопасности и правила доступа Правила доступа определяются владельцами ИСПДн (администраторами), соответствующие политики генерируются программно и устанавливаются на МЭ Услуги администратора (администраторов) Силами собственных специалистов, или привлекая сторонних (аутсоурсинг) Инструменты администрирования и управления

Лидеры рынка безопасности решают задачи администрирования и управления сетей и информационных систем с помощью специализированных инструментов Инструменты администрирования и управления

В больших ИСПДн критически важно централизованное, удаленное управление межсетевыми экранами и средствами безопасности Межсетевые экраны. Задачи администрирования и управления Генерация глобальной и локальных политик безопасности (ГПБ, ЛПБ) Доставка ЛПБ на управляемые межсетевые экраны, ее активация и дезактивация Мониторинг и журналирование событий безопасности на управляемых МЭ Мониторинг статуса управляемых устройств и его оперативное изменение в случае необходимости

Подробнее – вчера, 14:40 – 15:00 «Централизованное управление сетевой безопасностью в распределенных информационных системах» и сегодня, здесь. Межсетевые экраны. Администрирование и управление Эффективно работает с агентами. В перспективе – до агентов Управляет как собственными Агентами, так и маршрутизаторами Cisco, межсетевыми экранами Cisco PIX, и устройствами Check Point VPN-1/FireWall-1 Удаленно взаимодействует с агентами через Интернет по защищенному каналу Обеспечивает удаленное обновление ПО собственных АгентовАгентов

Спасибо за внимание ! , МОСКВА, Зеленоград, Центральный проспект, 11 тел , факс