воскресенье, 29 июля 2012 г.

СОИБ. Проектирование. Мобильные рабочие места 2


Через непродолжительное время после выхода предыдущей статьи про мобильные рабочие места, 19 июля прошел партнерский семинар Застава и Aladdin, на кортом было представлено новое решение на эту тему. Решил написать о нем пару слов и добавить в сравнение.

Решение основано на трех уже существующих и сертифицированных продуктах:
·        Альт Линукс СПТ 6.0 – операционная система, сертифицированная в системе ФСТЭК России на соответствие РД “показатели защиты от НСД” по 4 классу защищенности, на соответствие РД “классификация по отсутствию НДВ” по 3 уровню контроля (походит для 1В и К1);
·        VPN/FW «ЗАСТАВА» 5.3 Офис – криптошлюз, сертифицированный в системе ФСБ России, на соответствие классам КС1-КС2; сертифицированный в системе ФСТЭК России, на соответствие РД “…Межсетевые экраны…” по 2 классу защищённости,  на соответствие РД “классификация по отсутствию НДВ” по 3 уровню контроля.
·        VPN/FW «ЗАСТАВА» 5.3 Клиент – VPN клиент, сертифицированный в системе ФСБ России, на соответствие классам КС1-КС2; сертифицированный в системе ФСТЭК России, на соответствие РД “…Межсетевые экраны…” по 2 классу защищённости,  на соответствие РД “классификация по отсутствию НДВ” по 3 уровню контроля.
·        Комбинированный электронный ключ eToken NG-FLASH - комбинированный  программно-аппаратный комплекс аутентификации и защищенного носителя данных, сертифицированный в системе ФСТЭК России, на соответствие Заданию по безопасности по ОУД 2, на соответствие РД “классификация по отсутствию НДВ” по 4 уровню контроля (походит для 1Г и К1).

Идея достаточно проста: устанавливаем в защищенную от записи область eToken NG-FLASH операционную систему Альт Линукс и клиент Застава. Далее берем эту флешку в командировки, поездки, домой и из любого места подключаемся в корпоративную сеть к корпоративным приложениям.

Про позиционирование таких устройств я подробно расписывал в предыдущей статье. 

Имеющиеся сертификаты продуктов в составе решения позволяют использовать его в АС до 1В и ИСПДн до К1 включительно.

Расширенное сравнение мобильных АРМ + типовой шифрованный носитель и продвинутое решение SSL VPN



вторник, 24 июля 2012 г.

СЗПДн. Анализ. Сколько сотрудников необходимо для организации обработки и обеспечения безопасности ПДн (UPD)


Ни  для кого не секрет, что федеральный закон 152-ФЗ “О персональных данных” и подзаконные акты требуют от Оператора ПДн выполнения определенных мероприятий и соответственно накладывают на него дополнительные затраты: приобретение оборудования, оплата услуг консультантов, зарплата дополнительным сотрудникам.

В данной заметке хочу опустить разовые затраты Оператора на разработку первоначального комплекта документов и первоначального внедрения системы защиты персональных данных.

Пусть эти работы уже проведены, внедрена СЗПДн, комплект документов по ПДн в наличие. На этом затраты Оператора связанные с 152-ФЗ закончились?

Нет. В ИСПДн постоянно происходят изменения: появляются новые формы отчетности, появляется необходимость информационного взаимодействия, меняется системное и прикладное ПО, увольняются сотрудники, устраиваются на работу новые, выходит из эксплуатации техника и закупается новая. В связи со всеми изменениями ИСПДн законодательство требует принятия определенных мер.

Уже внедренные средства защиты требуют ещё определенных действий в рамках их эксплуатации и изменениях в ИСПДн.

Если вы планируете начать обрабатывать ПДн или если вы уже обрабатываете ПДн, но до выполнения требований руки дошли только сейчас - удобно иметь под рукой оценку будущих затрат.

Для определенности был взят оператор ПДн имеющий 100 пользователей ПДн и обрабатывающий данные 50000 субъектов ПДн. В расчете сделано предположение, что в рамках эксплуатации ИСПДн оператор не использует аутсорсинг, не поручает обработку, не использует специализированные систему управления ПДн, централизованные системы управления ИБ.
Получаем следующий расчет трудозатрат в год в часах.


Всего получается трудозатрат в год = 5670 часов или 5670/1920 = 2.95 ~= 3 сотрудника. То есть в нашем примере получается, что надо нанять дополнительно 3 сотрудников. В деньгах это 60000 (стоимость владения сотрудником в регионах) * 12 * 3 = 2 160 000 руб. в год. И 120000 (стоимость владения сотрудником в Москве) * 12 * 3 = 4 320 000 руб. в год.

Если отметить что трудозатраты на мероприятия 1-24 пропорциональны количеству пользователей ИСПДн, а трудозатраты на мероприятия 25-38 пропорциональны количеству субъектов ПДн получаем примерную формулу для других организаций:

Трудозатраты на выполнение 152-ФЗ при эксплуатации в год = 2260*X + 3410*Y часов (где X = количество пользователей ИСПДн/100,  Y = количество обрабатываемых субъектов ПДн/50000).

Готов рассмотреть предложения и замечания. Если интересует большая детализация расчета для использования в конкретной задаче, пишите в личку с указанием организации и задачи - поделюсь.

UPD. Для реализации "метода Дельфи" необходимо ещё 2 эксперта, которые готовы будут поучаствовать в оценке типовых трудозатрат.

понедельник, 16 июля 2012 г.

СОИБ. Анализ. Государственные информационные системы и информационные системы критически важных объектов (UPD)


13 июля ФСТЭК России опубликовал на своем сайте Проект федерального закона "О внесении изменений в Федеральный закон 149-ФЗ "Об информации, информационных технологиях и о защите информации"

Планируется придать 2 новых толчка обеспечению ИБ (в дополнение к активно развивающейся защите персональных данных и платежных систем):
·        Защита информации в государственных информационных системах (ГИС)
·        Защита информации в информационных системах критически важных объектов (ИСКВО)

1.           В направлении защиты ГИС добавляются следующие требования к необходимым мероприятиям:
·        анализ уязвимостей и угроз (типа аудита ИБ)
·        разработка и реализация системы защиты информации  (типа проектирования СЗИ)
·        оценка соответствия системы защиты информации  (типа аттестации)  
·        применение средств защиты информации прошедших процедуру оценку соответствия (типа сертификации)
·        назначение ответственных за ЗИ
·        разработка политики обеспечения ЗИ
·        анализ и реагирование на инциденты ИБ
·        резервирование
·        контроль выполнения требований
Требования должны выполняться на всех стадиях создания и эксплуатации систем. То есть владельцы уже действующих систем обязаны будут выполнять мероприятия.
Детализацию требований устанавливает ФСТЭК Р и ФСБ Р. (Частично требования для защиты информации в ГИС уже есть  - см. ниже., но можно ожидать дополнительных документов)

Защита информации в ГИС детализируется также следующими нормативными актами:

·        Указ Президента Российской Федерации от 17 марта 2008 года N 351 «О мерах по обеспечению информационной безопасности Российской Федерации при использовании информационно-телекоммуникационных сетей международного информационного обмена»

(подключение ГИС к сети интернет через шлюзы,  сертификация, оценка соответствия СрЗИ)

·        Постановление Правительства Российской Федерации от 18 мая 2009 г. N 424 "Об особенностях подключения федеральных государственных информационных систем к информационно-телекоммуникационным сетям”
(защита от НСД, от DDoS, обеспечение непрерывности, оценка соответствия СрЗИ)
·        Приказ Федеральной службы безопасности Российской Федерации, Федеральной службы по техническому и экспортному контролю от 31 августа 2010 г. N 416/489 "Об утверждении Требований о защите информации, содержащейся в информационных системах общего пользования"
·        Приказ ФСТЭК России от 6 декабря 2011 г. N 638  “Об утверждении Требования к системам обнаружения вторжений”
(ГИС – СОВ 4 класса защиты)
·        Приказ Минкомсвязи от 25 августа 2009 г. N 104 "Об утверждении Требований по обеспечению целостности, устойчивости функционирования и безопасности информационных систем общего пользования"
(Межсетевые экраны, ИБП, резервирование и т.п. по аналогии с двойственным приказом ФСБ/ФСТЭК 416/489)
·        Приказ Минкомсвязи "Об утверждении Требований к информационным системам электронного документооборота федеральных органов исполнительной власти, учитывающих, в том числе необходимость обработки посредством данных систем служебной информации ограниченного распространения"


Проблема 1. Непонятно, легитимны ли требования по ЗИ из 2-х приказов Минкомсвязи? Так как в 149-ФЗ утверждено, что требования к ЗИ в ГИС устанавливают ФСБ Р и ФСТЭК Р.
Часть требований по ЗИ в ГИС устанавливается так-же в постановлениях правительства РФ, касающихся данного типа ГИС. Например, система территориального планирования. В требованиях к которой напрямую говорится о сертификатах СрЗИ.


2.           В направлении защиты ИСКВО предъявляются только следующие требования:
·        защита от НСД
·        защита и резервирование технических средств
·        реагирование на инциденты
·        обеспечение непрерывности ИСКВО
Требования должны выполняться на всех стадиях создания и эксплуатации систем. То есть владельцы уже действующих систем обязаны будут выполнять мероприятия.
Порядок классификации устанавливает Правительство РФ.  (этот документ будем ждать)
Детализацию требований устанавливает ФСТЭК Р и ФСБ Р. (уже есть серия документов ФСТЭК от 18 мая 2007 года по КСИИ: базовая модель угроз, методика определения актуальных угроз и общие требования по обеспечению ИБ в КСИИ. Но они не опубликованы. Так что можно ожидать нового комплекта документов)


Проблема 2. В федеральном законе нет определения критически важного объекта. Да, определение есть в документе Совета безопасности, но какую он имеет силу. А определения информационной системы критически важного объекта нет ни в нем ни в 149-ФЗ. А вопрос важный. К каким из сотни информационных систем на объекте относятся данные требования?

Заметка по этой теме у Лукацкого

пятница, 6 июля 2012 г.

СОИБ. Проектирование. Виртуальные мобильные рабочие места


В сегодняшней заметке хотелось бы уделить внимание решениям типа Защищенные мобильные виртуальные рабочие места на базе съемного USB носителя.
Написать данную заметку меня сподвигла статья Андрея Комарова на Хабре, к которой я вернусь ниже.

Для кого защиты, каких объектов могут использоваться такие решения:
·        для сотрудников, которым необходимо поработать с корпоративной защищаемой информацией находясь за пределами контролируемой территории – в командировках, при работе из дома, на площадке партнера/клиента/заказчика
·        для клиентов Банков, которые подключаются к платежным системам из своих корпоративных (такие сети тоже можно считать неконтролируемыми – ведь банком они не контролируются) или домашних сетей

При такой работе становятся актуальными следующие угрозы, связанные с неконтролируемой средой:
1.      Отсутствие у пользователя необходимых сервисов и приложений для работы с защищаемой информацией. Например, пользователю удалось в командировке найти компьютер, но на нем отсутствует КриптоПро или Visio или 1С
2.      Отсутствие у пользователя прав на временном рабочем месте. Например, пользователю удалось в командировке найти компьютер в интернет кафе, но на нем очень ограничены права пользователя – недостаточны для выполнения каких-то действий
3.      Отсутствие у пользователя соединения с сетью Интернет при необходимости локальной работы с защищаемой информацией.
4.      Утечка информации в следствии утери носителя с защищаемой информацией
5.      Утечка информации в следствии оставления следов на временном рабочем месте
6.      Несанкционированный доступ в следствии наличия вредоносных программ (запись нажатия клавиш, снимки экрана, копирование временных файлов) на временном рабочем месте
7.      Несанкционированный доступ в следствии отсутствия на временном рабочем месте необходимых средств защиты (антивирус, контроль приложений, персональный межсетевой экран), что приводит к заражению вредоносными программами в процессе работы
8.      Утечка информации в следствии подключения к корпоративным приложениям по неконтролируемому каналу

Основные функции таких решений:
·        аутентификация пользователя (по паролю, OTP, сертификату) – защищает от угрозы 4
·        шифрование диска c данными – защищает от угрозы 4
·        шифрование и удаление временных файлов – защищает от угрозы 5
·        возможность локальной (работы без подключения к серверу) - защищает от угрозы 3
·        изоляция виртуального рабочего места от физического АРМ – защищает от угрозы 2, 5, 6
·        контроль защищенности физического АРМ (проверка наличия актуального антивируса и контроль других политик) - защищает от угрозы 6,7
·        защита он записи экрана - защищает от угрозы 6
·        встроенный контроль приложений (по пути к приложению и md5 хэш) - защищает от угрозы 7
·        контроль трафика (МЭ) - защищает от угрозы 7
·        встроенный VPN клиент и шифрование трафика (возможность направлять весь трафик через VPN сервер)  -  защищает от угрозы 8
·        наличие предустановленных сервисов и приложений – защищает от угрозы 1

Фактически единственным корпоративным решением типа Защищенные мобильные виртуальные рабочие места является CheckPoint GO (ранее известное как Abra).

Наиболее близко к нему по функциям приближается решение с защищенным мобильным рабочим местом, но без виртуализации, «МАРШ!» от САПР ОКБ

Так-же для сравнения включил типовой шифрованный носитель и продвинутое решение SSL VPN

Характеристики
Check Point GO
САПР ОКБ «МАРШ!»
Шифрованный USB носитель
Типовой SSL VPN
аутентификация пользователя
+
(по паролю - виртуальная клавиатура, OTP, сертификату)
+
(по паролю, сертификату)
+
(по паролю, сертификату)
+
(по паролю, сертификату)
шифрование диска c данными
+
+
+
-
шифрование и удаление временных файлов
+
+
-
-
возможность локальной работы
+
-
+
-
изоляция виртуального рабочего места от физического АРМ
+
(в зависимости от политик возможно взаимодействие)
+
(невозможно взаимодействие между защищенной ОС и существующей на физическом АРМ ОС)
-
+
контроль защищенности физического АРМ
+
(контроль наличия актуального антивируса и других политик )
-
(не требуется так как перезагружаемся в доверенную ОС. Но в защищенной ОС отсутствует антивирус)
-
+
защита он записи экрана
+
-         
(не требуется так как перезагружаемся в доверенную ОС)
-         
-         
встроенный контроль приложений
по пути к приложению и md5 хэш
-
-
-
контроль трафика (персональный МЭ)
+
-
-
+
встроенный VPN клиент и шифрование трафика
+
+
-
+
наличие предустановленных сервисов и приложений
+
(более 50 готовых пакетов приложений, возможность создания своих пакетов)
+
(предустановлен 1 набор сервисов – криптосервис, Firefox, можно установить другие приложения под Linux)
-
-
централизованное управление всеми политиками
+
-
+
+
возможные размеры носителя
4 иГб
4 Гб
любой
-
тип виртуализации
песочница типа ОС Windows XP, Vista, 7
не используется виртуализация, необходимо перезагружаться и заходить под другой ОС Linux
-
песочница типа ОС Windows XP, Vista, 7
наличие сертификатов ФСТЭК/ФСБ
-
-
-+
-+

Необходимо учитывать следующие ограничения:
·        Для работы с «МАРШ!» необходимо перезагружать компьютер и загружаться под другой ОС (в BIOS должна быть разрешена загрузка с USB)
·        В «МАРШ!» используется ОС Linux в которую можно установить не все корпоративные приложения
·        Для работы с Check Point GO необходима гостевая ОС Windows XP, Vista, 7
·        Для самых экзотических приложений может не удастся подготовить портативную версию для Check Point GO даже под ОС Windows XP, Vista, 7

А теперь о статье Андрея Комарова который подверг серьезной критике устройства Check Point GO. Конечно проведенный анализ уязвимостей заслуживает благодарности.  Но Алексей провел технический анализ и выводу получились слишком технические.

На счет запуска сторонних программ в защищенном сеансе Алексей явно забыл про возможность у решения делать хеши по md5.
На счет фишинговой атаки Алесей явно не учел, что весь трафик как правило проходит через VPN сервер и корпоративный DNS. А при подмене адреса интернет-банка HTTPS просигнализирует о несоответствии сертификата сайта.

Все приведенные им сценарии атак были рассчитаны на то, что пользователь сам начнет взламывать свою защищенную систему и пытаться выйти за рамки ограничений.
В тоже время в перечне актуальных угроз, для защиты от которых предназначено решение – приведены совершенно другие угрозы: потеря флешки, оставление следов, случайный запуск пользователем не доверенных программ, незащищенные каналы передачи данных, отсутствие прав и программ. С защитой от этих угроз решение GO отлично справляется.