СЗПДн. Проектирование. Сертифицированные ОС


В сегодняшней заметке хотелось бы уделить внимание сертифицированным в системе ФСТЭК России операционным системам, использующимся в качестве средств защиты информации, на примере ОС семейства Microsoft Windows.

В большинстве случаев сертификация ОС в системе сертификации ФСТЭК России применяется не для уменьшения рисков ИБ, поэтому проводить экспресс анализ рисков, как в предыдущих заметках, смысла нет.

А вот для уменьшения регуляторных рисков, то есть для выполнения требований законодательства, данная мера применяется очень часто (разрабатываемые в данный момент постановления правительства, о которых я писал ранее, могут уменьшить область применения сертифицированных ОС).

Посмотрим, для выполнения, каких требований используется сертификация ОС.
1.        152-ФЗ о ПДн статья 19:
“2. Обеспечение безопасности персональных данных достигается, в частности:
3) применением прошедших в установленном порядке процедуру оценки соответствия средств защиты информации;”

2.       ПП 781:
“5. Средства защиты информации, применяемые в информационных системах, в установленном порядке проходят процедуру оценки соответствия.
18. Результаты оценки соответствия и (или) тематических исследований средств защиты информации, предназначенных для обеспечения безопасности персональных данных при их обработке в информационных системах, оцениваются в ходе экспертизы, осуществляемой Федеральной службой по техническому и экспортному контролю и Федеральной службой безопасности Российской Федерации в пределах их полномочий.
19. К средствам защиты информации, предназначенным для обеспечения безопасности персональных данных при их обработке в информационных системах, прилагаются правила пользования этими средствами, согласованные с Федеральной службой по техническому и экспортному контролю и Федеральной службой безопасности Российской Федерации в пределах их полномочий.”

3.       Приказ ФСТЭК России №58. Положение:
“2.2. В системе защиты персональных данных информационной системы в зависимости от класса информационной системы и исходя из угроз безопасности персональных данных, структуры информационной системы, наличия межсетевого взаимодействия и режимов обработки персональных данных с использованием соответствующих методов и способов защиты информации от несанкционированного доступа реализуются функции управления доступом, регистрации и учёта, обеспечения целостности,…. Методы и способы защиты информации от несанкционированного доступа, обеспечивающие функции управления доступом, регистрации и учёта, обеспечения целостности, … в зависимости от класса информационной системы определяются оператором (уполномоченным лицом) в соответствии с приложением к настоящему Положению.”

4.       Приказ ФСТЭК России №58. Приложение к положению:
“2.1. Для информационных систем 3 класса при однопользовательском режиме обработки персональных данных применяются следующие основные методы и способы защиты информации:
а) управление доступом:
- идентификация и проверка подлинности пользователя при входе в систему информационной системы по паролю условно-постоянного действия длиной не менее шести буквенно-цифровых символов;
б) регистрация и учет:
- регистрация входа (выхода) пользователя в систему (из системы) либо регистрация загрузки и инициализации операционной системы и ее программного останова. Регистрация выхода из системы или останова не проводится в моменты аппаратурного отключения информационной системы. В параметрах регистрации указываются дата и время входа (выхода) пользователя в систему (из системы) или загрузки (останова) системы;
в) обеспечение целостности:
- обеспечение целостности программных средств системы защиты персональных данных, обрабатываемой информации, а также неизменность программной среды. При этом целостность программных средств проверяется при загрузке системы по наличию имен (идентификаторов) компонентов системы защиты персональных данных, целостность программной среды обеспечивается отсутствием в информационной системе средств разработки и отладки программ;
2.2. Для информационных систем 3 класса при многопользовательском режиме обработки персональных данных и равных правах доступа к ним пользователей применяются следующие основные методы и способы защиты информации:
--//--
2.3. Для информационных систем 3 класса при многопользовательском режиме обработки персональных данных и разных правах доступа к ним пользователей применяются следующие основные методы и способы защиты информации:
--//--
3.1. Для информационных систем 2. класса при однопользовательском режиме обработки персональных применяются все методы и способы защиты информации от несанкционированного доступа, соответствующие информационным системам 3 класса при однопользовательском режиме обработки.
3.2. Для информационных систем 2 класса при многопользовательском режиме обработки персональных данных и равных правах доступа к ним пользователей применяются все методы и способы защиты информации от несанкционированного доступа, соответствующие информационным системам 3 класса при многопользовательском режиме обработки персональных данных и равных правах доступа к ним пользователей.
3.3. Для информационных систем 2 класса при многопользовательском режиме обработки персональных данных и разных правах доступа к ним пользователей реализуются все методы и способы защиты информации от несанкционированного доступа, соответствующие информационным системам 3 класса при многопользовательском режиме обработки персональных данных и разных правах доступа к ним пользователей.”

5.       СТР-К:
“Для управления, контроля защищенности ЛВС и управления системных ресурсов в ЛВС, включая управление средствами защиты информации, обрабатываемой (хранимой, передаваемой) в ЛВС, должны использоваться соответствующие сертифицированные по требованиям безопасности информации средства защиты”

Возможными вариантами выполнения данных требований является использование накладных или сертифицированных СЗИ от НСД либо сертификация ОС.
В область охвата попадают все Операторы ПДн , все АС обрабатывающие конфиденциальную информацию в государственных организациях.

Важным плюсом варианта сертификации ОС является минимальная стоимость по сравнению с другими средствами защиты от НСД. Этим и обусловлена его популярность – можно создать СЗПДн с минимальным бюджетом.

Рассмотрим другие особенности, которые надо учитывать, выбирая или не выбирая данную меру:
·         Ваши лицензии на ОС должны входить в то подмножество, которое в принципе, возможно, сертифицировать  - OLP, OV, OVS, EA, EAS, OEM, DOEM, русские версии, из перечня сертифицированных ОС .   Если у вас какие-то проблемы с лицензиями (например, используются версии Home) придется приобретать ещё и лицензии на ОС;

·         На сертификацию необходимо предоставить все официальные дистрибутивы Windows, с которых производилась установка. Дистрибутивы должны полностью соответствовать  имеющимся лицензиям.  Если у вас лицензии OEM, а ставили с дистрибутива от OLP – сертификация невозможна, покупаем новые лицензии. Если у вас 100 OEM лицензий, а дисков OEM сохранилось только 1 - сертификация остальных невозможна, покупаем новые лицензии. По моей практике – лучше всего когда есть корпоративная лицензия, но и тогда как правила закупается несколько официальных дистрибутивов от Microsoft.

·         Если на предыдущих этапах нам пришлось закупить новые дистрибутивы Windows от Microsoft (а чаще всего так и бывает), то с этих сертифицированных дистрибутивов потребуется провести переустановку ОС. Переустановка одной ОС в зависимости от перечня корпоративного ПО и служебных библиотек займет от 4 часов до нескольких дней. А это уже на порядок больше чем установка накладного СЗИ от НСД и это надо учитывать при сравнении стоимости решений.

·         Если речь идет о сертификации ОС сервера, то добавляется ещё несколько дополнительных затрат. Если используются сервисы Microsoft (AD, файловый сервис и другие попадающие под лицензирование CAL) то необходимо приобретение пакетов сертифицированного клиентского доступа (сертификация CAL). Если используются сервисы терминального доступа Microsoft, то необходимо приобретение  пакетов сертифицированного терминального клиентского доступа (сертификация Terminal CAL). Приведенные пакеты могут существенно повысить стоимость решения.

·         Если количество сертифицированных ОС велико (более 50), необходимо закладывать систему централизованного управления контролем и настройкой сертифицированных ОС – Net Check. Это тоже небольшое увеличение стоимости.
·         Теперь о хорошем – ухудшение работы ИС от добавления СЗИ минимальное. Функция контроля целостности настраивается за пару минут и отрабатывает при запуске ОС.

·         Применение политик безопасности (в частности по управлению доступом). Не накладывает на нас никаких ограничений. Хотим – применяем те же политики, что были до сертификации. Хотим – используем как рекомендации защищенные шаблоны от Microsoft. Только длину пароля сделаем не менее 6 символов и ведение журналов ОС отключать не будем.

·         Обновление ОС. Особых проблем не вызывает, хотя приходится отключать автоматическую загрузку обновлений с сайта Microsoft. Во первых решает проблему Net Check – который централизованно распространяет обновления по всем сертифицированным ОС.  Во вторых не будет нарушением использование WSUS, если вы перед распространением новых обновлений проверяете их на соответствие контрольным суммам сертифицированных обновлений с сайта алтекс-софта (если в компании отлажена процедура работы с обновлениями, то добавить такую операцию не проблема). Задержка в сертификации обновлений 2-4 недели.

·         В связи с выходом версии Seven_Check+  появились дополнительные возможности по анализу защищенности ОС и ПО, контролю соответствия международным стандартам и лучшим практикам, контролю сетевой активности ПО.

Приведенные выше особенности надо учитывать при проектировании защиты  сертифицированными СЗИ от НСД. В определенных условиях (всё идеально с лицензиями Microsoft и официальными дистрибутивами, необходимо минимальное вмешательство в работу КИС) сертификация ОС будет лучшим выбором.  В других ситуациях – можно проиграть в суммарных затратах и необходимости существенно вмешиваться в работу КИС.


Комментарии

Отправить комментарий

Популярные сообщения из этого блога

СКЗИ. НПА. Некоторые вопросы применения криптографии

Изображение
Как показывает практика, немногие организации помнят и руководствуются приказом ФАПСИ (правопреемником которой является ФСБ России) от 13 июня 2001 г. N 152 "Об утверждении Инструкции об организации и обеспечении безопасности хранения, обработки и передачи по каналам связи с использованием средств криптографической защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну ". А ведь Инструкция является обязательной при использовании сертифицированных СКЗИ для обеспечения безопасности информации ограниченного доступа (подлежащей защите в соответствии с законодательством РФ).     А это ПДн, все виды тайн, ГИСы, НПСы, будущие КИИ. С 2008 по 2012 год для ПДн действовало послабление в виде “Типовые требования по организации и обеспечению функционирования шифровальных (криптографических) средств, предназначенных для защиты информации, не содержащей сведений, составляющих государственную тайну в случае их использования для обесп
Далее...

Модель угроз безопасности клиента финансовой организации

Изображение
  Уже более 2 месяцев как вступил в силу методический документ ФСТЭК по моделированию угроз, а ни одного публичного примера модели угроз информационной безопасности сообществом не было опубликовано. Как мы обсуждали на межблогерском вебинаре по моделированию угроз ИБ , такой пример мог бы сильно помочь ответственным лицам, обязанным руководствоваться данной методикой. Пример модели угроз обещал сделать Алексей Лукацкий, но пока у него получилась серия публикаций про проблемы моделирования и примера ещё нет. В УЦСБ в рамках услуг по моделированию угроз, коллеги уже провели необходимую аналитику и подготовили внутренние средства автоматизации для разработки МУ, что уже говорит о возможности моделирования угроз по новой Методике.  К последнему межблогерскому вебинару по безопасности клиентов финансовых организаций я решил проверить насколько адекватной получится модель угроз для типового сегмента клиента ФО (а для данной статьи ещё и обновил графическое оформление). Давайте посмот
Далее...

КИИ. Категорирование объектов, часть 3

Изображение
Продолжаем проводить категорирование объекта КИИ на примере организации сферы здравоохранения. На предыдущем этапе мы выявили критические процессы организации. Теперь определяем объекты КИИ и отправляем их на согласование (этап простой и очевидный, но постараюсь добавить несколько полезных моментов) 3. Определение объектов КИИ Продолжаем начатое на прошлых этапах (а можно и совместить 1-3) общение с руководителями подразделений. Спрашиваем какие ИС или АСУ обрабатывают информацию, необходимую для обеспечения выявленных критических процессов, и (или) осуществляют управление, контроль или мониторинг критических процессов. Отдельно в ИТ подразделении получаем полный перечень ИС (он должен был готовится в рамках мероприятий по ПДн) и АСУ, совместно с ИТ выкидываем из перечня ИС, не связанные с критическими процессами (как правило, кадровые, бухгалтерские, отчетность, банк-клиенты). В результате, того, что данные об ИС и АСУ получены не из одного источника, гарантируется его
Далее...