вторник, 2 октября 2012 г.

СЗПДн. Проектирование. Сертифицированные ОС


В сегодняшней заметке хотелось бы уделить внимание сертифицированным в системе ФСТЭК России операционным системам, использующимся в качестве средств защиты информации, на примере ОС семейства Microsoft Windows.

В большинстве случаев сертификация ОС в системе сертификации ФСТЭК России применяется не для уменьшения рисков ИБ, поэтому проводить экспресс анализ рисков, как в предыдущих заметках, смысла нет.

А вот для уменьшения регуляторных рисков, то есть для выполнения требований законодательства, данная мера применяется очень часто (разрабатываемые в данный момент постановления правительства, о которых я писал ранее, могут уменьшить область применения сертифицированных ОС).

Посмотрим, для выполнения, каких требований используется сертификация ОС.
1.        152-ФЗ о ПДн статья 19:
“2. Обеспечение безопасности персональных данных достигается, в частности:
3) применением прошедших в установленном порядке процедуру оценки соответствия средств защиты информации;”

2.       ПП 781:
“5. Средства защиты информации, применяемые в информационных системах, в установленном порядке проходят процедуру оценки соответствия.
18. Результаты оценки соответствия и (или) тематических исследований средств защиты информации, предназначенных для обеспечения безопасности персональных данных при их обработке в информационных системах, оцениваются в ходе экспертизы, осуществляемой Федеральной службой по техническому и экспортному контролю и Федеральной службой безопасности Российской Федерации в пределах их полномочий.
19. К средствам защиты информации, предназначенным для обеспечения безопасности персональных данных при их обработке в информационных системах, прилагаются правила пользования этими средствами, согласованные с Федеральной службой по техническому и экспортному контролю и Федеральной службой безопасности Российской Федерации в пределах их полномочий.”

3.       Приказ ФСТЭК России №58. Положение:
“2.2. В системе защиты персональных данных информационной системы в зависимости от класса информационной системы и исходя из угроз безопасности персональных данных, структуры информационной системы, наличия межсетевого взаимодействия и режимов обработки персональных данных с использованием соответствующих методов и способов защиты информации от несанкционированного доступа реализуются функции управления доступом, регистрации и учёта, обеспечения целостности,…. Методы и способы защиты информации от несанкционированного доступа, обеспечивающие функции управления доступом, регистрации и учёта, обеспечения целостности, … в зависимости от класса информационной системы определяются оператором (уполномоченным лицом) в соответствии с приложением к настоящему Положению.”

4.       Приказ ФСТЭК России №58. Приложение к положению:
“2.1. Для информационных систем 3 класса при однопользовательском режиме обработки персональных данных применяются следующие основные методы и способы защиты информации:
а) управление доступом:
- идентификация и проверка подлинности пользователя при входе в систему информационной системы по паролю условно-постоянного действия длиной не менее шести буквенно-цифровых символов;
б) регистрация и учет:
- регистрация входа (выхода) пользователя в систему (из системы) либо регистрация загрузки и инициализации операционной системы и ее программного останова. Регистрация выхода из системы или останова не проводится в моменты аппаратурного отключения информационной системы. В параметрах регистрации указываются дата и время входа (выхода) пользователя в систему (из системы) или загрузки (останова) системы;
в) обеспечение целостности:
- обеспечение целостности программных средств системы защиты персональных данных, обрабатываемой информации, а также неизменность программной среды. При этом целостность программных средств проверяется при загрузке системы по наличию имен (идентификаторов) компонентов системы защиты персональных данных, целостность программной среды обеспечивается отсутствием в информационной системе средств разработки и отладки программ;
2.2. Для информационных систем 3 класса при многопользовательском режиме обработки персональных данных и равных правах доступа к ним пользователей применяются следующие основные методы и способы защиты информации:
--//--
2.3. Для информационных систем 3 класса при многопользовательском режиме обработки персональных данных и разных правах доступа к ним пользователей применяются следующие основные методы и способы защиты информации:
--//--
3.1. Для информационных систем 2. класса при однопользовательском режиме обработки персональных применяются все методы и способы защиты информации от несанкционированного доступа, соответствующие информационным системам 3 класса при однопользовательском режиме обработки.
3.2. Для информационных систем 2 класса при многопользовательском режиме обработки персональных данных и равных правах доступа к ним пользователей применяются все методы и способы защиты информации от несанкционированного доступа, соответствующие информационным системам 3 класса при многопользовательском режиме обработки персональных данных и равных правах доступа к ним пользователей.
3.3. Для информационных систем 2 класса при многопользовательском режиме обработки персональных данных и разных правах доступа к ним пользователей реализуются все методы и способы защиты информации от несанкционированного доступа, соответствующие информационным системам 3 класса при многопользовательском режиме обработки персональных данных и разных правах доступа к ним пользователей.”

5.       СТР-К:
“Для управления, контроля защищенности ЛВС и управления системных ресурсов в ЛВС, включая управление средствами защиты информации, обрабатываемой (хранимой, передаваемой) в ЛВС, должны использоваться соответствующие сертифицированные по требованиям безопасности информации средства защиты”

Возможными вариантами выполнения данных требований является использование накладных или сертифицированных СЗИ от НСД либо сертификация ОС.
В область охвата попадают все Операторы ПДн , все АС обрабатывающие конфиденциальную информацию в государственных организациях.

Важным плюсом варианта сертификации ОС является минимальная стоимость по сравнению с другими средствами защиты от НСД. Этим и обусловлена его популярность – можно создать СЗПДн с минимальным бюджетом.

Рассмотрим другие особенности, которые надо учитывать, выбирая или не выбирая данную меру:
·         Ваши лицензии на ОС должны входить в то подмножество, которое в принципе, возможно, сертифицировать  - OLP, OV, OVS, EA, EAS, OEM, DOEM, русские версии, из перечня сертифицированных ОС .   Если у вас какие-то проблемы с лицензиями (например, используются версии Home) придется приобретать ещё и лицензии на ОС;

·         На сертификацию необходимо предоставить все официальные дистрибутивы Windows, с которых производилась установка. Дистрибутивы должны полностью соответствовать  имеющимся лицензиям.  Если у вас лицензии OEM, а ставили с дистрибутива от OLP – сертификация невозможна, покупаем новые лицензии. Если у вас 100 OEM лицензий, а дисков OEM сохранилось только 1 - сертификация остальных невозможна, покупаем новые лицензии. По моей практике – лучше всего когда есть корпоративная лицензия, но и тогда как правила закупается несколько официальных дистрибутивов от Microsoft.

·         Если на предыдущих этапах нам пришлось закупить новые дистрибутивы Windows от Microsoft (а чаще всего так и бывает), то с этих сертифицированных дистрибутивов потребуется провести переустановку ОС. Переустановка одной ОС в зависимости от перечня корпоративного ПО и служебных библиотек займет от 4 часов до нескольких дней. А это уже на порядок больше чем установка накладного СЗИ от НСД и это надо учитывать при сравнении стоимости решений.

·         Если речь идет о сертификации ОС сервера, то добавляется ещё несколько дополнительных затрат. Если используются сервисы Microsoft (AD, файловый сервис и другие попадающие под лицензирование CAL) то необходимо приобретение пакетов сертифицированного клиентского доступа (сертификация CAL). Если используются сервисы терминального доступа Microsoft, то необходимо приобретение  пакетов сертифицированного терминального клиентского доступа (сертификация Terminal CAL). Приведенные пакеты могут существенно повысить стоимость решения.

·         Если количество сертифицированных ОС велико (более 50), необходимо закладывать систему централизованного управления контролем и настройкой сертифицированных ОС – Net Check. Это тоже небольшое увеличение стоимости.
·         Теперь о хорошем – ухудшение работы ИС от добавления СЗИ минимальное. Функция контроля целостности настраивается за пару минут и отрабатывает при запуске ОС.

·         Применение политик безопасности (в частности по управлению доступом). Не накладывает на нас никаких ограничений. Хотим – применяем те же политики, что были до сертификации. Хотим – используем как рекомендации защищенные шаблоны от Microsoft. Только длину пароля сделаем не менее 6 символов и ведение журналов ОС отключать не будем.

·         Обновление ОС. Особых проблем не вызывает, хотя приходится отключать автоматическую загрузку обновлений с сайта Microsoft. Во первых решает проблему Net Check – который централизованно распространяет обновления по всем сертифицированным ОС.  Во вторых не будет нарушением использование WSUS, если вы перед распространением новых обновлений проверяете их на соответствие контрольным суммам сертифицированных обновлений с сайта алтекс-софта (если в компании отлажена процедура работы с обновлениями, то добавить такую операцию не проблема). Задержка в сертификации обновлений 2-4 недели.

·         В связи с выходом версии Seven_Check+  появились дополнительные возможности по анализу защищенности ОС и ПО, контролю соответствия международным стандартам и лучшим практикам, контролю сетевой активности ПО.

Приведенные выше особенности надо учитывать при проектировании защиты  сертифицированными СЗИ от НСД. В определенных условиях (всё идеально с лицензиями Microsoft и официальными дистрибутивами, необходимо минимальное вмешательство в работу КИС) сертификация ОС будет лучшим выбором.  В других ситуациях – можно проиграть в суммарных затратах и необходимости существенно вмешиваться в работу КИС.


Комментариев нет: