понедельник, 26 ноября 2012 г.

СОИБ. Проектирование. Недостающий элемент С-терра


В продолжение предыдущей заметки про решения С-терра СиЭсПи в этот раз хочу написать про приятную новость от коллег по Микротест у.

В рамках одного из проектов проектировалось решение для крупного заказчика. Требовалось создать систему защищенного взаимодействия между большим количеством крупных удаленных офисов Заказчика.  Требования по пропускной способности составляли порядка 20-30 Мбит, требования к форм-фактору – desktop, потому что не во всех офисах были стойки, криптография в соответствии с законодательством – по ГОСТ.

Так как у Заказчика в основном использовалось активное сетевое оборудование и сетевые средства защиты производства Cisco Systems, оптимальным вариантом были криптошлюзы С-терра СиЭсПи.

Но в линейке криптошлюзов С-терра был большой разрыв в интересующей нас области:  самый простой шлюз С-терра CSP VPN Gate 100 – имеет производительность VPN до 10 Мбит/c. Следующий по криптошлюз Gate 1000 – имеет производительность уже до 200 Мбит/c и стоечное исполнение. Плюс Заказчик хотел получить решение дешевле Gate 1000.

В результате совместной работы инженеров С-терра СиЭсПи и Микротест было разработана новая модель криптошлюза С-терра G-1000-L-5102, которая в ближайшее время должна поступить в продажу.
Фото аппаратной платформы:



Данная модель прошла все испытания и показала производительность VPN порядка 50-100 Мбит/c.

Краткое сравнение нового криштошлюза С-терра CSP VPN Gate G-1000-L-5102 с ближайшими аналогами других производителей приведено в таблице ниже и позволяет ожидать, что новая модель займет достойное  место на рынке.
Основные характеристики
С-терра CSP VPN Gate
G-1000-L-5102
АПКШ  «Континент» IPC-25
Vipnet HW100C
Vipnet HW1000
Stonegate
FW-315-L
(с СКЗИ и серт.)
Производительность VPN по ГОСТ, до мбит/c
50
30
20
280
25
Форм-фактор
desktop
desktop
desktop
1U
desktop
Примерная рекомендованная стоимость, руб.
48 600
60 000
60 600
119 000
60 500

В ближайшее время должны появиться новости на официальных сайтах, тогда добавлю на них ссылку.  За вклад в развитие рынка средств VPN хочется сказать отдельное спасибо инженеру Микротест, Кириллу Луконину.

среда, 21 ноября 2012 г.

СЗПДн. Анализ. Информационное сообщение ФСТЭК по защите ПДн



Сегодня на сайте ФСТЭК Р было опубликовано  информационное сообщение “об особенностях защиты персональных данных при их обработке в информационных системах персональных данных и сертификации средств защиты информации, предназначенных для защиты персональных данных” от 20 ноября  2012 г. № 240/24/4669.


В нем ФСТЭК Р информирует о планируемой дате размещения нового правового акта по защите ПДн (разработанного в соответствии с ПП 1119) – 07 декабря 2012 г.
и приводит основные положения будущего документа:
·        новые требования будут распространяться только на новые СЗПДн;
·        все существующие сертификаты трогать не будут;
·        при выборе средств защиты, при наличие в сертификате ФСТЭК Р упоминаний классов ИСПДн надо руководствоваться таблицей:
СЗИ, сертифицированные  в соответствии с  требованиям 1.0
усл.
об.
усл.
об.
могут применяться для защиты ПДн в соответствии с требованиям 2.0
для защиты ИСПДн до 1 класса
К1
УЗ1
ИСПДн до 1 уровня защищенности включительно
УЗ2
УЗ3
для защиты ИСПДн до 2 класса
К2
УЗ4
ИСПДн 4 уровня защищенности
К3
К4


·        планируется внести изменения в Требования к системам обнаружения вторжений и Требования к средствам антивирусной защиты для привязки их к уровням защищенности ИСПДн в соответствии со следующей таблицей:
классы защиты СЗИ в соответствии с Требованиями из комплекта 1.0
усл.
об.
усл.
об.
могут применяться для защиты ПДн в соответствии с требованиям 2.0
4 класс защиты СОВ и САЗ могут применяться для защиты ИСПДн 1 класса
К1
УЗ1
ИСПДн 1 и 2 уровня защищенности

ИСПДн 3 уровня защищенности (с актуальными угрозами 2-ого  типа или подключенные к Интернет)
УЗ2
УЗ3+
5 класс защиты СОВ и САЗ могут применяться для защиты ИСПДн 2 класса
К2
УЗ3-
ИСПДн 3 уровня защищенности (с неактуальными угрозами 2-ого  типа и не подключенные к Интернет)
6 класс защиты СОВ и САЗ могут применяться для защиты ИСПДн 3 и 4 класса
К3
УЗ4
ИСПДн 4 уровня защищенности
К4

Я думаю из этих таблиц можно примерно понять какая будет преемственность между старыми и новыми требованиями ФСТЭК Р по защите ПДн

В целом видно,
что для защиты ПДн ФСТЭК упоминает только сертифицированные СЗИ и речь идет о сертификатах. На альтернативные способы оценки соответствия рассчитывать не стоит;
что СЗИ раньше использованные для защиты наиболее часто встречаемого класса К2, сейчас тянут только на самый низкий УЗ4  и редко встречаемый УЗ3 для автономных  ИСПДн.


вторник, 13 ноября 2012 г.

СЗПДн. Проектирование. Как централизованно управлять криптошлюзами С-терра?


Есть два замечательных производителя СЗИ: Cisco Systems предлагает комплекс решений для создания защищенной сети без границ, но не имеет Российской криптографии; С-терра СиЭсПи – предлагает широкую линейки средств построения VPN включающих Российскую криптографию, но не производит других средств защиты. В маркетинговых материалах этих двух производителей говорится о тесной  интеграции  друг с другом.  

Так получилось, что в одном проекте по защите ПДе планировалось использование и интеграция решений этих двух производителей.

Один из вопросов, который необходимо было решить при проектировании – определить, как будут управляться сетевые средства защиты информации.

Приоритетным вариантом являлось использование централизованной системы управления. Причин использовать именно его несколько:
·        Визуализации всех сетевых средств защиты на графической консоли
·        Гибкая ролевая модель управления
·        Иерархия и наследование политик (глобальные, общие и локальные политики/объекты)
·        Централизованное управление событиями сетевой безопасности (сбор, просмотр и более быстрое реагирование)
·        Централизованное управление состоянием сетевых средства защиты (общее состояние, загрузка процессора, памяти, интерфейсов и т.п.)
·        Централизованное управление версиями сетевых средств защиты (резервное копирование, обновление)
·        Централизованная отчетность о работе сетевых средств защиты

Для комплекса решений Cisco Systems предлагается система управления Cisco Security Manager. Для управления решений С-терра СиЭсПи одним из основных вариантов предлагается так-же использоваться Cisco Security Manager.  Это подтверждается в маркетинговой информации двух производителей:



·        С-Терра СиЭсПи. Обзор продуктовой линейки 2012

Отлично. Начинаем проектировать и интегрировать криптошлюзы С-терра СиЭсПи с Cisco Security Manager (CSM). При детальном изучении документации и тестировании получаем следующее:

1) Базовые настройки (IP-адресация, импортирование сертификата, настройка NTP) обязательно выполняются вручную, через SSH. Применение на данном этапе CSM невозможно.

2) Построение Site-to-site IPSec VPN в конфигурации Hub-and-Spoke с резервированием шлюза как в нашей ситуации, официально не поддерживается:
“В топологии Hub and Spoke VPN не поддерживается вариант конфигурации с резервированием шлюза”

3) Построение Remote Access VPN, не предоставляется возможным, поскольку:
“Рекомендуется не использовать сценарии, в которых настройка CSP VPN Gate выполняется как через CSM, так и вручную. Если потребность в таком сценарии существует, то надо стараться задавать вручную только те команды, которые CSM не использует в процессе настраивания CSP VPN Gate.
Следует учитывать, что при отгрузке конфигурации, CSM может изменить или удалить некоторые из команд, которые существовали в изначально импортированной конфигурации, например ip local pool или crypto isakmp policy. Для примера, рассмотрим, почему создание политики безопасности шлюза через CSM для работы с мобильными клиентами невозможно. Порядок действий, который приводит к данному ограничению, следующий:
шлюз добавлен в CSM для работы по одной из топологий при помощи CSM проведена централизованная настройка шлюзов по одной из топологий – FullMesh, Hub and Spoke, Point to Point затем, например, по SSH отредактировать конфигурацию одного из шлюзов для работы с мобильными клиентами – создать пул адресов, привязать к криптокарте, создать identity и др. после загрузки на шлюз созданной конфигурации через CSM, работа с мобильными клиентами будет невозможна в созданной топологии.
Причина состоит в том, что все пулы адресов, не привязанные к команде crypto isakmp client configuration address-pool local, CSM удаляет”.

4) Поскольку CSM имеет ряд ограничений по работе с конфигурацией С-терра (затирание части конфига после загрузки), что может поставить под угрозу работу криптошлюзов из-за затирания команд:
“3. Возможны некоторые проблемы с восстановлением конфигурации. В некоторых случаях изменение или удаление существующих команд может быть безвозвратным: даже если в CSM удалить изменения, внесенные в конфигурацию, например, удалить VPN Topology, первоначальная конфигурация (которая была до Deploy) может не восстановиться в полном объеме. Более того, возможны ситуации, когда какие-то элементы конфигурации могут быть испорчены именно при отмене изменений, сделанных в CSM. Например:
в первоначальной конфигурации была настройка crypto isakmp identity dn
в CSM, в VPN Global Setings выставлена настройка Identity – Distinguished Name
в прогружаемой из CSM конфигурации команда crypto isakmp identity отсутствует
если потом удалить VPN Topology и снова прогрузить конфигурацию, то будет прописана команда crypto isakmp identity address (значение по умолчанию), что отличается от того, что было в первоначальной конфигурации.
CSP VPN Gate не поддерживает функциональность Rollback, позволяющую вернуться к конфигурациям, которые были загружены в устройство ранее”

5) Нет возможности копировать и обновлять образы средств защиты             
6) Нет возможности детального мониторинга состояния средств защиты

От производителя получен комментарий, что CSM может использоваться для создания простых политик site-to-site, hub-and-spoke и быстрого разворачивания однотипных конфигураций. То есть делается базовая преднастройка, далее одна политика распространяется на все устройства с помощью CSM, далее идет только конфигурация устройств через SSH а CSM больше не используется.

Данный вариант использования Cisco Security Manager с моей точки зрения не соответствует приведенным в начале статьи целям (для которых он будет использоваться при управлении решениями Cisco Systems) и для управления устройствами С-терра её использовать не стоит.

В определенной степени исправить ситуацию может недавно вышедшая система централизованного управления С-Терра КП. Посмотрим какие функции в сравнении с CSM выполняются:
·        Визуализация - нет
·        Гибкая ролевая модель управления - нет
·        Иерархия и наследование политик  - частично, есть визарды для настройки  политик и шаблоны политик
·        Централизованное управление событиями сетевой безопасности (сбор, просмотр и более быстрое реагирование) - да
·        Централизованное управление состоянием сетевых средства защиты (общее состояние, загрузка процессора, памяти, интерфейсов и т.п.) – частично, только общее состояние
·        Централизованное управление версиями сетевых средств защиты (резервное копирование, обновление) – частично, обновление сертификатов, ключей
·        Централизованная отчетность о работе сетевых средств защиты - нет
Как видим что и тут поставленных целей мы не достигнем.

Коллеги, буду признателен если вы поделитесь, как управляете большим количеством С-терра и удалось ли подружить с CSM?

PS: Если не рассматривать вопросы интеграции, то тут у меня существенных проблем с приведенными выше производителями не возникало поэтому – никаких претензий.  Проблемы только с интеграцией.

четверг, 8 ноября 2012 г.

СЗПДн. Анализ. ИСПДн c общедоступными и обезличенными ПДн


Подписано ПП №1119, о проекте которого я уже писал в предыдущей заметке.  К замечаниям, которые я  приводил в ней, добавляется следующее.

В данный момент в большей части информационных систем или технологических процессов обрабатываются общедоступные персональные данные или малоценные обезличенные персональные данные.

Примерами таких систем или технологических процессов являются:
·        Корпоративные справочники сотрудников
·        Перечни учетных записей пользователей в любом приложении (например, имя, должность, логин, контактный телефон)
·        Перечни учетных записей пользователей в любом корпоративном сервисе, таком как AD, телефония
·        Клиентские кабинеты на web портале (имя, логин, емейл)
·        Любые онлайн формы для обращений клиентов (имя, емейл, контактный телефон)
·        Кол.центры для работы со звонками клиентов в которых записывается имя, телефон.

Из опыта предыдущих проектов могу сказать, что например в организации  - операторе из 1000 сотрудников, порядка 100 являются полноценными пользователями ПДн, а оставшиеся 900 работают только с общедоступными или малоценными обезличенными ПДн. Соответственно эти 100 пользователей защищались сертифицированными СЗИ, остальные 900 пользователей встроенными средствами безопасности имеющимися в системах и сервисах.

Руководствуясь 152-ФЗ 2.0 и ПП №1119 мы получаем что:
·        ИСПДн с общедоступными ПДн, полученными непосредственно от субъекта вместе с согласием на общедоступность – ИСПДн обрабатывающая иные категории ПДн (ИСПДн-И)
·        ИСПДн с малоценными обезличенными ПДн – ИСПДн обрабатывающая иные категории ПДн (ИСПДн-И)

Далее устанавливаем уровень защищенности. Даже если актуальны угрозы 3-его типа, получаем 3 и 4 уровень защищенности ПДн и как следствие получаем необходимость использования сертифицированных СЗИ для защиты этих ПДн.

В результате мы с вами существенно теряем в гибкости при защите ПДн, вынуждены будем увеличить бюджеты на СЗПДн как минимум в 10 раз, а онлайн обращения и услуги вообще оказываются вне закона.

Почему я не писал об этом в прошлой заметке? Потому что в проекте ПП применение сертифицированных СЗИ требовалось только с 2 уровня защищенности. И это было бы разумным компромиссом при защите общедоступных или малоценных обезличенных персональных данные.