понедельник, 23 сентября 2013 г.

17 приказ ФСТЭК. Часть 2 – FW, IDS, VPN


В предыдущей части мы начали изучать 17 приказ, его сферу действия и порядок классификации систем. Теперь перейдем к рассмотрению того, каким образом можно реализовать меры защиты, предложенные в приказе.
Сразу оговорюсь, что моя трактовка перечисленных мер совершенно не претендует на единственно верную. Это лишь предположения, основанные на личном опыте и на изучении NIST 800-53 «Security and Privacy Controls for Federal Information Systems and Organizations», из которого, судя по всему, черпали вдохновение разработчики 17 приказа.
Требования 17 приказа можно условно разделить на те, которые целесообразнее закрыть программно-техническими средствами и те, которые можно закрыть организационными  мерами.
В составе гипотетической проектируемой системы защиты выделим следующие программно-технические комплексы:
  • Комплекс межсетевого экранирования; 
  • Комплекс обнаружения вторжений; 
  • Комплекс защиты каналов связи; 
  • Комплекс антивирусной защиты; 
  • Комплекс регистрации событий; 
  • Комплекс обеспечения доверенной загрузки;  
  • Комплекс управления виртуальной инфраструктурой; 
  • Комплекс контроля целостности; 
  • Комплекс анализа защищенности;  
  • Комплекс резервного копирования; 
  • Комплекс управления доступом;
  • Комплекс управления конфигурациями; 
  • Инфраструктура открытых ключей; 
  • Комплекс штатных средств защиты операционных систем и прикладного ПО.
К организационным мерам отнесем разработку документов (далее цитата из приказа) «определяющих правила и процедуры, реализуемые оператором для обеспечения защиты информации в информационной системе в ходе ее эксплуатации (далее – организационно-распорядительные документы по защите информации)». То есть это политики, процедуры, регламенты и т. п. документация
Далее посмотрим, каким образом перечисленные выше комплексы будут реализовывать меры предложенные в 17 приказе. В этой части речь пойдет о межсетевом экранировании, обнаружении вторжений и защите каналов связи. Для удобства, описание представлено в виде таблиц.

Комплекс межсетевого экранирования


Условное обозначение
Наименование меры
Метод реализации
ЗИС.17
Разбиение информационной системы на сегменты (сегментирование информационной системы) и обеспечение защиты периметров сегментов информационной системы
Сегментируем сеть на VLAN’ы и терминируем их на межсетевом экране. Серверы каждой из систем, содержащей конфидент, желательно «посадить» в свой собственный VLAN. Отдельный VLAN(ы) используем для рабочих станций пользователей. Обратим внимание, что про физическое разделение сегментов ничего не сказано.
УПД.3
Управление (фильтрация, маршрутизация, контроль соединений, однонаправленная передача и иные способы управления) информационными потоками между устройствами, сегментами информационной системы, а также между информационными системами
ЗИС.23
Защита периметра (физических и (или) логических границ) информационной системы при ее взаимодействии с иными информационными системами и информационно-телекоммуникационными сетями
Эта мера может реализовываться тем же межсетевым экраном, который отвечает за сегментацию систем (см. предыдущий пункт).
Однако часто на периметре сети, в точке ее подключения к сетям связи общего пользования (ССОП) используется отдельный МЭ. Ниже будет сказано о преимуществах такой схемы.
УПД.16
Управление взаимодействием с информационными системами сторонних организаций (внешние информационные системы)
ОЦЛ.4
Обнаружение и реагирование на поступление в информационную систему незапрашиваемых электронных сообщений (писем, документов) и иной информации, не относящихся к функционированию информационной системы (защита от спама)
Сейчас на рынке присутствуют межсетевые экраны со встроенной функцией защиты от спама, что позволяет закрыть данное требование в рамках комплекса МЭ.
ЗИС.22
Защита информационной системы от угроз безопасности информации, направленных на отказ в обслуживании информационной систем
Возвращаемся к преимуществам схемы с двумя межсетевыми экранами. Как отдельный МЭ на периметре сети может помочь в защите от DOS? Естественно при помощи него можно попытаться отфильтровать нежелательный трафик. Во-вторых, в том случае если периметровый МЭ заDOSят, то корпоративные системы, обслуживаемые «внутренним» МЭ продолжат работу и будут доступны для внутренних пользователей из ЛВС. 
В качестве альтернативы использованию МЭ можно рассмотреть сервисы защиты от DOS-атак.
ЗСВ.4
Управление (фильтрация, маршрутизация, контроль соединения, однонаправленная передача) потоками информации между компонентами виртуальной инфраструктуры, а также по периметру виртуальной инфраструктуры
Как минимум, речь о том, чтобы распределить виртуальные машины, как и физические серверы, по разным VLAN’ам и разграничивать доступ между ними посредством межсетевого экрана.
Однако, можно посмотреть на данное требование более широко и попытаться реализовать фильтрацию на уровне гипервизора. В частности, к таким решениям относятся vShield и Cisco VSG.
ЗСВ.10
Разбиение виртуальной инфраструктуры на сегменты (сегментирование виртуальной инфраструктуры) для обработки информации отдельным пользователем и (или) группой пользователей

На рынке достаточно решений, обеспечивающих выполнения всех требуемых функций. К сожалению, отечественные решения пока отстают по потребительским характеристикам от западных продуктов. Такие решения, как правило, построены на базе криптошлюзов, а сертификат МЭ прилагается скорее как «бонус». Поэтому в качестве МЭ целесообразно рассмотреть сертифицированные продукты западных вендоров.


Комплекс обнаружения вторжений


Здесь все достаточно просто. Закрывает требования СОВ.1 и СОВ.2. Обратим внимание на слово «обнаружение». Как я понимаю, ставить IDS в разрыв («inline») не требуется. В целях экономии можно зеркалировать на IDS только трафик сегментов с защищаемыми системами. Помним о сертификации.

Комплекс защиты каналов связи


Может закрыть ЗИС.3, УПД.13, ИАФ.6. Для защиты каналов связи используется технология VPN. В зависимости от архитектуры защищаемых систем, архитектура VPN может быть как «site2site» так и «remote access».

Условное обозначение
Наименование меры
Метод реализации
ЗИС.3
Обеспечение защиты информации от раскрытия, модификации и навязывания (ввода ложной информации) при ее передаче (подготовке к передаче) по каналам связи, имеющим выход за пределы контролируемой зоны, в том числе беспроводным каналам связи
Здесь вся соль в понятии «контролируемой зоны». Контролируемая зона – пространство, в пределах которого осуществляется контроль за пребыванием и действиями лиц и (или) транспортных средств. Что подразумевает собой как минимум доступ по пропускам, видеонаблюдение, защищаемые серверные и кроссовые помещения. Если канал связи (например, ЛВС объекта) проходит в пределах контролируемой зоны, то шифрование не требуется. Действительно, избыточно шифровать данные, передаваемые между разными стойками внутри ЦОДа. Для таких объектов, достаточно поставить на границе ЛВС VPN-шлюз и шифровать трафик, передаваемый вовне (за пределы охраняемой зоны). Если же у нас нет уверенности, что каналы связи проходят по контролируемой территории (то есть имеется возможность подключиться к каналу связи и снять передаваемую информацию), то следует шифровать трафик, начиная с рабочей станции пользователя (ставить VPN-клиент).
УПД.13
Реализация защищенного удаленного доступа субъектов доступа к объектам доступа через внешние информационно-телекоммуникационные сети
Для организации удаленного доступа пользователей используется remote access VPN.
ИАФ.6
Идентификация и аутентификация пользователей, не являющихся работниками оператора (внешних пользователей)
Если внешние пользователи «ходят» через VPN, то таким образом решается технический вопрос с их идентификацией и аутентификацией. С организационной точки зрения, предоставление удаленного доступа внешним пользователям должно надлежащим образом регламентироваться.

Кратко скажем о сертификации. Дело в том, что VPN-решения используют шифрование и соответственно являются криптосредствами. Криптография находится в ведении ФСБ и проходит по отдельной системе сертификации. Западные VPN-решения, даже при использовании отечественного криптоядра, сертификата ФСБ на криптосредства не имеют. Поэтому здесь, в отличии от комплекса межсетевого экранирования, мы практически ограничены в выборе отечественными решениями (S-Terra, Континент, ViPNet и др.). Этот набор слегка разбавляет Stonesoft. Тема сертификации и выбора криптосредств обширна и достойна отдельной статьи.

В следующей части продолжим разбор требований 17 приказа.

пятница, 20 сентября 2013 г.

17 приказ ФСТЭК. Часть 1


Первый цикл постов в этом блоге будет посвящён 17 приказу ФСТЭК «Об утверждении Требований по защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах».

Сфера действия 17 Приказа

Требования 17 приказа обязательны при обработке информации ограниченного доступа (в том числе персональных данных) в государственных информационных системах (ГИС) и в муниципальных информационных системах (назовем их МИС).
Определение ГИС и МИС можно найти в статье 13 ФЗ №149 «Об информации, информационных технологиях и о защите информации». ГИС - федеральные информационные системы и региональные информационные системы, созданные на основании соответственно федеральных законов, законов субъектов Российской Федерации, на основании правовых актов государственных органов. МИС - системы, созданные на основании решения органа местного самоуправления.
Кратко скажем о тех счастливчиках, на которых данный приказ не распространяется. Приказ не распространяется на государственные информационные системы Администрации Президента, Совета Безопасности, Федерального Собрания, Правительства РФ, Конституционного, Верховного и Арбитражного судов РФ, а также ФСБ. Кроме того, приказ не распространяется на информационные системы, аттестованные по требованиям защиты информации до его вступления в силу. Эти системы повторной аттестации (оценке эффективности) в связи с изданием приказа не подлежат.

Классы систем

Требования по защите информации зависят от класса защищенности системы. Классов всего четыре: К1, К2, К3, К4. Первый класс (К1) самый высокий, четвертый класс (К4) самый низкий.
Класс системы зависит от двух параметров: 

  • от уровня значимости обрабатываемой информации (УЗ);
  • от масштаба информационной системы.

УЗ складывается из степени возможного ущерба для трех свойств обрабатываемой информации: конфиденциальности, целостности, доступности. Степень ущерба для каждого из свойств может быть высокой, средней и низкой и определяется экспертным путем. Степень ущерба зависит от того, насколько сильные последствия может иметь нарушение свойства информации в социальной, политической, международной, экономической, финансовой или иных областях. Также степень ущерба зависит от того, смогут ли информационная система или оператор (обладатель информации) выполнять возложенные на них функции. Та или иная информация может, например, иметь высокую степень ущерба конфиденциальности, среднюю степень ущерба целостности и низкую степень ущерба доступности.
УЗ = [степень ущерба конфиденциальности; степень ущерба целостности; степень ущерба доступности]
На основании определенных экспертами степеней ущерба методом вычисляется УЗ. Информация имеет высокий уровень значимости (УЗ 1), если хотя бы для одного из свойств безопасности информации (конфиденциальности, целостности, доступности) определена высокая степень ущерба. Информация имеет средний уровень значимости (УЗ 2), если хотя бы для одного из свойств информации определена средняя степень ущерба и нет ни одного свойства, для которого определена высокая степень. Информация имеет низкий уровень значимости (УЗ 3), если для всех свойств безопасности информации определены низкие степени ущерба. Информация имеет минимальный уровень значимости (УЗ 4), если степень ущерба от нарушения свойств безопасности информации не может быть определена, но при этом информация подлежит защите в соответствии с законодательством РФ.
Теперь поговорим о масштабе системы. Масштаб может быть  федеральный, региональный и объектовый. Информационная система имеет федеральный масштаб, если она функционирует на территории РФ (в пределах федерального округа) и имеет сегменты в субъектах РФ, муниципальных образованиях и (или) организациях. Информационная система имеет региональный масштаб, если она функционирует на территории субъекта РФ и имеет сегменты в одном или нескольких муниципальных образованиях и (или) подведомственных и иных организациях. Информационная система имеет объектовый масштаб, если она функционирует на объектах одного федерального органа государственной власти, органа государственной власти субъекта РФ, муниципального образования и (или) организации и не имеет сегментов в территориальных органах, представительствах, филиалах, подведомственных и иных организациях.
После определения уровня значимости и масштаба системы класс вычисляется по следующей таблице:
УЗ информации
Масштаб информационной системы
Федеральный
Региональный
Объектовый
УЗ 1
К1
К1
К1
УЗ 2
К1
К2
К2
УЗ 3
К2
К3
К3
УЗ 4
К3
К3
К4

Меры защиты

В приложении к приказу приведён перечень требуемых мер защиты для систем каждого класса – базовый набор мер. Этот базовый набор мер может быть адаптирован под особенности конкретной системы. Например, если какая-либо технология (скажем, виртуализация) не используется в рамках системы, то соответствующая ей мера защиты из базового набора может быть исключена. В приказе это называется «адаптированным базовым набором мер».
Адаптированный базовый набор уточняется таким образом, чтобы закрыть все угрозы из разработанной модели угроз (ожидается, что по методике разработки модели угроз будет выпущен отдельный документ ФСТЭК). В результате уточнения получается, как вы уже догадались, «уточненный адаптированный базовый набор» мер. На этом этапе можно попытаться заменить меры, которые по какой-либо причине невозможно реализовать, на альтернативные (компенсирующие) меры.
Представленные в приказе меры защиты разбиты на следующие группы:
  • Идентификация и аутентификация субъектов доступа и объектов доступа (ИАФ)
  • Управление доступом (УПД)
  • Ограничение программной среды (ОПС)
  • Регистрация событий безопасности (РСБ)
  • Антивирусная защита (АВЗ)
  • Обнаружение вторжений (СОВ)
  • Контроль (анализ) защищенности информации (АНЗ)
  • Обеспечение целостности информационной системы и информации (ОЦЛ)
  • Обеспечение доступности информации (ОДТ)
  • Защита среды виртуализации (ЗСВ)
  • Защита технических средств (ЗТС)
  • Защита информационной системы, ее средств, систем связи и передачи данных (ЗИС)
  • Выявление инцидентов и реагирование на них (ИНЦ)
  • Управление конфигурацией информационной системы и системы защиты персональных данных (УКФ)
Каждая из перечисленных групп содержит несколько мер защиты. Меры защиты условно обозначаются по имени группы и по порядковому номеру. Например, УПД.1, УПД.2, ОПС.3 и так далее.
В следующих статьях мы подробнее рассмотрим меры защиты и, что более важно, методы, которыми их можно реализовать. 

Продолжение следует.