понедельник, 23 сентября 2013 г.

17 приказ ФСТЭК. Часть 2 – FW, IDS, VPN


В предыдущей части мы начали изучать 17 приказ, его сферу действия и порядок классификации систем. Теперь перейдем к рассмотрению того, каким образом можно реализовать меры защиты, предложенные в приказе.
Сразу оговорюсь, что моя трактовка перечисленных мер совершенно не претендует на единственно верную. Это лишь предположения, основанные на личном опыте и на изучении NIST 800-53 «Security and Privacy Controls for Federal Information Systems and Organizations», из которого, судя по всему, черпали вдохновение разработчики 17 приказа.
Требования 17 приказа можно условно разделить на те, которые целесообразнее закрыть программно-техническими средствами и те, которые можно закрыть организационными  мерами.
В составе гипотетической проектируемой системы защиты выделим следующие программно-технические комплексы:
  • Комплекс межсетевого экранирования; 
  • Комплекс обнаружения вторжений; 
  • Комплекс защиты каналов связи; 
  • Комплекс антивирусной защиты; 
  • Комплекс регистрации событий; 
  • Комплекс обеспечения доверенной загрузки;  
  • Комплекс управления виртуальной инфраструктурой; 
  • Комплекс контроля целостности; 
  • Комплекс анализа защищенности;  
  • Комплекс резервного копирования; 
  • Комплекс управления доступом;
  • Комплекс управления конфигурациями; 
  • Инфраструктура открытых ключей; 
  • Комплекс штатных средств защиты операционных систем и прикладного ПО.
К организационным мерам отнесем разработку документов (далее цитата из приказа) «определяющих правила и процедуры, реализуемые оператором для обеспечения защиты информации в информационной системе в ходе ее эксплуатации (далее – организационно-распорядительные документы по защите информации)». То есть это политики, процедуры, регламенты и т. п. документация
Далее посмотрим, каким образом перечисленные выше комплексы будут реализовывать меры предложенные в 17 приказе. В этой части речь пойдет о межсетевом экранировании, обнаружении вторжений и защите каналов связи. Для удобства, описание представлено в виде таблиц.

Комплекс межсетевого экранирования


Условное обозначение
Наименование меры
Метод реализации
ЗИС.17
Разбиение информационной системы на сегменты (сегментирование информационной системы) и обеспечение защиты периметров сегментов информационной системы
Сегментируем сеть на VLAN’ы и терминируем их на межсетевом экране. Серверы каждой из систем, содержащей конфидент, желательно «посадить» в свой собственный VLAN. Отдельный VLAN(ы) используем для рабочих станций пользователей. Обратим внимание, что про физическое разделение сегментов ничего не сказано.
УПД.3
Управление (фильтрация, маршрутизация, контроль соединений, однонаправленная передача и иные способы управления) информационными потоками между устройствами, сегментами информационной системы, а также между информационными системами
ЗИС.23
Защита периметра (физических и (или) логических границ) информационной системы при ее взаимодействии с иными информационными системами и информационно-телекоммуникационными сетями
Эта мера может реализовываться тем же межсетевым экраном, который отвечает за сегментацию систем (см. предыдущий пункт).
Однако часто на периметре сети, в точке ее подключения к сетям связи общего пользования (ССОП) используется отдельный МЭ. Ниже будет сказано о преимуществах такой схемы.
УПД.16
Управление взаимодействием с информационными системами сторонних организаций (внешние информационные системы)
ОЦЛ.4
Обнаружение и реагирование на поступление в информационную систему незапрашиваемых электронных сообщений (писем, документов) и иной информации, не относящихся к функционированию информационной системы (защита от спама)
Сейчас на рынке присутствуют межсетевые экраны со встроенной функцией защиты от спама, что позволяет закрыть данное требование в рамках комплекса МЭ.
ЗИС.22
Защита информационной системы от угроз безопасности информации, направленных на отказ в обслуживании информационной систем
Возвращаемся к преимуществам схемы с двумя межсетевыми экранами. Как отдельный МЭ на периметре сети может помочь в защите от DOS? Естественно при помощи него можно попытаться отфильтровать нежелательный трафик. Во-вторых, в том случае если периметровый МЭ заDOSят, то корпоративные системы, обслуживаемые «внутренним» МЭ продолжат работу и будут доступны для внутренних пользователей из ЛВС. 
В качестве альтернативы использованию МЭ можно рассмотреть сервисы защиты от DOS-атак.
ЗСВ.4
Управление (фильтрация, маршрутизация, контроль соединения, однонаправленная передача) потоками информации между компонентами виртуальной инфраструктуры, а также по периметру виртуальной инфраструктуры
Как минимум, речь о том, чтобы распределить виртуальные машины, как и физические серверы, по разным VLAN’ам и разграничивать доступ между ними посредством межсетевого экрана.
Однако, можно посмотреть на данное требование более широко и попытаться реализовать фильтрацию на уровне гипервизора. В частности, к таким решениям относятся vShield и Cisco VSG.
ЗСВ.10
Разбиение виртуальной инфраструктуры на сегменты (сегментирование виртуальной инфраструктуры) для обработки информации отдельным пользователем и (или) группой пользователей

На рынке достаточно решений, обеспечивающих выполнения всех требуемых функций. К сожалению, отечественные решения пока отстают по потребительским характеристикам от западных продуктов. Такие решения, как правило, построены на базе криптошлюзов, а сертификат МЭ прилагается скорее как «бонус». Поэтому в качестве МЭ целесообразно рассмотреть сертифицированные продукты западных вендоров.


Комплекс обнаружения вторжений


Здесь все достаточно просто. Закрывает требования СОВ.1 и СОВ.2. Обратим внимание на слово «обнаружение». Как я понимаю, ставить IDS в разрыв («inline») не требуется. В целях экономии можно зеркалировать на IDS только трафик сегментов с защищаемыми системами. Помним о сертификации.

Комплекс защиты каналов связи


Может закрыть ЗИС.3, УПД.13, ИАФ.6. Для защиты каналов связи используется технология VPN. В зависимости от архитектуры защищаемых систем, архитектура VPN может быть как «site2site» так и «remote access».

Условное обозначение
Наименование меры
Метод реализации
ЗИС.3
Обеспечение защиты информации от раскрытия, модификации и навязывания (ввода ложной информации) при ее передаче (подготовке к передаче) по каналам связи, имеющим выход за пределы контролируемой зоны, в том числе беспроводным каналам связи
Здесь вся соль в понятии «контролируемой зоны». Контролируемая зона – пространство, в пределах которого осуществляется контроль за пребыванием и действиями лиц и (или) транспортных средств. Что подразумевает собой как минимум доступ по пропускам, видеонаблюдение, защищаемые серверные и кроссовые помещения. Если канал связи (например, ЛВС объекта) проходит в пределах контролируемой зоны, то шифрование не требуется. Действительно, избыточно шифровать данные, передаваемые между разными стойками внутри ЦОДа. Для таких объектов, достаточно поставить на границе ЛВС VPN-шлюз и шифровать трафик, передаваемый вовне (за пределы охраняемой зоны). Если же у нас нет уверенности, что каналы связи проходят по контролируемой территории (то есть имеется возможность подключиться к каналу связи и снять передаваемую информацию), то следует шифровать трафик, начиная с рабочей станции пользователя (ставить VPN-клиент).
УПД.13
Реализация защищенного удаленного доступа субъектов доступа к объектам доступа через внешние информационно-телекоммуникационные сети
Для организации удаленного доступа пользователей используется remote access VPN.
ИАФ.6
Идентификация и аутентификация пользователей, не являющихся работниками оператора (внешних пользователей)
Если внешние пользователи «ходят» через VPN, то таким образом решается технический вопрос с их идентификацией и аутентификацией. С организационной точки зрения, предоставление удаленного доступа внешним пользователям должно надлежащим образом регламентироваться.

Кратко скажем о сертификации. Дело в том, что VPN-решения используют шифрование и соответственно являются криптосредствами. Криптография находится в ведении ФСБ и проходит по отдельной системе сертификации. Западные VPN-решения, даже при использовании отечественного криптоядра, сертификата ФСБ на криптосредства не имеют. Поэтому здесь, в отличии от комплекса межсетевого экранирования, мы практически ограничены в выборе отечественными решениями (S-Terra, Континент, ViPNet и др.). Этот набор слегка разбавляет Stonesoft. Тема сертификации и выбора криптосредств обширна и достойна отдельной статьи.

В следующей части продолжим разбор требований 17 приказа.

Комментариев нет:

Отправить комментарий