Построение и защита многопользовательских территориально распределенных ИСПДн 2-го и 3-го класса

Евгений Царев
Заместитель директора департамента продуктов и услуг LETA IT-company

Дмитрий Артеменков
Менеджер по продуктам информационной безопасности LETA IT-company

При построении систем защиты персональных данных большинство операторов стараются использовать отработанные методики и подходы. Только учитывая сложившуюся практику реализации требований федерального законодательства и регуляторов, становится возможным построение адекватной системы защиты персональных данных.

Целью настоящей статьи является описание общего подхода к построению и защите многопользовательских территориально распределенных информационных систем персональных данных (ИСПДн) 2-го и 3-го класса, основанного на практике проведения работ.

В данном контексте будут рассмотрены основные особенности многопользовательских территориально распределенных ИСПДн и предложены практические способы реализации требований. Также будет описан общий подход к построению и защите ИСПДн с указанием на пример технического решения.

Особенности защиты персональных данных в территориально распределенных информационных системах

Можно выделить две основные особенности территориально распределенных систем:

• наличие территориально распределенных отделений организации;
• использование незащищенных сетей передачи данных.

Чаще всего данные сети относятся к сетям общего пользования и, в частности, сети Интернет. Здесь передача персональных данных происходит по незащищенным каналам связи, открытым для внешних нарушителей. Указанные каналы связи являются средой информационного обмена, в частности, между территориально распределенными отделениями одной информационной системы, где происходит выход персональных данных за пределы контролируемой зоны.

Не у всех организаций есть стандартизированное программное и аппаратное обеспечение и собственные стандарты построения информационных систем, поэтому универсальных перечней угроз не существует. Особенности возникают, например, при изменении архитектуры информационных систем или изменении содержания обработки персональных данных.

Различные версии операционных систем, наличие уникального программного обеспечения и многое другое приводит к расширению перечня актуальных угроз и вариантов их реализации в территориально распределенных ИСПДн.

От совокупности указанных факторов зависит выбор необходимых организационных мер защиты персональных данных и средств защиты информации.

Обобщенная методика проведения работ

Исходя из практического опыта, можно сделать заключение о том, что большинство ИСПДн классифицируются по 2-му и 3-му классу, а также являются многопользовательскими и территориально распределенными.

Определение угроз и последующее построение модели угроз осуществляется на основании ФСТЭК "Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных" от 15 февраля 2008 г.", где из шести существующих типовых моделей применимы две:

• типовая модель угроз безопасности ПДн, обрабатываемых в распределенных ИСПДн, не имеющих подключение к сетям общего пользования и (или) сетям международного информационного обмена;
• типовая модель угроз безопасности ПДн, обрабатываемых в распределенных ИСПДн, имеющих подключение к сетям общего пользования и (или) сетям международного информационного обмена.
• В данной краткой статье мы минуем стадию разработки моделей угроз и перейдем к мерам противодействия им.
• Можно выделить несколько основных актуальных угроз безопасности персональным данным в территориально распределенных информационных системах:
• угрозы перехвата информации в незащищенных каналах связи и сетях общего доступа;
• угрозы от воздействия вредоносных вирусных программ;
• угрозы наличия недеклари-рованных возможностей системного ПО и ПО для обработки персональных данных;
• угрозы внедрения по сети вредоносных программ и др.

Меры противодействия делятся на организационные и технические. Если с организационными мерами (пропускной режим, физическая охрана объектов, введение парольной политики пользователей и т.д.) проблем обычно не возникает, то с техническими средствами дело обстоит сложнее. Обратим внимание, что при передаче данных в сетях общего пользования организационные меры, по сути, неприменимы.

Рекомендуемыми действенными техническими мерами по предотвращению реализации актуальных угроз являются:

• использование сертифицированных на недекларированные возможности программных средств защиты;
• обеспечение антивирусной защиты;
• построение систем защиты при передаче обрабатываемой информации по каналам связи;
• использование межсетевого экранирования;
• организация разграничения прав пользователей на установку стороннего ПО, аппаратных средств, подключения мобильных устройств и внешних носителей;
• корректная установка и настройка элементов ИСПДн и средств защиты;
• использование средств анализа защищенности информационных систем.

Если переложить перечисленные меры на указанные в методических документах подсистемы, мы получим следующий список подсистем:

• подсистема антивирусной защиты;
• подсистема защиты от несанкционированного доступа (включая подсистемы обеспечения регистрации и учета, целостности и управления доступом);
• подсистема маршрутизации, коммутации и межсетевого экранирования;
• подсистема анализа защищенности и выявления уязвимости;
• подсистема криптографической защиты информации.

При построении территориально распределенных ИСПДн 2-го и 3-го класса особое внимание уделяется подсистеме криптографической защиты информации.

Правила разработки, производства, реализации и эксплуатации криптографических средств защиты информации регламентируются документами ФСБ России. Используемые технические средства должны быть построены на основе российского криптоалгоритма ГОСТ и обязаны обладать сертификатами, соответствующими требованиям ФСБ России к средствам криптографической защиты информации. Пока не существует более надежного способа защиты каналов связи, чем VPN, построенного на ключах шифрования. При угрозе физического выноса электронных носителей персональных данных за пределы контролируемой зоны также возникает необходимость применения шифрования жестких дисков и флеш-накопителей.

Практика применения методики

При построении систем защиты персональных данных обычно используются отечественные средства защиты. Это объясняется тем, что российские разработчики технических средств адаптируют свои решения под требования российского законодательства на протяжении многих лет, а некоторыми разработками занимаются бывшие сотрудники регулирующих органов.

В качестве примера предлагается рассмотреть выдержку из технического решения, разработанного для реального заказчика.

Имеем типовую территориально распределенную сеть обработки персональных данных с несколькими филиалами:

• установка на границе локально-вычислительной сети программного обеспечения, выполняющего функции VPN для защиты каналов связи между отделениями компании и межсетевого экранирования для ограждения контролируемой зоны отделений;
• установка на рабочие станции пользователей персональных межсетевых экранов для устранения угроз внутри локально-вычислительной сети отделений компании;
• на рабочих станциях устанавливается программное обеспечение, выполняющее требования по защите от несанкционированного доступа к информации;
• в серверной части, где невозможна установка программного обеспечения на серверные *NIX-образные операционные системы, возможна установка электронных замков;
• роль подсистемы антивирусной защиты выполняет установленный на всех рабочих станциях и серверах системы сертифицированный антивирус;
• дополнительно на рабочее место администратора устанавливается программное средство сетевого аудита для поиска уязвимостей в системе.

Данные средства позволяют обеспечить защиту персональных данных и устранить угрозы информационной безопасности, определенные в модели угроз.

Использование однотипных сертифицированных средств защиты в рамках одной системы может оказаться затруднительным как с технической, так и организационной точки зрения.

Вариантов использования средств защиты может быть несколько, и поэтому необходимо индивидуально разрабатывать оптимальную для каждого заказчика конфигурацию.

Комментарий эксперта

Липатов Алексей
Технический руководитель направления отдела информационной безопасности ЗАО "Открытые Технологии 98"

Построение эффективной СЗПДн, способной противостоять реализации актуальных угроз безопасности ПДн, необходимо осуществлять не только с учетом требований федерального законодательства и регуляторов, но и с учетом отраслевых требований по защите ПДн (Минздравсоцразвития, Рособразования, требований для операторов связи - НИР "Тритон", ЦБ РФ) и положений "Best Practice" в области ИБ (ISO/IEC 27002:2005, CobIT v. 4.1, PCI DSS и др.).

Говоря о методике проведения работ по созданию СЗПДн, стоит отметить, что этапу внедрения должен предшествовать этап разработки, на котором проводятся работы:

по сбору и обработке исходных данных о ИСПДн и о реализованных мерах по защите ПДн, обрабатываемых в ней, заданию требований к создаваемой СЗПДн с учетом класса ИСПДн и модели угроз, определению состава, содержания, сроков и результатов проекта по созданию СЗПДн. Документирование результатов этих работ проводится в рамках ТЗ на создание СЗПДн;

по разработке в рамках технорабочего проекта комплекта технической, эксплуатационной и организационно-распорядительной документации, описывающей решения по построению СЗПДн.

Что касается практики применения методики, то как показал опыт, помимо стандартных подсистем, требования к которым определяются в РД регуляторов, для снижения рисков реализации угроз ИБ до приемлемого уровня в территориально распределенных ИСПДн 2-го и/или 3-го классов дополнительно должны быть созданы следующие подсистемы: управления разнородными и распределенными информационными инфраструктурами, обнаружения и предотвращения вторжений, резервного копирования. После завершения пусконаладки средств защиты информации должна быть проведена опытная эксплуатация СЗПДн и аттестация либо декларирование соответствия ИСПДн требованиям по безопасности ПДн. Кроме того, от организации может потребоваться получение лицензий ФСТЭК России на деятельность по ТЗКИ и ФСБ России на техническое обслуживание СКЗИ/предоставле-ние услуг в области шифрования информации.