Защита клиент-серверных и многозвенных ИСПДн с помощью межсетевого экрана TrustAccess

Юлия Смирнова
менеджер по развитию продуктов компании "Код Безопасности"

Компания "Код Безопасности" разработала новый продукт TrustAccess, предназначенный для защиты сетевых приложений и сервисов, обрабатывающих ПДн, в соответствии с требованиями законодательства и регуляторов.

Безопасное межсетевое взаимодействие

Для многозвенных информационных систем персональных данных важно обеспечить безопасное межсетевое взаимодействие. Согласно приказу ФСТЭК № 58, для этих целей должны применяться сертифицированные межсетевые экраны. Класс применяемого межсетевого экрана определяется в зависимости от класса защищаемой ИСПДн. Отдельно следует отметить, что в случае защиты ИСПДн первого класса должно использоваться "программное обеспечение средства защиты информации, соответствующее 4-му уровню контроля отсутствия недекла-рированных возможностей".

TrustAccess имеет сертификат ФСТЭК по уровню МЭ 2 и НДВ 4, что позволяет применять его для защиты ИСПДн до класса К1 включительно.

Управление доступом

Для всех ИСПДн должна выполняться процедура аутентификации и авторизации пользователя при доступе к ПДн. В случае многозвенных информационных систем пользователь, вошедший в систему на одном компьютере сети, обращается к сетевому сервису, расположенному на другом компьютере сети.

В случае использования традиционных средств защиты информации от несанкционированного доступа аутентичность пользователя достоверна только в пределах этого рабочего места. При попытке же обратиться к сетевому ресурсу реально передается стандартный токен безопасности операционной системы. Программное обеспечение встроенных функций безопасности ОС не имеет сертификата об отсутствии недекларированных возможностей. Таким образом, ни традиционные СЗИ от НСД,

ни встроенные средства управления доступом ОС не обеспечивают доверенной сетевой аутентификации и авторизации пользователя.

TrustAccess имеет собственные механизмы сетевой идентификации, аутентификации и разграничения доступа на базе протоколов сервера аутентификации Kerberos и протоколов создания доверенных соединений на базе IPsec. При этом продукт может использоваться как для защиты физических серверов, так и виртуальных машин.

Отдельно следует отметить, что TrustAccess позволяет разграничить доступ к данным на уровне пользователей при терминальных соединениях.

Регистрация и учет

Для многозвенных ИСПДн должны регистрироваться события, связанные с получением сетевого доступа к персональным данным. Традиционные СЗИ от НСД и встроенные средства операционных систем не обеспечивают доверенной регистрации и учета таких событий.

TrustAccess обеспечивает доверенную регистрацию событий сетевой аутентификации, установки и разрыва сетевых соединений и др.

Снижение класса ИСПДн

В связи с тем что требования к защите персональных данных предъявляются в зависимости от класса информационной системы персональных данных, многие компании стремятся понизить класс ИСПДн.

Одним из наиболее часто используемых способов снижения класса ИСПДн является сегментирование сетевой ИСПДн с возможностью присвоить отдельным сегментам более низкий класс. Суть данного способа состоит в том, чтобы сократить объем обрабатываемых в ИСПДн персональных данных. Как известно, объем обрабатываемых персональных данных является одним из критериев определения класса ИСПДн. В частности, снижение объемов обрабатываемых  данных второй категории с более чем 100 тыс. записей до менее 1000 записей позволит понизить класс ИСПДн с К1 до К3.

Следует отметить, что сегментирование ИСПДн посредством сертифицированных межсетевых экранов является легитимным способом снижения класса ИСПДн. На рисунке продемонстрирован пример сегментирования ИСПДн с помощью TrustAccess.

Оригинальная ИСПДн представляла многозвенную информационную систему класса К1 (в ИСПДн обрабатывается более 100 тысяч записей ПДн). Разбив с помощью межсетевого экрана всю ИСПДн на отдельные сегменты, рабочие станции можно классифицировать как ИСПДн класса К3, поскольку на каждой рабочей станции обрабатывается единовременно не более 1000 записей ПДн.

Межсетевой экран Trust-Access – оптимальное решение для защиты персональных данных, обрабатываемых в распределенных многозвенных ИСПДн. Продукт позволяет не только выполнить требования регуляторов по межсетевому экранированию, но и требования к подсистемам управления доступом, регистрации и учета. Кроме того, TrustAccess позволяет сэкономить на средствах защиты информации посредством сегментирования сетевой ИСПДн.