Контакты
Подписка
МЕНЮ
Контакты
Подписка

Защита гибкого реагирования

Защита гибкого реагирования

В рубрику "Управление" | К списку рубрик  |  К списку авторов  |  К списку публикаций

Защита гибкого реагирования

С.А. ЯСЬКО
эксперт, к.т.н.

АВТОМАТИЗИРОВАННЫЕ системы (АС) органов государственной власти относятся к сложным корпоративным информационным системам, созданным на базе разветвленных телекоммуникаций. Современные системы защиты информации таких АС представляют собой совокупность обязательных, взаимодополняющих подсистем, к основным из которых относятся:

  • подсистемы разграничения доступа (организованные на базе МЭ и механизмов разграничения доступа к рабочим местам и серверам);
  • системы организации защищенного информационного обмена, средства контроля и фильтрации содержимого, средства криптографической защиты информации;
  • подсистемы антивирусного контроля;
  • подсистемы контроля защищенности:
    • -сканеры безопасности (средства регулярного мониторинга состояния АС и динамического оценивания рисков);
      -системы обнаружения вторжений (атак).

Координация -обязательна

Создание КСЗИ АС органов государственной власти крупных городов должно обязательно проводиться на основе единой идеологии с обязательной координацией действий всех заказчиков и разработчиков со стороны уполномоченного органа государственной власти субъекта Федерации.

При реализации КСЗИ необходимо учитывать, что локальных АС органов государственной власти практически не существует. Вся их работа строится на основе информационного взаимодействия между различными ведомствами и подразделениями, в том числе территориально распределенными. Так, в рамках создания "Электронного Петербурга" предполагается осуществлять информационное взаимодействие с населением в электронном виде, в частности, с использованием сети Интернет. Вот почему создание Единой мультисервисной телекоммуникационной сети (ЕМТС) исполнительных органов государственной власти Санкт-Петербурга и Узла телематических служб (УТС) Смольного в защищенном варианте подготовило серьезную базу для единого информационного пространства на уровне города [1].

Естественно, что создание единого информационного пространства (см. рисунок) проводилось с учетом выполнения действующих требований по защите информации, установленных в следующих основных нормативных документах:

  • федеральные законы;
  • указы Президента РФ;
  • руководящие документы ФСТЭК;
  • ГОСТ 34, 50, 51 серий.

Критерии выбора средств защиты информации

Любая система защиты информации (СЗИ) строится с использованием конкретных технических средств, общесистемного программного обеспечения (ПО), программных и программно-технических средств защиты информации. Хочется отметить критерии выбора этих средств, главным из которых всегда является наличие сертификатов ФСТЭК (Гостехкомиссии России), ФСБ (ФАПСИ), Госстандарта, Министерства связи и др. После проведения первичного отбора средств по главному критерию, наступает второй этап выбора средств защиты информации с учетом следующих дополнительных критериев:

  • соответствие технической политике уполномоченного органа государственной власти;
  • наличие опыта эксплуатации технических средств и общесистемного ПО специалистами, в эксплуатацию которых перейдет создаваемая СЗИ;
  • наличие в эксплуатации заказчика технических средств конкретных производителей;
  • соответствие заданным требованиям ТЗ;
  • высокая надежность технических средств и их доступность на рынке РФ;
  • широкая известность производителей технических средств и общесистемного ПО;
  • государственная направленность производителей технических средств и общесистемного ПО;
  • наличие выявляемых качественных преимуществ одних технических средств перед другими;
  • наличие выявляемых ценовых преимуществ одних технических средств перед другими;
  • наличие сервисных центров и технической поддержки в РФ как для технических средств,так и для общесистемного ПО;
  • соответствие требованиям программных средств защиты информации к аппаратной и программной платформе;
  • минимальные сроки поставки технических средств различных производителей от конкретных поставщиков;
  • полнота гарантийных обязательств на технические средства различных производителей;
  • соответствие стоимости технических средств и общесистемного ПО финансированию,предусмотренному условиями Договора на создание КСЗИ;
  • возможность работы программных средств защиты информации на выбираемых технических средствах;
  • возможность работы программных средств защиты информации под управлением выбираемого общесистемного ПО;
  • наличие опыта эксплуатации программных средств защиты информации специалистами заказчика;
  • наличие качественных преимуществ отдельных образцов из однотипного класса средств защиты информации;
  • наличие ценовых преимуществ отдельных образцов из однотипного класса средств защиты информации;
  • совместимость средств защиты информации в создаваемой системе со смежными системами;
  • известность производителей средств защиты информации;
  • наличие развитой сети технической поддержки и сопровождения со стороны производителя средств защиты информации;
  • наличие положительных отзывов на функционирование средств защиты информации.

Одновременный учет такого множества критериев является особенностью работы при создании КСЗИ для исполнительных органов государственной власти.

Информационный обмен в защищенном режиме

Одними из первых проектов по защите информации были проекты по созданию систем защиты информации ЕМТС и УТС [2,3]. Именно эти системы обеспечивают возможность интеграции в защищенном исполнении (АСЗИ) отраслевых комитетов и администраций районов в единое защищенное информационное пространство [4, 5, 6]. В этих проектах были заложены современные и перспективные решения. Данные решения с успехом могут применяться не только на уровне города, но и на уровне АС исполнительных органов государственной власти.

К настоящему моменту разработаны и созданы следующие СЗИ:

  • СЗИ единой мультисервисной телекоммуникационной сети исполнительных органов государственной власти Санкт-Петербурга" (СЗИ ЕМТС ИОГВ);
  • СЗИ узла телематических служб Санкт-Петербурга (СЗИ УТС);
  • СЗИ АИС "Государственный регистр населения Санкт-Петербурга (СЗИ АИС ГРН);
  • СЗИ АИС "ЗАГС Санкт-Петербурга" (СЗИ АИС ЗАГС);
  • СЗИ АИС "Бюджетный процесс - электронное казначейство" (СЗИ АИС БП-ЭК);
  • СЗИ АИС "Государственный заказ Санкт-Петербурга" (СЗИ АИСГЗ).

Руководствуясь общими принципами

Благодаря жесткой координации действий со стороны Комитета по информатизации и связи во всех выше перечисленных проектах использовались следующие единые подходы к построению системы защиты:

    1.Организация единого защищенного информационного пространства с включением в него всех ЛВС исполнительных органов государственной власти с использованием имеющейся транспортной базы.

    2.Организация на базе единого информационного пространства виртуальных сетей: в контролируемой зоне - VLAN,за ее пределами - VPN.

    3.Обеспечение межсетевого экранирования с помощью сертифицированных МЭ, входящих в состав криптомаршрутизаторов и межсетевых коммутаторов.

    4.Организация единого узла телематических служб для обеспечения единого защищенного выхода в публичные сети, включая сеть Интернет, для создания системы защищенной электронной почты, а также для обеспечения защищенной системы публикации и размещения информационных ресурсов в сети Интернет.

    5.Организация ограниченного количества защищенных точек доступа к информационным ресурсам корпоративной сети для внешних пользователей.

    6.Организация централизованного администрирования единого защищенного информационного пространства.

    7.Применение средств разграничения доступа на рабочих местах и серверах.

    8.Организация единой системы антивирусной защиты информации и фильтрации нежелательных почтовых рассылок.

    9.Применение средств криптографической защиты информации в электронном документообороте с использованием ЭЦП и шифрования информации на абонентском уровне на основе технологии PKI.

    10.Управление обновлениями ПО.

    11.Защита информации в аварийных ситуациях.

    12.Применение средств контроля защищенности, обнаружения и предупреждения компьютерных атак.

В заключение хочется отметить основной принцип создания комплексной системы защиты информации исполнительных органов государственной власти: тесное взаимодействие и координация работ отраслевых комитетов и районных администраций с Комитетом по информатизации и связи, что позволит избежать большого количества ошибок при создании структурных компонентов системы.

Список литературы

    1.Ясько С.А. "Комплексные системы защиты информации АС органов государственной власти". Тезисы доклада. Сборник материалов конференции "Информационная безопасность регионов России - 2005",СПб, 2005.

    2.Ясько С.А., Смирняков П.Ю."Система защиты информации Единой мультисервисной телекоммуникационной сети Исполнительных органов государственной власти Санкт-Петербурга". Технический проект. СПб., 2003.

    3.Ясько С.А., Каверин А.С. "Модернизация узла и электронной почты Исполнительных органов государственной власти Санкт-Петербурга в защищенном варианте с переносом в здание Смольного".Рабочая документация. СПб., 2004.

    4.Ясько С.А., Смирняков П.Ю. "Комплексная полнофункциональная система защиты информации автоматизированной информационной системы "Бюджетный процесс - Электронное казначейство". Технический проект. СПб., 2003.

    5.Ясько С.А., Смирняков П.Ю., Лавров А.А. "Система защиты информации автоматизированной информационной системы "Государственный регистр населения Санкт-Петербурга". Технический проект. СПб., 2003.

    6.Ясько С.А. "Система защиты информации автоматизированной информационной системы "Государственного заказа Санкт-Петербурга". Технорабочий проект. СПб., 2004.

Опубликовано: Журнал "Information Security/ Информационная безопасность" #3+4, 2006

Приобрести этот номер или подписаться

Статьи про теме