Межсетевой экран для защиты клиент-серверных ИСПДн

Довольно часто организации при выборе средств защиты информации опираются на выполнение законодательных требований, оставляя на втором плане интерфейс продукта, удобство эксплуатации, простоту управления и другие качественные характеристики решения, не связанные с защитным функционалом, определенным регулирующими органами. Представленные средства защиты информации, отвечающие требованиям законодательства, зачастую имеют громоздкий интерфейс, сложную систему управления, высокую трудоемкость настроек для получения отчетов, необходимых администратору ИБ, и требуют внесения изменений в топологию сети. Кроме того, компании, информационная система которых имеет клиент-серверную или многозвенную структуру, сталкиваются с определенными трудностями при выполнении требований законодательства в области защиты персональных данных. Трудности связаны с тем, что в этих системах персональные данные обрабатываются не только локально на компьютерах, но и на серверах баз данных, в клиентских приложениях, использующих сетевые сервисы, в веб-приложениях и т. д. Традиционные же средства защиты информации от несанкционированного доступа (НСД) ориентированы на защиту локальных ресурсов и при передаче данных по сети не обеспечивают их защиту. Кроме того, согласно требованиям приказа от 5 февраля 2010 г. № 58 ФСТЭК России в рамках подсистемы управления доступом должна выполняться “идентификация и проверка подлинности пользователя при входе в систему информационной системы”, трудности касаются также и выполнения предъявляемых требований к подсистеме регистрации и учета. Традиционные СЗИ от НСД не обеспечивают регистрацию событий, связанных с получением сетевого доступа к персональным данным в клиент-серверных и многозвенных ИСПДн.

Решением перечисленных проблем может стать использование сертифицированного межсетевого экрана TrustAccess с функцией аутентификации сетевых соединений. СЗИ TrustAccess представляет собой систему распределенных межсетевых экранов с централизованным управлением. Межсетевой экран TrustAccess имеет сертификат ФСТЭК России по уровню МЭ 2 и НДВ 4, что позволяет создавать защиту для ИСПДн до класса К1 включительно. Помимо этого TrustAccess обеспечивает эффективную защиту от большинства известных сетевых угроз, таких как Man in the Middle, подмена защищаемого объекта, replay-атака, IP-спуффинг, перехват сетевых пакетов, прослушивание сети, подмена сетевых пакетов, отказ в обслуживании. Решение также отличается широким набором защитных механизмов, среди них аутентификация сетевых соединений, фильтрация сетевых соединений, защита сетевого взаимодействия, ограничение работы по некоторым сетевым протоколам и ICMP-защита. Стоит отметить тот факт, что механизм аутентификации удостоверяет не только субъекты, но и объекты доступа, что позволяет деактуализировать угрозы, основанные на имитации (подмене) защищаемых объектов. В отличие от других средств защиты информации, также имеющих мощные защитные механизмы, TrustAccess, имея собственные механизмы аутентификации и разграничения доступа, не требует реконфигурации сетевой инфраструктуры, то есть можно использовать существующую топологию сети без внесения изменений. Для внедрения средства нет необходимости разбивать локальную сеть на сегменты, устанавливать дополнительные шлюзы и программное обеспечение. Аналогично TrustAccess не требует вносить изменения в логику работы информационных систем и менять протоколы сетевого взаимодействия компонентов информационной системы. Таким образом, защита TrustAccess является абсолютно прозрачной для приложений. Кроме того, TrustAccess обладает рядом отличительных черт, одной из которых является разграничение доступа как аутентифицированных пользователей, так и компьютеров, что выгодно отличает данный механизм от механизмов разграничения доступа, основанных на уровне только сетевых адресов и сетей TCP/IP. Правила разграничения доступа, оперирующие пользователями и компьютерами, представляют собой более совершенный механизм, учитывающий, например, перемещение пользователей с одного компьютера на другой. Особо стоит отметить пользовательский интерфейс АРМ администратора, позволяющий без труда управлять системой защиты с большим количеством защищаемых объектов. TrustAccess также позволяет настраивать необходимые отчеты событий ИБ в формате PDF и HTML.

Снижение класса ИСПДн с помощью межсетевого экрана TrustAccess

В свете необходимости привести информационные системы обработки персональных данных в соответствие с законодательными требованиями интересен сценарий использования межсетевого экрана TrustAccess для сегментирования сети. Известно, что одним из способов снижения финансовых затрат на защиту персональных данных является сегментирование сетевой ИСПДн с возможностью присвоить отдельным сегментам более низкий класс. Такой способ позволяет сократить объем обрабатываемой в ИСПДн информации, который является одним из критериев определения класса ИСПДн. В частности, снижение объемов обрабатываемых данных второй категории с более чем 100 тыс. записей до менее 1000 записей позволит понизить класс ИСПДн с К1 до К3. Очень важно, что сегментирование ИСПДн посредством сертифицированных межсетевых экранов является легитимным способом снижения класса ИСПДн. Согласно приказу 58 ФСТЭК России “…при разделении информационной системы при помощи межсетевых экранов на отдельные части системы для указанных частей системы может устанавливаться более низкий класс, чем для информационной системы в целом”.

На рисунке показан пример сегментирования ИСПДн с помощью сертифицированного межсетевого экрана TrustAccess. Оригинальная ИСПДн представляла собой многозвенную информационную систему класса К1 (в ИСПДн обрабатывается более 100 тыс. записей ПДн). Разбив систему с помощью межсетевого экрана на отдельные сегменты, рабочие станции можно классифицировать как ИСПДн класса К3, поскольку на каждой рабочей станции единовременно обрабатывается не более 1000 записей персональных данных.

НА ПРАВАХ РЕКЛАМЫ