В феврале 2013 года ФСТЭК России выпустил два приказа (№ 17 и № 21), регулирующих защиту персональных данных в ИСПДн и защиту информации в государственных (и муниципальных) информационных системах (ГИС). В 2014 году список аналогичных документов дополнил приказ ФСТЭК России от 14.03.2014 № 31, в котором сформулированы требования к защите информации в автоматизированных системах управления технологическими процессами (АСУ ТП). В данных приказах приводится перечень базовых мер защиты, которые регулятор требует выполнять с помощью сертифицированных средств защиты информации (СЗИ).
Большинство указанных мер выполняются классическими средствами защиты информации от несанкционированного доступа (СЗИ от НСД). Далее мы рассмотрим, как реализовать набор мер, обязательных для применения в системах
Идентификация и аутентификация субъектов доступа и объектов доступа
Secret Net заменяет стандартный механизм операционной системы по авторизации пользователей и позволяет проводить аутентификацию как по паролю, так и с использованием аппаратных средств усиленной аутентификации и стандартных сертификатов. Возможно и комбинирование способов аутентификации для достижения двухфакторной (многофакторной) аутентификации. Парольная информация защищена от перехвата как при локальном вводе (маскировка вводимых символов путем замены на «*»), так и при сетевой передаче.
Аутентификация устройств относится к сетевым мерам и реализуется средствами защиты других классов (например, с помощью АПКШ «Континент» или МЭ TrustAccess).
Управление идентификаторами и средствами аутентификации реализовано в Secret Net в программе управления пользователями и в расширениях стандартных оснасток управления Windows, настройки устанавливаются с помощью механизма политик. Гибкие настройки политик аутентификации позволяют настроить режимы аутентификации, задать условия блокировки учетных записей и сеансов пользователей, требования к стойкости парольной информации и другие параметры.
Управление доступом субъектов доступа к объектам доступа
Управление учетными записями в Secret Net осуществляется так же, как и управление аутентификационными данными — в программе управления и расширении оснасток Windows. Пользователи и администраторы в системе разделены с помощью ролей и полномочий.
В Secret Net реализованы собственные механизмы мандатного и дискреционного управления доступа к файлам, директориям и устройствам. Правила разграничения доступа к объектам файловой системы настраиваются в расширениях стандартных механизмов управления Windows, а для настройки доступа к устройствам используется механизм политик.
Доверенная загрузка может выполняться средствами модуля защиты диска, входящего в состав Secret Net, или с помощью аппаратного решения ПАК «Соболь», который интегрируется в Secret Net по управлению и аудиту. Интеграция с ПАК «Соболь» в централизованном режиме управления Secret Net позволяет контролировать доверенную загрузку централизованно, из программы управления Secret Net.
Управление сетевыми потоками, контроль удаленного и беспроводного доступа осуществляются средствами сетевой защиты и выходят за рамки функциональности СЗИ от НСД, но Secret Net способен разрешать или запрещать работу сетевых интерфейсов в зависимости от их типа и, в некоторых случаях, реализовывать данные меры.
Ограничение программной среды
Базовые меры по ограничению программной среды реализуются с помощью механизма замкнутой программной среды Secret Net. Данный механизм позволяет настроить список разрешенных к запуску приложений и модулей, все остальные исполняемые файлы и их компоненты пользователи запустить не смогут. Дополнительно возможна настройка контроля целостности исполняемых файлов, гарантирующих неизменность разрешенных к запуску программ. Если исполняемый файл обладает доверенной электронной цифровой подписью издателя, может быть настроено автоматическое обновление контрольной суммы при установке обновлений, что позволяет проводить плановую установку обновлений программного обеспечения без необходимости перенастройки ЗПС и ручного перерасчета контрольных сумм.
Защита машинных носителей персональных данных
Учет и управление доступом к машинным носителям выполняется в механизмах контроля устройств СЗИ Secret Net. Администратор с помощью политик безопасности может управлять устройствами как на уровне классов и моделей, так и на уровне отдельных устройств. Secret Net контролирует устройства USB, PCMCIA, IEEE1394, внешние диски, SD-карты, сетевые интерфейсы и другие типы устройств. В контроле устройств поддерживается полномочное (мандатное) управление доступом, позволяющее разграничить доступ к оборудованию в зависимости от текущего уровня доступа пользователя.
В состав Secret Net входит модуль гарантированного уничтожения удаляемой информации. При обычной работе данные удаляемых файлов остаются на жестких дисках. Сектора, в которых они хранились, лишь помечаются как свободные области и могут быть перезаписаны позднее, при новых операциях записи на диск. При включении модуля Secret Net удаляемые файлы автоматически затираются с помощью случайной информации и не могут быть в дальнейшем восстановлены. Для обеспечения дополнительных гарантий поддерживается несколько циклов затирания.
Регистрация событий безопасности
Secret Net генерирует события безопасности для всех аспектов защиты, все данные аудита сохраняются на компьютере и доступны для просмотра в локальных журналах. При централизованном режиме работы локальные журналы со всех компьютеров собираются в общую базу данных и доступны к изучению в общей программе управления.
Для регистрации событий используется системный таймер, внутренние системные часы информационной системы. Все журналы защищены от несанкционированного доступа и изменений.
Поддерживаются механизмы квитирования событий НСД в централизованном режиме, для каждого события можно отметить их обработку. При просмотре событий поддерживаются различные способы фильтрации данных.
Обеспечение целостности информационной системы и персональных данных
Контроль целостности в Secret Net выполняется для настраиваемых администратором списков файлов, директорий и данных реестра Windows. Поддерживаются различные действия при обнаружении изменения в контрольной сумме — от выдачи уведомления до блокировки рабочей станции. Можно контролировать целостность как системных файлов операционной системы, так и любых других файлов — приложений, данных, документов и так далее.
Восстановление Secret Net в случае повреждения служебных файлов может быть выполнено через программу установки. Поддерживается экспорт и импорт конфигурации для возможности резервного копирования настроек СЗИ.
Заключение
СЗИ Secret Net позволяет реализовать широкий набор обязательных базовых мер по защите информации в ИСПДн, ГИС и АСУ ТП. Однако классическое СЗИ от НСД не реализует меры, относящиеся к антивирусной защите, обнаружению вторжений, сетевой защите, защите технических средств, резервному копированию и защите виртуализации. Для выполнения этих мер существуют другие классы средств и организационные мероприятия, которые в совокупности позволяют обеспечить высокий уровень защиты в соответствии с требованиями регуляторов.
Автор — менеджер по продукту компании «Код Безопасности».
СПЕЦПРОЕКТ КОМПАНИИ «КОД БЕЗОПАСНОСТИ»
