Размещено на http://www.allbest.ru/

ДЕПАРТАМЕНТ ОБРАЗОВАНИЯ ГОРОДА МОСКВЫ

Государственное автономное профессиональное образовательное учреждение города Москвы

«Колледж предпринимательства № 11»

Кафедра информационных технологий

ДОПУСТИТЬ К ЗАЩИТЕ

Заведующий кафедрой

Информационных технологий

__________А. В. Осадчий

«__»___________ 2016 г.

ДИПЛОМНАЯ РАБОТА

На тему: «Проектирование и разработка средств защиты информации в ИП Музычук Е.С.»

Специальность 230111 Компьютерные сети

Выполнил:

Студент группы: ИБ-41

Музычук А.А.

Научный руководитель:

Преподаватель Кафедры ИТ

Моисеева Е.С.

Москва

2016

ДЕПАРТАМЕНТ ОБРАЗОВАНИЯ ГОРОДА МОСКВЫ

КОЛЛЕДЖ ПРЕДПРИНИМАТЕЛЬСТВА №11

Утверждаю

Заведующий кафедрой

___________________________

«____» _____________201__г.

ЗАДАНИЕ

на выполнение дипломного проекта (работы) студенту

Музычук Александру Андреевичу

Тема дипломного проекта (работы): «Проектирование и разработка средств защиты информации в ИП Музычук Е.С. ».

Целевая установка: Проектировка и разработка комплекса мер по защите информации в офис компании, с целью снижения вероятности угроз.

Основные вопросы, подлежащие разработке (исследованию):

1. изучение действующего законодательства Российской Федерации в области защиты персональных данных;

2. анализ информационной системы и системы защиты персональных данных, используемой в ней;

3. анализ источников угроз информации;

4. разработка политики информационной безопасности;

5. разработка технического проекта.

Срок представления законченной работы «_____» ___________201__г.

Научный руководитель: Моисеева Екатерина Александровна

Задание получил: «____» _____________201__г. студент ____________

ВВЕДЕНИЕ

Законы Российской Федерации обязывают каждую организацию вводить необходимые меры по защите информации, в том числе использовать различные средства от неправомерного или случайного доступа к ним, а так же уничтожения, блокирования, распространения и от иных не правомерных действий. Эффективная защита IT-инфраструктуры и прикладных корпоративных систем сегодня не возможна без внедрения современных технологий контроля сетевого доступа. Новые методы кражи информации, которая имеет большую значимость для компании, все больше заставляют принимать организационные меры. Именно охрана информации является одной из основных задач в сфере безопасности любого предприятия или организации. Целью данной работы является разработка, и проектировка комплекса мер по защите информации в офисе компании.

Для достижения поставленной цели необходимо выполнение следующих задач:

· Проведение обследования ИС;

· Составление модели угроз;

· Разработка политики ИБ;

· Проведение выбора средств ЗИ;

· Разработка технического проекта;

· Создание рабочей модели системы безопасности;

Актуальность темы дипломной работы определяется необходимостью защиты информации от угроз внедрения в офис компании. Можно сказать, что проблема безопасности данных остается не в полной мере неразрешенной и на сегодняшний день, т.к. у подавляющего большинства компаний не решены вопросы обеспечения безопасности информации, в результате чего в дальнейшем компания несет финансовые убытки. Для любой организации критически важным ресурсом является информация.

Практическая значимость данной работы заключается в минимализме рисков информационной системы компании.

ГЛАВА 1. АНАЛИТИЧЕСКАЯ ЧАСТЬ

1. 1 Описание предприятия

ИП «Музычук Е.С» оказывает комплексную техническую поддержку мероприятий по следующим профессиональным направлениям:

· звуковое обеспечение

· световое обеспечение

· видеооформление

· разработка контента

· составление технического задания

Категории мероприятий:

· Производства электромонтажных работ,

· прочая деятельность по техническому контролю, испытаниям и анализу,

· электросвязи,

· оптовая торговля электротоварами, радио- и телеаппаратуру,

· монтаж прочего инженерного оборудования,

· предоставление услуг по монтажу, ремонту и техническому обслуживанию прочего электрооборудования, не включенного в другоие группировки,

· предоставление услуг по монтажу, ремонту и техническому обслуживанию электрической распределительной и регулирующей аппаратуре;

1.2 Анализ объекта защиты

Объект защиты представляет собой офис, который находится на втором этаже пятиэтажного здания, расположенного на жилой территории.

1.3 Анализ текущей системы защиты информации

В офисе компании имеется 2 ноутбука и один стационарный компьютер с выходом в интернет

В офисе компании не полностью реализована система защиты информации для работников, которые подключены к сети интернет и переносят данные на съемных носителях (Портативный HDD и флеш-накопитель), так как не стоит антивирус на их рабочих местах, но есть аутентификация пользователей.

Некоторые компьютеры в зачастую покидают стены офиса.

1.3.1 Анализ рисков информационной безопасности

Анализ вероятных путей утечки информации или ее изменений показывает, что при отсутствии специальных мер защиты, возложенных на вычислительную систему, возможно:

· похищение носителей информации;

· копирование документов, удостоверяющих личность заказчика (паспорт гражданина РФ);

· копирование носителей информации;

· несанкционированное использование зарегистрированных пользователей;

· маскировка под зарегистрированного пользователя с помощью хищения паролей и других реквизитов разграничения доступа;

· использование программных ловушек;

· получение защищаемых данных с помощью серии разрешенных запросов;

· использование недостатков языков программирования и операционных систем;

· преднамеренное включение в библиотеки программ специальных блоков типа «троянских коней»;

· злоумышленный вывод из строя механизмов защиты.

Необходимо обеспечение защиты информации в сети офиса, на этой стадии будет применение комплекса мер, повышающих степень защиты сети.

Самым важным при построении системы защиты сети является баланс между простотой использования средств защиты и степенью защиты, обеспечиваемой этими средствами. Если затраты на защиту несоразмерны действительной опасности, это нанесет вред интересам компании. А если меры предосторожности будут сильно ограничивать пользователей, они могут найти пути их обхода, что сведет на нет пользу от введения соответствующих мер. В рамках разработки или анализа системы информационной безопасности наиболее целесообразной является качественная оценка ценности информационного ресурса со стороны владельца и согласование представления о размере возможного ущерба.

По согласованию с владельцем компании, конечная система защиты информации должна:

· обеспечивать защиту ПДн;

· не вызывать существенного снижения производительности аппаратно-программного обеспечения при обработке информации;

· обеспечивать высокую надёжность и средства восстановления как компонент системы защиты информации, так и самой информации;

· соответствовать современному уровню развития вычислительной техники и технологий автоматизированной обработки информации;

· обеспечивать защиту хранящейся, редактируемой и создаваемой информации;

· удовлетворять требованиям законодательства и нормативных документов Российской Федерации в области защиты ПДн.

1.4 План офиса

План офиса, в котором располагается компания: (Рис. 1 в приложении 1)

1.4.1 Физическая безопасность офиса

В здании, где находится офис, осуществляется круглосуточная охрана. Режим входа работников в организацию - по персональным идентификационным карточкам доступа или на основании служебного удостоверения. После входа и выхода работников из здания приходят смс уведомления. Пребывание посетителей осуществляется в сопровождении работника предприятия. В организации действует охранно-пожарная сигнализация. Во всех кабинетах установлены пожарные и охранные датчики (датчики на проникновение и движение). Ведется видеонаблюдение в коридоре.

1.5 Структура и особенности сети предприятия

На рис. 2( Приложение 1) показана логическая топология сети офиса

1.6 Нормативные правовые акты в области персональных данных

· Федеральный закон от 27 июля 2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации»

· Федеральный закон от 27 июля 2006 г. № 152-ФЗ «О персональных данных»

· Постановление Правительства Российской Федерации от 01 ноября 2012 № 1119«Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»

· Постановление Правительства Российской Федерации от 06 июля 2008 № 512 «Об утверждении требований к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных»

· Постановление Правительства Российской Федерации от 15 сентября 2008 № 687 «Об утверждении положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»

· Приказ ФСТЭК России от 18 февраля 2013г. № 21 «Об утверждении положения о методах и способах защиты информации в информационных системах персональных данных»

· Методические рекомендации по обеспечению с помощью криптосредств безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств автоматизации (утверждены 8 Центром ФСБ России от 21 февраля 2008 № 149/54-144)

· Приказ ФСБ России от 10.07.2014 г. № 378 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности».

· Федеральный закон "О коммерческой тайне" от 29.07.2004 N 98-ФЗ

· Постановление Правительства РФ от 1 ноября 2012 г. № 1119 определяет 4 уровня защищенности, в соответствии с которыми обеспечивается защита персональных данных. Уровень защищенности определяется категорией обрабатываемой информации, типом актуальных угроз и числом субъектов ПДн.(Смотреть приложение 1)

· Приказ ФСТЭК России от 18.02.2013 № 21 определяет состав мероприятий, которые должны быть реализованы в зависимости от уровня защищенности ИСПДн для устранения актуальных угроз. Также документ содержит требования к сертификации применяемых средств защиты информации.

· Приказ ФСБ России от 10.07.2014 № 378 определяет состав организационных и технических мер, которые необходимо реализовывать при применении в ИСПДн средств криптографической защиты информации. Документ также содержит требования к классу защиты СКЗИ в зависимости от уровня защищенности ПДн.

1. 7 ФЗ 152 «О ПЕРСОНАЛЬНЫХ ДАННЫХ»

1.7.1 Принципы и условия обработки персональных данных

1. Обработка персональных данных должна осуществляться на законной и справедливой основе.

2. Обработка персональных данных должна ограничиваться достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных.

3. Не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой.

4. Обработке подлежат только персональные данные, которые отвечают целям их обработки.

5. Содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки.

6. При обработке персональных данных должны быть обеспечены точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных. Оператор должен принимать необходимые меры либо обеспечивать их принятие по удалению или уточнению неполных или неточных данных.

7. Хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных. Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом. ФЗ 152 «О ПЕРСОНАЛЬНЫХ ДАННЫХ»- статья 5

1.7.2 Условия обработки персональных данных

1. Обработка персональных данных должна осуществляться с соблюдением принципов и правил, предусмотренных настоящим Федеральным законом. Обработка персональных данных допускается в следующих случаях:

1) обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных;

2) обработка персональных данных необходима для достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения возложенных законодательством Российской Федерации на оператора функций, полномочий и обязанностей;

3) обработка персональных данных необходима для осуществления правосудия, исполнения судебного акта, акта другого органа или должностного лица, подлежащих исполнению в соответствии с законодательством Российской Федерации об исполнительном производстве (далее - исполнение судебного акта);

4) обработка персональных данных необходима для исполнения полномочий федеральных органов исполнительной власти, органов государственных внебюджетных фондов, исполнительных органов государственной власти субъектов Российской Федерации, органов местного самоуправления и функций организаций, участвующих в предоставлении соответственно государственных и муниципальных услуг, предусмотренных Федеральным законом от 27 июля 2010 года N 210-ФЗ "Об организации предоставления государственных и муниципальных услуг", включая регистрацию субъекта персональных данных на едином портале государственных и муниципальных услуг и (или) региональных порталах государственных и муниципальных услуг;

5) обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем;

6) обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согласия субъекта персональных данных невозможно;

7) обработка персональных данных необходима для осуществления прав и законных интересов оператора или третьих лиц, в том числе в случаях, предусмотренных Федеральным законом "О защите прав и законных интересов физических лиц при осуществлении деятельности по возврату просроченной задолженности и о внесении изменений в Федеральный закон "О микрофинансовой деятельности и микрофинансовых организациях", либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы субъекта персональных данных;

8) обработка персональных данных необходима для осуществления профессиональной деятельности журналиста и (или) законной деятельности средства массовой информации либо научной, литературной или иной творческой деятельности при условии, что при этом не нарушаются права и законные интересы субъекта персональных данных;

9) обработка персональных данных осуществляется в статистических или иных исследовательских целях, за исключением целей, указанных в статье 15 настоящего Федерального закона, при условии обязательного обезличивания персональных данных;

10) осуществляется обработка персональных данных, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных либо по его просьбе (далее - персональные данные, сделанные общедоступными субъектом персональных данных);

11) осуществляется обработка персональных данных, подлежащих опубликованию или обязательному раскрытию в соответствии с федеральным законом.

2. Особенности обработки специальных категорий персональных данных, а также биометрических персональных данных устанавливаются соответственно статьями 10 и 11 настоящего Федерального закона.

3. Оператор вправе поручить обработку персональных данных другому лицу с согласия субъекта персональных данных, если иное не предусмотрено федеральным законом, на основании заключаемого с этим лицом договора, в том числе государственного или муниципального контракта, либо путем принятия государственным или муниципальным органом соответствующего акта (далее - поручение оператора). Лицо, осуществляющее обработку персональных данных по поручению оператора, обязано соблюдать принципы и правила обработки персональных данных, предусмотренные настоящим Федеральным законом. В поручении оператора должны быть определены перечень действий (операций) с персональными данными, которые будут совершаться лицом, осуществляющим обработку персональных данных, и цели обработки, должна быть установлена обязанность такого лица соблюдать конфиденциальность персональных данных и обеспечивать безопасность персональных данных при их обработке, а также должны быть указаны требования к защите обрабатываемых персональных данных в соответствии со статьей 19 настоящего Федерального закона.

4. Лицо, осуществляющее обработку персональных данных по поручению оператора, не обязано получать согласие субъекта персональных данных на обработку его персональных данных.

5. В случае, если оператор поручает обработку персональных данных другому лицу, ответственность перед субъектом персональных данных за действия указанного лица несет оператор. Лицо, осуществляющее обработку персональных данных по поручению оператора, несет ответственность перед оператором. ФЗ 152 «О ПЕРСОНАЛЬНЫХ ДАННЫХ»- статья 6

1.7.3 Конфиденциальность персональных данных

Операторы и иные лица, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом. ФЗ 152 «О ПЕРСОНАЛЬНЫХ ДАННЫХ»- статья 7

1. 8 Анализ аппаратно-программных средств контроля доступа

Системой контроля и управления доступом (СКУД) и системой контроля доступа (СКД) - называется совокупность программно-технических средств и организационно-методических мероприятий, с помощью которых решается задача контроля и управления посещения отдельных помещений, а так же оперативный контроль перемещения персонала и времени его нахождения на территории объекта

Система контроля и управления доступом (СКУД) - это не просто аппаратура и программное обеспечение, а продуманная система управления передвижением персонала на территории объекта охраны.

Среди средств ААА (от англ. authentication, authorization, administration - аутентификация, авторизация, администрирование) важное место занимают аппаратно-программные инструменты контроля доступа к компьютерам - электронные замки, устройства ввода идентификационных признаков (УВИП) и соответствующее ПО.

1.8.1 Методы и средства защиты от несанкционированного доступа

Средства ограничения физического доступа

Наиболее надежное решение проблемы ограничения физического доступа к компьютеру - использование аппаратных средств защиты информации от НСД, выполняющихся до загрузки операционной системы. Средства защиты данной категории называются «электронными замками». (Пример замка см. рис. 3 в приложении 1)

В теории, любое программное средство контроля доступа может подвергнуться воздействию злоумышленника с целью искажения алгоритма работы средства контроля доступа и последующего получения доступа к системе. Поступить подобным образом с аппаратным средством защиты практически невозможно: все действия по контролю доступа пользователей электронный замок выполняет в собственной доверенной программной среде, которая не подвержена внешним воздействиям.

На подготовительном этапе использования электронного замка выполняется его установка и настройка. Настройка включает в себя следующие действия, обычно выполняемые ответственным лицом:

1. Создание списка пользователей, которым разрешен доступ на защищаемый компьютер. Для каждого пользователя формируется ключевой носитель (в зависимости от поддерживаемых конкретным замком интерфейсов - дискета, электронная таблетка iButton или смарт-карта), по которому будет производиться аутентификация пользователя при входе. Список пользователей сохраняется в энергонезависимой памяти замка.

2. Формирование списка файлов, целостность которых контролируется замком перед загрузкой операционной системы компьютера. Контролю подлежат важные файлы операционной системы, например, следующие:

§ системные библиотеки Windows;

§ исполняемые модули используемых приложений;

§ шаблоны документов Microsoft Word и т. д.

Контроль целостности файлов представляет собой вычисление их эталонной контрольной суммы, например, хэширование по алгоритму ГОСТ Р 34.11-94, сохранение вычисленных значений в энергонезависимой памяти замка и последующее вычисление реальных контрольных сумм файлов и сравнение с эталонными.

В штатном режиме работы электронный замок получает управление от BIOS защищаемого компьютера после включения последнего. На этом этапе и выполняются все действия по контролю доступа на компьютер, а именно:

1. Замок запрашивает у пользователя носитель с ключевой информацией, необходимой для его аутентификации. Если ключевая информация требуемого формата не предъявляется или если пользователь, идентифицируемый по предъявленной информации, не входит в список пользователей защищаемого компьютера, замок блокирует загрузку компьютера.

2. Если аутентификация пользователя прошла успешно, замок рассчитывает контрольные суммы файлов, содержащихся в списке контролируемых, и сравнивает полученные контрольные суммы с эталонными. В случае, если нарушена целостность хотя бы одного файла из списка, загрузка компьютера блокируется. Для возможности дальнейшей работы на данном компьютере необходимо, чтобы проблема была разрешена Администратором, который должен выяснить причину изменения контролируемого файла и, в зависимости от ситуации, предпринять одно из следующих действий, позволяющих дальнейшую работу с защищаемым компьютером:

§ пересчитать эталонную контрольную сумму для данного файла, т.е. зафиксировать измененный файл;

§ восстановить исходный файл;

§ удалить файл из списка контролируемых.

3. Если все проверки пройдены успешно, замок возвращает управление компьютеру для загрузки штатной операционной системы.

Поскольку описанные выше действия выполняются до загрузки операционной системы компьютера, замок обычно загружает собственную операционную систему (находящуюся в его энергонезависимой памяти - обычно это MS-DOS или аналогичная ОС, не предъявляющая больших требований к ресурсам), в которой выполняются аутентификация пользователей и проверка целостности файлов. В этом есть смысл и с точки зрения безопасности - собственная операционная система замка не подвержена каким-либо внешним воздействиям, что не дает возможности злоумышленнику повлиять на описанные выше контролирующие процессы.

Информация о входах пользователей на компьютер, а также о попытках несанкционированного доступа сохраняется в журнале, который располагается в энергонезависимой памяти замка. Журнал может быть просмотрен Администратором.

При использовании электронных замков существует ряд проблем, в частности:

1. BIOS некоторых современных компьютеров может быть настроен таким образом, что управление при загрузке не передается BIOS'у замка. Для противодействия подобным настройкам замок должен иметь возможность блокировать загрузку компьютера (например, замыканием контактов Reset) в случае, если в течение определенного интервала времени после включения питания замок не получил управление.

2. Злоумышленник может просто вытащить замок из компьютера. Однако, существует ряд мер противодействия:

§ Различные организационно-технические меры: пломбирование корпуса компьютера, обеспечение отсутствие физического доступа пользователей к системному блоку компьютера и т. д.

§ Существуют электронные замки, способные блокировать корпус системного блока компьютера изнутри специальным фиксатором по команде администратора - в этом случае замок не может быть изъят без существенного повреждения компьютера.

§ Довольно часто электронные замки конструктивно совмещаются с аппаратным шифратором. В этом случае рекомендуемой мерой защиты является использование замка совместно с программным средством прозрачного (автоматического) шифрования логических дисков компьютера. При этом ключи шифрования могут быть производными от ключей, с помощью которых выполняется аутентификация пользователей в электронном замке, или отдельными ключами, но хранящимися на том же носителе, что и ключи пользователя для входа на компьютер. Такое комплексное средство защиты не потребует от пользователя выполнения каких-либо дополнительных действий, но и не позволит злоумышленнику получить доступ к информации даже при вынутой аппаратуре электронного замка.

Средства защиты от НСД по сети

Наиболее действенными методами защиты от несанкционированного доступа по компьютерным сетям являются виртуальные частные сети (VPN - Virtual Private Network) и межсетевое экранирование.

Виртуальные частные сети

Виртуальные частные сети обеспечивают автоматическую защиту целостности и конфиденциальности сообщений, передаваемых через различные сети общего пользования, прежде всего, через Интернет. Фактически, VPN - это совокупность сетей, на внешнем периметре которых установлены VPN-агенты. VPN-агент - это программа (или программно-аппаратный комплекс), собственно обеспечивающая защиту передаваемой информации путем выполнения описанных ниже операций.

Перед отправкой в сеть любого IP-пакета VPN-агент производит следующее:

1. Из заголовка IP-пакета выделяется информация о его адресате. Согласно этой информации на основе политики безопасности данного VPN-агента выбираются алгоритмы защиты (если VPN-агент поддерживает несколько алгоритмов) и криптографические ключи, с помощью которых будет защищен данный пакет. В том случае, если политикой безопасности VPN-агента не предусмотрена отправка IP-пакета данному адресату или IP-пакета с данными характеристиками, отправка IP-пакета блокируется.

2. С помощью выбранного алгоритма защиты целостности формируется и добавляется в IP-пакет электронная цифровая подпись (ЭЦП), имитоприставка или аналогичная контрольная сумма.

3. С помощью выбранного алгоритма шифрования производится зашифрование IP-пакета.

4. С помощью установленного алгоритма инкапсуляции пакетов зашифрованный IP-пакет помещается в готовый для передачи IP-пакет, заголовок которого вместо исходной информации об адресате и отправителе содержит соответственно информацию о VPN-агенте адресата и VPN-агенте отправителя. Т.е. выполняется трансляция сетевых адресов.

5. Пакет отправляется VPN-агенту адресата. При необходимости, производится его разбиение и поочередная отправка результирующих пакетов.

При приеме IP-пакета VPN-агент производит следующее:

1. Из заголовка IP-пакета выделяется информация о его отправителе. В том случае, если отправитель не входит в число разрешенных (согласно политике безопасности) или неизвестен (например, при приеме пакета с намеренно или случайно поврежденным заголовком), пакет не обрабатывается и отбрасывается.

2. Согласно политике безопасности выбираются алгоритмы защиты данного пакета и ключи, с помощью которых будет выполнено расшифрование пакета и проверка его целостности.

3. Выделяется информационная (инкапсулированная) часть пакета и производится ее расшифрование.

4. Производится контроль целостности пакета на основе выбранного алгоритма. В случае обнаружения нарушения целостности пакет отбрасывается.

5. Пакет отправляется адресату (по внутренней сети) согласно информации, находящейся в его оригинальном заголовке.

VPN-агент может находиться непосредственно на защищаемом компьютере. В этом случае с его помощью защищается информационный обмен только того компьютера, на котором он установлен, однако описанные выше принципы его действия остаются неизменными.

Основное правило построения VPN - связь между защищенной ЛВС и открытой сетью должна осуществляться только через VPN-агенты. Категорически не должно быть каких-либо способов связи, минующих защитный барьер в виде VPN-агента. Т.е. должен быть определен защищаемый периметр, связь с которым может осуществляться только через соответствующее средство защиты.

Политика безопасности является набором правил, согласно которым устанавливаются защищенные каналы связи между абонентами VPN. Такие каналы обычно называют туннелями, аналогия с которыми просматривается в следующем:

1. Вся передаваемая в рамках одного туннеля информация защищена как от несанкционированного просмотра, так и от модификации.

2. Инкапсуляция IP-пакетов позволяет добиться сокрытия топологии внутренней ЛВС: из Интернет обмен информации между двумя защищенными ЛВС виден как обмен информацией только между их VPN-агентами, поскольку все внутренние IP-адреса в передаваемых через Интернет IP-пакетах в этом случае не фигурируют.

Правила создания туннелей формируются в зависимости от различных характеристик IP-пакетов, например, основной при построении большинства VPN протокол IPSec (Security Architecture for IP) устанавливает следующий набор входных данных, по которым выбираются параметры туннелирования и принимается решение при фильтрации конкретного IP-пакета:

1. IP-адрес источника. Это может быть не только одиночный IP-адрес, но и адрес подсети или диапазон адресов.

2. IP-адрес назначения. Также может быть диапазон адресов, указываемый явно, с помощью маски подсети или шаблона.

3. Идентификатор пользователя (отправителя или получателя).

4. Протокол транспортного уровня (TCP/UDP).

5. Номер порта, с которого или на который отправлен пакет.

Межсетевое экранирование

Межсетевой экран представляет собой программное или программно-аппаратное средство, обеспечивающее защиту локальных сетей и отдельных компьютеров от несанкционированного доступа со стороны внешних сетей путем фильтрации двустороннего потока сообщений при обмене информацией. Фактически, межсетевой экран является «урезанным» VPN-агентом, не выполняющим шифрование пакетов и контроль их целостности, но в ряде случаев имеющим ряд дополнительных функций, наиболее часто из которых встречаются следующие:

o антивирусное сканирование;

o контроль корректности пакетов;

o контроль корректности соединений (например, установления, использования и разрыва TCP-сессий);

o контент-контроль.

Межсетевые экраны, не обладающие описанными выше функциями и выполняющими только фильтрацию пакетов, называют пакетными фильтрами.

Так же существуют персональные межсетевые экраны похожие на VPN-агентами, защищающие только компьютер, на котором они установлены.

Межсетевые экраны также располагаются на периметре защищаемых сетей и фильтруют сетевой трафик согласно настроенной политике безопасности.

Комплексная защита

Электронный замок может быть разработан на базе аппаратного шифратора. В этом случае получается одно устройство, выполняющее функции шифрования, генерации случайных чисел и защиты от НСД. Такой шифратор способен быть центром безопасности всего компьютера, на его базе можно построить полнофункциональную систему криптографической защиты данных, обеспечивающую, например, следующие возможности:

1. Защита компьютера от физического доступа.

2. Защита компьютера от НСД по сети и организация VPN.

3. Шифрование файлов по требованию.

4. Автоматическое шифрование логических дисков компьютера.

5. Вычислени/проверка ЭЦП.

6. Защита сообщений электронной почты.

1.8.2 Устройства ввода идентификационных признаков

В состав аппаратных средств УВИП входят идентификаторы и считывающие устройства (иногда считыватели могут отсутствовать). Современные УВИП принято классифицировать по виду идентификационных признаков и по способу их считывания (рис. 4 в приложении 1).

По способу считывания они подразделяются на контактные, дистанционные (бесконтактные) и комбинированные.

Контактное считывание идентификационных признаков предполагает непосредственное взаимодействие идентификатора и считывателя - проведение идентификатора через считыватель или их простое соприкосновение.

Бесконтактный (дистанционный) способ считывания не требует четкого позиционирования идентификатора и считывателя. Для чтения данных нужно либо на определенное расстояние поднести идентификатор к считывателю (радиочастотный метод), либо оказаться с ним в поле сканирования считывающего устройства (инфракрасный метод).

Комбинированный способ подразумевает сочетание обоих методов считывания.

По виду используемых идентификационных признаков УВИП могут быть электронными, биометрическими и комбинированными.

В электронных УВИП идентификационные признаки представляются в виде кода, записанного в электронную микросхему памяти идентификатора.

В биометрических устройствах идентификационными признаками являются индивидуальные физические признаки человека (отпечатки пальцев, геометрия ладони, рисунок сетчатки глаза, голос, динамика подписи и т. д.).

В комбинированных УВИП для идентификации используется несколько идентификационных признаков одновременно.

На российском рынке компьютерной безопасности предлагаются разнообразные УВИП. К сожалению, изделия отечественной разработки занимают на нем незначительную часть. Рассмотрим основные, самые распространенные типы устройств.

1.8.3 Устройства ввода на базе смарт-карт

Устройства ввода идентификационных признаков на базе смарт-карт относятся к классу электронных устройств. Они могут быть контактными и бесконтактными (дистанционными).

Основой внутренней организации смарт-карты является так называемая SPOM-архитектура (Self Programming One-chip Memory), предусматривающая наличие центрального процессора (CPU), ОЗУ, ПЗУ и электрически перепрограммируемой постоянной памяти EEPROM (рис. 5 в приложении 1). Как правило, в карте также присутствует специализированный сопроцессор.

Процессор обеспечивает разграничение доступа к хранящейся в памяти информации, обработку данных и реализацию криптографических алгоритмов (совместно с сопроцессором). В ПЗУ хранится исполняемый код процессора, оперативная память используется в качестве рабочей, EEPROM необходима для хранения изменяемых данных владельца карты.

В структуру бесконтактных смарт-карт на базе стандарта MIFARE 1 S50 IC (или MIFARE Standard) дополнительно входит радиочастотный модуль со встроенной антенной, необходимой для связи со считывателем и питания микросхемы. Смарт-карта является пассивной, расстояние считывания составляет не более 10 см. Обмен информацией осуществляется на частоте 13,56 МГц с максимальной скоростью 106 кбит/с.

Каждая смарт-карта обладает собственным уникальным серийным номером. Он задается на заводе-изготовителе, его нельзя изменить на протяжении всего срока эксплуатации карты. Идентификация по серийному номеру, шифрование данных и аутентификация областей памяти с помощью секретных ключей обеспечивают надежную защиту смарт-карт от взлома.

По отношению к компьютеру устройства чтения смарт-карт могут быть внешними и внутренними (например, встроенными в клавиатуру, гнездо 3,5” дисковода, корпус компьютера). Считыватель работает под управлением специальной программы - драйвера устройства чтения.

1.8.4 Устройства ввода на базе USB-ключей

Устройства ввода идентификационных признаков на базе USB-ключей относятся к классу электронных контактных устройств. В составе УВИП данного типа отсутствуют дорогостоящие аппаратные считыватели. Идентификатор, называемый USB-ключом, подключается к USB-порту непосредственно или с помощью соединительного кабеля.

Конструктивно USB-ключи выпускаются в виде брелоков (см. рис. 6 в приложение 1), которые легко размещаются на связке с обычными ключами. Брелоки выпускаются в цветных корпусах и снабжаются световыми индикаторами работы. Каждый идентификатор имеет собственный уникальный серийный номер. Основными компонентами USB-ключей являются встроенные процессор и память. Процессор выполняет функции криптографического преобразования информации и USB-контроллера. Память предназначается для безопасного хранения ключей шифрования, цифровых сертификатов и любой другой важной информации. Поддержка спецификаций PC/SC позволяет без труда переходить от смарт-карт к USB-ключам и встраивать их как в существующие приложения, так и в новые.

На российском рынке безопасности предлагаются следующие USB-ключи:

- серии iKey 10xx и iKey 20xx (разработка компании Rainbow Technologies);

- eToken R2, eToken Pro (Aladdin Knowledge Systems);

- ePass1000 и ePass2000 (Feitian Technologies);

- WebIdentity, CryptoIdentity (Eutron, www.eutron.com).

1.8.5 Комбинированные устройства ввода

Эффективность защиты компьютеров от НСД может быть повышена за счет комбинирования различных УВИП. Эта тенденция наглядно просматривается в изделиях ведущих мировых компаний.

Корпорация HID разработала карты-идентификаторы, объединяющие в себе различные технологии считывания идентификационных признаков. Например, в устройстве Smart ISOProx II сочетаются Proximity 125 кГц и контактная смарт-карт-технология MIFARE 13,56 МГц, в HID MIFARE Card - контактные и бесконтактные смарт-карт-технологии. В идентификаторе HID Proximity and MIFARE Card собран букет из трех технологий: Proximity 125 кГц, MIFARE 13,56 МГц и контактная смарт-карта.

Альянс Fujitsu Siemens Computers предлагает комбинированное УВИП под названием KBPC-CID. Данное изделие представляет собой объединенные встроенные в клавиатуру компьютера считыватель для смарт-карт и дактилоскопический сканер (рис. 7 в приложении 1). Клавиатура подключается к USB-порту защищаемого компьютера.

В компании Siemens найдено решение, позволяющее хранить в смарт-карте три биометрических идентификационных признака пользователя: отпечаток пальца, черты лица и голос.

Представляется интересным желание объединить USB-ключ с биометрической системой идентификации. Подобное предложение поступило от компании Trekstor, выпустившей изделие ThumbDrive Touch Основными компонентами устройства, выполненного в виде USB-брелока (рис. 9), являются дактилоскопический сканер и энергонезависимая флэш-память емкостью от 32 до 512 Мб. В памяти выделяются открытая и защищенная области. Пользователь получает доступ к защищенной области памяти после проверки отпечатков пальцев. Скорость чтения и записи данных составляет 500 и 250 Кб/с соответственно.(См. рис. 8 в приложении 1)

1.8.6 Электронные замки

На электронные замки возлагается выполнение следующих защитных функций:

- идентификация и аутентификация пользователей с помощью УВИП;

- блокировка загрузки операционной системы с внешних съемных носителей;

- контроль целостности программной среды компьютера;

- регистрация действий пользователей и программ.

Конструктивно электронные замки выполняются в виде плат расширения, устанавливаемых в разъемы системных шин PCI или ISA. Свои основные функции электронные замки реализуют до загрузки операционной системы компьютера. Для этого в составе каждого изделия имеется собственная память EEPROM, дополняющая базовую систему ввода-вывода BIOS компьютера. При включении компьютера выполняется копирование содержимого EEPROM замка в так называемую теневую область (Shadow Memory) оперативной памяти компьютера, с которой и ведется дальнейшая работа.

На российском рынке разработкой электронных замков занимается ограниченное число фирм. Ниже рассматриваются наиболее известные сертифицированные изделия отечественных компаний. Системные требования и различия версий Dallas Lock( См. таб. 1 в приложении 1)

1.9 Аккорд-АМДЗ

Возможности

СЗИ НСД «Аккорд-АМДЗ» представляет собой аппаратный модуль доверенной загрузки (АМДЗ) для IBM-совместимых ПК -- серверов и рабочих станций локальной сети, обеспечивающий защиту устройств и информационных ресурсов от несанкционированного доступа.

«Доверенная загрузка» -- это загрузка различных операционных систем только с заранее определенных постоянных носителей (например, только с жесткого диска) после успешного завершения специальных процедур: проверки целостности технических и программных средств ПК (с использованием механизма пошагового контроля целостности) и идентификации/аутентификации пользователя.

Основные характеристики

Комплекс начинает работу сразу после выполнения кода системного BIOS компьютера -- до загрузки операционной системы. Контроллеры семейства «Аккорд-АМДЗ» обеспечивают доверенную загрузку ОС, поддерживающих наиболее распространенные файловые системы, включая: FAT12, FAT16, FAT32, NTFS, HPFS, Ext2, Ext3, Ext4, ReiserFS, FreeBSD UFS/UFS2, Solaris UFS, QNX4, MINIX. Это, в частности, ОС семейств MS DOS, Windows, QNX, OS/2, UNIX, LINUX, BSD и др.

«Аккорд-АМДЗ», как правило, применяется в следующей конфигурации:

· контроллер («Аккорд-АМДЗ») -- представляет собой карту расширения (expansion card), устанавливаемую в свободный слот материнской платы СВТ (РС). Контроллер является универсальным, не требует замены при смене используемого типа операционной системы (ОС);

· съемник информации с контактным устройством, обеспечивающий интерфейс между контроллером комплекса и персональным идентификатором пользователя;

· персональный идентификатор пользователя-- специальное устройство, содержащее уникальный признак пользователя, с которым зарегистрированный пользователь входит в систему и который используется системой для определения его прав, а также для регистрации факта доступа и характера выполняемых им работ или предоставляемых ему услуг.

Количество и тип идентификаторов, модификация контроллера и съемника оговариваются при поставке комплекса. Персональные идентификаторы и съемники информации заказываются отдельно.

Контроллеры «Аккорд-АМДЗ»

«Аккорд-АМДЗ» может быть реализован на различных контроллерах, предназначенных для работы с разными шинными интерфейсами СВТ. При этом его базовая функциональность всегда остается одинаковой (вне зависимости от типа контроллера) и соответствует заявленной и отраженной в конструкторской и эксплуатационной документации.

Для того чтобы выбрать нужный Вам вариант, в первую очередь определите, свободный слот с каким шинным интерфейсом есть у того СВТ, в которое Вы планируете установить «Аккорд-АМДЗ».

Это может быть:

· PCI или PCI-X -- контроллеры Аккорд-5МХ или Аккорд-5.5

· PCI-express -- контроллеры Аккорд-5.5.е, Аккорд-5.5.e new (Аккорд-LE) или Аккорд-GX

· Mini PCI-express -- Аккорд-GXM

· Mini PCI-express half card -- контроллер Аккорд-GXMH

· M.2 с ключами A и/или E (интерфейс PCI-express) -- «Аккорд-M.2»

Сравнение с ПАК СЗИ Аккорд-Х(См. таб. 2 в приложении 1)

1.10 Аппаратно-программный модуль доверенной загрузки (АПМДЗ) «Соболь»

АПМДЗ предназначен для решения задач:

· Защита компьютеров от НСД и обеспечение ДЗ

· Создание доверенной программной среды для повышения класса защиты СКЗИ

Основные возможности МДЗ «Соболь»

· Идентификация и аутентификация

Идентификация и аутентификация пользователей обеспечивается до загрузки ОС при помощи ключей iButton, iKey2032, eToken, Rutoken и др.

· Регистрация попыток доступа

Электронный замок «Соболь» осуществляет ведение системного журнала, записи которого хранятся в специальной энергонезависимой памяти

· Контроль целостности

Модуль доверенной загрузки «Соболь» контролирует неизменность аппаратной конфигурации компьютера, файлов ОС и реестра Windows, прикладных программ

· Доверенная загрузка

Обеспечивается запрет загрузки ОС с внешних носителей, что гарантирует загрузку штатной доверенной операционной системы

· Аппаратный ДСЧ

Сертифицированный аппаратный датчик случайных чисел может быть использован в СКЗИ для генерации надежных ключей шифрования

· Сторожевой таймер

Дополнительный модуль сторожевого таймера блокирует доступ к компьютеру при обнаружении попытки отключения электронного замка «Соболь»

Преимущества

Возможность защиты современных персональных компьютеров и серверов, в том числе поддержка АПМДЗ новой платы Mini PCI Express Half для защиты ноутбуков и моноблоков.

Простота установки, настройки и администрирования

Возможность программной инициализации без вскрытия системного блока

Широкий выбор форматов исполнения

Сертификаты

Сертификат ФСТЭК России. СДЗ.ПР2, применяется для защиты АС до 1Б включительно (гостайна с грифом «совершенно секретно»), в ГИС до 1 класса включительно и в ИСПДн до УЗ1 включительно.

Сертификат ФСБ России. АПМДЗ класса 1Б, может использоваться для защиты информации, содержащей сведения, составляющие государственную тайну(с грифом «совершенно секретно»).

Заключение Министерства Обороны РФ. НДВ 2, применяется для защиты АС до 1Б включительно (гостайна с грифом «совершенно секретно»).

Системные требования ПАК «Соболь»

Для ПАК «Соболь» с сертификатом ФСБ России(См. таб. 3 в приложении 1)

Для ПАК «Соболь» с сертификатом ФСТЭК России(См. таб. 4 в приложении 1)

ГЛАВА 2. ПРОЕКТИРОВАНИЕ И СОЗДАНИЕ КОМПЛЕКСА МЕР ПО БЕЗОПАСНОСТИ

2.1 Средства защиты системы

Для защиты данных, хранящихся на файловом сервере офиса, от НСД предназначена подсистема управления доступом. В состав подсистемы управления доступом входят:

служба каталогов Active Directory

групповые политики AD.

Оба этих компонента полностью интегрированы в операционные системы семейства Windows, поэтому нет необходимости установки дополнительного программного обеспечения, необходимо будет только произвести дополнительную настройку сервера, который впоследствии будет выполнять роль контроллера домена.

Подсистема регистрации и учета выполняет следующие функции:

регистрация и учет действий пользователей ИСПДн и процессов;

регистрация действий администратора СЗПДн;

регистрация и учет событий информационной безопасности.

В качестве подсистемы регистрации и учета используется встроенный в ОС Windows модуль ведения журналов событий, а также средство их отображения - Event Viewer.

Сервер и обновление ПО - Windows Server 2008 R2.

Межсетевой экран - встроенный Firewall от Windows Server 2008 R2.

Антивирусная защита - AVG Antivirus

Контроль целостности - Dallas Lock 8.0 - k.

2.2 Определение требований к СЗИ

Требования к подсистеме управления доступом

Должны осуществляться:

Идентификация и аутентификация пользователей, являющихся работниками оператора;

Управление идентификаторами, в том числе создание, присвоение, уничтожение идентификаторов;

Управление средствами аутентификации, в том числе хранение, выдача, инициализация, блокирование средств аутентификации и принятие мер в случае утраты и (или) компрометации средств аутентификации;

Защита обратной связи при вводе аутентификационной информации;

Требования к подсистеме регистрации и учета

Должно осуществляться:

Управление (заведение, активация, блокирование и уничтожение) учетными записями пользователей;

Реализация необходимых методов (дискреционный, мандатный, ролевой или иной метод), типов (чтение, запись, выполнение или иной тип) и правил разграничения доступа;

Разделение полномочий (ролей) пользователей, администраторов и лиц, обеспечивающих функционирование информационной системы;

Назначение минимально необходимых прав и привилегий пользователям, администраторам и лицам, обеспечивающим функционирование информационной системы;

Ограничение неудачныхых попыток входа в информационную систему (доступа к информационной системе);

Блокирование сеанса доступа в информационную систему после установленного времени бездействия (неактивности) пользователя или по его запросу;

Разрешение (запрет) действий пользователей, разрешенных до идентификации и аутентификации;

Управление (фильтрация, маршрутизация, контроль соединений, однонаправленная передача и иные способы управления) информационными потоками между устройствами, сегментами информационной системы, а также между информационными системами.

Требования к подсистеме антивирусной защиты

1. Должна быть реализована антивирусная защита;

2. Должно осуществляться обновление базы данных сигнатур.

Требования к подсистеме контроля защищенности информации

Должно осуществляться:

Управление установкой (инсталляцией) компонентов программного обеспечения, в том числе определение компонентов, подлежащих установке, настройка параметров установки компонентов, контроль за установкой компонентов программного обеспечения;

Установка (инсталляция) только разрешенного к использованию программного обеспечения и (или) его компонентов;

Контроль установки обновлений программного обеспечения, включая обновление программного обеспечения средств защиты информации;

Контроль правил генерации и смены паролей пользователей, заведения и удаления учетных записей пользователей, реализации правил разграничения доступом, полномочий пользователей в информационной системе.

Контроль целостности информации

2.3 СЗИ НСД Dallas Lock 8.0-К

СЗИ Dallas Lock 8.0-K - система защиты конфиденциальной информации от несанкционированного доступа в процессе её хранения и обработки.

Представляет собой программный комплекс средств защиты информации в ОС семейства Windows с возможностью подключения аппаратных идентификаторов.

Соответствие требованиям руководящих документов (требования безопасности информации ФСТЭК России):

· «Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации» (Гостехкомиссия России, 1992) - по 5 классу защищенности;

· «Средства вычислительной техники. Межсетевые экраны. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации» (Гостехкомиссия России, 1992) - по 3 классу защищенности;

· «Требования к средствам контроля съемных машинных носителей информации» (документ утвержден приказом ФСТЭК России № 87 от 28 июля 2014 г.) - по 4 классу защиты;

· «Защита от несанкционированного доступа к информации. Часть 1. Программное обеспечение средств защиты информации. Классификация по уровню контроля отсутствия недекларированных возможностей» (Гостехкомиссия России, 1999) - по 4 уровню контроля отсутствия НДВ;

· «Профиль защиты средств контроля подключения съемных машинных носителей информации четвертого класса защиты» ИТ.СКН.П4.ПЗ.

Назначение:

· создание защищенных автоматизированных систем до класса защищенности 1Г включительно (Руководящий документ «Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации» (Гостехкомиссия России, 1992));

...