Разработка системы защиты персональных данных, обрабатываемых автоматизированным способом в корпоративной сети

I. Идентификация и аутентификация субъектов доступа и объектов доступа (ИАФ)

ИАФ.1

Идентификация и аутентификация пользователей, являющихся работниками оператора

ИАФ.З

Управление идентификаторами, в том числе создание, присвоение, уничтожение идентификаторов

ИАФ.4

Управление средствами аутентификации, в том числе хранение, выдача, инициализация, блокирование средств аутентификации и принятие мер в случае утраты и (или) компрометации средств аутентификации

ИАФ.5

Защита обратной связи при вводе аутентификационной информации

ИАФ.6

Идентификация и аутентификация пользователей, не являющихся работниками оператора (внешних пользователей)

II. Управление доступом субъектов доступа к объектам доступа (УПД)

УПД.1

Управление (заведение, активация, блокирование и уничтожение) учетными записями пользователей, в том числе внешних пользователей

УПД.2

Реализация необходимых методов (дискреционный, мандатный, ролевой или иной метод), типов (чтение, запись, выполнение или иной тип) и правил разграничения доступа

УПД.З

Управление (фильтрация, маршрутизация, контроль соединений, однонаправленная передача и иные способы управления) информационными потоками между устройствами, сегментами информационной системы, а также между информационными системами

УПД.4

Разделение полномочий (ролей) пользователей, администраторов и лиц, обеспечивающих функционирование информационной системы

УПД.5

Назначение минимально необходимых прав и привилегий пользователям, администраторам и лицам, обеспечивающим функционирование информационной системы

УПД.6

Ограничение неуспешных попыток входа в информационную систему (доступа к информационной системе)

УПД.10

Блокирование сеанса доступа в информационную систему после установленного времени бездействия (неактивности) пользователя или по его запросу

УПД.11

Разрешение (запрет) действий пользователей, разрешенных до идентификации и аутентификации

УПД.13

Реализация защищенного удаленного доступа субъектов доступа к объектам доступа через внешние информационно-телекоммуникационные сети

УПД.14

Регламентация и контроль использования в информационной системе технологий беспроводного доступа

УПД.15

Регламентация и контроль использования в информационной системе мобильных технических средств

УПД.16

Управление взаимодействием с информационными системами сторонних организаций (внешние информационные системы)

IV. Защита машинных носителей персональных данных (ЗНИ)

ЗНИ.8

Уничтожение (стирание) или обезличивание персональных данных на машинных носителях при их передаче между пользователями, в сторонние организации для ремонта или утилизации, а также контроль уничтожения (стирания) или обезличивания

V. Регистрация событий безопасности (РСБ)

РСБ.1

Определение событий безопасности, подлежащих регистрации, и сроков их хранения

РСБ.2

Определение состава и содержания информации о событиях безопасности, подлежащих регистрации

РСБ.З

Сбор, запись и хранение информации о событиях безопасности в течение установленного времени хранения

РСБ. 7

Защита информации о событиях безопасности

VI. Антивирусная защита (АВЗ)

АВ3.1

Реализация антивирусной защиты

АВ3.2

Обновление базы данных признаков вредоносных компьютерных программ (вирусов)

VIII. Контроль (анализ) защищенности персональных данных (АНЗ)

АНЗ.1

Выявление, анализ уязвимостей информационной системы и оперативное устранение вновь выявленных уязвимостей

АНЗ.2

Контроль установки обновлений программного обеспечения, включая обновление программного обеспечения средств защиты информации

АНЗ.3

Контроль работоспособности, параметров настройки и правильности функционирования программного обеспечения и средств защиты информации

АНЗ.4

Контроль состава технических средств, программного обеспечения и средств защиты информации

XI. Защита среды виртуализации (ЗСВ)

ЗСВ.1

Идентификация и аутентификация субъектов доступа и объектов доступа в виртуальной инфраструктуре, в том числе администраторов управления средствами виртуализации

ЗСВ.2

Управление доступом субъектов доступа к объектам доступа в виртуальной инфраструктуре, в том числе внутри виртуальных машин

ЗСВ.3

Регистрация событий безопасности в виртуальной инфраструктуре

ЗСВ.9

Реализация и управление антивирусной защитой в виртуальной инфраструктуре

ЗСВ.10

Разбиение виртуальной инфраструктуры на сегменты (сегментирование виртуальной инфраструктуры) для обработки персональных данных отдельным пользователем и (или) группой пользователей

XII. Защита технических средств (ЗТС)

ЗТС.3

Контроль и управление физическим доступом к техническим средствам, средствам защиты информации, средствам обеспечения функционирования, а также в помещения и сооружения, в которых они установлены, исключающие несанкционированный физический доступ к средствам обработки информации, средствам защиты информации и средствам обеспечения функционирования информационной системы, в помещения и сооружения, в которых они установлены

ЗТС.4

Размещение устройств вывода (отображения) информации, исключающее ее несанкционированный просмотр

XIII. Защита информационной системы, ее средств, систем связи и передачи данных (ЗИС)

ЗИС.3

Обеспечение защиты персональных данных от раскрытия, модификации и навязывания (ввода ложной информации) при ее передаче (подготовке к передаче) по каналам связи, имеющим выход за пределы контролируемой зоны, в том числе беспроводным каналам связи

ЗИС.20

Защита беспроводных соединений, применяемых в информационной системе

XV. Управление конфигурацией информационной системы и системы защиты персональных данных (УКФ)

УКФ.1

Определение лиц, которым разрешены действия по внесению изменений в конфигурацию информационной системы и системы защиты персональных данных

УКФ.2

Управление изменениями конфигурации информационной системы и системы защиты персональных данных

УКФ.3

Анализ потенциального воздействия планируемых изменений в конфигурации информационной системы и системы защиты персональных данных на обеспечение защиты персональных данных и согласование изменений в конфигурации информационной системы с должностным лицом (работником), ответственным за обеспечение безопасности персональных данных

УКФ.4

Документирование информации (данных) об изменениях в конфигурации информационной системы и системы защиты персональных данных

С учетом сведений Модели о структурно-функциональных характеристиках ЛВС, применяемых в ЛВС информационных технологиях, особенностей функционирования ЛВС произведена адаптация представленного базового набора мер по обеспечению безопасности ПД предприятия.

Адаптация базового набора мер защиты ПДН предприятия представлена в таблице 3.2.

Таблица 3.2. - Адаптация базового набора мер

Условное обозначение меры	Содержание мер по обеспечению безопасности ПД	Причины и способ адаптации защитных мер (замена, исключение, модификация)
УПД.13	Реализация защищенного удаленного доступа субъектов доступа к объектам доступа через внешние информационно-телекоммуникационные сети.	Защитная мера должна быть исключена, так как в соответствии с Моделью удаленный доступ субъектов доступа к объектам доступа через внешние информационно-телекоммуникационные сети к ИСПД не осуществляется.
УПД.14	Регламентация и контроль использования в информационной системе технологий беспроводного доступа.	Защитная мера должна быть исключена, так как в соответствии с Моделью технологии беспроводного доступа в ИСПД не используются.
УПД.15	Регламентация и контроль использования в информационной системе мобильных технических средств.	Защитная мера должна быть исключена, так как в соответствии с Моделью мобильные технические средства в ИСПД не используются.
ИАФ.6	Идентификация и аутентификация пользователей, не являющихся работниками оператора (внешних пользователей).	Защитная мера должна быть исключена, так как в соответствии с Моделью пользователи, не являющиеся работниками оператора, с ИСПД не работают.
ЗИС.3	Обеспечение защиты персональных данных от раскрытия, модификации и навязывания (ввода ложной информации) при ее передаче (подготовке к передаче) по каналам связи, имеющим выход за пределы контролируемой зоны, в том числе беспроводным каналам связи.	Защитная мера должна быть исключена, так как в соответствии с Моделью передача ПД, обрабатываемых в ИСПД, за пределами контролируемой зоны не осуществляется, а беспроводные каналы связи для передачи ПД не используются.

Уточнение и дополнение адаптированного набора мер не требуется.

В таблице 3.3 приведены средства реализации мер безопасности ПДн.

Таблица 3.3 - Средства реализации мер безопасности ПДн

Условное обозначение меры	Содержание мер по обеспечению безопасности ПД	Средства реализации мер безопасности
ИАФ	Идентификация и аутентификация субъектов доступа и объектов доступа (ИАФ)
ИАФ.1	Идентификация и аутентификация пользователей, являющихся работниками оператора.	Техническая реализация требований по идентификации и аутентификации пользователей ИСПД осуществляется в рамках следующих подсистем: управления доступом к АРМ и серверам домена Организации, с использованием механизмов идентификации и аутентификации службы Active Directory Domain Services (с помощью учетной записи пользователя и пароля); управления доступом к ИСПД с использованием механизмов идентификации и аутентификации ПО 1C:Предприятие 8 (используется доменная аутентификация Windows, а также система аутентификации ПО 1C:Предприятие 8 с помощью учетной записи пользователя и пароля).
ИАФ.3	Управление идентификаторами, в том числе создание, присвоение, уничтожение идентификаторов.	Управление идентификаторами учетных записей пользователей, в том числе их создание, присвоение, уничтожение осуществляется в соответствии с Регламентом управления доступом пользователей и администраторов.
ИАФ.4	Управление средствами аутентификации, в том числе хранение, выдача, инициализация, блокирование средств аутентификации и принятие мер в случае утраты и (или) компрометации средств аутентификации.	Управление средствами аутентификации, в том числе их хранение, выдача, инициализация, блокирование средств аутентификации и принятие мер в случае утраты и (или) компрометации указанных средств осуществляется в соответствии с Регламентом управления доступом пользователей и администраторов. Парольная политика Организации устанавливает следующие требования к паролям пользователей и администраторов: минимальная сложность пароля (требованиями к регистру, количеству символов, сочетанию букв верхнего и нижнего регистра, цифр и специальных символов) - …; минимальное количество измененных символов при создании новых паролей - …; максимальное время действия пароля - …; минимальное время действия пароля - …; количество неуспешных попыток входа, вызывающих блокировку учетной записи - …; запрет на использование пользователями определенного оператором числа последних использованных паролей при создании новых паролей - …; Техническая реализация указанных выше требований к паролям (в подсистеме управления доступом к АРМ и серверам домена, а также в интегрированной с ней подсистемой управления доступом ПО 1С: Предприятие 8) обеспечивается соответствующими настройками групповой политики домена Организации.
ИАФ.5	Защита обратной связи при вводе аутентификационной информации.	Используемые на серверах ИСПД и АРМ ИСПД ОС, а также прикладное ПО ИСПД обеспечивают защиту связи при вводе аутентификационной информации путем замены, отображаемых на экране, символов вводимых паролей учетных записей на условные знаки.
УПД	Управление доступом субъектов доступа к объектам доступа (УПД)
УПД.1	Управление (заведение, активация, блокирование и уничтожение) учетными записями пользователей, в том числе внешних пользователей.	Внешние пользователи ИСПД отсутствуют.
УПД.2	Реализация необходимых методов (дискреционный, мандатный, ролевой или иной метод), типов (чтение, запись, выполнение или иной тип) и правил разграничения доступа.	В ИСПД реализован ролевой метод доступа, в зависимости от должностных обязанностей администраторов и пользователей ИСПД. Технически правила разграничения доступа ролей в ИСПД реализованы с помощью ролей конфигурации ПО 1С: Предприятие. Доступ к ОС серверов и АРМ ИСПД реализован с помощью ролевого метода - каждая учетная запись (субъект доступа), в зависимости от должностных обязанностей принадлежит одной или нескольким группам (локальным группам компьютеров и доменным группам Active Directory Domain Services), которым в зависимости от должностных обязанностей владельца учетной записи, сопоставлен список субъектов доступа и перечень разрешенных действий в системе. Доступ к сетевому оборудованию ИСПД реализован с помощью дискреционного метода разграничения доступа - каждой учетной записи (субъекту доступа), в зависимости от должностных обязанностей владельца учетной записи, сопоставлен список субъектов доступа и перечень разрешенных действий в системе.
УПД.3	Управление (фильтрация, маршрутизация, контроль соединений, однонаправленная передача и иные способы управления) информационными потоками между устройствами, сегментами информационной системы, а также между информационными системами.	Между ЛВС и ЕВСПД установить МЭ, осуществляющий фильтрацию и контроль сетевых соединений по протоколам, адресу источника и адресу назначения передаваемых данных, фильтрацию с учетом входного и выходного сетевого интерфейса в ЛВС созданы виртуальные локальные вычислительные сети (VLAN); настроены маршрутизация, фильтрация и контроль соединений между VLAN; фильтрация сетевых соединений на уровне АРМ c помощью списков контроля доступа сетевого оборудования разрешить административный доступ к указанному оборудованию только с MAC и IP-адресов АРМ администраторам указанного оборудования.
УПД.4	Разделение полномочий (ролей) пользователей, администраторов и лиц, обеспечивающих функционирование информационной системы.	Разделение полномочий (ролей) пользователей, администраторов и лиц, обеспечивающих функционирование информационной системы реализовано в соответствии с графой п. УПД.2 данной таблицы.
УПД.5	Назначение минимально необходимых прав и привилегий пользователям, администраторам и лицам, обеспечивающим функционирование информационной системы.	Пользователям и администраторам ИСПД на основании соответствующих заявок предоставлены привилегии доступа (к серверам, АРМ ИСПД, ПО ИСПД) минимально необходимые для выполнения ими своих функциональных обязанностей.
УПД.6	Ограничение неуспешных попыток входа в информационную систему (доступа к информационной системе).	Ограничение неуспешных попыток входа в информационную систему регламентировано и реализуется в соответствии с графой «Средства реализации мер безопасности» п. ИАФ.4 данной таблицы.
УПД.10	Блокирование сеанса доступа в информационную систему после установленного времени бездействия (неактивности) пользователя или по его запросу.	Настройки групповых политик домена, в который входят серверы ИСПД и АРМ ИСПД обеспечивают блокирование бездействующего сеанса доступа к ОС по истечении 10 минут на серверах и по истечении 15 минут на АРМ пользователя.
УПД.11	Разрешение (запрет) действий пользователей, разрешенных до идентификации и аутентификации.	Настройки прав доступа к объектам домена, в котором функционируют серверы ИСПД и АРМ ИСПД, а также настройки прав доступа сетеового оборудования ЛВС и прикладного ПО ИСПД, исключают действия пользователей не прошедших идентификацию и аутентификацию.
ЗНИ	Учет машинных носителей персональных данных (ЗНИ)
ЗНИ.8	Уничтожение (стирание) или обезличивание персональных данных на машинных носителях при их передаче между пользователями, в сторонние организации для ремонта или утилизации, а также контроль уничтожения (стирания) или обезличивания.	Уничтожение машинных носителей ПД или содержащихся на них ПД осуществляется в порядке установленном в положении о персональных данных предприятия
РСБ	Регистрация событий безопасности (РСБ)
РСБ.1	Определение событий безопасности, подлежащих регистрации, и сроков их хранения.	Перечень событий безопасности, подлежащих регистрации, и сроков их хранения установлен в Политике регистрации и учета событий информационной безопасности Организации
РСБ.2	Определение состава и содержания информации о событиях безопасности, подлежащих регистрации.	Состав и содержание информации о событиях безопасности, подлежащих регистрации определены в Политике регистрации и учета событий информационной безопасности Организации
РСБ.3	Сбор, запись и хранение информации о событиях безопасности в течение установленного времени хранения.	Сбор, запись и хранение информации о событиях безопасности в течение установленного времени обеспечивается системой протоколирования событий ОС серверов и АРМ ИСПД, а также системами протоколирования событий сетевого оборудования ЛВС и технологического журнала ПО 1С: Предприятие 8.2. Централизованное хранение информации о событиях безопасности, агрегирование и корреляция такой информации осуществляется с помощью ПО …
РСБ.7	Защита информации о событиях безопасности.	Требования защиты доступа к записям аудита и функциям управления механизмами регистрации (аудита), а также требование предоставления доступа к указанным журналам только уполномоченным должностным лицам. Техническая реализация указанных выше требований обеспечивается настройками прав доступа к журналам событий серверов и АРМ ИСПД, сетеового оборудования ЛВС и ПО 1С: Предприятие 8.2.
АВЗ	Антивирусная защита (АВЗ)
АВЗ.1	Реализация антивирусной защиты.	На серверах ИСПД и АРМ ИСПД используется антивирусное ПО: Kaspersky Endpoint Security 10 для Windows (для рабочих станций) - сертификат ФСТЭК России соответствия по требованиям безопасности информации № 1384; Kaspersky Endpoint Security 10 для Windows (для серверов) - сертификат ФСТЭК России соответствия по требованиям безопасности информации № 1382; Kaspersky Security для виртуальных сред.
АВЗ.2	Обновление базы данных признаков вредоносных компьютерных программ (вирусов).	Настройки антивирусного ПО обеспечивают ежедневное (один раз в 3 часа) обновление базы данных признаков вредоносных компьютерных программ. Обновление осуществляется из хранилища обновлений загружаемых в него с сервера производителя ПО (загрузка обновлений производится каждые 3 часа).
АНЗ	Контроль (анализ) защищенности персональных данных (АНЗ)
АНЗ.1	Выявление, анализ уязвимостей информационной системы и оперативное устранение вновь выявленных уязвимостей.	Установить сканер уязвимостей ИБ
АНЗ.2	Контроль установки обновлений программного обеспечения, включая обновление программного обеспечения средств защиты информации.	Регулярное обновление ПО компании Microsoft и его контроль осуществляется с помощью сканера уязвимостей. Регулярное обновление антивирусного ПО и его контроль осуществляется с помощью ПО Kaspersky Security Center. Обновление ПО других производителей осуществляется в ручном режиме.
АНЗ.3	Контроль работоспособности, параметров настройки и правильности функционирования программного обеспечения и средств защиты информации.	Порядок проведения контроля, перечень проверяемых настроек и их параметров установлены в Инструкции администратора ИСПД и Инструкции администратора информационной безопасности ИСПД, входящих в состав эксплуатационной документации на ИСПД. Ежедневный контроль работоспособности, параметров настройки и правильности функционирования ПО и средств защиты информации осуществляют системный администратор ИСПД и администратор ИБ ИСПД. Также указанный контроль осуществляется в ходе плановых проверок ИСПД проводимых на предприятии
АНЗ.4	Контроль состава технических средств, программного обеспечения и средств защиты информации.	Администратор осуществляет контроль ИБ. Ежедневный контроль состава технических средств, ПО и средств защиты информации осуществляет администратор ИБ ИСПД. Также указанный контроль осуществляется в ходе плановых проверок ИСПД проводимых на прндприятии
ЗСВ	Защита среды виртуализации (ЗСВ)
ЗСВ.3	Регистрация событий безопасности в виртуальной инфраструктуре.	Регистрация событий безопасности в гостевых операционных системах виртуальной инфраструктуры и компонентах виртуальной инфраструктуры (гипервизоров) осуществляется в соответствии с графой «Реализованные меры по обеспечению безопасности ПД» пп. РСБ.1,2,3,7 данной таблицы. Средствами гипервизора VMware ESXi 5.0 осуществляется регистрация следующей события связанных с работой компонентов виртуальной инфраструктуры: запуск (завершение) работы компонентов виртуальной инфраструктуры; доступ субъектов доступа к компонентам виртуальной инфраструктуры; изменения в составе и конфигурации компонентов виртуальной инфраструктуры во время их запуска, функционирования и аппаратного отключения; изменения правил разграничения доступа к компонентам виртуальной инфраструктуры.
ЗСВ.9	Реализация и управление антивирусной защитой в виртуальной инфраструктуре.	Реализация и управление антивирусной защитой в виртуальной инфраструктуре осуществляется в соответствии с графой «Средства меры по обеспечению безопасности ПД» пп. АВЗ.1,2 данной таблицы.
ЗСВ.10	Разбиение виртуальной инфраструктуры на сегменты (сегментирование виртуальной инфраструктуры) для обработки персональных данных отдельным пользователем и (или) группой пользователей.	Разбиение виртуальной инфраструктуры на сегменты обеспечивается настройкой гиперввизора VMware ESXi 5.0
ЗТС	Защита технических средств (ЗТС)
ЗТС.3	Контроль и управление физическим доступом к техническим средствам, средствам защиты информации, средствам обеспечения функционирования, а также в помещения и сооружения, в которых они установлены, исключающие несанкционированный физический доступ к средствам обработки информации, средствам защиты информации и средствам обеспечения функционирования информационной системы, в помещения и сооружения, в которых они установлены.	Допуск на территорию комплекса зданий осуществляется по пропускам и регламентирован «Порядком допуска на территорию Комплекса зданий и сооружений ООО «ООО» Серверы ИСПД и АРМ ИСПД размещены на охраняемой, в том числе с помощью инженерно-технических средств охраны, и огороженной забором территории комплекса зданий Организации. Серверы ИСПД размещены в запираемом серверном помещении, доступ посторонних лиц в которое исключен. В серверное помещение ИСПД допускаются лица, включенные в утвержденный Список лиц допускаемых в серверное помещение № 1 корпуса 1. Факты доступа в серверное помещение ИСПД и проведения в нем работ регистрируются в Журнале доступа в серверное/кроссовое помещение и проводимых работах.
ЗТС.4	Размещение устройств вывода (отображения) информации, исключающее ее несанкционированный просмотр.	Размещение устройств вывода (отображения) информации ИСПД, исключает ее несанкционированный просмотр.
ЗИС	Защита информационной системы, ее средств, систем связи и передачи данных (3ИС)
ЗИС.3	Обеспечение защиты персональных данных от раскрытия, модификации и навязывания (ввода ложной информации) при ее передаче (подготовке к передаче) по каналам связи, имеющим выход за пределы контролируемой зоны, в том числе беспроводным каналам связи.	Защита информации при ее передаче по каналам связи, имеющим выход за пределы контролируемой зоны, обеспечивается следующими защитными мерами: Организация использует собственные каналы связи, в отношении которых установлены требования по их физической защите от несанкционированного доступа; защита указанных каналов связи от несанкционированного физического доступа (подключения) к ним обеспечена их размещением в подземных кабельных колодцах с запираемыми на замки люками; В соответствии с Политикой информационной безопасности ЛВС Организации регулярно проводится контроль целостности данной системы физической защиты, результаты контроля документируются.
УКФ	Управление конфигурацией информационной системы и системы защиты персональных данных (УКФ)
УКФ.1	Определение лиц, которым разрешены действия по внесению изменений в конфигурацию информационной системы и системы защиты персональных данных	Перечень администраторов и администраторов ИБ определен приказом утверждении Перечня информационных ресурсов и назначении ответственных за эксплуатацию и информационную безопасность информационных систем предприятия
УКФ.2	Управление изменениями конфигурации информационной системы и системы защиты персональных данных	Требование по управлению изменениями конфигурации информационных систем, средств и систем защиты информации (включая ИСПД и СЗПД) Реализация указанных требований осуществляется в соответствии с Регламентом безопасной эксплуатации технических средств обработки, хранения и передачи информации.
УКФ.3	Анализ потенциального воздействия планируемых изменений в конфигурации информационной системы и системы защиты персональных данных на обеспечение защиты персональных данных и согласование изменений в конфигурации информационной системы с должностным лицом (работником), ответственным за обеспечение безопасности персональных данных	Требования анализа потенциального воздействия планируемых изменений в конфигурации информационной системы, средств и систем защиты информации (включая ИСПД и СЗПД) на обеспечение безопасности защищаемой информации (включая ПД) и требование согласования изменений в конфигурации информационной системы с должностным лицом (работником), ответственным за обеспечение безопасности ПД (администратором ИБ ИСПД) установлено в Политике информационной безопасности организации Реализация указанного требования осуществляется в соответствии с Регламентом безопасной эксплуатации технических средств обработки, хранения и передачи информации
УКФ.4	Документирование информации (данных) об изменениях в конфигурации информационной системы и системы защиты персональных данных	Реализация указанных требований осуществляется в соответствии с Регламентом безопасной эксплуатации технических средств обработки, хранения и передачи информации

Для реализации выбранных мер безопасности ПДн, обрабатываемых в ИСПДн предприятия потребуются следующие средства защиты информации, передаваемой в корпоративной сети предприятия:

? межсетевые экраны;

? сканер уязвимостей.

3.2 Модернизация схемы корпоративной сети предприятия

Перед выбором средств защиты информации модернизируем исходную схему сети.

Для обеспечения высокой отказоустойчивости cсерверного сегмента, его необходимо подключить к 2 коммутаторам уровня доступа. Данное решение позволит освободить несколько портов коммутатора Cisco Catalyst 6513. Подключение двух коммутаторов осуществляется по технологии для построения стека коммутаторов StackWise-480.

Подключение серверного сегмента к коммутатору Cisco Catalyst 6513 представлено на рисунке 3.1

Рисунок 3.1 - Подключение серверного сегмента

Суть технологии в том, что два коммутатора подключаются специальными стековыми кабелями друг к другу. Когда на порт первого коммутатора поступают пакеты они направляются через стековый кабель на порт другого коммутатора, где происходит их обработка и пакеты отправляются на коммутатор Cisco Catalyst 6513. Данную технологию поддерживают коммутаторы Cisco 3850.

Главными преимуществами технологии StackWise-480 являются:

- увеличение масштабируемости системы, обусловленной подключением новых устройств к сети;

- повышение отказоустойчивости за счет назначения наличия резервного источника питания, при отключении одного контроллера питания используется резервный источник питания, поддерживающий работу коммутатора без потери подключения к сети.

Для реализации меры управления (фильтрация, маршрутизация, контроль соединений, однонаправленная передача и иные способы управления) информационными потоками между устройствами, сегментами информационной системы, а также между информационными системами необходимо установить межсетевой экран между ЛВС и ЕВСПД, осуществляющий фильтрацию и контроль сетевых соединений по протоколам, адресу источника и адресу назначения передаваемых данных.

Для повышения уровня защищенности ЛВС предприятия необходимо выполнить переконфигурацию телекоммуникационного оборудования, в соответствии со следующими рекомендациями:

1. фильтрация с учетом входного и выходного сетевого интерфейса.

2. Фильтрация сетевых соединений на уровне АРМ c помощью списков контроля доступа сетевого оборудования.

Для выбора межсетевого экрана необходимо провести сравнительный анализ нескольких моделей МСЭ от разных производителей по следующим характеристикам:

? пропусканая способность;

? количество подключений;

- поддерживание аутентификации;

? антиспуффинг;

? контроль НДВ;

? класс МЭ

? шифрование;

? цена.

Сравнение характеристик межсетевых экранов приведен в таблице 3.3.

Таблица 3.3 - Сравнение характеристик межсетевых экранов

	FortiGate-100D-LENC-CERT	АПКШ «Континент» IPC-100	ViPNet Coordinator HW1000 версия 4.2
Пропусканая способность	950 Мбит/сек	400 Мбит/сек	950 Мбит/сек
Количество подключений	40 000	25 000	1 00000
Поддерживание аутентификации	Есть	Есть	Есть
антиспуффинг	Есть	Есть	Есть
контроль НДВ	3	2	4
класс МЭ	4	2	3
шифрование	Есть	Есть	Есть
цена	251 497 р.	314 590 р.	233 800,00 р.

Анализ таблицы 3.3 показывает, что межсетевой экран ViPNet Coordinator HW100 имеет наибольшую пропускную способность и количество подключений при этом имеет наименьшую стоимость, а также ряд следующих преимуществ:

1. Поддержка работы в современных мультисервисных сетях связи без ограничений по совместимости и со службами DHCP, WINS, DNS, динамическим преобразованием адресов (NAT, PAT), использованием мультимедийных протоколов (SIP, H323, SCCP).

2. Специальная архитектура файловой системы предотвращает возможность порчи образа операционной системы и ПО ViPNet при сбоях питания.

3. Защита мультисервисных сетей.

4. Разграничение доступа к информации в локальных сетях, сегментирование локальных сетей (например, выделение DMZ).

В отделе ИБ на АРМ администратора информационной безопасности устанавливается ViPNet Центр управления сетью, позволяющий производить настройку межсетевого экрана удаленно.

На АРМ пользователей необходимо установить программный комплекс ViPNet Client, предназначенный для защиты рабочих мест корпоративных пользователей, осуществляет защиту от внешних и внутренних сетевых атак за счет фильтрации трафика.

Для выявления и анализа уязвимостей информационной системы и оперативного устранения вновь выявленных уязвимостей необходимо установить на АРМ Администратора информационной безопасности в отеле ИБ сканер уязвимостей.

Выбор сканера уязвимостей производится в результате сравнительного анализа необходимо выбрать сканеры уязвимостей, получившие сертификат ФСТЭК.

К таким сканерам относятся следующие:

? XSpider 7.8.25 сертификат ФСТЭК до 24 октября 2024 года;

? «Сканер-ВС» сертификат ФСТЭК до до 13 ноября 2019 года.

В таблице 3.4 представлено сравнение основных технических характеристик сканеров уязвимостей «Сканер-ВС» и XSpider 7.8.25.

Анализ таблицы 3.4 показывает, что «Сканер-ВС» имеет больший функционал, чем сканер уязвимостей XSpider 7.8.25 и наименьшую стоимость.

Таблица 3.4 - Сравнение основных характеристик сканеров уязвимостей

Характеристики	«Сканер-ВС»	XSpider
обеспечение загрузки доверенной среды с любого компьютера с автоматическим определением сетевого оборудования, подключенного к вычислительной сети	Есть	Нет
инвентаризация (фиксация) ресурсов компьютерной сети (узлов, портов, сервисов)	Есть	Есть
сканирование узлов вычислительной сети на предмет наличия известных уязвимостей, сканирование с применением SSH/SMB полномочий	Есть	Есть
локальный (на любом ПК) и сетевой аудиты парольной защиты	Есть	Есть
подбор эксплойтов для целевого узла, эксплуатация уязвимостей, полная имитация реальных атак в аудите	Есть	Нет
поиск и гарантированное уничтожение остаточной информации на носителях данных	Есть	Нет
проверка возможности осуществления атак на отказ в обслуживании и подмены адреса	Есть	Есть
анализ сетевого трафика	Есть	Есть
аудит обновлений ОС Microsoft Windows: XP, Vista, 7, 8, 10	Есть	Есть
Цена на 32 адреса	25 000 р.	42 000р.

Рисунок 3.2 - Модернизированная схема корпоративной сети предприятия

Установлены следующие средства защиты информации:

- Межсетевой Экран ViPNet Coordinator HW1000;

- ViPNet ЦУС на АРМ администратора и ViPNet Client на АРМ пользователей.

3.3 Настройка оборудования и выбранных средств защиты информации

На коммутаторах уровня доступа необходимо настроить следующие функции защиты:

? IP Source Guard;

? Port Security;

? Dynamic ARP Inspection;

? Anti-Spoofing.

IP Source Guard - эффективное средство предотвращения спуфинга, которое можно использовать, если есть контроль над интерфейсами уровня 2. IP Source Guard использует информацию из отслеживания DHCP для динамической настройки списка управления доступом к портам (PACL) на интерфейсе уровня 2, отрицая любой трафик с IP-адресов, которые не связаны в таблице привязки источника IP.

IP Source Guard (IPSG) применяется к интерфейсам уровня 2, принадлежащим VLAN с поддержкой отслеживания DHCP. Эти команды позволяют отслеживать DHCP:

ip dhcp snooping

ip dhcp snooping vlan <vlan-range>

После включения отслеживания DHCP эти команды активируют IPSG:

interface <interface-id>

ip verify source

Port Security используется для нейтрализации атак подделки MAC-адресов на интерфейсе доступа. Port Security может использовать динамически узнаваемые (sticky) MAC-адресов для упрощения начальной конфигурации. После того как port security определила нарушение MAC, он может использовать один из 3 режимов нарушения. Этими режимами являются protect, restrict, и shutdown.

Без использования динамически узнаваемых MAC-адресов (sticky), после перезагрузки порта port security не будет определять ранее тот же самый поддельный MAC-адрес, так как по умолчанию максимальное количество запоминаемых поддельных MAC-адресов равно 1 и хранится это значение в оперативной памяти.

Настройка Port Security для коммутатора:

interface <interface>

switchport

switchport mode access

switchport port-security

witchport port-security mac-address sticky

switchport port-security maximum <number>

switchport port-security violation <violation-mode>

Dynamic ARP Inspection (DAI) используется для уменьшения атак ARP-poisoning на локальные сегменты. Атака ARP-poisoning это метод, при котором злоумышленник отправляет фальсифицированную информацию ARP в локальный сегмент. Эта информация предназначена для того, чтобы испортить кеш ARP для других устройств.

Часто злоумышленник использует отравление ARP для совершения атаки «Man In The Midle».

DAI перехватывает и проверяет отношение IP-MAC-адресов всех ARP-пакетов на ненадежных портах. В средах DHCP DAI использует данные, которые генерируются функцией отслеживания DHCP.

Пакеты ARP, полученные на доверенных интерфейсах, не проверяются, а недопустимые пакеты на ненадежных интерфейсах отбрасываются. В средах, отличных от DHCP, требуется использование ACL ACP.

Эти команды позволяют отслеживать DHCP:

ip dhcp snooping

ip dhcp snooping vlan <vlan-range>

После включения функции DHCP snooping эти команды активируют DAI:

ip arp inspection vlan <vlan-range>

В средах, не относящихся к DHCP, для включения DAI требуются ACL ARP. В этом примере показана базовая конфигурация DAI с ACL ARP:

arp access-list <acl-name>

permit ip host <sender-ip> mac host <sender-mac>

ip arp inspection filter <arp-acl-name> vlan <vlan-range>

Введенные вручную списки управления доступом могут предоставлять статическую защиту от обмана от атак, которые используют неизвестное неиспользуемое и ненадежное адресное пространство. Как правило, эти ACL для защиты от спуфинга применяются для доступа к трафику на границах сети в качестве компонента большего ACL. Anti-spoofing ACL требуют регулярного мониторинга, потому что они могут часто меняться.

Spoofing можно свести к минимуму в трафике, который исходит из локальной сети, если вы применяете исходящие списки ACL, которые ограничивают трафик действительными локальными адресами.

В этом примере показано, как ACL можно использовать для ограничения IP-спуфинга. Этот ACL применяется на входящем интерфейсе. ACE, составляющие этот ACL, не являются исчерпывающими.

Если вы настраиваете эти типы списков ACL, найдите актуальную ссылку, которая является окончательной.

ip access-list extended ACL-ANTISPOOF-IN

deny ip 10.0.0.0 0.255.255.255 any

deny ip 192.168.0.0 0.0.255.255 any

interface <interface>

ip access-group ACL-ANTISPOOF-IN in

Для реализации меры анализа защищенности ИСПДн на Сканере уязвимостей «Сканер-ВС» администратор должен ежедневно выполнять полное сканирование на наличие уязвимостей АРМ пользователей ИСПДн и сетевого оборудования ЛВС.

На межсетевом экране настроить выполнить следующие настройки:

1. Настройка фильтра, разрешающего соединения из внутреннего сегмента с любыми IP-адресами:

hostname# firewall forward add src 192.168.1.0/24 dst @any pass

hostname# firewall forward add src @any dst 192.168.2.10 tcp dport 80 pass

Остальной транзитный трафик будет блокироваться фильтром, настроенным по умолчанию.

2. Создать следующие правила трансляции адресов:

Правило для организации доступа в Интернет из внутреннего сегмента:

hostname# firewall nat add src 192.168.1.0/24 dst @InternetIP change src 192.0.2.1

В результате пользователи локальной сети к серверу по адресу. Пользователи локальной сети также будут иметь доступ в Интернет, при этом их компьютеры будут защищены от атак из Интернета.

Детальная настройка оборудования приведена в приложении 1.

3.4 Выводы

В третьей главе дипломного проекта определен набор мер обеспечения информационной безопасности персональных данных, обрабатываемых автоматизированным способом в корпоративной сети предприятия. Для реализации данного набора мер необходима установка и настройка следующих средств защиты информации:

- межсетевой экран;

- сканер уязвимостей;

Проведен выбор средств защиты информации и модернизация схемы сети для повышения отказоустойчивости серверного сегмента ЛВС предприятия. Выбраны следующие средства защиты информации для обеспечения информационной безопасности ПДн, обрабатываемых в ИСПДн предприятия:

- Межсетевой Экран ViPNet Coordinator HW1000;

- ViPNet ЦУС на АРМ администратора и ViPNet Client на АРМ пользователей.

Произведена настройка сетевого оборудования и средств защиты информации для реализации набора мер информационной безопасности ПДн предприятия.

Заключение

В дипломном проекте разработана подсистема защиты от несанкционированного доступа к персональных данных при их передаче в корпоративной информационной сети предприятия по разработке ПО.

Определен перечень защищаемых ресурсов и проведена категоризация персональных данных и другой конфиденциальной информации, обрабатываемых в корпоративной сети предприятия по разработке ПО.

По приказу ФСТЭК N 17 от 11.02.2013 определен 1 класс защищенности информационной системы предприятия.

Построена организационная структура предприятия, схема сети предприятия и матрица доступа к ресурсам предприятия.

По методическому документу ФСТЭК «Методика определения угроз безопасности информации в информационных системах» построена модель нарушителей, информационной безопасности для предприятия по разработке ПО, составлен перечень актуальных угроз информационной безопасности на основе составленной модели нарушителя.

Определен низкий уровень исходной проектной защищенности.

В модели нарушителей выявлены 8 типов нарушителей информационной безопасности для информационной системы предприятия по разработке ПО, описаны их характеристики мотивация и предполагаемые возможности.

Составлен набор организационных и технических мер по приказу ФСТЭК N 17 от 11.02.2013 и определён набор средств защиты информации для реализации этих мер:

- сканер уязвимостей XSpider 7.8;

- антивирусное ПО Kaspersky Internet Security;

- СЗИ от НСД Dallas Lock 8.0;

- межсетевые экраны ALTELL NEO 110, «Континент IPC-100».

Общая стоимость разработанной подсистемы защиты составила 1 152 090 рублей.

Список используемых источников

1. Чипига, А. Ф. Информационная безопасность автоматизированных систем / А. Ф. Чипига - М.: Гелиос АРВ, 2010.

2. Шаньгин В.Ф Комплексная защита информации в корпоративных системах: Инфра-М, 2010. - 594 с.

3. Приказ ФСТЭК России от 18.02.2013 N 21 (ред. от 23.03.2017) «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных» (Зарегистрировано в Минюсте России 14.05.2013 N 28375).

4. Федеральный закон от 27.07.2006 N 152-ФЗ (ред. от 29.07.2017) «О персональных данных».

5. Федеральный закон от 29 июля 2004 г. N 98-ФЗ «О коммерческой тайне»

6. Приказ ФСТЭК России от 11 февраля 2013 г. N 17 «Об утверждении требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах»

7. Андрианов В. В. Зефиров С. Л. Голованов В. Б. Голдуев Н. А. - Обеспечение информационной безопасности бизнеса / Альпина Паблишерз, 2011. - 311с.

8. ГОСТ Р ИСО/МЭК 15408-1-2012. Информационная технология (ИТ). Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 1. Введение и общая модель;

9. Методический документ ФСТЭК ««Методика определения угроз безопасности информации в информационных системах

10. Материалы сайта https://www.securitylab.ru.

11. Материалы сайта https://www. ptsecurity.com.ru.

Размещено на Allbest.ru

...