Соответствие требованиям российских нормативных документов по защите информации

Андрей ИвановMicrosoft Россия

Павел СмирновКрипто-Про

IS 304

Содержание

Требования регуляторовЗащита конфиденциальной информации при передаче

Виртуальные частные сети (VPN)Изоляция серверов и доменовЗащищённый удалённый доступ к ресурсам и приложениям

Защита конфиденциальной информации при храненииВыводы

Перечень сведений конфиденциального характераУказ Президента РФ от 06.03.1997 N 188 (ред. от 23.09.2005) "Об утверждении Перечня сведений конфиденциального характера"

Персональные данныеКоммерческая тайнаСлужебная тайнаБанковская тайнаНалоговая тайнаПрофессиональная тайна (предварительного следствия, судопроизводства, страхования, врачебная…)Иная тайна (усыновления, исповеди…)

Структура информации, чья защита регламентируется нормативными документами

Вид информации Требования к защите

Государственная тайна

Тайна, охраняемая законом

Персональные данные

Коммерческая тайна

Служебная тайна, профессиональная тайна

Сведения ограниченного доступа (служебная информация фирмы)

Принадлежность информации к сведениям ограниченного доступа и

меры защиты определяет организация

ФЗ ОБ ИНФОРМАЦИИ, ИНФОРМАЦИОННЫХ ТЕХНОЛОГИЯХ И О ЗАЩИТЕ ИНФОРМАЦИИ (27 июля 2006 года N 149-ФЗ)

Статья 9. Ограничение доступа к информации…3. Защита информации, составляющей государственную тайну, осуществляется в соответствии с законодательством Российской Федерации о государственной тайне.4. Федеральными законами устанавливаются условия отнесения информации к сведениям, составляющим коммерческую тайну, служебную тайну и иную тайну, обязательность соблюдения конфиденциальности такой информации, а также ответственность за ее разглашение.…9. Порядок доступа к персональным данным граждан (физических лиц) устанавливается федеральным законом о персональных данных.

Руководящие документыКонцепция защиты средств вычислительной техники и автоматизированных систем от несанкционированного доступа к информацииРуководящий документ автоматизированные системы (РД АС) защита от несанкционированного доступа к информации классификация автоматизированных систем и требования по защите информацииРуководящий документ средства вычислительной техники (РД СВТ) защита от несанкционированного доступа к информации показатели защищенности от несанкционированного доступа к информацииРуководящий документ (РД НДВ)Защита от несанкционированного доступа к информации Часть 1Программное обеспечение средств защиты информацииКлассификация по уровню контроля отсутствия недекларированных возможностей

Основные типы информации, защищаемые с помощью СКЗИ Защищаемая

информация

Государственная тайна

Информация, принадлежаща

я Гос. организациям

Персональные данные

Положение о сертификации средств защиты информацииУтверждено постановлением Правительства Российской Федерации от 26 июня 1995 г. № 608(с изменениями и дополнениями от 23 апреля 1996 г. № 509; от 29 марта 1999 г. № 342; от 17 декабря 2004 г. № 808)

Настоящее Положение устанавливает порядок сертификации средств защиты информации в Российской Федерации и ее учреждениях за рубежом.Технические, криптографические, программные и другие средства, предназначенные для защиты сведений, составляющих государственную тайну, средства, в которых они реализованы, а также средства контроля эффективности защиты информации являются средствами защиты информации.Указанные средства подлежат обязательной сертификации, которая проводится в рамках систем сертификации средств защиты информации. При этом криптографические (шифровальные) средства должны быть отечественного производства и выполнены на основе криптографических алгоритмов, рекомендованных Федеральной службой безопасности Российской Федерации. (В редакции постановлений Правительства Российской Федерации от 29 марта 1999 г. № 342; от 17 декабря 2004 г. № 808)

Положение о разработке, производстве, реализации и эксплуатации шифровальных (криптографических) средств защиты информации (Положение ПКЗ-2005)

Положение регулирует отношения, возникающие при разработке, производстве, реализации и эксплуатации шифровальных (криптографических) средств защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну (далее – информация конфиденциального характера)Шифровальные (криптографические) средства защиты информации конфиденциального характера в настоящем Положении именуются средствами криптографической защиты информации (далее – СКЗИ). К СКЗИ относятся: *

а) средства шифрования б) средства имитозащиты в) средства электронной цифровой подписи г) средства кодирования д) средства изготовления ключевых документов (независимо от вида носителя ключевой информации); е) ключевые документы (независимо от вида носителя ключевой информации).

Положение о разработке, производстве, реализации и эксплуатации шифровальных (криптографических) средств защиты информации (Положение ПКЗ-2005) (продолжение)

Настоящим Положением необходимо руководствоваться при разработке, производстве, реализации и эксплуатации средств криптографической защиты информации конфиденциального характера в следующих случаях:

при организации криптографической защиты информации конфиденциального характера в федеральных органах исполнительной власти, органах исполнительной власти субъектов Российской Федерации (далее – государственные органы); при организации криптографической защиты информации конфиденциального характера в организациях независимо от их организационно-правовой формы и формы собственности при выполнении ими заказов на поставку товаров, выполнение работ или оказание услуг для государственных нужд (далее – организации, выполняющие государственные заказы);

Для криптографической защиты информации конфиденциального характера должны использоваться СКЗИ, удовлетворяющие требованиям по безопасности информации, устанавливаемым в соответствии с законодательством Российской Федерации.

Указ президента российской федерации о мерах по обеспечению информационной безопасности российской федерации при использовании информационно-телекоммуникационных сетей международного информационного обмена(в ред. Указа Президента РФ от 21.10.2008 N 1510)

В целях обеспечения информационной безопасности Российской Федерации при использовании информационно-телекоммуникационных сетей, позволяющих осуществлять передачу информации через государственную границу Российской Федерации, в том числе при использовании международной компьютерной сети "Интернет", постановляю:1. Установить, что:

…б) при необходимости подключения информационных систем, информационно-телекоммуникационных сетей и средств вычислительной техники, указанных в подпункте "а" настоящего пункта, к информационно-телекоммуникационным сетям международного информационного обмена такое подключение производится только с использованием специально предназначенных для этого средств защиты информации, в том числе шифровальных (криптографических) средств, прошедших в установленном законодательством Российской Федерации порядке сертификацию в Федеральной службе безопасности Российской Федерации и (или) получивших подтверждение соответствия в Федеральной службе по техническому и экспортному контролю. Выполнение данного требования является обязательным для операторов информационных систем, владельцев информационно-телекоммуникационных сетей и (или) средств вычислительной техники

МЕТОДИЧЕСКИЕ РЕКОМЕНДАЦИИпо обеспечению с помощью криптосредствбезопасности персональных данных при их обработкев информационных системах персональных данныхс использованием средств автоматизации

Для обеспечения безопасности персональных данных при их обработке в информационных системах должны использоваться сертифицированные в системе сертификации ФСБ России (имеющие положительное заключение экспертной организации о соответствии требованиям нормативных документов по безопасности информации) криптосредства.В случае отсутствия готовых сертифицированных криптосредств, функционально пригодных для обеспечения безопасности персональных данных при их обработке в конкретной информационной системе, на этапе аванпроекта или эскизного (эскизно-технического) проекта разработчиком информационной системы с участием оператора и предполагаемого разработчика криптосредства готовится обоснование целесообразности разработки нового типа криптосредства и определяются требования к его функциональным свойствам.Разработка нового типа криптосредства осуществляется в соответствии с Положением ПКЗ-2005.

Сертифицированные СКЗИ

ИспользуютсяДля защиты государственной тайны любого уровняПри защите ПДн с использованием криптографических средствПри защите конфиденциальной и общедоступной информации в государственных структурах…

Сценарии

Что защищать

Конфиденциальность

Целостность

Когда защищать

При передаче

При хранении

Exchange

Внутренний Web-сервер

SharePoint

Active Directory

Внешний Web-сервер

Пользователь

DMZ

Внутренняя сеть

Интернет

Client-to-site

L2TP + IPSec

VPN: Удалённый доступ к сети предприятия

VPN: Объединение филиалов в единую сеть

Exchange

Внутренний Web-узел

SharePoint

Active Directory

Внешний Web-серверПользовател

ь

DMZ

Внутренняя сеть

Интернет

Филиал

Головной офис

Пользователь

EMS

Site-to-site

L2TP + IPSec

Возможности IPSec

Защита передаваемых данныхАутентификация сторон и защита целостности – AHЗащита конфиденциальности, целостности и аутентификация – ESP

Способы выработки сеансовых ключей и аутентификации сторон в КриптоПро IPSec

Предварительно распределённый ключСертификат открытого ключа

Изоляция серверов и доменов (SDI)

Изоляция серверов

Защищает выделенные особо ценные серверы и данные

Изоляция доменов

Защищает управляемые компьютеры от неуправляемых

Сегментация на основе политики

Недоверенный сегмент

Неуправляемый компьютер

Изоляция домена

Контроллер домена

X

Изоляция серверов

Сервер с важной

информацией

Компьютер бухгалтера

Управляемый компьютер

Управляемый компьютер

X

Доверенный сервер с

ресурсами

Сеть предприятия

• Единая точка доступа к бизнес-приложениям (Exchange, SharePoint, Dynamics CRM, SAP, Lotus) и другим внутренним ресурсам

• Поддержка всех наиболее распространенных интернет-браузеров (IE, Mozilla, Safari) и операционных систем (Windows, Mac OS X, Linux)

Свободный доступ

• Проверка конечных точек на соответствие требованиям политик безопасности

• Интеграция со службой Active Directory и средствами многофакторной аутентификации (цифровые сертификаты/смарт-карты, OTP)

• Ограничение доступа к информации и снижение рисков утечки данных

Повышенная

безопасность

• Простота внедрения и эксплуатации посредством встроенных мастеров настройки

• Централизованное управление политиками доступа к приложениям

• Масштабируемость и отказоустойчивость

Легкое управлени

е

UAG предоставляет безопасный удаленный доступ из любой точки мира к любым бизнес-приложениям,

повышая эффективность работы пользователей, не снижая общего уровня безопасности

Архитектура Forefront UAG

HTTPS (443)

Layer3 VPN

Корпоративная сеть

Бизнес-партнеры AD, ADFS, RADIUS, LDAP….

Интернет-киоски

Мобильные сотрудники

Мобильные устройства

Exchange

CRM

SharePoint

IIS based

IBM, SAP, Oracle

Terminal / Remote Desktop Services

Не-web

HTTPS /

HTTP

NPS, ILM

Интернет

Публикация с помощью Forefront TMG

Exchange

Внутренний Web-сервер

SharePoint

Active Directory

Внешний Web-сервер

Пользователь

DMZ

Внутренняя сеть

Интернет

SSL/TLS

AdatumAccount Forest

Trey ResearchResource Forest

ResourceFederation Server

AccountFederation Server

Active Directory

Совместная работа UAG и AD FS

Федеративные отношенияФедеративные отношения

adfsresource.treyresearch.net

adfsuag.treyresearch.netCRM

KCDAD FS

UAG

Что нужно для соответствия требованиям

AD FS 2.0UAG SP1 (конец этого года)КриптоПро CSPКриптоПро Sharpei

E - EncryptingF - FileS - System

Что такое EFS?

Работает в файловой системе NTFS

Ключевые факты о EFS

Шифрование на уровне файловой системы

Данные файла зашифрованы на симметричном ключе (FEK), который защищён с применением асимметричного ключа

Возможно назначение уполномоченного агента для восстановления файлов

Данные файла не защищены при передаче по сети

Ядро Windows

Как работает EFS

Пользователь

Процессы пользователя

Службы Windows

CreateFile

NTFS

Файлы

RPC

RPC

Формат зашифрованного файла

• 40 be 17 be 27 70 a5 6c 24 5b 01 fe 3c 5f ed 2e 7e 24 c5 01 01 0b b2 c5 94 b3 1c 63 fe ea 1e 78 4c 0a 95 65 0f 3f 2e a0 d4 a5

Зашифрованные данные файла

• FEK, зашифрованный для каждого пользователя, имеющего доступ к файлу

Атрибуты для расшифрования

файла

• FEK, зашифрованный для каждого агента восстановления

Атрибуты для восстановления

файла

• 76 94 89 67 03 7f d0 26 b1 93 16 d9 4c 6bКонтрольные

суммы данных файла

Используются российские криптографические алгоритмы, реализованные в сертифицированном СКЗИ КриптоПро CSPБогатый выбор ключевых носителейКонтроль целостности зашифрованных файлов

Дополнительные возможности КриптоПро EFS

Список продуктов, имеющих сертификат ФСТЭК

Все продукты Майкрософт сертифицированы «как есть», без изменений, и могут быть использованы для построения автоматизированных систем уровня защищенности 1Г:

Windows 7 Pro, Ent, Ult *Windows Server 2008 и R2* (Std, Ent, DataCenter)Windows XP Professional русская версияWindows Vista русская версия Windows Server 2003 и R2 (Standard и Enterprise) русские версииSQL Server 2000 и SQL Server 2005 (Standard и Enterprise) русские версииOffice 2003 и 2007 Standard, Professional, Plus русские версииISA Server 2006 (Standard) русская версияАнтивирусные продукты Forefront (Client, для Exchange и для SharePoint) – русские версии

* - Соответствие закону о ПД (до 2 класса включительно)указано непосредственно в сертификате

Список продуктов, имеющих сертификат ФСТЭК (продолжение)Exchange Server 2007 *

BizTalk Server 2006 R2 *SharePoint Server 2007 *SQL Server 2008 (Standard, Enterprise) **System Center Operation Manager 2007 **System Center Configuration Manager 2007 R2 **System Center Data Protection Manager 2007 **System Center Virtual Machine Manager 2008 *** - на сайте ФСТЭК помечены, как соответствующие Закону о ПД (до 2 класса включительно)** - на сайте ФСТЭК помечены, как соответствующие Закону о ПД (до 3 класса включительно)

Сертификация в ФСБ

Сертифицированы: Windows XP ProfessionalWindows Server 2003 EnterpriseSharePoint Server 2007

Каждый сертифицированный продукт включает в себя, кроме продукта Майкрософт, соответствующий продукту «Secure Pack Rus»

Работы и планы:SQL Server 2008 – работы закончены, идет экспертизаМайкрософт будет сертифицировать все продукты для построения защищенного документооборота в органах государственной власти, удовлетворяющего требованиям ФСБ

Как купить сертифицированный продукт

Сертифицированный продукт отличается от лицензионного

Каждый экземпляр сертифицированного продукта имеет пакет документов государственного образца о том, что данный продукт является сертифицированным, включая голографический знак соответствия ФСТЭК с уникальным номером, который идентифицирует данный экземпляр в системе государственного учета сертифицированных продуктов.Он дороже, так как включает в себя подписку на получение сертифицированных обновлений с защищенного специализированного сайта

За покупкой надо обращаться в ООО «Сертифицированные информационные системы» генеральный директор Сергей Груданов sg@c-i-s.ru – они владельцы сертификатов, работают только через партнеров

Выводы

В ряде случаев для защиты информации требуется использование сертифицированного ПО

У Майкрософт уже есть платформа сертифицированных по российским требованиям продуктов

Майкрософт продолжает сертификацию продуктов

Продукты компании Крипто-Про обеспечивают соответствие требованиям ФСБ к используемым при хранении и передаче информации криптосредствам

Ресурсы

Дополнительные сессии по темеDC 202: Построение систем защищенного взаимодействия (16:00-17:00, Синий Конгресс-зал)CT 306: Реализация доступа для удаленных пользователей на базе Windows 7 DirectAccess и Forefront UAG (17:30-18:30, Зона интерактивных сессий)

Блогиhttp://blogs.technet.com/mamykinhttp://blogs.technet.com/securityrus

Официальные курсы и сертификация Microsoft

Более 300 официальных курсов Microsoft доступно в России. Официальные курсы можно прослушать только в авторизованных учебных центрах Microsoft

под руководством опытного сертифицированного инструктора Microsoftинтенсивное обучение с акцентом на практикуболее 80-и учебных центров более чем в 20-и городах России (+ дистанционные и выездные курсы)

Сертификат Microsoft - показатель квалификации ИТ-специалиста для работодателя .

• Microsoft предлагает гибкую систему сертификаций.

• Все курсы, учебные центры и центры тестирования: www.microsoft.com/rus/learning

40% Доказательство № 75

сертифицированных специалистов считают, что сертификация помогла им получить работу или повышение

57% Доказательство № 119

рекрутеров считают сертификацию сотрудников одним из критериев для повышения в должности

Специальные предложенияСертификационный пакет со вторым шансом

Пакеты экзаменационных ваучеров со скидкой от 15 до 20% и бесплатной пересдачей («вторым шансом»). Все экзамены сдаются одним человеком.

Сэкономьте 15% на сертификации вашей ИТ-команды

Пакет из 10-и экзаменационных ваучеров со скидкой 15% для сотрудников ИТ-отдела. «Второй шанс» включен. Ваучеры можно произвольно распределять между сотрудниками.

Microsoft Certified Career ConferenceПервая 24-часовая глобальная виртуальная конференция с 18 ноября с 15.00 (моск. время) по 19 ноября 2010 г.Сессии по технологиям и построению карьерыСкидка 50% для сертифицированных специалистов Microsoft и студентов

Бесплатная подписка на TechNet для слушателей официальных курсов

Некоторые курсы по SharePoint, Windows 7; Windows Server 2008; SQL Server 2008

Детали: www.microsoft.com/rus/learning

С 22 ноября 2010 г. – подписка TechNet

бесплатно для слушателей курсов.

Количество ограничено!

Обратная связь

Ваше мнение очень важно для нас. Пожалуйста, оцените доклад, заполните анкету и сдайте ее при выходе из зала

Спасибо!

Вопросы

IS 304Андрей Иванов, MBA

MicrosoftПавел Смирнов, к.т.н.

Крипто-Про

Вы сможете задать вопросы докладчику в зоне «Спроси эксперта» в течение часа после завершения этого доклада