Соответствие требованиям российских нормативных...
DESCRIPTION
Соответствие требованиям российских нормативных документов по защите информации. Андрей Иванов. Microsoft Россия. Павел Смирнов. Крипто-Про. IS 304. Содержание. Требования регуляторов Защита конфиденциальной информации при передаче Виртуальные частные сети ( VPN) - PowerPoint PPT PresentationTRANSCRIPT
Соответствие требованиям российских нормативных документов по защите информации
Андрей ИвановMicrosoft Россия
Павел СмирновКрипто-Про
IS 304
Содержание
Требования регуляторовЗащита конфиденциальной информации при передаче
Виртуальные частные сети (VPN)Изоляция серверов и доменовЗащищённый удалённый доступ к ресурсам и приложениям
Защита конфиденциальной информации при храненииВыводы
Перечень сведений конфиденциального характераУказ Президента РФ от 06.03.1997 N 188 (ред. от 23.09.2005) "Об утверждении Перечня сведений конфиденциального характера"
Персональные данныеКоммерческая тайнаСлужебная тайнаБанковская тайнаНалоговая тайнаПрофессиональная тайна (предварительного следствия, судопроизводства, страхования, врачебная…)Иная тайна (усыновления, исповеди…)
Структура информации, чья защита регламентируется нормативными документами
Вид информации Требования к защите
Государственная тайна
Тайна, охраняемая законом
Персональные данные
Коммерческая тайна
Служебная тайна, профессиональная тайна
Сведения ограниченного доступа (служебная информация фирмы)
Принадлежность информации к сведениям ограниченного доступа и
меры защиты определяет организация
ФЗ ОБ ИНФОРМАЦИИ, ИНФОРМАЦИОННЫХ ТЕХНОЛОГИЯХ И О ЗАЩИТЕ ИНФОРМАЦИИ (27 июля 2006 года N 149-ФЗ)
Статья 9. Ограничение доступа к информации…3. Защита информации, составляющей государственную тайну, осуществляется в соответствии с законодательством Российской Федерации о государственной тайне.4. Федеральными законами устанавливаются условия отнесения информации к сведениям, составляющим коммерческую тайну, служебную тайну и иную тайну, обязательность соблюдения конфиденциальности такой информации, а также ответственность за ее разглашение.…9. Порядок доступа к персональным данным граждан (физических лиц) устанавливается федеральным законом о персональных данных.
Руководящие документыКонцепция защиты средств вычислительной техники и автоматизированных систем от несанкционированного доступа к информацииРуководящий документ автоматизированные системы (РД АС) защита от несанкционированного доступа к информации классификация автоматизированных систем и требования по защите информацииРуководящий документ средства вычислительной техники (РД СВТ) защита от несанкционированного доступа к информации показатели защищенности от несанкционированного доступа к информацииРуководящий документ (РД НДВ)Защита от несанкционированного доступа к информации Часть 1Программное обеспечение средств защиты информацииКлассификация по уровню контроля отсутствия недекларированных возможностей
Основные типы информации, защищаемые с помощью СКЗИ Защищаемая
информация
Государственная тайна
Информация, принадлежаща
я Гос. организациям
Персональные данные
Положение о сертификации средств защиты информацииУтверждено постановлением Правительства Российской Федерации от 26 июня 1995 г. № 608(с изменениями и дополнениями от 23 апреля 1996 г. № 509; от 29 марта 1999 г. № 342; от 17 декабря 2004 г. № 808)
Настоящее Положение устанавливает порядок сертификации средств защиты информации в Российской Федерации и ее учреждениях за рубежом.Технические, криптографические, программные и другие средства, предназначенные для защиты сведений, составляющих государственную тайну, средства, в которых они реализованы, а также средства контроля эффективности защиты информации являются средствами защиты информации.Указанные средства подлежат обязательной сертификации, которая проводится в рамках систем сертификации средств защиты информации. При этом криптографические (шифровальные) средства должны быть отечественного производства и выполнены на основе криптографических алгоритмов, рекомендованных Федеральной службой безопасности Российской Федерации. (В редакции постановлений Правительства Российской Федерации от 29 марта 1999 г. № 342; от 17 декабря 2004 г. № 808)
Положение о разработке, производстве, реализации и эксплуатации шифровальных (криптографических) средств защиты информации (Положение ПКЗ-2005)
Положение регулирует отношения, возникающие при разработке, производстве, реализации и эксплуатации шифровальных (криптографических) средств защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну (далее – информация конфиденциального характера)Шифровальные (криптографические) средства защиты информации конфиденциального характера в настоящем Положении именуются средствами криптографической защиты информации (далее – СКЗИ). К СКЗИ относятся: *
а) средства шифрования б) средства имитозащиты в) средства электронной цифровой подписи г) средства кодирования д) средства изготовления ключевых документов (независимо от вида носителя ключевой информации); е) ключевые документы (независимо от вида носителя ключевой информации).
Положение о разработке, производстве, реализации и эксплуатации шифровальных (криптографических) средств защиты информации (Положение ПКЗ-2005) (продолжение)
Настоящим Положением необходимо руководствоваться при разработке, производстве, реализации и эксплуатации средств криптографической защиты информации конфиденциального характера в следующих случаях:
при организации криптографической защиты информации конфиденциального характера в федеральных органах исполнительной власти, органах исполнительной власти субъектов Российской Федерации (далее – государственные органы); при организации криптографической защиты информации конфиденциального характера в организациях независимо от их организационно-правовой формы и формы собственности при выполнении ими заказов на поставку товаров, выполнение работ или оказание услуг для государственных нужд (далее – организации, выполняющие государственные заказы);
Для криптографической защиты информации конфиденциального характера должны использоваться СКЗИ, удовлетворяющие требованиям по безопасности информации, устанавливаемым в соответствии с законодательством Российской Федерации.
Указ президента российской федерации о мерах по обеспечению информационной безопасности российской федерации при использовании информационно-телекоммуникационных сетей международного информационного обмена(в ред. Указа Президента РФ от 21.10.2008 N 1510)
В целях обеспечения информационной безопасности Российской Федерации при использовании информационно-телекоммуникационных сетей, позволяющих осуществлять передачу информации через государственную границу Российской Федерации, в том числе при использовании международной компьютерной сети "Интернет", постановляю:1. Установить, что:
…б) при необходимости подключения информационных систем, информационно-телекоммуникационных сетей и средств вычислительной техники, указанных в подпункте "а" настоящего пункта, к информационно-телекоммуникационным сетям международного информационного обмена такое подключение производится только с использованием специально предназначенных для этого средств защиты информации, в том числе шифровальных (криптографических) средств, прошедших в установленном законодательством Российской Федерации порядке сертификацию в Федеральной службе безопасности Российской Федерации и (или) получивших подтверждение соответствия в Федеральной службе по техническому и экспортному контролю. Выполнение данного требования является обязательным для операторов информационных систем, владельцев информационно-телекоммуникационных сетей и (или) средств вычислительной техники
МЕТОДИЧЕСКИЕ РЕКОМЕНДАЦИИпо обеспечению с помощью криптосредствбезопасности персональных данных при их обработкев информационных системах персональных данныхс использованием средств автоматизации
Для обеспечения безопасности персональных данных при их обработке в информационных системах должны использоваться сертифицированные в системе сертификации ФСБ России (имеющие положительное заключение экспертной организации о соответствии требованиям нормативных документов по безопасности информации) криптосредства.В случае отсутствия готовых сертифицированных криптосредств, функционально пригодных для обеспечения безопасности персональных данных при их обработке в конкретной информационной системе, на этапе аванпроекта или эскизного (эскизно-технического) проекта разработчиком информационной системы с участием оператора и предполагаемого разработчика криптосредства готовится обоснование целесообразности разработки нового типа криптосредства и определяются требования к его функциональным свойствам.Разработка нового типа криптосредства осуществляется в соответствии с Положением ПКЗ-2005.
Сертифицированные СКЗИ
ИспользуютсяДля защиты государственной тайны любого уровняПри защите ПДн с использованием криптографических средствПри защите конфиденциальной и общедоступной информации в государственных структурах…
Сценарии
Что защищать
Конфиденциальность
Целостность
Когда защищать
При передаче
При хранении
Exchange
Внутренний Web-сервер
SharePoint
Active Directory
Внешний Web-сервер
Пользователь
DMZ
Внутренняя сеть
Интернет
Client-to-site
L2TP + IPSec
VPN: Удалённый доступ к сети предприятия
VPN: Объединение филиалов в единую сеть
Exchange
Внутренний Web-узел
SharePoint
Active Directory
Внешний Web-серверПользовател
ь
DMZ
Внутренняя сеть
Интернет
Филиал
Головной офис
Пользователь
EMS
Site-to-site
L2TP + IPSec
Возможности IPSec
Защита передаваемых данныхАутентификация сторон и защита целостности – AHЗащита конфиденциальности, целостности и аутентификация – ESP
Способы выработки сеансовых ключей и аутентификации сторон в КриптоПро IPSec
Предварительно распределённый ключСертификат открытого ключа
Изоляция серверов и доменов (SDI)
Изоляция серверов
Защищает выделенные особо ценные серверы и данные
Изоляция доменов
Защищает управляемые компьютеры от неуправляемых
Сегментация на основе политики
Недоверенный сегмент
Неуправляемый компьютер
Изоляция домена
Контроллер домена
X
Изоляция серверов
Сервер с важной
информацией
Компьютер бухгалтера
Управляемый компьютер
Управляемый компьютер
X
Доверенный сервер с
ресурсами
Сеть предприятия
• Единая точка доступа к бизнес-приложениям (Exchange, SharePoint, Dynamics CRM, SAP, Lotus) и другим внутренним ресурсам
• Поддержка всех наиболее распространенных интернет-браузеров (IE, Mozilla, Safari) и операционных систем (Windows, Mac OS X, Linux)
Свободный доступ
• Проверка конечных точек на соответствие требованиям политик безопасности
• Интеграция со службой Active Directory и средствами многофакторной аутентификации (цифровые сертификаты/смарт-карты, OTP)
• Ограничение доступа к информации и снижение рисков утечки данных
Повышенная
безопасность
• Простота внедрения и эксплуатации посредством встроенных мастеров настройки
• Централизованное управление политиками доступа к приложениям
• Масштабируемость и отказоустойчивость
Легкое управлени
е
UAG предоставляет безопасный удаленный доступ из любой точки мира к любым бизнес-приложениям,
повышая эффективность работы пользователей, не снижая общего уровня безопасности
Архитектура Forefront UAG
HTTPS (443)
Layer3 VPN
Корпоративная сеть
Бизнес-партнеры AD, ADFS, RADIUS, LDAP….
Интернет-киоски
Мобильные сотрудники
Мобильные устройства
Exchange
CRM
SharePoint
IIS based
IBM, SAP, Oracle
Terminal / Remote Desktop Services
Не-web
HTTPS /
HTTP
NPS, ILM
Интернет
Публикация с помощью Forefront TMG
Exchange
Внутренний Web-сервер
SharePoint
Active Directory
Внешний Web-сервер
Пользователь
DMZ
Внутренняя сеть
Интернет
SSL/TLS
AdatumAccount Forest
Trey ResearchResource Forest
ResourceFederation Server
AccountFederation Server
Active Directory
Совместная работа UAG и AD FS
Федеративные отношенияФедеративные отношения
adfsresource.treyresearch.net
adfsuag.treyresearch.netCRM
KCDAD FS
UAG
Что нужно для соответствия требованиям
AD FS 2.0UAG SP1 (конец этого года)КриптоПро CSPКриптоПро Sharpei
E - EncryptingF - FileS - System
Что такое EFS?
Работает в файловой системе NTFS
Ключевые факты о EFS
Шифрование на уровне файловой системы
Данные файла зашифрованы на симметричном ключе (FEK), который защищён с применением асимметричного ключа
Возможно назначение уполномоченного агента для восстановления файлов
Данные файла не защищены при передаче по сети
Ядро Windows
Как работает EFS
Пользователь
Процессы пользователя
Службы Windows
CreateFile
NTFS
Файлы
RPC
RPC
Формат зашифрованного файла
• 40 be 17 be 27 70 a5 6c 24 5b 01 fe 3c 5f ed 2e 7e 24 c5 01 01 0b b2 c5 94 b3 1c 63 fe ea 1e 78 4c 0a 95 65 0f 3f 2e a0 d4 a5
Зашифрованные данные файла
• FEK, зашифрованный для каждого пользователя, имеющего доступ к файлу
Атрибуты для расшифрования
файла
• FEK, зашифрованный для каждого агента восстановления
Атрибуты для восстановления
файла
• 76 94 89 67 03 7f d0 26 b1 93 16 d9 4c 6bКонтрольные
суммы данных файла
Используются российские криптографические алгоритмы, реализованные в сертифицированном СКЗИ КриптоПро CSPБогатый выбор ключевых носителейКонтроль целостности зашифрованных файлов
Дополнительные возможности КриптоПро EFS
Список продуктов, имеющих сертификат ФСТЭК
Все продукты Майкрософт сертифицированы «как есть», без изменений, и могут быть использованы для построения автоматизированных систем уровня защищенности 1Г:
Windows 7 Pro, Ent, Ult *Windows Server 2008 и R2* (Std, Ent, DataCenter)Windows XP Professional русская версияWindows Vista русская версия Windows Server 2003 и R2 (Standard и Enterprise) русские версииSQL Server 2000 и SQL Server 2005 (Standard и Enterprise) русские версииOffice 2003 и 2007 Standard, Professional, Plus русские версииISA Server 2006 (Standard) русская версияАнтивирусные продукты Forefront (Client, для Exchange и для SharePoint) – русские версии
* - Соответствие закону о ПД (до 2 класса включительно)указано непосредственно в сертификате
Список продуктов, имеющих сертификат ФСТЭК (продолжение)Exchange Server 2007 *
BizTalk Server 2006 R2 *SharePoint Server 2007 *SQL Server 2008 (Standard, Enterprise) **System Center Operation Manager 2007 **System Center Configuration Manager 2007 R2 **System Center Data Protection Manager 2007 **System Center Virtual Machine Manager 2008 *** - на сайте ФСТЭК помечены, как соответствующие Закону о ПД (до 2 класса включительно)** - на сайте ФСТЭК помечены, как соответствующие Закону о ПД (до 3 класса включительно)
Сертификация в ФСБ
Сертифицированы: Windows XP ProfessionalWindows Server 2003 EnterpriseSharePoint Server 2007
Каждый сертифицированный продукт включает в себя, кроме продукта Майкрософт, соответствующий продукту «Secure Pack Rus»
Работы и планы:SQL Server 2008 – работы закончены, идет экспертизаМайкрософт будет сертифицировать все продукты для построения защищенного документооборота в органах государственной власти, удовлетворяющего требованиям ФСБ
Как купить сертифицированный продукт
Сертифицированный продукт отличается от лицензионного
Каждый экземпляр сертифицированного продукта имеет пакет документов государственного образца о том, что данный продукт является сертифицированным, включая голографический знак соответствия ФСТЭК с уникальным номером, который идентифицирует данный экземпляр в системе государственного учета сертифицированных продуктов.Он дороже, так как включает в себя подписку на получение сертифицированных обновлений с защищенного специализированного сайта
За покупкой надо обращаться в ООО «Сертифицированные информационные системы» генеральный директор Сергей Груданов [email protected] – они владельцы сертификатов, работают только через партнеров
Выводы
В ряде случаев для защиты информации требуется использование сертифицированного ПО
У Майкрософт уже есть платформа сертифицированных по российским требованиям продуктов
Майкрософт продолжает сертификацию продуктов
Продукты компании Крипто-Про обеспечивают соответствие требованиям ФСБ к используемым при хранении и передаче информации криптосредствам
Ресурсы
Дополнительные сессии по темеDC 202: Построение систем защищенного взаимодействия (16:00-17:00, Синий Конгресс-зал)CT 306: Реализация доступа для удаленных пользователей на базе Windows 7 DirectAccess и Forefront UAG (17:30-18:30, Зона интерактивных сессий)
Блогиhttp://blogs.technet.com/mamykinhttp://blogs.technet.com/securityrus
Официальные курсы и сертификация Microsoft
Более 300 официальных курсов Microsoft доступно в России. Официальные курсы можно прослушать только в авторизованных учебных центрах Microsoft
под руководством опытного сертифицированного инструктора Microsoftинтенсивное обучение с акцентом на практикуболее 80-и учебных центров более чем в 20-и городах России (+ дистанционные и выездные курсы)
Сертификат Microsoft - показатель квалификации ИТ-специалиста для работодателя .
• Microsoft предлагает гибкую систему сертификаций.
• Все курсы, учебные центры и центры тестирования: www.microsoft.com/rus/learning
40% Доказательство № 75
сертифицированных специалистов считают, что сертификация помогла им получить работу или повышение
57% Доказательство № 119
рекрутеров считают сертификацию сотрудников одним из критериев для повышения в должности
Специальные предложенияСертификационный пакет со вторым шансом
Пакеты экзаменационных ваучеров со скидкой от 15 до 20% и бесплатной пересдачей («вторым шансом»). Все экзамены сдаются одним человеком.
Сэкономьте 15% на сертификации вашей ИТ-команды
Пакет из 10-и экзаменационных ваучеров со скидкой 15% для сотрудников ИТ-отдела. «Второй шанс» включен. Ваучеры можно произвольно распределять между сотрудниками.
Microsoft Certified Career ConferenceПервая 24-часовая глобальная виртуальная конференция с 18 ноября с 15.00 (моск. время) по 19 ноября 2010 г.Сессии по технологиям и построению карьерыСкидка 50% для сертифицированных специалистов Microsoft и студентов
Бесплатная подписка на TechNet для слушателей официальных курсов
Некоторые курсы по SharePoint, Windows 7; Windows Server 2008; SQL Server 2008
Детали: www.microsoft.com/rus/learning
С 22 ноября 2010 г. – подписка TechNet
бесплатно для слушателей курсов.
Количество ограничено!
Обратная связь
Ваше мнение очень важно для нас. Пожалуйста, оцените доклад, заполните анкету и сдайте ее при выходе из зала
Спасибо!
Вопросы
IS 304Андрей Иванов, MBA
MicrosoftПавел Смирнов, к.т.н.
Крипто-Про
Вы сможете задать вопросы докладчику в зоне «Спроси эксперта» в течение часа после завершения этого доклада