В связи принятием 152 закона о защите персональных данных, на рынке периодически появляются решения, которые позволяют построить информационную систему предприятия, готовую к аттестации.
В этом посте я опишу одно из таких решений, которое было разработано сотрудниками компаний Aladdin, Сitrix, S-Terra и TONK.
Чтобы уважаемый Хабраюзер не искал определения, что же такое персональные данные, приведу ссылку на вики: ru.wikipedia.org/wiki/%D0%9F%D0%B5%D1%80%D1%81%D0%BE%D0%BD%D0%B0%D0%BB%D1%8C%D0%BD%D1%8B%D0%B5_%D0%B4%D0%B0%D0%BD%D0%BD%D1%8B%D0%B5
Сперва хочу отметить, что не стоит аттестовать под обработку персональных данных всю информационную систему организации, ибо это дорого да и по документам этого не требуется. Аттестовать надо только ту часть информационной системы, в которой хранятся или обрабатываются персональные данные.
Для возможности аттестации информационной системы, она должны быть построена из сертифицированных компонентов, то есть из решений, обладающих сертификатами государственных органов, таких как ФСТЭК — сертификация на отсутствие в решении не декларированных возможностей, ФСБ — если в продукте используется криптография(речь идёт о национальной криптографии).
Итак, описываемое решение ориентировалось прежде всего на финансово-кредитный сектор (банки, страховые компании, и т.д), в общем на те организации которые имеют точки присутствия за пределами организации и занимаются обработкой персональных данных.
Схема решения:
В качестве тонкого клиента, за которым работает удалённый пользователь, использовался тонкий клиент TONK 1211. На данном тонком клиенте дополнительно было установлено следующее ПО:
1. Citrix Online PligIn.
2. CryptoPro CSP (криптопровайдер, обеспечивающий ГОСТ'овые алгоритмы шифрования),
3. eToken PKI Client (драйвер для работы с ключами eToken)
4. S-Terra VPN Client
В качестве VPN-шлюза, для подключения удалённых клиентов использовался программно-аппаратный комплекс S-Terra CSP Gate 1000.
Внутреняя инфраструктура организации представлена:
1. Контроллером домена Active Directory, развёрнутого на сертифицированной версии ОС Windows Server 2003 Std. На контроллере домена установлен Microsoft Certification Authority в связке с CryptoPro CSP, что позволяет выдавать ГОСТ'овые сертификаты. Сертифицированная система eToken TMS 2.0 предназначенная для управления ключами и смарт-картами eToken в организации.
2. Сертифицированный Citrix XenApp4.5 FP1, развёрнутый на сертифицированной ОС Windows Server 2003 Std.
Сценарий работы:
1. Пользователь включает тонкий клиент и стартует загрузка операционной системы. Перед открытием рабочего стола S-Terra VPN Client просит подключить ключ eToken с сертификатом и ввести PIN. Происходит проверка подлинности сертификата и между тонким клиентом и S-Terra CSP Gate 1000 поднимается IPSec VPN с использованием ГОСТ'овых алгоритмов шифрования.
Следует отметить, что IPSec VPN туннель устанавливается ещё до того как загрузиться рабочий стол.
2. После загрузки рабочего стола стартует Internet Explorer, в котором стартовой страницой прописан Citrix Web Interface, находящийся внутри корпоративной сети. Пользователь аутентифицируется на Citrix Web Interface по другому сертификату находящемуся на ключе eToken и получает доступ к требуемым приложениям.
Таким образом описанное решение покрывает требования по шифрованию каналов передачи данных при обработке персональных данных, и использованию сертифицированных продуктов при построении решения.
предлагаемое решение состоит из сертифицированных компонентов и при построении в информационной системе не создаст проблем с аттестацией.
Данное решение было представлено на Citrix Virtualization Conference 4 апреля 2010, а так же на мероприятиях компании Aladdin.
P.S. Для заинтересовавшихся приведу ссылки на сайты компаний, продукты которых использовались в решении:
www.aladdin.ru — решения по многофакторной аутентификации
www.citrix.ru — решения по виртуализации и доставке приложений
www.s-terra.com — решения по построению IPSec VPN с применением российской криптографии
www.tonk.ru — производитель тонких клиентов
www.crypto-pro.ru — разработчик криптопровайдера обеспечивающего российскую криптографию
В этом посте я опишу одно из таких решений, которое было разработано сотрудниками компаний Aladdin, Сitrix, S-Terra и TONK.
Чтобы уважаемый Хабраюзер не искал определения, что же такое персональные данные, приведу ссылку на вики: ru.wikipedia.org/wiki/%D0%9F%D0%B5%D1%80%D1%81%D0%BE%D0%BD%D0%B0%D0%BB%D1%8C%D0%BD%D1%8B%D0%B5_%D0%B4%D0%B0%D0%BD%D0%BD%D1%8B%D0%B5
Сперва хочу отметить, что не стоит аттестовать под обработку персональных данных всю информационную систему организации, ибо это дорого да и по документам этого не требуется. Аттестовать надо только ту часть информационной системы, в которой хранятся или обрабатываются персональные данные.
Для возможности аттестации информационной системы, она должны быть построена из сертифицированных компонентов, то есть из решений, обладающих сертификатами государственных органов, таких как ФСТЭК — сертификация на отсутствие в решении не декларированных возможностей, ФСБ — если в продукте используется криптография(речь идёт о национальной криптографии).
Итак, описываемое решение ориентировалось прежде всего на финансово-кредитный сектор (банки, страховые компании, и т.д), в общем на те организации которые имеют точки присутствия за пределами организации и занимаются обработкой персональных данных.
Схема решения:
В качестве тонкого клиента, за которым работает удалённый пользователь, использовался тонкий клиент TONK 1211. На данном тонком клиенте дополнительно было установлено следующее ПО:
1. Citrix Online PligIn.
2. CryptoPro CSP (криптопровайдер, обеспечивающий ГОСТ'овые алгоритмы шифрования),
3. eToken PKI Client (драйвер для работы с ключами eToken)
4. S-Terra VPN Client
В качестве VPN-шлюза, для подключения удалённых клиентов использовался программно-аппаратный комплекс S-Terra CSP Gate 1000.
Внутреняя инфраструктура организации представлена:
1. Контроллером домена Active Directory, развёрнутого на сертифицированной версии ОС Windows Server 2003 Std. На контроллере домена установлен Microsoft Certification Authority в связке с CryptoPro CSP, что позволяет выдавать ГОСТ'овые сертификаты. Сертифицированная система eToken TMS 2.0 предназначенная для управления ключами и смарт-картами eToken в организации.
2. Сертифицированный Citrix XenApp4.5 FP1, развёрнутый на сертифицированной ОС Windows Server 2003 Std.
Сценарий работы:
1. Пользователь включает тонкий клиент и стартует загрузка операционной системы. Перед открытием рабочего стола S-Terra VPN Client просит подключить ключ eToken с сертификатом и ввести PIN. Происходит проверка подлинности сертификата и между тонким клиентом и S-Terra CSP Gate 1000 поднимается IPSec VPN с использованием ГОСТ'овых алгоритмов шифрования.
Следует отметить, что IPSec VPN туннель устанавливается ещё до того как загрузиться рабочий стол.
2. После загрузки рабочего стола стартует Internet Explorer, в котором стартовой страницой прописан Citrix Web Interface, находящийся внутри корпоративной сети. Пользователь аутентифицируется на Citrix Web Interface по другому сертификату находящемуся на ключе eToken и получает доступ к требуемым приложениям.
Таким образом описанное решение покрывает требования по шифрованию каналов передачи данных при обработке персональных данных, и использованию сертифицированных продуктов при построении решения.
предлагаемое решение состоит из сертифицированных компонентов и при построении в информационной системе не создаст проблем с аттестацией.
Данное решение было представлено на Citrix Virtualization Conference 4 апреля 2010, а так же на мероприятиях компании Aladdin.
P.S. Для заинтересовавшихся приведу ссылки на сайты компаний, продукты которых использовались в решении:
www.aladdin.ru — решения по многофакторной аутентификации
www.citrix.ru — решения по виртуализации и доставке приложений
www.s-terra.com — решения по построению IPSec VPN с применением российской криптографии
www.tonk.ru — производитель тонких клиентов
www.crypto-pro.ru — разработчик криптопровайдера обеспечивающего российскую криптографию