Разграничение информационных систем при защите персональных данных

    Предмет данной статьи — разграничение информационных систем при защите персональных данных с помощью программы Киберсейф Межсетевой экран. В статье будет показан пример развертывания программы и разграничения доступа групп ПК в реальной компании.




    Требования к защите информационных систем персональных данных


    ИСПДн (Информационная система персональных данных) – информационная система, представляющая собой совокупность персональных данных, содержащихся в базе данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных с использованием средств автоматизации или без использования таких средств.
    Согласно приказу ФСТЭК России №21 от 18 февраля 2013 г., для обеспечения 3 уровня защищенности персональных данных применяются (пункт 12б):

    межсетевые экраны не ниже 3 класса в случае актуальности угроз 2-го типа или взаимодействия информационной системы с информационно­телекоммуникационными сетями международного информационного обмена и межсетевые экраны не ниже 4 класса в случае актуальности угроз 3-го типа и отсутствия взаимодействия информационной системы с информационно­-телекоммуникационными сетями международного информационного обмена;

    В этой статье будет рассмотрено практическое использование программы Киберсейф Межсетевой экран, которая на данный момент сертифицирована по 4-ому уровню защищенности, однако в течение месяца будет сертифицирована по 3-ему уровню (сертификат уже находится на подписи в ФСТЭК). С соответствующим сертификатом можно ознакомиться на сайте компании КиберСофт. Ссылка на государственный реестр сертифицированного ПО будет приведена в конце статьи.

    Постановка задачи


    Структура компании, в которой мы недавно внедряли программу Киберсейф Межсетевой экран, изображена на рис. 1.


    Рис. 1. Структура компании

    Рассматриваемая компания содержит пять отделов (Агроотдел, IT-отдел, юридический отдел, отдел управления, ИСПДн «Атлант ПД») и три филиала. Связь с удаленными филиалами осуществляется через Интернет. На шлюзе, как и на остальных компьютерах сети, установлена программа Киберсейф Межсетевой экран.
    Далее в этой статье будет показано развертывание программы Киберсейф Межсетевой экран на все компьютеры сети с помощью Active Directory, а также настройка групповых правил.
    Наша задача — оградить группу ИСПДн от внешнего мира (то есть закрыть ей доступ в Интернет) и от остальной локальной сети. Таким образом, компьютеры в ИСПДн смогут «общаться» только друг с другом. Стоит отметить, что данный продукт был специально создан для максимально быстрого решения задач по ограничению доступа к группам ПК. В других продуктах решение поставленной задачи занимает гораздо больше времени или вообще невозможно (если используется система динамического распределения сетевых адресов). Если не учитывать время, необходимое на развертывание программы с помощью Active Directory, ограничить доступ одной группы компьютеров к другой вы сможете за считанные минуты.
    Данная схема не претендует на оригинальность или новизну. Задача была сделать продукт максимально удобным для разграничения нескольких ИС или ограничить одну ИС с конфиденциальной информацией от других секторов локальной сети и интернет в строгом соответсвии с законодательством РФ.


    Создание файла трансформации


    Первым делом нужно создать файл трансформации (MST-файл), чтобы была возможность выполнить развертывание Киберсейф Межсетевой экран на все компьютеры сети с одинаковыми настройками. После этого вам не придется вручную настраивать межсетевой экран, например, создавать пользователя для входа в программу, указывать IP-адрес удаленного сервера, его порт и т.д.
    Установите программу на компьютер, который будет использоваться в качестве удаленного сервера Киберсейф Межсетевой экран, и который будет использоваться вами для управления межсетевыми экранами всей сети. Можете установить программу на свой собственный компьютер, а можете установить программу сразу на шлюз, который будет предоставлять остальным компьютерам доступ к Интернету.
    Для создания сценария развертывания выполните следующие действия:
    • Откройте программу Киберсейф Удаленный сервер (входит в состав пакета программ Киберсейф Межсетевой экран).
    • Выберите команду меню Инструменты, Установочный скрипт файл.
    • Заполните параметры, которые будут занесены в сценарий развертывания, а именно порт, на котором будет работать файрвол (обычно 50001), порт удаленного сервера, IP-адрес удаленного сервера, ключ активации, e-mail администратора, пользователь и пароль по умолчанию (рис. 2).
    • Нажмите кнопку Сохранить скрипт.
    • В окне сохранения файла выберите формат сценария — для развертывания с помощью Active Directory нужно выбрать формат *.mst (рис. 3)



    Рис. 2. Создание сценария развертывания


    Рис. 3. Сохранение сценария развертывания

    Подробно программа Киберсейф Удаленный сервер рассмотрена в руководстве по программе Киберсейф Межсетевой экран (http://cybersafesoft.com/rus/products/cybersafe-firewall/).
    Если в вашей организации не используется Active Directory, то с помощью программы Киберсейф Удаленный сервер вы можете создать командный файл (*.bat). Для развертывания программы на всех компьютерах сети достаточно будет скопировать его на каждый компьютер вместе с инсталлятором программы (MSI-файл) и запустить его (командный файл). Если же для каждого компьютера нужны уникальные пользователи, тогда можно на каждом компьютере вручную запустить инсталлятор программы (MSI-файл), при этом вам не нужны ни файл трансформации, ни командный файл.

    Развертывание Киберсейф Межсетевой экран с помощью Active Directory


    Теперь рассмотрим процесс развертывания программы Киберсейф Межсетевой экран с помощью ActiveDirectory. Все иллюстрации для этого раздела были созданы в Microsoft Windows Server 2012 R2, но все приведенные инструкции будут работать и в более старых версиях (Microsoft Windows Server 2003/2008), возможно, немного будут отличаться иллюстрации.
    Первым делом нужно создать папку для развертывания программного обеспечения. Она будет содержать все MSI-пакеты, развертывания которых вам нужно выполнить (не нужно создавать отдельную папку для программы Киберсейф Межсетевой экран).
    Пусть это будет папка C:\Install. В этой папке создайте подпапку CSFirewall. В нее нужно поместить установочный файл csfirewall.msi и файл трансформации csfirewall.mst, который вы создали в предыдущем разделе.
    К папке C:\Install нужно предоставить общий доступ. Для этого щелкните правой кнопкой по папке и выберите команду Свойства. На вкладке Доступ нажмите кнопку Общий доступ и предоставьте доступ на чтение и запись администратору и доступ только на чтение всем остальным пользователям сети.
    Далее запустите редактор групповой политики gpmc.msc. Мы предполагаем, что программу Киберсейф Межсетевой экран нужно установить на все компьютеры сети. Поэтому щелкните правой кнопкой мыши на домене и выберите команду Создать объект групповой политики в этом домене и связать его (рис. 4).


    Рис. 4. Редактор групповой политики

    Назовите новый объект групповой политики CS_Firewall (рис. 5). В разделе Фильтры безопасности удалите группу Прошедшие проверку и добавьте компьютеры, группы и пользователей, к которым будут применены параметры данного объекта групповой политики (рис. 6). Другими словами добавьте компьютеры, на которые должна быть установлена программа.


    Рис. 5. Создание нового объекта GPO


    Рис. 6. Созданный объект GPO

    Щелкните правой кнопкой мыши на только что созданном GPO (CS Firewall) и выберите команду Изменить. Перейдите в раздел Конфигурация пользователя, Политики, Конфигурация программ, Установка программ (рис. 7).


    Рис. 7. Раздел Конфигурация пользователя, Политики, Конфигурация программ, Установка программ

    Щелкните правой кнопкой на разделе Установка программ и выберите команду Создать, Пакет. В появившемся окне нужно выбрать путь к MSI-файлу программы. Обратите внимание, что вводить нужно не локальный путь, а сетевой, поскольку пользователи будут получать доступ к пакету по сети.
    Следующий шаг — выбор метода развертывания. Поскольку мы хотим предоставить файл трансформации (mst-файл, созданный программой Киберсейф Удаленный сервер), то нужно выбрать особый метод развертывания (рис. 8). Благодаря этому будет открыто окно настройки пакета развертывания (рис. 9). Затем перейдите на вкладку Модификации, нажмите кнопку Добавить и выберите файл трансформации (.mst-файл), рис. 10.


    Рис. 8. Выбор метода развертывания


    Рис. 9. Настройка пакета развертывания


    Рис. 10. Указываем файл трансформации

    Нажмите кнопку OK.

    Примечание. После нажатия кнопки OK пакет и файл трансформации (файлы .msi и .mst соответственно) будут прокэшированы. Если вам понадобится изменить файл трансформации после создания пакета, то придется создавать пакет развертывания заново.

    На этом работа с редактором групповой политики завершена. Закройте все окна, откройте командую строку (или хотя бы окно Выполнить, нажав комбинацию клавиш Win + R) и введите команду:

    gpupdate /force
    

    На этом все. Программа будет автоматически установлена на компьютеры после их перезагрузки и до отображения окна входа в систему. Пользователь ни на что не может повлиять и ни в чем не может ошибиться.
    Иногда программа не устанавливается автоматически. Чаще всего такая проблема наблюдается на рабочих станциях под управлением Windows XP. Чтобы произвести ее установку, нужно вручную ввести на ней команду gpupdate /force.

    Настройка правил брандмауэра


    Используя панель администрирования Киберсейф межсетевой экран, вы можете задать глобальные и групповые правила для всех межсетевых экранов Киберсейф, установленных в вашей сети. Глобальные правила распространяются на все компьютеры, на которых установлена программа Киберсейф межсетевой экран, а групповые правила определяют поведение программы Киберсейф межсетевой экран, установленной на определенной группе компьютеров.
    Прежде, чем приступить к настройке глобальных и групповых правил, нужно назначить пользователя администратором. Сделать это можно только с помощью программы Киберсейф Удаленный сервер.
    Администратор может с помощью панели администрирования управлять удаленным брандмауэром. Итак, в программе Киберсейф Удаленный сервер разверните узел Пользователи и выберите пользователя, которого вы хотите сделать администратором и включите переключатель Администратор (рис. 11).


    Рис. 11. Назначение пользователя администратором

    Теперь приступим к решению нашей задачи. Напомню, нам нужно запретить доступ компьютерам ИСПДн «Атлант» доступ к Интернету и к другим компьютерам сети.
    Войдите в программу Киберсейф Межсетевой экран и выберите команду меню Файрвол, Панель администрирования.
    Создайте различные группы компьютеров, которые будут соответствовать имеющимся в сети отделам (см. рис. 1). Для создания группы щелкните правой кнопкой мыши на рабочей области и выберите команду Добавить группу. А чтобы добавить в группу компьютер просто перетащите его пиктограмму на пиктограмму группы. Конечный результат приведен на рис. 12. Обязательно нажмите кнопку Применить, чтобы программа «запомнила» созданные группы.
    Нужно отметить, что при изменении IP-адресов входящих в группу компьютеров состав созданной группы не изменится. Поэтому не стоит волноваться о составе группы в случае использования в вашей организации DHCP-сервера.


    Рис. 12. Созданные группы

    Выделите ИСПДн «Атлант ПД» и нажмите кнопку Установить правила. Так вы сможете установить групповые правила. Для установки глобальных правил нужно выделить узел Все и нажать кнопку Установить правила.
    Итак, установим правила для группы ИСПДн «Атлант ПД». В появившемся окне перейдите в раздел Правила безопасности и нажмите кнопку Добавить (рис. 13).


    Рис. 13. Правила безопасности: пока не заданы

    На вкладке Общие (рис. 14) задайте описание правила — «Запрет обмена данными с группой <Название группы>».
    Установите тип правила — Запретить пакеты, выберите направление пакетов — Для всех пакетов и протокол — Любой.


    Рис. 14. Вкладка Общие

    В качестве источника укажите ИСПДн «Атлант ПД», а в качестве получателя — одну из групп вашего предприятия, например, IT-отдел. Нажмите кнопку OK.
    Что делает это правило? Оно запрещает компьютерам ИСПДн «Атлант ПД» передавать любые пакеты в группу IT-отдел. Даже если какой-то компьютер из группы IT-отдел попытается установить соединение с компьютером группы ИСПДн «Атлант ПД», то компьютеры группы ИСПДн «Атлант ПД» все равно не смогут ответить ему, поскольку им это запрещает правило.


    Рис. 15. Вкладка Источник


    Рис. 16. Вкладка Получатель

    Повторите описанную процедуру для остальных групп в вашей сети. У вас должен получиться набор правил, показанный на рис. 17.


    Рис. 17. Созданные правила для группы ИСПДн «Атлант ПД»

    Осталось запретить доступ к Интернету. Для этого достаточно запретить любой обмен данными со шлюзом. Для этого создадим еще одно правило безопасности для ИСПДн «Атлант ПД». На вкладке Общие установите параметры так:
    1. Описание — Запрет доступа к Интернету
    2. Тип правила — Запретить пакеты
    3. Направление пакетов — Для всех пакетов
    4. Протокол — Любой


    На вкладке Источник выберите в качестве источника ИСПДн «Атлант ПД» (рис. 15). На вкладке Получатель установите IP-адрес сервера (внутренний), например, 192.168.1.1 (рис. 18).


    Рис. 18. Запрет доступа к Интернету

    Нажмите кнопку OK. По умолчанию все правила являются выключенными. Для их включения щелкните на каждом правиле правой кнопкой мыши и выберите команду Включить. Окончательный вариант правил показан на рис. 19. Обратите внимание на статус правила — Включено.


    Рис. 19. Окончательный вариант правил

    Закройте окно редактирования правил безопасности, а в окне Панель администрирования нажмите кнопку Применить, а затем закройте само окно.

    Вывод


    Поставленная задача решена и теперь компьютеры группы ИСПДн «Атлант ПД» не могут взаимодействовать с остальными компьютерами локальной сети и у них нет доступа к Интернету. Средствами программ Киберсейф Межсетевой экран информационная система персональных данных была полностью изолирована от остальной сети.

    Ссылки


    ООО «КиберСофт»
    Программа «Киберсейф Межсетевой экран»
    Приказ ФСТЭК России №21
    Государственный реестр сертифицированных средств защиты информации
    КиберСофт
    38.40
    Company
    Share post

    Comments 28

      +1
      Средствами программ Киберсейф Межсетевой экран информационная система персональных данных была полностью изолирована от остальной сети.

      Полностью? Если на одну из машин ИСПДн поставить материнскую плату с IPMI-портом, завести этот порт в сеть, и в сеть же воткнуть устройство без вашей программы — что ограничит доступ с этого устройства к IPMI?
        0
        {irony} Вера в порядочность людей?) {/irony}
          0
          Я в таких случаях вспоминаю замечательный межсетевой экран «Кольчуга», на котором мы как-то строили «сертифицированную защищенную» систему.
            0
            А в чем заключалась суть драмы?
              +1
              Кольчугу взгромоздили внутрь системы, чтобы, значит, повысить ее защищенность, а потом (а) открыли на ней все порты и (б) в процессе открывания выяснили, что установщик (компания с сертификацией, отвечавшая за сертификацию всей системы) оставил там все админские права по умолчанию.
                0
                Ну мне даже и сказать-то нечего… А имена героев не назовете (компанию-установщика)?
                  0
                  К сожалению, нет, срок давности по контракту не истек.
        0
        чем это отличается от классической схемы разделения пользователей по VLAN и правил на коммутаторах или точке терминирования L2 трафика?
        Ну кроме сертифицированности решения.
          0
          Именно сертифицированностью :-)) Тут особого секрета нет. Это не уровень CISCO и иже с ним. Это бюджетное решение для средней компании (гос. компании).
          0
          Средствами программ Киберсейф Межсетевой экран информационная система персональных данных была полностью изолирована от остальной сети.

          Только сейчас дошло: а от контроллера домена — тоже?

          И чем это решение лучше простого физического отключения?
            0
            Правилами задается, а политикой регламентируется доступность КД. Лучше физического тем, что единая инфраструктура доступна админу для управления в любой момент из любого места.
              0
              Так ИСПДн полностью изолирована от остальной сети или не полностью?

              В частности, админом она управляется «в любой момент из любого места» по сети или нет?
            0
            Не полностью. Имеется связь с сервером МЭ, но на своем, служебном уровне, только специально помеченные пакеты от сервера. А полностью от интернет. Админ управляет сервером. А сервер ИСПДн.
              +1
              Значит, утверждение «информационная система персональных данных была полностью изолирована от остальной сети» ложно. С чем вас и поздравляю.

              А как у вас защищен канал обмена между сервером МЭ и конкретным экземпляром?
                –1
                Кстати личный вопрос можно? Ваши коменты идут через 10-20 сек. после публикации каждой нашей статьи. В каждой статье выискивается скурпулезно какой-то негатив, иногда справедливо, но чаще просто тролинг. Так вот вопрос: Ваша любовь к нашим продуктам имеет чисто платоническое начало? Или есть какой-то корыстный интерес, так сказать, оплачиваемый тролинг?
                  +1
                  Ваши коменты идут через 10-20 сек. после публикации каждой нашей статьи.

                  Эта статья опубликована в 10:28. Мой первый комментарий — в 10:35. Поздравляю вас соврамши.

                  Ваша любовь к нашим продуктам имеет чисто платоническое начало?

                  Да. Я очень сильно и искренне не люблю «сертифицированные продукты обеспечения безопасности», единственная ценность которых — сертификат. И не менее сильно я не люблю агрессивный маркетинг такой продукции.
                    0
                    Тут я с Вами вынужден согласиться. Я тоже не люблю работу для галочки. И начинали мы романтически, создавая продукты для людей а не для бумажек :-) Но они не продавались, по крайней мере в российской корпоративной среде, по крайней мере в гос. закупках. Как говорили в «Бумере»: «Не мы такие, жизнь такая» :-)) Я тоже считаю что сертификация ПО это лавочка для набивания карманов чиновников. Что должна быть открытая конкуренция на основе качества а не бумажек. Даже писал как-то статьи на эти темы, изобличительные, в духе «Лефиафана» :-))
                    Ну а насчет маркетинга… Не пойму, мы честно оплачиваем Блог на хабре, пишем статьи про наши продукты, как, наверное и Яндекс и Mail.ru здесь, правда ведь? Статьи стараемся чтобы были полезными для админов, которым нужны наши продукты. Иногда получается :-)
                      0
                      Вам неоднократно указывали на ошибки и маркетинговые преувеличения в ваших статьях. Ничего хорошего и полезного в этом нет.
                        0
                        Спасибо. Постараемся быть точнее.
              0
              Шифрованием
                0
                По какому стандарту? Шифрование симметричное или нет? Откуда берутся секреты для шифрования?

                В каком режиме ваше ПО проходило сертификацию — «один неуправляемый экземпляр установлен на тестовой системе» или «множество управляемых экземпляров установлено на множестве тестовых систем в рамках единой сети»?
                  0
                  Пакеты подписываются. По ГОСТу 34.10-2001 с реализацией в OpenSSL. Соотв. асимметричный. Ключи генерируются при установке первого соединения с сервером.

                  Один неуправляемый: тестирование в режиме NAT между 2 сетевухами, клиент — сервер, регулирование нагрузки в кластере и т.п.
                    0
                    Пакеты подписываются

                    Уже не шифруются, а подписываются. Так.

                    Ключи генерируются при установке первого соединения с сервером.

                    … бессрочные?

                    Один неуправляемый: тестирование в режиме NAT между 2 сетевухами, клиент — сервер, регулирование нагрузки в кластере и т.п.

                    Ага, то есть решение, описанное вами в статье, еще и не сертифицировано. Прекрасно.
                      0
                      Вы, наверное, в этом не очень разбираетесь. Ничего страшного, я объясню: сертификация проходит по РД для МЭ (например 3-го класса). Согласно документа МЭ должен содержать набор характеристик. Это первое что проверяют. Далее, проверяют работоспособность этих систем. Например, если Вы вставляете что-то свое, не относящееся к требованиям, например, смайлики — их корректную работу не проверяют. Справедливо полагая, что если работать это не будет или будет плохо покупать у вас не будут. Далее, проверяют остутствие НДВ, то есть закладок, бэкдоров и проч. В итоге, дают документ, в котором написано что, МЭ соотвествует РД по 3 классу и прошел проверку на отсутствие НДВ. Других предметов сертификации нет пока в природе. А различные сценарии использования (если не описаны в РД) предметом сертификации не были и не будут. Это предмет тестирования.

                      Ключи срочные.
                        0
                        Вы, наверное, в этом не очень разбираетесь.

                        Я действительно разбираюсь в этом на уровне прикладного специалиста, и я знаю, что если некую систему тестировали на безопасность в одном режиме, а используют в другом, результаты тестирования не применимы.

                        В этом, кстати, отличие решения от программного продукта.

                        Ключи срочные.

                        Как происходит обмен при перевыпуске?
                          0
                          тестировали на безопасность в одном режиме, а используют в другом, результаты тестирования не применимы.

                          Конечно. ФСТЭК пишет конкретно за что он отвечает и что он тестировал. Если вы сделали из МЭ сковородку то гарантий он не дает. Это уже вопрос к производителю.
                          Как происходит обмен при перевыпуске?

                          Также как и при генерировании. Новые выдаются, прописываются хеши, старые уничтожаются. Конечно, всегда можно расковырять, дизасемблировать и вытащить актуальный ключ. Но хранения ключей на токенах для файрвола в нашем решении (бюджетном) избыточно.
                            0
                            Это уже вопрос к производителю.

                            Вот только производителем выступаете вы, потому что именно вы предлагаете использовать ваше ПО в таком режиме.

                            Также как и при генерировании. Новые выдаются, прописываются хеши, старые уничтожаются.

                            … а валидность нового ключа подтверждается тем, что он подписан старым, который за это время мог быть скомпроментирован.
                +1
                Любому мало-мальски грамотному админу известно, что сертификация в РФ — это всё для галочки и набивания карманов чиновников.
                Никакой реальной защищённости эти сертификаты ФСТЕК/ФСБ в себе не несут, а только создают проблемы людям, которые могут и хотят строить свои защищённые системы по обработке/хранению ПДн.
                А в случае компрометации «сертифицированных отечественных разработок», никто кроме оператора ПДн ответственности не понесёт, к сожалению.

                Only users with full accounts can post comments. Log in, please.