Выбираем средства защиты персональных данных Выбор в пользу тех или иных средств защиты при проектировании автоматизированных систем (АС), обрабатывающих конфиденциальную информацию и персональные данные – ключевая процедура, определяющая не только будущий уровень защищенности и надежности системы, но и легитимность дальнейшей эксплуатации с точки зрения российского законодательства. Выбор сертифицированных средств защиты информации традиционно сводится к выбору между наложенными комплексными средствами защиты информации (КСЗИ) от несанкционированного доступа (НСД) и встроенными в системное или прикладное программное обеспечение средствами (механизмами) защиты. В руководящих документах ФСТЭК России отсутствуют видовые ограничения по применению тех или иных средств защиты. Данные документы определяют только требования к составу и реализации механизмов защиты, соответствие уровня контроля (сертификации) классу автоматизированной системы, в которой применяется данное средство защиты. Разработка представленных в настоящее время на российском рынке наложенных КСЗИ была начата в середине 90-х для требований новых (для того периода времени) руководящих документов ФСТЭК (тогда Гостехкомиссии): РД Автоматизированные системы защиты от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации (РД АС), Гостехкомиссия, 1992 г.; РД Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищенности от НСД к информации (РД СВТ), Гостехкомиссия, 1992 г. Без сомнения, программные продукты известных российских производителей отвечают всем требованиям данных документов к СЗИ, используемым в АС для защиты конфиденциальной информации и государственной тайны, что подтверждено имеющимися сертификатами соответствия. Однако прошедшие 18 лет с момента принятия РД, в ITсфере сопоставимы с несколькими веками развития человечества. Вышеобозначенные руководящие документы отражали реалии своего времени и были ориентированы на автономные компьютеры и изолированные локальные сети. Интернет в России был малораспространен, а о сетевой киберпреступности только писали в фантастических романах. По прежнему, КСЗИ пока являются основными средствами защиты информации, государственной тайне и имеют ряд неоспоримых преимуществ: наличие специальных механизмов защиты, для АС обрабатывающих государственную тайну; возможность использования аппаратных средств доверенной загрузки; сертификация с высоким уровнем контроля уровня отсутствия недекларированных возможностей (НДВ); прямая сопоставимость требований РД АС и заявленным функциям безопасности на КСЗИ и др. Механизмы защиты КСЗИ прежде всего ориентированы на локальные сети и автономные АРМ, не имеющие выхода в общие сети доступа, в прочем этого и не требуется, в соответствии с российским законодательством, государственная тайна не может обрабатываться в автоматизированных системах имеющих выход в Интернет. Наложенные КСЗИ можно считать необходимыми и достаточными средствами защиты от НСД информации составляющей государственную тайну, но не безальтернативными. Сейчас в реестре ФСТЭК России имеется несколько Linux/Unix подобных операционных систем, которые сертифицированы по высоким классам и могут использоваться для защиты государственной тайны без использования КСЗИ. В последнее время КСЗИ стали широко использоваться и для защиты конфиденциальной информации и персональных данных. Однако, если при работе с государственной тайной пользователи готовы (а по сути и обязаны) мириться с множеством неудобств и ограничений, которые предусмотрены различного рода приказами и инструкциями, то при работе с конфиденциальной (служебной) информацией дополнительные меры безопасности системы не должны существенно снижать функциональность, и "комфортность" работы пользователей. Другими словами безопасность должны быть по-возможности незаметна. Этот принцип положен в основу всех современных операционных систем, а точнее системного программного обеспечения входящего в их состав, реализующего функции защиты информации. В качестве примера рассмотрим пользовательские и серверные операционные системы (ОС) Microsoft. Не смотря на то, что безопасность продуктов Microsoft является приоритетным аспектом в концепции любого их продукта, пользователи не испытывают дискомфорт и препятствий при реализации безопасных бизнес-процессов и тоже время получают защищенную среду, настраиваиваемую широким диапазоном параметров безопасности, систематизированных в так называемые «сертифицированные конфигурации». Именно с этими наборами значениям параметров безопасности продукт подвергается сертификационным испытаниям. Однако, даже при применении самых жестких сертифицированных конфигураций параметров безопасности операционная система сохраняет все функциональные возможности, не снижая быстродействие и обеспечивая совместимость и надежность запускаемых приложений. Современные сертифицированные операционные системы в сравнении с КСЗИ имеют значительно более широкий и, самое главное, настраиваемый спектр параметров безопасности. Например, только сертифицированная конфигурация параметров "Безопасная среда" содержит 129 параметров безопасности в Microsoft Windows XP и 181 параметр в Microsoft Windows 7, что позволяет более гибко настроить систему защиты под свои нужды. Очевидно, что сертифицированные системные и общесистемные продукты Microsoft на сегодняшний день становятся основными СЗИ для построения систем защиты персональных данных 2-го и 3-го классов. Помимо «встроенной» безопасности, решения на платформе Microsoft существенно (в разы) дешевле наложенных КСЗИ, что также весьма не маловажно. Среди всех классов конфиденциальной информации особого внимания сегодня заслуживают персональные данные (ПНд), требования к средствам защиты которых приведены в "Положении о методах и способах защиты информации в информационных системах персональных данных" (Приказ ФСТЭК России от 5 февраля 2010 г. № 58). В соответствии с Положением, предотвращение утечки ПДн реализуется построением системы защиты от НСД, которая должна включать: подсистему управления доступом; подсистему регистрации и учета; подсистему обеспечения целостности; подсистему обеспечения безопасного межсетевого взаимодействия; антивирусную защиту. Отметим, что требования Регулятора носят общий характер и не претендуют на полноту мер по противостоянию современному арсеналу методов и средств несанкционированного доступа. Всю ответственность за достаточность и эффективность принятых мер берет на себя оператор ПДн и организация, проведшая аттестацию объекта информатизации – информационной системы персональных данных (ИСПДн). Поэтому оператор обязан быть заинтересован помимо формального выполнения требований, в создании надежной защиты обрабатываемых ПДн. Рассмотрим подробно требования к подсистемам ИСПДн и их техническую реализацию в программных продуктах Microsoft. Подсистема управления доступом Должна осуществляться проверка подлинности субъектов доступа при входе в систему по идентификатору и паролю условно-постоянного действия длиной не менее шести буквенно-цифровых символов. Все пользователи ОС Windows уникально идентифицируются и аутентифицируются при входе с помощью идентификатора и пароля, а также альтернативными методами. Идентификация и аутентификация осуществляется до выполнения пользователями какихто действий. Каждая учетная запись представлена идентификатором пользователя, однозначно связанным с идентификатором безопасности, аутентификационной информацией, информацией о членстве в группах безопасности, ассоциированных с правами и полномочиями. Хранение паролей осуществляется в преобразованном формате. ОС предоставляет средства усиления безопасности паролей через использование механизма настроек безопасности, позволяющих определить минимальную длину, время действия (минимальное и максимальное), требования уникальности и время смены пароля. Также, есть возможность блокирования учетной записи пользователя после определенного количества попыток ввода неправильно имени и/или пароля пользователя до её разблокирования уполномоченным лицом (администратором) или по заданного истечению времени. Сертифицированные ОС Microsoft осуществляют функции и политики избирательного управления доступом, политики фильтрации информации, реализуют механизм защиты остаточной информации. Избирательное управление доступом предоставляет возможность ограничивать и контролировать доступ к системе, приложениям и ресурсам, таким как файлы, каталоги и принтера. Каждый пользователь, пытающийся получить доступ к системе, сначала проходит аутентификацию, а затем, при попытках получения доступа к ресурсам - авторизацию. Начиная с OC Windows Vista в продуктах Microsoft реализована важнейшая функция – контроль пользовательских учетных записей (User Account Control, UAC) , реализующая подтверждение действий, требующих прав администратора, в целях защиты от НСД. Вся информация, определяющая безопасность защищаемого объекта, хранится в ассоциированном с ним дескрипторе безопасности, который формируется при создании объекта. Главными компонентами дескрипторов безопасности объекта являются: дискреционный список контроля доступа, который собственно и определяет список контроля доступа к защищаемому объекту и системный список контроля доступа, служащий для аудита. Следует отметить, что система идентификации и пользователей внутри прикладных программных продуктов Microsoft, прежде всего это касается серверных продуктов СУБД Microsoft SQL Server (при использовании режима аутентификации Windows), почтового сервера Microsoft Exchange Server и др., базируется на механизмах безопасности операционных систем, а точнее наследует их базовые принципы. Можно сказать, что все пользователи продуктов Microsoft находятся в «едином пространстве имен». Подсистема регистрации и учета Должна осуществляться регистрация входа (выхода) пользователя в систему (из системы) либо регистрация загрузки и инициализации операционной системы и ее программного останова. Регистрация выхода из системы или останова не проводится в моменты аппаратурного отключения информационной системы. В параметрах регистрации указываются дата и время входа (выхода) пользователя в систему (из системы) или загрузки (останова) системы, результат попытки входа (успешная или неуспешная – несанкционированная), идентификатор (код или фамилия) пользователя, предъявленный при попытке доступа. ОС Microsoft Windows обеспечивают диагностику и запись данных о всех событиях, существенных с точки зрения безопасности, а также предоставляют средства для анализа записей о таких событиях. Перечень типов событий, подлежащих регистрации, определяется уполномоченным лицом (администратором) и может детализироваться вплоть до регистрации попыток доступа к отдельным файлам или каталогам отдельных пользователей или групп. После настройки параметров аудита можно отслеживать доступ пользователей к определенным объектам и анализировать недостатки и узкие места системы безопасности. Записи аудита, содержащие сведения по выбранным событиям, содержат информацию о пользователе, который был инициатором события и выполнял какие-либо действия в отношении контролируемого объекта, а также дату, время события и другие данные. Механизмы Windows обеспечивают возможность настройки доступа к журналам аудита для обеспечения работы к ним только определенных пользователей (ролей). Подсистема обеспечения целостности Должна осуществляться целостность программных средств защиты информации в составе системы защиты персональных данных, а также неизменность программной среды. При этом целостность средств защиты проверяется при загрузке системы по контрольным суммам компонентов средств защиты информации; Должна осуществляться проверка наличия средств восстановления системы защиты персональных данных, предусматривающие ведение двух копий программных средств защиты информации, их периодическое обновление и контроль работоспособности. Данное требование к системе защиты реализуется архитектурой ядра операционной системы Windows, средства защиты системных файлов которой предотвращают возможность изменения или замещения системных файлов другими программами. Это позволяет исключить аварийное завершение или отказ в работе системы и запущенных приложений в случаях несанкционированной модификации, перемещения, удаления или подмены системных файлов. В качестве дополнительного сервиса, в состав ОС включена системная утилита sfc, обеспечивающая проверку целостности и восстановление всех защищенных системных файлов. Утилита может обеспечить контроль целостности при каждой загрузке системы. Кроме того, в комплект поставки сертифицированных версий программных продуктов Microsoft включены программы настройки и контроля Check, обеспечивающие методом проверки контрольных сумм контроль целостности системных и исполняемых файлов операционной системы и общесистемного программного обеспечения. В качестве механизма контрольного суммирования программы Check используют сертифицированную ФСТЭК библиотеку фиксации и контроля целостности информации ФИКС. Для реализации процессов архивации в ОС Windows входят программы и системные средства, предоставляющие уполномоченным пользователям возможность выполнять архивирование файлов и папок на несъемные и съемные устройства хранения (компакт-диск или DVD, внешние HDD). Для управления резервированием информации в Windows имеется специализированная оснастка консоли управления, позволяющая автоматизировать выполнение этих операций, создать полный архив состояния компьютера и восстановить данные из созданных архивов. Служба теневого копирования управляет созданием теневых копий (контрольных точек состояния) дисковых томов, которые используются для архивации и восстановления защищаемой информации. Функциональные возможности восстановления системы позволяет возвращать ОС в то состояние, в котором она находилась до возникновения проблемы. Таким образом, можно организовать системурезервирования ПДн на «файловом уровне», т.е. полностью обеспечить архивирование и восстановление информации в случае её хранения в виде пользовательских файлов различного формата. Подсистема межсетевого экранирования. Требования к этой подсистеме предусмотрены при наличии подключения ИСПДн к внешним сетям или сетям общего доступа (Internet). Встроенные механизмы ОС Microsoft, обеспечивающие безопасное межсетевое взаимодействие или повышающие его безопас- ность (брандмауэр, технология NAP и др.), в качестве межсетевых экранов (МЭ) использованы быть не могут. Несмотря на то, что эти средства входят в состав сертифицированных версий ОС, они не проходили сертификацию на соответствие специальным требованиям, предъявляемым руководящими документами к МЭ. Для защиты ИСПДн необходимо использовать сертифицированные МЭ не ниже 4 класса, например - Microsoft ISA Server 2006. Сертифицированная версия ISA Server 2006 соответствует 4 –му (3-му с ограничениями) классу МЭ и выполняет все требования, предъявляемые к подсистеме межсетевого экранирования ИСПДн 2-го класса. Подсистема антивирусной защиты. Наличие антивирусных программ обязательно при подключении ИСПДн к внешним сетям, сетям общего доступа (Internet) или использования съемных носителей информации. Исходя из того, что трудно представить иные варианты эксплуатации систем, наличие антивирусов можно считать обязательным требованием. Продолжая линию программных продуктов Microsoft, в ИСПДн можно использовать сертифицированный ForeFront Security. *** Описать отдельно защиту каждой из подсистем ИСПДн средствами Microsoft, а тем более соответствующие варианты настройки и значения параметров безопасности, в рамках одной статьи не представляется возможным. Каждому механизму посвящены целые разделы на Microsoft TechNet и сотни страниц специальной литературы. Исходя из этого, осуществлять настройку параметров безопасности в сетях масштаба предприятия Microsoft рекомендует специалистам с квалификацией не ниже MCSE. Для обеспечения практической реализации политик безопасности при защите конфиденциальной информации, Организации-заявители сертификации программных продуктов Microsoft совместно с вендором разработали Руководства по безопасной настройке, которые, которые по сути, представляют пошаговую инструкцию по применению параметров безопасности. Для автоматизации процесса настройки и контроля в комплект поставки сертифицированных версий входит программа Check, позволяющая применять рекомендованные параметры в режиме «одного клика», а также осуществлять контроль целости программного обеспечения и автоматизировать установку сертифицированных обновлений программных продуктов. Проведенный анализ позволяет сделать утверждение о практической возможности создания полноценных и эффективных систем защиты без использования наложенных СЗИ применительно к ИСПДн до 2-го класса включительно. Однако, это весьма общее заключение, и в зависимости от технологии обработки ПДн, модели угроз и других условий штатный функционал Microsft может быть усилен или расширен специализированными наложенными сертифицированными средствами защиты, например, средствами контроля за портами и внешним носителями, профессиональными средств резервного копирования и восстановления данных, средствами обнаружения вторжений и т.п.