Подсистема обеспечения безопасности информации ГАС
advertisement
Подсистема обеспечения безопасности информации ГАС «Правосудие». 2006 г. Федеральный закон «Об информации, информатизации и защите информации», в ред. от 10.01.2003 № 15-ФЗ). Статья 21: • "1. Защите подлежит любая документированная информация, неправомерное обращение с которой может нанести ущерб ее собственнику, владельцу, пользователю и иному лицу. • Режим защиты информации устанавливается: • в отношении сведений, отнесенных к государственной тайне, уполномоченными органами на основании Закона Российской Федерации "О государственной тайне"; • в отношении конфиденциальной документированной информации - собственником информационных ресурсов или уполномоченным лицом на основании настоящего Федерального закона. Перечень сведений конфиденциального характера ФЗ РФ "Об информации, информатизации и защите информации", а также Указом Президента РФ № 188 от 6-го марта 1997 года "Об утверждении перечня сведений конфиденциального характера". «Перечень сведений конфиденциального характера» включает в себя: • 1. Сведения о фактах, событиях и обстоятельствах частной жизни гражданина, позволяющие идентифицировать его личность (персональные данные), за исключением сведений, подлежащих распространению в средствах массовой информации в установленных федеральными законами случаях. • 2. Сведения, составляющие тайну следствия и судопроизводства. • 3. Служебные сведения, доступ к которым ограничен органами государственной власти в соответствии с Гражданским кодексом Российской Федерации и федеральными законами (служебная тайна). • 4. Сведения, связанные с профессиональной деятельностью, доступ к которым ограничен в соответствии с Конституцией Российской Федерации и федеральными законами (врачебная, нотариальная, адвокатская тайна, тайна переписки, телефонных переговоров, почтовых отправлений, телеграфных или иных сообщений и так далее)…» Государственная тайна ФЗ "О государственной тайне" от 21 июля 1993 г. (в ред. Федерального закона от 06.10.97 N 131-ФЗ, с изм., внесенными Постановлением Конституционного Суда РФ от 27.03.1996 N 8-П, определениями Конституционного Суда РФ от 10.11.2002 N 293-О, от 10.11.2002 N 314-О) Статья 31 "Межведомственный и ведомственный контроль" : «Контроль за обеспечением защиты государственной тайны в судебных органах и органах прокуратуры организуется руководителями этих органов.» Указ Президента Российской Федерации от 12 мая 2004 года N 611 • «Субъектам международного информационного обмена в Российской Федерации не осуществлять включение информационных систем, сетей связи и автономных персональных компьютеров, в которых обрабатывается информация, содержащая сведения, составляющие государственную тайну, и служебная информация ограниченного распространения, а также для которых установлены особые правила доступа к информационным ресурсам, в состав средств международного информационного обмена, в том числе в международную ассоциацию сетей "Интернет" (далее - сеть "Интернет"). • Владельцам открытых и общедоступных государственных информационных ресурсов осуществлять их включение в состав объектов международного информационного обмена только при использовании сертифицированных средств защиты информации, обеспечивающих ее целостность и доступность, в том числе криптографических для подтверждения достоверности информации.» Назначение подсистемы ОБИ – – – – повышение уровня достоверности данных и информационной безопасности; защита информационных ресурсов при решении задач по интеграции с другими автоматизированными системами органов государственной власти; внедрение безопасной технологии обработки конфиденциальной информации; создания комплексной системы антивирусной защиты. Цели создания подсистемы «Обеспечение безопасности информации» • предотвращение возможности нанесения материального, морального или иного ущерба субъектам судебной власти, связанного с эксплуатацией автоматизированной системы; • обеспечение безопасного использования информационных технологий, во всех сферах судебной деятельности (Делопроизводство, Кадры, Финансы и проч.); • обеспечение безопасного использования средств информатизации в служебной деятельности сотрудников органов судебной власти, связанной с регистрацией, обработкой, подготовкой, согласованием, хранением и учетом документов и их электронных образцов, пересылкой электронных документов, контролем дисциплины исполнения документов; • обеспечение безопасного сетевого доступа судей и работников аппаратов судов к актуальной и точной информации по действующему законодательству и правоприменительной практике, • обеспечение безопасного внутриведомственного информационнотелекоммуникационного взаимодействия судов с Верховным Судом Российской Федерации, Судебным департаментом, следственными органами, прокуратурой, Минюстом России и органами государственной власти субъектов Российской Федерации; • обеспечение безопасного использования сети Интернет для получения и передачи информации, а также представления корпоративных порталов ГАС «Правосудие». Основные угрозы безопасности информации ГАС «Правосудие»: Внутренний нарушитель 1. Нарушение конфиденциальности информации. 2. Нарушение доступности информации. 3. Нарушение целостности информации. - контроль НСД, журналирование и аудит; -контроль доступа к каналам связи; -средства электронной цифровой подписи. - гарантированная доставка информации; Внешний нарушитель -единая система управления политикой безопасности; -повышение надежности и отказоустойчивости - контроль целостности; -антивирусные средства; - криптозащита данных. Основные угрозы безопасности информации ГАС «Правосудие»: 4. Угрозы юридически значимому электронному документообороту; 5. Технологические угрозы; 6. Угрозы техническим ресурсам КСА ГАС «Правосудие»; 7. Утечка информации по техническим каналам. Угрозы юридически значимому электронному документообороту • • • • • • • • • отказ от авторства электронного документа; отрицание подлинности электронного документа; отказ от факта передачи электронного документа; отказ от факта приема электронного документа; отправка электронного документа от имени другого лица; утверждение о факте передачи электронного документа; утверждение о факте приема электронного документа; модификация (изменение, искажение, уничтожение) электронного документа; перенаправление потока электронных документов. • • • • использование механизмов ЭЦП; квитирование приема электронных документов; регистрация фактов отправления/приема электронных документов в регистрационных журналах; разграничение доступа к средствам приема/передачи электронных документов Угрозы на технологическом уровне • • • • • • занижение грифа категории информации; расширение номенклатуры информации и соответствующих информационных ресурсов для конкретных пользователей; нарушение существующих регламентов технологических процессов (архивирование, резервное копирование и проч.); нарушение целостности информации и процессов ее обработки; нарушение целостности корпоративных порталов вследствие отсутствия единых регламентов их сопровождения, актуализации и синхронизации по времени; потеря управляемости информационными системами ГАС «Правосудие». • • • • • Приказы и распоряжения; Регламенты и процедуры; Резервирование ПТС и ФАиП; Эксплуатация и сервисное обслуживание; Управление и контроль функционирования Категории внутренних нарушителей • • • • • сотрудник объекта информатизации, не являющийся санкционированным пользователем ГАС «Правосудие», но имеющий доступ в контролируемую зону; санкционированный пользователь ГАС «Правосудие»; санкционированный абонент удаленного доступа ГАС «Правосудие»; администратор системы (администратор ЛВС, ОС, СУБД, ERP, приложений и т.д.); программист – разработчик. Категории внешних нарушителей • физические или юридические лица за пределами КЗ: -атаки с целью добывания информации ограниченного доступа; - навязывания ложной информации; - нарушение работоспособности информационных систем; - нарушения целостности информационных ресурсов. • Заинтересованные лица (в том числе специалисты спецслужб иностранных государств): -дешифрование с использованием специализированных методов и средств реализации перехвата; - методы «социальной инженерии». Классификация ГАС «Правосудие» (требования по защите конфиденциальной информации) -по классу КВ2 согласно классификации ФСБ России; - требования, не ниже класса 1Г ФСТЭК России. Основные подсистемы ОБИ ГАС «Правосудие» – Подсистема разграничения доступа и контроля НСД: • • разграничение доступа должностных лиц к комплексу функциональных подсистем на всех КСА ГАС «Правосудие»; мониторинг защищенности в ГАС; – Подсистема организации защищенного информационного обмена по каналам связи и организации защищенного почтового документооборота: • • • гарантированная доставка информации с подтверждением обработки на узле получателя в рамках защищенного и ведомственного контуров ГАС «Правосудие»; криптографическая защита данных, передаваемых по каналам связи; возможность работы с использованием средств криптографической защиты данных и контроля подлинности и целостности электронных документов (ЭЦП). – Подсистема межсетевого экранирования: • защита от НСД от внешнего нарушителя на базе использования сертифицированных средств межсетевого экранирования «ИВК-Кольчуга». – Подсистема антивирусной защиты: • постоянный антивирусный контроль программно-технической среды КСА всех уровней системы; Реализация контуров обработки информации Наименование Контур обработки информации Тип объекта ЗащиВедомст- ПубличКСА информации щенный венный ный 1. Судебный КСА СД + + + департамент 2. Управление Судебного КСА + + департамента по субъ- РОСД ектам РФ КСА 3. Суды субъектов РФ + + ССРФ 4. Районный суд субъКСА РС + + екта РФ 5. Окружной КСА + + + военный суд ОВС 6. Гарнизонный КСА + + + военный суд ГВС Взаимодействие WEB-портала судебной системы г.Санкт-Петербурга и ГАС «Правосудие» Структурная схема ЛВС Приморского районного суда Санкт-Петербурга. ЭТАП 1. МЭ Internet Сервер БД портала WWW-сервер ВЕБ-портал ДМЗ: ЛВС Юр.Ф-та Санкт-Петербургского У-та Сеть РТКом для организации публичного контура Intel Xeon 3,2 GHz/ 1Gb/1Gbit/4*72Gb / CDROM Intel Pentium 750MHz / 256Mb/100Mbit/2*20Gb/ CDROM ОС: Win2003 Server ОС: Win2003 Server Функции: - DNS - DHCP - WINS - Domain Controller (PDC) - File server Функции: - DNS - WINS - Domain Controller - Web (для внутр. прил.) - File server PRM-BLUE 192.168.14.5 Текущая инфраструктура ЛВС Приморского РС Intel P IV 2,8GHz/512Mb/ 1Gbit/2*120Gb/DVDROM Intel Xeon 3,2 GHz/ 1Gb/1Gbit/4*72Gb / CDROM ОС: Win2000 Server Функции: - File server PRM-YELLOW 192.168.14.1 Intel Pentium 750MHz / 256Mb/ 100Mbit/2*20Gb/ CDROM ОС: Win2003Server Функции: - Database server - File server Функции: - Proxy Server - DNS Forwarder PRM-WHITE 192.168.14.4 192.168.01.01 Router/МЭ ОС: Win2003 Server PRM-BLACK 192.168.14.3 МЭ ИВК-Кольчуга 500.xxx.xxx.001 модем PRM-PROXY 192.168.14.9 Switch 192.168.01.02 WWW-сервер КСА 192.168.01.03 Сервер БД (копия) Switch ХВК *** Switch ХВК*** Switch ХВК*** Switch ХВК*** Switch ХВК*** Switch ХВК*** Switch ХВК*** ... Wrkst 1 1 Wrkst n этаж ... Wrkst 1 2 Wrkst n этаж ... Wrkst 1 3 Wrkst n этаж ... Wrkst 1 3 Wrkst n этаж ... Wrkst 1 4 Wrkst n этаж ... Wrkst 1 4 Wrkst n этаж Публичный контур ГАС «Правосудие» на КСА Приморского РС Взаимодействие WEB-портала судебной системы г.Санкт-Петербурга и ГАС «Правосудие» Структурная схема ЛВС Приморского районного суда Санкт-Петербурга. ЭТАП 2. Ведомственный контур: КСА РОСД г. СанктПетербурга Ведомственный контур: Городской суд г. СанктПетербурга МЭ Ведомственный контур: стенд ГАС «Правосудие» (стенд ГИ ФГУП НИИ «Восход») Ведомственный контур: Районные суды Internet ДМЗ: ЛВС Юр.Ф-та Санкт-Петербургского У-та Сеть РТКом для организации ведомственного контура ОС: Win2000 Server Функции: - File server Intel Pentium 750MHz / 256Mb/100Mbit/2*20Gb/ CDROM ОС: Win2003 Server Функции: - DNS - WINS - Domain Controller - File server Сеть РТКом для организации публичного контура Маршрутизатор Ведомственный контур ГАС «Правосудие» на КСА Приморского РС Intel P IV 2,8GHz/512Mb/ 1Gbit/2*120Gb/DVDROM Intel Xeon 3,2 GHz/ 2х1Gb/2х1Gbit/ 4*72Gb /CDROM ОС: Win2003 Server Функции: - Database server - File server - Web (для внутр. прил.) -Главная машина ИВК-Юпитер Intel Xeon 3,2 GHz/1Gb/1Gbit/ 4*72Gb /CDROM ОС: Win2003 Server Функции: сервер приложений - Шлюз прикладного уровня контроля НСД «ИВК-Юпитер» - DNS - DHCP - WINS - Domain Controller (PDC) - File server 192.168.50.2 PRM-YELLOW 192.168.14.1 PRM-BLUE 192.168.14.5 МЭ ИВК-Кольчуга 500.xxx.x xx.001 Дополнительные средства СОВ 192.168.1.1 IP-шифратор Заслон-К Switch МЭ ИВК-Кольчуга Транспортный шлюз PRM-BLACK 192.168.14.3 Сервер БД портала WWW-сервер ВЕБ-портал 192.168.1.2 192.168.1.3 Динамическое обновление 192.168.15.2 192.168.14.2 WWW-сервер КСА PRM-WHITE 192.168.50.1 Сервер БД (копия) Switch ХВК *** Wrkst 1 Switch ХВК*** Switch ХВК*** Switch ХВК*** Switch ХВК*** Switch ХВК*** Switch ХВК*** ... Wrkst 1 1 Wrkst n этаж ... Wrkst 1 2 Wrkst n этаж ... Wrkst 1 3 Wrkst n этаж ... Wrkst 1 3 Wrkst n этаж ... Wrkst 1 4 Wrkst n этаж ... Wrkst 1 4 Wrkst n этаж ... Wrkst n Публичный контур ГАС «Правосудие» на КСА Приморского РС Средства организации вычислительного процесса, транспортный модуль, средства УКФ, средства контроля НСД ОПО ИВК-Юпитер 5.0 Организация обмена, осуществляемого по защищенной магистрали через PROXY Клиент Клиент Клиент Обработка данных Сервер приложений Сервер СУБД PROXY Запросы и отфильтрованные данные Запрет прямого доступа клиента к серверу без осуществления процедуры авторизации. Комплекс средств защиты портала Верховного суда РФ (www.vsrf.ru) и органов судейского сообщества (www.vkks.ru, www.ssrf.ru ) ПСПД Транспортная магистраль ГАС «Правосудие» МЭ ЦИТАДЕЛЬ Web-сервер ДМЗ Сервер реплики СУБД Oracle МЭ ИВК Кольчуга, шлюз UP Сервер портала, СУБД MySQL Витрина данных Локальная сеть ведомственного контура Защищенная транспортная магистраль «ИВК Юпитер™» Пакеты TCP/IP Подсистема разграничения доступа и контроля НСД на базе СЗИ ОПО «ИВК-Юпитер» вер. 5.0 Состав имитаторов КСА стендового комплекса ГИ Представление данных на уровне КСА (Прототип Витрины данных ГАС «Правосудие») Средства управления политикой безопасности КСА. Подсистема управления доступом. Средства управления политикой безопасности КСА. Подсистема управления доступом. Средства управления политикой безопасности КСА. Подсистема управления доступом. Средства управления политикой безопасности КСА. Подсистема управления доступом. Разграничение доступа к информационным ресурсам КСА (подсистема «Организационное обеспечение») Средства управления политикой безопасности КСА. Подсистема управления доступом. Разграничение доступа к информационным ресурсам КСА (подсистема «Организационное обеспечение») Средства управления политикой безопасности КСА. Подсистема управления доступом. АРМ ОБИ Средства управления политикой безопасности КСА. Подсистема управления доступом. АРМ ОБИ. Средства управления политикой безопасности КСА. Подсистема управления доступом. Разграничение доступа к информационным ресурсам КСА (подсистема «Организационное обеспечение») Средства управления политикой безопасности КСА. Подсистема управления доступом. АРМ ОБИ. Средства управления политикой безопасности КСА. Подсистема управления доступом. АРМ ОБИ. Средства управления политикой безопасности КСА. Подсистема управления доступом. Разграничение доступа к информационным ресурсам КСА (подсистема «Организационное обеспечение») Подсистема организации защищенного почтового документооборота и использования ЭЦП Конверт UP Номер ИСХ. HTML Отправитель …DBF, DOC… Получатель: IVANOV@89UD0013 XML ГРИФ •Документы Внутри •Сообщения SMTP пакет •Файлы КВИТИРОВАНИЕ SMTP агент Приложение 2 Приложение 1 SMTP агент Подсистема организации защищенного почтового документооборота и использования ЭЦП Подсистема организации защищенного почтового документооборота Электронная цифровая подпись (ЭЦП) Защищенный почтовый документооборот. Организация информационного взаимодействия в рамках подсистем «Документооборот» и «Обращения граждан» Подсистема организации защищенного почтового документооборота. Регистрация информационного обмена в рамках транспортной магистрали ГАС «Правосудие» Подсистема межсетевого экранирования ГАС «Правосудие» на базе МЭ «ИВК-Кольчуга» ЛВС ЛВС Администратор МЭ "ИВК Кольчуга" Удаленное администрирование по доверенному каналу связи с использованием протокола SSH из доверенного IT-продукта МЭ "ИВК Кольчуга-К" Internet Администратор МЭ "ИВК Кольчуга" Локальное администрирование с использованием протоколов http и https Администратор МЭ "ИВК Кольчуга" Удаленное администрирование по доверенному каналу связи с использованием протоколов http и https в доверенной среде внутренней локальной сети Подсистема межсетевого экранирования ГАС «Правосудие» на базе МЭ «ИВК-Кольчуга» МЭ "ИВК Кольчуга" Система управления ALTerator Функциональные серверы Proxy Web DNS Mail APT Hunk File Dr.Web Ядро Межсетевой экран Подсистема межсетевого экранирования ГАС «Правосудие» на базе МЭ «ИВК-Кольчуга» Подсистема межсетевого экранирования ГАС «Правосудие» на базе МЭ «ИВК-Кольчуга» Аппаратный шифратор "Заслон" Необслуживаемый режим работы: - вмешательство оператора требуется только для смены ключей и при компрометации узла сети Основные характеристики: - - Защита от вскрытия; Алгоритм шифрования: по ГОСТ 28147-89 Ключевая схема: – «Звезда» – «Полная матрица» Режим функционирования: полнодуплексный Скорость обработки сетевого трафика: – не менее 200 тыс. пакетов в секунду – не менее 180 Мбит в секунд Аппаратный шифратор "Заслон" Основная плата изделия Схема построения большой сети (до 9900 узлов) шифрованной связи на базе АПШ «Заслон» (изделие М-543) 192.2.1.0/24 192.1.1.0/24 ... ... 192.2.99.0/24 192.1.99.0/24 128.0.0.0/2 128.0.0.0/2 Ключевая зона 2 Ключевая зона 1 Ключевая зона 0 128.0.0.1 128.0.0.2 128.2.0.2 128.1.0.0/16 128.2.0.0/16 Трансляция адреса отправителя: 192.2.x.y→128.2.x.y АПШ «Заслон» Маршрутизатор Трансляция адреса получателя: 192.100.x.y←128.100.x.y Обозначения Трансляция адреса отправителя: 192.100x.y→128.100.x.y Трансляция адреса получателя: 192.2.x.y←128.2.x.y 128.100.0.0/16 128.1.0.2 Трансляция адреса отправителя: 128.1.x.y←192.1.x.y Трансляция адреса получателя: 128.1.x.y→192.1.x.y 128.100.0.2 128.0.0.100 128.0.0.0/2 Защищаемая ЛВС 192.100.1.0/24 Ключевая зона Транспортная сеть Зона перешифрования ... 192.100.99.0/24 Ключевая зона 100
