Структура программно-аппаратного комплекса информационной безопасности и защиты информации предприятия

К уже имеющимся в компании средствам антивирусной защиты и защитным механизмам, встроенным в операционную систему, по результататам оценки рисков и для выполнения требований законодательства в области защиты информации в компании «Медсервис» выбрано для внедрения два средства защиты:
- средство защиты Secret Net Studio для защиты от комплекса угроз, связанных с несанкционированным доступом;
- комплекс средств защиты ViPNet для защиты от угроз, возникающих при передачи информации в сети.
Средство защиты Secret Net Studio является комплексным средством защиты информации, которое позволяет организовать защиту информации сразу на 5 уровнях информационной системы: уровень данных, уровень приложений, уровень операционной системы, уровень компьютерной сети, уровень переферийного оборудования (рис. 9).

Рис. 9 Уровни защиты в Secret Net Studio
Ядро системы защиты Secret Net Studio устанавливается в операционную систему Windows, дополняя ее новыми функциями по защите информации, а также в систему устанавливаются новые компоненты для защиты информации: персональный межсетевой экран, средства защиты от вторжений, антивирусное средство, средство шифрования контейнеров (рис 10).
3472814318770
Сетевой экран
Защита от вторжений
Шифрование контейнеров
Антивирус
00
Сетевой экран
Защита от вторжений
Шифрование контейнеров
Антивирус
Рис. 10 Архитектура системы защиты Secret Net Studio на рабочей станции
Набор дополнительных подключаемых компонент определяется при покупке продукта, формируя тем самым его итоговую цену, и зависит от спектра актуальных угроз и выбработанных требвоаний на основе оценки рисков к системе защиты информациии.
Например, в компании «Медсервис» уже имеются антвирусные средства, поэтому очевидным яляется то, что покупка соответствующего модуля в составе Secret Net Studio является необязательной.
В целом же имеются две сертифицированных версии рассматриваемого продукта: Secret Net Studio и Secret Net Studio-С, сведения о сертификатах которых представлены в таблице 22.
Таблица 22
Сертификаты Secret Net Studio
Соствав компонентов различных версий Secret Net представлен в таблице 23.
Таблица 23
Возможности разных версий Secret Net
Основываясь на таблице 23 и исходных данных по компании «Медсервис», в качетсве оптимального варината для системы защиты выбрана версия программы Secret Net Studio-С, так как она по сравнению со своим предшетсвенником Secret Net 7 более функциональна и содержит персональный межсетевой экран и возможности по шифрованию контейнеров, а по сравнению с Secret Net Studio не содержит не обязательных для компании «Медсервис» средств обнаружения вторжений (требуется только для второго и первого уровня защищенности персональных данных, а у компании «Медсервис» установлен третий уровень) и не включает уже имеющихся в системе защиты компании антивирусных средств.
Основные возможности Secret Net Studio-С, которые снижают риски, связанные с несанкционированным доступом в комьютерной сети компании «Медсервис», представлены ниже:
- двухфакторная аутентифкация, которая позволяет усилить парольную защиту применением дополнительных аппартаных ключей для входа, например типа eToken (рис. 11), что сущетсвенно усложняет задачу злоумышленника по входу в систему с чужой учетной записью;
Рис. 11 Персональный защищенный аппаратный идентификатор eToken, работающий через USB-интерфейс
- возможность блокировки сеанса пользователя при заданном в настройках периоде неактивности пользователя или при извлечении аппаратного идентификатора из компьютера, что позволяет снизить риски, связанные с оставлением рабочего места пользователя без присмотра во время рабочего дня и попытками других лиц в это время совершить злоумышленные действия с правами другого пользователя;
- возможность контроля подключения и отключения устройств компьютера, которая позволяет снизить риски, связанные с несанкционированным подключением накопителей для хранения информации или передающих устройств (модемов и т.п), а также риски, связанные с несанкционированным отключением, в том числе кражей, комплектующих компьютера (жесткий диск, оперативная память и т.п.) за счет моментального блокирования компьютера при нарушении политики контроля подключаемых устройств;
- возможность надежного удаления данных, которые не удаляются с диска физически в операционной системе Windows (удаляется лишь запись в файловой системе, а сами данные хранятся на диске до тех пор пока не будут перезаписаны другой информацией), за счет применения в автоматическом режиме нескольких циклов затирания удаляемой информации случайными последовательностями байт, что позволяет минимизировать риски, связанные с повторным использованием носителей и угрозой восстановления конфиденциальной информации с утилизируемых носителей;
- возможность применения механизма, так называемого теневого копирования информации, когда информация перемещаемая на съемные носители информации или направляемая на принтер копируется в определенное защищенное хранилище дл ее дальнейшего исследования админстратором средств защиты с целью выявления фактов не допустимого перемещения конфиденциальной информации, что позволяет снизить риски, связанные с утечкой информации;
- возможность применения дополнительно к дискреционному принципу разграничения, используемому по умолчанию в операционной системе Windows, мандатное разграничение доступа, которое предполагает раздление всей информации на несколько уровней конфиденциальности и назначение пользователям соответсвующих уровней допуска, используя данный принцип можно настроить автоматическую генерацию грифа конфиденциальности при печати документов;
- возможность использования механизма замкнутой программной среды, когда администратором жестко задается список разрешенного к запуску в системе программного обеспечения, что снижает риски, связанные с возможностью применения вредоносных программ и программ для обхода системы защиты информации, а также защищает от нерацианального использования компьютера пользователем, например, который может попытаться установить или запустить со съемного носителя программное обеспечение, не имеющее отношение к его работе;
- контроль целостности файлов операционной системы, значений реестра, файлов системы защиты, а также произвольных настраиваемых файлов или каталогов, который позволяет выявить попытки несанкционированного внесения изменений в файлы и программы на компьютерах в сети компании «Медсервис», путем сравнения заранее вычисленных эталонных значений от контролируемых файлов с вычисленными на текущий момент проверки значениями, как правило, такая проверка выполняется при загрузке операционной системы и профиля конкретного пользователя;
- ведение собственного журнала фиксации настраиваемых по выбору адинистратора средств защиты событий, связанных с информационной безопасностью, что позволяет анализировать гораздо более широкий спектр событий, чем стандартные журналы, которые встроены в операционную систему Windows, что в свою очередь дает позволяет существенно увеличить возможности админстратора средств защиты по аудиту событий информационной безопасности, в том числе при расследовании возникших инцидентов информационной безопасности в компании «Медсервис»;
- уведомление пользователя о том, что в операционной системе работает средство защиты информации от несанкционированного дсотупа еще на этапе загрузки операционной системы за счет встраивания системы защиты в процесс загрузки операционной системы Windows, а также выдача сообщений о возникающих проблемах и нежелательных событиях информационной безопансости во время работы пользователя, что с одной стороны повышает бдительность пользователей информационной системы компании «Медсервис» и позволяет оперативно реагировать на инциденты информационной безопасности за счет практически моментального оповещния системой защиты;
- возможность использования плат аппартной поддержки совметсно с программной частью средства защиты для обеспечения довернной загрузки операционной системы за счет перехвата и контроля процесса загрузки специальной платой-расширением (рис

. 12), устанавливаемой в PCI или PCI-E разъем на материснской плате, что позволяет обеспечить защиту компьютеров в сети компании «Медсервис» от атак, связанных с загрузкой не штатаной операционной системы и попытками обхода штатной системы защиты информации;
Рис. 12 Плата аппаратной поддержки для СЗИ от НСД Secret Net
- наличие персонального межсетевого экрана, который позволяет настроить набор правил для фильтрации (пропуска или блокирования) входящих соединений по различным критериям как на сетевом уровне, используя сетевые адреса, порты и содержимое заголовков фильтруемых пакетов, так и на уровне приложений(L7), где применяется глубокий анализ передаваемых в ходе сетевого взаимодействия пакетов, что позволяет обеспечить надежную защиту компьютеров локальной сети компании «Медсервис» от атак через сетевое соединение;
- возможность раширения функционала, за счет закупки доплнительных модулей, например, систем обнаружения второжений(СОВ), что может быть актуально при увеличении числа обрабатыемых данных в ИСПДн компании «Медсервис», так как если система будет обрабатывать данные более чем 100000 субъетов (пациентов), то это будет уже не третий, а второй уровень защищенности персональных данных, для которого использование СОВ является обязательным.
Таким образом, Secret Net Studio реализует комплексную защиту от НСД на компьютерах компании «Медсервис». Рассматриваемое СЗИ работает в двух основных режимах: сетевом и автономном.
В сетевом режиме Secret Net Studio состоит из двух частей: клиентской части, работающей в агентском режиме на защищаемых компьютерах, и сервера безопасности, используемого для централизованного управления. Для работы в сетвом режиме должна быть организована доменная структура в Windows.
Автомномный режим подразумевает локальную установку и настройку Secret Net Studio на каждой рабочей станции.
Поскольку в компании «Медсервис» не организована доменная структура сети для внедрения выбрана автономная версия Secret Net Studio, порядок установки которой рассматривается далее.
Установку програмы необходимо проводить с правами администратора. Для уставноки в 64-ех разрядную версию операционной системы необходимо использовать файл \Setup\Client\x64\SnSetup.ru-RU.exe, а в 32-ух разрадную - \Setup\Client\Win32\SnSetup.ru-RU.exe. В появившемся после запуска окне необходимо для установки Secret Net Studio выбрать пункт защитные компоненты, после запуска установочного файла (рис. 13).
Рис. 13 Начальное окно установки СЗИ от НСД Secret Net Studio
Далее появится стандартное окно с лицензионным соглашением, где необходимо подтвердить свое ознакомление с ним. После чего необходимо в следующем окне выбрать тип устанавливаемой версии клиента «Автономная» (рис. 14), остальные поля доступны для заполнения только в сетевом режиме работы.
Рис. 14 Выбор режима работы Secret Net Studio
Далее необходимо предъявить лицензию на устанавливаемое средство защиты (поставляется при покупе продукта, как правило в виде файла с лицензией) и выбрать необходимые защитные механизмы, в соответсвии с имеющейся лицензией.
При автономном режиме работы, чтобы выбрать файл с лицензией необходимо установить флажок «Выбрать новую лицензию», взависимости от типа которой будут отображаться доступные для установки защитные механизмы (рис 15).
В частности при установке Secret Net Studio в компании «Медсервис» последние три компонента в списке, представленном на рис. 15, приобретать в соответствии с имеющимися исходными данными по системе и проведенной оценкой рисков нет необходимости.
Рис. 15 Выбор лицензии и защитных компонент
Далее необходимо задать заключительные параметры установки СЗИ от НСД Secret Net Studio (рис. 16).
Рис. 16 Параметры установки
Каталог для установки программы рекомендуется оставить без изменения, а тип датчика случайных чисел в случае отсутствия платы аппаратной поддержки выбрать биологический (будет использоваться мониторинг за определёнными действиями пользователя, для создания случайной последовательности, например, часто используются координаты движения мышки по экрану).
Поле сервер VPN- подключений необходимо использовать если только предполагается совместное использование программы с АПКШ «Континент», производимым так же компаний «Код безопасности». При установке в компании «Медсервис» данное поле не заполняется.
Кроме того, через пункт «Дополнительно» можно сохранить сценарий установки с параметрами в файл, чтобы использовать его для установки на другие компьютеры.
После завершения настройки параметров можно приступить к установке программы, при этом процесс успешной установки очередного компонента отмечается зеленой галочкой (рис. 17).
Рис. 17 Завершение установки
После завершения установки обязательно необходимо перезагрузить систему, при этом аппаратная и программные конфигурации компьютера на момент первого запуска системы будут считаться в качестве эталонных, поэтому чтобы сразу не проводить перенастройку защитных политик важно до перезагрузки удалить из аппаратной и программной конфигурации все неразрешенное в дальнейшем к работе программное и аппаратное обеспечение.
В случае необходимости деинсталляция СЗИ Secret Net Studio производится стандартным способом через оснастку «Удаление программ».
Отдельного обучения пользователей по работе с СЗИ Secret Net Studio не требуется, так как оно работает фактически в фоновом режиме, для администратора же средств защиты имеется большой пакет эксплуатационной и обучающей документации, которая поставляется вместе с установочным дистрибутивом в электронном виде в формате pdf.
С точки зрения правил и мер по обеспечению безопасности при эксплуатации СЗИ от НСД необходимо руководствоваться действующей в компании «Медсервис» политикой информационной безопасности, которая представлена в приложении 1.
Ответcтвенным за учет и внедрение СЗИ от НСД Secret Net Studio в компании является начальник отдела информационных технологий компании «Медсервис».
Закупка средств защиты может быть оформлена напрямую через официальный сайт компании «Код безопасности» с получением лицензий и дистрибутивов защищенной почтой.
Порядок настройки же рассматриваемого средства защиты будет рассмотрен в следующем пункте.
Вторым внедряемым внедряемым средством защиты информации в сети компании «Медсервис» является комплекс ViPNet 4.
Комплекс средств защиты ViPNet 4 используется для создания универсальной защищенной системы передачи данных в компании «Медсервис», позволяющей не только организовать VPN-сеть, но и организовать обмен зашифрованной почтой внутри этого канала, а также с другими сетями такого же типа, с подтверждением подлинности и авторства передаваемых сообщений по сети.
Для организации полноценной корпоративной защищенной в сети на базе комплекса VipNet в компании «Медсервис» требуется установка трех следующих основных компонент рассматриваемого комплекса:
- ViPNet Client;
- VipNet Coordinator;
- ViPNet Administrator.
ViPNet Client является программным средством защиты информации, которое устанавливается на рабочие места пользователей с целью обеспечения шифрования передаваемого трафика (подключения к VPN-сети компании) на рабочих местах с возможностью передачи зашифрованных сообщений с вложениями в защищенном почтовом клиенте с обеспечением подтверждения подлинности передаваемой информации за счет применения механизмов электронной подписи.
Кроме того, ViPNet Client является полноценным сертифицированным межсетевым экраном, который позволяет фильтровать весь входящий и исходящий траффик компьютера, защищая тем самым рабочее место от атак по сети.
В составе средства защиты ViPNet Client имеется компонента для контроля запускаемых приложений на компьютере, что позволяет блокировать нежелательные приложения