Старые ответы. Модель взаимодействия открытых систем, размещение услуг и механизмов защиты на уровнях модели

Название	Модель взаимодействия открытых систем, размещение услуг и механизмов защиты на уровнях модели
Дата	09.01.2019
Размер	1.39 Mb.
Формат файла
Имя файла	Старые ответы.docx
Тип	Документы #62958
страница	3 из 5

1 2 3 4 5

Основные требования и меры обеспечения информационной безопасности

Правовые меры обеспечения информационной безопасности

Сотрудники Компании должны быть ознакомлены с требованиями по обеспечению ИБ, определяемыми нормативными правовыми актами и мерами взысканий за нарушение данных требований.

Организационные меры обеспечения информационной безопасности

Организационные меры обеспечения ИБ должны базироваться на совокупности внутренних документов Компании, определяющих политику ИБ Компании, и обеспечивать:

установление порядка допуска сотрудников и посетителей Компании на территорию и в помещения Компании, предусматривающего:

установление порядка допуска сотрудников и сторонних лиц к информационным ресурсам КИС

установление порядка внесения изменений в конфигурацию аппаратно-программных средств ИС, предусматривающего:

согласование предполагаемых изменений с ответственными лицами (указать конкретно о том, за что ответственны лица);

предварительное тестирование изменений, которые могут привести к нарушению работоспособности ИС;

документирование основных изменений в конфигурации ИС в эксплуатационной документации на ИС (инвентарных картах на аппаратные средства ИС, схемах сетей и т. д.);

строгий учет всех подлежащих защите ресурсов ИС

регламентацию процессов выполнения технологических операций с информационными ресурсами ИС;

регламентацию процессов технического обслуживания аппаратных средств ИС;

подготовку сотрудников Компании в сфере ИБ

проведение периодических проверокИБ Общества, а именно:

проверка соблюдения пользователями ИС требований внутренних документов Компании по ИБ;

принятие мер взысканий в отношении лиц, виновных в выявленных в ходе проверки нарушениях;

проведение расследований инцидентов ИБ, а именно:

ликвидацию последствий инцидента ИБ;

определение виновных в инциденте ИБ;

принятие мер, направленных на предотвращение подобных инцидентов в будущем.

Аппаратно-программные меры обеспечения информационной безопасности

Аппаратно-программные меры обеспечения ИБ должны основываться на использовании специальных электронных устройств и программного обеспечения, входящих в состав КИС и выполняющих (самостоятельно или в комплексе с другими средствами) функции защиты. Применяемые аппаратно-программные средства должны предоставлять следующие услуги (сервисы) ИБ:

идентификация и аутентификация – опознавание и проверка подлинности субъекта доступа. Идентификация и аутентификация пользователей должны обеспечиваться путем:

контроль доступа

конфиденциальность

неотказуемость от совершенных действий. Неотказуемость должна обеспечиваться на основе следующих механизмов:

формирование электронной цифровой подписи (ЭЦП) для защиты документов, создаваемых в системе электронного документооборота;

ведение журналов аудита критичных действий в ИС (создания, модификации, удаления информационных и программных ресурсов ИС, изменения привилегий и прав доступа пользователей, изменения настроек аппаратно-программных средств ИС);

целостность

доступность

мониторинг и аудит

анализ защищенности ИС

управление средствами защиты ИС, а именно:

хранение (централизованное или децентрализованное) аутентификационной и авторизационной информации;

управление (по возможности централизованное) настройками средств защиты ИС;

оповещение сотрудников, управляющих средствами защиты ИС, о выявленных инцидентах информационной безопасности в ИС (проникновение вируса в ИС, факты вторжения в ИС и т. д.)

Физические меры обеспечения информационной безопасности

Физические меры обеспечения информационной безопасности должны предусматривать:

создание контрольно-пропускных пунктов на входе на территорию и в помещения Компании;

оснащение замками входных дверей в помещения, в которых размещаются аппаратные средства ИС;

оснащение решетками окон, через которые может быть осуществлено несанкционированное проникновение в помещения Компании;

установку видеокамер и ведение наблюдения за всеми входами на территорию и в помещения Компании (контрольно-пропускными пунктами, аварийными выходами и т. д.);

размещение проводов электропитания и информационных каналов связи в стенах, под полом или в коробах;

установку в помещениях Компании, в которых размещены серверы и сетевое оборудование, средств кондиционирования, пожарной сигнализации и пожаротушения.

Технологические, законодательные и организационные предпосылки организации защиты мультисервисных сетей.

Закон Яровой (также пакет Яровой^[1] или пакет Яровой-Озерова) — два законопроекта, декларировавшиеся их авторами как имеющие антитеррористическую направленность, были приняты в России в июле 2016 года. В СМИ и общественных дискуссиях закон стали называть именем одного из его авторов — Ирины Яровой. Пакет состоит из двух федеральных законов^[2]:

Федеральный закон от 6 июля 2016 г. № 374-ФЗ «О внесении изменений в Федеральный закон „О противодействии терроризму“ и отдельные законодательные акты Российской Федерации в части установления дополнительных мер противодействия терроризму и обеспечения общественной безопасности»
Федеральный закон от 6 июля 2016 г. № 375-ФЗ «О внесении изменений в Уголовный кодекс Российской Федерации и Уголовно-процессуальный кодекс Российской Федерации в части установления дополнительных мер противодействия терроризму и обеспечения общественной безопасности»

Поправки, вносимые этим набором дополнений в федеральное законодательство, можно условно разделить на следующие части:

расширение полномочий правоохранительных органов;
новые требования к операторам связи и интернет-проектам;
новые требования к перевозчикам-экспедиторам и операторам почтовой связи;
усиление регулирования религиозно-миссионерской деятельности^[3][4].

Госдума приняла так называемый «антитеррористический пакет», существенная часть которого посвящена интернету. Согласно документу, операторы связи и «организаторы распространения информации» должны в течение полугода хранить вообще всю переданную информацию, то есть и записи телефонных звонков, и содержание смс-сообщений. В течение трех лет они также обязаны хранить сведения о переданных данных. Наконец, компании должны помочь ФСБ расшифровать весь трафик. Против нового закона выступили крупнейшие российские интернет-компании — Mail.ru и «Яндекс», — а также профильные ассоциации РАЭК и РОЦИТ и даже рабочая группа «Связь и ИТ» при правительстве России. «Медуза» рассказывает, почему этот закон не просто невыполним, но и наносит удар как по простым пользователям интернета, так и по интернет-компаниям.

Дорого

Закон предписывает операторам связи и «организаторам распространения информации» (ими могут быть признаны любые сайты; реестр ведет Роскомнадзор) хранить все данные, переданные пользователями. Это гигантский объем данных: все производители мира должны работать только на Россию в течение семи лет, чтобы создать столько инфраструктуры для хранения и обработки такого объема информации.

Есть и другая проблема: в центральной части России просто нет достаточного количества электроэнергии для питания дата-центров, которые еще даже не построены. При этом в России такие системы не производятся, то есть деньги на их закупку пойдут за рубеж.

Экспертная оценка затрат на постройку инфраструктуры — более чем пять триллионов рублей. Для сравнения, доходы федерального бюджета России в 2015 году составили 13,7 триллиона рублей. В законе говорится, что для внедрения закона не потребуется государственных денег, но это не так: ведомствам придется закупать как минимум кабели для передачи данных (поскольку кабели, которые есть сейчас, не справятся с тем объемом информации, которые закон предписывает хранить).

Кроме того, государство рискует потерять доходы, которые оно получает с интернет-компаний. Сейчас они платят налог на прибыль, но с внедрением закона могут стать убыточными, поскольку им придется тратить десятки и сотни миллиардов рублей на закупку оборудования.

Глупо

Новый закон предписывает всем «организаторам распространения информации», которые используют «дополнительное кодирование» электронных сообщений, предоставлять в ФСБ информацию, позволяющую «декодировать» все, что потребуется. Нужно понимать, что кодируется вообще вся информация в интернете. Любой текст, любая картинка, переданная по электронной почте, кодируется по стандарту MIME. Нужно ли предоставлять ФСБ информацию о принципах его работы?

Если говорить о шифровании, сейчас в интернете почти половина трафика зашифрована, и этот объем растет. Причем в большинстве случаев «организаторы распространения информации» не имеют ключей для расшифровки — так обеспечивается приватность в интернете. К примеру, при использовании протокола HTTPS ключи шифрования хранить нельзя технически. Этот протокол используется на огромном количестве сайтов, в том числе на «Госуслугах», то есть закон блокирует работу ресурса для взаимодействия россиян и государства.

Как быть с финансовыми системами, тоже неясно. Система обмена транзакциями SWIFT не использует российские алгоритмы шифрования, но с ней работают почти все банки мира, в том числе российские. Платежные системы обязаны соблюдать стандарт PCI DSS — он не предусматривает раскрытия ключей шифрования, как того требует закон.

Для исполнения закона придется придумать новые методы шифрования, которые должны при этом каким-то образом работать с существующими, потому что иностранные компании не станут поддерживать эти технологии. Впрочем, в любом случае их еще нет. Но даже если удастся создать некий центр хранения всех ключей шифрования, это сделает всю систему уязвимой, поскольку она станет желанной целью для хакеров — ведь с помощью этих ключей гипотетически можно расшифровать любое российское сообщение.

Новый закон также нарушает право граждан России на тайну переписки, гарантированную Конституцией. Это право может быть нарушено только по решению суда, однако «пакет Яровой» требует, чтобы правоохранительные органы имели доступ ко всем данным без санкции суда. Сейчас большинство мессенджеров использует шифрование, и это важное конкурентное преимущество, поскольку пользователи заинтересованы в сохранности своей переписки. Новый закон лишит любой российский продукт конкурентоспособности. Что будут делать в этой ситуации зарубежные компании, неясно. Они могут просто уйти с российского рынка.

Текст основан на заявлениях «Яндекса», Mail.ru (они считаются «операторами распространения информации»), Российской ассоциации электронных коммуникаций и Регионального общественного центра интернет-технологий (позиционирующих себя как связующее звено между интернетом и государством), а также рабочей группы «Связь и ИТ» при правительстве России

Построение защищенного решения для мультисервисной сети на базе технологий виртуальных частных сетей (VPN).

VPN (виртуальная частная сеть) – это семейство технологий объединения разнесенных локальных сетей и отдельных удаленных персональных рабочих мест, для реализации которых используются аппаратные и/или программные средства.

На рисунке показана простая сеть, состоящая из сети одного центрального офиса и сетей двух дочерних офисов. Основные затраты на содержание частной сети - это ежемесячная плата за арендуемые или выделенные линии.

http://siblec.ru/mod/html/content/8sem/061/img/p10_8.gif

Если в подобной сети вместо арендуемых линий использовать обмен через Internet, то мы получим сетевую топологию, аналогичную представленной на рисунке 10.9. Здесь каждый удаленный пункт имеет собственный доступ к Internet, обычно предоставляемый местным провайдером.

http://siblec.ru/mod/html/content/8sem/061/img/p10_9.gif

Брандмауэр (Firewall, FW) – это программно-аппаратный комплекс, создающий защитный барьер (межсетевой экран) между сетями. Он предназначен для предотвращения несанкционированного доступа к защищаемой сети извне и для контроля потоков входящих и исходящих данных. Брандмауэр устанавливается на границе защищаемой сети, но его присутствие не должно быть заметно для сетевых узлов.

Сеть каждого дочернего отделения имеет собственное соединение с Internet (через шлюз местного провайдера).

Подобная схема предохраняет каждый удаленный офис от несанкционированного доступа извне, но никак не защищает информационные потоки, передаваемые между этими пунктами. Потоки информации проходят через Internet без шифрования. Кроме проблем защиты, немаловажное значение для пользователей VPN имеет также надежность соединения с Internet каждого удаленного офиса и скорость передачи данных.

Многие проблемы защиты информационных потоков опираются на брандмауэры с дополнительными функциями поддержки VPN, расширения которых для виртуальных частных сетей позволяют установить через Internet шифрованное соединение с другим брандмауэром. Шифрование обеспечивает гарантию того, что даже если некто, вооружившись анализатором протоколов, перехватит сообщение из магистральной сети, то он не сможет прочитать данные.

Как показано на рисунке 10.10, брандмауэры с поддержкой VPN создают логические каналы - "коридоры" в Internet. Коридоры не позволяют никому извне "проникнуть внутрь".

http://siblec.ru/mod/html/content/8sem/061/img/p10_10.gif

Брандмауэры со средствами VPN создают шифрованные соединения, связывающие каждый пункт с другими. Концептуально это напоминает стены, окружающие каждый филиал, и коридоры, соединяющие штаб-квартиру с дочерними отделениями в единое целое.

Расходы на VPN обычно складываются из оплаты стоимости линий связи между компанией и точкой доступа к Internet и оплаты услуг провайдера Internet. Вместо оплаты определенной пропускной способности (независимо от того, нужна она вам постоянно или нет), Internet позволяет по мере надобности создавать между точками сети защищенные виртуальные туннели.

Частная виртуальная сеть создается между инициатором туннеля и завершителем (терминатором) туннеля (Рисунок 10.11).

Рисунок 10.11. VPN

Инициатор туннеля (ИТ) инкапсулирует пакеты, например, IP-пакеты, в новый пакет, содержащий, наряду с исходными данными, новый заголовок с информацией об отправителе и получателе. Терминатор туннеля (ТТ) выполняет процесс, обратный инкапсуляции, удаляя новые заголовки и направляя исходный пакет в сеть IP или адресату в локальной сети.

Сама по себе инкапсуляция никоим образом не повышает конфиденциальности или целостности туннелируемых данных. Конфиденциальность обеспечивается с помощью шифрования.

Целостность туннелируемых данных можно обеспечить с помощью некоей формы выборки сообщения или хэш-функции для выявления искажений или потерь. Хэширование (Hashing) – метод отображения открытого (незашифрованного) сообщения в шифрованную строку фиксированной длины. В криптографии такая функция служит для обнаружения модификации (искажения, подмены) шифрованных сообщений.

Для реализации унифицированного способа инкапсуляции пакетов третьего и более высоких уровней разработан протокол туннелирования второго уровня (Layer-2 Tunneling Protocol, L2TP).

Для взаимодействия локальных сетей используются и технологии маршрутизации третьего уровня.

Общие принципы подключения оборудования мультисервисной сети к VPN.

Virtual Private Network — это набор технологий и протоколов, который позволяет подключить что-то к вашей частной сети через чужую сеть, в частности, через Интернет.

L2-VPN это сервис виртуальной частной сети (англ. Virtual Private Network — виртуальная частная сеть), предоставляемый операторами связи по типу точка-точка. Сеть провайдера для клиента в данной услуге абсолютно прозрачна.

1 2 3 4 5