СПРАВКА
Источник публикации
М., 2024
Примечание к документу
Текст документа приведен в соответствии с публикацией на сайте https://nicohrana.ru/ по состоянию на 14.01.2025.
Название документа
"Р 104-2024. Методические рекомендации. Обеспечение информационной безопасности пультов централизованного наблюдения и защиты локальных вычислительных сетей пунктов централизованной охраны при организации централизованной охраны объектов и мест проживания и хранения имущества граждан"
"Р 104-2024. Методические рекомендации. Обеспечение информационной безопасности пультов централизованного наблюдения и защиты локальных вычислительных сетей пунктов централизованной охраны при организации централизованной охраны объектов и мест проживания и хранения имущества граждан"
ОБЕСПЕЧЕНИЕ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ПУЛЬТОВ
ЦЕНТРАЛИЗОВАННОГО НАБЛЮДЕНИЯ И ЗАЩИТЫ ЛОКАЛЬНЫХ
ВЫЧИСЛИТЕЛЬНЫХ СЕТЕЙ ПУНКТОВ ЦЕНТРАЛИЗОВАННОЙ ОХРАНЫ
ПРИ ОРГАНИЗАЦИИ ЦЕНТРАЛИЗОВАННОЙ ОХРАНЫ ОБЪЕКТОВ
И МЕСТ ПРОЖИВАНИЯ И ХРАНЕНИЯ ИМУЩЕСТВА ГРАЖДАН
Р 104-2024
В настоящем отчете о НИР применяют следующие термины с соответствующими определениями.
Ботнет (Botnet) | - совокупность программных роботов или ботов, которые функционируют автономно |
Вирус (компьютерный, программный) (Virus (computer, software)) | - исполняемый программный код или интерпретируемый набор инструкций, обладающий свойствами несанкционированного распространения и самовоспроизведения |
Глобальные сети (Wide Area Network, WAN) | - сети, предназначенные для объединения отдельных компьютеров и локальных сетей, расположенных на значительном удалении |
Коммутатор, коммутирующий концентратор, переключатель (Switching Hub, Switch) | - концентратор, передающий на другие сегменты сети только те пакеты, которые адресованы им |
Локальная вычислительная сеть, ЛВС (Local Area Network, LAN) | - компьютеры и системные сетевые устройства, объединенные линиями связи для передачи информации между ними на сравнительно небольшие расстояния |
Маршрутизатор (Router) | - устройство (компьютер), служащее для определения маршрута, по которому наиболее целесообразно пересылать пакет |
Межсетевой экран (Firewall) | - локальное (однокомпонентное) или функционально-распределенное программное (программно-аппаратное) средство (комплекс), реализующее контроль за информацией, поступающей в информационную систему персональных данных и (или) выходящей из информационной системы |
Отказ в обслуживании (Denial of service) | - прекращение санкционированного доступа к ресурсам системы или задержка операций и функций системы, приводящих в итоге к потере доступности для авторизованных пользователей |
Хост (Host) | - любое устройство, предоставляющее сервисы формата "клиент-сервер" в режиме сервера по каким-либо интерфейсам и уникально определенное на этих интерфейсах. В более частном случае под хостом могут понимать любой компьютер, сервер, подключенный к локальной или глобальной сети |
Шлюз (Gateway) | - сетевое устройство, служащее для объединения сетей с различными протоколами сетевого обмена |
Электронная цифровая подпись (Electronic digital signature) | - реквизит электронного документа, полученный в результате криптографического преобразования информации с использованием закрытого ключа подписи и позволяющий проверить отсутствие искажения информации в электронном документе с момента формирования подписи (целостность), принадлежность подписи владельцу сертификата ключа подписи (авторство), а в случае успешной проверки подтвердить факт подписания электронного документа |
DNS (система доменных имен) (Domain Name System) | - компьютерная распределенная система для получения информации о доменах. Чаще всего используется для получения IP-адреса по имени хоста (компьютера или устройства), получения информации о маршрутизации почты, обслуживающих узлах для протоколов в домене (SRV-запись) |
Ethernet | - семейство технологий пакетной передачи данных между устройствами компьютерных и промышленных сетей, работающих на физическом уровне модели OSI |
LAN (Local Area Network) | - компьютерная сеть, покрывающая обычно относительно небольшую территорию или небольшую группу зданий (дом, офис, фирму, институт) |
OpenSSL | - криптографическая библиотека с открытым исходным кодом, реализующая весь комплекс операций необходимых для поддержки сетевых протоколов Secure Sockets Layer (SSL v2/v3) и Transport Layer Security (TLS v1.1, 1.2 и 1.3) и соответствующих им стандартов криптографии |
OSI (Open Systems Interconnection model) | - сетевая модель стека сетевых протоколов, позволяющая устройствам взаимодействовать друг с другом по сети |
URL (Uniform Resource Locator) | - веб-адрес, который используется для поиска и доступа к сайтам и их страницам7 |
VPN-сеть | - технология, которая позволяет установить безопасное подключение к сети Интернет |
В настоящем отчете о НИР используются следующие сокращения и обозначения.
АРМ | - автоматизированное рабочее место |
АСУ | - автоматизированная система управления |
КА | - кибератака |
КИ | - кибератака на информационный ресурс |
КСА | - комплекс средств автоматизации |
ЛВС | - локально вычислительная сеть |
МПХИГ | - место проживания и хранения имущества граждан |
МЭ | - межсетевой экран |
НСД | - несанкционированный доступ |
ВО | - вневедомственная охрана |
ОС | - операционная система |
ПО | - программное обеспечение |
ПЦН | - пульт централизованного наблюдения |
ПЦО | - пункт централизованной охраны |
ПЭВМ | - персональная электронно-вычислительная машина |
РСПИ | - радиоканальная система передачи извещений |
САВЗ | - средства антивирусной защиты |
СЗИ | - средство защиты информации |
СКУД | - система контроля и управления доступом |
СПИ | - система передачи извещений |
ТП | - технологический протокол |
УОО | - устройство оконечное объектовое |
ФСТЭК России | - Федеральная служба по техническому и экспортному контролю Российской Федерации |
DDos (Distributed Denial of Service) | - отказ в обслуживании, атака производимая с нескольких компьютеров |
Dos (Denial-of-service attack) | - отказ в обслуживании, атака производимая с одного компьютера |
HTTP (Hyper Text Transfer Protocol) | - сетевой протокол передачи данных прикладного уровня |
ICMP (Internet Control Message Protocol) | - протокол межсетевых управляющих сообщений |
IDS (Intrusion Detection System) | - система обнаружения вторжений |
IP (Internet Protocol) | - уникальный числовой идентификатор устройства в компьютерной сети, работающей по протоколу IP |
MAC-адрес (Media или Medium Access Control Address) | - уникальный номер, который назначает производитель каждому устройству с сетевой картой, Bluetooth или Wi-Fi-адаптером |
SNAT (Source Network Address Translation) | - преобразование сетевых адресов |
TCP (Transmission Control Protocol) | - протокол транспортного уровня с контролем передачи данных |
UDP (User Datagram Protocol) | - сетевой протокол пользовательских датаграмм |
Настоящие рекомендации предназначены для инженерно-технического персонала ПЦО, ответственного за обеспечение информационной безопасности ПЦН, защиту ЛВС ПЦО, за организацию бесперебойного функционирования ПО КСА ПЦО, СПИ/РСПИ, эксплуатируемых на ПЦО подразделений вневедомственной охраны, защиту и целостность данных, хранящихся на серверах СПИ/РСПИ. Документ включает ряд организационных и технических мероприятий по защите информации и созданной для ее хранения и использования инфраструктуры, которые позволят обеспечить информационную безопасность ПЦО, конфиденциальность, целостность и доступность информации, а также бесперебойное функционирование СПИ/РСПИ, используемых для охраны объектов и МПХИГ.
К основным источникам угроз информационной безопасности ПЦО относятся умышленные либо непрофессиональные, непреднамеренные действия сотрудников (работников), следствием которых может быть нарушение конфиденциальности и целостности служебной информации, а также внешние угрозы, связанные с подключением серверов СПИ/РСПИ к информационно-телекоммуникационной сети Интернет по каналам связи, предоставляемых провайдерами.
Дестабилизирующим внешним воздействиям с помощью технических средств и специального ПО могут быть подвергнуты как ЛВС ПЦО, пультовое оборудование (АРМ, серверы баз данных, коммутаторы, маршрутизаторы и т.д.), ПО КСА ПЦО, так и процедуры обмена информацией между ПЦН и объектовым оборудованием (УОО), установленном на охраняемых объектах. Указанные угрозы технического характера осуществляются в форме КА.
Целями КА на информационную инфраструктуру ПЦО могут быть:
- копирование, изменение, уничтожение информации, содержащейся в базах данных СПИ/РСПИ;
- блокирование тревожных сигналов с охраняемых объектов;
- нарушение функционирования серверов СПИ/РСПИ и их взаимодействие с объектовым оборудованием;
- перехват управления АРМ ПЦН;
- подмена передаваемых тревожных и служебных извещений от УОО на ПЦН и т.д.
В базах данных ПЦО содержатся персональные данные граждан, относимые к типу "общедоступные" в соответствии с классификацией приказа Роскомнадзора от 30 мая 2017 г. N 94 "Об утверждении методических рекомендаций по уведомлению уполномоченного органа о начале обработки персональных данных и о внесении изменений в ранее представленные сведения", которые необходимы для оформления договорных отношений при организации охраны объектов и МПХИГ. Соответственно они должны защищаться согласно требованиям к защите персональных данных при их обработке в информационных системах персональных данных, утвержденных постановлением Правительства Российской Федерации от 1 ноября 2012 г. N 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных".
Знание источников возможных угроз и методов их организации необходимо для выбора инженерно-техническим персоналом ПЦО оптимальных средств обеспечения информационной безопасности.
В данном документе представлены разделы, посвященные угрозам информационной безопасности ПЦО, функционированию ЛВС, а также рассмотрены соответствующие методы их защиты и профилактики угроз.
Информационная безопасность - состояние информационной системы, при котором она наименее восприимчива к вмешательству и нанесению ущерба. Безопасность данных также подразумевает управление рисками, которые связаны с разглашением информации ограниченного доступа или влиянием на аппаратные и программные модули защиты.
Обладатель информации - лицо, самостоятельно создавшее информацию либо получившее на основании закона или договора право разрешать или ограничивать доступ к информации, определяемой по каким-либо признакам.
Доступ к информации - возможность получения информации для ее использования.
Идентификация - совокупность мероприятий по установлению сведений о лице и их проверке, осуществляемых в соответствии с федеральными законами и принимаемыми в соответствии с ними нормативными правовыми актами, и сопоставлению данных сведений с уникальным обозначением (уникальными обозначениями) сведений о лице, необходимым для определения такого лица (далее - идентификатор).
Аутентификация - это процедура проверки подлинности пользователя информационной системы по различным критериям для предоставления использования ее ресурсов.
Информация считается защищенной, если соблюдаются три главных свойства.
Целостность - предполагает обеспечение достоверности и корректного отображения охраняемых данных, независимо от того, какие системы безопасности и приемы защиты используются в компании. Обработка данных не должна нарушаться, а пользователи системы, которые работают с защищаемыми файлами, не должны сталкиваться с несанкционированной модификацией или уничтожением ресурсов, сбоями в работе ПО.
Конфиденциальность - означает, что доступ к просмотру и редактированию данных предоставляется исключительно авторизованным пользователям системы защиты.
Доступность - подразумевает, что все авторизованные пользователи должны иметь доступ к информации ограниченного доступа.
Угроза - возможные или действительные попытки завладеть защищаемыми информационными ресурсами.
Источники угрозы - компании-конкуренты, злоумышленники, специальные службы иностранных разведок. Цель любой угрозы заключается в том, чтобы повлиять на целостность, полноту и доступность данных.
Угрозы бывают внешними и внутренними.
Внешние угрозы представляют собой попытки получить доступ к данным извне и сопровождаются взломом серверов, сетей, аккаунтов работников и считыванием информации из технических каналов утечки (акустическое считывание с помощью жучков, камер, наводки на аппаратные средства, получение виброакустической информации из окон и архитектурных конструкций).
Внутренние угрозы подразумевают неправомерные действия персонала ПЦО. В результате пользователь системы, который работает с информацией ограниченного доступа, может выдать информацию посторонним.
Попытка несанкционированного доступа может происходить несколькими путями:
- через сотрудников, которые могут передавать данные ограниченного доступа посторонним, забирать физические носители или получать доступ к охраняемой информации через печатные документы;
- посредством организации компьютерных атак, направленных на кражу пар "логин-пароль", перехват криптографических ключей для расшифровки данных, несанкционированного копирования информации;
- с помощью аппаратных компонентов автоматизированной системы, например, внедрение прослушивающих устройств или применение аппаратных технологий считывания информации на расстоянии (вне контролируемой зоны).
Информацию, хранящуюся в базах данных серверов ПЦО и подлежащую защите, можно разделить на системную и служебную.
Системная информация - логины и пароли (учетные записи) инженерно-технического персонала ПЦО, IP-адреса серверов. Данный вид информации играет техническую роль, но ее раскрытие особенно опасно, поскольку чревато получением несанкционированного доступа ко всем данным, в том числе служебным.
Служебная информация из баз данных ПЦН включает в себя сведения об охраняемых объектах и МПХИГ, общедоступные персональные данные граждан-собственников охраняемых объектов и МПХИГ и их доверенных лиц.
В базах данных ПЦН СПИ/РСПИ хранятся протоколы событий по охраняемым объектам и МПХИГ: взятие/снятие объекта под охрану/с охраны, извещения о тревогах с соответствующими отметками времени, постановки объектов на длительную охрану, неисправностях объектового оборудования.
Указанная информация не относится к сведениям, составляющим государственную тайну, однако ее целостность гарантирует обеспечение надежной охраны объектов и МПХИГ.
Угрозы информационной безопасности ПЦО по виду делятся на внешние и внутренние.
Внешние угрозы представляют собой попытки получения доступа к базам данных СПИ/РСПИ, ПО КСА ПЦО, АРМ, коммуникационному оборудованию ЛВС извне путем взлома серверов, аккаунтов сотрудников и работников ПЦО, а также считыванием информации из технических каналов утечки (акустическое считывание с помощью "жучков", камер, наводки на аппаратные средства, получение виброакустической информации из окон и архитектурных конструкций и т.д.).
Внутренние угрозы связанны с "человеческим фактором", обусловлены умышленными либо непреднамеренными/случайными действиями инженерно-технического персонала ПЦО, приводящими к нарушению конфиденциальности, целостности, доступности информации, хранящейся в базах данных серверов СПИ/РСПИ, функционированию ЛВС.
Угрозы информационной безопасности ПЦО по характеру делятся на пассивные и активные.
Пассивная угроза - угроза, при реализации которой не оказывается непосредственное влияние на работу ЛВС ПЦО, ПО серверов и АРМ, а организуется доступ к информации, передаваемой по каналам связи, и полученные данные впоследствии могут быть использованы для организации активных угроз.
Примером таких угроз является угроза "Анализ сетевого трафика", направленная на прослушивание каналов связи, перехват передаваемой информации с последующим ее анализом.
Активная угроза - угроза, связанная с непосредственным воздействием на сетевые ресурсы ЛВС ПЦО, сетевые интерфейсы серверов СПИ и АРМ. Наиболее опасными из таких угроз являются угрозы класса "Отказ в обслуживании" и внедрение вредоносного ПО.
Внешние угрозы информационной безопасности ПЦО по типу воздействия можно условно разделить на следующие виды:
- программно-математические угрозы;
- угрозы внешних КА на ЛВС ПЦО.
2.1.1 Программно-математические угрозы - умышленное либо непреднамеренное воздействие посредством вредоносного ПО, специально созданного для уничтожения, блокирования, модификации или копирования информации.
Вредоносные программы могут быть внесены (внедрены) в ОС ПЭВМ, АРМ и серверы СПИ/РСПИ как преднамеренно, так и случайно в процессе обновления либо конфигурирования со съемного носителя информации (флеш-накопителя).
Вредоносные программы в автоматическом режиме способны выполнять ряд следующих функций:
- скрывать признаки своего присутствия в программной среде ПЭВМ;
- воспроизводить/размножать свои копии, ассоциировать себя с другими программами и (или) переносить свои фрагменты в иные области оперативной или внешней памяти;
- разрушать (искажать произвольным образом) код программ в оперативной памяти;
- выполнять без инициирования со стороны пользователя деструктивные функции (копирование, уничтожение, блокирование и т.п.);
- сохранять фрагменты информации из оперативной памяти в некоторых областях внешней памяти прямого доступа (локальных или удаленных);
- искажать произвольным образом, блокировать и (или) подменять выводимый во внешнюю память или в канал связи массив информации, образовавшийся в результате работы прикладных программ.
К основным, наиболее распространенным относятся следующие виды вредоносного ПО.
Программные закладки.
К программным закладкам относятся программы, фрагменты кода, инструкции, формирующие недекларированные возможности ПО. Вредоносные программы могут переходить из одного вида в другой, например, программная закладка может сгенерировать программный вирус, который, в свою очередь, попав в условия сети, может сформировать сетевого червя или другую вредоносную программу, предназначенную для осуществления НСД. Наличие такого рода угроз в пультовом ПО маловероятно, так как производители СПИ заинтересованы в надежной и безотказной работе КСА ПЦО.
Также среди вредоносного ПО следует выделить компьютерные вирусы и сетевые черви.
Загрузочные вирусы.
Загрузочные вирусы записывают себя либо в загрузочный сектор диска, либо в сектор, содержащий системный загрузчик жесткого диска, либо меняют указатель на активный загрузочный сектор диска.
Они внедряются в память компьютера при загрузке с инфицированного диска. При этом системный загрузчик считывает содержимое первого сектора диска, с которого производится загрузка, помещает считанную информацию в память и передает на нее (т.е. на вирус) управление. После этого начинают выполняться инструкции вируса, который:
- как правило, уменьшает объем свободной памяти, копирует в освободившееся место свой код и считывает с диска свое продолжение (если оно есть);
- перехватывает необходимые вектора прерываний, считывает в память оригинальный boot-сектор и передает на него управление.
В дальнейшем загрузочный вирус ведет себя так же, как файловый: перехватывает обращения ОС к дискам и инфицирует их, в зависимости от некоторых условий совершает деструктивные действия, вызывает звуковые эффекты или видеоэффекты.
Основными деструктивными действиями, выполняемыми этими вирусами, являются:
- уничтожение информации в секторах жесткого диска;
- искажение кода загрузчика;
- форматирование логических дисков жесткого диска;
- закрытие доступа к физическим портам;
- замена символов при печати текстов;
- изменение метки диска, флеш-накопителя;
- создание псевдосбойных кластеров в накопителях;
- создание звуковых и/(или) визуальных эффектов и т.д.
Файловые вирусы.
Файловые вирусы при своем размножении тем или иным способом используют файловую систему ОС. По способу заражения файлов вирусы делятся на:
- замещающие;
- паразитические;
- компаньон-вирусы;
- вирусы-черви;
- вирусы, заражающие объектные модули, библиотеки компиляторов и исходные тексты программ.
Получив управление, файловый вирус совершает следующие действия:
- проверяет оперативную память на наличие своей копии и инфицирует память компьютера, если копия вируса не найдена (в случае, если вирус является резидентным), ищет незараженные файлы в текущем и (или) корневом каталоге путем сканирования дерева каталогов логических дисков, а затем заражает обнаруженные файлы;
- выполняет дополнительные (если они есть) функции: деструктивные действия, графические или звуковые эффекты и т.д.;
- возвращает управление основной программе (если она есть).
Особенность данного вируса в том, что чем быстрее он распространяется, тем вероятнее возникновение эпидемии этого вируса, чем медленнее распространяется вирус, тем сложнее его обнаружить (если, конечно же, этот вирус неизвестен).
Таким образом, основные действия, выполняемые файловыми вирусами, связаны с поражением файлов (чаще исполняемых или файлов данных), несанкционированным запуском различных команд (в том числе, команд форматирования, уничтожения, копирования и т.п.), изменением таблицы векторов прерываний и др.
Вместе с тем ими могут выполняться и многие деструктивные действия, сходные с теми, которые указывались для загрузочных вирусов.
Макровирусы являются программами на языках (макроязыках), встроенных в некоторые системы обработки данных (текстовые редакторы, электронные таблицы и т.д.). Для своего размножения такие вирусы используют возможности макроязыков и при их помощи переносят себя из одного зараженного файла (документа, таблицы) в другие.
Наибольшее распространение получили макровирусы для пакета прикладных программ Microsoft Office.
Для существования вирусов в конкретной системе (редакторе) необходимо наличие встроенного в систему макроязыка с возможностями:
- копирования макропрограмм из одного файла в другой;
- получения управления макропрограммой без вмешательства пользователя (автоматические или стандартные макросы).
Данным условиям удовлетворяют прикладные программы Microsoft Word, Excel и Microsoft Access. Они содержат в себе макроязыки Word Basic, Visual Basic for Applications. При этом:
- макропрограммы привязаны к конкретному файлу или находятся внутри файла;
- макроязык позволяет копировать файлы или перемещать макропрограммы в служебные файлы системы и редактируемые файлы;
- при работе с файлом при определенных условиях (открытие, закрытие и т.д.) вызываются макропрограммы (если таковые есть), которые определены специальным образом или имеют стандартные имена.
Данная особенность макроязыков предназначена для автоматической обработки данных в больших организациях или в глобальных сетях и позволяет организовать так называемый "автоматизированный документооборот". С другой стороны, возможности макроязыков таких систем позволяют вирусу переносить свой код в другие файлы, и таким образом заражать их. Большинство макровирусов активны не только в момент открытия/закрытия файла, но до тех пор, пока активен сам редактор. Они содержат все свои функции в виде стандартных макросов Word/Excel.
Сетевые вирусы.
К сетевым относятся вирусы, которые для своего распространения активно используют протоколы и возможности локальных и глобальных сетей. Основным принципом работы сетевого вируса является возможность самостоятельно передать свой код на удаленный сервер или рабочую станцию. "Полноценные" сетевые вирусы при этом обладают еще и возможностью запустить на выполнение свой код на удаленном компьютере или, по крайней мере, "подтолкнуть" пользователя к запуску зараженного файла.
Троянские вирусы.
Этот тип вредоносных программ, проникая на компьютеры пользователей, маскируются под легитимное ПО. Впоследствии данные вирусы осуществляют передачу различной информации (файлов) с зараженного компьютера внешним пользователям либо копирование на него иных вредоносных файлов, содержащих ссылки на поддельные сайты, чаты и т.д., уничтожение, модификацию данных.
К вредоносным программам, обеспечивающим НСД, можно отнести также:
- программы подбора и вскрытия паролей;
- программы, демонстрирующие использование недекларированных возможностей программного и программно-аппаратного обеспечения;
- программы-генераторы компьютерных вирусов;
- программы, демонстрирующие уязвимости средств защиты информации и др.
Наиболее эффективным методом защиты от компьютерных вирусов и вредоносного ПО является установка на компьютеры антивирусного ПО.
2.1.2 Целью угроз информационной безопасности ПЦО, связанных с организацией КА на ЛВС ПЦО, является дестабилизация либо приведение в полную неработоспособность ЛВС ПЦО в части взаимодействия ПЦН с объектовым оборудованием, находящимся на охраняемых объектах и МПХИГ. Среди основных угроз, связанных с КА, следует выделить угрозы протоколов сетевого и межсетевого взаимодействия, а также угрозы класса "отказ в обслуживании".
Угрозы, связанные с особенностями и уязвимостью протоколов сетевого и межсетевого взаимодействия.
Сервера СПИ/РСПИ, находящиеся в ЛВС ПЦО, взаимодействуют с УОО посредством сетевых протоколов из состава стека TCP/IP (TCP и UDP) и протоколов межсетевого уровня RIP, ICMP и IP. Вследствие имеющихся у данных протоколов уязвимостей они подвержены внешнему умышленному воздействию.
Анализ межсетевого трафика.
Эта угроза реализуется с помощью специальных программ-анализаторов пакетов (sniffer). Данные программы перехватывают пакеты, передаваемые извне в ЛВС ПЦО по сети, и выделяют среди них те, в которых передаются телеграммы от УОО к АРМ ПЦН и от АРМ ПЦН к УОО.
В ходе реализации угрозы нарушитель изучает логику работы СПИ/РСПИ - то есть стремится получить однозначное соответствие событий СПИ/РСПИ, передаваемых от УОО, и команд, пересылаемых серверами на УОО. В дальнейшем это позволяет на основе знания команд системы перехватить поток передаваемых данных, которыми обмениваются компоненты СПИ/РСПИ, для их дальнейшего использования, а также подмены или модификации.
Сканирование сети.
Сущность процесса реализации данной угрозы заключается в передаче запросов сетевым службам хостов ЛВС ПЦО и анализе ответов от них. Цель - выявление IP-адресов компьютеров, используемых протоколов, доступных открытых портов сетевых служб, законов формирования идентификаторов соединений, определение активных сетевых сервисов.
Угроза выявления пароля.
Цель реализации угрозы состоит в получении НСД путем преодоления парольной защиты. Злоумышленник может реализовывать угрозу с помощью целого ряда методов, таких как простой перебор, перебор с использованием специальных словарей, установка вредоносной программы для перехвата пароля, подмена доверенного объекта сети (IP-spoofing) и перехват пакетов (sniffing). В основном для реализации угрозы используются специальные программы, которые пытаются получить доступ к хосту путем последовательного подбора паролей.
В случае успеха, злоумышленник может создать для себя "проход" для будущего доступа, который будет действовать, даже если на хосте изменить пароль доступа.
Подмена доверенного объекта сети.
Такая угроза эффективно реализуется в системах, где применяются нестойкие алгоритмы идентификации и аутентификации хостов, пользователей и т.д. Под доверенным объектом понимается УОО, легально подключенное к серверу СПИ/РСПИ.
Могут быть выделены две разновидности процесса реализации указанной угрозы: с установлением и без установления виртуального соединения.
Навязывание ложного маршрута сети.
Данная угроза реализуется одним из двух способов: путем внутрисегментного или межсегментного навязывания. Возможность навязывания ложного маршрута обусловлена недостатками, присущими алгоритмам маршрутизации, в частности, из-за проблемы идентификации сетевых управляющих устройств, в результате чего можно попасть, например, на хост или в сеть, где можно войти в операционную среду технического средства в составе СПИ/РСПИ. Реализация угрозы основывается на несанкционированном использовании протоколов маршрутизации (RIP, OSPF, LSP) и управления сетью (ICMP, SNMP) для внесения изменений в маршрутно-адресные таблицы. При этом нарушителю необходимо послать от имени сетевого управляющего устройства (например, маршрутизатора) сообщение.
Внедрение ложного объекта сети.
Эта угроза основана на использовании недостатков алгоритмов удаленного поиска. В случае если объекты сети изначально не имеют адресной информации друг о друге, используются различные протоколы удаленного поиска (например, ARP, DNS, WINS в сетях со стеком протоколов TCP/IP), заключающиеся в передаче по сети специальных запросов и получении на них ответов с искомой информацией. При этом существует возможность перехвата нарушителем поискового запроса и выдачи на него ложного ответа, использование которого приведет к требуемому изменению маршрутно-адресных данных.
Уязвимости протоколов межсетевого взаимодействия связаны с особенностями их программной реализации и обусловлены ограничениями на размеры применяемого буфера, недостатками процедур аутентификации, отсутствием проверок правильности служебной информации и др.
Так, отсутствие механизма предотвращения перегрузок буфера в протоколе UDP позволяет осуществить снижение производительности сервера, либо привести к отказу в обслуживании оборудования, в протоколе TCP не производится проверка правильности заполнения служебных заголовков пакета. Такая уязвимость может привести к снижению скорости обмена данными или полному разрыву соединений по протоколу.
Из вышеперечисленных видов угроз для ЛВС ПЦО маловероятна организация таких угроз, как угроза выявления пароля, подмена доверенного объекта, навязывание ложного маршрута и внедрение ложного объекта сети.
Угрозы анализа сетевого трафика и выявления пароля связаны между собой и применительно к ЛВС ПЦО неактуальны, так как при использовании на ПЭВМ ПЦО ПО Kaspersky Security Center и Kaspersky Endpoint Security установка и запуск стороннего ПО, такого как программы класса sniffing (Wireshark, CommView) либо программы подбора паролей (CrackStation, Hashcat) будут заблокированы.
В случае угрозы навязывания ложного маршрута и подмены доверенного объекта, таким объектом может являться УОО СПИ/РСПИ. Данные типы угроз тесно связанны между собой и могут обеспечить создание ложного объекта лишь в той же сети, где находится сервер СПИ/РСПИ, либо УОО, что предполагает необходимость размещения на ПЦО (у клиента) дополнительного сетевого устройства, как правило ПЭВМ со специальным ПО.
Угрозы, связанные с распределенным воздействием на ЛВС класса "отказ в обслуживании".
В связи с серьезным ростом в последнее время числа DDoS атак на информационные ресурсы различных организаций и государственных структур, а также сравнительной доступностью их организации данный вид угроз представляет серьезную потенциальную угрозу функционированию ЛВС и в целом информационной безопасности ПЦО.
Возможность формирования угроз, связанных с распределенным воздействием на ЛВС класса "отказ в обслуживании", также обусловлена подключением ЛВС ПЦО к информационно-телекоммуникационной сети Интернет и особенностями реализации сетевых протоколов.
DoS и DDoS атаки, основаны на воздействии на ЛВС ПЦО посредством мощного потока трафика с целью нарушения нормального взаимодействия по сети АРМ СПИ/РСПИ и объектового оборудования. DoS-атаки практиковались в 90-е годы прошлого столетия и реализовывались в виде перегрузки сетевых устройств пакетами TCP и UDP. Сейчас DoS-атаки трансформировались в DDoS-атаки. Такие атаки выполняются одновременно с большого числа сетевых устройств - компьютеров, которые распределены зачастую географически. Это могут быть как специально подготовленные сервера, так и ботнеты, предварительно зараженные программными вирусами сетевые устройства. Данный вид угроз информационной безопасности ПЦО на сегодняшний день наиболее актуален для подразделений вневедомственной охраны.
Можно выделить несколько разновидностей таких угроз, реализуемых на разных уровнях модели OSI.
Скрытый отказ в обслуживании, вызванный привлечением части ресурсов на обработку пакетов, передаваемых злоумышленником со снижением пропускной способности каналов связи, производительности сетевых устройств, нарушением требований ко времени обработки запросов. Примерами реализации угроз подобного рода могут служить: направленный шторм эхо-запросов по протоколу ICMP (Ping flooding), шторм запросов на установление TCP-соединений (SYN-flooding).
Явный отказ в обслуживании, вызванный исчерпанием ресурсов при обработке пакетов, передаваемых злоумышленником (занятие всей полосы пропускания каналов связи, переполнение очередей запросов на обслуживание), при котором легальные запросы не могут быть переданы через сеть из-за недоступности среды передачи либо получают отказ в обслуживании ввиду переполнения очередей запросов, дискового пространства памяти и т.д. Примерами угроз данного типа могут служить шторм широковещательных ICMP-эхо-запросов (Smurf), направленный шторм (SYN-flooding).
Явный отказ в обслуживании, вызванный нарушением логической связности между техническими средствами при передаче злоумышленником управляющих сообщений от имени сетевых устройств, приводящих к изменению маршрутно-адресных данных (например, ICMP Redirect Host, DNS-flooding) или идентификационной и аутентификационной информации.
Явный отказ в обслуживании, вызванный передачей злоумышленником пакетов с нестандартными атрибутами (угрозы типа "Land", "TearDrop", "Bonk", "Nuke", "UDP-bomb") или имеющих длину, превышающую максимально допустимый размер (угроза типа "Ping Death"), что может привести к сбою сетевых устройств, участвующих в обработке запросов, при условии наличия ошибок в программах, реализующих протоколы сетевого обмена.
Результатом реализации данных угроз может стать нарушение передачи сообщений от УОО к АРМ, передача такого количества запросов на подключение к АРМ, какое максимально может "вместить" трафик (направленный "шторм запросов"), что влечет за собой переполнение очереди запросов и отказ одной из сетевых служб или полную остановку компьютера АРМ из-за невозможности заниматься ничем другим, кроме обработки запросов.
Угрозы информационной безопасности, связанные с "человеческим фактором", могут быть вызваны действиями персонала ПЦО умышленного либо непреднамеренного характера. При этом дестабилизирующим воздействиям может быть подвергнута как сетевая инфраструктура ПЦО, так и базы данных со служебной и системной информацией.
Наиболее распространенными видами данных угроз являются:
- кража информации из баз данных СПИ/РСПИ с ее передачей третьим лицам;
- умышленное/случайное изменение/уничтожение информации в базах данных СПИ/РСПИ посредством некомпетентных действий либо с использованием вредоносного ПО;
- нарушение установленных правил и регламентов эксплуатации сетевой инфраструктуры ПЦО, приводящее к ее отказу либо нарушению функционирования вследствие умышленных либо случайных действий, связанных с халатностью или некомпетентностью.
Данные угрозы реализуются в зависимости от обстоятельств посредством копирования системных, служебных данных на съемные носители информации, занесением вредоносных программ и вирусов в ОС серверов и АРМ, а также деструктивных ошибочных действий в отношении сетевой инфраструктуры ПЦО. При этом может происходить уничтожение, модификация, нарушение целостности и доступности информации, нарушение ее конфиденциальности, а также дестабилизация работоспособности ЛВС ПЦО.
Наибольшую вероятность создания угроз подобного типа с соответствующими тяжелыми последствиями несут действия сотрудников ПЦО, связанные с несанкционированным доступом к базам данных серверов СПИ/РСПИ посредством съемных носителей информации.
С серверами СПИ/РСПИ, на которых хранится служебная информация об охраняемых объектах, МПХИГ и персональные данные клиентов, инженерно-технический персонал ПЦО взаимодействует посредством специального ПО, входящего в состав КСА ПЦО - АРМ "Инженера БД"/"Администратора БД". Необходимым условием обеспечения информационной безопасности в данном случае является ограничение доступа к базам данных посредством предоставления логинов и паролей должностному лицу, назначенному руководством подразделения вневедомственной охраны, обеспечивающему техническое обслуживание серверов СПИ/РСПИ, конфигурирование и ведение баз данных СПИ/РСПИ по охраняемым объектам и МПХИГ. Периодически в рамках проведения указанных работ требуется внесение информации о новых объектах в базы данных, в том числе со съемных носителей. Соответственно в сервер и АРМ СПИ/РСПИ должна быть занесена информация о съемных (доверенных) носителях только указанных сотрудников с использованием специальных процедур, заложенных в ПО Kaspersky Security Center.
Одним из важнейших условий обеспечения информационной безопасности ПЦО является надежное и эффективное функционирование ЛВС. Защита ЛВС от внешних и внутренних воздействий обеспечивается аппаратно-программными средствами и организационными мероприятиями.
В состав ЛВС ПЦО входят ПЭВМ с установленным серверным и клиентским ПО СПИ/РСПИ, сетевые устройства (коммутаторы и маршрутизаторы), а также среда передачи данных.
Типовая схема ЛВС ПЦО представлена на рисунке 3.1
К аппаратно-программным средствам защиты относятся:
- МЭ;
- САВЗ;
- системы обнаружения вторжений;
- средства защиты электронной почты;
- криптографические средства защиты информации (шифрование данных);
- блокировка удаленного доступа;
- блокировка неиспользуемых сетевых служб (сервисов);
- ограничение использования небезопасных протоколов управления;
- средства доверенной загрузки, контролирующие загружаемые пользователями в сеть файлы;
- утилиты для контроля съемных носителей, позволяющие избежать несанкционированного копирования.
К организационным мероприятиям можно отнести:
- организацию парольной защиты;
- ограничение доступа пользователей к информационно-телекоммуникационной сети Интернет;
- использование для обработки служебной информации специально выделенных ПЭВМ без подключения к ЛВС ПЦО и сети Интернет либо съемных носителей;
- организацию особого порядка учета и хранения съемных носителей информации;
- контроль за выводом информации на принтер, создание защищенных зон для печати;
- контроль за распечатанными экземплярами документов, содержащими критичную информацию;
- проведение обучения инженерно-технического персонала основам информационной безопасности;
- обеспечение прохождения инженерно-техническим персоналом курсов повышения квалификации по обеспечению информационной безопасности;
- использование СКУД для предотвращения свободного доступа к узлам и сегментам ЛВС ПЦО;
- принятие мер дисциплинарного, гражданско-правового и даже уголовно-правового воздействия в целях защиты информации ограниченного доступа.
В стратегии защиты от несанкционированного доступа к информационным ресурсам ЛВС особое внимание уделяется обеспечению безопасности ее границ. Целостность периметра ЛВС обеспечивается использованием тех или иных базовых технологий межсетевого экранирования в точке подключения защищаемой сети к внешней неконтролируемой сети. В качестве внешней сети на ПЦО подразделений вневедомственной охраны выступает информационно-телекоммуникационная сеть Интернет. Систему разграничения компьютерных сетей с различными политиками безопасности, реализующую правила информационного обмена между ними, называют МЭ.
МЭ - локальное (однокомпонентное) или функционально-распределенное (многокомпонентное) программное (программно-аппаратное) средство (комплекс), реализующее контроль за информацией, поступающей в автоматизированную систему либо ЛВС и/или исходящей из нее. МЭ позволяет реализовать набор правил, определяющих условия прохождения пакетов с данными через границу из одной части общей сети в другую. Как правило, эта граница проводится между корпоративной (локальной) сетью предприятия и информационно-телекоммуникационной сетью Интернет, хотя ее можно провести и внутри корпоративной сети предприятия. Использование межсетевых экранов позволяет организовать внутреннюю политику безопасности организации.
МЭ повышает безопасность объектов внутренней сети за счет игнорирования несанкционированных запросов из внешней среды. Это уменьшает уязвимость внутренних объектов, так как сторонний нарушитель должен преодолеть некоторый защитный барьер, в котором механизмы обеспечения безопасности сконфигурированы особо тщательно. Кроме того, экранирующая система, в отличие от универсальной, может и должна быть устроена более простым и, следовательно, более безопасным образом, в ней должны присутствовать только те компоненты, которые необходимы для выполнения функций экранирования. Кроме того, экранирование позволяет контролировать информационные потоки, исходящие во внешнюю среду, что способствует поддержанию во внутренней области режима конфиденциальности. Кроме функций разграничения доступа МЭ может обеспечивать выполнение дополнительных функций безопасности (аутентификацию, контроль целостности, фильтрацию содержимого, обнаружение атак, регистрацию событий).
МЭ не является симметричным устройством, для него определены понятия "внутри" и "снаружи" (входящий и исходящий трафики). При этом задача экранирования формулируется как защита внутренней области от неконтролируемой и потенциально враждебной внешней. Структурная схема МЭ представлена на рисунке 3.2.
Современные технологии позволяют объединять функции межсетевой защиты ЛВС и маршрутизации при передаче и приеме данных и реализовывать их в виде самостоятельных программно-аппаратных модулей. Межсетевой экран в составе средств информационной безопасности как отдельное изделие следует выбирать для крупных организаций, имеющих большое количество филиалов.
Для ЛВС ПЦО подразделений вневедомственной охраны оптимальным и разумным решением будет выбор маршрутизатора с функциями МЭ, который позволит организовать защищенную безопасную связь с объектовым оборудованием СПИ/РСПИ.
Для межсетевых экранов по способу их интеграции ФСТЭК определил пять типов:
- тип "А" (МЭ уровня сети) - МЭ программно-аппаратного исполнения, устанавливаемый на периметре защищаемой информационной системы или между физическими границами ее сегментов;
- тип "Б" (МЭ уровня логических границ сети) - МЭ программного или программно-аппаратного исполнения, устанавливаемый на логическом периметре защищаемой информационной системы или между логическими границами ее сегментов;
- тип "В" (МЭ уровня узла) - программный МЭ, устанавливаемый на хосте (мобильном или стационарном) информационной системы;
- тип "Г" (МЭ уровня веб-сервера) - МЭ программного или программно-аппаратного исполнения, устанавливаемый на веб-сервер или на периметре сегмента таких серверов и обеспечивающий контроль и фильтрацию HTTP-трафика;
- тип "Д" (МЭ уровня промышленной сети) - МЭ программного или программно-аппаратного исполнения, устанавливаемый в АСУ ТП и обеспечивающий контроль и фильтрацию промышленных протоколов передачи данных.
Помимо типа каждому МЭ присваивается один из шести классов защиты, начиная от шестого, как самого низкого.
В 2024 году многие сертификаты ФСТЭК России на МЭ были отозваны регулятором. Это связано с невозможностью заявителей, объявивших об уходе с российского рынка, выполнять обязательства по технической поддержке своих продуктов на территории Российской Федерации. Данное требование зафиксировано законодательно и обязует заявителя осуществлять устранение выявленных недостатков и уязвимостей средств защиты информации, своевременно информировать пользователей о них, выпускать обновления ПО, актуализировать эксплуатационную документацию. В связи с этим важно выбирать изделия отечественных производителей.
Основной причиной внедрения сертифицированных МЭ является необходимость осуществлять контроль и фильтрацию сетевых потоков в целях защиты информации ограниченного доступа (государственная тайна, коммерческая тайна или иная информация).
Требования к таким МЭ, изложенные в приказе ФСТЭК России от 7 марта 2023 г. N 44, представлены в приложении Б.
В общем случае алгоритм функционирования МЭ сводится к выполнению двух групп функций, одна из которых ограничивает перемещение данных (фильтрация информационных потоков), а вторая, наоборот, ему способствует (посредничество в межсетевом взаимодействии).
Следует отметить, что выполнение МЭ указанных групп функций может осуществляться на разных уровнях модели OSI. Принято считать, что чем выше уровень модели OSI, на котором МЭ обрабатывает пакеты, тем выше обеспечиваемый им уровень защиты.
Как отмечено выше, МЭ может обеспечивать защиту АСУ за счет фильтрации проходящих через него сетевых пакетов, то есть посредством анализа содержимого пакета по совокупности критериев на основе заданных правил и принятия решения о его дальнейшем распространении в (из) АСУ. Таким образом, МЭ реализует разграничение доступа субъектов из одной АСУ к объектам другой АСУ.
Каждое правило запрещает или разрешает передачу информации определенного типа между субъектами и объектами.
Как следствие, субъекты одной АСУ получают доступ только к разрешенным информационным объектам другой АСУ.
Пакетный фильтр функционирует на сетевом уровне модели OSI. Значимой для функционирования пакетного фильтра информацией является:
- IP-адрес отправителя;
- IP-адрес получателя;
- тип протокола (TCP, UDP, ICMP);
- порт отправителя (для TCP, UDP);
- порт получателя (для TCP, UDP);
- тип сообщения (для ICMP), а иногда и другая информация (например, время суток, день недели и т.д.).
В англоязычной литературе рассмотренный компонент МЭ чаще всего обозначают термином "stateless packet filter" или просто "packet filter". Данные системы просты в использовании, дешевы, оказывают минимальное влияние на производительность АСУ. Основным недостатком является их уязвимость при КА. Кроме того, они сложны при конфигурировании: для их установки требуется знание сетевых, транспортных и прикладных протоколов.
Другой вариант алгоритма функционирования МЭ предполагает, что защита ЛВС обеспечивается с помощью экранирующего агента, который проверяет допустимость полученного запроса субъекта к объекту, при положительном результате этой проверки устанавливает свое соединение с объектом, а затем обеспечивает пересылку информации между субъектом и объектом взаимодействия, осуществляя контроль и/или регистрацию. В то же время в случае "прозрачных" агентов субъекту кажется, что он непосредственно взаимодействует с объектом.
Использование экранирующих агентов позволяет обеспечить дополнительную защитную функцию - сокрытие истинного субъекта взаимодействия.
Выделяют два вида экранирующих агентов в зависимости от того, на каком уровне модели OSI они выполняют свои функции: экранирующий транспорт и экранирующий шлюз.
Экранирующий транспорт или шлюз сеансового уровня (в англоязычной литературе используется термин "circuit-level gateway") контролирует допустимость устанавливаемого соединения, участвует в формировании канала передачи данных и не позволяет проходить пакетам, не относящимся к разрешенным сеансам связи. Функционирование данного компонента связано лишь с сессиями протокола TCP. Так как шлюз сеансового уровня анализирует информацию, содержащуюся лишь в заголовках протокола TCP без какого-либо предположения об используемом прикладном протоколе, то существует уязвимость, заключающаяся в том, что в рамках разрешенного установленного соединения приложение может осуществлять передачу произвольных неконтролируемых данных.
Как правило, вышеописанный компонент используется лишь в сочетании с другими, а не отдельно. Более надежную защиту обеспечивает экранирующий шлюз или шлюз прикладного уровня (в англоязычной литературе используется термин "application-level gateway" или "application proxy"), так как он проверяет содержимое каждого проходящего через шлюз пакета на прикладном уровне, где для анализа доступны служебные поля заголовка прикладного протокола и информация пользователя. Прикладной шлюз представляет собой программу-посредник (в англоязычной литературе используется термин "proxy server"), разработанную для конкретного сервиса сети Интернет. Следовательно, при внедрении сервисов, основанных на новых прикладных протоколах, появляется необходимость в разработке новых программ-посредников.
Дальнейшее развитие различных технологий межсетевого экранирования и их взаимопроникновение привело к появлению гибридных компонентов МЭ, сочетающих в себе достоинства всех трех ранее рассмотренных компонентов и лишенных некоторых их недостатков. Такие системы, чаще всего называемые МЭ экспертного уровня (в англоязычной литературе используются термины "stateful inspection firewall" или "deep packet inspection firewall"), функционируют на всех уровнях модели OSI: от сетевого до прикладного включительно. Они обладают высокими показателями по производительности функционирования (пакетный фильтр) и по обеспечиваемому уровню безопасности (шлюз прикладного уровня).
Первые реализации таких компонентов, называемые пакетными фильтрами с динамической фильтрацией, не функционировали на уровнях выше сеансового. Их отличие от простого пакетного фильтра состояло в том, что последний принимает решение о фильтрации трафика на основе анализа информации, содержащейся только в текущем пакете без какой-либо логической связи с предыдущими обработанными пакетами, в то время как при динамической фильтрации учитывается контекст установленных или устанавливаемых соединений.
Инспекционный модуль более поздних реализаций МЭ экспертного уровня имеет доступ ко всему содержимому пакета и может анализировать служебные поля заголовков протоколов всех уровней модели OSI (в том числе прикладного) и пользовательские данные. В дополнение к этому инспекционный модуль заносит в динамически создаваемую таблицу состояния связей всю информацию о сетевых соединениях, но, в отличие от шлюза сеансового уровня, создает записи виртуальных соединений как для протокола TCP, так и для протокола UDP. Инспекционный модуль МЭ экспертного уровня загружается в ядро ОС и располагается между канальным и сетевым уровнями модели OSI, что обеспечивает обработку всего входящего и исходящего трафика на всех сетевых интерфейсах системы.
Особенность функционирования МЭ экспертного уровня состоит в том, что он не оказывает посреднических услуг сетевого взаимодействия на сеансовом и прикладном уровнях модели OSI. Вместо этого он использует специфические технологии распознавания допустимых соединений (в том числе с динамически назначаемыми номерами портов) и улучшенные алгоритмы обработки данных уровня приложения.
При настройке политики межсетевого экранирования рассматривают два аспекта сетевой безопасности: политику доступа к сетевым ресурсам и политику реализации МЭ.
Политика доступа к сетевым ресурсам отражает общие требования по безопасности той или иной организации, и при ее разработке должны быть сформулированы правила доступа пользователей к различным сервисам, используемым в организации. Указанные правила описывают, какой внутренний (внешний) пользователь (группа пользователей), когда, с какого внутреннего (внешнего) узла сети и каким сервисом может воспользоваться с уточнением в случае необходимости способов аутентификации пользователей и адресов целевых серверов.
Политика реализации МЭ определяет, каким образом применяется политика доступа к сетевым ресурсам, и в ряде случаев зависит от используемых сервисов и выбранных средств построения экрана. Как правило, при выборе политики реализации МЭ останавливаются на одной из двух базовых стратегий:
- разрешать все, что явно не запрещено;
- запрещать все, что явно не разрешено.
Хотя может показаться, что эти две стратегии очень просты и почти не отличаются друг от друга, на самом деле это не так. При выборе первой стратегии МЭ по умолчанию разрешает все сервисы, которые не указаны как запрещенные. В этом случае для обеспечения безопасности сети придется создавать правила, которые учитывали бы все возможные запреты. Это не только приведет к необходимости описания большого количества правил, но и заставит пересматривать их при появлении каждого нового протокола или сервиса, которые существующими правилами не охватываются.
Вторая стратегия строже и безопаснее. Намного проще управлять МЭ, запретив весь трафик по умолчанию и задав правила, разрешающие прохождение через границу сети только необходимых протоколов и сервисов. Запрет всего трафика по умолчанию обеспечивается вводом правила "Запрещено все" в последней строке таблицы фильтрации. Однако в ряде случаев, в частности при использовании простого пакетного фильтра, описание правил допустимых сервисов также сопряжено с трудоемким процессом, требующим досконального знания алгоритмов функционирования протоколов в рамках того или иного сервиса.
САВЗ должны применяться на всех ПЭВМ (АРМ, серверы) эксплуатирующихся на ПЦО, вне зависимости от степени конфиденциальности информации. Осуществлять работу на ПЭВМ, функционирующих без САВЗ, запрещено.
Организация управления САВЗ на ПЦО должна включать ряд мероприятий:
- установку программного антивирусного обеспечения Kaspersky Security Center и Kaspersky Endpoint Security и настройку политик безопасности;
- администрирование программ Kaspersky Endpoint Security на АРМ и серверах;
- обновление базы вирусных сигнатур;
- резервное копирование параметров и данных;
- классификацию инцидентов информационной безопасности;
- антивирусную проверку;
- выявление и устранение КА и КИ;
- контроль организации и состояния САВЗ.
Информация, обрабатываемая в электронном виде, подлежит обязательной проверке САВЗ на наличие КА и КИ. Антивирусные проверки выполняются в автоматическом режиме.
Периодичность и виды антивирусных проверок:
- полная (с обязательным включением проверки всех съемных и жестких дисков) должна проводиться не реже одного раза в неделю;
- проверка важных областей (с обязательным включением проверки памяти ядра, запущенных процессов, объектов автозапуска, загрузочные секторы и системное резервное хранилище) должна проводиться ежедневно;
- антивирусная проверка носителей информации должна проводиться каждый раз при их подключении к АРМ (необходимо настроить процедуру принудительной проверки);
- проверка целостности ПО антивирусной защиты должна проводиться ежедневно.
Внеплановая полная проверка должна выполняться каждый раз при подозрении или выявлении КА и КИ.
Запрещается отключать (приостанавливать) задачу антивирусной проверки, в том числе проверку при подключении съемного носителя информации.
Выполнение антивирусных проверок на серверах и АРМ необходимо производить в рабочее время в период их наименьшей загрузки.
Сотруднику (работнику) ПЦО, ответственному за обеспечение информационной безопасности ПЦО, необходимо не реже одного раза в неделю проводить инвентаризацию АРМ и серверов на предмет использования САВЗ с актуальными антивирусными базами.
Резервное копирование является обязательным элементом системы антивирусной защиты и заключается в копировании данных сервера ПО Kaspersky Security Center, политик и задач на съемный носитель информации.
Резервное копирование данных сервера ПО Kaspersky Security Center настраивается в соответствующей задаче и выполняется в автоматическом режиме ежедневно (в нерабочее время) в определенную администратором директорию. Резервное копирование политик и задач вручную экспортируется с помощью инструментов сервера ПО Kaspersky Security Center и копируется на съемный носитель информации. Для хранения резервных копий выделяется отдельный съемный носитель информации, на который они перемещаются не менее двух раз в неделю. Съемный носитель информации регистрируется установленным порядком и используется только для хранения резервных копий. При подозрении на неисправность съемного носителя информации, незамедлительно требуется произвести его замену.
Типы инцидентов информационной безопасности ПЦО:
- сетевые атаки;
- сканирование ресурсов;
- спам;
- вредоносный ресурс;
- бот-сети;
- запрещенный контент;
- нарушение политики безопасности.
При выявлении инцидента информационной безопасности проводится его классификация по уровню опасности: "высокий" (время реагирования 60 мин.), "средний" (время реагирования до 2 часов), "низкий" (время реагирования до 12 часов).
После анализа информации об инциденте готовятся изменения в политики безопасности ПО Kaspersky Security Center.
Признаки наличия угроз и инцидентов на АРМ и серверах СПИ/РСПИ:
- искажение или потеря файлов и директорий;
- несанкционированное изменение атрибутов файлов и директорий на жестком диске и носителе информации;
- появление посторонних (неизвестных) файлов в различных директориях на жестком диске, общем доступе, на носителе информации при их подключении;
- появление на рабочем столе всплывающих окон о шифровании файлов и рекламы;
- появление в диспетчере задач автозагрузки, процессов (программ) с подозрительным названием;
- ухудшение производительности (замедление работы) средства автоматизации;
- попытки несанкционированного перехода на ресурсы, размещенные в информационно-телекоммуникационной сети Интернет;
- нарушение корректной работы ОС (самопроизвольное выключение, перезагрузка, неудачная загрузка, появление сообщений об ошибках работы);
- самопроизвольный запуск ПО и/или попытки подключения к информационно-телекоммуникационной сети Интернет;
- несанкционированное отключение СЗИ, появление сбоев в их работе.
Установка и настройка на серверах и АРМ проводится в соответствии с эксплуатационной документацией.
Устанавливаемые типы САВЗ:
Администратор ЛВС ПЦО должен создать рабочую группу из серверов и АРМ СПИ и на каждый компьютер установить агентов администрирования сервера ПО Kaspersky Security Center и ПО Kaspersky Endpoint Security. Все программные компоненты, устанавливаемые на компьютеры ПЦО вместе с ПО Kaspersky Endpoint Security, должны быть той же версии, что и сервер администрирования. ПО Kaspersky Endpoint Security Astra Linux и Kaspersky Endpoint Security for Windows должны устанавливаться на компьютеры с соответствующими ОС.
Параметры антивирусной защиты устанавливаются в разделе "Политики" ПО Kaspersky Security Center представлены на рисунке 3.3, их безопасные значения в сертифицированной конфигурации для ОС Windows представлены в таблице 3.1. Своевременное обновление баз вирусной защиты на серверах и АРМ СПИ/РСПИ является неотъемлемой частью обеспечения эффективной политики информационной безопасности.
В таблицах 3.1 и 3.2 представлены параметры антивирусной защиты для ПО Kaspersky Security Center для АРМ под управлением ОС Windows и Linux.
Таблица 3.1
Security Center в сертифицированной конфигурации
для ОС Windows
Сущность, к которой относится параметр | Название параметра | Безопасное значение или диапазон значений параметра |
Продвинутая защита | ||
Kaspersky Security Network | Kaspersky Security Network | Опция выключена. Допускается устанавливать опцию только при использовании Локального KSN (Kaspersky Private Security Network - KPSN) |
Откат вредоносных действий | Откат вредоносных действий | Опция включена |
Базовая защита | ||
Защита от файловых угроз | Защита от файловых угроз | Опция включена |
Защита от файловых угроз | Уровень безопасности | Допустимые значения: - рекомендуемый; - высокий |
Защита от файловых угроз | Действие при обнаружении угрозы | - лечить; - удалять, если лечение невозможно |
Защита от файловых угроз  Расширенная настройка | Типы файлов | - все файлы |
Защита от файловых угроз  Расширенная настройка | Область защиты | - все съемные диски; - все жесткие диски; - все сетевые диски |
Защита от файловых угроз  Расширенная настройка | Эвристический анализ | Опция установлена |
Защита от файловых угроз  Расширенная настройка | Проверять архивы | Опция включена |
Защита от почтовых угроз | Защита от почтовых угроз | Опция включена |
Защита от почтовых угроз | Уровень безопасности | Допустимые значения: - рекомендуемый; - высокий |
Защита от почтовых угроз | Действие при обнаружении угрозы | - лечить; - удалять, если лечение невозможно |
Защита от сетевых угроз | Защита от сетевых угроз | Опция включена |
Защита от сетевых угроз | Добавить атакующий компьютер в список блокирования на N мин. | Опция включена: время блокирования 60 минут |
Защита от сетевых угроз | Исключения | Пустой список IP-адресов. Добавление некоторых исключений может вести к выходу из безопасного состояния. Администратору САВЗ следует осторожно подходить выбору исключений. Для минимизации риска рекомендуется оставить значения по умолчанию |
Контроль безопасности | ||
Контроль программ | Контроль программ | Опция включена |
Задачи | ||
Обновление | Загружать обновления модулей программы | Опция выключена |
Настройки программы | ||
Общие | Запускать ПО Kaspersky Endpoint Security для Windows при включении компьютера | Опция включена |
Общие | Применять технологию лечения активного заражения | Опция включена |
Общие | Включить самозащиту | Опция включена |
Общие | Выключить внешнее управление системными службами | Опция включена |
Угрозы и исключения | Типы обнаруживаемых объектов | - вирусы, черви; - троянские программы; - вредоносные утилиты; - упакованные объекты, способ упаковки которых может использоваться для защиты вредоносного кода; - множественно упакованные файлы |
Угрозы и исключения | Исключения | Список исключений пуст. Добавление некоторых исключений может вести к выходу из безопасного состояния. Администратору САВЗ следует осторожно подходить выбору исключений. Для минимизации риска рекомендуется оставить значения по умолчанию |
Угрозы и исключения | Доверенные программы | Список доверенных программ пуст. Добавление некоторых доверенных программ может вести к выходу из безопасного состояния. Администратору САВЗ следует осторожно подходить выбору доверенных программ. Для минимизации риска рекомендуется оставить значения по умолчанию |
Интерфейс | Защита паролем | Переключатель включен. Администратор САВЗ должен установить надежный пароль и область действия все опции |
ИС МЕГАНОРМ: примечание. В официальном тексте документа, видимо, допущена опечатка: имеется в виду Приложение В, а не Б. |
Примечание - Установка опций и параметров антивирусной защиты в программе Kaspersky Security Center представлена в Приложении Б.
Таблица 3.2
для ПО Kaspersky Security Center в сертифицированной
конфигурации для ОС Linux
Сущность, к которой относится параметр | Название параметра | Безопасное значение или диапазон значений параметра |
FirstAction | Задача "Защита от файловых угроз", задача антивирусной проверки, задача выборочной проверки, задача проверки контейнеров | Одно из следующих значений: Disinfect - программа пытается вылечить объект, сохранив копию объекта в Хранилище. Если лечение невозможно, программа оставляет объект неизменным; Remove программа удаляет зараженный объект, предварительно создав его резервную копию; Recommended программа автоматически выбирает и выполняет действие над объектом на основе данных об обнаруженной в объекте угрозе |
SecondAction | Задача "Защита от файловых угроз", задача антивирусной проверки, задача выборочной проверки, задача проверки контейнеров | Если значение FirstAction=Disinfect: Remove программа удаляет зараженный объект, предварительно создав его резервную копию |
Action | Задача проверки памяти процессов и памяти ядра, задача проверки загрузочных секторов | Disinfect программа пытается вылечить объект, сохранив копию объекта в Хранилище |
UseAnalyzer | Задача "Защита от файловых угроз", задача антивирусной проверки, задача выборочной проверки, задача проверки загрузочных секторов, задача проверки контейнеров | Yes - эвристический анализатор включен |
HeuristicLevel | Задача "Защита от файловых угроз", задача антивирусной проверки, задача выборочной проверки, задача проверки загрузочных секторов, задача проверки контейнеров | Одно из следующих значений: Light - наименее тщательная проверка, минимальная загрузка системы; Medium - средний уровень эвристического анализа, сбалансированная загрузка системы; Deep - наиболее тщательная проверка, максимальная загрузка системы; Recommended - рекомендуемое значение |
ScanArchived | Задача "Защита от файловых угроз", задача антивирусной проверки, задача выборочной проверки, задача проверки контейнеров | Yes - проверять архивы |
ScanSfxArchived | Задача "Защита от файловых угроз", задача антивирусной проверки, задача выборочной проверки, задача проверки контейнеров | Yes - проверять самораспаковывающиеся архивы |
ScanMailBases | Задача "Защита от файловых угроз", задача антивирусной проверки, задача выборочной проверки, задача проверки контейнеров | Yes - проверять файлы почтовых баз |
ScanByAccessType | Задача "Защита от файловых угроз" | Open - проверять файл при попытке открытия как на чтение, так и на выполнение или изменение |
SourceType/ | Задача обновления | Одно из следующих значений: KLServers программа получает обновления с одного из серверов обновлений "Лаборатории Касперского"; SCServer программа загружает обновления на защищаемый компьютер с установленного в локальной сети Сервера администрирования Kaspersky Security Center; Custom - программа загружает обновления из пользовательского источника (локальной или сетевой директории (SMB/NFS), смонтированной пользователем, или FTP-, HTTP- или HTTPS-сервера). |
ApplicationUpdateMode | Задача обновления | Disabled - не загружать и не устанавливать обновления программы |
UseKSN | Общие параметры программы | No - выключить использование Kaspersky Security Network |
ПО Kaspersky Security Center, установленное на одной из ПЭВМ ПЦО, позволяет централизованно добавлять съемные носители информации в качестве доверенных для других серверов и АРМ СПИ/РСПИ.
В ОС Windows для этого необходимо установить носитель информации, который планируется сделать доверенным в любой из ПЭВМ ПЦО, с инсталлированным ПО Kaspersky Endpoint Security.
В открывшемся диалоговом окне выбрать команду "Запросить доступ" (рисунок 3.4).
После чего в окне "Сообщения администратору локальной сети организации", отобразится ID съемного носителя информации, который нужно зафиксировать (рисунок 3.5).
В Kaspersky Security Center открыть раздел "Политики" на сервере администрирования для ПЭВМ с ОС Windows, с установленным ПО Kaspersky Endpoint Security (рисунок 3.6).
В разделе "Контроль безопасности" открыть подраздел "Контроль устройств" и выбрать тип носителя информации во вкладке "Типы устройств" (рисунок 3.7). Открыть вкладку "Доверенные устройства" и выпадающем меню "Добавить" выбрать пункт "По идентификатору". После чего найти в списке съемный носитель, ID которого было зафиксировано ранее.
Выбрать в окне "Добавление доверенных устройств по идентификатору" съемный носитель и подтвердить выполненные действия нажав кнопку "ОК" (рисунок 3.8).
В ОС Linux для добавления доверенного съемного носителя информации необходимо вставить устройство в USB-порт компьютера, открыть главное меню системы кнопкой "Пуск". Перейти последовательно по вкладкам "Системные" -> "Информация о системе" в раздел "Устройства USB" (рисунки 3.9 и 3.10).
Зафиксировать в правой части экрана "Mass Storage Device" ID съемного носителя и на компьютере с установленным ПО Kaspersky Security Center повторить действия по добавлению доверенного носителя информации, представленные выше для ОС Windows.
Для организации и обеспечения обнаружения КА применяется система обнаружения вторжений. Система предназначена для обнаружения и противодействия основным угрозам информационной безопасности, возникающим при преднамеренном НСД или специальном воздействии со стороны внешних и внутренних нарушителей.
Основным компонентом системы обнаружения вторжений является детектор активности.
Детектор активности реализует следующие функции:
- сбор информации о пакетах данных;
- анализ сетевого трафика с использованием сигнатурного и эвристического методов обнаружения КА;
- выборочный контроль отдельных сегментов сети;
- запись дампа КА;
- идентификация и аутентификация администратора;
- контроль целостности ПО и конфигурации;
- регистрация событий;
- контроль приложений.
Обнаруженные КА подразделяются по степени важности:
- высокая (красный цвет в панели мониторинга и аудита);
- средняя (желтый цвет в панели мониторинга и аудита);
- низкая (зеленый цвет в панели мониторинга и аудита).
Степень важности определяется набором и категориями применения правил.
Детектор активности контролирует следующие данные о сетевом трафике:
- сетевой адрес отправителя и получателя;
- используемый порт отправителя и получателя;
- значение полей сетевого пакета (флаги);
- аппаратный адрес устройства (при отсутствии сетевого адреса);
- идентификаторы протоколов;
- последовательность команд протоколов;
- размер полей пакета;
- интенсивность трафик;
- содержание пакета.
Для обеспечения защиты электронной почты необходимо:
- настроить (при возможности) уведомления пользователей в тексте сообщения электронной почты при получении его от внешнего (не из корпоративной почтового домена) отправителя;
- запретить неавторизованную отправку почтовых сообщений, а также отправку почты от имени произвольного адреса электронной почты (any@any) на адреса электронной почты, не относящиеся к домену ЛВС ПЦО;
- использовать защищенный протокол передачи данных TLS для защиты почты, передаваемой между почтовым сервером ПЦО и внешними почтовыми серверами;
- использовать защищенный протокол передачи данных TLS v1.2 (и выше) для защиты почты, передаваемой между пользователем и почтовым сервером (например: SMTPS, IMAPS или расширение STARTTLS);
- использовать технологии Sender Policy Framework (SPF, RFC 7208) и DomainKeys Identified Mail (DKIM) для подтверждения легитимности сервера электронной почты;
- осуществлять контроль входящей электронной почты по критериям, предоставляемым технологиями SPF и DKIM;
- заблокировать (при возможности) получение в электронных письмах вложений с расширениями ADE, ADP, APK, APPX, APPXBUNDLE, BAT, CAB, CHM, CMD, COM, CPL, DLL, DMG, EX, EX_, EXE, HTA, INS, ISP, ISO, JAR, JS, JSE, LIB, LNK, MDE, MSC, MSI, MSIX, MSIXBUNDLE, MSP, MST, NSH, PIF, PS1, SCR, SCT, SHB, SYS, VB, VBE, VBS, VHD, VXD, WSC, WSF, WSH и др.;
- настроить антивирусную проверку всех входящих сообщений электронной почты. Запретить открытие пользователями вложенных файлов в сообщениях электронной почты до их проверки антивирусными средствами и проверки (по возможности) их функционала в изолированной программной среде (типа "Песочница").
Одним из шагов по обеспечению информационной безопасности ПЦО является ограничение удаленного доступа к необходимым для работы службам (сервисам). Для этого необходимо:
- запретить удаленный доступ к ресурсам ЛВС ПЦО без использования технологии VPN;
- запретить удаленный доступ к серверам и АРМ СПИ/РСПИ;
- осуществлять блокировку подключений с IP-адресов узлов TOR и VPN-провайдеров.
Для обеспечения доступа сотрудников (работников) ПЦО к ресурсам ЛВС ПЦО используются учетные записи. Они закрепляют за пользователями определенные настройки, им назначаются права и привилегии. Учетные записи необходимы для проведения процедур идентификации и аутентификации и дальнейшего предоставления прав доступа к запрашиваемым ресурсам.
Ответственным за создание, ведение, учет, удаление учетных записей в базах данных СПИ/РСПИ является, как правило, администратор ЛВС ПЦО.
Данное лицо, определяется руководителем подразделения ВО.
Для обеспечения информационной безопасности администратору ЛВС ПЦО необходимо проводить следующие мероприятия:
- регулярную ревизию учетных записей пользователей ЛВС ПЦО, выявление и блокирование неиспользуемых учетных записей пользователей;
- ограничение списка пользователей ЛВС ПЦО, обладающих административными привилегиями;
- применение в системе разграничения прав доступа ОС настроек, предоставляющих пользователям ЛВС ПЦО минимально необходимый перечень прав доступа (ограничение возможности установки ПО, создания файлов в системных директориях, запуска исполняемых файлов из пользовательских каталогов);
- ограничение доступа к чувствительной информации (резервные копии серверов и конфигурационные файлы телекоммуникационного оборудования, файлы, содержащие информацию о структуре ЛВС ПЦО и аутентификационные данные для доступа к сетевым объектам указанных ресурсов);
- ограничение использования общедоступных сетевых служб в ЛВС ПЦО, отключение неиспользуемых сетевых служб. В случае их необходимости, организовать разграничение доступа пользователей;
- организация подробного журналирования, в том числе действий пользователей и администраторов.
Для обеспечения информационной безопасности ПЦО посредством парольной защиты необходимо принять ряд мер, а именно:
- использовать для формирования паролей последовательности длиной не менее 12 символов для пользователей и не менее 14 символов для администраторов и алфавит, состоящий как минимум, из строчных и прописных символов латинского алфавита и цифр (мощность алфавита составляет не менее 62 символов) и спецсимволов;
- пароль не должен содержать информацию личностного характера (например: имя, фамилия, дата рождения, месяц, логин, название организации в любых словоформах), а также основываться на словах естественного языка. Пароль не должен содержать более 2 следующих друг за другом одинаковых символов, и обязательно содержать: буквы, как в верхнем так и нижнем регистре, цифры и спецсимволы (например: @, #, $ и др.);
- при смене пароля новое значение должно отличаться от предыдущего не менее чем в шести позициях;
- в случае генерации паролей использовать псевдослучайные последовательности;
- настроить механизмы защиты от подбора аутентификационных данных. Использовать меры по временной блокировке учетных записей. Осуществлять мониторинг блокировок учетных записей на предмет попыток массовых аутентификаций;
- хранить аутентификационные данные только в криптографически защищенном виде;
- не применять одинаковые пароли для различных учетных записей;
- исключить практику хранения паролей пользователей в атрибутах их учетных записей;
- настроить срок действия паролей пользователей (рекомендуемое значение политики - не более 90 дней);
- удалить (заблокировать) неиспользуемые учетные записи (например, учетные записи уволенных сотрудников и работников ПЦО);
- минимизировать список учетных записей, обладающих правами администратора;
- организовать смену аутентификационных данных учетных записей пользователей, имеющих пароли, настроенные "по умолчанию" (в том числе от сервисных учетных записей), нестойкие к атаке типа "перебор по словарю" и (или) применявшиеся ранее для регистрации на сторонних сервисах, размещенных в сети Интернет;
- сотрудникам, ответственным за обеспечение информационной безопасности на сетевых объектах ЛВС, необходимо не реже одного раза в неделю проводить инвентаризацию учетных записей пользователей на предмет использования стандартных и словарных паролей, а также для снижения вероятности угадывания имен учетных записей рекомендуется изменить учетные записи по умолчанию (Admin, User) на нетиповые.
Дополнительно в части, касающейся ПЭВМ, функционирующих под управлением ОС семейства Microsoft Windows, необходимо:
- в системном реестре отключить возможность использования LM-хэшей;
- с учетом особенности ОС семейства Microsoft Windows, заключающейся в хранении в оперативной памяти LM-хэша при длине пароля менее 15 символов, для наиболее критичных элементов ЛВС и для учетных записей с правами администратора использовать пароли длиной более 15 символов;
- с учетом особенностей удаленной сетевой аутентификации, позволяющей авторизоваться на удаленных сетевых объектах без восстановления пароля, вместе с соблюдением парольной политики необходимо использовать на сетевых объектах ЛВС сертифицированные в Российской Федерации СЗИ от несанкционированного доступа.
4 Защита информационных потоков ПЦО посредством технологии TLS и сертификатов безопасности при использовании собственниками охраняемых объектов мобильных приложений, установленных на устройствах сотовой связи
В целях расширения спектра услуг, предоставляемых собственникам охраняемых объектов и МПХИГ в 2022, 2023 гг. были разработаны и вошли в состав ряда систем централизованной охраны таких, как СПИ "Приток-А", СПИ "Центавр Проксима" и РСПИ "Струна-5" мобильные приложения пользователей, позволяющие осуществлять дистанционное управление оборудованием СПИ, установленном на охраняемых объектах, получать тревожные и служебные извещения о их состоянии. Для поддержки функционирования указанных приложений в состав пультового ПО СПИ были интегрированы серверы приложений (веб-серверы), обеспечивающие взаимодействие с мобильными приложениями по клиент-серверной технологии с применением защищенного протокола https.
Протокол https является расширением протокола http, обеспечивающим поддержку шифрования с использованием криптографических протоколов SSL и TLS. Данные протокола https передаются поверх криптографических протоколов.
TLS (Transport Layer Security) - криптографический протокол, который применяется для обеспечения безопасной передачи данных на транспортном уровне. Этот протокол в первую очередь предназначен для обеспечения защищенной связи между двумя или более веб-приложениями.
Протокол TLS реализует три основные функции, которые обеспечивают криптографическую защиту передаваемых данных: шифрование, аутентификация и целостность.
Шифрование: скрывает передаваемые данные от третьих лиц.
Аутентификация: позволяет убедиться, что стороны, обменивающиеся информацией, действительно те, за кого они себя выдают.
Целостность: гарантирует, что данные не были потеряны, повреждены, подделаны или сфальсифицированы.
На практике при передаче информации веб-приложения и сервера использует все три службы.
В протоколе TLS применяется как симметричное, так и асимметричное шифрование данных. Это вызвано особенностями каждого из этих типов шифрования.
Асимметричное шифрование предполагает наличие не одного ключа, а пары - открытого и закрытого, которые связаны между собой математически. Отправитель использует открытый ключ для шифрования передаваемых данных, а получатель расшифровывает полученные данные с помощью закрытого ключа. Этот способ шифрования более безопасный, но требует больше времени и ресурсов. Поэтому он применяется на этапе аутентификации.
Симметричное шифрование используется для кодирования потока передаваемых данных и предполагает наличие одного секретного ключа, которым стороны обменялись на этапе аутентификации. Этот ключ нужен отправителю, чтобы зашифровать передаваемые данные, и получателю, чтобы их расшифровать. Применение одного ключа и для шифрования, и для дешифровки данных делает этот способ наиболее простым. Однако в таком случае процедура обмена ключами может быть небезопасной.
Использование обоих типов шифрования помогает протоколу TLS держать баланс между скоростью работы и безопасностью. Асимметричное шифрование используется на начальном этапе соединения для обмена ключами и аутентификации, а симметричное - для шифрования непосредственно сообщений.
Организацию передачи информации с использованием TLS протокола можно разделить на несколько этапов.
На первом этапе происходит установка TLS-соединения ("рукопожатие", handshake). Инициирует TLS-соединение клиент - мобильное приложение (веб-браузер). В этом запросе "HelloServer" к серверу клиент направляет информацию о поддерживаемой версии TLS (1.0, 1.2, 1.3), и алгоритмах шифрования. Также в этом запросе клиент посылает случайное число (random client), которое в последующем используется для формирования случайного секретного числа.
Сервер последовательно посылает клиенту пакеты "HelloClient", содержащие выбранный алгоритм шифрования, сгенерированное им случайное число (random server) и TLS сертификат безопасности.
На втором этапе клиент связывается с сервером доверенного центра сертификации, который подписал сертификат сервера, и проверяет его достоверность (валидность). Затем, используя открытый ключ из сертификата безопасности сервера, шифрует сгенерированный на основе random client и random server 48 - байтовый ключ Premaster Key и направляет его серверу. На основании этого ключа обе стороны формируют общий секретный сеансовый ключ для симметричного шифрования.
На третьем, заключительном этапе клиент и сервер начинают обмен информацией с использованием алгоритма симметричного шифрования и общего секретного ключа.
Выполнение проверки подлинности сторон позволяет протоколу TLS гарантировать безопасность взаимодействия. Подлинность сторон подтверждается наличием действующего сертификата, выданного CA (Certificate Authority - доверенный центр сертификации). Сертификат может запросить как клиент у сервера, так и сервер у клиента в случае необходимости. Данный механизм защищает передаваемые данные от MITM-атак (Man-in-the-Middle - человек посередине), когда третья сторона вмешивается в соединение двух участников и перехватывает закрытые ключи. Таким образом злоумышленник может получить передаваемые данные, часто оставаясь незамеченным для обеих сторон.
TLS гарантирует защиту передаваемых данных от потери, изменения или дублирования. Для этого применяются функции хеширования, вычисляющие контрольный хеш данных и присоединяющие его к основному сообщению. Сравнение отправленной и полученной хеш-суммы данных позволяет убедиться в том, что информация пришла в исходном виде.
Для обеспечения безопасного соединения протокол TLS использует механизм установления связи клиент-сервер. Основные этапы этого процесса.
Вложенность протокола TLS в структуру стека TCP/IP представлена на рисунке 4.1. Поверх протокола TCP/IP устанавливается зашифрованный канал, внутри которого передаются данные по прикладному протоколу - HTTP, FTP, и так далее.
Прикладной протокол "заворачивается" в TLS/SSL, а тот в свою очередь в TCP/IP. По сути данные по прикладному протоколу передаются по TCP/IP, но они зашифрованы. И расшифровать передаваемые данные может только та машина, которая установила соединения. Для всех остальных, кто получит передаваемые пакеты, эта информация будет бессмысленной, если они не смогут ее расшифровать.
Ключевыми понятиями в процедурах криптозащиты при организации информационного обмена данными по протоколу https между веб-сервером и приложениями являются понятия корневого, выпускающего, серверного и клиентского сертификатов безопасности стандарта X.509. Существует три вида цифровых сертификатов безопасности.
Корневой сертификат - это сертификат доверенного центра сертификации или удостоверяющего центра, чья компетентность и авторитет в области защиты информации широко известны и неоспоримы. Он находится на верхнем уровне цепочки сертификатов безопасности и служит основой системы инфраструктуры открытых ключей. Корневые сертификаты служат для проверки и подписи (выпуска) промежуточных выпускающих сертификатов, которые в свою очередь подписывают сертификаты конечных пользователей. Данный вид сертификатов действует как правило 20 - 25 лет.
Выпускающие или промежуточные сертификаты являются важным звеном в цепочке доверия инфраструктуры открытых ключей. Они служат для подписи (выпуска) сертификатов серверов и конечных пользователей. Использование выпускающих сертификатов играет важнейшую роль в снижении рисков компрометации корневых сертификатов. Такой подход ограничивает уязвимость корневого сертификата и позволяет легче отзывать и заменять скомпрометированные сертификаты, не затрагивая всю цепочку доверия. Данный вид сертификатов действует как правило от одного года до пяти лет.
Сертификаты серверов и конечных пользователей формируются по заявкам и выдаются удостоверяющим центром организациям для обеспечения криптозащищенной связи в сети Интернет. Срок их действия один год.
В Российской Федерации после введения экономических санкций зарубежные компании прекратили выдачу и начали отзывать сертификаты безопасности у российских сайтов. Поэтому в 2022 году на базе НИИ "Восход" в рамках федерального проекта "Информационная безопасность" был создан Национальный удостоверяющий центр. Информационная система Национального удостоверяющего центра, разработанная специалистами НИИ "Восход", обеспечивает выпуск TLS сертификатов с применением как российских, так и иных криптографических алгоритмов. Любое юридическое лицо либо орган власти Российской Федерации может бесплатно получить один или несколько сертификатов безопасности и использовать их в своих информационных системах и на сайтах.
4.3 Организационно-технические мероприятия, необходимые для реализации на ПЦО защищенных TLS-каналов информационного обмена с мобильными приложениями собственников охраняемых объектов
Реализации на ПЦО защищенных TLS-каналов информационного обмена мобильных приложений собственников охраняемых объектов с ПЦН потребует от инженерно-технического персонала подразделения проведения следующих мероприятий.
На первом шаге необходимо получить цифровой сертификат безопасности для сервера ПЦН, корневой и выпускающий сертификаты Национального удостоверяющего центра Российской Федерации. Цифровые сертификаты безопасности, посредством которых организуется авторизация мобильных приложений на серверах ПЦН, проверка подлинности самого сервера и криптозащита передаваемых данных выдаются Национальным удостоверяющим центром Российской Федерации юридическим лицам бесплатно. Подразделения вневедомственной охраны имеют статус юридических лиц, что позволяет им получать указанные сертификаты безопасности бесплатно.
Вместе с тем следует отметить, что сертификаты безопасности выдаются на зарегистрированное доменное (субдоменное) имя в информационно-телекоммуникационной сети Интернет. Поэтому для их получения необходимо иметь зарегистрированное на организацию доменное имя.
Сервис получения цифровых сертификатов безопасности Национального удостоверяющего центра доступен на сайте Государственных услуг https://www.gosuslugi.ru/tls. По данной ссылке можно получить саму услугу, а также скачать корневой и выпускающий сертификаты Национального удостоверяющего центра. Для получения сертификата безопасности, предназначенного для установки на сервер СПИ/РСПИ и организации защищенного обмена с мобильными приложениями, необходимо сформировать запрос CSR (Certificate Signing Request) на сайте Государственных услуг на его создание и выпуск. При этом необходимыми условиями для возможности его формирования являются наличие у заявителя, в нашем случае у подразделения вневедомственной охраны, усиленной квалифицированной электронной подписи и, как выше было указано, зарегистрированного на организацию доменного имени. Подробная процедура формирования и подачи запроса на выпуск сертификата представлена в Приложении Г. Сертификат выпускается удостоверяющим центром после проверки достоверности всех сведений, размещенных в запросе, и передается на адрес электронной почты клиента.
После получения сертификата его вместе с корневым и выпускающим сертификатами необходимо установить в хранилище сертификатов ОС сервера СПИ/РСПИ.
В ОС Windows для установки полученных корневого и выпускающего сертификатов необходимо дважды кликнуть левой кнопкой мыши на значке (файле с расширением .cer) сертификата. Откроется окно сведений о сертификате (рисунок 4.2).
В открывшемся окне "Мастера импорта сертификатов" выберите вкладку "Текущий пользователь" и нажмите экранную кнопку "Далее". В случае установки корневого сертификата выберите вкладку "Поместить все сертификаты в следующее хранилище", нажмите "Обзор" 
"Доверенные корневые центры сертификации" и нажмите "Далее". При установке выпускающего сертификата в "Мастере импорта сертификатов" необходимо выбрать вкладку "Автоматически выбрать хранилище на основе типа сертификата".
"Доверенные корневые центры сертификации" и нажмите "Далее". При установке выпускающего сертификата в "Мастере импорта сертификатов" необходимо выбрать вкладку "Автоматически выбрать хранилище на основе типа сертификата".Для ОС Linux в терминале необходимо запустить программу bash в режиме root-суперпользователя. Перейти в директорию, в которую были загружены сертификаты.
Затем введите в терминале следующие команды:
# ls -l
# cp -a russian_trusted_*crt/usr/share/ca-certificates/
# cd /usr/share/ca-certificates/
# chown -R root:src russian_trusted_*.crt
# chmod 644 russian_trusted_*.crt
# ls -ld . russian_trusted_*crt
Указанный блок команд осуществит копирование загруженных сертификатов в директорию /usr/share/ca-certificates/ и разрешит всем учетным записям ОС Linux читать эти файлы в директории /usr/share/ca-certificates.
Командой # dpkg-reconfigure ca-certificates необходимо зарегистрировать загруженные сертификаты. После ввода команды в открывшемся окне для выполнения регистрации нажать пробел на флажке слева от имени файла (рисунок 4.3).
На следующем этапе необходимо установить серверный сертификат на сервер ПЦН. Производители СПИ/РСПИ для организации защищенного TLS взаимодействия с мобильными приложениями используют различные программные продукты (веб-сервер). Так ООО "Компания Проксима" в ПО "Центавр" применяет один из самых распространенных на сегодняшний день веб-серверов Nginx. В СПИ "Приток-А" используется Apache Tomcat 8 - контейнер сервлетов, реализующий функции веб-сервера. Порядок действий при установке сертификата на сервер Nginx и Apache примерно одинаков.
Ниже представлена процедура установки сертификата на сервер Nginx.
Чтобы установить сертификат на сервер необходимо выполнить ряд следующих действий.
Подключиться к серверу ПЦН по протоколу SSH командой
ssh username@ip_adress - где username - логин пользователя, ip_adress - IP адрес сервера.
После ввода команды в терминале будет предложено ввести пароль пользователя.
Далее потребуется загрузить созданные файлы сертификата, публичного и приватного ключа на сервер в директорию /etc/ssl/. Также возможен вариант их установки в директорию /etc/nginx/ssl/domain.ru.
Затем необходимо отредактировать конфигурационный файл nginx.conf. Для этого в зависимости от расположения файла на сервере необходимо ввести одну из следующих команд, обеспечивающих возможность корректировки файла в редакторе ОС Linux Nano:
sudo nano /usr/local/nginx/conf;
sudo nano /etc/nginx;
sudo nano /usr/local/etc/nginx.
Для работы веб-сервера по HTTPS в файл nginx.conf необходимо добавить блок:
server {
listen 443 ssl;
server_name domain.ru;
ssl_certificate /etc/ssl/domain_name.crt;
ssl_certificate_key /etc/ssl/domain_name.key;
}
где:
domain.ru - доменное имя сайта,
domain_name.crt - путь к файлу с публичным ключом,
domain_name.key - путь к файлу с приватным ключом.
Далее необходимо оптимизировать работу HTTPS-сервера Nginx, для чего в секцию server добавить строки:
ssl_session_cache shared:SSL:10m;
ssl_session_timeout 10m;
keepalive_timeout 70;
где:
shared:SSL:10m - тип кэша и его размер,
ssl_session_timeout 10m - таймаут кэша,
keepalive_timeout 70 - время одного соединения.
Кроме того, требуется указать протоколы TLS (SSL), версии которых должен поддерживать сервер:
ssl_protocols TLSv1 TLSv1.2 TLSv1.3.
По окончании редактирования файла необходимо сохранить изменения с помощью комбинации клавиш Ctrl + O.
Чтобы изменения вступили в силу, нужно перезагрузить веб-сервер Nginx. Для этого нужно выполнить команду:
sudo /etc/init.d/nginx restart.
На сегодняшний день в России остро встал вопрос о скорейшем импортозамещении зарубежного сетевого оборудования изделиями отечественных производителей. Этот процесс затрагивает и сферу информационных технологий.
В настоящее время на российском рынке присутствует несколько отечественных производителей маршрутизаторов, которые способны справиться с задачей импортозамещения в данном сегменте сложного технологического оборудования.
Маршрутизаторы Eltex. Вся продукция компании Eltex входит в реестр Минпромторга, что позволяет ей принимать участие в проектах с повышенными требованиями к телекоммуникационному оборудованию. Кроме того, компания имеет сертификаты соответствия средств защиты информации ФСТЭК на самые востребованные на российском рынке IT-оборудования маршрутизаторы ESR 100/200/1000, оснащенные МЭ типа А, соответствующие пятому классу защиты. Данные маршрутизаторы применяются в основном на физической границе (периметре) информационных систем и ЛВС.
Маршрутизаторы серии QSR. Данные маршрутизаторы имеют функцию МЭ Statefull Firewall. Данное оборудование представлено несколькими линейками изделий:
- QSR-19 новое поколение устройств, разработанных для филиальных отделений, компаний финансовой, правительственной и производственной сферы с распределенными офисами и департаментами. Оборудование позволяет установить связь главного офиса с удаленным филиалом;
- QSR-29 серия сочетает современные возможности маршрутизации, коммутации, функции QoS, безопасности, поддержку сетей 3G/4G, обеспечивающие доступ пользователей к сервисам;
- QSR-39 это оборудование, реализованное на основе интегрированного решения, позволяющего выполнять развертывание приложений и сервисов для масштабируемых IP-сетей без больших инвестиционных затрат.
Марку оборудования для защиты ЛВС ПЦО рекомендуется выбирать из государственного реестра сертифицированных средств защиты информации ФСТЭК России.
В соответствии с указом Президента РФ от 17 марта 2008 г. N 351 (в ред. Указов Президента РФ от 21 октября 2008 г N 1510, от 14 января 2011 г. N 38, от 01 июля 2014 г. N 483, от 25 июля 2014 г. N 529, от 22 мая 2015 г. N 260) "О мерах по обеспечению информационной безопасности Российской Федерации при использовании информационно-телекоммуникационных сетей международного информационного обмена" "... при необходимости подключения информационных систем производится только с использованием специально предназначенных для этого средств защиты информации, получивших подтверждение соответствия в Федеральной службе по техническому и экспортному контролю. Выполнение данного требования является обязательным для владельцев средств вычислительной техники".
Государственный реестр сертифицированных средств защиты информации ФСТЭК России доступен для ознакомления (скачивания) на сайте ФСТЭК.
Межсетевые экраны, сертифицированные ФСТЭК России, могут применяться для защиты информации, в том числе гостайны, некриптографическими методами, т.е. без использования криптографических вычислений, в государственных информационных системах, информационных системах персональных данных, АСУ ТП и на объектах критической информационной инфраструктуры. В случае, если МЭ выступает в качестве средства криптографической защиты информации и применяет шифрование в соответствии с ГОСТом, сертификация проводится по системе сертификации ФСБ России.
Маршрутизаторы Eltex ориентированы на работу с широкополосными сетями. Они также подойдут для развертывания сетей с повышенными требованиями к информационной безопасности. Оборудование характеризуется функциональностью и обеспечивает высокую скорость подключения. Все модели маршрутизаторов Eltex в заводских установках имеют активированную функцию межсетевого экрана, которая может быть отключена при необходимости.
Устройства поддерживают функции межсетевого экрана для защиты сети организации и своей сетевой инфраструктуры, а также сочетают в себе новейшие средства обеспечения безопасности данных, шифрования, аутентификации и защиты от вторжений.
Маршрутизаторы содержат в себе средства для программной и аппаратной обработки данных. За счет оптимального распределения функций обработки данных между частями устройств достигается максимальная производительность оборудования в целом.
Ключевые преимущества МЭ серии ESR:
- маршрутизация данных;
- аппаратное ускорение обработки данных;
- многопротокольная коммутация по меткам (MPLS);
- построение защищенного периметра сети (NAT, Firewall);
- мониторинг и предотвращение сетевых атак (IPS/IDS);
- мониторинг качества обслуживания (SLA);
- фильтрация сетевых данных по различным критериям (включая фильтрацию по приложениям);
- организация защищенных сетевых туннелей между подразделениями организации;
- удаленное подключение сотрудников к сети;
- управление и распределение ширины Интернет-канала посредством QoS (QoS - технология предоставления различных классов трафика распределяющая приоритеты в обслуживании);
- организация резервного соединения (проводное или посредством 3G/LTE-модема);
- терминирование клиентов и ограничений по полосе пропускания BRAS (IPoE).
ESR-10, ESR-12V(F), ESR-14VF, ESR-15, ESR-20, ESR-21, ESR-30, ESR-100 и ESR-200 - сервисные маршрутизаторы, предназначенные для использования в сетях связи для подключения небольших и средних структурных подразделений организаций, в том числе уровня ПЦО. Функциональность МЭ и маршрутизатора позволяет обеспечить безопасность при различных вариантах подключения через информационно-телекоммуникационную сеть Интернет. Устройства поддерживают расширенные функции маршрутизации, функции организации территориально-распределенных сетей и функции обеспечения сетевой безопасности.
Устройства ESR-12V, ESR-12VF имеют в составе порты FXS, что позволяет установить в сети до трех аналоговых телефонных аппаратов и подключить их к корпоративной телефонной сети без применения отдельных телефонных шлюзов. Наличие порта FXO позволяет зарезервировать телефонное подключение по аналоговой линии в случае отсутствия связи до центральной автоматической телефонной станции.
Устройство ESR-14VF отличается тем, что имеет 4 FXS-порта и не имеет FXO-портов. Устройства ESR-20 и ESR-21 представляют собой универсальные сервисные маршрутизаторы. Отличительной особенностью модели ESR-21 является ее оснащенность дополнительными портами стандарта RS-232, которые могут использоваться для реализации дополнительных функций - удаленного консольного доступа к рядом стоящему оборудованию (режим AUX), подключения к сервисному маршрутизатору проводных и GSM-модемов.
Устройства ESR-100 и ESR-200 имеют в составе 4 Combo-порта 10/100/1000BASE-X с возможностью использования трансиверов для оптического или для проводного (RJ-45) подключений. ESR-200 имеет дополнительно 4 порта 10/100/1000BASE-T.
Ниже представлены краткие технические характеристики и внешний вид ряда маршрутизаторов серии ESR-xxx.
Сервисный маршрутизатор ESR-10.
Внешний вид маршрутизатора ESR-10 представлен на рисунке 5.1.
Технические характеристики ESR-10:
- 4xEthernet 10/100/1000BASE-T;
- 2x1000BASE-X (SFP);
- 1xConsole (RJ-45);
- 2xUSB 2.0, 1 ГБ RAM, 512 МБ NAND-Flash;
- 12 В DC (220 В AC через адаптер питания).
Сервисный маршрутизатор ESR-100.
Внешний вид маршрутизатора ESR-100 представлен на рисунке 5.2.
Технические характеристики ESR-100:
- 4xCombo 10/100/1000BASE-T/1000BASE-X (SFP);
- 1xConsole (RJ-45), 1xUSB 2.0, 1xUSB 3.0;
- 1 слот для SD-карт, 4 ГБ RAM (8 ГБ доступно по запросу);
- 1 ГБ NAND-Flash;
- 100 - 264 В AC.
Сервисный маршрутизатор ESR-100-ST.
Внешний вид маршрутизатора ESR-100-ST представлен на рисунке 5.3.
Технические характеристики ESR-100-ST:
- 4x Combo 10/100/1000BASE-T/1000BASE-X SFP;
- 1xUSB 2.0, 1xUSB 3.0, 1 слот для SD-карт;
- 4 Gb RAM, 1 Gb Flash;
- 220 V AC.
Сервисный маршрутизатор ESR-1000.
Внешний вид маршрутизатора ESR-1000 представлен на рисунке 5.4.
Технические характеристики ESR-1000:
- 24x10/100/1000BASE-T, 2x10GBASE-R SFP+;
- 1xConsole (RJ-45), 2xUSB 2.0, 1 слот для SD-карт;
- 4 ГБ RAM (8 ГБ доступно по запросу), 1 ГБ NAND-Flash;
- 2 слота для модулей питания 100 - 240 В AC или 36 - 72 В DC.
Для обеспечения информационной безопасности и защиты ЛВС ПЦО, минимизации ущерба от КА сотруднику или работнику ПЦО, ответственному за данное направление работы, рекомендуется выполнять следующие мероприятия:
- отключить на АРМ и серверах автоматическое обновление ПО и его компонентов (например, загрузчика программного обеспечения) из информационно-телекоммуникационной сети Интернет;
- осуществлять обновление ПО только после оценки всех сопутствующих рисков и, по возможности, после их проверки в тестовой среде;
- осуществлять обновление ПО АРМ и серверов с обязательным резервным копированием на внешние носители с целью возможности "отката" обновления до предыдущей работающей версии. На всех этапах обновления осуществлять контроль целостности ПО. Обновление проводить поэтапно;
- организовать разработку и применение безопасной политики обновлений с учетом возможной блокировки АРМ и серверов после обновления, по возможности обеспечить переход от краткосрочных подписок к бессрочным лицензиям;
- проводить ревизию учетных записей пользователей и настройку прав доступа, организовать внеплановую смену паролей, неиспользуемые учетные записи блокировать;
- ограничить список пользователей ЛВС ПЦО, обладающих административными привилегиями;
- организовать единую политику администрирования сетевых объектов и использования сетевых протоколов;
- организовать безопасное использование службы электронной почты;
- проверять на постоянной основе организацию антивирусной защиты;
- проводить мероприятия по оценке степени защищенности ЛВС ПЦО от КА и обеспечить устранение выявленных уязвимостей путем корректировки настроек ПО и СЗИ;
- усилить (в случае отсутствия организовать) мониторинг событий ЛВС ПЦО, позволяющий оперативно обнаруживать и реагировать на компьютерные инциденты в случае их возникновения. Запретить отправку событий безопасности во внешние иностранные сервисы (например: Cloud SIEM, Cloud EDR, SOC, MDR и аналогичные им);
- отключить неиспользуемые в работе сетевые службы (сервисы);
- ограничить доступ к необходимым для работы службам (сервисам);
- ограничить использование небезопасных протоколов управления ЛВС ПЦО (например: TELNET, SNMPv1, v2, HTTP, LDAP);
- ограничить (при возможности) перечень сторонних ресурсов и приложений, взаимодействующих с программным интерфейсом приложений (API);
- исключить (при возможности) применение систем видеоконференц-связи иностранного производства (Zoom, Skype и аналогичных им), а также систем удаленного администрирования (RAdmin, Team Viewer и аналогичных им);
- в случае необходимости использования публичных NTP-серверов обеспечить применение NTP-серверов, функционирующих на территории Российской Федерации (например: ntp.msk-ix.ru (194.190.168.1);
- при авторизации пользователей организовать (при возможности) двухфакторную аутентификацию;
- отказаться от использования иностранных репозиториев, таких как Github, Pastebin и их аналогов;
- отказаться от использования иностранных облачных сервисов (Google Docs/Drive, Dropbox и аналогичных им);
- разработать перечень нежелательных Интернет-ресурсов и ограничить к ним доступ пользователей ЛВС ПЦО;
- проработать техническую возможность функционирования ЛВС ПЦО с использованием в TLS криптографических алгоритмов ГОСТ;
- реализовать защиту ЛВС ПЦО от DdoS-атак;
- рассмотреть вопрос о целесообразности использования в ЛВС ПЦО беспроводной сети передачи данных. В случае применения в средствах вычислительной техники со встроенными и (или) установленными устройствами беспроводного доступа (такие стандарты как 3G, 4G, Wi-Fi, Bluetooth, и т.п.), но не используемыми для подключения к ЛВС ПЦО, отключать указанные устройства на уровне ОС (или BIOS) или удалять их драйверы;
- актуализировать документы, связанные с обеспечением информационной безопасности ПЦО. Обеспечить ознакомление сотрудников и работников ПЦО с указанными документами, в части их касающейся;
- исключить возможность подключения к ЛВС ПЦО личных средств вычислительной техники (ноутбуков, телефонов, смартфонов, планшетных компьютеров) сотрудников и работников ПЦО;
- организовать контроль за использованием на объектах ЛВС ПЦО внешних устройств, в том числе USB-носителей информации. Исключить использование неслужебных (незарегистрированных) носителей;
- ограничить возможность загрузки рабочих станций пользователей с внешних носителей информации. Ограничить доступ пользователей к настройкам BIOS/UEFI;
- исключить практики использования пользователями ПО на объектах ЛВС ПЦО, не связанного с исполнением служебных обязанностей, путем его деинсталляции;
- исключить практики использования общедоступных почтовых сервисов для обмена сообщениями электронной почты;
- ограничить доступ пользователей к ресурсам информационно-телекоммуникационной сети Интернет и организовать его контроль;
- разработать политику маршрутизации сетевого трафика в ЛВС ПЦО, в которой предусмотреть ограничение удаленного доступа к управляющим интерфейсам телекоммуникационного оборудования, серверам и АРМ администраторов;
- использовать для удаленного администрирования объектов ЛВС ПЦО и телекоммуникационного оборудования, подключенных к сети Интернет, только защищенные протоколы (например: ssh, https);
- организовать подробное журналирование, в том числе действий пользователей и администраторов. Регистрируемые события должны содержать временные метки и сквозную нумерацию;
- обеспечить защиту данных, передаваемых по протоколам прикладного уровня (POP, SMTP, IMAP и HTTP) только с использованием протокола TLS;
- ограничить использование в ЛВС ПЦО протокола SMB v1. Обеспечить переход на протоколы SMB v2/v3;
- обеспечить штатными возможностями ОС подписывание SMB пакетов на всех объектах ЛВС ПЦО. В случае использования протоколов LDAPS и HTTPS настроить технологию защиты "Channel Binding";
- по возможности прекратить использование протоколов NetBIOS и LLMNR на всех объектах ЛВС ПЦО;
- отключить службу автоматической настройки прокси (WPAD) в ОС и клиентских приложениях на всех объектах ЛВС ПЦО;
- в случае CDN-хостинга у зарубежных провайдеров перенести хостинг к отечественным провайдерам;
- обеспечить переход на использование отечественных DNS-серверов;
- обеспечить аутентификацию сетевых ресурсов по протоколу IEEE 802.1x;
- исключить несанкционированный доступ к управлению объектов ЛВС ПЦО;
- использовать надежные механизмы преобразования для защиты паролей доступа, хранящихся в конфигурационном файле оборудования. При наличии использовать функцию сокрытия учетных записей для доступа к управлению в конфигурационных файлах;
- включить контроль активности сессии для сеансов управления оборудованием (тайм-аут сессии управления);
- реализовать "горячее" и "холодное" резервирование телекоммуникационного оборудования;
- в случае применения SNMP необходимо использовать механизмы trap-сообщений, отправляемых оборудованием, и настроить взаимодействие по протоколу версии 3 с защищенной аутентификацией сообщений;
- осуществлять непрерывный мониторинг работоспособности телекоммуникационного оборудования и журналов регистрации событий;
- отключить неиспользуемые сетевые интерфейсы. При наличии вспомогательного интерфейса (AUX) на оборудовании его также необходимо отключить;
- обеспечить надежную защиту интерфейсов управления оборудования с применением штатных механизмов (списки доступа, ограничение количества попыток идентификации и аутентификации). Рекомендуется использовать защищенные протоколы (ssh версии 2.0), с обязательным ведением журналов событий управления. Необходимо исключить возможности управления оборудованием с использованием иных протоколов (например, протокол второго уровня ЭМВОС "МОР", реализованный в некоторых маршрутизаторах Cisco);
- использовать списки доступа с возможностью фильтрации по номерам портов транспортных протоколов. Срабатывания запрещающих правил должны фиксироваться в журнале регистрации событий. Списки доступа должны применяться на подключениях к внешним интерфейсам оборудования и включать правила:
а) блокирования сетевых пакетов, которые имеют адрес оборудования внутренней сети;
б) блокирования сообщений ICMP, которые могут использоваться для организации разведки и компьютерных атак;
в) блокирования сетевых пакетов, в которых адрес источника и адрес назначения совпадают (используются для организации КА класса Land);
г) фильтрации по принципу "белого" списка, предписывающего "все, что явно не разрешено (соответствующим правилом) - запрещено".
- отключить взаимодействие с серверами проверки лицензий на право использования дополнительных функциональных возможностей ПО телекоммуникационного оборудования;
- по возможности ограничить взаимодействие с "облачными" сервисами защиты ресурсов сети, предоставляемыми производителями оборудования (например, IDS/IPS, Threat Prevention, Malware Protection и др.), задействовав штатные механизмы защиты, реализованные в оборудовании, и иные компенсирующие меры.
Информационная безопасность ПЦО подразделений вневедомственной охраны является важнейшим фактором обеспечения надежной охраны объектов и МПХИГ, а также конфиденциальности персональных данных и сведений, хранящихся в базах данных серверов СПИ/РСПИ. Обеспечение информационной безопасности ПЦО требует комплексного подхода и контроля на постоянной основе со стороны инженерно-технического персонала ПЦО за соблюдением требований и регламентов по защите информации.
В связи со значительным увеличением количества кибератак на информационные структуры государственных органов Российской Федерации со стороны недружественных стран особое внимание следует уделить организации и настройке МЭ, использовании систем обнаружения вторжений и средств антивирусной защиты.
МЭ являются обязательным аппаратно-программным средством обеспечения информационной безопасности ПЦО. От выбора их типа и архитектуры во многом зависит устойчивое безопасное функционирование ЛВС ПЦО.
Средства антивирусной защиты также способствуют информационной безопасности ПЦО, своевременное обновление баз вирусных сигнатур, периодическая проверка серверов и АРМ, контроль за подключаемыми носителями информации позволит оперативно среагировать на возникающие инциденты.
Учитывая особое значение "человеческого фактора" при проведении мероприятий по обеспечению информационной безопасности ПЦО, следует особое внимание уделить строгому соблюдению парольной политики, постоянному повышению инженерно-техническим персоналом ПЦО уровня знаний в области кибербезопасности и чувства ответственности за случайные или преднамеренные действия, угрожающие ЛВС ПЦО.
Также необходимо отметить, что меры по обеспечению информационной безопасности ПЦО - это непрерывный процесс, требующий постоянного мониторинга вновь появляющихся киберугроз, обновления защитных мер и подготовки персонала ПЦО.
Выполнение на постоянной основе комплекса мероприятий представленного документа позволит исключить или по крайней мере минимизировать угрозы, возникающие перед информационно-коммуникационной инфраструктурой ПЦО.
Законодательные акты:
1. О безопасности критической информационной инфраструктуры Российской Федерации, Правила категорирования объектов критической информационной инфраструктуры Российской Федерации: Федеральный закон от 26 июля 2017 г. N 187-ФЗ // Российская газета. - N 167. - 31 июля 2017 г.
2. О мерах по обеспечению информационной безопасности Российской Федерации при использовании информационно-телекоммуникационных сетей международного информационного обмена, с изменениями и дополнениями от 21 октября 2008 г., 14 января 2014 г., 22 мая 2015 г. Указ Президента РФ от 17 марта 2008 г. N 351-УК // Собрание законодательства РФ. - N 12, ст. 1110. - 24 марта 2008 г.
3. О некоторых вопросах информационной безопасности Российской Федерации при использовании информационно-телекоммуникационной сети Интернет на территории Российской Федерации: Указ Президента РФ от 22 мая 2015 г. N 260-УК // Российская газета. - N 111. - 26 мая 2015 г.
4. Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных. Утверждена Заместителем директора ФСТЭК России 15 февраля 2008 г.
5. Методический документ. Методика оценки угроз безопасности информации. М.: ФСТЭК России, 2021.
6. Приказ ФСТЭК России от 11 февраля 2013 г. N 17 (с изменениями, внесенными приказом ФСТЭК России от 15 февраля 2017 г. N 27).
7. Приказ ФСТЭК России от 28 мая 2019 г. N 106 (зарегистрирован Минюстом России 13 сентября 2019 г., регистрационный N 55924).
Государственные стандарты:
1. ГОСТ Р 50739-95 "Средства вычислительной техники. Защита от несанкционированного доступа к информации. Общие технические требования".
2. ГОСТ Р ИСО/МЭК ТО 19791-2008 "Информационная технология. Методы и средства обеспечения безопасности. Оценка безопасности автоматизированных систем".
3. ГОСТ Р ИСО/МЭК 27007-2014 "Информационная технология. Методы и средства обеспечения безопасности. Руководства по аудиту систем менеджмента информационной безопасности".
4. ГОСТ Р ИСО/МЭК 27033-3-2014 "Информационная технология. Методы и средства обеспечения безопасности. Безопасность сетей. Часть 3. Эталонные сетевые сценарии. Угрозы, методы проектирования и вопросы управления".
5. Введение в сетевую тематику, управление и эксплуатация ЕИТКС ОВД Российской Федерации. Учебное пособие. Воронеж: Воронежский институт МВД России, 2014. - 263 с.
6. Защита информации в компьютерных сетях. Практический курс: учебное пособие / А.Н. Андрончик, В.В. Богданов, Н.А. Домуховский, А.С. Коллеров, Н.И. Синадский, Д.А. Хорьков, М.Ю. Щербаков; под ред. Н.И. Синадского. Екатеринбург: УГТУ-УПИ, 2008. - 248 с.
7. Концепция интеллектуализации контроля безопасности связи в информационно-телекоммуникационной сети специального назначения / О.М. Лепешкин, Ю.К. Худайназаров // Состояние и перспективы развития современной науки по направлению "Информационная безопасность": Сборник статей III Всероссийской научно-технической конференции, Анапа, 21 - 22 апреля 2021 г. - Анапа: Федеральное государственное автономное учреждение "Военный инновационный технополис" ЭРА, 2021. - С. 697 - 709.
8. А.В. Тельный, М.Ю. Монахов, Р.С. Черников, В.А. Вилкова, Логико-вероятностный подход в оценке безопасности телекоммуникационной системы централизованной охраны объектов // в сборнике ПТСПИ - 2021. Материалы XIV международной научно-технической конференции, г. Владимир. - 2021. - с. 218 - 222.
9. Обеспечение информационной безопасности объектов уголовно-исполнительной системы / Р.С. Черников, Р.Н. Тихомиров - Владимир: Владимирский юридический институт Федеральной службы исполнения наказаний, 2022. - 80 с. - ISBN 978-5-93035-776-9.
10. Н.В. Лукашов, А.М. Тарасов Современное состояние и тенденции развития киберпреступности в Российской Федерации: аналитический обзор. Москва, 2020. - с. 6 - 7.
Электронные ресурсы:
- [сайт]. - URL: http://pd.rkn.gov.ru (дата обращения: 12.02.2024)
- [сайт]. - URL: http://reestr/fstec.ru (дата обращения: 06.03.2024).
- [сайт]. - URL: http://fstec.ru (дата обращения: 15.05.2024).
- [сайт]. - URL: http://rkn.gov.ru (дата обращения: 12.06.2024).
(справочное)
КОНФИГУРИРОВАНИЕ ОСНОВНЫХ ПАРАМЕТРОВ И НАСТРОЙКА
МЕЖСЕТЕВОГО ЭКРАНА В МАРШРУТИЗАТОРАХ ELTEX
Для маршрутизаторов Eltex в отличие от сетевых устройств MikroTik, широко применяемых подразделениями вневедомственной охраны на ЛВС ПЦО, компанией-разработчиком не создано ПО для администрирования и настройки с использованием графического интерфейса, поэтому все указанные операции производятся с использованием командной строки.
Интерфейс командной строки (Command Line Interface, CLI) - интерфейс, предназначенный для управления, просмотра состояния и мониторинга устройства. Для работы потребуется любая установленная на ПК программа, поддерживающая работу по протоколу Telnet, SSH или прямое подключение через консольный порт (например, HyperTerminal для ОС Windows и Minicom в ОС Linux). Интерфейс командной строки обеспечивает авторизацию пользователей и ограничивает их доступ к командам на основании уровня доступа, заданного администратором. В системе может быть создано необходимое количество пользователей, права доступа задаются индивидуально для каждого из них. Для обеспечения безопасности командного интерфейса, все команды разделены на две категории: привилегированные и непривилегированные.
К привилегированным в основном относятся команды конфигурирования. К непривилегированным команды мониторинга. Система позволяет нескольким пользователям одновременно подключаться к устройству. В устройствах реализована система предотвращения вторжений IPS/IDS. По умолчанию установлен базовый набор правил от компании Emerging Threats.
Изначально на устройство загружена заводская конфигурация параметров, которая включает минимально необходимые базовые настройки. Заводская конфигурация позволяет использовать маршрутизатор в качестве шлюза с функцией SNAT без необходимости применять дополнительные настройки. Кроме того, заводская конфигурация содержит настройки, позволяющие получить сетевой доступ к устройству для выполнения расширенного конфигурирования.
Описание заводской конфигурации.
Для подключения к сетям в начальной конфигурации описаны две зоны безопасности с наименованиями "Trusted" ("доверенный") для локальной внутренней сети и "Untrusted" ("недоверенный") для публичной сети. Все интерфейсы разделены между двух зон безопасности.
Зона "Untrusted" предназначена для подключения к публичной сети (WAN, Интернет). В этой зоне открыты порты DHCP-протокола для получения динамического IP-адреса от провайдера. Все входящие соединения из данной зоны на маршрутизатор запрещены. В данную зону безопасности входят интерфейсы: GigabitEthernet 1/0/1, GigabitEthernet 1/0/6.
Интерфейсы зоны объединены в один L2-сегмент через сетевой мост Bridge.
Зона "Trusted" предназначена для подключения к локальной сети (LAN). В этой зоне открыты порты протоколов Telnet и SSH для удаленного доступа, ICMP-протокола для проверки доступности маршрутизатора, DHCP-протокола для получения клиентами IP-адресов от маршрутизатора. Исходящие соединения из данной зоны в зону "Untrusted" разрешены. В данную зону безопасности входят интерфейсы: GigabitEthernet 1/0/2-5.
Интерфейсы зоны объединены в один L2-сегмент через сетевой мост Bridge 1.
На интерфейсе Bridge 2 включен DHCP-клиент для получения динамического IP-адреса от провайдера. На интерфейсе Bridge 1 сконфигурирован статический IP-адрес 192.168.1.1/24. Созданный IP-интерфейс выступает в качестве шлюза для клиентов локальной сети, для которых настроен DHCP пул адресов 192.168.1.2 - 192.168.1.254 с маской 255.255.255.0. Для получения клиентами локальной сети доступа к информационно-телекоммуникационной сети Интернет на маршрутизаторе включен сервис Source NAT.
Политики зон безопасности настроены следующим образом:
Описание политик зон безопасности приведено в таблице А.
Таблица А
Зона, из которой идет трафик | Зона, в которую идет трафик | Тип трафика | Действие |
Trusted | Untrusted | TCP, UDP, ICMP | разрешен |
Trusted | Trusted | TCP, UDP, ICMP | разрешен |
Trusted | self | TCP/23 (Telnet), TCP/22 (SSH), ICMP, UDP/67 (DHCP Server), UDP/123 (NTP) | разрешен |
Untrusted | self | UDP/68 (DHCP Client) | разрешен |
Для обеспечения возможности конфигурирования устройства при первом включении в конфигурации маршрутизатора создана учетная запись администратора "admin".
Настоятельно рекомендуется изменить пароль администратора при начальном конфигурировании маршрутизатора.
Для сетевого доступа к управлению маршрутизатором при первом включении в конфигурации задан статический IP-адрес на интерфейсе Bridge 1 - 192.168.1.1/24.
Маршрутизаторы серии ESR предназначены для выполнения функций пограничного шлюза и обеспечения безопасности сети пользователя при подключении ее к публичным сетям передачи данных.
Базовая настройка маршрутизатора должна включать:
- назначение IP-адресов (статических или динамических) интерфейсам;
- создание зон безопасности и распределение интерфейсов по зонам;
- создание политик, регулирующих прохождение данных между зонами;
- настройку сервисов, сопутствующих маршрутизации данных (NAT, Firewall и прочие).
Расширенные настройки зависят от требований конкретной схемы применения устройства и легко могут быть добавлены или изменены с помощью имеющихся интерфейсов управления.
Подключить сетевой кабель передачи данных (патч-корд) к любому порту, входящему в зону "Trusted", и к компьютеру, предназначенному для управления.
В заводской конфигурации маршрутизатора активирован DHCP-сервер с пулом IP-адресов в подсети 192.168.1.0/24.
При подключении сетевого интерфейса управляющего компьютера он должен получить сетевой адрес от сервера.
Если IP-адрес не получен по какой-либо причине, то следует назначить адрес интерфейса вручную, используя любой адрес, кроме 192.168.1.1, в подсети 192.168.1.0/24.
При помощи кабеля RJ-45/DBF9, который входит в комплект поставки устройства, соединить порт "Console" маршрутизатора с портом RS-232 компьютера.
Запустить терминальную программу (например, HyperTerminal или Minicom) и создать новое подключение. Должен быть использован режим эмуляции терминала VT100.
Выполнить следующие настройки интерфейса RS-232:
- скорость: 115200 бит/с;
- биты данных: 8 бит;
- четность: нет;
- стоповые биты: 1;
- управление потоком: нет.
Процедура настройки маршрутизатора при первом включении состоит из следующих этапов:
- изменение пароля пользователя "admin";
- создание новых пользователей;
- назначение имени устройства (Hostname);
- установка параметров подключения к публичной сети в соответствии с требованиями провайдера;
- настройка удаленного доступа к маршрутизатору.
В заводской конфигурации системы зарегистрированы учетные записи "admin", "techsupport" и "remote".
"Admin" - учетная запись привилегированного пользователя.
Учетная запись "techsupport" необходима для удаленного обслуживания сервисным центром.
Учетная запись "remote" необходима для аутентификации на серверах RADIUS, TACACS+, LDAP.
Удалить пользователей "admin", "techsupport" и "remote" нельзя. Можно только сменить пароль и уровень привилегий.
Для защищенного входа в систему необходимо сменить пароль привилегированного пользователя "admin".
Для изменения пароля пользователя "admin" используются следующие команды:
- esr# configure;
- esr(config)# username admin;
- esr(config-user)# password <new-password>;
- esr(config-user)# exit.
Для создания нового пользователя системы или настройки любого из параметров - имени пользователя, пароля, уровня привилегий, - используются команды:
- esr(config)# username <name>;
- esr(config-user)# password <password>;
- esr(config-user)# privilege <privilege>;
- esr(config-user)# exit.
Уровни привилегий 1 - 9 разрешают доступ к устройству и просмотр его оперативного состояния, но запрещают настройку. Уровни привилегий 10 - 14 разрешают как доступ, так и настройку большей части функций устройства. Уровень привилегий 15 разрешает как доступ, так и настройку всех функций устройства.
Пример команд для создания пользователя "fedor" с паролем "12345678" и уровнем привилегий 15 и создания пользователя "ivan" с паролем "password" и уровнем привилегий 1:
- esr# configure;
- esr(config)# username fedor;
- esr(config-user)# password 12345678;
- esr(config-user)# privilege 15;
- esr(config-user)# exit;
- esr(config)# username ivan;
- esr(config-user)# password password;
- esr(config-user)# privilege 1;
- esr(config-user)# exit.
Для назначения имени устройству используются следующие команды:
- esr# configure;
- esr(config)# hostname <new-name>.
После применения конфигурации приглашение командной строки изменится на значение, заданное параметром <new-name>.
Для настройки сетевого интерфейса маршрутизатора в публичной сети необходимо назначить устройству параметры, определенные провайдером сети - IP-адрес, маска подсети и адрес шлюза по умолчанию.
Пример команд настройки статического IP-адреса для субинтерфейса GigabitEthernet 1/0/2.150 для доступа к маршрутизатору через VLAN 150.
Параметры интерфейса:
- IP-адрес - 192.168.16.144;
- Маска подсети - 255.255.255.0;
- IP-адрес шлюза по умолчанию - 192.168.16.1;
- esr# configure;
- esr(config)# interface gigabitethernet 1/0/2.150;
- esr(config-subif)# ip address 192.168.16.144/24;
- esr(config-subif)# exit;
- esr(config)# ip route 0.0.0.0/0 192.168.16.1.
Для того чтобы убедиться, что адрес был назначен интерфейсу, после применения конфигурации вводится следующая команда:
- esr# show ip interfaces;
- IP address | Interface | Type; |
- 192.168.16.144/24 | gigabitethernet 1/0/2.150 | static. |
Провайдер может использовать динамически назначаемые адреса в своей сети. Для получения IP-адреса может использоваться протокол DHCP, если в сети присутствует сервер DHCP.
Пример настройки, предназначенной для получения динамического IP-адреса от DHCP-сервера на интерфейсе GigabitEthernet 1/0/3:
- esr# configure;
- esr(config)# interface gigabitethernet 1/0/3;
- esr(config-if)# ip address dhcp enable;
- esr(config-if)# exit.
Для того чтобы убедиться, что адрес был назначен интерфейсу, вводится следующая команда после применения конфигурации:
- esr# show ip interfaces;
- IP address | Interface | Type; |
- 192.168.11.5/25 | gigabitethernet 1/0/3 | DHCP. |
Для применения выполненных изменений конфигурации маршрутизатора требуется ввести следующие команды из корневого раздела командного интерфейса:
- esr# commit;
- esr# confirm;
Если ввести команду confirm не удастся, то по истечении таймера подтверждения конфигурация устройства вернется в прежнее состояние, существовавшее до ввода команды commit.
Технология MultiWAN позволяет организовать отказоустойчивое соединение с резервированием линий связи от нескольких провайдеров, а также решает проблему балансировки трафика между резервными каналами.
На рисунке А.1. описана процедура настройки маршрута к серверу (108.16.0.1/28) с возможностью балансировки нагрузки между каналами.
Предварительно необходимо настроить зоны для интерфейсов gi1/0/1 и gi1/0/2 и указать IP-адреса для интерфейсов gi1/0/1 и gi1/0/2.
Осуществить следующие этапы конфигурирования маршрутизатора посредством ввода команд в терминальной программе.
Этап настройки маршрутизации:
- esr(config)# ip route 108.16.0.0/28 wan load-balance rule 1.
Создание правила WAN:
- esr(config)# wan load-balance rule 1;
- указание участвующих интерфейсов:
- esr(config-wan-rule)# outbound interface gigabitethernet 1/0/2 esr(config-wan-rule)# outbound interface gigabitethernet 1/0/1.
Включение созданного правила балансировки и выход из режима конфигурирования правила:
- esr(config-wan-rule)# enable;
- esr(config-wan-rule)# exit.
Создание списка для проверки целостности соединения:
- esr(config)# wan load-balance target-list google.
Создание цели проверки целостности:
- esr(config-target-list)# target 1.
Задание адреса для проверки, включение проверки указанного адреса и выход:
- esr(config-wan-target)# ip address 8.8.8.8;
- esr(config-wan-target)# enable;
- esr(config-wan-target)# exit.
Настройка интерфейсов. В режиме конфигурирования интерфейса gi1/0/1 указать nexthop:
- esr(config)# interface gigabitethernet 1/0/1;
- esr(config-if)# wan load-balance nexthop 203.0.0.1.
В режиме конфигурирования интерфейса gi1/0/1 указать список целей для проверки соединения:
- esr(config-if)# wan load-balance target-list google.
В режиме конфигурирования интерфейса gi1/0/1 включить WAN-режим и выйти:
- esr(config-if)# wan load-balance enable;
- esr(config-if)# exit.
В режиме конфигурирования интерфейса gi1/0/2 указать nexthop:
- esr(config)# interface gigabitethernet 1/0/2;
- esr(config-if)# wan load-balance nexthop 65.6.0.1.
В режиме конфигурирования интерфейса gi1/0/1 указать список целей для проверки соединения:
- esr(config-if)# wan load-balance target-list google.
В режиме конфигурирования интерфейса gi1/0/2 включить WAN-режим и выйти:
- esr(config-if)# wan load-balance enable;
- esr(config-if)# exit.
Изменения конфигурации вступят в действие после применения:
- esr# commit;
Configuration has been successfully committed.
- esr# confirm;
Configuration has been successfully confirmed.
Для переключения в режим резервирования настроить следующее:
Зайти в режим настройки правила WAN:
- esr(config)# wan load-balance rule 1.
Функция MultiWAN также может работать в режиме резервирования, в котором трафик будет направляться в активный интерфейс с наибольшим весом. Включить данный режим можно следующей командой:
esr(config-wan-rule)#failover.
Изменения конфигурации вступят в действие после ввода команд:
- esr# commit;
- Configuration has been successfully committed;
- esr# confirm;
- Configuration has been successfully confirmed.
Firewall - комплекс аппаратных или программных средств, осуществляющий контроль и фильтрацию проходящих через него сетевых пакетов в соответствии с заданными правилами.
Настройка разрешения обмена сообщениями по протоколу ICMP между устройствами ПК1, ПК2 и b маршрутизатором ESR представлена на рисунке А.2.
Для каждой сети ESR создать свою зону безопасности:
- esr# configure;
- esr(config)# security zone LAN;
- esr(config-zone)# exit;
- esr(config)# security zone WAN;
- esr(config-zone)# exit.
Настроить сетевые интерфейсы и определить их принадлежность к зонам безопасности:
- esr(config)# interface gi1/0/2;
- esr(config-if-gi)# ip address 192.168.12.2/24;
- esr(config-if-gi)# security-zone LAN;
- esr(config-if-gi)# exit;
- esr(config)# interface gi1/0/3;
- esr(config-if-gi)# ip address 192.168.23.2/24;
- esr(config-if-gi)# security-zone WAN;
- esr(config-if-gi)# exit.
Для настройки правил зон безопасности потребуется создать профиль адресов сети "LAN", включающий адреса, которым разрешен выход в сеть "WAN", и профиль адресов сети "WAN":
- esr(config)# object-group network WAN;
- esr(config-object-group-network)# ip address-range 192.168.23.2 esr(config-object-group-network)# exit;
- esr(config)# object-group network LAN;
- esr(config-object-group-network)# ip address-range 192.168.12.2 esr(config-object-group-network)# exit;
- esr(config)# object-group network LAN_GATEWAY;
- esr(config-object-group-network)# ip address-range 192.168.12.1 esr(config-object-group-network)# exit;
- esr(config)# object-group network WAN_GATEWAY;
- esr(config-object-group-network)# ip address-range 192.168.23.3 esr(config-object-group-network)# exit.
Для пропуска трафика из зоны "LAN" в зону "WAN" создать пару зон и добавить правило, разрешающее проходить ICMP-трафику от ПК1 к ПК2. Действие правил разрешается командой enable:
- esr(config)# security zone-pair LAN WAN;
- esr(config-zone-pair)# rule 1;
- esr(config-zone-rule)# action permit;
- esr(config-zone-rule)# match protocol icmp;
- esr(config-zone-rule)# match destination-address WAN;
- esr(config-zone-rule)# match source-address LAN;
- esr(config-zone-rule)# enable;
- esr(config-zone-rule)# exit;
- esr(config-zone-pair)# exit.
Для пропуска трафика из зоны "WAN" в зону "LAN" создать пару зон и добавить правило, разрешающее проходить ICMP-трафику от ПК2 к ПК1. Действие правил разрешается командой enable:
- esr(config)# security zone-pair WAN LAN;
- esr(config-zone-pair)# rule 1;
- esr(config-zone-rule)# action permit;
- esr(config-zone-rule)# match protocol icmp;
- esr(config-zone-rule)# match destination-address LAN;
- esr(config-zone-rule)# match source-address WAN;
- esr(config-zone-rule)# enable;
- esr(config-zone-rule)# exit;
- esr(config-zone-pair)# exit.
На маршрутизаторе всегда существует зона безопасности с именем "self". Если в качестве получателя трафика выступает сам маршрутизатор, то есть трафик не является транзитным, то в качестве параметра указывается зона "self". Создать пару зон для трафика, идущего из зоны "WAN" в зону "self". Добавить правило, разрешающее проходить ICMP-трафику между ПК2 и маршрутизатором ESR, для того чтобы маршрутизатор начал отвечать на ICMP-запросы из зоны "WAN":
- esr(config)# security zone-pair WAN self;
- esr(config-zone-pair)# rule 1;
- esr(config-zone-rule)# action permit;
- esr(config-zone-rule)# match protocol icmp;
- esr(config-zone-rule)# match destination-address WAN;
- esr(config-zone-rule)# match source-address WAN_GATEWAY;
- esr(config-zone-rule)# enable;
- esr(config-zone-rule)# exit;
- esr(config-zone-pair)# exit.
Создать пару зон для трафика, идущего из зоны "LAN" в зону "self". Добавить правило, разрешающее проходить ICMP-трафику между ПК1 и ESR, для того чтобы маршрутизатор начал отвечать на ICMP-запросы из зоны "LAN":
- esr(config)# security zone-pair LAN self;
- esr(config-zone-pair)# rule 1;
- esr(config-zone-rule)# action permit;
- esr(config-zone-rule)# match protocol icmp;
- esr(config-zone-rule)# match destination-address LAN esr (config-zone-rule)# match source-address LAN_GATEWAY esr (config-zone-rule)# enable;
- esr(config-zone-rule)# exit;
- esr(config-zone-pair)# exit;
- esr(config)# exit.
Изменения конфигурации вступят в действие по следующим командам:
- esr# commit;
- Configuration has been successfully committed;
- esr# confirm;
- Configuration has been successfully confirmed;
- esr#.
Посмотреть членство портов в зонах можно с помощью команды:
- esr# show security zone.
Посмотреть пары зон и их конфигурацию можно с помощью команд:
- esr# show security zone-pair;
- esr# show security zone-pair configuration.
Посмотреть активные сессии можно с помощью команды:
- esr# show ip firewall sessions.
Задача:
Необходимо защитить LAN сеть и маршрутизатор ESR от сетевых атак land, syn-flood, ICMP flood и настроить оповещение об атаках по SNMP на SNMP-сервер 192.168.0.10 (рисунок А.3).
Решение:
Предварительно необходимо настроить интерфейсы и firewall (настройка firewall или ее отсутствие не повлияют на работу защиты от сетевых атак):
- esr(config)# security zone LAN;
- esr(config-zone)# exit;
- esr(config)# security zone WAN;
- esr(config-zone)# exit;
- esr(config)# security zone-pair LAN WAN;
- esr(config-zone-pair)# rule 100;
- esr(config-zone-pair-rule)# action permit;
- esr(config-zone-pair-rule)# enable;
- esr(config-zone-pair-rule)# ex;
- esr(config-zone-pair)# exit;
- esr(config)# security zone-pair WAN LAN;
- esr(config-zone-pair)# rule 100;
- esr(config-zone-pair-rule)# action permit;
- esr(config-zone-pair-rule)# enable;
- esr(config-zone-pair-rule)# exit;
- esr(config-zone-pair)# exit;
- esr(config)# interface gigabitethernet 1/0/1;
- esr(config-if-gi)# security-zone LAN;
- esr(config-if-gi)# ip address 192.168.0.1/24;
- esr(config-if-gi)# exit;
- esr(config)# interface gigabitethernet 1/0/2;
- esr(config-if-gi)# security-zone WAN;
- esr(config-if-gi)# ip address 10.0.0.1/24;
- esr(config-if-gi)#exit.
Настройка защиты от land, syn-flood, ICMP flood-атак:
- esr(config)# ip firewall screen dos-defense land;
- esr(config)# ip firewall screen dos-defense syn-flood 100 src-dst;
- esr(config)# ip firewall screen dos-defense icmp-threshold 100.
Настройка логирования обнаруженных атак:
- esr(config)# logging firewall screen dos-defense land;
- esr(config)# logging firewall screen dos-defense syn-flood esr(config)# logging firewall screen dos-defense icmp-threshold.
Настройка SNMP-сервера, на который будут отправляться трапы:
- esr(config)#snmp-server; -
- esr(config)#snmp-server host 192.168.0.10;
- esr(config)#snmp-server enable traps screen land;
- esr(config)#snmp-server enable traps screen svn-flood;
- esr(config)#snmp-server enable traps screen icmp-threshold.
Посмотреть статистику по зафиксированным сетевым атакам можно командой:
- esr# show ip firewall screen counters.
(справочное)
ОСНОВНЫЕ ПОЛОЖЕНИЯ "ТРЕБОВАНИЙ ПО БЕЗОПАСНОСТИ
К МНОГОФУНКЦИОНАЛЬНЫМ МЕЖСЕТЕВЫМ ЭКРАНАМ УРОВНЯ СЕТИ",
СОГЛАСНО ПРИКАЗУ ФСТЭК РОССИИ ОТ 7 МАРТА 2023 Г. N 44
Многофункциональные МЭ экраны уровня сети, соответствующие шестому классу защиты, применяются в значимых объектах критической информационной инфраструктуры третьей категории значимости <1>, в государственных информационных системах третьего класса защищенности <2>, в автоматизированных системах управления производственными и технологическими процессами третьего класса защищенности <3>, в информационных системах персональных данных при необходимости обеспечения третьего и четвертого уровней защищенности персональных данных <4>.
--------------------------------
<1> Далее - "Статья 7 Федерального закона от 26 июля 2017 г. N 187-ФЗ "О безопасности критической информационной инфраструктуры Российской Федерации", "Правила категорирования объектов критической информационной инфраструктуры Российской Федерации, утвержденные постановлением Правительства Российской Федерации от 8 февраля 2018 г. N 127".
<2> Далее - "Требования о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах, утвержденные приказом ФСТЭК России от 11 февраля 2013 г. N 17 (зарегистрирован Минюстом России 31 мая 2013 г., регистрационный N 28608) (с изменениями, внесенными приказом ФСТЭК России от 15 февраля 2017 г. N 27 (зарегистрирован Минюстом России 14 марта 2017 г., регистрационный N 45933) и приказом ФСТЭК России от 28 мая 2019 г. N 106 (зарегистрирован Минюстом России 13 сентября 2019 г., регистрационный N 55924)".
<3> Далее - "Требования к обеспечению защиты информации в автоматизированных системах управления производственными и технологическими процессами на критически важных объектах, потенциально опасных объектах, а также объектах, представляющих повышенную опасность для жизни и здоровья людей и для окружающей природной среды, утвержденные приказом ФСТЭК России от 14 марта 2014 г. N 31 (зарегистрирован Минюстом России 30 июня 2014 г., регистрационный N 32919) (с изменениями, внесенными приказом ФСТЭК России от 23 марта 2017 г. N 49 (зарегистрирован Минюстом России 25 апреля 2017 г., регистрационный N 46487), приказом ФСТЭК России от 9 августа 2018 г. N 138 (зарегистрирован Минюстом России 5 сентября 2018 г., регистрационный N 52071) и приказом ФСТЭК России от 15 марта 2021 г. N 46 (зарегистрирован Минюстом России 1 июля 2021 г., регистрационный N 64063)".
<4> Далее - "Требования к защите персональных данных при их обработке в информационных системах персональных данных, утвержденные постановлением Правительства Российской Федерации от 1 ноября 2012 г. N 1119".
Требования по безопасности информации предъявляются к:
- уровню доверия многофункционального МЭ уровня сети; управлению доступом в многофункциональном МЭ уровня сети;
- идентификации и аутентификации пользователей многофункционального МЭ уровня сети;
- фильтрации сетевого трафика;
- обнаружению и блокированию КА;
- обнаружению и блокированию вредоносного ПО;
- доверенной загрузке многофункционального МЭ уровня сети;
- тестированию и контролю целостности многофункционального МЭ уровня сети;
- производительности многофункционального МЭ уровня сети;
- аппаратной платформе многофункционального МЭ уровня сети;
- режимам работы многофункционального МЭ уровня сети;
- регистрации событий безопасности в многофункциональном МЭ уровня сети;
- обеспечению бесперебойного функционирования и восстановления многофункционального МЭ уровня сети;
- взаимодействию с иными СЗИ;
- централизованному и удаленному управлению многофункциональным МЭ уровня сети.
Многофункциональный МЭ уровня сети должен соответствовать Требованиям по безопасности информации, устанавливающим уровни доверия к средствам технической защиты информации и средствам обеспечения безопасности информационных технологий, утвержденным приказом ФСТЭК России от 2 июня 2020 г. N 76 (зарегистрирован Минюстом России 11 сентября 2020 г., регистрационный N 59772) (с изменениями, внесенными приказом ФСТЭК России от 18 апреля 2022 г. N 68 зарегистрирован Минюстом России 20 июля 2022 г., регистрационный N 69318).
Устанавливается следующее соответствие классов защиты многофункциональных МЭ уровня сети уровням доверия:
- многофункциональные МЭ уровня сети шестого класса защиты должны соответствовать 6 уровню доверия;
- многофункциональный МЭ уровня сети должен реализовывать возможность определения полномочий для пользователей многофункционального МЭ уровня сети в пределах назначенных им ролей.
К идентификации и аутентификации пользователей многофункционального МЭ уровня сети предъявляются следующие требования.
Первичная идентификация пользователей многофункционального МЭ уровня сети 6 класса защиты должна осуществляться администратором многофункционального МЭ уровня сети.
Идентификация и аутентификация пользователей многофункционального МЭ уровня сети осуществляется в соответствии с требованиями раздела 3 ГОСТ Р 58833-2020 "Защита информации. Идентификация и аутентификация. Общие положения" <5>.
--------------------------------
<5> Далее - "Утвержден и введен в действие приказом Федерального агентства по техническому регулированию и метрологии от 10 апреля 2020 г. N 159-ст (М., "Стандартинформ", 2020)".
В случае неуспешной идентификации и аутентификации пользователя многофункционального МЭ уровня сети ему должно быть отказано в доступе в многофункциональный МЭ уровня сети.
Многофункциональный МЭ уровня сети должен осуществлять аутентификацию пользователей многофункционального МЭ уровня сети при предъявлении идентификатора и пароля пользователя многофункционального МЭ уровня сети.
Пароль пользователя многофункционального МЭ уровня сети для первичной аутентификации должен устанавливаться администратором многофункционального МЭ уровня сети.
Многофункциональный МЭ уровня сети должен реализовывать возможность изменения пользователем многофункционального МЭ уровня сети установленного пароля после его первичной аутентификации.
Многофункциональный МЭ уровня сети не должен реализовывать возможность установления одинаковых идентификаторов для разных пользователей многофункционального МЭ уровня сети.
При попытке ввода неправильного значения идентификатора или пароля пользователя многофункционального МЭ уровня сети должно выводиться сообщение на экран средства вычислительной техники пользователя с приглашением ввести правильный идентификатор и пароль еще раз.
При исчерпании установленного максимального количества неуспешных попыток ввода неправильного пароля учетная запись пользователя многофункционального МЭ уровня сети должна быть заблокирована многофункциональным МЭ уровня сети с возможностью ее разблокировки администратором многофункционального МЭ уровня сети или автоматически по истечении временного интервала, устанавливаемого администратором многофункционального МЭ уровня сети.
Защита пароля пользователя многофункционального МЭ уровня сети должна обеспечиваться при его вводе за счет исключения отображения символов вводимого пароля или за счет отображения вводимых символов условными знаками.
Пароль пользователя многофункционального МЭ уровня сети шестого класса защиты должен содержать не менее шести символов при алфавите пароля не менее 60 символов. Максимальное количество попыток ввода неправильного пароля до блокировки - 10.
Многофункциональный МЭ уровня сети должен реализовывать возможность хранения аутентификационной информации пользователя многофункционального МЭ уровня сети в защищенном от несанкционированного доступа виде.
К фильтрации сетевого трафика многофункциональным МЭ уровня сети предъявляются следующие требования.
Многофункциональный МЭ уровня сети шестого класса защиты должен реализовывать возможность:
- формирования правил фильтрации сетевого трафика;
- фильтрации сетевого трафика, проходящего через многофункциональный МЭ уровня сети, на основе сформированных правил фильтрации сетевого трафика.
Многофункциональный МЭ уровня сети должен предоставлять возможность создания правил фильтрации для определения разрешения или запрета (блокировки) прохождения сетевого трафика или сетевых пакетов на основе следующих атрибутов:
- идентификаторы сетевых интерфейсов (идентификаторы физических сетевых интерфейсов и идентификаторы логических сетевых интерфейсов, которые присваиваются физическим интерфейсам или группам физических сетевых интерфейсов многофункционального МЭ уровня сети);
- сетевые адреса отправителей и (или) получателей сетевого трафика, определяемые из заголовков протокола сетевого уровня;
- доменные имена отправителей и (или) получателей сетевого трафика, определяемые из заголовков протокола получения информации о доменах или на основании данных от серверов доменных имен информационной (автоматизированной) системы;
- данные о географической принадлежности отправителей и (или) получателей сетевого трафика, определяемые на основе сопоставления используемого им сетевого адреса с базой геоданных многофункционального МЭ уровня сети, обеспечиваемой производителем (изготовителем) и содержащей сетевые адреса (диапазоны сетевых адресов), которые распределены организациями, занимающимися вопросами адресации и маршрутизации в сетях связи общего пользования и международного информационного обмена, и как минимум, соответствующие им названия и (или) коды стран, а также регионов и/(или) городов, которые определяют месторасположение владельцев сетевых адресов;
- протокол, используемый для передачи сетевого трафика на сетевом, транспортном и прикладном уровнях взаимодействия сетевых устройств, ОС и сетевого ПО (приложений) информационной (автоматизированной) системы;
- двоичные флаги (кодовые биты) управления сетевым соединением и размером отправляемых (получаемых) порций данных из заголовков протокола управления передачей информации на транспортном уровне;
- приложение или категория приложения (группа приложений, обладающих общими свойствами, признаками, связями, атрибутами), определяемое (определяемая) на прикладном уровне методом, который основан на поиске в анализируемом сетевом трафике конкретных наборов данных, символов (сигнатур), которые связаны с идентифицируемым приложением;
- унифицированный (единообразный) идентификатор информационного ресурса, определяемый из заголовков протоколов прикладного уровня;
- информационный ресурс, с которым связано сетевое взаимодействие, определяемый с использованием базы унифицированных (единообразных) идентификаторов информационных ресурсов и (или) методом, который основан на поиске в анализируемом сетевом трафике конкретных наборов данных, символов (сигнатур), связанных с идентифицируемым ресурсом;
- тип передаваемого (загружаемого) файла, содержащегося в сетевом трафике;
- тип передаваемого (загружаемого) от веб-страниц информационного объекта, содержащего нежелательную информацию;
- тип контента, содержащийся в информационном ресурсе.
Категории приложений, категории информационных ресурсов, типы передаваемых (загружаемых) файлов, типы передаваемых (загружаемых) от веб-страниц информационных объектов, а также типы контента, на основании которых многофункциональный МЭ уровня сети может обеспечивать фильтрацию сетевого трафика, должны быть определены производителем (изготовителем) в руководстве администратора многофункционального МЭ уровня сети и в технических условиях.
Многофункциональный МЭ уровня сети должен предоставлять возможность включения, отключения, редактирования и удаления созданных правил фильтрации.
Многофункциональный МЭ уровня сети должен предоставлять возможность задания, как минимум, следующих режимов выполнения правил фильтрации:
- включение (отключение) правил фильтрации администратором многофункционального МЭ уровня сети;
- включение (отключение) правил фильтрации по расписанию и (или) фильтрации на ограниченный период времени.
Многофункциональный МЭ уровня сети должен предоставлять возможность фильтрации по атрибутам, характеризующим отправителей и получателей сетевого трафика, отслеживаемого на основании сетевых адресов, номеров портов, флагов (признаков) фрагментации, состава двоичных флагов (кодовых битов), позволяющего контролировать входящие и исходящие пакеты на аномалии сетевого соединения.
Многофункциональный МЭ уровня сети должен реализовывать возможность извлекать из сетевых пакетов данные, инкапсулированные в преобразованном (кодированном) виде. Перечень протоколов (алгоритмов) преобразования (кодирования) данных, для которых многофункциональным МЭ уровня сети обеспечивается возможность извлечения преобразованных (закодированных) данных из сетевых пакетов, должен быть приведен в руководстве администратора многофункционального МЭ уровня сети и технических условиях. По отношению к извлеченным данным должны применяться правила фильтрации, настроенные на многофункциональном МЭ уровня сети.
Многофункциональный МЭ уровня сети должен предоставлять возможность блокирования сетевых пакетов, в которые инкапсулированы данные в преобразованном (закодированном) виде с использованием протоколов (алгоритмов), для которых многофункциональным МЭ уровня сети не обеспечивается возможность извлечения преобразованных (закодированных) данных из сетевых пакетов.
К обнаружению и блокированию КА в многофункциональном МЭ уровня сети предъявляются следующие требования.
Многофункциональный МЭ уровня сети шестого и пятого классов защиты самостоятельно или с применением включенной в его состав сертифицированной системы обнаружения вторжений должен:
- обнаруживать признаки КА в проходящем через многофункциональный МЭ уровня сети сетевом трафике на основе базы решающих правил;
- блокировать сетевой трафик, в котором обнаружены признаки КА;
- обеспечивать обновление базы решающих правил.
Многофункциональный МЭ уровня сети шестого и пятого классов защиты должен реализовывать возможность обнаружения:
- атак сетевого сканирования;
- атак проникновения, связанных с эксплуатацией уязвимостей информационной (автоматизированной) системы;
- атак, направленных на отказ в обслуживании;
- атак подбора аутентификационной информации.
К обнаружению и блокированию вредоносного программного обеспечения в многофункциональном МЭ уровня сети предъявляются следующие требования.
Многофункциональный МЭ уровня сети шестого и пятого классов защиты должен:
- обнаруживать признаки вредоносного ПО в проходящем через многофункциональный МЭ уровня сети сетевом трафике на основе базы данных признаков вредоносного ПО;
- блокировать сетевой трафик, в котором обнаружены признаки вредоносного ПО на основе базы данных признаков вредоносного ПО;
- обеспечивать обновление базы данных признаков вредоносного ПО.
К доверенной загрузке многофункционального МЭ уровня сети предъявляются следующие требования.
В составе многофункционального МЭ уровня сети шестого класса защиты должно применяться средство доверенной загрузки шестого класса защиты, соответствующее Требованиям к средствам доверенной загрузки, утвержденным приказом ФСТЭК России от 27 сентября 2013 г. N 119 (зарегистрирован Минюстом России 16 декабря 2013 г., регистрационный N 30604).
К тестированию и контролю целостности в многофункциональном МЭ уровня сети предъявляются следующие требования.
Многофункциональный МЭ уровня сети шестого и пятого классов защиты должен:
- обеспечить по запросу администратора многофункционального МЭ уровня сети тестирование правильности выполнения функции фильтрации сетевого трафика;
- обеспечивать возможность блокировки проходящего через него сетевого трафика, если по результатам тестирования функций фильтрации сетевого трафика будет выявлено нарушение их функционирования;
- информировать администратора многофункционального МЭ уровня сети о выявленных нарушениях функционирования функций фильтрации сетевого трафика.
К производительности многофункционального МЭ уровня сети предъявляются следующие требования.
В формуляре многофункционального МЭ уровня сети шестого, пятого и четвертого классов защиты должны быть указаны подтверждаемые в соответствии с методикой производителя (изготовителя) сведения:
- о пропускной способности многофункционального МЭ уровня сети и задержках сетевых пакетов (кадров) в режиме пакетной фильтрации трафика, содержащего сетевые кадры размером 1518 байт и отдельно 64 байта;
- о пропускной способности многофункционального МЭ уровня сети и задержках сетевых пакетов (кадров) веб-трафика в определенных производителем (изготовителем) комбинациях включенных функций безопасности;
- о количестве экземпляров многофункционального МЭ уровня сети, которые могут совместно работать в режиме балансировки нагрузки, и их общей пропускной способности.
Производитель (изготовитель) должен определить в формуляре максимальное количество устанавливаемых сетевых соединений в секунду и максимальное количество включенных правил фильтрации, при которых достигаются определенные показатели.
В формуляре многофункционального МЭ уровня сети должны быть указаны сведения о способе балансировки нагрузки и (или) используемом средстве (используемых средствах) балансировки нагрузки.
К аппаратной платформе многофункционального МЭ уровня сети предъявляются следующие требования.
Аппаратная платформа многофункционального МЭ уровня сети шестого класса защиты должна ограничивать доступ через сетевые интерфейсы к оперативной памяти только в разрешенном диапазоне адресов и исключать возможность доступа (как на чтение, так и на запись) к остальной части оперативной памяти аппаратной платформы со стороны сетевого интерфейса.
При разработке многофункционального МЭ уровня сети интерфейс, через который осуществляется управление многофункциональным МЭ уровня сети, должен рассматриваться разработчиком многофункционального МЭ уровня сети как интерфейс функций безопасности.
В рамках испытаний многофункционального МЭ уровня сети изготовителем многофункционального МЭ уровня сети должно быть доказано, что субъектам доступа, пользователям информационной (автоматизированной) системы и устройствам, осуществляющим передачу информационных потоков через многофункциональный МЭ уровня сети, не может быть доступен интерфейс функций управления многофункциональным МЭ уровня сети и сетевой трафик, поступающий в многофункциональный МЭ уровня сети от пользователей многофункционального МЭ уровня сети, осуществляющих управление многофункциональным МЭ уровня сети.
К режимам работы многофункционального МЭ уровня сети предъявляются следующие требования:
Многофункциональный МЭ уровня сети шестого и пятого классов защиты должен реализовывать возможность работы в следующих режимах:
- режим, при котором блокируется весь входящий, исходящий сетевой трафик, проходящий через многофункциональный МЭ уровня сети;
- режим, при котором разрешены сетевые потоки, не запрещенные включенными запрещающими (блокирующими) правилами фильтрации (в данном режиме среди множества неразрешенных сетевых потоков отдельные потоки могут разрешаться);
- режим, при котором разрешены только разрешенные включенными разрешающими правилами фильтрации сетевые потоки (в данном режиме среди множества разрешенных сетевых потоков отдельные потоки могут блокироваться включенными запрещающими (блокирующими) правилами фильтрации).
К регистрации событий безопасности в многофункциональном МЭ уровня сети предъявляются следующие требования:
Многофункциональный МЭ уровня сети шестого и пятого классов защиты должен обеспечивать:
- регистрацию выбранных администратором безопасности событий безопасности в журнале (журналах) событий безопасности многофункционального МЭ уровня сети;
- предоставление возможности просмотра всех событий безопасности в журнале (журналах) событий безопасности многофункционального МЭ уровня сети и выборочного просмотра событий безопасности (поиск, сортировка событий безопасности) в соответствии с ролью пользователя многофункционального межсетевого экрана уровня сети.
Многофункциональный МЭ уровня сети должен реализовывать возможность регистрации следующих типов событий безопасности в соответствии с разделами 3 - 6 ГОСТ Р 59548 "Защита информации. Регистрация событий безопасности. Требования к регистрируемой информации" <6>:
--------------------------------
<6> Далее - "Утвержден и введен в действие приказом Федерального агентства по техническому регулированию и метрологии от 13 января 2022 г. N 2-ст (М., "Стандартинформ", 2022)".
- события безопасности, связанные с фильтрацией сетевого трафика;
- события безопасности, связанные с обнаружением признаков вредоносного ПО в сетевом трафике;
- события безопасности, связанные с обнаружением признаков КА в сетевом трафике;
- события безопасности, связанные с идентификацией и аутентификацией пользователя многофункционального МЭ уровня сети;
- события безопасности, связанные с управлением (администрированием) многофункционального МЭ уровня сети;
- события безопасности, связанные с управлением журналами событий безопасности;
- события безопасности, связанные с контролем целостности ПО многофункционального МЭ уровня сети;
- события безопасности, связанные со сбоями в работе многофункционального МЭ уровня сети.
Многофункциональный МЭ уровня сети должен реализовывать возможность хранения журналов событий безопасности с возможностью ротации событий безопасности (запись новых событий безопасности взамен старых).
Многофункциональный МЭ уровня сети при записи событий безопасности информации должен получать информацию о текущей дате, времени и часовом поясе от системных часов многофункционального МЭ уровня сети, которые должны иметь возможность синхронизации информации о текущей дате и времени с сервером единого времени, располагаемым в информационной (автоматизированной) системе, и (или) с часами, функционирующими в аппаратной платформе многофункционального МЭ уровня сети.
Многофункциональный МЭ уровня сети должен оповещать пользователей многофункционального МЭ уровня сети о событиях безопасности в соответствии с ролями пользователей многофункционального МЭ уровня сети.
К обеспечению бесперебойного функционирования и восстановления многофункционального МЭ уровня сети предъявляются следующие требования.
Многофункциональный МЭ уровня сети шестого класса защиты должен:
- сохранять параметры настройки, которые могут использоваться для восстановления в случаях выхода многофункционального МЭ уровня сети из строя (параметры учетных записей, параметры настройки сетевых интерфейсов, правила фильтрации сетевого трафика, параметры настройки базы решающих правил и базы данных признаков вредоносного ПО);
- обеспечивать восстановление параметров настройки многофункционального МЭ уровня сети на другом экземпляре многофункционального МЭ уровня сети.
К взаимодействию с иными средствами защиты информации в многофункциональном МЭ уровня сети предъявляются следующие требования.
Многофункциональный МЭ уровня сети шестого, пятого и четвертого классов защиты должен обеспечивать возможность передавать зарегистрированные им события безопасности в систему управления событиями безопасности информации.
Многофункциональный МЭ уровня сети может осуществлять взаимодействие со средствами защиты информации от ее утечки из информационной (автоматизированной) системы и другими средствами защиты информации в информационной (автоматизированной) системе.
Для взаимодействия многофункционального МЭ уровня сети со средствами защиты информации должны использоваться выделенные физические и (или) логические каналы связи.
Примечание - В зависимости от уровня доверия ФСТЭК решения могут применяться для разных классов систем.
Уровни доверия ФСТЭК - это шесть категорий, которые характеризуют безопасность применения средств для обработки и защиты информации, содержащей сведения, составляющие государственную тайну, иной информации ограниченного доступа.
Средства, соответствующие шестому уровню доверия, применяются в значимых объектах критической информационной инфраструктуры третьей категории, государственных информационных системах третьего класса защищенности, в информационных системах персональных данных граждан.
(справочное)
KASPERSKY SECURITY CENTER
Рисунок В.1 - Раздел "Политики" на сервере администрирования
Kaspersky Security Center
ИС МЕГАНОРМ: примечание. В официальном тексте документа, видимо, допущена опечатка: рисунок В.2 отсутствует. |
Рисунок В.2 - Установка параметров в разделе "Защита
от сетевых угроз" на сервере администрирования
Kaspersky Security Center
Рисунок В.3 - Раздел "Контроль устройств" на сервере
администрирования Kaspersky Security Center
Рисунок В.4 - Установка параметров в разделе "Анализ
поведения" на сервере администрирования
Kaspersky Security Center
Рисунок В.5 - Установка параметров в разделе "Предотвращение
вторжений" на сервере администрирования
Kaspersky Security Center
Рисунок В.6 - Установка параметров в подразделе "Защищаемые
ресурсы" раздела "Предотвращение вторжений" на сервере
администрирования Kaspersky Security Center
Рисунок В.7 - Установка параметров в разделе "AMSI-защиты"
на сервере администрирования Kaspersky Security Center
Рисунок В.8 - Установка параметров в разделе "Исключения
и типы объектов" на сервере администрирования
Kaspersky Security Center
Рисунок В.9 - Установка параметров раздела "Защита
от файловых угроз" на сервере администрирования
Kaspersky Security Center
(справочно)
ЦИФРОВОГО СЕРТИФИКАТА БЕЗОПАСНОСТИ
Процедура формирования запроса CSR на выпуск и получение цифрового сертификата состоит из трех основных этапов:
- создания запроса и пары ключей шифрования: приватного (секретного) и публичного (открытого);
- подписи запроса усиленной квалифицированной электронной подписью;
- передачи заявления и запроса CSR на сайт Госуслуг по электронной почте.
Для формирования запроса и выполнения всех необходимых процедур на компьютер с сервером ПЦН и ОС Windows необходимо установить криптографическую библиотеку с открытым исходным кодом OpenSSL. В ОС Linux данное ПО как правило предустановлено.
Для ОС Linux и Windows необходимо открыть программу Терминал и вести команду:
- openssl req -out certificate_name.csr -new\
- subj
"/C=RU/ST=Moscow/L=Moscow/O=FGKUUVO/CN=*.domain.ru"\
- addext "keyUsage=digitalSignature, keyEncipherment" \
- addext "subjectAltName=DNS:domain.ru, DNS:www.domain.ru, DNS:*.domain.ru" \
- addext "extendedKeyUsage=serverAuth" newkey rsa:2048-nodes - keyout certificate_name.key.
В данной команде вводятся следующие атрибуты:
- C=RU - двухбуквенный код страны;
- ST=Moscow - город, в котором зарегистрирована организация;
- L=Moscow - район, область;
- FGKU UVO - официальное название организации;
- domain.ru - домен, для которого выпускается сертификат;
- certificate_name - название сертификата.
Для доменных имен на русском языке следует указывать конвертированное с помощью метода punycode значение, например, уво.рф.
При заполнении параметров ST/L/O/OU кириллицей необходимо в запросе указывать ключ "-utf8".
Например:
- openssl req -out test3.csr -new -subj \
"/C=RU/ST=Москва/L=Москва/O=ФГКУ УВО по г. Москве.\
/OU=Тестовый департамент/CN=*.mydomain.ru"
-addext "keyUsage = digitalSignature,keyEncipherment"
-addext "subjectAltName = DNS:mydomain.ru,
DNS:www.mydomain.ru,DNS:*.mydomain.ru"
-addext "extendedKeyUsage = serverAuth" -utf8
-key/path/to/existsKey.key.
После формирования запроса правильность его заполнения необходимо проверить командой:
- openssl req -in certificate_name.csr -noout -text.
В случае успешного формирования запроса CSR на экране отобразится информация, содержащая введенные пользователем атрибуты организации в поле Subject и публичный ключ шифрования RCA Public-Key, представленная на рисунке Г.1.
ИС МЕГАНОРМ: примечание. В официальном тексте документа, видимо, допущена опечатка: рисунок Г.1 отсутствует. |
запроса CSR
На следующем этапе необходимо подписать сформированный запрос CSR усиленной квалифицированной электронной подписью, имеющейся у подразделения. Данная процедура автоматизирована и, как правило, для ее проведения используется специализированное ПО "КриптоПро", "КриптоАРМ" и др., установленное на компьютер, либо веб-сервисы такие, как Контур.Крипто.
В программе "КриптоАРМ" данная процедура выполняется в следующем порядке.
На компьютере запустить программу и выбрать в главном меню пункт "Подписать" (рисунок Г.2).
Затем необходимо подключить сформированный на предыдущем этапе файл запроса CSR (рисунок Г.3).
Далее требуется выбрать кодировку выходного формата файла электронной цифровой подписи (рисунок Г.4). Расширение выходного файла неизменно и всегда представляется в виде .sig (Signature).
Предпочтительной является кодировка выходного формата Base64. Это метод кодирования, который преобразует двоичные данные в текстовую форму, используя 64 символа ASCII, что делает Base64 удобным для передачи данных в средах, ограниченных исключительно текстом, таких как электронная почта или XML-документы. В контексте электронной подписи формат Base64 позволяет легко встраивать сертификаты и ключи в различные документы и сообщения.
На следующем шаге необходимо установить ряд параметров подписания файла CSR.
Практикуются две версии применения файлов sig для ЭЦП: отсоединенный от заверяемого документа и объединенный с ним.
В первом случае мы имеем два объекта: основной документ certificate_name.csr и файл подписи с двойным расширением certificate_name.csr.sig.
Второй вариант подразумевает включение кода электронной подписи в исходный файл. В итоге у нас генерируется один документ, но также с двойным расширением: certificate_name.csr.sig. Допустимо применение обоих вариантов.
Далее необходимо в хранилище сертификатов указать сертификат электронной цифровой подписи для подписания файла CSR (рисунки Г.5, Г.6).
После выбора сертификата электронной цифровой подписи на экран программы будет выведено итоговое окно со статусом и параметрами выходного документа (рисунок Г.7).
параметрами выходного документа
На завершающем этапе необходимо зайти на сайт Госуслуги по ссылке https://www.gosuslugi.ru/tls и направить в соответствии с представленной на нем инструкцией запрос на выпуск сертификата безопасности с указанием контактных данных ответственного сотрудника и сформированный файл certificate_name.csr.sig. Обычно услуга предоставляется в течение 5 дней. После выпуска сертификата на контактный e-mail придет письмо с данными для его установки и сам сертификат.