Виконання вимог наказів ФСТЕК по захисту інформації і персональних даних в державних інформаційних системах за допомогою vGate R2.
Багатьом з вас знайоме засіб vGate R2. яке дозволяє захистити віртуальну інфраструктуру підприємства від несанкціонованого доступу, а також правильно налаштувати її на базі політик. Нещодавно ми писали про можливості vGate R2 версії 2.8. а в цій замітці коротко розповімо про захист даних в державних інформаційних системах.
Як деякі з вас знають, держава висуває вимоги до захисту інформації (як складової державну таємницю, так і не становить), що міститься в державних інформаційних системах.
Російське законодавство також встановлює ряд обов'язкових вимог щодо захисту інформації в середовищі віртуалізації. дотримання яких регулюється трьома нормативними актами:
Ви можете переконатися в цьому самостійно, відкривши будь-який з цих документів і пошукавши по слову "віртуалізації":
Всі 3 керівних документа вимагають захисту середовища віртуалізації, не тільки в середовищах обробки персональних даних або критично важливих об'єктах, але і в будь-якій державній організації.
Наведемо фрагменти з документа про основні заходи, які державна організація зобов'язана вжити для захисту інформації у віртуальному середовищі:
Заходи щодо захисту середовища віртуалізації повинні виключати несанкціонований доступ до інформації, що обробляється в віртуальної інфраструктури, і до компонентів віртуальної інфраструктури, а також вплив на інформацію та компоненти, в тому числі до засобів управління віртуальною інфраструктурою, монітора віртуальних машин (Гіпервізор), системи зберігання даних (включаючи систему зберігання образів віртуальної інфраструктури), мережі передачі даних через елементи віртуальної або фізичної інфраструктури, гостьовим операційним системам, ви туальной машинам (контейнерів), системі і мережі реплікації, термінальним і віртуальним пристроїв, а також системі резервного копіювання та створюваним нею копій.
У наказах ФСТЕК Росії регламентовано виконання організаційно-технічних заходів захисту середовища віртуалізації, використовуваної при обробці інформації в автоматизованих системах управління виробничими і технологічними процесами, державних інформаційних системах і системах персональних даних. У зв'язку з цим все організації, які є операторами цих інформаційних систем і застосовують технології віртуалізації, зобов'язані виконати перераховані заходи захисту і привести свою обчислювальну інфраструктуру у відповідність до вимог регулюючих органів.
Застосування засобів комплексного захисту платформ віртуалізації компанії "Код Безпеки" дозволить вам виконати найжорсткіші вимоги законодавства для ІСПДн, ГІС та АСУ ТП, а також провести обов'язкову атестацію державних інформаційних систем і систем управління виробництвом.
Адже компанія Код Безпеки працює безпосередньо з ФСТЕК (див. Сертифікати продукту vGate R2) і постійно підтримує актуальність виконання вимог організації як на рівні політик по конфігурації віртуального середовища, так і на рівні засобів захисту від несанкціонованого доступу і захисту від внутрішніх і зовнішніх загроз.
Давайте детально розглянемо, що, виходячи з текстів наказів, вимагає зробити ФСТЕК. По-перше, від нас вимагають забезпечити захист від несанкціонованого доступу для наступних компонентів:
- До інформації, що обробляється в ВМ
- До гостьовим ОС
- До хост-серверів (Гіпервізор)
- До засобів управління платформою віртуалізації
- До систем зберігання
- До мережі віртуальних машин і мережі реплікації
- До віртуальних пристроїв
- До резервних копій
По-друге, є наступна таблиця вимог до інформаційної системи (ІС) в залежності від класу її захищеності (в колонках зліва-направо йдуть класи захищеності від К4 до К1):
XI. Захист середовища віртуалізації (ЗСВ)
Забезпечити виконання більшості цих вимог дозволяють наступні можливості vGate R2:
- Посилена аутентифікація адміністраторів віртуальної інфраструктури та адміністраторів інформаційної безпеки (ЗСВ.1)
У vGate реалізована модель поділу прав на управління віртуальною інфраструктурою і на управління безпекою. Таким чином, виділяються дві основні ролі - це адміністратор віртуальної інфраструктури (АВІ) і адміністратор інформаційної безпеки (АІБ).
Доступ на управління віртуальною інфраструктурою або параметрами безпеки надається тільки аутентифицироваться користувачам. Причому процедура аутентифікації користувачів і комп'ютерів (робочих місць АІБ і АВИ) здійснюється за протоколами, нечутливим до спроб перехоплення паролів і атакам типу Man in the Middle.
- Захист коштів управління віртуальною інфраструктурою від несанкціонованого доступу (ЗСВ.1)
Для забезпечення захисту коштів управління віртуальною інфраструктурою застосовується функціонал дискреційного розмежування доступу до об'єктів, які розміщені всередині захищається периметра. Правила розмежування доступу працюють на основі заданих ACL і параметрів з'єднання (протоколів, портів). Мережевий трафік між аутентифицироваться суб'єктами і захищеними об'єктами підписується, тим самим забезпечується захист від атак типу Man in the Middle в процесі мережевої взаємодії.
Мітки безпеки призначаються:
- захищається хост-серверів
- адміністраторам
- віртуальним машинам
- сховищ (локальним, мережевим)
- віртуальним мережам
- віртуальним комутаторів і мережевих адаптерів
Існує можливість відключення контролю мандатної доступу для певних об'єктів з консолі управління.
- Контроль доступу адміністраторів віртуальної інфраструктури до файлів віртуальних машин (ЗСВ.2)
При роботі в незахищеною віртуальному середовищі адміністратор, як правило, має доступ до даних віртуальних машин, скачати файл віртуальної машини на локальний диск свого комп'ютера і досліджувати його вміст. У vGate реалізований механізм, що дозволяє контролювати доступ адміністраторів до файлів віртуальних машин.
- Реєстрація подій, пов'язаних з інформаційною безпекою (ЗСВ.3)
- Виконання вимоги ЗСВ.4 забезпечують корпоративні мережеві екрани, в тому числі спеціалізовані продукти для віртуальних інфраструктур, такі як VMware NSX.
- Контроль цілісності і довірена завантаження віртуальних машин (ЗСВ.5 і ЗСВ.7)
У vGate існує політика довіреної завантаження віртуальних машин. Є можливість гранулярності налаштувати параметри, які будуть контролюватися, а також функціонал, що дозволяє зробити вибір - дозволити або запустити віртуальну машину при порушенні цілісності конфігурації.
Також є можливість контролю цілісності переліку знімків віртуальної машини. Після призначення політики довіреної завантаження при старті віртуальної машини, а також по тайм-ауту буде проводитися перевірка цілісності. При змінах віртуальної машини відбувається оповіщення адміністратора інформаційної безпеки, який може узгодити або відхилити зміни. При відхиленні змін настройки віртуальної машини будуть повернуті в той стан, в якому вони були при призначенні політики.
- Виконання вимоги ЗСВ.9 забезпечують засоби антивірусного захисту, розроблені спеціально для віртуального середовища. Наприклад, Kaspersky Security for Virtualization.
vGate R2 має всі необхідні функції для захисту ПДН, про що ми вже писали ось тут.
У цій таблиці дуже багато вимог, і не всі вони покриваються продуктом vGate R2, але виконання їх усіх забезпечується за допомогою основної продуктової лінійки компанії Код Безпеки. vGate R2 забезпечує все те, що стосується саме віртуального середовища та засобів управління нею.
Демо-версії vGate для Hyper-V або VMware vSphere можна безкоштовно завантажити за цим посиланням.