7月1日が近づいており、FZ-152「個人データ」を実装する必要性が近づいています。 この点で、この分野での経験を共有したいと思います。 情報セキュリティブログには、文書作成に関する一連の投稿が既にありますが、紙に加えて、情報保護の技術的手段を使用する必要がある場合があります。 このトピックは専用です。
最初に心に留めておくべきことは、有効なFSTEC証明書(不正アクセスに対する保護-不正アクセス)およびFSB(暗号化およびファイアウォール)を備えた情報保護の手段しかないことです。 残念ながら、証明書は定期的に期限切れになり、製造元が証明書の更新を気にしない場合、検証が問題を引き起こす可能性があります。 それらを避けるには2つの方法があります。
1)保護具を購入する前に、現在の証明書が終了したとき、およびメーカーがそれを更新するつもりであるかどうか、メーカーまたはサプライヤーに相談してください。 メーカーのウェブサイトもご覧ください。新しいバージョンがありますが、古いバージョンは拡張できません。
2)機器がすでに購入されており、製造業者が証明書を更新しない場合-認証機関に連絡して、コピーの証明書を取得できます(自分の証明書のみ)。 ご理解のとおり、一定の金額で。
さらに、実際に必要な保護手段を決定する必要がありますか? ISPDが一般的なものである場合、個人データ保護の要件は、FSTEC No. 58の付録の付録に記載されています 。 ISPDが特別な場合、保護要件はISPD調査からまとめられた「Private Threat Model ...」に記載されています。 すぐに説明しましょう-典型的なISPDは情報システムであり、個人データの機密性のみが要求され、アクセシビリティと整合性は残されています。 ISPDを特別にできるのはなぜですか? 私の意見では、これはISPDnファーストクラス(K1)にのみ関連しています。要件にはPEMIN(スプリアス電磁放射および干渉)からの保護が含まれているためです。 「Private Threat Model ...」を作成すると、PEMINから脱却し、人生を大幅に簡素化できます。 保護の本質は、電磁ノイズ発生器の設置と、ISPDハードウェアと同じ施設内にあるすべての技術機器の両方の場所と構成の修正に限定されます。 つまり、認証テストを実施した機関との合意によってのみ変更を加えることができます。 ISPDnの構成の変更により、検証チェックまたは再認証が行われる場合があります。
PEMINを離れたと仮定します。次に、情報セキュリティツールとそのアプリケーションの一般的なオプションを見てみましょう。 一般に、すべての救済策はいくつかのグループに分けることができます。
ローカルSZI NSD
SZI NSDは、不正アクセスから情報を保護する手段の略語です。 ISPDワークステーションにアクセスするユーザーの不正な操作を防止するために使用されます。 リムーバブルメディア(CD / DVD、フラッシュドライブ)からのブートの制御、デバイス制御(左のUSBフラッシュドライブに接続して情報をマージできないようにする)、必須アクセス制御の実装(ISPDは不要)などのメカニズムが含まれます。 私が個人的に使用したツールのみを提供します。
1)シークレットネット。 負荷制御ボードの有無にかかわらず供給できます。 secpol.mscを介して動作するため、Homeバージョンでは動作しない可能性があります(Windows XP Homeでは動作しませんが、VistaおよびWindows 7ではまだテストされていません)。 操作は非常に簡単で、見たところからデバイスを制御するための最高のメカニズムを備えています。 ドメイン構造への統合用に設計されたネットワークバージョンがあります。
2)ガードNT。 強制アクセス制御のための最良のメカニズム。 操作がより困難です(保護機構の一部をオフにできないため)。 ネットワークバージョンはありません。
3)ダラスロック。 ホームレスネットワークでのネットワークオプションの通常の展開の可能性を除いて、以前に検討されたすべてのパラメーターの損失。
名前が示すように、これらのツールはローカルマシンで使用されます。 ここに追加するものはありません。
ファイアウォール
目的は明確だと思います。 さらに、1つのISPDがファイアウォールによって2つの部分に分割されている場合、それらを2つの異なるISPDと正しく呼ぶことができます。 何のために? 処理された個人データサブジェクトの数に関して正確に最初のクラスに分類され、ISPDを2つの部分に分割すると、各ISPDで処理されるサブジェクトの数が減り、K1ではなくK2が得られます。 現在、いくつかの認定されたファイアウォールが市場に出回っています。
1)VipNet Personal Firewall。 フリルのないパーソナルファイアウォール。 ローカルでのみ管理されます。 集中管理メカニズムはありません。 開始するにはパスワードが必要ですが、入力されていない場合は開始されません。
2)VipNet Office Firewall。 同じことですが、複数のネットワークカードをサポートしているため、ゲートウェイにインストールしてISDNをセグメント化することができます。
3)SSPT-2。 ハードウェアとソフトウェアの複合体はFreeBSD上で動作しますが、だれもOS自体にアクセスすることはできません。 すぐに動作し、多くのパラメータによるフィルタリングをサポートします。 不快な機能があります-ルールはリストの一番上から一番下に適用され、一番上にあるルールの優先度が高くなります。 これはドキュメントには反映されておらず、経験的に特定されました。 ローカルコンソールとWebインターフェースの両方から制御されます。
4)APKSH「大陸」。 一般に、これはファイアウォールではなく、暗号化ルーターですが、ITU機能を備えています。 SSPT-2とアーキテクチャ的には似ていますが、ローカルコンソールからの制御はなく、特別な管理コンソールを介してのみ制御できます。 さらに、初期セットアップ中に、管理者のコンピューターが接続されるインターフェイスを指定する必要があります。
さらに、 セキュリティコードはさらに2つの製品をリリースしました。ITU+ HIPS Security Studio Endpoint Protectionと、Kerberos認証を使用したファイアウォールとセグメンテーションを組み合わせたTrust Access分散ファイアウォールシステムです。 これらの製品を使用する必要はなかったため、説明へのリンクのみを提供します。
TrustAccess
SSEP
さらに、別の製品の生産が認定されました-Stonegate Firewall / VPN。 フィンランドの会社Stonesoftの製品。 また、CryptoPRO暗号化モジュールがボルトで固定されているため、認定VPNソリューションとして使用できます。
Csci
これらは暗号保護の手段でもあります。 前述のStonegate Firewall / VPNに加えて、さらに2つのVPNソリューションがあります。
1)VipNetカスタム。 VipNet Administrator-管理プログラム、VipNet Coordinator-ITU機能を備えたVPNサーバー、およびVipNet Client-VPNクライアントとITUの複合体です。 管理プログラムはキーと証明書の生成にのみ使用され、ファイアウォール設定の管理はローカルでのみ可能です。 ビルトインRDPのみが管理に役立ちます。 そのため、内部メッセンジャーと内部メールが含まれます。 利点は、これが既存のインフラストラクチャに簡単に統合できる純粋なソフトウェアソリューションであるという事実にのみ起因します。
2)APKKS「大陸」。 原則として、私はすでに彼について話しました。 クライアント(Continent-AP)の最新バージョンのファイアウォール機能が追加されただけで、Linux用のクライアントも追加されます。 暗号化ゲートウェイ自体は、管理者のコンソールからのみ管理されますが、リモートで管理されます。 また、スタートアップセットアップ(つまり、暗号ゲートウェイへのネットワーク構成とキーの転送)は、必要なすべての情報をUSBフラッシュドライブに送信することにより、ローカルで実行されることにも言及する価値があります。 構成の作成中にミスを犯し、暗号ゲートウェイをリモートポイントに既に送信した場合、リモートでそれを拾い上げて修正することができなくなります。構成を再度生成し、何らかの方法でリモートポイントに転送する必要があります。
基本的に、ここに私が知っているすべての認定保護具の簡単な説明があります。 この情報がコミュニティに役立つことを願っています。