個人データの保護における情報システムの差別化

この記事の主題は、Cyber​​safe Firewallプログラムを使用して個人データを保護する際の情報システムの範囲です。 この記事では、実際の会社のPCグループに対するプログラムの展開とアクセス制御の例を示します。

個人データ情報システムの保護の要件

ISPDn（個人データ情報システム）-データベースに含まれる個人データと、自動化ツールを使用して、またはそのようなツールを使用せずに個人データを処理できる情報技術および技術的手段の組み合わせである情報システム。

2013年2月18日付ロシアFSTECの第21号の命令によると、個人データの3つのレベルの保護を確保するために、以下が適用されます（段落12b）：



タイプ2の脅威の関連性がある場合は少なくともクラス3のファイアウォール、または情報システムと国際情報交換の情報および通信ネットワークとの相互作用の場合は少なくともクラス3のファイアウォール情報交換;



この記事では、現在4番目のセキュリティレベルで認定されているが、1か月以内に3番目のセキュリティレベルで認定されるCyber​​safe Firewallプログラムの実際の使用について検証します（証明書は既にFSTECによって署名されています）。 対応する証明書は、 Cyber​​Soft Webサイトにあります。 認定ソフトウェアの状態レジスタへのリンクは、記事の最後に記載されています。

問題の声明

最近Cyber​​safe Firewallプログラムを実装した会社の構造を図に示します。 1。





図 1.会社の構造



問題の会社には、5つの部門（Agro部門、IT部門、法務部門、管理部門、ISPDn Atlant PD）と3つの支店が含まれています。 リモートブランチとの通信はインターネット経由です。 ゲートウェイには、ネットワーク上の他のコンピューターと同様に、Cyber​​safe Firewallプログラムがインストールされています。

この記事の後半では、Active Directoryを使用してネットワーク上のすべてのコンピューターにCyber​​safe Firewallプログラムを展開し、グループルールを構成する方法について説明します。

私たちのタスクは、ISPDグループを外部の世界（つまり、インターネットアクセスを閉じる）およびローカルネットワークの残りから保護することです。 したがって、ISPDn内のコンピューターは、互いにのみ通信できるようになります。 この製品は、PCグループへのアクセスを制限するタスクの可能な限り最速のソリューションのために特別に作成されたものであることに注意してください。 他の製品では、タスクの解決にはるかに時間がかかるか、まったく不可能です（ネットワークアドレスの動的配布システムが使用されている場合）。 Active Directoryを使用してプログラムを展開するのに必要な時間を考慮しない場合、コンピューターのグループのアクセスを数分で別のグループに制限できます。

このスキームは、オリジナルまたは新規であることを意図していません。 課題は、複数のIPを区別するために製品をできる限り便利にするか、ロシア連邦の法律に厳密に従って、ローカルネットワークおよびインターネットの他のセクターからの機密情報で1つのIPを制限することでした。

変換ファイルを作成

最初の手順は、変換ファイル（MSTファイル）を作成して、同じ設定でネットワーク上のすべてのコンピューターにCyber​​safe Firewallを展開できるようにすることです。 その後、ファイアウォールを手動で構成する必要はありません。たとえば、プログラムを入力するユーザーを作成したり、リモートサーバーのIPアドレス、ポートなどを指定したりする必要はありません。

リモートCyber​​Safeファイアウォールサーバーとして使用され、ネットワーク全体のファイアウォールを管理するために使用するコンピューターにプログラムをインストールします。 自分のコンピューターにプログラムをインストールするか、ゲートウェイにプログラムを直接インストールして、他のコンピューターがインターネットにアクセスできるようにします。

次の手順を実行して、展開スクリプトを作成します。

• Cyber​​safe Remote Serverプログラム（Cyber​​safe Firewallソフトウェアパッケージに含まれています）を開きます。
• メニューコマンド[ ツール ]、[ インストールスクリプトファイル ]を選択します。
• 展開シナリオで入力するパラメーター、つまりファイアウォールが動作するポート（通常50001）、リモートサーバーポート、リモートサーバーのIPアドレス、アクティベーションキー、管理者の電子メール、デフォルトのユーザーとパスワードを入力します（図2）。
• [ スクリプトの保存 ]ボタンをクリックします 。
• ファイル保存ウィンドウで、スクリプト形式を選択します-Active Directoryを使用して展開するには、* .mst形式を選択する必要があります（図3）

図 2.展開スクリプトを作成する





図 3.展開スクリプトを保存する



Cyber​​Safe Remote Serverプログラムの詳細は、Cyber​​Safe Firewallプログラムマニュアル（http://cybersafesoft.com/eng/products/cybersafe-firewall/）に記載されています。

組織でActive Directoryを使用していない場合は、Cyber​​safe Remote Serverプログラムを使用して、バッチファイル（* .bat）を作成できます。 ネットワーク上のすべてのコンピューターにプログラムを展開するには、プログラムインストーラー（MSIファイル）とともに各コンピューターにプログラムをコピーし、実行（バッチファイル）するだけで十分です。 各コンピューターで一意のユーザーが必要な場合は、各コンピューターでプログラムインストーラー（MSIファイル）を手動で実行できますが、変換ファイルやバッチファイルは必要ありません。

Active Directoryを使用したCyber​​safe Firewallの展開

次に、ActiveDirectoryを使用してサイバーセーフファイアウォールを展開するプロセスを見てみましょう。 このセクションのすべての図はMicrosoft Windows Server 2012 R2で作成されましたが、記載されているすべての手順は古いバージョン（Microsoft Windows Server 2003/2008）で機能します。図は若干異なる場合があります。

最初のステップは、ソフトウェア展開用のフォルダーを作成することです。 展開する必要のあるすべてのMSIパッケージが含まれます（Cyber​​safe Firewallプログラム用に別のフォルダーを作成する必要はありません）。

C：\ Installフォルダにします。 このフォルダーに、CSFirewallのサブフォルダーを作成します。 前のセクションで作成したcsfirewall.msiインストールファイルとcsfirewall.mst変換ファイルを配置する必要があります。

C：\ Installフォルダーは共有する必要があります。 これを行うには、フォルダーを右クリックし、[ プロパティ]コマンドを選択します 。 [ アクセス ]タブで、[ 共有 ]ボタンをクリックし、管理者に他のすべてのネットワークユーザーに対する読み取りおよび書き込みアクセスと読み取り専用アクセスを許可します。

次に、gpmc.mscグループポリシーエディターを実行します。 ネットワーク上のすべてのコンピューターにCyber​​safe Firewallプログラムをインストールする必要があると想定しています。 したがって、ドメインを右クリックし、[このドメインにGPOを作成 ]を選択してリンクします（図4）。





図 4.グループポリシーエディター



新しいGPOにCS_Firewallという名前を付けます（図5）。 [ セキュリティフィルター]セクションで 、 Authenticated Usersグループを削除し、このGPOの設定が適用されるコンピューター、グループ、およびユーザーを追加します（図6）。 つまり、プログラムをインストールするコンピューターを追加します。





図 5.新しいGPOの作成





図 6.作成されたGPO



新しく作成されたGPO（CS Firewall）を右クリックし、[ 変更]を選択します。 [ユーザーの構成] 、 [ポリシー] 、 [ソフトウェアの構成]、および[ソフトウェアのインストール]セクションに移動します（図7）。





図 7.セクションユーザー設定、ポリシー、ソフトウェア設定、ソフトウェアインストール



「 プログラムのインストール」セクションを右クリックして、 「新規」、「パッケージ 」を選択します。 表示されるウィンドウで、プログラムのMSIファイルへのパスを選択する必要があります。 ユーザーはネットワーク経由でパッケージにアクセスするため、ローカルパスではなくネットワークパスを入力する必要があることに注意してください。

次のステップは、展開方法を選択することです。 変換ファイル（Cyber​​Safe Remote Serverプログラムによって作成された.mstファイル）を提供するため、特別な展開方法を選択する必要があります（図8）。 これにより、展開パッケージの構成ウィンドウが開きます（図9）。 次に、[ 変更 ]タブに移動し、[ 追加 ]ボタンをクリックして、変換ファイル（.mstファイル）を選択します。図 10。





図 8.展開方法の選択





図 9.展開パッケージのセットアップ





図 10.変換ファイルを指定する



OKをクリックします。



ご注意 [ OK ]をクリックすると、パッケージと変換ファイル（それぞれ.msiおよび.mstファイル）がキャッシュされます。 パッケージの作成後に変換ファイルを変更する必要がある場合は、展開パッケージを再度作成する必要があります。



これで、グループポリシーエディターでの作業が完了しました。 すべてのウィンドウを閉じて、コマンドプロンプトを開き（または、Win + Rを押して少なくともRunを実行 ）、コマンドを入力します。

gpupdate /force
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

以上です。 プログラムは、再起動後、ログインウィンドウが表示される前にコンピューターに自動的にインストールされます。 ユーザーは何にも影響を与えたり、何かに間違えられたりすることはできません。

プログラムが自動的にインストールされない場合があります。 ほとんどの場合、この問題はWindows XPを実行しているワークステーションで発生します。 インストールするには、gpupdate / forceコマンドを手動で入力する必要があります。

ファイアウォールルールを構成する

Cyber​​safe管理パネルファイアウォールを使用して、ネットワークにインストールされているすべてのCyber​​safeファイアウォールにグローバルルールとグループルールを設定できます。 グローバルルールは、Cyber​​safeファイアウォールがインストールされているすべてのコンピューターに適用され、グループルールは特定のコンピューターグループにインストールされたCyber​​safeファイアウォールの動作を決定します。

グローバルルールとグループルールを設定する前に、ユーザーを管理者として指定する必要があります。 これは、Cyber​​Safe Remote Serverプログラムを使用してのみ実行できます。

管理者は、管理パネルを使用してリモートファイアウォールを管理できます。 そのため、Cyber​​safe Remote Serverプログラムで、[ ユーザー]ノードを展開し、管理者にするユーザーを選択し、 管理者スイッチを有効にします（図11）。





図 11.ユーザーを管理者として割り当てる



それでは、問題の解決に取りかかりましょう。 インターネットおよびネットワーク上の他のコンピューターからISTD Atlantのコンピューターへのアクセスを禁止する必要があることを思い出させてください。

Cyber​​safe Firewallプログラムに入り、メニューコマンドFirewall、Administration Panelを選択します。

ネットワーク上の部門に対応するコンピューターの異なるグループを作成します（図1を参照）。 グループを作成するには、ワークスペースを右クリックして[ グループの追加 ]を選択します。 また、コンピューターをグループに追加するには、そのアイコンをグループアイコンにドラッグします。 最終結果を図に示します。 12.作成されたグループをプログラムが「記憶」するように、必ず「 適用」ボタンをクリックしてください。

グループに含まれるコンピューターのIPアドレスが変更されても、作成されたグループの構成は変更されないことに注意してください。 したがって、組織でDHCPサーバーを使用する場合、グループの構成について心配する必要はありません。





図 12.作成されたグループ



ISPD「Atlant PD」を強調表示して 、 ルールの設定ボタンを押します。 したがって、グループルールを設定できます。 グローバルルールを設定するには、[ すべて ]ノードを選択し、[ ルールの設定 ]ボタンをクリックします。

そのため、 ISPDnグループ「Atlant PD」のルールを確立します。 表示されるウィンドウで、[ セキュリティルール ]セクションに移動し、[ 追加 ]ボタンをクリックします（図13）。





図 13.安全ルール：まだ設定されていません



[ 全般 ]タブ（図14）で、ルールの説明-「グループ<グループ名>とのデータ交換の禁止」を指定します。

ルールタイプを設定- パケットを拒否、パケットの方向を選択- すべてのパケットとプロトコル- 任意 。





図 14. 一般タブ



ソースとしてISPD "Atlant PD"を指定し、受信者として-IT部門などの企業のグループの1つを指定します。 OKをクリックします。

このルールは何をしますか？ ISTDコンピューター「Atlant PD」がIT部門グループにパケットを転送することを禁止します。 IT部門グループの一部のコンピューターがISPDnグループ「Atlant PD」のコンピューターとの接続を確立しようとしても、 ISPDnグループ「Atlant PD」のコンピューターはルールで禁止されているため、まだ応答できません。





図 15. ソースタブ





図 16. [ 受信者 ]タブ



ネットワーク上の残りのグループに対して手順を繰り返します。 図に示す一連のルールを取得する必要があります。 17。





図 17. ISPDnグループ「Atlant PD」のルールを作成しました



インターネットへのアクセスを禁止することは残っています。 これを行うには、ゲートウェイとのデータ交換を単に禁止します。 これを行うために、ISPD「Atlant PD」の別の安全ルールを作成します。 [全般]タブで、次のようにパラメーターを設定します。

1. 説明-インターネットへのアクセスを拒否する
2. ルールタイプ-パケットの拒否
3. パケットの方向-すべてのパッケージ用
4. プロトコル-任意

[ ソース ]タブで、 ISPDのソースとしてAtlant PDを選択します（図15）。 [ 受信者 ]タブで、サーバーのIPアドレス（内部）、たとえば192.168.1.1を設定します（図18）。





図 18.インターネットアクセスの禁止



OKをクリックします。 デフォルトでは、すべてのルールが無効になっています。 それらを有効にするには、各ルールを右クリックして、[ 有効化]コマンドを選択します。 ルールの最終バージョンを図に示します。 19.ルールのステータス- 有効に注意してください。





図 19.ルールの最終バージョン



セキュリティルールを編集するためのウィンドウを閉じ、 管理パネルウィンドウで[ 適用 ]ボタンをクリックしてから、ウィンドウ自体を閉じます。

おわりに

この問題は解決され、 ISPDn Atlant PDグループのコンピューターはローカルネットワーク上の他のコンピューターと対話できなくなり、インターネットにアクセスできなくなりました。 Cyber​​safe Firewallプログラムにより、個人データ情報システムはネットワークの他の部分から完全に隔離されました。

参照資料

Cyber​​Soft LLC

サイバーセーフファイアウォールプログラム

ロシアFSTEC第21号の命令

認定情報セキュリティツールの州登録