Средство защиты персональных данных в ИСПДн — Traffic Inspector

В настоящее время одним из актуальных вопросов в обеспечении деятельности по защите информации является деятельность, направленная на обеспечение безопасности информационных систем обрабатывающих персональные данные различной категории. В соответствии с действующим федеральным законодательством, а именно с ФЗ№152 «О защите персональных данных» (очень неоднозначным, по мнению специалистов и практиков в области информационной безопасности и нашумевшим в свое время),  все организации, оперирующие персональными данными, должны принять ряд организационных мер, а также использовать сертифицированные средства защиты информации для обеспечения требуемого уровня безопасности персональных данных. При этом все методы и средства защиты персональных данных должны иметь обязательный сертификат ФСТЭК.

Сегодня в нашей статье мы проведем краткий обзор одного из таких средств защиты. Это программно-аппаратный комплекс Traffic Inspector+ аппаратный интернет-шлюз AquaInspector , которые применяются для обеспечения контроля и организации управляемого доступа в Интернет от российской компании «Смарт-Софт». Данный комплекс в соответствии со сертификатом ФСТЭК может применяться для защиты информации в информационных системах персональных данных (далее будет использоваться сокращение ИСПДн) до 1 класса включительно.

Основными функциональными возможностями данной программы являются: … Читать далее

Угрозы передачи данных в корпоративных сетях компаний

Все современные компьютерные системы построены по трём принципам Джона фон Неймана: программного управления, однородности памяти и адресности. Эти принципы можно раскрыть следующим образом: программа, состоящая из набора команд, и исходные данные хранятся в общей памяти, каждая ячейка которой имеет свой адрес; каждая команда вместе с данными выбирается из памяти и исполняется процессором, выбор команды осуществляется с помощью специального счётчика команд, который содержит в себе адрес исполняемой в данный момент команды; команды расположены в памяти друг за другом, за счёт чего организуется последовательная выборка из памяти цепочки команд. Современные сетевые ОС можно разделить на три класса: «DOS-ориентированные», «OS/2- ориентированные», «UNIX-ориентированные».

  • «DOS-ориентированные» — сетевые системы предполагают наличие сетевого программного обеспечения на каждой рабочей станции ЛВС или выделение под файлсервер одной из станций. Каждый компьютер в сети может воспользоваться ресурсами другого компьютера.
  • «OS/2- ориентированные» — определенный интерес представляют сетевые ОС типа OS/2 рабочих станций серии PS/2 фирмы IBM. Кроме того, возможно использование системной программы LAN Manager фирмы Microsoft и программы доступа к многопользовательским базам данных SQL Server.
  • «UNIX-ориентированные» сетевые ОС. Используется для коллективного применения периферии, обмена файлами или «электронной почты», когда необходима совместная обработка данных.

А по своим функциям классификация операционных систем может быть следующий (см. схему представленную на рисунке 1 ниже)

Как правило, на современном этапе развития для успешной деятельности компании недостаточно просто отдельных рабочих мест пользователь, а требуются автоматизированные рабочие места, объединенные в корпоративную сеть, что позволяет значительно повысить производительность труда сотрудников, ее эффективность и автоматизировать большинство бизнес-процессов компаний. А это означает, что помимо обеспечения безопасности отдельного компьютера, выполняющего роль автоматизированного рабочего места пользователя необходимо обеспечивать защиту все корпоративной сети, имеющей как правило распределенную организации и самого процесса сетевого взаимодействия. В соответствие со всем выше сказанным для корпоративных сетей компаний при организации передачи данных реальную опасность представляют угрозы: … Читать далее

Управление доступом в системе «»Континент»

Сервер доступа (СД) представляет собой специализированное программное обеспечение, устанавливаемое на КШ  платформе Intel под управлением сокращенной версии ОС FreeBSD. Устанавливаясь на КШ, СД обеспечивает связь между удаленным абонентским пунктом и защищаемыми данным КШ сетями, проводит идентификацию и аутентификацию пользователя, определяет его уровень доступа. Сервер доступа обеспечивает:

  • Аутентификацию администратора при установлении защищенного соединения с программой управления;
  • Аутентификацию удаленных пользователей посредством технологии сертификатов открытых ключей;
  • Взаимодействие с внешним удостоверяющим центром (при необходимости) для получения списков отозванных сертификатов;
  • Загрузку в фильтр IP-пакетов криптографического шлюза правил фильтрации в соответствии с правами подключившегося пользователя и выгрузку сессионной информации при разрыве соединения;
  • Регистрацию событий, связанных с работой сервера, использованием программы управления и подключением удаленных пользователей.

Программа управления сервером доступа (ПУ СД) предназначена для управления объектами базы данных сервера доступа (регистрацию пользователей АП и установку прав доступа пользователей АП к ресурсам защищаемых сетей) и оперативного контроля его состояния и мониторинга подключенных пользователей. Программа управления устанавливается на одном или нескольких компьютерах защищаемого сегмента сети. … Читать далее

Абонентский пункт (СКЗИ «Континент-АП»)

Абонентский пункт (АП) является специализированным программным обеспечением, которое устанавливается на рабочих местах удаленных пользователей для организации их доступа к ресурсам защищаемой сети (VPN).

Поддержка АП динамического распределения  IP адресов  дает возможность удаленного доступа мобильных пользователей как по выделенным, так и по коммутируемым каналам связи.

Ядром криптографической системы абонентского пункта является  средство криптографической защиты информации «КриптоПро CSP».

Благодаря стандартному интерфейсу MS Cripto API 2.0 использование данного ядра возможно не только ПО АП, но и другими программами, например, Microsoft Outlook. … Читать далее

Удаленный доступ по защищенному каналу посредством VPN

Центральным  звеном  VPN на основе АПКШ «Континент» является криптошлюз  «Континент», обеспечивающий защиту от 1 до 15 физических сегментов корпоративной сети. Однако там, где для работы подразделения (например, для сбора и обобщения информации) требуется отдельная ЭВМ, такая схема организации защиты  является избыточной. Применять отдельный криптошлюз там, где объемы передаваемой информации малы (например, дневные сводки или месячные отчеты) тоже нерационально. Да и сотруднику, направляющемуся в командировку, сложно будет управляться с громоздким криптошлюзом. Системному администратору будет непросто убедить главу организации установить криптошлюз  у него дома, чтобы иметь возможность в любое время  работать с документами, находящимися на корпоративном сервере.

Решением данных проблем при сохранении высокого уровня защищенности передаваемых данных и является программный комплекс «Континент-АП».     При использовании данного продукта в качестве компонента VPN, возможно организовать различные, хорошо адаптируемые к любым изменениям схемы организации информационного обмена внутри корпоративной сети.    Для малого бизнеса или небольших предприятий идеально подойдет схема централизованного подключения АП (Схема 1 на рисунке ниже).

Для организаций, имеющих разветвленную сеть филиалов и представительств, возможно организовать VPN по  схеме 2, изображенной на рисунке ниже. … Читать далее

Программно-аппаратный комплекс шифрования (АПКШ) «Континент»

Программно-аппаратный комплекс шифрования (АПКШ) «Континент», разработанный компанией «Информзащита»,  представляет из себя конгломерат шифратора, межсетевого экрана и маршрутизатора, комплекс позволяет обеспечить:

  • Защиту внутренних сегментов сети от несанкционированного доступа со стороны сетей передачи данных;
  • Криптографическую защиту данных, передаваемых по каналам связи сетей общего пользования между составными частями VPN;
  • Безопасный доступ пользователей  VPN к ресурсам сетей общего пользования;
  • Скрытие внутренней структуры защищаемых сегментов сети.

Комплекс «Континент» включает в свой состав следующие компоненты:

  • Криптографический шлюз;
  • Центр управления сетью криптографических шлюзов;
  • Программа управления сетью криптографических шлюзов;
  • Абонентский пункт;
  • Сервер доступа;
  • Программа управления Сервером доступа.

На рисунке приведена типовая схема внедрения АПКШ «Континент» в корпоративной сети организации (Схема 1).

В центральном офисе рекомендуется установить:
• Кластер горячего резервирования АПКШ «Континент»,
• ЦУС АПКШ «Континент».

Такая конфигурация позволит повысить надежность самого критичного места сети. Вынос ЦУС на отдельно стоящий КШ позволит высвободить кластер КШ непосредственно под задачи шифрования и фильтрации пакетов. Сбор журналов и управление сетью КШ будет сосредоточено на ЦУС. АП в сети «толстого» клиента позволят создать резервную сеть связи с центральным офисом, на случай возможных сбоев. … Читать далее