Подсистема обеспечения безопасности информации ГАС

реклама
Подсистема обеспечения
безопасности информации
ГАС «Правосудие».
2006 г.
Федеральный закон «Об
информации, информатизации и
защите информации», в ред. от
10.01.2003 № 15-ФЗ).
Статья 21:
• "1. Защите подлежит любая документированная информация,
неправомерное обращение с которой может нанести ущерб ее
собственнику, владельцу, пользователю и иному лицу.
• Режим защиты информации устанавливается:
• в отношении сведений, отнесенных к государственной тайне, уполномоченными органами на основании Закона Российской
Федерации "О государственной тайне";
• в отношении конфиденциальной документированной
информации - собственником информационных ресурсов или
уполномоченным лицом на основании настоящего
Федерального закона.
Перечень сведений
конфиденциального характера
ФЗ РФ "Об информации, информатизации и защите информации", а также Указом Президента РФ
№ 188 от 6-го марта 1997 года "Об утверждении перечня сведений конфиденциального
характера".
«Перечень сведений конфиденциального характера» включает в себя:
•
1. Сведения о фактах, событиях и обстоятельствах частной жизни гражданина,
позволяющие идентифицировать его личность (персональные данные), за исключением
сведений, подлежащих распространению в средствах массовой информации в установленных
федеральными законами случаях.
•
2. Сведения, составляющие тайну следствия и судопроизводства.
•
3. Служебные сведения, доступ к которым ограничен органами государственной власти в
соответствии с Гражданским кодексом Российской Федерации и федеральными законами
(служебная тайна).
•
4. Сведения, связанные с профессиональной деятельностью, доступ к которым
ограничен в соответствии с Конституцией Российской Федерации и федеральными
законами (врачебная, нотариальная, адвокатская тайна, тайна переписки, телефонных
переговоров, почтовых отправлений, телеграфных или иных сообщений и так далее)…»
Государственная тайна
ФЗ "О государственной тайне" от 21 июля 1993 г. (в ред.
Федерального закона от 06.10.97 N 131-ФЗ, с изм.,
внесенными Постановлением Конституционного Суда
РФ от 27.03.1996 N 8-П, определениями
Конституционного Суда РФ от 10.11.2002 N 293-О, от
10.11.2002 N 314-О)
Статья 31 "Межведомственный и ведомственный
контроль" :
«Контроль за обеспечением защиты государственной
тайны в судебных органах и органах прокуратуры
организуется руководителями этих органов.»
Указ Президента Российской
Федерации от 12 мая 2004 года
N 611
•
«Субъектам международного информационного обмена в Российской
Федерации не осуществлять включение информационных систем, сетей
связи и автономных персональных компьютеров, в которых
обрабатывается информация, содержащая сведения, составляющие
государственную тайну, и служебная информация ограниченного
распространения, а также для которых установлены особые правила
доступа к информационным ресурсам, в состав средств международного
информационного обмена, в том числе в международную ассоциацию
сетей "Интернет" (далее - сеть "Интернет").
•
Владельцам открытых и общедоступных государственных
информационных ресурсов осуществлять их включение в состав
объектов международного информационного обмена только при
использовании сертифицированных средств защиты информации,
обеспечивающих ее целостность и доступность, в том числе
криптографических для подтверждения достоверности информации.»
Назначение подсистемы ОБИ
–
–
–
–
повышение уровня достоверности данных
и информационной безопасности;
защита информационных ресурсов при
решении задач по интеграции с другими
автоматизированными системами органов
государственной власти;
внедрение безопасной технологии
обработки конфиденциальной
информации;
создания комплексной системы
антивирусной защиты.
Цели создания подсистемы «Обеспечение безопасности информации»
•
предотвращение возможности нанесения материального, морального или иного
ущерба субъектам судебной власти, связанного с эксплуатацией
автоматизированной системы;
•
обеспечение безопасного использования информационных технологий, во всех
сферах судебной деятельности (Делопроизводство, Кадры, Финансы и проч.);
•
обеспечение безопасного использования средств информатизации в служебной
деятельности сотрудников органов судебной власти, связанной с регистрацией,
обработкой, подготовкой, согласованием, хранением и учетом документов и их
электронных образцов, пересылкой электронных документов, контролем
дисциплины исполнения документов;
•
обеспечение безопасного сетевого доступа судей и работников аппаратов судов к
актуальной и точной информации по действующему законодательству и
правоприменительной практике,
•
обеспечение безопасного внутриведомственного информационнотелекоммуникационного взаимодействия судов с Верховным Судом Российской
Федерации, Судебным департаментом, следственными органами, прокуратурой,
Минюстом России и органами государственной власти субъектов Российской
Федерации;
•
обеспечение безопасного использования сети Интернет для получения и передачи
информации, а также представления корпоративных порталов ГАС «Правосудие».
Основные угрозы безопасности
информации ГАС «Правосудие»:
Внутренний нарушитель
1.
Нарушение
конфиденциальности
информации.
2. Нарушение
доступности
информации.
3. Нарушение
целостности
информации.
- контроль НСД,
журналирование и аудит;
-контроль доступа к каналам
связи;
-средства электронной
цифровой подписи.
- гарантированная доставка
информации;
Внешний нарушитель
-единая система управления
политикой безопасности;
-повышение надежности и
отказоустойчивости
- контроль целостности;
-антивирусные средства;
- криптозащита данных.
Основные угрозы безопасности
информации ГАС «Правосудие»:
4. Угрозы юридически значимому электронному документообороту;
5. Технологические угрозы;
6. Угрозы техническим ресурсам КСА ГАС «Правосудие»;
7. Утечка информации по техническим каналам.
Угрозы юридически значимому
электронному документообороту
•
•
•
•
•
•
•
•
•
отказ от авторства электронного
документа;
отрицание подлинности электронного
документа;
отказ от факта передачи электронного
документа;
отказ от факта приема электронного
документа;
отправка электронного документа от
имени другого лица;
утверждение о факте передачи
электронного документа;
утверждение о факте приема
электронного документа;
модификация (изменение, искажение,
уничтожение) электронного
документа;
перенаправление потока электронных
документов.
•
•
•
•
использование механизмов
ЭЦП;
квитирование приема
электронных документов;
регистрация фактов
отправления/приема
электронных документов в
регистрационных журналах;
разграничение доступа к
средствам приема/передачи
электронных документов
Угрозы на технологическом уровне
•
•
•
•
•
•
занижение грифа категории
информации;
расширение номенклатуры
информации и соответствующих
информационных ресурсов для
конкретных пользователей;
нарушение существующих
регламентов технологических
процессов (архивирование, резервное
копирование и проч.);
нарушение целостности информации
и процессов ее обработки;
нарушение целостности
корпоративных порталов вследствие
отсутствия единых регламентов их
сопровождения, актуализации и
синхронизации по времени;
потеря управляемости
информационными системами ГАС
«Правосудие».
•
•
•
•
•
Приказы и распоряжения;
Регламенты и процедуры;
Резервирование ПТС и ФАиП;
Эксплуатация и сервисное
обслуживание;
Управление и контроль
функционирования
Категории внутренних
нарушителей
•
•
•
•
•
сотрудник объекта информатизации, не являющийся
санкционированным пользователем ГАС
«Правосудие», но имеющий доступ в
контролируемую зону;
санкционированный пользователь ГАС «Правосудие»;
санкционированный абонент удаленного доступа ГАС
«Правосудие»;
администратор системы (администратор ЛВС, ОС,
СУБД, ERP, приложений и т.д.);
программист – разработчик.
Категории внешних
нарушителей
•
физические или юридические лица за пределами КЗ:
-атаки с целью добывания информации ограниченного доступа;
- навязывания ложной информации;
- нарушение работоспособности информационных систем;
- нарушения целостности информационных ресурсов.
•
Заинтересованные лица (в том числе специалисты
спецслужб иностранных государств):
-дешифрование с использованием специализированных методов и
средств реализации перехвата;
- методы «социальной инженерии».
Классификация ГАС
«Правосудие»
(требования по защите
конфиденциальной информации)
-по классу КВ2 согласно классификации
ФСБ России;
- требования, не ниже класса 1Г ФСТЭК
России.
Основные подсистемы ОБИ ГАС «Правосудие»
– Подсистема разграничения доступа и контроля НСД:
•
•
разграничение доступа должностных лиц к комплексу функциональных
подсистем на всех КСА ГАС «Правосудие»;
мониторинг защищенности в ГАС;
– Подсистема организации защищенного информационного обмена по
каналам связи и организации защищенного почтового
документооборота:
•
•
•
гарантированная доставка информации с подтверждением обработки на
узле получателя в рамках защищенного и ведомственного контуров ГАС
«Правосудие»;
криптографическая защита данных, передаваемых по каналам связи;
возможность работы с использованием средств криптографической защиты
данных и контроля подлинности и целостности электронных документов
(ЭЦП).
– Подсистема межсетевого экранирования:
•
защита от НСД от внешнего нарушителя на базе использования
сертифицированных средств межсетевого экранирования «ИВК-Кольчуга».
– Подсистема антивирусной защиты:
•
постоянный антивирусный контроль программно-технической среды КСА
всех уровней системы;
Реализация контуров обработки информации
Наименование
Контур обработки информации
Тип
объекта
ЗащиВедомст- ПубличКСА
информации
щенный венный
ный
1. Судебный
КСА СД
+
+
+
департамент
2. Управление
Судебного
КСА
+
+
департамента по субъ- РОСД
ектам РФ
КСА
3. Суды субъектов РФ
+
+
ССРФ
4. Районный суд субъКСА РС
+
+
екта РФ
5. Окружной
КСА
+
+
+
военный суд
ОВС
6. Гарнизонный
КСА
+
+
+
военный суд
ГВС
Взаимодействие WEB-портала судебной системы г.Санкт-Петербурга и ГАС
«Правосудие»
Структурная схема ЛВС Приморского районного суда Санкт-Петербурга.
ЭТАП 1.
МЭ
Internet
Сервер БД
портала
WWW-сервер
ВЕБ-портал
ДМЗ:
ЛВС Юр.Ф-та Санкт-Петербургского У-та
Сеть
РТКом для организации публичного контура
Intel Xeon 3,2 GHz/
1Gb/1Gbit/4*72Gb /
CDROM
Intel Pentium 750MHz /
256Mb/100Mbit/2*20Gb/
CDROM
ОС: Win2003 Server
ОС: Win2003 Server
Функции:
- DNS
- DHCP
- WINS
- Domain Controller
(PDC)
- File server
Функции:
- DNS
- WINS
- Domain Controller
- Web (для внутр.
прил.)
- File server
PRM-BLUE
192.168.14.5
Текущая инфраструктура ЛВС
Приморского РС
Intel P IV 2,8GHz/512Mb/
1Gbit/2*120Gb/DVDROM
Intel Xeon 3,2 GHz/
1Gb/1Gbit/4*72Gb /
CDROM
ОС: Win2000 Server
Функции:
- File server
PRM-YELLOW
192.168.14.1
Intel Pentium
750MHz / 256Mb/
100Mbit/2*20Gb/
CDROM
ОС: Win2003Server
Функции:
- Database server
- File server
Функции:
- Proxy Server
- DNS Forwarder
PRM-WHITE
192.168.14.4
192.168.01.01
Router/МЭ
ОС: Win2003
Server
PRM-BLACK
192.168.14.3
МЭ ИВК-Кольчуга
500.xxx.xxx.001
модем
PRM-PROXY
192.168.14.9
Switch
192.168.01.02
WWW-сервер
КСА
192.168.01.03
Сервер БД (копия)
Switch
ХВК ***
Switch
ХВК***
Switch
ХВК***
Switch
ХВК***
Switch
ХВК***
Switch
ХВК***
Switch
ХВК***
...
Wrkst 1 1 Wrkst n
этаж
...
Wrkst 1 2 Wrkst n
этаж
...
Wrkst 1 3 Wrkst n
этаж
...
Wrkst 1 3 Wrkst n
этаж
...
Wrkst 1 4 Wrkst n
этаж
...
Wrkst 1 4 Wrkst n
этаж
Публичный контур ГАС
«Правосудие» на КСА Приморского
РС
Взаимодействие WEB-портала судебной системы г.Санкт-Петербурга и ГАС
«Правосудие»
Структурная схема ЛВС Приморского районного суда Санкт-Петербурга. ЭТАП 2.
Ведомственный
контур:
КСА РОСД г.
СанктПетербурга
Ведомственный
контур:
Городской суд г.
СанктПетербурга
МЭ
Ведомственный
контур:
стенд ГАС
«Правосудие»
(стенд ГИ ФГУП
НИИ «Восход»)
Ведомственный
контур:
Районные суды
Internet
ДМЗ:
ЛВС Юр.Ф-та Санкт-Петербургского У-та
Сеть
РТКом для организации ведомственного контура
ОС: Win2000 Server
Функции:
- File server
Intel Pentium 750MHz /
256Mb/100Mbit/2*20Gb/
CDROM
ОС: Win2003 Server
Функции:
- DNS
- WINS
- Domain Controller
- File server
Сеть
РТКом для организации публичного контура
Маршрутизатор
Ведомственный контур ГАС
«Правосудие» на КСА Приморского РС
Intel P IV 2,8GHz/512Mb/
1Gbit/2*120Gb/DVDROM
Intel Xeon 3,2 GHz/
2х1Gb/2х1Gbit/
4*72Gb /CDROM
ОС: Win2003
Server
Функции:
- Database server
- File server
- Web (для внутр.
прил.)
-Главная машина
ИВК-Юпитер
Intel Xeon 3,2 GHz/1Gb/1Gbit/
4*72Gb /CDROM
ОС: Win2003 Server
Функции: сервер приложений
- Шлюз прикладного уровня
контроля НСД «ИВК-Юпитер»
- DNS
- DHCP
- WINS
- Domain Controller
(PDC)
- File server
192.168.50.2
PRM-YELLOW
192.168.14.1
PRM-BLUE
192.168.14.5
МЭ ИВК-Кольчуга
500.xxx.x
xx.001
Дополнительные
средства СОВ
192.168.1.1
IP-шифратор
Заслон-К
Switch
МЭ ИВК-Кольчуга
Транспортный шлюз
PRM-BLACK
192.168.14.3
Сервер БД
портала
WWW-сервер
ВЕБ-портал
192.168.1.2
192.168.1.3
Динамическое
обновление
192.168.15.2
192.168.14.2
WWW-сервер
КСА
PRM-WHITE
192.168.50.1
Сервер БД (копия)
Switch
ХВК ***
Wrkst 1
Switch
ХВК***
Switch
ХВК***
Switch
ХВК***
Switch
ХВК***
Switch
ХВК***
Switch
ХВК***
...
Wrkst 1 1 Wrkst n
этаж
...
Wrkst 1 2 Wrkst n
этаж
...
Wrkst 1 3 Wrkst n
этаж
...
Wrkst 1 3 Wrkst n
этаж
...
Wrkst 1 4 Wrkst n
этаж
...
Wrkst 1 4 Wrkst n
этаж
...
Wrkst n
Публичный контур ГАС
«Правосудие» на КСА Приморского
РС
Средства организации вычислительного процесса, транспортный модуль, средства УКФ, средства контроля НСД ОПО ИВК-Юпитер 5.0
Организация обмена, осуществляемого по
защищенной магистрали через PROXY
Клиент
Клиент
Клиент
Обработка
данных
Сервер
приложений
Сервер СУБД
PROXY
Запросы и
отфильтрованные
данные
Запрет прямого доступа клиента к серверу без
осуществления процедуры авторизации.
Комплекс средств защиты портала Верховного суда РФ (www.vsrf.ru) и
органов судейского сообщества (www.vkks.ru, www.ssrf.ru )
ПСПД
Транспортная
магистраль ГАС
«Правосудие»
МЭ
ЦИТАДЕЛЬ
Web-сервер
ДМЗ
Сервер реплики
СУБД Oracle
МЭ ИВК Кольчуга,
шлюз UP
Сервер портала,
СУБД MySQL
Витрина данных
Локальная сеть ведомственного контура
Защищенная транспортная магистраль «ИВК Юпитер™»
Пакеты TCP/IP
Подсистема разграничения доступа и контроля НСД
на базе СЗИ ОПО «ИВК-Юпитер» вер. 5.0
Состав имитаторов КСА стендового комплекса ГИ
Представление данных на уровне КСА
(Прототип Витрины данных ГАС «Правосудие»)
Средства управления политикой безопасности КСА.
Подсистема управления доступом.
Средства управления политикой безопасности КСА.
Подсистема управления доступом.
Средства управления политикой безопасности КСА.
Подсистема управления доступом.
Средства управления политикой безопасности КСА.
Подсистема управления доступом.
Разграничение доступа к информационным ресурсам КСА (подсистема
«Организационное обеспечение»)
Средства управления политикой безопасности КСА.
Подсистема управления доступом.
Разграничение доступа к информационным ресурсам КСА (подсистема
«Организационное обеспечение»)
Средства управления политикой безопасности КСА.
Подсистема управления доступом.
АРМ ОБИ
Средства управления политикой безопасности КСА.
Подсистема управления доступом.
АРМ ОБИ.
Средства управления политикой безопасности КСА.
Подсистема управления доступом.
Разграничение доступа к информационным ресурсам КСА (подсистема
«Организационное обеспечение»)
Средства управления политикой безопасности КСА.
Подсистема управления доступом.
АРМ ОБИ.
Средства управления политикой безопасности КСА.
Подсистема управления доступом.
АРМ ОБИ.
Средства управления политикой безопасности КСА.
Подсистема управления доступом.
Разграничение доступа к информационным ресурсам КСА (подсистема
«Организационное обеспечение»)
Подсистема организации защищенного почтового
документооборота и использования ЭЦП
Конверт UP
Номер ИСХ.
HTML
Отправитель
…DBF,
DOC…
Получатель:
IVANOV@89UD0013
XML
ГРИФ
•Документы
Внутри
•Сообщения
SMTP пакет
•Файлы
КВИТИРОВАНИЕ
SMTP
агент
Приложение 2
Приложение 1
SMTP
агент
Подсистема организации защищенного почтового документооборота
и использования ЭЦП
Подсистема организации защищенного почтового документооборота
Электронная цифровая подпись (ЭЦП)
Защищенный почтовый документооборот.
Организация информационного взаимодействия в рамках подсистем
«Документооборот» и «Обращения граждан»
Подсистема организации защищенного почтового документооборота.
Регистрация информационного обмена в рамках транспортной
магистрали ГАС «Правосудие»
Подсистема межсетевого экранирования ГАС «Правосудие» на базе
МЭ «ИВК-Кольчуга»
ЛВС
ЛВС
Администратор
МЭ "ИВК Кольчуга"
Удаленное администрирование по доверенному
каналу связи с использованием протокола SSH
из доверенного IT-продукта
МЭ "ИВК Кольчуга-К"
Internet
Администратор
МЭ "ИВК Кольчуга"
Локальное администрирование с
использованием протоколов
http и https
Администратор
МЭ "ИВК Кольчуга"
Удаленное администрирование по доверенному
каналу связи с использованием протоколов
http и https в доверенной среде внутренней
локальной сети
Подсистема межсетевого экранирования ГАС «Правосудие» на базе
МЭ «ИВК-Кольчуга»
МЭ "ИВК Кольчуга"
Система управления
ALTerator
Функциональные серверы
Proxy
Web
DNS
Mail
APT
Hunk
File
Dr.Web
Ядро
Межсетевой экран
Подсистема межсетевого экранирования ГАС «Правосудие» на базе
МЭ «ИВК-Кольчуга»
Подсистема межсетевого экранирования ГАС «Правосудие» на базе
МЭ «ИВК-Кольчуга»
Аппаратный шифратор "Заслон"
Необслуживаемый режим работы:
- вмешательство оператора требуется только для смены ключей и при
компрометации узла сети
Основные характеристики:
-
-
Защита от вскрытия;
Алгоритм шифрования: по ГОСТ 28147-89
Ключевая схема:
– «Звезда»
– «Полная матрица»
Режим функционирования: полнодуплексный
Скорость обработки сетевого трафика:
– не менее 200 тыс. пакетов в секунду
– не менее 180 Мбит в секунд
Аппаратный шифратор "Заслон"
Основная плата изделия
Схема построения большой сети (до 9900 узлов) шифрованной связи на базе АПШ «Заслон» (изделие М-543)
192.2.1.0/24
192.1.1.0/24
...
...
192.2.99.0/24
192.1.99.0/24
128.0.0.0/2
128.0.0.0/2
Ключевая зона 2
Ключевая зона 1
Ключевая зона 0
128.0.0.1
128.0.0.2
128.2.0.2
128.1.0.0/16
128.2.0.0/16
Трансляция адреса отправителя:
192.2.x.y→128.2.x.y
АПШ «Заслон»
Маршрутизатор
Трансляция адреса получателя:
192.100.x.y←128.100.x.y
Обозначения
Трансляция адреса отправителя:
192.100x.y→128.100.x.y
Трансляция адреса получателя:
192.2.x.y←128.2.x.y
128.100.0.0/16
128.1.0.2
Трансляция адреса отправителя:
128.1.x.y←192.1.x.y
Трансляция адреса получателя:
128.1.x.y→192.1.x.y
128.100.0.2
128.0.0.100
128.0.0.0/2
Защищаемая ЛВС
192.100.1.0/24
Ключевая зона
Транспортная сеть
Зона перешифрования
...
192.100.99.0/24
Ключевая зона 100
Скачать