Решения
Продукция
Загрузить
Главная страница / Решения / Обеспечение безопасного межсетевого взаимодействия в ИСПДн

Обеспечение безопасного межсетевого взаимодействия в ИСПДн

Обеспечение безопасного межсетевого взаимодействия в ИСПДн с использованием программного комплекса UserGate Proxy&Firewall 5.2.F

Одним из обязательных методов защиты от несанкционированного доступа (НСД) информационных систем обрабатывающих конфиденциальную информацию или персональные данные (ИСПДн), имеющих доступ в Интернет, является обеспечение безопасного межсетевого взаимодействия [1,2]. Безопасное межсетевое взаимодействие достигается применением средств межсетевого экранирования, обеспечивающих выполнение следующих функций [1]:

  • фильтрацию на сетевом уровне независимо для каждого сетевого пакета (решение о фильтрации принимается на основе сетевых адресов отправителя и получателя или на основе других эквивалентных атрибутов);
  • фильтрацию пакетов служебных протоколов, служащих для диагностики и управления работой сетевых устройств;
  • фильтрацию с учетом входного и выходного сетевого интерфейса как средства проверки подлинности сетевых адресов;
  • фильтрацию с учетом любых значимых полей сетевых пакетов;
  • регистрацию и учет фильтруемых пакетов (в параметры регистрации включаются адрес, время и результат фильтрации);
  • идентификацию и аутентификацию администратора межсетевого экрана при его локальных запросах на доступ по идентификатору (коду) и паролю условно-постоянного действия;
  • регистрацию входа (выхода) администратора межсетевого экрана в систему (из системы) либо загрузки и инициализации системы и ее программного останова (регистрация выхода из системы не проводится в моменты аппаратурного отключения межсетевого экрана);
  • регистрацию запуска программ и процессов (заданий, задач);
  • контроль целостности своей программной и информационной части;
  • восстановление свойств межсетевого экрана после сбоев и отказов оборудования;
  • регламентное тестирование реализации правил фильтрации, процесса регистрации, процесса идентификации и аутентификации администратора межсетевого экрана, процесса регистрации действий администратора межсетевого экрана, процесса контроля за целостностью программной и информационной части, процедуры восстановления.

Используемые для защиты ИСПДн межсетевые экраны помимо соответствия перечисленным требованиям должны пройти, установленным порядком, процедуру сертификации на соответствие требованиям безопасности [3].

В качестве комплексного решения для межсетевого экранирования ИСПДн, предлагается использовать UserGate Proxy&Firewall 5.2.F. Кроме организации безопасного доступа в Интернет, UserGate позволяет обеспечивать:

  • дополнительную защиту от сетевых атак и других типов вторжений, блокируя трафик по определенным портам (TCP, UDP или любой другой IP-протокол);
  • создание различных наборов правил для управления внешним и внутренним трафиком;
  • комплексную антивирусную защиту. В целях качественной проверки трафика на предмет наличия вредоносного ПО, в UserGate могут быть включены два антивирусных модуля — Антивирус Касперского и Panda Antivirus. При этом обеспечивается двойная антивирусная проверка трафика по протоколам HTTP, FTP, SMTP и POP3.
  • полный контроль над использованием Интернет-трафика в компании. На основе данных статистики руководители могут определять политику доступа в Интернет в компании, которая затем реализуется с помощью гибкой системы правил управления трафиком в UserGate;
  • простое администрирование сетевыми ресурсами. Встроенный DHCP-сервер автоматизирует процесс выдачи IP-адресов устройствам в локальной сети. Если компьютер с UserGate подключен к нескольким локальным сетям, сервер UserGate можно настроить как маршрутизатор (router), обеспечив прозрачную, двунаправленную связь между локальными сетями. Публикация ресурсов позволяет предоставить доступ к внутренним ресурсам компании, например к Web, FTP, VPN или к почтовому серверу;
  • удаленное администрирование по локальной сети или через Интернет с любого компьютера, на котором установлена Консоль Администрирования UserGate и др.

UserGate Proxy&Firewall 5.2.F сертифицирован на соответствие требованиям руководящих документов ФСТЭК (Гостехкомиссии) России:

  • "Безопасность информационных технологий. Критерии оценки безопасности информационных технологий" – по ОУД2;
  • "Средства вычислительной техники. Межсетевые экраны. Защита от НСД к информации" – по 4 классу защищенности;
  • "Защита от несанкционированного доступа к информации. Часть 1. Программное обеспечение средств защиты информации. Классификация по уровню контроля отсутствия недекларированных возможностей" – по 4 уровню контроля.

UserGate Proxy & Firewall 5.2.F может использоваться для защиты:

  • конфиденциальной информации в автоматизированных системах до класса защищенности 1Г включительно;
  • персональных данных в информационных системах персональных данных до 1-го класса включительно.

СООТВЕТСТВИЕ ТРЕБОВАНИЯМ ДОКУМЕНТОВ ФСТЭК РОССИИ

Основные механизмы защиты UserGate Proxy&Firewall 5.2.FТребования документов ФСТЭК России к межсетевому экранированию

РД АС

Положение о методах и способах защиты информации в ИСПДн
К4К3К2К1
1.
Фильтрация на сетевом уровне для каждого сетевого пакета+++++
2.
Фильтрация пакетов служебных протоколов+++++
3.
Фильтрация с учетом выходного и выходного сетевого интерфейса +00++
4.
Фильтрация с учетом полей сетевых пакетов+00++
5.
Фильтрация на транспортном уровне запросов на установление виртуальных соединений0000+
6.
Фильтрация на прикладном уровне запросов к прикладным сервисам0000+
7.
Идентификация и аутентификация администраторов при локальном доступе+++++
8.
Предотвращение доступа неидентифицированного пользователя0000+
9.
Аутентификация входящих и исходящих запросов методами устойчивыми к пассивному и (или) активному прослушиванию0000±1
10.
Регистрация входа (выхода)+++++
11.
Регистрация и учет фильтруемых пакетов+00++
12.
Регистрация запуска программ и процессов+00++
13.
Регистрация действий администратора 0000+
14.
Регистрация виртуальных соединений0000+
15.
Возможность дистанционного управления0000+
16.
Контроль целостности+++++
17.
Контроль целостности по контрольным суммам0000+
18.
Сигнализация попыток нарушения правил фильтрации0++++
19.
Восстановление свойств после сбоев и отказов+++++
20.
Регламентное тестирование+++++
+ – требования выполняются
0 – не предъявляются требования
1 – требование выполняется при настройке запрета на удаленное администрирование либо при использовании наложенных сертифицированных средств аутентификации, для удаленной авторизации на сервере UserGate;

Типовой вариант использования программного комплекса UserGate Proxy&Firewall 5.2.F подразумевает сегментирование сети, имеющей доступ в Интернет, на различные зоны сетевой безопасности (каждая с определенным уровнем доступа и контроля) в соответствии с корпоративной политикой доступа к информационным ресурсам и организацию фильтрации сетевого трафика по задаваемым правилам (фильтрам). Ниже представлен вариант системы фильтров, наиболее обще отражающей спектр основных задач обеспечения контролируемой защиты "периметра" корпоративной сети (см. рисунок):

  • Внешние пользователи имеют доступ в демилитаризованную зону (DMZ), не входящую в состав ИСПДн, по определенному набору коммуникационных протоколов (Ф1);
  • Доступ к ИСПДн из удаленного офиса и внешних сетей производится по защищенному каналу (VPN) (Ф 2);
  • Обмен данными пользователей ИСПДн и их доступ к серверному сегменту (базе данных, серверу безопасности и пр.) организован по строго ограниченному набору протоколов и правил (Ф3);
  • Пользователи корпоративной сети для доступа в открытую сеть Интернет используют proxy-сервисы межсетевого экрана, (фильтр 4).

Литература:

  1. Положение о методах и способах защиты информации в информационных системах персональных данных (Утверждено приказом ФСТЭК России от 5 февраля 2010 г. N 58).
  2. Средства вычислительной техники. Межсетевые экраны. Защита от НСД к информации. Показатели защищенности от НСД к информации (Утверждено решением председателя Гостехкомиссии России от 25 июля 1997 г).
  3. Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации (Утверждено решением председателя Гостехкомиссии России от 30 марта 1992 г).