Обеспечение информационной безопасности: опыт проекта «Услуга 360» от компании «РТ-ИНФОРМ»

28 Декабря 2016
Создание единой интегрированной ИТ-инфраструктуры для Государственной корпорации «Ростех» в рамках проекта «Услуга 360» потребовало разработки и реализации проектных решений по созданию системы защиты информации.

Необходимо было учесть ряд специфических требований:

  • возможность совместной проектной работы сотрудников территориально-распределенных подразделений и предприятий Государственной корпорации «Ростех», обмена информацией в единой ИТ-среде;
  • возможность использования сотрудниками офисных принтеров при сохранении контроля работы устройств и сохранности бизнес-данных;
  • возможность использования системы видеоконференцсвязи, системы совместной работы с документами, организации презентаций для различных групп сотрудников;
  • обеспечение удобства работы пользователей с информационными системами;
  • использование среды виртуализации;
  • потребность в доступе к централизованным информационным системам Государственной корпорации «Ростех» на всей территории Российской Федерации, в том числе с мобильных устройств.

Первоначально было сформировано условие о соответствии системы защиты информации проекта «Услуга 360» требованиям по безопасности информации по классу защищенности «1Г» для автоматизированных систем и по «3» уровню защищенности для персональных данных, обрабатываемых в информационных системах персональных данных, с последующим проведением оценки соответствия в виде аттестации по требованиям безопасности информации.

Специалисты ООО «РТ-ИНФОРМ» при поддержке ООО «Сервионика» (ГК «Ай-Теко») провели анализ целесообразности проектирования системы защиты информации проекта «Услуга 360» по обозначенным требованиям безопасности информации с учетом вышеуказанных особенностей построения его ИТ-инфраструктуры. В ходе этой работы были рассмотрены преимущества и недостатки проведения классификации проекта «Услуга 360», как объекта информатизации, по требованиям РД1 Гостехкомиссии (ФСТЭК) России и Приказа2 ФСТЭК России №17 с учетом возможности выполнения требований «3» уровня защищенности для персональных данных, обрабатываемых в информационных системах персональных данных, в соответствии с Приказом3 ФСТЭК России №21. Результаты проведенного анализа приведены в таблице 1.

Таблица 1.

Вариант классификации/

Особенности

РД Гостехкомиссии (АС)

Приказ
ФСТЭК № 17

Примечание

Накопленный опыт применения

+

-

 

Обязательность применения сертифицированных СЗИ

-

+

Рассматривался класс защищенности «1Г» для автоматизированных систем

Выполнение требований приказа ФСТЭК № 21 для возможности размещения ИСПДн

-

+

Без проведения отдельной (дополнительной) аттестации

Возможность внесения изменений в оборудование и технологический процесс, масштабирование оборудования и процессов

-

+

Без проведения дополнительной аттестации

Увеличение количества удаленных подключений пользователей

-

+

Без проведения дополнительной аттестации, использование типовых подключений

Учет особенностей технологии ЦОД как распределенной информационной системы

-

+

 

Возможность использования мобильных устройств для доступа к централизованным информационным ресурсам

-

+

 

Соответствие требований по обеспечению безопасности информации современным угрозам

-

+

 

Высокая сложность и стоимость реализации СЗИ

-

+

 

  1. Руководящий документ «Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации», утвержденный решением председателя Государственной технической комиссии при Президенте Российской Федерации от 30 марта 1992 г.
  2. Приказ ФСТЭК России от 11 февраля 2013 г. № 17 «Об утверждении требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах».
  3. Приказ ФСТЭК России от 18 февраля 2013 г. №21 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных».

К моменту завершения анализа была опубликована информация о планируемом внесении изменений в Федеральный закон от 27.07.2006г. «Об информации, информационных технологиях и о защите информации» №ФЗ-149 в части распространения требований по защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах, на информационные системы государственных корпораций. В случае принятия данных изменений в Федеральный закон на проект «Услуга 360» будут распространяться требования по защите информации в государственных информационных системах (ГИС), устанавливаемые Приказом ФСТЭК России от 11.02.2013г. №17. 

Приведенная информация повлекла изменение позиции в части выбора нормативно-методических документов ФСТЭК России, в соответствии с которыми должны определяться требования по защите информации в рамках проекта «Услуга-360» - были зафиксированы требования о необходимости соответствовать требованиям по защите информации для государственных информационных систем в соответствии с Приказом ФСТЭК России №17. Проведенная классификация установила класс защищенности «К3» для государственных информационных систем.

Согласно п.13 Приказа ФСТЭК России №17 специалистами «РТ-ИНФОРМ» были сформированы требования по защите информации, содержащейся в государственной информационной системе, в виде Частного технического задания на систему защиты информации и далее совместно со специалистами ООО «Сервионика» (ГК «Ай-Теко») разработана, спроектирована и внедрена система защиты информации.

В рамках системы защиты информации проекта «Услуга 360» реализовано 56 мер защиты информации в соответствии с приказами ФСТЭК России № 17 и № 21. При этом по требованиям к ГИС дополнительно реализованы 7 мер защиты, которые ранее не рассматривались:
ЗСВ.9    Реализация и управление антивирусной защитой в виртуальной инфраструктуре.
ЗСВ.10    Разбиение виртуальной инфраструктуры на сегменты (сегментирование виртуальной инфраструктуры) для обработки информации отдельным пользователем и (или) группой пользователей.
ЗИС.5    Запрет несанкционированной удаленной активации видеокамер, микрофонов и иных периферийных устройств, которые могут активироваться удаленно, и оповещение пользователей об активации таких устройств.
ЗИС.30    Защита мобильных технических средств, применяемых в информационной системе.
ОЦЛ.1    Контроль целостности программного обеспечения, включая программное обеспечение средств защиты информации.
ЗИС.17    Разбиение информационной системы на сегменты (сегментирование информационной системы) и обеспечение защиты периметров сегментов информационной системы.
ЗИС.23    Защита периметра (физических и (или) логических границ) информационной системы при ее взаимодействии с иными информационными системами и информационно-телекоммуникационными сетями.
Таким образом, спроектированная и внедренная система защиты информации проекта «Услуга 360» включает в себя следующие подсистемы:

  • подсистема защиты от НСД;
  • подсистема антивирусной защиты;
  • подсистема криптографической защиты информации;
  • подсистема межсетевого экранирования;
  • подсистема анализа защищенности;
  • подсистема контроля действий привилегированных пользователей;
  • подсистема защиты тонких клиентов.

Первоначальные планы по использованию встроенных функций безопасности платформы «РУСТЭК», созданной компанией «Сервионика» (ГК «Ай-Теко») в 2013 году, были скорректированы при проектировании системы защиты информации проекта «Услуга 360» в связи с отсутствием на данную платформу сертификата ФСТЭК России по требованиям безопасности информации. Защитные меры были реализованы наложенными сертифицированными средствами защиты информации. 

Для выполнения требований п.18 Приказа ФСТЭК России №17 об обеспечении защиты информации в ходе эксплуатации аттестованной информационной системы, в ООО «РТ-ИНФОРМ» был создан Центр обнаружения, предупреждения и ликвидации последствий компьютерных атак, который в октябре 2016 года получил статус корпоративного центра для Государственной корпорации «Ростех». Данный корпоративный центр взаимодействует с государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации (ГосСОПКА).

В августе 2016 года необходимый и достаточный уровень обеспечения безопасности информационных ресурсов был подтвержден успешным прохождением аттестационных испытаний на соответствие требованиям по защите информации, установленных для государственных информационных систем.

Проведенная работа по созданию системы защиты информации проекта «Услуга 360» позволила реализовать возможность как удаленного подключения различных типов рабочих мест к централизованным ресурсам, так и изменение количества подключенных рабочих мест, исходя из текущей оперативной необходимости. Для удаленных пользователей установлены типовые варианты подключения к централизованным информационным ресурсам, используемые в настоящий момент в Государственной корпорации «Ростех», выбор конкретного типа подключения остается за удаленным пользователем.

Важным преимуществом является возможность размещения в ЦОД Госкорпорации новых информационных систем, с автоматическим распространением на них аттестата соответствия требованиям по защите информации для государственных информационных систем без потери временных и материальных ресурсов на проведение их дополнительной аттестации. 

 

Валерий Комаров, менеджер по информационной безопасности «РТ-ИНФОРМ»

Комментарии (0)

Комментировать могут только авторизованные пользователи.
Предлагаем Вам в систему или зарегистрироваться.