Записи с меткой Защита информации

0

Шифрование данных на компьютерах и серверах компании

Красная кнопкаНадежную крипто-защиту информации в Вашей компании сможет обеспечить только комплексный подход к шифрованию данных на компьютерах и серверах Вашей организации. Еще на этапе проектирования системы защиты нужно определить, какие программные и аппаратные средства будут использованы и какой функционал, возможно, потребуется в дальнейшем:

управление шифрованными носителями через SMS с обычного сотового телефона

управление шифрованными носителями через SMS с обычного сотового телефона

радио-брелок аварийного отключение или уничтожения информации с радиусом действия до 1 км

отключение шифрованных дисков одним щелчком мыши на любом удобном Вам компьютере

блокирование дисков в случае доступа в охраняемое помещение без предварительного снятия с охраны

замену паролей электронными ключами доступа (USB-брелок), без которых невозможно расшифровать диск

удаленное включение серверов с зашифрованными данными – Вы можете установить сервер в другом городе или даже стране, и управлять им удаленно без риска кражи паролей или взлома системы защиты

технологию кворума ключей: дверь отпирается не одним, а несколькими ключами, вставленными одновременно. Таким образом, груз ответственности не лежит на одном человеке, давление на одного из держателей ключей не может привести к краже информации

возможность физического уничтожения данных на дисках с помощью сильного электромагнитного импульса

Решение должно работать с любыми носителями информации, как то: жесткие диски, flash-диски, RAID массивы, хранилища данных SAN и NAS и любые другие. Если Вы можете записать на носитель информации файл Word – это значит, что он может быть хранилищем зашифрованных данных. Должна иметься возможность  доработка системы под требования компании, как то:

  • выполнение определенных действий на компьютере в случае тревоги
  • отключение в случае опасности сетевых соединений, например, разрыв связи с сервером, при этом все прочие сервисы продолжают работать
  • завершение работы какой-либо определенной программы в пределах всего офиса, например мгновенное закрытие программы «1С» во всем офисе с радио-брелока
  • отправка уведомлений по СМС или электронной почте
  • сложные системы контроля доступа в помещение. Например, срабатывание защиты в случае, если дверь серверного шкафа открыта в то же время, когда открыта дверь в серверную, или когда дверь в серверной открыта непрерывно более 20 секунд

Преимуществом нашей системы шифрования является возможность интеграции с открытыми решениями в области шифрования данных, например, таких как TrueCrypt.

Схема крипто-комплекса

Это гарантирует отсутствие в системе «черных ходов», поскольку мы не поставляем сами алгоритмы и методы шифрования. Системы шифрования с открытым кодом доступны для свободного скачивания через интернет, а нашей задачей является расширение их функционала и доработки под требования покупателя без вмешательства в сам процесс шифрования. Дополнительным преимуществом является постоянное бесплатное обновление и развитее системы.

www.prosperity-systems.ru

0

Защищенный программно-аппаратный комплекс 1С Предприятие?

В начале этого года на сайте 1С появилась информация, о том, что в рамках работ по реализации мероприятий по организации и техническому обеспечению безопасности персональных данных (нормы 152-ФЗ «О персональных данных»), фирмой «1С» проводятся работы по добровольной сертификации ПО 1С  во ФСТЭК России.

Сертифицируются следующие программные продукты:

  • защищенный программно-аппаратный комплекс «1С:Предприятие, версии 8.2z» на соответствие требованиям руководящих документов по защите от НСД -5 класс. Классификация по уровню контроля отсутствия НДВ по 4 уровню контроля, использованию в АС до класса 1Г включительно, а также на соответствие требованиям, предъявляемым к СЗИ, входящим в состав ИСПДн, по обработке персональных данных до класса К2 включительно (ожидаемое время получения сертификата — январь-февраль 2010);
  • защищенный программно-аппаратный комплекс «1С:Предприятие, версии 7.7z» по обработке персональных данных до К3 включительно (ожидаемое время получения сертификата — февраль 2010).

Не смотря на то, что в полную силу закон вступит только с 01 января 2011 года, рассмотрим, что конкретно скрывается за соответствиями перечисленным классам защиты информации.

Соответствие классу К2 по защите персональных данных

К системам класса К2 в режиме многопользовательского доступа с разными правами предъявляются следующие требования:

  1. идентификация и проверка подлинности пользователя при входе в систему информационной системы по паролю условно-постоянного действия длиной не менее шести буквенно-цифровых символов
  2. регистрация входа (выхода) пользователя в систему (из системы) либо регистрация загрузки и инициализации операционной системы и ее программного останова. Регистрация выхода из системы или останова не проводится в моменты аппаратурного отключения информационной системы. В параметрах регистрации указываются дата и время входа (выхода) пользователя в систему (из системы) или загрузки (останова) системы, результат попытки входа (успешная или неуспешная), идентификатор (код или фамилия) пользователя, предъявленный при попытке доступа
  3. учет всех защищаемых носителей информации с помощью их маркировки и занесение учетных данных в журнал учета с отметкой об их выдаче (приеме)
  4. обеспечение целостности программных средств системы защиты персональных данных, обрабатываемой информации, а также неизменность программной среды. При этом целостность программных средств проверяется при загрузке системы по контрольным суммам компонентов средств защиты информации, а целостность программной среды обеспечивается использованием трансляторов с языков высокого уровня и отсутствием средств модификации объектного кода программ в процессе обработки и (или) хранения защищаемой информации
  5. физическая охрана информационной системы (устройств и носителей информации), предусматривающая контроль доступа в помещения информационной системы посторонних лиц, наличие надежных препятствий для несанкционированного проникновения в помещения информационной системы и хранилище носителей информации
  6. периодическое тестирование функций системы защиты персональных данных при изменении программной среды и пользователей информационной системы с помощью тест-программ, имитирующих попытки несанкционированного доступа
  7. наличие средств восстановления системы защиты персональных данных, предусматривающих ведение двух копий программных компонентов средств защиты информации, их периодическое обновление и контроль работоспособности

Для соответствия классу К2 фирм 1С реализовала в конфигурациях работающих на базе платформы «1С:Предприятие 8.2» возможность регистрации ряда событий, настройка которых возможна на вкладке «Защита персональных данных».

Соответствие требованиям руководящих документов по защите от несанкционированного доступа к информации (класс 1Г)

В дополнение к классу К2 по защите персональных данных, требования по НСД класса 1Г конкретизирует требования к подсистемам управления доступом, учета и обеспечения целостности. Например:

  1. регистрация попыток доступа программных средств (программ, процессов, задач, заданий) к защищаемым файлам
  2. регистрация выдачи печатных (графических) документов на «твердую» копию с указанием дополнительных параметров регистрации

Соответствие по уровню контроля отсутствия недекларированных возможностей по 4 уровню контроля

Требования к 4 уровню контроля:

  1. контроль состава и содержания документации (описание программы с указанием контрольных сумм файлов, входящих в состав ПО, исходные тексты программ, входящих в состав ПО)
  2. контроль исходного состояния ПО (расчет текущих контрольных сумм ПО и сравнение с исходным состоянием)
  3. статический анализ исходных текстов программ (контроль полноты и отсутствия избыточности исходных текстов ПО на уровне файлов, контроль соответствия исходных текстов ПО его загрузочному коду)
  4. формирование отчетности по 1-3 пунктам

Направление в части повышения уровня безопасности продуктов 1С выбрано верное, но, к сожалению, отсутствие подсистемы криптографической защиты не позволяет говорить о надежной защите конфиденциальной информации.

Изначально включенные в нормы 152-ФЗ требования о применение СКЗИ, были исключены, скорее всего, из-за боязни того, что контролирующие органы не смогут при необходимости получить доступ к изъятой информации. Такой подход к защите информации вызывает только недоумение и заставляет искать дополнительные способы защиты данных в учетных системах 1С.

0

Защита от несанкционированного доступа к сети

Вам наверняка знакома такая ситуация: кто-то из сотрудников отправился в отпуск или командировку, и его дела нужно передать другому. Для передачи той части дел, которая связана с работой за компьютером, доверенному лицу чаще всего просто сообщают пароль временно отсутствующего коллеги.

Проблема в том, что, возвратившись на работу, сотрудник забывает сменить свой пароль.

Далее, в любой компании порой возникает потребность в организации удаленной работы. Причин может быть множество: командировки линейного персонала и руководства, болезни, внештатные ситуации и т.п. Решить эту проблему позволяет удаленный доступ, например с использованием технологии Microsoft Remote Desktop Services.

Для авторизации пользователя при входе на «удаленный рабочий стол» обычно используется тот же самый пароль, что и в офисе.

Смоделируем ситуацию. Руководитель на время отпуска передал свой пароль подчиненному, а по возвращении забыл его сменить. При этом у руководителя есть удаленный доступ (он – доверенное лицо компании). Подобное встречается в крупных компаниях сплошь и рядом.

Таким образом подчиненный получает доступ к документам своего начальника, и даже удаленный доступ. А если у подчиненного недостаточно прав, скажем для доступа в интернет, пароль руководителя становится его вторым паролем.

Через некоторое время подчиненный увольняется, его учетную запись блокируют (что на самом деле не так уж и важно: ведь у него нет удаленного доступа, а служба охраны не пустит его в помещение компании без пропуска). Но пароль начальника остается у уволенного сотрудника! И вот бывший сотрудник компании сидит в офисе конкурента с удаленным доступом к своему старому месту работы, да еще и с правами своего бывшего руководителя!

Согласитесь, риски утечки конфиденциальной информации велики? Ведь это гораздо опаснее, чем разовое хищение документов, поскольку все новые наработки компании в данном случае мгновенно становятся достоянием конкурентов.

К сожалению, административные методы не помогают решить проблему: все равно рано или поздно пароль понадобится передать, а врожденная человеческая лень довершит дело – пароль станет известен не только владельцу. Каков же выход?

Ответ прост: так называемая двухфакторная авторизация, или смарт-карты. Их аналогом являются токены – ключи USB со встроенной смарт-картой и блоком управления (который в первом случае находится в считывателе смарт-карт). Токены, помимо знания секрета (пароля), предполагают наличие у человека некоторого предмета (самого токена). Как знание пароля без токена, так и наличие токена без пароля – бесполезны. Вот что нам это дает.

  1. Потеря сотрудником токена не останется незамеченной службой безопасности, поскольку уже на следующий день он не сможет зайти в систему под своей учетной записью. Ему придется обратиться к администратору сети, который заблокирует старый токен и создаст для сотрудника новый.
  2. Несколько людей не смогут одновременно работать под одним именем: действующий токен – только один, и одновременно он может быть подключен только к одному компьютеру.
  3. Потеря токена, в отличие от потери пароля, не страшна, так как количество вводов пароля на токене ограничено (как правило не более 10 попыток), после чего он блокируется, а записывать пароль на бумаге не нужно (обычно это 4-значное число, которое легко запомнить). И даже при потере токена с приложенным листком с паролем риск минимален: сотрудник все равно в скором времени обратится к администратору (см. пункт 1).
  4. Упрощается процедура подключения: пользователю не требуется помнить написание своего логина и заучивать длинные пароли – достаточно простого пароля из 4-6 цифр. Информация о пользователе, которому принадлежит токен, записана на самом токене.
  5. Существуют модели токенов, совмещенные с магнитными картами доступа в помещение (устанавливаемыми на дверях), что позволяет иметь один небольшой брелок для доступа к любым данным компании. Вдобавок это вынудит сотрудников, покидающих свое рабочее место даже на короткое время, брать токены с собой, а извлечение токена приводит к блокировке компьютера. А это значит, что никто не сможет незаметно покопаться в документах сотрудника во время обеденного перерыва.
  6. На одном токене может храниться несколько сертификатов доступа, что, например, позволит дополнительно организовать шифрование электронной почты или разместить на токене сертификаты банк-клиентов.

Внедрение системы осуществляется, как правило, за один день. До тех пор пока все сотрудники не обзаведутся токенами, вы можете совмещать использование токенов и обычных паролей. Стоимость одного брелка начинается от 750 рублей (в зависимости от модели). Согласитесь, это совсем небольшие затраты, но они могут защитить компанию от крупных неприятностей.

www.prosperity-systems.ru

0

Защита баз 1С

Большинство российских компаний для автоматизации учетных задач используют программные решения на базе платформы 1С:Предприятие. Учетные системы на базе 1С решают на предприятии различные задачи, и часто именно в этих учетных системах хранится конфиденциальная информация, которая ни при каких обстоятельствах не должна стать доступной посторонним. Выход этой информации за пределы компании или ее утрата может нанести очень серьезный удар по бизнесу, вплоть до его закрытия.

К сожалению, все типовые решения на базе «1С:Предприятие» имеют низкий уровень защиты хранимой в них информации. Конфигурации на базе «1С:Предприятие 7.7» фактически не имеют защиты от несанкционированного доступа: любой пользователь базы может повысить свои привилегии в системе до уровня администратора путем простого удаления или переименования файла в каталоге базы. После получения прав администратора пользователь не только может просмотреть скрытые от него данные, но и скопировать или выгрузить себе всю базу данных. Платформа 1С 8.1 значительно превосходит по защищенности платформу 7.7, но, не смотря на это, существуют достаточно простые и доступные программные решения, позволяющие узнать пароль администратора и скопировать хранимую в базе информацию.

Нашими специалистами разработано комплексное решение, позволяющее решить проблемы защиты баз 1С и других учетных систем:  Защита баз 1С.

www.prosperity-systems.ru