Разграничение информационных систем при защите персональных данных
Предмет данной статьи — разграничение информационных систем при защите персональных данных с помощью программы Киберсейф Межсетевой экран. В статье будет показан пример развертывания программы и разграничения доступа групп ПК в реальной компании.
Требования к защите информационных систем персональных данных....
Требования к защите информационных систем персональных данных
ИСПДн (Информационная система персональных данных) – информационная система, представляющая собой совокупность персональных данных, содержащихся в базе данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных с использованием средств автоматизации или без использования таких средств. Согласно приказу ФСТЭК России №21 от 18 февраля 2013 г., для обеспечения 3 уровня защищенности персональных данных применяются (пункт 12б):межсетевые экраны не ниже 3 класса в случае актуальности угроз 2-го типа или взаимодействия информационной системы с информационнотелекоммуникационными сетями международного информационного обмена и межсетевые экраны не ниже 4 класса в случае актуальности угроз 3-го типа и отсутствия взаимодействия информационной системы с информационно-телекоммуникационными сетями международного информационного обмена; В этой статье будет рассмотрено практическое использование программы Киберсейф Межсетевой экран, которая на данный момент сертифицирована по 4-ому уровню защищенности, однако в течение месяца будет сертифицирована по 3-ему уровню (сертификат уже находится на подписи в ФСТЭК). С соответствующим сертификатом можно ознакомиться на сайте компании КиберСофт. Ссылка на государственный реестр сертифицированного ПО будет приведена в конце статьи.Постановка задачи
Структура компании, в которой мы недавно внедряли программу Киберсейф Межсетевой экран, изображена на рис. 1.
Рис. 1. Структура компании Рассматриваемая компания содержит пять отделов (Агроотдел, IT-отдел, юридический отдел, отдел управления, ИСПДн «Атлант ПД») и три филиала. Связь с удаленными филиалами осуществляется через Интернет. На шлюзе, как и на остальных компьютерах сети, установлена программа Киберсейф Межсетевой экран. Далее в этой статье будет показано развертывание программы Киберсейф Межсетевой экран на все компьютеры сети с помощью Active Directory, а также настройка групповых правил. Наша задача — оградить группу ИСПДн от внешнего мира (то есть закрыть ей доступ в Интернет) и от остальной локальной сети. Таким образом, компьютеры в ИСПДн смогут «общаться» только друг с другом. Стоит отметить, что данный продукт был специально создан для максимально быстрого решения задач по ограничению доступа к группам ПК. В других продуктах решение поставленной задачи занимает гораздо больше времени или вообще невозможно (если используется система динамического распределения сетевых адресов). Если не учитывать время, необходимое на развертывание программы с помощью Active Directory, ограничить доступ одной группы компьютеров к другой вы сможете за считанные минуты. Данная схема не претендует на оригинальность или новизну. Задача была сделать продукт максимально удобным для разграничения нескольких ИС или ограничить одну ИС с конфиденциальной информацией от других секторов локальной сети и интернет в строгом соответсвии с законодательством РФ. Создание файла трансформации Первым делом нужно создать файл трансформации (MST-файл), чтобы была возможность выполнить развертывание Киберсейф Межсетевой экран на все компьютеры сети с одинаковыми настройками. После этого вам не придется вручную настраивать межсетевой экран, например, создавать пользователя для входа в программу, указывать IP-адрес удаленного сервера, его порт и т.д. Установите программу на компьютер, который будет использоваться в качестве удаленного сервера Киберсейф Межсетевой экран, и который будет использоваться вами для управления межсетевыми экранами всей сети. Можете установить программу на свой собственный компьютер, а можете установить программу сразу на шлюз, который будет предоставлять остальным компьютерам доступ к Интернету. Для создания сценария развертывания выполните следующие действия: Откройте программу Киберсейф Удаленный сервер (входит в состав пакета программ Киберсейф Межсетевой экран). Выберите команду меню Инструменты, Установочный скрипт файл. Заполните параметры, которые будут занесены в сценарий развертывания, а именно порт, на котором будет работать файрвол (обычно 50001), порт удаленного сервера, IP-адрес удаленного сервера, ключ активации, e-mail администратора, пользователь и пароль по умолчанию (рис. 2). Нажмите кнопку Сохранить скрипт. В окне сохранения файла выберите формат сценария — для развертывания с помощью Active Directory нужно выбрать формат *.mst (рис. 3)
Рис. 2. Создание сценария развертыванияПодробно программа Киберсейф Удаленный сервер рассмотрена в руководстве по программе Киберсейф Межсетевой экран (http://cybersafesoft.com/rus/products/cybersafe-firewall/). Если в вашей организации не используется Active Directory, то с помощью программы Киберсейф Удаленный сервер вы можете создать командный файл (*.bat). Для развертывания программы на всех компьютерах сети достаточно будет скопировать его на каждый компьютер вместе с инсталлятором программы (MSI-файл) и запустить его (командный файл). Если же для каждого компьютера нужны уникальные пользователи, тогда можно на каждом компьютере вручную запустить инсталлятор программы (MSI-файл), при этом вам не нужны ни файл трансформации, ни командный файл. Развертывание Киберсейф Межсетевой экран с помощью Active Directory Теперь рассмотрим процесс развертывания программы Киберсейф Межсетевой экран с помощью ActiveDirectory. Все иллюстрации для этого раздела были созданы в Microsoft Windows Server 2012 R2, но все приведенные инструкции будут работать и в более старых версиях (Microsoft Windows Server 2003/2008), возможно, немного будут отличаться иллюстрации. Первым делом нужно создать папку для развертывания программного обеспечения. Она будет содержать все MSI-пакеты, развертывания которых вам нужно выполнить (не нужно создавать отдельную папку для программы Киберсейф Межсетевой экран). Пусть это будет папка C:\Install. В этой папке создайте подпапку CSFirewall. В нее нужно поместить установочный файл csfirewall.msi и файл трансформации csfirewall.mst, который вы создали в предыдущем разделе. К папке C:\Install нужно предоставить общий доступ. Для этого щелкните правой кнопкой по папке и выберите команду Свойства. На вкладке Доступ нажмите кнопку Общий доступ и предоставьте доступ на чтение и запись администратору и доступ только на чтение всем остальным пользователям сети. Далее запустите редактор групповой политики gpmc.msc. Мы предполагаем, что программу Киберсейф Межсетевой экран нужно установить на все компьютеры сети. Поэтому щелкните правой кнопкой мыши на домене и выберите команду Создать объект групповой политики в этом домене и связать его (рис. 4).
Рис. 4. Редактор групповой политики Назовите новый объект групповой политики CS_Firewall (рис. 5). В разделе Фильтры безопасности удалите группу Прошедшие проверку и добавьте компьютеры, группы и пользователей, к которым будут применены параметры данного объекта групповой политики (рис. 6). Другими словами добавьте компьютеры, на которые должна быть установлена программа.
Рис. 5. Создание нового объекта GPO
Рис. 6. Созданный объект GPO Щелкните правой кнопкой мыши на только что созданном GPO (CS Firewall) и выберите команду Изменить. Перейдите в раздел Конфигурация пользователя, Политики, Конфигурация программ, Установка программ (рис. 7).
Рис. 7. Раздел Конфигурация пользователя, Политики, Конфигурация программ, Установка программ Щелкните правой кнопкой на разделе Установка программ и выберите команду Создать, Пакет. В появившемся окне нужно выбрать путь к MSI-файлу программы. Обратите внимание, что вводить нужно не локальный путь, а сетевой, поскольку пользователи будут получать доступ к пакету по сети. Следующий шаг — выбор метода развертывания. Поскольку мы хотим предоставить файл трансформации (mst-файл, созданный программой Киберсейф Удаленный сервер), то нужно выбрать особый метод развертывания (рис. 8). Благодаря этому будет открыто окно настройки пакета развертывания (рис. 9). Затем перейдите на вкладку Модификации, нажмите кнопку Добавить и выберите файл трансформации (.mst-файл), рис. 10.
Рис. 8. Выбор метода развертывания
Рис. 9. Настройка пакета развертывания
Рис. 10. Указываем файл трансформации Нажмите кнопку OK. Примечание. После нажатия кнопки OK пакет и файл трансформации (файлы .msi и .mst соответственно) будут прокэшированы. Если вам понадобится изменить файл трансформации после создания пакета, то придется создавать пакет развертывания заново. На этом работа с редактором групповой политики завершена. Закройте все окна, откройте командую строку (или хотя бы окно Выполнить, нажав комбинацию клавиш Win + R) и введите команду: gpupdate /force На этом все. Программа будет автоматически установлена на компьютеры после их перезагрузки и до отображения окна входа в систему. Пользователь ни на что не может повлиять и ни в чем не может ошибиться. Иногда программа не устанавливается автоматически. Чаще всего такая проблема наблюдается на рабочих станциях под управлением Windows XP. Чтобы произвести ее установку, нужно вручную ввести на ней команду gpupdate /force. Настройка правил брандмауэра Используя панель администрирования Киберсейф межсетевой экран, вы можете задать глобальные и групповые правила для всех межсетевых экранов Киберсейф, установленных в вашей сети. Глобальные правила распространяются на все компьютеры, на которых установлена программа Киберсейф межсетевой экран, а групповые правила определяют поведение программы Киберсейф межсетевой экран, установленной на определенной группе компьютеров. Прежде, чем приступить к настройке глобальных и групповых правил, нужно назначить пользователя администратором. Сделать это можно только с помощью программы Киберсейф Удаленный сервер. Администратор может с помощью панели администрирования управлять удаленным брандмауэром. Итак, в программе Киберсейф Удаленный сервер разверните узел Пользователи и выберите пользователя, которого вы хотите сделать администратором и включите переключатель Администратор (рис. 11).
Рис. 11. Назначение пользователя администратором Теперь приступим к решению нашей задачи. Напомню, нам нужно запретить доступ компьютерам ИСПДн «Атлант» доступ к Интернету и к другим компьютерам сети. Войдите в программу Киберсейф Межсетевой экран и выберите команду меню Файрвол, Панель администрирования. Создайте различные группы компьютеров, которые будут соответствовать имеющимся в сети отделам (см. рис. 1). Для создания группы щелкните правой кнопкой мыши на рабочей области и выберите команду Добавить группу. А чтобы добавить в группу компьютер просто перетащите его пиктограмму на пиктограмму группы. Конечный результат приведен на рис. 12. Обязательно нажмите кнопку Применить, чтобы программа «запомнила» созданные группы. Нужно отметить, что при изменении IP-адресов входящих в группу компьютеров состав созданной группы не изменится. Поэтому не стоит волноваться о составе группы в случае использования в вашей организации DHCP-сервера.
Рис. 12. Созданные группы Выделите ИСПДн «Атлант ПД» и нажмите кнопку Установить правила. Так вы сможете установить групповые правила. Для установки глобальных правил нужно выделить узел Все и нажать кнопку Установить правила. Итак, установим правила для группы ИСПДн «Атлант ПД». В появившемся окне перейдите в раздел Правила безопасности и нажмите кнопку Добавить (рис. 13).
Рис. 13. Правила безопасности: пока не заданы На вкладке Общие (рис. 14) задайте описание правила — «Запрет обмена данными с группой <Название группы>». Установите тип правила — Запретить пакеты, выберите направление пакетов — Для всех пакетов и протокол — Любой.
Рис. 14. Вкладка Общие В качестве источника укажите ИСПДн «Атлант ПД», а в качестве получателя — одну из групп вашего предприятия, например, IT-отдел. Нажмите кнопку OK. Что делает это правило? Оно запрещает компьютерам ИСПДн «Атлант ПД» передавать любые пакеты в группу IT-отдел. Даже если какой-то компьютер из группы IT-отдел попытается установить соединение с компьютером группы ИСПДн «Атлант ПД», то компьютеры группы ИСПДн «Атлант ПД» все равно не смогут ответить ему, поскольку им это запрещает правило.
Рис. 15. Вкладка Источник
Рис. 16. Вкладка Получатель Повторите описанную процедуру для остальных групп в вашей сети. У вас должен получиться набор правил, показанный на рис. 17.
Рис. 17. Созданные правила для группы ИСПДн «Атлант ПД» Осталось запретить доступ к Интернету. Для этого достаточно запретить любой обмен данными со шлюзом. Для этого создадим еще одно правило безопасности для ИСПДн «Атлант ПД». На вкладке Общие установите параметры так: Описание — Запрет доступа к Интернету Тип правила — Запретить пакеты Направление пакетов — Для всех пакетов Протокол — Любой На вкладке Источник выберите в качестве источника ИСПДн «Атлант ПД» (рис. 15). На вкладке Получатель установите IP-адрес сервера (внутренний), например, 192.168.1.1 (рис. 18).
Рис. 18. Запрет доступа к Интернету Нажмите кнопку OK. По умолчанию все правила являются выключенными. Для их включения щелкните на каждом правиле правой кнопкой мыши и выберите команду Включить. Окончательный вариант правил показан на рис. 19. Обратите внимание на статус правила — Включено.
Рис. 19. Окончательный вариант правил Закройте окно редактирования правил безопасности, а в окне Панель администрирования нажмите кнопку Применить, а затем закройте само окно. Вывод Поставленная задача решена и теперь компьютеры группы ИСПДн «Атлант ПД» не могут взаимодействовать с остальными компьютерами локальной сети и у них нет доступа к Интернету. Средствами программ Киберсейф Межсетевой экран информационная система персональных данных была полностью изолирована от остальной сети.