- разграничение доступа (по входящему и исходящему трафикам) по адресам (IP адресам) и сетевым протоколам к хостам внешней/внутренней сети;
- трансляция адресов - во внешней сети должен быть "виден" только адрес криптомаршрутизатора, что позволяет скрывать структуру внутренней сети (адреса рабочих станций и серверов внутренней сети);
- защита от сетевых атак (вирусы, шпионские программы, атаки на отказ в обслуживании);
- аудит доступа к ресурсам внешней сети;
- аутентификация удаленных пользователей (для криптомаршрутизатора, концентрирующего на себе ведомственный и межведомственный трафик).
Как средство, потенциально подверженное сетевым атакам, криптомаршрутизатор сам должен быть защищен, в части противодействия сетевым атакам (со стороны внешней сети).
Важнейшим условием обеспечения защищенного доступа к внешним ресурсам является реализация демилитаризованной зоны, с целью физической изоляции внутрисетевого и внешнего трафиков. Данное решение должно позволять взаимодействовать пользователям внешней сети только с серверами внешнего доступа, и делать недоступным для них доступ, прежде всего, к внутренним серверам, а также к рабочим станциям защищаемой корпоративной сети, даже при преодолении защиты, реализуемой средствами межсетевого экранирования.
5.8. Мероприятия по организации криптографической защиты информации
В целях защиты конфиденциальной информации в АИС ФНС России должны применяться средства криптографической защиты информации (СКЗИ).
К СКЗИ предъявляются следующие требования:
- СКЗИ должны допускать их встраивание в технологическую схему обработки электронных сообщений, обеспечивать взаимодействие с прикладным программным обеспечением на уровне обработки запросов на криптографические преобразования и выдачи результатов;
- СКЗИ должны поставляться разработчиками с полным комплектом эксплуатационной документации, включая описание ключевой системы, правила работы с ней, а также обоснование необходимого организационно-штатного обеспечения;
- СКЗИ должны быть реализованы на основе алгоритмов, соответствующих национальным стандартам Российской Федерации и (или) условиям договоров с контрагентами;
- СКЗИ должны иметь строгий регламент использования ключей, предполагающий контроль со стороны администратора безопасности за действиями пользователя на всех этапах работы с ключевой информацией (получение ключевого носителя, ввод ключей, использование ключей и сдача ключевого носителя);
- СКЗИ должны обеспечивать реализацию процедур сброса ключей в случаях отсутствия штатной активности пользователей в соответствии с регламентом использования ключей;
- СКЗИ не должны предъявлять требований к ЭВМ по специальной проверке на отсутствие закладных устройств, если иное не оговорено в технической документации на конкретное средство защиты;
- СКЗИ не должны требовать дополнительной защиты от утечки по побочным каналам электромагнитного излучения.
При применении СК3И в АИС ФНС должны поддерживаться непрерывность процессов протоколирования работы СК3И и обеспечения целостности программного обеспечения для всех элементов АИС ФНС.
Информационная безопасность процессов изготовления ключевой информации документов СК3И должна обеспечиваться комплексом технологических, организационных, технических и программных мер и средств защиты.
Регламент генерации, распределения, хранения и уничтожения, поэкземплярного учета криптографических ключей, а также периодические проверки выполнения пользователями требований по хранению и эксплуатации криптографических ключей определяется "Инструкцией об организации и обеспечении безопасности хранения, обработки и передачи по каналам связи с использованием средств криптографической защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну" от 13 июня 2001 г. N 152. Данная Инструкция определяет единый на территории Российской Федерации порядок организации и обеспечения безопасности хранения, обработки и передачи по каналам связи с использованием сертифицированных СКЗИ (шифровальных средств) подлежащей в соответствии с законодательством Российской Федерации обязательной защите информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну.
Для обеспечения функции централизованного управления ключевой информацией в рамках всей ФНС России должны быть рассмотрены перспективные вопросы организации Удостоверяющего центра. Внедрение Удостоверяющего центра позволит организовать в АИС ФНС России защищенную среду с использованием цифровых сертификатов и обеспечить с их использованием авторизацию пользователей, контроль целостности и конфиденциальность передаваемой в рамках ФНС России информации в полном соответствии с Федеральным законом "Об электронной цифровой подписи".
В состав удостоверяющего центра должны входить:
- центр сертификации, в функции которого будет входить выпуск цифровых сертификатов, публикация списка аннулированных сертификатов и хранение их до истечения установленного срока действия;
- центр регистрации, в функции которого будет входить регистрация пользователей, формирование шаблонов цифровых сертификатов, а также ряд сервисных функций (например, предварительная проверка запросов от клиентов перед выпуском сертификата);
- АРМ клиента, в функции которого входит обеспечение клиента полнофункциональным сервисом по управлению личными ключами и сертификатами и всей необходимой информацией для проверки сертификатов других пользователей и объектов системы.
Для повышения уровня безопасности при эксплуатации СК3И и их ключевых систем в АИС ФНС России необходимы:
- реализация процедур аудита, регистрирующих все значимые события, имевшие место в процессе обмена электронными сообщениями или организации защищенных ВЧВС-соединений и все возможные инциденты информационной безопасности;
- реализация процедуры оценки рисков, позволяющей аргументировано оценивать ситуацию в каждом конкретном случае обмена электронными сообщениями и организации защищенных ВЧВС-соединений.
Регламент использования СКЗИ в подразделениях ФНС России, ее территориальных органах устанавливается Управлением информационной безопасности. Использование СКЗИ должно осуществляться в полном соответствии с конструкторской и эксплуатационной документацией, представляемой производителем СКЗИ. При этом необходимо руководствоваться "Положением о разработке, производстве, реализации и эксплуатации шифровальных (криптографических) средств защиты информации (Положение ПКЗ-2005).
Внутренний порядок применения СК3И в территориальных органах АИС ФНС должен включать:
- порядок ввода в действие;
- порядок эксплуатации;
- порядок восстановления работоспособности в аварийных случаях;
- порядок внесения изменений;
- порядок снятия с эксплуатации;
- порядок управления ключевой системой;
- порядок обращения с носителями ключевой информации.
5.9. Мероприятия по антивирусной защите информационных ресурсов ФНС России
Целью создания системы антивирусной защиты является обеспечение защищенности информационно-коммуникационной системы ФНС России от воздействия различного рода вредоносных программ и несанкционированных массовых почтовых рассылок, предотвращения их внедрения в информационные системы, выявления и безопасного удаления из систем в случае попадания, а также фильтрации доступа пользователей ФНС России к непродуктивным Интернет-ресурсам и контроля их электронной переписки.
Основополагающими требованиями к системе антивирусной защиты ФНС России являются:
- решение задачи антивирусной защиты должно осуществляться в общем виде. Средство защиты не должно оказывать противодействие конкретному вирусу или группе вирусов, противодействие должно оказываться в предположениях, что вирус может быть занесен на компьютер и о вирусе (о его структуре (в частности, сигнатуре) и возможных действиях) ничего не известно;
- решение задачи антивирусной защиты должно осуществляться в реальном времени.
Мероприятия, направленные на решение задач по антивирусной защите:
- необходимо проводить политику, требующую установки только лицензированного программного обеспечения;
- антивирусные программные средства должны регулярно обновляться и использоваться для профилактических проверок (желательно ежедневных);
- непрерывный контроль над всеми возможными путями проникновения вредоносных программ в ИТКС ФНС России, мониторинг антивирусной безопасности и обнаружение деструктивной активности вредоносных программ на всех объектах ИТКС;
- ежедневный анализ, ранжирование и предотвращение угроз распространения и воздействия вредоносных программ путем выявления уязвимостей используемого в ИТКС программного обеспечения ОС и сетевых устройств и устранения обнаруженных дефектов в соответствии с данными поставщика ПО и других специализированных экспертных антивирусных служб.
- проведение профилактических мероприятий по предотвращению и ограничению вирусных эпидемий, включающих загрузку и развертывание специальных правил нейтрализации (отражению, изоляции и ликвидации) вредоносных программ на основе рекомендаций по контролю атак, подготавливаемых разработчиком средств защиты от вредоносных программ и другими специализированными экспертными антивирусными службами до того, как будут выпущены файлы исправлений, признаков и антивирусных сигнатур.
- необходимо проводить регулярную проверку целостности критически важных программ и данных. Наличие лишних файлов и следов несанкционированного внесения изменений должно быть зарегистрировано в журнале и расследовано;
- дискеты неизвестного происхождения следует проверять на наличие вирусов до их использования;