WWW.LIB.KNIGI-X.RU
БЕСПЛАТНАЯ  ИНТЕРНЕТ  БИБЛИОТЕКА - Электронные матриалы
 

«Организация защиты корпоративной сотовой связи на базе SafePhone Plus Типовые решения для государственных информационных систем Введение Смартфоны, ...»

Организация защиты корпоративной сотовой связи

на базе SafePhone Plus

Типовые решения для государственных информационных

систем

Введение

Смартфоны, планшеты (далее – мобильные средства коммуникации (МСК))

широко используются при исполнении должностных обязанностей работниками

государственных организаций.

При использовании МСК в государственных информационных системах, необходимо

учитывать, что:

1. МСК, не является доверенным устройством. Основания: ОС и прикладное ПО могут иметь недекларированные возможности (НДВ). Эти возможности, в частности, могут использовать зарубежные спецслужбы для организации слежки за деятельностью и перемещениями работников, несанкционированному доступу кданным;

2. С использованием МСК в корпоративных ИС связаны специфические классы рисков:

МСК могут быть утеряны или украдены. Обеспечить физическую безопасность, сохранность МСК гораздо сложнее, чем сохранность стационарных устройств.

МСК имеют широкий арсенал средств, которые могут быть использованы злоумышленником и нуждаются в контроле.

3. Защита трафика (криптографические алгоритмы), как правило, не соответствует отечественным требованиям.

4. Многообразие используемых ОС (Android, iOS, BlackBerry OS, …) влечет за собой трудоемкость управления МСК.

В брошюре рассматривается типовая постановка задачи государственной организации защиты от несанкционированного доступа (НСД) к информации, хранящейся и обрабатываемой на МСК.

Цель написания документа – демонстрация преимуществ использования решения SafePhone Plus при использовании МСК в государственных информационных системах общего пользования.

Область применения документ предназначен для сотрудников службы информационной безопасности (ИБ) и других специалистов, отвечающих за планирование, внедрение и поддержание безопасности корпоративной сети мобильной связи.

Оглавление Введение

Перечень сокращений

Термины и определения

Неформальная постановка задачи

1.

2. Нормативная база защиты информации в государственных информационных системах общего пользования

3. Функционал системы централизованного управления сетью корпоративной сотовой связи (MDM)

3.1 Система администрирования МСК и обеспечения доступа к корпоративным ресурсам

3.2 Система обеспечения информационной безопасности

3.2.1 Политика ИБ при использовании МСК

3.2.2 Базовые требования в части защиты МСК

Мониторинг и аудит

3.3 Системы защиты корпоративной мобильной связи «SafePhone Plus»

4.

4.1 Компоненты решения

4.2 Функционал SafePhone Plus

4.3 Соответствие требованиям регуляторов

4.3.1 Сертификат соответствия ФСТЭК России

4.3.2 Сертификат соответствия ФСБ России

4.3.3 Что дает наличие сертификатов соответствия

Пример организации защиты

Постановка задачи

5.1 Актуальные классы рисков

5.2

5.3 Организация доступа к корпоративным информационным ресурсам

5.4 Обеспечение ИБ

5.4.1 Безопасность данных на МСК

5.4.2 Организационные меры защиты

5.3.3 Технические меры защиты

5.3.4 Аудит действий пользователя МСК

Перечень сокращений АС Автоматизированная система АРМ Автоматизированное рабочее место ИБ Информационная безопасность ИС Информационная система ИТ Информационные технологии КСМС Корпоративная сеть мобильной связи МСК Мобильные средства коммуникации НДВ Недекларированные возможности НСД Несанкционированный доступ ОРД Организационно-распорядительные документы ОС Операционная система ПО Программное обеспечение СЗКСС Система защиты корпоративной сотовой связи СКЗИ Средство криптографической защиты информации СКУД Система контроля и управления доступом СрЗИ Средство защиты информации СТР-К Специальные требования и рекомендации по технической защите информации ТУ Технические условия Концепция, допускающая использование собственных мобильных BYOD устройств в служебных целях (Bring Your Own Device) Концепция, допускающая использование для работы только служебных COPE мобильных устройств(Corporately Owned, Personally Enabled) Технология обеспечения защиты (demilitarized zone) DMZ Протокол для обеспечения защиты данных, передаваемых по протоколу IPsec IP (IP Security) Система управления мобильными устройствами (Mobile Device MDM Management) Протокол передачи данных, используемый в IP-телефонии (Session Initiate SIP Protocol) Виртуальная частная сеть (Virtual Private Network) VPN Технология беспроводного доступа (Wireless Fidelity) Wi-Fi Термины и определения

В настоящем документе приняты следующие основные термины и определения:

Государственная информационная система - федеральные информационные системы и региональные информационные системы, созданные на основании федеральных законов, законов субъектов Российской Федерации, на основании правовых актов государственных органов (N 149-ФЗ).

Информационные системы общего пользования Федеральные государственные информационные системы, созданные или используемые в целях реализации полномочий федеральных органов исполнительной власти и содержащие сведения, указанные в перечне сведений о деятельности Правительства Российской Федерации и федеральных органов исполнительной власти, обязательных для размещения в информационно-телекоммуникационной сети Интернет, утвержденном постановлением Правительства Российской Федерации от 12 февраля 2003 г. N 98 "Об обеспечении доступа к информации о деятельности Правительства Российской Федерации и федеральных органов исполнительной власти" (Приказ Министерства связи и массовых коммуникаций РФ от 25 августа 2009 г. N 104).

Конфиденциальная информация - виды сведений, входящие в перечень сведений конфиденциального характера, опубликованный в Указе Президента РФ от 6 марта 1997 г. N 188 « Об утверждении перечня сведений конфиденциального характера»

К сведениям конфиденциального характера, согласно этому указу относятся:

Сведения о фактах, событиях и обстоятельствах частной жизни гражданина, позволяющие идентифицировать его личность (персональные данные), за исключением сведений, подлежащих распространению в средствах массовой информации в установленных федеральными законами случаях.

Сведения, составляющие тайну следствия и судопроизводства, а также сведения о защищаемых лицах и мерах государственной защиты, осуществляемой в соответствии с Федеральным законом от 20 августа 2004 г. N 119-ФЗ " О государственной защите потерпевших, свидетелей и иных участников уголовного судопроизводства " и другими нормативными правовыми актами Российской Федерации.

Служебные сведения, доступ к которым ограничен органами государственной власти в соответствии с Гражданским кодексом РФ и федеральными законами (служебная тайна).

Сведения, связанные с профессиональной деятельностью, доступ к которым ограничен в соответствии с Конституцией РФ и федеральными законами (врачебная, нотариальная, адвокатская тайна, тайна переписки, телефонных переговоров, почтовых отправлений, телеграфных или иных сообщений и так далее).

Сведения, связанные с коммерческой деятельностью, доступ к которым ограничен в соответствии с Гражданским кодексом РФ и федеральными законами (коммерческая тайна).

Сведения о сущности изобретения, полезной модели или промышленного образца до официальной публикации информации о них.

Мобильное средство коммуникации (МСК) – компактное переносное техническое средство (мобильные телефоны, смартфоны и планшетные устройства), обладающее следующими базовыми характеристиками:

наличие канала сотовой связи или возможно других проводных и беспроводных интерфейсов (Wi-Fi, Bluetooth, NFC) для обмена данными;

наличие микрофона, камеры;

наличие операционной системы и встроенной (расширяемой) памяти;

наличие функционала, позволяющего получать и загружать различные приложения и данные;

наличие возможности создания (программирования) функционала, позволяющего организовать удаленное управление данным устройством.

Служебное МСК – МСК, владельцем которого является организация (CompanyOwned Devices).

MDM - система централизованного управления сетью корпоративной сотовой связи, обеспечивающая:

защиту МСК от несанкционированного доступа;

дистанционное управление МСК;

мониторинг предоставляемых услуг связи.

Угроза - возможная причина нежелательного инцидента, которая может нанести ущерб [информационной] системе или всей организации.

Уязвимость - слабость актива или управления, эксплуатация которой приведёт к реализации одной или нескольких угроз.

1. Неформальная постановка задачи В государственной информационной системе наряду со стационарными АРМ, планируется использовать служебные МСК. В информационной системе обрабатывается конфиденциальная информация (сведения, относящиеся к служебной тайне).

Доступ МСК к ресурсам информационной системы (ИС) необходимо обеспечить с использованием:

Точек беспроводного доступа (Wi-Fi), расположенных на объектах организации;

Сервисов операторов мобильной связи (GPRS/3G).

Что нужно сотрудникам:

Доступ к корпоративным ресурсам (корпоративная почта, портал, календарь, файловые хранилища, специализированные приложения);

Обмен данными между служебными МСК.

Возможность использования телефона по прямому назначению (звонки) как внутри компании, так и внешним абонентам;

Возможность использования некоторых приложений на МСК в служебных и личных целях.

Что нужно службам ИТ и ИБ:

Интеграция МСК в корпоративную ИС;

Интеграция МСК в корпоративную систему безопасности.

Обеспечить соответствие требованиям в части защиты информации;

Принять контрмеры против актуальных угроз, связанных с МСК.

Что нужно проектировщикам:

Продукт класса MDM, обеспечивающий потребности сотрудников а также служб ИТ и ИБ.

Продукт должен включать (рис 1):

Систему централизованного управления сетью корпоративной мобильной связи, имеющую функционал, обеспечивающий:

o Доступ МСК к корпоративным информационным ресурсам и приложениям;

o Администрирование МСК;

o Защиту информационных ресурсов ИС от НСД;

o Мониторинг и аудит действий пользователей МСК.

Систему защиты МСК, включающую:

o Наложенные средства защиты, взаимодействующие с системой администрирования MDM и штатными средствами защиты МСК;

o Защиту канала связи;

o Защиту на уровне приложений.

Рис 1. Организация защиты МСК в корпоративной ИС Продукт должен иметь функционал, обеспечивающий защиту от специфичных для МСК угроз безопасности.

Конкретные требования к функционалу зависят от:

Требований в части организации доступа к корпоративным ресурсам;

Требований в области ИБ, вытекающих из требований нормативных актов;

Требований политики безопасности организации.

2. Нормативная база защиты информации в государственных информационных системах общего пользования Требования по безопасности информации в государственных информационных системах общего пользования изложены в:

Федеральном законе N 149-ФЗ «Об информации, информационных технологиях и защите информации» от 27 июля 2006;

Указе Президента РФ от 17 марта 2008 № 351 «О мерах по обеспечению информационной безопасности Российской Федерации при использовании информационно-телекоммуникационных сетей международного информационного обмена»;

Постановлении Правительства РФ от 18 мая 2009 года № 424 «Об особенностях подключения федеральных государственных систем к информационнотелекоммуникационным сетям»;

Приказе Министерства связи и массовых коммуникаций РФ от 25 августа 2009 г. N 104 "Об утверждении Требований по обеспечению целостности, устойчивости функционирования и безопасности информационных систем общего пользования";

Приказе ФСБ России и ФСТЭК России N 416/489 «Об утверждении Требований о защите информации, содержащейся в информационных системах общего пользования» от 31 августа 2010 г.;

Приказе ФСТЭК России от 11.02.2013 N 17 "Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах;

Методическом документе: «Меры защиты информации в государственных информационных системах», Утвержден ФСТЭК России 11 февраля 2014 г.

В части защиты технической защиты информации, требования можно суммировать:

Меры защиты мобильных технических средств (кроме криптогафии) изложены в Приказе ФСТЭК России от 11.02.2013 N 17 и методическом документе ФСТЭК России «Меры защиты информации в государственных информационных системах»;

Использование сертифицированных СрЗИ (шифровальных, МЭ, антивирусных) рассмотрено в приказах ФСБ, ФСТЭК;

Эти требования, применительно к функционалу рассматриваемой MDM, приведены ниже.

3. Функционал системы централизованного управления сетью корпоративной сотовой связи (MDM)

MDM включает следующие элементы:

Система администрирования МСК и обеспечения доступа к корпоративным ресурсам;

Система обеспечения информационной безопасности;

Система мониторинга и аудита.

3.1 Система администрирования МСК и обеспечения доступа к корпоративным ресурсам Перечисленные ниже функции являются базовыми для MDM.

–  –  –

3.2 Система обеспечения информационной безопасности

Требования в части ИБ определяются:

Политикой ИБ организации;

Стандартами организации, которые основываются на нормативной базе регуляторов и учитывают специфику ее области деятельности;

Дополнительными требованиями, вытекающими из конкретной задачи.

3.2.1 Политика ИБ при использовании МСК Целью Политики является создание условий, позволяющих предотвратить или минимизировать ущерб, который может быть нанесен в результате использования МСК.

Положения типовой политики ИБ организации включают:

1. Актуальные классы угроз информационной безопасности:

недостаточная физическая безопасностью МСК. Необходимо учитывать риски утери, кражи и несанкционированного доступа к МСК;

использование неразрешенных сервисов. МСК могут иметь сервисы, не разрешенные политикой безопасности и владельцы МСК их могут использовать;

перехват трафика МСК при использовании недоверенных сетей и неконтролируемых точек доступа;

несанкционированный доступ к МСК через недоверенные сетевые подключения;

использованием приложений от недоверенных производителей;

несанкционированный доступ МСК к корпоративными сервисами.

2. Основными направлениями обеспечения ИБ при использовании МСК в бизнеспроцессах, осуществляемых в организации, являются:

технические ограничения на функционал МСК;

централизованное (дистанционное) управление настройками безопасности МСК;

обеспечение требований к МСК в части технической защиты информации;

контроль использования МСК.

Типовые требования политики ИБ в части защиты МСК, подключенных к корпоративной информационной системе, с учетом актуальных классов рисков, перечислены в таблице.

–  –  –

Система мониторинга и аудита реализует функции, необходимые для оценки соответствия системы защиты информации установленным требованиям.

Типовой функционал системы мониторинга и аудита приведен в таблице

–  –  –

обеспечение безопасности телефонных переговоров;

защита мобильного устройства и информации, хранящейся на нем;

обеспечение защищенного доступа к корпоративным ресурсам;

конфиденциальный обмен данными;

обеспечение безопасной видеоконференцсвязи на мобильных устройствах;

реализация возможностей интеграции с корпоративной АТС.

4.1 Компоненты решения Решение построено на базе системы SafePhone от компании «НИИ СОКБ» для защиты информации на корпоративных мобильных устройствах и защищенной доверенной среды передачи информации ViPNet от компании «ИнфоТеКС» с использованием публичных и выделенных каналов связи. На мобильном устройстве развертываются клиентские программы SafePhone, ViPNet и SIP-клиент, а на контролируемой территории организации — серверные компоненты этих систем:

SafePhone Server, ViPNet Coordinator, Server SIP.

Первый компонент решения - SafePhone, представляет собой систему защиты информации на корпоративных мобильных устройствах с централизованным управлением.

Функции SafePhone:

Защита от несанкционированного доступа к конфиденциальной информации;

Предотвращение несанкционированной установки стороннего программного обеспечения;

Ведение банка доверенного программного обеспечения;

Контроль использования служебных мобильных устройств;

Применение различных политик безопасности на территории предприятия и за ее пределами;

Мониторинг событий и подготовка отчетов.

Второй компонент решения - Mobile VoIP, обеспечивает голосовую связь по каналам Интернет или по локальным сетям, доступным с мобильного устройства.

Его функциональное назначение:

Обеспечение возможности ведения конфиденциальных переговоров по мобильному устройству с мобильными и стационарными абонентами;

Снижение затрат на оплату GSM трафика;

Предоставление корпоративным абонентам дополнительных услуг:

o переадресация звонков;

o конференц-связь, видеоконференция;

o обмен текстовыми и медийными сообщениями по защищенному каналу защищенный обмен текстовыми и медийными сообщениями;

o единый номер в корпорации (в рамках интеграции с УПАТС).

Рис 4.1 Архитектура MDM SafePhone Plus

Мобильный клиент SafePhone является приложением, устанавливаемым на МСК.

Он осуществляет защиту от установки недоверенных приложений, а также обеспечивает применение к устройству корпоративных политик в области информационной безопасности — политик использования SIM-карт, списков доверенных беспроводных сетей, разрешенных интерфейсов и т.д.

VipNet Client позволяет осуществлять шифрованную передачу всего исходящего трафика МСК (в том числе почтового клиента, браузера и любого другого приложения, установленного на МСК) на корпоративный VPN-криптошлюз.

АРМ Администратора представляет собой клиентское приложение, предназначенное для выполнения действий, связанных с удаленным управлением и мониторингом МСК.

Сервер SafePhone Plus обеспечивает взаимодействие между МСК (мобильными клиентами) и сервером базы данных, управляя потоками команд и параметров, поступающих от компонентов. Сервер SafePhone Plus обеспечивает постоянную связь со всеми корпоративными МСК, подключенными к серверу SafePhone Plus и находящимися в зоне доступа сети.

Сервер базы данных предназначен для хранения и обработки данных системы.

ГИС-сервер обеспечивает возможность визуализации географической информации, используемой для мониторинга местоположения МСК. Локальный ГИС-сервер позволяет не загружать карту из Интернета, визуализация картографических данных при этом обеспечивается при помощи АРМ Администратора SafePhone Plus.

–  –  –

создание административной группы или подразделения, обеспечивающего установку, настройку и сопровождение системы;

разработка нормативных документов, определяющих порядок допуска пользователей к системе и назначения их полномочий;

реализация мероприятий по антивирусной защите и обеспечение свободной от вирусов программной среды компьютеров.

4.2 Функционал SafePhone Plus

Система реализует следующие функции:

1. Регистрация МСК в корпоративной системе связи.

В результате выполнения данной функции в базу данных SafePhone вносятся сведения, позволяющие однозначно идентифицировать МСК и его пользователя. Регистрация производится одновременно с установкой мобильного клиента SafePhone на МСК.

2. Управление контактами и аккаунтами. Администратор использует функции:

Установка корпоративной адресной книги;

Управление учётными записями пользователей МСК.

3. Аутентификация и авторизация пользователя МСК, включающая функции:

Аутентификация пользователя МСК;

Управление многопользовательским режимом;

Управление парольными политиками МСК;

Управление сертификатами.

4. Телефонные функции:

Голосовые вызовы (GSM, встроенный VoIP);

Отправка и приём сообщений (SMS/MMS) во внешние сети;

–  –  –

6. Мониторинг состояния МСК, зарегистрированного в SafePhone, и мониторинг событий на МСК.

Состояние всех МСК отслеживается в системе и отображается на АРМ администратора.

Регистрируются следующие данные:

Состояние подключения МСК к серверу SafePhone;

События подключения и отключения МСК;

События регистрации GPS-координат (информации о местоположении МСК);

События запуска/остановки приложений;

События установки/обновления/деинсталляции приложений на МСК;

Перечень установленных приложений;

Перечень запущенных приложений;

События регистрации голосового вызова;

События регистрации текстовых сообщений;

Сведения об использовании интернет-трафика;

События регистрации внутренних сообщений (текстовых и голосовых);

События смены SIM-карты на МСК;

Состояние уровня заряда батареи и подключения к зарядному устройству.

7. Дистанционное выполнение действий на МСК, зарегистрированных в SafePhone.

На МСК могут быть удаленно выполнены команды АРМ администратора:

Изменение политик безопасности МСК и конфигурации МСК:

o возможность связи с внекорпоративными абонентами;

o возможность смены SIM-карты;

o возможность использовать открытые Wi-fi точки доступа;

o установка списка разрешенных точек доступа;

o установка списка разрешенных интерфейсов.

Централизованное обновление адресной книги на МСК (поддерживается интеграция со справочником Active Directory);

Установка/удаление/обновление мобильных приложений. Допускается установка только доверенных приложений, предварительно внесенных в банк доверенных приложений SafePhone;

Запуск/остановка мобильных приложений;

Блокировка услуг связи.

8. Ограничение доступа абонентов к функциям МСК.

В зависимости от установленных политик безопасности, а также по команде администратора, на МСК могут быть ограничены отдельные функции:

Ограничения возможности пользования услугами связи.Услуги связи могут быть заблокированы по команде администратора, а также заблокированы или ограничены при реализации соответствующих политик безопасности;

Запрет установки мобильных приложений. Самостоятельная установка приложений на МСК невозможна. Управление приложениями осуществляется только через АРМ Администратора;

Ограничения возможности подключения к произвольным точкам доступа.

Допускается подключение только к тем точкам доступа, список которых устанавливается администратором;

Запрет использования отдельных интерфейсов и предустановленных приложений.

Потенциально опасные интерфейсы связи/приложения (Bluetooth, камера, диктофон) могут быть заблокированы при реализации соответствующих политик безопасности.

9. Управление сетевым трафиком на МСК:

Управление межсетевым экраном (firewall) и URL фильтрацией;

Управление взаимодействием устройства с серверами push-уведомлений;

Управление встроенным VPN;

Получение статистики использовании трафика;

Получение информации об имеющихся сетевых подключениях;

Настройка сетевых IP подключений.

Обмен сообщениями по защищенному каналу между абонентами SafePhone.

10.

МСК могут обмениваться текстовыми и голосовыми внутренними сообщениями, передаваемыми по защищенному каналу. Данные сообщения не регистрируются оператором сотовой связи.

11. Резервное копирование данных Управление встроенными средствами резервного копирования;

Резервное копирование данных на корпоративный сервер MDM.

–  –  –

В АРМ Администратора могут быть построены отчеты:

Суммарное время разговоров абонентов SafePhone за заданный период времени;

Изменения местоположения абонентов SafePhone за заданный период времени.

Данные отображаются на карте в виде треков.

14. Дистанционное отключение МСК от корпоративной сети и удаление всех данных с МСК.

МСК может быть отключено по команде администратора. При этом данные на МСК, в том числе Мобильный клиент SafePhone, удаляются (производится сброс МСК в заводские настройки).

4.3 Соответствие требованиям регуляторов 4.3.1 Сертификат соответствия ФСТЭК России На систему защиты корпоративной сотовой связи «SafePhone» выдан сертификат соответствия ФСТЭК РОССИИ №3005. Сертификат удостоверяет соответствие требованиям по 4 уровню контроля отсутствия НДВ и наличие встроенных средств защиты от НСД к информации, не содержащей сведений, составляющих государственную тайну.

В соответствии с техническими условиями ТУ 5014-001-95561296-2012 реализованы функции безопасности:

Администрирование: идентификация и аутентификация;

Администрирование: дискреционный принцип контроля доступа;

Администрирование: регистрация;

Идентификация и аутентификация;

Контроль целостности;

Очистка памяти;

Предотвращение доступа к мобильному контенту и интерфейсам;

Регистрация инцидентов.

Ограничения, указанные в сертификате соответствия.

Обработка информации ограниченного доступа на мобильном устройстве может вестись только с применением сертифицированных СКЗИ, имеющих заключение о корректности встраивания в мобильное устройство. В решении SafePhone Plus СКЗИ реализует ViPNet Client.

4.3.2 Сертификат соответствия ФСБ России Сертификаты соответствия ФСБ России (СФ/114-1971, СФ/124-2226) выданы на программный комплекс ViPNet Client (iOS, Android). Сертификат удостоверяет соответствие требованиям к СКЗИ класса КС1.

ViPNet Client— это приложение, являющееся средством криптографической защиты информации класса КС1, работающее под управлением iOS или Android, и позволяющее получить доступ посредством защищенного технологиями ViPNet VPN туннеля, к ресурсам корпоративной сети:

- Доступ к корпоративным информационным ресурсам;

- Доступ к корпоративным терминальным серверам и веб-порталам;

- Доступ к библиотекам документов;

- Защищенная IP-телефония и другие средства коммуникации.

Корректность встраивания ViPNet Client в мобильное устройство возможно проверить только при условии выбора конкретной модели устройства. Таким образом, любые заключения о корректности встраивания данного СКЗИ будут сделаны для конкретных партий устройств определенной модели МСК.

4.3.3 Что дает наличие сертификатов соответствия

Наличие «сертификатов соответствия» позволяет выполнить требования нормативных документов в части защиты информации, не составляющей государственную тайну, содержащейся в государственных информационных системах, а также в информационных системах персональных данных.

Прежде всего, это касается криптографической защиты канала связи мобильного устройства и корпоративной информационной системы.

Кроме того, «SafePhone» предоставляет полный набор встроенных функций безопасности, необходимых при построении подсистемы защиты информации.

Для обеспечения соответствия требованиям, необходимо иметь заключение о корректности встраивания СКЗИ в МСК. Таким образом, на этапе технического проектирования информационной системы, необходимо выбрать модель мобильного устройства и для него провести соответствующие исследования.

5 Пример организации защиты

5.1 Постановка задачи В государственной организации имеется информационная система (ИС), включающая систему электронного документооборота и электронную почту. В ИС обрабатываются сведения, связанные с профессиональной деятельностью, доступ к которым ограничен в соответствии с законодательством. Данная информационная система может быть классифицирована как государственная информационная системы общего пользования, обрабатывающая сведения конфиденциального характера.

Предполагается использовать корпоративную систему мобильной связи для доступа:

к системе документооборота с использованием специализированного приложения для МСК;

к корпоративной электронной почте.

Кроме того, МСК может использоваться как средство служебной и личной телефонной связи.

Объекты защиты:

Данные, к которым разрешен доступ с МСК (конфиденциальность, целостность);

Прочие информационные ресурсы организации, к которым доступ с МСК не разрешен (конфиденциальность);

Телефонные переговоры определенного круга лиц;

Изображения (на экране МСК).

Требования в области ИБ

1. Обеспечить выполнение требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах (Приказ ФСТЭК России от 11.02.2013 N 17)

2. В соответствии с корпоративной политикой ИБ требуется:

Использовать VPN c сертифицированными криптографическими средствами защиты информации при передаче данных по открытым каналам связи;

Обеспечить возможность реализации гибких политик использования МСК в контролируемых зонах в части введения ограничений (блокировка интерфейсов) на использование МСК. Фото-видео съемка, использование диктофонов в некоторых зонах на территории организации запрещена;

Использование МСК как средства голосовой связи на территории организации с ограничениями:

o запрет использования МСК в переговорных комнатах;

o при исполнении должностных обязанностей использовать защищенный режим, обеспечивающий криптографическую защиту речевой информации.

Оценка потенциального ущерба от реализации угроз, связанных с использованием МСК.

Потенциальный ущерб от некоторых инцидентов ИБ, связанных с использованием МСК на территории организации, может быть значительным.

5.2 Актуальные классы рисков Любой обладатель МСК, подключенный к ИС, потенциально может нарушать политику безопасности организации:

Установить и использовать неразрешенное в организации ПО;

Хранить на МСК корпоративные данные вместе с личными;

Использовать МСК для фото-видео съемок, аудиозаписей на территории, где это запрещено.

Кроме того, актуальны угрозы, связаны с действиями злоумышленников: внедрение вредоносного ПО, несанкционированный доступ к МСК, кража МСК.

Классы рисков, связанные с этими угрозами:

Утечка конфиденциальной информации вследствие несанкционированной фото, видео съемки, аудиозаписи;

Доступ нарушителя к корпоративным информационным ресурсам, выделенным для работы с МСК (нарушение конфиденциальности, целостности, доступности);

Доступ нарушителя к данным (нарушение конфиденциальности), хранящимся на МСК;

Утечки данных (в том числе – голос).

5.3 Организация доступа к корпоративным информационным ресурсам Для организации доступа к корпоративным информационным ресурсам (схема на рис. 5.1) используются штатные функции МСК и функционал решения SafePhone Plus.

Создается хранилище доверенных приложений для их централизованного распространения на МСК сотрудников. Доверенные приложения могут устанавливаться на МСК по команде администратора системы. Пользователи МСК также могут самостоятельно устанавливать и обновллять приложения из этого банка.

Ведется адресная книга корпоративных контактов. Актуальная версия книги распространяется по команде администратора на все корпоративные МСК.

Доступ к системе документооборота и электронной почте обеспечивают клинтские приложения на МСК (загружаются из банка доверенного ПО).

Телефонная связь может быть организована:

«в открытом режиме» с использованием штатных механизмов МСК. При этом связываться можно как с корпоративными абонентами, так и с «внешними»

абонентами, не входящими в книгу корпоративных контактов;

«в закрытом режиме», с использлванием шифрования наложенными средствами. В этом случае соединение возможно установить только между корпоративными абонентами.

Для администрирования МСК используется функционал:

–  –  –

Рис 5.1 Схема организации доступа к корпоративным информационным рескрсам с использованием МСК.

5.4 Обеспечение ИБ Рассмотрим основные аспекты обспечения ИБ, включая защиту данных на МСК, организационные и технические меры защиты выбранного решения.

5.4.1 Безопасность данных на МСК На МСК могут присутствовать личные данные пользователя, корпоративные справочники, корпоративные данные.

Проблемы, связанные с хранением на МСК данных различных типов могут быть решены следующим способом:

Запретить хранение конфиденциальных данных в памяти МСК (положение политики ИБ в отношении МСК);

Использовать штатные средства защиты МСК (шифрование данных в памяти);

–  –  –

2. Владельцы информационных ресурсов определяют требования к функционалу МСК в части работы с ресурсами и обеспечению безопасности. Определяется список доверенного ПО, которое допустимо использовать на МСК при работе с корпоративными ресурсами.

3. Разработать систему контроля использования МСК в бизнес-процессах. Система контроля может быть основана на анализе журналов событий.

5.3.3 Технические меры защиты

Механизмы реализации базовых технических мер защиты:



Похожие работы:

«Автоматизированная копия 586_153742 ВЫСШИЙ АРБИТРАЖНЫЙ СУД РОССИЙСКОЙ ФЕДЕРАЦИИ ПОСТАНОВЛЕНИЕ Президиума Высшего Арбитражного Суда Российской Федерации № 100/10 Москва 25 мая 2010 г. Президиум Высшего Арбитражного Суда Российской Федерации в составе: председательствующег...»

«Серия "Политология. Религиоведение" ИЗВЕСТИЯ 2009. № 1 (3). С. 142–152 Иркутского Онлайн-доступ к журналу: государственного http://isu.ru/izvestia университета УДК 32.001 Институциональная трансформация в политическом пространстве ре...»

«ГЕЛЬДЕРЛИН ГИПЕРИОН ФРИДРИХ ГЕЛЬДЕРЛИН. Рисунок карандашом И. Г. Наста. I78S. АКАДЕМИЯ НАУК СССР ЛИТЕРАТУРНЫЕ ПАМЯТНИКИ FRIEDRICH HLDERLIN HYPERION GEDICHTE BRIEFE SUSETTE GONTARD BRIEFE DER DIOTIMA Ф ГЕЛЬДЕРЛИН ГИПЕРИОН СТИХИ ПИСЬМА СЮЗЕТТА ГОНТАР ПИСЬМА АИОТ...»

«КОНТРОЛЬНО-КАССОВАЯ ТЕХНИКА КОНТРОЛЬНО-КАССОВАЯ МАШИНА FPrint-55K Инструкция по сервисному обслуживанию и ремонту АТ028.00.00 РД г. Москва Версия документации: 1.2 (от 24.12.2013) Контрольно-кассовая машина FPrint-55K 3 Содержание Введение Основные характеристики Описание ККМ Внешний вид ККМ Пульт управления Подключе...»

«ISSN 2078-7405. Резание и инструмент в технологических системах, 2015, выпуск 85 УДК 621.923 Ю.Г. Гуцаленко, Харьков, Украина ВЗАИМОСВЯЗЬ ПАРАМЕТРОВ РЕЖУЩЕГО РЕЛЬЕФА С ШЕРОХОВАТОСТЬЮ И ПРОИЗВОДИТЕЛЬНОСТ...»

«ОТЧЕТ по результатам проверки использования средств бюджета Республики Татарстан, выделенных на обеспечение функционирования и выполнение государственного задания специальными (коррекционными) школамиинтернатами Министерства образования и науки РТ за 2011-2012 годы Осно...»

«УНИВЕРСИТАТЯ ДЕ СТАТ НИСТРЯНЭ "Т.Г. ШЕВЧЕНКО" Библиотека штиинцификэ Серия: Саванций Нистренией ПАТРИАРХИЙ КАТЕДРЕЙ ДЕ ФИЛОЛОЖИЕ МОЛДОВЕНЯСКЭ Индиче библиографик Тираспол, 2012 УДК 859.2: (01) ББК Е1я1 (4 Мол 5) П–20 Алкэтуиторь: Л.И. Синяк, В.М. Мечевская, О.В...»

«ISSN 2078-7499. Сучасні технології в машинобудуванні, 2016, вип. 11 УДК 621.923 В.А. ФЕДОРОВИЧ, д-р техн. наук, Харьков, В.А. ЗАЛОГА, д-р техн. наук, Сумы, И.Н. ПЫЖОВ, д-р техн. наук, Харьков, Д.В. КРИВОРУЧКО, д-р техн. наук, Сумы, Д.В. ФЕДОРЕНКО, Харьков, Укра...»









 
2017 www.lib.knigi-x.ru - «Бесплатная электронная библиотека - электронные матриалы»

Материалы этого сайта размещены для ознакомления, все права принадлежат их авторам.
Если Вы не согласны с тем, что Ваш материал размещён на этом сайте, пожалуйста, напишите нам, мы в течении 1-2 рабочих дней удалим его.