Проверьте вашу безопасность
Компания "Инфосистемы Джет" объявляет о выходе в свет бесплатного дистрибутива - сканера защищенности Nessus. На сегодняшний день этот сканер является первым сертифицированным свободно распространяемым продуктом и пока единственным в своем классе, получившим сертификат Гостехкомиссии при Президенте РФ на соответствие актуальной версии продукта заявленным техническим характеристикам.
Предлагаемый компанией "Инфосистемы Джет" сканер защищенности Nessus представляет собой готовый дистрибутив, снабженный документацией и инструкцией пользователя на русском языке. Распространяться данный продукт будет бесплатно всем заинтересованным предприятиям и организациям.
Как показывает изучение рынка, практически все корпоративные информационные системы в той или иной мере уязвимы для внешних и внутренних атак. В ряде случаев пользователи даже не подозревают о том, что в их компьютерной сети содержатся уязвимости, позволяющие злоумышленнику несанкционированно проникать в информационную систему. Реальное представление о недостатках защиты корпоративной сети пользователи получают уже после совершенных взломов, кражи конфиденциальной информации или вывода из строя сетевых сервисов.
Чтобы решить проблему предупреждения атак на корпоративные информационные системы, существует целое семейство продуктов, называемых сканерами защищенности. Коммерческие релизы сканеров защищенности, поставляемые в нашу страну зарубежными производителями, являются достаточно качественными, надежными и функциональными решениями. Однако широкому их распространению на внутрироссийском рынке препятствует высокая цена.
Проведенные компанией "Инфосистемы Джет" исследования позволили сделать вывод, что многие из свободно распространяемых программных продуктов не уступают по техническим характеристикам коммерческим аналогам. В частности именно такая ситуация сложилась на рынке сканеров защищенности.
"Основная проблема в использовании свободно распространяемых продуктов состоит в отсутствии технической поддержки решений на их основе со стороны разработчиков, - считает Сергей Кашинский, начальник Технического Центра компании "Инфосистемы Джет". - Получив результаты исследований, наша компания решила провести доработку бесплатно распространяемого сканера защищенности Nessus с учетом российской специфики, сертифицировать его в Гостехкомиссии и организовать службу технического сопровождения данного продукта".
Сканер Nessus позволяет выявлять уязвимости для всех существующих классов атак: отказ в обслуживании (DDoS), подбор пароля и других атрибутов доступа, получение привилегий суперпользователя и др. Nessus содержит как встроенные прототипы атак, так и подключаемые дополнения (plugins), которые могут быть смоделированы независимыми разработчиками или администратором безопасности. Количество подключаемых дополнений постоянно увеличивается, и в настоящее время их насчитывается порядка трехсот. Nessus может работать под управлением ОС Solaris, Linux.
"Поскольку продукт функционально достаточно силен, его можно рекомендовать различным категориям корпоративных пользователей, от небольших офисов до крупных предприятий с развитой сетевой инфраструктурой", - отметил Павел Вороненко, начальник отдела средств и методов защиты информации компании "Инфосистемы Джет".
Компания "Инфосистемы Джет" готова оказывать консультационные услуги в устранении "дыр" в безопасности сети, регистрируемых сканером Nessus. Кроме того, специалисты компании могут провести подробное исследовании информационных систем на предмет выявления скрытых недостатков, которые не регистрируются данным сканером защищенности. Также в ближайшее время на Web-сервере компании (www.jet.msk.su) будет открыт раздел ответов на наиболее часто встречающиеся вопросы по установке и обслуживанию сканера защищенности Nessus.
"От имени Председателя Гостехкомиссии России выражаю свою признательность компании "Инфосистемы Джет" за готовность бесплатной передачи предприятиям и организациям сертифицированного программного комплекса Nessus, - заявил начальник отдела лицензирования и сертификации Юрий Геннадьевич Попов. - Мы считаем целесообразным оснастить этим комплексом в первую очередь региональные центры технической защиты информации, испытательные центры и органы по аттестации объектов информатизации, аккредитованные в системе сертификации Гостехкомиссии РФ".
Проверьте вашу безопасность
Компания "Инфосистемы Джет" объявляет о выходе в свет бесплатного дистрибутива - сканера защищенности Nessus. На сегодняшний день этот сканер является первым сертифицированным свободно распространяемым продуктом и пока единственным в своем классе, получившим сертификат Гостехкомиссии при Президенте РФ на соответствие актуальной версии продукта заявленным техническим характеристикам.
Предлагаемый компанией "Инфосистемы Джет" сканер защищенности Nessus представляет собой готовый дистрибутив, снабженный документацией и инструкцией пользователя на русском языке. Распространяться данный продукт будет бесплатно всем заинтересованным предприятиям и организациям.
Как показывает изучение рынка, практически все корпоративные информационные системы в той или иной мере уязвимы для внешних и внутренних атак. В ряде случаев пользователи даже не подозревают о том, что в их компьютерной сети содержатся уязвимости, позволяющие злоумышленнику несанкционированно проникать в информационную систему. Реальное представление о недостатках защиты корпоративной сети пользователи получают уже после совершенных взломов, кражи конфиденциальной информации или вывода из строя сетевых сервисов.
Чтобы решить проблему предупреждения атак на корпоративные информационные системы, существует целое семейство продуктов, называемых сканерами защищенности. Коммерческие релизы сканеров защищенности, поставляемые в нашу страну зарубежными производителями, являются достаточно качественными, надежными и функциональными решениями. Однако широкому их распространению на внутрироссийском рынке препятствует высокая цена.
Проведенные компанией "Инфосистемы Джет" исследования позволили сделать вывод, что многие из свободно распространяемых программных продуктов не уступают по техническим характеристикам коммерческим аналогам. В частности именно такая ситуация сложилась на рынке сканеров защищенности.
"Основная проблема в использовании свободно распространяемых продуктов состоит в отсутствии технической поддержки решений на их основе со стороны разработчиков, - считает Сергей Кашинский, начальник Технического Центра компании "Инфосистемы Джет". - Получив результаты исследований, наша компания решила провести доработку бесплатно распространяемого сканера защищенности Nessus с учетом российской специфики, сертифицировать его в Гостехкомиссии и организовать службу технического сопровождения данного продукта".
Сканер Nessus позволяет выявлять уязвимости для всех существующих классов атак: отказ в обслуживании (DDoS), подбор пароля и других атрибутов доступа, получение привилегий суперпользователя и др. Nessus содержит как встроенные прототипы атак, так и подключаемые дополнения (plugins), которые могут быть смоделированы независимыми разработчиками или администратором безопасности. Количество подключаемых дополнений постоянно увеличивается, и в настоящее время их насчитывается порядка трехсот. Nessus может работать под управлением ОС Solaris, Linux.
"Поскольку продукт функционально достаточно силен, его можно рекомендовать различным категориям корпоративных пользователей, от небольших офисов до крупных предприятий с развитой сетевой инфраструктурой", - отметил Павел Вороненко, начальник отдела средств и методов защиты информации компании "Инфосистемы Джет".
Компания "Инфосистемы Джет" готова оказывать консультационные услуги в устранении "дыр" в безопасности сети, регистрируемых сканером Nessus. Кроме того, специалисты компании могут провести подробное исследовании информационных систем на предмет выявления скрытых недостатков, которые не регистрируются данным сканером защищенности. Также в ближайшее время на Web-сервере компании (www.jet.msk.su) будет открыт раздел ответов на наиболее часто встречающиеся вопросы по установке и обслуживанию сканера защищенности Nessus.
"От имени Председателя Гостехкомиссии России выражаю свою признательность компании "Инфосистемы Джет" за готовность бесплатной передачи предприятиям и организациям сертифицированного программного комплекса Nessus, - заявил начальник отдела лицензирования и сертификации Юрий Геннадьевич Попов. - Мы считаем целесообразным оснастить этим комплексом в первую очередь региональные центры технической защиты информации, испытательные центры и органы по аттестации объектов информатизации, аккредитованные в системе сертификации Гостехкомиссии РФ".
Санкт-Петербургский РЦЗИ предоставляет следующие виды услуг:
Подготовка и построение сетей защищенной передачи информации, соответствующих требованиям Гостехкомиссии РФ, ФАПСИ, предъявляемых информации уровня Государственной тайны (гриф "секретно").
Поставка комплекса оборудования криптографической защиты информации, имеющего необходимые сертификаты Российской Федерации.
Разработка комплексных сетевых решений по защите информации.
Организация и построение защищенных корпоративных сетей электронного документооборота информации, не составляющей Государственной тайны.
Наложенные сетевые решения для организации защиты конфиденциальной информации в системах типа "Банк-Клиент".
Аппаратно-программный комплекс организации цифровой подписи (ЦП) в сетях электронной торговли, автоматизированной бухгалтерии и др.
Начальная информация для построения сетей связи для передачи информации, составляющей государственную (коммерческую) тайну.
Система криптографической защиты информации (СКЗИ) "ФОРТ" на базе сертифицированного ФАПСИ прибора "ФОРТ-КС" (М-484) позволяет создавать сети засекреченной связи для передачи информации, составляющей государственную тайну (гриф "секретно"), а также передачи конфиденциальной информации.
СКЗИ "ФОРТ" по принципу построения относится к системам наложенной защиты. В отличие от систем встроенной защиты, в которых компоненты защиты встраиваются в программно-аппаратные средства и являются их неотъемлемой частью, системы наложенной защиты предполагают сопряжение с программно-аппаратными средствами, создававшимися без учета возможности их дополнения средствами криптографической защиты информации.
СКЗИ "ФОРТ" может быть применена в системах передачи данных в случае возможности включения приборов "ФОРТ-КС" между аппаратурой обработки информации и аппаратурой передачи информации по асинхронному интерфейсу RS-232C с организацией передачи информации "точка - точка".
В случае включения приборов "ФОРТ-КС" между модемом и средствами обработки информации при работе в дуплексном режиме по выделенной или коммутируемой линии, на смежную по отношению к прибору аппаратуру накладываются следующие минимальные ограничения:
при работе по коммутируемым каналам связи должны использоваться HAYES-команды из ограничительного списка;
модемы должны выбираться из списка модемов, проверенных и согласованных ФАПСИ, или согласовываться вновь с проведением ряда специальных проверок. При этом не налагается каких либо других ограничений на аппаратуру обработки информации, что позволяет использовать практически весь парк существующих на сегодня типов IBM PC - совместимых компьютеров и, что особенно важно, использовать весь парк широко распространенных коммуникационных программ.
Cледует отдельно отметить, что,так как СКЗИ "ФОРТ" реализует защиту цифровой информации, возможна и апробирована защищенная передача речевой информации (при применении, например, программ IP-телефонии). Такие виды встраивания приборов в системе требуют проведения СПбРЦЗИ дополнительных работ для учета сетевых особенностей выбранных Заказчиком технических решений. Предлагаемые в этом случае Заказчику решения по встраиванию приборов и построению сети засекреченной информации будут базироваться на применении, по возможности, уже существующих серийно выпускаемых программно-аппаратных средств сопряжения.
Принципиально возможно включение приборов в иной конфигурации построения систем передачи данных, но при этом для сопряжения с приборами "ФОРТ-КС" необходимо обеспечить ряд условий:
доведение информации по каналам связи должно обеспечиваться за счет алгоритмов, реализуемых вне прибора "ФОРТ-КС";
после установления соединения между абонентами (на физическом уровне) должен быть обеспечен обмен служебной информацией между приборами "ФОРТ-КС" для синхронизации работы абонентов по ключам шифрования, после чего весь поток информации между приборами засекречивается.
Одним из основных свойств, является несекретность прибора до момента его инициализации. После инициализации прибор становится несекретным после выключения его питания. Это даёт возможность обеспечивать необходимые режимные требования при работе с аппаратурой только в рабочее время.
Сам процесс инициализации сведён к ряду простейших действий, выполняемых по "подсказкам", отображаемым на индикаторе прибора, и заключающимся в установке операторами в прибор выданных им интеллектуальных карт и задании необходимых параметров с помощью стандартной клавиатуры ПЭВМ.
Следует отметить, что периодичность смены ключей в СКЗИ "ФОРТ" составляет полгода, что также существенно упрощает процесс эксплуатации системы.
Непосредственно при эксплуатации СКЗИ "ФОРТ" Заказчик использует приписанные первоначально объектам и пользователям интеллектуальные карты, что и обеспечивает реализацию необходимой конфигурации ключевой сети.
В СКЗИ "ФОРТ" реализована система полнодоступной ключевой матрицы, обеспечивающей возможность связи абонентов "каждый с каждым".
Ограничения, которые необходимо учитывать при построении ключевой сети, связаны с ограниченным числом ключей, которые могут быть внесены на интеллектуальную карту и в память приборов. СПбРЦЗИ оказывает содействие Заказчику в построении ключевой сети для оптимального выбора количества приборов и распределения ключей с учетом реального графа связи между пользователями в системе.
При выборе количества приобретаемых приборов Заказчик должен учитывать требования по восстановлению засекреченной связи при отказе приборов. В случае особо ответственных сетей, где требуется непрерывная работа в условиях отказов аппаратуры, Заказчик должен вводить резервирование приборов в системе ("горячий" или "холодный" резерв), а так же предусматривать ЗИП на объектах (одиночный или групповой) с учетом времени восстановления отказавшего прибора.
Следует учесть, что введение резервирования и ЗИП также влияет на заказ ключевых документов, так как в служебных картах службы безопасности объектов указываются уникальные номера приборов, которые могут быть инициализированы службой безопасности на каждом из объектов.
П р и м е ч а н и е: Приобретение приборов СКЗИ "ФОРТ" должно производиться организацией (Заказчик), которая в дальнейшем будет эксплуатировать приборы. На момент приобретения Заказчик или должен иметь лицензию ФАПСИ на эксплуатацию сертифицированной шифраппаратуры, или первоначально до получения такой лицензии использовать лицензию СПбРЦЗИ, позволяющую Заказчику приобрести и апробировать приборы и СКЗИ в целом с передачей только информации, не составляющей гос. тайну.
Создание сети засекреченной связи на базе СКЗИ "ФОРТ" включает в себя следующие этапы проведения работ:
Определение необходимого количества приборов и их приобретение.
Согласование с СПбРЦЗИ выбранных смежных с приборами средств системы, проведение, при необходимости, специальных исследований модемов или иных средств.
Обучение с помощью СПбРЦЗИ специалистов Заказчика эксплуатации СКЗИ.
Разработка с привлечением СПбРЦЗИ ключевой сети и подготовка для направления в ФАПСИ заявки на получение ключевых документов в установленной форме.
Обкатка Заказчиком с привлечением СПбРЦЗИ СКЗИ "ФОРТ" на фрагменте сети.
Регистрация сети в ФАПСИ. В процессе регистрации ФАПСИ проводит лицензирование Заказчика с проверкой правильности применения СКЗИ с учетом обеспечения им специальных требований, наложенных на СКЗИ согласно выданному сертификату и утвержденным "Правилам пользования...".
Сопровождение эксплуатации сети со стороны СПбРЦЗИ в согласованном с Заказчиком объеме.
При введении в эксплуатацию СКЗИ "ФОРТ" Заказчик должен иметь кроме лицензии ФАПСИ соответствующие лицензии ФСБ и Гос. Тех. Комиссии.
По желанию Заказчика СПбРЦЗИ может взять на себя работы по созданию системы защиты объектов и системы в целом "под ключ" в соответствии с требованиями руководящих документов Гостехкомиссии (с привлечением соответствующих контрагентов). В этом случае предполагается следующий порядок работ:
1. Предпроектная стадия.
Аналитическое обследование объекта информатизации;
устанавливается необходимость обработки секретной (конфиденциальной) информации (КИ), ее степень и объем;
определяются режимы обработки КИ, комплекс основных технических средств, условия расположения объекта информатизации, предполагаемые общесистемные программные средства;
определяется категория объекта информатизации;
определяется класс защищенности автоматизированной системы;
определяется степень участия персонала в обработке информации;
оценивается возможность использования имеющихся на рынке сертифицированных средств защиты информации;
определяются мероприятия по обеспечению режима секретности на стадии разработки системы информатизации;
разрабатывается ТЗ (ЧТЗ) на разработку СКЗИ;
разрабатывается аналитическое обоснование необходимости создания СКЗИ.
П р и м е ч а н и е: В зависимости от закладываемых подходов к обеспечению защиты информации все вышеназванные определяемые параметры могут существенно изменяться. В случае организации работ по защите информации, не составляющей гостайну, некоторые разделы могут быть существенно сокращены.
В процессе предпроектной стадии Заказчик:
- представляет документ за подписью, соответствующей руководителю Заказчика, по степени секретности обрабатываемой информации;
- определяет представителей заказчика, участвующих в информационном обследовании;
- устанавливает совместно с разработчиком класс защищенности АС, категории выделенных помещений, технических средств и систем информатизации.
Результаты аналитического обследования должны содержать:
1) информационную характеристику и организационную структуру объекта информатизации;
2) характеристику комплекса основных и вспомогательных технических средств, программного обеспечения, режимов работы, технологические процессы обработки информации;
3) возможные каналы утечки информации и перечень мероприятий по их устранении и ограничению;
4) перечень предлагаемых к использованию сертифицированных средств защиты информации;
5) оценку материальных, трудовых и финансовых затрат на разработку и внедрение СКЗИ;
6) ориентировочные сроки разработки и внедрения СКЗИ;
7) обоснование необходимости привлечения специализированных предприятий для разработки СКЗИ;
8) перечень мероприятий по обеспечению режима секретности на стадии разработки систем информатизации.
2. Стадия разработки проекта.
Включает:
а) разработку задания и проекта на строительство или реконструкцию объекта информатизации в соответствии с ТЗ (ЧТЗ) на СКЗИ;
б) разработку раздела технического проекта на систему информатизации в части СКЗИ. Задание на проектирование строится на основе мероприятий по защите информации от утечки по техническим каналам, которые разрабатывают одновременно с заданиями на проектирование.
в) оформление технического проекта и эксплуатационной документации на СКЗИ.
При разработке проекта, по согласованию с Заказчиком, решаются задачи:
1) защиты речевой информации;
2) защиты информации, обрабатываемой средством ВТ от утечки за счет ПЭМИН;
3) защиты информации, обрабатываемой средствами ВТ от несанкционированного доступа с применением криптографических средств;
4) защиты телевизионных и видеосистем (в том числе, охранных);
5) защиты средств изготовления и размножения секретных документов;
6) защиты в системе электропитания и заземления технических средств и систем;
7) создания сетей обмена конфиденциальной информацией по коммутируемым и выделенным каналам телефонной сети общего назначения.
Задачи создания системы защиты секретной информации решаются в комплексе с задачами защиты конфиденциальной информации, не составляющих гос.тайну, на базе единых технических и организационных решений.
Проект может выполняться головным исполнителем по созданию СКЗИ "под ключ" с решением вопросов информатизации объекта и организации охраны и пожарозащищенности объекта.
3. Стадия реализации проекта и ввода в действие объекта информатизации.
Включает:
- строительно-монтажные работы по оборудованию (переоборудованию) объекта;
- разработку организационно-технических мероприятий по защите объекта;
- закупку сертифицированных технических средств обработки, передачи и хранения информации;
- закупку и сертификационные испытания технических средств, не прошедших сертификацию;
- спецпроверку технических средств; - спецпроверку выделенных помещений;
- размещение и монтаж технических средств объектов информатизации;
- организацию охраны и физической защиты объекта информатизации;
- разработку и реализацию разрешительной системы доступа;
- определение заказчиком подразделений и лиц, ответственных за эксплуатацию СКЗИ и их обучение специфике работы по защите информации на стадии эксплуатации объекта информатизации;
- разработку организационно-распорядительной и рабочей документации по эксплуатации объекта информатизации в защищенном исполнении (приказов, инструкций...);
- опытную эксплуатацию средств защиты в комплексе с другими техническими и программными средствами;
- приемо-сдаточные испытания средств защиты;
- лицензирование по линии ФАПСИ;
- аттестацию по линии ГТК (в случае необходимости)
