На главную страницу
О журнале План выхода Подписка Интернет-Магазин Реклама Контакты и реквизиты English На главную страницу Карта сайта Поиск по сайту Обратная связь

перейти к Содержанию номера

№ 5 сентябрь-октябрь 2006 г.
Тема номера:
ТЕХНИЧЕСКАЯ ЗАЩИТА ИНФОРМАЦИИ


НАСТРОЙКА СЕРТИФИЦИРОВАННОГО
ПРОГРАММНОГО ОБЕСПЕЧЕНИЯ MICROSOFT

А. Л. Липатов, С. Н. Гирин


Предыдущая статьяСледующая статья

Прошло уже порядка двух лет с момента сертификации Гостехкомиссией России (ныне ФСТЭК1 России) производства ОС Windows XP Professional. За это время был накоплен определенный опыт и сформировано видение проблемы проведения аттестаций АС, в которых обеспечение безопасности реализуется с использованием встроенных механизмов защиты в данную ОС, а также в ОС Windows Server 2003 и СУБД MS SQL Server 2000, также сертифицированных впоследствии.
Цель настоящей статьи – поделиться некоторым практическим опытом в том, каким образом следует настроить ОС и СУБД, чтобы обеспечить их безопасное функционирование, выполнение требований и рекомендаций по обеспечению безопасности конфиденциальной информации, а также как осуществлять проверки правильности сделанных настроек.

Зачем нужны сертифицированные средства защиты информации

В 2002 году Гостехкомиссией России были утверждены «Специальные требования и рекомендации по технической защите конфиденциальной информации» (СТР-К) – основной нормативный документ, регламентирующий вопросы, связанные с технической защитой конфиденциальной информации в России. В п. 5.6.5 этого документа сказано следующее: «Для управления, контроля защищенности ЛВС и управления системных ресурсов в ЛВС, включая управление средствами защиты информации, обрабатываемой (хранимой, передаваемой) в ЛВС, должны использоваться соответствующие сертифицированные по требованиям безопасности информации средства защиты».

Выпущенный значительно раньше другой руководящий документ (РД) – «Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации»2 – не предписывает обязательного использования исключительно сертифицированных средств для защиты конфиденциальной информации.

Тем не менее с выходом СТР-К (ввиду приведенного выше п. 5.6.5) в ряде случаев сертифицированные средства защиты ставить все-таки придется. Скажем, когда речь идет о защите служебной тайны, то есть государственных информационных ресурсов, требования СТР-К носят обязательный характер: в соответствии с тем же п. 5.6.5 СТР-К, сертифицированные средства защиты должны быть установлены, как минимум, на контроллере домена, файл-серверах, а также на серверах сетевой инфраструктуры (DNS, DHCP).

Многое зависит от интерпретации данного требования. В соответствии со сложившейся практикой, в случаях с защитой служебной тайны сертифицированные средства защиты, как правило, устанавливаются не только на ключевые серверы АС, но и на все рабочие станции, обрабатывающие или хранящие конфиденциальную информацию.

Каким же образом можно построить систему обеспечения ИБ в данном случае? Фактически, существуют два варианта:

  • использовать сертифицированные, «наложенные поверх ОС», программные или программно-аппаратные средства защиты информации (примеры: СЗИ НСД Secret Net, СЗИ НСД «Спектр-М»/ «Спектр-2000», СЗИ НСД «Страж NT» и т. п.),
  • использовать встроенные в ОС и СУБД механизмы защиты.

Применительно ко второму варианту, сертифицированное ПО Microsoft, безусловно, является в настоящий момент наиболее востребованным.

Какую информацию можно защищать средствами сертифицированных ОС и СУБД Microsoft

Как уже было упомянуто, встроенные механизмы защиты клиентской ОС Windows XP Professional, серверной ОС Windows Server 2003 Standard/Enterprise Edition, а также СУБД SQL Server 2000 Standard/Enter-prise Edition сертифицированы Гостехкомиссией (ФСТЭК) России на соответствие требованиям по безопасности конфиденциальной информации.

Сертификация ОС и СУБД производилась в соответствии с РД «Безопасность информационных технологий. Критерии оценки безопасности информационных технологий»3. Этот руководящий документ содержит аутентичный текст международного стандарта ISO/IEC 15408 «Common Criteria for Information Technology Security Evaluation».

Вот некоторые из основных определений из данного руководящего документа:

Задание по безопасности (ЗБ) – совокупность требований безопасности и спецификаций, которую необходимо использовать в качестве основы для оценки конкретного объекта оценки.

Оценочный уровень доверия (ОУД) – пакет компонентов доверия из части 3 РД, представляющий некоторое положение на предопределенной в РД шкале доверия.

Таким образом, в соответствии с РД «Безопасность информационных технологий. Руководство по формированию семейств профилей защиты»4, сертифицированные ОС и СУБД Microsoft можно использовать для защиты конфиденциальной информации, обрабатываемой в АС до классов 3Б, 2Б, 1Г включительно, без использования дополнительных наложенных средств защиты от НСД.

Как приобрести сертифицированный софт

Поставками сертифицированного (верифицированного) ПО Micro-soft в России занимается компания ЗАО «Алтэкс-строй-2002» и ее авторизованные дилеры. Стоимость ПО колеблется от 725 рублей (за 1 верифицированный комплект клиентской ОС Windows XP Professional без учета стоимости лицензии на ОС) до 56260 рублей (за 1 верифицированный комплект СУБД SQL Server 2000 Enterprise Edition без учета стоимости лицензии на ОС)5. Более подробная информация приведена на сайте www.altx.ru.

Как настроить сертифицированное ПО

А нужно ли вообще настраивать

Самый важный момент в обеспечении ИБ с использованием сертифицированного ПО Microsoft – корректная настройка встроенных механизмов защиты ОС и СУБД. Необходимо четко осознавать, что, вне зависимости от дороговизны приобретенного средства защиты, без его правильной настройки говорить о достижении должного уровня безопасности нельзя. Так что настраивать непременно нужно, причем грамотно и тщательно.

Чем следует руководствоваться при настройке встроенных механизмов защиты ОС и СУБД

Особенности настроек встроенных механизмов безопасности описываются в следующих документах:

  • для ОС Windows XP Professional:
    • Microsoft Solutions for Security. Windows XP Security Guide;
    • NIST Special Publication 800-68. Guidance for Securing Microsoft Windows XP Systems for IT Professionals: A NIST Security Configuration Checklist. Recommendations of the National Institute of Standards and Technology;
    • операционная система Micro-soft Windows XP Professional. Руководство по безопасной настройке и контролю сертифицированной версии;
  • для ОС Windows Server 2003:
    • Microsoft Solutions for Security. Windows Server 2003 Security Guide;
    • операционная система Micro-soft Windows 2003 Enterprise Edition/Standard Edition. Руководство по безопасной настройке и контролю сертифицированной версии;
  • для СУБД SQL Server 2000:
    • Microsoft SQL Server C2 Administrator’s and User’s Security Guide;
    • SQL Server 2000 SP3 Security Features and Best Practices: Security Best Practices Checklist;
    • SQL Server 2000 Auditing;
    • Administering SQL Server. Managing Security;
    • система управления базами данных Microsoft SQL Server 2000 Enterprise Edition/Standard Edition. Руководство по безопасной настройке и контролю сертифицированной версии.

Как проверить правильность настроек

На что следует обратить особое внимание при проведении проверок ОС и СУБД

После проведения настройки встроенных механизмов защиты ОС и СУБД следует провести проверку их соответствия требованиям политики безопасности компании, а при необходимости и РД ФСТЭК России. Такую проверку могут осуществлять непосредственно уполномоченные на это сотрудники компании либо сотрудники сторонней организации (например, органа по аттестации в процессе аттестации АС на соответствие требованиям по безопасности конфиденциальной информации). Далее будем исходить из того, что указанная проверка осуществляется в ходе проведения аттестации АС (потому что, по мнению автора, этот путь представляется наиболее логичным и правильным, а в ряде случаев – обязательным). Ниже следует краткий и далеко не исчерпывающий перечень настроек, которые необходимо произвести, чтобы обеспечить максимально безопасное функционирование ОС и СУБД Microsoft.

< ... >


 

Полную версию статьи смотрите на страницах журнала «Защита информации. Инсайд»


Обращайтесь!!!
e-mail:    magazine@inside-zi.ru
тел.:        (812) 347-74-12, (921) 958-25-50


Предыдущая статья    СОДЕРЖАНИЕ НОМЕРА    Следующая статья

 

| Начало | О журнале | План выхода | Подписка | Интернет-магазин | Реклама | Координаты |

Copyright © 2004-2013 «Защита информации. Инсайд». Все права защищены
webmaster@inside-zi.ru

Rambler's Top100