Cyber Defense Doctrine Managing the Risk Full Applied Guide to Organizational...
Обеспечение информационной безопасности ИС «Независимый Регистратор»
1. Макаров Евгений Викторович
Начальник отдела
Департамент обеспечения ИБ
ФГУП НИИ «Восход»
ОБЕСПЕЧЕНИЕ
ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
ИС «НЕЗАВИСИМЫЙ РЕГИСТРАТОР»
2. 2
Назначение ИС НР
Информационная система «Независимый регистратор» (далее в
докладе – Система, ИС НР) предназначена для
независимого сбора, протоколирования, хранения, контроля и
аудита информации в целях исполнения полномочий
контролирующими и правоохранительными органами:
– в процессах проведения электронных аукционов на электронных
торговых площадках, отобранных в соответствии с требованиями
законодательства Российской Федерации о размещении заказов;
– при совершении юридически значимых действий при размещении
информации о размещении заказов на поставки товаров, выполнение
работ, оказание услуг.
3. Оборудование
ЭЭТТПП N N
3
Архитектура ИС НР
ЦУ ИС НР
Серверы
приложений и
обработки
сообщений
Сервер БД
СХД
VPN
Участники размещения
заказа, работающие
через тонкий клиент
(плагин) с
установленным
модулем контроля
работы ЭТП
Internet
Сеть НР
VPN VPN
Сервер
приложений
ФАС-Контроль
Серверы приложений
и очереди сообщений
ЭТП 1-N ФАС
ЭТП
УМ ИС НР УМ ИС НР
4. 4
Подсистемы ИС НР
Доработанные подсистемы:
подсистема контроля и аудита;
подсистема формирования единой нормативно-справочной базы;
подсистема администрирования;
подсистема информационной безопасности;
подсистема контроля работы электронных площадок;
подсистема интеграции.
Разработанные подсистемы:
подсистема аналитического обеспечения;
подсистема автоматизированного выявления нарушений при выполнении действий
участников электронных аукционов, работы электронных площадок и
государственных заказчиков;
подсистема мониторинга состояния программно-аппаратного комплекса ИС НР;
подсистема обеспечения деятельности правоохранительных органов;
подсистема электронного архива;
подсистема автоматизированного рабочего места контролирующего органа;
подсистема контроля имущественных торгов.
5. 5
Схема взаимодействия подсистем ИС НР
ФАС ЭТП
ПОИБ
АРМ участника
торгов
Подсистема
контроля и
аудита
Подсистема
формирования единой
нормативно-
справочной базы
Подсистема
администрирования
Подсистема
контроля
работы ЭТП
Подсистема Интеграции
ООС
Модуль подсистемы контроля и аудита
Модуль подсисте мы
контроля ра боты ЭТП
6. 6
Особенности ИС НР
ИС НР обладает следующими особенностями с точки зрения
обеспечения ИБ:
Передаваемая информация подписывается отсоединенной
электронной подписью участников Системы.
Сформированные сообщения при передаче содержат открытую и
закрытую части, закрытая часть шифруется с использованием
СКП ЭП ФАС и может быть расшифрована только на стороне ФАС.
ИС НР получает информацию от участников размещения заказа
по открытым каналам связи, от ЭТП – по закрытому каналу.
7. 7
Перечень защищаемой информации
В ИС НР обрабатываются следующие категории информации:
открытая, общедоступная информация:
– информация о ходе торгов, предоставляемая Порталом
государственных закупок;
– статистическая информация о показателях функционирования ИС НР;
– сертификаты открытых ключей, используемых в системе;
информация конфиденциального характера:
– персональные данные УТ (в зашифрованном виде);
– информация, составляющая коммерческую тайну УТ (в
зашифрованном виде);
– аутентифицирующие данные пользователей ИС НР;
– ключевая информация;
– журналы доступа пользователей и внешних ИС к компонентам ИС НР;
– конфигурационные и настроечные данные программно-аппаратных
средств компонентов ИС НР и взаимодействующих с ИС НР систем
(технические параметры).
8. 8
Общая информация о ПОИБ ИС НР
Для осуществления защиты информации в ПОИБ ИС НР
предусмотрены средства:
межсетевого экранирования;
криптографической защиты каналов связи;
обнаружения вторжений;
антивирусной защиты;
защиты от НСД, включая средства защиты от НСД виртуальной
инфраструктуры;
электронной подписи и криптографической защиты информации.
ПОИБ ИС НР развернута на всех объектах ИС НР:
ЦУ ИС НР;
ФАС России;
Электронные торговые площадки.
9. 9
Состав средств ПОИБ ИС НР
Для осуществления защиты информации в ПОИБ ИС НР
предусмотрены средства:
межсетевого экранирования;
криптографической защиты каналов связи;
обнаружения вторжений;
антивирусной защиты;
защиты от НСД, включая средства защиты от НСД виртуальной
инфраструктуры;
электронной подписи и криптографической защиты информации.
ПОИБ ИС НР развернута на всех объектах ИС НР:
ЦУ ИС НР;
ФАС России;
Электронные торговые площадки.
10. 10
Общая схема ПОИБ ИС НР
ЦОД ИС НР
СОВ VPN
ДМЗ СП ИС НР
СХД
МЭ МЭ
ЭТП ФАС России
СП ЭТП VPN СОВ
ИС ЭТП
СОВ VPN СП ФАС
ИС ФАС
ООС
ИС ООС
МЭ
СП ООС
11. 11
Решения в части ПОИБ
Сетевое взаимодействие
ЦУ ИС НР
Плагин
пользователя
Удаленный
модуль ИС НР
Y
Демилитариз
ованная зона
Закрытый
сегмент
Интернет
Межсетевой
экран
Криптошлюз
Обозначения
направлений передачи
информации в ИС НР
Обозначения направлений
инициализации
соединений в ИС НР
Удаленный
модуль ИС НР
Y
12. 12
Решения в части ПОИБ
Криптографическая защита данных (1)
Отправитель получает действительный сертификат долговременной ключевой пары
электронной подписи (ГОСТ Р 34.10-2001) ФАС России.
Выбираются параметры алгоритма симметричного шифрования (режим шифрования, s-box,
алгоритм key meshing, паддинг), описанные в ГОСТ 28147-89, RFC 4357.
Генерируется ключ шифрования контента (далее - CEK) при помощи датчика случайных
чисел (ДСЧ).
Производится шифрование данных при помощи алгоритма ГОСТ 28147-89 с
использованием CEK и выбранных параметров алгоритма.
Генерируется одноразовая сеансовая ключевая пара электронной подписи алгоритма
ГОСТ Р 34.10-2001 с параметрами, указанными в сертификате ключевой пары
получателя.
Для генерации ключа шифрования ключа (KEK) применяет алгоритм VKO GOST R 34.10-
2001 (см. RFC 4357, пункт 5.2).
Формирует структуру GostR3410-KeyTransport (см. RFC4490, пункт 4.2), в которой
включается открытый сеансовый ключ отправителя, параметры шифрования ключевой
информации CEK и собственно данная ключевая информация, упакованная при помощи
алгоритма CryptoPro Key Wrap (см. 4357, пункт 6.3)
Отправитель пересылает получателю структуру GostR3410-KeyTransport и
зашифрованные данные.
13. 13
Решения в части ПОИБ
Криптографическая защита данных (2)
Оператор ФАС России в случае возникновения необходимости получения доступа к
конфиденциальной информации производит следующие действия:
Из структуры GostR3410-KeyTransport получает открытый сеансовый ключ отправителя,
параметры шифрования ключевой информации CEK, UKM. Затем, при помощи
алгоритма VKO GOST R 34.10-2001 определяет KEK. При помощи алгоритма Crypto Pro
Key Unwrap (см. RFC 4357, пункт 6.4) получает CEK и проверяет правильность значения
имитовставки.
Расшифровывает данные, используя полученный CEK.
14. Выводы:
ИС НР соответствует 2 классу защищенности в соответствии с 17
ПОИБ ИС НР обеспечивает непрерывную защиту на протяжении
всего жизненного цикла информации от угроз ПДн,
конфиденциальной информации и специфических угроз,
возникающих в процессе проведения электронных торгов.
Обеспечена юридическая значимость при разборе конфликтных
Конфиденциальная информация о ходе торгов и аукционов
доступна исключительно сотрудникам ФАС России.
ИС НР успешно прошла аттестацию по требованиям ИБ.
Контактная информация:
Приказом ФСТЭК.
Макаров Евгений Викторович
ситуаций.
e.makarov@voskhod.ru & evgeniy.makarov@gmail.com