Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.
Макаров Евгений Викторович 
Начальник отдела 
Департамент обеспечения ИБ 
ФГУП НИИ «Восход» 
ОБЕСПЕЧЕНИЕ 
ИНФОРМАЦИОННОЙ Б...
2 
Назначение ИС НР 
Информационная система «Независимый регистратор» (далее в 
докладе – Система, ИС НР) предназначена дл...
Оборудование 
ЭЭТТПП N N 
3 
Архитектура ИС НР 
ЦУ ИС НР 
Серверы 
приложений и 
обработки 
сообщений 
Сервер БД 
СХД 
VPN...
4 
Подсистемы ИС НР 
Доработанные подсистемы: 
 подсистема контроля и аудита; 
 подсистема формирования единой нормативн...
5 
Схема взаимодействия подсистем ИС НР 
ФАС ЭТП 
ПОИБ 
АРМ участника 
торгов 
Подсистема 
контроля и 
аудита 
Подсистема ...
6 
Особенности ИС НР 
ИС НР обладает следующими особенностями с точки зрения 
обеспечения ИБ: 
 Передаваемая информация п...
7 
Перечень защищаемой информации 
В ИС НР обрабатываются следующие категории информации: 
 открытая, общедоступная инфор...
8 
Общая информация о ПОИБ ИС НР 
Для осуществления защиты информации в ПОИБ ИС НР 
предусмотрены средства: 
 межсетевого...
9 
Состав средств ПОИБ ИС НР 
Для осуществления защиты информации в ПОИБ ИС НР 
предусмотрены средства: 
 межсетевого экр...
10 
Общая схема ПОИБ ИС НР 
ЦОД ИС НР 
СОВ VPN 
ДМЗ СП ИС НР 
СХД 
МЭ МЭ 
ЭТП ФАС России 
СП ЭТП VPN СОВ 
ИС ЭТП 
СОВ VPN ...
11 
Решения в части ПОИБ 
Сетевое взаимодействие 
ЦУ ИС НР 
Плагин 
пользователя 
Удаленный 
модуль ИС НР 
Y 
Демилитариз ...
12 
Решения в части ПОИБ 
Криптографическая защита данных (1) 
 Отправитель получает действительный сертификат долговреме...
13 
Решения в части ПОИБ 
Криптографическая защита данных (2) 
Оператор ФАС России в случае возникновения необходимости по...
Выводы: 
 ИС НР соответствует 2 классу защищенности в соответствии с 17 
 ПОИБ ИС НР обеспечивает непрерывную защиту на ...
Upcoming SlideShare
Loading in …5
×

Обеспечение информационной безопасности ИС «Независимый Регистратор»

511 views

Published on

Презентация Макарова Е.В. (ФГУП НИИ "Восход"). VI конференция «Электронная торговля. Информационная безопасность и PKI». г.Казань, 22 – 24 октября 2014 г.

Published in: Technology
  • Be the first to comment

  • Be the first to like this

Обеспечение информационной безопасности ИС «Независимый Регистратор»

  1. 1. Макаров Евгений Викторович Начальник отдела Департамент обеспечения ИБ ФГУП НИИ «Восход» ОБЕСПЕЧЕНИЕ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ИС «НЕЗАВИСИМЫЙ РЕГИСТРАТОР»
  2. 2. 2 Назначение ИС НР Информационная система «Независимый регистратор» (далее в докладе – Система, ИС НР) предназначена для  независимого сбора, протоколирования, хранения, контроля и аудита информации в целях исполнения полномочий контролирующими и правоохранительными органами: – в процессах проведения электронных аукционов на электронных торговых площадках, отобранных в соответствии с требованиями законодательства Российской Федерации о размещении заказов; – при совершении юридически значимых действий при размещении информации о размещении заказов на поставки товаров, выполнение работ, оказание услуг.
  3. 3. Оборудование ЭЭТТПП N N 3 Архитектура ИС НР ЦУ ИС НР Серверы приложений и обработки сообщений Сервер БД СХД VPN Участники размещения заказа, работающие через тонкий клиент (плагин) с установленным модулем контроля работы ЭТП Internet Сеть НР VPN VPN Сервер приложений ФАС-Контроль Серверы приложений и очереди сообщений ЭТП 1-N ФАС ЭТП УМ ИС НР УМ ИС НР
  4. 4. 4 Подсистемы ИС НР Доработанные подсистемы:  подсистема контроля и аудита;  подсистема формирования единой нормативно-справочной базы;  подсистема администрирования;  подсистема информационной безопасности;  подсистема контроля работы электронных площадок;  подсистема интеграции. Разработанные подсистемы:  подсистема аналитического обеспечения;  подсистема автоматизированного выявления нарушений при выполнении действий участников электронных аукционов, работы электронных площадок и государственных заказчиков;  подсистема мониторинга состояния программно-аппаратного комплекса ИС НР;  подсистема обеспечения деятельности правоохранительных органов;  подсистема электронного архива;  подсистема автоматизированного рабочего места контролирующего органа;  подсистема контроля имущественных торгов.
  5. 5. 5 Схема взаимодействия подсистем ИС НР ФАС ЭТП ПОИБ АРМ участника торгов Подсистема контроля и аудита Подсистема формирования единой нормативно- справочной базы Подсистема администрирования Подсистема контроля работы ЭТП Подсистема Интеграции ООС Модуль подсистемы контроля и аудита Модуль подсисте мы контроля ра боты ЭТП
  6. 6. 6 Особенности ИС НР ИС НР обладает следующими особенностями с точки зрения обеспечения ИБ:  Передаваемая информация подписывается отсоединенной электронной подписью участников Системы.  Сформированные сообщения при передаче содержат открытую и закрытую части, закрытая часть шифруется с использованием СКП ЭП ФАС и может быть расшифрована только на стороне ФАС.  ИС НР получает информацию от участников размещения заказа по открытым каналам связи, от ЭТП – по закрытому каналу.
  7. 7. 7 Перечень защищаемой информации В ИС НР обрабатываются следующие категории информации:  открытая, общедоступная информация: – информация о ходе торгов, предоставляемая Порталом государственных закупок; – статистическая информация о показателях функционирования ИС НР; – сертификаты открытых ключей, используемых в системе;  информация конфиденциального характера: – персональные данные УТ (в зашифрованном виде); – информация, составляющая коммерческую тайну УТ (в зашифрованном виде); – аутентифицирующие данные пользователей ИС НР; – ключевая информация; – журналы доступа пользователей и внешних ИС к компонентам ИС НР; – конфигурационные и настроечные данные программно-аппаратных средств компонентов ИС НР и взаимодействующих с ИС НР систем (технические параметры).
  8. 8. 8 Общая информация о ПОИБ ИС НР Для осуществления защиты информации в ПОИБ ИС НР предусмотрены средства:  межсетевого экранирования;  криптографической защиты каналов связи;  обнаружения вторжений;  антивирусной защиты;  защиты от НСД, включая средства защиты от НСД виртуальной инфраструктуры;  электронной подписи и криптографической защиты информации. ПОИБ ИС НР развернута на всех объектах ИС НР:  ЦУ ИС НР;  ФАС России;  Электронные торговые площадки.
  9. 9. 9 Состав средств ПОИБ ИС НР Для осуществления защиты информации в ПОИБ ИС НР предусмотрены средства:  межсетевого экранирования;  криптографической защиты каналов связи;  обнаружения вторжений;  антивирусной защиты;  защиты от НСД, включая средства защиты от НСД виртуальной инфраструктуры;  электронной подписи и криптографической защиты информации. ПОИБ ИС НР развернута на всех объектах ИС НР:  ЦУ ИС НР;  ФАС России;  Электронные торговые площадки.
  10. 10. 10 Общая схема ПОИБ ИС НР ЦОД ИС НР СОВ VPN ДМЗ СП ИС НР СХД МЭ МЭ ЭТП ФАС России СП ЭТП VPN СОВ ИС ЭТП СОВ VPN СП ФАС ИС ФАС ООС ИС ООС МЭ СП ООС
  11. 11. 11 Решения в части ПОИБ Сетевое взаимодействие ЦУ ИС НР Плагин пользователя Удаленный модуль ИС НР Y Демилитариз ованная зона Закрытый сегмент Интернет Межсетевой экран Криптошлюз Обозначения направлений передачи информации в ИС НР Обозначения направлений инициализации соединений в ИС НР Удаленный модуль ИС НР Y
  12. 12. 12 Решения в части ПОИБ Криптографическая защита данных (1)  Отправитель получает действительный сертификат долговременной ключевой пары электронной подписи (ГОСТ Р 34.10-2001) ФАС России.  Выбираются параметры алгоритма симметричного шифрования (режим шифрования, s-box, алгоритм key meshing, паддинг), описанные в ГОСТ 28147-89, RFC 4357.  Генерируется ключ шифрования контента (далее - CEK) при помощи датчика случайных чисел (ДСЧ).  Производится шифрование данных при помощи алгоритма ГОСТ 28147-89 с использованием CEK и выбранных параметров алгоритма.  Генерируется одноразовая сеансовая ключевая пара электронной подписи алгоритма ГОСТ Р 34.10-2001 с параметрами, указанными в сертификате ключевой пары получателя.  Для генерации ключа шифрования ключа (KEK) применяет алгоритм VKO GOST R 34.10- 2001 (см. RFC 4357, пункт 5.2).  Формирует структуру GostR3410-KeyTransport (см. RFC4490, пункт 4.2), в которой включается открытый сеансовый ключ отправителя, параметры шифрования ключевой информации CEK и собственно данная ключевая информация, упакованная при помощи алгоритма CryptoPro Key Wrap (см. 4357, пункт 6.3)  Отправитель пересылает получателю структуру GostR3410-KeyTransport и зашифрованные данные.
  13. 13. 13 Решения в части ПОИБ Криптографическая защита данных (2) Оператор ФАС России в случае возникновения необходимости получения доступа к конфиденциальной информации производит следующие действия:  Из структуры GostR3410-KeyTransport получает открытый сеансовый ключ отправителя, параметры шифрования ключевой информации CEK, UKM. Затем, при помощи алгоритма VKO GOST R 34.10-2001 определяет KEK. При помощи алгоритма Crypto Pro Key Unwrap (см. RFC 4357, пункт 6.4) получает CEK и проверяет правильность значения имитовставки.  Расшифровывает данные, используя полученный CEK.
  14. 14. Выводы:  ИС НР соответствует 2 классу защищенности в соответствии с 17  ПОИБ ИС НР обеспечивает непрерывную защиту на протяжении всего жизненного цикла информации от угроз ПДн, конфиденциальной информации и специфических угроз, возникающих в процессе проведения электронных торгов.  Обеспечена юридическая значимость при разборе конфликтных  Конфиденциальная информация о ходе торгов и аукционов доступна исключительно сотрудникам ФАС России.  ИС НР успешно прошла аттестацию по требованиям ИБ. Контактная информация: Приказом ФСТЭК. Макаров Евгений Викторович ситуаций. e.makarov@voskhod.ru & evgeniy.makarov@gmail.com

×