На предприятии установлен СКУД Gate, считыватель Matrix III, и используется proximity карта стандарта EM - Marine. Соответственно RFID метка в комплексной карты будет стандрата EM - Marine, для упрощения миграции proximity карт на комплексную.

Выбор смарт - карты и RFID метки ограничивается поддержкой Secret Net, ViPNet и СКУД Gate данных моделей карт. Рассмотрев приложение к документации ViPNet «Информация о внешних устройствах хранения данных» и руководство администратора Secret Net, был подобран ряд моделей карт поддерживаемых как Secret Net так и ViPNet, а так же имеющих возможность встраивания RFID метки. Мною были проанализированы слудующие смарт - карты: ASECard Crypto, ACOS2, JCOP30 и составлена таблица (см. таблица 2), каторая показывает наглядно возможности использования данных моделей. ASECard Crypto (компании Athena) поддерживает стандарты хэширования SHA-1, SHA-256, MD5 и алгоритмы шифрования RSA 2048, 3DES, DES, AES. Смарт - карта ACOS2 поддерживает стандарты хэширования SHA1, MD5 и алгоритм шифрования DES, 3DES. Смарт - карта JCOP30 поддерживает алгоритм шифрования 3DES. Смарт - карта eToken PRO (компании Aladdin) поддерживает алгоритмы хэширования ГОСТ Р 34.11-94, алгоритм шифрования ГОСТ 28147-89, алгоритм поддержки ЭЦП ГОСТ Р 34.10-2001 [19].

По итогам анализа была выбрана смарт - карта eToken компании Aladdin. Эта единственная смарт - карта поддерживаемая выше перечисленными средствами защиты информации и имеющая возможность встравания RFID метки. Также в данной карте раелизован алгоритм ГОСТ и имеется сертификат соответствия ФСБ России № СФ/124-1671 от 11 мая 2011 г., а также СКЗИ класса КС2. Остальные предоставленные модели с Secret Net не совместимы [11]. Для использования смарт - карты необходим считыватель, он был подобран исходя из рекомендаций разработчиков смарт - карты eToken - считыватель Athena ASEDrive IIIe. Данный считыватель поддерживает ОС Windows 7 установленных на АРМ сотрудников ООО «КОМИНТЕК».

Таблица 2

2.5 Внедрение

После подбора необходимой смарт - карты и считывателей было произведено внедрение комплексной карты на предприятии ООО «КОМИНТЕК». Было установлено дополнительное ПО eToken PKI Client 5.1 SP1 для Microsoft Windows на АРМ сотрудников, установила и настроила дополнительный подключаемый модуль для поддержки ЭЦП в пакете MS Office, установлены считыватели смарт - карт Athena ASEDrive IIIe, инициализировала RFID - метки, обеспечила поддержку смарт - карт в Secret Net, сформировала сертификаты пользователей, установила сертификаты на комплексную карту, провела обучение и инструктаж сотрудников организации использованию комплексной карты, подписыванию документов ЭЦП с помощью сертификатов хранимых на комплексной карты.

Рассмотрим подробнее каждый этап внедрения. Начнем со СКУД.

СКУД

На АРМ администратора установлен настольный считыватель Z2 USB посредством которого путем подноса комплексной карты к считывателю вносились регистрационные номера RFID - меток в базу данных системы СКУД и привязки к владельцу карты. Для внесения меток ипользовалось ПО Gate Commander.

PKI

Для функционирования инфраструктуры открытых ключей необходима установка eToken PKI Client 5.1 SP1 для Microsoft Windows на АРМ сотрудников, формирование сертификатов пользователей.

Установила eToken PKI Client 5.1 SP1, что предоставит возможность для распространения ключей в информационной среде на предприятии.

Для получения сертификата были проведены следующие действия:

· Запустила ViPNet CSP и открыла вкладку «Создание запроса на сертификат».

· Для создания нового сертификата был выбран пункт «Запросить новый сертификат».

· Указала в разделе «Параметры сертификата» назначение: подпись и шифрование; Область применения сертификата: шаблон отчетности.

· Указала необходимую информацию в разделе «Данные о владельце сертификата».

· Сохранила файл.

· Сформировала запрос.

· Указала в окне «ViPNet - инициализация контейнера ключа» имя контейнера - ФИО сотрудника, место размещения, устройство.

· Задала пароль для защиты.

· Нажала кнопку «ОК».

· Начала установку полученного сертификата.

· Добавила контейнер выбрав его с устройства.

· Ввела ПИН - код [16].

Настройка моей части инфраструктуры открытых ключей была завершена. Развертывание УЦ, РЦ, центра запросов и его аттестация в рамках требования ФСБ была выполнена другими сотрудниками предприятия.

Основными компонентами эффективной PKI являются (см. рисунок 5):

· удостоверяющий центр;

· сертификат открытого ключа;

· регистрационный центр;

· репозиторий сертификатов;

· архив сертификатов;

· конечные субъекты (пользователи).

Рисунок 5

Secret Net

Мною было произведено усиление режима аутентификации путем смены режима аутентификации с парольной аутентификацию на аутентификацию с помощью персонального электронного идентификатора хранящегося на комплексной карте. В целях достяжения усиления режима аутентификации я изменила настройки аутентификации в Secret Net.

Перечислю мои действия по настройке режимов:

· Я запустила оснастку групповой политики и обратилась к разделу «Параметры безопасности\Параметры Secret Net».

· Выделила каталог «Настройки подсистем».

· Вызвала нажатием на правую кнопку мыши контекстное меню для пункта «Вход в систему: Режим аутентификации пользователя» и обратилась к пункту «Свойства».

· Выбрала из выпадающего списка пункт «Усиленная аутентификация по ключу» и закрыла диалог «Свойства» нажатием кнопки «OK».

ЭЦП

После проделанных выше описанных действий я настроила подключаемый модуль ViPNet для Microsoft Office, для подписания документов. Чтобы добавить цифровую подпись в документ Microsoft Word, Excel и PowerPoint я выполнила следующие действия для добавления вохможности цифровой подписи в пакет MS Office:

· Открыла пукт меню «Файл\Сведения».

· Выбрала в группе «Разрешения\Защитить документ» пункт «Добавить цифровую подпись».

· Ввела данные, сообщенные пользователем, в поле «Цель подписания документа».

Применяемая ЭЦП имеет юридическую силу [17].

Организационные работы

После всех подготовительных этапов я провела выдачу комплексных карт сотрудникам предприятия и обучение работе с картой.

После получения парии комплексных карт был составлен реестр владельцев карт описывающий регестрационный номер карты и ФИО сотрудника. Было произведено собрание всех служащих предприятия ООО «КОМИНТЕК» на котором я выдала карты согласно реестру.

Был составлен график проведения инструктажа по отделам. Во время инструктажа была выдана политика работы с картой, которая была подписана всеми сотрудниками; инструкция по обращению с картой которая включала правила пользования комплексной карты состоящая из таких пунктов как: использование считывателей установленных на АРМ, подпись документов с помощью ЭЦП, проверка подписи.

2.6 Процесс работы системы

Для каждого сотрудника определяется виртуальное рабочее пространство - перечень каталогов, устройств, возможностей их использования, сетевых ресурсов, доступ к которым сотруднику необходим для выполнения своих прямых служебных обязанностей. Возможно использование данных характеристик для групп пользователей, отделов организации, и т.д. Сотрудник, имеющий Комплексную карту, в начале рабочего дня подходит к своему рабочему месту и, вставляя карту в считыватель, автоматически входит в систему своей рабочей машины. Ему автоматически распределяются права доступа ко всем ресурсам в соответствии с установленной для него политикой безопасности в организации. При возникновении ситуации, когда пользователю необходимо в течение рабочего дня отлучиться от своего АРМ, он просто блокирует машину и уходит, разблокировать АРМ удастся только с применением Комплексной карты.

Рассмотрим процесс развертывания PKI. Сначала составляется регламент работы с сертификатами, регламент работы УЦ, списки доступа к УЦ и Центру запросов, назначается администратор УЦ, технической задание на PKI, для обеспечению юридической значимости ЭЦП требуется составление соглашения о применении ЭЦП. Затем проводятся технические работы по запуску и настройке серверов: УЦ, РЦ, реестра сертификатов ключей подписей, по установке клиенского ПО на парк машин пользователей, установка и настройка, аттестация в рамках требования ФСБ рабочего места для генерации запроса на сертификат пользователя. Создание сертификатов для всех сотрудников предприятия и обучение сотрудников работы с ними.

Процесс работы PKI описан далее по тексту.

Первый этап - получение сертификата:

· Пользователь использует центр запросов, генерация запроса на сертификат в контейнере.

· Пользователь генерирует закрытый ключ и сохраняет в контейнере.

· Пользователь передает контейнер администратору УЦ. Ожидает одобрение администратора.

· Устанавливает полученный сертификат.

Второй этап - распространение сертификата:

· Программный продукт eToken PKI Client обеспечивает загрузку сертификатов на АРМ пользователя с УЦ и выгрузку сертификата пользователя в УЦ.

Тертий этап - использование сертификата:

· Пользователь указывает в ViPNet CSP полученный сертификат.

· Пользователь выбирает в Microsoft Office свой сертификат.

· Пользователь подписывает документ с помощью своего сертификата [17].

На рисунке 6 изображена сетевая структура ООО «КОМИНТЕК».

Рисунок 6

2.7 Интеграция СКУД и СЗИ

Развитие комплексной защиты состоит в интеграции СКУД и СЗИ. Первым этапом к интеграции можно считать использование смарт - карт и в СКУД и СЗИ. В СЗИ идентификатор используется для входа в систему, а в СКУД для прохода в помещение. Таким образом, если объединить эти идентификаторы, то количество аппаратных средств уменьшится, и такое решение уже описано выше, одни и те же идентификаторы с RFID меткой применяются как в системе СКУД так и в СЗИ. Также пользователю для выхода из помещения потребуется взять устройство с собой. Но это все представляет собой только совмещение двух устройств. СКУД и СЗИ функционируют независимо друг от друга. Следующим этапом интеграции и являющимся основным это взаимодействие СКУД и СЗИ на уровне обмена данными. Интеграция систем СКУД и СЗИ даст возможность качественно поменять политику безопасности предприятия и уровень защищенности ресурсов предприятия. Интеграция систем повлияет на все аспекты физической и информационной безопасности, экономическая основа. Результат интеграции даст возможность централизовано контралировать права физической и информационной безопасности, упрощает разработку и применение политики бзопансости на уровне всей организации, оптимизировать доступ и аутентификацию, стоимость владения системы безопасности. Важным этапом в интеграции систем является интеграция карт на уровне единого идентификатора. При применении единой карты доступа сотрудник не имеет возможности получить доступ к информационным ресурсам находящихся в помещении, в которое он сначала не прошел. При наличие единого идентификатора пользователь обязан всегда иметь его при себе для входа в помещение, в следствии он не имеет возможности оставить его в каком-либо считывателе [20]. При несоблюдении политики безопасности: незакрытии секретных документов, отсутствия блакировки АРМ, пользователь не сможет покинуть помещение. При аварийном режиме службы безопасности заблокируется доступ к единому виртуальному рабочему пространству. Также позволяет решить вопрос контроля времени работы сотрудника и учет того с чем работает пользователь, сэкономит время на ввод идентификационной пары, формирование совмещенной отчетности служб физической и информационной безопасности.

Мною были рассмотрены несколько вариантов структурной интеграции. Перечислим варианты структурной интеграции:

· Создание нового продукта с функциями СКУД и СЗИ.

· Использование прослойки между серверами СКУД и СЗИ.

· Создание протокола взаимодействия СКУД и СЗИ.

Рассмотрим первый вариант структурной интеграции.

Такой вариант является трудноосуществимым так как требует колоссальных трудозатрат (3-5 лет) и сертификации к контролирующих органах (1-2 года). Такой вариант будет не портируемым, так как жестко привязан к одной СКУД и одной СЗИ.

Рисунок 7

Рассмотрим второй вариант интеграции.

Второй вариант интеграции СКУД и СЗИ требует разработки отдельного программного продукта с выделенным сервером. Программный продукт будет выступать в роли единого интерфейса, беря на себя функции по управлению и контролю систем СКУД и СЗИ, позволит в одном месте сосредоточить всю информацию о интегрированной системе. При разработке можно обеспечить минимальную зависимость от используемых СКУД и СЗИ. Такой вариант требует средней трудозатраты и не требует сертификации у надзорных органов.

Рисунок 8

Рассмотрим третий вариант интеграции СКУД и СЗИ.

Разработка протокола позволит передавать частично данные из одной системы в другую. Результатом внедрения протокола будет упрощение политики безопасности и расширение правил доступа и аутентификации. Протокол будет зависить от используемых СКУД и СЗИ. Разработка потребует минимальных трудозатрат (0,5-1 год) и сертификации в надзорных оргнах (1-2 года).

Рисунок 9

Мной был выбран второй вариант интеграции СКУД и СЗИ, так как он соединяет в себе гибкость по отношению к использованным СКУД и СЗИ, большой функцианал, средние трудозатраты и не требует повышенного времени на сертификацию. Данное предложени об интеграции систем СКУД и СЗИ было передано на рассмотрение руководителю департамента информационной безопасности, системной интеграции, затем был приказ о разработке департаментом разработки ИС.

2.8 Результаты внедрения

Сотрудники организации ООО «КОМИНТЕК» легко обучились использованию комплексной карты и работе с ЭЦП, внедренным в электронный документооборот. Случаи непреднамеренной правки снизились, соблюдение политики безопасности возрасло и случаи потери карт снизились до минимума. Случаи преднамеренной порчи документов стали легко расследуемыми.

Заключение

В результате выполнения работы была внедрена комплексная карта на предприятии, обеспечена работа системы с ЭЦП в ООО «КОМИНТЕК».

Результат внедрения соответствует требованиям руководителя от предприятия. Интеграция система СКУД и СЗИ будет произведена в будущем.

Таким образом, поставленная цель достигнута, четыре задачи были решены, пятая будет решена в дальнейшем.

Список литературы

1. Указу Президента РФ от 3 апреля 1995 N 334 «О мерах по соблюдению законности в области разработки, производства, реализации и эксплуатации шифровальных средств, а также предоставления услуг в области шифрования информации».

2. Приказу ФСБ России от 9 февраля 2005 г. N 66 «Об утверждении положения о разработке, производстве, реализации и эксплуатации шифровальных (криптографических) средств защиты информации».

3. Федеральный Закон РФ от 10.01.2002 № 1-ФЗ "Об электронной цифровой подписи".

4. Федеральный закон Российской Федерации от 27 июля 2006 г. N 152-ФЗ "О персональных данных" (в редакции N 261-ФЗ от 25.07.2011).

Размещено на Allbest.ru