Таблица 2.1. Программно-аппаратные межсетевые экраны для сетевой среды с невысокой надежностью

Характеристика	SonicWall 170	Cisco PIX 501	Symantec Firewall/VPN
Цена в долларах	410	495	499
Контроль на прикладном уровне с учетом состояния	Нет	Нет	Нет
Контроль прикладного протокола	Да (ограничено)	Да (ограничено)	Да (ограничено)
Проверка пакетов на соответствие заданным условиям	Да	Да	Да
Прозрачная аутентификация Windows	Нет	Нет	Нет
Протоколирование всех имен пользователей и приложений Web и Winsock	Нет	Нет	Нет
Контроль на прикладном уровне через туннели SSL	Нет	Нет	Нет
Поддержка Exchange	Нет	Нет	Нет
Контроль шлюзового и клиентского трафика VPN на прикладном уровне	Нет	Нет	Нет
Обнаружение предотвращение несанкционированного доступа	Да	Да	Да
VPN-клиент	Нет	Нет	Нет
10/100-Мбит/с порты ЛВС	5	4	4
Порты WAN	1	1	1
Балансировка нагрузки	Нет	Нет	Нет
Число пользователей	10	10	15-25
Передача функций отказавшего межсетевого экрана исправному устройству	Аналоговый коммутируемый доступ через внешний модем	Нет	Аналоговый коммутируемый доступ через внешний модем
Настройка	Web-интерфейс	Командная строка и Web-интерфейс	Web-интерфейс
Web-кэширование и proxy-сервер	Нет	Нет	Нет

Варианты для малых и средних предприятий с высокими требованиями к безопасности.

В тех организациях, где защите приходится уделять много внимания, к межсетевым экранам предъявляются гораздо более высокие требования. Повышенная безопасность может быть вызвана условиями закона, характером бизнеса (например, в отраслях с острой конкуренцией необходимо охранять коммерческие секреты) или желанием владельца получить достойную защиту по разумной цене. В малых и средних компаниях с высокими требованиями к безопасности к межсетевому экрану относятся, как к страхованию автомобиля. Такие организации готовы заплатить вперед, чтобы предотвратить потенциальную катастрофу.

Проблемы обеспечения высокого уровня безопасности.

При выборе межсетевого экрана с повышенным уровнем защиты необходимо учитывать ряд дополнительных требований.

· Следует протоколировать обращения из корпоративной сети в Internet. Как минимум, требуется записывать имя пользователя и приложение, задействованное при попытках получить доступ к ресурсам через межсетевой экран. Рекомендуется также указывать имена сайтов и тип контента.

· Необходим механизм настройки межсетевого экрана на блокирование запуска приложений, которые представляют опасность для сети и целостности данных - например, одноранговых (P2P) сетей и программ мгновенного обмена сообщениями (Instant Messaging - IM).

· Межсетевой экран должен останавливать как входящий, так и исходящий несанкционированный трафик, с проверкой пакетов на соответствие заданным условиям и контролем на прикладном уровне по всем интерфейсам, в том числе VPN.

· Межсетевой экран должен обеспечивать проверку пакетов на соответствие заданным условиям и контроль на прикладном уровне для входящего трафика, проходящего через межсетевой экран в корпоративную сеть, чтобы удаленные пользователи могли обращаться к данным предприятия извне. Проверка на соответствие заданным условиям должна производиться над данными, зашифрованными для передачи по линиям связи.

· Блокировать или смягчать действие червей, вирусов, шпионских программ и других угроз для целостности данных на периметре сети; контроль на прикладном уровне необходим на всех этапах.

· Если требуется доступ к важной бизнес - информации, следует предусмотреть механизмы обеспечения отказоустойчивости.

Несмотря на высокие требования к безопасности, предъявляемые некоторыми малыми предприятиями, эти компании все же остаются малыми и не располагают бюджетом крупных корпораций. В среднем малая организация готова потратить до 3000 долл. на решение для обеспечения безопасности, срок эксплуатации которого составит 3-4 года. Ежедневная цена решения с учетом амортизации (около 2 долл. в день) невелика по сравнению с потенциальными финансовыми потерями, которые могут стать следствием выбора ненадежного решения.

Выбор устройств.

В таблице 2.2 приведены програмно-аппаратные межсетевые экраны, которые обеспечивают приемлемую сетевую безопасность для нуждающихся в серьезной защите малых и средних предприятий. SonicWALL Pro 3060 и Cisco PIX-515E-RDMZ компании Cisco Systems -- традиционные аппаратные межсетевые экраны. NS6200 компании Network Engines на базе Microsoft ISA Server 2004 и SGS 5420 компании Symantec представляют собой продукты, которые обычно называют «программными» межсетевыми экранами -- они работают на базе универсальной операционной системы или имеют жесткие диски (иногда присутствуют оба компонента). NS6200 относится к «третьему поколению» межсетевых экранов, в котором стабильность и надежность аппаратного межсетевого экрана сочетаются с гибкостью, удобством обновления и готовностью отразить новейшие угрозы программного продукта. Характеристики SGS 5420 -- промежуточные: он не работает с универсальной операционной системой, но располагает жестким диском.

Для безопасности сети рекомендуется устройства Network Engines и Symantec, которые превосходят традиционные аппаратные модели с проверкой пакетов на соответствие заданным условиям. Главное различие заключается в глубине контроля на прикладном уровне, обеспечиваемом этими двумя устройствами, по сравнению с межсетевыми экранами SonicWALL и Cisco.

Для контроля на прикладном уровне в межсетевых экранов этого класса можно использовать встраиваемые и внешние модули расширения (например, для борьбы с вирусами, фильтрации загружаемых файлов, фильтрации почты, блокирования всплывающей рекламы, анализа Web-контента). При этом из-за высокой цены устройства могут оказаться недосягаемыми для малых и средних предприятий.

В конечном итоге было отдано межсетевому экрану Network Engines предпочтение перед устройством Symantec благодаря достоинствам, решающим для создания сетевой среды с высоким уровнем безопасности.

· Прозрачная аутентификация всех исходящих соединений через межсетевой экран. В среде с высоким уровнем безопасности для регистрации в домене требуется двухфакторная аутентификация. Благодаря прозрачной аутентификации, пользователи не могут обмениваться учетными данными для доступа к Internet, так как система никогда не выводит на экран окно регистрации. В результате повышаются достоверность данных в журнале и эффективность дальнейшего расследования на основе этой информации.

· Полное протоколирование всех входящих и исходящих соединений через межсетевой экран. Эти сведения, в том числе об именах пользователей и приложениях, задействованных для доступа к любым ресурсам через межсетевой экран, незаменимы при выполнении аудита на соответствие законодательству и в ходе административных, уголовных и гражданских расследований.

· Контроль на прикладном уровне туннелей SSL (Secure Sockets Layer - уровень защищенных гнезд). Устройство NS6200 на базе ISA Server 2004 выполняет контроль на прикладном уровне входящих соединений SSL через межсетевой экран. Такие соединения могут использоваться для обращений к частным данным на сервере Microsoft Outlook Web Access (OWA) или Microsoft SharePoint Portal Server. В отличие от других межсетевых экранов в таблице 2.2, NS6200 может дешифровать SSL-соединение в межсетевом экране, передать заголовки и данные в механизм прикладного управления межсетевого экрана, а затем заново зашифровать данные для сквозной пересылки по безопасному шифрованному соединению.

· Проверка пакетов на соответствие заданным условиям и контроль на прикладном уровне по всем VPN-интерфейсам. Данная проверка охватывает VPN удаленного доступа и шлюзовые соединения между сайтами. Каналы VPN нередко оказываются слабым звеном во многих межсетевых экранов, так как подключенные к VPN машины, как правило, рассматриваются как "доверенные" и не подвергаются контролю на прикладном уровне. Такой подход был главной причиной атаки червя Blaster на сети, в остальном защищенные от внешней угрозы. Опасности, аналогичные Blaster, все еще существуют, и VPN-соединения по-прежнему могут служить средой их распространения. NS6200 открывает каналы VPN для контроля на прикладном уровне и блокирует нападения на межсетевом экране.

Даже вместе с дорогостоящими модулями расширения для контроля на прикладном уровне ни один из остальных межсетевых экранов в табл. 2.2 не располагает функциями безопасности, реализованными в NS6200.

Более масштабные сети с высоким уровнем защиты.

Средним и крупным предприятиям, а также их филиалам свойственны похожие требования к безопасности. Как и небольшим компаниям с надежной защитой, им требуются исчерпывающая проверка пакетов на соответствие заданным условиям и контроль на прикладном уровне, полное протоколирование и функции управления доступом пользователей/групп через межсетевой экран. Основное различие между надежно защищенной крупной компанией и малым предприятием заключается в гораздо больших финансовых возможностях корпорации, которые соответствуют требованиям информационной безопасности.

Таким фирмам не нужны самые технологичные и производительные межсетевые экраны стоимостью 35 тыс. долл., им скорее требуется надежная информационная защита. Единственная атака на прикладном уровне может привести к потерям, исчисляемым миллионами долларов.

Выяснить, сколько денег организации этого типа готовы потратить на защиту межсетевым экраном, нелегко. Некоторые компании придают безопасности чрезвычайно большое значение и готовы заплатить более 10 тыс. долл. за превосходный межсетевой экран с проверкой пакетов и контролем на прикладном уровне. С другой стороны, многие средние и крупные предприятия, которые нуждаются в надежной защите, неохотно платят более 2500 долл. за этот решающий компонент инфраструктуры сетевой безопасности. В целом большинство организаций такого размера охотно тратит от 5000 до 6000 долл. за хороший межсетевой экран.

В таблице 2.3 показан выбор межсетевых экранов, обычно развертываемых в более крупных предприятиях с высоким уровнем безопасности. SonicWALL PRO 4060 и Cisco PIX 515E-UR-FE-BUN выполнены на основе традиционного аппаратного межсетевого экрана и обеспечивают соответствующий уровень сетевой безопасности. Проверка пакетов на соответствие заданным условиям -- основа этих продуктов обеспечения безопасности, для ее реализации не требуется дорогостоящих модулей расширения. Обе модели отличаются высокой производительностью, но им не хватает возможностей балансировки нагрузки и передачи функций отказавшего устройства исправному, если они крайне необходимы для бесперебойного доступа к важнейшим данным.

В отличие от них, устройство RoadBLOCK F302PLUS на базе ISA Server 2004 компании RimApp обеспечивает исчерпывающий контроль на прикладном уровне по приемлемой цене. В стандартной конфигурации реализованы фильтры Web-узлов, проверка загружаемых из Internet файлов на вирусы и фильтры спама. Кроме того, с помощью модулей RainWall и RainConnect компании Rainfinity устройство RoadBLOCK обеспечивает балансировку нагрузки и передачу функций отказавшего устройства исправному как для аппаратных межсетевых экранов RoadBLOCK, так и для каналов связи Internet-провайдеров. Устройство RoadBLOCK поддерживает все упомянутые выше высокоуровневые функции подготовки отчетов и протоколирования и располагает мощными функциями управления пользовательским и групповым доступом из входящих и исходящих соединений через межсетевой экран.

Оптимальный выбор.

Высокоуровневые сетевые межсетевые экраны, представленные в данном разделе, обеспечивают превосходный уровень безопасности и высокую производительность для средних и крупных предприятий. При выборе оптимального межсетевого экрана следует в первую очередь обратить внимание на контроль на прикладном уровне и исчерпывающие возможности протоколирования и подготовки отчетов о доступе пользователей и приложений. Кроме того, при выборе аппаратного межсетевого экрана важно помнить об отказоустойчивости.

Таблица 2.2.Програмно-аппаратные межсетевые экраны для малых предприятий с высокими требованиями к безопасности

Характеристика	SonicWALL Pro 3060	Cisco PIX-515E-R-DMZ	Network Engines NS6200	Symantec SGS 5420
Цена в долларах	2319	2699	2499	2999
Контроль прикладного протокола	Да	Да	Да	Да
Проверка пакетов на соответствие заданным условиям	Да	Да	Да	Да
Прозрачная аутентификация Windows	Нет	Нет	Да	Нет
Протоколирование всех имен пользователей и приложений Web и Winsock	Нет	Нет	Да	Нет
Контроль на прикладном уровне через туннели SSL	Нет	Нет	Да	Нет
Поддержка Exchange	Нет	Нет	Да	Нет
Контроль шлюзового и клиентского трафика VPN на прикладном уровне	Нет	Нет	Да	Нет
Защита от НСД	Да	Да	Да	Да
Сервер удаленного доступа VPN и шлюз VPN	Да	Да	Да	Да
VPN-клиент	Нет	Да	Да	Нет
10/100-Мбит/с порты ЛВС	5	2	3	5
Порты WAN	1	1	1	1
Балансировка нагрузки	Нет	Нет	Да	Нет
Передача функций отказавшего межсетевого экрана исправному устройству	Нет	Нет	Нет	Нет
Переключение Internet-провайдера	Нет	Нет	Нет
Настройка	Web-интерфейс	Командная строка и Web-интерфейс	Ограниченный Web и FIPS-совместимый RDP	Web-интерфейс
Процессор	2-ГГц Intel	1-ГГц Intel	2-ГГц Intel	Intel
Web-кэширование и proxy	Нет	Нет	Да	Нет

Таблица 2.3. Програмно-аппаратные межсетевые экраны для крупных предприятий с высокими требованиями к безопасности

Характеристика	SonicWALL Pro 4060	Cisco PIX-515E UR-FE-BUN	RimApp RoadBLOCK F302PLUS
Цена в долларах	4995	5145	5580
Контроль на прикладном уровне с учетом состояния	Нет	Да (ограничено)	Да
Контроль прикладного протокола	Да	Да	Да
Проверка пакетов на соответствие заданным условиям	Да	Да	Да
Прозрачная аутентификация Windows	Нет	Нет	Да
Протоколирование всех имен пользователей и приложений Web и Winsock	Нет	Нет	Да
Контроль на прикладном уровне через туннели SSL	Нет	Нет	Да
Поддержка Exchange	Нет	Нет	Да
Контроль шлюзового и клиентского трафика VPN на прикладном уровне	Нет	Нет	Да
Обнаружение и предотвращение несанкционированного доступа	Да	Да	Да
Сервер удаленного доступа VPN и шлюз VPN	Да	Да	Да
VPN-клиент	Нет	Да	Да
10/100-Мбит/с порты ЛВС	5	6	2-5
Порты WAN	1	1-4	1-5
Балансировка нагрузки	Нет	Нет	Да
Число пользователей	Неограниченно	Неограниченно	Неограниченно
Передача функций отказавшего межсетевого экрана исправному устройству	Да	Да	Да
Переключение Internet-провайдера и объединение полосы пропускания	Да	Нет	Да
Процессор	2-ГГц Intel	433-МГц Celeron	2,8-ГГц Intel
Web - кэширование и proxy	Нет	Нет	Да

3.Защита информации в Отделении по Плесецкому району Управления Федерального казначейства по Архангельской области

3.1 Краткая технико-экономическая характеристика организации

Отделение по Плесецкому району Управления Федерального казначейства по Архангельской области (далее Отделение) создано в соответствии с Указом Президента РФ «О Федеральном казначействе» 2 и Положением «О Федеральном казначействе РФ»3. Оно входит в единую централизованную систему органов федерального казначейства и подчиняется Управлению Федерального казначейства по Архангельской области (далее Управление).

Отделение по Плесецкому району Управления Федерального казначейства по Архангельской области (далее Отделение) является органом Федерального казначейства и находится в непосредственном подчинении Управления Федерального казначейства по Архангельской области (далее - Управление). Отделение имеет сокращенное наименование: ОФК по Плесецкому району УФК по Архангельской области.

Отделение было создано 17 октября 1994 году, находится по адресу Архангельская область, 164260, пос. Плесецк, ул. Ленина, дом 27. Телефон: (81832) 7-13-81, (81832) 7-18-04 (факс).

Согласно Указу Президента России "О системе и структуре федеральных органов исполнительной власти"4 с 1 января 2005 года было образовано Федеральное казначейство со статусом федеральной службы. Это федеральный орган исполнительной власти, относящийся к Министерству финансов РФ. Тип организационной структуры всех органов Казначейства в РФ - централизованная, многоуровневая, иерархическая.

Отделение осуществляет свою деятельность во взаимодействии с территориальными органами федеральных органов исполнительной власти, органами местного самоуправления, территориальными учреждениями Банка России, общественными объединениями и иными организациями.

Отделение является юридическим лицом, имеет бланк и печать с изображением Государственного герба РФ и со своим наименованием, иные печати, штампы и бланки установленного образца, а также счета, открываемые в соответствии с законодательством РФ.

Основными функциями Федерального казначейства, согласно Бюджетному Кодексу РФ 1 и Указу Президента России "О системе и структуре федеральных органов исполнительной власти"4, являются правоприменительные функции по обеспечению исполнения федерального бюджета, учет и распределение доходов от уплаты федеральных, региональных и местных налогов и сборов между уровнями бюджетной системы РФ, а также кассовое обслуживание исполнения бюджетов бюджетной системы РФ 4.

Основными задачами деятельности Отделения являются:

соответствии с бюджетным

- кассовое обслуживание исполнения федерального бюджета на территории Плесецкого района, в соответствии с бюджетным законодательством РФ;

- кассовое обслуживание исполнения бюджета субъекта РФ, бюджетов муниципальных образований в соответствии с бюджетным законодательством РФ и с соответствующими соглашениями, заключенными Отделением с органами местного самоуправления;

- выполнение государственных функций по ведению сводного реестра распорядителей и получателей средств федерального бюджета и реестра государственных контрактов, заключенных от имени РФ по итогам размещения заказов.

- иные задачи, установленные законодательством РФ.

В соответствии с задачами Отделение выполняет следующие функции:

- открывает в учреждениях Банка России и кредитных организациях счета по учету средств федерального бюджета и иных средств в соответствии с бюджетным законодательством РФ;

- открывает и ведет лицевые счета для учета операций со средствами федерального бюджета, со средствами от предпринимательской деятельности и иной приносящей доход деятельности, обслуживаемым Отделением распорядителям и получателям средств федерального бюджета;

- ведет учет операций по кассовому исполнению федерального бюджета на территории Плесецкого района;

- доводит до обслуживаемых Отделением распорядителей и получателей средств федерального бюджета распределенные главными распорядителями средств федерального бюджета, лимиты бюджетных обязательств и объемы финансирования, и их изменения;

- составляет и предоставляет в установленном порядке в Управление отчетность о кассовых операциях федерального бюджета на территории Плесецкого района и исполнении принятых Отделением на учет бюджетных обязательств, подлежащих оплате за счет средств федерального бюджета, а также иную бухгалтерскую и бюджетную отчетность;

- обеспечивает проведение кассовых выплат из бюджетов бюджетной системы РФ от имени и по поручению соответствующих органов, осуществляющих сбор доходов бюджетов, или получателей средств указанных бюджетов, лицевые счета которых открыты в установленном порядке в Отделений;

- обеспечивает предварительный и текущий контроль за ведением операций со средствами федерального бюджета, осуществляемых распорядителями и получателями средств федерального бюджета, обслуживаемыми Отделением;

- осуществляет в соответствии с бюджетным законодательством РФ подтверждение денежных обязательств федерального бюджета и совершает разрешительную надпись на право осуществления расходов федерального бюджета в рамках выделенных лимитов бюджетных обязательств и объемов финансирования расходов;

- осуществляет иные функции, предусмотренные законодательством РФ.

В своей деятельности Отделение руководствуется Конституцией РФ, указами Президента РФ, постановлениями и распоряжениями Правительства РФ, приказами и распоряжениями Министерства финансов РФ, нормативно-правовыми актами Архангельской области и Управления федерального казначейства.

Организационная структура управления Отделения по Плесецкому району УФК по Архангельской области представлена на рис. 3.1.

Рис. 3.1. Организационная структура ОФК по Плесецкому району Управления Федерального казначейства по Архангельской области

Функционирование автоматизированной информационной системы на данном предприятии осуществляется с помощью локальной вычислительной сети. Сетевая технология основана на организации многоуровневых АРМ, установленных в различных подразделениях предприятия и организации связи между ними. Сетевая технология базируется на создании единого банка данных и применении различного технического оборудования, интегрированного в единое целое: сервер, рабочие станции и комплектующее оборудование. ЛВС имеет радиальную структуру, которая представлена на рис. 3.2.

Рис.3.2. Структура локальной вычислительной сети ОФК по Плесецкому району УФК по Архангельской области

Сервер осуществляет хранение общей базы данных и определяет полномочия и права каждого АРМа. АРМ руководителя Отделения обобщает информацию обо всей деятельности предприятия. АРМ начальника отдела бюджетного учета и отчетности (главного бухгалтера) осуществляет обобщение всей учетной информации, ее анализ, составляет бухгалтерскую и налоговую отчетность, ведет учет финансовых результатов и их использования. АРМ начальника отдела расходов осуществляет обобщение программном продукте учета бюджетных ассигнований, лимитов бюджетных обязательств, предельных объемов финансирования, а также смет доходов и расходов по средствам, полученным от приносящей доход деятельности. АРМ старших казначеев и казначеев осуществляет ведение бюджетного учета по кассовому обслуживанию исполнения бюджетов, осуществляет контроль над совершением операций со средствами бюджетов разных уровней, АРМ специалистов 1 разряда - осуществляет приём расходных расписаний на финансирование расходов федерального, областного и местного бюджетов; формирует заявки на перечисление средств федерального бюджета со счета, открытого Федеральному казначейству на балансовом счете № 40105 «Средства федерального бюджета», на счет Отделения.

Одним из условий повышения эффективности работы казначейских органов РФ в целом, и в частности, ОФК по Плесецкому району УФК по Архангельской области, является создание на всех уровнях эффективной автоматизированной информационной системы управления исполнением бюджета. Разработка АИС проводится на единой методологической основе, с использованием типовых проектных решений. В основу создания АИС Федерального казначейства Российской Федерации (АИС ФК РФ) положена технология централизованных и распределенных решений на основе применения высокотехнологичных операционных систем и систем управления базами данных (СУБД), а также помехоустойчивых защищенных от несанкционированного доступа телекоммуникационных систем. В настоящее время АИС ФК РФ является территориально распределенной и обслуживает информационные потребности сотрудников Министерства финансов РФ (центральный уровень), УФК в региональных центрах (региональный уровень) и отделений федерального казначейства (ОФК) на местах (районный уровень).

Основным назначением автоматизированной информационной системы ОФК по Плесецкому району УФК по Архангельской области являются согласование и обеспечение взаимодействия данного территориального органа казначейства РФ с органами других уровней, оперативное информационное обеспечение, автоматизация основных операций, организация системы связи и передачи данных. Внедрение современных средств вычислительной техники позволило провести автоматизацию основных рутинных операций. Комплекс технических средств обеспечивает техническую поддержку всех технологических операций: сбор, передачу, хранение, накопление, обработку финансовой информации и выдачу всех необходимых данных в формализованном виде для всех подразделений системы.

Перечень используемых в ОФК технических средств информатизации и их основные показатели качества представлены в таблице 3.1.

Таблица 3.1 Перечень используемой вычислительной техники в ОФК по Плесецкому району УФК по Архангельской области

№ п/п	Наименование АРМа	Характеристика
1	СЕРВЕР	Процессор	CPU AMD ATHLON-64 4000+ (ADA4000) 1Мб/ 1000МГц Socket-939
		Оперативная память	Kingston DDR-II DIMM 2Gb KIT 2*1Gb <PC-5300> CL5
		Винчестер	HDD 250 Gb IDE Seagate/Maxtor 7200.10/DiamondMax 21 <STM3250820A/6A250V0> UDMA100 7200rpm 8Mb
		Монитор	15" MONITOR Belinea 101555 (LCD, 1024x768)
		Дополнительно	XEROX Phaser 3125N (3125V/N) лазерный, A4, 1200*1200dpi, 24 стр/мин, 32мб, USB2.0/LPT, сетевой
2	АРМ руководителя ОФК	Процессор	CPU AMD ATHLON-64 3500+ (ADA3500) 512Кб/ 1000МГц Socket-939
		Оперативная память	Original SAMSUNG DDR-II DIMM 512Mb <PC-5300>
		Винчестер	HDD 160 Gb IDE Seagate Barracuda 7200.10 <3160215A> UDMA100 7200rpm
		Монитор	19" MONITOR BenQ G900Wa <Silver-Black> (LCD, Wide, 1440x900)
		Дополнительно	Epson EPL-6200L лазерный (A4 20 стр/мин, 600dpi, USB/LPT)
3	АРМ главного бухгалтера	Процессор	CPU Intel Pentium 4 531 3.0 ГГц/ 1Мб/ 800МГц 775-LGA
		Оперативная память	Kingston DDR-II DIMM 1Gb <PC-5300> CL5
		Винчестер	HDD 160 Gb IDE Seagate Barracuda 7200.10 <3160215A> UDMA100 7200rpm
		Монитор	17" MONITOR Acer AL1716as (LCD, 1280x1024)
		Дополнительно	Epson EPL-6200L лазерный (A4 20 стр/мин, 600dpi, USB/LPT)
4	АРМ начальника отдела расходов	Процессор	CPU Intel Pentium 4 531 3.0 ГГц/ 1Мб/ 800МГц 775-LGA
		Оперативная память	Kingston DDR-II DIMM 1Gb <PC-5300> CL6
		Винчестер	HDD 160 Gb IDE Seagate Barracuda 7200.10 <3160215A> UDMA100 7200rpm
		Монитор	19" MONITOR Acer AL1716as (LCD, 1280x1024)
		Дополнительно	Epson EPL-6200L лазерный (A4 20 стр/мин, 600dpi, USB/LPT)
5	АРМ старших казначеев (2)	Процессор	CPU Intel Celeron D 347 3.06 ГГц/ 512Кб/ 533МГц 775-LGA
		Оперативная память	Original SAMSUNG DDR-II DIMM 512Mb <PC-5300>
		Винчестер	HDD 160 Gb IDE Seagate Barracuda 7200.10 <3160215A> UDMA100 7200rpm
		Монитор	19" MONITOR LG Flatron FP71G+(Plus) <Silver-Black> (LCD, 1280x1024)
		Дополнительно	hp LaserJet P2015N <CB449A> A4, 26стр/мин 32Mb USB2.0, сетевой
6	АРМ казначеев (2)	Процессор	CPU Intel Celeron D 331 2.66 ГГц/ 256Кб/ 533МГц 775-LGA
		Оперативная память	Kingmax DDR DIMM 256Mb <PC-3200>
		Винчестер	HDD 82 Gb IDE Hitachi <HDS721680PLAT80> UDMA133 7200rpm 8Mb
		Монитор	17" MONITOR BenQ FP71G+(Plus) <Silver-Black> (LCD, 1280x1024)
		Дополнительно	hp LaserJet P2015N <CB449A> A4, 26стр/мин 32Mb USB2.0, сетевой
7	АРМ специалистов (5)	Процессор	CPU Intel Celeron D 331 2.66 ГГц/ 256Кб/ 533МГц 775-LGA
		Оперативная память	Kingmax DDR DIMM 256Mb <PC-3200>
		Винчестер	HDD 82 Gb IDE Hitachi <HDS721680PLAT80> UDMA133 7200rpm 8Mb
		Монитор	17" MONITOR BenQ FP71G+(Plus) <Silver-Black> (LCD, 1280x1024)
		Дополнительно	hp LaserJet P2015N <CB449A> A4, 26стр/мин 32Mb USB2.0, сетевой

Программное обеспечение автоматизированной информационной системы ОФК по Плесецкому району связано с использованием программных продуктов, ориентированных на организацию функционирования экономических объектов и решения основных финансовых задач. Все программные продукты отвечают следующим требованиям: 1) высокая производительность ОС, СУБД и средств передачи информации; 2) организация взаимодействия пользователей с информационными ресурсами в интерактивном режиме для обеспечения возможностей анализа, прогнозирования и контроля; 3) обеспечение возможности объединения различных программных платформ, расширения и наращивания технологии за счет дополнения ее новыми рабочими местами и т.п.; 4) наличие режимов многозадачного и многопользовательского доступа к корпоративным данным; 5) обеспечение надежной защиты финансовой информации от несанкционированного доступа, компьютерных вирусов и др.

3.2 Принципы организации и обеспечения информационной безопасности в органах казначейства

В конце 2000 г. международный институт стандартов ISO на базе британского BS 7799 разработал и выпустил международный стандарт менеджмента безопасности ISO/IEC 17799 «Управление информационной безопасностью».

Документ содержит практические рекомендации, но управлению информационной безопасностью для организаций, использующих автоматизированные системы. В соответствии с этим документом разрабатываются корпоративные правила совместного использования защищаемых ресурсов, и Служба безопасности, IT-отдел, руководство организации начинают работать согласно общему регламенту. В настоящее время этот стандарт поддерживается более чем в 27 странах мира.

В России нет руководящего документа, регламентирующего практические правила управления информационной безопасностью. При этом ISO/IEC 17799 не противоречит ни одному из руководящих документов Федеральной службы по техническому и экспортному контролю (ФСТЭК) России и Службы специальной связи и информации при Федеральной службе охраны Российской Федерации (Спецсвязь России). Таким образом, за основу организации системы защиты в АС ФК берется международный стандарт менеджмента безопасности, использование которого позволяет разработать корпоративные правила и политики безопасности в автоматизированных системах казначейских органов и внедрить имеющийся международный опыт.

Система зашиты информации в АС ФК - это совокупность мер и способов защиты циркулирующей в АС информации и поддерживающих ее подсистем от случайных или преднамеренных воздействии естественного или искусственного характера, влекущих за собой нанесение ущерба владельцам или пользователям информации и поддерживающих подсистем.

Основная цель организации защиты информации в АС ФК -- предотвращение ущерба национальным и экономическим интересам Российской Федерации, наносимого в результате хищения, разглашений' утечки, утраты или искажения информации, циркулирующей в органах Казначейства России.

К другим целям системы защиты информации относятся:

- обеспечение сохранности сведений, составляющих государственную тайну, и сведений конфиденциального характера;

- эффективное управление, обеспечение сохранности и защита государственных информационных ресурсов;

- обеспечение правового режима использования документов, информационных массивов, баз данных, обеспечение полноты, целостности, достоверности информации в системах обработки.

Основные задачи системы защиты информации органов Казначейства России:

- оптимальное с экономической точки зрения отнесение информации, циркулирующей в органах Казначейства России, к категории ограниченного доступа;

- создание необходимых условий для надежного и безопасного функционирования органов Казначейства России, а также разработка Механизмов оперативного реагирования на угрозы объектам обеспечения информационной безопасности;

- внедрение защищенных систем обработки, хранения и передачи Информации, а также безопасных автоматизированных систем для обеспечения деятельности органов Казначейства России:

- предотвращение утечки информации по техническим каналам;

- предотвращение несанкционированного уничтожения, искажения, копирования, блокирования информации в АС ФК;

- разработка и принятие в пределах компетенции организационно-распорядительных документов по информационной безопасности органов Казначейства России.

Система защиты информации должна действовать непрерывно, обеспечивая безопасность защищаемых сведений, циркулирующих в органах Казначейства России, независимо от методов и средств, используемых при их обработке, хранении или передаче. Комплекс защитных мер должен быть направлен как на предупреждение угроз безопасности информации, так и на обеспечение возможности выявления и пресечения противоправных устремлений в отношении охраняемых сведений.

В организационной структуре системы защиты информации органов Казначейства России общее руководство осуществляет руководитель Казначейства России. Ответственность за организацию работ по защите информации в органах Казначейства России несут их руководители, а в структурных подразделениях -- их начальники

Организационная структура системы защиты информации состоит из коллегиальных органов, подразделений и специалистов по обеспечению информационной безопасности органов Казначейства России и включает в себя:

- специализированные подразделения органов Казначейства России, к которым относятся отдел обеспечения безопасности информации Казначейства России и отделы (сектора) обеспечения безопасности информации органов Казначейства России;

- межрегиональные (технические) центры защиты информации в составе ряда УФК;

- постоянно действующая техническая комиссия по защите информации в УФК;

- работников, отвечающих за обеспечение безопасности информации (при необходимости отделы) в ОФК;

- работников подразделений органов Казначейства России, назначенных ответственными за соблюдение требований информационной безопасности на рабочих местах;

- учебные центры повышения квалификации специалистов по защите информации;

- подразделения охраны органов Казначейства России.

При этом учитывается, что АС ФК обладает следующими основными признаками:

- наличие информации различной степени конфиденциальности;

- необходимость криптографической защиты информации различной степени конфиденциальности при передаче данных между различными подразделениями или уровнями управления;

- иерархичность полномочий субъектов доступа и программ к АРМ специалистов, каналам связи, информационным ресурсам необходимость оперативного изменения этих полномочий;

- организация обработки финансовой информации в интерактивном (диалоговом) режиме, в режиме разделения времени между пользователями и в режиме реального времени.

- обязательное управление потоками информации, как в локальных вычислительных сетях, так и при передаче данных на большие расстояния;

- необходимость регистрации и учета попыток несанкционированного доступа, событий в системе и документов, выводимых на печать;

- обязательное обеспечение целостности программного обеспечения и информации в автоматизированных системах;

- наличие средств восстановления системы защиты информации:

- обязательный учет машинных носителей информации;

- учет возможности проникновения на охраняемый объект представителей информаторов, связанных с преступными группировками, зарубежными спецподразделениями;

- наличие физической охраны средств вычислительной техники и машинных носителей информации.

Режим разделения времени -- режим функционирования процессора, при котором процессорное время последовательно предоставляется для решения различных задач.

Режим реального времени -- режим обработки данных, при котором обеспечивается взаимодействие вычислительной системы с внешними по отношению к ней процессами в темпе, соизмеримом со скоростью протекания этих процессов.

Построение системы обеспечения защиты информации в АС ФК и ее функционирование должны осуществляться в соответствии со следующими основными принципами.

Законность предполагает осуществление защитных мероприятий и разработку системы безопасности информации в соответствии с действующим законодательством в области информации, информатизации и защиты информации и других нормативных актов по безопасности информации. Пользователи и обслуживающий персонал АС ФК должны знать об ответственности за правонарушения в области АС.

Системность означает, что при создании системы защиты должны учитываться все слабые и наиболее уязвимые места АС ФК, а также характер, возможные объекты и направления атак на систему со стороны нарушителей, пути проникновения в распределенные системы и несанкционированный доступ к информации, а также возможности появления принципиально новых путей реализации угроз безопасности.

Комплексность предполагает согласованное применение разнородных средств при построении целостной системы защиты, перекрывающей все существенные (значимые) каналы реализации угроз и не содержащей слабых мест на стыках отдельных ее компонентов.

Непрерывность означает принятие соответствующих мер на всех этапах жизненного цикла АС ФК, начиная со стадии проектирования и на всех стадиях эксплуатации. При этом перерывы в работе средств защиты могут быть использованы злоумышленниками для анализа применяемых методов и средств защиты, для внедрения специальных программных и аппаратных «закладок» и других средств преодоления системы защиты после восстановления ее функционирования.

Преемственность и развитие предполагают постоянное совершенствование мер и средств защиты информации на основе преемственен организационных и технических решений, кадрового состава, анализа функционирования АС и ее системы защиты с учетом изменений в методах и средствах перехвата информации, нормативных требований по защите, достигнутого отечественного и зарубежного опыта в этой области.

Экономическая целесообразность означает, что уровень затрат на обеспечение безопасности информации и ценности информационных ресурсов должен соответствовать величине возможного ущерба от их разглашения, утраты, утечки, уничтожения и искажения (за исключением информации, содержащей сведения, составляющие государственную тайну).

Персональная ответственность предполагает возложение ответственности за обеспечение безопасности информации и системы ее обработки на каждого сотрудника в пределах его полномочий. В соответствии с этим принципом распределение прав и обязанностей сотрудников строится таким образом, чтобы в случае любого нарушения круг виновников был четко известен или сведен к минимуму.

Разделение и минимизация полномочий означает предоставление пользователям минимальных прав доступа - в соответствии с производственной необходимостью. Доступ к информации должен предоставляться только в том случае и объеме, в каком это необходимо сотруднику для выполнения его должностных обязанностей.

«Прозрачность» механизмов защиты означает, что защита не должна обеспечиваться только за счет секретности структурной организации и алгоритмов функционирования ее подсистем. Знание алгоритмов работы системы защиты не должно давать возможность ее преодоления (даже авторам). Однако это не означает, что информация о конкретной системе защиты может быть общедоступна.

Обязательность контроля предполагает обязательность и своевременность выявления и пресечения попыток нарушения установленных правил обеспечения безопасности информации на основе используемых систем и средств защиты информации при совершенствовании критериев и методов оценки эффективности этих систем и средств. Контроль должен осуществляться на основе применения средств оперативного контроля и регистрации и должен охватывать как несанкционированные, так и санкционированные действия пользователей.

Для достижения основной цели защиты информации и системы ее обработки система безопасности АС ФК должна обеспечивать решение следующих задач:

- защита от вмешательства в процесс функционирования АС ФК посторонних лиц, т.е. возможность использования АС и доступ к ее ресурсам должны иметь только зарегистрированные пользователи;

- разграничение доступа зарегистрированных пользователей к аппаратным, программным и информационным ресурсам АС ФК (возможность доступа только к тем ресурсам и выполнения только тех операций с ними, которые необходимы конкретным пользователям АС ФК для выполнения своих служебных обязанностей);

- защита от несанкционированного доступа:

1. к информации, циркулирующей в АС ФК;

2. к средствам вычислительной техники АС ФК;

3. к аппаратным, программным и криптографическим средствам защиты, используемым в АС ФК;

- регистрация действий пользователей при использовании защищаемых ресурсов АС ФК в системных журналах и периодический контроль корректности действий пользователей системы путем анализа содержимого этих журналов специалистами подразделений безопасности;

- контроль целостности программ и их восстановление в случае нарушения;

- защита от несанкционированной модификации используемого в АС ФК программного обеспечения;

- защита АС ФК от внедрения несанкционированных программ, включая компьютерные вирусы;

- защита информации ограниченного доступа, хранимой, обрабатываемой и передаваемой по каналам связи, от несанкционированного разглашения или искажения и ее восстановление;

- своевременное выявление источников угроз безопасности информации, причин и условий, способствующих нанесению ущерба заинтересованным субъектам информационных отношений, создание механизма оперативного реагирования на угрозы безопасности информации и негативные тенденции;

-создание условий для минимизации и локализации наносимого ущерба неправомерными действиями злоумышленников, ослабление негативного влияния и ликвидация последствий нарушения безопасности информации

3.3 Организация защиты информации в Отделении по Плесецкому району Управления Федерального казначейства по Архангельской области

Проведение электронных платежей с использованием телекоммуникационной системы казначейских органов невозможно без организации надежной системы защиты пересылаемой по сети информации,которая, как правило, организуется на двух уровнях.

Для организации защиты первого уровня, как правило, применяются

специализированные программы, предназначенные для предоставления пользователю возможности постановки ЭЦП на любой интересующий его файл посредством стандартного графического интерфейса среды MS Windows.

Программа устанавливается на рабочих станциях конечных пользователей. Каждый пользователь, обладающий правом постановки ЭЦП, должен создать и зарегистрировать сертификат, на основании которого ему будет позволено осуществлять процедуру постановки ЭЦП. При этом происходит проверка подлинности его подписи.

Сертификат -- цифровой документ, содержащий определенную, цифровым образом подписанную информацию о владельце ключа, сведения об открытом ключе, его назначении и области применения, название доверенного центра сертификации и т.д.

Центр сертификации развертывается на платформе Windows Server с крипто провайдером на базе средств криптографической защиты информации (СКЗИ).

При успешной регистрации сертификат помещается в хранилище сертификатов и устанавливается, как применяемый для создания ЭЦП. Затем производится генерация ключевой информации пользователя.

Для организации защиты второго уровня применяются средства криптографической защиты, в качестве которых используются программные продукты и аппаратные комплексы, имеющие сертификаты Службы специальной связи и информации (Спецсвязь России), что позволяет их внедрять для организации защиты каналов связи государственных учреждений.

Одно из используемых средств криптографической защиты -- программно-аппаратный комплекс шифрования передачи данных «Континент», основное назначение которого -- защита информации, передаваемой по каналам связи VPN, а также защита сегментов VPN от проникновения извне.

Комплекс «Континент» предназначен для работы в сетях, использующих для передачи данных протоколы семейства TCP/IP, и обеспечивает:

- шифрование и имитозащиту данных, передаваемых по открытым каналам связи между защищенными сегментами сети;

- защиту внутренних сегментов сети от несанкционированного доступа извне;

- скрытие внутренней структуры защищаемых сегментов сети;

- централизованное управление защитой сети.

В состав комплекса «Континент» входят следующие компоненты:

- центр управления сетью криптографических шлюзов;

- криптографический шлюз «Континент-К»;

-агент управления сетью криптографических шлюзов;

-программа управления сетью криптографических шлюзов

Криптографический шлюз (далее -- КШ) предназначен для криптографической защиты информации при ее передаче по открытым каналам сетей общего пользования и для защиты внутренних сегментов VPN от проникновения извне.

Криптошлюз -- это устройство со специализированным программным обеспечением или специализированное программное обеспечение, выполняющее функции защиты путем шифрования и дешифрования передаваемого сообщения.

Криптографический шлюз обеспечивает:

- прием и передачу IP-пакетов по протоколам семейства TCP/IP;

- фильтрацию IP-пакетов в соответствии с заданными правилами фильтрации;

- криптографическое преобразование передаваемых и принимаемых IP-пакетов;

- имитозащиту IP-пакетов, циркулирующих в VPN;

- сжатие передаваемых IP-пакетов;

- скрытие внутренней структуры защищаемого сегмента сети

- оповещение центра управления сетью о своей активности и о событиях, требующих оперативного вмешательства в режиме реально времени;

- регистрацию событий, связанных с работой криптографического шлюза;

- идентификацию и аутентификацию администратора при запуске криптографического шлюза;

- контроль целостности программного обеспечения криптошлюза;

- поддержку режима оперативного резервирования.

Криптографический шлюз в стандартной поставке оборудуется сетевыми интерфейсами (платами) стандарта Ethernet, а также платой «Электронный замок», обеспечивающей локальную идентификацию и аутентификацию администратора криптошлюза и контроль целостности программного обеспечения. Количество поддерживаемых сетевых интерфейсов ограничивается только возможностями операционной системы.

Центр управления сетью криптографических шлюзов (ЦУС) представляет собой программное обеспечение, устанавливаемое на одном из криптошлюзов комплекса. Основная функция ЦУС -- централизованное управление работой всех КШ, входящих в состав комплекса.

ЦУС обеспечивает:

- аутентификацию криптошлюза, программы управления и агента;

- контроль текущего состояния всех криптографических шлюзов комплекса;

- хранение информации о состоянии комплекса;

- восстановление информации о состоянии комплекса из резервной копии;

- централизованное управление криптографическими ключами;

- взаимодействие с программой управления;

- регистрацию событий, связанных с управлением криптошлюзом;

- получение и временное хранение журналов регистрации КШ;

- оповещение программы управления о событиях, требующих оперативного вмешательства администратора комплекса в режиме реального времени.

Программа управления сетью криптографических шлюзов (ПУ) устанавливается на одном или нескольких компьютерах сегмента, защищаемого КШ с установленным ЦУС. Программа управления предназначена для централизованного управления настройками и оперативного контроля состояния всех криптошлюзов, входящих в состав комплекса.

Программа управления обеспечивает:

- установление защищенного соединения и обмен данными с ЦУС и агентом;

- получение от ЦУС и отображение информации о состоянии и настройках всех КШ, входящих в состав комплекса;

- изменение настроек криптошлюза в диалоговом режиме и передачу новых значений настроек ЦУС;

- резервное копирование базы данных ЦУС;

- получение от агента и отображение содержимого журналов регистрации КШ комплекса;

- принудительную смену криптографических ключей на любом из КШ комплекса.

Агент управления сетью криптографических шлюзов устанавливается на одном из компьютеров сегмента сети, защищаемого КШ с установленным центром управления сетью криптографических шлюзов. Агент обеспечивает:

- установление защищенного соединения и обмен данными с ЦУС и программой управления;

- получение от ЦУС содержимого журналов регистрации в соответствии с установленным расписанием;

- хранение содержимого журналов регистрации;

- передачу содержимого журналов регистрации программе управления при получении от нее запроса;

- получение от ЦУС оперативной информации о работе комплекса. Программно-аппаратный комплекс шифрования «Континент-К», кроме вышеуказанных модулей, также включает в свой состав компоненты, обеспечивающие удаленный доступ пользователей (клиентов) к ресурсам защищенной корпоративной сети с компьютеров, не входящих в защищаемые сегменты сети. На этих компьютерах (абонентских пунктах) устанавливается программный комплекс «Континент-АП», который для передачи данных соединяется с сервером доступа, проверяющим полномочия и разрешающим доступ к ресурсам защищенной сети.

Абонентский пункт -- терминал, персональный компьютер или рабочая станция, подключенные к вычислительной сети или сети компьютерной связи.

Абонентский пункт (АП) подключается к серверу доступа (СД) и позволяет осуществить:

- поддержку динамического распределения IP-адресов -- возможность удаленного доступа мобильных пользователей;

- удаленный доступ к ресурсам защищаемой сети по шифрованному каналу;

- доступ как по выделенным, так и по коммутируемым каналам связи;

- связь с сетью, защищаемой «Континент-К», через сервер доступа практически без снижения производительности соединения;

- идентификацию и аутентификацию пользователя.

АП может функционировать в одном из трех режимов:

- режим ожидания команды пользователя. В данном режиме никакого преобразования трафика не происходит, и пользователь может взаимодействовать с любым внешним узлом;

- инициализация соединения с сервером доступа и криптографическим шлюзом «Континент-К»;

- активный режим функционирования. После установления соединения с СД и получения разрешения на доступ в защищаемую сеть весь трафик шифруется. При этом АП может либо запрещать все незащищенные соединения (например, с сетью Интернет), либо разрешать.

После запроса на соединение сервер доступа проводит идентификацию и аутентификацию удаленного пользователя, определяет его уровень доступа, устанавливаемый администратором «Континент-К». На основании этой информации осуществляется подключение абонента к ресурсам сети. СД позволяет осуществить практически неограниченное количество одновременных сеансов связи с удаленными пользователями. В системе используется аутентификация пользователей при помощи сертификатов открытых ключей.

Личный сертификат пользователя создается администратором безопасности с помощью программы управления сервера доступа. Личный сертификат пользователя экспортируется в файл в зашифрованном виде и выдается администратором СД пользователю. Также пользователю выдается сертификат сервера доступа. Имеется возможность создания запроса на получение сертификата и ключей посредством самого абонентского пункта с последующей выдачей сертификата администратором сервера доступа.

Связь между ЛВС УФК и АП клиента осуществляется по каналам связи сети Интернет. К сети Интернет ЛВС УФК подключена через криптографический шлюз, что обеспечивает сокрытие внутренней структуры защищаемого сегмента сети. При этом IP-адреса компьютеров УФК должны быть уникальными только в рамках ЛВС управления. Криптографический шлюз осуществляет маршрутизацию проходящего через него трафика IP-пакетов, наличие дополнительного маршрутизатора в общем случае не требуется.

Также криптографический шлюз осуществляет обработку входящих и исходящих IP-пакетов: фильтрацию и криптографическое преобразование данных, передаваемых по открытым каналам связи.

Автоматическое управление криптографическим шлюзом осуществляет ЦУС, размещающийся на криптографическом шлюзе УФК.

Таким образом, специалистами отделов обеспечения безопасности информации и информационных технологий организуется надежная система защиты информации, передаваемой по внешним каналам связи УФК, удовлетворяющая всем требованиям Спецсвязи России, предъявляемым к системам такого уровня.