Подсистема контроля носителей информации обеспечивает контроль использования интерфейсов ввода/вывода средств вычислительной техники, подключения внешних программно-аппаратных устройств и конкретных съемных машинных носителей информации.

1. СДЗ Dallas Lock

Средство доверенной загрузки (СДЗ) Dallas Lock – решение уровня платы расширения, предназначенное для защиты конфиденциальной информации, в том числе содержащейся в государственных информационных системах (ГИС), информационных системах персональных данных (ИСПДн), а также для защиты информации, содержащей сведения, составляющие государственную тайну до уровня «совершенно секретно» включительно.

СДЗ Dallas Lock сертифицировано ФСТЭК России на соответствие требованиям к СДЗ по второму классу защиты в соответствии с профилем защиты ИТ.СДЗ.ПР2.ПЗ и второму уровню контроля отсутствия НДВ.

В ГИС «МИРС 49» СДЗ Dallas Lock обеспечивает:

• идентификацию и аутентификацию пользователя до выполнения действий по загрузке операционной системы или администратора до выполнения действий по управлению СДЗ;

• двухфакторную аутентификацию пользователей при совместном использовании СДЗ с аппаратными идентификаторами;

• автоматическое прохождение идентификации и аутентификации в штатной операционной системе после успешного прохождения авторизации и выполнения загрузки с использованием СДЗ;

• контроль целостности загружаемой операционной системы, блокирование загрузки операционной системы при нарушении целостности загружаемой программной среды (операционной системы);

• блокирование загрузки операционной системы при выявлении попыток загрузки нештатной операционной системы;

• блокировку пользователя при выявлении попыток обхода СДЗ;

• автоматическую регистрацию событий, относящихся к безопасности компьютера и СДЗ, в соответствующих журналах аудита. Предоставляет возможность защищенного от несанкционированного уничтожения или модификации записей журнала аудита;

• реагирование на обнаружение событий, указывающих на возможное нарушение безопасности;

• недоступность ресурсов СДЗ из штатной операционной системы после завершения работы СДЗ;

• контроль состава компонентов аппаратного обеспечения ПК, основываясь на их идентификационной информации. Блокирует загрузку операционной системы при обнаружении несанкционированного изменения состава аппаратных компонентов СВТ;

выполнение перезагрузки ПК при выявлении попыток обхода СДЗ.

1. XSpider 7.8.24

XSpider – сертифицированное средство защиты информации, это уникальный продукт, представляющий собой универсальную систему для работы с уязвимостями на разных уровнях - от системного до прикладного. XSpider включает мощный и глубокий анализатор защищенности веб-серверов и веб-приложений.

Функциональные возможности и особенности XSpider:

• эвристический метод определения типов и имен серверов (HTTP, FTP, SMTP, POP3, DNS, SSH);

• полная идентификация сервисов на случайных портах;

• проверка на уязвимости серверов со сложной нестандартной конфигурацией, когда сервисы имеют произвольно выбранные порты;

• проверка слабости парольной защиты;

• оптимизированный подбор паролей практически во всех сервисах, требующих аутентификации;

• глубокий анализ контента веб-сайтов;

• анализатор структуры HTTP-серверов;

• проведение проверок на нестандартные DOS-атаки;

• минимальная вероятность ложных срабатываний;

• ежедневное добавление новых уязвимостей и проверок.

1. Kaspersky Endpoint Security 10 для Windows

Программное изделие «Kaspersky Endpoint Security 10 для Windows» является средством антивирусной защиты и предназначено для защиты от вредоносных компьютерных программ, в том числе в системах обработки данных и государственных информационных системах органов государственной власти Российской Федерации.

Реализованные в программном изделии функции безопасности:

• аудит безопасности:

а) возможность генерировать записи аудита для событий, потенциально подвергаемых аудиту;

б) возможность ассоциации каждого события аудита с идентификатором субъекта, его инициировавшего;

в) возможность читать информацию из записей аудита;

г) ограничение доступа к чтению записей аудита;

д) поиск, сортировка и упорядочение данных аудита;

управление безопасностью:

а) возможность уполномоченным пользователям (ролям) управлять данными (административными данными), используемыми функциями безопасности САВЗ;

б) возможность уполномоченным пользователям (ролям) управлять режимом выполнения функций безопасности САВЗ;

в) поддержка определенных ролей для САВЗ и их ассоциации с конкретными администраторами безопасности и пользователями ИС.

• проверки объектов заражения:

а) возможность выполнять проверки с целью обнаружения зараженных ВКПВ объектов в файловых областях носителей информации, в оперативной памяти, в системных областях носителей информации, в файлах, в том числе исполняемых, упакованных различными средствами архивации;

б) возможность выполнения проверок с целью обнаружения зараженных ВКПВ объектов в режиме реального времени в файлах, полученных по каналам передачи данных.

• методы проверок объектов заражения:

а) возможность выполнять проверки с целью обнаружения зараженных ВКПВ объектов сигнатурными и эвристическими методами;

б) возможность выполнять проверки с целью обнаружения зараженных BKПB объектов по команде и(или) в режиме динамического обнаружения в процессе выполнения операций доступа к объектам;

в) возможность выполнять проверки с целью обнаружения зараженных BKПB объектов путем запуска с необходимыми параметрами функционирования своего кода внешней программой;

• обработка объектов, подвергшихся воздействию:

а) возможность удаления (если удаление технически возможно) кода вредоносных компьютерных программ (вирусов) из оперативной памяти, удаления файлов, в которых обнаружены ВКПВ, а также файлов, подозрительных на наличие ВКПВ, возможность перемещения и изолирования зараженных объектов;

• блокирование:

а) возможность блокирования доступа к зараженным файлам, в том числе полученным по каналам передачи данных, активных ВКПВ, АРМ или сервера, на которых обнаружены зараженные файлы;

• сигнализация:

а) возможность отображения сигнала тревоги на АРМ пользователя или АРМ администратора безопасности, в том числе до подтверждения его получения или до завершения сеанса;

• восстановление объектов:

а) возможность восстановления функциональных свойств зараженных объектов;

• обновление базы данных ВКПВ:

а) возможность получения и установки обновлений БД ВКПВ без применения средств автоматизации; в автоматизированном режиме с сетевого ресурса.

1. VipNet Administrator 3.2

VipNet Administrator 3.2 – это базовый программный комплекс для настройки и управления защищенной сетью, включающий в себя VipNet NCC (центр управления сетью, ЦУС) – программное обеспечение, предназначенное для конфигурирования и управления виртуальной защищенной сетью VipNet.

В ГИС «МИРС 49» данное средство защиты информации используется для:

• формирования топологии защищенной сети, путем регистрации сетевых узлов, пользователей и связей между ними;

• определения политики безопасности на каждом узле и формирования списка разрешенных приложений, которые должны выполняться на каждом узле (шифрование трафика, ЭП и т. д.);

• автоматической рассылки всем узлам информации об изменениях в топологии сети – новых узлах, пользователях, связях, также ключей шифрования, сертификатов, CRL;

• проведения автоматического централизованного обновления ПО ViPNet на узлах защищенной сети, включая программно-аппаратные комплексы ViPNet Coordinator HW.

1. VipNet Coordinator HW

Поскольку ГИС «МИРС 49» разделена на сегменты, то МЭ приобретается для каждого сегмента. Для главного сегмента это будет VipNet Coordinator HW1000, а в удаленные сегменты будут установлены VipNet Coordinator HW50

VipNet Coordinator HW – это криптошлюз и межсетевой экран, построенный на аппаратной платформе телекоммуникационных серверов компании «Аквариус». Продукт соответствует требованиям руководящих документов по классу КС3 для шифровальных (криптографических) средств. В данный момент ведутся работы по сертификации продукта на соответствие требованиям к МЭ А4 класса. Предыдущий сертификат истек 26.05.2017.

В ГИС «МИРС 49» данное средство защиты информации используется для:

• организации защищенной VPN-сети для передачи информации между элементами сегментов через сети международного информационного обмена (между элементами, находящимися в общежитии и учебном корпусе);

• защиты логической границы локальной сети с помощью межсетевого экранирования от внешних угроз безопасности информации;

• фильтрации входящего и исходящего трафика;

• шифрования трафика, передаваемого по открытым каналам связи.

1. Построение СЗИ в информационной системе

1. Схема построения СЗИ

Построение СЗИ в УОДМС заключается в применении сертифицированных средств защиты информации и обеспечении организационно-режимных мероприятий по защите информации.

СЗИ включает следующие функциональные компоненты:

• сетевая компонента;

• серверная компонента;

• компонента администратора.

Общая схема построения системы защиты персональных данных в ГИС УОДМС приведена в приложении В.

Сводная таблица с перечнем АРМ, устанавливаемых средств защиты и параметров настройки приведена в приложении Д.

1. Сетевая компонента

Сетевая компонента представляет собой АРМ пользователей, подключенных к локальной сети и сетям общего пользования, включая пользователей, работающих согласно своим должностным обязанностям.

СЗИ обеспечивает защиту конфиденциальной информации следующими техническими средствами защиты:

• использование средства защиты от несанкционированного доступа и средства контроля съемных носителей (Dallas Lock 8.0-K);

• использование программно- аппаратного средства доверенной загрузки СДЗ Dallas Lock;

• идентификация и аутентификация пользователя производится с помощью электронного идентификатора, входящего в комплект поставки СДЗ Dallas Lock;

• использование средств криптографической защиты Crypto Pro CSP 3.6 (АРМ 406.1 и 406.2);

• использование ПК VipNet Client 3.2 (КС2) (только на АРМ Администратора);

• использование средства антивирусной защиты «Kaspersky Endpoint Protection 10». На момент разработки проекта данное средство уже установлено и настроено.

Параметры настройки представлены в разделе 7.2.1.

1. Серверная компонента

Серверная компонента включает сервера, использующиеся для обработки и передачи защищаемой информации.

СЗИ обеспечивает защиту информации, обрабатываемой на серверах, следующими техническими средствами защиты:

• использование средства защиты от несанкционированного доступа и средства контроля съемных носителей (Dallas Lock 8.0-K);

• использование программно- аппаратного средства доверенной загрузки СДЗ Dallas Lock;

• идентификация и аутентификация пользователя производится с помощью электронного идентификатора, входящего в комплект поставки СДЗ Dallas Lock;

• установка сервера безопасности Dallas Lock на сервере сегмента г. Магадан;

• установка VipNet Coordinator HW1000 в г.Магадан и VipNet Coordinator HW50 в удаленных сегментах;

• установка средства анализа защищенности XSpider 7.8.24 на сервере сегментов, кроме сегмента г. Магадан;

• использование средства антивирусной защиты «Kaspersky Endpoint Protection 10». На момент разработки проекта данное средство уже установлено и настроено.

Параметры настройки представлены в разделе 7.2.1.

1. Компонента администратора

Компонента администратора представляет собой АРМ администратора, с которого осуществляется управление средствами защиты, управление ЛВС и сервером безопасности Dallas Lock.

СЗИ обеспечивает защиту АРМ администратора следующими техническими средствами защиты:

• использование средства защиты от несанкционированного доступа и средства контроля съемных носителей (Dallas Lock 8.0-K);

• использование программно- аппаратного средства доверенной загрузки СДЗ Dallas Lock;

• идентификация и аутентификация пользователя производится с помощью электронного идентификатора, входящего в комплект поставки СДЗ Dallas Lock;

• использование средства анализа защищенности (XSpider 7.8.24);

• использование средства антивирусной защиты «Kaspersky Endpoint Protection 10». На момент разработки проекта данное средство уже установлено и настроено.

1. Режимы функционирования

В СЗИ реализованы следующие режимы функционирования:

• режим установки и конфигурирования;

• режим отладки;

• рабочий режим.

1. Режим установки и конфигурирования

Режим установки и конфигурирования предназначен для первичной настройки СЗИ и выполняется на этапе пуско-наладочных работ. В этом режиме происходит настройка СЗИ путем создания правил, редактирования и применения политик, шаблонов. Режим установки и конфигурирования подразумевает работы по установке и начальной настройке установленного программного обеспечения.

1. Установка и настройка СрЗИ от несанкционированного доступа

Установка и настройка Dallas Lock 8.0-K осуществляется в соответствии с эксплуатационной документацией.

Установка производится на все АРМ пользователей ГИС Управления, на которых обрабатываются данные, доступ к которым необходимо ограничить исходя из актуальности угроз информационной безопасности и согласно требованиям, предъявляемым к СЗИ.