Настройка СрЗИ заключается в следующем:

• регистрация пользователя в системе (по 1 легальному пользователю на АРМ соответствии с таблицей 4.1 настоящего проекта);

• задание пароля пользователя не менее 6 буквенно-цифровых символов;

• алфавит пароля не менее 70 символов;

• максимальное количество неуспешных попыток аутентификации (ввода неправильного пароля) до блокировки от 3 до 10 попыток;

• блокировка АРМ пользователя в случае достижения установленного максимального количества неуспешных попыток аутентификации на 30 минут;

• смена пароля через каждые 90 дней;

• настройка параметров гашения экрана монитора через 5 минут неактивности пользователя;

• настройка параметров выхода из системы через 15 минут неактивности пользователя;

• настройка параметров регистрации входа и выхода пользователя в систему и из системы;

• настройка параметров регистрации и учета событий, связанных с действием пользователя, с указанием имени пользователя, времени совершенного события и результата успешности или не успешности события;

• создание списка компонентов системы и модулей СрЗИ, которые необходимо поставить на контроль целостности;

• получение контрольной суммы файлов, поставленных на контроль целостности;

• настройка ежедневной быстрой проверки АРМ и настройка еженедельной полной проверки АРМ на наличие вирусов и вредоносных программ;

• настройка ежедневного обновления антивирусных баз и компонентов антивирусной системы;

• настройка проверки съемных носителей при подключении к АРМ на наличие вирусов и вредоносных программ;

• настройка блокирования подключаемых модемов и мобильных устройств;

• настройка функции самотестирования;

• блокирование или уничтожение всех не используемых учетных записей;

• настройка функции блокирования неактивных (неиспользуемых) учетных записей пользователей после 90 дней неиспользования;

• настройка дискреционного метода управления доступом в соответствии с матрицей доступа (см. в таблице 4.2);

• установка пароля BIOS;

• настройка функций разграничения доступа к управлению средством контроля съемных носителей (на основе ролей администраторов);

• настройка функции контроля подключения съемных машинных носителей информации (контроль использования интерфейсов ввода/вывода СВТ, контроль подключаемых типов внешних программно-аппаратных устройств, контроль подключаемых съемных машинных носителей информации);

• настройка функций контроля отчуждения (переноса) информации со съемных машинных носителей информации;

• настройка функций регистрации и учета выполнения функций безопасности средства контроля съемных машинных носителей;

• настройка функций оповещения администратора о событиях, связанных с нарушением безопасности.

1. Установка и настройка средства анализа защищенности

Установка и настройка средства анализа защищенности XSpider 7.8.24 осуществляется в соответствии с эксплуатационной документацией.

Установка производится на АРМ Администратора ГИС в сегменте г. Магадан и на серверы в остальных сегментах ГИС. Настройка осуществляется следующим образом:

• определение структуры сети;

• настройка правил анализа защищенности сетевых узлов ГИС;

• настройка контроля соответствия состояния узлов, ОС и приложений политикам безопасности;

• настройка функций сохранения результатов работы модулей для дальнейшего анализа.

1. Установка и настройка средства межсетевого экранирования и криптографической защиты

Установка и настройка средства межсетевого экранирования и криптографической защиты осуществляется в соответствии с эксплуатационной документацией.

Установка заключается в подключении VipNet Coordinator HW1000 на границе ЛВС в главном сегменте, подключении VipNet Coordinator HW50 на границе ЛВС удаленных сегментов, VipNet Administrator 3.2 устанавливается на АРМ 1 Администратора ГИС (см. Приложение Г).

Настройка заключается в следующем:

Межсетевое экранирование:

• настройка сетевых фильтров в соответствии с топологией заданной сети;

• настройка правил фильтрации для необходимых протоколов и портов;

• настройка режимов администрирования межсетевого экрана;

• настройка идентификации администратора безопасности;

• настройка регистрации событий межсетевого взаимодействия и администрирования межсетевого экрана;

• настройка регистрации изменения правил фильтрации;

• настройка сигнализации событий, связанных с нарушением установленных правил фильтрации.

Средство организации VPN-сети:

• настройка видов доступа, разрешенных для удаленного доступа к объектам доступа информационной системы;

• настройка правил предоставления удаленного доступа только тем пользователям, которым он необходим, и только разрешенным видам доступа;

• настройка регистрации событий удаленного доступа для выявления несанкционированного удаленного доступа к объектам доступа информационной системы.

1. Настройка средства антивирусной защиты

Настройка средства антивирусной защиты осуществляется в соответствии с эксплуатационной документацией.

• отключение функций обновления модулей программы;

• настройка ежедневной быстрой проверки АРМ и настройка еженедельной полной проверки АРМ на наличие вирусов и вредоносных программ;

• настройка полной проверки съемного носителя информации при подключении устройства к АРМ;

• настройка ежедневного обновления антивирусных баз и компонентов антивирусной системы;

• настройка списков разрешенных для запуска приложений и запрет остальных;

• настройка функций регистрации и учета выполнения проверок на АРМ пользователей;

• настройка способов выполнения заданных действий по обработке объектов, подвергшихся воздействию (удаление, блокирование, изолирование, перемещение в заданный каталог);

• настройка функции сигнализации пользователям средства антивирусной защиты о событиях, связанных с обнаружением вредоносных компьютерных программ (вирусов).

1. Режим отладки

Режим отладки предназначен для отладки СрЗИ и выполняется на этапе ввода в эксплуатацию после режима конфигурирования.

1. Отладка функций управления сетью

После этапа установки и первичного конфигурирования производится изменение настроек в связи с планомерным вводом всё большего количества клиентских АРМ в защищённую сеть, установкой нового программного обеспечения, применения политик защиты информации и т.д.

При этом необходимо создать эталонную конфигурацию, минимальными изменениями которой будет возможно в кратчайшие сроки выполнить все работы по данному этапу.

Основными действиями по изменению эталонной конфигурации являются:

• настройка правил фильтрации открытой и закрытой сети под нужды конкретного ПО на АРМ;

• выявление заблокированных пакетов, выяснение легитимности и причин блокировки, принятие решений о редактировании фильтров;

• настройка/правка параметров операционной системы и установленного ПО для устранения проблем совместимости.

Настройка элементов СЗИ необходима при вводе в эксплуатацию нового АРМ, изменении владельца, рассылки или дискредитации сертификата.

1. Отладка функций анализа защищенности

Режим отладки предполагает внесение изменений в СЗИ, обусловленные проверкой нового оборудования со специфичным ПО и не указанными учётными записями. На данном этапе и этапе рабочего режима проводится создание новых проверочных правил и политик безопасности.

1. Рабочий режим

Рабочий режим является единственным допустимым режимом штатного функционирования СЗИ. В рабочий режим СЗИ переводится после режима отладки, когда становится ясно, что система функционирует верно и корректно отрабатывает необходимые политики, правила и шаблоны. Рабочий режим обеспечивает независимость функционирования СЗИ от изменений в организационной структуре объектов внедрения при сохранении состава и содержания выполняемых функций. Рабочий режим допускает настройку и изменение конфигурации настроек СрЗИ без перепрограммирования.

1. Рабочий режим управлению сетью

В рабочем режиме возможны ситуации, требующие изменения (дополнения, переопределения) настроек клиентского ПО для его соответствия текущей ситуации в зависимости от работы конкретных компонентов, присутствующих в сети организации. Таким образом, при переводе СЗИ в рабочий режим функционирования предполагается возможность изменения настроек, политик и правил доступа на АРМ пользователей при вводе новых ИТ и регламентов ИБ, смене владельца или изменении структуры сети. При этом, выявление причин неисправности взаимодействия с другими АРМ сети будет возможно производить через систему журналирования и изменения режимов работы агентов.

1. Рабочий режим анализа защищенности

Изменения в настройках ПО в рабочем режиме будут возможны при изменении регламентов безопасности, вводе в эксплуатацию новых сетевых узлов или обновлении парольной базы.

1. Организационные мероприятия по защите информации

В организационно-распорядительной документации регламентируются:

• правила и процедуры идентификации и аутентификации пользователей;

• правила и процедуры управления идентификаторами;

• правила и процедуры управления средствами аутентификации;

• правила и процедуры управления учетными записями пользователей;

• правила разграничения доступа;

• правила и процедуры применения удаленного доступа;

• правила и процедуры управления взаимодействием с внешними информационными системами;

• состав и содержание информации о событиях безопасности, подлежащих регистрации;

• правила и процедуры сбора, записи и хранения информации о событиях безопасности;

• правила и процедуры защиты информации о событиях безопасности;

• правила и процедуры антивирусной защиты информационной системы;

• правила и процедуры обновления базы данных признаков вредоносных компьютерных программ (вирусов);

• правила и процедуры выявления, анализа и устранения уязвимостей;

• правила и процедуры контроля установки обновлений программного обеспечения;

• правила и процедуры контроля целостности информации;

• правила и процедуры контроля и управления физическим доступом;

• перечень лиц, которым разрешены действия по внесению изменений в конфигурацию информационной системы и системы защиты информации;

• правила и процедуры проведения анализа потенциального воздействия планируемых изменений в конфигурацию ГИС и системы защиты информации;

• документирование информации об изменениях в конфигурации ГИС и системы защиты информации.

Необходима реализация следующих мер:

1. Организация режима обеспечения безопасности помещений, в которых размещена информационная система (далее – Помещения), препятствующего возможности неконтролируемого проникновения или пребывания в Помещениях лиц, не имеющих права доступа в Помещения.

Для выполнения требования необходимо обеспечение режима, препятствующего возможности неконтролируемого проникновения или пребывания в Помещениях лиц, не имеющих права доступа в Помещения, которое достигается путем:

• утверждения правил доступа в Помещения сотрудников и посетителей в рабочее и нерабочее время;

• утверждения перечня сотрудников, имеющих право вскрывать Помещения в нештатных ситуациях, а также порядка вскрытия Помещений в таких ситуациях.

2. Обеспечение сохранности съемных носителей конфиденциальной информации.

Для выполнения требования необходимо:

• осуществлять хранение съемных носителей конфиденциальной информации в сейфах (металлических шкафах), оборудованных внутренними замками с двумя или более дубликатами ключей и приспособлениями для опечатывания замочных скважин или кодовыми замками;

• осуществлять поэкземплярный учет съемных носителей конфиденциальной информации, который достигается путем ведения журнала учета съемных носителей конфиденциальной информации с использованием регистрационных (заводских) номеров;

• осуществлять контроль вноса и выноса в контролируемую зону зарегистрированных (учтенных) съемных носителей информации.

3. Утверждение руководителем оператора документа, определяющего перечень лиц, которым необходим доступ к конфиденциальной информации, обрабатываемой в государственной информационной системе.

Для выполнения требования необходимо:

• определить круг лиц, которым необходим доступ к конфиденциальной информации, обрабатываемой в ГИС;

• разработать и утвердить документ, определяющий данный перечень лиц;

• поддерживать данный документ в актуальном состоянии

4. Назначение лица, ответственного за обеспечение безопасности персональных данных, обрабатываемых в информационной системе.