5. Технический проект (Разработка профиля защиты информации в государственной информационной системе), страница 7
Описание файла
Файл "5. Технический проект" внутри архива находится в следующих папках: Разработка профиля защиты информации в государственной информационной системе, Приложения. Документ из архива "Разработка профиля защиты информации в государственной информационной системе", который расположен в категории "". Всё это находится в предмете "дипломы и вкр" из 8 семестр, которые можно найти в файловом архиве ДВГУПС. Не смотря на прямую связь этого архива с ДВГУПС, его также можно найти и в других разделах. .
Онлайн просмотр документа "5. Технический проект"
Текст 7 страницы из документа "5. Технический проект"
Настройка СрЗИ заключается в следующем:
-
регистрация пользователя в системе (по 1 легальному пользователю на АРМ соответствии с таблицей 4.1 настоящего проекта);
-
задание пароля пользователя не менее 6 буквенно-цифровых символов;
-
алфавит пароля не менее 70 символов;
-
максимальное количество неуспешных попыток аутентификации (ввода неправильного пароля) до блокировки от 3 до 10 попыток;
-
блокировка АРМ пользователя в случае достижения установленного максимального количества неуспешных попыток аутентификации на 30 минут;
-
смена пароля через каждые 90 дней;
-
настройка параметров гашения экрана монитора через 5 минут неактивности пользователя;
-
настройка параметров выхода из системы через 15 минут неактивности пользователя;
-
настройка параметров регистрации входа и выхода пользователя в систему и из системы;
-
настройка параметров регистрации и учета событий, связанных с действием пользователя, с указанием имени пользователя, времени совершенного события и результата успешности или не успешности события;
-
создание списка компонентов системы и модулей СрЗИ, которые необходимо поставить на контроль целостности;
-
получение контрольной суммы файлов, поставленных на контроль целостности;
-
настройка ежедневной быстрой проверки АРМ и настройка еженедельной полной проверки АРМ на наличие вирусов и вредоносных программ;
-
настройка ежедневного обновления антивирусных баз и компонентов антивирусной системы;
-
настройка проверки съемных носителей при подключении к АРМ на наличие вирусов и вредоносных программ;
-
настройка блокирования подключаемых модемов и мобильных устройств;
-
настройка функции самотестирования;
-
блокирование или уничтожение всех не используемых учетных записей;
-
настройка функции блокирования неактивных (неиспользуемых) учетных записей пользователей после 90 дней неиспользования;
-
настройка дискреционного метода управления доступом в соответствии с матрицей доступа (см. в таблице 4.2);
-
установка пароля BIOS;
-
настройка функций разграничения доступа к управлению средством контроля съемных носителей (на основе ролей администраторов);
-
настройка функции контроля подключения съемных машинных носителей информации (контроль использования интерфейсов ввода/вывода СВТ, контроль подключаемых типов внешних программно-аппаратных устройств, контроль подключаемых съемных машинных носителей информации);
-
настройка функций контроля отчуждения (переноса) информации со съемных машинных носителей информации;
-
настройка функций регистрации и учета выполнения функций безопасности средства контроля съемных машинных носителей;
-
настройка функций оповещения администратора о событиях, связанных с нарушением безопасности.
-
Установка и настройка средства анализа защищенности
Установка и настройка средства анализа защищенности XSpider 7.8.24 осуществляется в соответствии с эксплуатационной документацией.
Установка производится на АРМ Администратора ГИС в сегменте г. Магадан и на серверы в остальных сегментах ГИС. Настройка осуществляется следующим образом:
-
определение структуры сети;
-
настройка правил анализа защищенности сетевых узлов ГИС;
-
настройка контроля соответствия состояния узлов, ОС и приложений политикам безопасности;
-
настройка функций сохранения результатов работы модулей для дальнейшего анализа.
-
Установка и настройка средства межсетевого экранирования и криптографической защиты
Установка и настройка средства межсетевого экранирования и криптографической защиты осуществляется в соответствии с эксплуатационной документацией.
Установка заключается в подключении VipNet Coordinator HW1000 на границе ЛВС в главном сегменте, подключении VipNet Coordinator HW50 на границе ЛВС удаленных сегментов, VipNet Administrator 3.2 устанавливается на АРМ 1 Администратора ГИС (см. Приложение Г).
Настройка заключается в следующем:
Межсетевое экранирование:
-
настройка сетевых фильтров в соответствии с топологией заданной сети;
-
настройка правил фильтрации для необходимых протоколов и портов;
-
настройка режимов администрирования межсетевого экрана;
-
настройка идентификации администратора безопасности;
-
настройка регистрации событий межсетевого взаимодействия и администрирования межсетевого экрана;
-
настройка регистрации изменения правил фильтрации;
-
настройка сигнализации событий, связанных с нарушением установленных правил фильтрации.
Средство организации VPN-сети:
-
настройка видов доступа, разрешенных для удаленного доступа к объектам доступа информационной системы;
-
настройка правил предоставления удаленного доступа только тем пользователям, которым он необходим, и только разрешенным видам доступа;
-
настройка регистрации событий удаленного доступа для выявления несанкционированного удаленного доступа к объектам доступа информационной системы.
-
Настройка средства антивирусной защиты
Настройка средства антивирусной защиты осуществляется в соответствии с эксплуатационной документацией.
-
отключение функций обновления модулей программы;
-
настройка ежедневной быстрой проверки АРМ и настройка еженедельной полной проверки АРМ на наличие вирусов и вредоносных программ;
-
настройка полной проверки съемного носителя информации при подключении устройства к АРМ;
-
настройка ежедневного обновления антивирусных баз и компонентов антивирусной системы;
-
настройка списков разрешенных для запуска приложений и запрет остальных;
-
настройка функций регистрации и учета выполнения проверок на АРМ пользователей;
-
настройка способов выполнения заданных действий по обработке объектов, подвергшихся воздействию (удаление, блокирование, изолирование, перемещение в заданный каталог);
-
настройка функции сигнализации пользователям средства антивирусной защиты о событиях, связанных с обнаружением вредоносных компьютерных программ (вирусов).
-
Режим отладки
Режим отладки предназначен для отладки СрЗИ и выполняется на этапе ввода в эксплуатацию после режима конфигурирования.
-
Отладка функций управления сетью
После этапа установки и первичного конфигурирования производится изменение настроек в связи с планомерным вводом всё большего количества клиентских АРМ в защищённую сеть, установкой нового программного обеспечения, применения политик защиты информации и т.д.
При этом необходимо создать эталонную конфигурацию, минимальными изменениями которой будет возможно в кратчайшие сроки выполнить все работы по данному этапу.
Основными действиями по изменению эталонной конфигурации являются:
-
настройка правил фильтрации открытой и закрытой сети под нужды конкретного ПО на АРМ;
-
выявление заблокированных пакетов, выяснение легитимности и причин блокировки, принятие решений о редактировании фильтров;
-
настройка/правка параметров операционной системы и установленного ПО для устранения проблем совместимости.
Настройка элементов СЗИ необходима при вводе в эксплуатацию нового АРМ, изменении владельца, рассылки или дискредитации сертификата.
-
Отладка функций анализа защищенности
Режим отладки предполагает внесение изменений в СЗИ, обусловленные проверкой нового оборудования со специфичным ПО и не указанными учётными записями. На данном этапе и этапе рабочего режима проводится создание новых проверочных правил и политик безопасности.
-
Рабочий режим
Рабочий режим является единственным допустимым режимом штатного функционирования СЗИ. В рабочий режим СЗИ переводится после режима отладки, когда становится ясно, что система функционирует верно и корректно отрабатывает необходимые политики, правила и шаблоны. Рабочий режим обеспечивает независимость функционирования СЗИ от изменений в организационной структуре объектов внедрения при сохранении состава и содержания выполняемых функций. Рабочий режим допускает настройку и изменение конфигурации настроек СрЗИ без перепрограммирования.
-
Рабочий режим управлению сетью
В рабочем режиме возможны ситуации, требующие изменения (дополнения, переопределения) настроек клиентского ПО для его соответствия текущей ситуации в зависимости от работы конкретных компонентов, присутствующих в сети организации. Таким образом, при переводе СЗИ в рабочий режим функционирования предполагается возможность изменения настроек, политик и правил доступа на АРМ пользователей при вводе новых ИТ и регламентов ИБ, смене владельца или изменении структуры сети. При этом, выявление причин неисправности взаимодействия с другими АРМ сети будет возможно производить через систему журналирования и изменения режимов работы агентов.
-
Рабочий режим анализа защищенности
Изменения в настройках ПО в рабочем режиме будут возможны при изменении регламентов безопасности, вводе в эксплуатацию новых сетевых узлов или обновлении парольной базы.
-
Организационные мероприятия по защите информации
В организационно-распорядительной документации регламентируются:
-
правила и процедуры идентификации и аутентификации пользователей;
-
правила и процедуры управления идентификаторами;
-
правила и процедуры управления средствами аутентификации;
-
правила и процедуры управления учетными записями пользователей;
-
правила разграничения доступа;
-
правила и процедуры применения удаленного доступа;
-
правила и процедуры управления взаимодействием с внешними информационными системами;
-
состав и содержание информации о событиях безопасности, подлежащих регистрации;
-
правила и процедуры сбора, записи и хранения информации о событиях безопасности;
-
правила и процедуры защиты информации о событиях безопасности;
-
правила и процедуры антивирусной защиты информационной системы;
-
правила и процедуры обновления базы данных признаков вредоносных компьютерных программ (вирусов);
-
правила и процедуры выявления, анализа и устранения уязвимостей;
-
правила и процедуры контроля установки обновлений программного обеспечения;
-
правила и процедуры контроля целостности информации;
-
правила и процедуры контроля и управления физическим доступом;
-
перечень лиц, которым разрешены действия по внесению изменений в конфигурацию информационной системы и системы защиты информации;
-
правила и процедуры проведения анализа потенциального воздействия планируемых изменений в конфигурацию ГИС и системы защиты информации;
-
документирование информации об изменениях в конфигурации ГИС и системы защиты информации.
Необходима реализация следующих мер:
1. Организация режима обеспечения безопасности помещений, в которых размещена информационная система (далее – Помещения), препятствующего возможности неконтролируемого проникновения или пребывания в Помещениях лиц, не имеющих права доступа в Помещения.
Для выполнения требования необходимо обеспечение режима, препятствующего возможности неконтролируемого проникновения или пребывания в Помещениях лиц, не имеющих права доступа в Помещения, которое достигается путем:
-
утверждения правил доступа в Помещения сотрудников и посетителей в рабочее и нерабочее время;
-
утверждения перечня сотрудников, имеющих право вскрывать Помещения в нештатных ситуациях, а также порядка вскрытия Помещений в таких ситуациях.
2. Обеспечение сохранности съемных носителей конфиденциальной информации.
Для выполнения требования необходимо:
-
осуществлять хранение съемных носителей конфиденциальной информации в сейфах (металлических шкафах), оборудованных внутренними замками с двумя или более дубликатами ключей и приспособлениями для опечатывания замочных скважин или кодовыми замками;
-
осуществлять поэкземплярный учет съемных носителей конфиденциальной информации, который достигается путем ведения журнала учета съемных носителей конфиденциальной информации с использованием регистрационных (заводских) номеров;
-
осуществлять контроль вноса и выноса в контролируемую зону зарегистрированных (учтенных) съемных носителей информации.
3. Утверждение руководителем оператора документа, определяющего перечень лиц, которым необходим доступ к конфиденциальной информации, обрабатываемой в государственной информационной системе.
Для выполнения требования необходимо:
-
определить круг лиц, которым необходим доступ к конфиденциальной информации, обрабатываемой в ГИС;
-
разработать и утвердить документ, определяющий данный перечень лиц;
-
поддерживать данный документ в актуальном состоянии
4. Назначение лица, ответственного за обеспечение безопасности персональных данных, обрабатываемых в информационной системе.