3. Аналитическое обоснование (Разработка профиля защиты информации обрабатываемой в центре обработки данных муниципального образования), страница 3
Описание файла
Файл "3. Аналитическое обоснование" внутри архива находится в папке "Разработка профиля защиты информации обрабатываемой в центре обработки данных муниципального образования". Документ из архива "Разработка профиля защиты информации обрабатываемой в центре обработки данных муниципального образования", который расположен в категории "". Всё это находится в предмете "дипломы и вкр" из 8 семестр, которые можно найти в файловом архиве ДВГУПС. Не смотря на прямую связь этого архива с ДВГУПС, его также можно найти и в других разделах. .
Онлайн просмотр документа "3. Аналитическое обоснование"
Текст 3 страницы из документа "3. Аналитическое обоснование"
Подключение к сетям общего пользования выполняется оператором связи ОАО «Транстелеком» через волоконно-оптический кабель.
Конфигурация информационной системы представлена на рисунке А.1 (см. Приложение А).
Все сервера, объединены в одну локальную сеть, топология которой представлена на рисунке А.2 (см. Приложение А)
Все ИС, которые используют вычислительные мощности ЦОД для централизованного управления введены в один домен. В качестве контроллера доменов используется виртуальная машина под управлением операционной системы Windows server 2012. Маршрутизаций между сегментами сети и доступом в интернет управляет сертифицированный ФСТЭК-ом сервер Altlinux5, под управлением операционной системы Linux. Сертификат в настоящее время не действителен.
Сервер виртуализации Proxmox 2.3 имеет несколько мостов для виртуальных машин. На нем находятся виртуальные машины:
а) вторичный контроллер домена под управлением операционной системы Windows server 2012. На нем находится БД MSSQL и данный сервер управляет данными делопроизводства и архивного отдела. Данный сервер настроен только на взаимодействие с ИС использующими вычислительные возможности ЦОД и не имеет прямого доступа к сетям общего пользования.
b) вторичный контроллер домена под управлением операционной системы Windows server 2012. На данном сервере находится внутренний DNS сервер для всей сети. Данный сервер взаимодействует с сервером под управлением операционной системы Linux на котором находится внешний DNS сервер.
c) Виртуальная машина под управлением операционной системы Windows 10. На данной виртуальной машине хранится база данных КУМИ, комитет по приватизации и управлению имуществом и др. Данная виртуальная машина настроена только на взаимодействие с ИС использующими вычислительные возможности ЦОД и не имеет прямого доступа к сетям общего пользования.
d) виртуальная машина под управлением операционной системы Linux . Данная виртуальная машина используется как Web-сервер для официального сайта администрации и сайтов некоторых поселений. Данная виртуальная машина имеет две сетевых карты и настроена на взаимодействие с ИС находящиеся за пределами контролируемой зоны через мост проксмокса??
е) виртуальная машина под управлением операционной системы Linux . Данная виртуальная машина используется как почтовый сервер. Данная виртуальная машина имеет две сетевых карты и настроена на взаимодействие с ИС находящиеся за пределами контролируемой зоны через выделенный мост.
f) виртуальная машина под управлением операционной системы Linux . Данная виртуальная машина используется как файловый сервер. Данный сервер введен в домен под управлением операционной системы Windows server 2003 и настроен только на взаимодействие с ИС использующими вычислительные возможности ЦОД и не имеет прямого доступа к сетям общего пользования. На данном сервере программа SAMBA разграничивает доступ к расшаренным папкам согласно прав доступа к данным в домене.
Сервер виртуализации Proxmox 2.3 под управление операционной системы Debian. Данный сервер имеет несколько мостов для виртуальных машин и на нем находятся виртуальные машины:
а) Сервер 1С под управление операционной системы Linux. На данном сервере находятся базы 1С. На данном сервере по несколько баз данных от каждого предприятия
b) виртуальная машина под управлением операционной системы Linux . Данная виртуальная машина используется как файловый сервер 1С. Данный сервер обслуживает бухгалтерии и тоже введен в домен. Данная виртуальная машина настроена только на взаимодействие с ИС использующими вычислительные возможности ЦОД и не имеет прямого доступа к сетям общего пользования.
с) виртуальная машина под управлением операционной системы Linux . Данная виртуальная машина используется для обслуживания кадрового отдела. Данная виртуальная машина настроена только на взаимодействие с ИС использующими вычислительные возможности ЦОД и не имеет прямого доступа к сетям общего пользования. Доступ настроен через программу SAMBA согласно прав в домене.
Сервер под управлением операционной системы Alt linux 6 сертифицированный ФСТЭК. Данный сервер используется как сетевой узел, объединяющий все сети ЦОДа. Данный серве используется как DNS сервер внутри ЦОДА и снаружи. Также данный сервер обеспечивает маршрутизацию всей сети и прокси сервер для всех сегментов сетей. Так же данный сервер обеспечивает маршрутизацию с сетями общего пользования.
Сервер резервирования под управлением операционной системы Linux введен в домен. Данный сервер используется для резервирования виртуальных серверов. Данный сервер настроен только на взаимодействие с ИС использующими вычислительные возможности ЦОД и не имеет прямого доступа к сетям общего пользования.
Сервер виртуализации Proxmox 4 под управлением операционной системы Debian. Данный сервер используется как виртуальный сервер - контроллер Касперского. Данный сервер настроен только на взаимодействие с ИС использующими вычислительные возможности ЦОД и не имеет прямого доступа к сетям общего пользования.
Организации, с которыми ЦОД обеспечивает обмен информацией:
Министерства и ведомства края;
Федеральные структуры;
Прокуратура;
Судебный аппарат;
Казначейство;
Пенсионный фонд;
Центр занятости населения;
Банки;
-
Режим обработки информации
Режим работы с ИС предусматривает следующие действия с информацией: сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, передачу, обезличивание, блокирование, уничтожение.
Все пользователи МИС ЦОД имеют собственные роли и, в соответствии с ролью, права доступа и разрешенные действия.
В ЦОД предполагается разделение обязанностей по администрированию между несколькими сотрудниками. В ЦОД назначены следующие должности для управления информационной системой:
-
Начальник отдела информационно-коммуникационных технологий и общественных связей
-
Заместитель начальника отдела по связи и телекоммуникациям
-
Заместитель начальника отдела по защите информации
-
Инженер-программист 1 категории
-
Инженер-программист 1 категории
-
Инженер-программист 1 категории
-
Инженер-программист 1 категории
-
Инженер-программист 1 категории
В таблице 6.1 представлен список ролей в виде матрицы доступа МИС ЦОД.
Таблица 6.1 – Матрица доступа МИС ЦОД
Привилегии и права, ресурс | Начальник отдела информационно-коммуникационных технологий | Заместитель начальника отдела по связи и телекоммуникациям | Заместитель начальника отдела по защите информации | Инженер-программист 1 категории |
Изменение настроек политик AD | + | + | + | + |
Доступ к ресурсам AD | + | + | + | + |
Настройка конфигурации серверов | + | + | + | - |
Возможность изменения системных файлов на серверах БД | + | + | + | + |
Работа с пользователями | - | + | + | + |
Установка программ | + | + | + | + |
Настройка защиты серверов | + | - | + | - |
Настройка телефонной связи | - | + | - | - |
Настройка архивации | + | - | + | - |
Удаленный доступ к АРМ пользователей | + | - | + | + |
Загрузка ПЭВМ с внешних носителей (доступ к BIOS) | + | + | + | + |
Работа с электронными подписями | + | + | + | - |
Работа с системным журналом ОС | + | + | + | + |
Работа с Железомм??? | + | - | + | + |
Возможность создания ресурсов на серверах БД | + | + | + | + |
Восстановление информационных ресурсов серверов БД | + | + | + | - |
Работа с системным журналом СЗИ | + | - | + | - |
Установка, настройка, сопровождение СЗИ | + | - | + | - |
Доступ к сетевым ресурсам на АРМ пользователей | RWAXD | RWAXD | RWAXD | RWA |
Доступ к локальным папкам пользователей | RWAXD | RWAXD | RWAXD | RWA |
Доступ к средствам управления БД | RWAXD | RWAXD | RWAXD | RWAXD |
Доступ к средствам управления СЗИ | RWAXDS | RWA | RWAXDS | RWA |
R - разрешение на открытие файлов только для чтения;
W - разрешение на открытие файлов для записи;
A - разрешение на создание файлов на диске/создание таблиц в БД;
D - разрешение на удаление файлов/записи в БД;
Х - разрешение на запуск программ;
S - разрешение на настройку средств защиты
-
Модель угроз безопасности информации и актуальные угрозы безопасности информации
В целях определения адекватных мер защиты информации была проведена оценка актуальных угроз безопасности информации и возможных источников этих угроз (нарушителей). Результатом оценки актуальности угроз безопасности информации является Модель угроз безопасности информации при их обработке в информационной системе МИС ЦОД
Модель угроз безопасности информации должна подвергаться периодическому пересмотру со стороны ответственных лиц (ответственный за обеспечение безопасности, ответственный за организацию обработки информации) и экспертной комиссией с целью поддержания соответствия перечня актуальных угроз особенностям обработки информации в сегментах.