5. Технический проект (Разработка профиля защиты информации обрабатываемой в центре обработки данных муниципального образования), страница 5
Описание файла
Файл "5. Технический проект" внутри архива находится в папке "Разработка профиля защиты информации обрабатываемой в центре обработки данных муниципального образования". Документ из архива "Разработка профиля защиты информации обрабатываемой в центре обработки данных муниципального образования", который расположен в категории "". Всё это находится в предмете "дипломы и вкр" из 8 семестр, которые можно найти в файловом архиве ДВГУПС. Не смотря на прямую связь этого архива с ДВГУПС, его также можно найти и в других разделах. .
Онлайн просмотр документа "5. Технический проект"
Текст 5 страницы из документа "5. Технический проект"
Установка производится на все сервера, доступ к которым необходимо ограничить исходя из актуальности угроз информационной безопасности МИС ЦОД и согласно требованиям, предъявляемым к СЗИ.
Настройка СрЗИ заключается в следующем:
-
регистрация пользователя в системе;
-
задание пароля пользователя не менее 8 буквенно-цифровых символов;
-
настройка параметров блокировки сервера при заданном количестве неудачных попыток ввода пароля;
-
настройка параметров выхода из системы при заданном временном интервале неактивности пользователя;
-
настройка параметров регистрации входа и выхода пользователя в систему и из системы;
-
настройка параметров регистрации и учета событий, связанных с действием пользователя, с указанием имени пользователя, времени совершенного события и результата успешности или не успешности события;
-
создание списка компонентов системы и модулей СрЗИ, которые необходимо поставить на контроль целостности;
-
получение контрольной суммы файлов, поставленных на контроль целостности;
-
настройка функции блокирования съемных носителей, кроме разрешенных учтенных;
-
настройка проверки съемных носителей в момент автозапуска;
-
настройка блокирования подключаемых модемов и мобильных устройств;
-
настройка функций гарантированной зачистки информации;
-
настройка функции самотестирования.
-
Установка и настройка межсетевого экрана
Установка и настройка межсетевого экранирования СЗИ осуществляется в
соответствии с эксплуатационной документацией на СрЗИ.
Установка межсетевого экрана проводится на границе сети ЦОД и сети общего доступа. Данная установка обусловлена необходимостью защиты внутренней сети ЦОД от возможного проникновения и атак из вне.
Настройка межсетевого экранирования СЗИ заключается в следующем:
-
настройка сетевых фильтров в соответствии с топологией заданной сети;
-
настройка правил фильтрации для необходимых протоколов и портов;
-
настройка режимов администрирования межсетевого экрана;
-
настройка идентификации администратора безопасности;
-
настройка регистрации событий межсетевого взаимодействия и администрирования межсетевого экрана;
-
настройка регистрации изменения правил фильтрации;
-
настройка сигнализации событий, связанных с нарушением установленных правил фильтрации.
-
Установка и настройка СрЗИ виртуальной инфаструктуры
Установка и настройка Dallas ВИ осуществляется в соответствии с эксплуатационной документацией на СрЗИ.
Установка производится на сервера виртуализации, доступ к которым необходимо ограничить исходя из актуальности угроз информационной безопасности МИС ЦОД и согласно требованиям, предъявляемым к СЗИ.
Настройка СрЗИ заключается в следующем:
-
регистрация пользователя в системе;
-
задание пароля пользователя не менее 8 буквенно-цифровых символов;
-
настройка параметров блокировки сервера при заданном количестве неудачных попыток ввода пароля;
-
настройка параметров выхода из системы при заданном временном интервале неактивности пользователя;
-
настройка параметров регистрации входа и выхода пользователя в систему и из системы;
-
настройка параметров регистрации и учета событий, связанных с действием пользователя, с указанием имени пользователя, времени совершенного события и результата успешности или не успешности события;
-
создание списка компонентов системы и модулей СрЗИ, которые необходимо поставить на контроль целостности;
-
получение контрольной суммы файлов, поставленных на контроль целостности;
-
настройка функции блокирования съемных носителей, кроме разрешенных учтенных;
-
настройка проверки съемных носителей в момент автозапуска;
-
настройка блокирования подключаемых модемов и мобильных устройств;
-
настройка функций гарантированной зачистки информации;
-
настройка функции самотестирования.
-
Режим отладки
Режим отладки предназначен для отладки СрЗИ и выполняется на этапе ввода в эксплуатацию после режима конфигурирования.
-
Отладка функций управления сетью
После этапа установки и первичного конфигурирования производится изменение настроек в связи с планомерным вводом клиентов в защищённую сеть, установкой нового программного обеспечения, применения политик защиты информации и т.д.
При этом необходимо создать эталонную конфигурацию, минимальными изменениями которой будет возможно в кратчайшие сроки выполнить все работы по данному этапу.
Основными действиями по изменению эталонной конфигурации являются:
-
настройка правил фильтрации открытой и закрытой сети под нужды конкретного ПО на АРМ или на сервере;
-
выявление заблокированных пакетов, выяснение легитимности и причин блокировки, принятие решений о редактировании фильтров;
-
настройка/правка параметров операционной системы и установленного ПО для устранения проблем совместимости.
Настройка элементов СЗИ необходима при вводе в эксплуатацию нового АРМ или сервера, изменении владельца, рассылки или дискредитации сертификата, введение клиентов в ЦОД.
-
Отладка функций анализа защищенности
Режим отладки предполагает внесение изменений в СЗИ, обусловленные проверкой нового оборудования со специфичным ПО и не указанными учётными записями. На данном этапе и этапе рабочего режима проводится создание новых проверочных правил и политик безопасности.
-
Рабочий режим
Рабочий режим является единственным допустимым режимом штатного функционирования СЗИ. В рабочий режим СЗИ переводится после режима отладки, когда становится ясно, что система функционирует верно и корректно отрабатывает необходимые политики, правила и шаблоны. Рабочий режим обеспечивает независимость функционирования СЗИ от изменений в организационной структуре объектов внедрения при сохранении состава и содержания выполняемых функций. Рабочий режим допускает настройку и изменение конфигурации настроек СрЗИ без перепрограммирования.
-
Рабочий режим управлению сетью
В рабочем режиме возможны ситуации, требующие изменения (дополнения, переопределения) настроек клиентского ПО для его соответствия текущей ситуации в зависимости от работы конкретных компонентов, присутствующих в сети организации. Таким образом, при переводе СЗИ в рабочий режим функционирования предполагается возможность изменения настроек, политик и правил доступа на сервера при вводе новых ИТ и регламентов ИБ, смене владельца или изменении структуры сети. При этом, выявление причин неисправности взаимодействия с другими серверами и арм сети будет возможно производить через систему журналирования и изменения режимов работы агентов.
-
Организационные мероприятия по защите информации в МИС ЦОД
В организационно-распорядительной документации регламентируются:
-
правила и процедуры идентификации и аутентификации пользователей;
-
правила и процедуры управления идентификаторами;
-
правила и процедуры управления средствами аутентификации (аутентификационной информацией);
-
правила и процедуры управления учетными записями пользователей;
-
правила разграничения доступа;
-
правила и процедуры управления информационными потоками;
-
правила и процедуры применения удаленного доступа;
-
правила и процедуры управления взаимодействием с внешними информационными системами;
-
состав и содержание информации о событиях безопасности, подлежащих регистрации;
-
правила и процедуры сбора, записи и хранения информации о событиях безопасности;
-
правила и процедуры защиты информации о событиях безопасности;
-
правила и процедуры антивирусной защиты информационной системы;
-
правила и процедуры обновления базы данных признаков вредоносных компьютерных программ (вирусов);
-
правила и процедуры выявления, анализа и устранения уязвимостей;
-
правила и процедуры контроля установки обновлений программного обеспечения;
-
правила и процедуры контроля целостности информации;
-
правила и процедуры контроля и управления физическим доступом.
-
перечень лиц, которым разрешены действия по внесению изменений в конфигурацию информационной системы и системы защиты персональных данных;
-
правила и процедуры проведения анализа потенциального воздействия планируемых изменений в конфигурацию информационной системы персональных данных и системы защиты информации;
-
документирование информации об изменениях в конфигурации информационной системы персональных данных и системы защиты информации.
Необходимо выполнение следующих требований:
1. Организация режима обеспечения безопасности помещений, в которых размещена информационная система (далее – Помещения), препятствующего возможности неконтролируемого проникновения или пребывания в Помещениях лиц, не имеющих права доступа в Помещения.
Для выполнения требования необходимо обеспечение режима, препятствующего возможности неконтролируемого проникновения или пребывания в Помещениях лиц, не имеющих права доступа в Помещения, которое достигается путем:
-
оснащения Помещений входными дверьми с замками, обеспечения постоянного закрытия дверей Помещений на замок и их открытия только для санкционированного прохода, а также включения охранной сигнализации в конце рабочего дня;
-
утверждения правил доступа в Помещения сотрудников и посетителей в рабочее и нерабочее время;
-
утверждения перечня сотрудников, имеющих право вскрывать Помещения в нештатных ситуациях, а также порядка вскрытия Помещений в таких ситуациях.
2. Обеспечение сохранности носителей персональных данных.
Для выполнения требования необходимо:
-
осуществлять хранение носителей персональных данных в сейфах (металлических шкафах), оборудованных внутренними замками с двумя или более дубликатами ключей и приспособлениями для опечатывания замочных скважин или кодовыми замками;
-
осуществлять поэкземплярный учет носителей персональных данных, который достигается путем ведения журнала учета носителей персональных данных с использованием регистрационных (заводских) номеров.
3. Утверждение руководителем оператора документа, определяющего перечень лиц, доступ которых к персональным данным, обрабатываемым в информационной системе, необходим для выполнения ими служебных (трудовых) обязанностей;
Для выполнения требования необходимо:
-
определить круг лиц, доступ которых к персональным данным, обрабатываемым в информационной системе, необходим для выполнения ими служебных (трудовых) обязанностей;
-
разработать и утвердить документ, определяющий перечень лиц, доступ которых к персональным данным, обрабатываемым в информационной системе, необходим для выполнения ими служебных (трудовых) обязанностей;
-
поддерживать в актуальном состоянии документ, определяющий перечень лиц, доступ которых к персональным данным, обрабатываемым в информационной системе, необходим для выполнения ими служебных (трудовых) обязанностей.
Назначение лица, ответственного за обеспечение безопасности персональных данных, обрабатываемых в информационной системе.
-
Порядок ввода СЗИ в эксплуатацию
При создании СЗИ в соответствии с предлагаемым техническим проектом должны выполняться следующие этапы работ.
-
Ввод в действие
-
Установка и документирование СЗИ
-
Необходимо провести монтаж и установку технических средств защиты информации на объект, провести подключение поставленных технических средств защиты информации и технических средств, а также обеспечить их интеграцию в ЛВС.
Необходимо документировать проделанные работы, по итогам которых должен быть представлен отчет, содержащий сведения, необходимые для работы технических служб.
Если в процессе проведения работ по установке и настройке СЗИ возникают какие-либо нештатные ситуации, а также ситуации, которые могут повлечь приостановление вышеуказанных работ, то должны быть приняты все возможные меры по устранению и ликвидации причин, которые привели к таким ситуациям.
-
Выполнение мероприятий по подготовке персонала
Подсистемы, входящие в СЗИ, обладают самым разнообразным функционалом, предназначенным для защиты информации. Для управления всем функционалом СЗИ должны присутствовать специалисты, имеющие необходимую квалификацию в области защиты информации и администрирования установленных технических средств защиты информации.
Для обеспечения рационального подхода по комплектации кадров организации предлагается рассмотреть возможность направления специалиста на соответствующие курсы повышения квалификации в области информационной безопасности, а также технические курсы по соответствующим подсистемам защиты.
Для администратора безопасности Заказчика предлагается пройти учебный курс по защите персональных данных.
-
Организация необходимых подразделений и рабочих мест
Для обеспечения выполнения требований законодательства по защите информации, а также эффективного функционирования СЗИ, необходимо наличие штатного специалиста, ответственного за защиту информации. Согласно Положению «О государственной системе защиты информации в Российской Федерации от иностранных технических разведок и от ее утечки по техническим каналам» от 15.09.1993 г. № 912-51 и «Требованиям к защите персональных данных при их обработке в информационных системах персональных данных», утвержденным постановлением Правительства РФ от 01.11.2012 № 1119 Указанные подразделения (штатные специалисты) подчиняются непосредственно руководителю предприятия или его заместителю.