Установка производится на все сервера, доступ к которым необходимо ограничить исходя из актуальности угроз информационной безопасности МИС ЦОД и согласно требованиям, предъявляемым к СЗИ.

Настройка СрЗИ заключается в следующем:

• регистрация пользователя в системе;

• задание пароля пользователя не менее 8 буквенно-цифровых символов;

• настройка параметров блокировки сервера при заданном количестве неудачных попыток ввода пароля;

• настройка параметров выхода из системы при заданном временном интервале неактивности пользователя;

• настройка параметров регистрации входа и выхода пользователя в систему и из системы;

• настройка параметров регистрации и учета событий, связанных с действием пользователя, с указанием имени пользователя, времени совершенного события и результата успешности или не успешности события;

• создание списка компонентов системы и модулей СрЗИ, которые необходимо поставить на контроль целостности;

• получение контрольной суммы файлов, поставленных на контроль целостности;

• настройка функции блокирования съемных носителей, кроме разрешенных учтенных;

• настройка проверки съемных носителей в момент автозапуска;

• настройка блокирования подключаемых модемов и мобильных устройств;

• настройка функций гарантированной зачистки информации;

• настройка функции самотестирования.

1. Установка и настройка межсетевого экрана

Установка и настройка межсетевого экранирования СЗИ осуществляется в

соответствии с эксплуатационной документацией на СрЗИ.

Установка межсетевого экрана проводится на границе сети ЦОД и сети общего доступа. Данная установка обусловлена необходимостью защиты внутренней сети ЦОД от возможного проникновения и атак из вне.

Настройка межсетевого экранирования СЗИ заключается в следующем:

• настройка сетевых фильтров в соответствии с топологией заданной сети;

• настройка правил фильтрации для необходимых протоколов и портов;

• настройка режимов администрирования межсетевого экрана;

• настройка идентификации администратора безопасности;

• настройка регистрации событий межсетевого взаимодействия и администрирования межсетевого экрана;

• настройка регистрации изменения правил фильтрации;

• настройка сигнализации событий, связанных с нарушением установленных правил фильтрации.

1. Установка и настройка СрЗИ виртуальной инфаструктуры

Установка и настройка Dallas ВИ осуществляется в соответствии с эксплуатационной документацией на СрЗИ.

Установка производится на сервера виртуализации, доступ к которым необходимо ограничить исходя из актуальности угроз информационной безопасности МИС ЦОД и согласно требованиям, предъявляемым к СЗИ.

Настройка СрЗИ заключается в следующем:

• регистрация пользователя в системе;

• задание пароля пользователя не менее 8 буквенно-цифровых символов;

• настройка параметров блокировки сервера при заданном количестве неудачных попыток ввода пароля;

• настройка параметров выхода из системы при заданном временном интервале неактивности пользователя;

• настройка параметров регистрации входа и выхода пользователя в систему и из системы;

• настройка параметров регистрации и учета событий, связанных с действием пользователя, с указанием имени пользователя, времени совершенного события и результата успешности или не успешности события;

• создание списка компонентов системы и модулей СрЗИ, которые необходимо поставить на контроль целостности;

• получение контрольной суммы файлов, поставленных на контроль целостности;

• настройка функции блокирования съемных носителей, кроме разрешенных учтенных;

• настройка проверки съемных носителей в момент автозапуска;

• настройка блокирования подключаемых модемов и мобильных устройств;

• настройка функций гарантированной зачистки информации;

• настройка функции самотестирования.

1. Режим отладки

Режим отладки предназначен для отладки СрЗИ и выполняется на этапе ввода в эксплуатацию после режима конфигурирования.

1. Отладка функций управления сетью

После этапа установки и первичного конфигурирования производится изменение настроек в связи с планомерным вводом клиентов в защищённую сеть, установкой нового программного обеспечения, применения политик защиты информации и т.д.

При этом необходимо создать эталонную конфигурацию, минимальными изменениями которой будет возможно в кратчайшие сроки выполнить все работы по данному этапу.

Основными действиями по изменению эталонной конфигурации являются:

• настройка правил фильтрации открытой и закрытой сети под нужды конкретного ПО на АРМ или на сервере;

• выявление заблокированных пакетов, выяснение легитимности и причин блокировки, принятие решений о редактировании фильтров;

• настройка/правка параметров операционной системы и установленного ПО для устранения проблем совместимости.

Настройка элементов СЗИ необходима при вводе в эксплуатацию нового АРМ или сервера, изменении владельца, рассылки или дискредитации сертификата, введение клиентов в ЦОД.

1. Отладка функций анализа защищенности

Режим отладки предполагает внесение изменений в СЗИ, обусловленные проверкой нового оборудования со специфичным ПО и не указанными учётными записями. На данном этапе и этапе рабочего режима проводится создание новых проверочных правил и политик безопасности.

1. Рабочий режим

Рабочий режим является единственным допустимым режимом штатного функционирования СЗИ. В рабочий режим СЗИ переводится после режима отладки, когда становится ясно, что система функционирует верно и корректно отрабатывает необходимые политики, правила и шаблоны. Рабочий режим обеспечивает независимость функционирования СЗИ от изменений в организационной структуре объектов внедрения при сохранении состава и содержания выполняемых функций. Рабочий режим допускает настройку и изменение конфигурации настроек СрЗИ без перепрограммирования.

1. Рабочий режим управлению сетью

В рабочем режиме возможны ситуации, требующие изменения (дополнения, переопределения) настроек клиентского ПО для его соответствия текущей ситуации в зависимости от работы конкретных компонентов, присутствующих в сети организации. Таким образом, при переводе СЗИ в рабочий режим функционирования предполагается возможность изменения настроек, политик и правил доступа на сервера при вводе новых ИТ и регламентов ИБ, смене владельца или изменении структуры сети. При этом, выявление причин неисправности взаимодействия с другими серверами и арм сети будет возможно производить через систему журналирования и изменения режимов работы агентов.

1. Организационные мероприятия по защите информации в МИС ЦОД

В организационно-распорядительной документации регламентируются:

• правила и процедуры идентификации и аутентификации пользователей;

• правила и процедуры управления идентификаторами;

• правила и процедуры управления средствами аутентификации (аутентификационной информацией);

• правила и процедуры управления учетными записями пользователей;

• правила разграничения доступа;

• правила и процедуры управления информационными потоками;

• правила и процедуры применения удаленного доступа;

• правила и процедуры управления взаимодействием с внешними информационными системами;

• состав и содержание информации о событиях безопасности, подлежащих регистрации;

• правила и процедуры сбора, записи и хранения информации о событиях безопасности;

• правила и процедуры защиты информации о событиях безопасности;

• правила и процедуры антивирусной защиты информационной системы;

• правила и процедуры обновления базы данных признаков вредоносных компьютерных программ (вирусов);

• правила и процедуры выявления, анализа и устранения уязвимостей;

• правила и процедуры контроля установки обновлений программного обеспечения;

• правила и процедуры контроля целостности информации;

• правила и процедуры контроля и управления физическим доступом.

• перечень лиц, которым разрешены действия по внесению изменений в конфигурацию информационной системы и системы защиты персональных данных;

• правила и процедуры проведения анализа потенциального воздействия планируемых изменений в конфигурацию информационной системы персональных данных и системы защиты информации;

• документирование информации об изменениях в конфигурации информационной системы персональных данных и системы защиты информации.

Необходимо выполнение следующих требований:

1. Организация режима обеспечения безопасности помещений, в которых размещена информационная система (далее – Помещения), препятствующего возможности неконтролируемого проникновения или пребывания в Помещениях лиц, не имеющих права доступа в Помещения.

Для выполнения требования необходимо обеспечение режима, препятствующего возможности неконтролируемого проникновения или пребывания в Помещениях лиц, не имеющих права доступа в Помещения, которое достигается путем:

• оснащения Помещений входными дверьми с замками, обеспечения постоянного закрытия дверей Помещений на замок и их открытия только для санкционированного прохода, а также включения охранной сигнализации в конце рабочего дня;

• утверждения правил доступа в Помещения сотрудников и посетителей в рабочее и нерабочее время;

• утверждения перечня сотрудников, имеющих право вскрывать Помещения в нештатных ситуациях, а также порядка вскрытия Помещений в таких ситуациях.

2. Обеспечение сохранности носителей персональных данных.

Для выполнения требования необходимо:

• осуществлять хранение носителей персональных данных в сейфах (металлических шкафах), оборудованных внутренними замками с двумя или более дубликатами ключей и приспособлениями для опечатывания замочных скважин или кодовыми замками;

• осуществлять поэкземплярный учет носителей персональных данных, который достигается путем ведения журнала учета носителей персональных данных с использованием регистрационных (заводских) номеров.

3. Утверждение руководителем оператора документа, определяющего перечень лиц, доступ которых к персональным данным, обрабатываемым в информационной системе, необходим для выполнения ими служебных (трудовых) обязанностей;

Для выполнения требования необходимо:

• определить круг лиц, доступ которых к персональным данным, обрабатываемым в информационной системе, необходим для выполнения ими служебных (трудовых) обязанностей;

• разработать и утвердить документ, определяющий перечень лиц, доступ которых к персональным данным, обрабатываемым в информационной системе, необходим для выполнения ими служебных (трудовых) обязанностей;

• поддерживать в актуальном состоянии документ, определяющий перечень лиц, доступ которых к персональным данным, обрабатываемым в информационной системе, необходим для выполнения ими служебных (трудовых) обязанностей.

Назначение лица, ответственного за обеспечение безопасности персональных данных, обрабатываемых в информационной системе.

1. Порядок ввода СЗИ в эксплуатацию

При создании СЗИ в соответствии с предлагаемым техническим проектом должны выполняться следующие этапы работ.

1. Ввод в действие

   1. Установка и документирование СЗИ

Необходимо провести монтаж и установку технических средств защиты информации на объект, провести подключение поставленных технических средств защиты информации и технических средств, а также обеспечить их интеграцию в ЛВС.

Необходимо документировать проделанные работы, по итогам которых должен быть представлен отчет, содержащий сведения, необходимые для работы технических служб.

Если в процессе проведения работ по установке и настройке СЗИ возникают какие-либо нештатные ситуации, а также ситуации, которые могут повлечь приостановление вышеуказанных работ, то должны быть приняты все возможные меры по устранению и ликвидации причин, которые привели к таким ситуациям.

1. Выполнение мероприятий по подготовке персонала

Подсистемы, входящие в СЗИ, обладают самым разнообразным функционалом, предназначенным для защиты информации. Для управления всем функционалом СЗИ должны присутствовать специалисты, имеющие необходимую квалификацию в области защиты информации и администрирования установленных технических средств защиты информации.

Для обеспечения рационального подхода по комплектации кадров организации предлагается рассмотреть возможность направления специалиста на соответствующие курсы повышения квалификации в области информационной безопасности, а также технические курсы по соответствующим подсистемам защиты.

Для администратора безопасности Заказчика предлагается пройти учебный курс по защите персональных данных.

1. Организация необходимых подразделений и рабочих мест

Для обеспечения выполнения требований законодательства по защите информации, а также эффективного функционирования СЗИ, необходимо наличие штатного специалиста, ответственного за защиту информации. Согласно Положению «О государственной системе защиты информации в Российской Федерации от иностранных технических разведок и от ее утечки по техническим каналам» от 15.09.1993 г. № 912-51 и «Требованиям к защите персональных данных при их обработке в информационных системах персональных данных», утвержденным постановлением Правительства РФ от 01.11.2012 № 1119 Указанные подразделения (штатные специалисты) подчиняются непосредственно руководителю предприятия или его заместителю.