5.Технический проект (1208536), страница 4
Текст из файла (страница 4)
В таблицах 4.3 представлены характеристики АРМ Администратора. В таблице 4.4 представлен перечень программного обеспечения, установленного на АРМ Администратора.
Таблица 4.3 – Технические средства АРМ Администратора ИСПДн
| АРМ 5 (админ) | Системный блок | Процессор:Intel Core i7-4790 Haswell 3600MHz Охлаждение:Intel Box Алюминий Оперативная память:DDR3 8 Гб 1600МГц Hynix Материнская плата:ASUS Н81M-R DDR3 Диск SSD:SSD не установлен Жёсткий диск:1000 Гб 7200 rpm Seagate Оптический привод:Без привода Блок питания:БП FSP 500W Корпус:Zalman Z1 Black Видеокарта: Intel HD Graphics 2000; Сетевая карта: Realtek PCIe GBE Family Controller (192.168.0.22). |
| Монитор | Монитор ASUS VS278Q | |
| Принтер | Kyocera Ecosys M6026cdn |
Таблица 4.4 – Программное обеспечение, установленное на АРМ Администратора ИСПДн
| АРМ 5 (админ) | Microsoft Windows 7 Service Pack 1 | Операционная система |
| 1C:Предприятие 8.2 | Специализированное ПО | |
| 7-Zip | Прикладное ПО | |
| Firebird | Специализированное ПО | |
| Microsoft Office профессиональный плюс 2010 | Офисное ПО | |
| ABC.Dr.Web Enterprise Security Suite 6.0 | СЗИ | |
| WinRAR | Прикладное ПО | |
| Google Chrome | Прикладное ПО | |
| Ammyy Admin | Прикладное ПО |
-
Перечень обрабатываемых персональных данных
Отдел бухгалтерского учета и отчетности в своей деятельности обрабатывает следующий перечень персональных данных:
1.персональные данные работников АО "АК "ЖДЯ"
-фамилия;
-имя;
-отчество;
-пол;
-дата рождения;
-место регистрации и фактического проживания;
-место рождения;
-сведения об образовании;
-сведения о неоконченном образовании;
-сведения о состоянии в браке;
-сведения о воинском учете;
-дата прохождения аттестации;
-решение комиссии об аттестации;
-даты начала и окончания обучения;
-вид повышения квалификации;
-наименование учебного заведения;
-вид документа о повышении квалификации;
-данные об отпусках;
-гражданство;
-данные о детях;
-сведения о знании языков;
-расчетный счет;
-номер страхового свидетельства государственного пенсионного страхования;
-СНИЛС;
-ИНН;
-реквизиты документа о присвоении квалификационной категории;
-профессия по штатному расписанию;
-табельный номер;
-должность;
-объем работы по занимаемой должности;
-подразделение;
-разряд;
-характер работы;
-вид работы;
-стаж работы;
-основание исчисления стажа;
-ставка;
-тип документа, удостоверяющего личность;
-реквизиты документа, удостоверяющего личность;
-расчетный счет;
-место работы;
-страховой стаж;
-оклад;
-начисления;
-средний заработок;
-дата приема на работу;
-дата увольнения;
-дата выхода на пенсию;
-льготы;
-пособия.
Персональные данные пользователей услуг АО "АК "ЖДЯ":
- фамилия, имя, отчество;
-дата рождения;
-место рождения;
-вид и номер документа, удостоверяющего личность, по которому приобретается проездной документ (для несовершеннолетних - свидетельство о рождении или его нотариально заверенная копия);
-пункт отправления, пункт назначения, вид маршрута следования (беспересадочный, транзитный);
-дата поездки.
В соответствии с программами поощрения пользователей услуг АО "АК "ЖДЯ" дополнительно обрабатываются следующие персональные данные:
-пол;
-дата и место рождения;
-контактный телефон;
-адрес электронной почты;
-полный почтовый адрес участника программы;
-гражданство;
-индивидуальный номер налогоплательщика.
3.персональные данные физических лиц, состоящих в договорных и иных гражданско-правовых отношениях с АО "АК "ЖДЯ":
-фамилия;
-имя;
-отчество;
-ИНН;
-СНИЛС;
-банковский счет.
-
Взаимодействие с другими информационными системами.
Отдел бухгалтерского учета и отчетности осуществляет обмен информацией с информационными системами других организаций в электронном виде.
Организации, с которыми отдел бухгалтерского учета и отчетности осуществляет обмен информацией.
-
УФК по Республике Саха (Якутии). (обмен осуществляется в электронном зашифрованном виде);
-
ИФНС, ПФР, ФСС (обмен осуществляется в электронном зашифрованном виде);
В УФК РФ по Республике Саха (Якутии) данные формируются посредством ПО «АРМ Клиента СЭД». Сформированный отчет, содержащий персональные данные субъектов ПДн шифруется при помощи программы «КриптоПро CSP» и подписывается ЭЦП главного бухгалтера или директора предприятия.. ПК «Континент-АП» формирует защищенный канал связи, по которому происходит обмен информацией.
В отделения ФТС, ПФР, ФСС данные формируются и передаются посредством ПО «СБиС++ Электронная отчетность и документооборот». Сформированный отчет, содержащий персональные данные субъектов ПДн шифруется при помощи программы «КриптоПро CSP» и подписывается ЭЦП главного бухгалтера или директора предприятия.
С иными юридическими или физическими лицами обмен данными осуществляется исключительно на бумажных носителях.
-
Характеристика каналов связи и потоков информации, используемые при обработке и передаче ПДн.
ИСПДн представляет собой локальную вычислительную сеть, объединяющую отдельные АРМ учреждения по беспроводной технологии передачи данных Wi-Fi. Взаимодействие всех сетевых устройств друг с другом осуществляется по стандарту IEEE 802.11n. Используется роутер модели ASUS RT-N66U. Имеется одна точка выхода в сети общего пользования.
Также в качестве каналов связи в локальной вычислительной сети отдела используются кабели симметричной витой пары категории 5е. Подключение к сетям общего пользования предоставляется провайдерам:
-
ОАО «Ростелеком»;
Имеется одна точка выхода в сети общего пользования.
Конфигурация информационной системы представлена на рисунке А.1 (см. Приложение А).
Все АРМ и сервер БД компании, участвующие в обработке ПДн, объединены в одну локальную сеть, топология которой представлена на рисунке А.2 (см. Приложение А)
-
Существующие меры защиты информации
Контроль доступа в здания осуществляется штатными работниками Компании (охранник), а также с помощью электронных турникетов с частичным перекрытием проема. Работники компании попадают в здание с помощью электронных пропусков. Граждане, находящиеся с компанией в договорных или иных гражданско-правовых отношениях, могут пройти в здание предварительно выписав бумажный одноразовый пропуск у охраника.
По периметру зданий установлены камеры видеонаблюдения. Помещения оборудованы охранной сигнализацией. Охранная сигнализация включается в конце рабочего дня и отключается в начале рабочего дня, в выходные и праздничные дни охранная сигнализация не отключается. В помещениях имеется пожарная сигнализация, работающая круглосуточно. Вся поступающая информация со средств охраны помещений централизовано поступает на пульт охраннику, помещение которого расположено на первом этаже у центрального входа и оборудовано «тревожной кнопкой».
Кабинеты, в которых расположены технические средства ИСПДн отдела бухгалтерского учета и отчетности находятся:
-
На первом этаже здания (см. Приложение Б );
Все кабинеты, где обрабатываются и хранятся ПДн, имеют двери, запирающиеся на ключ. Съемные носители персональных данных хранятся в металлических и обычных шкафах, запираемых на ключ. На окнах кабинетов установлены непрозрачные жалюзи.
Границами контролируемой зоны ИСПДн являются ограждающие конструкции помещений (см. Приложение Б).
В отделе используется собственный контроллер домена, при помощи которого осуществляется администрирование рабочих станций и управление групповыми политиками безопасности. Доступ к управлению настройками контроллеров домена (далее – AD) осуществляется удаленно с АРМ Администратора (АРМ 5) либо непосредственно с самого сервера – контроллера домена, расположенного в серверной.
Во взаимодействие с иными информационными системами используются сертифицированные криптографические средства «КриптоПро CSP» и ПК «Континент-АП».
Антивирусная защита осуществляется с применением ПО «Антивирус Касперского 6.0 для Windows Workstation ». Обновление антивирусных баз происходит ежедневно с внутреннего ресурса компании.
Для обеспечения безопасности в беспроводных сетях, используются несертифицированные методы безопасности роутера ASUS RT-N66U, такие как шифрование трафика WEP, WPA, WPA2 и наличие Firewall.
-
Технические и программные средства защиты информации, предлагаемые к использованию
СЗИ должна реализовываться с использованием как встроенных, так и наложенных средств защиты информации, формирующих функциональные подсистемы СЗИ.
Применяемые СЗИ в совокупности образовать комплексную систему защиты персональных данных, обеспечивающую безопасность их обработки.
В соответствии с мерами, определенными в «Техническом задании на создание системы защиты персональных данных информационной системы персональных данных отдела бухгалтерского учета и отчетности» и приложением А настоящего проекта, для обеспечения полноценной и всесторонней защиты персональных данных предлагаются следующие типы средств защиты информации:
-
средство защиты от несанкционированного доступа;
-
средство контроля съемных машинных носителей информации;
-
средство доверенной загрузки;
-
средство межсетевого экранирования;
-
средство анализа защищенности;
-
средство криптографической защиты.
-
Предлагаемые средства защиты информации
Перечень определенных для использования сертифицированных средств защиты информации в соответствии с определенными мерами представлен в таблице 5.1. Перечень определенных мер и средств защиты, их реализующих, представлен в Приложении А.
Таблица 5.1 - перечень предлагаемых к использованию сертифицированных средств защиты информации
| Тип СЗИ | Наименование | Производитель | Сертификат ФСТЭК или ФСБ России |
| Средство защиты от несанкционированного доступа | Dallas Lock 8.0-K | ООО «Конфидент» | Сертификат ФСТЭК № 2720 действителен до 25.09.2018 |
| Средство контроля съемных машинных носителей информации | Dallas Lock 8.0-K | ООО «Конфидент» | Сертификат ФСТЭК № 2720 действителен до 25.09.2018 |
| Средство доверенной загрузки | ПАК «Соболь» 3.0 | ООО «Код Безопасности» | Сертификат ФСТЭК № 1967 действителен до 07.12.2018 |
| Средство анализа защищенности | XSpider 7.8.24 | ООО «Позитив Технолоджис» | Сертификат ФСТЭК № 3247 действителен до 24.10.2017 |
| VPN-сеть, средство межсетевого экранирования и криптографической защиты информации | ПК VipNet Administrator 4 | ОАО «ИнфоТеКС» | Сертификат ФСТЭК России № 3727 действителен до 30.11.2019 |
| ПК VipNet Client 4 | Сертификат ФСТЭК России № 3727 действителен до 30.11.2019 | ||
| ПАК VipNet Coordinator HW2000 версии 3 | ФСБ РФ №СФ/124-2606 действителен до 15.04.2018 ФСБ РФ № СФ/525-2667 действителен до 23.06.18 Сертификат ФСТЭК № 2353 действителен до 26.05.2017 | ||
| Антивирус | Антивирус Касперского 6.0 | АО «Лаборатория Касперского» | Сертификат ФСТЭК №1384 действителен до 1.01.18 |
-
Dallas Lock 8.0-K
Dallas Lock 8.0-K является сертифицированным средством защиты информации от несанкционированного доступа. Средство соответствует требованиям руководящих документов по 5 классу защищенности средств вычислительной техники, по 4 уровню контроля отсутствия недекларированных возможностей, по 4 классу защиты средств контроля съемных машинных носителей.
Функциональные возможности:
-
Аутентификация пользователей;
-
Разграничение доступа пользователей к информации и ресурсам автоматизированной системы.
-
Доверенная информационная среда.
-
Контроль утечек и каналов распространения конфиденциальной информации.
-
Контроль устройств компьютера и отчуждаемых носителей информации на основе централизованных политик, исключающих утечки конфиденциальной информации.
-
Централизованное управление системой защиты, оперативный мониторинг и аудит безопасности.
-
Масштабируемая система защиты, возможность применения Dallas Lock (сетевой вариант) в организации с большим количеством филиалов.
-
ПАК «Соболь» 3.0
Программно-аппаратный комплекс «Соболь» 3.0 является сертифицированным средством доверенной загрузки операционной системы. Средство соответствует требованиям руководящих документов по уровню платы расширения 2 класса средств доверенной загрузки.
Функциональные возможности:
-
Идентификация и аутентификация пользователей до загрузки ОС при помощи ключей iButton DS1992;
-
Регистрация попыток доступа. Электронный замок «Соболь» осуществляет ведение системного журнала, записи которого хранятся в специальной энергонезависимой памяти;
-
Контроль целостности. Модуль доверенной загрузки «Соболь» контролирует неизменности аппаратной конфигурации компьютера, файлов ОС и реестра Windows, прикладных программ;
-
Доверенная загрузка. Обеспечение запрет загрузки ОС с внешних носителей, что гарантирует загрузку штатной доверенной операционной системы;
-
Аппаратный ДСЧ. Сертифицированный аппаратный датчик случайных чисел может быть использован в СКЗИ для генерации надежных ключей шифрования;
-
Сторожевой таймер. Дополнительный модуль сторожевого таймера блокирует доступ к компьютеру при обнаружении попытки отключения электронного замка «Соболь».
-
XSpider 7.8.24
XSpider является сертифицированным средством анализа защищенности. Средство соответствует требованиям руководящих документов по 4 уровню контроля отсутствия недекларированных возможностей.
Функциональные возможности:
-
полная идентификация сервисов на случайных портах;
-
эвристический метод определения типов и имен серверов (HTTP, FTP, SMTP, POP3, DNS, SSH) вне зависимости от их ответа на стандартные запросы;
-
обработка RPC-сервисов (Windows и *nix) с их полной идентификацией;
-
проверка слабости парольной защиты;
-
проведение проверок на нестандартные DoS-атаки;
-
специальные механизмы, уменьшающие вероятность ложных срабатываний.
-
VipNet Administrator 4
ViPNet Administrator 4 — программный комплекс, предназначенный для настройки и управления защищенной сетью, включающий в себя:
-
ViPNet NCC (Центр управления сетью, ЦУС) — приложение для конфигурирования и управления виртуальной защищенной сетью ViPNet.
-
ViPNet KCA (Удостоверяющий и ключевой центр, УКЦ) — приложение, которое выполняет функции центра формирования ключей шифрования и персональных ключей пользователей.
-
Функции Удостоверяющего центра — издание сертификатов для аутентификации, электронной подписи, шифрования и других криптографических операций.
-
Криптографические алгоритмы зависят от используемого криптопровайдера в данном случае это ViPNet CSP.
Функциональные возможности:
-
Создание и изменение структуры защищённой сети, узлов и пользователей, связей между ними;
-
Конфигурирование параметров узлов и полномочий пользователей;
-
Генерация ключевой информации, выпуск ключевых контейнеров, компрометация ключей;
-
Централизованное (групповое или точечное) обновление ПО на узлах защищённой сети ViPNet;
-
Управление лицензией сети;
-
Управление журналами событий и журналами аудита.
-
VipNet Client 4
ViPNet Client – это программный комплекс предназначен для защиты рабочих мест корпоративных пользователей. ViPNet Client надежно защищает от внешних и внутренних сетевых атак за счет фильтрации трафика. Кроме того, ПК ViPNet Client обеспечивает защищенную работу с корпоративными данными через зашифрованный канал, в том числе для удаленных пользователей.
![](https://s.studizba.com/z.php?f=/templates/si/i/noavatar.png&w=100&h=100&t=1"){kind=avatar}
