Просмтор этого файла доступен только зарегистрированным пользователям. Но у нас супер быстрая регистрация: достаточно только электронной почты!

Текст из файла (страница 5)

Возможности:

• VPN-клиент (шифрование и имитозащита IP-пакетов).

• Персональный сетевой экран (в версии ViPNet Client for Windows, ViPNet Client for Linux).

• Контроль сетевой активности приложений и компонентов операционной системы (в версии ViPNet Client for Windows).

• ViPNet Client работает в составе сети ViPNet и совместим со всеми продуктами линейки ViPNet Network Security.

1. VipNet Coordinator HW2000 версии 3.

ViPNet Coordinator HW2000 версии 3- это программно-аппаратный комплекс, является универсальным шлюзом безопасности и предоставляет возможность создать в любой телекоммуникационной инфраструктуре, включая сеть связи общего пользования, распределенную виртуальную сеть (VPN), защищенную от сетевых атак и несанкционированного доступа к информации. ПАК ViPNet Coordinator HW2000 версии 3 легко инсталлируется в существующую инфраструктуру и соответствует самым жестким требованиям по функциональности, удобству эксплуатации, надежности и отказоустойчивости.

Возможности:

Сервер в защищенной сети ViPNet

• ViPNet VPN-шлюз сетевого уровня (L3): защита соединений сетевого уровня (OSI) с шифрованием и аутентификацией.

• ViPNet VPN-шлюз канального уровня (L2): защита соединений канального уровня (OSI) с шифрованием и аутентификацией.

• Сервер IP-адресов (оповещение защищенных узлов о параметрах доступа друг к другу).

• Маршрутизатор VPN-пакетов (маршрутизация и контроль целостности зашифрованных IP-пакетов, передаваемых между сегментами защищенной сети).

• Маскирование структуры трафика за счет инкапсуляция в UDP.

Фильтрация трафика (межсетевой экран)

• Межсетевой экран с контролем состояния сессий и инспекцией прикладных протоколов. Раздельная настройка фильтрации для открытого и шифруемого IP-трафика.

• NAT/PAT.

• Антиспуфинг.

Сетевые функции

• Статическая маршрутизация.

• Поддержка VLAN (dot1q).

Сервисные функции

• DNS-сервер.

• NTP-сервер.

• DHCP-сервер.

• DHCP-Relay.

• Поддержка ИБП (UPS).

• Кластер горячего резервирования: отказоустойчивый координатор в конфигурации ViPNet Failover.

Настройка и управление

• Удаленная настройка ViPNet Coordinator с помощью ViPNet Administrator, системной консоли.

• Удаленное обновление ПО ViPNet Coordinator с помощью ViPNet Administrator.

• Локальная настройка с помощью консоли.

1. Построение СЗИ в информационной системе

   1. Схема построения СЗИ

Построение СЗИ в отделе бухгалтерского учета и отчетности заключается в применении сертифицированных средств защиты информации и обеспечении организационно-режимных мероприятий по защите информации.

СЗИ включает следующие функциональные компоненты:

• сетевая компонента;

• серверная компонента;

• компонента администратора;

• VipNet Coordinator HW2000 версии 3.

Общая схема построения системы защиты персональных данных в ИСПДн отдела бухгалтерского учета и отчетности приведена в приложении В.

Сводная таблица с перечнем АРМ, устанавливаемых средств защиты и параметров настройки приведена в приложении Г.

1. Сетевая компонента

Сетевая компонента представляет собой АРМ пользователей, подключенных к локальной сети и сетям общего пользования, включая пользователей, работающих согласно своим должностным обязанностям.

СЗИ обеспечивает защиту ПДн следующими техническими средствами защиты:

• использование средства защиты от несанкционированного доступа (Dallas Lock 8.0-K);

• использование средства обеспечения доверенной загрузки (ПАК «Соболь» 3.0);

• идентификация и аутентификация пользователя производится с помощью электронного идентификатора DS1992;

• использование ПК VipNet Client 4 (КС2) (АРМ 1-5);

• использование криптопровайдера «КриптоПро CSP 3.6» и ПК «Континент-АП» (АРМ 5). На момент разработки проекта данное средство уже установлено и настроено.

• использование средства антивирусной защиты «Антивирус Касперсого 6.0 для Windows Workstation».

• Параметры настройки представлены в разделе 6.2.1.

1. Серверная компонента

Серверная компонента включает в себя один сервер, использующийся для обработки ПДн, так же является контроллером домена.

СЗИ обеспечивает защиту информации, обрабатываемой на сервере, следующими техническими средствами защиты:

• использование средства защиты от несанкционированного доступа (Dallas Lock 8.0-K);

• использование средства обеспечения доверенной загрузки (ПАК «Соболь» 3.0);

• идентификация и аутентификация пользователя производится с помощью электронного идентификатора DS1992

• использование ПК VipNet Client 4 (КС2)

• установка сервера безопасности Dallas Lock;

• использование средства антивирусной защиты «Антивирус Касперсого 6.0 для Windows Workstation». На момент разработки проекта данное средство уже установлено и настроено.

Параметры настройки представлены в разделе 6.2.1.

1. Компонента администратора

Компонента администратора представляет собой АРМ администратора, с которого осуществляется управление средствами защиты, управление контроллерам доменов и серверам безопасности Dallas Lock.

СЗИ обеспечивает защиту АРМ администратора следующими техническими средствами защиты:

• использование средства защиты от несанкционированного доступа (Dallas Lock 8.0 -К);

• использование средства обеспечения доверенной загрузки (ПАК «Соболь» 3.0);

• идентификация и аутентификация пользователя производится с помощью электронного идентификатора DS1992;

• использование средства анализа защищенности (XSpider 7.8.24);

• использование ПК VipNet Administrator 4 (КС2);

• использование средства антивирусной защиты «Антивирус Касперсого 6.0 для Windows Workstation». На момент разработки проекта данное средство уже установлено и настроено.

1. VipNet Coordinator HW2000 версии 3

Эта компонента представляет собой программно-аппаратный комплекс VipNet Coordinator HW2000 версии 3, реализующий сбой функции межсетевого экрана, криптосредства и организатора VPN-сети. Устанавливается в серверную стойку и подключается к сети на границе ЛВС отдела бухгалтерского учета и отчетности таким образом, чтобы разграничивал между собой элементы отдела бухгалтерского учета и отчетности.

1. Режимы функционирования

В СЗИ реализованы следующие режимы функционирования:

• режим установки и конфигурирования;

• рабочий режим.

1. Режим установки и конфигурирования.

Режим установки и конфигурирования предназначен для первичной настройки СЗИ и выполняется на этапе пуско-наладочных работ. В этом режиме происходит настройка СЗИ путем создания правил, редактирования и применения политик, шаблонов. Режим установки и конфигурирования подразумевает работы по установке и начальной настройке установленного программного обеспечения.

1. Установка и настройка СрЗИ от несанкционированного доступа

Установка и настройка Dallas Lock 8.0-K осуществляется в соответствии с эксплуатационной документацией.

Установка производится на все АРМ пользователей ИСПДн отдела бухгалтерского учета и отчетности, на которых обрабатывается ПДн, доступ к которым необходимо ограничить исходя из актуальности угроз информационной безопасности и согласно требованиям, предъявляемым к СЗИ.

Настройка СрЗИ заключается в следующем:

• регистрация пользователя в системе (по 1 легальному пользователю на АРМ 1-5. На АРМ 5 пользователей в соответствии с таблицей 4.1 настоящего проекта);

• задание пароля пользователя не менее 6 буквенно-цифровых символов;

• алфавит пароля не менее 30 символов для АРМ 1-4 и не менее 60 символов для АРМ 5 Администратора;

• максимальное количество неуспешных попыток аутентификации (ввода неправильного пароля) до блокировки от 3 до 10 попыток;

• блокировка АРМ пользователя в случае достижения установленного максимального количества неуспешных попыток аутентификации на 15 минут для АРМ 1-4 и на 30 минут для АРМ 5 Администратора;

• смена пароля через каждые 180 дней для 1-4 и через каждые 120 дней для АРМ 5 Администратора;

• настройка параметров гашения экрана монитора через 5 минут неактивности пользователя;

• настройка параметров выхода из системы через 15 минут неактивности пользователя;

• настройка параметров регистрации входа и выхода пользователя в систему и из системы;

• настройка параметров регистрации и учета событий, связанных с действием пользователя, с указанием имени пользователя, времени совершенного события и результата успешности или не успешности события;

• создание списка компонентов системы и модулей СрЗИ, которые необходимо поставить на контроль целостности;

• получение контрольной суммы файлов, поставленных на контроль целостности;

• настройка ежедневной быстрой проверки АРМ и настройка еженедельной полной проверки АРМ на наличие вирусов и вредоносных программ;

• настройка ежедневного обновления антивирусных баз и компонентов антивирусной системы;

• настройка проверки съемных носителей при подключении к АРМ на наличие вирусов и вредоносных программ;

• настройка блокирования подключаемых модемов и мобильных устройств;

• настройка функции самотестирования;

• блокирование или уничтожение всех не используемых учетных записей;

• настройка функции блокирования неактивных (неиспользуемых) учетных записей пользователей после 90 дней неиспользования;

• настройка дискреционного метода управления доступом в соответствии с матрицей доступа (см. в таблице 4.2);

• установка пароля BIOS;

• настройка функций разграничения доступа к управлению средством контроля съемных носителей (на основе ролей администраторов);

• настройка функции контроля подключения съемных машинных носителей информации (контроль использования интерфейсов ввода/вывода СВТ, контроль подключаемых типов внешних программно-аппаратных устройств, контроль подключаемых съемных машинных носителей информации);

• настройка функций контроля отчуждения (переноса) информации со съемных машинных носителей информации;

• настройка функций регистрации и учета выполнения функций безопасности средства контроля съемных машинных носителей;

• настройка функций оповещения администратора о событиях, связанных с нарушением безопасности.

1. Установка и настройка средств доверенной загрузки

Установка и настройка средства доверенной загрузки ПАК «Соболь» 3.0 осуществляется в соответствии с эксплуатационной документацией.

Установка производится на все АРМ пользователей, АРМ 5 Администратора ИСПДн и сервера. Настройка осуществляется следующим образом:

• установка платы;

• подключение механизма сторожевого таймера;

• обеспечение идентификации и аутентификации пользователей и администраторов средства доверенной загрузки;

• настройка функций разграничения доступа к управлению средством доверенной загрузки (на основе ролей администраторов);

• регистрация пользователя в системе (по 1 легальному пользователю на АРМ 1-4. На АРМ 5 пользователей в соответствии с таблицей 4.2 настоящего проекта);

• присвоение пользователю персонального идентификатора DS1992;

• настройка функции блокирования загрузки операционной системы с внешних носителей или LiveCD, а также при превышении числа неудачных попыток аутентификации, нарушении целостности средства доверенной загрузки, загружаемой программной среды, состава аппаратных компонентов, при попытках обхода средства доверенной загрузки, при критичных типах сбоев и ошибок;

• максимальное количество неуспешных попыток аутентификации (ввода неправильного пароля) до блокировки от 3 до 10 попыток;

• настройка функций регистрации и учета выполнения функций безопасности средства доверенной загрузки;

• настройка функций самотестирования средства доверенной загрузки;

• настройка функций контроля целостности программного обеспечения;

• настройка функций контроля целостности программной среды и функций контроля компонентов аппаратного обеспечения средства вычислительной техники;

• настройка функций сигнализации о событиях, связанных с нарушением безопасности;

• настройка функций обеспечения недоступности ресурсов средства доверенной загрузки из программной среды средств вычислительной техники после завершения работы средства доверенной загрузки;

• настройка функций обеспечения невозможности отключения (обхода) компонентов средства доверенной загрузки.

1. Установка и настройка средства анализа защищенности

Установка и настройка средства анализа защищенности XSpider 7.8.24 осуществляется в соответствии с эксплуатационной документацией.

Установка производится на АРМ 5 Администратора ИСПДн. Настройка осуществляется следующим образом:

• определение структуры сети;

• настройка правил анализа защищенности сетевых узлов ИСПДн;

• настройка контроля соответствия состояния узлов, ОС и приложений политикам безопасности;

• настройка функций сохранения результатов работы модулей для дальнейшего анализа.

1. Установка и настройка средства межсетевого экранирования и криптографической защиты

Установка и настройка средства межсетевого экранирования и криптографической защиты осуществляется в соответствии с эксплуатационной документацией.

Установка заключается в подключении VipNet Coordinator HW2000 на границе ЛВС отдела бухгалтерского учета и отчетности , клиентской части VipNet Client 4 на АРМ пользователей, сервер и АРМ 5 Администратора ИСПДн. VipNet Administrator 4 устанавливается на АРМ 5 Администратора ИСПДн (см. Приложение Г).

Настройка заключается в следующем:

Межсетевое экранирование:

• настройка сетевых фильтров в соответствии с топологией заданной сети;

• настройка правил фильтрации для необходимых протоколов и портов;

• настройка режимов администрирования межсетевого экрана;

• настройка идентификации администратора безопасности;

• настройка регистрации событий межсетевого взаимодействия и администрирования межсетевого экрана;

• настройка регистрации изменения правил фильтрации;

• настройка сигнализации событий, связанных с нарушением установленных правил фильтрации.

Средство организации VPN-сети:

• настройка видов доступа, разрешенных для удаленного доступа к объектам доступа информационной системы;

• настройка правил предоставления удаленного доступа только тем пользователям, которым он необходим, и только разрешенным видам доступа;

• настройка регистрации событий удаленного доступа для выявления несанкционированного удаленного доступа к объектам доступа информационной системы.

1. Настройка средства антивирусной защиты

Настройка средства антивирусной защиты осуществляется в соответствии с эксплуатационной документацией.

• настройка ежедневной быстрой проверки АРМ и настройка еженедельной полной проверки АРМ на наличие вирусов и вредоносных программ;

• настройка полной проверки съемного носителя информации при подключении устройства к АРМ;

• настройка ежедневного обновления антивирусных баз и компонентов антивирусной системы;

• настройка списков разрешенных для запуска приложений и запрет остальных;

• настройка функций регистрации и учета выполнения проверок на АРМ пользователей;

• настройка способов выполнения заданных действий по обработке объектов, подвергшихся воздействию (удаление, блокирование, изолирование, перемещение в заданный каталог);

• настройка функции сигнализации пользователям средства антивирусной защиты о событиях, связанных с обнаружением вредоносных компьютерных программ (вирусов).

1. Рабочий режим

Рабочий режим является единственным допустимым режимом штатного функционирования СЗИ. В рабочий режим СЗИ переводится после режима отладки, когда становится ясно, что система функционирует верно и корректно отрабатывает необходимые политики, правила и шаблоны. Рабочий режим обеспечивает независимость функционирования СЗИ от изменений в организационной структуре объектов внедрения при сохранении состава и содержания выполняемых функций. Рабочий режим допускает настройку и изменение конфигурации настроек СрЗИ без перепрограммирования.

1. Рабочий режим управлению сетью

В рабочем режиме возможны ситуации, требующие изменения (дополнения, переопределения) настроек клиентского ПО для его соответствия текущей ситуации в зависимости от работы конкретных компонентов, присутствующих в сети организации. Таким образом, при переводе СЗИ в рабочий режим функционирования предполагается возможность изменения настроек, политик и правил доступа на АРМ пользователей при вводе новых ИТ и регламентов ИБ, смене владельца или изменении структуры сети. При этом, выявление причин неисправности взаимодействия с другими АРМ сети будет возможно производить через систему журналирования и изменения режимов работы агентов.

1. Рабочий режим анализа защищенности

Изменения в настройках ПО в рабочем режиме будут возможны при изменении регламентов безопасности, вводе в эксплуатацию новых сетевых узлов или обновлении парольной базы.

1. Организационные мероприятия по защите персональных данных

В организационно-распорядительной документации регламентируются:

• правила и процедуры идентификации и аутентификации пользователей;

• правила и процедуры управления идентификаторами;

• правила и процедуры управления средствами аутентификации (аутентификационной информацией);

• правила и процедуры управления учетными записями пользователей;

• правила разграничения доступа;

• правила и процедуры применения удаленного доступа;

• правила и процедуры управления взаимодействием с внешними информационными системами;

• состав и содержание информации о событиях безопасности, подлежащих регистрации;

• правила и процедуры сбора, записи и хранения информации о событиях безопасности;

• правила и процедуры защиты информации о событиях безопасности;

• правила и процедуры антивирусной защиты информационной системы;

• правила и процедуры обновления базы данных признаков вредоносных компьютерных программ (вирусов);

• правила и процедуры выявления, анализа и устранения уязвимостей;

• правила и процедуры контроля установки обновлений программного обеспечения;

• правила и процедуры контроля целостности информации;

• правила и процедуры контроля и управления физическим доступом;

• перечень лиц, которым разрешены действия по внесению изменений в конфигурацию информационной системы и системы защиты персональных данных;

• правила и процедуры проведения анализа потенциального воздействия планируемых изменений в конфигурацию информационной системы персональных данных и системы защиты информации;

• документирование информации об изменениях в конфигурации информационной системы персональных данных и системы защиты информации.

Необходима реализация следующих мер:

Характеристики

Список файлов ВКР