636329067387170199 (1208537), страница 9
Текст из файла (страница 9)
В случае нарушенияцелостности загрузка ОС невозможна;ведения журнала безопасности, в который записываются все событиябезопасности, происходящие при загрузке и работе компьютера. Записижурнала хранятся в специальной энергонезависимой памяти;блокировки доступа к компьютеру при обнаружении попыткиотключения электронного замка «Соболь» с помощью модуля сторожевоготаймера.1.3.3 XSpider 7.8.24XSpider является сертифицированным средством анализа защищенности.Средство соответствует требованиям руководящих документов по 4 уровнюконтроля отсутствия недекларированных возможностей.В 9 ИСПДн отдела данное средство защиты информации 9 используется для:полной идентификации сервисов на случайных портах; 16определения типов и имен 16 серверов (HTTP, FTP, SMTP, POP3, DNS,SSH) вне зависимости от их ответа на стандартные запросы; 29обработки RPC-сервисов (Windows и *nix) с их полнойидентификацией;проверки слабости парольной защиты; 9проведения проверок на нестандартные DoS-атаки.561.3.4 VipNet Administrator 4ViPNet Administrator 4 — программный комплекс, предназначенный длянастройки и управления защищенной сетью, включающий в себя:ViPNet NCC (Центр управления сетью, ЦУС) — 26 приложение дляконфигурирования и управления виртуальной защищенной сетьюViPNet.ViPNet 26 KCA ( Удостоверяющий и ключевой центр, УКЦ) — 26 приложение,которое выполняет функции центра формирования ключей шифрованияи персональных ключей пользователей.
26Функции Удостоверяющего центра — издание сертификатов дляаутентификации, электронной подписи, шифрования и другихкриптографических операций.Криптографические алгоритмы зависят от используемогокриптопровайдера в данном случае это ViPNet CSP.Функциональные возможности:Создание и изменение структуры защищённой сети, узлов ипользователей, связей между ними;Конфигурирование параметров узлов и полномочий пользователей;Генерация ключевой информации, выпуск ключевых контейнеров,компрометация ключей;Централизованное (групповое или точечное) обновление ПО на узлахзащищённой сети ViPNet;Управление лицензией сети;Управление журналами событий и журналами аудита.1.3.5 VipNet Client 4ViPNet Client – 87 это программный комплекс 87 предназначен для защитырабочих мест корпоративных пользователей.
ViPNet Client надежно защищаетот внешних и внутренних сетевых атак за счет фильтрации трафика. Кроме57того, ПК ViPNet Client обеспечивает защищенную работу с корпоративнымиданными через зашифрованный канал, в том числе для удаленныхпользователей.Возможности:VPN-клиент (шифрование и имитозащита IP-пакетов).Персональный сетевой экран (в версии ViPNet Client for Windows,ViPNet Client for Linux).Контроль сетевой активности приложений и компонентов операционнойсистемы (в версии ViPNet Client for Windows).ViPNet Client работает в составе сети ViPNet и совместим со всемипродуктами линейки ViPNet Network Security.1.3.6 VipNet Coordinator HW2000ViPNet Coordinator HW2000 версии 3- это программно-аппаратныйкомплекс, является универсальным шлюзом безопасности и предоставляетвозможность создать в любой телекоммуникационной инфраструктуре,включая сеть связи общего пользования, распределенную виртуальную сеть(VPN), защищенную от сетевых атак и несанкционированного доступа кинформации.
ПАК ViPNet Coordinator HW2000 версии 3 легкоинсталлируется в существующую инфраструктуру и соответствует самымжестким требованиям по функциональности, удобству эксплуатации,надежности и отказоустойчивости.Возможности:Сервер в защищенной сети ViPNetViPNet VPN-шлюз сетевого уровня (L3): защита соединений сетевогоуровня (OSI) с шифрованием и аутентификацией.ViPNet VPN-шлюз канального уровня (L2): защита соединенийканального уровня (OSI) с шифрованием и аутентификацией.Сервер IP-адресов (оповещение защищенных узлов о параметрах58доступа друг к другу).Маршрутизатор VPN-пакетов (маршрутизация и контроль целостностизашифрованных IP-пакетов, передаваемых между сегментамизащищенной сети).Маскирование структуры трафика за счет инкапсуляция в UDP.Фильтрация трафика (межсетевой экран)Межсетевой экран с контролем состояния сессий и инспекциейприкладных протоколов.
Раздельная настройка фильтрации дляоткрытого и шифруемого IP-трафика.NAT/PAT.Антиспуфинг.Сетевые функцииСтатическая маршрутизация.Поддержка VLAN (dot1q).Сервисные функцииDNS-сервер.NTP-сервер.DHCP-сервер.DHCP-Relay.Поддержка ИБП (UPS).Кластер горячего резервирования: отказоустойчивый координатор вконфигурации ViPNet Failover.Настройка и управлениеУдаленная настройка ViPNet Coordinator с помощью ViPNetAdministrator, системной консоли.Удаленное обновление ПО ViPNet Coordinator с помощью ViPNet59Administrator.Локальная настройка с помощью консоли.1.1Организационные меры защиты информацииВ организационно-распорядительной документации регламентируются:правила и процедуры идентификации и аутентификации пользователей;порядок выдачи и учета электронных идентификаторов;порядок управления учетными записями пользователей;правила разграничения доступа;правила и процедуры применения удаленного доступа;правила и процедуры управления взаимодействием с внешнимиинформационными системами; 22состав и содержание информации о событиях безопасности,подлежащих регистрации; 8правила и процедуры сбора, записи, хранения и защиты информации особытиях безопасности; 19правила и процедуры антивирусной защиты информационной системы;правила и процедуры обновления антивирусных баз;правила и процедуры выявления, анализа и устранения уязвимостей;правила и процедуры контроля установки обновлений программногообеспечения;правила и процедуры контроля целостности информации;порядок физического доступа на контролируемую зону и защищаемыепомещения;порядок внесения изменений в конфигурацию ИСПДн и системузащиты в целом;порядок проведения анализа последствий от изменения конфигурацииИСПДн или СЗИ;документирование информации об изменениях в конфигурации ИСПДн60и СЗИ.Необходима реализация следующих организационных мер:а) контроль доступа в помещения, в которых размещены элементыИСПДн отдела:1) утвердить правил доступа в помещения в рабочее и нерабочее время;2) утвердить перечень сотрудников, имеющих право вскрыватьпомещения в нештатных ситуациях, а также порядок вскрытияпомещений в таких ситуациях;б) обеспечение сохранности съемных машинных носителей ПДн:1) хранить съемные машинные носители ПДн в металлических шкафахили сейфах, запирающихся на ключ и приспособлениями дляопечатывания замочных скважин или кодовыми замками;2) 27 вести учет носителей ПДн с помощью журнала учета носителейперсональных данных;3) осуществлять контроль вноса и выноса в контролируемую зонузарегистрированных (учтенных) съемных носителей информации;в) утверждение директором компании переченя лиц, доступ которых к 27ПДн, обрабатываемым в информационной системе, необходим длявыполнения ими служебных 27 обязанностей:1) определить перечень лиц, которым необходим доступ к 24 ПДн длявыполнения служебных обязанностей;2) разработать и утвердить документ, определяющий перечень лиц,3) 27 поддерживать в актуальном состоянии документ, определяющийперечень лиц;г) 27 назначение лица, ответственного за 12 защиту ПДн, которыеобрабатываются в ИСПДн отдела.1.2 Выполнение набора мер техническими средствами защитыинформации61В таблице 2.4 приведен набор мер, которые реализуются выбраннымитехническими средствами защиты информации.Таблица 2.4 – Содержание мер по обеспечению безопасности информациии технических средств, их реализующихNoмерыМера защиты информации в 15 информационныхсистемахСредства защитыинформацииI.
1 Идентификация и аутентификация субъектов доступа и объектов доступа(ИАФ)ИАФ.1 Идентификация и аутентификацияпользователей, являющихся работникамиоператора 4Dallas Lock 8.0-K, 16ПАК «Соболь»3.0ИАФ.3 Управление идентификаторами, в том числесоздание, присвоение, уничтожениеидентификаторов 4Dallas Lock 8.0-K,ПАК «Соболь»3.0ИАФ.4 Управление средствами аутентификации, в томчисле хранение выдача, инициализация,блокирование средств аутентификации ипринятие мер в случае утраты и (или)компрометации средств аутентификации 4Dallas Lock 8.0-K, 16ПАК «Соболь»3.0ИАФ.5 4 Защита обратной связи при вводеаутентификационной информацииDallas Lock 8.0-K, 16ПАК «Соболь»3.0II. Управление доступом субъектов доступа к объектамдоступа (УПД)УПД.1 Управление (заведение, активация,блокирование и уничтожение) учетнымизаписями пользователей, в том числе внешнихпользователей 4Dallas Lock 8.0-K,ПАК «Соболь»3.0УПД.2 Реализация ролевого метода, типов (чтение,запись, выполнение или иной тип) и правилразграничения доступа 8Dallas Lock 8.0-KУПД.3 Управление (фильтрация, маршрутизация,контроль соединений, однонаправленная 4ViPNetCoordinator62передача и иные способы управления)информационными потоками междуустройствами, сегментами информационнойсистемы, а также между информационнымисистемами 4HW2000 версии3;УПД.4 Разделение обязанностей полномочий (ролей),администраторов и лиц, обеспечивающихфункционирование информационной системы 3Dallas Lock 8.0-K,ПАК «Соболь»3.0УПД.5 Назначение минимально необходимых прав ипривилегий пользователям, администраторам илицам, обеспечивающим функционированиеинформационной системы 4Dallas Lock 8.0-K,организационные 16мерыУПД.6 Ограничение неуспешных попыток входа винформационную систему (доступа кинформационной системе) 19Dallas Lock 8.0-K,ПАК «Соболь»3.0УПД.9 Ограничение числа параллельных сеансовдоступа для каждой учетной записипользователя информационной системы 4Dallas Lock 8.0-KУПД.10Блокирование сеанса доступа винформационную систему послеустановленного времени бездействия(неактивности) пользователя или по его запросу 4Средстваоперационнойсистемы 7УПД.11 10Разрешение действий пользователей,разрешенных до идентификации иаутентификацииDallas Lock 8.0-K 16УПД.13Реализация защищенного удаленного доступасубъектов доступа к объектам доступа черезвнешние информационнотелекоммуникационные сети 4ViPNetCoordinatorHW2000 версии3;ViPNet Client 4;УПД.14Регламентация и контроль использования винформационной системе технологийViPNetCoordinator63беспроводного доступа HW2000 версии3;ViPNet Client 4;ViPNetAdministrator 4УПД.17Обеспечение доверенной загрузки средстввычислительной техники 4ПАК « Соболь»3.0 9III.














