Пояснительная записка (1208543), страница 7
Текст из файла (страница 7)
В ИСПДн отдела данное средство защиты информации используется для:
-
полной идентификации сервисов на случайных портах;
-
определения типов и имен серверов (HTTP, FTP, SMTP, POP3, DNS, SSH) вне зависимости от их ответа на стандартные запросы;
-
обработки RPC-сервисов (Windows и *nix) с их полной идентификацией;
-
проверки слабости парольной защиты;
-
проведения проверок на нестандартные DoS-атаки.
-
VipNet Administrator 4
ViPNet Administrator 4 — программный комплекс, предназначенный для настройки и управления защищенной сетью, включающий в себя:
-
ViPNet NCC (Центр управления сетью, ЦУС) — приложение для конфигурирования и управления виртуальной защищенной сетью ViPNet.
-
ViPNet KCA (Удостоверяющий и ключевой центр, УКЦ) — приложение, которое выполняет функции центра формирования ключей шифрования и персональных ключей пользователей.
-
Функции Удостоверяющего центра — издание сертификатов для аутентификации, электронной подписи, шифрования и других криптографических операций.
-
Криптографические алгоритмы зависят от используемого криптопровайдера в данном случае это ViPNet CSP.
Функциональные возможности:
-
создание и изменение структуры защищённой сети, узлов и пользователей, связей между ними;
-
конфигурирование параметров узлов и полномочий пользователей;
-
генерация ключевой информации, выпуск ключевых контейнеров, компрометация ключей;
-
централизованное (групповое или точечное) обновление ПО на узлах защищённой сети ViPNet;
-
управление лицензией сети;
-
управление журналами событий и журналами аудита.
-
VipNet Client 4
ViPNet Client – это программный комплекс предназначен для защиты рабочих мест корпоративных пользователей. ViPNet Client надежно защищает от внешних и внутренних сетевых атак за счет фильтрации трафика. Кроме того, ПК ViPNet Client обеспечивает защищенную работу с корпоративными данными через зашифрованный канал, в том числе для удаленных пользователей.
Возможности:
-
VPN-клиент (шифрование и имитозащита IP-пакетов);
-
персональный сетевой экран (в версии ViPNet Client for Windows, ViPNet Client for Linux);
-
контроль сетевой активности приложений и компонентов операционной системы (в версии ViPNet Client for Windows);
-
ViPNet Client работает в составе сети ViPNet и совместим со всеми продуктами линейки ViPNet Network Security.
-
VipNet Coordinator HW2000
ViPNet Coordinator HW2000 версии 3- это программно-аппаратный комплекс, является универсальным шлюзом безопасности и предоставляет возможность создать в любой телекоммуникационной инфраструктуре, включая сеть связи общего пользования, распределенную виртуальную сеть (VPN), защищенную от сетевых атак и несанкционированного доступа к информации. ПАК ViPNet Coordinator HW2000 версии 3 легко инсталлируется в существующую инфраструктуру и соответствует самым жестким требованиям по функциональности, удобству эксплуатации, надежности и отказоустойчивости.
Возможности:
-
Сервер в защищенной сети ViPNet:
-
ViPNet VPN-шлюз сетевого уровня (L3): защита соединений сетевого уровня (OSI) с шифрованием и аутентификацией;
-
ViPNet VPN-шлюз канального уровня (L2): защита соединений канального уровня (OSI) с шифрованием и аутентификацией;
-
сервер IP-адресов (оповещение защищенных узлов о параметрах доступа друг к другу);
-
маршрутизатор VPN-пакетов (маршрутизация и контроль целостности зашифрованных IP-пакетов, передаваемых между сегментами защищенной сети);
-
маскирование структуры трафика за счет инкапсуляция в UDP.
-
Фильтрация трафика (межсетевой экран):
-
межсетевой экран с контролем состояния сессий и инспекцией прикладных протоколов. Раздельная настройка фильтрации для открытого и шифруемого IP-трафика;
-
NAT/PAT;
-
антиспуфинг;
-
Сетевые функции:
-
статическая маршрутизация;
-
поддержка VLAN (dot1q).
-
Сервисные функции:
-
DNS-сервер;
-
NTP-сервер;
-
DHCP-сервер;
-
DHCP-Relay;
-
поддержка ИБП (UPS);
-
кластер горячего резервирования: отказоустойчивый координатор в конфигурации ViPNet Failover.
-
Настройка и управление:
-
удаленная настройка ViPNet Coordinator с помощью ViPNet Administrator, системной консоли;
-
удаленное обновление ПО ViPNet Coordinator с помощью ViPNet Administrator;
-
локальная настройка с помощью консоли.
-
Организационные меры защиты информации
В организационно-распорядительной документации регламентируются:
-
правила и процедуры идентификации и аутентификации пользователей;
-
порядок выдачи и учета электронных идентификаторов;
-
порядок управления учетными записями пользователей;
-
правила разграничения доступа;
-
правила и процедуры применения удаленного доступа;
-
правила и процедуры управления взаимодействием с внешними информационными системами;
-
состав и содержание информации о событиях безопасности, подлежащих регистрации;
-
правила и процедуры сбора, записи, хранения и защиты информации о событиях безопасности;
-
правила и процедуры антивирусной защиты информационной системы;
-
правила и процедуры обновления антивирусных баз;
-
правила и процедуры выявления, анализа и устранения уязвимостей;
-
правила и процедуры контроля установки обновлений программного обеспечения;
-
правила и процедуры контроля целостности информации;
-
порядок физического доступа на контролируемую зону и защищаемые помещения;
-
порядок внесения изменений в конфигурацию ИСПДн и систему защиты в целом;
-
порядок проведения анализа последствий от изменения конфигурации ИСПДн или СЗИ;
-
документирование информации об изменениях в конфигурации ИСПДн и СЗИ.
Необходима реализация следующих организационных мер:
а) контроль доступа в помещения, в которых размещены элементы ИСПДн отдела:
-
утвердить правил доступа в помещения в рабочее и нерабочее время;
-
утвердить перечень сотрудников, имеющих право вскрывать помещения в нештатных ситуациях, а также порядок вскрытия помещений в таких ситуациях;
б) обеспечение сохранности съемных машинных носителей ПДн:
-
хранить съемные машинные носители ПДн в металлических шкафах или сейфах, запирающихся на ключ и приспособлениями для опечатывания замочных скважин или кодовыми замками;
-
вести учет носителей ПДн с помощью журнала учета носителей персональных данных;
-
осуществлять контроль вноса и выноса в контролируемую зону зарегистрированных (учтенных) съемных носителей информации;
в) утверждение директором компании переченя лиц, доступ которых к ПДн, обрабатываемым в информационной системе, необходим для выполнения ими служебных обязанностей:
-
определить перечень лиц, которым необходим доступ к ПДн для выполнения служебных обязанностей;
-
разработать и утвердить документ, определяющий перечень лиц,
-
поддерживать в актуальном состоянии документ, определяющий перечень лиц;
г) назначение лица, ответственного за защиту ПДн, которые обрабатываются в ИСПДн отдела.
-
Выполнение набора мер техническими средствами защиты информации
В таблице 2.4 приведен набор мер, которые реализуются выбранными техническими средствами защиты информации.
Таблица 2.4 – Содержание мер по обеспечению безопасности информации и технических средств, их реализующих
| № меры | Мера защиты информации в информационных системах | Средства защиты информации |
| I. Идентификация и аутентификация субъектов доступа и объектов доступа (ИАФ) | ||
| ИАФ.1 | Идентификация и аутентификация пользователей, являющихся работниками оператора | Dallas Lock 8.0-K, ПАК «Соболь» 3.0 |
| ИАФ.3 | Управление идентификаторами, в том числе создание, присвоение, уничтожение идентификаторов | Dallas Lock 8.0-K, ПАК «Соболь» 3.0 |
| ИАФ.4 | Управление средствами аутентификации, в том числе хранение выдача, инициализация, блокирование средств аутентификации и принятие мер в случае утраты и (или) компрометации средств аутентификации | Dallas Lock 8.0-K, ПАК «Соболь» 3.0 |
| ИАФ.5 | Защита обратной связи при вводе аутентификационной информации | Dallas Lock 8.0-K, ПАК «Соболь» 3.0 |
| II. Управление доступом субъектов доступа к объектам доступа (УПД) | ||
| УПД.1 | Управление (заведение, активация, блокирование и уничтожение) учетными записями пользователей, в том числе внешних пользователей | Dallas Lock 8.0-K, ПАК «Соболь» 3.0 |
| УПД.2 | Реализация ролевого метода, типов (чтение, запись, выполнение или иной тип) и правил разграничения доступа | Dallas Lock 8.0-K |
| УПД.3 | Управление (фильтрация, маршрутизация, контроль соединений, однонаправленная передача и иные способы управления) информационными потоками между устройствами, сегментами информационной системы, а также между информационными системами | ViPNet Coordinator HW2000 версии 3 ; |
| УПД.4 | Разделение обязанностей полномочий (ролей), администраторов и лиц, обеспечивающих функционирование информационной системы | Dallas Lock 8.0-K, ПАК «Соболь» 3.0 |
| УПД.5 | Назначение минимально необходимых прав и привилегий пользователям, администраторам и лицам, обеспечивающим функционирование информационной системы | Dallas Lock 8.0-K, организационные меры |
| УПД.6 | Ограничение неуспешных попыток входа в информационную систему (доступа к информационной системе) | Dallas Lock 8.0-K, ПАК «Соболь» 3.0 |
| УПД.9 | Ограничение числа параллельных сеансов доступа для каждой учетной записи пользователя информационной системы | Dallas Lock 8.0-K |
| УПД.10 | Блокирование сеанса доступа в информационную систему после установленного времени бездействия (неактивности) пользователя или по его запросу | Средства операционной системы |
| УПД.11 | Разрешение действий пользователей, разрешенных до идентификации и аутентификации | Dallas Lock 8.0-K |
| УПД.13 | Реализация защищенного удаленного доступа субъектов доступа к объектам доступа через внешние информационно-телекоммуникационные сети | ViPNet Coordinator HW2000 версии 3 ; ViPNet Client 4; |
| УПД.14 | Регламентация и контроль использования в информационной системе технологий беспроводного доступа | ViPNet Coordinator HW2000 версии 3 ; ViPNet Client 4; ViPNet Administrator 4 |
| УПД.17 | Обеспечение доверенной загрузки средств вычислительной техники | ПАК «Соболь» 3.0 |
| III. Ограничение программной среды (ОПС) | ||
| ОПС.1 | Управление запуском (обращениями) компонентов программного обеспечения, в том числе определение запускаемых компонентов, настройка параметров запуска компонентов, контроль за запуском компонентов программного обеспечения | Средства контроллера домена |
| ОПС.2 | Управление установкой (инсталляцией) компонентов программного обеспечения, в том числе определение компонентов, подлежащих установке, настройка параметров установки компонентов, контроль за установкой компонентов программного обеспечения | Средства контроллера домена |
| ОПС.3 | Установка (инсталляция) только разрешенного к использованию программного обеспечения и (или) его компонентов | Средства контроллера домена |
| ОПС.4 | Управление временными файлами, в том числе запрет, разрешение, перенаправление записи, удаление временных файлов | Средства операционной системы |
| IV. Защита машинных носителей информации (ЗНИ) | ||
| ЗНИ.1 | Учет машинных носителей информации | Dallas Lock 8.0-K, Организационные меры |
| ЗНИ.2 | Управление доступом к машинным носителям информации | Организационные меры |
| ЗНИ.3 | Контроль перемещения машинных носителей информации за пределы контролируемой зоны | Организационные меры |
| ЗНИ.8 | Уничтожение (стирание) информации на машинных носителях при их передаче между пользователями, в сторонние организации для ремонта или утилизации, а также контроль уничтожения (стирания) | Dallas Lock 8.0-K |
| V. Регистрация событий безопасности (РСБ) | ||
| РСБ.1 | Определение событий безопасности, подлежащих регистрации, и сроков их хранения | Dallas Lock 8.0-K, ПАК «Соболь» 3.0, организационные меры |
| РСБ.2 | Определение состава и содержания информации о событиях безопасности, подлежащих регистрации | Dallas Lock 8.0-K, организационные меры |
| РСБ.3 | Сбор, запись и хранение информации о событиях безопасности в течение установленного времени хранения | Dallas Lock 8.0-K, ПАК «Соболь» 3.0, организационные меры |
| РСБ.4 | Реагирование на сбои при регистрации событий безопасности, в том числе аппаратные и программные ошибки, сбои в механизмах сбора информации и достижение предела или переполнения объема (емкости) памяти | Dallas Lock 8.0-K, ПАК «Соболь» 3.0 |
| РСБ.5 | Мониторинг (просмотр, анализ) результатов регистрации событий безопасности и реагирование на них | Dallas Lock 8.0-K, ПАК «Соболь» 3.0 |
| РСБ.6 | Генерирование временных меток и (или) синхронизация системного времени в информационной системе | Средства контроллера домена |
| РСБ.7 | Защита информации о событиях безопасности | Dallas Lock 8.0-K, ПАК «Соболь» 3.0 |
| РСБ.8 | Обеспечение возможности просмотра и анализа информации о действиях отдельных пользователей в информационной системе | Dallas Lock 8.0-K, ПАК «Соболь» 3.0, организационные меры |
| VI. Антивирусная защита (АВЗ) | ||
| АВЗ.1 | Реализация антивирусной защиты | Антивирус Касперского 6.0 для Windows |
| АВЗ.2 | Обновление базы данных признаков вредоносных компьютерных программ (вирусов) | Антивирус Касперского 6.0 для Windows |
| VII. Обнаружение вторжений (СОВ) | ||
| СОВ.1 | Обнаружение вторжений | Dallas Lock 8.0-K |
| СОВ.2 | Обновление базы решающих правил | Dallas Lock 8.0-K |
| VIII. Контроль (анализ) защищенности информации (АНЗ) | ||
| АНЗ.1 | Выявление, анализ уязвимостей информационной системы и оперативное устранение вновь выявленных уязвимостей | XSpider 7.8.24 |
| АНЗ.2 | Контроль установки обновлений программного обеспечения, включая обновление программного обеспечения средств защиты информации | Организационно-технические меры |
| АНЗ.3 | Контроль работоспособности, параметров настройки и правильности функционирования программного обеспечения и средств защиты информации | Dallas Lock 8.0-K, ПАК «Соболь» 3.0, организационные меры |
| АНЗ.4 | Контроль состава технических средств, программного обеспечения и средств защиты информации | Dallas Lock 8.0-K, ПАК «Соболь» 3.0, организационные меры |
| АНЗ.5 | Контроль правил генерации и смены паролей пользователей, заведения и удаления учетных записей пользователей, реализации правил разграничения доступом, полномочий пользователей в информационной системе | Dallas Lock 8.0-K, организационные меры |
| IX. Обеспечение целостности информационной системы и информации (ОЦЛ) | ||
| ОЦЛ.1 | Контроль целостности программного обеспечения, включая программное обеспечение средств защиты информации | Dallas Lock 8.0-K, организационные меры |
| ОЦЛ.3 | Обеспечение возможности восстановления программного обеспечения, включая программное обеспечение средств защиты информации, при возникновении нештатных ситуаций | Dallas Lock 8.0-K |
| ОЦЛ.6 | Ограничение прав пользователей по вводу информации в информационную систему | Dallas Lock 8.0-K |
| X. Обеспечение доступности информации (ОДТ) | ||
| ОДТ.2 | Резервирование технических средств, программного обеспечения, каналов передачи информации, средств обеспечения функционирования информационной системы | Организационно-технические меры |
| ОДТ.3 | Контроль безотказного функционирования технических средств, обнаружение и локализация отказов функционирования, принятие мер по восстановлению отказавших средств и их тестирование | Организационно-технические меры |
| ОДТ.4 | Периодическое резервное копирование информации на резервные машинные носители информации | Acronis Backup & Recovery 11 |
| ОДТ.5 | Обеспечение возможности восстановления информации с резервных машинных носителей информации (резервных копий) в течении установленного временного интервала | Acronis Backup & Recovery 11 |
| XII. Защита технических средств (ЗТС) | ||
| ЗТС.2 | Организация контролируемой зоны, в пределах которой постоянно размещаются стационарные технические средства, обрабатывающие информацию, и средства защиты информации, а также средства обеспечения функционирования | Организационные меры |
| ЗТС.3 | Контроль и управление физическим доступом к техническим средствам, средствам защиты информации, средствам обеспечения функционирования, а также в помещения и сооружения, в которых они установлены, исключающие несанкционированный физический доступ к средствам обработки информации, средствам защиты информации и средствам обеспечения функционирования информационной системы и помещения и сооружения, в которых они установлены | Организационные меры |
| ЗТС.4 | Размещение устройств вывода (отображения) информации, исключающее ее несанкционированный просмотр | Организационные меры |
| ЗТС.5 | Защита от внешних воздействий (воздействий окружающей среды, нестабильности электроснабжения, кондиционирования и иных внешних факторов) | Организационно-технические меры |
| XIII. Защита информационной системы, ее средств, систем связи и передачи данных (ЗИС) | ||
| ЗИС.1 | Разделение в информационной системе функций по управлению (администрированию) информационной системой, управлению (администрированию) системой защиты информации, функций по обработке информации и иных функций информационной системы | Организационно-технические меры |
| ЗИС.3 | Обеспечение защиты персональных данных от раскрытия, модификации и навязывания (ввода ложной информации) при ее передаче (подготовке к передаче) по каналам связи, имеющим выход за пределы контролируемой зоны, в том числе беспроводным каналам связи | ViPNet Coordinator HW2000 версии 3 ; ViPNet Client 4; ViPNet Administrator 4 |
| ЗИС.4 | Обеспечение доверенных канала, маршрута между администратором, пользователем и средствами защиты информации (функциями безопасности средств защиты информации) | ViPNet Coordinator HW2000 версии 3 ; ViPNet Client 4; ViPNet Administrator 4 |
| ЗИС.10 | Подтверждение происхождения источника информации, получаемой в процессе определения сетевых адресов по сетевым именам или определения сетевых имен по сетевым адресам | ViPNet Coordinator HW2000 версии 3 ; ViPNet Client 4; ViPNet Administrator 4 |
| ЗИС.11 | Обеспечение подлинности сетевых соединений (сеансов взаимодействия), в том числе для защиты от подмены сетевых устройств и сервисов | ViPNet Coordinator HW2000 версии 3 ; ViPNet Client 4; ViPNet Administrator 4 |
| ЗИС.15 | Защита архивных файлов, параметров настройки средств защиты информации и программного обеспечения и иных данных, не подлежащих изменению в процессе обработки информации | Dallas Lock 8.0-K |
| ЗИС.16 | Выявление, анализ и блокирование в информационной системе скрытых каналов передачи информации в обход реализованных мер защиты информации или внутри разрешенных сетевых протоколов | ViPNet Coordinator HW2000 версии 3 ; ViPNet Client 4; ViPNet Administrator 4 |
| ЗИС.19 | Изоляция процессов (выполнение программ) в выделенной области памяти | Dallas Lock 8.0-K |
| ЗИС.20 | Защита беспроводных соединений, применяемых в информационной системе | ViPNet Coordinator HW2000 версии 3 ; ViPNet Client 4; ViPNet Administrator 4 |
| ЗИС.21 | Исключение доступа пользователя к информации, возникшей в результате действий предыдущего пользователя через реестры, оперативную память, внешние запоминающие устройства и иные общие для пользователей ресурсы информационной системы | Dallas Lock 8.0-K |
| ЗИС.22 | Защита информационной системы от угроз безопасности информации, направленных на отказ в обслуживании информационной системы | Организационно-технические меры |
| ЗИС.23 | Защита периметра (физических и (или) логических границ) информационной системы при ее взаимодействии с иными информационными системами и информационно-телекоммуникационными сетями | АПКШ «Континент» |
| ЗИС.24 | Прекращение сетевых соединений по их завершении или по истечении заданного оператором временного интервала неактивности сетевого соединения | Организационные меры |
| ЗИС.28 | Воспроизведение ложных и (или) скрытие истинных отдельных информационных технологий и (или) структурно-функциональных характеристик информационной системы или ее сегментов, обеспечивающее навязывание у нарушителя ложного представления об истинных информационных технологиях и (или) структурно-функциональных характеристиках информационной системы | |
| РСБ.1 | Определение событий безопасности, подлежащих регистрации, и сроков их хранения | Dallas Lock 8.0-K, ПАК «Соболь» 3.0, организационные меры |
| РСБ.2 | Определение состава и содержания информации о событиях безопасности, подлежащих регистрации | Dallas Lock 8.0-K, организационные меры |
| РСБ.З | Сбор, запись и хранение информации о событиях безопасности в течение установленного времени хранения | Dallas Lock 8.0-K, ПАК «Соболь» 3.0, организационные меры |
| РСБ.4 | Реагирование на сбои при регистрации событий безопасности, в том числе аппаратные и программные ошибки, сбои в механизмах сбора информации и достижение предела или переполнения объема (емкости) памяти | Dallas Lock 8.0-K, ПАК «Соболь» 3.0 |
| РСБ.5 | Мониторинг (просмотр, анализ) результатов регистрации событий безопасности и реагирование на них | Dallas Lock 8.0-K, ПАК «Соболь» 3.0; Детектор поля ST 111. |
| РСБ. 7 | Защита информации о событиях безопасности | Dallas Lock 8.0-K, ПАК «Соболь» 3.0 |
-
Профиль системы защиты персональных данных
Таким образом, установка средств защиты информации производилась в соответствии со схемой, представленной на рисунке 2.1. Перечень АРМ пользователей, серверы и АРМ Администратора с указанием местоположения и необходимых для установки и настройки средств защиты информации представлен в таблице Д.1 приложения Д.
![](https://s.studizba.com/z.php?f=/templates/si/i/noavatar.png&w=100&h=100&t=1"){kind=avatar}
