Пояснительная записка Шикова И.А. 24Б (1208568), страница 5
Текст из файла (страница 5)
Таблица 2.1 Финальный набор мер по нейтрализации актуальных угроз
| Организационные и технические меры защиты информации |
| Меры по обеспечению идентификации и аутентификации субъектов доступа и объектов доступа |
| Меры по обеспечению управлением доступом субъектов доступа к объектам доступа |
| Меры по обеспечению защиты машинных носителей информации |
| Меры по обеспечению регистрации событий безопасности |
| Меры по обеспечению антивирусной защиты |
| Меры по обеспечению контролю (анализу) защищенности ПДн |
| Меры по обеспечению целостности информационной системы и ПДн |
| Меры по обеспечению доступности ПДн |
| Меры по обеспечению защиты технических средств |
| Меры по обеспечению защиты ИС, ее средств, систем связи и передачи данных |
| Меры по обеспечению управлением конфигурацией ИС и системы защиты ПДн |
| Меры по криптографической защиты |
Полный перечень состава и содержания дополненного уточненного адаптированного базового набора мер в соответствии с требованиями нормативно правовых актов и технических средств реализующих выполнение данных мер представлен в проектной документации (выписке).
В таблице 2.2 представлены средства защиты информации с помощью которых в ИСПДн реализуются технические меры защиты информации.
Таблица 2.2 – СрЗИ реализующие технические меры в ИСПДн
| Предназначение | Средство |
| Средство анализа защищенности (САЗ) | XSpider 7.8.24 |
| Антивирусное средство | Dr.Web Enterprise Security Suite 10.0 |
| Межсетевое экранирование (МЭ) | АКПШ «Континент 3.7» |
| Средство защиты информации от несанкционированного доступа (СрЗИ от НСД) | Dallas Lock 8.0-С |
В состав организационных мер входят:
-
состав общих требований;
-
меры по работе со съемными носителями информации;
-
меры по размещению технических средств;
-
меры по организации работ по защите информации от НСД;
-
меры по организации работ администратора безопасности.
2.1 Реализация технических мер ЗИ
Полный перечень характеристик технических средств рекомендованных к применению в ИСПДн «ВЗМ-Строй» представлен в проектной документации (выписке).
2.1.1 АПКШ «Континент» 3.7
Данный комплекс предназначается для:
-
обеспечения выполнения функций маршрутизации;
-
межсетевое экранирование;
-
криптографическая защиты трафика на сетевом и канальном уровнях;
-
предотвращения сетевых вторжений.
АПКШ «Континент» 3.7 состоит из функционально законченных программно-аппаратных комплексов в которые входит аппаратная платформа и ПО. С помощью данного комплекса обеспечивается криптографическая защита информации (по ГОСТ 28147–89), которая передается по открытым каналам связи (например между Главным офисом и Филиалом). Данный комплекс имеет сертификат ФСТЭК № 3008, действительный до 1.11.2016
В состав АПКШ «Континент» 3.7 для ИСПДн включены следующие продукты представленные в таблице 2.1.1.1.
Таблица 2.1.1.1 – Состав АПКШ «Континент» 3.7 для ИСПДн «ВЗМ-СТРОЙ»
| Продукт | Модель | Предназначение |
| Центр управления сетью (ЦУС) | IPC-100 (S102) | Управление инфраструктурой АПКШ «Континент». Слежение за состоянием оборудования и VPN-каналов. Фиксация и регистрация инцидентов НСД |
| Криптошлюз | IPC-100 | Обеспечение безопасного подключения локальной сети организации к сети общего пользования. Объединение филиалов компании в единую VPN сеть |
| Сервер доступа и СКЗИ «Континент АП» | IPC-100 (S102) | Обеспечение защищенного доступа в корпоративную сеть мобильных абонентов. |
| Защищенный планшет | «Континент Т-10» | Обеспечивает безопасный удаленный доступ к сети предприятия. Не требует дополнительных СЗИ/СКЗИ |
Центр управления сетью «Континент» 3.7 и Криптошлюз «Континент» 3.7.
Данные средства сертифицированы ФСТЭК России имеют сертификаты за номером 3008 действующие до 01.11.2016 подтверждающие соответствие требованиям руководящих документов по 3 классу защиты для систем обнаружения вторжений, по 2 классу защищенности для межсетевых экранов и по 2 уровню контроля на отсутствие НДВ, а так же сертифицированы ФСБ России сертификаты за номером 124–2617 действующие до 20.05.2018 подтверждающие соответствие требованиям ФСБ России к средствам криптографической защиты информации класса КС3 и возможность применения для криптографической защиты информации, не содержащей сведений, составляющих государственную тайну.
Для встраивания криптосредства класса КС3 если установку осуществляет сам пользователь, необходимо наличии у него соответствующей лицензии ФСБ России, либо установку должна проводить организация имеющая на это соответствующую лицензию ФСБ.
СКЗИ "Континент-АП"
Данное средство сертифицировано ФСТЭК России имеет сертификат за номером 3007 действующий до 01.11.2016 подтверждающий соответствие требованиям руководящих документов по 3 уровню контроля на отсутствие НДВ и 3 классу защищенности для межсетевых экранов.
Защищенный планшет «Континент Т-10»
Данное средство сертифицировано ФСБ России имеет сертификат за номером 124-2554, срок действия до 20.01.2018 подтверждающий соответствие требованиям: ГОСТ 28147-89, ГОСТ Р 34.10-2001 и требованиям ФСБ России к криптографическим средствам класса КС1.
2.1.2 Система ЗИ от НСД Dallas Lock 8.0‑C
DallasLock 8.0‑C это программный комплекс СЗИ от НСД для ОС Windows в его состав так же входит возможность подключения аппаратных идентификаторов (в данном случае используется персональное средство аутентификации eToken pro Java ). Обеспечивает выполнение требований, предъявляемых к идентификации и аутентификации, регистрации событий безопасности, к управлению доступом субъектов доступа к объектам доступа, и контролю целостности системы.
DallasLock 8.0-С обеспечивает:
-
ведение журналов регистрации событий;
-
постоянный аудит действий пользователей;
-
обеспечивает дискреционный принцип разграничения доступа в соответствии со списками пользователей и их правами доступа;
-
обеспечивает ЗИ от НСД циркулирующей в ИС компании;
-
выполнение объединения защищённых ПК для централизованного управления механизмами безопасности;
-
проводит контроль целостности файловой системы и программно-аппаратной среды.
Средство сертифицировано ФСТЭК России, имеет сертификат за номером 2945 действующий до 16.08.2019 и обеспечивает 4 уровень контроля отсутствия НДВ и 5 класс защищённости СВТ.
2.1.3 Средство анализа защищенности XSpider 7.8.24
Возможности САЗ XSpider 7.8.24:
-
возможность контроля изменений на сканируемых узлах;
-
возможность инвентаризации всех сетевых устройств ИСПДн;
-
возможность обработки RPC сервисов с полной идентификацией (точное определение конфигурации компьютера);
-
возможность проведения проверок на нестандартные DoS атаки;
-
возможность одновременного сканирования большого числа узлов сети;
-
возможность ведения полной истории проверок и генерации отчетов.
XSpider используется в ИСПДн «ВЗМ-Строй» для:
-
проведение анализа защищенности рабочих станций компании;
-
проведение анализа защищенности серверов и сетевого оборудования;
-
проведение инвентаризации узлов в сети.
Средство сертифицировано ФСТЭК России имеет сертификат за номером 3247 действующий до 24 октября 2017 года и обеспечивает 4 уровень контроля отсутствия не декларированных возможностей.
2.1.4 Средство антивирусной защиты Dr.Web Enterprise Security Suite 10.0
Данное средство разработано и выпущено Российским производителем антивирусных средств ЗИ. Данный производитель владеет собственными уникальными технологиями детектирования и лечения вредоносных программ.
Его возможности реализуются с помощью внедрения отдельных компонент. Состав необходимых компонент для развертывания антивирусной защиты Учреждения приведен в таблице 2.1.4.1.
Таблица 2.1.4.1 – Состав необходимых компонент антивирусного комплекса
| Название компоненты | Предназначение |
| Центра Управления Dr.Web | Централизованное управление антивирусной защитой всеми узлами принадлежащих компании. |
| Антивирусный сервер | Обеспечивает централизованное управление защитой сети, включая развертывание, обновление вирусных баз и программных модулей компонентов, мониторинг состояния сети, извещения о вирусных событиях, сбор статистики. |
| Антивирусные агенты | Устанавливаются на защищаемые компьютеры, серверы и мобильные устройства. |
Средство сертифицировано ФСТЭК России имеет сертификат за номером 3509, срок действия до 27.01.2019 и обеспечивает 2 уровень контроля отсутствия не декларированных возможностей.
2.2 Технические средства реализующие необходимые меры
В таблице 2.2.1 представлен финальный набор мер и технических средств рекомендуемых к применению, реализующих выполнение определенного набора мер для нейтрализации актуальных угроз безопасности в ИСПДн «ВЗМ-Строй».
Таблица 2.2.1 – Меры и применяемые технические средства реализующие их выполнение
| Мера | ТС выполняющие меру |
| Мера по идентификации и аутентификации субъектов доступа и объектов доступа | |
| Идентификация и аутентификация пользователей, являющихся работниками оператора | Dallas Lock 8.0-С eToken pro Java |
| Управление идентификаторами, в том числе создание, присвоение, уничтожение идентификаторов | Dallas Lock 8.0-С |
| Управление средствами аутентификации, в том числе хранение, выдача, инициализация, блокирование средств аутентификации и принятие мер в случае утраты | Dallas Lock 8.0-С |
| Защита обратной связи при вводе аутентификационной информации | Dallas Lock 8.0-С |
| Управление доступом субъектов доступа к объектам доступа | |
| Управление (заведение, активация, блокирование и уничтожение) учетными записями пользователей. | Dallas Lock 8.0-С |
| Реализация необходимых методов, типов и правил разграничения доступа | Dallas Lock 8.0-С |
| Управление информационными потоками между устройствами, а также между информационными системами | АПКШ «Континент» 3.7 |
| Разделение ролей пользователей, администраторов и лиц, обеспечивающих функционирование ИС | Dallas Lock 8.0-С |
| Назначение минимально необходимых прав и привилегий пользователям, администраторам и лицам, обеспечивающим функционирование ИС | Dallas Lock 8.0-С |
| Ограничение неуспешных попыток входа в ИС | Dallas Lock 8.0-С Средства ОС |
| Блокирование сеанса доступа в ИС после установленного времени бездействия пользователя или по его запросу | Dallas Lock 8.0-С Средства ОС |
| Разрешение (запрет) действий пользователей, разрешенных до идентификации и аутентификации | Dallas Lock 8.0-С |
| Поддержка и сохранение атрибутов безопасности связанных с информацией в процессе ее хранения и обработки | Dallas Lock 8.0-С |
Продолжение таблицы 2.2.1
| Мера | ТС выполняющие меру |
| Управление взаимодействием с ИС сторонних организаций | АКПШ «Континент» 3.7 |
| Защита машинных носителей персональных данных | |
| Уничтожение или обезличивание ПДн на машинных носителях при их передачи между пользователями, в сторонние организации для ремонта или утилизации | Dallas Lock 8.0-С |
| Контроль ввода (вывода) информации на машинные носители персональных данных | Dallas Lock 8.0-С |
| Учет машинных носителей информации | Организационные мероприятия |
| Регистрация событий безопасности | |
| Определение событий безопасности, подлежащих регистрации, и сроков их хранения | Организационные мероприятия |
| Определение состава и содержания информации о событиях безопасности, подлежащих регистрации | Организационные мероприятия |
| Сбор, запись и хранение информации о событиях безопасности в течение установленного времени хранения | Dallas Lock 8.0-С |
| Реагирование на сбои при регистрации событий безопасности, в том числе аппаратные и программные ошибки, сбои в механизмах сбора информации | Dallas Lock 8.0-С |
| Мониторинг (просмотр, анализ) результатов регистрации событий безопасности и реагирование на них | Dallas Lock 8.0-С |
| Генерирование временных меток и (или) синхронизация системного времени в информационной системе | Dallas Lock 8.0-С |
| Защита информации о событиях безопасности | Dallas Lock 8.0-С |
| Антивирусная защита | |
| Реализация антивирусной защиты | Dr.Web Enterprise Security Suite 10.0 |
| Обновление базы данных признаков вредоносных компьютерных программ (вирусов) | Dr.Web Enterprise Security Suite 10.0 |
| Контроль (анализ) защищенности персональных данных | |
| Выявление, анализ уязвимостей информационной системы и оперативное устранение вновь выявленных уязвимостей | XSpider 7.8.24 |
Продолжение таблицы 2.2.1
| Мера | ТС выполняющие меру |
| Контроль установки обновлений программного обеспечения, включая обновление программного обеспечения средств защиты информации | Инструкция администратора безопасности Dallas Lock 8.0-С |
| Контроль правил генерации и смены паролей пользователей, заведения и удаления учетных записей, реализации правил разграничения доступа, полномочий пользователей в ИС | Инструкция администратора безопасности Dallas Lock 8.0-С |
| Контроль состава технических средств, ПО и средств ЗИ | Dallas Lock 8.0-С |
| Контроль работоспособности, параметров настройки и правильности функционирования ПО и средств ЗИ | Dallas Lock 8.0-С |
| Обеспечение целостности информационной системы и персональных данных | |
| Контроль целостности ПДн, содержащихся в базах ИС | Dallas Lock 8.0-С |
| Контроль ошибочных действий пользователей по вводу и передаче ПДн и предупреждение пользователей об ошибочных действиях | Средства ОС |
| Обеспечение возможности восстановления ПО, включая ПО СрЗИ, при возникновении нештатных ситуаций | Инструкция админа безопасности |
| Обеспечение доступности персональных данных | |
| Резервирование технических средств, программного обеспечения, каналов передачи информации, средств обеспечения функционирования информационной системы | Инструкция администратора безопасности |
| Защита технических средств | |
| Контроль и управление физическим доступом к ТС, средствам ЗИ исключающие НСД к средствам обеспечения функционирования, а также в помещения и сооружения, в которых они установлены | Организационные мероприятия |
| Размещение устройств отображения информации, исключающее ее несанкционированный просмотр | Организационные мероприятия |
| Защита информационной системы, ее средств, систем связи и передачи данных | |
| Разбиение ИС на сегменты и обеспечение защиты периметров сегментов информационной системы | Организационные меры |
Окончание таблицы 2.2.1
| Мера | ТС выполняющие меру |
| Обеспечение защиты ПДн от раскрытия, модификации и навязывания при ее передаче (подготовке к передаче) по каналам связи, имеющим выход за пределы КЗ | АКПШ «Континент» 3.7 |
| Управление конфигурацией ИС и системы защиты персональных данных | |
| Определение лиц, которым разрешены действия по внесению изменений в конфигурацию ИС и системы защиты ПДн | Организационные мероприятия |
| Управление изменениями конфигурации ИС и системы защиты персональных данных | Dallas Lock 8.0-С Инструкция админа безопасности |
| Документирование информации об изменениях в конфигурации ИС и системы защиты ПДн | Организационные мероприятия |
| Анализ потенциального воздействия планируемых изменений в конфигурации ИС и системы защиты ПДн, обеспечение защиты ПДн и согласование изменений с должностным лицом, ответственным за ЗИ | Организационные мероприятия |
| Криптографическая защита | |
| Шифрование данных при передаче и содержащихся в областях оперативной памяти | АКПШ «Континент» 3.7 |
| Защита электронной подписи | АКПШ «Континент» 3.7 |
| Защита TLS-соединений | АКПШ «Континент» 3.7 |
2.3 Реализация организационных мер ЗИ
2.3.1 Состав общих требований
В состав организационных мероприятий по обеспечению ИБ компании входят такие мероприятия как организация деятельности персонала, организация порядка эксплуатации ТС системы в помещениях, организация контроля утечки защищаемой информации, а так же систематическое выполнение мер по недопущению вывода системы из строя.















