Пояснительная записка к ВКР (1209213), страница 6
Текст из файла (страница 6)
Данная мера защиты реализуются путем выполнения следующих действий:
– Определить устройства, подлежащие идентификации и аутентификации до начала информационного взаимодействия;
– Определить способ идентификации устройств в ИС.
Идентификация устройств в информационной системе обеспечивается по логическим именам (имя устройства и (или) ID), логическим адресам (например, IP-адресам) и (или) по физическим адресам (например, МАС-адресам) устройства или по комбинации имени, логического и (или) физического адресов устройства.
При выполнении указанной последовательности действий осуществляется формирование параметров, необходимых для настройки технических средств.
В разработанных методических рекомендациях описанным ранее способом последовательно разобраны все меры защиты, описанные в методическом документе ФСТЭК России «Меры защиты информации в государственных информационных системах».
Разработанный методический документ определяет способы реализации следующих мер защиты:
а) идентификация и аутентификация субъектов доступа и объектов доступа:
1) идентификация и аутентификация пользователей, являющихся сотрудниками оператора;
2) идентификация и аутентификация устройств, в том числе стационарных, мобильных и портативных;
3) управление идентификаторами, в том числе создание, присвоение, уничтожение идентификаторов;
4) управление средствами аутентификации, в том числе хранение, выдача, инициализация, блокирование средств аутентификации и принятие мер в случае утраты и (или) компрометации;
5) защита обратной связи при вводе аутентификационной информации;
6) идентификация и аутентификация пользователей, не являющихся работниками оператора (внешних пользователей);
б) управление доступом субъектов доступа к объектам доступа:
1) управление (заведение, активация, блокирование и уничтожение) учетными записями пользователей, в том числе внешних пользователей;
2) реализация необходимых методов управления доступом (дискреционный, мандатный, ролевой или иной метод), типов ( чтение, запись, выполнение или иной тип) и правил разграничения;
3) разделение полномочий (ролей) пользователей, администраторов и лиц, обеспечивающих функционирование информационной системы;
4) назначение минимально необходимых прав и привилегий пользователям, администраторам и лицам, обеспечивающим функционирование информационной системы;
5) ограничение неуспешных попыток входа в информационную систему (доступа к информационной системе);
6) ограничение числа параллельных сеансов доступа для каждой учетной записи пользователя информационной системы;
7) блокирование сеанса доступа в информационную систему после установленного времени бездействия (неактивности) пользователя или по его запросу;
8) разрешение (запрет) действий пользователей, разрешенных до идентификации и аутентификации;
9) реализация защищенного удаленного доступа субъектов доступа к объектам доступа через внешние информационно-телекоммуникационные сети;
10) регламентация и контроль использования в информационной системе технологий беспроводного доступа;
11) управление взаимодействием с информационными системами сторонних организаций (внешние информационные системы);
12) обеспечение доверенной загрузки средств вычислительной техники;
в) ограничение программной среды:
1) управление запуском (обращениями) компонентов программного обеспечения, в том числе определение запускаемых компонентов, настройка параметров запуска компонентов, контроль за запуском компонентов программного обеспечения;
2) управление установкой (инсталляцией) компонентов программного обеспечения, в том числе определение компонентов, подлежащих установке, настройка параметров установки компонентов, контроль за установкой компонентов программного обеспечения;
3) установка (инсталляция) только разрешенного к использованию программного обеспечения и (или) его компонентов;
г) защита машинных носителей информации:
1) управление доступом к машинным носителям информации;
2) контроль использования интерфейсов ввода (вывода);
3) контроль ввода (вывода) информации на машинные носители информации;
4) контроль подключения машинных носителей информации;
д) регистрация событий безопасности:
1) определение событий безопасности, подлежащих регистрации, и сроков их хранения;
2) сбор, запись и хранение информации о событиях безопасности в течение установленного времени хранения;
3) реагирование на сбои при регистрации событий безопасности, в том числе аппаратные и программные ошибки, сбои в механизмах сбора информации и достижение предела или переполнения объема (емкости) памяти;
4) защита информации о событиях безопасности;
е) обнаружение вторжений:
1) обнаружение вторжений;
ж) обеспечение целостности информационной системы и информации:
1) ограничение прав пользователей по вводу информации в информационную систему;
2) контроль ошибочных действий пользователей по вводу и (или) передаче информации и предупреждение пользователей об ошибочных действиях;
з) обеспечение доступности информации:
1) периодическое резервное копирование информации на резервные машинные носители информации;
и) защита среды виртуализации:
1) идентификация и аутентификация субъектов доступа и объектов доступа в виртуальной инфраструктуре, в том числе администраторов управления средствами виртуализации;
2) управление доступом субъектов доступа к объектам доступа в виртуальной инфраструктуре, в том числе внутри виртуальных машин;
3) регистрация событий безопасности в виртуальной инфраструктуре;
4) доверенная загрузка серверов виртуализации, виртуальной машины (контейнера), серверов управления виртуализацией;
5) резервное копирование данных, резервирование технических средств, программного обеспечения виртуальной инфраструктуры, а также каналов связи внутри виртуальной инфраструктуры;
к) защита информационной системы, ее средств и систем связи и передачи данных:
1) разделение в информационной системе функций по управлению (администрированию) информационной системой, управлению (администрированию) системой защиты информации, функций по обработке информации и иных функций информационной системы;
2) подтверждение происхождения источника информации, получаемой в процессе определения сетевых адресов по сетевым именам или определения сетевых имен по сетевым адресам;
3) обеспечение подлинности сетевых соединений (сеансов взаимодействия), в том числе для защиты от подмены сетевых устройств и сервисов;
4) исключение возможности отрицания пользователем факта отправки информации другому пользователю;
5) исключение возможности отрицания пользователем факта получения информации от другого пользователя;
6) защита архивных файлов, параметров настройки средств защиты информации и программного обеспечения и иных данных, не подлежащих изменению в процессе обработки информации;
7) защита беспроводных соединений, применяемых в информационной системе;
8) исключение доступа пользователя к информации, возникшей в результате действий предыдущего пользователя через реестры, оперативную память, внешние запоминающие устройства и иные общие для пользователей ресурсы информационной системы;
9) прекращение сетевых соединений по их завершении или по истечении заданного оператором временного интервала неактивности сетевого соединения;
10) защита мобильных технических средств, применяемых в информационной системе;
Разработанные методические рекомендации затрагивают меры защиты информации, определяющие методы формирования настроек технических средств защиты информации.
При формировании третьего раздела методических рекомендаций разрабатывались примеры форм для заполнения параметров настройки технических средств защиты информации. Формирование реализовывалось путем объединения в таблицы перечней параметров, необходимых для реализации мер по защите информации.
Ссылки на разработанные формы, приведенные в третьем разделе, указываются в тексте методического документа, непосредственно после мер по защиты информации.
Наглядно процесс разработки форм для заполнения представлен на рисунке 3.2.
Рисунок 3.2 – Формирование таблиц третьего раздела
Данной форма содержит характеристики пользователей ИС. Поля формы разработаны в соответствии с мерами защиты информации.
Поля «Пользователь» и «Внутренние» (1) – определены в соответствии с мерой защиты информации ИАФ.1. Данная мера защиты информации обязывает определить внутренних пользователей ИС. Определение пользователей ведется в соответствии с ОРД организации.
Поле «Учетная запись» (2) – установлено в соответствии с мерой защиты информации ИАФ.1, которая обязывает присвоить пользователям ИС учетные записи.
Поле «Вид доступа» (3) так же установлено в соответствии смерой защиты информации ИАФ.1, обязывающей определить виды доступа для пользователей ИС.
Так же в форму характеристик пользователей ИС включены поля «Идентификатор», «Группа», «Внешние», представленные на рисунке 3.3.
Рисунок 3.3 – Форма характеристик пользователей в соответствии с ИАФ.1, ИАФ.3, ИАФ.6, УПД.2, УПД.11, УПД.13
Поле «Идентификатор» (4) и поле «Период времени неиспользования идентификатора, по истечению которого осуществляется его блокирование» (5) сформированы в соответствии с мерой защиты информации ИАФ.3, которая обязывает:
– сформировать и присвоить идентификаторы пользователям;
– определить период времени неиспользования идентификатора, по истечению которого осуществляется его блокирование.
Поле «Группа» сформировано в соответствии с мерой защиты информации УПД.4, обязывающей объединить пользователей в группы.
Таким образом были разработаны примеры форм для заполнения определенных параметров настройки технических средств защиты информации.
Примером готовой формы для заполнения параметров настройки является таблица 3.3. Данная форма разработана в соответствии с мерами защиты информации ИАФ.4,ИАФ.5, УПД.6.
Таблица 3.3 – Характеристики пароля.
| Характеристика пароля | Значение |
| Длина пароля | |
| Алфавит пароля | |
| Количество попыток ввода неверного пароля до блокировки | |
| Время блокировки программно-технического средства или учетной записи | |
| Срок замены пароля | |
| Отображение вводимых символов условными знаками |
Заполнение данной формы параметров зависит от класса информационной системы. Форма заполняется в соответствии с таблицей 3.1.
Результатом заполнения третьего раздела разработанных методических рекомендаций являются формы с определенными параметрами настройки технических средств защиты информации. Данные формы могут являться приложением к техническому разделу проекта системы защиты.
3.1 Оценка эффективности предложенного решения
Разработанные методические рекомендации имеют практическую ценность, поскольку сотрудники, обеспечивающие безопасность информационных систем, сталкиваются с проблемой определения параметров настройки технических средств защиты информации в условиях большого разнообразия технических средств и различных архитектурных решений информационных систем. Поэтому регламентация методов определения параметров настройки и установки технических средств защиты информации позволит
– сократить финансовые затраты на развертывание и администрирование технических средств защиты информации;
– облегчить внедрение средств защиты информации;
– ускорить процесс обучения сотрудников, осуществляющих настройку и обслуживание технических средств защиты.
Применение разработанных методических рекомендаций на практике позволит минимизировать ошибки при настройке параметров технических средств защиты информации.
Кроме того, стандартизация процесса определения параметров настройки технических средств защиты информации позволит сократить попытки упростить администрирование, исключить формирование некорректных решений настройки, влекущих за собой противоречия с правилами безопасности. В случае упрощение администрирования влекут за собой попытки реализации простого решения, что непосредственно касается вопроса эффективного использования технических средств защиты и выполнения требований законов Российской Федерации в области защиты информации.
Разработанные методические рекомендации позволяют повысить эффективность применения технических средств защиты информации. При практическом применении могут использоваться в качестве приложения к техническому проекту на создание системы защиты информации.
Заключение
В ходе выполнения выпускной квалификационной работы были разработаны методические рекомендации по определению параметров настройки технических средств защиты информации.
Для разработки была проанализирована нормативно-правовая база в области защиты информации, а именно методические рекомендации разработаны в соответствии с приказом ФСТЭК России от 11 февраля 2013г. №17 «Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах». А так же методический документ ФСТЭК России «Меры защиты информации в государственных информационных системах», утвержденный в соответствии с подпунктом 4 пункта 8 Положения о Федеральной службе по техническому и экспортному контролю, утвержденного Указом Президента Российской Федерации от 16 августа 2004 г. № 1085.
Так же был проведен анализ методов настройки рассмотренных технических средств защиты информации, на основе приобретенных в процессе обучения знаний, опыта работы с техническими средствами защиты информации на практических занятиях, производственных и преддипломной практиках.
Разработанные методические рекомендации имеют практическую ценность, поскольку сотрудники, обеспечивающие безопасность информационных систем, сталкиваются с проблемой определения параметров настройки технических средств защиты информации в условиях большого разнообразия технических средств и различных архитектурных решений информационных систем. Поэтому регламентация определения параметров настройки и установки технических средств защиты информации позволит:
– сократить финансовые затраты на развертывание и администрирование технических средств защиты информации;
– облегчить внедрение средств защиты информации;
– ускорить процесс обучения сотрудников, осуществляющих настройку и обслуживание технических средств защиты.
![](https://s.studizba.com/z.php?f=/templates/si/i/noavatar.png&w=100&h=100&t=1"){kind=avatar}
