Пояснительная записка (1209942), страница 7
Текст из файла (страница 7)
При определении перечня средств защиты учитывалось, что в соответствии с требованиями приказа ФСТЭК № 21 для обеспечения третьего уровня защищенности персональных данных применяются средства вычислительной техники не ниже пятого класса; системы обнаружения вторжений и средства антивирусной защиты не ниже пятого класса защиты в случае актуальности угроз третьего типа и отсутствия взаимодействия информационной системы с сетями международного информационного обмена.
Перечень программных и программно-аппаратных средств защиты представлен в таблице 4.3.
Таблица 4.3 – Перечень программных и программно-аппаратных средств защиты
| Тип СЗИ | Наименование СЗИ | № и срок действия сертификата ФСТЭК | Производитель СЗИ |
| Система защиты информации от НСД | Dallas Lock 8.0-С | № 2945, 06.09.2019 | ООО «КОНФИДЕНТ» |
| Программно-аппаратный комплекс доверенной загрузки | СДЗ Dallas Lock | № 3666, 25.11.2019 | ООО «КОНФИДЕНТ» |
| Средство антивирусной защиты | Kaspersky Endpoint Security 10 | № 3025, 05.12.2019 | ЗАО «Лаборатория Касперского» |
| Средство резервного копирования | Veeam Backup & Replication 8.0 | № 3482 23.12.2018 | Veeam Software |
Описание назначений указанных средств защиты приведено в техническом проекте на создание системы защиты биометрических персональных данных в системе видеонаблюдения Управления ДВЖД (приложение Д).
Установка и настройка программных и программно-аппаратных средств защиты проводится в соответствии с эксплуатационной документацией.
Установка средства защиты информации от НСД Dallas Lock 8.0 проводится с учетом следующих ограничений: установка производится в каталог C:\DLLOCK80, на время установки средства защиты необходимо отключить программные антивирусные средства и закрыть все запущенные приложения, так как установка системы потребует принудительной перезагрузки.
После установки средства защиты от НСД Dallas Lock 8.0 необходимо установить значения параметров, удовлетворяющих требованиям к системе защиты видеоинформации, для следующих подсистем: подсистемы управления доступом, подсистемы регистрации и учета, подсистемы администрирования, подсистемы контроля целостности, подсистемы контроля устройств, подсистемы обнаружения вторжений, подсистемы гарантированной зачистки информации.
В подсистеме управления доступом необходимо создать учетные записи для каждого из пользователей системы видеонаблюдения. Регистрировать и удалять пользователей, а также просматривать и редактировать учетные записи может только пользователь, наделенный соответствующими полномочиями по администрированию. Необходимо настроить параметры, определяющие полномочия пользователей на определенные операции в соответствии с дискреционным методом управления доступом. Полномочия пользователей определяются на основании разрешенных действий пользователей (таблица 1.5) и в соответствии с матрицей доступа системы видеонаблюдения, приведенной в техническом проекте на создание системы защиты биометрических персональных данных в системе видеонаблюдения Управления ДВЖД (приложение Д). Необходимо установить следующие параметры входа: максимальное количество ошибок ввода пароля – пять; время блокировки учетной записи в случае ввода неправильного пароля – 15 мин; максимальный срок действия пароля – 42 дня; напоминание о смене пароля – за 14 дней; минимальная длина пароля – шесть символов; необходимость наличия цифр, строчных и прописных букв.
В подсистеме регистрации и учета необходимо настроить следующие параметры: журнал входов в систему, журнал ресурсов, журнал управления политиками безопасности, журнал управления учетными записями, журнал запуска/завершения процессов, журнал событий системы обнаружения вторжений, фиксирование в журнале входов неправильных паролей, аудит устройств, запись в журналы ошибок ОС, ведение аудита системных пользователей.
В подсистеме администрирования необходимо настроить параметры действий администратора системы видеонаблюдения по управлению работой пользователей и действий администратора безопасности по настройке параметров безопасности системы, по контролю объектов файловой системы и устройств, для которых установлены механизмы разграничения доступа, аудита и целостности, по управлению параметрами аудита событий, происходящих в системе, по просмотру журналов событий.
В подсистеме контроля целостности необходимо настроить параметры проверки целостности файловой системы при загрузке ОС, проверки целостности программно-аппаратной среды при загрузке ОС, проверки целостности реестра при загрузке ОС.
В подсистеме контроля устройств необходимо настроить параметры разграничения доступа к подключаемым к системе видеонаблюдения устройствам определенных пользователей или групп пользователей и ведения аудита событий данного доступа. Право для управления дискреционным доступом к устройствам должно быть предоставлено администратору системы видеонаблюдения.
В подсистеме обнаружения вторжений необходимо предоставить доступ к системе обнаружения вторжений администратору безопасности для настройки сигнатур журналов и трафиков.
В подсистеме гарантированной зачистки информации необходимо настроить параметры очистки освобождаемого дискового пространства остаточной информации, очистки файлов подкачки виртуальной памяти, проверки очистки информации.
Установка средства доверенной загрузки СДЗ Dallas Lock проводится с учетом следующих ограничений: перед установкой платы СДЗ Dallas Lock в настройках BIOS необходимо отключить безопасную загрузку, т.е. установить «SecureBoot» в значение «Disabled» или «Other OS», установка платы СДЗ Dallas Lock в системную плату ЭВМ осуществляется в свободный слот PCI-express / mini PCI-express / M.2.
После установки средства доверенной загрузки СДЗ Dallas Lock необходимо произвести настройку компонентов системы, удовлетворяющих требованиям к системе защиты видеоинформации:
-
обеспечить идентификацию и аутентификацию администраторов средств доверенной загрузки;
-
настроить функции разграничения доступа к управлению средством доверенной загрузки на основе ролей администраторов;
-
провести настройку аппаратной идентификации. Для назначения аппаратного идентификатора следует установить драйвер идентификатора DS1992, настроить в системе защиты его считыватели, назначить идентификаторы DS1992 пользователям системы видеонаблюдения;
-
настроить параметры контроля целостности объектов файловой системы;
-
настроить параметры контроля целостности областей жесткого диска;
-
настроить параметры целостности BIOS;
-
настроить параметры контроля целостности объектов аппаратной конфигурации системы видеонаблюдения;
-
настроить параметры авторизации в СДЗ Dallas Lock;
-
настроить параметры регистрации событий, зарегистрированных в ходе работы СДЗ Dallas Lock;
-
настроить параметры выключения/перезагрузки ЭВМ.
Установка средства антивирусной защиты «Kaspersky Endpoint Security 10» проводится с помощью мастера установки дистрибутива продукта. На шаге выбора типа установки необходимо выбрать пункт Выборочная установка. В конце процедуры установки программы при запуске Мастера первоначальной настройки необходимо активировать программу с помощью файла ключа или кода активации.
После установки программы необходимо выполнить настройки следующих параметров антивирусной защиты: защита файловой системы компьютера (файловый антивирус); мониторинг системы; контроль запуска программ; контроль активности программ; защита ресурсов операционной системы и персональных данных; контроль устройств; шифрование данных; обновление баз и модулей программы; проверка компьютера; проверка съемных дисков при подключении к компьютеру; поиск уязвимостей; работа с отчетами; служба уведомлений.
Настройка параметров выполняется с учетом следующих назначений:
-
запуск полной проверки системы проводится раз в две недели;
-
запуск проверки важных областей проводится ежедневно;
-
включен запрос авторизации USB-клавиатур в разделе «параметры защиты»;
-
включена полная проверка съемного носителя информации при подключении к АРМ;
-
настроен источник обновлений и создана локальная папка общего доступа для обновления, а также создан таймер оповещения для необходимости обновления раз в квартал;
-
настроена служба доставки уведомлений на экран;
-
включена защита паролем в блоке дополнительные параметры.
Установка средства резервного копирования Veeam Backup & Replication 8.0 проводится на диск С:\Program Files\Veem\Backup and Replication.
После установки продукта Veeam Backup & Replication необходимо выполнить его конфигурацию посредством развертывания инфраструктуры резервного копирования по сценарию простого развертывания и задать параметры для выполнения резервного копирования; архивирования резервных копий; восстановления виртуальных машин, файлов гостевых операционных систем и файлов виртуальных машин в Veeam Backup & Replication; выполнения репликации, переключения на реплику виртуальной машины и обратное переключение на исходную машину.
4.3 Определение структуры системы защиты
Система защиты видеоинформации структурно состоит из следующих компонентов:
-
серверная компонента;
-
компонента администратора;
-
компонента сотрудников вневедомственной охраны.
Для организации автоматизированной системы защиты использованы аппаратные платформы, использующиеся в системе видеонаблюдения.
Серверная компонента включает сервер, который обеспечивает взаимодействие объектов управления, реализует функции контроля и управления, а также осуществляет обработку, хранение и передачу видеоинформации.
Компонента администратора представляет собой АРМ администратора системы видеонаблюдения и администратора безопасности, с которого осуществляется управление средствами системы видеонаблюдения, средствами защиты.
Компонента сотрудников вневедомственной охраны представляет собой АРМ пользователей, соединенный сетевым оборудованием с видеокамерами, обеспечивающий возможность управления процессом просмотра видеоинформации.
В таблице 4.4 представлены компоненты системы защиты видеоинформации и установленные на них средства защиты.
Таблица 4.4 – Компоненты системы защиты и установленные на них средства защиты
| Компоненты системы защиты | Средства защиты |
| Серверная компонента | – средство защиты от НСД Dallas Lock 8.0-С; – средство доверенной загрузки СДЗ Dallas Lock; – электронный идентификатором DS1992; – средство резервного копирования Veeam Backup & Replication 8.0; – средство антивирусной защиты «Kaspersky Endpoint Security 10». |
| Компонента администратора | – средство защиты от НСД Dallas Lock 8.0-С; – средство доверенной загрузки СДЗ Dallas Lock; – электронный идентификатором DS1992; – средство резервного копирования Veeam Backup & Replication 8.0; – средство антивирусной защиты «Kaspersky Endpoint Security 10». |
| Компонента сотрудников вневедомственной охраны | – средство защиты от НСД Dallas Lock 8.0-С; – средство антивирусной защиты «Kaspersky Endpoint Security 10». |
В настоящий момент в системе видеонаблюдения установлено и настроено средство антивирусной защиты «Антивирус Касперсого 6.0 для Windows».
Эскиз архитектуры системы защиты видеоинформации представлен на рисунке 4.1.
![](https://s.studizba.com/z.php?f=/templates/si/i/noavatar.png&w=100&h=100&t=1"){kind=avatar}
