Технический проект (1209944), страница 4
Текст из файла (страница 4)
Перечень программных и программно-аппаратных средств защиты включает:
-
средство защиты от несанкционированного доступа,
-
средство доверенной загрузки,
-
средство антивирусной защиты,
-
средство резервного копирования.
Перечень определенных средств защиты видеоинформации представлен в таблице 4.1.
Таблица 4.1 – Перечень программных и программно-аппаратных средств защиты
| Тип СЗИ | Наименование СЗИ | № и срок действия сертификата ФСТЭК | Производитель СЗИ |
| Система защиты информации от НСД | Dallas Lock 8.0-С | № 2945, 06.09.2019 | ООО «КОНФИДЕНТ» |
| Программно-аппаратный комплекс доверенной загрузки | СДЗ Dallas Lock | № 3666, 25.11.2019 | ООО «КОНФИДЕНТ» |
| Средство антивирусной защиты | Kaspersky Endpoint Security 10 | № 3025, 05.12.2019 | ЗАО «Лаборатория Касперского» |
| Средство резервного копирования | Veeam Backup & Replication 8.0 | № 3482 23.12.2018 | Veeam Software |
Ниже приведено описание функциональных назначений программных и программно-аппаратных комплексов средств защиты видеоинформации.
Система защиты информации от несанкционированного доступа Dallas Lock 8.0-С сертифицирована по 2 уровню контроля НДВ, по 3 классу СВТ, по 3 классу РД МЭ по ТСКН. Система содержит подсистему управления доступом, подсистему контроля устройств, подсистему преобразования информации, подсистему гарантированной зачистки информации, подсистему идентификации и аутентификации, подсистему регистрации и учёта, подсистему администрирования (локального, удаленного и централизованного управления), подсистему контроля целостности, подсистему восстановления после сбоев, подсистему межсетевого экранирования, подсистему обнаружения вторжений. Система защиты от НСД обеспечивает:
-
защиту информации от несанкционированного доступа на персональных компьютерах, портативных и мобильных компьютерах (ноутбуках и планшетных ПК), серверах (файловых, контроллерах домена и терминального доступа), работающих как автономно, так и в составе ЛВС;
-
дискреционный и мандатный принципы разграничения доступа к информационным ресурсам и подключаемым устройствам;
-
аудит действий пользователей – санкционированных и без соответствующих прав, ведение журналов регистрации событий;
-
контроль съемных носителей, сертифицированных в соответствии с требованиями к средствам контроля съемных машинных носителей информации;
-
контроль целостности файловой системы, программно-аппаратной среды и реестра;
-
объединение защищенных ПК для централизованного управления механизмами безопасности;
-
приведение АС, ГИС, АСУ ТП и систем обработки ПДн в соответствие законодательству РФ по защите информации;
-
возможность интеграции с продуктами компании АО «Лаборатория Касперского».
Программно-аппаратный комплекс доверенной загрузки СДЗ Dallas Lock сертифицирован на соответствие ТСДЗ и обеспечивает:
-
идентификацию и аутентификацию пользователя до выполнения действий по загрузке операционной системы или администратора до выполнения действий по управлению СДЗ;
-
двухфакторную аутентификацию пользователей при совместном использовании СДЗ с аппаратными идентификаторами;
-
автоматическое прохождение идентификации и аутентификации в штатной операционной системе после успешного прохождения авторизации и выполнения загрузки с использованием СДЗ;
-
контроль целостности загружаемой операционной системы, блокирование загрузки операционной системы при нарушении целостности загружаемой программной среды (операционной системы);
-
блокирование загрузки операционной системы при выявлении попыток загрузки нештатной операционной системы;
-
блокировку пользователя при выявлении попыток обхода СДЗ;
-
автоматическую регистрацию событий, относящихся к безопасности компьютера и СДЗ, в соответствующих журналах аудита. Предоставляет возможность защищенного от несанкционированного уничтожения или модификации записей журнала аудита;
-
реагирование на обнаружение событий, указывающих на возможное нарушение безопасности;
-
недоступность ресурсов СДЗ из штатной операционной системы после завершения работы СДЗ;
-
контроль состава компонентов аппаратного обеспечения ПК, основываясь на их идентификационной информации. Блокирует загрузку операционной системы при обнаружении несанкционированного изменения состава аппаратных компонентов СВТ;
-
выполнение перезагрузки ПК при выявлении попыток обхода СДЗ.
Программный продукт «Kaspersky Endpoint Security 10 для Windows» сертифицирован на соответствие требованиям САВЗ и обеспечивает:
-
проверку объектов файловой системы, расположенных на локальных дисках компьютера;
-
проверку объектов файловой системы как в режиме реального времени с помощью задачи постоянной защиты, так и по команде с помощью задач проверки по требованию;
-
проверку загрузочных секторов с помощью задачи проверки загрузочных секторов;
-
проверку памяти процессов с помощью задачи проверки памяти процессов;
-
обнаружение зараженных объектов;
-
оценку объекта как зараженного, если в объекте обнаружен код известного вируса;
-
обезвреживание обнаруженных в файлах угроз с помощью автоматического подбора действий, которые требуется выполнить для нейтрализации угроз;
-
сохранение резервных копий файлов перед лечением или удалением и восстановление файлов из резервных копий;
-
управление задачами постоянной защиты, задачами проверки по требованию, проверки загрузочных секторов, проверки памяти процессов, обновления, задачами отката обновлений и копирования обновлений и настройку их параметров;
-
уведомление администратора о событиях, произошедших во время работы Kaspersky Endpoint Security;
-
обновление базы Kaspersky Endpoint Security с серверов обновлений «Лаборатории Касперского», через сервер администрирования или из указанного пользователем источника по расписанию и по требованию.
Средство резервного копирования Veeam Backup & Replication 8.0 сертифицировано на соответствие РД НДВ по 4 уровню и ТУ и обеспечивает:
-
автономность работы программного обеспечения, не требующего соединения с интернетом, что позволяет развернуть решение в системах, изолированных от сетей общего пользования (в силу требований обеспечения информационной безопасности для организаций, работающих с информацией ограниченного доступа, не относящейся к государственной тайне);
-
резервное копирование данных с предварительной их обработкой перед сохранением в хранилище (репозитории);
-
верификацию резервной копии – проверку сформированных резервных копий на предмет их восстанавливаемости и последующей работоспособности;
-
использование технологий мгновенного восстановления и репликаций данных при возникновении различных аварий и в целях тестирования;
-
архивирование резервных копий на случай их утраты, ведение долговременного архива всех необходимых резервных копий данных;
-
организацию тестовой среды, идентичной рабочей, для снижения рисков развертывания.
5 Структура системы защиты видеоинформации
Система защиты видеоинформации структурно состоит из следующих компонентов:
-
серверная компонента;
-
компонента администратора;
-
компонента сотрудников вневедомственной охраны.
Для организации автоматизированной системы защиты использованы аппаратные платформы, использующиеся в системе видеонаблюдения.
Эскиз архитектуры системы защиты видеоинформации с описанием технологических компонентов системы приведен в приложении 4.
5.1 Серверная компонента
Серверная компонента включает сервер, который обеспечивает взаимодействие объектов управления, реализует функции контроля и управления, а также осуществляет обработку, хранение и передачу видеоинформации.
Система защиты должна обеспечивать защиту видеоинформации, обрабатываемой на сервере, следующими программными и программно-аппаратными средствами защиты:
-
системой защиты информации от несанкционированного доступа Dallas Lock 8.0-С;
-
программно-аппаратным комплексом доверенной загрузки СДЗ Dallas Lock;
-
электронным идентификатором DS1992 для идентификации и аутентификация пользователей;
-
средством резервного копирования Veeam Backup & Replication 8.0;
-
средством антивирусной защиты «Kaspersky Endpoint Security 10 для Windows». На момент разработки проекта установлено и настроено средство антивирусной защиты «Антивирус Касперсого 6.0 для Windows».
5.2 Компонента администратора
Компонента администратора представляет собой АРМ администратора системы видеонаблюдения и администратора безопасности, с которого осуществляется управление средствами системы видеонаблюдения, средствами защиты, управление контроллерами доменов.
Система защиты обеспечивает защиту АРМ администратора следующими программными и программно-аппаратными средствами защиты:
-
системой защиты информации от несанкционированного доступа Dallas Lock 8.0-С;
-
программно-аппаратным комплексом доверенной загрузки СДЗ Dallas Lock;
-
электронным идентификатором DS1992 для идентификации и аутентификация пользователей;
-
средством антивирусной защиты «Kaspersky Endpoint Security 10 для Windows». На момент разработки проекта установлено и настроено средство антивирусной защиты «Антивирус Касперсого 6.0 для Windows».
5.3 Компонента сотрудников вневедомственной охраны
Компонента сотрудников вневедомственной охраны представляет собой АРМ сотрудников вневедомственной охраны, соединенный сетевым оборудованием с видеокамерами, обеспечивающий возможность управления процессом просмотра видеоинформации.
Система защиты обеспечивает защиту АРМ сотрудников вневедомственной охраны следующими программными средствами защиты:
-
системой защиты информации от несанкционированного доступа Dallas Lock 8.0-С;
-
средством антивирусной защиты «Kaspersky Endpoint Security 10 для Windows». На момент разработки проекта установлено и настроено средство антивирусной защиты «Антивирус Касперсого 6.0 для Windows».
6 Установка и настройка средств защиты информации
Установка и настройка средств защиты видеоинформации, обрабатываемой в системе видеонаблюдения, должна проводиться в соответствии с эксплуатационной документацией на систему защиты и документацией на средства защиты видеоинформации.
6.1 Установка и настройка системы защиты видеоинформации от несанкционированного доступа
Система защиты информации от НСД Dallas Lock 8.0 устанавливается на АРМ сотрудников вневедомственной охраны, АРМ администратора и на сервер.
При установке системы выполняются следующие ограничения:
-
установка Dallas Lock 8.0 производится в каталог C:\DLLOCK80;
-
на время установки системы необходимо отключить программные антивирусные средства и закрыть все запущенные приложения, так как установка системы потребует принудительной перезагрузки.
После установки системы защиты необходимо произвести настройку компонентов системы, удовлетворяющих требованиям к системе защиты видеоинформации:
-
подсистему управления доступом
-
подсистему регистрации и учета
-
подсистему администрирования
-
подсистему контроля целостности
-
подсистему контроля устройств
-
подсистему обнаружения вторжений
-
подсистему гарантированной зачистки информации
Для настройки системы защиты необходимо установить значения параметров системы защиты, удовлетворяющих политикам безопасности организации.
Настройка подсистемы управления доступом
Настройка учетных записей
В системе защиты информации от НСД Dallas Lock 8.0-С регистрируются следующие пользователи:
-
сотрудники вневедомственной охраны,
-
администратор системы видеонаблюдения,
-
администратор безопасности.
Для каждого из пользователей необходимо создать учетную запись. Регистрировать и удалять пользователей, а также просматривать и редактировать учетные записи может только пользователь, наделенный соответствующими полномочиями по администрированию.
Настройка прав пользователей
Необходимо настроить параметры, определяющие полномочия пользователей на определенные операции в соответствии с дискреционным методом управления доступом. Полномочия пользователей определяются в соответствии с разрешенными действиями пользователей (таблица 2.2) и матрицей доступа системы видеонаблюдения (таблица 6.1).
Таблица 6.1 – Матрица доступа системы видеонаблюдения
| Субъекты доступа Привилегии и права, ресурс | Администратор системы видеонаблю- дения | Администратор безопасности | Сотрудники вневедомст-венной охраны |
| Привилегии и права | |||
| Изменение настроек политик AD | + | – | – |
| Загрузка ПЭВМ с внешних носителей (доступ к BIOS) | + | – | – |
| Запрет изменения системных файлов АРМ пользователей | - | + | + |
| Изменение личного пароля пользователя | + | – | – |
| Работа с системным журналом ОС | + | + | – |
| Возможность создания личных ресурсов на локальных АРМ | + | + | – |
| Возможность создания ресурсов на сервере | + | – | – |
| Восстановление информационных ресурсов сервера | + | – | – |
| Работа с системным журналом системы защиты | – | + | – |
| Установка, настройка, сопровождение системы защиты | – | + | – |
| Ресурс | |||
| Доступ к общим сетевым ресурсам на АРМ пользователей | RWA | RWA | RWA |
| Доступ к локальным папкам пользователей | RWAXD | – | RWAXD |
| Центральные БД системы видеонаблюдения | RWAXD | – | RX |
| Доступ к средствам управления БД | RWAXD | – | – |
| Доступ к средствам управления системой защиты | – | RWAXDS | – |
Примечания.
– R – разрешение на открытие файлов только для чтения;
![](https://s.studizba.com/z.php?f=/templates/si/i/noavatar.png&w=100&h=100&t=1"){kind=avatar}
