5. Технический проект (1209952), страница 5
Текст из файла (страница 5)
Настройка заключается в следующем:
Межсетевое экранирование:
-
настройка сетевых фильтров в соответствии с топологией заданной сети;
-
настройка правил фильтрации для необходимых протоколов и портов;
-
настройка режимов администрирования межсетевого экрана;
-
настройка идентификации администратора безопасности;
-
настройка регистрации событий межсетевого взаимодействия и администрирования межсетевого экрана;
-
настройка регистрации изменения правил фильтрации;
-
настройка сигнализации событий, связанных с нарушением установленных правил фильтрации.
Средство организации VPN-сети:
-
настройка видов доступа, разрешенных для удаленного доступа к объектам доступа информационной системы;
-
настройка правил предоставления удаленного доступа только тем пользователям, которым он необходим, и только разрешенным видам доступа;
-
настройка регистрации событий удаленного доступа для выявления несанкционированного удаленного доступа к объектам доступа информационной системы.
-
Настройка средства антивирусной защиты
Настройка средства антивирусной защиты осуществляется в соответствии с эксплуатационной документацией.
-
настройка ежедневной быстрой проверки АРМ и настройка еженедельной полной проверки АРМ на наличие вирусов и вредоносных программ;
-
настройка полной проверки съемного носителя информации при подключении устройства к АРМ;
-
настройка ежедневного обновления антивирусных баз и компонентов антивирусной системы;
-
настройка списков разрешенных для запуска приложений и запрет остальных;
-
настройка функций регистрации и учета выполнения проверок на АРМ пользователей;
-
настройка способов выполнения заданных действий по обработке объектов, подвергшихся воздействию (удаление, блокирование, изолирование, перемещение в заданный каталог);
-
настройка функции сигнализации пользователям средства антивирусной защиты о событиях, связанных с обнаружением вредоносных компьютерных программ (вирусов).
-
Режим отладки
Режим отладки предназначен для отладки СрЗИ и выполняется на этапе ввода в эксплуатацию после режима конфигурирования.
-
Отладка функций управления сетью
После этапа установки и первичного конфигурирования производится изменение настроек в связи с планомерным вводом всё большего количества клиентских АРМ в защищённую сеть, установкой нового программного обеспечения, применения политик защиты информации и т.д.
При этом необходимо создать эталонную конфигурацию, минимальными изменениями которой будет возможно в кратчайшие сроки выполнить все работы по данному этапу.
Основными действиями по изменению эталонной конфигурации являются:
-
настройка правил фильтрации открытой и закрытой сети под нужды конкретного ПО на АРМ;
-
выявление заблокированных пакетов, выяснение легитимности и причин блокировки, принятие решений о редактировании фильтров;
-
настройка/правка параметров операционной системы и установленного ПО для устранения проблем совместимости.
Настройка элементов СЗИ необходима при вводе в эксплуатацию нового АРМ, изменении владельца, рассылки или дискредитации сертификата.
-
Отладка функций анализа защищенности
Режим отладки предполагает внесение изменений в СЗИ, обусловленные проверкой нового оборудования со специфичным ПО и не указанными учётными записями. На данном этапе и этапе рабочего режима проводится создание новых проверочных правил и политик безопасности.
-
Рабочий режим
Рабочий режим является единственным допустимым режимом штатного функционирования СЗИ. В рабочий режим СЗИ переводится после режима отладки, когда становится ясно, что система функционирует верно и корректно отрабатывает необходимые политики, правила и шаблоны. Рабочий режим обеспечивает независимость функционирования СЗИ от изменений в организационной структуре объектов внедрения при сохранении состава и содержания выполняемых функций. Рабочий режим допускает настройку и изменение конфигурации настроек СрЗИ без перепрограммирования.
-
Рабочий режим управлению сетью
В рабочем режиме возможны ситуации, требующие изменения (дополнения, переопределения) настроек клиентского ПО для его соответствия текущей ситуации в зависимости от работы конкретных компонентов, присутствующих в сети организации. Таким образом, при переводе СЗИ в рабочий режим функционирования предполагается возможность изменения настроек, политик и правил доступа на АРМ пользователей при вводе новых ИТ и регламентов ИБ, смене владельца или изменении структуры сети. При этом, выявление причин неисправности взаимодействия с другими АРМ сети будет возможно производить через систему журналирования и изменения режимов работы агентов.
-
Рабочий режим анализа защищенности
Изменения в настройках ПО в рабочем режиме будут возможны при изменении регламентов безопасности, вводе в эксплуатацию новых сетевых узлов или обновлении парольной базы.
-
Организационные мероприятия по защите персональных данных
В организационно-распорядительной документации регламентируются:
-
правила и процедуры идентификации и аутентификации пользователей;
-
правила и процедуры управления идентификаторами;
-
правила и процедуры управления средствами аутентификации (аутентификационной информацией);
-
правила и процедуры управления учетными записями пользователей;
-
правила разграничения доступа;
-
правила и процедуры применения удаленного доступа;
-
правила и процедуры управления взаимодействием с внешними информационными системами;
-
состав и содержание информации о событиях безопасности, подлежащих регистрации;
-
правила и процедуры сбора, записи и хранения информации о событиях безопасности;
-
правила и процедуры защиты информации о событиях безопасности;
-
правила и процедуры антивирусной защиты информационной системы;
-
правила и процедуры обновления базы данных признаков вредоносных компьютерных программ (вирусов);
-
правила и процедуры выявления, анализа и устранения уязвимостей;
-
правила и процедуры контроля установки обновлений программного обеспечения;
-
правила и процедуры контроля целостности информации;
-
правила и процедуры контроля и управления физическим доступом;
-
перечень лиц, которым разрешены действия по внесению изменений в конфигурацию информационной системы и системы защиты персональных данных;
-
правила и процедуры проведения анализа потенциального воздействия планируемых изменений в конфигурацию информационной системы персональных данных и системы защиты информации;
-
документирование информации об изменениях в конфигурации информационной системы персональных данных и системы защиты информации.
Необходима реализация следующих мер:
1. Организация режима обеспечения безопасности помещений, в которых размещена информационная система (далее – Помещения), препятствующего возможности неконтролируемого проникновения или пребывания в Помещениях лиц, не имеющих права доступа в Помещения.
Для выполнения требования необходимо обеспечение режима, препятствующего возможности неконтролируемого проникновения или пребывания в Помещениях лиц, не имеющих права доступа в Помещения, которое достигается путем:
-
утверждения правил доступа в Помещения сотрудников и посетителей в рабочее и нерабочее время;
-
утверждения перечня сотрудников, имеющих право вскрывать Помещения в нештатных ситуациях, а также порядка вскрытия Помещений в таких ситуациях.
2. Обеспечение сохранности носителей персональных данных.
Для выполнения требования необходимо:
-
осуществлять хранение носителей персональных данных в сейфах (металлических шкафах), оборудованных внутренними замками с двумя или более дубликатами ключей и приспособлениями для опечатывания замочных скважин или кодовыми замками;
-
осуществлять поэкземплярный учет носителей персональных данных, который достигается путем ведения журнала учета носителей персональных данных с использованием регистрационных (заводских) номеров;
-
осуществлять контроль вноса и выноса в контролируемую зону зарегистрированных (учтенных) съемных носителей информации.
3. Утверждение руководителем оператора документа, определяющего перечень лиц, доступ которых к персональным данным, обрабатываемым в информационной системе, необходим для выполнения ими служебных (трудовых) обязанностей;
Для выполнения требования необходимо:
-
определить круг лиц, доступ которых к персональным данным, обрабатываемым в информационной системе, необходим для выполнения ими служебных (трудовых) обязанностей;
-
разработать и утвердить документ, определяющий перечень лиц, доступ которых к персональным данным, обрабатываемым в информационной системе, необходим для выполнения ими служебных (трудовых) обязанностей;
-
поддерживать в актуальном состоянии документ, определяющий перечень лиц, доступ которых к персональным данным, обрабатываемым в информационной системе, необходим для выполнения ими служебных (трудовых) обязанностей.
4. Назначение лица, ответственного за обеспечение безопасности персональных данных, обрабатываемых в информационной системе.
-
Заключение
Результатом проектирования СЗИ является создание программно-технического решения, представляющего собой совокупность взаимосвязано функционирующих подсистем, реализуемых как встроенными в операционные системы, так и наложенными СрЗИ, образующими единую СЗИ, которая выполняет требования технического задания и нормативных документов в области обеспечения информационной безопасности ПДн.
Совокупность предложенных механизмов защиты информации, а также реализация организационно-режимных мероприятий позволит создать эффективную систему обеспечения безопасности информации в информационных системах, исключающую реализацию угроз информационной безопасности, перечисленных в документе Модель вероятного нарушителя и угроз безопасности информации в сегменте информационной системы «Безопасный город».
ТП ГИС «Система-112»
код ТП
СОСТАВИЛ
| Наименование организации, предприятия | Должность исполнителя | Фамилия, имя, отчество | Подпись | Дата |
| ДВГУПС | Студент группы 25К | Кочетов Е.О. |
-
Приложение А. Выполнение требований законодательства по обеспечению безопасности информации
«Требованиями о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах», утвержденными приказом ФСТЭК от 11.02.2013 № 17, «Составом и содержанием организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных», утвержденным приказом ФСТЭК России от 18.02.2013 № 21 определен комплекс методов и способов защиты информации, применяемых для ГИС «Система-112».
Реализация функций защиты информации в ГИС «Система-112» должна осуществляться сертифицированными средствами защиты информации.
Реализация требований ФСТЭК по обеспечению безопасности информации приведена в таблице А.1.
Таблица А.1– Содержание мер по обеспечению безопасности информации
| Содержание мер по обеспечению безопасности персональных данных | Второй класс защищенности |
| I. Идентификация и аутентификация субъектов доступа и объектов доступа (ИАФ) | |
| ИАФ1. Идентификация и аутентификация пользователей, являющихся работниками оператора | ПАК «Соболь» 3.0, Secret Net 7 |
| ИАФ3. Управление идентификаторами, в том числе создание, присвоение, уничтожение идентификаторов | ПАК «Соболь» 3.0, Secret Net 7 |
| ИАФ4. Управление средствами аутентификации, в том числе хранение выдача, инициализация, блокирование средств аутентификации и принятие мер в случае утраты и (или) компрометации средств аутентификации | ПАК «Соболь» 3.0, Secret Net 7 |
| ИАФ5. Защита обратной связи при вводе аутентификационной информации | ПАК «Соболь» 3.0, Secret Net 7 |
| ИАФ6. Идентификация и аутентификация пользователей, не являющихся работниками оператора (внешних пользователей) | ПАК «Соболь» 3.0, Secret Net 7 |
| II. Управление доступом субъектов доступа к объектам доступа (УПД) | |
| УПД1. Управление (заведение, активация, блокирование и уничтожение) учетными записями пользователей, в том числе внешних пользователей | ПАК «Соболь» 3.0, Secret Net 7 |
| УПД4. Разделение обязанностей полномочий (ролей), администраторов и лиц, обеспечивающих функционирование информационной системы | ПАК «Соболь» 3.0, Secret Net 7 |
| УПД5. Назначение минимально необходимых прав и привилегий пользователям, администраторам и лицам, обеспечивающим функционирование информационной системы | Организационные меры |
| УПД6. Ограничение неуспешных попыток входа в информационную систему (доступа к информационной системе) | ПАК «Соболь» 3.0, Secret Net 7 |
| УПД10. Блокирование сеанса доступа в информационную систему после установленного времени бездействия (неактивности) пользователя или по его запросу | ПАК «Соболь» 3.0, Secret Net 7 |
| УПД11. Разрешение (запрет) действий пользователей, разрешенных до идентификации и аутентификации | ПАК «Соболь» 3.0, Secret Net 7 |
| УПД13. Реализация защищенного удаленного доступа субъектов доступа к объектам доступа через внешние информационно-телекоммуникационные сети | VipNet Coordinator HW1000 |
| УПД16. Управление взаимодействием с информационными системами сторонних организаций (внешние информационные системы) | VipNet Coordinator HW1000 |
| III. Ограничение программной среды (ОПС) | |
| ОПС3. Установка (инсталляция) только разрешенного к использованию программного обеспечения и (или) его компонентов | Средства Active Directory |
| IV. Защита машинных носителей персональных данных (ЗНИ) | |
| ЗНИ1. Учет машинных носителей информации | Организационные меры |
| ЗНИ2. Управление доступом к машинным носителям информации | Организационные меры |
| ЗНИ8. Уничтожение (стирание) информации на машинных носителях при их передаче между пользователями, в сторонние организации для ремонта или утилизации, а также контроль уничтожения (стирания) | Организационные меры, Secret Net 7 |
| V. Регистрация событий безопасности (РСБ) | |
| РСБ1. Определение событий безопасности, подлежащих регистрации, и сроков их хранения | ПАК «Соболь» 3.0, организационные меры |
| РСБ2. Определение состава и содержания информации о событиях безопасности, подлежащих регистрации | Организационные меры |
| РСБ3. Сбор, запись и хранение информации о событиях безопасности в течение установленного времени хранения | Организационные меры |
| РСБ4. Реагирование на сбои при регистрации событий безопасности, в том числе аппаратные и программные ошибки, сбои в механизмах сбора информации и достижение предела или переполнения объема (емкости) памяти | ПАК «Соболь» 3.0 |
| РСБ5. Мониторинг (просмотр, анализ)результатов регистрации событий безопасности и реагирование на них | ПАК «Соболь» 3.0, Secret Net 7 |
| РСБ6. Генерирование временных меток и (или) синхронизация системного времени в информационной системе | ПАК «Соболь» 3.0, Secret Net 7 |
| РСБ7. Защита информации о событиях безопасности | ПАК «Соболь» 3.0, Secret Net 7 |
| VI. Антивирусная защита (АВЗ) | |
| АВЗ1. Реализация антивирусной защиты | Kaspersky Endpoint Security |
| АВЗ2. Обновление базы данных признаков вредоносных компьютерных программ (вирусов) | Kaspersky Endpoint Security |
| VIII. Контроль (анализ) защищенности персональных данных (АНЗ) | |
| АНЗ1. Выявление, анализ уязвимостей информационной системы и оперативное устранение вновь выявленных уязвимостей | XSpider 7.8 |
| АНЗ2. Контроль установки обновлений программного обеспечения, включая обновление программного обеспечения средств защиты информации | Организационные меры |
| АНЗ3. Контроль работоспособности, параметров настройки и правильности функционирования программного обеспечения и средств защиты информации | ПАК «Соболь» 3.0, организационные меры |
| АНЗ4. Контроль состава технических средств, программного обеспечения и средств защиты информации | ПАК «Соболь» 3.0, Secret Net 7 |
| АНЗ5. Контроль правил генерации и смены паролей пользователей, заведения и удаления учетных записей пользователей, реализации правил разграничения доступом, полномочий пользователей в информационной системе | ПАК «Соболь» 3.0, организационные меры |
| IX. Обеспечение целостности информационной системы и информации (ОЦЛ) | |
| ОЦЛ3. Обеспечение возможности восстановления программного обеспечения, включая программное обеспечение средств защиты информации, при возникновении нештатных ситуаций | Secret Net 7 |
| XII. Защита технических средств (ЗТС) | |
| ЗТС2. Организация контролируемой зоны, в пределах которой постоянно размещаются стационарные технические средства, обрабатывающие информацию, и средства защиты информации, а также средства обеспечения функционирования | Организационные меры |
| ЗТС3. Контроль и управление физическим доступом к техническим средствам, средствам защиты информации, средствам обеспечения функционирования, а также в помещения и сооружения, в которых они установлены, исключающие несанкционированный физический доступ к средствам обработки информации и помещения сооружения, в которых они установлены | Организационные меры |
| ЗТС4. Размещение устройств вывода (отображения) информации, исключающее ее несанкционированный просмотр | Организационные меры |
| XIII. Защита информационной системы, ее средств, систем связи и передачи данных (ЗИС) | |
| ЗИС3. Обеспечение защиты информации от раскрытия, модификации и навязывания (ввода ложной информации) при ее передаче (подготовке к передаче) по каналам связи, имеющим выход за пределы контролируемой зоны, в том числе беспроводным каналам связи | VipNet Coordinator HW1000 |
| ЗИС5. Запрет несанкционированной удаленной активации видеокамер, микрофонов и иных периферийных устройств, которые могут активироваться удаленно, и оповещение пользователей об активации таких устройств | VipNet Coordinator HW1000 |
-
Приложение Б. Топология ЛВС «Системы-112»
-
![]()
-
Рис. Б.2 – Топология локальной вычислительной сети «Системы-112»
-
Приложение В. Эскизный проект системы защиты
-
![]()
-
Рис. В.1 – Эскизный проект системы защиты
![](https://s.studizba.com/z.php?f=/templates/si/i/noavatar.png&w=100&h=100&t=1"){kind=avatar}
