Просмтор этого файла доступен только зарегистрированным пользователям. Но у нас супер быстрая регистрация: достаточно только электронной почты!

Текст из файла (страница 4)

Таблица 5.1 - перечень предлагаемых к использованию сертифицированных средств защиты информации

1. Dallas Lock 8.0-K

СЗИ Dallas Lock 8.0-K – система защиты конфиденциальной информации от несанкционированного доступа в процессе её хранения и обработки.

Представляет собой программный комплекс средств защиты информации в ОС семейства Windows с возможностью подключения аппаратных идентификаторов.

Соответствует требованиям руководящих документов по 5 классу защищенности средств вычислительной техники, по 4 уровню контроля отсутствия не декларированных возможностей, по 4 классу защиты средств контроля съемных машинных носителей.

В ИСПДн подразделение данное средство защиты информации используется, для:

• идентификации и аутентификации пользователей;

• разграничения доступа пользователей к информации и защищаемым ресурсам ИСПДн;

• контроля подключения и отчуждения учтенных съемных носителей информации, а также контроля подключения других устройств (мобильные телефоны, модемы, неучтенные съемные носители);

• централизованного управления системой защиты, оперативного мониторинга и аудита безопасности (с помощью серверов безопасности Dallas Lock 8.0-K).

1. СДЗ Dallas Lock

Средство доверенной загрузки (СДЗ) Dallas Lock – решение уровня платы расширения, предназначенное для защиты конфиденциальной информации, в том числе содержащейся в государственных информационных системах (ГИС), информационных системах персональных данных (ИСПДн), а также для защиты информации, содержащей сведения, составляющие государственную тайну до уровня «совершенно секретно» включительно.

СДЗ Dallas Lock является программно-аппаратным средством, которое осуществляет блокирование попыток несанкционированной загрузки нештатной операционной системы, а также предоставляет доступ к информационным ресурсам в случае успешной проверки подлинности загружаемой операционной системы. Осуществляет проверку целостности программно-аппаратной среды и регистрацию событий безопасности.

СДЗ Dallas Lock предназначено для использования на персональных компьютерах, ноутбуках, моноблоках и серверах архитектуры intel х86-32, x86-64. Реализована поддержка наиболее распространенных файловых систем, включая: FAT12, FAT16, FAT32, NTFS, Ext2, Ext3, Ext4, VMFS. Поддерживаются разъемы: PCI Express; Mini PCI Express; M.2.

В ИСПДн подразделения данное средство защиты информации используется для:

• идентификацию и аутентификацию пользователя до выполнения действий по загрузке операционной системы или администратора до выполнения действий по управлению СДЗ;

• двухфакторную аутентификацию пользователей при совместном использовании СДЗ с аппаратными идентификаторами;

• автоматическое прохождение идентификации и аутентификации в штатной операционной системе после успешного прохождения авторизации и выполнения загрузки с использованием СДЗ;

• контроль целостности загружаемой операционной системы, блокирование загрузки операционной системы при нарушении целостности загружаемой программной среды (операционной системы);

• блокирование загрузки операционной системы при выявлении попыток загрузки нештатной операционной системы;

• блокировку пользователя при выявлении попыток обхода СДЗ;

• автоматическую регистрацию событий, относящихся к безопасности компьютера и СДЗ, в соответствующих журналах аудита. Предоставляет возможность защищенного от несанкционированного уничтожения или модификации записей журнала аудита;

• реагирование на обнаружение событий, указывающих на возможное нарушение безопасности;

• недоступность ресурсов СДЗ из штатной операционной системы после завершения работы СДЗ;

• контроль состава компонентов аппаратного обеспечения ПК, основываясь на их идентификационной информации. Блокирует загрузку операционной системы при обнаружении несанкционированного изменения состава аппаратных компонентов СВТ;

• выполнение перезагрузки ПК при выявлении попыток обхода СДЗ.

1. XSpider 7.8.24

XSpider является сертифицированным средством анализа защищенности. Средство соответствует требованиям руководящих документов по 4 уровню контроля отсутствия недекларированных возможностей.

Функциональные возможности:

• полная идентификация сервисов на случайных портах;

• эвристический метод определения типов и имен серверов (HTTP, FTP, SMTP, POP3, DNS, SSH) вне зависимости от их ответа на стандартные запросы;

• обработка RPC-сервисов (Windows и *nix) с их полной идентификацией;

• проверка слабости парольной защиты;

• проведение проверок на нестандартные DoS-атаки;

• специальные механизмы, уменьшающие вероятность ложных срабатываний.

1. АПКШ «Континент» 3.7

Комплекс обеспечивает криптографическую защиту информации (в соответствии с ГОСТ 28147–89), передаваемой по открытым каналам связи, между составными частями VPN, которыми могут являться локальные вычислительные сети, их сегменты и отдельные компьютеры.

Современная ключевая схема, реализуя шифрование каждого пакета на уникальном ключе, обеспечивает гарантированную защиту от возможности дешифрации перехваченных данных.

Для защиты от проникновения со стороны сетей общего пользования комплекс «Континент» 3.7 обеспечивает фильтрацию принимаемых и передаваемых пакетов по различным критериям (адресам отправителя и получателя, протоколам, номерам портов, дополнительным полям пакетов и т.д.).

Область применения:

• защита внешнего периметра сети от вредоносного воздействия со стороны сетей общего пользования;

• создание отказоустойчивой VPN-сети между территориально распределенными сетями;

• защита сетевого трафика в мультисервисных сетях (VoIP, Video conference);

• разделение сети на сегменты с различным уровнем доступа;

• организация защищенного межсетевого взаимодействия между конфиденциальными сетями;

1. Построение СЗИ в информационной системе

1. Схема построения СЗИ

Построение СЗИ в компании заключается в применении сертифицированных средств защиты информации и обеспечении организационно-режимных мероприятий по защите информации.

СЗИ включает следующие функциональные компоненты:

• сетевая компонента;

• серверная компонента;

• компонента администратора;

• АПКШ «Континент» 3.7 на базе IPC-100

Общая схема построения системы защиты персональных данных в ИСПДн Техникума приведена в приложении В.

Сводная таблица с перечнем АРМ, устанавливаемых средств защиты и параметров настройки приведена в приложении Г.

1. Сетевая компонента

Сетевая компонента представляет собой АРМ пользователей, подключенных к локальной сети и сетям общего пользования, включая пользователей, работающих согласно своим должностным обязанностям.

СЗИ обеспечивает защиту ПДн следующими техническими средствами защиты:

• использование средства защиты от несанкционированного доступа (Dallas Lock 8.0-K);

• использование средства обеспечения доверенной загрузки (СДЗ Dallas Lock 8.0);

• идентификация и аутентификация пользователя производится с помощью электронного идентификатора DS1992;

Параметры настройки представлены в разделе 6.2.1.

1. Серверная компонента

Серверная компонента включает 1 сервера, использующиеся для обработки ПДн, каждый из которых является контроллером домена для сегмента, в состав которого он включен.

СЗИ обеспечивает защиту информации, обрабатываемой на серверах, следующими техническими средствами защиты:

• использование средства защиты от несанкционированного доступа (Dallas Lock 8.0-K);

• использование средства обеспечения доверенной загрузки (СДЗ Dallas Lock);

• идентификация и аутентификация пользователя производится с помощью электронного идентификатора DS1992

• установка сервера безопасности Dallas Lock на каждом из серверов;

Параметры настройки представлены в разделе 6.2.1.

1. Компонента администратора

Компонента администратора представляет собой АРМ администратора, с которого осуществляется управление средствами защиты, управление контроллерами доменов и серверами безопасности Dallas Lock.

СЗИ обеспечивает защиту АРМ администратора следующими техническими средствами защиты:

• использование средства защиты от несанкционированного доступа (Dallas Lock 8.0 -К);

• использование средства обеспечения доверенной загрузки (СДЗ Dallas Lock);

• идентификация и аутентификация пользователя производится с помощью электронного идентификатора DS1992;

• использование средства анализа защищенности (XSpider 7.8.24);

1. АПКШ «Континент» 3.7 IPC – 100.

Эта компонента представляет собой аппаратно – программный комплекс шифрования «Континент» 3.7 на базе IPC – 100, реализующий собой функции межсетевого экрана, криптосредства и организатора VPN-сети. Устанавливается в серверную стойку и подключается к сети на границе ЛВС компании таким образом, чтобы безопасно передавать данные в ЦОД.

1. Режимы функционирования

В СЗИ реализованы следующие режимы функционирования:

• режим установки и конфигурирования;

• режим отладки;

• рабочий режим.

1. Режим установки и конфигурирования

Режим установки и конфигурирования предназначен для первичной настройки СЗИ и выполняется на этапе пуско-наладочных работ. В этом режиме происходит настройка СЗИ путем создания правил, редактирования и применения политик, шаблонов. Режим установки и конфигурирования подразумевает работы по установке и начальной настройке установленного программного обеспечения.

1. Установка и настройка СрЗИ от несанкционированного доступа

Установка и настройка Dallas Lock 8.0-K осуществляется в соответствии с эксплуатационной документацией.

Установка производится на все АРМ пользователей ИСПДн компании, на которых обрабатывается ПДн, доступ к которым необходимо ограничить исходя из актуальности угроз информационной безопасности и согласно требованиям, предъявляемым к СЗИ.

Настройка СрЗИ заключается в следующем:

• регистрация пользователя в системе (по 1 легальному пользователю в соответствии с таблицей 4.1 настоящего проекта);

• задание пароля пользователя не менее 6 буквенно-цифровых символов;

• алфавит пароля не менее 30 символов для АРМ 1;

• максимальное количество неуспешных попыток аутентификации (ввода неправильного пароля) до блокировки от 3 до 10 попыток;

• блокировка АРМ пользователя в случае достижения установленного максимального количества неуспешных попыток аутентификации на 15 минут;

• смена пароля через каждые 180 дней;

• настройка параметров гашения экрана монитора через 5 минут неактивности пользователя;

• настройка параметров выхода из системы через 15 минут неактивности пользователя;

• настройка параметров регистрации входа и выхода пользователя в систему и из системы;

• настройка параметров регистрации и учета событий, связанных с действием пользователя, с указанием имени пользователя, времени совершенного события и результата успешности или не успешности события;

• создание списка компонентов системы и модулей СрЗИ, которые необходимо поставить на контроль целостности;

• получение контрольной суммы файлов, поставленных на контроль целостности;

• настройка ежедневной быстрой проверки АРМ и настройка еженедельной полной проверки АРМ на наличие вирусов и вредоносных программ;

• настройка ежедневного обновления антивирусных баз и компонентов антивирусной системы;

• настройка проверки съемных носителей при подключении к АРМ на наличие вирусов и вредоносных программ;

• настройка блокирования подключаемых модемов и мобильных устройств;

• настройка функции самотестирования;

• блокирование или уничтожение всех не используемых учетных записей;

• настройка функции блокирования неактивных (неиспользуемых) учетных записей пользователей после 90 дней неиспользования;

• настройка дискреционного метода управления доступом в соответствии с матрицей доступа (см. в таблице 4.2);

• установка пароля BIOS;

• настройка функций разграничения доступа к управлению средством контроля съемных носителей (на основе ролей администраторов);

• настройка функции контроля подключения съемных машинных носителей информации (контроль использования интерфейсов ввода/вывода СВТ, контроль подключаемых типов внешних программно-аппаратных устройств, контроль подключаемых съемных машинных носителей информации);

• настройка функций контроля отчуждения (переноса) информации со съемных машинных носителей информации;

• настройка функций регистрации и учета выполнения функций безопасности средства контроля съемных машинных носителей;

• настройка функций оповещения администратора о событиях, связанных с нарушением безопасности.

1. Установка и настройка средств доверенной загрузки

Установка и настройка средства доверенной загрузки СДЗ Dallas Lock осуществляется в соответствии с эксплуатационной документацией.

Характеристики

Список файлов ВКР