Пояснительная записка (1209970), страница 4
Текст из файла (страница 4)
В соответствии с указанными в разделе 2.2 требованиями были предложены сертифицированные средства защиты информации, указанные в таблице 2.2
Таблица 2.2 – Перечень предлагаемых к использованию сертифицированных средств защиты информации
| Тип СЗИ | Наименование | Производитель | Сертификат ФСТЭК или ФСБ России |
| Средство защиты от несанкционированного доступа | СЗИ Dallas Lock 8.0-K | ООО «Конфидент» | Сертификат ФСТЭК № 2720 действителен до 25.09.2018 |
| Средство контроля съемных машинных носителей информации | СЗИ Dallas Lock 8.0-K | ООО «Конфидент» | Сертификат ФСТЭК № 2720 действителен до 25.09.2018 |
| Средство доверенной загрузки | СДЗ Dallas Lock | ООО «Конфидент» | Сертификат ФСТЭК № 3666 действителен до 25.11.2019 |
| Окончание таблицы 2.2 | |||
| Тип СЗИ | Наименование | Производитель | Сертификат ФСТЭК или ФСБ России |
| Средство анализа защищенности | XSpider 7.8.24 | ООО «Позитив Технолоджис» | Сертификат ФСТЭК № 3247 действителен до 24.10.2017 |
| VPN-сеть, средство межсетевого экранирования и криптографической защиты информации | АПКШ «Континент» 3.7 | ООО «Код Безопасности» | Сертификат ФСТЭК № 3008 действителен до 01.11.2019 |
2.3.1 СЗИDallas Lock 8.0-K
СЗИ Dallas Lock 8.0-K – система защиты конфиденциальной информации от несанкционированного доступа в процессе её хранения и обработки.
Представляет собой программный комплекс средств защиты информации в ОС семейства Windows с возможностью подключения аппаратных идентификаторов.
Соответствует требованиям руководящих документов по 5 классу защищенности средств вычислительной техники, по 4 уровню контроля отсутствия не декларированных возможностей, по 4 классу защиты средств контроля съемных машинных носителей.
В ИСПДн подразделение данное средство защиты информации используется, для:
-
идентификации и аутентификации пользователей;
-
разграничения доступа пользователей к информации и защищаемым ресурсам ИСПДн;
-
контроля подключения и отчуждения учтенных съемных носителей информации, а также контроля подключения других устройств (мобильные телефоны, модемы, неучтенные съемные носители);
-
централизованного управления системой защиты, оперативного мониторинга и аудита безопасности (с помощью серверов безопасности Dallas Lock 8.0-K).
2.3.2 СДЗ Dallas Lock
Средство доверенной загрузки (СДЗ) Dallas Lock – решение уровня платы расширения, предназначенное для защиты конфиденциальной информации, в том числе содержащейся в государственных информационных системах (ГИС), информационных системах персональных данных (ИСПДн), а также для защиты информации, содержащей сведения, составляющие государственную тайну до уровня «совершенно секретно» включительно.
СДЗ Dallas Lock является программно-аппаратным средством, которое осуществляет блокирование попыток несанкционированной загрузки нештатной операционной системы, а также предоставляет доступ к информационным ресурсам в случае успешной проверки подлинности загружаемой операционной системы. Осуществляет проверку целостности программно-аппаратной среды и регистрацию событий безопасности.
СДЗ Dallas Lock предназначено для использования на персональных компьютерах, ноутбуках, моноблоках и серверах архитектуры intel х86-32, x86-64. Реализована поддержка наиболее распространенных файловых систем, включая: FAT12, FAT16, FAT32, NTFS, Ext2, Ext3, Ext4, VMFS. Поддерживаются разъемы: PCI Express; Mini PCI Express; M.2.
В ИСПДн подразделения данное средство защиты информации используется для:
-
идентификацию и аутентификацию пользователя до выполнения действий по загрузке операционной системы или администратора до выполнения действий по управлению СДЗ;
-
двухфакторную аутентификацию пользователей при совместном использовании СДЗ с аппаратными идентификаторами;
-
автоматическое прохождение идентификации и аутентификации в штатной операционной системе после успешного прохождения авторизации и выполнения загрузки с использованием СДЗ;
-
контроль целостности загружаемой операционной системы, блокирование загрузки операционной системы при нарушении целостности загружаемой программной среды (операционной системы);
-
блокирование загрузки операционной системы при выявлении попыток загрузки нештатной операционной системы;
-
блокировку пользователя при выявлении попыток обхода СДЗ;
-
автоматическую регистрацию событий, относящихся к безопасности компьютера и СДЗ, в соответствующих журналах аудита. Предоставляет возможность защищенного от несанкционированного уничтожения или модификации записей журнала аудита;
-
реагирование на обнаружение событий, указывающих на возможное нарушение безопасности;
-
недоступность ресурсов СДЗ из штатной операционной системы после завершения работы СДЗ;
-
контроль состава компонентов аппаратного обеспечения ПК, основываясь на их идентификационной информации. Блокирует загрузку операционной системы при обнаружении несанкционированного изменения состава аппаратных компонентов СВТ;
-
выполнение перезагрузки ПК при выявлении попыток обхода СДЗ.
2.3.3 XSpider 7.8.24
XSpider является сертифицированным средством анализа защищенности. Средство соответствует требованиям руководящих документов по 4 уровню контроля отсутствия не декларированных возможностей.
В ИСПДн отдела данное средство защиты информации используется, для:
-
полной идентификации сервисов на случайных портах;
-
определения типов и имен серверов (HTTP, FTP, SMTP, POP3, DNS, SSH) вне зависимости от их ответа на стандартные запросы;
-
обработки RPC-сервисов (Windows и *nix) с их полной идентификацией;
-
проверки слабости парольной защиты;
-
проведения проверок на нестандартные DoS-атаки
2.3.4 АПКШ «Континент» 3.7
Комплекс обеспечивает криптографическую защиту информации (в соответствии с ГОСТ 28147–89), передаваемой по открытым каналам связи, между составными частями VPN, которыми могут являться локальные вычислительные сети, их сегменты и отдельные компьютеры.
Современная ключевая схема, реализуя шифрование каждого пакета на уникальном ключе, обеспечивает гарантированную защиту от возможности дешифрации перехваченных данных.
Для защиты от проникновения со стороны сетей общего пользования комплекс «Континент» 3.7 обеспечивает фильтрацию принимаемых и передаваемых пакетов по различным критериям (адресам отправителя и получателя, протоколам, номерам портов, дополнительным полям пакетов и т.д.).
Область применения:
-
защита внешнего периметра сети от вредоносного воздействия со стороны сетей общего пользования;
-
создание отказоустойчивой VPN-сети между территориально распределенными сетями;
-
защита сетевого трафика в мультисервисных сетях (VoIP, Video conference);
-
разделение сети на сегменты с различным уровнем доступа;
-
организация защищенного межсетевого взаимодействия между конфиденциальными сетями;
-
Организационные меры защиты информации
В организационно-распорядительной документации регламентируются:
-
правила и процедуры идентификации и аутентификации пользователей;
-
порядок выдачи и учета электронных идентификаторов;
-
порядок управления учетными записями пользователей;
-
правила разграничения доступа;
-
правила и процедуры применения удаленного доступа;
-
правила и процедуры управления взаимодействием с внешними информационными системами;
-
состав и содержание информации о событиях безопасности, подлежащих регистрации;
-
правила и процедуры сбора, записи, хранения и защиты информации о событиях безопасности;
-
правила и процедуры антивирусной защиты информационной системы;
-
правила и процедуры обновления антивирусных баз;
-
правила и процедуры выявления, анализа и устранения уязвимостей;
-
правила и процедуры контроля установки обновлений программного обеспечения;
-
правила и процедуры контроля целостности информации;
-
порядок физического доступа на контролируемую зону и защищаемые помещения;
-
порядок внесения изменений в конфигурацию ИСПДн и систему защиты в целом;
-
порядок проведения анализа последствий от изменения конфигурации ИСПДн или СЗИ;
-
документирование информации об изменениях в конфигурации ИСПДн и СЗИ.
Необходима реализация следующих организационных мер:
-
контроль доступа в помещения, в которых размещены элементы ИСПДн:
-
утвердить правил доступа в помещения в рабочее и нерабочее время;
-
утвердить перечень сотрудников, имеющих право вскрывать помещения в нештатных ситуациях, а также порядок вскрытия помещений в таких ситуациях;
-
обеспечение сохранности съемных машинных носителей ПДн:
-
хранить съемные машинные носители ПДн в металлических шкафах или сейфах, запирающихся на ключ и приспособлениями для опечатывания замочных скважин или кодовыми замками;
-
вести учет носителей ПДн с помощью журнала учета носителей персональных данных;
-
оосуществлять контроль вноса и выноса в контролируемую зону зарегистрированных (учтенных) съемных носителей информации;
утверждение директором компании переченя лиц, доступ которых к ПДн, обрабатываемым в информационной системе, необходим для выполнения ими служебных обязанностей:
-
определить перечень лиц, которым необходим доступ к ПДн для выполнения служебных обязанностей;
-
разработать и утвердить документ, определяющий перечень лиц,
-
поддерживать в актуальном состоянии документ, определяющий перечень лиц;
назначение лица, ответственного за защиту ПДн, которые обрабатываются в ИСПДн отдела.
-
Выполнение набора мер ТС защиты информации
Конечный перечень мер которые необходимо реализовать представлен в таблице Г.1 приложения Г.
В таблице 2.3 приведен набор мер, которые реализуются выбранными ТС защиты информации.
Таблица 2.3 – Содержание мер по обеспечению ИБ и ТС, их реализующих
| Мера и её содержание | Средство защиты информации |
| ИАФ1. Идентификация и аутентификация пользователей, являющихся работниками оператора | СЗИ Dallas Lock 8.0-K, СДЗ Dallas Lock |
| ИАФ3. Управление идентификаторами, в том числе создание, присвоение, уничтожение идентификаторов | СЗИ Dallas Lock 8.0-K, СДЗ Dallas Lock |
| Продолжение таблицы 2.3 | |
| Мера и её содержание | Средство защиты информации |
| ИАФ4. Управление средствами аутентификации, в том числе хранение выдача, инициализация, блокирование средств аутентификации и принятие мер в случае утраты и (или) компрометации средств аутентификации | СЗИ Dallas Lock 8.0-K, СДЗ Dallas Lock |
| ИАФ5. Защита обратной связи при вводе аутентификационной информации | СЗИ Dallas Lock 8.0-K, СДЗ Dallas Lock |
| УПД1. Управление (заведение, активация, блокирование и уничтожение) учетными записями пользователей, в том числе внешних пользователей | СЗИ Dallas Lock 8.0-K, СДЗ Dallas Lock |
| УПД3. Управление (фильтрация, маршрутизация, контроль соединений, однонаправленная передача и иные способы управления) информационными потоками между устройствами, сегментами информационной системы, а также между информационными системами | АПКШ «Континент» 3.7 |
| УПД4. Разделение обязанностей полномочий (ролей), администраторов и лиц, обеспечивающих функционирование информационной системы | СЗИ Dallas Lock 8.0-K, СДЗ Dallas Lock |
| УПД5. Назначение минимально необходимых прав и привилегий пользователям, администраторам и лицам, обеспечивающим функционирование информационной системы | СЗИ Dallas Lock 8.0-K, Организационные меры |
| УПД6. Ограничение неуспешных попыток входа в информационную систему (доступа к информационной системе) | СЗИ Dallas Lock 8.0-K, СДЗ Dallas Lock |
| Продолжение таблицы 2.3 | |
| Мера и её содержание | Средство защиты информации |
| УПД10. Блокирование сеанса доступа в информационную систему после установленного времени бездействия (неактивности) пользователя или по его запросу | Средства ОС |
| УПД11. Разрешение (запрет) действий пользователей, разрешенных до идентификации и аутентификации | СЗИ Dallas Lock 8.0-K |
| УПД13. Реализация защищенного удаленного доступа субъектов доступа к объектам доступа через внешние информационно телекоммуникационные сети | АПКШ «Континент» 3.7 |
| УПД14. Регламентация и контроль использования в информационной системе технологий беспроводного доступа | АПКШ «Континент» 3.7 |
| УПД16. Управление взаимодействием с информационными системами сторонних организаций (внешние информационные системы) | АПКШ «Континент» 3.7 |
| ЗНИ8. Уничтожение (стирание) информации на машинных носителях при их передаче между пользователями, в сторонние организации для ремонта или утилизации, а также контроль уничтожения (стирания) | СЗИ Dallas Lock 8.0-K |
| РСБ1. Определение событий безопасности, подлежащих регистрации, и сроков их хранения | СЗИ Dallas Lock 8.0-K, СДЗ Dallas Lock Организационные меры |
![](https://s.studizba.com/z.php?f=/templates/si/i/noavatar.png&w=100&h=100&t=1"){kind=avatar}
