1. Пояснительная_записка (1209982), страница 5
Текст из файла (страница 5)
Меры защиты информации, связанные с применением технических средств защиты информации, осуществляются посредством использования средств защиты, имеющих определенные функции безопасности, при этом в
в информационных системах третьего класса защищенности применяются средства защиты информации шестого класса, а также средства вычислительной техники не ниже пятого класса.
В случае, если в ИС обрабатываются персональные данные, для информационной системы третьего класса защищенности обеспечивают третий и четвертый уровни защищенности персональных данных, в соответствии с «Требованиями к защите персональных данных при их обработке в информационных системах персональных данных», утвержденными постановлением Правительства Российской Федерации от 1 ноября 2012 г. N 1119. [8]
-
Технические средства защиты информации
В соответствии с указанными в разделе 2.2 требованиями были предложены сертифицированные средства защиты информации, указанные в таблице 2.4.
Таблица 2.4 – Перечень предлагаемых к использованию сертифицированных средств защиты информации
| Тип СЗИ | Наименование | Производитель | Сертификат ФСТЭК или ФСБ России |
| VPN-сеть, средство межсетевого экранирования и криптографической защиты информации | ПК VipNet Administrator 3.2 | ОАО «ИнфоТеКС» | Сертификат ФСБ России № СФ/124-2861 действителен до 31.03.2018, Сертификат ФСТЭК России № 1549/1 действителен до 26.05.2019 |
| ПК VipNet Client 3.2 | Сертификат ФСТЭК России № 1549/1 действителен до 26.05.2019 Сертификат ФСБ России № СФ/525-2952 на ПК ViPNet Client 3.2 действителен до 20.08.2018 | ||
| ПАК VipNet Coordinator HW1000 версии 3 | Сертификат ФСБ РФ № СФ/525-2667 действителен до 23.07.2018, Сертификат ФСБ РФ №СФ/124-2606 действителен до 15.04.2018 | ||
| Окончание таблицы 2.4 | |||
| Тип СЗИ | Наименование | Производитель | Сертификат ФСТЭК или ФСБ России |
| Средство анализа защищенности | XSpider 7.8 | ООО «Позитив Технолоджис» | Сертификат ФСТЭК № 3247 действителен до 24.10.2017 |
| Средство защиты от несанкционированного доступа | Secret Net Studio | ООО «Код Безопасности» | Сертификат ФСТЭК № 3745 действителен до 16.05.2020 |
-
Secret Net Studio
Secret Net Studio представляет собой средство защиты информации от несанкционированного доступа, имеющее действующий сертификат соответствия. Средство соответствует всем требованиям руководящих документов по четвертому уровню контроля отсутствия НДВ, пятому классу защищенности СВТ, четвертому классу защиты СКН, может применяться в МИС до первого класса включительно.
В исследуемой ИС данное СЗИ применяется в следующих целях:
-
идентификации и аутентификации пользователей;
-
разграничения доступа пользователей информационной системы к ресурсам и информации;
-
контроля неизменности аппаратной конфигурации компьютера, контроль подключения и отключения различного вида устройств (веб – камеры, сотовые телефоны, модемы, съемные накопители, принтеры);
-
групповой мониторинг работы и расследование инцидентов безопасности.
-
XSpider 7.8.24
XSpider является сертифицированным средством автоматизированного анализа защищенности и обнаружения уязвимостей. Средство соответствует требованиям руководящих документов по четвертому уровню контроля отсутствия недекларированных возможностей.
В исследуемой ИС данное СЗИ применяется в следующих целях:
-
полной идентификации сервисов на случайных портах;
-
определения типов и имен серверов (HTTP, FTP, SMTP, POP3, DNS, SSH) для определения истинного имени сервера;
-
обработки RPC-сервисов (Windows и *nix) с их полной идентификацией;
-
проверки парольной защиты на наличие слабостей и уязвимостей;
-
проведения проверок на наличие DoS – атак нестандартного вида.
-
VipNet Administrator 3.2
VipNet Administrator 3.2 – это базовый программный комплекс, предназначенный для настройки и управления защищенной информационной сетью, которая включает в себя VipNet NCC (центр управления сетью, ЦУС) – ПО, предназначенное для осуществления конфигурации и управления виртуальной защищенной сетью VipNet.
В исследуемой ИС данное СЗИ применяется в следующих целях:
-
построение топологии защищенной сети за счет регистрации узлов, пользователей и обнаружения их взаимодействия;
-
построение политики безопасности для каждого узла и формирование для всех узлов списка приложений, работа которых разрешается на данном узле;
-
автоматическая рассылка на все узлы информации, касающейся изменений топологии существующей сети, а именно вновь появившихся узлах, связях, новых пользователях, изменений в ключах и сертификатах;
-
проведение автоматического централизованного обновления программного обеспечения ViPNet на всех узлах сети, в том числе программно-аппаратные комплексы ViPNet Coordinator HW.
-
VipNet Client 3.2
VipNet Client 3.2 – это программный комплекс, задачей которого является выполнение функций VPN-клиента на рабочем месте или сервере с прикладным программным обеспечением, защита почтовой системы клиента, а так же выполнение функций криптопровайдера для программ, использующих функции подписи и шифрования. VipNet Client 3.2 соответствует требованиям руководящих документов по третьему классу защищенности для межсетевых экранов, а также по классу КС2 для шифровальных (криптографических) средств.
-
VipNet Coordinator HW1000
VipNet Coordinator HW1000 – это программно-аппаратный комплекс, представляющий собой криптошлюз и межсетевой экран, базирующийся на аппаратной платформе телекоммуникационных серверов. Продукт соответствует требованиям руководящих документов по третьему классу защищенности для межсетевых экранов, а также по классу КС3 для шифровальных (криптографических) средств.
В исследуемой ИС данное СЗИ применяется в следующих целях:
-
защита логической границы локальной сети за счет функции межсетевого экранирования от угроз безопасности информации со стороны внешнего нарушителя;
-
фильтрация трафика, входящего и исходящего из сети;
-
шифрование трафика, передаваемого по каналам связи, находящимся без защиты.
-
Организационные меры защиты информации
Для обеспечения выполнения всех подобранных требований, необходима реализация следующих организационных мер:
а) организовать регламент выдачи и учета электронных идентификаторов пользователей информационной системы;:
-
обеспечить выдачу персональных идентификаторов пользователям лично и под роспись;
-
провести инструктаж сотрудников, разъясняющий их обязанности и правила обращения с идентификатором;
б) организовать регламент управления учетными записями пользователей ИС:
-
обеспечить сотрудников первоначальными идентификаторами с обязательной необходимостью их смены при первом сеансе работы;
-
утвердить правила обращения и использования, а так же срока действия идентификатора;
в) разработать перечень правил и процедур, позволяющих осуществлять полный контроль за установкой обновлений системного и программного обеспечения:
-
утвердить правила, обязывающие ответственных лиц лично присутствовать при установке обновлений ПО сторонними организациями;
-
разработать регламент, запрещающий сотрудникам своевольно устанавливать программное обеспечение на технические средства информационной системы;
г) разработать перечень правил доступа в защищаемое помещения:
-
утвердить правила доступа в защищаемые помещения в рабочие, выходные и праздничные дни;
-
утвердить перечень ситуаций и сотрудников, которые могут получить доступ в защищаемые помещения вопреки вышеуказанному перечню;
д) разработать перечень правил обращения со съемными носителями:
-
обеспечить хранение съемных носителей в металлических шкафах или сейфах, запирающихся на ключ с обязательным опечатыванием в конце рабочего дня;
-
обеспечить ведение журнала использования машинных носителей;
-
вести контроль и журналирование внесения и вынесения машинных носителей за пределы КЗ;
е) назначение лица, ответственного за обеспечение безопасности информации с наделением его соответствующими правами доступа к ресурсам ИС.
-
Выполнение набора мер техническими средствами защиты информации
В таблице 2.5 приведен набор мер, реализация которых осуществляется выбранными техническими средствами защиты информации.
Таблица 2.5 – Содержание мер по обеспечению безопасности информации и технических средств, их реализующих
| № меры | Содержание мер по обеспечению безопасности информации | Реализация мер |
| I. Идентификация и аутентификация субъектов доступа и объектов доступа (ИАФ) | ||
| ИАФ.1 | Идентификация и аутентификация пользователей, являющихся работниками оператора | Secret Net Studio |
| Продолжение таблицы 2.5 | ||
| № меры | Содержание мер по обеспечению безопасности информации | Реализация мер |
| ИАФ.З | Управление идентификаторами, в том числе создание, присвоение, уничтожение идентификаторов | Secret Net Studio |
| ИАФ.4 | Управление средствами аутентификации, в том числе хранение, выдача, инициализация, блокирование средств аутентификации и принятие мер в случае утраты и (или) компрометации средств аутентификации | Secret Net Studio |
| ИАФ.5 | Защита обратной связи при вводе аутентификационной информации | Secret Net Studio |
| ИАФ.6 | Идентификация и аутентификация пользователей, не являющихся работниками оператора (внешних пользователей) | Организационные |
| II. Управление доступом субъектов доступа к объектам доступа (УПД) | ||
| УПД.1 | Управление (заведение, активация, блокирование и уничтожение) учетными записями пользователей, в том числе внешних пользователей | Secret Net Studio |
| УПД.4 | Разделение полномочий (ролей) пользователей, администраторов и лиц, обеспечивающих функционирование информационной системы | Secret Net Studio |
| УПД.5 | Назначение минимально необходимых прав и привилегий пользователям, администраторам и лицам, обеспечивающим функционирование информационной системы | Secret Net Studio, Организационные меры |
| УПД.6 | Ограничение неуспешных попыток входа в информационную систему (доступа к информационной системе) | Secret Net Studio |
| УПД.10 | Блокирование сеанса доступа в информационную систему после установленного времени бездействия (неактивности) пользователя или по его запросу | Secret Net Studio |
| УПД.11 | Разрешение (запрет) действий пользователей, разрешенных до аутентификации | Secret Net Studio, Организационные меры |
| Продолжение таблицы 2.5 | ||
| № меры | Содержание мер по обеспечению безопасности информации | Реализация мер |
| УПД.13 | Реализация защищенного удаленного доступа субъектов доступа к объектам доступа через внешние информационно-телекоммуникационные сети | VipNet Coordinator HW1000 |
| УПД.16 | Управление взаимодействием с информационными системами сторонних организаций (внешние информационные системы) | VipNet Coordinator HW1000 |
| III. Ограничение программной среды (ОПС) | ||
| ОПС.3 | Установка (инсталляция) только разрешенного к использованию программного обеспечения и (или) его компонентов | Secret Net Studio, организационные меры |
| IV. Защита машинных носителей персональных данных (ЗНИ) | ||
| ЗНИ.1 | Учет машинных носителей | Secret Net Studio, организационные меры |
| ЗНИ.2 | Управление доступом к машинным носителям информации | Secret Net Studio, организационные меры |
| ЗНИ.8 | Уничтожение (стирание) или обезличивание персональных данных на машинных носителях при их передаче между пользователями, в сторонние организации для ремонта или утилизации, а также контроль уничтожения (стирания) или обезличивания | Secret Net Studio, организационные меры |
| V. Регистрация событий безопасности (РСБ) | ||
| РСБ.2 | Определение состава и содержания информации о событиях безопасности, подлежащих регистрации | Secret Net Studio, организационные меры |
| РСБ.З | Сбор, запись и хранение информации о событиях безопасности в течение установленного времени хранения | Secret Net Studio |
| Продолжение таблицы 2.5 | ||
| № меры | Содержание мер по обеспечению безопасности информации | Реализация мер |
| РСБ.4 | Реагирование на сбои при регистрации событий безопасности, в том числе аппаратные и программные ошибки, сбои в механизмах сбора информации и достижение предела или переполнения объема (емкости) памяти | Secret Net Studio |
| РСБ.5 | Мониторинг (просмотр, анализ) результатов регистрации событий безопасности и реагирование на них | Secret Net Studio |
| РСБ.6 | Генерирование временных меток и (или) синхронизация системного времени в информационной системе | Secret Net Studio |
| РСБ.7 | Защита информации о событиях безопасности | Secret Net Studio |
| VI. Антивирусная защита (АВЗ) | ||
| АВ3.1 | Реализация антивирусной защиты | Антивирус Kaspersky Security Center 10 |
| АВ3.2 | Обновление базы данных признаков вредоносных компьютерных программ (вирусов) | Антивирус Kaspersky Security Center 10 |
| VIII. Контроль (анализ) защищенности персональных данных (АНЗ) | ||
| АНЗ.1 | Выявление, анализ уязвимостей информационной системы и оперативное устранение вновь выявленных уязвимостей | XSpider 7.8.24, организационные меры |
| АНЗ.2 | Контроль установки обновлений программного обеспечения, включая обновление программного обеспечения средств защиты информации | XSpider 7.8.24, организационные меры |
| АНЗ.3 | Контроль работоспособности, параметров настройки и правильности функционирования программного обеспечения и средств защиты информации | XSpider 7.8.24, Secret Net Studio, антивирус Kaspersky Security Center 10 |
| Продолжение таблицы 2.5 | ||
| № меры | Содержание мер по обеспечению безопасности информации | Реализация мер |
| АНЗ.4 | Контроль состава технических средств, программного обеспечения и средств защиты информации | Secret Net Studio |
| АНЗ.5 | Контроль правил генерации и смены паролей пользователей, заведения и удаления учетных записей пользователей, реализации правил разграничения доступа, полномочий пользователей в информационной системе | Secret Net Studio, организационные меры |
| IX. Обеспечение целостности информационной системы и информации (ОЦЛ) | ||
| ОЦЛ.3 | Обеспечение возможности восстановления программного обеспечения, включая программное обеспечение средств защиты информации, при возникновении нештатных ситуаций | Secret Net Studio |
| XII. Защита технических средств (ЗТС) | ||
| ЗТС.2 | Организация контролируемой зоны, в пределах которой постоянно размещаются стационарные технические средства, обрабатывающие информацию, и средства защиты информации, а также средства обеспечения функционирования | Организационные меры |
| ЗТС.2 | Организация контролируемой зоны, в пределах которой постоянно размещаются стационарные технические средства, обрабатывающие информацию, и средства защиты информации, а также средства обеспечения функционирования | Организационные меры |
| Окончание таблицы 2.5 | ||
| № меры | Содержание мер по обеспечению безопасности информации | Реализация мер |
| ЗТС.3 | Контроль и управление физическим доступом к техническим средствам, средствам защиты информации, средствам обеспечения функционирования, а также в помещения и сооружения, в которых они установлены, исключающие несанкционированный физический доступ к средствам обработки информации, средствам защиты информации и средствам обеспечения функционирования информационной системы, в помещения и сооружения, в которых они установлены | Организационные меры |
| ЗТС.4 | Размещение устройств вывода (отображения) информации, исключающее ее несанкционированный просмотр | Организационные меры |
-
Профиль системы защиты информации
Для информационной системы «Комитет» был подобран следующий список технических средств, имеющих необходимые сертификаты соответствия:
-
средство от НСД Secret Net Studio;
-
средство анализа защищенности XSpider 7.8.24;
-
средство межсетевого экранирования VipNet Coordinator HW1000;
-
средство межсетевого экранирования VipNet Administrator 3.2;
-
средство межсетевого экранирования VipNet Client 3.2.
Часть мер по обеспечению безопасности информации, обрабатываемой в информационной системе, реализована за счет организационных мер, которые организации необходимо будет утвердить и довести до сотрудников. Организационные меры касаются следующего:
-
учета электронных идентификаторов пользователей информационной системы;
-
управления учетными записями пользователей ИС;
-
контроля за установкой обновлений системного и программного обеспечения;
-
доступа в защищаемое помещения;
-
правил обращения со съемными носителями.
Настройку и установку подобранных технических средств защиты информации должен проводить специально обученный человек в присутствии администратора безопасности, либо сам администратор безопасности.
![](https://s.studizba.com/z.php?f=/templates/si/i/noavatar.png&w=100&h=100&t=1"){kind=avatar}
