Пояснительная записка (1210004), страница 5
Текст из файла (страница 5)
Для муниципальной информационной системы, при выборе средств защиты, необходимо отталкиваться от класса защищенности информационной системы. При выборе средств защиты необходимо подбирать нужный класс защиты, в соответствии с требованиями руководящих документов ФСТЭК и ФСБ России.
В соответствии с документом «Об утверждении требования о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах», утвержденных приказом ФСТЭК России от 11.02.2013 г. №17 [2] и документом «О внесении изменений в требования о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах, утвержденные приказом федеральной службы по техническому и экспортному контролю от 11 февраля 2013 г. n 17», утвержденного приказом ФСТЭК России от 15.02.2017 г. №27 [3] для обеспечения второго класса защищённости информации необходимо:
-
средства вычислительной техники не ниже пятого класса защиты;
-
средства защиты информации не ниже пятого класса защиты.
-
Технические средства защиты информации
Для всестороннего обеспечения безопасности информации, помимо организационных мер и встроенных средств защиты (в программных комплексах и операционных системах), необходимо использование дополнительных средств защиты информации, формирующих подсистемы СЗИ.
Применяемые СЗИ должны вместе образовать полноценную систему защиты информации, обеспечивающую безопасность их обработки в рассматриваемой МИС.
В МИС МКУ «ЦОД» в качестве системы виртуализации используется система Proxmox на основе ОС Debian. Для обеспечения второго класса защищенности в МИС МКУ «ЦОД» необходимо реализовать защиту среды виртуализации. Используемая система виртуализации в МИС МКУ «ЦОД» на данный момент не поддерживает средства защиты виртуальной инфраструктуры и используется только потому что является бесплатным средством виртуализации. Для создания необходимой защиты в МИС МКУ «ЦОД» необходимо произвести модернизацию системы виртуализации либо отказаться от нее вовсе и перевести все виртуальные сервера на физические. Модернизация среды виртуализации более эффективно и с точки зрения экономического аспекта и с точки зрения технологического аспекта. Поэтому для создания системы защиты, отвечающей всем правовым актам ФСТЭК и ФСБ, была произведена модернизация системы виртуализации. А также произведена закупка рабочего места администратора для создания централизованного управления все системой. Стоимость и перечень необходимых средств для модернизации информационной системы приведена в приложении В
Для реализации комплексной системы защиты предлагаются к использованию сертифицированные ФСТЭК средства защиты информации:
-
средство защиты от несанкционированного доступа;
-
средство межсетевого экранирования;
-
средство защиты виртуальной инфраструктуры;
-
средство анализа уязвимостей;
-
средство антивирусной защиты;
-
системы обнаружения вторжений;
-
система создание резервных копий.
В соответствии с указанными требованиями к обеспечению защиты МИС МКУ «ЦОД» были предложены сертифицированные средства защиты информации, указанные в таблице 3.3.
Таблица 3.3 – Перечень сертифицированных средств защиты информации выбранных к использованию в МИС МКУ «ЦОД»
| Тип СЗИ | Модель | Производитель | Сертификат ФСТЭК России |
| Межсетевой экран | ССПТ-2 | ЗАО НПО РТК. | N 2141 действителен до 23.07.2019 г. |
| СЗИ от НСД | Dallas Lock 8.0 | ООО «Конфидент» | № 2945 действителен до 16.08.2019 г. |
| СЗИ от НСД | Dallas Lock Linux | ООО «Конфидент» | № 3594 действителен до 04.07.2019 г. |
| Система защиты виртуальной инфаструктуры | Dallas Lock 8.0 | ООО «Конфидент» | Планируемый срок окончания сертификационных испытаний – 2 квартал 2017 г. |
| Система создание резервных копий | Acronis Backup & Recovery 11 | ЗАО «АЛТЭКС-СОФТ» | № 2677 действителен до 17.07.2018 г. |
| Система обнаружения вторжений | Dallas Lock 8.0 | ООО «Конфидент» | №2945 действителен до 16.08.2019 г. |
| Средство анализа уязвимостей; | Xspider 7.8.24 | ООО «Позитив Технолоджиз» | №3247 действителен до 28.10.2017 |
| Средство антивирусной защиты | Dr.Web Enterprise Security Suite | ООО «Доктор Веб» | №3509 действителен до 27.01.2019 |
Ориентировочная стоимость предлагаемых к использованию сертифицированных средств защиты информации представлена в таблице В.1
-
Межсетевой экран ССПТ-2
ССПТ-2 представляет собой межсетевой экран нового поколения, позволяющий реализовывать защиту в качестве межсетевого экрана, однако при этом ССПТ-2 остается «невидимым» для любых протоколов и сканеров сети, благодаря отсутствия физических и логических адресов на его фильтрующих интерфейсах. Благодаря свойству скрытности межсетевого экрана ССПТ-2 повышается надежность системы защиты информационной системы.
Межсетевой экран ССПТ-2 функционирует в режиме скрытной фильтрации и дает возможность обеспечивать защиту автоматизированных систем, в которых обрабатывается информация различных уровней конфиденциальности. ССПТ-2 применяется для разделения сегментов локальной вычислительной сети (ЛВС) с целью обеспечения защиты информации от несанкционированного доступа посредством:
-
пакетной фильтрации на основе анализа параметров заголовков пакетов на различных уровнях сетевого взаимодействия – от канального до транспортного уровня включительно;
-
управления транспортными соединениями между узлами ЛВС на основе анализа параметров виртуальных соединений и/или запросов на их установление;
-
контроля данных прикладного уровня на основе заданных критериев и с учетом направления передачи потока пакетов.
На базе ССПТ-2 реализуются высокоэффективные масштабируемые решения по защите информации в компьютерных сетях на базе технологии Ethernet. ССПТ-2 используется как основное средство защиты для реализации различных политик информационной безопасности с помощью:
-
фильтрации пакетов на канальном, сетевом, транспортном и прикладном уровнях;
-
управления транспортными соединениями между отдельными узлами ЛВС или виртуальной ЛВС (VLAN);
-
контроля контента данных на прикладном уровне с учетом направления, времени и типа протоколов передачи трафика.
Межсетевые экраны типа ССПТ отвечают требованиям современных стандартов безопасности для устройств третьего класса защиты и имеют сертификат ФСБ РФ N СФ/525-1093.
-
Dallas Lock 8.0-K
СЗИ от НСД Dallas Lock 8.0-K и Dallas Lock Linux являются средствами защиты информации от несанкционированного доступа, в процессе её обработки и хранения. СЗИ от НСД Dallas Lock 8.0-K и Dallas Lock Linux являются программными средствами защиты информации в ОС семейства Windows и Linux с возможностью подключения аппаратных идентификаторов.
СЗИ от НСД Dallas Lock 8.0-K обеспечивает:
-
защиту конфиденциальной информации от несанкционированного доступа на персональных компьютерах, портативных и мобильных компьютерах (ноутбуках и планшетных ПК), серверах (файловых, контроллерах домена и терминального доступа), работающих как автономно, так и в составе ЛВС. Поддерживает виртуальные среды;
-
дискреционный принцип разграничения доступа к информационным ресурсам и подключаемым устройствам в соответствии со списками пользователей и их правами доступа (матрица доступа);
-
аудит действий пользователей – санкционированных и без соответствующих прав; ведение журналов регистрации событий;
-
контроль целостности файловой системы, программно-аппаратной среды и реестра;
-
объединение защищенных ПК для централизованного управления механизмами безопасности;
-
приведение АС, ГИС и обработки информации в соответствие законодательству РФ по защите информации;
-
обеспечение доверенной загрузки средств вычислительной техники.
СЗИ от НСД Dallas Lock 8.0-K сертифицирована ФСТЭК России на соответствие четвертому уровню контроля отсутствия НДВ и пятому классу защищенности от НСД.
Состав Dallas Lock 8.0-К пополнился новым модулем «Межсетевой экран» (МЭ) и программным решением – Средством контроля съемных машинных носителей информации (СКН).
Межсетевой экран прошел сертификационные испытания по третьему классу защищенности МЭ, четвертому уровню контроля НДВ.
СКН прошло сертификационные испытания по четвертому классу защиты СКН, четвертому уровню контроля НДВ.
-
СЗИ ВИ Dallas Lock
СЗИ ВИ Dallas Lock – система защиты информации в виртуальных инфраструктурах, которая предназначена для комплексной и многофункциональной защиты конфиденциальной информации от несанкционированного доступа в виртуальных средах на базе VMware vSphere.
СЗИ ВИ Dallas Lock обеспечивает:
-
идентификацию/аутентификацию администраторов и пользователей в виртуальной среде: на гипервизоре, средствах управления виртуальной средой, виртуальных машинах;
-
разграничение доступа к компонентам виртуальной инфраструктуры: к средствам управления виртуальной инфраструктурой, к виртуальным машинам (файлам виртуальных машин), к операциям с виртуальными машинами;
-
разграничение доступа к объектам файловой системы и устройствам в виртуальной среде;
-
контроль целостности критичных объектов виртуальной среды: настроек виртуальных машин, системных файлов гипервизоров ESXi;
-
регистрацию событий безопасности в виртуальной среде и гибкая настройка аудита гипервизора;
-
доверенную загрузку виртуальных машин;
-
фильтрацию сетевого трафика в виртуальной среде по предустановленным правилам с возможностью их редактирования или гибкой настройки;
-
зачистку остаточной информации виртуальных машин.
СЗИ ВИ Dallas Lock сертифицирована ФСТЭК России на соответствие четвертому классу контроля отсутствия НДВ и пятому классу защищенности от НСД.
-
XSpider 7.8.24
Для реализации мер по АНЗ использовать сканер безопасности XSpider 7.8.
Программное средство xSpider 7.8 позволяет осуществлять диагностику и мониторинг сетевых компьютеров, сканировать сети, компьютеры и приложения на предмет обнаружения возможных проблем в системе безопасности.
xSpider 7.8 обеспечивает выполнение следующих задач:
-
полная идентификация сервисов на случайных портах;
-
эвристический метод определения типов и имен серверов (HTTP, FTP, SMTP, POP3, DNS, SSH) вне зависимости от их ответа на стандартные запросы;
-
обработка RPC-сервисов (Windows и *nix) с их полной идентификацией;
-
проверка слабости парольной защиты;
-
анализ всех скриптов HTTP-серверов (в первую очередь, пользовательских): SQL инъекций, инъекций кода, запуска произвольных программ, получения файлов, межсайтовый скриптинг (XSS), HTTP Response Splitting;
-
анализатор структуры HTTP-серверов;
-
проведение проверок на нестандартные DoS-атаки;
-
специальные механизмы, уменьшающие вероятность ложных срабатываний;
-
ежедневное добавление новых уязвимостей и проверок;
-
гибкий планировщик заданий для автоматизации работы;
-
одновременное сканирование большого числа компьютеров;
-
ведение полной истории проверок;
-
генерация отчетов с различными уровнями их детализации;
-
встроенная документация, включающая контекстную справку и учебник.
Сертификат ФСТЭК России № 3247 от 24.10.2014 г. удостоверяет, что данный программный комплекс соответствует требованиям РД по четвертому уровню контроля отсутствия недекларированных возможностей.
-
Acronis Backup & Recovery 11
Программное средство общего назначения со встроенными средствами защиты от несанкционированного доступа к информации, не содержащей сведения, составляющее государственную тайну.
Данное средство имеет сертификат ФСТЭК № 2681 от 17.07.12 г.
![](https://s.studizba.com/z.php?f=/templates/si/i/noavatar.png&w=100&h=100&t=1"){kind=avatar}
