Методические рекомендации по определению настроек СЗИ (814190)
Текст из файла
МЕТОДИЧЕСКИЕ РЕКОМЕНДАЦИИ ПО ОПРЕДЕЛЕНИЮ ПАРАМЕТРОВ НАСТРОЙКИ ТЕХНИЧЕСКИХ СРЕДСТВ И СИСТЕМ ЗАЩИТЫ ИНФОРМАЦИИ
Студент Митряев В.Д.
Содержание
Содержание 2
Введение 3
Принятые сокращения: 3
Идентификация и аутентификация субъектов доступа и объектов доступа (ИАФ) 4
Управление доступом субъектов доступа к объектам доступа (УПД) 12
Ограничение программной среды (ОПС) 29
Защита машинных носителей информации (ЗНИ) 32
Регистрация событий безопасности (РСБ) 37
Антивирусная защита (АВЗ) 45
Обнаружение вторжений (СОВ) 46
Контроль (анализ) защищенности информации (АНЗ) 48
Обеспечение целостности информационной системы и информации (ОЦЛ) 52
Обеспечение доступности информации (ОДТ) 55
Защита среды виртуализации (ЗСВ) 59
Защита технических средств (ЗТС) 66
Защита информационной системы, ее средств и систем связи и передачи данных (ЗИС) 67
Формы и перечни для заполнения сведений по определению параметров настройки СЗИ 86
Введение
Данный методический документ освещает вопросы по определению параметров настройки средств защиты информации от несанкционированного доступа и предназначено для лиц, ответственных за эксплуатацию системы защиты информации. В документе содержатся сведения, необходимые для получения общего представления о параметрах настройки системы защиты.
Принятые сокращения:
СЗИ – система защиты информации;
ЗИ – защита информации;
ИС – информационная система;
АРМ – автоматизированное рабочее место;
КИ – конфиденциальная информация;
ФСТЭК – Федеральная служба по техническому и экспортному контролю;
ФСБ – Федеральная служба безопасности Российской Федерации;
УЗ – уровень защищённости;
ИАФ – идентификация и авторизация;
УПД – управление доступом.
Идентификация и аутентификация субъектов доступа и объектов доступа (ИАФ)
ИАФ.1 идентификация и аутентификация пользователей, являющихся работниками оператора
Порядок определения параметров настройки технических средств защиты для реализации меры
А) Определение внутренних пользователей
Справочно:
-
Администратор безопасности: пользователь, имеющий полномочия по администрированию системы защиты информации информационной системы;
-
Системный администратор: пользователь, имеющий полномочия по администрированию информационной системы;
-
Пользователь: должностное лицо, использующее АРМ для выполнения служебных обязанностей;
-
Сервер безопасности: используется для удалённых подключений к АРМ и проводит оперативное управление.
Б) Определение учётных записей СЗИ внутренних пользователей
Пример:
-
Superadm – администратор безопасности;
-
Admin – системный администратор;
-
User – пользователь;
-
SecServer – сервер безопасности.
В) Составление перечня действий, разрешённых до идентификации и аутентификации пользователей
Пример:
-
Включение АРМ
-
Выключение АРМ
-
Перезагрузка АРМ
-
Смена пользователя
-
Смена языка
Г) Назначение полномочий пользователям
В соответствии с УПД.11
Пример заполнения формы параметров настройки:
Таблица 1. Пример заполнения формы "Внутренние пользователи"
| Наименование | Описание | Учётная запись | ФИО работника | № АРМ |
| Администратор безопасности | Пользователь, имеющий полномочия по администрированию системы защиты информации информационной системы | Superadm1 | Николаев Н.Н. | 23 |
| … | … | |||
| Superadm2 | Иванов И.И. | 56 | ||
| Системный администратор | Пользователь, имеющий полномочия по администрированию информационной системы | Admin | Сидоров С.С. | 21 |
Окончание таблицы 1
| Пользователь | Должностное лицо, использующее АРМ для выполнения служебных обязанностей | User1 | Петров П.П. | 20 |
| … | … | |||
| User109 | Петров П.В. | 109 | ||
| Сервер безопасности | Используется для удалённых подключений к АРМ и проводит оперативное управление | SecServer | … | … |
ИАФ.2 идентификация и аутентификация устройств, в том числе стационарных, мобильных и портативных
Порядок определения параметров настройки технических средств защиты для реализации меры
-
Определение перечня устройств, используемых в информационной системе
Пример:
Идентификация устройств в информационной системе обеспечивается по их МАС-адресам;
Пример заполнения формы:
Таблица 2. Пример заполнения формы "Идентификация устройств"
| Устройство | Идентификатор устройства |
| АРМ 1 | 00-15-F2-20-4D-6B |
| … | |
| АРМ 10 | 00-15-F2-20-4D-6A |
| Сервер на базе Xeon 1 | 01-15-F2-20-4D-6A |
| Сервер на базе Xeon 2 | 02-15-F2-20-4D-6A |
| Сервер на базе Pentium 1 | 03-15-F2-20-4D-6A |
| Сервер на базе Pentium 2 | 04-15-F2-20-4D-6A |
| L3 COM 28 портов | 50-15-F2-20-4D-6A |
| L2 COM 12 портов 1-4 | 05-15-F2-20-4D-6A |
| АПКШ Континент | 06-15-F2-20-4D-6A |
| ЦУС Континент | 07-15-F2-20-4D-6A |
| ЦИТАДЭЛЬ МЭ | 60-15-A2-20-4D-6A |
| ФПСУ AMICON-IP 1 | 00-25-F2-20-4D-6A |
| ФПСУ AMICON-IP 2 | 00-AA-F2-20-4D-6A |
ИАФ.3 управление идентификаторами, в том числе создание, присвоение, уничтожение идентификаторов
Порядок определения параметров настройки технических средств защиты для реализации меры
А) Определение лица, ответственного за управление идентификаторами
Необходимо назначение должностного лица, ответственного за управление идентификаторами пользователей – администратора безопасности.
Справочно:
Администратор безопасности ответственен за:
-
Формирование идентификатора
-
Присвоение идентификатора
-
Блокирование идентификатора
Б) Определение параметров при принятии решения на усиление базового набора мер:
Таблица 3. Усиление базового набора мер ИАФ.3
| Класс ИС | Администратором безопасности должно быть исключено повторное использование идентификатора пользователя в течение: | Администратором безопасности должно быть обеспечено блокирование идентификатора пользователя через период времени неиспользования: |
| 1 | Не менее 3-х лет | Не более 45 дней |
| 2 | Не менее одного года | Не более 90 дней |
| 3 | Не менее одного года | Не более 90 дней |
ИАФ.4 управление средствами аутентификации, в том числе хранение, выдача, инициализация, блокирование средств аутентификации и принятие мер в случае утраты и (или) компрометации средств аутентификации
Порядок определения параметров настройки технических средств защиты для реализации меры
А) Настройка управления средствами аутентификации
Справочно:
Необходимо назначение должностного лица, ответственного за управление средствами аутентификации – администратора безопасности.
Администратор безопасности ответственен за:
-
Хранение средств аутентификации;
-
Выдачу средств аутентификации;
-
Инициализацию средств аутентификации;
-
Блокирование средств аутентификации;
-
Установление характеристик пароля (если используется).
Б) Определение параметров при принятии решения на усиление базового набора мер:
Таблица 4. Усиление базового набора мер ИАФ.4
| Класс ИС | При использовании пароля в качестве средства аутентификации или одного из факторов многофакторной аутентификации, его характеристики должны быть следующими: |
| 1 | Длина пароля не менее восьми символов, алфавит пароля не менее 70 символов, максимальное количество неуспешных попыток аутентификации (ввода неправильного пароля) до блокировки от 3 до 4 попыток, блокировка программно-технического средства или учетной записи пользователя в случае достижения установленного максимального количества неуспешных попыток аутентификации от 15 до 60 минут, смена паролей не более чем через 60 дней |
Окончание таблицы 4
| 2 | Длина пароля не менее шести символов, алфавит пароля не менее 70 символов, максимальное количество неуспешных попыток аутентификации (ввода неправильного пароля) до блокировки от 3 до 8 попыток, блокировка программно-технического средства или учетной записи пользователя в случае достижения установленного максимального количества неуспешных попыток аутентификации от 10 до 30 минут, смена паролей не более чем через 90 дней |
| 3 | Длина пароля не менее шести символов, алфавит пароля не менее 60 символов, максимальное количество неуспешных попыток аутентификации (ввода неправильного пароля) до блокировки от 3 до 10 попыток, блокировка программно-технического средства или учетной записи пользователя в случае достижения установленного максимального количества неуспешных попыток аутентификации от 5 до 30 минут, смена паролей не более чем через 120 дней |
ИАФ.5 защита обратной связи при вводе аутентификационной информации
Порядок определения параметров настройки технических средств защиты для реализации меры
А) Включение защиты обратной связи при вводе аутентификационной информации
Пример:
В средствах защиты информации необходимо включить функцию защиты обратной связи – вводимые символы пароля могут отображаться знаками «*», «®» или иными.
ИАФ.6 идентификация и аутентификация пользователей, не являющихся работниками оператора (внешних пользователей)
Порядок определения параметров настройки технических средств защиты для реализации меры
А) Определение внешних пользователей
Справочно:
К внешним пользователям относятся все пользователи, не указанные в пункте ИАФ.1 в качестве внутренних.
Гость: учётная запись для доступа к информационной системе на законных основаниях для пользователей, не являющихся работниками оператора.
Б) Определение учётных записей СЗИ внешних пользователей
Пример:
Anonymous – гость;
Характеристики
Тип файла документ
Документы такого типа открываются такими программами, как Microsoft Office Word на компьютерах Windows, Apple Pages на компьютерах Mac, Open Office - бесплатная альтернатива на различных платформах, в том числе Linux. Наиболее простым и современным решением будут Google документы, так как открываются онлайн без скачивания прямо в браузере на любой платформе. Существуют российские качественные аналоги, например от Яндекса.
Будьте внимательны на мобильных устройствах, так как там используются упрощённый функционал даже в официальном приложении от Microsoft, поэтому для просмотра скачивайте PDF-версию. А если нужно редактировать файл, то используйте оригинальный файл.
Файлы такого типа обычно разбиты на страницы, а текст может быть форматированным (жирный, курсив, выбор шрифта, таблицы и т.п.), а также в него можно добавлять изображения. Формат идеально подходит для рефератов, докладов и РПЗ курсовых проектов, которые необходимо распечатать. Кстати перед печатью также сохраняйте файл в PDF, так как принтер может начудить со шрифтами.
![](https://s.studizba.com/z.php?f=/templates/si/i/noavatar.png&w=100&h=100&t=1"){kind=avatar}
