Реферат: Информационная безопасность
СОДЕРЖАНИЕ
1. ОБЩИЕ ПОЛОЖЕНИЯ
1.1 Наименованиепроектируемой системы
1.2 Наименованиепредприятий исполнителя работ и заказчика системы
1.3 Основаниедля проектирования
1.4 Срокивыполнения работ
1.5 Цели,назначение и области использования системы
1.6 Очередностьсоздания
1.7 Сведения обиспользованных нормативно-технических документах
2. ОПИСАНИЕ ПРОЦЕССА ДЕЯТЕЛЬНОСТИ
3. ОСНОВНЫЕ ТЕХНИЧЕСКИЕ РЕШЕНИЯ
3.1 Общиетребования к проектируемым СЗПДн ИСПДн лаборатории ИУ-8
3.2 Решения поструктуре СЗПДн ИСПДн лаборатории ИУ-8
3.3 Описание подсистем средств защиты информации
3.3.1 Подсистема управлениядоступом
3.3.2 Подсистема регистрации иучета
3.3.3 Подсистема обеспеченияцелостности
3.3.4 Подсистема антивируснойзащиты
3.3.5 Подсистема межсетевогоэкранирования
3.3.6 Подсистема защиты информации от утечек по побочным каналам
3.3.7 Подсистема резервногокопирования
3.3.8 Подсистема обеспеченияотказоустойчивости
3.4 Описаниесредств защиты информации
3.4.1 Службы каталогов Active Directory
3.4.2 Групповые политики Active Directory
3.4.3 ПО Event Viewer
3.4.4 Система антивирусной защиты Kaspersky BusinessSpace Security
3.4.5 ПО Microsoft InternetSecurity and Acceleration Server 2006
3.4.6 Адаптивный генераторвиброакустической помехи «Кедр»
3.4.7 Система «Универсальный офис» Legos
3.4.8 Система резервногокопирования Acronis True Image Echo Enteprise Server
3.4.9 Массив RAID 5
3.4.10 ИБП UPS 3000VA IpponSmart Winner 3000
3.4.11 ИБП UPS 600VA PowerComBNT 600A
3.5 Решение поинженерным систем
3.5.1 Решения по физическойохране
3.5.2 Решения по СКД
3.5.3 Решения по СКС
3.5.4 Решения по системеэлектропитания
3.5.5 Решения по системекондиционирования и вентиляции
3.6 Решения порежимам функционирования, диагностированию работы СЗПДн ИСПДн лаборатории ИУ-8
3.6.1 Режим установки и начального конфигурирования компонентов СЗПДн
3.6.2 Штатный режим работыСЗПДн
3.6.3 Тестированияработоспособности СЗПДн
3.6.4 Администрирование итехническое обслуживание СЗПДн
3.6.5 Реагирование на событиябезопасности и аварийные ситуации
3.7 Сведения о соответствии заданных в задании на разработку проектапотребительских характеристик системы, определяющих ее качество
4. ОРГАНИЗАЦИОННОЕ ОБЕСПЕЧЕНИЕ ЗАЩИТЫ ИНФОРМАЦИИ
4.1 Основныеорганизационные мероприятия
4.1.1 Основные целиорганизационных мероприятий
4.1.2 Состав организационныхмероприятий
4.1.2.1 Мероприятия по учетузащищаемых носителей информации
4.1.2.2 Мероприятия потестированию функций СЗИ НСД
4.1.2.3 Мероприятия попроверке, обновлению и контролю работоспособности средств восстановления СЗИ НСД
5. МЕРОПРИЯТИЯ ПО ПОДГОТОВКЕ К ВВОДУ В ДЕЙСТВИЕ СЗИ
5.1 Мероприятияпо обучению и проверке квалификации персонала
5.2 Мероприятияпо созданию необходимых подразделений и рабочих мест
5.3 Порядокконтроля и приемки СЗПДн
ПЕРЕЧЕНЬ ИСПОЛЬЗУЕМЫХСОКРАЩЕНИЙ
АИБ – Администратор информационной безопасности АРМ – Автоматизированное рабочее место БД – База данных ВПр – Вредоносная программа ИБП – Источник бесперебойного питания ИСПДн – Информационная система персональных данных ЛВС – Локальная вычислительная сеть МЭ – Межсетевой экран НСД – Несанкционированный доступ ОС – Операционная система ПДн – Персональные данные ПМВ – Программно-математическое воздействие ПО – Программное обеспечение ПТС – Программно-технические средства СЗИ – Система защиты информации СКД – Система контроля доступа СЗПДн – Система защиты персональных данных AD – Active Directory DNS – Domain Name System
1. ОБЩИЕ ПОЛОЖЕНИЯ
Настоящий техническийпроект разработан специалистами кафедры ИУ-8 «Информационная безопасность»факультета «Информатика и системы управления» МГТУ им. Н. Э. Бауманав рамках выполнения практической работы по проектированию системы защитыперсональных данных (далее – СЗПДн).
Технический проектсодержит описание основных технических решений по оснащению СЗПДнинформационной системы персональных данных (далее ИСПДн), расположенной впомещении компьютерного класса лаборатории кафедры ИУ-8 «Информационнаябезопасность» МГТУ им. Н.Э. Баумана.
/>/>
1.1 Наименование проектируемой системы
Полное наименование:
- Система защиты персональных данныхкомпьютерного класса лаборатории кафедры ИУ-8 «Информационная безопасность»МГТУ им. Н.Э. Баумана.
Условное наименование:
- СЗПДн ИСПДн лаборатории ИУ-8./>/>/>/>/>
1.2 Наименование предприятий исполнителя работ и заказчика системы
Заказчик:
- кафедра ИУ-8 «Информационнаябезопасность» факультета «Информатика и системы управления» МГТУим. Н. Э. Баумана.
Исполнитель:
- студенты группы ИУ8-112 кафедры ИУ-8 «Информационнаябезопасность» Гальцев Б.С., Кучин И.А., Сенчуков А.И./>/>
1.3 Основание для проектирования
Основанием для разработкитехнического проекта по оснащению СЗДПн ИСПДн лаборатории ИУ-8 являются:
- Требования учебного плана кафедры «Информационнаябезопасность» (ИУ-8) МГТУ им. Н.Э. Баумана;
- Техническое задание на проектированиесистемы защиты персональных данных информационной системы персональных данных,расположенной в помещении компьютерного класса лаборатории кафедры ИУ-8 «Информационнаябезопасность» МГТУ им. Н.Э. Баумана (шифр – 001234567.000.001.ТЗ.01.1-1).
1.4 Сроки выполнения работ
Сроки начала иокончания работ по оснащению СЗПДн ИСПДн лаборатории ИУ-8 определяются всоответствии с учебным планом кафедры ИУ-8 «Информационная безопасность»МГТУ им. Н.Э.Баумана. Сроком начала работ является 30августа 2010 года, сроком окончания работ – 19 сентября 2010 года.Сдача-приемка работ осуществляется в период с 20 сентября 2010 года по 24сентября 2010 года.
1.5 Цели, назначение и области использования системы
Создаваемыесистемы относятся к системам защиты информации.
Назначениемсоздаваемых систем является обеспечение безопасности ПДн, обрабатываемых вИСПДн лаборатории ИУ-8, в соответствии с требованиями нормативных правовыхактов Российской Федерации и руководящих документов по защите ПДн.
Целью проведенияработ является оснащение СЗПДн ИСПДн лаборатории ИУ-8.
/>
1.6 Очередность создания
Работы по оснащениюСЗПДн ИСПДн лаборатории ИУ-8 выполняются с соблюдением следующей очередности:
- предпроектное обследование ИСПДнлаборатории ИУ-8;
- разработка технического задания на оснащениеСЗПДн ИСПДн лаборатории ИУ-8;
- проектирование СЗПДн ИСПДнлаборатории ИУ-8;
- сдача-приемка работ по оснащениюСЗПДн ИСПДн лаборатории ИУ-8.
/>/>
1.7 Сведения об использованных нормативно-технических документах
Настоящий техническийпроект разработан на основе следующих нормативных правовых актов и стандартовРоссийской Федерации:
- Федеральныйзакон от 27.07.2006 г. № 152-ФЗ «О персональных данных»;
- Положениеоб обеспечении безопасности персональных данных при их обработке винформационных системах персональных данных. Утверждено постановлениемПравительства Российской Федерации от 17 ноября 2007 г. № 781;
- Порядокпроведения классификации информационных систем персональных данных. Совместныйприказ ФСТЭК России, ФСБ России и Мининформсвязи России от 13 февраля 2008 г. № 55/86/20 (Зарегистрирован в Минюсте России 3 апреля 2008 года, регистрационный № 11462);
- Базоваямодель угроз безопасности персональных данных при их обработке в информационныхсистемах персональных данных. Утверждена заместителем директора ФСТЭК России 15февраля 2008 г.;
- Положениео методах и способах защиты информации в информационных системах персональныхданных. Утверждено Приказом ФСТЭК России от 5.02.2010 N 58;
- Методическиерекомендации по обеспечению с помощью криптосредств безопасности персональныхданных при их обработке в информационных системах персональных данных сиспользованием средств автоматизации. Утверждены руководством 8 Центра ФСБРоссии от 21 февраля 2008 г. № 149/54-144;
- Типовыетребования по организации и обеспечению функционирования шифровальных(криптографических) средств, предназначенных для защиты информации, несодержащей сведений, составляющих государственную тайну в случае ихиспользования для обеспечения безопасности персональных данных при их обработкев информационных системах персональных данных. Утверждены руководством 8 ЦентраФСБ России от 21 февраля 2008 г. № 149/6/6-622.
2. ОПИСАНИЕ ПРОЦЕССА ДЕЯТЕЛЬНОСТИ
Кафедра «Информационнаябезопасность» является подразделением государственного образовательногоучреждения высшего профессионального образования «МосковскийГосударственный Технический Университет имени Н.Э. Баумана». Основныефункции кафедры ИУ-8 направлены на решение задач по профессиональной подготовкестудентов по специальности «Комплексное обеспечение информационной безопасностиавтоматизированных систем».
Основные функциикафедры ИУ-8 определяют цели обработки ПДн и реализуются средствамиавтоматизации в рамках ИСПДн лаборатории ИУ-8. Назначением ИСПДн лаборатории ИУ-8является обработка ПДн студентов кафедры ИУ-8 МГТУ им. Н.Э. Баумана.
ИСПДнлаборатории ИУ-8 представляет собой совокупность серверов хранения и обработкиинформации и автоматизированных рабочих мест (далее — АРМ), объединенных влокальную вычислительную сеть (далее — ЛВС). Также ИСПДн включает в себя персонал,осуществляющий обработку информации, и обслуживающий персонал.
В ИСПДнпредусмотрен многопользовательский режим работы. При этом пользователи обладаютразличными правами на доступ к ПДн, обрабатываемым в ИСПДн лаборатории ИУ-8.
В составтехнических средств ИСПДн лаборатории ИУ-8 входят:
- серверное оборудование;
- рабочие станции пользователей ИСПДн;
- сетевое оборудование (активное ипассивное).
Информация хранится насерверах ИСПДн в виде файлов. Пользователи ИСПДн получают доступ к информации сиспользованием механизмов сетевого доступа к файлам и папкам.
Обработка информацииосуществляется на типовых АРМ пользователей с использованием пакета программ Microsoft Office 2007. За каждым пользователем закрепляется выделенноеАРМ, и работа пользователя на других АРМ запрещается.
Ввод информации в ИСПДносуществляется пользователями на своих АРМ с клавиатуры. Для вывода информациииз ИСПДн используется лазерный принтер, установленный в общем помещении ИСПДн.
Для обеспеченияпроизводственного процесса оборудование ИСПДн лаборатории ИУ-8 подключается кдругим ЛВС организации, не имеющим выхода в сети связи общего пользования. Привзаимодействии ЛВС ИСПДн с другими ЛВС организации передача ПДн неосуществляется.
Класс ИСПДн лабораторииИУ-8 определен равным К3.
Подробноеописание ИСПДн кафедры ИУ-8 приведено в документе Отчет о предпроектномобследовании (шифр – 001234567.000.001.ОПО.01.1-1).
3. ОСНОВНЫЕ ТЕХНИЧЕСКИЕ РЕШЕНИЯ
Технические решения по оснащению СЗПДн ИСПДн лаборатории ИУ-8разработаны с учетом требований Технического задания на создание СЗПДн (шифр –001234567.000.001.ТЗ.01.1-1), а также требования нормативных документов позащите ПДн.
СЗПДн ИСПДн лаборатории ИУ-8 проектируется как многоуровневаясистема с централизованным управлением. При проектировании СЗПДн ИСПДнлаборатории ИУ-8 учитываются возможности дальнейшего масштабирования систем, атакже максимального использования существующих инженерных сетей и систем.
/>3.1 Общие требования к проектируемымСЗПДн ИСПДнлаборатории ИУ-8
СЗПДн ИСПДн лабораторииИУ-8 должна:
- обеспечивать защиту ПДн, которыеобрабатываются, передаются и хранятся на всех уровнях ИСПДн, отнесанкционированного доступа (далее — НСД);
- обеспечивать защиту речевойинформации, обсуждаемой в рамках обработки информации пользователями ИСПДн насвоих рабочих местах;
- не вызывать существенного сниженияпроизводительности аппаратно-программного обеспечения ИСПДн при обработкеинформации;
- обеспечивать высокую надёжность исредства восстановления как компонент системы защиты информации, так и самойинформации;
- соответствовать современному уровнюразвития вычислительной техники и технологий автоматизированной обработкиинформации;
- удовлетворять требованиямзаконодательства и нормативных документов Российской Федерации в области защитыПДн./>/>
3.2 Решения поструктуре СЗПДн ИСПДнлаборатории ИУ-8
Проектируемая СЗПДн ИСПДн лаборатории ИУ-8 состоит из подсистем,перечень и назначение которых приведены в таблице 3.3.1.
Таблица 3.2.1 – Подсистемы СЗПДн ИСПДн лабораторииИУ-8
№ п/п Наименование подсистемы Назначение подсистемы 1 Подсистема управления доступом управление доступом к информационным ресурсам ИСПДн;
управление парольной политикой
2 Подсистема регистрации и учета регистрация и учет действий пользователей ИСПДн и процессов;
регистрация действий администратора СЗПДн;
3 Подсистема обеспечения целостности контроль доступа в помещения ИСПДн 3 Подсистема антивирусной защиты защита программ и данных от вирусов и вредоносных программ 4 Подсистема межсетевого экранирования фильтрация сетевого трафика;
защита ЛВС ИСПДн от НСД
5 Подсистема защиты информации от утечек по побочным каналам — защита речевой информации от утечек по акустическому каналу 6 Подсистема резервного копирования — резервное копирование и восстановление информации 7 Подсистема обеспечения отказоустойчивости— обеспечение бесперебойной работы всех элементов ИСПДн;
— обеспечение безотказной работы внешних дисковых систем.
Оснащение СЗПДн ИСПДн лаборатории ИУ-8 предусматривается на основетиповых решений с использованием средств защиты информации как отечественного,так и зарубежного производства, применяемых при построении систем защитыинформации различного назначения.
Предусмотренные настоящими техническими решениями средства защитыинформации интегрируются в существующую ИСПДн лаборатории ИУ-8. В целяхобеспечения удобства внедрения отдельных компонентов проектируемых СЗПДнпредусматривается объединение средств защиты информации в отдельные комплексы.
В целях обеспечения централизованного администрирования различныхкомпонент ИСПДн лаборатории ИУ-8, а также средств защиты информации, входящих всостав разрабатываемой СЗПДн ИСПДн лаборатории ИУ-8, настоящими техническимирешениями предусматривается организация домена Active Directory. В составсоздаваемого домена предусматривается включить АРМ пользователей и серверы,входящие в ИСПДн лаборатории ИУ-8./>
3.3 Описание подсистем средств защиты информации/>
3.3.1 Подсистема управления доступом
Для защиты ПДн,хранящихся на файловых серверах ИСПДн лаборатории ИУ-8, от НСД предназначенаподсистема управления доступом. В состав подсистемы управления доступом входят:
- служба каталогов Active Directory (далее — AD);
- групповые политики AD.
Оба этих компонентаполностью интегрированы в операционные системы (далее — ОС) семейства Windows, поэтому нет необходимости установкидополнительного программного обеспечения (далее — ПО), необходимо будет толькопроизвести дополнительную настройку сервера, который впоследствии будетвыполнять роль контроллера домена..
Подсистемарегистрации и учета
Подсистема регистрации иучета выполняет следующие функции:
- регистрация и учет действийпользователей ИСПДн и процессов;
- регистрация действий администратораСЗПДн;
- регистрация и учет событийинформационной безопасности.
В качестве подсистемырегистрации и учета используется встроенный в ОС семейства Windows модуль ведения журналов событий, атакже средство их отображения – Event Viewer./>
3.3.2 Подсистемаобеспечения целостности
СКД обеспечиваетограничение физического доступа в защищаемое помещение ИСПДн лаборатории ИУ-8,осуществляя идентификацию пользователей с использованием proximity-картдоступа. В качестве СКД используется система «Универсальный офис»компании Legos/>
3.3.3 Подсистемаантивирусной защиты
Подсистема антивирусной защиты предназначена для защиты АРМпользователей и серверов ИСПДн от возможных вирусных заражений, а также сетевыхатак.
В состав подсистемы антивирусной защиты входит программный комплексKaspersky Business Space Security./>
3.3.4 Подсистема межсетевого экранирования
Подсистема межсетевого экранирования выполняет следующие функции:
- фильтрация сетевого трафика напериметре ЛВС лаборатории ИУ-8;
- защита ЛВС ИСПДн лаборатории ИУ-8 отНСД.
Компоненты подсистемы устанавливаются на периметре ЛВС лабораторииИУ-8.
Компоненты подсистемы межсетевого экранирования обеспечиваютфильтрацию всего входящего и исходящего из ЛВС лаборатории ИУ-8 сетевоготрафика и блокируют сетевой трафик, неразрешенный настройками безопасности.
В состав подсистемы межсетевого экранирования входит ПО MicrosoftInternet Security and Acceleration (далее — ISA) Server 2006./>
3.3.5 Подсистема защиты информации от утечек по побочным каналам
Подсистема защиты информации от утечек по побочным каналампредназначена для защиты выделенных помещений от утечки акустической информациипо вибрационному и акустическому каналам. Компоненты подсистемы монтируются взащищаемом помещении, а также по его периметру в элементах строительных конструкцийпомещения. На основе данных об акустической обстановке внутри защищаемогопомещения формируется виброакустическая помеха, предотвращающая съем информациипо акустическому и вибрационному каналам.
В состав подсистемы защиты информации от утечек по побочным каналамвходят:
- адаптивный генераторвиброакустической помехи «Кедр»;
- излучатели малой мощности «ПКИ-1»./>
3.3.6 Подсистема резервного копирования
Подсистема резервногокопирования предназначена для резервного копирования как серверов хранения(создание слепков жестких дисков), так и непосредственно самих файлов,содержащих ПДн (резервное копирование и восстановление файлов). Компонентыподсистемы устанавливаются на АРМ пользователей и серверы ИСПДн.
В состав подсистемырезервного копирования входит программный комплекс Acronis True Image Echo Enterprise Server./>
3.3.7 Подсистемаобеспечения отказоустойчивости
Подсистема обеспечениянадежности должна обеспечивать бесперебойную работу серверов хранения ПДн,серверов резервного копирования и АРМ пользователей ИСПДн.
Работа подсистемыреализуется с помощью следующих компонентов:
- массив RAID 5 дисков серверов хранения ПДн и серверов резервногокопирования на основе программной реализации RAID-контроллера, либо внешнего RAID-контроллера – Adaptec ASR-2805;
- источники бесперебойного питания(далее — ИБП) серверов хранения ПДн и серверов резервного копирования – UPS 3000VA Ippon Smart Winner 3000;
- ИБП АРМ пользователей ИСПДн – UPS 600VA PowerCom BNT 600A.
3.3.8 Описание средств защиты информации
Применяемые в СЗПДн ИСПДн лаборатории ИУ-8 средства защитыинформации представлены в таблице 3.4.1.
3.4 Описание средствзащиты информации
Таблица 3.4.1 – Применяемые средства защитыинформации
№ п/пНаименование средства
защиты информации
Условное обозначение средства
защиты информации
1 Средство защиты информации от НСД cлужба каталогов AD групповые политики AD 2 Средство регистрации и учета ПО Event Viewer 3 Средство антивирусной защиты серверов и рабочих станций система антивирусной защиты Kaspersky Business Space Security 4 Межсетевой экран ПО ISA Server 2006 5 Средство защиты информации от утечек по побочным каналам адаптивный генератор виброакустической помехи «Кедр» 6 Система контроля доступа Система «Универсальный офис» Legos 7 Средство резервного копирования Система резервного копирования Acronis True Image Echo Enterprise Server 8 Средство обеспечения отказоустойчивости RAID-массив 5 на базе программной реализации RAID-контроллера, либо RAID-контроллера Adaptec ASR-3405 ИБП UPS 3000VA Ippon Smart Winner 3000 ИБП UPS 600VA PowerCom BNT 600A3.4.1 Службы каталогов Active Directory
Служба каталогов Active Directory обеспечивает эффективную работусложной корпоративной среды, предоставляя следующие возможности:
- единая регистрация в сети — пользователи могут регистрироваться в сети с одним именем и паролем и получатьпри этом доступ ко всем сетевым ресурсам и службам (службы сетевойинфраструктуры, службы файлов и печати, серверы приложений и баз данных и т.д.);
- безопасность информации — средствааутентификации и управления доступом к ресурсам, встроенные в службу AD, обеспечивают централизованнуюзащиту сети;
- централизованное управление — администраторы могут централизованно управлять всеми корпоративными ресурсами;
- администрирование с использованиемгрупповых политик — при загрузке компьютера или регистрации пользователя всистеме выполняются требования групповых политик; их настройки хранятся вобъектах групповых политик и применяются ко всем учетным записям пользователейи компьютеров, расположенных в сайтах, доменах или организационныхподразделениях;
- интеграция с Domain Name System (далее — DNS) — функционирование служб каталоговполностью зависит от работы службы DNS. В свою очередь серверы DNS могутхранить информацию о зонах в базе данных (далее – БД) AD;
- расширяемость каталога — администраторы могут добавлять в схему каталога новые классы объектов илидобавлять новые атрибуты к существующим классам;
- масштабируемость — служба AD может охватывать как один домен, таки множество доменов, объединенных в дерево доменов, а из нескольких деревьевдоменов может быть построен лес;
- репликация информации — в службе AD используется репликация служебнойинформации в схеме со многими ведущими (multi-master), что позволяетмодифицировать БД AD на любомконтроллере домена. Наличие в домене нескольких контроллеров обеспечиваетотказоустойчивость и возможность распределения сетевой нагрузки;
- гибкость запросов к каталогу — БД AD может использоваться для быстрогопоиска любого объекта AD,используя его свойства (например, имя пользователя или адрес его электроннойпочты, тип принтера или его местоположение и т. п.);
- стандартные интерфейсы программирования- для разработчиков программного обеспечения служба каталогов предоставляетдоступ ко всем возможностям (средствам) каталога и поддерживает принятыестандарты и интерфейсы программирования (API).
В AD может быть создан широкий круг различных объектов. Объектпредставляет собой уникальную сущность внутри каталога и обычно обладаетмногими атрибутами, которые помогают описывать и распознавать его. Учетнаязапись пользователя является примером объекта. Этот тип объекта может иметьмножество атрибутов, таких как имя, фамилия, пароль, номер телефона, адрес имногие другие. Таким же образом общий принтер тоже может быть объектом в AD иего атрибутами являются его имя, местоположение и т.д. Атрибуты объекта нетолько помогают определить объект, но также позволяют искать объекты внутри каталога.
3.4.2 Групповые политики Active DirectoryМеханизм групповых политик позволяет автоматизировать данныйпроцесс управления. С помощью групповых политик можно настраивать различныепараметры компьютеров и пользовательской рабочей среды сразу в масштабах сайта AD,домена, организационного подразделения (детализацию настроек можно проводитьвплоть до отдельного компьютера или пользователя). Настраивать можно широкийнабор параметров — сценарии входа в систему и завершения сеанса работы всистеме, параметры Рабочего стола и Панели управления, размещения личных папокпользователя, настройки безопасности системы (политики паролей, управленияучетными записями, аудита доступа к сетевым ресурсам, управления сертификатамии т.д.), развертывания приложений и управления их жизненным циклом.
Каждый объект групповых политик (GPO, Group Policy Object) состоитиз двух частей: контейнера групповых политик (GPC, Group Policy Container) хранящегосяв БД AD, и шаблона групповых политик (GPT, Group Policy Template), хранящегосяв файловой системе контроллера домена, в подпапках папки SYSVOL. Место, вкотором хранятся шаблоны политик, — это папка%systemroot%\SYSVOL\sysvol\<имя домена>\Policies, и имя папки шаблонасовпадает с глобальным уникальным идентификатором (GUID) объекта Групповаяполитика.
Каждый объект политик содержит два раздела: конфигурация компьютераи конфигурация пользователя. Параметры этих разделов применяются соответственнолибо к настройкам компьютера, либо к настройкам среды пользователя.
Каждый объект политик может быть привязан к тому или иному объектуAD — сайту, домену или организационному подразделению (а также к несколькимобъектам одновременно).
При загрузке компьютера и аутентификации в домене к немуприменяются компьютерные разделы всех привязанных политик. При входепользователя в систему к пользователю применяется пользовательский раздел всехгрупповых политик. Политики, привязанные к некоторому уровню иерархии объектовAD (сайта, домена, подразделения) наследуются всеми объектами AD, находящимисяна более низких уровнях. Порядок применения политик:
- локальная политика;
- политики сайта AD;
- политики домена;
- политики организационныхподразделений.
Если в процессе применения политик какие-либо параметрыопределяются в различных политиках, то действующими значениями параметров будутзначения, определенные позднее.
Кроме применения политик в момент загрузки компьютера или входапользователя в систему, каждый компьютер постоянно запрашивает обновленныеполитики на контроллерах домена, загружает их и применяет обновленные параметры(и к пользователю, и к компьютеру). Рабочие станции домена и простые серверызапрашивают обновления каждые 90 ± 30 минут, контроллеры домена обновляют своиполитики каждые 5 минут.
3.4.3 ПО Event ViewerОснастка Event Viewer отображает события, регистрируемые системойпри выполнении различных операций. На компьютерах Windows по умолчанию имеютсяследующие журналы:
- Application (журнал приложений) —содержит события, записываемые программами. Приложение определяет типызаписываемых событий и язык сообщения;
- Security (журнал безопасности) —содержит события, относящиеся к безопасности компьютера, такие как попытки регистрациив системе или манипуляции с файлами.
- System (журнал системы) — содержитсобытия, записываемые компонентами Windows.
Event Viewer отображает типы событий, каждое из которых имеетсобственный уровень важности и собственную пиктограмму в журнале. Например:
- Error (ошибка) — сигнализирует обактуальной проблеме, которая может касаться потери функциональности, такой какнарушение корректного запуска служб и драйверов;
- Warning (предупреждение) — указываетна проблему, которая впоследствии может стать серьезной, если не обращатьвнимания на предупреждение. Предупреждения сугубо информативны и несвидетельствуют о наличии проблемы в настоящем или обязательном ее появлении вбудущем;
- Success Audit (аудит успехов) — этособытие, имеющее отношение к системе безопасности, которое произошло изаписывается потому, что система или администратор включили аудит данногособытия;
- Failure Audit (аудит отказов) — этособытие, имеющее отношение к системе безопасности, которое не произошло, нозапись о нем делается потому, что система или администратор включили аудитданного события.
Информация, отображаемая в Event Viewer, включает дату и время,когда произошло событие, источник события (то есть служба, драйвер устройстваили приложение, записавшее событие в журнал), категорию события, ID события,имя пользователя, который был зарегистрирован в системе, когда событиепроизошло и имя компьютера, на котором произошло событие. Для того чтобыпросматривать журнал Security, необходимо иметь права администратора.
3.4.4 Система антивирусной защитыKaspersky Business Space SecurityСистема антивируснойзащиты СЗПДн будет строиться на базе ПО компании «Лаборатория Касперского»Kaspersky Business Space Security, включающего в себя средствадля защитырабочих станций, серверов, а также средства централизованногоадминистрирования.
Всостав системы антивирусной защиты Kaspersky Business Space Security входятАнтивирус Касперского для Windows Workstation, Антивирус Касперского для Windows Server и средство централизованного управления Kaspersky Administration Kit.
АнтивирусКасперского для Windows Workstation предназначен для защиты рабочих станций в ЛВСи за ее пределами от всех видов вредоносных и потенциально опасных программ исетевых атак.
АнтивирусКасперского для WindowsServer используется для защиты файловыхсерверов под управлением операционных систем Windows от всех типов вредоносныхпрограмм. Решение разработано с учетом повышенных требований к серверам,работающим в условиях высоких нагрузок.
KasperskyAdministration Kit позволяет организовать и контролировать централизованнуюзащиту всей компании, объединяющую в единую систему разные уровни защиты.
Всостав Kaspersky Administration Kit входят следующие компоненты:
- сервер администрирования;
- агент администрирования;
- консоль администрирования.
Сервер администрирования осуществляетфункции централизованного хранения информации об установленных в сетипредприятия программах «Лаборатории Касперского» и управления ими.
Агент администрирования осуществляетвзаимодействие между Сервером администрирования и программами «ЛабораторииКасперского», установленными на конкретном сетевом узле (рабочей станцииили сервере);
Консоль администрированияпредоставляет пользовательский интерфейс к административным службам Сервера иАгента.
Система антивируснойзащиты Kaspersky Business Space Security выполняет следующие функции:
- Комплексная защита файловых серверовпод управлением Windows;
- Расширенная проактивная защита отновых вредоносных программ;
- Антивирусная защита в режимереального времени;
- Проверка файловых хранилищ порасписанию;
- Проверка критических областейсистемы;
- Изоляция зараженных рабочих станций;
- Оптимальное использование ресурсовкомпьютера;
- Распределение нагрузки между процессорамисервера;
- Полноценная поддержка 64-битныхплатформ;
- Удаленная централизованная установкаи удаление ПО;
- Удаленное централизованноеуправление;
- Автоматическое обновление баз имодулей ПО;
- Система получения отчетности;
- Механизм оповещения о событиях вработе ПО;
- Управление лицензиями.
3.4.5 ПО Microsoft InternetSecurity and Acceleration Server 2006ISA Server 2006 представляетиз себя полнофункциональный межсетевой экран (далее — МЭ) уровня приложений,обеспечивающий защиту ЛВС от внутренних и внешних атак. Выступая в качестве МЭпредприятия, ISA Server 2006 реализует следующие функции:
- многоуровневый межсетевой экран — длядостижения максимального уровня безопасности ЛВС используется фильтрацияпакетов, фильтрация каналов и фильтрация потока данных приложений. Динамическаяфильтрация пакетов выявляет пакеты, которые будут пропущены в защищенныеобласти сети, а также к прокси-службам прикладного уровня. При этом по меренеобходимости автоматически выполняется открытие (а по завершении сеанса связи— закрытие) соответствующих портов. Фильтрация каналов обеспечивает прозрачныйдля приложений шлюз для межплатформенного доступа к telnet, RealAudio, WindowsMedia, IRC (Internet Relay Chat), а также ко многим другим протоколам.Фильтрация каналов в ISA Server 2006 работает совместно с динамическойфильтрацией пакетов, что упрощает ее использование и повышает общуюбезопасность работы сети. Фильтрация и динамическая проверка данных приложенийспособна распознавать команды протоколов (например, НТТР, FTP и Gopher),поступающие от клиентских компьютеров. Сервер ISA Server имперсонирует вовнутренней сети клиентские компьютеры, скрывая от внешней среды внутреннюютопологию сети и IP-адреса ЛВС.
- динамическая проверка данных приложений- ISA Server 2006 динамически проводит интеллектуальную проверку на уровнеприложений потока данных, проходящего через МЭ. Во избежание возможных разрывовподключения или нарушения системы безопасности это делается с учетом контекстаданных приложения и состояния подключения.
- интеллектуальная фильтрация данныхприложений — помимо базовой фильтрации данных, сервер ISA Server 2006контролирует поток данных приложений, распознавая в нем данные и команды припомощи специальных фильтров. Средства интеллектуальной фильтрации позволяют наоснове анализа содержания потока данных пропускать, блокировать, перенаправлятьили изменять данные протоколов HTTP, FTP, SMTP, POP3, DNS, данных конференцийпо протоколу H.323, потокового мультимедиа, удаленного вызова процедур.
- безопасная публикация — механизмбезопасной публикации серверов позволяет защитить от внешних атак Web-серверы,почтовые серверы и приложения электронной торговли. ISA Server способенвыдавать себя за опубликованный сервер, реализуя дополнительный уровень защиты.Для защиты внутренних серверов в правилах публикации можно определить доступныекомпьютеры, а правила публикации средств управления сервером защищаютвнутренние серверы от незаконного доступа со стороны внешних пользователей.Кроме того, опубликованные серверы защищены от атак извне с помощьюинтеллектуальной фильтрации данных приложений.
- обнаружение вторжений — интегрированный компонент обнаружения вторжений (разработанный на основетехнологии компании Internet Security Systems) уведомляет пользователя ипредпринимает необходимые действия в случае обнаружения попытки незаконногопроникновения в сеть (например, сканирования портов, использования средствWinNuke или Ping of Death).
- прозрачность межсетевого экрана — механизм SecureNAT путем замены внутреннего IP-адреса на внешний предоставляетпрозрачный доступ к межсетевому экрану и защиту для всех IP-клиентов(независимо от конфигурации клиента и не требуя специального ПО). Сложныефильтры прикладного уровня, которые служат для управления подключением,предоставляют комплексную поддержку клиентам SecureNAT
3.4.6 Адаптивный генератор виброакустической помехи «Кедр»Адаптивный генераторвиброакустической помехи «Кедр» предназначен для защиты выделенныхпомещений от утечки акустической информации по вибрационному и акустическомуканалам. Его принцип действия основан на маскировании речи шумовой помехой,которая создаётся с помощью виброизлучателей. Противодействие прослушиваниюзаключается в излучении шумовой помехи в элементы строительных конструкцийздания. Прибор предотвращает возможность прослушивания переговоров с помощьюакустических, вибрационных датчиков, лазерных устройств съёма информации,аппаратуры прослушивания через стены, потолки, перекрытия, окна, воздуховоды,трубы отопления и т. п.
«Кедр»анализирует акустическую обстановку в помещении и на основании результатованализа, по встроенному алгоритму, формирует сигнал управления, функциональносвязанный с огибающей акустического (речевого) сигнала. Сформированный сигналуправляет параметрами генератора шума на основе 64 разрядной двоичнойпсевдослучайной последовательности, как во временной области, так и поамплитуде. Это позволяет локализовать виброакустическую помеху во времяпроизнесения слов и повысить ее спектральную плотность.
Устройство реализуетраспределенную виброакустическую защиту помещения через сеть излучателей малоймощности, что позволяет надёжно закрыть локальные области утечки информации повиброакустическому каналу (микротрещины, полости и. т.п.), а также снизитьобщий уровень акустического фона в защищаемом помещении.
Прибор может работать вдвух режимах «1» адаптивный, «2» непрерывный. При работе врежиме «1» обеспечивается оптимальное перекрытие уровня речи уровнемпомехи в строительных конструкциях, а также минимальное излучение шума в самопомещение. В режиме «2» прибор работает в непрерывном режиме. Кустройству могут подключаться до 20 излучателей типа «ПКИ-1» (длязашумления строительных конструкций), по 10 излучателей на каждый канал, атакже до 4 электромагнитных излучателя типа «ЭМ-1» для зашумлениявоздуховодов. Все три канала подключения имеют независимую регулировку, чтопозволяет выставлять необходимый для защиты уровень шума на стенах, на окнах,трубах отопления.
В каждом каналегенератора имеется цифровой 5-полосный графический эквалайзер, позволяющийпроводить настройку канала под конкретные условия (стена, окно и т.п.) иразличные виды вибродатчиков. Наличие встроенный памяти позволяет запоминать до16 вариантов амплитудно-частотных характеристик эквайлайзера (по 4 на каждыйканал). Система акустопуска и наличие дистанционного управления (проводного илипо радиоканалу) дает возможность осуществлять гибкое управление процессомгенерации помехи.
В устройстве имеетсявстроенная система контроля состояния каналов, позволяющая определить какперегрузку любого из них, так и отсутствие подключенных датчиков.
3.4.7 Система «Универсальный офис» Legos«Универсальный Офис»представляет собойкомплекты системы контроля управления доступом на 1 дверь с функциями учетарабочего времени, фотоидентификации и охранной сигнализации.
Комплект включает в себявсё необходимое для подключения системы контроля и управления доступом в офисе,рассчитанном до 150 человек.
Позволяетреализовать следующие функции:
- Управление доступом в офис;
- Контроль и учет рабочего временисотрудников.
Cостав комплекта системы «Универсальныйофис СКД» представлен в таблице 3.4.7.1.
№ п/п Наименование изделия Количество 1 Универсальный контроллер Legos серии L3 1 2 Считыватель PLR2EH 2 3 DTR Управление удаленным считывателем 2 4 DGR Контроль «сухих контактов» (замок) 1 5 DGT Контроль «сухих контактов» (извещатель двери, запрос на вход) 2 6 ПО Эконом (СКД) 1 7 CLU EH конвертер для подключения контроллера к компьютеру 1 8 Блок питания DR-3012 1 9 Кнопка «Запрос на вход» 1 10 Магнитно-контактный извещатель двери 1 11 Дин-рейка 30 см 1 3.4.8 Система резервного копирования Acronis True Image Echo Enteprise ServerAcronis TrueImage Enterprise Server позволяет:
- создавать точные образы дисковсерверов на базе Windows или Linux, включая операционную систему, базы данных иприложения;
- производить миграцию систем междувиртуальными и физическими серверами.
Acronis True ImageEnterprise Server позволяет в случае сбоя системы произвести полноевосстановление сервера. Полное восстановление системы может производиться какна существующих, так и на новых машинах, использующих различное оборудование, атакже на виртуальных серверах (необходим дополнительный модуль AcronisUniversal Restore).
Консоль управленияAcronis, поставляемая вместе с Acronis True Image Enterprise Server, даетудобный способ управления задачами по резервному копированию на нескольких удаленныхсерверах.
Основанное на технологиисоздания слепков дисков Acronis, приложение Acronis True Image Echo Enterprise Serverпозволяет создавать резервные образы дисков серверов, не прерывая работусерверов, что обеспечивает их бесперебойную работу.
Acronis TrueImage Echo Enterprise Server включает в себя следующие компоненты:
- Консоль управления Acronis –инструмент для удаленного доступа к компонентам Acronis. С помощью консолиадминистратор удаленно устанавливает и конфигурирует компоненты и управляет ихработой;
- Агент Acronis True Image –приложение, устанавливаемое на сетевом компьютере и выполняющее операции посохранению или восстановлению файлов. Acronis True Image Echo Enterprise Serverвключает в себя Агент Acronis True Image для Windows (устанавливается накомпьютеры, работающие под Windows) и Агент Acronis True Image для Linux(устанавливается на платформу Linux);
- Acronis Group Server – инструмент,дающий возможность планирования групповых операций резервного копирования,управления и наблюдения за ходом их выполнения. Он выставляет общие задачиагентам, запрашивает у них статус выполнения работ и предоставляетадминистратору сводку состояния по всей сети;
- Acronis Backup Server – приложениедля централизованного хранения и управления корпоративным архивом резервныхкопий. Администратор может задавать квоты и правила резервного копирования, атакже составлять график проверок на соответствие квотам. В случае выявленногонарушения политики квотирования архивы могут быть объединены для максимальноэффективного использования объема хранилища. Acronis Backup Server позволяетпользователям обращаться к библиотеке ленточных накопителей, подключенной ксерверу;
- Acronis True Image Echo EnterpriseServer (локальная версия) – компонент для установки на один сервер Windows. Онимеет дополнительные функции по сравнению с Агентом Acronis True Image. То естькроме возможностей локального управления резервным копированием/восстановлениемданных сервера, также обеспечивается просмотр содержимого архивов, подключениеобразов как виртуальных дисков, клонирование жестких дисков, создание разделовна новых жестких дисках, создание динамических дисков, режим командной строки,исполнение сценариев;
- Acronis Universal Restore – отдельнопродаваемый программный модуль, позволяющий восстановить и загрузитьоперационную систему Windows из образа, созданного на компьютере с другимиаппаратными средствами, что позволяет запустить систему и начать работу безпотери времени;
- Acronis Bootable Rescue Media Builder– компонент для создания загрузочных носителей, их ISO образов или пакетов длязагрузки с RIS-сервера, позволяющих восстановить данные на машине сотсутствующей, поврежденной или отличной от Windows операционной системой.
3.4.9 Массив RAID 5RAID контроллерпредставляет собой элемент вычислительной системы, обеспечивающийотказоустойчивость в случае отказа дискового накопителя, а также увеличениебыстродействия дисковой подсистемы.
Массив RAID 5представляет из себя отказоустойчивый массив независимых дисков сраспределенной четностью и является самым распространенным на сегодняшний день. Блоки данных иконтрольные суммы в нем циклически записываются на все диски массива,отсутствует выделенный диск для хранения информации о четности, нетасимметричности конфигурации дисков.
В случае RAID 5 все дискимассива имеют одинаковый размер — но один из них невидим для операционнойсистемы. В общем случае полезная емкость массива из N дисков равна суммарнойемкости N–1 диска.
Преимущества RAID 5:
- высокая скорость записи данных;
- достаточно высокая скорость чтенияданных;
- высокая производительность прибольшой интенсивности запросов чтения/записи данных;
- высокий коэффициент использованиядискового пространства.
Недостатки RAID 5:
- низкая скорость чтения/записи данныхмалого объема при единичных запросах;
- достаточно сложная реализация;
- сложное восстановление данных.
В случае если аппаратноеобеспечение серверов хранения данных не поддерживает программную реализацию RAID-5, то будет использоваться внешнийпрограммно-аппаратный RAID-контроллерAdaptec ASR-3405, который устанавливается в разъем PCI Express, поддерживает SATA/SASжесткие диски, массивы RAID 0, 1, 10, 5, 6, и т.д.
3.4.10 ИБП UPS 3000VA Ippon SmartWinner 3000IPPON Smart Winner 3000 –ИБП линейно-интерактивного типа с синусоидальной формой выходного напряжения.Надежно обеспечивает стабилизированное питание для компьютерной техники (ПК,сервера, сетевого оборудования) и другого чувствительного к качествуэлектропитания оборудования. Одно из основных преимуществ IPPON Smart Winner — это уникальный дизайн корпуса «три в одном». ИБП можно разместитьгоризонтально, вертикально или в стойке, что позволяет наиболее рациональноиспользовать рабочее пространство. Модель отличается возможностью использованиядополнительных батарейных модулей, в результате увеличивается время автономнойработы и существенно повышается степень защиты подключенного оборудования.Лицевая панель IPPON Smart Winner максимально информативна: кнопки управления инастройки позволяют выбрать и установить правильные параметры внешней сети исамого ИБП; блоки светодиодных индикаторов помогают отслеживать иконтролировать установленные параметры, своевременно информируя обо всехизменениях (индикация уровня нагрузки и остаточного заряда батарей, режимработы, аварийная сигнализация и т.д.). Источник бесперебойного питания IPPONSmart Winner многофункционален — оснащён интерфейсными портами для подключенияк сетевому серверу или другому управляющему компьютеру; поддержка протоколаSNMP позволяет пользователю осуществлять управление и мониторинг параметров ИБПдистанционно. Эффективная мощность ИБП IPPON Smart Winner 3000 составляет 2,1кВт.
3.4.11 ИБП UPS 600VA PowerCom BNT 600AИБП PowerCom BNT-600A — это устройство, позволяющее оборудованию некоторое время работать отаккумулятора самого ИБП при каких-либо проблемах с напряжением или сбоями всети. Кроме того, ИБП PowerCom BNT-600A способен корректировать параметры –напряжение и частоту – электропитания. PowerCom BNT-600A имеет следующиетехнические характеристики: максимальная мощность устройств (Вт) — 360Вт;
- выходная мощность (VA) — 600VA;
- количество входных розеток — 1;
- количество выходных розеток IEC 320 C13- 3;
- коммуникационные интерфейсы — Нет;
- защита телефонной линии — Нет;
- высота монтажа в 19" стойку(юнитов) — 0.
КомпактныеLine-interactive ИБП серии Black Knight предназначены для защиты персональныхкомпьютеров и небольших рабочих станций от основных неполадок сэлектропитанием: высоковольтных выбросов, электромагнитных и радиочастотныхпомех, понижений, повышений и полного исчезновения напряжения в электросети./>
3.5 Решение поинженерным систем
3.5.1 Решения по физической охранеРешения по организации физической охраны исключают возможностьфизического доступа к программно-техническим средствам (далее — ПТС) СЗПДнИСПДн лаборатории ИУ-8 и воздействию на данные ПТС.
Организация физической безопасности СЗПДн ИСПДн лаборатории ИУ-8достигается путем размещения оборудования СЗПДн в охраняемых зонах иреализацией технических и организационных мероприятий по физической защите.
Физический доступ персонала в серверные помещения, в которыхразмещаются серверные шкафы с оборудованием СЗПДн, должен быть ограничен. Дляразмещения оборудования СЗПДн используются существующие серверные шкафы.
Модернизация серверных помещений в рамках технического проекта посозданию СЗПДн ИСПДн не предусматривается.
Создание охраняемых зон, а также использование технических иорганизационных мер по обеспечению физической безопасности ПТС СЗПДн являетсяобязанностью Заказчиков.
3.5.2 Решения по СКДПри создании СЗПДн ИСПДн лаборатории ИУ-8 предусматриваетсявнедрение СКД для физического разграничения доступа в защищаемые помещенияИСПДн.
/> 3.5.3 Решения по СКСПри создании СЗПДн ИСПДн лаборатории ИУ-8 используются существующиеСКС. Модернизация СКС в рамках работ по созданию СЗПДн не предусматривается.
/>3.5.4 Решения посистеме электропитания
При создании СЗПДн ИСПДн лаборатории ИУ-8 используется существующаясистема электропитания. Модернизации существующей в лаборатории ИУ-8 системыэлектропитания в рамках данного технического проекта не предусматривается.
Для обеспечения бесперебойного электропитания оборудования СЗПДнпроектными решениями предусматривается использование ИБП, обеспечивающихнеобходимую суммарную потребляемую мощность для устанавливаемого оборудованияна каждом объекте внедрения.
/> 3.5.4 Решения по системе кондиционирования и вентиляцииПри создании СЗПДн ИСПДн лаборатории ИУ-8 используются существующиесистемы кондиционирования и вентиляции. Модернизация существующих системкондиционирования и вентиляции в рамках технического проекта по дооснащениюСЗПДн не предусматривается.
Для обеспечения нормального режима работы оборудование СЗПДн должнофункционировать в климатических условиях, отвечающих следующим требованиям:
- температура воздуха +18 °С – +22 °С;
- относительная влажность воздуха: от40% до 80% при T=20 °С.
Помещения, в которых размещается оборудование СЗПДн, должны бытьоборудованы системами кондиционирования воздуха. Системы кондиционирования ивентиляции должны обеспечивать отвод тепла от устанавливаемого оборудования.
/>
3.6 Решения по режимам функционирования, диагностированию работыСЗПДн ИСПДн лаборатории ИУ-8
Проектные решения предусматривают следующие режимы работы СЗПДнИСПДн ИУ-8:
- режим установки и начального конфигурированиякомпонентов СЗПДн;
- штатный режим работы СЗПДн;
- тестирование работоспособности СЗПДн;
- администрирование и техническое обслуживаниекомпонентов СЗПДн;
- реагирование на события безопасностии аварийные ситуации.
/> 3.6.1 Режим установки и начального конфигурирования компонентов СЗПДнВ режиме установки и начального конфигурирования компонентов СЗПДнлаборатории ИУ-8 производится монтаж ПТС, инсталляция ПО, подключение ПТС клокальной вычислительной сети и сети электропитания. Установка и конфигурированиеПТС производится в соответствии с эксплуатационной документацией отпроизводителя.
/> 3.6.2 Штатный режим работы СЗПДнВ штатном режиме работы СЗПДн лаборатории ИУ-8 обеспечиваютинформационную безопасность ИСПДн лаборатории ИУ-8.
Применяемые в СЗПДн средства защиты информации обеспечивают сбор ипоследующий анализ событий безопасности, действий пользователей при работе синформационными ресурсами ИСПДн, а также действий обслуживающего персоналаСЗПДн. В качестве источников сбора выступают средства защиты информации СЗПДн.
В целях обеспечения непрерывности функционирования, а такжебыстрого восстановления работоспособности СЗПДн в случае выхода из строясистемы или ее отдельных компонентов, периодически создается архивная копиякритичной информации СЗПДн. Резервному копированию подвергаютсяконфигурационные файлы средств защиты информации СЗПДн, а также детектируемыесистемой события безопасности.
/>3.6.3 Тестированияработоспособности СЗПДнВ режиме тестирования проверяются установки и настройки компонентовСЗПДн лаборатории ИУ-8. По результатам тестирования возможно изменениеконфигурации компонентов, установка программных исправлений, обновленных версийпрограмм, уточнение эксплуатационной документации.
/> 3.6.4 Администрирование и техническое обслуживание СЗПДнРежим администрирования включает в себя конфигурирование средствзащиты информации СЗПДн лаборатории ИУ-8, управление учетными записями пользователейИСПДн, определение и конфигурирование прав разграничения доступа пользователейк информационным ресурсам ИСПДн, проведение регламентных операций резервногокопирования и т.д.
/> 3.6.5 Реагирование на события безопасности и аварийные ситуацииДанный режим включает в себя блокирование попыток НСД, определениенанесенного ущерба в результате предпринятых попыток НСД, восстановлениеконфигурации ПТС и ПО СЗПДн лаборатории ИУ-8 в случае аварии или сбое в работеСЗПДн или отдельных компонентов, восстановление защищаемой информации при ееутере, расследование инцидентов безопасности.
/>
3.7 Сведения о соответствии заданных в задании на разработкупроекта потребительских характеристик системы, определяющих ее качество
Принятые проектные решения по дооснащению СЗПДн лаборатории ИУ-8обеспечивают выполнение следующих функций:
- управление доступом;
- регистрация и учет;
- обеспечение целостности;
- антивирусная защита;
- межсетевое экранирование;
- защита от утечек по побочным каналам;
- резервное копирование;
- обеспечение отказоустойчивости.
Заявленный функционал реализуют средства защиты информации,входящие в состав СЗПДн лаборатории ИУ-8. В общем случае, одно средство защитыинформации может выполнять несколько функций.
Сведения об обеспечении средствами защиты информации функциональныхтребований подсистем СЗПДн ИСПДн лаборатории ИУ-8, указанным в Техническомзадании, приведены в таблице 3.7.1.
Таблица 3.7.1 – Соответствие требованиям СЗПДн ИСПДнлаборатории ИУ-8
Назначение
подсистемы
Требования к подсистеме Средство реализации Место установки средства реализации 1 Подсистема управления доступом 1.1 Управление доступом к информационным ресурсам ИСПДн 1.1.1 Идентификация и проверка подлинности субъектов доступа при входе в ИСПДн лаборатории ИУ-8 по паролю условно-постоянного действия длинной не менее шести буквенно-цифровых символов групповые политики AD контроллер домена AD ИСПДн, серверы ИПСДн, АРМ пользователей ИСПДн, АРМ АИБ 1.1.2 Контроль доступа пользователей ИСПДн к защищаемым ресурсам ИСПДн в соответствии с матрицей доступа настройки разрешений файловой системы на основе пользователей и групп ADсерверы ИСПДн,
АРМ пользователей ИСПДн,
АРМ АИБ
1.1.3 Идентификация и аутентификация администратора СЗПДн Министерства при его запросах на доступ, в том числе локальный, к настройкам средств защиты информации встроенные механизмы разграничения доступа систем защиты (интеграция с AD, если поддерживается)серверы ИСПДн, сервер ЗИ, сервер МЭ,
АРМ пользователей ИСПДн,
АРМ АИБ
2 Подсистема регистрации и учета 2.1 Регистрация и учет действий пользователей ИСПДн и процессов 2.1.1 Регистрация входа (выхода) субъектов доступа в систему (из системы), либо регистрация загрузки и инициализации операционной системы и ее программного останова. Регистрация выхода из системы или останова не проводится в моменты отключения программно-технических средств ИСПДн лаборатории ИУ-8. В параметрах регистрации должны указываться дата и время входа (выхода) субъекта доступа в систему (из системы) или загрузки (останова) системы, результат попытки входа (успешная или неуспешная – несанкционированная), идентификатор (код или фамилия) субъекта, предъявленный при попытке доступа ПО Event Viewerсерверы ИСПДн,
АРМ пользователей ИСПДн,
АРМ АИБ
2.1.10 Учет всех защищаемых внешних носителей информации с помощью их маркировки, занесения учетных данных в журнал (учетную карточку) и регистрации их выдачи (приема) организационные меры - 2.2 Регистрация действий администратора СЗПДн 2.2.1 Регистрация внесения изменений в конфигурацию средств защиты информации встроенные модули регистрации и учета систем защитысерверы ИСПДн,
АРМ пользователей ИСПДн,
АРМ АИБ
3 Подсистема обеспечения целостности
3.1 Обеспечение целостности программных средств защиты информации 3.1.1 Обеспечение целостности программных средств системы защиты персональных данных, обрабатываемой информации, а также неизменность программной среды. При этом целостность программных средств проверяется при загрузке системы по контрольным суммам компонентов средств зашиты информации, а целостность программной среды обеспечивается использованием трансляторов с языков высокого уровня и отсутствием средств модификации объектного кода программ в процессе обработки и (или) хранения защищаемой информации встроенные механизмы контроля целостности систем защитысерверы ИСПДн,
АРМ пользователей ИСПДн,
АРМ АИБ
3.1.2 Осуществление физической охраны ИСПДн (устройств и носителей информации), предусматривающей контроль доступа в помещения ИСПДн посторонних лиц, наличие надежных препятствий для несанкционированного проникновения в помещения ИСПДн и хранилище носителей информации система «Универсальный офис» Legos дверь помещения, АРМ АИБ 3.2 Тестирование функций подсистем защиты 3.2.1 Периодическое тестирование функций СЗПДн при изменении программной среды и персонала ИСДн с помощью тест-программ, имитирующих попытки НСД организационные меры - 3.3 Использование средств восстановления программ 3.3.1 Наличие средств восстановления СЗПДн, предусматривающих ведение двух копий программных средств защиты информации, их периодическое обновление и контроль работоспособности организационные меры - 5 Подсистема антивирусной защиты 5.1 Защита программ и данных от вирусов и вредоносных программ 5.1.1 Автоматическая проверка на наличие ВПр или последствий ПМВ при импорте в ИСПДн всех программных модулей (прикладных программ), которые могут содержать ВПр, по их типовым шаблонам и с помощью эвристического анализа система антивирусной защиты Kaspersky Business Space Securityсерверы ИСПДн, сервер ЗИ,
АРМ пользователей ИСПДн,
АРМ АИБ
5.1.2 Реализация механизмов автоматического блокирования обнаруженных ВПр путем их удаления из программных модулей или уничтожения 5.1.3 Регулярная (при первом запуске средств защиты ПДн от ПМВ и с устанавливаемой периодичностью) проверка на предмет наличия в них ВПр 5.1.4 Автоматическая проверка ИСПДн на предмет наличия ВПр при выявлении факта ПМВ 5.1.5 Механизм отката для устанавливаемого числа операций удаления ВПр из оперативной или постоянной памяти, из программных модулей и прикладных программ или программных средств, содержащих ВПр 5.1.6 Непрерывный согласованный по единому сценарию автоматический мониторинг информационного обмена по каналам ИСПДн с целью выявления проявлений ПМВ 6 Подсистема межсетевого экранирования 6.1 Межсетевое экранирование 6.1.1 Фильтрация на сетевом уровне для каждого сетевого пакета независимо (решение о фильтрации принимается на основе сетевых адресов отправителя и получателя или на основе других эквивалентных атрибутов) ПО ISA Server 2006 периметр сети 6.1.2 Фильтрация пакетов служебных протоколов, служащих для диагностики и управления работой сетевых устройств 6.1.3 Идентификация и аутентификация администратора МЭ при его локальных запросах на доступ по идентификатору (коду) и паролю условно-постоянного действия cлужба каталогов AD сервер МЭ 6.1.4 Контроль целостности своей программной и информационной части встроенные механизмы контроля целостности ISA Server 2006 сервер МЭ 6.1.5 Восстановление свойств МЭ после сбоев и отказов оборудования 6.1.6 Регламентное тестирование реализации правил фильтрации, процесса идентификации и аутентификации администратора МЭ, процесса регистрации действий администратора МЭ, процесса контроля за целостностью программной и информационной части, процедуры восстановления организационные меры - 7 Подсистема защиты от утечек по побочным каналам 7.1 Защита от утечек по побочным каналам 7.1.1 Защита речевой информации при проведении переговоров в защищаемом помещении по акустическому каналу адаптивный генератор виброакустической помехи «Кедр» защищаемое помещение 7.1.2 Защита речевой информации при проведении переговоров в защищаемом помещении по вибрационному каналу 8 Подсистема резервного копирования 8.1 Резервное копирование 8.1.1 Резервное копирование серверов хранения – создание слепков жестких дисков Acronis True Image Echo Enterprise Serverсерверы ИСПДн, сервер ЗИ,
АРМ пользователей ИСПДн,
АРМ АИБ
8.1.2 Резервное копирование файлов, содержащих ПДн 9 Подсистема обеспечения отказоустойчивости 9.1 Отказоустойчивость внешних дисковых систем 9.1.1 Обеспечение бесперебойной работы внешних дисковых подсистем в случае выхода из строя жесткого диска массив RAID 5 серверы ИСПДн 9.2 Отказоустойчивость вычислительной техники ИСПДн 9.2.1 Обеспечение бесперебойной работы серверов ИСПДн UPS 3000VA Ippon Smart Winner 3000 серверная стойка 9.2.2 Обеспечение бесперебойной работы АРМ пользователей ИСПДн UPS 600VA PowerCom BNT 600A АРМ пользователей ИСПДн4. ОРГАНИЗАЦИОННОЕ ОБЕСПЕЧЕНИЕ ЗАЩИТЫ ИНФОРМАЦИИ
Требуемый уровень обеспечения информационной безопасности ИСПДнлаборатории ИУ-8 реализуется совокупностью программных, программно-техническихсредств защиты информации и организационных мер. Необходимые организационныемероприятия заключаются в тщательном планировании работ по обеспечениюинформационной безопасности, правильном исполнении должностными лицами своихобязанностей, точном распределении ответственности между пользователями ИСПДн иобслуживающим персоналом СЗПДн.
/>
4.1 Основные организационные мероприятия
/> 4.1.1 Основные цели организационных мероприятийОсновными целями проведения организационных мероприятий являются:
- распределение должностныхобязанностей, выполняемых функций и разделение ответственности;
- определение перечняорганизационно-распорядительных документов, регламентирующих работу пообеспечению информационной безопасности ИСПДн лаборатории ИУ-8;
- осуществление постоянного контроля засоблюдением режима конфиденциальности и состояния соответствующих инструкций.
/> 4.1.2 Состав организационных мероприятийК основным организационным мероприятиям относятся:
- мероприятия по учету защищаемыхносителей информации;
- мероприятия по тестированию функцийсредств защиты информации (далее — СЗИ) НСД;
- мероприятия по проверке, обновлению иконтролю работоспособности средств восстановления СЗИ НСД.
4.1.2.1 Мероприятия по учету защищаемых носителей информации- составление перечня защищаемых носителейинформации в рамках внедрения СЗИ;
- назначение ответственных замероприятия по учету защищаемых носителей информации лиц и подразделений;
- создание документации по учетуносителей информации, указанных в п.1 — журнал учета (учетная карточка);
- регламентирование порядка маркировки носителейинформации, указанных в п.1, порядка и периодичности проведения инвентаризации;
- периодическая инвентаризацияносителей информации, указанных в п.1, с занесением необходимых сведений вжурнал учета (учетную карточку).
4.1.2.2 Мероприятия по тестированию функций СЗИ НСД- составление перечня тестируемых СЗИНСД в рамках внедрения СЗИ;
- назначение ответственных замероприятия по тестированию функций СЗИ НСД лиц и подразделений;
- регламентирование порядка ипериодичности проведения тестирования функций СЗИ НСД, а также объема исодержания отчетной документации, оформляемой по результатам проведения данныхмероприятий;
- разработка системы тестов и тест — программ для проведения тестирования функций СЗИ НСД;
- периодическое тестирование функцийСЗИ НСД и оформление отчетной документации.
4.1.2.3 Мероприятия по проверке, обновлению и контролю работоспособностисредств восстановления СЗИ НСД
- указание перечня СЗИ, для которыхтребуются средства восстановления;
- назначение ответственных замероприятия по проверке, обновлению и контролю работоспособности средстввосстановления СЗИ НСД лиц и подразделений;
- регламентирование порядка ведениякопий, порядка и периодичности обновления и контроля работоспособностипрограммных средств СЗИ НСД, а также объема и содержания отчетной документации,оформляемой по результатам проведения данных мероприятий;
- периодические обновление и контрольработоспособности программных средств СЗИ НСД и оформление отчетнойдокументации.
5. МЕРОПРИЯТИЯ ПО ПОДГОТОВКЕ К ВВОДУ В ДЕЙСТВИЕ СЗИ
Для проведения работ по установке ПО и ПТС и вводу в действие СЗПДнлаборатории ИУ-8 Заказчик должен обеспечить:
Предоставление необходимых площадей для размещения комплексов СЗПДнв имеющихся серверных помещениях.
Доработка существующих на объектах коммуникационных сетей и сетейэлектропитания для подключения ПТС СЗПДн.
Готовность сетевой инфраструктуры к установке ПТС СЗПДн.
Предоставление необходимой организационно-распорядительной документациипо обеспечению безопасности ПДн, включая утвержденные эксплуатирующимиорганизациями правил разграничения доступа к информационным ресурсам ИСПДн.
Предоставление доступа к каналам связи.
Наличие обученного персонала для обеспечения эксплуатациикомпонентов СЗПДн.
Содействие персонала эксплуатирующих организаций внесениюкорректировок в настройки ПТС СЗПДн.
Издание приказов о формировании соответствующих приемочных комиссийпо вводу в действие СЗПДн.
/>
5.1 Мероприятия по обучению и проверке квалификации персонала
Для обеспечения функционирования СЗПДн лаборатории ИУ-8 всоответствии с ее назначением необходимо провести подготовку администраторовинформационной безопасности СЗПДн. Администраторы информационной безопасностиСЗПДн должны пройти обучение по информационной безопасности, установке,настройке и обслуживанию средств защиты информации, вводимых в эксплуатацию всоставе СЗПДн:
- курс Microsoft Certified TechnologySpecialist (MCTS) 70-640 – Конфигурирование службы Active Directory в Windows Server 2008;
- антивирус Kaspersky Business Space Security;
- ПО ISA Server 2006;
- адаптивный генераторвиброакустической помехи «Кедр»;
- система «Универсальный офис»Legos;
- Acronis True ImageEnterprise Echo Server.
Квалификация АИБ СЗПДн должна быть подтверждена соответствующимиудостоверениями (сертификатами) о прохождении курсов или повышенииквалификации, выданными в организациях, имеющих лицензии на оказаниеобразовательных услуг.
/>
5.2 Мероприятия по созданию необходимых подразделений и рабочихмест
Настоящими проектными решениями не предусматривается созданиеспециальных подразделений, обслуживающих СЗПДн лаборатории ИУ-8.
Создание СЗПДн лаборатории ИУ-8 влечет за собой определениеследующих функциональных обязанностей (ролей):
- АИБ СЗПДн лаборатории ИУ-8;
Данная функциональная роль по обслуживанию и администрированиюСЗПДн лаборатории ИУ-8 возлагается на штатных сотрудников лаборатории ИУ-8.
/>
5.3 Порядок контроля и приемки СЗПДн
Контроль и приемка результатов работ по оснащению СЗПДн лабораторииИУ-8 должны производится в соответствии с требованиями Технического задания насоздание СЗПДн (шифр – 001234567.000.001.ТЗ.01.1-1).
По завершении строительно-монтажных и пусконаладочных работкомплексов защиты информации проводятся комплексные проверки ПТС СЗПДн лабораторииИУ-8, целью которых является проверка функционирования компонентов систем всетевой инфраструктуре лаборатории ИУ-8.
По результатам проведения проверок издаются соответствующие приказыо вводе СЗПДн лаборатории ИУ-8 в постоянную эксплуатацию.