ВУЗ: Не указан
Категория: Не указан
Дисциплина: Не указана
Добавлен: 09.01.2024
Просмотров: 257
Скачиваний: 3
СОДЕРЖАНИЕ
1.1Наименование проектируемой Системы
1.2Организации, участвующие в разработке
1.4Назначение и области использования Системы
1.5Сведения об использованных при разработке нормативно-технических документов
1.8 Характеристики информационной системы Управления
2. Описание процесса деятельности
2.2 Технологический процесс обработки информации
2.2.1 Организационные и физические меры защиты.
2.2.2 Технические средства защиты.
2.2.3 Меры по обеспечению безопасности информации в ГИС «МАРИС - 88»
2.2.4 Меры по идентификации и аутентификации субъектов доступа и объектов доступа
2.2.5 Меры по управлению доступом субъектов доступа к объектам доступа
2.2.6 Меры по ограничению программной среды
2.2.7 Меры по защите машинных носителей информации
2.2.8 Меры по регистрации событий безопасности
2.2.9 Меры по антивирусной защите
2.2.10 Меры по обнаружению вторжений
2.2.11 Меры по контролю (анализу) защищенности информации
2.2.11 Меры по обеспечению целостности информационной системы и информации
2.2.12 Меры по обеспечению доступности информации
2.2.13 Меры по защите технических средств
2.2.14 Меры по защите информационной системы, ее средств, систем связи и передачи данных
2.3 Характеристика средств защиты информации
2.3.4 Kaspersky Endpoint Security 10 для Windows
2.3.5 VipNet Administrator 3.2
2.4 Построение СЗИ в информационной системе
2.4.4 Компонента администратора
2.4.6 Режим установки и конфигурирования
2.4.7 Установка и настройка средства анализа защищенности
2.4.8 Установка и настройка средства межсетевого экранирования и криптографической защиты
2.4.9 Настройка средства антивирусной защиты
2.5.1 Отладка функций управления сетью
2.5.2 Отладка функций анализа защищенности
2.5.4 Рабочий режим управлению сетью
2.5.5 Рабочий режим анализа защищенности
в) поддержка определенных ролей для САВЗ и их ассоциации с конкретными администраторами безопасности и пользователями ИС.
проверки объектов заражения:
а) возможность выполнять проверки с целью обнаружения зараженных ВКПВ объектов в файловых областях носителей информации, в оперативной памяти, в системных областях носителей информации, в файлах, в том числе исполняемых, упакованных различными средствами архивации;
б) возможность выполнения проверок с целью обнаружения зараженных ВКПВ объектов в режиме реального времени в файлах, полученных по каналам передачи данных.
методы проверок объектов заражения:
а) возможность выполнять проверки с целью обнаружения зараженных ВКПВ объектов сигнатурными и эвристическими методами;
б) возможность выполнять проверки с целью обнаружения зараженных BKПB объектов по команде и(или) в режиме динамического обнаружения в процессе выполнения операций доступа к объектам;
в) возможность выполнять проверки с целью обнаружения зараженных BKПB объектов путем запуска с необходимыми параметрами функционирования своего кода внешней программой;
обработка объектов, подвергшихся воздействию:
а) возможность удаления (если удаление технически возможно) кода вредоносных компьютерных программ (вирусов) из оперативной памяти, удаления файлов, в которых обнаружены ВКПВ, а также файлов, подозрительных на наличие ВКПВ, возможность перемещения и изолирования зараженных объектов;
блокирование:
а) возможность блокирования доступа к зараженным файлам, в том числе полученным по каналам передачи данных, активных ВКПВ, АРМ или сервера, на которых обнаружены зараженные файлы;
сигнализация:
а) возможность отображения сигнала тревоги на АРМ пользователя или АРМ администратора безопасности, в том числе до подтверждения его получения или до завершения сеанса;
восстановление объектов:
а) возможность восстановления функциональных свойств зараженных объектов;
обновление базы данных ВКПВ:
а) возможность получения и установки обновлений БД ВКПВ без применения средств автоматизации
; в автоматизированном режиме с сетевого ресурса.
2.3.5 VipNet Administrator 3.2
VipNet Administrator 3.2 – это базовый программный комплекс для настройки и управления защищенной сетью, включающий в себя VipNet NCC (центр управления сетью, ЦУС) – программное обеспечение, предназначенное для конфигурирования и управления виртуальной защищенной сетью VipNet.
В ГИС «МАРИС - 88» данное средство защиты информации используется для:
-
формирования топологии защищенной сети, путем регистрации сетевых узлов, пользователей и связей между ними; -
определения политики безопасности на каждом узле и формирования списка разрешенных приложений, которые должны выполняться на каждом узле (шифрование трафика, ЭП и т. д.); -
автоматической рассылки всем узлам информации об изменениях в топологии сети – новых узлах, пользователях, связях, также ключей шифрования, сертификатов, CRL; -
проведения автоматического централизованного обновления ПО ViPNet на узлах защищенной сети, включая программно-аппаратные комплексы ViPNet Coordinator HW.
2.3.5 VipNet Coordinator HW
Поскольку ГИС «МАРИС -88» разделена на сегменты, то МЭ приобретается для каждого сегмента. Для главного сегмента это будет VipNet Coordinator HW1000, а в удаленные сегменты будут установлены VipNet Coordinator HW50
VipNet Coordinator HW – это криптошлюз и межсетевой экран, построенный на аппаратной платформе телекоммуникационных серверов компании «Аквариус». Продукт соответствует требованиям руководящих документов по классу КС3 для шифровальных (криптографических) средств. В данный момент ведутся работы по сертификации продукта на соответствие требованиям к МЭ А4 класса. Предыдущий сертификат истек 26.05.2017.
В ГИС «МАРИС - 88» данное средство защиты информации используется для:
-
организации защищенной VPN-сети для передачи информации между элементами сегментов через сети международного информационного обмена (между элементами, находящимися в общежитии и учебном корпусе); -
защиты логической границы локальной сети с помощью межсетевого экранирования от внешних угроз безопасности информации; -
фильтрации входящего и исходящего трафика;
шифрования трафика, передаваемого по открытым каналам связи.
2.4 Построение СЗИ в информационной системе
2.4.1 Схема построения СЗИ
Построение СЗИ в УОДМС заключается в применении сертифицированных средств защиты информации и обеспечении организационно-режимных мероприятий по защите информации.
СЗИ включает следующие функциональные компоненты:
сетевая компонента;
серверная компонента;
компонента администратора.
Общая схема построения системы защиты персональных данных в ГИС приведена в приложении В.
2.4.2 Сетевая компонента
Сетевая компонента представляет собой АРМ пользователей, подключенных к локальной сети и сетям общего пользования, включая пользователей, работающих согласно своим должностным обязанностям.
СЗИ обеспечивает защиту конфиденциальной информации следующими техническими средствами защиты:
использование средства защиты от несанкционированного доступа и средства контроля съемных носителей (Dallas Lock 8.0-K);
использование программно- аппаратного средства доверенной загрузки СДЗ Dallas Lock;
идентификация и аутентификация пользователя производится с помощью электронного идентификатора, входящего в комплект поставки СДЗ Dallas Lock;
использование средств криптографической защиты Crypto Pro CSP 3.6 (АРМ 406.1 и 406.2);
использование ПК VipNet Client 3.2 (КС2) (только на АРМ Администратора);
использование средства антивирусной защиты «Kaspersky Endpoint Protection 10». На момент разработки проекта данное средство уже установлено и настроено.
Параметры настройки представлены в разделе 7.2.1.
2.4.3 Серверная компонента
Серверная компонента включает сервера, использующиеся для обработки и передачи защищаемой информации.
СЗИ обеспечивает защиту информации, обрабатываемой на серверах, следующими техническими средствами защиты:
использование средства защиты от несанкционированного доступа и средства контроля съемных носителей (Dallas Lock 8.0-K);
использование программно- аппаратного средства доверенной загрузки СДЗ Dallas Lock;
идентификация и аутентификация пользователя производится с помощью электронного идентификатора, входящего в комплект поставки СДЗ Dallas Lock;
установка сервера безопасности Dallas Lock на сервере сегмента г. Магадан;
установка VipNet Coordinator HW1000 в г.Магадан и VipNet Coordinator HW50 в удаленных сегментах;
установка средства анализа защищенности XSpider 7.8.24 на сервере сегментов, кроме сегмента г. Магадан;
использование средства антивирусной защиты «Kaspersky Endpoint Protection 10». На момент разработки проекта данное средство уже установлено и настроено.
Параметры настройки представлены в разделе 7.2.1.
2.4.4 Компонента администратора
Компонента администратора представляет собой АРМ администратора, с которого осуществляется управление средствами защиты, управление ЛВС и сервером безопасности Dallas Lock.
СЗИ обеспечивает защиту АРМ администратора следующими техническими средствами защиты:
использование средства защиты от несанкционированного доступа и средства контроля съемных носителей (Dallas Lock 8.0-K);
использование программно- аппаратного средства доверенной загрузки СДЗ Dallas Lock;
идентификация и аутентификация пользователя производится с помощью электронного идентификатора, входящего в комплект поставки СДЗ Dallas Lock;
использование средства анализа защищенности (XSpider 7.8.24);
использование средства антивирусной защиты «Kaspersky Endpoint Protection 10». На момент разработки проекта данное средство уже установлено и настроено.