Файл: А. В. Ххххххх хх.doc

в) поддержка определенных ролей для САВЗ и их ассоциации с конкретными администраторами безопасности и пользователями ИС.

проверки объектов заражения:

а) возможность выполнять проверки с целью обнаружения зараженных ВКПВ объектов в файловых областях носителей информации, в оперативной памяти, в системных областях носителей информации, в файлах, в том числе исполняемых, упакованных различными средствами архивации;

б) возможность выполнения проверок с целью обнаружения зараженных ВКПВ объектов в режиме реального времени в файлах, полученных по каналам передачи данных.

методы проверок объектов заражения:

а) возможность выполнять проверки с целью обнаружения зараженных ВКПВ объектов сигнатурными и эвристическими методами;

б) возможность выполнять проверки с целью обнаружения зараженных BKПB объектов по команде и(или) в режиме динамического обнаружения в процессе выполнения операций доступа к объектам;

в) возможность выполнять проверки с целью обнаружения зараженных BKПB объектов путем запуска с необходимыми параметрами функционирования своего кода внешней программой;

обработка объектов, подвергшихся воздействию:

а) возможность удаления (если удаление технически возможно) кода вредоносных компьютерных программ (вирусов) из оперативной памяти, удаления файлов, в которых обнаружены ВКПВ, а также файлов, подозрительных на наличие ВКПВ, возможность перемещения и изолирования зараженных объектов;

блокирование:

а) возможность блокирования доступа к зараженным файлам, в том числе полученным по каналам передачи данных, активных ВКПВ, АРМ или сервера, на которых обнаружены зараженные файлы;

сигнализация:

а) возможность отображения сигнала тревоги на АРМ пользователя или АРМ администратора безопасности, в том числе до подтверждения его получения или до завершения сеанса;

восстановление объектов:

а) возможность восстановления функциональных свойств зараженных объектов;

обновление базы данных ВКПВ:

а) возможность получения и установки обновлений БД ВКПВ без применения средств автоматизации

---

; в автоматизированном режиме с сетевого ресурса.

2.3.5 VipNet Administrator 3.2

VipNet Administrator 3.2 – это базовый программный комплекс для настройки и управления защищенной сетью, включающий в себя VipNet NCC (центр управления сетью, ЦУС) – программное обеспечение, предназначенное для конфигурирования и управления виртуальной защищенной сетью VipNet.

В ГИС «МАРИС - 88» данное средство защиты информации используется для:

• 
  формирования топологии защищенной сети, путем регистрации сетевых узлов, пользователей и связей между ними;
  
• 
  определения политики безопасности на каждом узле и формирования списка разрешенных приложений, которые должны выполняться на каждом узле (шифрование трафика, ЭП и т. д.);
  
• 
  автоматической рассылки всем узлам информации об изменениях в топологии сети – новых узлах, пользователях, связях, также ключей шифрования, сертификатов, CRL;
  
• 
  проведения автоматического централизованного обновления ПО ViPNet на узлах защищенной сети, включая программно-аппаратные комплексы ViPNet Coordinator HW.
  

---

2.3.5 VipNet Coordinator HW

Поскольку ГИС «МАРИС -88» разделена на сегменты, то МЭ приобретается для каждого сегмента. Для главного сегмента это будет VipNet Coordinator HW1000, а в удаленные сегменты будут установлены VipNet Coordinator HW50

VipNet Coordinator HW – это криптошлюз и межсетевой экран, построенный на аппаратной платформе телекоммуникационных серверов компании «Аквариус». Продукт соответствует требованиям руководящих документов по классу КС3 для шифровальных (криптографических) средств. В данный момент ведутся работы по сертификации продукта на соответствие требованиям к МЭ А4 класса. Предыдущий сертификат истек 26.05.2017.

В ГИС «МАРИС - 88» данное средство защиты информации используется для:

• 
  организации защищенной VPN-сети для передачи информации между элементами сегментов через сети международного информационного обмена (между элементами, находящимися в общежитии и учебном корпусе);
  
• 
  защиты логической границы локальной сети с помощью межсетевого экранирования от внешних угроз безопасности информации;
  
• 
  фильтрации входящего и исходящего трафика;
  

шифрования трафика, передаваемого по открытым каналам связи.

2.4 Построение СЗИ в информационной системе

2.4.1 Схема построения СЗИ

Построение СЗИ в УОДМС заключается в применении сертифицированных средств защиты информации и обеспечении организационно-режимных мероприятий по защите информации.

СЗИ включает следующие функциональные компоненты:

сетевая компонента;

серверная компонента;

компонента администратора.

Общая схема построения системы защиты персональных данных в ГИС приведена в приложении В.

2.4.2 Сетевая компонента

Сетевая компонента представляет собой АРМ пользователей, подключенных к локальной сети и сетям общего пользования, включая пользователей, работающих согласно своим должностным обязанностям.

---

СЗИ обеспечивает защиту конфиденциальной информации следующими техническими средствами защиты:

использование средства защиты от несанкционированного доступа и средства контроля съемных носителей (Dallas Lock 8.0-K);

использование программно- аппаратного средства доверенной загрузки СДЗ Dallas Lock;

идентификация и аутентификация пользователя производится с помощью электронного идентификатора, входящего в комплект поставки СДЗ Dallas Lock;

использование средств криптографической защиты Crypto Pro CSP 3.6 (АРМ 406.1 и 406.2);

использование ПК VipNet Client 3.2 (КС2) (только на АРМ Администратора);

использование средства антивирусной защиты «Kaspersky Endpoint Protection 10». На момент разработки проекта данное средство уже установлено и настроено.

Параметры настройки представлены в разделе 7.2.1.

2.4.3 Серверная компонента

Серверная компонента включает сервера, использующиеся для обработки и передачи защищаемой информации.

СЗИ обеспечивает защиту информации, обрабатываемой на серверах, следующими техническими средствами защиты:

использование средства защиты от несанкционированного доступа и средства контроля съемных носителей (Dallas Lock 8.0-K);

использование программно- аппаратного средства доверенной загрузки СДЗ Dallas Lock;

идентификация и аутентификация пользователя производится с помощью электронного идентификатора, входящего в комплект поставки СДЗ Dallas Lock;

установка сервера безопасности Dallas Lock на сервере сегмента г. Магадан;

установка VipNet Coordinator HW1000 в г.Магадан и VipNet Coordinator HW50 в удаленных сегментах;

установка средства анализа защищенности XSpider 7.8.24 на сервере сегментов, кроме сегмента г. Магадан;

использование средства антивирусной защиты «Kaspersky Endpoint Protection 10». На момент разработки проекта данное средство уже установлено и настроено.

Параметры настройки представлены в разделе 7.2.1.

2.4.4 Компонента администратора

Компонента администратора представляет собой АРМ администратора, с которого осуществляется управление средствами защиты, управление ЛВС и сервером безопасности Dallas Lock.

СЗИ обеспечивает защиту АРМ администратора следующими техническими средствами защиты:

использование средства защиты от несанкционированного доступа и средства контроля съемных носителей (Dallas Lock 8.0-K);

---

использование программно- аппаратного средства доверенной загрузки СДЗ Dallas Lock;

идентификация и аутентификация пользователя производится с помощью электронного идентификатора, входящего в комплект поставки СДЗ Dallas Lock;

использование средства анализа защищенности (XSpider 7.8.24);

использование средства антивирусной защиты «Kaspersky Endpoint Protection 10». На момент разработки проекта данное средство уже установлено и настроено.

---