Файл: А. В. Ххххххх хх.doc

2.4.5 Режимы функционирования

В СЗИ реализованы следующие режимы функционирования:

режим установки и конфигурирования;

режим отладки;

рабочий режим.

2.4.6 Режим установки и конфигурирования

Режим установки и конфигурирования предназначен для первичной настройки СЗИ и выполняется на этапе пуско-наладочных работ. В этом режиме происходит настройка СЗИ путем создания правил, редактирования и применения политик, шаблонов. Режим установки и конфигурирования подразумевает работы по установке и начальной настройке установленного программного обеспечения.

Установка и настройка Dallas Lock 8.0-K осуществляется в соответствии с эксплуатационной документацией.

Установка производится на все АРМ пользователей ГИС Управления, на которых обрабатываются данные, доступ к которым необходимо ограничить исходя из актуальности угроз информационной безопасности и согласно требованиям, предъявляемым к СЗИ.

Настройка СрЗИ заключается в следующем:

регистрация пользователя в системе (по 1 легальному пользователю на АРМ соответствии с таблицей 4.1 настоящего проекта);

задание пароля пользователя не менее 6 буквенно-цифровых символов;

алфавит пароля не менее 70 символов;

максимальное количество неуспешных попыток аутентификации (ввода неправильного пароля) до блокировки от 3 до 10 попыток;

блокировка АРМ пользователя в случае достижения установленного максимального количества неуспешных попыток аутентификации на 30 минут;

смена пароля через каждые 90 дней;

настройка параметров гашения экрана монитора через 5 минут неактивности пользователя;

настройка параметров выхода из системы через 15 минут неактивности пользователя;

настройка параметров регистрации входа и выхода пользователя в систему и из системы;

настройка параметров регистрации и учета событий, связанных с действием пользователя, с указанием имени пользователя, времени совершенного события и результата успешности или не успешности события;

создание списка компонентов системы и модулей СрЗИ, которые необходимо поставить на контроль целостности;

получение контрольной суммы файлов, поставленных на контроль целостности

---

;

настройка ежедневной быстрой проверки АРМ и настройка еженедельной полной проверки АРМ на наличие вирусов и вредоносных программ;

настройка ежедневного обновления антивирусных баз и компонентов антивирусной системы;

настройка проверки съемных носителей при подключении к АРМ на наличие вирусов и вредоносных программ;

настройка блокирования подключаемых модемов и мобильных устройств;

настройка функции самотестирования;

блокирование или уничтожение всех не используемых учетных записей;

настройка функции блокирования неактивных (неиспользуемых) учетных записей пользователей после 90 дней неиспользования;

настройка дискреционного метода управления доступом в соответствии с матрицей доступа (см. в таблице 4.2);

установка пароля BIOS;

настройка функций разграничения доступа к управлению средством контроля съемных носителей (на основе ролей администраторов);

настройка функции контроля подключения съемных машинных носителей информации (контроль использования интерфейсов ввода/вывода СВТ, контроль подключаемых типов внешних программно-аппаратных устройств, контроль подключаемых съемных машинных носителей информации);

настройка функций контроля отчуждения (переноса) информации со съемных машинных носителей информации;

настройка функций регистрации и учета выполнения функций безопасности средства контроля съемных машинных носителей;

настройка функций оповещения администратора о событиях, связанных с нарушением безопасности.

2.4.7 Установка и настройка средства анализа защищенности

Установка и настройка средства анализа защищенности XSpider 7.8.24 осуществляется в соответствии с эксплуатационной документацией.

Установка производится на АРМ Администратора ГИС в сегменте г. Магадан и на серверы в остальных сегментах ГИС. Настройка осуществляется следующим образом:

определение структуры сети;

настройка правил анализа защищенности сетевых узлов ГИС;

настройка контроля соответствия состояния узлов, ОС и приложений политикам безопасности;

настройка функций сохранения результатов работы модулей для дальнейшего анализа.

---

---

2.4.8 Установка и настройка средства межсетевого экранирования и криптографической защиты

Установка и настройка средства межсетевого экранирования и криптографической защиты осуществляется в соответствии с эксплуатационной документацией.

Установка заключается в подключении VipNet Coordinator HW1000 на границе ЛВС в главном сегменте, подключении VipNet Coordinator HW50 на границе ЛВС удаленных сегментов, VipNet Administrator 3.2 устанавливается на АРМ 1 Администратора ГИС (см. Приложение Г).

Настройка заключается в следующем:

Межсетевое экранирование:

• 
  настройка сетевых фильтров в соответствии с топологией заданной сети;
  
• 
  настройка правил фильтрации для необходимых протоколов и портов;
  
• 
  настройка режимов администрирования межсетевого экрана;
  
• 
  настройка идентификации администратора безопасности;
  
• 
  настройка регистрации событий межсетевого взаимодействия и администрирования межсетевого экрана;
  
• 
  настройка регистрации изменения правил фильтрации;
  
• 
  настройка сигнализации событий, связанных с нарушением установленных правил фильтрации.
  

Средство организации VPN-сети:

• 
  настройка видов доступа, разрешенных для удаленного доступа к объектам доступа информационной системы;
  
• 
  настройка правил предоставления удаленного доступа только тем пользователям, которым он необходим, и только разрешенным видам доступа;
  
• 
  настройка регистрации событий удаленного доступа для выявления несанкционированного удаленного доступа к объектам доступа информационной системы.
  

2.4.9 Настройка средства антивирусной защиты

Настройка средства антивирусной защиты осуществляется в соответствии с эксплуатационной документацией.

отключение функций обновления модулей программы;

настройка ежедневной быстрой проверки АРМ и настройка еженедельной полной проверки АРМ на наличие вирусов и вредоносных программ;

настройка полной проверки съемного носителя информации при подключении устройства к АРМ;

настройка ежедневного обновления антивирусных баз и компонентов антивирусной системы;

---

настройка списков разрешенных для запуска приложений и запрет остальных;

настройка функций регистрации и учета выполнения проверок на АРМ пользователей;

настройка способов выполнения заданных действий по обработке объектов, подвергшихся воздействию (удаление, блокирование, изолирование, перемещение в заданный каталог);

настройка функции сигнализации пользователям средства антивирусной защиты о событиях, связанных с обнаружением вредоносных компьютерных программ (вирусов).

2.5 Режим отладки

Режим отладки предназначен для отладки СрЗИ и выполняется на этапе ввода в эксплуатацию после режима конфигурирования.

2.5.1 Отладка функций управления сетью

После этапа установки и первичного конфигурирования производится изменение настроек в связи с планомерным вводом всё большего количества клиентских АРМ в защищённую сеть, установкой нового программного обеспечения, применения политик защиты информации и т.д.

При этом необходимо создать эталонную конфигурацию, минимальными изменениями которой будет возможно в кратчайшие сроки выполнить все работы по данному этапу.

Основными действиями по изменению эталонной конфигурации являются:

настройка правил фильтрации открытой и закрытой сети под нужды конкретного ПО на АРМ;

выявление заблокированных пакетов, выяснение легитимности и причин блокировки, принятие решений о редактировании фильтров;

настройка/правка параметров операционной системы и установленного ПО для устранения проблем совместимости.

Настройка элементов СЗИ необходима при вводе в эксплуатацию нового АРМ, изменении владельца, рассылки или дискредитации сертификата.

2.5.2 Отладка функций анализа защищенности

Режим отладки предполагает внесение изменений в СЗИ, обусловленные проверкой нового оборудования со специфичным ПО и не указанными учётными записями. На данном этапе и этапе рабочего режима проводится создание новых проверочных правил и политик безопасности.

---