ВУЗ: Не указан

Категория: Не указан

Дисциплина: Не указана

Добавлен: 09.01.2024

Просмотров: 269

Скачиваний: 3

ВНИМАНИЕ! Если данный файл нарушает Ваши авторские права, то обязательно сообщите нам.

СОДЕРЖАНИЕ

Оглавление

1Общие положения

1.1Наименование проектируемой Системы

1.2Организации, участвующие в разработке

1.3Цели разработки Системы

1.4Назначение и области использования Системы

1.5Сведения об использованных при разработке нормативно-технических документов

1.7 Информация хранится централизованно на серверах БД, к которым имеют доступ ограниченный перечень лиц. Очередность создания Системы

1.8 Характеристики информационной системы Управления

2. Описание процесса деятельности

2.1 Режим обработки данных

2.2 Технологический процесс обработки информации

2.2.1 Организационные и физические меры защиты.

2.2.2 Технические средства защиты.

2.2.3 Меры по обеспечению безопасности информации в ГИС «МАРИС - 88»

2.2.4 Меры по идентификации и аутентификации субъектов доступа и объектов доступа

2.2.5 Меры по управлению доступом субъектов доступа к объектам доступа

2.2.6 Меры по ограничению программной среды

2.2.7 Меры по защите машинных носителей информации

2.2.8 Меры по регистрации событий безопасности

2.2.9 Меры по антивирусной защите

2.2.10 Меры по обнаружению вторжений

2.2.11 Меры по контролю (анализу) защищенности информации

2.2.11 Меры по обеспечению целостности информационной системы и информации

2.2.12 Меры по обеспечению доступности информации

2.2.13 Меры по защите технических средств

2.2.14 Меры по защите информационной системы, ее средств, систем связи и передачи данных

2.3 Характеристика средств защиты информации

2.3.1 СЗИ Dallas Lock 8.0-K

2.3.2 СДЗ Dallas Lock

2.3.3 XSpider 7.8.24

2.3.4 Kaspersky Endpoint Security 10 для Windows

2.3.5 VipNet Administrator 3.2

2.3.5 VipNet Coordinator HW

2.4 Построение СЗИ в информационной системе

2.4.1 Схема построения СЗИ

2.4.2 Сетевая компонента

2.4.3 Серверная компонента

2.4.4 Компонента администратора

2.4.5 Режимы функционирования

2.4.6 Режим установки и конфигурирования

2.4.7 Установка и настройка средства анализа защищенности

2.4.8 Установка и настройка средства межсетевого экранирования и криптографической защиты

2.4.9 Настройка средства антивирусной защиты

2.5 Режим отладки

2.5.1 Отладка функций управления сетью

2.5.2 Отладка функций анализа защищенности

2.5.3 Рабочий режим

2.5.4 Рабочий режим управлению сетью

2.5.5 Рабочий режим анализа защищенности

3. Организационные мероприятия по защите информации

4. Заключение

5. Термины и сокращения

Принятые обозначения и сокращения



в) поддержка определенных ролей для САВЗ и их ассоциации с конкретными администраторами безопасности и пользователями ИС.

проверки объектов заражения:

а) возможность выполнять проверки с целью обнаружения зараженных ВКПВ объектов в файловых областях носителей информации, в оперативной памяти, в системных областях носителей информации, в файлах, в том числе исполняемых, упакованных различными средствами архивации;

б) возможность выполнения проверок с целью обнаружения зараженных ВКПВ объектов в режиме реального времени в файлах, полученных по каналам передачи данных.

методы проверок объектов заражения:

а) возможность выполнять проверки с целью обнаружения зараженных ВКПВ объектов сигнатурными и эвристическими методами;

б) возможность выполнять проверки с целью обнаружения зараженных BKПB объектов по команде и(или) в режиме динамического обнаружения в процессе выполнения операций доступа к объектам;

в) возможность выполнять проверки с целью обнаружения зараженных BKПB объектов путем запуска с необходимыми параметрами функционирования своего кода внешней программой;

обработка объектов, подвергшихся воздействию:

а) возможность удаления (если удаление технически возможно) кода вредоносных компьютерных программ (вирусов) из оперативной памяти, удаления файлов, в которых обнаружены ВКПВ, а также файлов, подозрительных на наличие ВКПВ, возможность перемещения и изолирования зараженных объектов;

блокирование:

а) возможность блокирования доступа к зараженным файлам, в том числе полученным по каналам передачи данных, активных ВКПВ, АРМ или сервера, на которых обнаружены зараженные файлы;

сигнализация:

а) возможность отображения сигнала тревоги на АРМ пользователя или АРМ администратора безопасности, в том числе до подтверждения его получения или до завершения сеанса;

восстановление объектов:

а) возможность восстановления функциональных свойств зараженных объектов;

обновление базы данных ВКПВ:

а) возможность получения и установки обновлений БД ВКПВ без применения средств автоматизации
; в автоматизированном режиме с сетевого ресурса.

2.3.5 VipNet Administrator 3.2



VipNet Administrator 3.2 – это базовый программный комплекс для настройки и управления защищенной сетью, включающий в себя VipNet NCC (центр управления сетью, ЦУС) – программное обеспечение, предназначенное для конфигурирования и управления виртуальной защищенной сетью VipNet.

В ГИС «МАРИС - 88» данное средство защиты информации используется для:

  • формирования топологии защищенной сети, путем регистрации сетевых узлов, пользователей и связей между ними;

  • определения политики безопасности на каждом узле и формирования списка разрешенных приложений, которые должны выполняться на каждом узле (шифрование трафика, ЭП и т. д.);

  • автоматической рассылки всем узлам информации об изменениях в топологии сети – новых узлах, пользователях, связях, также ключей шифрования, сертификатов, CRL;

  • проведения автоматического централизованного обновления ПО ViPNet на узлах защищенной сети, включая программно-аппаратные комплексы ViPNet Coordinator HW.




2.3.5 VipNet Coordinator HW



Поскольку ГИС «МАРИС -88» разделена на сегменты, то МЭ приобретается для каждого сегмента. Для главного сегмента это будет VipNet Coordinator HW1000, а в удаленные сегменты будут установлены VipNet Coordinator HW50

VipNet Coordinator HW – это криптошлюз и межсетевой экран, построенный на аппаратной платформе телекоммуникационных серверов компании «Аквариус». Продукт соответствует требованиям руководящих документов по классу КС3 для шифровальных (криптографических) средств. В данный момент ведутся работы по сертификации продукта на соответствие требованиям к МЭ А4 класса. Предыдущий сертификат истек 26.05.2017.

В ГИС «МАРИС - 88» данное средство защиты информации используется для:

  • организации защищенной VPN-сети для передачи информации между элементами сегментов через сети международного информационного обмена (между элементами, находящимися в общежитии и учебном корпусе);

  • защиты логической границы локальной сети с помощью межсетевого экранирования от внешних угроз безопасности информации;

  • фильтрации входящего и исходящего трафика;

шифрования трафика, передаваемого по открытым каналам связи.

2.4 Построение СЗИ в информационной системе




2.4.1 Схема построения СЗИ



Построение СЗИ в УОДМС заключается в применении сертифицированных средств защиты информации и обеспечении организационно-режимных мероприятий по защите информации.

СЗИ включает следующие функциональные компоненты:

сетевая компонента;

серверная компонента;

компонента администратора.

Общая схема построения системы защиты персональных данных в ГИС приведена в приложении В.

2.4.2 Сетевая компонента



Сетевая компонента представляет собой АРМ пользователей, подключенных к локальной сети и сетям общего пользования, включая пользователей, работающих согласно своим должностным обязанностям.


СЗИ обеспечивает защиту конфиденциальной информации следующими техническими средствами защиты:

использование средства защиты от несанкционированного доступа и средства контроля съемных носителей (Dallas Lock 8.0-K);

использование программно- аппаратного средства доверенной загрузки СДЗ Dallas Lock;

идентификация и аутентификация пользователя производится с помощью электронного идентификатора, входящего в комплект поставки СДЗ Dallas Lock;

использование средств криптографической защиты Crypto Pro CSP 3.6 (АРМ 406.1 и 406.2);

использование ПК VipNet Client 3.2 (КС2) (только на АРМ Администратора);

использование средства антивирусной защиты «Kaspersky Endpoint Protection 10». На момент разработки проекта данное средство уже установлено и настроено.

Параметры настройки представлены в разделе 7.2.1.

2.4.3 Серверная компонента


Серверная компонента включает сервера, использующиеся для обработки и передачи защищаемой информации.

СЗИ обеспечивает защиту информации, обрабатываемой на серверах, следующими техническими средствами защиты:

использование средства защиты от несанкционированного доступа и средства контроля съемных носителей (Dallas Lock 8.0-K);

использование программно- аппаратного средства доверенной загрузки СДЗ Dallas Lock;

идентификация и аутентификация пользователя производится с помощью электронного идентификатора, входящего в комплект поставки СДЗ Dallas Lock;

установка сервера безопасности Dallas Lock на сервере сегмента г. Магадан;

установка VipNet Coordinator HW1000 в г.Магадан и VipNet Coordinator HW50 в удаленных сегментах;

установка средства анализа защищенности XSpider 7.8.24 на сервере сегментов, кроме сегмента г. Магадан;

использование средства антивирусной защиты «Kaspersky Endpoint Protection 10». На момент разработки проекта данное средство уже установлено и настроено.

Параметры настройки представлены в разделе 7.2.1.

2.4.4 Компонента администратора



Компонента администратора представляет собой АРМ администратора, с которого осуществляется управление средствами защиты, управление ЛВС и сервером безопасности Dallas Lock.

СЗИ обеспечивает защиту АРМ администратора следующими техническими средствами защиты:

использование средства защиты от несанкционированного доступа и средства контроля съемных носителей (Dallas Lock 8.0-K);


использование программно- аппаратного средства доверенной загрузки СДЗ Dallas Lock;

идентификация и аутентификация пользователя производится с помощью электронного идентификатора, входящего в комплект поставки СДЗ Dallas Lock;

использование средства анализа защищенности (XSpider 7.8.24);

использование средства антивирусной защиты «Kaspersky Endpoint Protection 10». На момент разработки проекта данное средство уже установлено и настроено.