Архитектура Аудит Военная наука Иностранные языки Медицина Металлургия Метрология
Образование Политология Производство Психология Стандартизация Технологии


Анализ структуры и выполняемые функции информационной подсистемы «Кадры» ОГУ



ОТЧЕТ

ПО ПРЕДДИПЛОМНОЙ ПРАКТИКЕ

Студента гр. 12ИБ(б)ОТЗ

Шишкин Артем Юрьевич

Сроки прохождения практики 18.04.2016 – 14.05.2016

Организация (фирма, предприятие) ОГУ «Кадры»

Руководитель практики от университета Е. В. Бурькова

Руководитель практики от организации ______________

Оценка при защите отчета ______________

Члены комиссии _____________ /Т.З. Аралбаев /

 

 

Замечания к отчету: _______________________________________________________________________________________________________________________________________

 

 

Руководитель практики от предприятия:

 

Е.В.Бурькова дата подпись Ф.И.О.

(печать)

(все внешние подписи должны быть заверены печатью от внешней организации, предприятия)

 

Практика зачтена с оценкой: ____________ (оценка от предприятия)

 

 

Руководитель от университета:

 

Т.З. Аралбаев

дата подпись Ф.И.О.

 

Отзыв руководителя практики

от предприятия (организации) о работе студента

______________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________

___________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________

Содержание

 

1 Задачи модернизации системы защиты персональных данных информационной подсистемы «Кадры» ОГУ

1.1 Анализ структуру и выполняемые функции информационной подсистемы «Кадры» ОГУ

1.2 Аналитический обзор нормативно-правовых документов по защите ПДН

1.3 Перечень персональных данных, обрабатываемых в ИСПДн «Кадры» ОГУ

1.4 Разработка схемы информационных потоков персональных данных подсистемы «Кадры» при их обработке в ИСПДн ОГУ

1.5 Построение модели угроз безопасности ПДн в информационной подсистеме «Кадры» ОГУ

1.6 Анализ существующих комплекс организационно-технических мероприятий и средств защиты ПДн в информационной подсистеме «Кадры»

2 Основные направления модернизации системы защиты персональных данных в информационной подсистеме «Кадры».

2.1 Современные средств защиты ИСПДн Разработка структурной схемы подсистемы защиты ПДн «Кадры».

2.2 Классификацию средств защиты ИСПДн

2.3 Постановка задач на дипломное проектирование

Заключение

 

 

Дневник по практике

 

График работ, выполненных за время прохождения практики, представлен в таблице 2.1.

 

Таблица 2.1 – График выполненных работ

Дата Описание выполненных работ Отметки руководителя
15.04-16.04 Ознакомление с деятельностью предприятия. Ознакомление со структурой предприятия  
17.04 Прохождение инструктажа и техники безопасности  
18.04 Разработка плана работы на период преддипломной практики  
19.04-20.04 Сбор необходимого материала по теме выпускной квалификационной работы  
21.04-22.04 Анализ структуры и выполняемые функции информационной подсистемы «Кадры» ОГУ.    
23.04-24.04 Аналитический обзор нормативно-правовых документов по защите ПДН в ИСПДн ОГУ.  
25.04-26.04 Анализ переченя персональных данных, обрабатываемых в ИСПДн «Кадры» ОГУ.    
27.04-28.04 Исследования информационных потоков персональных данных подсистемы «Кадры» при их обработке в ИСПДн ОГУ.  
29.04-30.04 Анализ существующих комплексов организационно-технических мероприятий и средств защиты ПДн в информационной подсистеме «Кадры».  
01.05-03.05 Выбор и обоснование аппаратных средств модернизации защиты ПДн  
04.05-06.05 Выбор и обоснование программных средств модернизации защиты ПДн  
07.05 Написание отчета по преддипломной практике  

 

Руководитель от предприятия /Е.В.Бурькова /

(печать)

 

Задание на преддипломную практику

 

Преддипломная практика студентов образовательных учреждений является завершающей стадией учебного процесса, проводится на промышленных предприятиях, в организациях и фирмах. Продолжительность практики - 4 недели.

Целью преддипломной практики является знакомство с реальной практической работой предприятия; развитие навыков самостоятельного решения проблем и задач; подтверждение своей теоретической подготовки к самостоятельной инженерной деятельности, сбор информации по теме выпускной квалификационной работы (ВКР).

1 Изучить предприятие и его структуру.

2 Приобрести знания о профессиональной деятельности предприятия:

- описать структуру предприятия;

- определить основные задачи, решаемые на предприятии.

3 Собрать необходимый материал по теме выпускной квалификационной работе.

4 Проанализировать структуру и выполняемые функции информационной подсистемы «Кадры» ОГУ.

5 Провести аналитический обзор нормативно-правовых документов по защите ПДН в ИСПДн ОГУ.

6 Определить перечень персональных данных, обрабатываемых в ИСПДн «Кадры» ОГУ.

7 Построить схему информационных потоков персональных данных подсистемы «Кадры» при их обработке в ИСПДн ОГУ.

8 Построить модель угроз безопасности ПДн в информационной подсистеме «Кадры» ОГУ.

9 Проанализировать существующий комплекс организационно-технических мероприятий и средств защиты ПДн в информационной подсистеме «Кадры».

10 Определить основные направления модернизации системы защиты персональных данных в информационной подсистеме «Кадры».

11 Построить классификацию средств защиты ИСПДн

12 Подготовить отчет по практике.

 

Введение

В настоящее время информационная безопасность является неотъемлемым аспектом существования коммерческих, государственных и частных организаций. Защита информации имеет серьезные причины, ведь в случае утечки информации организации могут понести не поправимый ущерб, а именно, финансовые потери, которые в конечном итоге могут привнести к деструкции организации. Но наиболее серьезны последствия в случае утечки информации, собственником которой является государство. Так как в результате данной угрозы будут затронуты интересы государства. Но задача защиты информации является не такой уж и легкой. Поэтому были разработаны государственные стандарты и требования к системам защиты информации (СЗИ). На сегодняшний день этим стандартом является руководящий документ Государственной технической комиссией при Президенте РФ (ГТК).

В рамках выпускной квалификационной работой рассматривается объект, использующий в процессе документооборота информацию, являющуюся персональными данными. Таким образом, можно сделать вывод, что данный объект подлежит анализу на соответствие требований выставленных ГТК, и в случае не соответствия – подлежит модернизации.

Объект исследования Информационная автоматизированная система ОГУ в подсистеме «Кадры»

Темой выпускной квалификационной работой является модернизация системы защиты персональных данных в ОГУ.

Цель: повышение уровня безопасности персональных данных при их обработке в информационной подсистеме «Кадры» Оренбургского государственного университета.

В первой главе представлена характеристика и структура ИС «кадры» В огу.

Показаны все задачи подсистемы данные об персональных данных. Анализ существующих средств защиты и анализ моделей нарушителей и угроз. Анализ недостатков системы защиты и пути их совершенствования.

Отнесение угрозы к числу актуальной производится по правилам, приведенным в таблице 1.5.4

 

Таблица 1.5.4 - Правила отнесения угроз к числу актуальных

Возможность реализации угрозы (Y) Показатель опасности угрозы
Низкая Средняя Высокая
Низкая неактуальная неактуальная актуальная
Средняя неактуальная актуальная актуальная
Высокая актуальная актуальная актуальная
Очень высокая актуальная актуальная актуальная

 

Таким образом, были определены вероятности реализации угроз (Y2), коэффициенты реализуемости угроз (Y), возможности реализации угроз, оценены опасности угроз и определены актуальные угрозы в ИС «Медицинско-информационная система». Все итоги вычислений, проведённых при оценке актуальности угроз, приведены в Приложении 1.

 

Выводы и задачи

На основании исходной информации о ИСПДн и в соответствии с постановлением правительства от 1 ноября 2012 г. №1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных», ИСПДн, могут быть отнесены к следующим классам информационных систем персональных данных(таблица 3)

 

Таблица 3. Классы ИСПДн

№ п/н ИСПДн Категория ПДн\Объем\(Хнпд) Угрозы Уровень
ИСПДн «ИАС ОГУ» Специальная категория\ более 100000\Клиенты 3 тип

С целью выполнения требований нормативно-правовых актов Российской Федерации и методических документов ФСТЭК и ФСБ России по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных Учреждения, а так же при обработке без использования средств автоматизации необходимо выполнить следующие задачи:

- Актуализировать положение о порядке обработки и обеспечении безопасности персональных данных в соответствии с изменениями в Федеральном законе № 152-ФЗ «О персональных данных» в последней редакции и его подзаконных актах;

- Разработать порядок реагирования на инциденты информационной безопасности;

- Разработать положение о порядке хранения и уничтожения носителей ПДн;

- Разработать правила (инструкции) по контролю соблюдения условий использования средств защиты информации, предусмотренных эксплуатационной и технической документацией к ним;

- Актуализировать инструкцию по антивирусной защите;

- Провести повторную классификацию ИСПДн. При классификации учитывать, что все ИСПДн – многопользовательские (даже если предусмотрен один пользователь, на время его отсутствия должен быть назначен заместитель);

- Определить правила учета средств защиты, предусматривающие ведение журнала учета средств защиты информации, эксплуатационной и технической документации к ним;

- Во всех отделах Учреждения расположить мониторы таким образом, чтобы избежать возможности визуального съема информации с них из мест установки оконных конструкций и входных групп. Наиболее оптимальным способом размещения считается установка поверхности монитора перпендикулярно входным группам и оконным конструкциям.

- Обеспечить защищенность каналов связи, выходящих за пределы контролируемой зоны, путем применения криптографических средств и/или использованию оптических линий связи, находящихся в собственности Учреждении;

- Исключить хранение резервных копий на одном носителе с резервируемыми данными.

- Резервные копии данных ИСПДн хранить на отдельных хранилищах данных, обеспеченных отказоустойчивой конфигурацией дисковых массивов.

- Резервные копии создавать и восстанавливать при помощи сертифицированного ФСТЭК специального программного обеспечения.

- Разработать требования по обеспечению безопасности обработки ПДн для каждой ИСПДн;

- Разработать техническое задание и технический проект на создание СЗПДн;

- Разработать и утвердить описание системы защиты персональных данных;

- В главном корпусе создать кластер из VipNet-координаторов, для обеспечения отказоустойчивости, т.к. данный узел служит точкой отказа работы удаленных пользователей при работе через терминальные клиенты VipNet;

- Утвердить и периодически актуализировать процедуру восстановления конфигурации коммутационного оборудования после сбоев;

- Внести изменения в коммутации активного сетевого оборудования:

- объединить в stack два коммутатора Cisco 3750;

- объединить в stack четыре коммутатора Cisco 2960G.

- Изменить текущую архитектуру терминального доступа пользователей детской поликлиники, исключая передачу трафика (незашифрованного по ГОСТ 28147-89) между криптографическим шлюзом главного корпуса и терминальным сервером детской поликлиники;

- Выделить отдельный сервер, который будет выполнять функции сервера управления подсистемами информационной безопасности:

- управления системой антивирусной защиты;

- управления системой резервного копирования;

- управления системой обнаружения вторжений;

- управления системой защиты от несанкционированного доступа;

- управление сканер сети.

- Приобрести и установить сертифицированные ФСТЭК средства защиты информации с последующим утверждением актов установки и настройки. При установке СЗИ необходимо учитывать требования к аппаратному (наличие разъемов для плат аппаратной поддержки) и программному (операционные системы) обеспечению ПЭВМ для установки и эксплуатации СЗИ;

- На все рабочие станции ИСПДн приобрести сертифицированное ФСТЭК антивирусное ПО;

- Обеспечить защиту периметра сетей ИСПДн программными и/или программно-аппаратными средствами межсетевого экранирования и системами обнаружения/предотвращения вторжений;

- По завершению внедрения СЗИ провести оценку готовности установленных СЗИ к использованию и возможности их эксплуатации. Оценку провести с привлечением организации-лицензиата ФСТЭК России;

- После построения системы защиты персональных данных в Учреждении провести аттестационные испытания ИСПДн на соответствие требованиям безопасности информации руководящих документов ФСТЭК России. Аттестационные испытания проводятся организацией, имеющей лицензию ФСТЭК России на деятельность по технической защите конфиденциальной информации. В этом случае ответственность за принятые меры защиты информации (объем, качество, достаточность принятых мер) и за их соответствие требованиям существующего законодательства возлагается на организацию-лицензиата.

Требования КСЗ ИСПДн в целом

Обеспечение целостности, доступности, конфиденциальности ПДн и неотказуемости действий пользователей в ИСПДн должно осуществляться непрерывно (круглосуточно) за счет комбинирования встроенных в ОС и СУБД механизмов защиты информации с наложенными программными и (или) программно-аппаратными СЗИ и СКЗИ, а также реализации организационных мероприятий по обеспечению информационной безопасности в рамках ИСПДн.

КСЗ ИСПДн должна иметь возможность централизованного управления.

По требованиям к степени приспособляемости системы к отклонениям параметров компонентов ИСПДн КСЗ ИСПДн должна обеспечивать масштабируемость по:

- количеству пользователей;

- количеству серверов;

- количеству рабочих станций, в том числе стационарных, удаленных и мобильных.

Масштабируемость не имеет места при условии аттестации ИСПДн после создания КСЗ ИСПДн. После проведения аттестации ИСПДн, необходимо сохранять неизменность программной, программно-аппаратной, аппаратной составляющей ИСПДн, а также состава компонентов ИСПДн, указанного в паспорте ИСПДн.

Средства защиты информации, применяемые в КСЗ ИСПДн, в установленном порядке должны проходить процедуру оценки соответствия требованиям по безопасности информации.

Требования к структуре и функционированию КСЗ ИСПДн

На основании требований руководящих документов ФСТЭК и ФСБ России по защите ПДн, «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных», утвержденных Постановлением Правительства Российской Федерации от 1 ноября 2012 г. № 1119 и перечня актуальных угроз, определенных в моделях угроз безопасности персональных данных при их обработке в ИСПДн, составленных по методикам ФСТЭК России и ФСБ России, КСЗ ИСПДн Заказчика должна включать в свой состав следующие подсистемы:

- подсистема защиты от НСД;

- подсистема антивирусной защиты, обеспечивающая защиту ИСПДн от вирусных атак;

- подсистема обнаружения вторжений, обеспечивающая защиту от неизвестных, либо замаскированных угроз направленных по сети международного информационного обмена и сети общего пользования в защищаемый периметр ИСПДн;

- подсистема анализа защищенности, обеспечивающая возможность выявления уязвимостей, связанных с ошибками в конфигурации программного обеспечения информационной системы, которые могут быть использованы нарушителем для реализации атаки на систему;

- подсистема межсетевого экранирования, обеспечивающая экранирования сегмента сети ИСПДн от внешней сети;

- подсистема криптографической защиты информации, обеспечивающая защиту ПДн от раскрытия и (или) подмены при передаче по открытым каналам связи.

- Подсистема резервного копирования и восстановления, обеспечивающая целостность и доступность ПДн в случае сбоев оборудования или утраты носителей.

Структура КСЗ ИСПДн может изменяться и уточняться на стадии проектирования с учетом обоснования необходимых изменений в проектной документации.

Для функционирования программно-аппаратных комплексов КСЗ ИСПДн должны быть модернизированы существующие структурированные кабельные системы (далее СКС) и локальные вычислительные сети (далее ЛВС) на соответствующих объектах. Между корпусами больницы должны быть проложены высокоскоростные линии передачи данных, за счет применения оптический линий связи.

Подключение оборудования КСЗ ИСПДн к ЛВС Заказчика должно осуществляться на основе интерфейсов 10/100/1000/10Gb Ethernet.

Сетевое взаимодействие компонентов КСЗ ИСПДн на транспортно-сетевом уровне должно осуществляться по протоколам TCP/IP.

Требования к защите информации о КСЗ ИСПДн от НСД

Для защиты информации от несанкционированного доступа требуется выполнение следующих методов и способов:

- Идентификация и аутентификация субъектов доступа и объектов доступа

- Управление доступом субъектов доступа к объектам доступа

- Ограничение программной среды

- Защита машинных носителей персональных данных

- Регистрация событий безопасности

- Антивирусная защита

- Обнаружение вторжений

- Контроль (анализ) защищенности персональных данных

- Защита среды виртуализации

- Защита технических средств

- Защита информационной системы, ее средств, систем связи и передачи данных

- Выявление инцидентов и реагирование на них

- Управление конфигурацией информационной системы и системы защиты персональных данных

Требования к подсистеме защиты от НСД

Подсистема должна обеспечивать:

- Идентификацию и проверку подлинности пользователя при входе в систему по идентификатору (коду) и паролю условно-постоянного действия длиной не менее восьми символов, содержащих минимум одну букву, одну цифру и один специальный символ.

- Смену пароля по требованию каждый месяц.

- Идентификацию и аутентификацию устройств, в том числе стационарных, мобильных и портативных.

- Управление идентификаторами, в том числе создание, присвоение, уничтожение идентификаторов.

- Управление средствами аутентификации, в том числе хранение, выдача, инициализация, блокирование средств аутентификации и принятие мер в случае утраты и (или) компрометации средств аутентификации.

- Защита обратной связи при вводе аутентификационной информации.

- Идентификация и аутентификация пользователей, не являющихся работниками оператора (внешних пользователей).

- Управление (заведение, активация, блокирование и уничтожение) учетными записями пользователей, в том числе внешних пользователей.

- Реализация необходимых методов (дискреционный, мандатный, ролевой или иной метод), типов (чтение, запись, выполнение или иной тип) и правил разграничения доступа.

- Управление (фильтрация, маршрутизация, контроль соединений, однонаправленная передача и иные способы управления) информационными потоками между устройствами, сегментами информационной системы, а также между информационными системами.

- Разделение полномочий (ролей) пользователей, администраторов и лиц, обеспечивающих функционирование информационной системы.

- Назначение минимально необходимых прав и привилегий пользователям, администраторам и лицам, обеспечивающим функционирование информационной системы.

- Ограничение неуспешных попыток входа в информационную систему (доступа к информационной системе).

- Блокирование сеанса доступа в информационную систему после установленного времени бездействия (неактивности) пользователя или по его запросу.

- Разрешение (запрет) действий пользователей, разрешенных до идентификации и аутентификации.

- Реализация защищенного удаленного доступа субъектов доступа к объектам доступа через внешние информационно-телекоммуникационные сети.

- Обеспечение доверенной загрузки средств вычислительной техники.

- Идентификацию и аутентификацию субъектов доступа и объектов доступа в виртуальной инфраструктуре, в том числе администраторов управления средствами виртуализации.

- Управление доступом субъектов доступа к объектам доступа в виртуальной инфраструктуре, в том числе внутри виртуальных машин.

- Регистрация входа (выхода) пользователя в систему (из системы) либо регистрация загрузки и инициализации операционной системы и ее программного останова. Регистрация выхода из системы или останова не проводится в моменты аппаратурного отключения информационной системы. В параметрах регистрации указываются дата и время входа (выхода) пользователя в систему (из системы) или загрузки (останова) системы, результат попытки входа (успешная или неуспешная), идентификатор (код или фамилия) пользователя, предъявленный при попытке доступа.

- Учет всех защищаемых носителей информации с помощью их маркировки и занесение учетных данных в журнал учета с отметкой об их выдаче (приеме).

- Обеспечение целостности программных средств системы защиты персональных данных, обрабатываемой информации, а также неизменность программной среды. При этом целостность системы защиты персональных данных проверяется при загрузке системы по контрольным суммам компонентов системы защиты, а целостность программной среды обеспечивается использованием трансляторов с языков высокого уровня и отсутствием средств модификации объектного кода программ в процессе обработки и (или) хранения персональных данных.

- Физическая охрана технических средств информационной системы (устройств и носителей информации), предусматривающая контроль доступа в помещения посторонних лиц, наличие надежных препятствий для несанкционированного проникновения в помещения и хранилище носителей информации.

- Периодическое тестирование функций системы защиты персональных данных при изменении программной среды и пользователей информационной системы с помощью тест-программ, имитирующих попытки несанкционированного доступа.

- Наличие средств восстановления системы защиты персональных данных, предусматривающих ведение двух копий программных компонентов средств защиты информации, их периодическое обновление и контроль работоспособности.

Требования к подсистеме антивирусной защиты

- Антивирусные средства защиты должны осуществлять автоматическую проверку на рабочих станциях и серверах ИСПДн.

- Должны быть реализованы механизмы автоматического блокирования обнаруженных ВП путем их удаления из программных модулей или уничтожения.

- На всех АРМ и серверах ИСПДн должен проводиться непрерывный, согласованный по единому сценарию, автоматический мониторинг информационного обмена в ИСПДн с целью выявления проявлений ВП.

- Обновление базы данных признаков вредоносных компьютерных программ (вирусов).

Требования к подсистеме обнаружения вторжений

- Мероприятия по обнаружению вторжений должны проводиться путем использования в составе КСЗ ИСПДн программных и программно-аппаратных средств обнаружения вторжений.

- Средства обнаружения вторжений должны осуществлять обнаружения на основе анализа сетевого трафика в сетевых сегментах, на серверах и АРМ ИСПДн.

- Выбор точек контроля для средств обнаружения вторжений, место и сроки хранения журналов событий подсистемы должны быть определены на этапе проектирования.

- Средства обнаружения вторжений должны обнаруживать атаки на основе сигнатур и поведенческого анализа. Должна быть реализована возможность регулярного обновления базы сигнатур.

- Подсистема должна обладать следующими возможностями:

- своевременного обнаружения несанкционированной активности;

- обнаружения сетевых атак на основе, как сигнатурных методов анализа, так и методов выявления аномалий;

- ведения отчетных журналов о работе;

- обновление базы решающих правил.

Требования к подсистеме анализа защищенности

- Анализ защищенности должен проводиться путем использования в составе КСЗ ИСПДн программных средств анализа защищенности.

- Средства анализа защищенности (далее САЗ) должны обеспечивать возможность выявления уязвимостей, связанных с ошибками в конфигурации сетевых служб ИСПДн, которые могут быть использованы нарушителем для реализации атаки на систему.

- Для САЗ должна быть обеспечена возможность контроля настроек политик безопасности операционных систем на рабочих станциях, серверах и сетевом оборудовании и выявления уязвимостей, связанных с ошибками в конфигурации ПО.

- Результатом работы средства анализа защищенности должен являться отчет, в котором обобщаются сведения об обнаруженных уязвимостях.

- Требования к подсистеме анализа защищенности:

- Анализ защищенности должен проводиться путем использования в составе КСЗ ИСПДн программных средств анализа защищенности.

- Средства анализа защищенности (далее САЗ) должны обеспечивать возможность выявления уязвимостей, связанных с ошибками в конфигурации сетевых служб ИСПДн, которые могут быть использованы нарушителем для реализации атаки на систему.

- Для САЗ должна быть обеспечена возможность контроля настроек политик безопасности операционных систем на рабочих станциях, серверах и сетевом оборудовании и выявления уязвимостей, связанных с ошибками в конфигурации ПО.

- Результатом работы средства анализа защищенности должен являться отчет, в котором обобщаются сведения об обнаруженных уязвимостях.

- Оперативное устранение вновь выявленных уязвимостей;

- Контроль установки обновлений программного обеспечения, включая обновление программного обеспечения средств защиты информации;

- Контроль состава технических средств, программного обеспечения и средств защиты информации;

- Контроль правил генерации и смены паролей пользователей, заведения и удаления учетных записей пользователей, реализации правил разграничения доступа, полномочий пользователей в информационной системе;

Требования к подсистеме межсетевого экранирования

- Подключение ИСПДн к Сети связи общего пользования и международного информационного обмена должно осуществляться с использованием межсетевых экранов.

- Межсетевой экран должен обеспечивать выполнение следующих функций:

- фильтрацию на сетевом уровне для каждого сетевого пакета независимо (решение о фильтрации принимается на основе сетевых адресов отправителя и получателя или на основе других эквивалентных атрибутов);

- идентификацию и аутентификацию администратора межсетевого экрана при его локальных запросах на доступ по идентификатору (коду) и паролю условно-постоянного действия;

- регистрацию входа (выхода) администратора межсетевого экрана в систему (из системы) либо загрузки и инициализации системы и ее программного останова (регистрация выхода из системы не проводится в моменты аппаратурного отключения межсетевого экрана);

- контроль целостности своей программной и информационной части;

- фильтрацию пакетов служебных протоколов, служащих для диагностики и управления работой сетевых устройств;

- восстановление свойств межсетевого экрана после сбоев и отказов оборудования;

- регламентное тестирование реализации правил фильтрации, процесса идентификации и аутентификации администратора межсетевого экрана, процесса регистрации действий администратора межсетевого экрана, процесса контроля за целостностью программной и информационной части, процедуры восстановления;

- разбиение информационной системы на сегменты (сегментирование информационной системы) и обеспечение защиты периметров сегментов информационной системы;

- обеспечение подлинности сетевых соединений (сеансов взаимодействия), в том числе для защиты от подмены сетевых устройств и сервисов.

Требования к подсистеме криптографической защиты информации

- Средства криптографической защиты должны обеспечивать защиту информации от несанкционированного доступа при передаче по каналам связи и защиту от навязывания ложной информации.

- Средства криптографической защиты должны обеспечивать объединение через Сети связи общего пользования и международного информационного обмена локальных сетей Заказчика в единую сеть виртуальную частную сеть.

- Подключение удаленных и мобильных пользователей к виртуальной частной сети по защищенному каналу.

- Централизованное управление виртуальной частной сетью.

Требования к подсистеме резервного копирования и восстановления

- Средства резервного копирования должны обеспечивать периодическое резервное копирование персональных данных, конфигурационных файлов СЗПДн, системных файлов на резервные машинные носители персональных данных;

- Обеспечение возможности восстановления персональных данных с резервных машинных носителей персональных данных (резервных копий) в течение установленного временного интервала;

- Резервное копирование виртуальных машин;

- Возможность восстановления резервных копий виртуальных машин, как в виртуальную, так и физическую среду;

- Централизованное управление подсистемой резервного копирования;

- Перенос резервных копий на накопители на магнитной ленте.

Требования к инженерному обеспечению ЦОД

- Должен осуществляться контроль доступа в помещения ЦОД, в которых находятся технические средства ИСПДн (устройства и носители информации), предусматривающий контроль доступа в помещения посторонних лиц, наличие надежных препятствий для несанкционированного проникновения в помещения и хранилище носителей информации, особенно в нерабочее время.

- Помещения, в которых расположены криптографические средства, хранятся ключевые документы к ним должны иметь прочные входные двери с замками, гарантирующими надежное закрытие помещений в нерабочее время. Окна помещений, расположенных на первых и последних этажах зданий, а также окна, находящиеся около пожарных лестниц и других мест, откуда возможно проникновение в помещения посторонних лиц, необходимо оборудовать металлическими решетками, или ставнями, или охранной сигнализацией, или другими средствами, препятствующими неконтролируемому проникновению в помещения.

- Двери серверных помещений, двери коммутационных узлов, а также специальных помещений должны быть оборудованы электронными замками, входящими в состав СКУД.

- Должно осуществляться охранное видеонаблюдение. Система охранного видеонаблюдения предназначена для визуального наблюдения и фиксации текущей обстановки в помещениях Серверной. Камеры необходимо разместить таким образом, чтобы контролировать входы и выходы в помещение, пространство возле технологического оборудования (ИБП, кондиционеры, серверные шкафы и телекоммуникационные стойки). Разрешения видеокамер должно быть достаточным, чтобы уверенно различать лица сотрудников, обслуживающих технологическое оборудование.

- Все оборудование серверного помещения размещается в закрытых шкафах или открытых стойках. Количество стоек (шкафов) определяется исходя из имеющегося оборудования и его типоразмеров, способов монтажа.

- Для улучшения температурного режима размещение шкафов (стоек) организуют рядами с образованием «горячих» и «холодных» коридоров. Промежутки между шкафами не допускаются.

- Распределение оборудования по шкафам (стойкам) осуществляется с учетом совместимости (возможного взаимного влияния), оптимального распределения потребляемой мощности (а значит и тепловыделения), оптимальности коммуникаций, габаритам и массе оборудования.

- Закрытые шкафы, в отличие от стоек, позволяют организовать дополнительные ограничения на доступ к оборудованию. Доступ внутрь таких шкафов может осуществляться с использованием подсистемы контроля доступа.

- Закрытые шкафы нуждаются в дополнительных мерах по обеспечению требуемого температурного режима. Для этого применяются дополнительные вентиляторы, встраиваемые системы охлаждения, модули отвода горячего воздуха.

- Требования к другим видам обеспечения не предъявляются.

Подсистема защиты от НСД

В качестве средств защиты ПДн, обрабатываемых в ИСПДн, от несанкционированного доступа, выбран продукт компании ООО «Код безопасности» Secret Net 7.

Данное СЗИ является сертифицированным ФСТЭК средством и отвечает всем требованиям, определенным на предпроектной стадии, для подсистемы защиты от НСД.

Расположение СЗИ в зависимости от назначения оборудования и его местоположения приведена в таблице 2.2.1.

 

Таблица 2.2.1 Расположение СЗИ

 

СЗИ Объекты установки Идентификаторы объектов ИСПДн Физическое местоположение
Secret Net 7 Серверы ИСПДн ################# Бухгалтерия и кадровый учет ################
Secret Net7 Рабочии станции пользователей ################# информационная система ###############
Secret Net 7 Серверы ИСПДн ################# информационная система ############
Secret Net 7 Рабочие станции пользователей ################# Бухгалтерия и кадровый учет ################

 

Компонент «Сервер безопасности» устанавливается локально на отдельный выделенный сервер, на сервере должен быть установлен компонент IIS.

Компонент «Программа управления» устанавливается на рабочее место администратора SecretNet и требует установленного компонента SecretNet 7 «Клиент».

Установка Secret Net 7 «Клиент» производится локально на каждый сервер и АРМ ИСПДн, включая терминальные сервера.


Поделиться:



Популярное:

Последнее изменение этой страницы: 2016-05-29; Просмотров: 1190; Нарушение авторского права страницы


lektsia.com 2007 - 2024 год. Все материалы представленные на сайте исключительно с целью ознакомления читателями и не преследуют коммерческих целей или нарушение авторских прав! (0.167 с.)
Главная | Случайная страница | Обратная связь