Проектные решения предусматривают следующие режимы работы СЗПДн ИСПДн ИУ-8:
- режим установки и начального конфигурирования компонентов СЗПДн;
- штатный режим работы СЗПДн;
- тестирование работоспособности СЗПДн;
- администрирование и техническое обслуживание компонентов СЗПДн;
- реагирование на события безопасности и аварийные ситуации.
В режиме установки и начального конфигурирования компонентов СЗПДн лаборатории ИУ-8 производится монтаж ПТС, инсталляция ПО, подключение ПТС к локальной вычислительной сети и сети электропитания. Установка и конфигурирование ПТС производится в соответствии с эксплуатационной документацией от производителя.
В штатном режиме работы СЗПДн лаборатории ИУ-8 обеспечивают информационную безопасность ИСПДн лаборатории ИУ-8.
Применяемые в СЗПДн средства защиты информации обеспечивают сбор и последующий анализ событий безопасности, действий пользователей при работе с информационными ресурсами ИСПДн, а также действий обслуживающего персонала СЗПДн. В качестве источников сбора выступают средства защиты информации СЗПДн.
В целях обеспечения непрерывности функционирования, а также быстрого восстановления работоспособности СЗПДн в случае выхода из строя системы или ее отдельных компонентов, периодически создается архивная копия критичной информации СЗПДн. Резервному копированию подвергаются конфигурационные файлы средств защиты информации СЗПДн, а также детектируемые системой события безопасности.
В режиме тестирования проверяются установки и настройки компонентов СЗПДн лаборатории ИУ-8. По результатам тестирования возможно изменение конфигурации компонентов, установка программных исправлений, обновленных версий программ, уточнение эксплуатационной документации.
Режим администрирования включает в себя конфигурирование средств защиты информации СЗПДн лаборатории ИУ-8, управление учетными записями пользователей ИСПДн, определение и конфигурирование прав разграничения доступа пользователей к информационным ресурсам ИСПДн, проведение регламентных операций резервного копирования и т.д.
Данный режим включает в себя блокирование попыток НСД, определение нанесенного ущерба в результате предпринятых попыток НСД, восстановление конфигурации ПТС и ПО СЗПДн лаборатории ИУ-8 в случае аварии или сбое в работе СЗПДн или отдельных компонентов, восстановление защищаемой информации при ее утере, расследование инцидентов безопасности.
3.7 Сведения о соответствии заданных в задании на разработку проекта потребительских характеристик системы, определяющих ее качество
Принятые проектные решения по дооснащению СЗПДн лаборатории ИУ-8 обеспечивают выполнение следующих функций:
- управление доступом;
- регистрация и учет;
- обеспечение целостности;
- антивирусная защита;
- межсетевое экранирование;
- защита от утечек по побочным каналам;
- резервное копирование;
- обеспечение отказоустойчивости.
Заявленный функционал реализуют средства защиты информации, входящие в состав СЗПДн лаборатории ИУ-8. В общем случае, одно средство защиты информации может выполнять несколько функций.
Сведения об обеспечении средствами защиты информации функциональных требований подсистем СЗПДн ИСПДн лаборатории ИУ-8, указанным в Техническом задании, приведены в таблице 3.7.1.
Таблица 3.7.1 – Соответствие требованиям СЗПДн ИСПДн лаборатории ИУ-8
| Назначение подсистемы | Требования к подсистеме | Средство реализации | Место установки средства реализации |
| 1 Подсистема управления доступом | |||
| 1.1 Управление доступом к информационным ресурсам ИСПДн | 1.1.1 Идентификация и проверка подлинности субъектов доступа при входе в ИСПДн лаборатории ИУ-8 по паролю условно-постоянного действия длинной не менее шести буквенно-цифровых символов | групповые политики AD | контроллер домена AD ИСПДн, серверы ИПСДн, АРМ пользователей ИСПДн, АРМ АИБ |
| 1.1.2 Контроль доступа пользователей ИСПДн к защищаемым ресурсам ИСПДн в соответствии с матрицей доступа | настройки разрешений файловой системы на основе пользователей и групп AD | серверы ИСПДн,АРМ пользователей ИСПДн,АРМ АИБ | |
| 1.1.3 Идентификация и аутентификация администратора СЗПДн Министерства при его запросах на доступ, в том числе локальный, к настройкам средств защиты информации | встроенные механизмы разграничения доступа систем защиты (интеграция с AD, если поддерживается) | серверы ИСПДн, сервер ЗИ, сервер МЭ,АРМ пользователей ИСПДн,АРМ АИБ | |
| 2 Подсистема регистрации и учета | |||
| 2.1 Регистрация и учет действий пользователей ИСПДн и процессов | 2.1.1 Регистрация входа (выхода) субъектов доступа в систему (из системы), либо регистрация загрузки и инициализации операционной системы и ее программного останова. Регистрация выхода из системы или останова не проводится в моменты отключения программно-технических средств ИСПДн лаборатории ИУ-8. В параметрах регистрации должны указываться дата и время входа (выхода) субъекта доступа в систему (из системы) или загрузки (останова) системы, результат попытки входа (успешная или неуспешная – несанкционированная), идентификатор (код или фамилия) субъекта, предъявленный при попытке доступа | ПО Event Viewer | серверы ИСПДн,АРМ пользователей ИСПДн,АРМ АИБ |
| 2.1.10 Учет всех защищаемых внешних носителей информации с помощью их маркировки, занесения учетных данных в журнал (учетную карточку) и регистрации их выдачи (приема) | организационные меры | - | |
| 2.2 Регистрация действий администратора СЗПДн | 2.2.1 Регистрация внесения изменений в конфигурацию средств защиты информации | встроенные модули регистрации и учета систем защиты | серверы ИСПДн,АРМ пользователей ИСПДн,АРМ АИБ |
| 3 Подсистема обеспечения целостности | |||
| 3.1 Обеспечение целостности программных средств защиты информации | 3.1.1 Обеспечение целостности программных средств системы защиты персональных данных, обрабатываемой информации, а также неизменность программной среды. При этом целостность программных средств проверяется при загрузке системы по контрольным суммам компонентов средств зашиты информации, а целостность программной среды обеспечивается использованием трансляторов с языков высокого уровня и отсутствием средств модификации объектного кода программ в процессе обработки и (или) хранения защищаемой информации | встроенные механизмы контроля целостности систем защиты | серверы ИСПДн,АРМ пользователей ИСПДн,АРМ АИБ |
| 3.1.2 Осуществление физической охраны ИСПДн (устройств и носителей информации), предусматривающей контроль доступа в помещения ИСПДн посторонних лиц, наличие надежных препятствий для несанкционированного проникновения в помещения ИСПДн и хранилище носителей информации | система "Универсальный офис" Legos | дверь помещения, АРМ АИБ | |
| 3.2 Тестирование функций подсистем защиты | 3.2.1 Периодическое тестирование функций СЗПДн при изменении программной среды и персонала ИСДн с помощью тест-программ, имитирующих попытки НСД | организационные меры | - |
| 3.3 Использование средств восстановления программ | 3.3.1 Наличие средств восстановления СЗПДн, предусматривающих ведение двух копий программных средств защиты информации, их периодическое обновление и контроль работоспособности | организационные меры | - |
| 5 Подсистема антивирусной защиты | |||
| 5.1 Защита программ и данных от вирусов и вредоносных программ | 5.1.1 Автоматическая проверка на наличие ВПр или последствий ПМВ при импорте в ИСПДн всех программных модулей (прикладных программ), которые могут содержать ВПр, по их типовым шаблонам и с помощью эвристического анализа | системаантивируснойзащиты Kaspersky Business Space Security | серверы ИСПДн, сервер ЗИ,АРМ пользователей ИСПДн,АРМ АИБ |
| 5.1.2 Реализация механизмов автоматического блокирования обнаруженных ВПр путем их удаления из программных модулей или уничтожения | |||
| 5.1.3 Регулярная (при первом запуске средств защиты ПДн от ПМВ и с устанавливаемой периодичностью) проверка на предмет наличия в них ВПр | |||
| 5.1.4 Автоматическая проверка ИСПДн на предмет наличия ВПр при выявлении факта ПМВ | |||
| 5.1.5 Механизм отката для устанавливаемого числа операций удаления ВПр из оперативной или постоянной памяти, из программных модулей и прикладных программ или программных средств, содержащих ВПр | |||
| 5.1.6 Непрерывный согласованный по единому сценарию автоматический мониторинг информационного обмена по каналам ИСПДн с целью выявления проявлений ПМВ | |||
| 6 Подсистема межсетевого экранирования | |||
| 6.1 Межсетевое экранирование | 6.1.1 Фильтрация на сетевом уровне для каждого сетевого пакета независимо (решение о фильтрации принимается на основе сетевых адресов отправителя иполучателя или на основе других эквивалентных атрибутов) | ПО ISA Server 2006 | периметр сети |
| 6.1.2 Фильтрация пакетов служебных протоколов, служащих для диагностики и управления работой сетевых устройств | |||
| 6.1.3 Идентификация и аутентификация администратора МЭ при его локальных запросах на доступ по идентификатору (коду) и паролю условно-постоянного действия | cлужба каталогов AD | сервер МЭ | |
| 6.1.4 Контроль целостности своей программной и информационной части | встроенные механизмы контроля целостности ISAServer 2006 | сервер МЭ | |
| 6.1.5 Восстановление свойств МЭпосле сбоев и отказов оборудования | |||
| 6.1.6 Регламентное тестирование реализации правил фильтрации, процесса идентификации и аутентификации администратора МЭ,процесса регистрации действий администратора МЭ, процесса контроля за целостностью программной и информационной части, процедуры восстановления | организационные меры | - | |
| 7 Подсистема защиты от утечек по побочным каналам | |||
| 7.1 Защита от утечек по побочным каналам | 7.1.1 Защита речевой информации при проведении переговоров в защищаемом помещении по акустическому каналу | адаптивный генератор виброакустической помехи "Кедр" | защищаемое помещение |
| 7.1.2 Защита речевой информации при проведении переговоров в защищаемом помещении по вибрационному каналу | |||
| 8 Подсистема резервного копирования | |||
| 8.1 Резервное копирование | 8.1.1 Резервное копирование серверов хранения – создание слепков жестких дисков | Acronis True Image Echo Enterprise Server | серверы ИСПДн, сервер ЗИ,АРМ пользователей ИСПДн,АРМ АИБ |
| 8.1.2 Резервное копирование файлов, содержащих ПДн | |||
| 9 Подсистема обеспечения отказоустойчивости | |||
| 9.1 Отказоустойчивость внешних дисковых систем | 9.1.1 Обеспечение бесперебойной работы внешних дисковых подсистем в случае выхода из строя жесткого диска | массив RAID 5 | серверы ИСПДн |
| 9.2 Отказоустойчивость вычислительной техники ИСПДн | 9.2.1 Обеспечение бесперебойной работы серверов ИСПДн | UPS 3000VA Ippon Smart Winner 3000 | серверная стойка |
| 9.2.2 Обеспечение бесперебойной работы АРМ пользователей ИСПДн | UPS 600VA PowerCom BNT 600A | АРМ пользователей ИСПДн | |
Требуемый уровень обеспечения информационной безопасности ИСПДн лаборатории ИУ-8 реализуется совокупностью программных, программно-технических средств защиты информации и организационных мер. Необходимые организационные мероприятия заключаются в тщательном планировании работ по обеспечению информационной безопасности, правильном исполнении должностными лицами своих обязанностей, точном распределении ответственности между пользователями ИСПДн и обслуживающим персоналом СЗПДн.