Физический доступ персонала в серверные помещения, в которых размещаются серверные шкафы с оборудованием СЗПДн, должен быть ограничен. Для размещения оборудования СЗПДн используются существующие серверные шкафы.
Модернизация серверных помещений в рамках технического проекта по созданию СЗПДн ИСПДн не предусматривается.
Создание охраняемых зон, а также использование технических и организационных мер по обеспечению физической безопасности ПТС СЗПДн является обязанностью Заказчиков.
При создании СЗПДн ИСПДн лаборатории ИУ-8 предусматривается внедрение СКД для физического разграничения доступа в защищаемые помещения ИСПДн.
При создании СЗПДн ИСПДн лаборатории ИУ-8 используются существующие СКС. Модернизация СКС в рамках работ по созданию СЗПДн не предусматривается.
При создании СЗПДн ИСПДн лаборатории ИУ-8 используется существующая система электропитания. Модернизации существующей в лаборатории ИУ-8 системы электропитания в рамках данного технического проекта не предусматривается.
Для обеспечения бесперебойного электропитания оборудования СЗПДн проектными решениями предусматривается использование ИБП, обеспечивающих необходимую суммарную потребляемую мощность для устанавливаемого оборудования на каждом объекте внедрения.
При создании СЗПДн ИСПДн лаборатории ИУ-8 используются существующие системы кондиционирования и вентиляции. Модернизация существующих систем кондиционирования и вентиляции в рамках технического проекта по дооснащению СЗПДн не предусматривается.
Для обеспечения нормального режима работы оборудование СЗПДн должно функционировать в климатических условиях, отвечающих следующим требованиям:
- температура воздуха +18 °С - +22 °С;
- относительная влажность воздуха: от 40% до 80% при T=20 °С.
Помещения, в которых размещается оборудование СЗПДн, должны быть оборудованы системами кондиционирования воздуха. Системы кондиционирования и вентиляции должны обеспечивать отвод тепла от устанавливаемого оборудования.
3.6 Решения по режимам функционирования, диагностированию работы СЗПДн ИСПДн лаборатории ИУ-8
Проектные решения предусматривают следующие режимы работы СЗПДн ИСПДн ИУ-8:
- режим установки и начального конфигурирования компонентов СЗПДн;
- штатный режим работы СЗПДн;
- тестирование работоспособности СЗПДн;
- администрирование и техническое обслуживание компонентов СЗПДн;
- реагирование на события безопасности и аварийные ситуации.
В режиме установки и начального конфигурирования компонентов СЗПДн лаборатории ИУ-8 производится монтаж ПТС, инсталляция ПО, подключение ПТС к локальной вычислительной сети и сети электропитания. Установка и конфигурирование ПТС производится в соответствии с эксплуатационной документацией от производителя.
В штатном режиме работы СЗПДн лаборатории ИУ-8 обеспечивают информационную безопасность ИСПДн лаборатории ИУ-8.
Применяемые в СЗПДн средства защиты информации обеспечивают сбор и последующий анализ событий безопасности, действий пользователей при работе с информационными ресурсами ИСПДн, а также действий обслуживающего персонала СЗПДн. В качестве источников сбора выступают средства защиты информации СЗПДн.
В целях обеспечения непрерывности функционирования, а также быстрого восстановления работоспособности СЗПДн в случае выхода из строя системы или ее отдельных компонентов, периодически создается архивная копия критичной информации СЗПДн. Резервному копированию подвергаются конфигурационные файлы средств защиты информации СЗПДн, а также детектируемые системой события безопасности.
В режиме тестирования проверяются установки и настройки компонентов СЗПДн лаборатории ИУ-8. По результатам тестирования возможно изменение конфигурации компонентов, установка программных исправлений, обновленных версий программ, уточнение эксплуатационной документации.
Режим администрирования включает в себя конфигурирование средств защиты информации СЗПДн лаборатории ИУ-8, управление учетными записями пользователей ИСПДн, определение и конфигурирование прав разграничения доступа пользователей к информационным ресурсам ИСПДн, проведение регламентных операций резервного копирования и т.д.
Данный режим включает в себя блокирование попыток НСД, определение нанесенного ущерба в результате предпринятых попыток НСД, восстановление конфигурации ПТС и ПО СЗПДн лаборатории ИУ-8 в случае аварии или сбое в работе СЗПДн или отдельных компонентов, восстановление защищаемой информации при ее утере, расследование инцидентов безопасности.
3.7 Сведения о соответствии заданных в задании на разработку проекта потребительских характеристик системы, определяющих ее качество
Принятые проектные решения по дооснащению СЗПДн лаборатории ИУ-8 обеспечивают выполнение следующих функций:
- управление доступом;
- регистрация и учет;
- обеспечение целостности;
- антивирусная защита;
- межсетевое экранирование;
- защита от утечек по побочным каналам;
- резервное копирование;
- обеспечение отказоустойчивости.
Заявленный функционал реализуют средства защиты информации, входящие в состав СЗПДн лаборатории ИУ-8. В общем случае, одно средство защиты информации может выполнять несколько функций.
Сведения об обеспечении средствами защиты информации функциональных требований подсистем СЗПДн ИСПДн лаборатории ИУ-8, указанным в Техническом задании, приведены в таблице 3.7.1.
Таблица 3.7.1 - Соответствие требованиям СЗПДн ИСПДн лаборатории ИУ-8
Назначение
подсистемы
Требования к подсистеме
Средство реализации
Место установки средства реализации
1 Подсистема управления доступом
1.1 Управление доступом к информационным ресурсам ИСПДн
1.1.1 Идентификация и проверка подлинности субъектов доступа при входе в ИСПДн лаборатории ИУ-8 по паролю условно-постоянного действия длинной не менее шести буквенно-цифровых символов
групповые политики AD
контроллер домена AD ИСПДн, серверы ИПСДн, АРМ пользователей ИСПДн, АРМ АИБ
1.1.2 Контроль доступа пользователей ИСПДн к защищаемым ресурсам ИСПДн в соответствии с матрицей доступа
настройки разрешений файловой системы на основе пользователей и групп AD
серверы ИСПДн,
АРМ пользователей ИСПДн,
АРМ АИБ
1.1.3 Идентификация и аутентификация администратора СЗПДн Министерства при его запросах на доступ, в том числе локальный, к настройкам средств защиты информации
встроенные механизмы разграничения доступа систем защиты (интеграция с AD, если поддерживается)
серверы ИСПДн, сервер ЗИ, сервер МЭ,
2 Подсистема регистрации и учета
2.1 Регистрация и учет действий пользователей ИСПДн и процессов
2.1.1 Регистрация входа (выхода) субъектов доступа в систему (из системы), либо регистрация загрузки и инициализации операционной системы и ее программного останова. Регистрация выхода из системы или останова не проводится в моменты отключения программно-технических средств ИСПДн лаборатории ИУ-8. В параметрах регистрации должны указываться дата и время входа (выхода) субъекта доступа в систему (из системы) или загрузки (останова) системы, результат попытки входа (успешная или неуспешная - несанкционированная), идентификатор (код или фамилия) субъекта, предъявленный при попытке доступа
ПО Event Viewer
2.1.10 Учет всех защищаемых внешних носителей информации с помощью их маркировки, занесения учетных данных в журнал (учетную карточку) и регистрации их выдачи (приема)
организационные меры
-
2.2 Регистрация действий администратора СЗПДн
2.2.1 Регистрация внесения изменений в конфигурацию средств защиты информации
встроенные модули регистрации и учета систем защиты
3 Подсистема обеспечения целостности
3.1 Обеспечение целостности программных средств защиты информации
3.1.1 Обеспечение целостности программных средств системы защиты персональных данных, обрабатываемой информации, а также неизменность программной среды. При этом целостность программных средств проверяется при загрузке системы по контрольным суммам компонентов средств зашиты информации, а целостность программной среды обеспечивается использованием трансляторов с языков высокого уровня и отсутствием средств модификации объектного кода программ в процессе обработки и (или) хранения защищаемой информации
встроенные механизмы контроля целостности систем защиты
3.1.2 Осуществление физической охраны ИСПДн (устройств и носителей информации), предусматривающей контроль доступа в помещения ИСПДн посторонних лиц, наличие надежных препятствий для несанкционированного проникновения в помещения ИСПДн и хранилище носителей информации
система "Универсальный офис" Legos
дверь помещения, АРМ АИБ
3.2 Тестирование функций подсистем защиты
3.2.1 Периодическое тестирование функций СЗПДн при изменении программной среды и персонала ИСДн с помощью тест-программ, имитирующих попытки НСД
3.3 Использование средств восстановления программ
3.3.1 Наличие средств восстановления СЗПДн, предусматривающих ведение двух копий программных средств защиты информации, их периодическое обновление и контроль работоспособности
5 Подсистема антивирусной защиты
5.1 Защита программ и данных от вирусов и вредоносных программ
5.1.1 Автоматическая проверка на наличие ВПр или последствий ПМВ при импорте в ИСПДн всех программных модулей (прикладных программ), которые могут содержать ВПр, по их типовым шаблонам и с помощью эвристического анализа
система антивирусной защиты Kaspersky Business Space Security
серверы ИСПДн, сервер ЗИ,
5.1.2 Реализация механизмов автоматического блокирования обнаруженных ВПр путем их удаления из программных модулей или уничтожения
5.1.3 Регулярная (при первом запуске средств защиты ПДн от ПМВ и с устанавливаемой периодичностью) проверка на предмет наличия в них ВПр
5.1.4 Автоматическая проверка ИСПДн на предмет наличия ВПр при выявлении факта ПМВ
5.1.5 Механизм отката для устанавливаемого числа операций удаления ВПр из оперативной или постоянной памяти, из программных модулей и прикладных программ или программных средств, содержащих ВПр
5.1.6 Непрерывный согласованный по единому сценарию автоматический мониторинг информационного обмена по каналам ИСПДн с целью выявления проявлений ПМВ
6 Подсистема межсетевого экранирования
6.1 Межсетевое экранирование
6.1.1 Фильтрация на сетевом уровне для каждого сетевого пакета независимо (решение о фильтрации принимается на основе сетевых адресов отправителя и получателя или на основе других эквивалентных атрибутов)
ПО ISA Server 2006
периметр сети
6.1.2 Фильтрация пакетов служебных протоколов, служащих для диагностики и управления работой сетевых устройств
6.1.3 Идентификация и аутентификация администратора МЭ при его локальных запросах на доступ по идентификатору (коду) и паролю условно-постоянного действия
cлужба каталогов AD
сервер МЭ
6.1.4 Контроль целостности своей программной и информационной части
встроенные механизмы контроля целостности ISA Server 2006
6.1.5 Восстановление свойств МЭ после сбоев и отказов оборудования
6.1.6 Регламентное тестирование реализации правил фильтрации, процесса идентификации и аутентификации администратора МЭ, процесса регистрации действий администратора МЭ, процесса контроля за целостностью программной и информационной части, процедуры восстановления
7 Подсистема защиты от утечек по побочным каналам
7.1 Защита от утечек по побочным каналам
7.1.1 Защита речевой информации при проведении переговоров в защищаемом помещении по акустическому каналу
адаптивный генератор виброакустической помехи "Кедр"
защищаемое помещение
7.1.2 Защита речевой информации при проведении переговоров в защищаемом помещении по вибрационному каналу
8 Подсистема резервного копирования
8.1 Резервное копирование
8.1.1 Резервное копирование серверов хранения - создание слепков жестких дисков
Acronis True Image Echo Enterprise Server
8.1.2 Резервное копирование файлов, содержащих ПДн
9 Подсистема обеспечения отказоустойчивости
9.1 Отказоустойчивость внешних дисковых систем
9.1.1 Обеспечение бесперебойной работы внешних дисковых подсистем в случае выхода из строя жесткого диска
массив RAID 5
серверы ИСПДн
9.2 Отказоустойчивость вычислительной техники ИСПДн
9.2.1 Обеспечение бесперебойной работы серверов ИСПДн
UPS 3000VA Ippon Smart Winner 3000
серверная стойка
9.2.2 Обеспечение бесперебойной работы АРМ пользователей ИСПДн
UPS 600VA PowerCom BNT 600A
АРМ пользователей ИСПДн
4. ОРГАНИЗАЦИОННОЕ ОБЕСПЕЧЕНИЕ ЗАЩИТЫ ИНФОРМАЦИИ
Требуемый уровень обеспечения информационной безопасности ИСПДн лаборатории ИУ-8 реализуется совокупностью программных, программно-технических средств защиты информации и организационных мер. Необходимые организационные мероприятия заключаются в тщательном планировании работ по обеспечению информационной безопасности, правильном исполнении должностными лицами своих обязанностей, точном распределении ответственности между пользователями ИСПДн и обслуживающим персоналом СЗПДн.
4.1 Основные организационные мероприятия
Основными целями проведения организационных мероприятий являются:
- распределение должностных обязанностей, выполняемых функций и разделение ответственности;
- определение перечня организационно-распорядительных документов, регламентирующих работу по обеспечению информационной безопасности ИСПДн лаборатории ИУ-8;
- осуществление постоянного контроля за соблюдением режима конфиденциальности и состояния соответствующих инструкций.
К основным организационным мероприятиям относятся:
- мероприятия по учету защищаемых носителей информации;
- мероприятия по тестированию функций средств защиты информации (далее - СЗИ) НСД;
- мероприятия по проверке, обновлению и контролю работоспособности средств восстановления СЗИ НСД.
5. МЕРОПРИЯТИЯ ПО ПОДГОТОВКЕ К ВВОДУ В ДЕЙСТВИЕ СЗИ
Для проведения работ по установке ПО и ПТС и вводу в действие СЗПДн лаборатории ИУ-8 Заказчик должен обеспечить:
Предоставление необходимых площадей для размещения комплексов СЗПДн в имеющихся серверных помещениях.
Доработка существующих на объектах коммуникационных сетей и сетей электропитания для подключения ПТС СЗПДн.
Готовность сетевой инфраструктуры к установке ПТС СЗПДн.
Предоставление необходимой организационно-распорядительной документации по обеспечению безопасности ПДн, включая утвержденные эксплуатирующими организациями правил разграничения доступа к информационным ресурсам ИСПДн.
Предоставление доступа к каналам связи.
Наличие обученного персонала для обеспечения эксплуатации компонентов СЗПДн.
Содействие персонала эксплуатирующих организаций внесению корректировок в настройки ПТС СЗПДн.
Издание приказов о формировании соответствующих приемочных комиссий по вводу в действие СЗПДн.
5.1 Мероприятия по обучению и проверке квалификации персонала
Для обеспечения функционирования СЗПДн лаборатории ИУ-8 в соответствии с ее назначением необходимо провести подготовку администраторов информационной безопасности СЗПДн. Администраторы информационной безопасности СЗПДн должны пройти обучение по информационной безопасности, установке, настройке и обслуживанию средств защиты информации, вводимых в эксплуатацию в составе СЗПДн:
- курс Microsoft Certified Technology Specialist (MCTS) 70-640 - Конфигурирование службы Active Directory в Windows Server 2008;
- антивирус Kaspersky Business Space Security;
- ПО ISA Server 2006;
- адаптивный генератор виброакустической помехи "Кедр";
- система "Универсальный офис" Legos;
- Acronis True Image Enterprise Echo Server.
Квалификация АИБ СЗПДн должна быть подтверждена соответствующими удостоверениями (сертификатами) о прохождении курсов или повышении квалификации, выданными в организациях, имеющих лицензии на оказание образовательных услуг.
5.2 Мероприятия по созданию необходимых подразделений и рабочих мест
Настоящими проектными решениями не предусматривается создание специальных подразделений, обслуживающих СЗПДн лаборатории ИУ-8.
Создание СЗПДн лаборатории ИУ-8 влечет за собой определение следующих функциональных обязанностей (ролей):
- АИБ СЗПДн лаборатории ИУ-8;
Данная функциональная роль по обслуживанию и администрированию СЗПДн лаборатории ИУ-8 возлагается на штатных сотрудников лаборатории ИУ-8.
5.3 Порядок контроля и приемки СЗПДн
Контроль и приемка результатов работ по оснащению СЗПДн лаборатории ИУ-8 должны производится в соответствии с требованиями Технического задания на создание СЗПДн (шифр - 001234567.000.001.ТЗ.01.1-1).
По завершении строительно-монтажных и пусконаладочных работ комплексов защиты информации проводятся комплексные проверки ПТС СЗПДн лаборатории ИУ-8, целью которых является проверка функционирования компонентов систем в сетевой инфраструктуре лаборатории ИУ-8.
По результатам проведения проверок издаются соответствующие приказы о вводе СЗПДн лаборатории ИУ-8 в постоянную эксплуатацию.
Страницы: 1, 2, 3, 4, 5, 6
