Данный режим включает в себя блокирование попыток НСД, определение нанесенного ущерба в результате предпринятых попыток НСД, восстановление конфигурации ПТС и ПО СЗПДн лаборатории ИУ-8 в случае аварии или сбое в работе СЗПДн или отдельных компонентов, восстановление защищаемой информации при ее утере, расследование инцидентов безопасности.
3.7 Сведения о соответствии заданных в задании на разработку проекта потребительских характеристик системы, определяющих ее качество
Принятые проектные решения по дооснащению СЗПДн лаборатории ИУ-8 обеспечивают выполнение следующих функций:
- обеспечение отказоустойчивости.
Заявленный функционал реализуют средства защиты информации, входящие в состав СЗПДн лаборатории ИУ-8. В общем случае, одно средство защиты информации может выполнять несколько функций.
Сведения об обеспечении средствами защиты информации функциональных требований подсистем СЗПДн ИСПДн лаборатории ИУ-8, указанным в Техническом задании, приведены в таблице 3.7.1.
Назначение
подсистемы
| Требования к подсистеме
| Средство реализации
| Место установки средства реализации
|
1 Подсистема управления доступом
|
1.1 Управление доступом к информационным ресурсам ИСПДн
| 1.1.1 Идентификация и проверка подлинности субъектов доступа при входе в ИСПДн лаборатории ИУ-8 по паролю условно-постоянного действия длинной не менее шести буквенно-цифровых символов
| групповые политики AD
| контроллер домена AD ИСПДн, серверы ИПСДн, АРМ пользователей ИСПДн, АРМ АИБ
|
1.1.2 Контроль доступа пользователей ИСПДн к защищаемым ресурсам ИСПДн в соответствии с матрицей доступа
| настройки разрешений файловой системы на основе пользователей и групп AD
| серверы ИСПДн,
АРМ пользователей ИСПДн,
АРМ АИБ
|
1.1.3 Идентификация и аутентификация администратора СЗПДн Министерства при его запросах на доступ, в том числе локальный, к настройкам средств защиты информации
| встроенные механизмы разграничения доступа систем защиты (интеграция с AD, если поддерживается)
| серверы ИСПДн, сервер ЗИ, сервер МЭ,
АРМ пользователей ИСПДн,
АРМ АИБ
|
2 Подсистема регистрации и учета
|
2.1 Регистрация и учет действий пользователей ИСПДн и процессов
| 2.1.1 Регистрация входа (выхода) субъектов доступа в систему (из системы), либо регистрация загрузки и инициализации операционной системы и ее программного останова. Регистрация выхода из системы или останова не проводится в моменты отключения программно-технических средств ИСПДн лаборатории ИУ-8. В параметрах регистрации должны указываться дата и время входа (выхода) субъекта доступа в систему (из системы) или загрузки (останова) системы, результат попытки входа (успешная или неуспешная – несанкционированная), идентификатор (код или фамилия) субъекта, предъявленный при попытке доступа
| ПО Event Viewer
| серверы ИСПДн,
АРМ пользователей ИСПДн,
АРМ АИБ
|
| 2.1.10 Учет всех защищаемых внешних носителей информации с помощью их маркировки, занесения учетных данных в журнал (учетную карточку) и регистрации их выдачи (приема)
| организационные меры
| -
|
2.2 Регистрация действий администратора СЗПДн
| 2.2.1 Регистрация внесения изменений в конфигурацию средств защиты информации
| встроенные модули регистрации и учета систем защиты
| серверы ИСПДн,
АРМ пользователей ИСПДн,
АРМ АИБ
|
3 Подсистема обеспечения целостности
|
3.1 Обеспечение целостности программных средств защиты информации
| 3.1.1 Обеспечение целостности программных средств системы защиты персональных данных, обрабатываемой информации, а также неизменность программной среды. При этом целостность программных средств проверяется при загрузке системы по контрольным суммам компонентов средств зашиты информации, а целостность программной среды обеспечивается использованием трансляторов с языков высокого уровня и отсутствием средств модификации объектного кода программ в процессе обработки и (или) хранения защищаемой информации
| встроенные механизмы контроля целостности систем защиты
| серверы ИСПДн,
АРМ пользователей ИСПДн,
АРМ АИБ
|
3.1.2 Осуществление физической охраны ИСПДн (устройств и носителей информации), предусматривающей контроль доступа в помещения ИСПДн посторонних лиц, наличие надежных препятствий для несанкционированного проникновения в помещения ИСПДн и хранилище носителей информации
| система "Универсальный офис" Legos
| дверь помещения, АРМ АИБ
|
3.2 Тестирование функций подсистем защиты
| 3.2.1 Периодическое тестирование функций СЗПДн при изменении программной среды и персонала ИСДн с помощью тест-программ, имитирующих попытки НСД
| организационные меры
| -
|
3.3 Использование средств восстановления программ
| 3.3.1 Наличие средств восстановления СЗПДн, предусматривающих ведение двух копий программных средств защиты информации, их периодическое обновление и контроль работоспособности
| организационные меры
| -
|
5 Подсистема антивирусной защиты
|
5.1 Защита программ и данных от вирусов и вредоносных программ
| 5.1.1 Автоматическая проверка на наличие ВПр или последствий ПМВ при импорте в ИСПДн всех программных модулей (прикладных программ), которые могут содержать ВПр, по их типовым шаблонам и с помощью эвристического анализа
| система антивирусной защиты Kaspersky Business Space Security
| серверы ИСПДн, сервер ЗИ,
АРМ пользователей ИСПДн,
АРМ АИБ
|
5.1.2 Реализация механизмов автоматического блокирования обнаруженных ВПр путем их удаления из программных модулей или уничтожения
|
5.1.3 Регулярная (при первом запуске средств защиты ПДн от ПМВ и с устанавливаемой периодичностью) проверка на предмет наличия в них ВПр
|
5.1.4 Автоматическая проверка ИСПДн на предмет наличия ВПр при выявлении факта ПМВ
|
5.1.5 Механизм отката для устанавливаемого числа операций удаления ВПр из оперативной или постоянной памяти, из программных модулей и прикладных программ или программных средств, содержащих ВПр
|
5.1.6 Непрерывный согласованный по единому сценарию автоматический мониторинг информационного обмена по каналам ИСПДн с целью выявления проявлений ПМВ
|
6 Подсистема межсетевого экранирования
|
6.1 Межсетевое экранирование
| 6.1.1 Фильтрация на сетевом уровне для каждого сетевого пакета независимо (решение о фильтрации принимается на основе сетевых адресов отправителя и получателя или на основе других эквивалентных атрибутов)
| ПО ISA Server 2006
| периметр сети
|
6.1.2 Фильтрация пакетов служебных протоколов, служащих для диагностики и управления работой сетевых устройств
|
6.1.3 Идентификация и аутентификация администратора МЭ при его локальных запросах на доступ по идентификатору (коду) и паролю условно-постоянного действия
| cлужба каталогов AD
| сервер МЭ
|
6.1.4 Контроль целостности своей программной и информационной части
| встроенные механизмы контроля целостности ISA Server 2006
| сервер МЭ
|
6.1.5 Восстановление свойств МЭ после сбоев и отказов оборудования
|
6.1.6 Регламентное тестирование реализации правил фильтрации, процесса идентификации и аутентификации администратора МЭ, процесса регистрации действий администратора МЭ, процесса контроля за целостностью программной и информационной части, процедуры восстановления
| организационные меры
| -
|
7 Подсистема защиты от утечек по побочным каналам
|
7.1 Защита от утечек по побочным каналам
| 7.1.1 Защита речевой информации при проведении переговоров в защищаемом помещении по акустическому каналу
| адаптивный генератор виброакустической помехи "Кедр"
| защищаемое помещение
|
7.1.2 Защита речевой информации при проведении переговоров в защищаемом помещении по вибрационному каналу
|
8 Подсистема резервного копирования
|
8.1 Резервное копирование
| 8.1.1 Резервное копирование серверов хранения – создание слепков жестких дисков
| Acronis True Image Echo Enterprise Server
| серверы ИСПДн, сервер ЗИ,
АРМ пользователей ИСПДн,
АРМ АИБ
|
8.1.2 Резервное копирование файлов, содержащих ПДн
|
9 Подсистема обеспечения отказоустойчивости
|
9.1 Отказоустойчивость внешних дисковых систем
| 9.1.1 Обеспечение бесперебойной работы внешних дисковых подсистем в случае выхода из строя жесткого диска
| массив RAID 5
| серверы ИСПДн
|
9.2 Отказоустойчивость вычислительной техники ИСПДн
| 9.2.1 Обеспечение бесперебойной работы серверов ИСПДн
| UPS 3000VA Ippon Smart Winner 3000
| серверная стойка
|
9.2.2 Обеспечение бесперебойной работы АРМ пользователей ИСПДн
| UPS 600VA PowerCom BNT 600A
| АРМ пользователей ИСПДн
|