 |
Проверка требований к подсистеме межсетевого экранирования
|
|
|
|
Проверка выполнения требований к МЭ (фильтрация)
Проверка заключается в анализе действующих правил фильтрации на МЭ, оценке соответствия их установленным (приведенным в документации на систему) и требуемым в соответствии с РД МЭ.
Все действующие правила фильтрации на МЭ, соответствуют их установленным (приведенным в документации на систему).
Проверка наличия в МЭ механизма аутентификации входящих и исходящих запросов методами, устойчивыми к пассивному и (или) активному прослушиванию сети.
В МЭ присутствует механизм аутентификации входящих и исходящих запросов методами, устойчивыми к пассивному и (или) активному прослушиванию сети.
Проверка выполнения требований к регистрации пакетов
Проверка заключается в анализе журналов регистрации пакетов на МЭ.
В журнале регистрации пакетов содержится информация по фильтруемым пакетам, включающая в себя IP-адрес, время прохождения пакета через МЭ, результат фильтрации. Кроме того, в журналах МЭ регистрируются запросы на установление виртуальных соединений. При этом предусмотрена сигнализация на МЭ попыток нарушения правил фильтрации.
Проверка выполнения требований к администрированию (регистрация)
Проверка заключается в анализе журнала регистрации событий МЭ.
В журнале регистрации событий МЭ присутствуют записи о входе/выходе администратора, запуске/останове ПО (МЭ), изменении правил фильтрации.
Проверка выполнения требований к дистанционному управлению МЭ
Проверка заключается в выполнении попыток изменения правил фильтрации МЭ и просмотре журналов регистрации пакетов дистанционно (удаленно).
Для данного МЭ доступно дистанционное (удаленное) осуществление изменения правил фильтрации МЭ и доступен просмотр журналов регистрации пакетов.
|
|
|
Проверка выполнения требований к целостности
Проверка осуществляется путем анализа журнала регистрации событий МЭ на предмет наличия записей о выполнении проверки целостности программной части МЭ по контрольным суммам.
В журналах регистрации событий присутствуют записи о выполнении проверки целостности программной части МЭ по контрольным суммам.
Проверка выполнения требований к восстановлению
Проверка выполнена путем экстренного отключения электропитания МЭ и последующей перезагрузки системы.
После экстренного отключения электропитания работоспособность МЭ полностью восстановлена.
6.4Проверка требований к подсистеме анализа защищенности
Проверяется наличие в составе ПО ИС программных или программно-аппаратных средств анализа защищенности (сканеров безопасности).
В наличии имеется программное средство анализа защищенности XSpider на 5 IP-адресов (сканер безопасности).
Проверяется возможность выявления с помощьюXSpider уязвимостей, связанных с ошибками в конфигурации программного обеспечения информационной системы, которые могут быть использованы нарушителем для реализации атаки на систему.
Функциональные характеристики сканера уязвимостей предоставляют возможность выявлять уязвимости, связанные с ошибками в конфигурации программного обеспечения информационной системы.
6.5Проверка требований к подсистеме обнаружения вторжений
Проверяется наличие в ИС программных ли программно-аппаратных средств обнаружения вторжений, проводится анализ их работоспособности.
Производится определение имеющихся программных или программно-аппаратных средств обнаружения вторжений.
6.6Проверка требований к подсистеме антивирусной защиты
Проверка выполнения требований по наличию и функционированию в ИС средств антивирусной защиты.
|
|
|
Проверка заключается в анализе применяемого программного обеспечения на предмет наличия средств антивирусной защиты и анализе настроек механизмов антивирусной защиты.
Всистемеустановленыследующиеантивирусы: Kaspersky Internet Security 2011, Dr.Web Server Security Suit, Dr.Web Desktop Security Suit.
6.7Проверка уровня подготовки кадров и распределения ответственности персонала
Проверка выполняется в следующем порядке:
1) Проверяется наличие оформленных разрешений на доступ персонала к оборудованию ИС, определяющих полномочия по доступу к защищаемой информации и процедура их оформления.
Имеются: оформленные разрешения (распоряжения, приказы и т.д.) на доступ персонала к эксплуатации АРМ ИС, утвержденные в установленном порядке.
2) Проверяется система распределения ответственности за выполнение требований по безопасности информации.
Назначен ответственный сотрудник из числа персонала ИС, выполняющий функции администратора безопасности ИС.
3) Проверяется уровень знаний персонала инструкций по обеспечению безопасности информации и эксплуатации средств защиты.
Персонал ИС ознакомлен с инструкциями по обеспечению безопасности информации при работе с оборудованием ИС (инструкции пользователю), а администратор безопасности информации полностью владеет знаниями о функциях обеспечения безопасности ИС и осуществляет свою деятельность в соответствии с требованиями эксплуатационной, нормативно-методической документацией по безопасности информации.
Заключение.
В настоящее время аттестация информационных систем по требованиям безопасности информации обязательна для ИСПДн, в случае отнесения персональных данных к государственному информационному ресурсу, в остальных случаях - для ИСПДн 1, 2 и 3 классов.
В случае нарушения нарушении требований Федерального закона 152-ФЗ "О персональных данных", виновные лица могут нести гражданскую, уголовную, административную или дисциплинарную ответственность.
В ходе данной работы была разработана система защиты ИСПДн 1 класса для государственного предприятия «ЗАГС». В качестве механизмов уменьшения факторов риска применительно к уязвимым местам являются:
- организация контроля за несанкционированным доступом на территорию (наличие пропускного режима), а также в помещения с оборудованием ИС;
|
|
|
- реализация механизмов идентификации и аутентификации при доступе к основным техническим и программным средствам ИС с помощью механизмов защиты СЗИ «SecretNet 6.5»;
- защита ИС при межсетевом взаимодействии сертифицированными средствами «VipNet Клиент КС2, Версия 3.1»;
- использование Антивирусного программного обеспечения «KasperskyInternetSecurity 2011» и Антивирусное программное обеспечение «Dr.Web»;
- наличие необходимой организационно-распорядительной документации;
- наличие ответственного за эксплуатацию ИС.
8 Список используемой литературы:
1. Специальные требования и рекомендации по технической защите конфиденциальной информации, Гостехкомиссия России, 2001 г.
2. www.securitycode.ru
3. www.infotecs.ru
4. www.drweb.com
5. www.ispdn.ru
6. http://www.fstec.ru/_spravs/_spec.htm Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных
7. http://www.fstec.ru/_spravs/metodika.doc Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных
8. «Положение по аттестации объектов информатизации по требованиям безопасности информации», (утверждено Председателем Гостехкомиссии России 25 ноября 1994 г.);
9. Специальные требования и рекомендации по технической защите конфиденциальной информации, Гостехкомиссия России, 2002 г.;
10. РД Гостехкомиссии России «Защита от несанкционированного доступа к информации. Термины и определения», Москва, 1992 г.;
11. РД Гостехкомиссии России «Средства вычислительной техники. Межсетевые экраны. Защита от НСД к информации. Показатели защищенности от несанкционированного доступа к информации», Москва, 1997 г.;
12. Постановление Правительства Российской Федерации №781 от 17 ноября 2007г. «Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных»;
13. Приказ от 13 февраля 2008 года N 55/86/20 «Об утверждении Порядка проведения классификации информационных систем персональных данных»;
|
|
|
14. Приказ ФСТЭК России от 5 февраля 2010 г. № 58 «Об утверждении положения о методах и способах защиты информации в информационных системах персональных данных»;
15. Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных;
16. Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных;
17. Нормативно-методический документ ФСБ России от 21.02.2008 «Методические рекомендации по обеспечению с помощью криптосредств безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств автоматизации»;
18. Нормативно-методический документ ФСБ России от 21.02.2008 «Типовые требования по организации и обеспечению функционирования шифровальных (криптографических) средств, предназначенных для защиты информации, не содержащей сведений, составляющих государственную тайну в случае их использования для обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных».
[1]Примечание:
N – доступ запрещен; R – чтение; E – выполнение; W – изменение; F – полные права.
[2]Фактор риска - возможные ситуации, возникновение которых может расцениваться, как угроза или способность нанести ущерб, выраженный в материальной или нематериальной форме. Фактор риска оказывает воздействие на определенное уязвимое место системы и может учитываться (с принятием контрмер) или игнорироваться в зависимости от степени воздействия.
|
|
|
