 |
Предложение об использовании СЗИ в ИСПДн
|
|
|
|
Введение.
Эпоха информационных технологий ставит новые задачи перед государственными учреждениями. Чтобы повысить собственную эффективность и качество предоставляемых услуг, они активно внедряют информационные системы и интернет-сервисы для населения. Одним из ключевых приоритетов Правительства РФ является создание по-настоящему эффективной инфраструктуры Электронного Правительства.
Однако незащищенность электронной информации и Интернета может поставить достижение этой цели под угрозу.
Вопросы информационной безопасности возникают практически в любой государственной организации, которая уже консолидировала данные в рамках единой информационной системы. Большое количество персональных сведений обычных граждан делает такие системы чрезвычайно привлекательными для мошенников и инсайдеров.
Что произойдет, если государственная структура допустит утечку персональных данных? Во-первых, она неизбежно подвергнется дисциплинарным санкциям со стороны контролирующих организаций или чиновников. А во-вторых, утечки персональных сведений подрывают доверие россиян к проводимым реформам и тормозят переход к плановому использованию инновационных технологий в государственном управлении.
Чтобы не допускать этого, нужно использовать для обработки персональных данных информационную систему, соответствующую необходимому классу (К1-К4).
Таблица 1.1. Категории обрабатываемых персональных данных
| Категория 4 | обезличенные и (или) общедоступные персональные данные |
| Категория 3 | персональные данные, позволяющие идентифицировать субъекта персональных данных |
| Категория 2 | персональные данные, позволяющие идентифицировать субъекта персональных данных и получить о нем дополнительную информацию, за исключением персональных данных, относящихся к категории 1 |
| Категория 1 | персональные данные, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных и философских убеждений, состояния здоровья. |
|
|
|
Вследствие того, что предприятие является государственным, ИСПДн по ФЗ №152 должна соответствовать требованиям по безопасности.
По результатам анализа исходных данных типовой ИСПДн присваивается один из 4 классов.
Таблица 1.2. Классификация ИСПДн
| Объем Категория | Объем 3 (<1000, организация) | Объем 2 (1000-100 000, город, отрасль) | Объем 1 (>100 000, субъект Федерации) |
| Категория 4 | Класс 4 | Класс 4 | Класс 4 |
| Категория 3 | Класс 3 | Класс 3 | Класс 2 |
| Категория 2 | Класс 3 | Класс 2 | Класс 1 |
| Категория 1 | Класс 1 | Класс 1 | Класс 1 |
Приобретение СЗИ и другой аппаратуры, входящей вАС в соответствии с ФЗ №223 происходит на электронных торговых площадках, что позволяет государственным организациям приобретать необходимое оборудование по минимальным ценам. По этим причинам проведение стоимостного анализа в данной работе является нецелесообразным.
Общие положения.
2.1. Описание защищаемого объекта информатизации
Информационная система отдела ЗАГС (далее ИСПДн) предназначена для обработки конфиденциальной информации (персональные данные) и функционирует под управлением операционной системы WindowsXPProfessionalSP3.
Все пользователи ИСПДн являются сотрудниками отдела ЗАГС и подразделяются на 2 категории:
- администратор ИСПДн – ответственный за бесперебойное функционирование операционной системы и аппаратного обеспечения ИСПДн и за обеспечение безопасности информации в ИСПДн.
- Операторы ИСПДн (пользователи) – ответственные за обработку конфиденциальных сведений, составляющих служебную тайну или открытую информацию.
|
|
|
Ниже предоставлена матрица доступа к элементам объекта информатизации.
Таблица № 1. Матрица доступа.
| № п/п | Объект доступа | Субъект доступа | Права доступа |
| 1. | Доступ к АРМ «Оператор» | Администратор ИС Оператор ИС | F[1] F |
| 2. | Доступ к АРМ «Сервер» | Администратор ИС Оператор ИС | F R, E |
Источниками информации являются:
- документы на бумажных носителях;
- документы или массивы документов в электронном виде на машинных носителях информации (дискеты, жесткие диски, CD, DVD, флеш-накопители данных и т.п.)
Учтенные бумажные и электронные носители информации, содержащие конфиденциальную информацию, выдаются пользователю из числа допущенных сотрудников.
Запрещается использовать неучтенные носители информации.
Подготовка отдельных документов (писем, отчетов и т.д.) производится с применением, установленных на рабочих станциях, текстовых и табличных редакторов (Word, Excel) из пакета программ MicrosoftOffice.
Пользователи имеют одинаковые права доступа к информационным и техническим ресурсам АРМ.
Загрузка компьютера осуществляется пользователем после ввода персонального имени и пароля. Требования к парольной защите изложены в «Инструкции по организации парольной защиты».
По окончании загрузки компьютера пользователь получает установленные администратором безопасности права доступа к устройствам, каталогам, файлам и программам ПЭВМ.
Доступ к информационным ресурсам ИСПДн производится на основании функциональных обязанностей пользователей. Права доступа к информационным ресурсам АРМ предоставляются каждому пользователю на основании оформленной заявки, подписанной начальником отдела ЗАГС.
Разграничение прав доступа к информационным ресурсам ИСПДн и установление полномочий реализуется администратором ИСПДн штатными средствами операционной системы.
При увольнении пользователя или переходе в другое подразделение администратором ИСПДн на основании копии приказа в последний день работы пользователя производится удаление учетной записи пользователя и всех его личных ресурсов, полномочий и прав.
Резервное копирование информационныхИСПДн производится администратором ИСПДн на CD, DVD, флэш-диски, внешние жесткие диски.
|
|
|
Периодичность резервного копирования определяется в соответствии с правилами, принятыми в отделе.
Носители информации, используемые для резервного копирования, учитываются в установленном порядке.
В случае сбоев в работе ИСПДн, которые привели к искажению или удалению информации, восстановление информации производится администратором ИСПДн из каталога жесткого диска или с архивного носителя.
Антивирусная защита обеспечивается средствами антивируса Dr.WebServerSecuritySuite (сертифицированный ФСТЭК РФ) для файлового сервера, Dr.WebDesktopSecuritySuit (сертифицированный ФСТЭК РФ).
Организация антивирусной защиты на АРМ производится в соответствии с «Инструкцией по организации антивирусной защиты».
В ИСПДн функционирует комплекс средств криптографической защиты информации VipNet. Настройку СЗИ и контроль ее работы осуществляется в соответствии с эксплуатационной документацией на СЗИ. Выполнение пользователями требований по безопасности информации при работе в ИСПДн осуществляется в соответствии с «Инструкцией пользователя ИСПДн».
2.2. Перечень документов, содержащих конфиденциальную информацию.
· База данных платежных квитанций
· База данных ПДн сотрудников
· База данных актов гражданского состояния
· Другие документы, содержащие персональные данные
2.3. Расположение рабочих мест
Наименование объекта испытаний: информационная система отдела ЗАГС.
2.4. Состав объекта испытаний:
Перечень основных технических средств и систем, входящих в ИС:
| № п/п | Тип ОТСС | Модель | Заводской (инвентарный) номер | Размещение ОТСС на объекте |
| 1. | АРМ «Сервер» в составе: | Отдел ЗАГС администрации Дубовского района Ростовской области | ||
| Системный блок | Foxcon | YTD6TSAA7009CT00145 | ||
| Монитор | Samsung | LB17H9LY80984Z | ||
| 2. | Коммутатор | D-Link DES-1005D | PL3C297008723 | |
| 3. | Маршрутизатор | DSL-2500U/BRU/D | P1M6288032870 | |
| 4. | АРМ «Оператор 1» в составе: | |||
| Системный блок | - | 1.101.04.037 | ||
| Монитор | Samsung | HA19H9FM520013X | ||
| МФУ | Xerox | CAU261176 | ||
| 5. | АРМ «Оператор 2» в составе: | |||
| Системный блок | - | 1.101.04.045 | ||
| Монитор | Benq | ETY9A06518026 | ||
| МФУ | i-Sensys | HM5-38605 | ||
| 6. | АРМ «Оператор 3» в составе: | |||
| Системный блок | - | |||
| Монитор | Benq | ETY9A06182026 | ||
| Принтер | Canon | NSN23417 | ||
| Принтер | HP | 1.101.04.039 |
Перечень используемых в ИС программных средств:
|
|
|
| № п/п | Наименование и тип программного средства | Серийный № (номер лицензии) | Сведения о сертификате | Место установки |
| 1. | ОперационнаясистемаMicrosoft Windows XP Professional SP3 32-bit x86 | хххх | - | АРМ «Сервер» |
| хххх | - | АРМ «Оператор 1» | ||
| хххх | - | АРМ «Оператор 2» | ||
| хххх | - | АРМ «Оператор 3» | ||
| 2. | Microsoft Office 2003 SP2 (v.11.5604.5606) | хххх | - | АРМ «Оператор 1» |
| АРМ «Оператор 2» | ||||
| 3. | 1C Предприятие 7.7 | хххх | - | АРМ «Оператор 2» |
| 4. | МАИС «ЗАГС» версия Microsoft 8.39 | - | - | АРМ «Оператор 1» |
| АРМ «Оператор 2» | ||||
| АРМ «Оператор 3» | ||||
| АРМ «Сервер» |
Предложение об использовании СЗИ в ИСПДн
| № п/п | Наименование и тип программно-технического средства | Место установки |
| 1. | Средство защиты информации МЭ Континент АП Версия 3.3.15.2 | АРМ «Оператор 2» |
| 2. | Антивирусное программное обеспечение Dr.WebServerSecuritySuit | АРМ «Сервер» |
| 3. | Антивирусное программное обеспечение Dr.WebDesktopSecuritySuit | АРМ «Оператор 1» |
| АРМ «Оператор 3» | ||
| АРМ «Оператор 2» | ||
| 4. | Средство защиты информации VipNet Клиент КС2, Версия 3.1 | АРМ «Оператор 1»» |
| АРМ «Оператор 2» | ||
| АРМ «Оператор 3» | ||
| 5. | Средство защиты информации VipNetPersonalfirewall, Версия 3.1 | АРМ «Сервер» |
| 6. | Средство защиты информации Xspider на 5 IP адресов Версия 7.8 | АРМ «Сервер» |
| 7. | Средство защиты информации SecretNet 6.5 (автономный вариант). | АРМ «Сервер» |
| АРМ «Оператор 1» | ||
| АРМ «Оператор 2» | ||
| АРМ «Оператор 3» |
МЭ Континент АП
ПМЭ "Континент-АП" разработан в соответствии с требованиями руководящих документов ФСТЭК, имеет сертификат, подтверждающий соответствие по 3-му уровню контроля на отсутствие НДВ и 4-му классу защищенности для межсетевых экранов.
ПМЭ "Континент-АП" обеспечивает фильтрацию входящих и исходящих IP-пакетов по следующим признакам:
· IP-адреса отправителя и получателя;
· тип прикладного протокола (POP3, HTTP, SMTP и т. д.);
· сетевой интерфейс, через который пакет был получен или будет отправлен;
· по полям заголовков и содержимому IP-пакетов;
· по типу транспортного протокола (TCP/UDP/ICMP/…);
· по портам TCP/UDP;
· по типам и кодам протокола ICMP.
Dr.WebServerSecuritySuit
· Запуск проверки при обращении пользователя, операционной системы или какой-либо программы к любому объекту, подлежащему проверке
· Защита от вредоносных программ и случайного изменения для всех своих объектов, в том числе, критических файлов, процессов, окон, ключей и прочего
· Проведение проверок в несколько потоков
· Мониторинг и отслеживание действия запущенных процессов, дисковых обращений
|
|
|
· Проверка оперативной памяти, дисководов, логических дисков, CD-дисков, сетевых дисков, каталогов, файлов, почтовых файлов, загрузочных записей дисков, почтовых форматов
· Проверка файлов в архивах любой степени вложенности и упакованных файлов
· Возможность блокирования доступа к вредоносному объекту
· Уведомления администратору об обнаруженной вирусной угрозы
· Регистрация времени события, объекта проверки и типа воздействия
· Возможность изменения уровня детализации отчетов
VipNet Клиент КС2
ViPNetClient (Клиент) — это программный комплекс, выполняющий на рабочем месте пользователя или сервере с прикладным ПО функции VPN-клиента, персонального экрана, клиента защищенной почтовой системы, а также криптопровайдера для прикладных программ, использующих функции подписи и шифрования.
VipNetPersonalfirewall
ViPNetPersonalFirewall —средство защиты компьютера и персональных данных от сетевых атак и кражи личной информации при подключении к Интернету и локальной сети. Сертифицирован ФСБ России как средство защиты от НСД и может использоваться в государственных структурах и организациях, обеспечивая как высокий уровень защищенности компьютера и данных, так и гибкость управления и удобство использования.
Защищенность:
· Режим безопасности «Бумеранг» для разрешения доступа в сеть только по инициативе пользователя.
· Защита от программ-шпионов и троянов.
· Система обнаружения вторжений и блокирования атак (IDS).
· Определение источников сетевых атак.
Xspider
Возможности:
· Полная идентификация сервисов на случайных портах
· Эвристический метод определения типов и имен серверов (HTTP, FTP, SMTP, POP3, DNS, SSH) вне зависимости от их ответа на стандартные запросы
· Проверка слабости парольной защиты
· Глубокий анализ контента WEB-сайтов
· Анализатор структуры HTTP-серверов
· Проведение проверок на нестандартныеDoS-атаки
· Специальные механизмы, уменьшающие вероятность ложных срабатываний
· Ежедневное добавление новых уязвимостей и проверок
SecretNet 6.5
SecretNet является сертифицированным средством защиты информации от несанкционированного доступа и позволяет привести автоматизированные системы в соответствие с требованиями №152-ФЗ ("о персональных данных")
Ключевые возможности СЗИ от НСД SecretNet:
Возможности:
· Аутентификация пользователей.
· Разграничение доступа пользователей к информации и ресурсам автоматизированной системы.
· Контроль утечек и каналов распространения конфиденциальной информации.
· Контроль устройств компьютера и отчуждаемых носителей информации на основе централизованных политик, исключающих утечки конфиденциальной информации.
· Централизованное управление системой защиты, оперативный мониторинг, аудит безопасности.
|
|
|
