Поможем написать учебную работу
Если у вас возникли сложности с курсовой, контрольной, дипломной, рефератом, отчетом по практике, научно-исследовательской и любой другой работой - мы готовы помочь.
Если у вас возникли сложности с курсовой, контрольной, дипломной, рефератом, отчетом по практике, научно-исследовательской и любой другой работой - мы готовы помочь.
СОДЕРЖАНИЕ
1. ОБЩИЕ ПОЛОЖЕНИЯ
1.1 Наименование проектируемой системы
1.2 Наименование предприятий исполнителя работ и заказчика системы
1.3 Основание для проектирования
1.4 Сроки выполнения работ
1.5 Цели, назначение и области использования системы
1.6 Очередность создания
1.7 Сведения об использованных нормативно-технических документах
2. ОПИСАНИЕ ПРОЦЕССА ДЕЯТЕЛЬНОСТИ
3. ОСНОВНЫЕ ТЕХНИЧЕСКИЕ РЕШЕНИЯ
3.1 Общие требования к проектируемым СЗПДн ИСПДн лаборатории ИУ-8
3.2 Решения по структуре СЗПДн ИСПДн лаборатории ИУ-8
3.3 Описание подсистем средств защиты информации
3.3.1 Подсистема управления доступом
3.3.2 Подсистема регистрации и учета
3.3.3 Подсистема обеспечения целостности
3.3.4 Подсистема антивирусной защиты
3.3.5 Подсистема межсетевого экранирования
3.3.6 Подсистема защиты информации от утечек по побочным каналам
3.3.7 Подсистема резервного копирования
3.3.8 Подсистема обеспечения отказоустойчивости
3.4 Описание средств защиты информации
3.4.1 Службы каталогов Active Directory
3.4.2 Групповые политики Active Directory
3.4.3 ПО Event Viewer
3.4.4 Система антивирусной защиты Kaspersky Business Space Security
3.4.5 ПО Microsoft Internet Security and Acceleration Server 2006
3.4.6 Адаптивный генератор виброакустической помехи "Кедр"
3.4.7 Система "Универсальный офис" Legos
3.4.8 Система резервного копирования Acronis True Image Echo Enteprise Server
3.4.9 Массив RAID 5
3.4.10 ИБП UPS 3000VA Ippon Smart Winner 3000
3.4.11 ИБП UPS 600VA PowerCom BNT 600A
3.5 Решение по инженерным систем
3.5.1 Решения по физической охране
3.5.2 Решения по СКД
3.5.3 Решения по СКС
3.5.4 Решения по системе электропитания
3.5.5 Решения по системе кондиционирования и вентиляции
3.6 Решения по режимам функционирования, диагностированию работы СЗПДн ИСПДн лаборатории ИУ-8
3.6.1 Режим установки и начального конфигурирования компонентов СЗПДн
3.6.2 Штатный режим работы СЗПДн
3.6.3 Тестирования работоспособности СЗПДн
3.6.4 Администрирование и техническое обслуживание СЗПДн
3.6.5 Реагирование на события безопасности и аварийные ситуации
3.7 Сведения о соответствии заданных в задании на разработку проекта потребительских характеристик системы, определяющих ее качество
4. ОРГАНИЗАЦИОННОЕ ОБЕСПЕЧЕНИЕ ЗАЩИТЫ ИНФОРМАЦИИ
4.1 Основные организационные мероприятия
4.1.1 Основные цели организационных мероприятий
4.1.2 Состав организационных мероприятий
4.1.2.1 Мероприятия по учету защищаемых носителей информации
4.1.2.2 Мероприятия по тестированию функций СЗИ НСД
4.1.2.3 Мероприятия по проверке, обновлению и контролю работоспособности средств восстановления СЗИ НСД
5. МЕРОПРИЯТИЯ ПО ПОДГОТОВКЕ К ВВОДУ В ДЕЙСТВИЕ СЗИ
5.1 Мероприятия по обучению и проверке квалификации персонала
5.2 Мероприятия по созданию необходимых подразделений и рабочих мест
5.3 Порядок контроля и приемки СЗПДн
ПЕРЕЧЕНЬ ИСПОЛЬЗУЕМЫХ СОКРАЩЕНИЙ
АИБ |
|
Администратор информационной безопасности |
АРМ |
|
Автоматизированное рабочее место |
БД |
|
База данных |
ВПр |
|
Вредоносная программа |
ИБП |
|
Источник бесперебойного питания |
ИСПДн |
|
Информационная система персональных данных |
ЛВС |
|
Локальная вычислительная сеть |
МЭ |
|
Межсетевой экран |
НСД |
|
Несанкционированный доступ |
ОС |
|
Операционная система |
ПДн |
|
Персональные данные |
ПМВ |
|
Программно-математическое воздействие |
ПО |
|
Программное обеспечение |
ПТС |
|
Программно-технические средства |
СЗИ |
|
Система защиты информации |
СКД |
|
Система контроля доступа |
СЗПДн |
|
Система защиты персональных данных |
AD |
|
Active Directory |
DNS |
|
Domain Name System |
. ОБЩИЕ ПОЛОЖЕНИЯ
Настоящий технический проект разработан специалистами кафедры ИУ-8 "Информационная безопасность" факультета "Информатика и системы управления" МГТУ им. Н. Э. Баумана в рамках выполнения практической работы по проектированию системы защиты персональных данных (далее СЗПДн).
Технический проект содержит описание основных технических решений по оснащению СЗПДн информационной системы персональных данных (далее ИСПДн), расположенной в помещении компьютерного класса лаборатории кафедры ИУ-8 "Информационная безопасность" МГТУ им. Н.Э. Баумана.
1.1 Наименование проектируемой системы
Полное наименование:
Условное наименование:
1.2 Наименование предприятий исполнителя работ и заказчика системы
Заказчик:
Исполнитель:
.3 Основание для проектирования
Основанием для разработки технического проекта по оснащению СЗДПн ИСПДн лаборатории ИУ-8 являются:
.4 Сроки выполнения работ
Сроки начала и окончания работ по оснащению СЗПДн ИСПДн лаборатории ИУ-8 определяются в соответствии с учебным планом кафедры ИУ-8 "Информационная безопасность" МГТУ им. Н.Э.Баумана. Сроком начала работ является 30 августа 2010 года, сроком окончания работ сентября 2010 года. Сдача-приемка работ осуществляется в период с 20 сентября 2010 года по 24 сентября 2010 года.
1.5 Цели, назначение и области использования системы
Создаваемые системы относятся к системам защиты информации.
Назначением создаваемых систем является обеспечение безопасности ПДн, обрабатываемых в ИСПДн лаборатории ИУ-8, в соответствии с требованиями нормативных правовых актов Российской Федерации и руководящих документов по защите ПДн.
Целью проведения работ является оснащение СЗПДн ИСПДн лаборатории ИУ-8.
.6 Очередность создания
Работы по оснащению СЗПДн ИСПДн лаборатории ИУ-8 выполняются с соблюдением следующей очередности:
1.7 Сведения об использованных нормативно-технических документах
Настоящий технический проект разработан на основе следующих нормативных правовых актов и стандартов Российской Федерации:
. ОПИСАНИЕ ПРОЦЕССА ДЕЯТЕЛЬНОСТИ
Кафедра "Информационная безопасность" является подразделением государственного образовательного учреждения высшего профессионального образования "Московский Государственный Технический Университет имени Н.Э. Баумана". Основные функции кафедры ИУ-8 направлены на решение задач по профессиональной подготовке студентов по специальности "Комплексное обеспечение информационной безопасности автоматизированных систем".
Основные функции кафедры ИУ-8 определяют цели обработки ПДн и реализуются средствами автоматизации в рамках ИСПДн лаборатории ИУ-8. Назначением ИСПДн лаборатории ИУ-8 является обработка ПДн студентов кафедры ИУ-8 МГТУ им. Н.Э. Баумана.
ИСПДн лаборатории ИУ-8 представляет собой совокупность серверов хранения и обработки информации и автоматизированных рабочих мест (далее - АРМ), объединенных в локальную вычислительную сеть (далее - ЛВС). Также ИСПДн включает в себя персонал, осуществляющий обработку информации, и обслуживающий персонал.
В ИСПДн предусмотрен многопользовательский режим работы. При этом пользователи обладают различными правами на доступ к ПДн, обрабатываемым в ИСПДн лаборатории ИУ-8.
В состав технических средств ИСПДн лаборатории ИУ-8 входят:
Информация хранится на серверах ИСПДн в виде файлов. Пользователи ИСПДн получают доступ к информации с использованием механизмов сетевого доступа к файлам и папкам.
Обработка информации осуществляется на типовых АРМ пользователей с использованием пакета программ Microsoft Office 2007. За каждым пользователем закрепляется выделенное АРМ, и работа пользователя на других АРМ запрещается.
Ввод информации в ИСПДн осуществляется пользователями на своих АРМ с клавиатуры. Для вывода информации из ИСПДн используется лазерный принтер, установленный в общем помещении ИСПДн.
Для обеспечения производственного процесса оборудование ИСПДн лаборатории ИУ-8 подключается к другим ЛВС организации, не имеющим выхода в сети связи общего пользования. При взаимодействии ЛВС ИСПДн с другими ЛВС организации передача ПДн не осуществляется.
Класс ИСПДн лаборатории ИУ-8 определен равным К3.
Подробное описание ИСПДн кафедры ИУ-8 приведено в документе Отчет о предпроектном обследовании (шифр .000.001.ОПО.01.1-1).
3. ОСНОВНЫЕ ТЕХНИЧЕСКИЕ РЕШЕНИЯ
Технические решения по оснащению СЗПДн ИСПДн лаборатории ИУ-8 разработаны с учетом требований Технического задания на создание СЗПДн (шифр .000.001.ТЗ.01.1-1), а также требования нормативных документов по защите ПДн.
СЗПДн ИСПДн лаборатории ИУ-8 проектируется как многоуровневая система с централизованным управлением. При проектировании СЗПДн ИСПДн лаборатории ИУ-8 учитываются возможности дальнейшего масштабирования систем, а также максимального использования существующих инженерных сетей и систем.
3.1 Общие требования к проектируемым СЗПДн ИСПДн лаборатории ИУ-8
СЗПДн ИСПДн лаборатории ИУ-8 должна:
3.2 Решения по структуре СЗПДн ИСПДн лаборатории ИУ-8
Проектируемая СЗПДн ИСПДн лаборатории ИУ-8 состоит из подсистем, перечень и назначение которых приведены в таблице 3.3.1.
Таблица 3.2.1 Подсистемы СЗПДн ИСПДн лаборатории ИУ-8
№ п/п |
Наименование подсистемы |
Назначение подсистемы |
1 |
Подсистема управления доступом |
|
2 |
Подсистема регистрации и учета |
|
3 |
Подсистема обеспечения целостности |
|
3 |
Подсистема антивирусной защиты |
|
4 |
Подсистема межсетевого экранирования |
|
5 |
Подсистема защиты информации от утечек по побочным каналам |
- защита речевой информации от утечек по акустическому каналу |
6 |
Подсистема резервного копирования |
- резервное копирование и восстановление информации |
7 |
Подсистема обеспечения отказоустойчивости |
- обеспечение бесперебойной работы всех элементов ИСПДн; - обеспечение безотказной работы внешних дисковых систем. |
Оснащение СЗПДн ИСПДн лаборатории ИУ-8 предусматривается на основе типовых решений с использованием средств защиты информации как отечественного, так и зарубежного производства, применяемых при построении систем защиты информации различного назначения.
Предусмотренные настоящими техническими решениями средства защиты информации интегрируются в существующую ИСПДн лаборатории ИУ-8. В целях обеспечения удобства внедрения отдельных компонентов проектируемых СЗПДн предусматривается объединение средств защиты информации в отдельные комплексы.
В целях обеспечения централизованного администрирования различных компонент ИСПДн лаборатории ИУ-8, а также средств защиты информации, входящих в состав разрабатываемой СЗПДн ИСПДн лаборатории ИУ-8, настоящими техническими решениями предусматривается организация домена Active Directory. В состав создаваемого домена предусматривается включить АРМ пользователей и серверы, входящие в ИСПДн лаборатории ИУ-8.
3.3 Описание подсистем средств защиты информации
.3.1 Подсистема управления доступом
Для защиты ПДн, хранящихся на файловых серверах ИСПДн лаборатории ИУ-8, от НСД предназначена подсистема управления доступом. В состав подсистемы управления доступом входят:
Оба этих компонента полностью интегрированы в операционные системы (далее - ОС) семейства Windows, поэтому нет необходимости установки дополнительного программного обеспечения (далее - ПО), необходимо будет только произвести дополнительную настройку сервера, который впоследствии будет выполнять роль контроллера домена..
Подсистема регистрации и учета
Подсистема регистрации и учета выполняет следующие функции:
В качестве подсистемы регистрации и учета используется встроенный в ОС семейства Windows модуль ведения журналов событий, а также средство их отображения Event Viewer.
3.3.2 Подсистема обеспечения целостности
СКД обеспечивает ограничение физического доступа в защищаемое помещение ИСПДн лаборатории ИУ-8, осуществляя идентификацию пользователей с использованием proximity-карт доступа. В качестве СКД используется система "Универсальный офис" компании Legos
3.3.3 Подсистема антивирусной защиты
Подсистема антивирусной защиты предназначена для защиты АРМ пользователей и серверов ИСПДн от возможных вирусных заражений, а также сетевых атак.
В состав подсистемы антивирусной защиты входит программный комплекс Kaspersky Business Space Security.
3.3.4 Подсистема межсетевого экранирования
Подсистема межсетевого экранирования выполняет следующие функции:
Компоненты подсистемы устанавливаются на периметре ЛВС лаборатории ИУ-8.
Компоненты подсистемы межсетевого экранирования обеспечивают фильтрацию всего входящего и исходящего из ЛВС лаборатории ИУ-8 сетевого трафика и блокируют сетевой трафик, неразрешенный настройками безопасности.
В состав подсистемы межсетевого экранирования входит ПО Microsoft Internet Security and Acceleration (далее - ISA) Server 2006.
3.3.5 Подсистема защиты информации от утечек по побочным каналам
Подсистема защиты информации от утечек по побочным каналам предназначена для защиты выделенных помещений от утечки акустической информации по вибрационному и акустическому каналам. Компоненты подсистемы монтируются в защищаемом помещении, а также по его периметру в элементах строительных конструкций помещения. На основе данных об акустической обстановке внутри защищаемого помещения формируется виброакустическая помеха, предотвращающая съем информации по акустическому и вибрационному каналам.
В состав подсистемы защиты информации от утечек по побочным каналам входят:
3.3.6 Подсистема резервного копирования
Подсистема резервного копирования предназначена для резервного копирования как серверов хранения (создание слепков жестких дисков), так и непосредственно самих файлов, содержащих ПДн (резервное копирование и восстановление файлов). Компоненты подсистемы устанавливаются на АРМ пользователей и серверы ИСПДн.
В состав подсистемы резервного копирования входит программный комплекс Acronis True Image Echo Enterprise Server.
3.3.7 Подсистема обеспечения отказоустойчивости
Подсистема обеспечения надежности должна обеспечивать бесперебойную работу серверов хранения ПДн, серверов резервного копирования и АРМ пользователей ИСПДн.
Работа подсистемы реализуется с помощью следующих компонентов:
.3.8 Описание средств защиты информации
Применяемые в СЗПДн ИСПДн лаборатории ИУ-8 средства защиты информации представлены в таблице 3.4.1.
3.4 Описание средств защиты информации
Таблица 3.4.1 Применяемые средства защиты информации
№ п/п |
Наименование средства защиты информации |
Условное обозначение средства защиты информации |
1 |
Средство защиты информации от НСД |
cлужба каталогов AD |
групповые политики AD |
||
2 |
Средство регистрации и учета |
ПО Event Viewer |
3 |
Средство антивирусной защиты серверов и рабочих станций |
система антивирусной защиты Kaspersky Business Space Security |
4 |
Межсетевой экран |
ПО ISA Server 2006 |
5 |
Средство защиты информации от утечек по побочным каналам |
адаптивный генератор виброакустической помехи "Кедр" |
6 |
Система контроля доступа |
Система "Универсальный офис" Legos |
7 |
Средство резервного копирования |
Система резервного копирования Acronis True Image Echo Enterprise Server |
8 |
Средство обеспечения отказоустойчивости |
RAID-массив 5 на базе программной реализации RAID-контроллера, либо RAID-контроллера Adaptec ASR-3405 |
ИБП UPS 3000VA Ippon Smart Winner 3000 |
||
ИБП UPS 600VA PowerCom BNT 600A |
Служба каталогов Active Directory обеспечивает эффективную работу сложной корпоративной среды, предоставляя следующие возможности:
В AD может быть создан широкий круг различных объектов. Объект представляет собой уникальную сущность внутри каталога и обычно обладает многими атрибутами, которые помогают описывать и распознавать его. Учетная запись пользователя является примером объекта. Этот тип объекта может иметь множество атрибутов, таких как имя, фамилия, пароль, номер телефона, адрес и многие другие. Таким же образом общий принтер тоже может быть объектом в AD и его атрибутами являются его имя, местоположение и т.д. Атрибуты объекта не только помогают определить объект, но также позволяют искать объекты внутри каталога.
Механизм групповых политик позволяет автоматизировать данный процесс управления. С помощью групповых политик можно настраивать различные параметры компьютеров и пользовательской рабочей среды сразу в масштабах сайта AD, домена, организационного подразделения (детализацию настроек можно проводить вплоть до отдельного компьютера или пользователя). Настраивать можно широкий набор параметров сценарии входа в систему и завершения сеанса работы в системе, параметры Рабочего стола и Панели управления, размещения личных папок пользователя, настройки безопасности системы (политики паролей, управления учетными записями, аудита доступа к сетевым ресурсам, управления сертификатами и т.д.), развертывания приложений и управления их жизненным циклом.
Каждый объект групповых политик (GPO, Group Policy Object) состоит из двух частей: контейнера групповых политик (GPC, Group Policy Container) хранящегося в БД AD, и шаблона групповых политик (GPT, Group Policy Template), хранящегося в файловой системе контроллера домена, в подпапках папки SYSVOL. Место, в котором хранятся шаблоны политик, это папка %systemroot%\SYSVOL\sysvol\<имя домена>\Policies, и имя папки шаблона совпадает с глобальным уникальным идентификатором (GUID) объекта Групповая политика.
Каждый объект политик содержит два раздела: конфигурация компьютера и конфигурация пользователя. Параметры этих разделов применяются соответственно либо к настройкам компьютера, либо к настройкам среды пользователя.
Каждый объект политик может быть привязан к тому или иному объекту AD сайту, домену или организационному подразделению (а также к нескольким объектам одновременно).
При загрузке компьютера и аутентификации в домене к нему применяются компьютерные разделы всех привязанных политик. При входе пользователя в систему к пользователю применяется пользовательский раздел всех групповых политик. Политики, привязанные к некоторому уровню иерархии объектов AD (сайта, домена, подразделения) наследуются всеми объектами AD, находящимися на более низких уровнях. Порядок применения политик:
Если в процессе применения политик какие-либо параметры определяются в различных политиках, то действующими значениями параметров будут значения, определенные позднее.
Кроме применения политик в момент загрузки компьютера или входа пользователя в систему, каждый компьютер постоянно запрашивает обновленные политики на контроллерах домена, загружает их и применяет обновленные параметры (и к пользователю, и к компьютеру). Рабочие станции домена и простые серверы запрашивают обновления каждые 90 ± 30 минут, контроллеры домена обновляют свои политики каждые 5 минут.
Оснастка Event Viewer отображает события, регистрируемые системой при выполнении различных операций. На компьютерах Windows по умолчанию имеются следующие журналы:
Event Viewer отображает типы событий, каждое из которых имеет собственный уровень важности и собственную пиктограмму в журнале. Например:
Информация, отображаемая в Event Viewer, включает дату и время, когда произошло событие, источник события (то есть служба, драйвер устройства или приложение, записавшее событие в журнал), категорию события, ID события, имя пользователя, который был зарегистрирован в системе, когда событие произошло и имя компьютера, на котором произошло событие. Для того чтобы просматривать журнал Security, необходимо иметь права администратора.
Система антивирусной защиты СЗПДн будет строиться на базе ПО компании "Лаборатория Касперского" Kaspersky Business Space Security, включающего в себя средства для защиты рабочих станций, серверов, а также средства централизованного администрирования.
В состав системы антивирусной защиты Kaspersky Business Space Security входят Антивирус Касперского для Windows Workstation, Антивирус Касперского для Windows Server и средство централизованного управления Kaspersky Administration Kit.
Антивирус Касперского для Windows Workstation предназначен для защиты рабочих станций в ЛВС и за ее пределами от всех видов вредоносных и потенциально опасных программ и сетевых атак.
Антивирус Касперского для Windows Server используется для защиты файловых серверов под управлением операционных систем Windows от всех типов вредоносных программ. Решение разработано с учетом повышенных требований к серверам, работающим в условиях высоких нагрузок.
Kaspersky Administration Kit позволяет организовать и контролировать централизованную защиту всей компании, объединяющую в единую систему разные уровни защиты.
В состав Kaspersky Administration Kit входят следующие компоненты:
Сервер администрирования осуществляет функции централизованного хранения информации об установленных в сети предприятия программах "Лаборатории Касперского" и управления ими.
Агент администрирования осуществляет взаимодействие между Сервером администрирования и программами "Лаборатории Касперского", установленными на конкретном сетевом узле (рабочей станции или сервере);
Консоль администрирования предоставляет пользовательский интерфейс к административным службам Сервера и Агента.
Система антивирусной защиты Kaspersky Business Space Security выполняет следующие функции:
ISA Server 2006 представляет из себя полнофункциональный межсетевой экран (далее - МЭ) уровня приложений, обеспечивающий защиту ЛВС от внутренних и внешних атак. Выступая в качестве МЭ предприятия, ISA Server 2006 реализует следующие функции:
Адаптивный генератор виброакустической помехи "Кедр" предназначен для защиты выделенных помещений от утечки акустической информации по вибрационному и акустическому каналам. Его принцип действия основан на маскировании речи шумовой помехой, которая создаётся с помощью виброизлучателей. Противодействие прослушиванию заключается в излучении шумовой помехи в элементы строительных конструкций здания. Прибор предотвращает возможность прослушивания переговоров с помощью акустических, вибрационных датчиков, лазерных устройств съёма информации, аппаратуры прослушивания через стены, потолки, перекрытия, окна, воздуховоды, трубы отопления и т. п.
"Кедр" анализирует акустическую обстановку в помещении и на основании результатов анализа, по встроенному алгоритму, формирует сигнал управления, функционально связанный с огибающей акустического (речевого) сигнала. Сформированный сигнал управляет параметрами генератора шума на основе 64 разрядной двоичной псевдослучайной последовательности, как во временной области, так и по амплитуде. Это позволяет локализовать виброакустическую помеху во время произнесения слов и повысить ее спектральную плотность.
Устройство реализует распределенную виброакустическую защиту помещения через сеть излучателей малой мощности, что позволяет надёжно закрыть локальные области утечки информации по виброакустическому каналу (микротрещины, полости и. т.п.), а также снизить общий уровень акустического фона в защищаемом помещении.
Прибор может работать в двух режимах "1" адаптивный, "2" непрерывный. При работе в режиме "1" обеспечивается оптимальное перекрытие уровня речи уровнем помехи в строительных конструкциях, а также минимальное излучение шума в само помещение. В режиме "2" прибор работает в непрерывном режиме. К устройству могут подключаться до 20 излучателей типа "ПКИ-1" (для зашумления строительных конструкций), по 10 излучателей на каждый канал, а также до 4 электромагнитных излучателя типа "ЭМ-1" для зашумления воздуховодов. Все три канала подключения имеют независимую регулировку, что позволяет выставлять необходимый для защиты уровень шума на стенах, на окнах, трубах отопления.
В каждом канале генератора имеется цифровой 5-полосный графический эквалайзер, позволяющий проводить настройку канала под конкретные условия (стена, окно и т.п.) и различные виды вибродатчиков. Наличие встроенный памяти позволяет запоминать до 16 вариантов амплитудно-частотных характеристик эквайлайзера (по 4 на каждый канал). Система акустопуска и наличие дистанционного управления (проводного или по радиоканалу) дает возможность осуществлять гибкое управление процессом генерации помехи.
В устройстве имеется встроенная система контроля состояния каналов, позволяющая определить как перегрузку любого из них, так и отсутствие подключенных датчиков.
"Универсальный Офис" представляет собой комплекты системы контроля управления доступом на 1 дверь с функциями учета рабочего времени, фотоидентификации и охранной сигнализации.
Комплект включает в себя всё необходимое для подключения системы контроля и управления доступом в офисе, рассчитанном до 150 человек.
Позволяет реализовать следующие функции:
Cостав комплекта системы "Универсальный офис СКД" представлен в таблице 3.4.7.1.
№ п/п |
Наименование изделия |
Количество |
1 |
Универсальный контроллер Legos серии L3 |
1 |
2 |
Считыватель PLR2EH |
2 |
3 |
DTR Управление удаленным считывателем |
2 |
4 |
DGR Контроль "сухих контактов" (замок) |
1 |
5 |
DGT Контроль "сухих контактов" (извещатель двери, запрос на вход) |
2 |
6 |
ПО Эконом (СКД) |
1 |
7 |
CLU EH конвертер для подключения контроллера к компьютеру |
|
8 |
Блок питания DR-3012 |
1 |
9 |
Кнопка "Запрос на вход" |
1 |
10 |
Магнитно-контактный извещатель двери |
1 |
11 |
Дин-рейка 30 см |
1 |
Acronis True Image Enterprise Server позволяет:
Acronis True Image Enterprise Server позволяет в случае сбоя системы произвести полное восстановление сервера. Полное восстановление системы может производиться как на существующих, так и на новых машинах, использующих различное оборудование, а также на виртуальных серверах (необходим дополнительный модуль Acronis Universal Restore).
Консоль управления Acronis, поставляемая вместе с Acronis True Image Enterprise Server, дает удобный способ управления задачами по резервному копированию на нескольких удаленных серверах.
Основанное на технологии создания слепков дисков Acronis, приложение Acronis True Image Echo Enterprise Server позволяет создавать резервные образы дисков серверов, не прерывая работу серверов, что обеспечивает их бесперебойную работу.
Acronis True Image Echo Enterprise Server включает в себя следующие компоненты:
RAID контроллер представляет собой элемент вычислительной системы, обеспечивающий отказоустойчивость в случае отказа дискового накопителя, а также увеличение быстродействия дисковой подсистемы.
Массив RAID 5 представляет из себя отказоустойчивый массив независимых дисков с распределенной четностью и является самым распространенным на сегодняшний день. Блоки данных и контрольные суммы в нем циклически записываются на все диски массива, отсутствует выделенный диск для хранения информации о четности, нет асимметричности конфигурации дисков.
В случае RAID 5 все диски массива имеют одинаковый размер но один из них невидим для операционной системы. В общем случае полезная емкость массива из N дисков равна суммарной емкости Nдиска.
Преимущества RAID 5:
Недостатки RAID 5:
В случае если аппаратное обеспечение серверов хранения данных не поддерживает программную реализацию RAID-5, то будет использоваться внешний программно-аппаратный RAID-контроллер Adaptec ASR-3405, который устанавливается в разъем PCI Express, поддерживает SATA/SAS жесткие диски, массивы RAID 0, 1, 10, 5, 6, и т.д.
IPPON Smart Winner 3000 ИБП линейно-интерактивного типа с синусоидальной формой выходного напряжения. Надежно обеспечивает стабилизированное питание для компьютерной техники (ПК, сервера, сетевого оборудования) и другого чувствительного к качеству электропитания оборудования. Одно из основных преимуществ IPPON Smart Winner - это уникальный дизайн корпуса "три в одном". ИБП можно разместить горизонтально, вертикально или в стойке, что позволяет наиболее рационально использовать рабочее пространство. Модель отличается возможностью использования дополнительных батарейных модулей, в результате увеличивается время автономной работы и существенно повышается степень защиты подключенного оборудования. Лицевая панель IPPON Smart Winner максимально информативна: кнопки управления и настройки позволяют выбрать и установить правильные параметры внешней сети и самого ИБП; блоки светодиодных индикаторов помогают отслеживать и контролировать установленные параметры, своевременно информируя обо всех изменениях (индикация уровня нагрузки и остаточного заряда батарей, режим работы, аварийная сигнализация и т.д.). Источник бесперебойного питания IPPON Smart Winner многофункционален - оснащён интерфейсными портами для подключения к сетевому серверу или другому управляющему компьютеру; поддержка протокола SNMP позволяет пользователю осуществлять управление и мониторинг параметров ИБП дистанционно. Эффективная мощность ИБП IPPON Smart Winner 3000 составляет 2,1 кВт.
ИБП PowerCom BNT-600A - это устройство, позволяющее оборудованию некоторое время работать от аккумулятора самого ИБП при каких-либо проблемах с напряжением или сбоями в сети. Кроме того, ИБП PowerCom BNT-600A способен корректировать параметры напряжение и частоту электропитания. PowerCom BNT-600A имеет следующие технические характеристики: максимальная мощность устройств (Вт) - 360Вт;
Компактные Line-interactive ИБП серии Black Knight предназначены для защиты персональных компьютеров и небольших рабочих станций от основных неполадок с электропитанием: высоковольтных выбросов, электромагнитных и радиочастотных помех, понижений, повышений и полного исчезновения напряжения в электросети.
3.5 Решение по инженерным систем
Решения по организации физической охраны исключают возможность физического доступа к программно-техническим средствам (далее - ПТС) СЗПДн ИСПДн лаборатории ИУ-8 и воздействию на данные ПТС.
Организация физической безопасности СЗПДн ИСПДн лаборатории ИУ-8 достигается путем размещения оборудования СЗПДн в охраняемых зонах и реализацией технических и организационных мероприятий по физической защите.
Физический доступ персонала в серверные помещения, в которых размещаются серверные шкафы с оборудованием СЗПДн, должен быть ограничен. Для размещения оборудования СЗПДн используются существующие серверные шкафы.
Модернизация серверных помещений в рамках технического проекта по созданию СЗПДн ИСПДн не предусматривается.
Создание охраняемых зон, а также использование технических и организационных мер по обеспечению физической безопасности ПТС СЗПДн является обязанностью Заказчиков.
При создании СЗПДн ИСПДн лаборатории ИУ-8 предусматривается внедрение СКД для физического разграничения доступа в защищаемые помещения ИСПДн.
При создании СЗПДн ИСПДн лаборатории ИУ-8 используются существующие СКС. Модернизация СКС в рамках работ по созданию СЗПДн не предусматривается.
При создании СЗПДн ИСПДн лаборатории ИУ-8 используется существующая система электропитания. Модернизации существующей в лаборатории ИУ-8 системы электропитания в рамках данного технического проекта не предусматривается.
Для обеспечения бесперебойного электропитания оборудования СЗПДн проектными решениями предусматривается использование ИБП, обеспечивающих необходимую суммарную потребляемую мощность для устанавливаемого оборудования на каждом объекте внедрения.
При создании СЗПДн ИСПДн лаборатории ИУ-8 используются существующие системы кондиционирования и вентиляции. Модернизация существующих систем кондиционирования и вентиляции в рамках технического проекта по дооснащению СЗПДн не предусматривается.
Для обеспечения нормального режима работы оборудование СЗПДн должно функционировать в климатических условиях, отвечающих следующим требованиям:
Помещения, в которых размещается оборудование СЗПДн, должны быть оборудованы системами кондиционирования воздуха. Системы кондиционирования и вентиляции должны обеспечивать отвод тепла от устанавливаемого оборудования.
3.6 Решения по режимам функционирования, диагностированию работы СЗПДн ИСПДн лаборатории ИУ-8
Проектные решения предусматривают следующие режимы работы СЗПДн ИСПДн ИУ-8:
В режиме установки и начального конфигурирования компонентов СЗПДн лаборатории ИУ-8 производится монтаж ПТС, инсталляция ПО, подключение ПТС к локальной вычислительной сети и сети электропитания. Установка и конфигурирование ПТС производится в соответствии с эксплуатационной документацией от производителя.
В штатном режиме работы СЗПДн лаборатории ИУ-8 обеспечивают информационную безопасность ИСПДн лаборатории ИУ-8.
Применяемые в СЗПДн средства защиты информации обеспечивают сбор и последующий анализ событий безопасности, действий пользователей при работе с информационными ресурсами ИСПДн, а также действий обслуживающего персонала СЗПДн. В качестве источников сбора выступают средства защиты информации СЗПДн.
В целях обеспечения непрерывности функционирования, а также быстрого восстановления работоспособности СЗПДн в случае выхода из строя системы или ее отдельных компонентов, периодически создается архивная копия критичной информации СЗПДн. Резервному копированию подвергаются конфигурационные файлы средств защиты информации СЗПДн, а также детектируемые системой события безопасности.
В режиме тестирования проверяются установки и настройки компонентов СЗПДн лаборатории ИУ-8. По результатам тестирования возможно изменение конфигурации компонентов, установка программных исправлений, обновленных версий программ, уточнение эксплуатационной документации.
Режим администрирования включает в себя конфигурирование средств защиты информации СЗПДн лаборатории ИУ-8, управление учетными записями пользователей ИСПДн, определение и конфигурирование прав разграничения доступа пользователей к информационным ресурсам ИСПДн, проведение регламентных операций резервного копирования и т.д.
Данный режим включает в себя блокирование попыток НСД, определение нанесенного ущерба в результате предпринятых попыток НСД, восстановление конфигурации ПТС и ПО СЗПДн лаборатории ИУ-8 в случае аварии или сбое в работе СЗПДн или отдельных компонентов, восстановление защищаемой информации при ее утере, расследование инцидентов безопасности.
3.7 Сведения о соответствии заданных в задании на разработку проекта потребительских характеристик системы, определяющих ее качество
Принятые проектные решения по дооснащению СЗПДн лаборатории ИУ-8 обеспечивают выполнение следующих функций:
Заявленный функционал реализуют средства защиты информации, входящие в состав СЗПДн лаборатории ИУ-8. В общем случае, одно средство защиты информации может выполнять несколько функций.
Сведения об обеспечении средствами защиты информации функциональных требований подсистем СЗПДн ИСПДн лаборатории ИУ-8, указанным в Техническом задании, приведены в таблице 3.7.1.
Таблица 3.7.1 Соответствие требованиям СЗПДн ИСПДн лаборатории ИУ-8
Назначение подсистемы |
Требования к подсистеме |
Средство реализации |
Место установки средства реализации |
1 Подсистема управления доступом |
|||
1.1 Управление доступом к информационным ресурсам ИСПДн |
1.1.1 Идентификация и проверка подлинности субъектов доступа при входе в ИСПДн лаборатории ИУ-8 по паролю условно-постоянного действия длинной не менее шести буквенно-цифровых символов |
групповые политики AD |
контроллер домена AD ИСПДн, серверы ИПСДн, АРМ пользователей ИСПДн, АРМ АИБ |
.1.2 Контроль доступа пользователей ИСПДн к защищаемым ресурсам ИСПДн в соответствии с матрицей доступа |
настройки разрешений файловой системы на основе пользователей и групп AD |
серверы ИСПДн, АРМ пользователей ИСПДн, АРМ АИБ |
|
.1.3 Идентификация и аутентификация администратора СЗПДн Министерства при его запросах на доступ, в том числе локальный, к настройкам средств защиты информации |
встроенные механизмы разграничения доступа систем защиты (интеграция с AD, если поддерживается) |
серверы ИСПДн, сервер ЗИ, сервер МЭ, АРМ пользователей ИСПДн, АРМ АИБ |
|
2 Подсистема регистрации и учета |
|||
2.1 Регистрация и учет действий пользователей ИСПДн и процессов |
.1.1 Регистрация входа (выхода) субъектов доступа в систему (из системы), либо регистрация загрузки и инициализации операционной системы и ее программного останова. Регистрация выхода из системы или останова не проводится в моменты отключения программно-технических средств ИСПДн лаборатории ИУ-8. В параметрах регистрации должны указываться дата и время входа (выхода) субъекта доступа в систему (из системы) или загрузки (останова) системы, результат попытки входа (успешная или неуспешная несанкционированная), идентификатор (код или фамилия) субъекта, предъявленный при попытке доступа |
ПО Event Viewer |
серверы ИСПДн, АРМ пользователей ИСПДн, АРМ АИБ |
.1.10 Учет всех защищаемых внешних носителей информации с помощью их маркировки, занесения учетных данных в журнал (учетную карточку) и регистрации их выдачи (приема) |
организационные меры |
- |
|
2.2 Регистрация действий администратора СЗПДн |
.2.1 Регистрация внесения изменений в конфигурацию средств защиты информации |
встроенные модули регистрации и учета систем защиты |
серверы ИСПДн, АРМ пользователей ИСПДн, АРМ АИБ |
3 Подсистема обеспечения целостности |
|||
3.1 Обеспечение целостности программных средств защиты информации |
3.1.1 Обеспечение целостности программных средств системы защиты персональных данных, обрабатываемой информации, а также неизменность программной среды. При этом целостность программных средств проверяется при загрузке системы по контрольным суммам компонентов средств зашиты информации, а целостность программной среды обеспечивается использованием трансляторов с языков высокого уровня и отсутствием средств модификации объектного кода программ в процессе обработки и (или) хранения защищаемой информации |
встроенные механизмы контроля целостности систем защиты |
серверы ИСПДн, АРМ пользователей ИСПДн, АРМ АИБ |
.1.2 Осуществление физической охраны ИСПДн (устройств и носителей информации), предусматривающей контроль доступа в помещения ИСПДн посторонних лиц, наличие надежных препятствий для несанкционированного проникновения в помещения ИСПДн и хранилище носителей информации |
система "Универсальный офис" Legos |
дверь помещения, АРМ АИБ |
|
3.2 Тестирование функций подсистем защиты |
.2.1 Периодическое тестирование функций СЗПДн при изменении программной среды и персонала ИСДн с помощью тест-программ, имитирующих попытки НСД |
организационные меры |
- |
3.3 Использование средств восстановления программ |
.3.1 Наличие средств восстановления СЗПДн, предусматривающих ведение двух копий программных средств защиты информации, их периодическое обновление и контроль работоспособности |
организационные меры |
- |
5 Подсистема антивирусной защиты |
|||
5.1 Защита программ и данных от вирусов и вредоносных программ |
.1.1 Автоматическая проверка на наличие ВПр или последствий ПМВ при импорте в ИСПДн всех программных модулей (прикладных программ), которые могут содержать ВПр, по их типовым шаблонам и с помощью эвристического анализа |
система антивирусной защиты Kaspersky Business Space Security |
серверы ИСПДн, сервер ЗИ, АРМ пользователей ИСПДн, АРМ АИБ |
.1.2 Реализация механизмов автоматического блокирования обнаруженных ВПр путем их удаления из программных модулей или уничтожения |
|||
.1.3 Регулярная (при первом запуске средств защиты ПДн от ПМВ и с устанавливаемой периодичностью) проверка на предмет наличия в них ВПр |
|||
.1.4 Автоматическая проверка ИСПДн на предмет наличия ВПр при выявлении факта ПМВ |
|||
.1.5 Механизм отката для устанавливаемого числа операций удаления ВПр из оперативной или постоянной памяти, из программных модулей и прикладных программ или программных средств, содержащих ВПр |
|||
.1.6 Непрерывный согласованный по единому сценарию автоматический мониторинг информационного обмена по каналам ИСПДн с целью выявления проявлений ПМВ |
|||
6 Подсистема межсетевого экранирования |
|||
6.1 Межсетевое экранирование |
.1.1 Фильтрация на сетевом уровне для каждого сетевого пакета независимо (решение о фильтрации принимается на основе сетевых адресов отправителя и получателя или на основе других эквивалентных атрибутов) |
ПО ISA Server 2006 |
периметр сети |
.1.2 Фильтрация пакетов служебных протоколов, служащих для диагностики и управления работой сетевых устройств |
|||
6.1.3 Идентификация и аутентификация администратора МЭ при его локальных запросах на доступ по идентификатору (коду) и паролю условно-постоянного действия |
cлужба каталогов AD |
сервер МЭ |
|
6.1.4 Контроль целостности своей программной и информационной части |
встроенные механизмы контроля целостности ISA Server 2006 |
сервер МЭ |
|
6.1.5 Восстановление свойств МЭ после сбоев и отказов оборудования |
|||
6.1.6 Регламентное тестирование реализации правил фильтрации, процесса идентификации и аутентификации администратора МЭ, процесса регистрации действий администратора МЭ, процесса контроля за целостностью программной и информационной части, процедуры восстановления |
организационные меры |
- |
|
7 Подсистема защиты от утечек по побочным каналам |
|||
7.1 Защита от утечек по побочным каналам |
.1.1 Защита речевой информации при проведении переговоров в защищаемом помещении по акустическому каналу |
адаптивный генератор виброакустической помехи "Кедр" |
защищаемое помещение |
.1.2 Защита речевой информации при проведении переговоров в защищаемом помещении по вибрационному каналу |
|||
8 Подсистема резервного копирования |
|||
8.1 Резервное копирование |
.1.1 Резервное копирование серверов хранения создание слепков жестких дисков |
Acronis True Image Echo Enterprise Server |
серверы ИСПДн, сервер ЗИ, АРМ пользователей ИСПДн, АРМ АИБ |
.1.2 Резервное копирование файлов, содержащих ПДн |
|||
9 Подсистема обеспечения отказоустойчивости |
|||
9.1 Отказоустойчивость внешних дисковых систем |
.1.1 Обеспечение бесперебойной работы внешних дисковых подсистем в случае выхода из строя жесткого диска |
массив RAID 5 |
серверы ИСПДн |
9.2 Отказоустойчивость вычислительной техники ИСПДн |
.2.1 Обеспечение бесперебойной работы серверов ИСПДн |
UPS 3000VA Ippon Smart Winner 3000 |
серверная стойка |
.2.2 Обеспечение бесперебойной работы АРМ пользователей ИСПДн |
UPS 600VA PowerCom BNT 600A |
АРМ пользователей ИСПДн |
4. ОРГАНИЗАЦИОННОЕ ОБЕСПЕЧЕНИЕ ЗАЩИТЫ ИНФОРМАЦИИ
Требуемый уровень обеспечения информационной безопасности ИСПДн лаборатории ИУ-8 реализуется совокупностью программных, программно-технических средств защиты информации и организационных мер. Необходимые организационные мероприятия заключаются в тщательном планировании работ по обеспечению информационной безопасности, правильном исполнении должностными лицами своих обязанностей, точном распределении ответственности между пользователями ИСПДн и обслуживающим персоналом СЗПДн.
4.1 Основные организационные мероприятия
Основными целями проведения организационных мероприятий являются:
К основным организационным мероприятиям относятся:
5. МЕРОПРИЯТИЯ ПО ПОДГОТОВКЕ К ВВОДУ В ДЕЙСТВИЕ СЗИ
Для проведения работ по установке ПО и ПТС и вводу в действие СЗПДн лаборатории ИУ-8 Заказчик должен обеспечить:
Предоставление необходимых площадей для размещения комплексов СЗПДн в имеющихся серверных помещениях.
Доработка существующих на объектах коммуникационных сетей и сетей электропитания для подключения ПТС СЗПДн.
Готовность сетевой инфраструктуры к установке ПТС СЗПДн.
Предоставление необходимой организационно-распорядительной документации по обеспечению безопасности ПДн, включая утвержденные эксплуатирующими организациями правил разграничения доступа к информационным ресурсам ИСПДн.
Предоставление доступа к каналам связи.
Наличие обученного персонала для обеспечения эксплуатации компонентов СЗПДн.
Содействие персонала эксплуатирующих организаций внесению корректировок в настройки ПТС СЗПДн.
Издание приказов о формировании соответствующих приемочных комиссий по вводу в действие СЗПДн.
5.1 Мероприятия по обучению и проверке квалификации персонала
Для обеспечения функционирования СЗПДн лаборатории ИУ-8 в соответствии с ее назначением необходимо провести подготовку администраторов информационной безопасности СЗПДн. Администраторы информационной безопасности СЗПДн должны пройти обучение по информационной безопасности, установке, настройке и обслуживанию средств защиты информации, вводимых в эксплуатацию в составе СЗПДн:
Квалификация АИБ СЗПДн должна быть подтверждена соответствующими удостоверениями (сертификатами) о прохождении курсов или повышении квалификации, выданными в организациях, имеющих лицензии на оказание образовательных услуг.
5.2 Мероприятия по созданию необходимых подразделений и рабочих мест
Настоящими проектными решениями не предусматривается создание специальных подразделений, обслуживающих СЗПДн лаборатории ИУ-8.
Создание СЗПДн лаборатории ИУ-8 влечет за собой определение следующих функциональных обязанностей (ролей):
Данная функциональная роль по обслуживанию и администрированию СЗПДн лаборатории ИУ-8 возлагается на штатных сотрудников лаборатории ИУ-8.
5.3 Порядок контроля и приемки СЗПДн
Контроль и приемка результатов работ по оснащению СЗПДн лаборатории ИУ-8 должны производится в соответствии с требованиями Технического задания на создание СЗПДн (шифр .000.001.ТЗ.01.1-1).
По завершении строительно-монтажных и пусконаладочных работ комплексов защиты информации проводятся комплексные проверки ПТС СЗПДн лаборатории ИУ-8, целью которых является проверка функционирования компонентов систем в сетевой инфраструктуре лаборатории ИУ-8.
По результатам проведения проверок издаются соответствующие приказы о вводе СЗПДн лаборатории ИУ-8 в постоянную эксплуатацию.