Информационная безопасность

Информационная безопасность

СОДЕРЖАНИЕ

1. ОБЩИЕ ПОЛОЖЕНИЯ

1.1       Наименование проектируемой системы

1.2       Наименование предприятий исполнителя работ и заказчика системы

1.3       Основание для проектирования

1.4       Сроки выполнения работ

1.5       Цели, назначение и области использования системы

1.6       Очередность создания

1.7       Сведения об использованных нормативно-технических документах

2. ОПИСАНИЕ ПРОЦЕССА ДЕЯТЕЛЬНОСТИ

3. ОСНОВНЫЕ ТЕХНИЧЕСКИЕ РЕШЕНИЯ

3.1       Общие требования к проектируемым СЗПДн ИСПДн лаборатории ИУ-8

3.2       Решения по структуре СЗПДн ИСПДн лаборатории ИУ-8

3.3       Описание подсистем средств защиты информации

3.3.1 Подсистема управления доступом

3.3.2 Подсистема регистрации и учета

3.3.3 Подсистема обеспечения целостности

3.3.4 Подсистема антивирусной защиты

3.3.5 Подсистема межсетевого экранирования

3.3.6 Подсистема защиты информации от утечек по побочным каналам

3.3.7 Подсистема резервного копирования

3.3.8 Подсистема обеспечения отказоустойчивости

3.4       Описание средств защиты информации

3.4.1 Службы каталогов Active Directory

3.4.2 Групповые политики Active Directory

3.4.3 ПО Event Viewer

3.4.4 Система антивирусной защиты Kaspersky Business Space Security

3.4.5 ПО Microsoft Internet Security and Acceleration Server 2006

3.4.6 Адаптивный генератор виброакустической помехи "Кедр"

3.4.7 Система "Универсальный офис" Legos

3.4.8 Система резервного копирования Acronis True Image Echo Enteprise Server

3.4.9 Массив RAID 5

3.4.10 ИБП UPS 3000VA Ippon Smart Winner 3000

3.4.11 ИБП UPS 600VA PowerCom BNT 600A

3.5       Решение по инженерным систем

3.5.1 Решения по физической охране

3.5.2 Решения по СКД

3.5.3 Решения по СКС

3.5.4 Решения по системе электропитания

3.5.5 Решения по системе кондиционирования и вентиляции

3.6       Решения по режимам функционирования, диагностированию работы СЗПДн ИСПДн лаборатории ИУ-8

3.6.1 Режим установки и начального конфигурирования компонентов СЗПДн

3.6.2 Штатный режим работы СЗПДн

3.6.3 Тестирования работоспособности СЗПДн

3.6.4 Администрирование и техническое обслуживание СЗПДн

3.6.5 Реагирование на события безопасности и аварийные ситуации

3.7       Сведения о соответствии заданных в задании на разработку проекта потребительских характеристик системы, определяющих ее качество

4. ОРГАНИЗАЦИОННОЕ ОБЕСПЕЧЕНИЕ ЗАЩИТЫ ИНФОРМАЦИИ

4.1       Основные организационные мероприятия

4.1.1 Основные цели организационных мероприятий

4.1.2 Состав организационных мероприятий

4.1.2.1 Мероприятия по учету защищаемых носителей информации

4.1.2.2 Мероприятия по тестированию функций СЗИ НСД

4.1.2.3 Мероприятия по проверке, обновлению и контролю работоспособности средств восстановления СЗИ НСД

5. МЕРОПРИЯТИЯ ПО ПОДГОТОВКЕ К ВВОДУ В ДЕЙСТВИЕ СЗИ

5.1       Мероприятия по обучению и проверке квалификации персонала

5.2       Мероприятия по созданию необходимых подразделений и рабочих мест

5.3       Порядок контроля и приемки СЗПДн

ПЕРЕЧЕНЬ ИСПОЛЬЗУЕМЫХ СОКРАЩЕНИЙ

Настоящий технический проект разработан специалистами кафедры ИУ-8 "Информационная безопасность" факультета "Информатика и системы управления" МГТУ им. Н. Э. Баумана в рамках выполнения практической работы по проектированию системы защиты персональных данных (далее – СЗПДн).

Технический проект содержит описание основных технических решений по оснащению СЗПДн информационной системы персональных данных (далее ИСПДн), расположенной в помещении компьютерного класса лаборатории кафедры ИУ-8 "Информационная безопасность" МГТУ им. Н.Э. Баумана.

1.1 Наименование проектируемой системы

Полное наименование:

-  Система защиты персональных данных компьютерного класса лаборатории кафедры ИУ-8 "Информационная безопасность" МГТУ им. Н.Э. Баумана.

Условное наименование:

-  СЗПДн ИСПДн лаборатории ИУ-8.

1.2 Наименование предприятий исполнителя работ и заказчика системы

Заказчик:

-  кафедра ИУ-8 "Информационная безопасность" факультета "Информатика и системы управления" МГТУ им. Н. Э. Баумана.

Исполнитель:

-  студенты группы ИУ8-112 кафедры ИУ-8 "Информационная безопасность" Гальцев Б.С., Кучин И.А., Сенчуков А.И.

1.3 Основание для проектирования

Основанием для разработки технического проекта по оснащению СЗДПн ИСПДн лаборатории ИУ-8 являются:

-  Требования учебного плана кафедры "Информационная безопасность" (ИУ-8) МГТУ им. Н.Э. Баумана;

-  Техническое задание на проектирование системы защиты персональных данных информационной системы персональных данных, расположенной в помещении компьютерного класса лаборатории кафедры ИУ-8 "Информационная безопасность" МГТУ им. Н.Э. Баумана (шифр – 001234567.000.001.ТЗ.01.1-1).

1.4 Сроки выполнения работ

Сроки начала и окончания работ по оснащению СЗПДн ИСПДн лаборатории ИУ-8 определяются в соответствии с учебным планом кафедры ИУ-8 "Информационная безопасность" МГТУ им. Н.Э.Баумана. Сроком начала работ является 30 августа 2010 года, сроком окончания работ – 19 сентября 2010 года. Сдача-приемка работ осуществляется в период с 20 сентября 2010 года по 24 сентября 2010 года.

1.5 Цели, назначение и области использования системы

Создаваемые системы относятся к системам защиты информации.

Назначением создаваемых систем является обеспечение безопасности ПДн, обрабатываемых в ИСПДн лаборатории ИУ-8, в соответствии с требованиями нормативных правовых актов Российской Федерации и руководящих документов по защите ПДн.

Целью проведения работ является оснащение СЗПДн ИСПДн лаборатории ИУ-8.

1.6 Очередность создания

Работы по оснащению СЗПДн ИСПДн лаборатории ИУ-8 выполняются с соблюдением следующей очередности:

-  предпроектное обследование ИСПДн лаборатории ИУ-8;

-  разработка технического задания на оснащение СЗПДн ИСПДн лаборатории ИУ-8;

-  проектирование СЗПДн ИСПДн лаборатории ИУ-8;

-  сдача-приемка работ по оснащению СЗПДн ИСПДн лаборатории ИУ-8.

1.7 Сведения об использованных нормативно-технических документах

Настоящий технический проект разработан на основе следующих нормативных правовых актов и стандартов Российской Федерации:

-  Федеральный закон от 27.07.2006 г. № 152-ФЗ "О персональных данных";

-  Положение об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных. Утверждено постановлением Правительства Российской Федерации от 17 ноября 2007 г. № 781;

-  Порядок проведения классификации информационных систем персональных данных. Совместный приказ ФСТЭК России, ФСБ России и Мининформсвязи России от 13 февраля 2008 г. № 55/86/20 (Зарегистрирован в Минюсте России 3 апреля 2008 года, регистрационный № 11462);

-  Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных. Утверждена заместителем директора ФСТЭК России 15 февраля 2008 г.;

-  Положение о методах и способах защиты информации в информационных системах персональных данных. Утверждено Приказом ФСТЭК России от 5.02.2010 N 58;

-  Методические рекомендации по обеспечению с помощью криптосредств безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств автоматизации. Утверждены руководством 8 Центра ФСБ России от 21 февраля 2008 г. № 149/54-144;

-  Типовые требования по организации и обеспечению функционирования шифровальных (криптографических) средств, предназначенных для защиты информации, не содержащей сведений, составляющих государственную тайну в случае их использования для обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных. Утверждены руководством 8 Центра ФСБ России от 21 февраля 2008 г. № 149/6/6-622.

2. ОПИСАНИЕ ПРОЦЕССА ДЕЯТЕЛЬНОСТИ

Кафедра "Информационная безопасность" является подразделением государственного образовательного учреждения высшего профессионального образования "Московский Государственный Технический Университет имени Н.Э. Баумана". Основные функции кафедры ИУ-8 направлены на решение задач по профессиональной подготовке студентов по специальности "Комплексное обеспечение информационной безопасности автоматизированных систем".

Основные функции кафедры ИУ-8 определяют цели обработки ПДн и реализуются средствами автоматизации в рамках ИСПДн лаборатории ИУ-8. Назначением ИСПДн лаборатории ИУ-8 является обработка ПДн студентов кафедры ИУ-8 МГТУ им. Н.Э. Баумана.

ИСПДн лаборатории ИУ-8 представляет собой совокупность серверов хранения и обработки информации и автоматизированных рабочих мест (далее - АРМ), объединенных в локальную вычислительную сеть (далее - ЛВС). Также ИСПДн включает в себя персонал, осуществляющий обработку информации, и обслуживающий персонал.

В ИСПДн предусмотрен многопользовательский режим работы. При этом пользователи обладают различными правами на доступ к ПДн, обрабатываемым в ИСПДн лаборатории ИУ-8.

В состав технических средств ИСПДн лаборатории ИУ-8 входят:

-  серверное оборудование;

-  рабочие станции пользователей ИСПДн;

-  сетевое оборудование (активное и пассивное).

Информация хранится на серверах ИСПДн в виде файлов. Пользователи ИСПДн получают доступ к информации с использованием механизмов сетевого доступа к файлам и папкам.

Обработка информации осуществляется на типовых АРМ пользователей с использованием пакета программ Microsoft Office 2007. За каждым пользователем закрепляется выделенное АРМ, и работа пользователя на других АРМ запрещается.

Ввод информации в ИСПДн осуществляется пользователями на своих АРМ с клавиатуры. Для вывода информации из ИСПДн используется лазерный принтер, установленный в общем помещении ИСПДн.

Для обеспечения производственного процесса оборудование ИСПДн лаборатории ИУ-8 подключается к другим ЛВС организации, не имеющим выхода в сети связи общего пользования. При взаимодействии ЛВС ИСПДн с другими ЛВС организации передача ПДн не осуществляется.

Класс ИСПДн лаборатории ИУ-8 определен равным К3.

Подробное описание ИСПДн кафедры ИУ-8 приведено в документе Отчет о предпроектном обследовании (шифр – 001234567.000.001.ОПО.01.1-1).

Технические решения по оснащению СЗПДн ИСПДн лаборатории ИУ-8 разработаны с учетом требований Технического задания на создание СЗПДн (шифр – 001234567.000.001.ТЗ.01.1-1), а также требования нормативных документов по защите ПДн.

СЗПДн ИСПДн лаборатории ИУ-8 проектируется как многоуровневая система с централизованным управлением. При проектировании СЗПДн ИСПДн лаборатории ИУ-8 учитываются возможности дальнейшего масштабирования систем, а также максимального использования существующих инженерных сетей и систем.

3.1 Общие требования к проектируемым СЗПДн ИСПДн лаборатории ИУ-8

СЗПДн ИСПДн лаборатории ИУ-8 должна:

-  обеспечивать защиту ПДн, которые обрабатываются, передаются и хранятся на всех уровнях ИСПДн, от несанкционированного доступа (далее - НСД);

-  обеспечивать защиту речевой информации, обсуждаемой в рамках обработки информации пользователями ИСПДн на своих рабочих местах;

-  не вызывать существенного снижения производительности аппаратно-программного обеспечения ИСПДн при обработке информации;

-  обеспечивать высокую надёжность и средства восстановления как компонент системы защиты информации, так и самой информации;

-  соответствовать современному уровню развития вычислительной техники и технологий автоматизированной обработки информации;

-  удовлетворять требованиям законодательства и нормативных документов Российской Федерации в области защиты ПДн.

3.2 Решения по структуре СЗПДн ИСПДн лаборатории ИУ-8

Проектируемая СЗПДн ИСПДн лаборатории ИУ-8 состоит из подсистем, перечень и назначение которых приведены в таблице 3.3.1.

Таблица 3.2.1 – Подсистемы СЗПДн ИСПДн лаборатории ИУ-8

Оснащение СЗПДн ИСПДн лаборатории ИУ-8 предусматривается на основе типовых решений с использованием средств защиты информации как отечественного, так и зарубежного производства, применяемых при построении систем защиты информации различного назначения.

Предусмотренные настоящими техническими решениями средства защиты информации интегрируются в существующую ИСПДн лаборатории ИУ-8. В целях обеспечения удобства внедрения отдельных компонентов проектируемых СЗПДн предусматривается объединение средств защиты информации в отдельные комплексы.

В целях обеспечения централизованного администрирования различных компонент ИСПДн лаборатории ИУ-8, а также средств защиты информации, входящих в состав разрабатываемой СЗПДн ИСПДн лаборатории ИУ-8, настоящими техническими решениями предусматривается организация домена Active Directory. В состав создаваемого домена предусматривается включить АРМ пользователей и серверы, входящие в ИСПДн лаборатории ИУ-8.

3.3 Описание подсистем средств защиты информации

3.3.1 Подсистема управления доступом

Для защиты ПДн, хранящихся на файловых серверах ИСПДн лаборатории ИУ-8, от НСД предназначена подсистема управления доступом. В состав подсистемы управления доступом входят:

-  служба каталогов Active Directory (далее - AD);

-  групповые политики AD.

Оба этих компонента полностью интегрированы в операционные системы (далее - ОС) семейства Windows, поэтому нет необходимости установки дополнительного программного обеспечения (далее - ПО), необходимо будет только произвести дополнительную настройку сервера, который впоследствии будет выполнять роль контроллера домена..

Подсистема регистрации и учета

Подсистема регистрации и учета выполняет следующие функции:

-  регистрация и учет действий пользователей ИСПДн и процессов;

-  регистрация действий администратора СЗПДн;

-  регистрация и учет событий информационной безопасности.

В качестве подсистемы регистрации и учета используется встроенный в ОС семейства Windows модуль ведения журналов событий, а также средство их отображения – Event Viewer.

3.3.2 Подсистема обеспечения целостности

СКД обеспечивает ограничение физического доступа в защищаемое помещение ИСПДн лаборатории ИУ-8, осуществляя идентификацию пользователей с использованием proximity-карт доступа. В качестве СКД используется система "Универсальный офис" компании Legos

3.3.3 Подсистема антивирусной защиты

Подсистема антивирусной защиты предназначена для защиты АРМ пользователей и серверов ИСПДн от возможных вирусных заражений, а также сетевых атак.

В состав подсистемы антивирусной защиты входит программный комплекс Kaspersky Business Space Security.

3.3.4 Подсистема межсетевого экранирования

Подсистема межсетевого экранирования выполняет следующие функции:

-  фильтрация сетевого трафика на периметре ЛВС лаборатории ИУ-8;

-  защита ЛВС ИСПДн лаборатории ИУ-8 от НСД.

Компоненты подсистемы устанавливаются на периметре ЛВС лаборатории ИУ-8.

Компоненты подсистемы межсетевого экранирования обеспечивают фильтрацию всего входящего и исходящего из ЛВС лаборатории ИУ-8 сетевого трафика и блокируют сетевой трафик, неразрешенный настройками безопасности.

В состав подсистемы межсетевого экранирования входит ПО Microsoft Internet Security and Acceleration (далее - ISA) Server 2006.

3.3.5 Подсистема защиты информации от утечек по побочным каналам

Подсистема защиты информации от утечек по побочным каналам предназначена для защиты выделенных помещений от утечки акустической информации по вибрационному и акустическому каналам. Компоненты подсистемы монтируются в защищаемом помещении, а также по его периметру в элементах строительных конструкций помещения. На основе данных об акустической обстановке внутри защищаемого помещения формируется виброакустическая помеха, предотвращающая съем информации по акустическому и вибрационному каналам.

В состав подсистемы защиты информации от утечек по побочным каналам входят:

-  адаптивный генератор виброакустической помехи "Кедр";

-  излучатели малой мощности "ПКИ-1".

3.3.6 Подсистема резервного копирования

Подсистема резервного копирования предназначена для резервного копирования как серверов хранения (создание слепков жестких дисков), так и непосредственно самих файлов, содержащих ПДн (резервное копирование и восстановление файлов). Компоненты подсистемы устанавливаются на АРМ пользователей и серверы ИСПДн.

В состав подсистемы резервного копирования входит программный комплекс Acronis True Image Echo Enterprise Server.

3.3.7 Подсистема обеспечения отказоустойчивости

Подсистема обеспечения надежности должна обеспечивать бесперебойную работу серверов хранения ПДн, серверов резервного копирования и АРМ пользователей ИСПДн.

Работа подсистемы реализуется с помощью следующих компонентов:

-  массив RAID 5 дисков серверов хранения ПДн и серверов резервного копирования на основе программной реализации RAID-контроллера, либо внешнего RAID-контроллера – Adaptec ASR-2805;

-  источники бесперебойного питания (далее - ИБП) серверов хранения ПДн и серверов резервного копирования – UPS 3000VA Ippon Smart Winner 3000;

-  ИБП АРМ пользователей ИСПДн – UPS 600VA PowerCom BNT 600A.

3.3.8 Описание средств защиты информации

Применяемые в СЗПДн ИСПДн лаборатории ИУ-8 средства защиты информации представлены в таблице 3.4.1.

3.4 Описание средств защиты информации

Таблица 3.4.1 – Применяемые средства защиты информации

3.4.1 Службы каталогов Active Directory

Служба каталогов Active Directory обеспечивает эффективную работу сложной корпоративной среды, предоставляя следующие возможности:

-  единая регистрация в сети - пользователи могут регистрироваться в сети с одним именем и паролем и получать при этом доступ ко всем сетевым ресурсам и службам (службы сетевой инфраструктуры, службы файлов и печати, серверы приложений и баз данных и т. д.);

-  безопасность информации - средства аутентификации и управления доступом к ресурсам, встроенные в службу AD, обеспечивают централизованную защиту сети;

-  централизованное управление - администраторы могут централизованно управлять всеми корпоративными ресурсами;

-  администрирование с использованием групповых политик - при загрузке компьютера или регистрации пользователя в системе выполняются требования групповых политик; их настройки хранятся в объектах групповых политик и применяются ко всем учетным записям пользователей и компьютеров, расположенных в сайтах, доменах или организационных подразделениях;

-  интеграция с Domain Name System (далее - DNS) - функционирование служб каталогов полностью зависит от работы службы DNS. В свою очередь серверы DNS могут хранить информацию о зонах в базе данных (далее – БД) AD;

-  расширяемость каталога - администраторы могут добавлять в схему каталога новые классы объектов или добавлять новые атрибуты к существующим классам;

-  масштабируемость - служба AD может охватывать как один домен, так и множество доменов, объединенных в дерево доменов, а из нескольких деревьев доменов может быть построен лес;

-  репликация информации - в службе AD используется репликация служебной информации в схеме со многими ведущими (multi-master), что позволяет модифицировать БД AD на любом контроллере домена. Наличие в домене нескольких контроллеров обеспечивает отказоустойчивость и возможность распределения сетевой нагрузки;

-  гибкость запросов к каталогу - БД AD может использоваться для быстрого поиска любого объекта AD, используя его свойства (например, имя пользователя или адрес его электронной почты, тип принтера или его местоположение и т. п.);

-  стандартные интерфейсы программирования - для разработчиков программного обеспечения служба каталогов предоставляет доступ ко всем возможностям (средствам) каталога и поддерживает принятые стандарты и интерфейсы программирования (API).

В AD может быть создан широкий круг различных объектов. Объект представляет собой уникальную сущность внутри каталога и обычно обладает многими атрибутами, которые помогают описывать и распознавать его. Учетная запись пользователя является примером объекта. Этот тип объекта может иметь множество атрибутов, таких как имя, фамилия, пароль, номер телефона, адрес и многие другие. Таким же образом общий принтер тоже может быть объектом в AD и его атрибутами являются его имя, местоположение и т.д. Атрибуты объекта не только помогают определить объект, но также позволяют искать объекты внутри каталога.

3.4.2 Групповые политики Active Directory

Механизм групповых политик позволяет автоматизировать данный процесс управления. С помощью групповых политик можно настраивать различные параметры компьютеров и пользовательской рабочей среды сразу в масштабах сайта AD, домена, организационного подразделения (детализацию настроек можно проводить вплоть до отдельного компьютера или пользователя). Настраивать можно широкий набор параметров — сценарии входа в систему и завершения сеанса работы в системе, параметры Рабочего стола и Панели управления, размещения личных папок пользователя, настройки безопасности системы (политики паролей, управления учетными записями, аудита доступа к сетевым ресурсам, управления сертификатами и т.д.), развертывания приложений и управления их жизненным циклом.

Каждый объект групповых политик (GPO, Group Policy Object) состоит из двух частей: контейнера групповых политик (GPC, Group Policy Container) хранящегося в БД AD, и шаблона групповых политик (GPT, Group Policy Template), хранящегося в файловой системе контроллера домена, в подпапках папки SYSVOL. Место, в котором хранятся шаблоны политик, — это папка %systemroot%\SYSVOL\sysvol\<имя домена>\Policies, и имя папки шаблона совпадает с глобальным уникальным идентификатором (GUID) объекта Групповая политика.

Страницы: 1, 2