Размещено на http://www.allbest.ru/

Содержание

• 1. Конструкторская часть
• 1.1 Техническое задание проектирование системы распознавания образов в воинской части
• 1.2 Организационные мероприятия по защите СКУД "Воинской части"
• 1.3 Физические мероприятия по защите информации в ИСПДн
• 1.4 Система охранно-пожарной сигнализации
• 1.5 Идентификаторы с СКУД
• 1.6 Обзор рынка программно-аппаратных средств защиты от НСД
• 1.7 Выбор программно-аппаратного средства защиты от НСД
• 1.8 Обзор рынка и выбор средства антивирусной защиты
• 2. Технологическая часть
• 2.1 График выполнения работ
• 2.2 Предварительные испытания аппарата распознавания образов
• Вывод

1. Конструкторская часть

1.1 Техническое задание проектирование системы распознавания образов в воинской части

Защите подлежат персональные данные в соответствии с Федеральным законом от 27.07.2006 № 152-ФЗ "О защите персональных данных"

Состав работ:

1. Составление проекта системы доступа в паре с аппаратом распознавания образов

Анализ структуры информационных систем в воинской части с целью выделения независимых ИСПДн.

Сбор необходимых исходных данных для подготовки чип-карт для доступа не территорию воинской части

2. Разработка Модели Угроз

Разработка модели угроз безопасности персональных данных при их обработке в информационной системе персональных данных СКУД в воинской части, во исполнение требованиями подпункта "а" пункта 12 "Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных", утвержденного постановлением Правительства Российской Федерации от 17 ноября 2007 года № 781, в соответствии с требованиями методических документов Федеральной службы по техническому и экспортному контролю Российской Федерации и Федеральной службы безопасности Российской Федерации:

Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных", утверждена заместителем директора ФСТЭК 14 февраля 2008 года.

защита информация воинская часть

"Базовая модель угроз безопасности персональных данных при их обработке в информационной системе персональных данных", утверждена заместителем директора ФСТЭК 15 февраля 2008 года.

"Методические рекомендации по обеспечению с помощью криптосредств безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств автоматизации", утверждены руководством 8 центра ФСБ № 149/5-144 от 21 февраля 2008 года.

3. Классификация ИСПДн

Сбор и анализ исходных данных по ИСПДн СКУД в воинской части".

Определение категории обрабатываемых в информационной системе персональных данных и других необходимых критериев для классификации ИСПДн, в соответствии с "Порядком проведения классификации информационных систем персональных данных", утвержденным приказом Федеральной службы по техническому и экспортному контролю, Федеральной службы безопасности Российской Федерации и Министерства информационных технологий и связи Российской Федерации от 13 февраля 2008 г. № 55/86/20.

По результатам анализа, на основе модели угроз безопасности персональных данных определение класса специальных информационных систем и подготовка актов классификации систем.

4. Внедрение биометрических считывателей для режимных помещений в СКУД в воинской части, с целью дополнительного контроля санкционированного допуска и предотвращение несанкционированного прохода.

5. Разработка положения об обработке и защите персональных данных.

Положение об обработке и защите персональных данных должно быть разработано в соответствии с "Положением об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных", утвержденного постановлением Правительства Российской Федерации от 17 ноября 2007 года № 781, а также в соответствие с требованиями методических документов Федеральной службы по техническому и экспортному контролю Российской Федерации и Федеральной службы безопасности Российской Федерации.

6. Сбор и анализ имеющихся и используемых СЗИ, в том числе СКЗИ. Определение класса СВТ в соответствие с регламентирующими документами Федеральной службы по техническому и экспортному контролю Российской Федерации.

7. Разработка и сравнительный анализ вариантов реализации системы защиты персональных данных

На основе результатов работ будет принято решение о необходимости, варианте и порядке реализации системы защиты персональных данных для информационной системы персональных данных.

1.2 Организационные мероприятия по защите СКУД "Воинской части"

В первую очередь необходима разработка организационных мер защиты информации. При отсутствии надлежащей организации работы, отсутствии системы контроля и надзора за деятельностью сотрудников, все технические средства могут оказаться бессмысленными.

С одной стороны, организационные мероприятия должны быть направлены на обеспечение правильности функционирования механизмов защиты, и выполняться администратором безопасности системы. С другой стороны, руководство организации, эксплуатирующей средства автоматизации, должно регламентировать правила автоматизированной обработки информации, включая и правила ее защиты, а также установить меру ответственности за нарушение этих правил.

К организационным мерам можно отнести такие, как:

идентификация пользователей ИС по паролю;

регистрация входа \ выхода пользователей в ИС;

разграничение доступа пользователей к средствам защиты и информационным ресурсам в соответствии с матрицей доступа;

учет всех материальных носителей информации, регистрация их выдачи;

физическая охрана ИСПДн, контроль доступа в помещение;

блокирование терминалов пользователей;

очистка освобождаемых областей оперативной памяти компьютера и внешних накопителей;

регистрация фактов распечатки документов с указанием даты, времени и имени пользователя;

наличие администратора (службы) безопасности, ответственных за ведение, нормальное функционирование и контроль работы средств защиты информации.

Также, к организационным мерам можно отнести отдельные мероприятия на стадии проектирования ИСПДн:

разработка и реализация разрешительной системы доступа пользователей к обрабатываемой на ИСПДн информации;

определение подразделений и назначение лиц, ответственных за эксплуатацию средств защиты информации с их обучением по направлению обеспечения безопасности ПДн;

разработка эксплуатационной документации на ИСПДн и средства защиты информации, а также организационно распорядительной документации по защите информации (приказов, инструкций и других документов).

В организации должны быть разработаны такие документы, как:

положение о работе с персональными данными;

инструкция администратора безопасности;

инструкция пользователя ИСПДн;

положение о парольной защите;

положение об антивирусной защите;

регламент проведения проверок безопасности ИСПДн;

порядок учета и регистрации магнитных носителей информации.

В Положении о работе с персональными данными отражается (Приложение № 8):

порядок получения, обработки, использования и хранения персональных данных;

порядок передачи персональных данных третьим лицом;

гарантии конфиденциальности персональных данных.

В инструкции администратора безопасности устанавливаются (Приложение № 9):

правовая основа деятельности администратора;

требования к уровню его знаний, квалификации и опыту;

перечень вверенного ему оборудования и порядок доступа к нему;

перечень и периодичность плановых мероприятий по контролю осуществления надлежащего функционирования системы защиты ИСПДн;

полномочия администратора по контролю за деятельностью пользователей ИСПДн, в частности, разработка и внедрение системы паролей доступа пользователей, организация разграничения доступа пользователей к техническим средствам защиты ИСПДн и информационным ресурсам ИСПДн, выявление допущенных пользователями нарушений инструкций и приостановление/прекращение их доступа в ИСПДн;

ответственность за допущенные нарушения.

В инструкции пользователя ИСПДн указываются (Приложение № 10):

требования к уровню владения техническими средствами обработки информации;

полномочия доступа к техническим средствам защиты информации;

полномочия доступа к информационным ресурсам, периферийным устройствам, материальным носителям информации;

обязанности по соблюдению правил антивирусной защиты ИСПДн;

ответственность за несоблюдение установленных правил работы в ИСПДн.

Такие документы, как положение о парольной защите, положение об антивирусной защите (Приложение № 11) и регламент проведения проверок безопасности ИСПДн носят технический характер и составляются в соответствии необходимым уровнем обеспечения безопасности ИСПДн, обусловленного ее классом.

1.3 Физические мероприятия по защите информации в ИСПДн

Физические меры защиты - различные механические, электро- или электронно-механические устройства, предназначение для создания физических препятствий на путях проникновения потенциальных нарушителей к защищаемой информации, а также техника визуального наблюдения, связи и охранной сигнализации.

Защита серверов

Физическая безопасность серверов - это очевидный, но в тоже время очень важный аспект безопасности, поскольку физическая незащищенность сервера ведет к большому риску, который может выразиться в неавторизованном доступе к нему и его порче, что повлияет на целостность сервера, всей сети и ее ресурсов.

В первую очередь надо подготовить помещение, где будут стоять серверы. Обязательное правило: сервер должен находиться в отдельной комнате, доступ в которую имеет строго ограниченный круг лиц. На окнах обязательно должны быть жалюзи. Расположение помещения внутри здания также является важной частью защиты. Доступ в данное помещение осуществляется, конечно же, через дверь, она должна быть единственной, в том понимании, что через нее должен осуществляться единственный доступ в комнату. Дверь должна быть надежно укреплена, оборудована кодовыми замками, рассчитана на преднамеренные попытки взлома, а с другой стороны являться неприметной для злоумышленника, существенно не отличаясь от остальных дверей.

Всё оборудование в серверной должно быть размещено в закрытых шкафах или на открытых стойках, число которых определяется исходя из имеющегося оборудования, его типоразмеров и способов монтажа. Закрытые шкафы позволяют организовать дополнительные ограничения доступа к оборудованию с использованием подсистемы контроля доступа. Однако такие шкафы требуют обеспечения необходимого температурного режима, для чего применяются дополнительные вентиляторы, встраиваемые системы охлаждения и модули отвода горячего воздуха. При распределении оборудования по шкафам или стойкам следует учитывать его совместимость, а также распределение мощности, габариты, массу и оптимальность проведения коммуникаций.

Разумным шагом станет отключение неиспользуемых дисководов, параллельных и последовательных портов сервера. Его корпус желательно опечатать. Все это осложнит кражу или подмену информации даже в том случае, если злоумышленник каким-то образом проникнет в серверную комнату. Не стоит пренебрегать и такими тривиальными мерами защиты, как железные решетки и двери, кодовые замки и камеры видеонаблюдения, которые будут постоянно вести запись всего, что происходит в ключевых помещениях офиса.

Защита электронных архивов

Методом защиты целостности информации, на случай взлома, является создание архивной копии. Частота создания архивной копии определяется важностью и объемами поступления новой информации. Но в любом случае, методы защиты архивной копии должны не уступать методам защиты основного источника информации.

Важное правило: резервные копии нельзя хранить в одном помещении с сервером. Часто об этом забывают и в результате, защитившись от информационных атак, фирмы оказываются беззащитными даже перед небольшим пожаром, в котором предусмотрительно сделанные копии гибнут вместе с сервером.

Защита компьютеров от неполадок в электросети

Сейчас, в начале нового века, как и во времена появления лампочки Ильича, главной особенностью сетей электроснабжения является невозможность обеспечения их надежной и стабильной работы.

Поддерживать стандартные параметры напряжения, частоты, высокочастотных шумов и т.д. не удается по многим причинам. Эта проблема актуальна и для самых развитых стран. Развитие энергетики не успевает за развитием других отраслей промышленности и энергопотреблением. Непредсказуемые всплески и падения напряжения во время включения и выключения мощных потребителей, удары молний, различные аварии - все это приводит к выходу из строя компьютерной и другой чувствительной техники. По сообщениям специалистов IBM, в среднем бывает до 120 нарушений электроснабжения в месяц. Ни для кого не секрет, что качество современных силовых сетей далеко от идеального. Даже если нет никаких внешних признаков аномалий, очень часто напряжение в электросети выше или ниже нормы. Нарушения в системе электроснабжения могут нанести ущерб, нанесенный, например, банковской сети или сети научного учреждения, даже трудно подсчитать. Дело не в стоимости оборудования, а в потере ценнейших данных. Для борьбы с этими проблемами разработано специальное оборудование. Поэтому необходимо для каждого компьютера использовать источник бесперебойного питания.

Защита кабельной системы сети

Часто, даже защитив серверы, забывают, что в защите нуждаются и всевозможные провода - кабельная система сети. Причем, нередко приходится опасаться не злоумышленников, а самых обыкновенных уборщиц, которые заслуженно считаются самыми страшными врагами локальных сетей. Лучший вариант защиты кабеля - это короба, но, в принципе, подойдет любой другой способ, позволяющий скрыть и надежно закрепить провода. Впрочем, не стоит упускать из вида и возможность подключения к ним извне для перехвата информации или создания помех, например, посредством разряда тока. Хотя, надо признать, что этот вариант мало распространен и замечен лишь при нарушениях работы крупных фирм - в этих случаях игра с законом стоит свеч. Рассматриваемая фирма является ведущим производителем в своей области, и хотя серьезных конкурентов у предприятия нет, и случаев попыток перехвата информации посредством наводок замечено не было, не стоит этим пренебрегать.

1.4 Система охранно-пожарной сигнализации

Охранно-пожарная сигнализация - получение, обработка, передача и представление в заданном виде потребителям при помощи технических средств информации о пожаре или проникновении злоумышленника на охраняемый объект.

Система охранно-пожарной и тревожной сигнализации представляет собой совокупность совместно действующих технических средств обнаружения пожара и попытки проникновения нарушителя на охраняемый объект, сбора и предоставления в заданном виде информации о проникновении (попытке проникновения), а также выдачи сигналов тревоги в дежурную часть органов внутренних дел при разбойном нападении на объект в период его работы.

Уровень безопасности в основном зависит от времени реагирования технических средств охраны (ТСО) на возникающую угрозу. И чем раньше обнаружится возникающая угроза объекту, тем эффективнее ее можно пресечь. Этого можно достичь благодаря правильному выбору и использованию ТСО, а также их оптимальному размещению в охраняемых зонах.

Любая система охранно-пожарной сигнализации (ОПС) может быть разбита на три составляющие: извещатели (датчики), концентраторы, устройства оповещения и реагирования. Извещатели, объединенные в логические группы, именуемые шлейфами, анализируют текущее состояние объекта по различным физическим параметрам и передают полученную информацию на концентратор. Концентратор является ядром системы, он обрабатывает сообщения от всех извещателей и, в случае необходимости какой-либо реакции, выдает информацию на систему оповещения и реагирования.

По принципу формирования информационного сигнала о проникновении на объект или пожаре извещатели охранно-пожарной сигнализации делятся на активные и пассивные. Активные извещатели охранно-пожарной сигнализации генерируют в охраняемой зоне сигнал и реагируют на изменение его параметров. Пассивные извещатели реагируют на изменение параметров окружающей среды, вызванное вторжением нарушителя или возгоранием.

Каждая охранно-пожарная сигнализация использует охранные и пожарные извещатели, контролирующие различные физические параметры. Широко используются такие типы охранных извещателей, как инфракрасные пассивные, магнитоконтактные, извещатели разбития стекла, периметральные активные извещатели, комбинированные активные извещатели. В системах пожарной сигнализации применяются тепловые, дымовые, световые, ионизационные, комбинированные и ручные извещатели.

Извещатели (датчики) являются основным элементом систем ОПС и во многом определяют эффективность их использования. Это устройства, предназначенные для определения наличия угрозы безопасности охраняемого объекта и передачи тревожного сообщения для своевременного реагирования. Извещатели могут классифицироваться по физическому принципу действия. Рассмотрим наиболее распространенные типы извещателей.

Контактные извещатели служат для обнаружения несанкционированного открытия дверей, окон, ворот и т.д. Магнитные извещатели состоят из двух частей: герконовогореле (геркона), устанавливаемого на неподвижную часть конструкции, и магнита, устанавливаемого на открывающийся модуль. Когда магнит находится вблизи геркона, его контакты в замкнутом состоянии. По принципу монтажа герконы делятся на накладные, врезные и для монтажа на металлические двери.

Инфракрасные пассивные извещатели служат для обнаружения вторжения нарушителя в контролируемый объем. ИК извещатель с помощью пироэлемента преобразуют тепловое излучение в электрический сигнал. В настоящее время используются 2 и 4 площадные пироэлементы. Это позволяет существенно снизить вероятность ложных тревог. Формирование зон обнаружения происходит с помощью зеркал (на отражение) и/или линз (на прохождение) Френеля.

Комбинированные извещатели объединяют в одном корпусе пассивный ИК и радиоволновый детектор, основанный на эффекте Доплера. Это позволяет существенно уменьшить вероятность ложной тревоги: поскольку сигнал тревоги выдается только при одновременном обнаружении нарушения обеими частями извещателя.

Акустические извещатели оснащаются высокочувствительным миниатюрным микрофоном, улавливающим звук, издаваемый при разбитии стекла. Эти извещатели крепятся на стену или потолок около окна. При разбитии стекла возникает два типа звуковых колебаний в строго определенной последовательности: сначала ударная волна от колебания всего массива стекла с частотой порядка 100Гц, а потом волна разрушения стекла с частотой около 5 Кгц. Извещатель обрабатывает эти сигналы и принимает решение о наличии проникновения.

Дымовые извещатели предназначены для обнаружения наличия частиц дыма в воздухе. По принципу действия они делятся на два основных типа: оптоэлектронные и ионизационные. Дымовые извещатели позволяют обнаружить пожар на ранней стадии развития. Это их главное преимущество перед тепловыми извещателями. Поэтому дымовые извещатели сейчас наиболее перспективны для применения на всех видах объектов.

Дымовые извещатели по зоне обнаружения делятся на точечные и линейные. Точечные извещатели имеют чувствительную зону внутри измерительной камеры извещателя. Принцип обнаружения основан на отражении оптического излучения от частиц дыма, попадающих в эту зону.

Линейные дымовые извещатели в качестве чувствительной зоны используют, как правило, луч света длиной до 100 м, который пересекает защищаемое помещение. Обнаружение пожара происходит при ослаблении оптического излучения дымом.

Тепловые извещатели служат для обнаружения внутри помещения повышенной температуры. По принципу действия они делятся на термоконтактные и дифференциальные. Дифференциальные извещатели являются восстанавливаемыми и содержат термопару для измерения температуры. Такой извещатель реагирует не только на абсолютное значение температуры, но и на высокую скорость изменения температуры. Тепловые извещатели недостаточно эффективны для раннего обнаружения пожара. Их применение оправдано только для тех объектов, где вероятность повышения температуры более высока, чем появление дыма или открытого пламени, а также там, где условия эксплуатации не позволяют применить извещатели другого типа.

Извещатели пламени реагируют на инфракрасное или ультрафиолетовое излучение открытого пожара. Область их применения достаточно ограничена. В основном это производственные объекты, места хранения ЛВЖ, бензоколонки и т.д.

Особенностью ручных извещателей является то, что в действие их приводит человек, обнаруживший пожар. Этот тип извещателей применяется в местах постоянного присутствия людей, на лестничных пролетах, на путях эвакуации и т.д.

В зависимости от способов выявления тревог и формирования сигналов, извещатели и системы охранно-пожарной сигнализации делятся на неадресные, адресные и адресно-аналоговые. В неадресных системах извещатели имеют фиксированный порог чувствительности, при этом группа извещателей включается в общий шлейф охранно-пожарной сигнализации, в котором в случае срабатывания одного из приборов охранно-пожарной сигнализации формируется обобщенный сигнал тревоги. Адресные системы отличаются наличием в извещении информации об адресе прибора охранно-пожарной сигнализации, что позволяет определить зону пожара с точностью до места расположения извещателя. Адресно-аналоговая охранно-пожарная сигнализация является наиболее информативной и развитой. В такой системе применяются "интеллектуальные" извещатели охранно-пожарной сигнализации, в которых текущие значения контролируемого параметра вместе с адресом передаются прибором по шлейфу охранно-пожарной сигнализации. Такой способ мониторинга используется для раннего обнаружения тревожной ситуации, получения данных о необходимости технического обслуживания приборов вследствие загрязнения или других факторов. Кроме этого, адресно-аналоговые системы позволяют, не прерывая работу охранно-пожарной сигнализации, программно изменять фиксированный порог чувствительности извещателей при необходимости их адаптации к условиям эксплуатации на объекте.

Концентраторы (контрольные панели) предназначены для сбора и обработки информации о состоянии извещателей и линий передачи (шлейфов). Можно выделить проводные безадресные и адресные концентраторы. В последних информация от датчиков к концентратору поступает в цифровом коде. Это позволяет концентратору контролировать состояние каждого подключенного к общему шлейфу датчика в отдельности. Беспроводные концентраторы получают информацию от датчиков по радиоканалу. Концентраторы выдают соответствующие сигналы на внешние устройства оповещения на основе анализа информации от датчиков.

Линии передач, по которым поступают сигналы от извещателей, представляют физические шлейфы, они в общем случае могут отличаться от логических шлейфов, с которыми оперирует схема обработки сигналов концентратора. Логическим шлейфом (зоной) называется единичный сегмент информационного пространства концентратора: именно его состояние анализируется им в каждый момент времени. Максимальное число зон, которое может контролировать концентратор, составляет: до 30 - для аналоговых и до 100 - для микропроцессорных (цифровых) концентраторов.

Современная аппаратура охранно-пожарной сигнализации имеет собственную развитую функцию оповещения. Несмотря на то, что системы оповещения о пожаре выделены в самостоятельный класс оборудования, на базе технических средств пожарной сигнализации достаточно многих производителей можно реализовывать системы оповещения 1 и 2 категории.

Пожарные оповещатели предназначены для оповещения о пожаре с помощью различных звуковых и световых сигналов. Для звуковой сигнализации применяются звуковые сирены различных типов. Для световой сигнализации применяются различные световые оповещатели, выполненные на основе ламп накаливания, светодиодов и импульсных газоразрядных источников света.

На предприятии существует система охранно-пожарной сигнализации, управляемая при помощи пультов охранной сигнализации С-2000. В качестве магнитоконтактных извещателей используются "С2000-СМК". Рассмотрим ОПС бюро пропусков, кабинет администратора безопасности СКУД и серверная. Извещатели "С2000-СМК" устанавливаются на всех дверях для защиты от незаконного проникновения в помещения. В нерабочее время необходим охранный объемный оптико-электронный адресный извещатель "С2000-ИК исп.02". Он установлен во всех помещениях.

В бюро пропусков имеют доступ все посетители, поэтому обеспечивается дополнительная защита данного помещения. Для этого на окна установлены "С2000-СТ" для обнаружения разбития стекла.

Для раннего обнаружения пожара во всех помещениях установлены дымовые пожарные извещатели "ДИП-34А".

Установленные извещатели соединяются к кабельной сети единой системы сигнализации предприятия.

1.5 Идентификаторы с СКУД

Цветная купольная камера высокого разрешения

Технические данные:
Размер матрицы	1/3”
Объектив	2,8-12мм
Разрешение	600твл
Формат	752х582
Отношение сигнал/шум	50дБ
Чувствительность	0,005лк
Масса	0,33кг
Рабочая температура	-20…+50С
Напряжение питания v12, потребляемый ток	350мА.

Программно-аппаратные средства защиты СКУД

Одно из приоритетных направлений по улучшению системы защиты информации является установка на компьютеры программно-аппаратных комплексов защиты от НСД. При выборе средств защиты необходимо обратить внимание на наличие сертификатов ФСТЭК.

Также критерием отбора является наличие у продукта следующих характеристик:

· контроль целостности информации;

· контроль и разграничение доступа;

· наличие подсистемы аудита;

· возможность шифрования трафика сети;

· дополнительная идентификация пользователей;

· затирание остатков информации в системе.

1.6 Обзор рынка программно-аппаратных средств защиты от НСД

DallasLock 7.7

Система DallasLock 7.7 представляет собой программное средство защиты от НСД к информации в персональном компьютере с возможностью подключения аппаратных идентификаторов. Система предназначена для защиты компьютера, подключенного к локальной вычислительной сети, от несанкционированного доступа в среде ХР/2003/Vista/2008/7.

DallasLock 7.7 обеспечивает многоуровневую защиту локальных ресурсов компьютера:

запрет загрузки компьютера посторонними лицам;

двухфакторная авторизация по паролю и аппаратным идентификаторам (USB eToken, смарт-карты eToken, Rutoken, TouchMemory);

разграничение прав пользователей на доступ к локальным и сетевым ресурсам;

контроль работы пользователей со сменными накопителями;

мандатный и дискреционный принципы разграничения прав;

организация замкнутой программной среды;

аудит действий пользователей;

контроль целостности ресурсов компьютера;

очистка остаточной информации;

возможность автоматической печати штампов (меток конфиденциальности) на всех распечатываемых документах;

защита содержимого дисков путем прозрачного преобразования;

удаленное администрирование

выделенный центр управления, работа в составе домена безопасности (v7.5/7.7);

возможность установки на портативные компьютеры (Notebook);

отсутствие обязательной аппаратной части;

работа на сервере терминального доступа;

удобные интерфейс, установка и настройка.

СЗИ DallasLock 7.7 блокирует доступ посторонних лиц к ресурсам ПК и позволяет разграничить права пользователей и администраторов при работе на компьютере. Контролируются права локальных, сетевых и терминальных пользователей. Разграничения касаются прав доступа к объектам файловой системы, доступа к сети, к сменным накопителям и к аппаратным ресурсам.

Для идентификации пользователей служат индивидуальные пароли и аппаратные идентификаторы TouchMemory, eToken, ruToken (двухфакторная аутентификация). Аппаратная идентификация не является обязательной - система может работать в полностью программном режиме.

Запрос пароля и аппаратных идентификаторов происходит до начала загрузки ОС. Загрузка ОС возможна только после проверки идентификационных данных пользователя в СЗИ. Таким образом обеспечивается доверенная загрузка системы.

Разграничение прав доступа к ресурсам файловой системы реализуется следующими методами:

Дискреционный - предоставляет доступ к защищаемым объектам файловой системы на основании списков контроля доступа. В соответствии с содержимым списков определяются права доступа для каждого пользователя.

Мандатный - каждому пользователю присваивается максимальный уровень мандатного доступа. Пользователь получает доступ к объектам, мандатный уровень которых не превышает его текущий уровень.

СЗИ позволяет контролировать целостность файлов, папок и параметров аппаратно-программной среды компьютера. Для контроля целостности используются контрольные суммы, вычисленные по одному из алгоритмов на выбор: CRC32, MD5, ГOCT P34.11-94.

Подсистема аудита действий пользователей состоит из шести журналов, в которые заносятся события и результат (с указанием причины, при отказах) попыток входов и выходов пользователей, события доступа к ресурсам файловой системы, события запуска процессов, события печати на локальных и сетевых принтерах, события по администрированию СЗИ. Для облегчения работы с журналами, реализована возможность фильтрации записей по определенным признакам и экспорт журналов в формат MS Excel.

Подсистема очистки остаточной информации гарантирует невозможность восстановления удаленных данных.

Возможно очищение освобождаемого дискового пространства, файла подкачки, освобождаемой памяти и заданных папок при выходе пользователя из системы. Подсистема может работать в автоматическом режиме, когда зачищаются все удаляемые данные, либо данные зачищаются по команде пользователя.

Подсистема перехвата событий печати позволяет на каждом распечатанном с ПК документе добавлять штамп. Формат и поля штампа могут гибко настраиваться.

Для защиты от загрузки компьютера и доступа к информации в обход СЗИ предусмотрена возможность преобразования содержимого диска в "прозрачном" режиме. Информация преобразуется при записи и декодируется при чтении с носителя. При работе процесс преобразования незаметен для пользователя. После преобразования диска получить доступ к хранящейся на нем информации невозможно без пароля для входа в СЗИ. Режим "прозрачного" преобразования диска защищает информацию, даже если жесткий диск будет подключен к другому компьютеру. Данные могут быть преобразованы по алгоритмам XOR32 или ГОСТ 28147-89.

СЗИ предоставляет возможность преобразования отдельных файлов и/или папок. В качестве ключа преобразования используется пароль и, по желанию пользователя, аппаратный идентификатор. Преобразованные данные хранятся в файле-контейнере, который может использоваться для безопасной передачи данных или хранения информации на отчуждаемом носителе. Доступ к преобразованным данным можно получить с любого компьютера с СЗИ при совпадении пароля и аппаратного идентификатора.

Возможно использование встроенного алгоритма преобразования ГОСТ 28147-89, либо подключение внешнего сертифицированного криптопровайдера (например, "КриптоПро").

Для предотвращения утечки информации через сменные накопители, предусмотрена возможность гибкого разграничения доступа к дискетам, оптическим дискам, USB-Flash - возможно разграничения доступа по типу накопителя, либо к конкретным экземплярам.

Система позволяет настраивать замкнутую программную среду (режим, в котором пользователь может запускать только программы, определенные администратором).

Для осуществления централизованного управления защищенными компьютерами в составе ЛВС, в состав системы входит "Сервер Безопасности" (СБ). СБDallasLock и зарегистрированные на нем компьютеры с DallasLock образуют "Домен Безопасности". При использовании СБ возможно централизованное управление учетными записями пользователей, управление политиками безопасности, просмотр и автоматический сбор журналов, назначение прав доступа к ресурсам, управление прозрачным преобразованием и выполнение команд оперативного управления.

С помощью модуля "Менеджер серверов безопасности" возможно объединение нескольких СБ в "Лес Безопасности", с помощью которого осуществляется централизованное управления несколькими Доменами Безопасности (получение журналов, управление политиками и учетными записями пользователей).

Возможна установка СЗИ на портативные компьютеры (ноутбуки).

Существует возможность просматривать экранные снимки удаленных компьютеров. Эти снимки могут быть сохранены в файлы и просмотрены в дальнейшем.

Возможна установка СЗИ на компьютеры, работающие в составе домена (как на клиентские машины, так и на контроллер домена, таким образом с помощью DallasLock 7.7 можно защитить всю сеть.

Возможна установка на сервер терминального доступа.

Сертификат соответствия ФСТЭК № 2209 удостоверяет, что система защиты информации от несанкционированного доступа DallasLock 7.7 является программным средством защиты информации от несанкционированного доступа к информационным ресурсам компьютеров и соответствуют требованиям руководящих документов Гостехкомиссии России по 2-му уровню контроля отсутствия недекларированных возможностей и 3-му классу защищенности от НСД. Версия продукта может использоваться для защиты государственной тайны категории "совершенно секретно" (АС до класса защищенности "1Б" включительно), а также для защиты информации (персональных данных) в ИСПДн до 1 класса включительно.

Аккорд-АМДЗ

СЗИ Аккорд-АМДЗ (аппаратный модуль доверенной загрузки) представляет собой программно-аппаратный комплекс, предназначенный для обеспечения защиты информации от НСД. Он представляет из себя PCI плату (контроллер), подключаемый к компьютеру и комплект устанавливаемого ПО. Данная плата абсолютно независима от ОС, имеет встроенную энергонезависимую ПЗУ, в которой хранится вся необходимая для функционирования информация. Аккорд-АМДЗ имеет возможность обеспечивать идентификацию и аутентификацию (в том числе и при помощи ключей TouchMemory), контроль целостности конфигурации компьютера, журнализацию событий. Комплекс начинает работу сразу после выполнения штатного BIOS компьютера - дозагрузки операционной системы, и обеспечивает доверенную загрузку ОС, поддерживающих следующие файловые системы: FAT 12, FAT 16, FAT 32, NTFS, HPFS, EXT2FS, EXT3FS, FreeBSD, Sol86FS, QNXFS, MINIX

Аккорд NT/2000

СЗИ НСД "Аккорд-NT/2000" является программной надстройкой над аппаратным модулем и предназначен для разграничения доступа пользователей к рабочим станциям, терминалам и терминальным серверам. Комплекс работает на всей ветви операционных систем (ОС) Microsoft NT +, на терминальных серверах, построенных на базе ОС Windows 2000 Advanced Server и на базе серверов семейства Windows 2003, и ПО CitrixMetaframe XP, работающем на этих ОС. Комплекс обеспечивает для пользователя "прозрачный" режим работы, при котором он, как правило, не замечает внедренной системы защиты.

Поддерживаемая ОС: WindowsNT, Windows 2000, ХР, 2003, MSVista.

Подсистемы:

· Подсистема управления:

Обеспечивает идентификацию и аутентификацию пользователей, разграничение доступа к ресурсам (дискреционный и мандатный способы), настройка учетной записи пользователей (изменение имени и пароля, задание временных ограничений работы), механизм временной блокировки компьютера, управление потоками информации.

· Подсистема контроля целостности:

В СВТ должны быть предусмотрены средства периодического контроля за целостностью программной и информационной части КСЗ. Программы КСЗ должны выполняться в отдельной части оперативной памяти.

· Подсистема регистрации:

использование идентификационного и аутентификационного механизма;

запрос на доступ к защищаемому ресурсу (открытие файла, запуск программы и т.д.);

создание и уничтожение объекта;

действия по изменению ПРД.

Аккорд-NT/2000 3.2 соответствует требованиям руководящих документов Гостехкомиссии по 3 классу защищенности и может использоваться при создании автоматизированных систем до класса защищенности 1В включительно.

Сравнительная таблица характеристик представленных продуктов приведена в Приложении № 14.

1.7 Выбор программно-аппаратного средства защиты от НСД

Исходя из особенностей архитектуры, выполняемых функций и экономической составляющей вопроса из всего набора средств, представленных на российском рынке, для обеспечения защиты персональных данных от несанкционированного доступа, обрабатываемых в ИСПДн СКУД ОАО "ММЗ", был выбран программный продукт SecretNet 6.5 дополненный программно-аппаратным комплексом SecretNetCard.

SecretNet 6.5 выполняет следующие задачи:

В подсистеме управления доступом:

осуществляется идентификация и проверка подлинности субъектов доступа при входе в систему по паролю условно-постоянного действия длинной не мене шести буквенно-цифровых символов;

осуществляется идентификация терминалов, компьютеров, узлов сети ИСПДн, каналов связи, внешних устройств компьютеров по логическим именам;

осуществляется идентификация программ, томов, каталогов, файлов, записей, полей записей по именам;

осуществляется контроль доступа субъектов, к защищаемым ресурсам в соответствии с матрицей доступа.

В подсистеме регистрации и учета:

осуществляется регистрация входа (выхода) субъектов доступа в систему (из системы), либо регистрация загрузки и инициализации операционной системы и ее программного останова. Регистрация выхода из системы или останова не проводится в моменты аппаратурного отключения ИСПДн. В параметрах регистрации указываются дата и время входа (выхода) субъекта доступа в систему (из системы) или загрузки (останова) системы, результат попытки входа (успешная или неуспешная - несанкционированная), идентификатор (код или фамилия) субъекта, предъявленный при попытке доступа, код или пароль, предъявленный при неуспешной попытке;

осуществляется регистрация выдачи печатных (графических) документов на "твердую" копию. В параметрах регистрации указываются (дата и время выдачи (обращения к подсистеме вывода), спецификация устройства выдачи - логическое имя (номер) внешнего устройства, краткое содержание (наименование, вид, шифр, код) и уровень конфиденциальности документа, идентификатор субъекта доступа, запросившего документ;

осуществляется регистрация запуска (завершения) программ и процессов (заданий, задач), предназначенных для обработки защищаемых файлов. В параметрах регистрации указываются дата и время, запуска, имя (идентификатор) программы (процесса, задания), идентификатор субъекта доступа, запросившего программу (процесс, задание), результат запуска (успешный, неуспешный - несанкционированный);

осуществляется регистрация попыток доступа программных средств (программ, процессов, задач, заданий) к защищаемым файлам. В параметрах регистрации указываются дата и время попытки доступа к защищаемому файлу с указанием ее результата (успешная, неуспешная - несанкционированная), идентификатор субъекта доступа, спецификация защищаемого файла;

осуществляется регистрация попыток доступа программных средств к следующим дополнительным защищаемым объектам доступа: терминалам, компьютерам, узлам сети ИСПДн, линиям (каналам) связи, внешним устройствам компьютеров, программам, томам, каталогам, файлам, записям, полям записей. В параметрах регистрации указываются дата и время попытки доступа к защищаемому объекту с указанием ее результата (успешная, неуспешная - несанкционированная), идентификатор субъекта доступа, спецификация защищаемого объекта - логическое имя (номер);

проводится учет всех защищаемых носителей информации с помощью их маркировки и с занесением учетных данных в журнал (учетную карточку);

учет защищаемых носителей проводится в журнале (картотеке) с регистрацией их выдачи (приема);

осуществляется очистка (обнуление, обезличивание) освобождаемых областей оперативной памяти компьютеров и внешних накопителей. Очистка осуществляется однократной произвольной записью в освобождаемую область памяти, ранее использованную для хранения защищаемых данных (файлов).

В подсистеме обеспечения целостности:

проводится резервное копирование ПДн на отчуждаемые носители информации;

обеспечена целостность программных средств защиты информации в составе СЗПДн, а также неизменность программной среды. При этом целостность средств защиты проверяется при загрузке системы по контрольным суммам компонент средств защиты информации, а целостность программной среды обеспечивается использованием трансляторов с языков высокого уровня и отсутствием средств модификации объектного кода программ в процессе обработки и (или) хранения защищаемой информации;

осуществляется физическая охрана ИСПДн (устройств и носителей информации), предусматривающая контроль доступа в помещения ИСДн посторонних лиц, наличие надежных препятствий для несанкционированного проникновения в помещения ИСДн и хранилище носителей информации, особенно в нерабочее время;

проводится периодическое тестирование функций СЗПДн при изменении программной среды и персонала ИСПДн с помощью тест - программ, имитирующих попытки НСД;

есть в наличии средства восстановления СЗПДн, предусматривающие ведение двух копий программных средств защиты информации и их периодическое обновление и контроль работоспособности.

Все вышеописанные задачи полностью удовлетворяют требованиям, предъявляемым к ИСПДн класса К2.

1.8 Обзор рынка и выбор средства антивирусной защиты

Антивирусная защита, как следует из ее названия, направлена против вирусов, то есть программ, которые созданы либо для того, чтобы украсть важную информацию, либо для того, чтобы ее уничтожить или блокировать работу компьютеров. Антивирусная защита способна обнаружить и обезвредить вирусы. Таким образом, антивирусная защита обеспечивает информационную безопасность предприятия, причем обеспечить ее может, как и в любом другом деле, только профессиональная антивирусная защита.

Антивирусная защита необходима каждому компьютеру в офисе. Если же не установлена антивирусная защита, важная информация, которая имеется в памяти компьютера, может стать достоянием тех, кто стремится получить к ней несанкционированный доступ, всевозможных киберпреступников. Достаточно отсутствия антивирусной защиты на одном из компьютеров компании, чтобы результатом вирусной атаки стали огромные материальные, моральные, временные потери. Надежная, установленная профессионалами антивирусная защита предотвратит такой исход.

Dr. WebEnterpriseSuite

Dr. WebEnterpriseSuite-это комплекс со встроенной системой централизованного управления антивирусной антиспам-защитой рабочих станций под управлением Windows 2000/XP/2003/Vista/2008/7 на предприятиях любого масштаба.

Ключевые функции:

· централизованная установка (для компьютеров, работающих под управлением 2000/XP/2003/Vista/2008/7) без физического доступа к компьютеру;

· централизованная настройка антивирусного ПО и его обновление;

· возможность централизованного мониторинга состояния антивирусной защиты сети;

· в случае необходимости - централизованная постановка/отмена задач рабочим станциям внутри сети;

· централизованный сбор и изучение информации о вирусных событиях на всех защищаемых компьютерах;

· при необходимости - предоставление отдельным пользователям возможности самостоятельной настройки антивирусного ПО;

· управление антивирусной сетью и получение соответствующей информации администратором антивирусной защиты как с рабочих мест в корпоративной сети, так и удаленно через Интернет.

Преимущества:

1. Возможность иерархического построения системы антивирусной защиты на базе нескольких серверов Dr. Web Enterprise Suite, соединённых между собой и обеспечивающих своими ресурсами единую антивирусную сеть, делает это решение незаменимым для компаний, имеющих многофилиальную структуру. Программа легко масштабируется в зависимости от размеров и сложности сети и может быть адаптирована как для простых сетей из нескольких компьютеров, так и для сложных распределенных интранет-сетей, насчитывающих десятки тысяч узлов. Масштабирование обеспечивается возможностью использовать группирование из нескольких взаимодействующих серверов Dr. Web Enterprise Suite и отдельного SQL-сервера для хранения данных и комплексной структурой взаимодействия между ними.

2. Единый центр управления антивирусной защитой

Dr. Web Enterprise Suite предоставляет возможность установки рабочего места администратора (консоли) практически на любом компьютере под управлением любой операционной системы.

Dr. Web Enterprise Suite позволяет администратору, работающему как внутри сети, так и на удаленном компьютере (через сеть Интернет), централизовано управлять всеми компонентами антивирусной защиты, отслеживать состояние всех защищенных узлов, получать уведомления о вирусных инцидентах и настраивать автоматическую реакцию на них. Для этого достаточно наличия связи по протоколу TCP/IP между рабочим местом администратора и антивирусным сервером. Легкость в развертывании антивирусной сети, гибкие возможности настроек инсталляционных пакетов для развертывания клиентской части, быстрое и эффективное распространение сервером обновлений вирусных баз и программных модулей на защищаемые компьютеры, не требующее для немедленного начала работы каких-либо дополнительных настроек и составления расписания обновления и исключительное удобство администрирования бесспорно относятся к числу многочисленных достоинств Dr. Web Enterprise Suite, отличающих наш продукт от аналогичных решений на рынке.

3. Низкозатратное администрирование

Возможность единого "взгляда сверху" на антивирусную сеть предприятия любого масштаба с одного рабочего места (через консоль администратора) - причем, где бы оно не находилось, - сокращаетвремянаадминистрированиеизатратынавосстановлениежизнеспособностисетипослевируснойатаки. Dr. Web Enterprise Suite позволяет существенно сократить время на обслуживание и значительно снижает нагрузку на системных администраторов.

4. Экономия трафика локальной сети

Решение обеспечивает минимальный, в сравнении с аналогичными решениями других производителей, сетевой трафик, основанный на специально разработанном протоколе обмена информацией в сетях, построенных на основе протоколов TCP/IP, IPX и NetBIOS с возможностью применения специальных алгоритмов сжатия трафика. Экономия сетевого трафика обеспечивается специальным оптимизированным протоколом, поддерживающим компрессию данных между клиентом и сервером.

Решение поддерживает одновременно несколько сетевых протоколов между защищаемыми компьютерами и антивирусным сервером: TCP/IP, IPX/SPX, NetBIOS. Безопасность передачи данных между различными компонентами системы обеспечивается возможностью шифрования данных, что позволяет администрировать антивирусную сеть из любой точки мира через Интернет.

Dr. Web Enterprise Suite содержит опцию встроенного резервного копирования критически важных данных и конфигурации антивирусного сервера, а также опцию восстановления сервера из резервной копии.

Сертификат соответствия ФСТЭК РФ № 2012 от 14.01.2010 на программное изделие "Антивирус Dr. Web версии 5.0 для Windows" по 2 уровню контроля НДВ и на соответствие ТУ, и может использоваться для защиты информации в ИСПДн до 1 класса включительно.

Цена: 1090 рублей за 1 лицензию.

Kaspersky Business Space Security

Kaspersky Business Space Security-это оптимальная защита информационных ресурсов компании от современных интернет-угроз.

Kaspersky Business Space Security защищает рабочие станции и файловые серверы от всех видов вирусов, троянских программ и червей, предотвращает вирусные эпидемии, а также обеспечивает сохранность информации и мгновенный доступ пользователей к сетевым ресурсам. Продукт разработан с учетом повышенных требований к серверам, работающим в условиях высоких нагрузок.

Преимущества:

централизованная установка и управление;

поддержка Cisco® NAC (Network Admission Control);

защита рабочих станций и файловых серверов от всех видов интернет-угроз;

технология iSwift для исключения повторных проверок в рамках сети;

распределение нагрузки между процессорами сервера;

изоляция зараженных рабочих станций;

отмена вредоносных изменений в системе;

масштабируемость.

Дополнительные характеристики:

проактивная защита рабочих станций от новых вредоносных программ;

персональный файервол с системой IDS/IPS;

защита при работе в беспроводных сетях WiFi;

технология самозащиты антивируса от вредоносных программ;

карантинное хранилище подозрительных объектов;

автоматическое обновление баз.

Сертификат ФСТЭК №1832 от 10.05.2007 ПО "Антивирус Касперского 6.0 для WindowsServers" - по 3 уровню контроля НДВ и на соответствие ТУ.

Сертификат ФСТЭК №1834 от 11.05.2007 ПО "Антивирус Касперского 6.0 для Windows Workstations" - по 3 уровню контроля НДВ и на соответствие ТУ.

Сертификат ФСТЭК №1835 от 11.05.2007 ПО "Kaspersky Administration Kit 6.0" - по 3 уровню контроля НДВ и на соответствие ТУ.

Цена Kaspersky Business Space Security: 10 - 14 лицензий - 1200 рублей за 1 лицензию.

ESET NOD32 Business Edition версии 4.0

Решение ESET NOD32 Business Edition разработано для сетей крупных и средних организаций и обеспечивает защиту файловых серверов и рабочих станций компании. ESET NOD32 Business Edition обеспечивает обнаружение и блокировку вирусов, троянских программ, червей, шпионских программ, рекламного ПО, фишинг-атак, руткитов и других интернет-угроз, представляющих опасность для компаний. Несмотря на минимальную потребность в ресурсах, данное решение обеспечивает непревзойденный уровень проактивной защиты, практически не снижая производительность компьютера. ESET NOD32 Business Edition обеспечивает поддержку файловых серверов Windows, Novell Netware и Linux/Free BSD.

Версия для корпоративных клиентов Антивируса ESET NOD32 является прекрасно масштабируемым решением, которое может охватывать от пяти до сотни тысяч пользователей в рамках одной структуры.

...