В состав газового пожаротушения серверного оборудования входит:

­ панель управления;

­ датчик пожара;

­ аспирационный дымовой извещатель;

­ сирена;

­ звуковая и визуальная сигнализация;

­ ручное управление системой пожаротушения;

­ отображение предупреждений о пожаре;

­ система хранения газов;

­ сеть трубопроводов с соплами;

­ клапан избыточного давления;

­ вентиляционный клапан.

Так как пожаротушение газом обладает высокой опасностью для персонала учреждения, в случае установки автоматической системы тушения пожара на предприятиях с большим числом сотрудников, требуется интеграция автоматики системы с системой контроля и управления доступом. Кроме того автоматическая система пожаротушения должна по сигналу пожарных датчиков осуществлять максимальную герметизацию помещения, в котором происходит тушение - отключать вентиляцию, а также закрывать автоматические двери и опускать защитные ролеты, при наличии таковых.

В настоящее время увеличилось количество краж информации, личного и общественного имущества. Особенно эта проблема стала актуальной для крупных организаций, где нарушение безопасности может нанести огромный материальный ущерб, как самим организациям, так и их клиентам. Вследствие чего возник вопрос защиты и контроля доступа в помещения. Одно из центральных задач проектирования системы защиты состоит в надежном и эффективном управлении доступом на объект защиты.

Процедура управления доступом сводится к взаимному опознаванию пользователя и системы и установления факта допустимости использования ресурсов конкретным пользователем в соответствии с его запросом. Средства управления доступом обеспечивают защиту охраняемого объекта, как от неавторизованного использования, так и от несанкционированного обслуживания системой. Защита реализуется процедурами идентификации, установления подлинности и регистрации обращений.

В настоящее время существует много вариантов систем защиты и контроля доступа в помещения. Но, как правило, они являются дорогими, сложными, имеют недостаточное количество функциональных возможностей и используют устаревшую элементную базу. В учреждении было принято решение использовать интегрированную систему обеспечения безопасности, которые позволяют осуществлять полный спектр электронного управления всеми процессами, происходящими в структуре объекта. Система защиты и контроля доступа за помещениями работает автономно.

После поставки серверного оборудования «Блейд-сервер» было принято решение развертывания виртуальных операционных систем с помощью технологии виртуализации. Технологии виртуализации сейчас применяются во многих сферах ИТ, как в производственной среде, так и энтузиастами, и домашними пользователями для самых разных задач. Несколько одновременно запущенных виртуальных систем на одной физической машине существенно повышают гибкость ИТ-инфраструктуры и увеличивают эффективность использования аппаратных ресурсов. Тестирование программного обеспечения - один из самых распространенных вариантов использования для платформ виртуализации. Неудивительно, ведь виртуальные машины обладают множеством полезных свойств, благодаря которым значительно сокращается время разработки и тестирования и повышается эффективность этих процессов.

В классической модели разработки программного обеспечения программистам и инженерам по качеству ПО большую часть времени приходилось испытывать программный продукт на одной платформе на протяжении практически всего времени разработки, и лишь в конце проводить его тестирование в различных ОС и пользовательских средах. Вследствие этого, в программном обеспечении, особенно небольших команд разработчиков, часто встречались ошибки, связанные с особенностями пользовательских конфигураций, поскольку времени и ресурсов на полноценное конфигурационное тестирование не хватало. Кроме того, инженерам по качеству приходилось тратить много времени на развертывание комплекса программных продуктов на тестовых стендах и настройку их работы в сетевой инфраструктуре.

Технологии виртуализации, грамотно примененные в процессе, могут существенно снизить трудозатраты и значительно повысить эффективность производственного процесса, что положительно скажется на работе учреждения в целом. Как конкретно виртуализация позволяет это сделать:

­ тестировщики в процессе работы с виртуальными машинами могут создавать неограниченное количество пользовательских конфигураций на своей физической машине, запуская, по необходимости, наиболее подходящую в данный момент;

­ созданные однажды многомашинные конфигурации могут быть настроены с помощью инструментов платформ виртуализации и просто перенесены на другое оборудование, при этом их повторная настройка не требуется;

­ резервная копия виртуальной машины может быть создана путем копирования папки или создания мгновенного снимка состояния («снапшота»);

­ после нахождения ошибки тестировщиком, виртуальная машина с повторяющимся дефектом может быть передана разработчику, при этом высвобождаются ресурсы на дальнейшее тестирование;

­ необходимые условия для тестирования могут быть быстро созданы за счет гибкой настройки параметров аппаратной среды виртуальной машины (объем оперативной памяти, число виртуальных процессоров, ограничение ресурсов);

­ возможность быстрого отката к сохраненному состоянию виртуальной машины с необходимой конфигурацией или переключение между несколькими одновременно работающими гостевыми системами уменьшает время на тестирование.

После выбранных методов была начата работа по развертыванию программных продуктов и всего, что необходимо для работы.

Шаг 1. Настройка кластера файловых серверов.

Чтобы развертывать Hyper-V через SMB, в данной конфигурации сервера необходимо использовать одну из следующих процедур (на всех серверах в конфигурации файлового сервера должна быть установлена Windows Server 2012):

­ войти на сервер от имени члена локальной группы администраторов, диспетчер серверов запустится автоматически. Если этого не произойдет, нажать кнопку «Пуск», ввести «servermanager.exe», а затем щелкнуть «Диспетчер серверов». В разделе «краткое руководство» щелкнуть «Добавить роли и функции». На странице «Выбор типа установки» щелкнуть «Установка ролей или компонентов», а затем нажать кнопку «Далее». На странице «Выбор целевого сервера» выбрать подходящий сервер и нажать кнопку «Далее». По умолчанию выбирается локальный сервер. На странице «Выбор ролей сервера» щелкнуть «Файловые службы и службы хранилища», а затем нажать кнопку «Далее». На странице «Подтверждение выбранных элементов для установки» нажать кнопку «Установить».

Эквивалентные команды Windows PowerShell.

Следующие командамы Windows PowerShell выполняют ту же самую функцию, что и предыдущая процедура. Вводится каждый командлет в отдельную строку, даже если кажется, что из-за ограничения возможностей форматирования они переносятся по словам на другую строку. Чтобы добавить роли файловых служб и служб хранилища, вводятся следующие команды:

­ install-WindowsFeature File-Services;

­ FS-FileServer.

Если используется SMB Multichannel, следует убедится в доступности двух сетевых адаптеров с таким же типом и скоростью. Для просмотра списка сетевых адаптеров вводится следующая команда:

­ get-NetAdapter;

­ get-SmbServerNetworkInterface.

Чтобы создать отказоустойчивый кластер на базе двух серверов, вводится следующая команда:

­ new-Cluster -Name ClusterName -Node FileServer1;

­ FileServer2.

Чтобы создать кластер файловых серверов для предоставления удаленного доступа к постоянно доступным файловым ресурсам общего доступа SMB, гдеFST -- имя кластера файловых серверов и Cluster Disk 1 -- хранилище, вводится следующая команда:

­ add-ClusterFileServerRole -Name FST -Storage “Cluster Disk 1”;

­ staticAddress 192.168.101.22/24, 192.168.102.22/24.

В приведенном примере предполагается, что для сетевого трафика SMB используется две сети с адресами 192.168.101.22/24 и 192.168.102.22/24. Две сети необходимы для отказоустойчивости сетевого соединения.

Настройка отказоустойчивого кластера с масштабируемым файловым сервером.

Чтобы создать кластер файловых серверов для предоставления удаленного доступа к постоянно доступным файловым ресурсам общего доступа SMB, где FSO -- имя кластера файловых серверов и Cluster Disk 2 -- хранилище, вводится следующая команда:

­ add-ClusterSharedVolume “Cluster Disk 2”;

­ add-ClusterScaleOutFileServerRole -Name FSO.

Шаг 2. Установка Hyper-V

Чтобы продолжить развертывание Hyper-V через SMB, установливается роль Hyper-V на отдельном сервере. Чтобы установить роль Hyper-V на отдельном сервере, выполняется шаг 1, на примере настройки изолированного файлового сервера. На странице «Выбор ролей сервера» необходимо щелкнуть пункт «Hyper-V», а затем нажмите кнопку «Далее». На странице «Подтверждение выбранных элементов для установки» следует нажать кнопку «Установить».

Эквивалентные команды Windows PowerShell

Следующие командамы Windows PowerShell выполняют ту же самую функцию, что и предыдущая процедура. Вводится каждый командлет в отдельную строку, даже если кажется, что из-за ограничения возможностей форматирования они переносятся по словам на другую строку.

Чтобы установить роль Hyper-V и командлеты и команды Hyper-V Windows PowerShell, вводится следующую команду:

­ install-WindowsFeature Hyper-V;

­ hyper-V-PowerShell;

­ hyper-V-Tools.

Если используется SMB Multichannel, необходимо убедится, что два сетевых адаптера с идентичными типом и скоростью доступны и не подключены к виртуальному коммутатору. Для просмотра списка сетевых адаптеров вводится следующая команда:

­ get-NetAdapter;

­ get-SmbClientNetworkInterface.

Шаг 3. Создание файлового ресурса общего доступа SMB

Для доступа к файловому ресурсу общего доступа SMB из папки, в которой Hyper-V хранит данные виртуальной машины, требуются специальные разрешения. Необходимо убедиться, что учетные записи компьютера Hyper-V, учетная запись SYSTEM и все администраторы Hyper-V имеют разрешения на полный доступ.

Создание файлового ресурса общего доступа SMB с помощью диспетчера серверов. Необходимо войти на сервер от имени члена локальной группы администраторов.

Диспетчер серверов запустится автоматически. Если этого не произойдет, следует щелкнуть «Пуск», ввести «servermanager.exe», а затем щелкнуть «Диспетчер серверов». В левой части экрана следует щелкнуть «Файловые службы и службы хранилища». Щелкнуть «Задачи» и выбирать «Новый общий ресурс», чтобы открыть «Мастер создания общих ресурсов». На странице «Выбор профиля» необходимо щелкните пункт «Общий ресурс SMB -- профиль приложений» и нажать кнопку «Далее». На странице «Расположение общего ресурса» выберается сервер. На странице «Имя общего ресурса» следует указать имя нового общего ресурса и нажать кнопку «Далее». На странице «Разрешения следует щелкнуть «Настройка разрешений доступа». Необходимо выбрать «Добавить», затем «Выберите субъект» и «Типы объектов». В разделе «Типы объектов» далее выбирается «Компьютеры» и нажмите кнопку «ОК». Введите имя компьютера и нажмите кнопку «ОК». В диалоговом окне «Запись разрешения» выбирается «Полный доступ» и нажмите кнопку «ОК». Повторите предыдущие три шага для второго сервера Hyper-V. По завершении нажмите кнопку ОК. На странице «Разрешения» нажмите кнопку «Далее». Щелкните «Создать», чтобы создать файловый ресурс общего доступа SMB.

Эквивалентные команды Windows PowerShell

Следующие командамы Windows PowerShell выполняют ту же самую функцию, что и предыдущая процедура. Вводится каждый командлет в отдельную строку, даже если кажется, что из-за ограничения возможностей форматирования они переносятся по словам на другую строку.

Чтобы настроить файловый ресурс общего доступа SMB для изолированного сервера или кластерного файлового сервера, вводится следующий команды (где HV1 и HV2 -- серверы под управлением Hyper-V, HVC -- учетная запись кластера Hyper-V и HVadmin -- учетная запись администратора Hyper-V):

­ «# Create folder MD X:\VMS # Create file share New-SmbShare -Name VMS1 -Path X:\VMS -FullAccess Domain\HVAdmin, Domain\HV1$, Domain\HV2$, Domain\HVC$ # Set NTFS permissions from the file share permissions (Get-SmbShare VMS1).PresetPathAcl | Set-Acl».

Чтобы настроить файловый ресурс общего доступа SMB для масштабируемого файлового сервера, вводится следующий код (где HV1 и HV2 -- серверы под управлением Hyper-V и HVadmin -- учетная запись администратора Hyper-V):

­ «# Create folder MD X:\VMS # Create file share New-SmbShare -Name VMS1 -Path X:\VMS -FullAccess Domain\HVAdmin, Domain\HV1$, Domain\HV2$, Domain\HVC$ apply permissions # Set NTFS permissions from the file share permissions (Get-SmbShare VMS1).PresetPathAcl | Set-Acl».

Шаг 4. Создание виртуальной машины и виртуального жесткого диска на файловом ресурсе общего доступа.

Чтобы создать виртуальный жесткий диск (VHD) и виртуальную машину на файловом ресурсе общего доступа SMB, используйте диспетчер Hyper-V или командлеты Hyper-V Windows PowerShell. Также потребуется указать UNC-путь (например, \\servername\sharename).

Создание виртуальной машины. Необходима запустить диспетчер Hyper-V. В меню "Средства диспетчера серверов" выбирать пункт «Диспетчер Hyper-V». В области навигации диспетчера Hyper-V выбирать компьютер под управлением Hyper-V. На панели действий выбирать команду «Создать» и щелкните «Виртуальная машина». Откроется мастер создания виртуальной машины и выбирать кнопку «Далее». На странице «Укажите имя и расположение» вводиться подходящее имя и расположение (используя UNC-путь). Чтобы настроить Hyper-V через SMB, необходимо использовать UNC-путь. На странице «Выделить память» укаживаеться достаточный объем памяти для запуска операционной системы на виртуальной машине. На странице «Настройка сети» подключите виртуальную машину к коммутатору, созданному во время установки Hyper-V. На страницах «Подключить виртуальный жесткий диск и «Параметры установки» необходима выберать вариант «Создать виртуальный жесткий диск». Необходима нажать кнопку «Далее» и выберать вариант, определяющий тип носителя, который будет использоваться. Например, чтобы использовать ISO-файл, необходимо выберать «Установить операционную систему с загрузочного компакт-диска или с DVD-диска» и укажать путь к ISO-файлу. На странице сводных данных проверьте выбранные элементы, после чего необходимо нажать кнопку «Готово».

Эквивалентные команды Windows PowerShell.

Чтобы создать виртуальную машину с именем VM1, для файлового сервера с именем FS1 и файлового ресурса общего доступа с именем VMS вводиться следующие команды:

­ new-VHD -Path \\FS1\VMS\VM1.VHDX -VHDType Dynamic -SizeBytes 127GB;

­ new-VM -Name VM1 -Path \\FS1\VMS -Memory 1GB -VHDPath \\FS1\VMS\VM1.VHDX.

Шаг 5. Миграция хранилища виртуальной машины на файловый ресурс общего доступа SMB.

Хранилище виртуальной машины можно перенести как с запоминающего устройства прямого подключения (DAS) на файловый ресурс общего доступа SMB, так и с одного файлового ресурса общего доступа SMB на другой. Миграция хранилища виртуальной машины с локального хранилища на файловый ресурс общего доступа SMB. Чтобы подтвердить введиться следующие команды:

­ get-VM VM1 | FT Name, Path, State;

­ get-VM HardDiskDrive VM1 | FT VMName, Path.

Для переноса хранилища виртуальной машины с одного файлового ресурса общего доступа SMB на другой укажите файловый ресурс общего доступа SMB на этом шаге.Необходимо запустит в операционной системе виртуальной машины длительный процесс, например копирование большого числа файлов. Чтобы перенести хранилище виртуальной машины на файловый ресурс общего доступа SMB, введите следующую команду:

­ move-VMStorage -VMName VM1 -DestinationStoragePath \\FST\VMS.

Для подтверждинии, чтобы виртуальная машина которая использует файловый ресурс общего доступа SMB и задача не прерывается, вводиться следующие команды:

­ get-VM VM1 | FT Name, Path, State;

­ get-VMHardDiskDrive VM1 | FT VMName, Path.

Шаг 6. Инициализация динамической миграции виртуальной машины на другой узел кластера.

Работающие виртуальные машины можно незаметно переместить с одного узла кластера на другой в том же кластере без потери сетевого подключения или заметного простоя. Инициализация динамической миграции виртуальной машины на другой узел кластера.

Для подтверждинии, чтобы виртуальная машина работает на узле кластера и использует файловый ресурс общего доступа SMB, вводиться следующие команды:

­ get-VM VM1 | FT Name, Path, State;

­ get-VMHardDiskDrive VM1 | FT VMName, Path;

­ get-ClusterGroup VM1 | FT Name, OwnerNode, State.

Запустите в операционной системе виртуальной машины длительный процесс, например копирование большого числа файлов. Чтобы выполнить динамическую миграцию виртуальной машины на другой узел кластера, вводиться следующую команду:

­ move-ClusterVirtualMachineRole -Name VM1 -Node HV2

­ vmMigrationType Live.

Чтобы подтвердить, что виртуальная машина перемещена на другой узел кластера и рабочая нагрузка не прерывается, вводиться следующую команду:

­ get-ClusterGroup VM1 | FT Name;

­ ownerNode, State.

Шаг 7. Перемещение виртуальных машин на другой узел Hyper-V и миграция хранилища виртуальной машины.

Чтобы переместить работающие виртуальные машины с одного узла кластера на другой узел в том же кластере и переместить хранилище виртуальной машины, используйте одну из следующих процедур.

Перемещение виртуальной машины на другой узел Hyper-V. Чтобы подтвердить, что виртуальная машина работает на узле Hyper-V, вводиться следующую команду:

­ get-VM VM1 | FT Name;

­ path, State.

Запустите в операционной системе виртуальной машины длительный процесс, например копирование большого числа файлов. Чтобы выполнить динамическую миграцию виртуальной машины на другой узел Hyper-V, введите следующую команду:

­ move-VM -Name VM1 -DestinationHost HV2.

Чтобы подтвердить, что виртуальная машина перемещена на другой узел Hyper-V и рабочая нагрузка не прерывается, вводиться следующую команду:

­ get-VM VM1 | FT Name, Path, State.

Перемещение виртуальной машины с хранилищем с прямым подключением и миграция хранилища этой виртуальной машины на файловый ресурс общего доступа SMB. Чтобы подтвердить, что виртуальная машина с локальным хранилищем работает на узле Hyper-V, вводиться следующие команды:

­ get-VM VM1 | FT Name, Path, State;

­ get-VMHardDiskDrive VM1 | FT VMName, Path.

Для переноса хранилища виртуальной машины с одного файлового ресурса общего доступа SMB на другой укажите файловый ресурс общего доступа SMB на этом шаге. Запустите в операционной системе виртуальной машины длительный процесс, например копирование большого числа файлов. Чтобы переместить виртуальную машину на другой узел Hyper-V и хранилище на файловый ресурс общего доступа SMB, введите следующую команду:

­ move-VM -Name VM1 -DestinationHost HV2 -DestinationStoragePath \\FST\VMS;

Чтобы подтвердить, что виртуальная машина перемещена на другой узел Hyper-V с использованием файлового ресурса общего доступа SMB и рабочая нагрузка не прерывается, вводиться следующие команды:

­ get-VM VM1 | FT Name, Path, State;

­ get-VMHardDiskDrive VM1 | FT VMName, Path.

Устранение неполадок

В этом разделе рассмотрены некоторые примеры типичных неполадок, встречающихся при использовании Hyper-V через SMB.

Проверка и исправление проблем с разрешениями.

Могут возникать проблемы с разрешениями, связанные с доступом к файловому ресурсу SMB или папке NTFS, в которой был создан файловый ресурс. Чтобы проверить разрешения на файловом ресурсе общего доступа SMB (где VMS1 -- файловый ресурс и X:\VMS -- папка NTFS), вводиться следующую команду:

­ get-SmbShareAccess -Name VMS1 -Path X:\VMS.

Если конкретная учетная запись компьютера определена как отсутствующая в разрешениях, то исправить проблему можно добавлением учетной записи как на файловый ресурс общего доступа, так и в папку. Чтобы исправить разрешения, вводиться следующую команду:

­ grant-SmbShareAccess -Name VMS1 -AccountName Domain\HV3$ -AccessRight Full;

­ (Get-SmbShare VMS1).PresetPathAcl | Set-Acl.

Использование ограниченного делегирования.

Если диспетчер Hyper-V на компьютере под управлением Windows Server 2012 используется для управления виртуальными машинами на другом компьютере под управлением Windows Server 2012, может возникнуть сообщение об ошибке: "Отказано в доступе к файловому ресурсу общего доступа SMB". Обычно это связано с тем, что для доступа к удаленному общему ресурсу на другом компьютере необходимы права делегирования. Эта функция безопасности не позволяет пользователю получить доступ к компьютеру в вашей сети, чтобы выполнять действия на других компьютерах в сети. Устранить проблему можно двумя способами:

Вариант 1. Использование удаленного рабочего стола.

Используйте удаленный рабочий стол, чтобы получить доступ к компьютеру и запустить диспетчер Hyper-V непосредственно на этом компьютере.

Вариант 2. Настройка ограниченного делегирования.

Чтобы разрешить делегирование, можно изменить свойства учетной записи компьютера в оснастке "Active Directory -- пользователи и компьютеры". Если включено ограниченное делегирование, можно использовать определенный удаленный файловый ресурс общего доступа SMB, не выполняя действия на каком-либо компьютере. Ограниченное делегирование сообщает оснастке "Active Directory -- пользователи и компьютеры", что разрешено повторное предоставление доступа к ресурсам между двумя компьютерами (в данном случае сервером Hyper-V и файловым сервером SMB) и для определенных служб (в данном случае SMB).

Чтобы настроить ограниченное делегирование, для каждого сервера, на котором выполняется Hyper-V, выполните следующие действия.

Настройка ограниченного делегирования. В оснастке "Active Directory -- пользователи и компьютеры" нажать «Свойства» для учетной записи компьютера и затем откройте вкладку «Делегирование». Необходимо выберать «Доверять этому компьютеру делегирование только указанных служб» и «Использовать только Kerberos», нажать «Добавить» и предоставьте имя файлового сервера SMB (или «точку доступа к кластеру» для масштабируемого файлового сервера). Выбераеться служба «CIFS». Обратите внимание, что SMB ранее назывался общей файловой системой Интернета (Common Internet File System, CIFS). На файловом ресурсе общего доступа SMB, созданного для виртуальных машин, добавьте разрешения на полный доступ для администраторов.

После установки и настройки наступает время настроить защита от вредоносного программного кода - средствами Касперского. Установка ПО происходить в обичном режиме kaspersky security center версии 10.

Также устанавливаеться ПО защита информации от несанкционированного доступа secret net.

Так же паралельно устанавливаеться программное обеспечение программа для защиты и контроля доступа в сеть Интернета (сетевой экран) и настраиваться по условиям которое необходимо. В данном дипломном работе содержить приложения о доступе сети Интернет.

ЗАКЛЮЧЕНИЕ

Основным результатом дипломной работы является: рациональное использование современных достижений в области компьютерной техники и иных высоких технологий, новейших средств коммуникации, программного обеспечения и практического опыта, решение задач по эффективной организации информационного процесса для снижения затрат времени, труда, энергии и материальных ресурсов во всех сферах человеческой жизни и современного общества.

В дипломной работе был исследован механизм оптимизации рабочего процесса вычислительной техники и программного продукта, сохранности информации и её защиты от несанкционированного доступа для стабильной работы всего учреждения на примере МБУ г.Сочи «ЦГТ».

СПИСОК ИСПОЛЬЗОВАННЫХ ИСТОЧНИКОВ

1 Стрельцов А.А. Обеспечение информационной безопасности России/ Под ред. В.А. Садовничего и В.П. Шерстюка - М.:МЦНМО, 2002. - 296с.

2 Попов Л.И. Основные принципы повышения эффективности реализации мероприятий по комплексной защите информации. «Альтпресс», 2009. -512c.

3 Р 50-34.119-90. Рекомендации. Информационная технология. Комплекс стандартов на автоматизированные системы. Архитектура локальных вычислительных сетей в системах промышленной автоматизации. Общие положения.

4 Хвощ С.Т. Организация последовательных мультиплексных каналов систем автоматического управления - Л.: Машиностроение, 1989. - 142с.

5 Макин Дж. К., Развертывание и настройка Windows Server® 20012. Учебный курс Microsoft Пер. с англ. -- М. Издательство «Русская Редакция», 2012. -- 640 стр.

6 Сергея Озерова - Технологии виртуализации: вчера, сегодня, завтра. -2014. - 85 c.

7 Анин Б. Защита компьютерной информации., Санкт - Петербург, 2007., 368 с.

8 Островский С.П., Информатика. Компьютерные вирусы., 2010., 121 с.

ПРИЛОЖЕНИЕ

Инструкция по организации доступа в помещения, в которых размещены технические средства ввода, обработки, хранения и передачи данных

1 Общие положения

1) Инструкция по организации доступа в помещения, в которых размещены технические средства ввода, обработки, хранения и передачи данных (далее - Инструкция) определяет основные требования и устанавливает порядок организации доступа в помещения.

2) Требования настоящей Инструкции обязательны для исполнения всеми работниками структурных подразделений, которым для выполнения своих должностных обязанностей необходимо присутствовать в помещениях с размещенными техническими средствами ввода, обработки, хранения и передачи данных, либо которым по роду деятельности требуется право постоянного доступа в такие помещения.

3) Общий порядок доступа в помещения, порядок вскрытия и закрытия помещений регламентируется Правилами по организации пропускного и внутриобъектового режимов.

4) Работники структурных подразделений, задействованные в технологических процессах, должны быть ознакомлены с требованиями настоящей Инструкции и несут персональную ответственность за соблюдение порядка доступа в помещения.

5) Контроль соблюдения порядка доступа в помещения в рабочее время возлагается на руководителя или лица им уполномоченного.

6) В нерабочее время, выходные и праздничные дни охрана помещений обеспечивается инженерно-техническими средствами охраны и сотрудниками подразделения охраны.

7) Ответственность за организацию доступа в помещения согласно требований настоящей Инструкции возлагается на руководителя структурного или подведомственного подразделения.

8) Контроль соблюдения требований настоящей Инструкции осуществляет АИБ, в зону ответственности которого входят СВТ, размещенные в помещении;

2 Требования к помещениям

1) Оборудование помещений, в которых размещаются СВТ, технические средства, АРМ, должно обеспечивать сохранность технических средств и информации, исключая возможность бесконтрольного проникновения в помещения. Для предотвращения несанкционированного ознакомления с обрабатываемой информацией СВТ должны располагаться в помещении таким образом, чтобы исключить возможность просмотра информации с экранов мониторов, либо печатных документов лицами, не допущенными к работе с СВТ.

2) Помещения должны оборудоваться охранной и пожарной сигнализацией. По окончании рабочего дня помещения должны опечатываться и сдаваться под охрану.

3) Окна помещений должны быть оборудованы жалюзи или шторами. При расположении помещений на первом или последнем этажах, а также при наличии рядом с окнами балконов, пожарных лестниц и т.п., окна помещений должны быть оборудованы внутренними (раздвижными, распашными) решетками.

4) Входная дверь помещения должна быть оборудована замками, гарантирующими надежную защиту помещения в нерабочее время. Для контроля за доступом в помещение в рабочее время, на входной двери должны быть установлены автоматические замки (электронные, кодовые и т.п.) или другие средства систем контроля и управления доступом.

5) На каждый замок входной двери помещения должно быть не менее 2-х экземпляров ключей, один из которых должен находиться у работника, имеющего право самостоятельно находиться в помещении (в нерабочее время - на посту охраны в опечатанном пенале или в тубусе электронного сейфа), а второй (резервный) комплект ключей в опечатанном пенале в АИБ или на посту охраны.

6) Для хранения носителей ключевой информации, документов и машинных носителей, а также документов и отчуждаемых машинных носителей, содержащих информацию ограниченного доступа, в помещениях устанавливаются сейфы (металлические шкафы), запираемые на ключ. Сейфы (металлические шкафы), в которых осуществляется хранение носителей ключевой информации и машинных носителей, должны быть оборудованы системой опечатывания. Вторые экземпляры ключей от сейфов (металлических шкафов) должны храниться у руководителя или АИБ, который не должен иметь права опечатывания сейфов (металлических шкафов) других работников.

3 Порядок доступа в помещения

1) Перечень лиц, имеющих право самостоятельно находиться в помещении, определяется руководителем отдела и оформляется в виде списка (рисунок 4), который утверждается руководителем, по согласованию АИБ.

Рисунок 4 - перечень лиц, имеющих право находиться в помещении.

В список включаются только те работники, чье право самостоятельного нахождения в помещении обусловлено исполнением их должностных обязанностей. Список размещается на внутренней стороне входной двери помещения или в непосредственной близости от нее.

2) Доступ в помещение работников, не включенных в список, а также вспомогательного и обслуживающего персонала (уборщиц, электромонтеров и т.п.) осуществляется только в сопровождении и под контролем работника, имеющего право самостоятельно находиться в помещении.

3) Работы по техническому обслуживанию СВТ, внесению изменений в конфигурацию аппаратного обеспечения СВТ, внесению изменений в состав системного и прикладного ПО, настройке аппаратного и ПО СВТ должны быть предварительно согласованы с руководителем и АИБ. Работы должны проводиться в присутствии АИБ.

4) Особенности доступа в помещения в рабочее и нерабочее время пожарных расчетов, аварийных бригад, медицинских работников бригад скорой помощи, а также работников прокуратуры Российской Федерации, сотрудников министерств и Федеральных служб Российской Федерации регламентируются Правилами организации пропускного и внутриобъектового режимов.

5) В случае если помещение, входная дверь которого оборудована системой контроля и управления доступом, имеет блок-секции, при этом внутренние двери между блок-секциями не оборудованы системой контроля и управления доступом, требования настоящей Инструкции распространяются на все блок-секции помещения, в том числе на блок-секции, в которых отсутствуют СВТ.

6) В случае если входная дверь помещения не оборудована автоматическим замком (электронным, кодовым и т.п.) или системой контроля и управления доступом (в связи с ремонтом замка или системы, на период дооснащения и т.п.) контроль доступа в помещение необходимо обеспечивать дополнительными организационными мерами.

7.1) В рабочее время работник, имеющий право самостоятельно находиться в помещении и покидающий его последним, обязан закрыть входную дверь помещения на замок.

7.2) Ключ от входной двери помещения может быть передан только работнику, включенному в список.

7.3) АИБ не менее одного раза в месяц без предварительного уведомления контролирует исполнение работниками требований настоящей Инструкции. В случае обнаружения фактов оставления помещения с незапертой входной дверью или фактов самостоятельного нахождения в помещении работников, не включенных в список, АИБ незамедлительно сообщает руководителю.

8) Ответственность за выполнение работниками порядка доступа в помещение несет руководитель отдела.

4 Порядок вскрытия (закрытия) помещения

4.1) По окончании рабочего дня работник, имеющий право самостоятельно находиться в помещении согласно утвержденному списку, обязан:

-убрать носители ключевой информации, документы и отчуждаемые машинные носители, содержащие информацию ограниченного доступа, в сейф (металлический шкаф), закрыть и опечатать сейф (металлический шкаф) (опечатывание применяется в случае хранения носителей ключевой информации и машинных носителей);

-закрыть окна, форточки;

-отключить технические средства (кроме постоянно работающих технических средств) и электроприборы от сети, выключить освещение;

-закрыть и замкнуть входную дверь помещения (при наличии неавтоматического замка, либо в случае если автоматический замок позволяет дополнительно замкнуть дверь помещения);

-опечатать входную дверь помещения;

-сдать помещение на охрану.

4.2) При вскрытии помещения работник, имеющий право самостоятельно находиться в помещении согласно утвержденному списку, обязан:

-снять помещение с охраны;

-внешним осмотром убедиться в целостности двери, замка, системы опечатывания, целостности и легитимности оттиска печати;

-открыть дверь и осмотреть помещение, проверить наличие, целостность и легитимность оттиска печати на сейфе (металлическом шкафу).

4.3) При обнаружении признаков взлома двери, невозможности открытия запирающих устройств входной двери, а также нарушения целостности или несоответствия оттиска печати на двери помещения работник обязан, не вскрывая помещение, доложить об имеющемся факте руководителю и АИБ. Дальнейшие действия работников регламентируются Правилами по организации пропускного и внутриобъектового режимов.

Порядок организации и ведения парольной защиты в информационно-телекоммуникационной систем

1 Общие положения

1) Порядок определяет:

_ требования по обеспечению информационной безопасности в части парольной защиты в структурных и подведомственных подразделениях с целью защиты от несанкционированного доступа, изменения, копирования, модификации, блокирования или уничтожения информации;

_ ответственность и обязанности работников структурных и подведомственных подразделений в части организации и ведения системы парольной защиты.

Если требования по организации парольной защиты не оговорены в эксплуатационной документации на специализированное технологическое оборудование, то необходимо руководствоваться требованиями настоящего Порядка для контура безопасности внутренней информации.

2) Требования по обеспечению информационной безопасности в части парольной защиты автоматизированных систем, обрабатывающих информацию, составляющую государственную тайну, в настоящем Порядке не рассматриваются.

3) Требования по организации парольной защиты, определенные Порядком, распространяются на все субъекты доступа и ресурсы доступа.

4) Порядок разработан в соответствии со следующими документами:

Положение «Об обеспечении информационной безопасности при физическом и логическом доступе к объектам и ресурсам информационно-телекоммуникационной системы».

5) Требования Порядка должны быть доведены под роспись до работников всех подразделений выполняющих свои должностные обязанности с использованием СВТ.

6) В случае документальной фиксации в актах отсутствия технической возможности выполнения отдельных требований настоящего Порядка, могут применяться иные требования.

2 Область применения

1) Объектами системы парольной защиты (защищаемыми объектами и ресурсами), включённые во все контуры безопасности, за исключением контура безопасности ключевой информации.

2) Субъекты доступа разделяются на следующие категории:

пользователи (далее - пользователи) - субъекты доступа, осуществляющие доступ к объектам и (или) ресурсам доступа с целью использования услуг, предоставляемых в рамках реализации платежных технологических процессов и информационных технологических процессов. К категории пользователей также относятся субъекты доступа, осуществляющие доступ к объектам и (или) ресурсам доступа на этапе их создания и (или) модернизации в качестве потребителей услуг;

эксплуатационный персонал (далее - эксплуатационный персонал) - субъекты доступа, которые решают задачи обеспечения эксплуатации и администрирования объектов и (или) ресурсов доступа, для которых необходимо осуществление логического доступа, включая задачи, связанные с эксплуатацией и администрированием операционных систем, автоматизированных систем, систем управления базами данных, сетевого оборудования, прикладных программных комплексов, а также задачи, связанные с эксплуатацией и администрированием средств и систем обеспечения ИБ. К эксплуатационному персоналу также относятся субъекты доступа, осуществляющие доступ к объектам и (или) ресурсам доступа на этапе их создания и (или) модернизации для обеспечения их эксплуатации и (или) администрирования;

технический персонал (далее - технический персонал) - субъекты доступа, решающие задачи, связанные с обеспечением эксплуатации объектов доступа, для выполнения которых не требуется осуществление логического доступа;

вспомогательный персонал (далее - вспомогательный персонал) - субъекты доступа, выполняющие хозяйственную деятельность и осуществляющие физический доступ к объектам доступа без цели их непосредственного использования;

программные сервисы - процессы выполнения программ, осуществляющие логический доступ к ресурсам доступа, в том числе на этапе создания и (или) модернизации указанных ресурсов.

3 Основные принципы системы парольной защиты

1) Средствами парольной защиты осуществляется аутентификация персонала (субъектов доступа) при попытке получить доступ к объектам и (или) ресурсам доступа.

2) В качестве базовых методов защиты объектов и (или) ресурсов доступа используются идентификация и аутентификация.

3) Выделяются следующие типы учетных записей, используемых субъектами доступа для организации логического доступа:

пользовательская учетная запись - запись, используемая пользователями для осуществления логического доступа;

операторская учетная запись - запись, используемая эксплуатационным персоналом для осуществления логического доступа без предоставления всех прав доступа (неограниченных прав доступа) в пределах ресурса доступа, к которому предоставляется логический доступ, в том числе учетная запись администратора, у которого отсутствуют неограниченные права доступа, у которого отсутствуют неограниченные права доступа;

административная учетная запись - запись, используемая эксплуатационным персоналом для осуществления доступа с предоставлением всех прав доступа (неограниченных прав доступа) в пределах ресурса доступа, к которому предоставляется логический доступ, в том числе с предоставлением возможности изменения электронных журналов выполненных операций и изменения настроек технических средств, ведения электронных журналов выполненных операций;

техническая учетная запись - запись, в том числе встроенная, используемая программными сервисами.

4) Логический доступ пользователей и эксплуатационного персонала осуществляется с использованием уникальных учетных записей, за исключением случаев необходимости осуществления непрерывного логического доступа (например, посменная работа), при которых возможно использование одной учетной записи и единых аутентификационных данных несколькими субъектами доступа с обязательным использованием дополнительных мер защиты (например, журналов передачи смены), которые обеспечивают регистрацию начала и завершения периода осуществления логического доступа каждым из субъектов доступа.

5) Выделяются следующие категории паролей, используемые для организации логического доступа:

пользовательские пароли - пароли, используемые пользователями для осуществления логического доступа с использованием пользовательской учетной записи;

операторские пароли - пароли, используемые эксплуатационным персоналом для осуществления логического доступа с использованием операторской учетной записи;

административные пароли - пароли, используемые эксплуатационным персоналом для осуществления логического доступа с использованием административной учетной записи;

технические пароли - пароли, используемые, при необходимости, для организации логического доступа программных сервисов с использованием технической учетной записи.

Перечень административных и технических учётных записей формируется в АИБ. В указанный Перечень должны быть включены учетные записи администраторов доменов ЛВС, активного сетевого оборудования, учётные записи администраторов СУБД и другие учётные записи. На базовом уровне в перечне должна быть отражена следующая информация: наименование объекта и ресурса доступа; наименование подразделения, ответственного за сопровождение автоматизированной системы или технического средства; тип учетной записи; ФИО лица (лиц), владеющего учетной записью.

6) Логический доступ эксплуатационного персонала и пользователей к ресурсам доступа, включенным в контур безопасности сети Интернет, должен осуществляться с использованием мер защиты, реализующих однофакторную аутентификацию.

Логический доступ эксплуатационного персонала и пользователей к ресурсам доступа, включенным в контур безопасности ИОД, должен осуществляться с использованием мер защиты, реализующих многофакторную аутентификацию или однофакторную аутентификацию, где в качестве фактора аутентификации используется персональный временный пароль, который может быть использован только в течение одного рабочего дня.

7) Для каждого субъекта доступа должны быть определены и назначены необходимые и достаточные полномочия доступа для исполнения его должностных обязанностей.

8) Допускается использование единого пароля для организации доступа субъекта доступа к нескольким ресурсам доступа, входящим в один контур безопасности.

4 Порядок организации системы парольной защиты

Каждый субъект доступа обязан знать процедуру смены пароля в эксплуатируемых им объектах доступа.

АИБ подразделения/технологического участка или системы в зоне ответственности в части организации и ведения системы парольной защиты осуществляет следующие мероприятия:

контролирует исполнение требований по организации системы парольной защиты пользователями АС, эксплуатируемых в зоне его ответственности;

организует формирование субъектами доступа паролей для АС, эксплуатируемых в зоне его ответственности;

проводит мероприятия по организации плановой и внеплановой смены паролей в зоне своей ответственности;

участвует в проведении служебных расследований по фактам нарушений требований системы парольной защиты;

готовит предложения по совершенствованию системы парольной защиты.

Установка пароля на BIOS (BIOS Setup) ПЭВМ и серверах, и локального администратора ОС ПЭВМ проводится АИБ. Установка пароля BIOS на включение (на загрузку) проводится пользователем, ответственным за эксплуатацию СВТ. Требования по структуре данных паролей определены в подпунктах 5.1.8 и 5.1.9. Пароль на загрузку BIOS для СВТ, оборудованных СЗИ от НСД, может не устанавливаться.

Организация использования аутентификационных данных должна предусматривать обеспечение защиты от несанкционированного доступа к ним любых категорий субъектов доступа. В частности:

аутентификационные данные в открытом виде не следует хранить в СВТ и передавать по каналам и линиям связи;

субъекты доступа не должны записывать известные им пароли в местах, доступных другим лицам, за исключением случаев, предусмотренных требованиями настоящего Положения;

запрещено использовать технологию аутентификации с сохранением паролей на СВТ (например, технологий автозаполнения полей для ввода паролей, хранение паролей в открытом виде в конфигурационных файлах);

запрещено передавать аутентификационные данные куда-либо кроме средств или систем аутентификации;

при использовании персональных временных паролей в качестве фактора аутентификации, продолжительность осуществления логического доступа не может превышать один рабочий день;

не должны существовать учетные записи с незаданными аутентификационными данными или учетные записи с настройками для осуществления аутентификации, заданными по умолчанию разработчиком ресурса доступа.

Ответственность за правильность формирования пароля возлагается на пользователя, если свой пароль он формирует сам.

Количество последовательных попыток неправильного ввода пароля должно ограничиваться для объектов и ресурсов доступа, подключенных к информационному сегменту ЛВС - десятью попытками, для объектов и ресурсов ограниченного доступа - тремя попытками. При превышении указанного количества попыток ввода встроенные в АС средства защиты должны блокировать возможность дальнейшего ввода пароля (включая правильный пароль) до вмешательства АИБ подразделения/технологического участка (при необходимости, администратора системы и/или АИБ системы).

Уведомление АИБ о факте блокировки учетной записи работника должно осуществляться руководителем подразделения посредством письма с указанием причины возникновении.

В случае необходимости сброса пароля пользователя осуществляется вышеуказанная процедура.

В случае блокировки учетной записи пользователя во временных рамках установленного режима работы, разблокирование учетных записей осуществляется АИБ после выяснения причин блокирования и получения подтверждения, что блокирование учетной записи произошло в результате действий легального субъекта доступа.

В случае, когда работник покидает свое рабочее место, он обязан принять меры к ограничению доступа других лиц к обрабатываемой информации (выйти из системы, заблокировать СВТ, вызвав экранную заставку с предложением о вводе пароля и так далее).

5 Порядок ведения системы парольной защиты

1) Требования к формированию паролей и их копий.

1.1) Административный и технический пароль должен содержать не менее 12 символов.

Исключение составляет административный пароль для ОС ПЭВМ пользователей, в том числе пароль на BIOS, а также для ПЭВМ (АРМ) и серверов, для которых нормативной или эксплуатационной документацией на АС установлены иные требования к формированию паролей и их копий.

1.2) Длина пользовательских и операторских паролей для всех объектов и ресурсов доступа должна составлять не менее 8 символов.

1.3) Среди символов, составляющих пароль, обязательно должны присутствовать:

буквы в верхнем регистре (ПРОПИСНАЯ);

буквы в нижнем регистре (строчная);

специальные символы;

цифры.

Пароль не должен включать в себя легко вычисляемые сочетания символов (например, имена, фамилии, наименования ЛВС), общепринятые сокращения (например, ПЭВМ, ЛВС, USER, SYSOP), а также пробелы.

При наличии технической возможности настройками ПО и/или технических средств устанавливаются требования по сложности, минимальной длине и необходимости отличия от предыдущего значения формируемых пользовательских паролей.

1.4) При смене пароля новое значение должно отличаться от предыдущего не менее чем в половине позиций.

1.5) Для обеспечения бесперебойного функционирования ИТС, для всех административных и технических учетных записей оформляется резервная копия паролей в соответствии с приложением 3 (рисунок 5). Ведение резервных копий паролей для операторских и пользовательских учетных записей обязательно.

Рисунок 5- приложение 3

Резервная копия паролей оформляется на двух сторонах листа. При заполнении всех строк резервной копий паролей пользователь оформляет новый лист резервной копий паролей и вкладывает его в конверт, оформленный в соответствии с требованиями настоящего Порядка.

1.6) В резервной копии паролей обязательно заполняются все поля, кроме поля «Примечание». В поле «Примечание» может указываться любая дополнительная информация.

1.7) Перед передачей резервной копий паролей на хранение помещает ее в конверт. Для предотвращения компрометации парольной информации путем просвечивания конверта резервная копия паролей должна быть сложена так, чтобы исключить возможность прочтения записей (например, в два раза).

Опечатанный конверт с резервной копией паролей передает на хранение в день смены пароля. Правила опечатывания конверта представлены в приложении 5 (рисунок 6).

Рисунок 6 - приложение 5

Порядок создания, выдачи с хранения, принятия на хранение и уничтожения резервной копии паролей описан в приложении 2.

1.8) На конверте с резервной копией паролей административных и технических паролей делается надпись: «Вложение: Резервная копия паролей, Дата, Тип учетной записи: (административный или технический), Сведения о владельце идентификационной информации: Фамилия и инициалы, Наименование системы, Наименование АРМ».

1.9) Для опечатывания конвертов с резервной копией паролей могут использоваться печать (приложение 5). В целях усиления мер защиты для опечатывания конвертов с резервными копиями паролей также может применяться оклеивание листом или листами с оттиском печати на месте склеивания конверта. Конверт должен быть опечатан таким образом, чтобы обеспечить невозможность его вскрытия без нарушения целостности печати или листа с оттиском печати.

1.10) Резервная копия паролей должна храниться в отдельном запечатанном конверте в сейфе или запираемом шкафу АИБ (либо лица, им уполномоченного). В случи увольнения или при уходе АИБ в отпуск резервные копии паролей передаются по акту приему передачи уполномоченному лицу.

Порядок хранения резервных копий паролей субъектов доступа изложен в подпунктах 5.1.2. - 5.1.4.

2) Смена паролей

2.1) Полная плановая смена паролей всех типов должна производиться в соответствии с нормативами периодичности смены паролей, приведёнными в приложении 1 (рисунок 5).

При плановой смене пароля АИБ (либо лицо, им уполномоченное) выдает работникам их резервные копии паролей. Факт выдачи, а также причины выдачи резервной копии паролей фиксируются в Журнале учета движения резервных копий паролей. Работники вскрывают конверт с резервными копиями паролей, осуществляют смену паролей, дописывают новые пароли в резервную копию паролей и передают его на хранение. Факт получения на хранение резервной копий паролей фиксируются в Журнале учета движения резервных копий паролей.

Данная деятельность должна быть реализована в течение одного рабочего дня.

2.2) Начальник отдела по персоналу (либо лицо, им уполномоченное) обязан информировать АИБ обо всех работниках, у которых изменились полномочия доступа (увольнение, переход в другое подразделение и тому подобное) к информационным ресурсам и отделений, с учетом подпунктов 5.2.3 и 5.2.4 настоящего документа. Информирование следует осуществлять заблаговременно (за два рабочих дня до фактического изменения полномочий работника).

2.3) В случае прекращения полномочий по доступу к информационным ресурсам АС работника, производится отключение учетной записи пользователя.

Также в случае длительного отсутствия (предполагаемый срок отсутствия более 35 рабочих дней) работника на рабочем месте (для случаев, когда в соответствии с законодательством Российской Федерации за субъектом доступа сохраняется место работы) по решению руководителя структурного подразделения, в штат которого входит упомянутый субъект доступа, осуществляется блокирование соответствующих доменных учетных записей пользователя. В случае временного отсутствия необходимости использования учетной записи для осуществления логического доступа, по решению руководителя структурного подразделения, в штат которого входит соответствующий субъект доступа, осуществляется блокирование указанной учетной записи.