Обеспечение информационной безопасности информационных систем различного класса и назначения

Размещено на http://www.allbest.ru/

Размещено на http://www.allbest.ru/

Оглавление

Оглавление

1. Введение

1.1 Термины и определения

1.2 Исходные данные

2. Класс автоматизированной информационной системы

2.1 Определение класса автоматизированной системы

2.2 Требования к классу защищённости 1В

3. Выбор средств защиты информации

4. Настройки подсистемы управления доступом СЗИ НСД

5. Разграничение доступа

5.1 Общие сведения

5.2 Мандатное разграничение доступа

5.3 Дискреционное разграничение доступа

6. Регистрация событий

7. Обеспечение целостности

8. Заключение

9. Список источников информации

1. Введение

Информация, составляющая Государственную тайну, очень важна. Ей уделяется особое внимание, так как её разглашение, утечка, либо утрата могут нанести непоправимый вред безопасности того или иного государства. Безусловно, когда речь идёт о защите подобной информации, необходимо уделить немалое внимание такому критерию как человеческий фактор, ведь сколь секретными бы ни были данные, работать с ними приходится простым гражданам. На них лежит немалая ответственность за сохранение и нераспространение секретной информации. На работодателе же лежит ответственность за организацию деятельности своих сотрудников, имеющих дело с ГТ.

Согласно действующему законодательству, работодатель обязан оформлять своим сотрудникам, которым в ходе их деятельности приходится использовать информацию под грифом «секретно», допуск по определённой форме. Без допуска необходимого уровня сотрудник не сможет получить доступ к необходимой ему для работы секретной информации.

Основным документом, регулирующим отношения, возникающие в связи с отнесением сведений к государственной тайне, их засекречиванием или рассекречиванием и защитой в интересах обеспечения безопасности Российской Федерации, является Закон РФ от 21 июля 1993 года № 5485-1 «О государственной тайне». Устанавливается три степени секретности информации, относящейся к ГТ, и присваиваются соответствующие грифы секретности: «особой важности», «совершенно секретно» и «секретно». Эти данные, в случае их неправомерного использования, могут нанести вред не просто отдельно взятой организации или физическому лицу, но безопасности всего государства.

1.1 Термины и определения

Прежде всего, необходимо дать некоторые основные определения:

· Государственная тайна (ГТ) - это защищаемые государством сведения в области его военной, внешнеполитической, экономической, разведывательной, контрразведывательной и оперативно-розыскной деятельности, распространение которых может нанести ущерб безопасности Российской Федерации.

· Носители сведений, составляющих государственную тайну, - это материальные объекты, в том числе физические поля, в которых сведения, составляющие государственную тайну, находят свое отображение в виде символов, образов, сигналов, технических решений и процессов.

· Допуск к ГТ - это процедура оформления права граждан на доступ к сведениям, составляющим государственную тайну, а предприятий, учреждений и организаций - на проведение работ с использованием таких сведений.

· Доступ к сведениям, составляющим ГТ, - это санкционированное полномочным должностным лицом ознакомление конкретного лица со сведениями, составляющими государственную тайну.

· Гриф секретности - это реквизиты, свидетельствующие о степени секретности сведений, содержащихся в их носителе, проставляемые на самом носителе и (или) в сопроводительной документации на него.

· Средства защиты информации (СЗИ) - это технические, криптографические, программные и другие средства, предназначенные для защиты сведений, составляющих государственную тайну, средства, в которых они реализованы, а также средства контроля эффективности защиты информации.

1.2 Исходные данные

Целью данной работы является изучение и выбор СЗИ для автоматизированной системы (АС), оперирующей секретными сведениями, исходя из нижеприведённых вводных:

№ варианта	Варианты по классам защищенности АС и ИСПДн
	Характеристика пользователей	Характеристика информации	Кол-во лиц обрабатываемых в ИСПДн	Выход в публичную сеть	Усилить защиту от угрозы
8	80 пользователей с разными правами	Секретно		Есть	хищения ЭВМ

Для этого необходимо:

1) определить класс информационной системы;

2) сформулировать требования к классу;

3) выбрать СЗИ;

4) рассмотреть настройку выбранного СЗИ.

2. Класс автоматизированной информационной системы

Классификация АС устанавливается Руководящим документом (РД) Федеральной службы по техническому и экспортному контролю (ФСТЭК) России, а именно: Решением председателя Гостехкомиссии России от 30 марта 1992 года «Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации».

Согласно этому документу АС делятся на девять классов, собранных в три группы:

3я группа: классы 3Б, 3А;

2я группа: классы 2Б, 2А;

1я группа: классы 1Д, 1Г, 1В, 1Б, 1А.

2.1 Определение класса автоматизированной системы

Исходя из вводных данных определяем, что данная АС относится к первой группе, так как в системе работают 80 пользователей с разными правами доступа. Исходя из того, что обрабатывается информация под грифом «секретно», определяем класс автоматизированной системы - 1В.

Требования к АС первой группы:

Подсистемы и требования	Классы
	1Д	1Г	1В	1Б	1А
1. Подсистема управления доступом
1.1. Идентификация, проверка подлинности и контроль доступа субъектов:
в систему	+	+	+	+	+
к терминалам, ЭВМ, узлам сети ЭВМ, каналам связи, внешним устройствам ЭВМ	-	+	+	+	+
к программам	-	+	+	+	+
к томам, каталогам, файлам, записям, полям записей	-	+	+	+	+
1.2. Управление потоками информации	-	-	+	+	+
2. Подсистема регистрации и учета
2.1. Регистрация и учет:
входа (выхода) субъектов доступа в (из) систему (узел сети)	+	+	+	+	+
выдачи печатных (графических) выходных документов	-	+	+	+	+
запуска (завершения) программ и процессов (заданий, задач)	-	+	+	+	+
доступа программ субъектов доступа к защищаемым файлам, включая их создание и удаление, передачу по линиям и каналам связи	-	+	+	+	+
доступа программ субъектов доступа к терминалам, ЭВМ, узлам сети ЭВМ, каналам связи, внешним устройствам ЭВМ, программам, томам, каталогам, файлам, записям, полям записей	-	+	+	+	+
изменения полномочий субъектов доступа	-	-	+	+	+
создаваемых защищаемых объектов доступа	-	-	+	+	+
2.2. Учет носителей информации	+	+	+	+	+
2.3. Очистка (обнуление, обезличивание) освобождаемых областей оперативной памяти ЭВМ и внешних накопителей	-	+	+	+	+
2.4. Сигнализация попыток нарушения защиты	-	-	+	+	+
3. Криптографическая подсистема
3.1. Шифрование конфиденциальной информации	-	-	-	+	+
3.2. Шифрование информации, принадлежащей различным субъектам доступа (группам субъектов) на разных ключах	-	-	-	-	+
3.3. Использование аттестованных (сертифицированных) криптографических средств	-	-	-	+	+
4. Подсистема обеспечения целостности
4.1. Обеспечение целостности программных средств и обрабатываемой информации	+	+	+	+	+
4.2. Физическая охрана средств вычислительной техники и носителей информации	+	+	+	+	+
4.3. Наличие администратора (службы) защиты информации в АС	-	-	+	+	+
4.4. Периодическое тестирование СЗИ НСД	+	+	+	+	+
4.5. Наличие средств восстановления СЗИ НСД	+	+	+	+	+
4.6. Использование сертифицированных средств защиты	-	-	+	+	+

2.2 Требования к классу защищённости 1В

В подсистеме управления доступом:

- должны осуществляться идентификация и проверка подлинности субъектов доступа при входе в систему по идентификатору (коду) и паролю условно-постоянного действия длиной не менее шести буквенно-цифровых символов;

- должна осуществляться идентификация терминалов, ЭВМ, узлов сети ЭВМ, каналов связи, внешних устройств ЭВМ по логическим именам и (или) адресам;

- должна осуществляться идентификация программ, томов, каталогов, файлов, записей, полей записей по именам;

- должен осуществляться контроль доступа субъектов к защищаемым ресурсам в соответствии с матрицей доступа;

- должно осуществляться управление потоками информации с помощью меток конфиденциальности. При этом уровень конфиденциальности накопителей должен быть не ниже уровня конфиденциальности записываемой на него информации.

В подсистеме регистрации и учета:

- должна осуществляться регистрация входа (выхода) субъектов доступа в систему (из системы), либо регистрация загрузки и инициализации операционной системы и ее программного останова. Регистрация выхода из системы или останова не проводится в моменты аппаратурного отключения АС. В параметрах регистрации указываются:

- дата и время входа (выхода) субъекта доступа в систему (из системы) или загрузки (останова) системы;

- результат попытки входа: успешная или неуспешная - несанкционированная;

- идентификатор (код или фамилия) субъекта, предъявленный при попытке доступа;

- код или пароль, предъявленный при неуспешной попытке;

- должна осуществляться регистрация выдачи печатных (графических) документов на "твердую" копию. Выдача должна сопровождаться автоматической маркировкой каждого листа (страницы) документа его последовательным номером и учетными реквизитами АС с указанием на последнем листе документа общего количества листов (страниц). В параметрах регистрации указываются:

- дата и время выдачи (обращение к подсистеме вывода);

- спецификация устройства выдачи [логическое имя (номер) внешнего устройства];

- краткое содержание (наименование, вид, шифр, код) и уровень конфиденциальности документа;

- идентификатор субъекта доступа, запросившего документ;

- объем фактически выданного документа (количество страниц, листов, копий) и результат выдачи: успешный (весь объем), неуспешный;

- должна осуществляться регистрация запуска (завершения) программ и процессов (заданий, задач), предназначенных для обработки защищаемых файлов. В параметрах регистрации указываются:

- дата и время запуска;

- имя (идентификатор) программы (процесса, задания);

- идентификатор субъекта доступа, запросившего программу (процесс, задание);

- результат запуска (успешный, неуспешный - несанкционированный);

- должна осуществляться регистрация попыток доступа программных средств (программ, процессов, задач, заданий) к защищаемым файлам. В параметрах регистрации указываются:

- дата и время попытки доступа к защищаемому файлу с указанием ее результата: успешная, неуспешная - несанкционированная;

- идентификатор субъекта доступа;

- спецификация защищаемого файла;

- имя программы (процесса, задания, задачи), осуществляющей доступ к файлу;

- вид запрашиваемой операции (чтение, запись, удаление, выполнение, расширение и т.п.);

- должна осуществляться регистрация попыток доступа программных средств к следующим дополнительным защищаемым объектам доступа: терминалам, ЭВМ, узлам сети ЭВМ, линиям (каналам) связи, внешним устройствам ЭВМ, программам, томам, каталогам, файлам, записям, полям записей. В параметрах регистрации указываются:

- дата и время попытки доступа к защищаемому объекту с указанием ее результата: успешная, неуспешная - несанкционированная;

- идентификатор субъекта доступа;

- спецификация защищаемого объекта [логическое имя (номер)];

- имя программы (процесса, задания, задачи), осуществляющей доступ к защищаемому объекту;

- вид запрашиваемой операции (чтение, запись, монтирование, захват и т.п.);

- должна осуществляться регистрация изменений полномочий субъектов доступа и статуса объектов доступа. В параметрах регистрации указываются:

- дата и время изменения полномочий;

- идентификатор субъекта доступа (администратора), осуществившего изменения;

- должен осуществляться автоматический учет создаваемых защищаемых файлов с помощью их дополнительной маркировки, используемой в подсистеме управления доступом. Маркировка должна отражать уровень конфиденциальности объекта;

- должен проводиться учет всех защищаемых носителей информации с помощью их маркировки и занесением учетных данных в журнал (учетную карточку);

- учет защищаемых носителей должен проводиться в журнале (картотеке) с регистрацией их выдачи (приема);

- должно проводиться несколько видов учета (дублирующих) защищаемых носителей информации;

- должна осуществляться очистка (обнуление, обезличивание) освобождаемых областей оперативной памяти ЭВМ и внешних накопителей. Очистка осуществляется двукратной произвольной записью в любую освобождаемую область памяти, использованную для хранения защищаемой информации;

- должна осуществляться сигнализация попыток нарушения защиты.

В подсистеме обеспечения целостности:

- должна быть обеспечена целостность программных средств СЗИ НСД, а также неизменность программной среды.

При этом:

- целостность СЗИ НСД проверяется при загрузке системы по контрольным суммам компонент СЗИ;

- целостность программной среды обеспечивается использованием трансляторов с языков высокого уровня и отсутствием средств модификации объектного кода программ при обработке и (или) хранении защищаемой информации;

- должна осуществляться физическая охрана СВТ (устройств и носителей информации), предусматривающая постоянное наличие охраны территории и здания, где размещается АС, с помощью технических средств охраны и специального персонала, использование строгого пропускного режима, специальное оборудование помещений АС;

- должен быть предусмотрен администратор (служба) защиты информации, ответственный за ведение, нормальное функционирование и контроль работы СЗИ НСД. Администратор должен иметь свой терминал и необходимые средства оперативного контроля и воздействия на безопасность АС;

- должно проводиться периодическое тестирование всех функций СЗИ НСД с помощью специальных программных средств не реже одного раза в год;

- должны быть в наличии средства восстановления СЗИ НСД, предусматривающие ведение двух копий программных средств СЗИ НСД и их периодическое обновление и контроль работоспособности;

- должны использоваться сертифицированные средства защиты. Их сертификацию проводят специальные сертификационные центры или специализированные предприятия, имеющие лицензию на проведение сертификации средств защиты СЗИ НСД.

3. Выбор средств защиты информации

В соответствии с законом Российской Федерации «О государственной тайне» органы государственной власти, предприятия, учреждения и организации обеспечивают защиту сведений, составляющих государственную тайну, в соответствии с возложенными на них задачами и в пределах своей компетенции. Ответственность за организацию защиты сведений, составляющих государственную тайну, в органах государственной власти, на предприятиях, в учреждениях и организациях возлагается на их руководителей. В зависимости от объема работ с использованием сведений, составляющих государственную тайну, руководителями органов государственной власти, предприятий, учреждений и организаций создаются структурные подразделения по защите государственной тайны, функции которых определяются указанными руководителями в соответствии с нормативными документами, утверждаемыми Правительством Российской Федерации, и с учетом специфики проводимых ими работ.

Степень секретности сведений, составляющих государственную тайну, должна соответствовать степени тяжести ущерба, который может быть нанесен безопасности Российской Федерации вследствие распространения указанных сведений.

Порядок определения размеров ущерба, который может быть нанесен безопасности Российской Федерации вследствие распространения сведений, составляющих государственную тайну, и правила отнесения указанных сведений к той или иной степени секретности устанавливаются Правительством Российской Федерации.

Защита государственной тайны, то есть сведений, которые отнесены к этой категории секретной информации, при обработке данной информации в автоматизированных системах организаций, должна производиться с помощью специальных сертифицированных программных и аппаратных средств защиты информации, а также с помощью специальных организационных мер.

В качестве средства защиты информации от несанкционированного доступа выберем продукцию Санкт-Петербургского института информатики и автоматизации РАН (СПИИРАН) - программу «Аура».

«Аура» -- система защиты информации от несанкционированного доступа (СЗИ от НСД). Предназначена для комплексной защиты информации, обрабатываемой на ПЭВМ под управлением ОС семейства Microsoft Windows 2000 Professional SP4, 2000 Server SP4, XP Professional SP3, Server 2003 Standard Edition SP2, Server 2003 Enterprise Edition SP2, Server 2008 Standard Edition SP2, Server 2008 Enterprise Edition SP2, Vista Business SP2, Vista Ultimate SP2 (поддерживаются 32-битные версии операционных систем).

СЗИ имеет сертификат ФСТЭК № 2188 от 21 октября 2010 года. Сертификат действителен до 21 октября 2013 года.

СЗИ от НСД «Аура» сертифицирована по 3 классу защищенности СВТ и 2 уровню контроля НДВ.

СЗИ от НСД «Аура» дает возможность построения автоматизированных систем отвечающих классу 1Б, 1В, 1Г, 1Д и информационных систем по обработке персональных данных по классам К1, К2, К3, К4.

Защита информации обеспечивается даже при хищении носителей информации.

СЗИ от НСД «Аура» имеет Свидетельство о государственной регистрации программы для ЭВМ «Система защиты информации от несанкционированного доступа "АУРА"».

СЗИ от НСД «Аура» решает следующие основные задачи:

- обеспечение доверенной среды для аутентификации пользователей и контроля целостности информационных объектов;

- усиленная аутентификация;

- многоуровневый контроль целостности информационных объектов вычислительной системы;

- контроль доступа к устройствам, файлам и папкам;

- управление печатью, автоматическая маркировка и учет документов;

- достоверное уничтожение информационных объектов;

- регистрация действий пользователя в системных журналах;

- идентификация и аутентификация пользователей в доверенной среде с применением электронных устройств Rutoken.

4. Настройки подсистемы управления доступом СЗИ НСД

Пароли

Пароли предназначены для проведения различных видов аутентификации. Пароли нигде не хранятся в открытом виде. Ввод паролей осуществляется только при помощи специальных защищенных модулей.

Существуют следующие виды паролей:

? основной пароль пользователя;

? пароль загрузки операционной системы.

Основной пароль используется для аутентификации пользователя при запуске рабочей станции и при выполнении операций по преобразованию. При утере основного пароля данные на преобразованных дисках и файлах будут недоступны. Основной пароль пользователя используется также при активизации механизма блокировки консоли. Под консолью принято понимать монитор, клавиатуру и манипулятор “мышь”.

Пароль загрузки операционной системы служит для аутентификации пользователя в ОС, которая происходит автоматически после прохождения аутентификации в СЗИ НСД.

Пароли должны удовлетворять требованиям политики паролей, которая настраивается администратором.

Аутентификация при загрузке СЗИ НСД

При загрузке СЗИ НСД пользователь должен пройти аутентификацию с использованием основного пароля.

Блокировка консоли и аутентификация по ruToken

Для управления механизмом блокировки консоли служит страница “Блокировка экрана” в Менеджере пользователей. На этой странице доступны следующие действия:

? выбор электронных ключей для разблокировки консоли;

? выбор режимов блокировки.



Электронные идентификаторы ruToken v.1.0 поддерживаются системой защиты как в ОС Windows, так и в доверенной среде.

Электронные идентификаторы ruToken v.2.0 поддерживаются системой защиты только в ОС Windows, при условии установки соответствующих драйверов.

Выбор режимов блокировки

Можно выбрать один из трех режимов блокировки:

- только ручная блокировка;

- блокировать сразу после загрузки Windows;

- блокировать через определенный срок бездействия пользователя.

Для разблокировки консоли служит пароль разблокировки и/или один или несколько электронных идентификаторов ruToken.

Выбор электронных ключей для разблокировки консоли

Электронные идентификаторы ruToken, необходимые для разблокировки, отмечаются крестиком в списке “Электронные ключи”. Список “Электронные ключи” расположен внизу страницы и содержит имя, владельца и описание электронного идентификатора. Для обновления списка электронных ключей служит кнопка “Получить из системы”. Для выбора всех ключей в списке служит кнопка “Выделить все”. Для снятия выбора со всех ключей в списке служит кнопка “Очистить все”.

Блокировка и разблокировка консоли

При блокировке консоли с помощью комбинации клавиш Ctrl + Alt + Caps Lock перед пользователем возникает окно выбора функций, среди которых необходимо указать “Блокировка экрана”, после чего консоль будет заблокирована. Есть три варианта разблокировки:

- пароль (разблокировка производится путем ввода пароля с клавиатуры);

- электронный идентификатор ruToken (для разблокировки нужно вставить определенный электронный идентификатор в USB-порт);

- “Разблокировать при наличии пароля и заданных электронных ключей” (для разблокировки надо и ввести пароль, и вставить определенный электронный идентификатор в USB-порт).

5. Разграничение доступа

5.1 Общие сведения

В СЗИ НСД реализованы механизмы мандатного и дискретного разграничения доступа.

Мандатное разграничения доступа - разграничение доступа субъектов к объектам, основанное на характеризуемой меткой конфиденциальности информации, содержащейся в объектах, и официальном разрешении (допуске) субъектов обращаться к информации такого уровня конфиденциальности.

Дискреционное управление доступом - разграничение доступа между поименованными субъектами и поименованными объектами. Субъект с определенным правом доступа может передать это право любому другому субъекту.

5.2 Мандатное разграничение доступа

В СЗИ НСД реализованы следующие уровни доступа:

- открыто;

- для служебного пользования (ДСП);

- секретно;

- совершенно секретно;

- особой важности.

При создании пользователя администратор безопасности задает ему минимальный и максимальный уровни доступа.

Смена уровня доступа пользователя производится при входе в систему во время загрузки, либо во время смены пользователя. Пользователь может войти в систему защиты с уровнем доступа, входящим в рамки, установленные ему администратором безопасности.

Изменение меток конфиденциальности устройств

Администратор безопасности может определять метки конфиденциальности устройств на разных уровнях. Самый низкий уровень - метки конфиденциальности устройств, назначаемые конкретным пользователям. Следующий уровень - метки конфиденциальности устройств, назначаемые компьютерам. Самый высокий уровень - метки конфиденциальности устройств, назначаемые в общих параметрах безопасности. Такая иерархическая структура позволяет реализовать принцип наследования: метки конфиденциальности более низкого уровня наследуются от более высокого уровня.

Изменение меток конфиденциальности файлов и каталогов

Для изменения метки конфиденциальности объектов доступа (файлов, каталогов) нужно открыть свойства объекта в проводнике Windows и перейти на вкладку “Мандат”. В этой вкладке можно изменить (назначить) мандатную метку объекту, выбрав нужную из списка.



5.3 Дискреционное разграничение доступа

Управление дискреционным доступом заключается в предоставлении пользователям или группам определенных прав на доступ к объектам.

Разрешения определяют тип доступа к объекту или его свойству, допустимый для пользователя или группы. Разрешения применяются к защищенным объектам, таким как файлы или объекты реестра. Разрешения могут быть предоставлены любому пользователю или группе.

Разрешения, назначаемые объекту, зависят от его типа. Например, разрешения, которые могут быть назначены для файла, отличаются от разрешений, допустимых для раздела реестра. Однако некоторые разрешения являются общими для большинства типов объектов. Эти общие разрешения перечислены ниже:

- чтение разрешений;

- смена разрешений;

- смена владельца;

- удаление.

При установке разрешений необходимо определить уровень доступа для групп и пользователей. Например, одному пользователю можно разрешить читать содержимое некоторого файла, другому -- вносить изменения в файл, а всем остальным пользователям вообще запретить доступ к этому файлу.

Существуют следующие разрешения на доступ к папкам: полный доступ, изменение, чтение и выполнение, список содержимого папки, чтение и запись.

Просмотр и установка разрешений для файлов и каталогов

Для просмотра и установки разрешений надо раскрыть в Панели объектов управления пункт “Дополнительные средства” и выбрать пункт “Настройка прав доступа”. Просмотр разрешений происходит в Панели конфигураций, на странице “Просмотр”. В левой части страницы находится список объектов (дерево каталогов), в правой части - разрешения, установленные для выбранного объекта.



Редактирование разрешений происходит в Панели конфигураций, на странице “Редактирование”. Выбор объекта происходит в левой части страницы, где находится список объектов (дерево каталогов). Для редактирования выбранного объекта в правой части Панели конфигураций установить требуемые разрешения, выбрать нужные опции в списках “Опции для папок” и “Опции” и нажать кнопку “Применить”.



6. Регистрация событий

Регистрация событий, связанных с работой специализированных модулей СЗИ НСД, регистрация обращений к файлам и каталогам NTFS, регистрация запуска и завершения программ, а так же звуковая и визуальная сигнализация попыток нарушения защиты осуществляется подсистемой регистрации и учета.

Для регистрации всех событий, связанных с работой специализированных модулей СЗИ НСД, используется отдельный журнал встроенной подсистемой регистрации ОС Windows, реализованной в виде регистратора событий. Регистрация обращений к файлам и каталогам NTFS, запуска и завершения программ осуществляется штатными средствами ОС.

В СЗИ НСД предусмотрена регистрация следующих событий:

? попытки входа и выхода пользователей в систему (из системы);

? выдача печатных (графических) документов на «твердую» копию;

? запуск и завершение процессов;

? попытки доступа программных средств к файлам и каталогам NTFS;

? попытки доступа к компакт-дискам (дискетам);

? попытки доступа к виртуальным дискам;

? попытки доступа к интерфейсным портам;

? создание и уничтожение файлов и каталогов NTFS;

? создание и уничтожение учётных записей пользователей;

? создание и уничтожение маркированных отчуждаемых носителей;

? создание и уничтожение виртуальных дисков;

? изменение мандатных меток пользователей;

? изменение мандатных меток отчуждаемых носителей;

? изменение мандатных меток файлов (каталогов, томов) NTFS;

? изменение мандатных меток принтеров;

? изменение мандатных меток интерфейсных портов;

? изменение прав пользователей по доступу к файлам и каталогам NTFS;

? изменение прав пользователей по доступу к интервалам секторов жёстких дисков;

? изменение прав пользователей по доступу к отчуждаемым носителям;

? изменение прав пользователей по доступу к виртуальным дискам;

? действия администратора по настройке СЗИ НСД;

? информационные сообщения от модулей СЗИ НСД - загрузка, выгрузка, сбой в работе.

Администратору СЗИ НСД доступна фильтрация регистрационных записей по следующим критериям:

? номер записи;

? время и дата возникновения события;

? тип события;

? категория события из перечисленных выше;

? имя пользователя.

Визуальная и звуковая сигнализация предусмотрена для следующих событий:

? неудачные попытки авторизации;

? несанкционированные попытки доступа к функциям печати;

? несанкционированные попытки доступа к интервалам секторов жёстких дисков;

? несанкционированные попытки доступа к компакт-дискам (дискетам);

? несанкционированные попытки доступа к виртуальным дискам;

? несанкционированные попытки доступа к интерфейсным портам.

Визуальная сигнализация предусмотрена для следующих событий:

? попытки нарушения правил разграничения доступа к файлам и каталогам NTFS.

7. Обеспечение целостности

автоматизированный система доступ блокировка

Задача обеспечения целостности решается подсистемой обеспечения целостности и включает в себя следующие подзадачи:

1) контроль целостности специализированных модулей СЗИ НСД;

2) контроль целостности замкнутой программной среды;

3) контроль целостности файлов и каталогов пользователя.

В рамках задачи контроля целостности специализированных модулей СЗИ НСД выполняются следующие функции:

1) формирование эталонных характеристик компонентов КПЗ НСД путем контрольного суммирования (применяются алгоритмы хэширования GOST3411, SHA, MD5, SHF1, SHF2);

2) проверка целостности КПЗ НСД по контрольным суммам в процессе загрузки ОС;

3) проверка целостности КПЗ НСД по контрольным суммам динамически в процессе работы АС;

4) проверка целостности КПЗ НСД по контрольным суммам по запросу администратора;

5) блокирование попыток работы пользователя в случае нарушения целостности компонентов КПЗ НСД;

6) периодическое тестирование функций КПЗ НСД (выполняется администратором вручную или с использованием специальных программных средств третьих фирм);

7) защита от загрузки рабочей станции в обход системы защиты: СЗИ НСД позволяет выполнить полное преобразование содержимого жёсткого диска;

8) оперативное восстановление функций КПЗ НСД в случае нарушения целостности компонентов КПЗ НСД.

В рамках задачи контроля целостности замкнутой программной среды выполняются следующие функции:

1) формирование замкнутой программной среды путем ограничения списка программ, разрешенных для запуска: администратору СЗИ НСД предоставляется возможность явно задать разрешение на запуск отдельных программ, расположенных на разделах с файловой системой NTFS;

2) формирование эталонных характеристик компонентов замкнутой программной среды путем контрольного суммирования: администратору СЗИ НСД предоставляется возможность задать перечень файлов, контроль целостности которых будет производиться при каждой загрузке системы;

3) проверка целостности компонентов замкнутой программной среды по контрольным суммам в процессе загрузки ОС;

4) проверка целостности компонентов замкнутой программной среды по контрольным суммам по запросу администратора: администратору СЗИ НСД предоставляется возможность проведения внеочередной проверки целостности файлов из сформированного им перечня;

5) блокирование попыток несанкционированной установки программного обеспечения и запуска несанкционированных программ;

6) блокирование попыток работы пользователя в случае нарушения целостности компонентов замкнутой программной среды;

7) изоляция в оперативной памяти программных модулей одного процесса (одного субъекта) от программных модулей других процессов (других субъектов);

8) контроль целостности отдельных ветвей и ключей реестра для своевременного обнаружения внедрений программных закладок.

В рамках задачи контроля целостности файлов и каталогов пользователя выполняются следующие функции:

1) формирование эталонных характеристик заданных файлов и каталогов пользователя путем контрольного суммирования;

2) установка и снятие режима проверки целостности заданных файлов и каталогов пользователя по контрольным суммам в процессе загрузки ОС;

3) проверка целостности заданных файлов и каталогов пользователя по контрольным суммам по запросу пользователя.

8. Заключение

Защита государственной тайны всегда является наиболее приоритетным направлением в области защиты информации.

В данной работе для АС с 80 пользователями, обрабатывающими данные под грифом «секретно», определен класс защищенности АС 1В.

Также необходимо отметить, что согласно заданию, система имеет выход в публичную сеть. Следовательно, необходимо использовать межсетевой экран, который также будет удовлетворять требованиям Руководящих документов по защите Государственной тайны. Примером такого МЭ может послужить TrustAccess-S. Он имеет сертификат ФСТЭК на соответствие уровням МЭ 2 и НДВ 2, разрешает использовать TrustAccess-S для защиты государственной тайны в автоматизированных системах до класса 1Б включительно. Это позволяет защищать информацию с грифами «совершенно секретно», «секретно».

Кроме того, перед нами также было поставлено условие: необходимо усилить защиту от угрозы хищения ЭВМ. Этого можно организационными методами, например, выделив специальное помещение, которое будет дополнительно оборудовано средствами контроля доступа и наблюдения.

В данной работе подробно рассмотрены и проиллюстрированы основные моменты по настройке и применению СЗИ от НСД «Аура».

Данное решение является качественным, т.к. все выбранные в данной работе средства защиты имеют необходимые сертификаты ФСБ и ФСТЭК России и образуют в совокупности комплексную СЗИ, обеспечивающую соблюдение всех требований законодательства.

9. Список источников информации

1) Закон РФ от 21 июля 1993 года № 5485-1 «О государственной тайне».

2) Решение председателя Гостехкомиссии России от 30 марта 1992 года «Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации».

3) Федеральный закон от 27 июля 2006 г. N 149-ФЗ "Об информации, информационных технологиях и о защите информации" (с последними изменениями от 21 июля 2011 г.)

4) ГОСТ Р 50739-95. Средства вычислительной техники. Защита от несанкционированного доступа к информации. Общие технические требования. Госстандарт России

5) ГОСТ Р 50922-96. Защита информации. Основные термины и определения. Госстандарт России

6) ГОСТ Р 51275-99. Защита информации. Объект информатизации. Факторы, воздействующие на информацию. Общие положения. Госстандарт России

7) СЗИ от НСД «Аура». Руководство системного программиста:

http://cobra.ru/sites/default/files/prod/aura/doc/Aura_admin_manual.pdf

8) СЗИ от НСД «Аура». Руководство оператора:

http://cobra.ru/sites/default/files/prod/aura/doc/Aura_operator_manual.pdf

9) Страница продукта «Аура» на сайте производителя:

http://cobra.ru/ru/prod/aura

10) Страница продукта «TrustAccess» на сайте производителя:

http://www.securitycode.ru/products/trustaccess/

Размещено на Allbest.ru