Решения
Продукция
Загрузить
Главная страница / Решения / Решения по защите конфиденциальной информации / Локальная вычислительная сеть для обработки конфиденциальной информации без взаимодействия с внешними сетями или Интернет

Локальная вычислительная сеть для обработки конфиденциальной информации без взаимодействия с внешними сетями или Интернет

Локальная вычислительная сеть для обработки конфиденциальной информации представляет собой автоматизированную систему, построенную на базе автономной локальной вычислительной сети, не имеющей выхода во внешние сети или интернет, в которой может производиться обработка какой-либо информации ограниченного распространения (за исключением государственной тайны) – служебная тайна, коммерческая тайна, банковская тайна и т.д.

Условия эксплуатации АС:
  • Режим обработки информации – многопользовательский
  • В АС пользователи имеют различный уровень полномочий на доступ к защищаемым ресурсам АС
  • В АС хранится и обрабатывается информация разного уровня конфиденциальности. Максимальный уровень конфиденциальности информации – "служебная тайна"

В соответствии с руководящим документом "АВТОМАТИЗИРОВАННЫЕ СИСТЕМЫ ЗАЩИТА ОТ НЕСАНКЦИОНИРОВАННОГО ДОСТУПА К ИНФОРМАЦИИ КЛАССИФИКАЦИЯ АВТОМАТИЗИРОВАННЫХ СИСТЕМ И ТРЕБОВАНИЯ ПО ЗАЩИТЕ ИНФОРМАЦИИ" (РД АС) Класс защищенности подобной автоматизированной системы – 1Г.

В качестве средств защиты в автоматизированной системе выступает программное обеспечение общего назначения со встроенными механизмами защиты, сертифицированными по требованиям ФСТЭК России:
  1. Сертифицированная серверная операционная система Microsoft Windows Server 2003 Standard/Enterprise Edition Release R2 SP2 (Сертификат ФСТЭК №1017/5, №1017/7).
  2. Сертифицированная клиентская операционная система Windows Vista (Сертификат ФСТЭК № 1516/1) или XP Professional (Сертификат ФСТЭК № 844/3).
  3. Сертифицированная система управления базами данных Microsoft SQL Server 2005 Standard/Enterprise Edition (Сертификат ФСТЭК №1319, №1319/1).,
  4. Сертифицированный Антивирус Касперского 6.0 BusinessSpaceSecurity (Сертификат ФСТЭК № 1382, 1384, 1385).
  5. Сертифицированные электронные ключи eToken 5 (Сертификат ФСТЭК № 1883) предназначенные для строгой аутентификации, безопасного хранения ключевой информации.
  6. Сертифицированный программный комплекс eToken TMS (сертификат ФСТЭК России №1700), предназначенный для внедрения, управления, использования и аудита аппаратных средств аутентификации пользователей (электронных ключей eToken 5).
  7. Сертифицированное средство контроля и протоколирования доступа пользователей к устройствам и портам ввода-вывода DeviceLock (Сертификат ФСТЭК № 1696), позволяющий контролировать весь спектр потенциально опасных устройств: USB-порты, дисководы, CD/DVD-приводы, а также FireWire, инфракрасные, параллельные и последовательные порты, WiFi и Bluetooth-адаптеры, ленточные накопители, КПК, любые внутренние и внешние сменные накопители и жесткие диски.
  8. Сертифицированное профессиональное приложения для резервного копирования и аварийного восстановления Acronis® Backup & Recovery™ 10 Advanced Server (сертификат ФСТЭК России №2221), Acronis® Backup & Recovery™ 10 Server for Windows (сертификат ФСТЭК России №2219), Acronis® Backup & Recovery™ 10 Advanced Workstation (сертификат ФСТЭК России №2220), позволяющие осуществлять резервное копирование систем целиком или отдельных файлов и папок, аварийное восстановление отдельных файлов и папок или диска целиком, восстановление систем на различное оборудование и т.д.
  9. Сертифицированный программный комплекс Microsoft Office Professional 2003 (Сертификат № 1056/1) или Microsoft Office Professional 2007 (Сертификат № 1587/1).,
Состав сертифицированного ПО серверного АРМ для использования в роли сервера системы управления базами данных:
  1. Операционная система Microsoft Windows Server 2003 Standard/Enterprise Edition Release R2 SP2;
  2. Система управления базами данных Microsoft SQL Server 2005 Standard/Enterprise Edition;
  3. Антивирус Касперского 6.0 BusinessSpaceSecurity;
  4. Электронный ключ eToken 5;
  5. Средство контроля и протоколирования доступа пользователей к устройствам и портам ввода-вывода DeviceLock;
  6. Приложение для резервного копирования Acronis® Backup & Recovery™ 10 Advanced Server/Acronis® Backup & Recovery™ 10 Server for Windows
Перечень требований РД АС для класса 1Г и их реализация сертифицированным программным обеспечением, применительно к серверу баз данных, приведен в таблице 1.

Таблица 1.

Требование РД АС для класса защищенности 1Г
Средства, обеспечивающие выполнение
требований РД
1. ПОДСИСТЕМА УПРАВЛЕНИЯ ДОСТУПОМ
1.1. Идентификация и аутентификация (проверка подлинности) субъектов доступа при входе в систему по идентификатору (коду) и паролю условно-постоянного действия длиной не менее шести буквенно-цифровых символов.
Механизмы идентификация и аутентификация:
- программного комплекса eToken TMS и  USB-ключи eToken 5;
- серверной ОС Microsoft Windows Server 2003 Standard/Enterprise Edition Release R2  SP2;
- СУБД Microsoft SQL Server 2005 Standard/Enterprise Edition.
1.2. Идентификация терминалов, ЭВМ, узлов сети ЭВМ, каналов связи, внешних устройств ЭВМ по логическим именам.
Механизмы идентификация и аутентификация:
- программного комплекса eToken TMS и  USB-ключи eToken 5;
- серверной ОС Microsoft Windows Server 2003 Standard/Enterprise Edition Release R2  SP2;
- СУБД Microsoft SQL Server 2005 Standard/Enterprise Edition.
 
1.3. Идентификация программ, томов, каталогов, файлов, записей, полей записей по именам.
1.4. Контроль доступа субъектов к защищаемым ресурсам в соответствии с матрицей доступа.
Механизмы идентификации, аутентификация и защита данных:
-  пользователей ОС Windows Server 2003 Standard/Enterprise Edition Release R2  SP2;
- СУБД Microsoft SQL Server 2005 Standard/Enterprise Edition;
-  средства контроля и протоколирования доступа пользователей DeviceLock.
 
2. ПОДСИСТЕМА РЕГИСТРАЦИИ И УЧЕТА
2.1. Регистрация входа/выхода субъектов доступа в систему/из системы, либо регистрация загрузки и инициализации операционной системы и ее программного останова. Регистрация выхода из системы или останова не проводится в моменты аппаратурного отключения АС. В параметрах регистрации указываются:
·   время и дата входа/выхода субъекта доступа в систему/из системы или загрузки/останова системы;
·   результат попытки входа: успешная или неуспешная – несанкционированная;
·   идентификатор (код или фамилия) субъекта, предъявленный при попытке доступа;
·   код или пароль, представленный при неуспешной попытке.
Механизмы аудита безопасности ОС Microsoft Windows Server 2003 Standard/Enterprise Edition Release R2  SP2.
 
2.2. Регистрация выдачи печатных (графических) документов на “твердую” копию. Выдача должна сопровождаться автоматической маркировкой каждого листа (страницы) документа его последовательным номером, общим количеством листов (страниц) и учетными реквизитами АС. В параметрах регистрации указываются:
·   время и дата выдачи (обращения к подсистеме вывода);
·   идентификатор устройства выдачи (логическое имя/номер);
·   краткое содержание (наименование, вид, шифр, код) и уровень конфиденциальности документа;
·   идентификатор субъекта доступа, запросившего документ.
С помощью организационно-распорядительных мероприятий:
Механизмы аудита безопасности:
-  ОС Windows Server 2003 Standard/Enterprise Edition Release R2  SP2;
-  средства контроля и протоколирования доступа пользователей DeviceLock.
 
2.3. Регистрация запуска/завершения программ и процессов (заданий, задач), предназначенных для обработки защищаемых файлов. В параметрах регистрации указываются:
·   дата и время запуска;
·   имя (идентификатор) программы (задания);
·   идентификатор субъекта доступа, запросившего программу (задания);
·   результат запуска (успешный, неуспешный – несанкционированный).
Механизмы аудита безопасности:
-  ОС Windows Server 2003 Standard/Enterprise Edition Release R2  SP2;
- СУБД Microsoft SQL Microsoft SQL Server 2005 Standard/Enterprise Edition;
-  средства контроля и протоколирования доступа пользователей DeviceLock.
 
 
2.4. Регистрация попыток доступа программных средств (программ, заданий) к защищаемым файлам. В параметрах регистрации указываются:
·   дата и время попытки доступа к защищаемому файлу с указанием ее результата: успешная, неуспешная – несанкционированная;
·   идентификатор субъекта доступа;
·   спецификация защищаемого файла.
 
Механизмы аудита безопасности:
-  ОС Windows Server 2003 Standard/Enterprise Edition Release R2  SP2;
-  Microsoft SQL Server 2005 Standard/Enterprise Edition.
-  средства контроля и протоколирования доступа пользователей DeviceLock.
 
2.5. Регистрация попыток доступа программных средств к следующим дополнительным защищаемым объектам доступа: терминалам ЭВМ, узлам сети ЭВМ, линиям (каналам) связи, внешним устройствам ЭВМ, программам, томам, каталогам, записям, полям записей. В параметрах регистрации указываются:
·   дата и время попытки доступа к защищаемому объекту с указанием ее результата: успешная, неуспешная – несанкционированная;
·   идентификатор субъекта доступа;
·   спецификация защищаемого объекта (логическое имя/номер).
 
Механизмы аудита безопасности:
-  ОС Windows Server 2003 Standard/Enterprise Edition Release R2  SP2;
- СУБД Microsoft SQL Server 2005 Standard/Enterprise Edition;
-  средства контроля и протоколирования доступа пользователей DeviceLock.
 
 
 
 
2.6. Учет всех защищаемых носителей информации с помощью их маркировки и с занесением учетных данных в журнал (учетную карточку).
Реализуется с помощью организационно-распорядительных мероприятий.
2.7. Учет защищаемых носителей должен проводиться в журнале (картотеке) с регистрацией их выдачи (приема)
Реализуется с помощью организационно-распорядительных мероприятий.
2.8.Очистка (обнуление, обезличивание) освобождаемых областей оперативной памяти ЭВМ и внешних носителей. Очистка осуществляется однократной произвольной записью в освобождаемую область памяти, ранее использованную для хранения защищаемых данных (файлов).
Механизмы безопасности  ОС Microsoft Windows Server 2003 Standard/Enterprise Edition Release R2  SP2. Очистка внешних накопителей обеспечивается пользователями и Администратором безопасности в соответствии с инструкциями и должностными обязанностями.
3. ПОДСИСТЕМА ОБЕСПЕЧЕНИЯ ЦЕЛОСТНОСТИ
3.1. Обеспечение целостности программных средств СЗИ НСД, а также неизменность программной среды, при этом:
·   целостность СЗИ НСД проверяется при загрузке системы по контрольным суммам компонент СЗИ;
·   целостность программной среды обеспечивается использованием трансляторов с языков высокого уровня и отсутствием средств модификации объектного кода программ в процессе обработки и (или) хранения защищаемой информации.
Механизмы тестирования ФБО:
-                   ОС Microsoft Windows Server 2003 Standard/Enterprise Edition Release R2;
-                      средства контроля и протоколирования доступа пользователей DeviceLock. 
Отсутствие на ПЭВМ средств разработки исполняемых модулей программного обеспечения.
Контроль целостности основных конфигурационных файлов ОС обеспечивается использованием программ контроля сертифицированных версий ПО «Check».
3.2. Физическая охрана средств вычислительной техники (устройств и носителей информации), предусматривающая контроль доступа в помещения АС посторонних лиц, наличие надежных препятствий для несанкционированного проникновения в помещения АС и хранилище носителей информации, особенно в нерабочее время.
Реализуется с помощью организационно-распорядительных мероприятий.
3.3. Периодическое тестирование функций СЗИ НСД при изменении программной среды и персонала АС с помощью тест-программ, имитирующих попытки НСД
Механизмы тестирования ФБО:
-  ОС Windows Server 2003 Standard/Enterprise Edition Release R2  SP2;
- SQL Microsoft SQL Server 2005 Standard/Enterprise Edition.
-  средства контроля и протоколирования доступа пользователей DeviceLock.
- антивируса Касперского 6.0 для Windows Servers или Dr.Web для Windows, реализующего функции антивирусной защиты операционной среды.
 
3.4. Должны быть в наличии средства восстановления СЗИ НСД, предусматривающие ведение двух копий программных средств СЗИ НСД и их периодическое обновление и контроль работоспособности.
 
Средства восстановления СЗИ реализовываются приложением для резервного копирования и аварийного восстановления Acronis® Backup & Recovery™ 10 Advanced Server и Acronis® Backup & Recovery™ 10 Server for Windows.

Состав сертифицированного ПО серверного АРМ для использования в стандартных ролях сервера контроллера домена и файлового сервера:

  1. Операционная система Microsoft Windows Server 2003 Standard/Enterprise Edition Release R2 SP2;
  2. Антивирус Касперского 6.0 BusinessSpaceSecurity;
  3. Электронный ключ eToken 5;
  4. Средство контроля и протоколирования доступа пользователей к устройствам и портам ввода-вывода DeviceLock;
  5. Приложение для резервного копирования Acronis® Backup & Recovery™ 10 Advanced Server и Acronis® Backup & Recovery™ 10 Server for Windows .
Перечень требований РД АС для класса 1Г и их реализация сертифицированным программным обеспечением, применительно к серверу контролеру домена и файлового сервера, приведен в таблице 2.

Таблица 2

Требование РД АС для класса защищенности 1Г
Средства, обеспечивающие выполнение
требований РД
1. ПОДСИСТЕМА УПРАВЛЕНИЯ ДОСТУПОМ
1.1. Идентификация и аутентификация (проверка подлинности) субъектов доступа при входе в систему по идентификатору (коду) и паролю условно-постоянного действия длиной не менее шести буквенно-цифровых символов.
Механизмы идентификация и аутентификация:
- программного комплекса eToken TMS и  USB-ключи eToken 5;
- серверной ОС Microsoft Windows Server 2003 Standard/Enterprise Edition Release R2  SP2.
1.2. Идентификация терминалов, ЭВМ, узлов сети ЭВМ, каналов связи, внешних устройств ЭВМ по логическим именам.
Механизмы идентификация и аутентификация:
- программного комплекса eToken TMS и  USB-ключи eToken 5;
- серверной ОС Microsoft Windows Server 2003 Standard/Enterprise Edition Release R2  SP2.
1.3. Идентификация программ, томов, каталогов, файлов, записей, полей записей по именам.
1.4. Контроль доступа субъектов к защищаемым ресурсам в соответствии с матрицей доступа.
Механизмы идентификации, аутентификация и защита данных:
-  пользователей ОС Windows Server 2003 Standard/Enterprise Edition Release R2  SP2;
-  средства контроля и протоколирования доступа пользователей DeviceLock.
 
2. ПОДСИСТЕМА РЕГИСТРАЦИИ И УЧЕТА
2.1. Регистрация входа/выхода субъектов доступа в систему/из системы, либо регистрация загрузки и инициализации операционной системы и ее программного останова. Регистрация выхода из системы или останова не проводится в моменты аппаратурного отключения АС. В параметрах регистрации указываются:
·   время и дата входа/выхода субъекта доступа в систему/из системы или загрузки/останова системы;
·   результат попытки входа: успешная или неуспешная – несанкционированная;
·   идентификатор (код или фамилия) субъекта, предъявленный при попытке доступа;
·   код или пароль, представленный при неуспешной попытке.
Механизмы аудита безопасности ОС Microsoft Windows Server 2003 Standard/Enterprise Edition Release R2  SP2.
 
2.2. Регистрация выдачи печатных (графических) документов на “твердую” копию. Выдача должна сопровождаться автоматической маркировкой каждого листа (страницы) документа его последовательным номером, общим количеством листов (страниц) и учетными реквизитами АС. В параметрах регистрации указываются:
·   время и дата выдачи (обращения к подсистеме вывода);
·   идентификатор устройства выдачи (логическое имя/номер);
·   краткое содержание (наименование, вид, шифр, код) и уровень конфиденциальности документа;
·   идентификатор субъекта доступа, запросившего документ.
С помощью организационно-распорядительных мероприятий:
Механизмы аудита безопасности:
-  ОС Windows Server 2003 Standard/Enterprise Edition Release R2  SP2;
-  средства контроля и протоколирования доступа пользователей DeviceLock.
 
2.3. Регистрация запуска/завершения программ и процессов (заданий, задач), предназначенных для обработки защищаемых файлов. В параметрах регистрации указываются:
·   дата и время запуска;
·   имя (идентификатор) программы (задания);
·   идентификатор субъекта доступа, запросившего программу (задания);
·   результат запуска (успешный, неуспешный – несанкционированный).
Механизмы аудита безопасности:
-  ОС Windows Server 2003 Standard/Enterprise Edition Release R2  SP2;
-  средства контроля и протоколирования доступа пользователей DeviceLock.
 
 
2.4. Регистрация попыток доступа программных средств (программ, заданий) к защищаемым файлам. В параметрах регистрации указываются:
·   дата и время попытки доступа к защищаемому файлу с указанием ее результата: успешная, неуспешная – несанкционированная;
·   идентификатор субъекта доступа;
·   спецификация защищаемого файла.
 
Механизмы аудита безопасности:
-  ОС Windows Server 2003 Standard/Enterprise Edition Release R2  SP2;
-  средства контроля и протоколирования доступа пользователей DeviceLock.
 
2.5. Регистрация попыток доступа программных средств к следующим дополнительным защищаемым объектам доступа: терминалам ЭВМ, узлам сети ЭВМ, линиям (каналам) связи, внешним устройствам ЭВМ, программам, томам, каталогам, записям, полям записей. В параметрах регистрации указываются:
·   дата и время попытки доступа к защищаемому объекту с указанием ее результата: успешная, неуспешная – несанкционированная;
·   идентификатор субъекта доступа;
·   спецификация защищаемого объекта (логическое имя/номер).
 
Механизмы аудита безопасности:
-  ОС Windows Server 2003 Standard/Enterprise Edition Release R2  SP2;
-  средства контроля и протоколирования доступа пользователей DeviceLock.
 
 
 
 
2.6. Должен производиться учет всех защищаемых носителей информации с помощью их маркировки и с занесением учетных данных в журнал (учетную карточку).
Реализуется с помощью организационно-распорядительных мероприятий.
2.7. Учет защищаемых носителей должен проводиться в журнале (картотеке) с регистрацией их выдачи (приема)
Реализуется с помощью организационно-распорядительных мероприятий.
2.8.Очистка (обнуление, обезличивание) освобождаемых областей оперативной памяти ЭВМ и внешних носителей. Очистка осуществляется однократной произвольной записью в освобождаемую область памяти, ранее использованную для хранения защищаемых данных (файлов).
Механизмы безопасности  ОС Microsoft Windows Server 2003 Standard/Enterprise Edition Release R2  SP2.
Очистка внешних накопителей обеспечивается пользователями и Администратором безопасности в соответствии с инструкциями и должностными обязанностями.
3. ПОДСИСТЕМА ОБЕСПЕЧЕНИЯ ЦЕЛОСТНОСТИ
3.1. Обеспечение целостности программных средств СЗИ НСД, а также неизменность программной среды, при этом:
·   целостность СЗИ НСД проверяется при загрузке системы по контрольным суммам компонент СЗИ;
·   целостность программной среды обеспечивается использованием трансляторов с языков высокого уровня и отсутствием средств модификации объектного кода программ в процессе обработки и (или) хранения защищаемой информации.
Механизмы тестирования ФБО:
-                     ОС Microsoft Windows Server 2003 Standard/Enterprise Edition Release R2;
-                      средства контроля и протоколирования доступа пользователей DeviceLock. 
Отсутствие на ПЭВМ средств разработки исполняемых модулей программного обеспечения.
Контроль целостности основных конфигурационных файлов ОС обеспечивается использованием программы контроля сертифицированных версий ПО «Check».
3.2. Физическая охрана средств вычислительной техники (устройств и носителей информации), предусматривающая контроль доступа в помещения АС посторонних лиц, наличие надежных препятствий для несанкционированного проникновения в помещения АС и хранилище носителей информации, особенно в нерабочее время.
Реализуется с помощью организационно-распорядительных мероприятий.
3.3. Периодическое тестирование функций СЗИ НСД при изменении программной среды и персонала АС с помощью тест-программ, имитирующих попытки НСД
Механизмы тестирования ФБО:
-  ОС Windows Server 2003 Standard/Enterprise Edition Release R2  SP2;
-  средства контроля и протоколирования доступа пользователей DeviceLock;
- антивируса Касперского 6.0 для Windows Servers или Dr.Web для Windows, реализующего функции антивирусной защиты операционной среды.
 
3.4. Должны быть в наличии средства восстановления СЗИ НСД, предусматривающие ведение двух копий программных средств СЗИ НСД и их периодическое обновление и контроль работоспособности.
 
Средства восстановления СЗИ реализовываются приложением для резервного копирования и аварийного восстановления Acronis® Backup & Recovery™ 10 Advanced Server и Acronis® Backup & Recovery™ 10 Server for Windows.

Состав сертифицированного ПО серверного АРМ для использования в роли сервера управления и аудита аппаратными средствами аутентификации eToken TMS:

  1. операционная система Microsoft Windows Server 2003 Standard/Enterprise Edition Release R2 SP2;
  2. программный комплекс eToken TMS;
  3. антивирус Касперского 6.0 для Windows Servers;
  4. электронный ключ eToken 5;
  5. средство контроля и протоколирования доступа пользователей к устройствам и портам ввода-вывода DeviceLock;
  6. приложение для резервного копирования Acronis® Backup & Recovery™ 10 Advanced Server и Acronis® Backup & Recovery™ 10 Server for Windows.
Сертифицированный программный комплекс eToken TMS 2.0 предназначен для централизованного управления жизненным циклом устройств eToken и обеспечения целостности связей между учетными записями пользователей, средствами аутентификации и приложениями безопасности, согласно установленным в организации политикам. Внедрение eToken TMS 2.0 позволяет эффективно управлять всем набором программных и аппаратных средств аутентификации и хранения ключевой информации, использующимся на предприятии; существенно упростить процесс решения типовых проблем пользователя за счет использования Web-сервисов, предназначенных для самообслуживания; получать подробные данные аудита использования eToken.

Рекомендовано использовать в сетях численностью от 50 пользователей, либо в сетях требующих удалённого управления средствами аутентификации eToken.

Перечень требований РД АС, и средств по защите от НСД, для АС класса 1Г, применительно к серверу управления и аудита аппаратными средствами аутентификации eToken, приведён в таблице 3.

Таблица 3.

Требование РД АС для класса защищенности 1Г
Средства, обеспечивающие выполнение
требований РД
1. ПОДСИСТЕМА УПРАВЛЕНИЯ ДОСТУПОМ
1.1. Идентификация и аутентификация (проверка подлинности) субъектов доступа при входе в систему по идентификатору (коду) и паролю условно-постоянного действия длиной не менее шести буквенно-цифровых символов.
Механизмы идентификация и аутентификация:
- программного комплекса eToken TMS и  USB-ключи eToken 5;
- серверной ОС Microsoft Windows Server 2003 Standard/Enterprise Edition Release R2  SP2.
1.2. Идентификация терминалов, ЭВМ, узлов сети ЭВМ, каналов связи, внешних устройств ЭВМ по логическим именам.
Механизмы идентификация и аутентификация:
- программного комплекса eToken TMS и  USB-ключи eToken 5;
- серверной ОС Microsoft Windows Server 2003 Standard/Enterprise Edition Release R2  SP2.
1.3. Идентификация программ, томов, каталогов, файлов, записей, полей записей по именам.
1.4. Контроль доступа субъектов к защищаемым ресурсам в соответствии с матрицей доступа.
Механизмы идентификации, аутентификация и защита данных:
-  пользователей ОС Windows Server 2003 Standard/Enterprise Edition Release R2  SP2,
-  средства контроля и протоколирования доступа пользователей DeviceLock.
 
2. ПОДСИСТЕМА РЕГИСТРАЦИИ И УЧЕТА
2.1. Регистрация входа/выхода субъектов доступа в систему/из системы, либо регистрация загрузки и инициализации операционной системы и ее программного останова. Регистрация выхода из системы или останова не проводится в моменты аппаратурного отключения АС. В параметрах регистрации указываются:
·   время и дата входа/выхода субъекта доступа в систему/из системы или загрузки/останова системы;
·   результат попытки входа: успешная или неуспешная – несанкционированная;
·   идентификатор (код или фамилия) субъекта, предъявленный при попытке доступа;
·   код или пароль, представленный при неуспешной попытке.
Механизмы аудита безопасности ОС Microsoft Windows Server 2003 Standard/Enterprise Edition Release R2  SP2
 
2.2. Регистрация выдачи печатных (графических) документов на “твердую” копию. Выдача должна сопровождаться автоматической маркировкой каждого листа (страницы) документа его последовательным номером, общим количеством листов (страниц) и учетными реквизитами АС. В параметрах регистрации указываются:
·   время и дата выдачи (обращения к подсистеме вывода);
·   идентификатор устройства выдачи (логическое имя/номер);
·   краткое содержание (наименование, вид, шифр, код) и уровень конфиденциальности документа;
·   идентификатор субъекта доступа, запросившего документ.
С помощью организационно-распорядительных мероприятий:
Механизмы аудита безопасности:
-  ОС Windows Server 2003 Standard/Enterprise Edition Release R2  SP2;
-  средства контроля и протоколирования доступа пользователей DeviceLock.
 
2.3. Регистрация запуска/завершения программ и процессов (заданий, задач), предназначенных для обработки защищаемых файлов. В параметрах регистрации указываются:
·   дата и время запуска;
·   имя (идентификатор) программы (задания);
·   идентификатор субъекта доступа, запросившего программу (задания);
·   результат запуска (успешный, неуспешный – несанкционированный).
Механизмы аудита безопасности:
-  ОС Windows Server 2003 Standard/Enterprise Edition Release R2  SP2;
- программного комплекса eToken TMS и  USB-ключи eToken 5;
-  средства контроля и протоколирования доступа пользователей DeviceLock.
 
 
2.4. Регистрация попыток доступа программных средств (программ, заданий) к защищаемым файлам. В параметрах регистрации указываются:
·   дата и время попытки доступа к защищаемому файлу с указанием ее результата: успешная, неуспешная – несанкционированная;
·   идентификатор субъекта доступа;
·   спецификация защищаемого файла.
 
Механизмы аудита безопасности:
-  ОС Windows Server 2003 Standard/Enterprise Edition Release R2  SP2;
- программного комплекса eToken TMS и  USB-ключи eToken 5;
-  средства контроля и протоколирования доступа пользователей DeviceLock.
 
2.5. Регистрация попыток доступа программных средств к следующим дополнительным защищаемым объектам доступа: терминалам ЭВМ, узлам сети ЭВМ, линиям (каналам) связи, внешним устройствам ЭВМ, программам, томам, каталогам, записям, полям записей. В параметрах регистрации указываются:
·   дата и время попытки доступа к защищаемому объекту с указанием ее результата: успешная, неуспешная – несанкционированная;
·   идентификатор субъекта доступа;
·   спецификация защищаемого объекта (логическое имя/номер).
 
Механизмы аудита безопасности:
-  ОС Windows Server 2003 Standard/Enterprise Edition Release R2  SP2;
- программного комплекса eToken TMS и  USB-ключи eToken 5;
-  средства контроля и протоколирования доступа пользователей DeviceLock.
 
 
 
 
2.6. Должен производиться учет всех защищаемых носителей информации с помощью их маркировки и с занесением учетных данных в журнал (учетную карточку).
Реализуется с помощью организационно-распорядительных мероприятий.
2.7. Учет защищаемых носителей должен проводиться в журнале (картотеке) с регистрацией их выдачи (приема)
Реализуется с помощью организационно-распорядительных мероприятий.
2.8.Очистка (обнуление, обезличивание) освобождаемых областей оперативной памяти ЭВМ и внешних носителей. Очистка осуществляется однократной произвольной записью в освобождаемую область памяти, ранее использованную для хранения защищаемых данных (файлов).
Механизмы безопасности  ОС Microsoft Windows Server 2003 Standard/Enterprise Edition Release R2  SP2.
Очистка внешних накопителей обеспечивается пользователями и Администратором безопасности в соответствии с инструкциями и должностными обязанностями.
3. ПОДСИСТЕМА ОБЕСПЕЧЕНИЯ ЦЕЛОСТНОСТИ
3.1. Обеспечение целостности программных средств СЗИ НСД, а также неизменность программной среды, при этом:
·   целостность СЗИ НСД проверяется при загрузке системы по контрольным суммам компонент СЗИ;
·   целостность программной среды обеспечивается использованием трансляторов с языков высокого уровня и отсутствием средств модификации объектного кода программ в процессе обработки и (или) хранения защищаемой информации.
Механизмы тестирования ФБО:
-                     ОС Microsoft Windows Server 2003 Standard/Enterprise Edition Release R2;
- программного комплекса eToken TMS и  USB-ключи eToken 5;
-                      средства контроля и протоколирования доступа пользователей DeviceLock. 
Отсутствие на ПЭВМ средств разработки исполняемых модулей программного обеспечения.
Контроль целостности основных конфигурационных файлов ОС обеспечивается использованием программ контроля сертифицированных версий ПО «Check».
3.2. Физическая охрана средств вычислительной техники (устройств и носителей информации), предусматривающая контроль доступа в помещения АС посторонних лиц, наличие надежных препятствий для несанкционированного проникновения в помещения АС и хранилище носителей информации, особенно в нерабочее время.
Реализуется с помощью организационно-распорядительных мероприятий.
3.3. Периодическое тестирование функций СЗИ НСД при изменении программной среды и персонала АС с помощью тест-программ, имитирующих попытки НСД
Механизмы тестирования ФБО:
-  ОС Windows Server 2003 Standard/Enterprise Edition Release R2  SP2;
- программного комплекса eToken TMS и  USB-ключи eToken 5;
-  средства контроля и протоколирования доступа пользователей DeviceLock.
- антивируса Касперского 6.0 для Windows Servers или Dr.Web для Windows, реализующего функции антивирусной защиты операционной среды.
 
3.4. Должны быть в наличии средства восстановления СЗИ НСД, предусматривающие ведение двух копий программных средств СЗИ НСД и их периодическое обновление и контроль работоспособности.
 
Средства восстановления СЗИ реализовываются приложением для резервного копирования и аварийного восстановления Acronis® Backup & Recovery™ 10 Advanced Server и Acronis® Backup & Recovery™ 10 Server for Windows.

Состав сертифицированного ПО пользовательских АРМ:

  1. операционная система Microsoft Windows XP/Vista
  2. программный комплекс Microsoft Office Professional 2003/2007
  3. Антивирус Касперского 6.0 для Windows Work Stations
  4. электронный ключ eToken 5;
  5. средство контроля и протоколирования доступа пользователей к устройствам и портам ввода-вывода DeviceLock
  6. приложение для резервного копирования Acronis® Backup & Recovery™ 10 Advanced Workstation

Перечень требований РД АС для класса 1Г и их реализация сертифицированным программным обеспечением приведен в таблице 4.

Таблица 4.

Требование РД АС для класса защищенности 1Г
Средства, обеспечивающие выполнение
требований РД
1. ПОДСИСТЕМА УПРАВЛЕНИЯ ДОСТУПОМ
1.1. Идентификация и аутентификация (проверка подлинности) субъектов доступа при входе в систему по идентификатору (коду) и паролю условно-постоянного действия длиной не менее шести буквенно-цифровых символов.
Механизмы идентификация и аутентификация:
-  ОС Windows Vista/XP,
-  программного комплекса eToken TMS и  USB-ключи eToken 5.
1.2. Идентификация терминалов, ЭВМ, узлов сети ЭВМ, каналов связи, внешних устройств ЭВМ по логическим именам.
М Механизмы идентификация и аутентификация:
-  ОС Windows Vista/XP,
-  программного комплекса eToken TMS и  USB-ключи eToken 5.
1.3. Идентификация программ, томов, каталогов, файлов, записей, полей записей по именам.
1.4. Контроль доступа субъектов к защищаемым ресурсам в соответствии с матрицей доступа.
Механизмы идентификации, аутентификации и защита данных:
- ОС Windows Vista/ XP;
-  средства контроля и протоколирования доступа пользователей DeviceLock;
-  ПК Microsoft Office Professional 2003/2007.
2. ПОДСИСТЕМА РЕГИСТРАЦИИ И УЧЕТА
2.1. Регистрация входа/выхода субъектов доступа в систему/из системы, либо регистрация загрузки и инициализации операционной системы и ее программного останова. Регистрация выхода из системы или останова не проводится в моменты аппаратурного отключения АС. В параметрах регистрации указываются:
·   время и дата входа/выхода субъекта доступа в систему/из системы или загрузки/останова системы;
·   результат попытки входа: успешная или неуспешная – несанкционированная;
·   идентификатор (код или фамилия) субъекта, предъявленный при попытке доступа;
·   код или пароль, представленный при неуспешной попытке.
Механизмы  аудита безопасности:
-  ОС Windows Vista/ XP.
-  программного комплекса eToken TMS и  USB-ключи eToken 5.
2.2. Регистрация выдачи печатных (графических) документов на “твердую” копию. Выдача должна сопровождаться автоматической маркировкой каждого листа (страницы) документа его последовательным номером, общим количеством листов (страниц) и учетными реквизитами АС. В параметрах регистрации указываются:
·   время и дата выдачи (обращения к подсистеме вывода);
·   идентификатор устройства выдачи (логическое имя/номер);
·   краткое содержание (наименование, вид, шифр, код) и уровень конфиденциальности документа;
·   идентификатор субъекта доступа, запросившего документ.
С помощью организационно-распорядительных мероприятий.
Механизмы аудита безопасности:
 - ОС Windows Vista /XP;
-  ОС Windows Server 2003 Standard/Enterprise Edition Release R2  SP2;
 - средства контроля и протоколирования доступа пользователей DeviceLock.
2.3. Регистрация запуска/завершения программ и процессов (заданий, задач), предназначенных для обработки защищаемых файлов. В параметрах регистрации указываются:
·   дата и время запуска;
·   имя (идентификатор) программы (задания);
·   идентификатор субъекта доступа, запросившего программу (задания);
·   результат запуска (успешный, неуспешный – несанкционированный).
Механизмы аудита безопасности:
- ОС Windows Vista/ XP;
-  ОС Windows Server 2003 Standard/Enterprise Edition Release R2  SP;
- средства контроля и протоколирования доступа пользователей DeviceLock.
2.4. Регистрация попыток доступа программных средств (программ, заданий) к защищаемым файлам. В параметрах регистрации указываются:
·   дата и время попытки доступа к защищаемому файлу с указанием ее результата: успешная, неуспешная – несанкционированная;
·   идентификатор субъекта доступа;
·   спецификация защищаемого файла.
 
Механизмы аудита безопасности
- аудит безопасности ОС Windows Vista/ XP;
-  ОС Windows Server 2003 Standard/Enterprise Edition Release R2  SP2;
-  средства контроля и протоколирования доступа пользователей DeviceLock.
2.5. Регистрация попыток доступа программных средств к следующим дополнительным защищаемым объектам доступа: терминалам ЭВМ, узлам сети ЭВМ, линиям (каналам) связи, внешним устройствам ЭВМ, программам, томам, каталогам, записям, полям записей. В параметрах регистрации указываются:
·   дата и время попытки доступа к защищаемому объекту с указанием ее результата: успешная, неуспешная – несанкционированная;
·   идентификатор субъекта доступа;
·   спецификация защищаемого объекта (логическое имя/номер).
 
Механизмы безопасности:
- аудит безопасности ОС Windows Vista/ XP;
-  ОС Windows Server 2003 Standard/Enterprise Edition Release R2  SP2;
- средства контроля и протоколирования доступа пользователей DeviceLock.
2.6. Учет всех защищаемых носителей информации с помощью их маркировки и с занесением учетных данных в журнал (учетную карточку).
Реализуется с помощью организационно-распорядительных мероприятий. Как правило ведется «Журнал учета машинных носителей»), в котором регистрируются все машинные носители информации АС.
2.7. Учет защищаемых носителей должен проводиться в журнале (картотеке) с регистрацией их выдачи (приема)
Реализуется с помощью организационно-распорядительных мероприятий.
2.8. Очистка (обнуление, обезличивание) освобождаемых областей оперативной памяти ЭВМ и внешних носителей. Очистка осуществляется однократной произвольной записью в освобождаемую область памяти, ранее использованную для хранения защищаемых данных (файлов).
Механизм безопасности защита данных пользователя ОС Microsoft Windows Vista/XP. 
Очистка внешних накопителей обеспечивается пользователями и Администратором безопасности в соответствии с инструкциями и должностными обязанностями.
3. ПОДСИСТЕМА ОБЕСПЕЧЕНИЯ ЦЕЛОСТНОСТИ
3.1. Обеспечение целостности программных средств СЗИ НСД, а также неизменность программной среды, при этом:
·   целостность СЗИ НСД проверяется при загрузке системы по контрольным суммам компонент СЗИ;
·   целостность программной среды обеспечивается использованием трансляторов с языков высокого уровня и отсутствием средств модификации объектного кода программ в процессе обработки и (или) хранения защищаемой информации.
Механизм безопасности  защита ФБО.
Отсутствие на ПЭВМ (серверах) средств разработки исполняемых модулей программного обеспечения. Контроль целостности основных конфигурационных файлов ОС обеспечивается использованием программ контроля сертифицированных версий ПО «Check».
 
3.2. Физическая охрана средств вычислительной техники (устройств и носителей информации), предусматривающая контроль доступа в помещения АС посторонних лиц, наличие надежных препятствий для несанкционированного проникновения в помещения АС и хранилище носителей информации, особенно в нерабочее время.
Реализуется с помощью организационно-распорядительных мероприятий.
3.3. Периодическое тестирование функций СЗИ НСД при изменении программной среды и персонала АС с помощью тест-программ, имитирующих попытки НСД
Механизмы тестирования ФБО:
- ОС Microsoft Windows Vista/XP;
- ОС Windows Server 2003 Standard/Enterprise Edition Release R2  SP2;
- Антивирус Касперского 6.0 для Windows WorkStations или Dr.Web для Windows.
С помощью организационно-распорядительных мероприятий.
3.4. Должны быть в наличии средства восстановления СЗИ НСД, предусматривающие ведение двух копий программных средств СЗИ НСД и их периодическое обновление и контроль работоспособности.
 
Средство резервного копирования и аварийного восстановления Acronis® Backup & Recovery™ 10 Advanced Workstation.

Подробные сведения о сертифицированных механизмах защиты, используемого в решении программного обеспечения, содержатся в Заданиях по безопасности, Технических условиях и Руководствах по безопасной настройке и контролю

© ЗАО "АЛТЭКС-СОФТ", 2008-2020
Создание и продвижение сайтов — www.alexfill.ru.
Top.Mail.Ru