- •Список сокращений
- •Введение
- •1 Аналитическая часть
- •1.1 Описание предприятия
- •1.2 Описание хранилища данных оао «Ростелеком»
- •1.3 Классификация испДн
- •1.4 Угрозы безопасности пДн
- •1.5 Описание модели угроз
- •1.6 Модель нарушителя в испДн
- •1.7 Анализ рисков
- •2 Конструкторская часть
- •2.1 Техническое задание
- •2.2 Организационные мероприятия по защиты информации в ис хранилища данных оао «Ростелеком»
- •2.3 Физические мероприятия по защите информации в ас
- •2.4 Система охранно-пожарной сигнализации
- •2.5 Программно - аппаратные средства защиты пд в испДн
- •2.5.1 Обзор рынка программно - аппаратных средств защиты от нсд
- •Сзи «Страж nt (версия 2.5)»
- •Аккорд-амдз
- •Аккорд nt/2000 V. 3.0.
- •Ксзи «панцирь-с»
- •Secret Net 5.0-с(сетевой вариант)
- •Сзи "Блокпост-2000/xp"
- •2.5.2 Выбор программно-аппаратного средства защиты от нсд
- •2.5.3 Межсетевые экраны
- •2.5.3 Обзор рынка и выбор средства антивирусной защиты
- •2.5.4 Защита базы данных
- •Безопасность жизнедеятельности
- •Анализ помещения, где располагается рабочее место начальника вц
- •Анализ организации рабочего места начальника вц
- •Анализ освещения рабочего места начальника вц
- •Анализ микроклимата
- •Анализ уровня шума и вибраций
- •Анализ электробезопасности
- •Анализ пожарной безопасности
- •Расчет естественного бокового освещения
- •Рекомендации по охране труда
- •Заключение
- •Список литературы
- •Приложение
Аккорд-амдз
СЗИ Аккорд-АМДЗ (аппаратный модуль доверенной загрузки) представляет собой программно-аппаратный комплекс, предназначенный для обеспечения защиты информации от НСД. Он представляет из себя PCI плату (контроллер), подключаемый к компьютеру и комплект устанавливаемого ПО. Данная плата абсолютно независима от ОС, имеет встроенную энергонезависимую ПЗУ, в которой хранится вся необходимая для функционирования информация. Аккорд-АМДЗ имеет возможность обеспечивать идентификацию и аутентификацию (в том числе и при помощи ключей TouchMemory), контроль целостности конфигурации компьютера, журнализацию событий.Комплекс начинает работу сразу после выполнения штатного BIOS компьютера – до загрузки операционной системы, и обеспечивает доверенную загрузку ОС, поддерживающих следующие файловые системы: FAT 12, FAT 16, FAT 32, NTFS, HPFS, EXT2FS, EXT3FS, FreeBSD, Sol86FS, QNXFS, MINIX
Аккорд nt/2000 V. 3.0.
СЗИ НСД "Аккорд-NT/2000" v.3.0 является программной надстройкой над аппаратным модулем и предназначен для разграничения доступа пользователей к рабочим станциям, терминалам и терминальным серверам. Комплекс работает на всей ветви операционных систем (ОС) Microsoft NT +, на терминальных серверах, построенных на базе ОС Windows 2000 Advanced Server и на базе серверов семейства Windows 2003, и ПО Citrix Metaframe XP, работающем на этих ОС. Комплекс обеспечивает для пользователя "прозрачный" режим работы, при котором он, как правило, не замечает внедренной системы защиты.
Поддерживаемая ОС:
Windows NT, Windows 2000, ХР, 2003, MS Vista
Подсистемы:
-
Подсистема управления:
Обеспечивает идентификацию и аутентификацию пользователей, разграничение доступа к ресурсам (дискреционный и мандатный способы), настройка учетной записи пользователей (изменение имени и пароля, задание временных ограничений работы), механизм временной блокировки компьютера, управление потоками информации.
-
Подсистема контроля целостности:
В СВТ должны быть предусмотрены средства периодического контроля за целостностью программной и информационной части КСЗ. Программы КСЗ должны выполняться в отдельной части оперативной памяти.
-
Подсистема регистрации:
- использование идентификационного и аутентификационного механизма;
- запрос на доступ к защищаемому ресурсу (открытие файла, запуск программы и т.д.);
- создание и уничтожение объекта;
- действия по изменению ПРД.
Комплекс Аккорд входит в состав средств криптографической защиты информации "Верба", "АПДС", "АПДС-В", "АПДС-С".
Аккорд-NT/2000 3.0 соответствует требованиям руководящих документов ФСТЭК по 3 классу защищенности и может использоваться при создании автоматизированных систем до класса защищенности 1В включительно.
Ксзи «панцирь-с»
Комплексная система защиты информации «Панцирь-С» предназначена для защиты информации, обрабатываемой на автономном компьютере, либо на компьютерах в составе сети, а так же для защиты системных ресурсов.
КСЗИ служит для эффективного противодействия, как известным, так и потенциально возможным атакам на защищаемые ресурсы, что обеспечивается устранением архитектурных недостатков защиты современных ОС и расширением их функциональных возможностей. КСЗИ может применяться для защиты, как от внешних, так и от внутренних ИТ-угроз, обеспечивая эффективное противодействие атакам и со стороны хакеров, и со стороны инсайдеров (санкционированных пользователей, допущенных к обработке информации на защищаемом вычислительном средстве). КСЗИ также может использоваться для эффективного противодействия вирусным атакам и вредоносным программам. Система реализована программно, содержит в своем составе клиентскую и серверную части (для реализации АРМа администратора безопасности в составе сети).
Основные механизмы защиты КСЗИ реализованы в виде системных драйверов. Все возможности защиты, предоставляемые КСЗИ, реализованы собственными средствами (не использованы встроенные механизмы ОС).
Основные механизмы защиты, реализованные в КСЗИ «Панцирь-С»:
-
Механизм мандатного разграничения доступа к локальным и разделенным в сети ресурсам – к файловым объектам на жестком диске и на внешних накопителях, позволяющий реализовать управление информационными потоками на основе меток конфиденциальности;
-
Механизмы дискреционного разграничения доступа к локальным и разделенным в сети ресурсам – к файловым объектам, к объектам реестра ОС, к внешних накопителям, к принтерам, к сетевым хостам и др., позволяющие реализовать ролевую модель доступа к ресурсам;
-
Механизм разделения между пользователями файловых объектов, не разделяемых ОС и приложениями, позволяющий корректно реализовать управление информационными потоками на основе меток конфиденциальности и ролевую модель доступа к ресурсам;
-
Механизм включения в разграничительную политику субъекта "процесс", как самостоятельного субъекта доступа к ресурсам, принципиально расширяющий функциональные возможности защиты, противодействующий атакам на расширение привилегий, атакам на использование вредоносного кода и ошибок в приложениях;
-
Механизм управления подключением (монтированием) устройств с учетом их серийных номеров, позволяющий сформировать объект защиты;
-
Механизм обеспечения замкнутости программной среды, позволяющий локализовать среду исполнения для пользователей, в частности противодействующий запуску любых вредоносных программ, в том числе, запускаемых инсайдером (санкционированным пользователем);
-
Механизмы контроля целостности файловых объектов (программ и данных) и контроля корректности функционирования КСЗИ;
-
Механизм авторизации, позволяющий подключать аппаратные средства ввода парольных данных (eToken и др.);
-
Механизм контроля корректности идентификации субъекта доступа к ресурсам (контроль сервисов олицетворения);
-
Механизм шифрования данных, реализующий ключевую политику, обеспечивающую невозможность несанкционированно раскрыть похищенную информацию (в том числе и собственно пользователем, ее обрабатывающим - инсайдером), даже при наличии у похитителя ключа шифрования.
Сертификат ФСТЭК России. КСЗИ «ПАНЦИРЬ-С» ДЛЯ ОС WINDOWS 2000/XP/2003 сертифицированная по 4 классу СВТ и 3 уровню контроля НДВ, собственными средствами реализует все технические требования, регламентируемые для АС класса защищенности 1В.
Dallas Lock 7.0
Система Dallas Lock 7.0 представляет собой программное средство защиты от НСД к информации в персональном компьютере с возможностью подключения аппаратных идентификаторов. Система предназначена для защиты компьютера, подключенного к локальной вычислительной сети, от несанкционированного доступа в среде ОС WINDOWS 2000, XP.
Dallas Lock 7.0 обеспечивает многоуровневую защиту локальных ресурсов компьютера:
- защиту информации от несанкционированного доступа на ПЭВМ в ЛВС через терминальный и сетевой вход;
- разграничение полномочий пользователей по доступу к ресурсам файловой системы;
- защита данных путем преобразования диска (кодирования);
- разграничение доступа при сетевом взаимодействии;
- сетевое администрирование, включая удаленную настройку и просмотр журналов.
СЗИ Dallas Lock 7.0. включает подсистему очистки остаточной информации, которая гарантирует предотвращение восстановления удаленных данных.
В электронных журналах фиксируются действия пользователей по работе на компьютере, в том числе в отдельном журнале фиксируются обращения пользователей к локальному и сетевым принтерам. В журнале входов фиксируются все события по входу на защищенный компьютер, в том числе все попытки несанкционированного входа: (попытка входа незарегистрированного пользователя, неправильный ввод пароля, попытка входа в неразрешенное время и др.).
Для защиты от загрузки компьютера и доступа к информации, хранящейся на локальных дисках, в обход СЗИ, предусмотрены модули для кодирования в «прозрачном» режиме. Данные могут кодироваться с использованием нескольких алгоритмов - по выбору пользователя. Информация кодируется при записи и раскодируется при чтении с носителя. При работе процесс кодирования незаметен для пользователя.
Модули контроля целостности объектов компьютера обеспечивают:
- контроль целостности BIOS;
- контроль целостности Boot сектора;
- контроль целостности CMOS-памяти компьютера;
- контроль целостности MBR;
- контроль целостности файлов и папок при загрузке компьютера;
- контроль целостности файлов при доступе;
- блокировку загрузки компьютера при выявлении изменений;
- блокировку запуска программ при выявлении изменений.
Система позволяет осуществлять удаленное администрирование.
Сертификат соответствия ФСТЭК № 896 удостоверяет, что система защиты информации от несанкционированного доступа Dallas Lock 7.0 является программным средством защиты информации от несанкционированного доступа к информационным ресурсам компьютеров, функционирующих под управлением операционных систем семейства MS WINDOWS 2000, WINDOWS XP и соответствует требованиям руководящих документов ФСТЭК России по 3-му уровню контроля отсутствия недекларированных возможностей и 4-му классу защищенности от НСД.
СЗИ «Security Studio»
Система Security Studio предназначена для защиты информации, составляющей коммерческую тайну, и персональных данных.
Достоинства системы Security Studio:
-
Соответствие требованиям регулирующих документов
СЗИ Security Studio помогает соответствовать требованиям российских и международных законодательных актов и регулирующих документов по защите конфиденциальной информации, коммерческой тайны и персональных данных.
-
Наличие инструментов централизованного управления, мониторинга и аудита
Централизованной управление и мониторинг в режиме реального времени позволяют оперативно выявлять любые инциденты безопасности, возникающие при работе пользователей информационной системы.
-
Комплексность решения
Имеющийся набор функций позволяет использовать только Security Studio, вместо нескольких решений от разных производителей.
-
Модульная система
Организации различного размера могут построить систему необходимого им уровня защищенности и управляемости, за счет возможности лицензирования подходящих модулей.
Ключевые возможности СЗИ Security Studio:
-
Простота внедрения в информационные системы любой сложности;
-
Идентификация и аутентификация пользователей, в том числе с использованием электронных идентификаторов eToken;
-
Гибкое разграничение прав пользователей, основанное на неиерархических метках конфиденциальности (до 50 меток);
-
Всесторонний контроль обращения пользователей с защищаемой информацией;
-
Разграничение прав доступа пользователей к любому внутреннему и внешнему устройству;
-
Аудит действий пользователей, включая администраторов;
-
Контроль целостности среды обработки данных:
- контроль аппаратной конфигурации компьютеров;
- контроль настроек операционной системы и критичных приложений серверов, рабочих станций;
- контроль настроек оборудования Cisco.
-
Гарантированное затирание содержимого файлов при их удалении;
-
Централизованное управление всеми компонентами системы и мониторинг в режиме реального времени при защите локальных и распределенных сетей.
Для упрощения защиты локальных и распределенных информационных систем централизованное управление Security Studio полностью интегрировано в стандартные средства управления ОС Windows.
Сертификат соответствия ФСТЭК подтверждает соответствие средства защиты информации Security Studio требованиям руководящих документов ФСТЭК России по 4-му уровню контроля на отсутствие недекларированных возможностей и 5-му классу защищенности по СВТ.