- •6.1Проверка выполнения требований к подсистеме управления доступом 21
- •6.2 Проверка требований к подсистеме обеспечения целостности 23
- •6.3Проверка требований к подсистеме межсетевого экранирования 24
- •Введение.
- •Общие положения.
- •Все пользователи испДн являются сотрудниками отдела загс и подразделяются на 2 категории:
- •Расположение рабочих мест
- •Состав объекта испытаний:
- •Предложение об использовании сзи в испДн
- •VipNet Клиент кс2
- •Обоснование необходимости защиты персональных данных.
- •Проверка соответствия предложенных сзи 1 классу испДн.
- •6.1Проверка выполнения требований к подсистеме управления доступом
- •Проверка требований к подсистеме обеспечения целостности
- •6.3Проверка требований к подсистеме межсетевого экранирования
- •6.4Проверка требований к подсистеме анализа защищенности
- •6.5Проверка требований к подсистеме обнаружения вторжений
- •6.6Проверка требований к подсистеме антивирусной защиты
- •Заключение.
- •Список используемой литературы:
6.4Проверка требований к подсистеме анализа защищенности
Проверяется наличие в составе ПО ИС программных или программно-аппаратных средств анализа защищенности (сканеров безопасности).
В наличии имеется программное средство анализа защищенности XSpider на 5 IP-адресов (сканер безопасности).
Проверяется возможность выявления с помощьюXSpider уязвимостей, связанных с ошибками в конфигурации программного обеспечения информационной системы, которые могут быть использованы нарушителем для реализации атаки на систему.
Функциональные характеристики сканера уязвимостей предоставляют возможность выявлять уязвимости, связанные с ошибками в конфигурации программного обеспечения информационной системы.
6.5Проверка требований к подсистеме обнаружения вторжений
Проверяется наличие в ИС программных ли программно-аппаратных средств обнаружения вторжений, проводится анализ их работоспособности.
Производится определение имеющихся программных или программно-аппаратных средств обнаружения вторжений.
6.6Проверка требований к подсистеме антивирусной защиты
Проверка выполнения требований по наличию и функционированию в ИС средств антивирусной защиты.
Проверка заключается в анализе применяемого программного обеспечения на предмет наличия средств антивирусной защиты и анализе настроек механизмов антивирусной защиты.
Всистемеустановленыследующиеантивирусы: Kaspersky Internet Security 2011, Dr.Web Server Security Suit, Dr.Web Desktop Security Suit.
6.7Проверка уровня подготовки кадров и распределения ответственности персонала
Проверка выполняется в следующем порядке:
Проверяется наличие оформленных разрешений на доступ персонала к оборудованию ИС, определяющих полномочия по доступу к защищаемой информации и процедура их оформления.
Имеются: оформленные разрешения (распоряжения, приказы и т.д.) на доступ персонала к эксплуатации АРМ ИС, утвержденные в установленном порядке.
Проверяется система распределения ответственности за выполнение требований по безопасности информации.
Назначен ответственный сотрудник из числа персонала ИС, выполняющий функции администратора безопасности ИС.
Проверяется уровень знаний персонала инструкций по обеспечению безопасности информации и эксплуатации средств защиты.
Персонал ИС ознакомлен с инструкциями по обеспечению безопасности информации при работе с оборудованием ИС (инструкции пользователю), а администратор безопасности информации полностью владеет знаниями о функциях обеспечения безопасности ИС и осуществляет свою деятельность в соответствии с требованиями эксплуатационной, нормативно-методической документацией по безопасности информации.
Заключение.
В настоящее время аттестация информационных систем по требованиям безопасности информации обязательна для ИСПДн, в случае отнесения персональных данных к государственному информационному ресурсу, в остальных случаях - для ИСПДн 1, 2 и 3 классов.
В случае нарушения нарушении требований Федерального закона 152-ФЗ "О персональных данных", виновные лица могут нести гражданскую, уголовную, административную или дисциплинарную ответственность.
В ходе данной работы была разработана система защиты ИСПДн 1 класса для государственного предприятия «ЗАГС». В качестве механизмов уменьшения факторов риска применительно к уязвимым местам являются:
организация контроля за несанкционированным доступом на территорию (наличие пропускного режима), а также в помещения с оборудованием ИС;
реализация механизмов идентификации и аутентификации при доступе к основным техническим и программным средствам ИС с помощью механизмов защиты СЗИ «SecretNet 6.5»;
защита ИС при межсетевом взаимодействии сертифицированными средствами «VipNet Клиент КС2, Версия 3.1»;
использование Антивирусного программного обеспечения «KasperskyInternetSecurity 2011» и Антивирусное программное обеспечение «Dr.Web»;
наличие необходимой организационно-распорядительной документации;
наличие ответственного за эксплуатацию ИС.