|
@@ -1,131 +1,222 @@
|
|
|
-# **2.5.100_Установка_и_настройка_СЗИ_от_НСД.**
|
|
|
|
|
|
|
+# **2.5.100 Установка и настройка СЗИ от НСД.**
|
|
|
## **Общая характеристика и классификация мер и средств защиты информации от НСД.**
|
|
## **Общая характеристика и классификация мер и средств защиты информации от НСД.**
|
|
|
|
|
+
|
|
|
Меры по защите информации от НСД можно разделить на группы:
|
|
Меры по защите информации от НСД можно разделить на группы:
|
|
|
|
|
+
|
|
|
-идентификация и аутентификация субъектов доступа и объектов доступа;
|
|
-идентификация и аутентификация субъектов доступа и объектов доступа;
|
|
|
|
|
+
|
|
|
-управление доступом субъектов доступа к объектам доступа;
|
|
-управление доступом субъектов доступа к объектам доступа;
|
|
|
|
|
+
|
|
|
-ограничение программной среды;
|
|
-ограничение программной среды;
|
|
|
|
|
+
|
|
|
-защита машинных носителей информации;
|
|
-защита машинных носителей информации;
|
|
|
|
|
+
|
|
|
-регистрация событий безопасности;
|
|
-регистрация событий безопасности;
|
|
|
|
|
+
|
|
|
-антивирусная защита;
|
|
-антивирусная защита;
|
|
|
|
|
+
|
|
|
-обнаружение (предотвращение) вторжений;
|
|
-обнаружение (предотвращение) вторжений;
|
|
|
|
|
+
|
|
|
-контроль (анализ) защищенности информации;
|
|
-контроль (анализ) защищенности информации;
|
|
|
|
|
+
|
|
|
-обеспечение целостности ИС и информации;
|
|
-обеспечение целостности ИС и информации;
|
|
|
|
|
+
|
|
|
-обеспечение доступности информации;
|
|
-обеспечение доступности информации;
|
|
|
|
|
+
|
|
|
-защита среды виртуализации;
|
|
-защита среды виртуализации;
|
|
|
|
|
+
|
|
|
-защита технических средств;
|
|
-защита технических средств;
|
|
|
|
|
+
|
|
|
-защита ИС, ее средств, систем связи и передачи данных.
|
|
-защита ИС, ее средств, систем связи и передачи данных.
|
|
|
|
|
+
|
|
|
|
|
|
|
|
|
|
+
|
|
|
Меры по идентификации и аутентификации субъектов доступа и объектов доступа должны обеспечивать:
|
|
Меры по идентификации и аутентификации субъектов доступа и объектов доступа должны обеспечивать:
|
|
|
|
|
+
|
|
|
-присвоение субъектам и объектам доступа уникального признака (идентификатора);
|
|
-присвоение субъектам и объектам доступа уникального признака (идентификатора);
|
|
|
|
|
+
|
|
|
-сравнение предъявляемого субъектом (объектом) доступа идентификатора с перечнем присвоенных идентификаторов;
|
|
-сравнение предъявляемого субъектом (объектом) доступа идентификатора с перечнем присвоенных идентификаторов;
|
|
|
|
|
+
|
|
|
-проверку принадлежности субъекту (объекту) доступа предъявленного им идентификатора.
|
|
-проверку принадлежности субъекту (объекту) доступа предъявленного им идентификатора.
|
|
|
|
|
+
|
|
|
Идентификация и аутентификация являются первым эшелоном защиты от несанкционированного доступа и необходимо понимать разницу между этими понятиями.
|
|
Идентификация и аутентификация являются первым эшелоном защиты от несанкционированного доступа и необходимо понимать разницу между этими понятиями.
|
|
|
|
|
+
|
|
|
## **Средства защиты от НСД можно разделить на следующие группы:**
|
|
## **Средства защиты от НСД можно разделить на следующие группы:**
|
|
|
|
|
+
|
|
|
**-Технические средства.** Это различные по типу устройства (механические, электромеханические, электронные и др.),
|
|
**-Технические средства.** Это различные по типу устройства (механические, электромеханические, электронные и др.),
|
|
|
которые аппаратными средствами решают задачи защиты информации. Они либо препятствуют физическому проникновению, либо, если проникновение все же состоялось,
|
|
которые аппаратными средствами решают задачи защиты информации. Они либо препятствуют физическому проникновению, либо, если проникновение все же состоялось,
|
|
|
доступу к информации,
|
|
доступу к информации,
|
|
|
в том числе с помощью ее маскировки.
|
|
в том числе с помощью ее маскировки.
|
|
|
|
|
+
|
|
|
**-Программные средства** включают программы для идентификации пользователей, контроля доступа, шифрования информации, удаления остаточной информации типа временных файлов,
|
|
**-Программные средства** включают программы для идентификации пользователей, контроля доступа, шифрования информации, удаления остаточной информации типа временных файлов,
|
|
|
тестового контроля системы защиты и др.
|
|
тестового контроля системы защиты и др.
|
|
|
|
|
+
|
|
|
**-Смешанные аппаратно-программные средства** реализуют те же функции, что аппаратные и программные средства в отдельности.
|
|
**-Смешанные аппаратно-программные средства** реализуют те же функции, что аппаратные и программные средства в отдельности.
|
|
|
|
|
+
|
|
|
**-К организационным средствам** можно отнести разработку документов, определяющих правила и процедуры, реализуемые для обеспечения защиты информации в ИС,
|
|
**-К организационным средствам** можно отнести разработку документов, определяющих правила и процедуры, реализуемые для обеспечения защиты информации в ИС,
|
|
|
ограничение доступа в помещения, назначение полномочий по доступу и т.п.
|
|
ограничение доступа в помещения, назначение полномочий по доступу и т.п.
|
|
|
|
|
+
|
|
|
**-Криптографические средства** - средства шифрования, средства имитозащиты, средства электронной подписи, средства кодирования,
|
|
**-Криптографические средства** - средства шифрования, средства имитозащиты, средства электронной подписи, средства кодирования,
|
|
|
-средства изготовления ключевых документов, ключевые документы, аппаратные шифровальные (криптографические) средства, программно-аппаратные шифровальные (криптографические) средства.
|
|
|
|
|
|
|
+средства изготовления ключевых документов, ключевые документы, аппаратные шифровальные (криптографические) средства, программно-аппаратные шифровальные (криптографические) средства.
|
|
|
|
|
+
|
|
|
Прежде, чем выбирать средства защиты от НСД, необходимо определить перечень мер, которые они должны реализовывать.
|
|
Прежде, чем выбирать средства защиты от НСД, необходимо определить перечень мер, которые они должны реализовывать.
|
|
|
Перечень мер определяется на основе требований нормативных документов и исходя из модели угроз конкретной ИС.
|
|
Перечень мер определяется на основе требований нормативных документов и исходя из модели угроз конкретной ИС.
|
|
|
|
|
+
|
|
|
Для предварительного конфигурирования СЗИ от НСД с целью создания замкнутой программной среды на рабочих станциях могут быть использованы перечни исполняемых модулей прикладного и системного ПО,
|
|
Для предварительного конфигурирования СЗИ от НСД с целью создания замкнутой программной среды на рабочих станциях могут быть использованы перечни исполняемых модулей прикладного и системного ПО,
|
|
|
приведенные в Приложении. В нем приведены отдельные перечни модулей, исполняемых на серверных установках подсистем и рабочих станциях пользователей.
|
|
приведенные в Приложении. В нем приведены отдельные перечни модулей, исполняемых на серверных установках подсистем и рабочих станциях пользователей.
|
|
|
|
|
+
|
|
|
Однако следует учитывать, что приведенные перечни не могут претендовать на актуальность и исчерпываемость, поскольку они определялись в конкретных условиях определенной аппаратной и системной конфигурации
|
|
Однако следует учитывать, что приведенные перечни не могут претендовать на актуальность и исчерпываемость, поскольку они определялись в конкретных условиях определенной аппаратной и системной конфигурации
|
|
|
-и конкретных версий прикладного и системного программного обеспечения. Кроме того, порядок взаимодействия компонентов операционных систем, а также, остального применяемого системного ПО
|
|
|
|
|
|
|
+и конкретных версий прикладного и системного программного обеспечения.
|
|
|
|
|
+
|
|
|
|
|
+Кроме того, порядок взаимодействия компонентов операционных систем, а также, остального применяемого системного ПО
|
|
|
в значительной степени недокументирован и может изменяться с выходом новых версий или после применения сервисных пакетов.
|
|
в значительной степени недокументирован и может изменяться с выходом новых версий или после применения сервисных пакетов.
|
|
|
|
|
+
|
|
|
В связи с этим, настройка замкнутой программной среды на рабочих станциях и серверах подсистем в отношении системных исполняемых модулей может быть рекомендована только при применении СЗИ от НСД,
|
|
В связи с этим, настройка замкнутой программной среды на рабочих станциях и серверах подсистем в отношении системных исполняемых модулей может быть рекомендована только при применении СЗИ от НСД,
|
|
|
предоставляющих возможность предварительного тестирования функционального программного обеспечения в режиме так называемого «мягкого разграничения доступа».
|
|
предоставляющих возможность предварительного тестирования функционального программного обеспечения в режиме так называемого «мягкого разграничения доступа».
|
|
|
|
|
+
|
|
|
Включение рабочего режима разграничения доступа по отношению к системным компонентам ПО может допускаться только после тщательного анализа журналов СЗИ от НСД,
|
|
Включение рабочего режима разграничения доступа по отношению к системным компонентам ПО может допускаться только после тщательного анализа журналов СЗИ от НСД,
|
|
|
полученных по результатам полнофункционального тестирования защищаемой установки в режиме «мягкого разграничения доступа». Предварительное тестирование системы проводится в режиме «мягкого разграничения доступа».
|
|
полученных по результатам полнофункционального тестирования защищаемой установки в режиме «мягкого разграничения доступа». Предварительное тестирование системы проводится в режиме «мягкого разграничения доступа».
|
|
|
|
|
|
|
|
## **Установка СЗИ от НДС.**
|
|
## **Установка СЗИ от НДС.**
|
|
|
|
|
+
|
|
|
Рассмотрим установку на примере программы Dallas Lock 8.0.
|
|
Рассмотрим установку на примере программы Dallas Lock 8.0.
|
|
|
|
|
+
|
|
|
|
|
|
|
|
|
|
|
|
|
**Предварительная подготовка:**
|
|
**Предварительная подготовка:**
|
|
|
|
|
+
|
|
|
Перед установкой системы защиты Dallas Lock 8.0 необходимо выполнить следующие
|
|
Перед установкой системы защиты Dallas Lock 8.0 необходимо выполнить следующие
|
|
|
действия:
|
|
действия:
|
|
|
|
|
+
|
|
|
1.Если на компьютере уже установлена система защиты, её необходимо удалить.
|
|
1.Если на компьютере уже установлена система защиты, её необходимо удалить.
|
|
|
|
|
+
|
|
|
2.Необходимо убедиться, что на диске C имеется необходимое свободное
|
|
2.Необходимо убедиться, что на диске C имеется необходимое свободное
|
|
|
пространство для установки системы защиты.
|
|
пространство для установки системы защиты.
|
|
|
|
|
+
|
|
|
3.Проверить состояние жёстких дисков компьютера.
|
|
3.Проверить состояние жёстких дисков компьютера.
|
|
|
|
|
+
|
|
|
4.Рекомендуется произвести дефрагментацию диска.
|
|
4.Рекомендуется произвести дефрагментацию диска.
|
|
|
|
|
+
|
|
|
5.Проверить компьютер на отсутствие вирусов.
|
|
5.Проверить компьютер на отсутствие вирусов.
|
|
|
|
|
+
|
|
|
6.Перед установкой системы защиты необходимо выгрузить из памяти все
|
|
6.Перед установкой системы защиты необходимо выгрузить из памяти все
|
|
|
резидентные антивирусы.
|
|
резидентные антивирусы.
|
|
|
|
|
+
|
|
|
7.Закрыть все запущенные приложения.
|
|
7.Закрыть все запущенные приложения.
|
|
|
|
|
+
|
|
|
Также рекомендуется отключить кэширование записи для всех дисков.
|
|
Также рекомендуется отключить кэширование записи для всех дисков.
|
|
|
|
|
|
|
|
**Установка системы защиты:**
|
|
**Установка системы защиты:**
|
|
|
|
|
+
|
|
|
1.Для установки СЗИ НСД Dallas Lock 8.0 необходимо запустить установочный файл.
|
|
1.Для установки СЗИ НСД Dallas Lock 8.0 необходимо запустить установочный файл.
|
|
|
|
|
+
|
|
|
2.При установке системы защиты будет выведено окно для подтверждения операции, для подтверждения нажать далее.
|
|
2.При установке системы защиты будет выведено окно для подтверждения операции, для подтверждения нажать далее.
|
|
|
|
|
+
|
|
|
3.Для защиты от нелегального использования продукта необходимо ввести номер лицензии.
|
|
3.Для защиты от нелегального использования продукта необходимо ввести номер лицензии.
|
|
|
|
|
+
|
|
|
4.В том случае, когда необходимо ввести компьютер в домен безопасности, в процессе
|
|
4.В том случае, когда необходимо ввести компьютер в домен безопасности, в процессе
|
|
|
установки системы необходимо поставить флаг «Ввести компьютер в домен безопасности».
|
|
установки системы необходимо поставить флаг «Ввести компьютер в домен безопасности».
|
|
|
|
|
+
|
|
|
5.Опционально указать файл конфигурации.
|
|
5.Опционально указать файл конфигурации.
|
|
|
|
|
+
|
|
|
6.Далее наблюдать за процессом установки.
|
|
6.Далее наблюдать за процессом установки.
|
|
|
|
|
+
|
|
|
|
|
|
|
|
|
|
|
|
|
-Во время первого входа на защищённый компьютер после загрузки ОС появится всплывающее сообщение о том, что данный компьютер защищён
|
|
|
|
|
|
|
+Во время первого входа на защищённый компьютер после загрузки ОС появится всплывающее сообщение о том, что данный компьютер защищён.
|
|
|
|
|
+
|
|
|
После установки системы защиты и перезагрузки компьютера появится ярлык оболочки администратора СЗИ НСД Dallas Lock 8.0.
|
|
После установки системы защиты и перезагрузки компьютера появится ярлык оболочки администратора СЗИ НСД Dallas Lock 8.0.
|
|
|
|
|
+
|
|
|
**Настройка:**
|
|
**Настройка:**
|
|
|
|
|
+
|
|
|
Подразумевает подготовку к работе следующих подсистем:
|
|
Подразумевает подготовку к работе следующих подсистем:
|
|
|
|
|
+
|
|
|
1. Программное ядро (Драйвер защиты). Является ядром системы защиты и выполняет
|
|
1. Программное ядро (Драйвер защиты). Является ядром системы защиты и выполняет
|
|
|
-основные функции СЗИ:
|
|
|
|
|
|
|
+основные функции СЗИ.
|
|
|
|
|
+
|
|
|
2. Подсистема администрирования. Обеспечивает возможности по управлению
|
|
2. Подсистема администрирования. Обеспечивает возможности по управлению
|
|
|
СЗИ, аудиту и настройке параметров, просмотру, фильтрации и очистке журналов.
|
|
СЗИ, аудиту и настройке параметров, просмотру, фильтрации и очистке журналов.
|
|
|
|
|
+
|
|
|
3. Подсистема управления доступом. Осуществляет работу с различными типами
|
|
3. Подсистема управления доступом. Осуществляет работу с различными типами
|
|
|
аппаратных идентификаторов.
|
|
аппаратных идентификаторов.
|
|
|
|
|
+
|
|
|
4. Подсистема регистрации и учета. Обеспечивает ведение аудита и хранение информации событий в журналах.
|
|
4. Подсистема регистрации и учета. Обеспечивает ведение аудита и хранение информации событий в журналах.
|
|
|
|
|
+
|
|
|
5. Подсистема идентификации и аутентификации. Обеспечивает идентификацию и
|
|
5. Подсистема идентификации и аутентификации. Обеспечивает идентификацию и
|
|
|
аутентификацию локальных, доменных, терминальных и удаленных пользователей на этапе
|
|
аутентификацию локальных, доменных, терминальных и удаленных пользователей на этапе
|
|
|
входа в ОС.
|
|
входа в ОС.
|
|
|
|
|
+
|
|
|
6. Подсистема гарантированной зачистки информации. Обеспечивает зачистку остаточной
|
|
6. Подсистема гарантированной зачистки информации. Обеспечивает зачистку остаточной
|
|
|
информации.
|
|
информации.
|
|
|
|
|
+
|
|
|
7. Подсистема преобразования информации.
|
|
7. Подсистема преобразования информации.
|
|
|
|
|
+
|
|
|
8. Подсистема контроля устройств. Обеспечивает возможность разграничения доступа к
|
|
8. Подсистема контроля устройств. Обеспечивает возможность разграничения доступа к
|
|
|
подключаемым на ПК устройствам для определенных пользователей или групп пользователей
|
|
подключаемым на ПК устройствам для определенных пользователей или групп пользователей
|
|
|
и ведения аудита событий данного доступа.
|
|
и ведения аудита событий данного доступа.
|
|
|
|
|
+
|
|
|
9. Подсистема межсетевого экранирования. Обеспечивает контроль, а также фильтрацию
|
|
9. Подсистема межсетевого экранирования. Обеспечивает контроль, а также фильтрацию
|
|
|
потоков информации, поступающих в АС и выходящих за ее пределы.
|
|
потоков информации, поступающих в АС и выходящих за ее пределы.
|
|
|
|
|
+
|
|
|
10.Подсистема обнаружения вторжений. Обеспечивает обнаружение и блокирование основных
|
|
10.Подсистема обнаружения вторжений. Обеспечивает обнаружение и блокирование основных
|
|
|
угроз безопасности.
|
|
угроз безопасности.
|
|
|
|
|
+
|
|
|
11.Подсистема контроля целостности. Обеспечивает контроль целостности ФС, программноаппаратной среды и реестра, периодическое тестирование СЗИ.
|
|
11.Подсистема контроля целостности. Обеспечивает контроль целостности ФС, программноаппаратной среды и реестра, периодическое тестирование СЗИ.
|
|
|
|
|
+
|
|
|
12.Подсистема восстановления после сбоев.
|
|
12.Подсистема восстановления после сбоев.
|
|
|
|
|
+
|
|
|
13.Подсистема развертывания (установочные модули).
|
|
13.Подсистема развертывания (установочные модули).
|
|
|
|
|
+
|
|
|
14.Подсистема централизованного контроля конфигураций. Обеспечивает централизованный
|
|
14.Подсистема централизованного контроля конфигураций. Обеспечивает централизованный
|
|
|
сбор, передачу и контроль информации о состоянии программной среды.
|
|
сбор, передачу и контроль информации о состоянии программной среды.
|
|
|
|
|
+
|
|
|
15.Подсистема резервного копирования. Модуль резервного копирования позволяет
|
|
15.Подсистема резервного копирования. Модуль резервного копирования позволяет
|
|
|
восстанавливать безвозвратно модифицированные или удаленные файлы.
|
|
восстанавливать безвозвратно модифицированные или удаленные файлы.
|
|
|
|
|
+
|
|
|
## **Вывод:**
|
|
## **Вывод:**
|
|
|
|
|
+
|
|
|
Установка и настройка СЗИ от НСД на рабочих станциях и серверах выполняется администраторами информационной безопасности объектов автоматизации
|
|
Установка и настройка СЗИ от НСД на рабочих станциях и серверах выполняется администраторами информационной безопасности объектов автоматизации
|
|
|
в соответствии с эксплуатационной документацией на СЗИ от НСД и требованиями, разработанными подразделением технической защиты информации.
|
|
в соответствии с эксплуатационной документацией на СЗИ от НСД и требованиями, разработанными подразделением технической защиты информации.
|
|
|
|
|
+
|
|
|
Рекомендуется установку и настройку СЗИ от НСД выполнять на завершающем этапе настройки программного обеспечения подсистемы.
|
|
Рекомендуется установку и настройку СЗИ от НСД выполнять на завершающем этапе настройки программного обеспечения подсистемы.
|
|
|
|
|
|
|
|
**Вопросы**
|
|
**Вопросы**
|
|
|
1. На сколько групп разделяются СЗИ от НСД?
|
|
1. На сколько групп разделяются СЗИ от НСД?
|
|
|
|
|
+
|
|
|
3).
|
|
3).
|
|
|
|
|
+
|
|
|
5).
|
|
5).
|
|
|
|
|
+
|
|
|
13).
|
|
13).
|
|
|
|
|
+
|
|
|
Ответ: **13).**
|
|
Ответ: **13).**
|
|
|
|
|
+
|
|
|
2. Что делать если, при установке новой системы на компьютере уже до этого была установлена СЗИ от НДС?
|
|
2. Что делать если, при установке новой системы на компьютере уже до этого была установлена СЗИ от НДС?
|
|
|
|
|
+
|
|
|
Удалить старую.
|
|
Удалить старую.
|
|
|
|
|
+
|
|
|
Отключить анивирус.
|
|
Отключить анивирус.
|
|
|
|
|
+
|
|
|
Продолжить установку.
|
|
Продолжить установку.
|
|
|
|
|
+
|
|
|
Ответ: **Удалить старую.**
|
|
Ответ: **Удалить старую.**
|
|
|
|
|
+
|
|
|
3. Что нужно определить перед установкой СЗИ от НДС?
|
|
3. Что нужно определить перед установкой СЗИ от НДС?
|
|
|
|
|
+
|
|
|
Перечень мер, которые они должны реализовывать.
|
|
Перечень мер, которые они должны реализовывать.
|
|
|
|
|
+
|
|
|
Требования ПК.
|
|
Требования ПК.
|
|
|
|
|
+
|
|
|
Наличие дополнительного ПО.
|
|
Наличие дополнительного ПО.
|
|
|
|
|
+
|
|
|
Ответ: **Перечень мер, которые они должны реализовывать**
|
|
Ответ: **Перечень мер, которые они должны реализовывать**
|
|
|
|
|
+
|
|
|
4. В каком режиме проводится тестирование СЗИ от НДС?
|
|
4. В каком режиме проводится тестирование СЗИ от НДС?
|
|
|
|
|
+
|
|
|
Нагрузки на ОС.
|
|
Нагрузки на ОС.
|
|
|
|
|
+
|
|
|
«Мягкого разграничения доступа».
|
|
«Мягкого разграничения доступа».
|
|
|
|
|
+
|
|
|
Тестирования.
|
|
Тестирования.
|
|
|
|
|
+
|
|
|
Ответ: **«Мягкого разграничения доступа»**
|
|
Ответ: **«Мягкого разграничения доступа»**
|
