IX. Способы и методы технической, в том числе криптографической защиты информации ЕАИСТО
25. Система защиты информации ЕАИСТО создана в соответствии с классом, моделью угроз и нарушителя ЕАИСТО, требованиями положения о методах и способах защиты информации в информационных системах персональных данных, утвержденного приказом ФСТЭК России от 5 февраля 2010 г. № 58 «Об утверждении положения о методах и способах защиты информации в информационных системах персональных данных»1, а также Правил, утвержденных постановлением Правительства Российской Федерации от 23 декабря 2011 г. № 1115.
Система защиты информации ЕАИСТО строится на сертифицированных по требованиям ФСТЭК и ФСБ России программных и (или) программно-аппаратных СЗИ, в том числе СКЗИ, и включает в себя следующие подсистемы:
управления доступом на АРМ;
управления доступом на серверах БД;
регистрации и учета на АРМ и на серверах БД;
обеспечения целостности;
антивирусной защиты;
межсетевого экранирования;
криптографической защиты;
обнаружения вторжений;
анализа защищенности.
26. Подсистемами, входящими в состав системы защиты информации ЕАИСТО, являются:
26.1. Подсистема управления доступом на АРМ;
26.2. Подсистема управления доступом на серверах БД;
26.3. Подсистема регистрации и учета на АРМ и на серверах БД, обеспечивающая регистрацию:
попыток доступа субъектов доступа в ЕАИСТО;
запуска (завершения) программ и процессов (заданий, задач), предназначенных для обработки защищаемых файлов;
попыток доступа программных средств (программ, процессов, задач, заданий) к защищаемым файлам.
26.4. Подсистема обеспечения целостности, осуществляющая:
26.4.1. Контроль целостности программной среды СЗИ от НСД, обрабатываемой информации, а также неизменность программной среды ОС. Одновременно происходит:
вычисление контрольных значений проверяемых объектов и сопоставление их с ранее рассчитанными для каждого из этих объектов эталонными значениями;
формирование списка подлежащих контролю объектов с указанием пути к каждому контролируемому файлу и координат каждого контролируемого сектора при помощи программы управления шаблонами контроля целостности.
26.4.2. Контроль целостности передаваемой информации.
26.5. Подсистема антивирусной защиты осуществляет защиту АРМ пользователей и серверного оборудования от вредоносных программ (программно-математических воздействий), которые могут быть внесены в процессе эксплуатации ПО с внешних носителей информации или по сети Интернет.
Антивирусные средства защиты устанавливаются на всех АРМ и серверном оборудовании ЕАИСТО.
26.6. Подсистема межсетевого экранирования предназначена для защиты от несанкционированного удаленного доступа со стороны внешнего нарушителя, осуществляющего атаки через сеть Интернет, в операционную среду средств вычислительной техники1.
Подсистема межсетевого экранирования строится на межсетевом экранировании2, которое реализовано на криптошлюзах и ПСЭ, входящих в состав АРМ пользователей.
МЭ и ПСЭ, используемые при защищенном информационном взаимодействии, осуществляют защиту сетевых узлов посредством фильтрации информации (анализа по совокупности критериев и принятия решения).
26.6.1. МЭ обеспечивает:
фильтрацию, анализ и регистрацию IP-трафика;
маршрутизацию обрабатываемой и управляющей информации между сетевыми узлами;
регистрацию и предоставление информации о текущих
IP–адресах и способах подключения сетевых узлов;
поддержку виртуальных IP-адресов;
динамическую и статическую трансляцию (NAT) открытых сетевых адресов;
оповещение сетевых узлов о состоянии других сетевых узлов, связанных с ним.
26.6.2. ПСЭ обеспечивают:
фильтрацию входящего трафика с целью предотвращения НСД;
фильтрацию входящего и исходящего трафика с целью обнаружения вредоносного ПО;
прозрачную работу через устройства статической и динамической NAT/PAT маршрутизации при любых способах подключения к VPN-сети;
поддержку виртуальных IP-адресов;
контроль активности сетевых приложений, установленных на сетевых узлах, что способствует своевременному обнаружению и блокировке активности несанкционированно установленного ПО.
26.7. Подсистема криптографической защиты предназначена для обеспечения защиты информации, передаваемой по каналам связи, при информационном взаимодействии через VPN-сеть.
26.7.1. СКЗИ, входящие в состав подсистемы криптографической защиты информации, обеспечивают:
шифрование и расшифрование файлов, электронных документов, сетевых пакетов и сетевого трафика;
проверку целостности программного и информационного обеспечения;
создание криптографических туннелей для защиты информации при передаче по каналам связи;
туннелирование пакетов в защищенное соединение от заданных адресов незащищенных СВТ;
подключение в единую VPN-сеть пользователей различных ОТО, имеющих одинаковые IP-адреса.
СКЗИ реализуют следующие отечественные криптографические алгоритмы:
алгоритм выработки значения хэш-функции в соответствии с ГОСТ Р 34.11–941 «Информационные технологии. Криптографическая защита информации. Функции хэширования»;
алгоритм формирования и проверки электронной подписи в соответствии с ГОСТ Р 34.10–20012 «Информационная технология. Криптографическая защита информации. Процессы формирования и проверки электронной цифровой подписи»;
алгоритм шифрования и расшифрования в соответствии с ГОСТ 28147–893 «Системы обработки информации. Защита криптографическая».
26.7.2. Средства управления СКЗИ применяются на АРМ администратора защиты VPN-сети и включают в себя:
средства централизованного управления, в состав которых входит Центр управления VPN-сетью и Центр управления ключевой информацией;
средства локального управления криптошлюзами и СКЗИ на АРМ пользователей.
Администрирование VPN-сети осуществляется централизованно с возможностью вынесения отдельных функций непосредственно на сетевом узле VPN-сети.
26.7.3. Средства централизованного управления VPN-сетью обеспечивают:
регистрацию сетевых узлов и пользователей VPN-сети;
установку полномочий и связей пользователей VPN-сети;
задание IP-адресов туннелирования и других сетевых параметров;
формирование справочников сетевых узлов и пользователей для центра управления ключевой информацией;
централизованную рассылку на сетевые узлы обновлений справочников, ключевой информации и ПО;
централизованное управление и контроль за структурой VPN-сети.
26.7.4. Средства централизованного управления ключевой информацией VPN-сети обеспечивают:
генерацию закрытого ключа ЭП УЛ;
издание, сопровождение сертификатов пользователей (выпуск, приостановку действия, отзыв, распространение информации о статусе);
издание сертификатов открытых ключей пользователей и УЛ;
формирование списка отозванных сертификатов1;
формирование данных, необходимых для выработки сертификатов пользователей;
вычисление и проверку ЭП;
создание и обновление ключевых дисков и ключевых наборов для пользователей;
создание парольной информации;
формирование ключей ЭП по обращениям пользователей с записью их на ключевой носитель;
подтверждение подлинности ЭП в документах, представленных в электронной форме, по обращениям пользователей;
распространение ЭП по обращениям пользователей;
кросс-сертификацию со сторонними удостоверяющими центрами2, соответствующими техническим требованиям;
возможность издания сертификатов пользователей по запросам от Центра регистрации3;
возможность взаимодействия с ЦР (не менее чем с двумя);
возможность защищенного взаимодействия с ЦР;
двустороннюю аутентификацию соединений УЦ и ЦР;
возможность ведения журнала работы УЦ;
публикация актуального СОС в точках публикации.
26.7.5. Средства локального управления криптошлюзами и СКЗИ, установленных на АРМ пользователей, обеспечивают:
задание тонкой настройки работы СУ;
настройку СУ, при которой невозможен отказ от загрузки ПО;
постоянный мониторинг работоспособности СУ с целью оперативного реагирования на возможные неисправности.
26.8. Подсистема обнаружения вторжений обеспечивает возможность выявить и блокировать сетевые атаки в информационных системах.
26.9. Подсистема анализа защищенности обеспечивает проверку АРМ, серверного оборудования и сервисов в информационной системе на предмет обнаружения уязвимостей.
27. Помещения ЕАИСТО для размещения СКЗИ должны удовлетворять требованиям, указанным в правилах пользования СКЗИ4.
28. С целью обеспечения безопасности ЕАИСТО также должны быть выполнены следующие мероприятия:
физическая охрана АРМ, серверного оборудования, СЗИ, в том числе СКЗИ, которая предусматривает контроль доступа в помещения ЕАИСТО посторонних лиц, наличие надежных препятствий для несанкционированного проникновения в данные помещения, особенно в нерабочее время;
своевременное обеспечение средствами восстановления СЗИ НСД и обрабатываемой информации, в том числе БД, которые предусматривают ведение двух копий, их периодическое обновление и контроль работоспособности;
периодическое тестирование функций системы защиты ПДн при изменении программной среды и пользователей ЕАИСТО с помощью тестовых программ, имитирующих попытки несанкционированного доступа;
организация разрешительной системы допуска пользователей ЕАИСТО и обслуживающего персонала к инфраструктуре, в том числе СЗИ, и помещения ЕАИСТО;
учет и хранение носителей информации, исключающие их хищение, подмену и уничтожение;
размещение в пределах контролируемой зоны технических средств, в том числе СЗИ и СКЗИ, осуществляющих обработку персональных данных;
учет лиц, ответственных за эксплуатацию информационных систем.
Приложение № 1
к Инструкции по вводу единой автоматизированной информационной системы технического осмотра транспортных средств в эксплуатацию
Рабочий журнал эксплуатации
программно-технического комплекса объекта ЕАИСТО
№ п/п
|
Дата
|
Отказ оборудования
|
Сбой в работе
программного обеспечения
|
Изменение параметров системы
|
Корректировка документации
|
Обновление программного обеспечения
|
Замена технических средств
|
Ответственное лицо
|
Исполнитель работ
|
1
|
2
|
3
|
4
|
5
|
6
|
7
|
8
|
9
|
10
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Примечания:
В графе 3 указывается наименование отказавшего оборудования, и если возможно установить, то причина, вызвавшая отказ.
В графе 4 указываются: оборудование, вызывающее сбой в работе ЕАИСТО; название ПО и код сообщения об ошибке (если код сообщения отсутствует, то описывается характер сбоя).
В графе 5 указываются: оборудование, на котором произведены изменения параметров ЕАИСТО; характер произведенных изменений (изменение аппаратной части ЕАИСТО, либо изменения в ПО). Если изменения касаются ПО, то необходимо указать наименование конфигурационного файла и изменяемые параметры в нем.
В графе 6 необходимо указать документ, в который были внесены изменения, и основание для изменения.
В графе 7 указываются дата произведенного обновления, название программного обеспечения и текущая версия.
-
В графе 8 указываются наименование заменяемого оборудования и его серийный номер.
Приложение № 2
к Инструкции по вводу единой автоматизированной информационной системы технического осмотра транспортных средств в эксплуатацию
ЗАЯВКА
на предоставление (прекращение) прав доступа сотрудникам
__________________________________________________________________
(наименование органа внутренних дел)
к единой автоматизированной информационной системе
технического осмотра транспортных средств
N
п/п
|
Наименование
структурного
подразделения
|
Должность,
фамилия, имя, отчество
сотрудника
|
Рабочий
телефон
сотрудника
|
Адрес
ведомственной
электронной почты
сотрудника
|
Функции, выполняемые
сотрудником в процессе
работы с ЕАИСТО
|
1
|
2
|
3
|
4
|
5
|
6
|
1.
|
|
|
|
|
|
2.
|
|
|
|
|
|
3.
|
|
|
|
|
|
Руководитель: _____________________________________________________________________________________________
(должность, специальное звание, подпись, расшифровка подписи)
« » 20 г.
Приложение № 3
к Инструкции по вводу единой автоматизированной информационной системы технического осмотра транспортных средств в эксплуатацию
|
