Рекомендации по настройке для соответствия требованиям о защите информации рекомендации по настройке для соответствия требованиям о защите информации
 Скачать 1.94 Mb.
|
|
РЕКОМЕНДАЦИИ ПО НАСТРОЙКЕ ДЛЯ СООТВЕТСТВИЯ ТРЕБОВАНИЯМ О ЗАЩИТЕ ИНФОРМАЦИИ РЕКОМЕНДАЦИИ ПО НАСТРОЙКЕ ДЛЯ СООТВЕТСТВИЯ ТРЕБОВАНИЯМ О ЗАЩИТЕ ИНФОРМАЦИИ СОДЕРЖАНИЕ 1. ТЕРМИНЫ И СОКРАЩЕНИЯ ................................................................1 2. РЕКОМЕНДАЦИИ ПО НАСТРОЙКЕ ДЛЯ СООТВЕТСТВИЯ ТРЕБОВАНИЯМ О ЗАЩИТЕ ИНФОРМАЦИИ ..................................1 2.1 Автоматизированные системы ..............................................................2 2.2 Государственные информационные системы ................................9 2.3 Информационные системы персональных данных ................... 16 РЕКОМЕНДАЦИИ ПО НАСТРОЙКЕ ДЛЯ СООТВЕТСТВИЯ ТРЕБОВАНИЯМ О ЗАЩИТЕ ИНФОРМАЦИИ ОТКАЗ ОТ ОТВЕТСТВЕННОСТИ Размещаемая в данном документе информация предназначена для свободного ознакомления. Вся информация предоставляется «как есть», без гарантий полноты, актуальности, точности, а также без иных гарантий, которые могут подразумеваться. Вы используете получаемую информацию на свой страх и риск. Центр защиты информации ООО «Конфидент» оставляет за собой право вносить без уведомления любые изменения в данный документ, а также в программное обеспечение, которое описано в документе. Используя информацию, изложенную в данном документе, Вы выражаете своё согласие с «Отказом от ответственности» и принимаете всю ответственность, которая может быть на Вас возложена. РЕКОМЕНДАЦИИ ПО НАСТРОЙКЕ ДЛЯ СООТВЕТСТВИЯ ТРЕБОВАНИЯМ О ЗАЩИТЕ ИНФОРМАЦИИ Страница 1 из 22 www.dallaslock.ru 2. РЕКОМЕНДАЦИИ ПО НАСТРОЙКЕ ДЛЯ СООТВЕТСТВИЯ ТРЕБОВАНИЯМ О ЗАЩИТЕ ИНФОРМАЦИИ 1. ТЕРМИНЫ И СОКРАЩЕНИЯ АС автоматизированная система МЭ межсетевой экран НДВ недекларированные возможности НСД несанкционированный доступ РД руководящий документ СБ Сервер безопасности СЗИ НСД «Dallas Lock» СДЗ средство доверенной загрузки СЗИ ВИ средство защиты информации в виртуальных инфраструктурах СКУД система контроля и управления доступом СОВ система обнаружения вторжений DL 8.0 СЗИ НСД «Dallas Lock 8.0» Dallas Lock 8.0 – сертифицированная система защи- ты информации накладного типа для автономных и сетевых АРМ (применима для сложных сетевых ин- фраструктур). Предназначена для защиты конфиденциальной ин- формации (редакции «К» и «С»), в том числе содер- жащейся в автоматизированных системах (АС) до класса защищенности 1Г включительно, в государ- ственных информационных системах (ГИС) до 1 клас- са защищенности включительно, в информационных системах персональных данных (ИСПДн) для обеспе- чения 1 уровня защищенности ПДн, в автоматизиро- ванных системах управления производственными и технологическими процессами (АСУ ТП) до 1 класса защищенности включительно, в значимых объектах критической информационной инфраструктуры (КИИ) до 1 категории включительно, а также для защиты информации, содержащей сведения, составляющие государственную тайну (редакция «С») до уровня «со- вершенно секретно» включительно. Использование СЗИ необходимо в соответствии с за- крепленными в приказах и руководящих документах регулятора группами мер, которые являются обяза- тельными для выполнения: • идентификация и аутентификация в информацион- ной системе; • управление доступом к компонентам информаци- онной системы и информационным ресурсам, • ограничение программной среды; • регистрация событий безопасности в информаци- онной системе; • обеспечение целостности информационной систе- мы и информации. Указанные группы мер должны быть реализованы в ИСПДн (Приказ ФСТЭК России № 21), в ГИС (Приказ ФСТЭК России № 17), в АСУ ТП (Приказ ФСТЭК Рос- сии № 31), в КИИ (Приказ ФСТЭК России №239), а также в автоматизированных системах классов 1Д и выше (Руководящий документ. Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации). РЕКОМЕНДАЦИИ ПО НАСТРОЙКЕ ДЛЯ СООТВЕТСТВИЯ ТРЕБОВАНИЯМ О ЗАЩИТЕ ИНФОРМАЦИИ Страница 2 из 22 www.dallaslock.ru 2.1 АВТОМАТИЗИРОВАННЫЕ СИСТЕМЫ СЗИ Dallas Lock, при определенных настройках, обес- печивает соответствие для следующих классов за- щищенности АС согласно РД «Автоматизированные системы. Защита он несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации»: Группа АС Классы защищенности АС первой группы 1Б 1В 1Г 1Д АС второй группы 2А 2Б АС третьей группы 3А 3Б (обяз.) - действие обязательно для выполнения в соответствии с требованиями (реком.) - значение параметра выставлено по умолчанию как рекомендуемое для выполнения, но может быть настроено на усмотрение администратора безопасности (АИБ) - значение параметра отключено по умолчанию и может быть настроено на усмотрение администратора безопасности. Пример: значение по умолчанию (АИБ) «-» - параметр отсутствует (например, из-за отсутствия в параметрах безопасности редакции «К») Примечание. Условные обозначения Для соответствия классам защищенности АС должны быть настроены параметры безопасности, перечислен- ные в таблицах №1, №2, №3, №4. В таблице №1 представлены политики безопасности категории «Параметры безопасности». В таблице №2 представлены политики безопасности категории «Контроль ресурсов». В таблице №3 представлены политики безопасности категории «МЭ». В таблице №4 представлены политики безопасности категории «СОВ». Таблица №1. Политики безопасности вкладки «Параметры безопасности» Продолжение Таблицы №1 ▼ Параметры Классы защищенности АС/Значения параметров 1Б, 1В, 1Г, 1Д 2А, 2Б 3А, 3Б Категория «Вход» Значения параметров Вход: запрет смены пользователя без перезагрузки 1Б: Вкл. (реком.) 1В, 1Г, 1Д: Выкл. (АИБ) 2А: Вкл. (реком.) 2Б: Выкл. (АИБ) Выкл. (АИБ) Вход: отображать имя последнего пользователя Да (реком.) Да (реком.) Да (реком.) Вход: максимальное кол-во ошибок ввода пароля 5 (реком.) 5 (реком.) 5 (реком.) Вход: время блокировки учетной записи в случае ввода неправильных паролей 15 мин. (реком.) 15 мин. (реком.) 15 мин. (реком.) Вход: отображать информацию о последнем успешном входе Нет (АИБ) Нет (АИБ) Нет (АИБ) РЕКОМЕНДАЦИИ ПО НАСТРОЙКЕ ДЛЯ СООТВЕТСТВИЯ ТРЕБОВАНИЯМ О ЗАЩИТЕ ИНФОРМАЦИИ Страница 3 из 22 www.dallaslock.ru Параметры Классы защищенности АС/Значения параметров 1Б, 1В, 1Г, 1Д 2А, 2Б 3А, 3Б Вход: запрет одновременной работы пользователей с различными уровнями или метками мандатного доступа 1Б, 1В: Выкл. (АИБ) 1Г, 1Д: «-» 2А: Выкл. (АИБ) 2Б: «-» «-» Вход: выбор мандатной метки при входе в ОС 1Б, 1В: Выкл. (АИБ) 1Г, 1Д: «-» 2А: Выкл. (АИБ) 2Б: «-» «-» Вход: разрешить использование смарт-карт Нет (АИБ) Нет (АИБ) Нет (АИБ) Вход: запретить использование парольного интерфейса входа Нет (АИБ) Нет (АИБ) Нет (АИБ) Вход: автоматический выбор аппаратного идентификатора при авторизации Нет (АИБ) Нет (АИБ) Нет (АИБ) Пароли: максимальный срок действия пароля 42 дн. (реком.) 42 дн. (реком.) 42 дн. (реком.) Пароли: минимальный срок действия пароля Не используется (АИБ) Не используется (АИБ) Не используется (АИБ) Пароли: напоминать о смене пароля за 14 дн. (реком.) 14 дн. (реком.) 14 дн. (реком.) Пароли: минимальная длина 1Б: не менее 8 симв. (обяз.) 1В, 1Г, 1Д: не менее 6 симв. (обяз.) не менее 6 симв. (обяз.) не менее 6 симв. (обяз.) Пароли: необходимо наличие цифр Да (обяз.) Да (обяз.) Да (обяз.) Пароли: необходимо наличие спец. символов 1Б: Да (реком.) 1В, 1Г, 1Д: Нет (АИБ) Нет (АИБ) Нет (АИБ) Пароли: необходимо наличие строчных и прописных букв 1Б: Да (реком.) 1В, 1Г, 1Д: Нет (АИБ) Нет (АИБ) Нет (АИБ) Пароли: необходимо отсутствие цифр в первом и последнем символе Нет (АИБ) Нет (АИБ) Нет (АИБ) Пароли: необходимо изменение пароля не меньше чем Не используется (АИБ) Не используется (АИБ) Не используется (АИБ) Домен безопасности Не задан (АИБ) Не задан (АИБ) Не задан (АИБ) Сеть: Ключ удаленного доступа АИБ АИБ АИБ Сеть: Время хранения сетевого кэша 30 мин (АИБ) 30 мин (АИБ) 30 мин (АИБ) Сеть: список незащищенных серверов АИБ АИБ АИБ Настройка считывателей аппаратных идентификаторов АИБ АИБ АИБ Блокировать компьютер при отключении аппаратного идентификатора Нет (АИБ) Нет (АИБ) Нет (АИБ) Блокировать файл-диски при отключении аппаратного идентификатора Да (АИБ) Да (АИБ) Да (АИБ) Текс сообщения при входе АИБ АИБ АИБ Использовать авторизационную информацию от СДЗ Dallas Lock Нет (АИБ) Нет (АИБ) Нет (АИБ) Категория «Аудит» Значения параметров Журнал входов в систему Вкл. (обяз.) Вкл. (обяз.) Вкл. (обяз.) Журнал ресурсов 1Д: Вкл. (реком.) 1Г, 1В, 1Б: Вкл. (обяз.) 2А: Вкл. (обяз.) 2Б: Вкл. (реком.) Вкл. (реком.) Журнал управления политиками безопасности 1Д, 1Г: Вкл. (реком.) 1В, 1Б: Вкл. (обяз.) Вкл. (реком.) Вкл. (реком.) Продолжение Таблицы №1 ▼ РЕКОМЕНДАЦИИ ПО НАСТРОЙКЕ ДЛЯ СООТВЕТСТВИЯ ТРЕБОВАНИЯМ О ЗАЩИТЕ ИНФОРМАЦИИ Страница 4 из 22 www.dallaslock.ru Параметры Классы защищенности АС/Значения параметров 1Б, 1В, 1Г, 1Д 2А, 2Б 3А, 3Б Журнал управления учетными записями 1Д, 1Г: Вкл. (реком.) 1В, 1Б: Вкл. (обяз.) Вкл. (реком.) Вкл. (реком.) Журнал печати 1Д: Выкл. (АИБ) 1Г, 1В, 1Б: Вкл. (обяз.) 2А: Вкл. (обяз.) 2Б: Выкл. (АИБ) 3А: Вкл. (обяз.) 3Б: Выкл. (АИБ) Журнал запуска/завершения процессов 1Д: Вкл. (реком.) 1Г, 1В, 1Б: Вкл. (обяз.) 2А: Вкл. (обяз.) 2Б: Вкл. (реком.) Вкл. (реком.) Служебный журнал МЭ Выкл. (АИБ) Выкл. (АИБ) Выкл. (АИБ) Журнал пакетов МЭ Выкл. (АИБ) Выкл. (АИБ) Выкл. (АИБ) Журнал соединений МЭ Выкл. (АИБ) Выкл. (АИБ) Выкл. (АИБ) Журнал трафика фильтрации МЭ Вкл. (АИБ) Вкл. (АИБ) Вкл. (АИБ) Журнал событий ОС Вкл. (обяз.) Вкл. (обяз.) Вкл. (обяз.) Журнал трафика СОВ Вкл. (АИБ) Вкл. (АИБ) Вкл. (АИБ) Журнал контроля приложений СОВ Вкл. (АИБ) Вкл. (АИБ) Вкл. (АИБ) Фиксировать в журнале входов неправильные пароли 1Д: Нет (АИБ) 1Г, 1В, 1Б:Да (обяз.) Нет (АИБ) Нет (АИБ) Заносить в журнал исходящие попытки входа на удаленные компьютеры Нет (АИБ) Нет (АИБ) Нет (АИБ) Заносить в журнал события запуска и остановки ОС Да (обяз.) Да (обяз.) Да (обяз.) Заносить в журнал события запуска и остановки модулей администрирования DL 1Д: Да (реком.) 1Г, 1В, 1Д: Да (обяз.) 2А: Вкл. (обяз.) 2Б: Вкл. (реком.) Вкл. (реком.) Аудит устройств 1Д: Вкл. (реком.) 1Г, 1В, 1Д: Вкл. (обяз.) 2А: Вкл. (обяз.) 2Б: Вкл. (реком.) 3А: Вкл. (обяз.) 3Б: Вкл. (реком.) Аудит событий зачистки 1Д: Вкл. (реком.) 1Г, 1В, 1Д: Вкл. (обяз.) 2А: Вкл. (обяз.) 2Б: Вкл. (реком.) 3А: Вкл. (обяз.) 3Б: Вкл. (реком.) Аудит доступа: Заносить в журналы ошибки ОС Выкл. (АИБ) Выкл. (АИБ) Выкл. (АИБ) Аудит доступа/запуска: Вести аудит системных пользователей Выкл. (АИБ) Выкл. (АИБ) Выкл. (АИБ) Печатать/редактировать штамп 1Д, 1Г: Нет (АИБ) 1В, 1Б: Да (обяз.) 2А: Да (обяз.) 2Б: Нет (АИБ) 3А: Да (обяз.) 3Б: Нет (АИБ) Создавать теневые копии распечатываемых документов Нет (АИБ) Нет (АИБ) Нет (АИБ) Разрешать печатать из-под уровней доступа 1Д, 1Г: «-» 1В, 1Б: Все уровни (реком.) 2А: Все уровни (реком.) 2Б: «-» «-» Добавлять штамп при печати под уровнями 1Д, 1Г: «-» 1В, 1Б: Все уровни (реком.) 2А: Все уровни (реком.) 2Б: «-» «-» Выгрузка журналов Выкл. (АИБ) Выкл. (АИБ) Выкл. (АИБ) Максимальное кол-во записей в журналах 2 000 (АИБ) 2 000 (АИБ) 2 000 (АИБ) Периодическая архивация журналов Не используется (АИБ) Не используется (АИБ) Не используется (АИБ) Категория «Права пользователей» Значения параметров Все значения параметров данной категории выставлены по умолчанию как рекомендуемые для выполнения, но могут быть настроены на усмотрение администратора безопасности, в соответствии с требованиями безопасности организации Продолжение Таблицы №1 ▼ РЕКОМЕНДАЦИИ ПО НАСТРОЙКЕ ДЛЯ СООТВЕТСТВИЯ ТРЕБОВАНИЯМ О ЗАЩИТЕ ИНФОРМАЦИИ Страница 5 из 22 www.dallaslock.ru Параметры Классы защищенности АС/Значения параметров 1Б, 1В, 1Г, 1Д 2А, 2Б 3А, 3Б Категория «Мандатный доступ» Значения параметров Категория «Мандатный доступ» доступна только для редакции «С», включает в состав подкатегорию «Уровни доступа» и «Мандатные метки». Предоставлено 7 уровней мандатного доступа (начиная с 0), АИБ может переименовывать название уровней и выполнять действия по управлению мандатными метками Категория «Очистка остаточной информации» Значения параметров Очищать освобождаемое дисковое пространство 1Д: Нет (АИБ) 1Г, 1В, 1Б: Да (обяз.) 2А: Да (обяз.) 2Б: Нет (АИБ) 3А: Да (обяз.) 3Б: Нет (АИБ) Очищать файл подкачки виртуальной памяти 1Д: Нет (АИБ) 1Г, 1В, 1Б: Да (обяз.) 2А: Да (обяз.) 2Б: Нет (АИБ) 3А: Да (обяз.) 3Б: Нет (АИБ) Очищать данные в конфиденциальных сеансах доступа 1Д, 1Г: «-» 1В, 1Б: Да (обяз.) 2А: Да (обяз.) 2Б: «-» «-» Проверять очистку информации Нет (АИБ) Нет (АИБ) Нет (АИБ) Количество циклов затирания 1Д: «1» (требования по количеству циклов затирания к 1Д не предъявляются, по умолчанию выставлено значение «1») 1Г: «1» (как минимум «1» цикл затирания, значение может быть изменено в большую сторону) 1В, 1Б: «2» (как минимум обязательно «2» цикла затирания, значение может быть изменено в большую сторону) 2А: как минимум 2 (обяз.) 2Б: «1» (требования по количеству циклов затирания к 2Б не предъявляются, по умолчанию выставлено значение «1») 3А: как минимум 2 (обяз.) 3Б: «1» (требования по количеству циклов затирания к 3Б не предъявляются, по умолчанию выставлено значение «1») Затирающая последовательность 00 00 00 00 (АИБ) 00 00 00 00 (АИБ) 00 00 00 00 (АИБ) Категория «Контроль целостности» Значения параметров Подкатегория «Политики» Проверять целостность ФС при загрузке ОС Вкл. (обяз.) Вкл. (обяз.) Вкл. (обяз.) Периодический контроль ФС Не используется (АИБ) Не используется (АИБ) Не используется (АИБ) Контроль ФС по расписанию Выкл. (АИБ) Выкл. (АИБ) Выкл. (АИБ) Проверять целостность прогр.апп. среды при загрузке ОС Вкл. (обяз.) Вкл. (обяз.) Вкл. (обяз.) Периодический контроль прогр. апп. среды Не используется (АИБ) Не используется (АИБ) Не используется (АИБ) Контроль прогр.апп. среды по расписанию Выкл. (АИБ) Выкл. (АИБ) Выкл. (АИБ) Проверять целостность реестра при загрузке ОС Вкл. (обяз.) Вкл. (обяз.) Вкл. (обяз.) Периодический контроль реестра Не используется (АИБ) Не используется (АИБ) Не используется (АИБ) Контроль реестра по расписанию Выкл. (АИБ) Выкл. (АИБ) Выкл. (АИБ) Изменение файлов с назначенным контролем целостности Разрешить (реком.) Разрешить (реком.) Разрешить (реком.) Подкатегория «Прогр.апп. среда» Для параметров данной категории выставлено значение «Выключено», необходимые значения выставляет администратор информационной безопасности самостоятельно Категория «Блокируемые расширения» В данной категории администратор информационной безопасности самостоятельно настраивает список расширений, которые необходимо блокировать Продолжение Таблицы №1 ▼ РЕКОМЕНДАЦИИ ПО НАСТРОЙКЕ ДЛЯ СООТВЕТСТВИЯ ТРЕБОВАНИЯМ О ЗАЩИТЕ ИНФОРМАЦИИ Страница 6 из 22 www.dallaslock.ru Продолжение Таблицы №3 ▼ Параметры Классы защищенности АС/Значения параметров 1Б, 1В, 1Г, 1Д 2А, 2Б 3А, 3Б Категория «Изолированные процессы» В данной категории администратор информационной безопасности самостоятельно настраивает список процессов, которые необходимо изолировать/не изолировать. По умолчанию все процессы не изолированы Категория «Загрузчик DL» Категория доступна только для редакции «С» и предназначена для включения и настройки режима загрузчика DL. Модуль загрузчика отрабатывает до загрузки ОС и выполняет роль дополнительного уровня защиты при попытке доступа к компьютеру Таблица №2. Политики безопасности вкладки «Контроль ресурсов» Параметры Классы защищенности АС/Значения параметров 1Б, 1В, 1Г, 1Д 2А, 2Б 3А, 3Б Значения параметров Категория «Дискреционный доступ» По умолчанию заданы следующие параметры, рекомендуем данные параметры оставить: - Параметры фиксированных дисков по умолчанию - C:\DLLOCK80\Logs - C:\DLLOCK80\Passports Остальные параметры данной категории настраиваются самостоятельно администратором информационной безопасности Категория «Мандатный доступ» Данная категория доступна только для редакции «С». Параметры данной категории настраиваются самостоятельно администратором информационной безопасности Категория «Аудит» В данной категории по умолчанию уже добавлены имена и параметры файлов, рекомендуем их оставить. Остальные параметры данной категории настраиваются самостоятельно администратором информационной безопасности |