Рекомендации по настройке для соответствия требованиям о защите информации рекомендации по настройке для соответствия требованиям о защите информации

РЕКОМЕНДАЦИИ ПО НАСТРОЙКЕ
ДЛЯ СООТВЕТСТВИЯ ТРЕБОВАНИЯМ О ЗАЩИТЕ ИНФОРМАЦИИ
Страница 7 из 22
www.dallaslock.ru
Таблица №4. Политики безопасности вкладки «СОВ»
Параметры
Классы защищенности АС/Значения параметров
1Б, 1В, 1Г, 1Д
2А, 2Б
3А, 3Б
Значения параметров
Категория «Сигнатуры»
По умолчанию в категорию уже добавлен набор сигнатур, все они находятся в состоянии «Активировано», рекомендуем их оставить. Администратор информационной безопасности может самостоятельно добавлять сигнатуры журналов
Категория «Параметры
СОВ»
Значения параметров
Подкатегория «Контроль
приложений»
По умолчанию в категорию добавлено три правила журнала приложений СОВ.
Администратор информационной безопасности может самостоятельно добавить новые правила или редактировать правила по умолчанию
Подкатегория «Контроль
реестра»
Данная категория уже содержит список ключей, находящихся в состоянии
«Деактивировано». Администратор информационной безопасности может самостоятельно добавлять новые ключи или активировать ключи по умолчанию
Подкатегория «Настройки
эвристики»
Данная категория уже содержит список атак и настройки эвристики для каждой из них. Рекомендуем оставить все атаки в состоянии «Вкл.» (реагирование на атаки). Администратор информационной безопасности может самостоятельно редактировать настройки эвристики для каждой атаки
Подкатегория «Глобальные
параметры»
Значения параметров
Анализ журналов ОС
Вкл. (реком.)
Вкл. (реком.)
Вкл. (реком.)
Анализ сигнатур атак в сетевом трафике
Вкл. (реком.)
Вкл. (реком.)
Вкл. (реком.)
Контроль приложений
Вкл. (реком.)
Вкл. (реком.)
Вкл. (реком.)
Блокировка атак на протоколы и сканирование
Вкл. (реком.)
Вкл. (реком.)
Вкл. (реком.)
Не заносить повторы в журнал контроля приложений
Вкл. (реком.)
Вкл. (реком.)
Вкл. (реком.)
Блокировать снятие скриншотов по клавише PrintScreen
Выкл. (АИБ)
Выкл. (АИБ)
Выкл. (АИБ)
Параметры
Классы защищенности АС/Значения параметров
1Б, 1В, 1Г, 1Д
2А, 2Б
3А, 3Б
Отключать локальные правила
МЭ при автопереключении профиля МЭ
Да (реком.)
Да (реком.)
Да (реком.)
Порты сторонних программ
Необходимые значения администратор информационной безопасности устанавливает самостоятельно
Категория «Правила МЭ»
По умолчанию в данную категорию уже добавлен набор правил. Все правила, кроме
«Действия с пакетами, не попавшими ни под одно правило», деактивированы.
Администратор информационной безопасности может самостоятельно добавить новое правило и активировать его, либо активировать правило по умолчанию.
Правило «Действия с пакетами, не попавшими ни под одно правило» рекомендуем оставить в состоянии «Активировано»
Категория «Профили МЭ»
По умолчанию уже добавлен один профиль. Администратор информационной безопасности может самостоятельно настроить профиль по умолчанию или добавить собственные профили
Категория «Фильтрация»
Значения параметров
Список перехватываемых исходящих портов
По умолчанию добавлены порты: 80, 443, 3128, 8080, рекомендуем их оставить.
Администратор информационной безопасности может самостоятельно дополнять список
Режим работы
По умолчанию выставлено значение «Фильтровать все, кроем исключений» (реком.)
Анализ SSL трафика
Нет (АИБ)
Нет (АИБ)
Нет (АИБ)
Максимальный размер http- заголовка
2048 симв. (АИБ)
2048 симв. (АИБ)
2048 симв. (АИБ)
Включить уведомление в трей при блокировке соединения
Нет (АИБ)
Нет (АИБ)
Нет (АИБ)
Продолжение
Таблицы №4 ▼

РЕКОМЕНДАЦИИ ПО НАСТРОЙКЕ
ДЛЯ СООТВЕТСТВИЯ ТРЕБОВАНИЯМ О ЗАЩИТЕ ИНФОРМАЦИИ
Страница 8 из 22
www.dallaslock.ru
Параметры
Классы защищенности АС/Значения параметров
1Б, 1В, 1Г, 1Д
2А, 2Б
3А, 3Б
Расширенное определение атак подмены адресов
Выкл. (АИБ)
Выкл. (АИБ)
Выкл. (АИБ)
Маскирование датчика СОВ
Выкл. (АИБ)
Выкл. (АИБ)
Выкл. (АИБ)
URL обновлений updates.dallaslock.ru/
Update (обяз.)
updates.dallaslock.ru/
Update (обяз.)
updates.dallaslock.ru/Update
(обяз.)
Регулярность обновлений
Раз в сутки (реком.)
Раз в сутки (реком.)
Раз в сутки (реком.)
Заносить в журнал политик проверки наличия обновлений
Выкл. (АИБ)
Выкл. (АИБ)
Выкл. (АИБ)
Обновление сигнатур журналов
Вкл. (реком.)
Вкл. (реком.)
Вкл. (реком.)
Обновление детектора атак
Вкл. (реком.)
Вкл. (реком.)
Вкл. (реком.)
Обновление настроек эвристики
Вкл. (реком.)
Вкл. (реком.)
Вкл. (реком.)
Обновление сигнатур трафика
Вкл. (реком.)
Вкл. (реком.)
Вкл. (реком.)
Обновление переменных трафика
Вкл. (реком.)
Вкл. (реком.)
Вкл. (реком.)
Настройки оповещения контроля приложений
Выкл. (АИБ)
Выкл. (АИБ)
Выкл. (АИБ)
Настройки списков блокировок
Выкл. (АИБ)
Выкл. (АИБ)
Выкл. (АИБ)
Категория «Безопасная
среда»
Значения параметров
Подкатегория «Настройка»
Использовать безопасную среда
Вкл. (реком.)
Вкл. (реком.)
Вкл. (реком.)
Показывать диалог с сохранением изменений после завершения
Вкл. (реком.)
Вкл. (реком.)
Вкл. (реком.)
Автоматическая очистка по завершении всех процессов
Вкл. (реком.)
Вкл. (реком.)
Вкл. (реком.)
Эвристический анализ для блокировки работы опасных процессов
Выкл. (АИБ)
Выкл. (АИБ)
Выкл. (АИБ)
Формировать отчет по завершении работы процессов в БС
Выкл. (АИБ)
Выкл. (АИБ)
Выкл. (АИБ)
Подкатегория «Контроль
приложений»
Данная подкатегория уже содержит правило безопасной среды по умолчанию.
Администратор информационной безопасности самостоятельно может настраивать дополнительные правила
Подкатегория «Файловая
система и реестр»
Данная подкатегория уже содержит правило по умолчанию, администратор информационной безопасности может самостоятельно его редактировать

РЕКОМЕНДАЦИИ ПО НАСТРОЙКЕ
ДЛЯ СООТВЕТСТВИЯ ТРЕБОВАНИЯМ О ЗАЩИТЕ ИНФОРМАЦИИ
Страница 9 из 22
www.dallaslock.ru
(обяз.)
- действие обязательно для выполнения в соответствии с требованиями
(реком.)
- значение параметра выставлено по умолчанию как рекомендуемое для выполнения, но может быть настроено на усмотрение администратора безопасности
(АИБ)
- значение параметра отключено по умолчанию и может быть настроено на усмотрение администратора безопасности.
Пример: значение по умолчанию (АИБ)
«-»
- параметр отсутствует (например, из-за отсутствия в параметрах безопасности редакции «К»)
Примечание. В системах ГИС классов К1 и К2 должна выполняться доверенная загрузка средств вычис- лительной техники (мера УПД.17). Для выполнения данного требования может быть использовано средство доверенной загрузки «Dallas Lock» или программный модуль «Загрузчик Dallas Lock» (данный механизм до- ступен только для редакции «С»). Загрузчик может быть использован в ИС, где угроза недоверенной загрузки не является актуальной или где нерентабельно, или конструктивно невозможно использовать СДЗ уровня платы расширения.
Примечание. Выполнение меры «УПД.9. Ограничение числа параллельных сеансов доступа для каждой учет- ной записи пользователя ИС» выполняется при создании/редактировании учетной записи пользователя в поле «Число разрешенных сеансов». Для ИС класса ИК1 число разрешенных сеансов - не более 2-х.
Примечание. В ИС класса К1 должно выполняться резервирование технических средств, программного обе- спечения, каналов передачи информации, средств обеспечения функционирования информационной системы.
Для реализации данной меры необходимо использовать функциональную возможность репликации Серверов безопасности «Dallas Lock».
Для соответствия классам защищенности ГИС должны быть настроены параметры безопасности, перечис- ленные в таблицах №5, №6, №7, №8.
В таблице №5 представлены политики безопасности категории «Параметры безопасности».
В таблице №6 представлены политики безопасности категории «Контроль ресурсов».
В таблице №7 представлены политики безопасности категории «МЭ».
В таблице №8 представлены политики безопасности категории «СОВ».
Примечание. Условные обозначения
2.2 ГОСУДАРСТВЕННЫЕ ИНФОРМАЦИОННЫЕ СИСТЕМЫ
СЗИ НСД Dallas Lock может быть использовано в государственных ин- формационных системах 1 класса защищенности.
При определенных настройках СЗИ обеспечивает соответствие требо- ваниям для государственных информационных систем (ГИС), представ- ленных в следующих методических документах:
- требования о защите информации, не составляющей государствен- ную тайну, содержащейся в государственных информационных системах
(Приказ ФСТЭК России от 11 февраля 2013 г. №17);
- меры защиты информации в государственных информационных си- стемах (утверждены ФСТЭК России 11 февраля 2014 г.).
Согласно Приказу ФСТЭК России № 17 определяются 3 класса защи- щенности: К1, К2 и К3. Для классов защищенности устанавливаются ба- зовые наборы мер защиты информации.

РЕКОМЕНДАЦИИ ПО НАСТРОЙКЕ
ДЛЯ СООТВЕТСТВИЯ ТРЕБОВАНИЯМ О ЗАЩИТЕ ИНФОРМАЦИИ
Страница 10 из 22
www.dallaslock.ru
Таблица №5. Политики безопасности вкладки «Параметры безопасности»
Параметры
Классы защищенности ИС/Значения параметров
К1
К2
К3
Категория «Вход»
Значения параметров
Вход: запрет смены пользователя без перезагрузки
Вкл. (АИБ)
Вкл. (АИБ)
Вкл. (АИБ)
Вход: отображать имя последнего пользователя
Да (реком.)
Да (реком.)
Да (реком.)
Вход: максимальное кол-во ошибок ввода пароля
От 3 до 4 (обяз.)
От 3 до 8 (обяз.)
От 3 до 10 (обяз.)
Вход: время блокировки учетной записи в случае ввода неправильных паролей
От 15 до 60 мин. (обяз.)
От 10 до 30 мин. (обяз.)
От 5 до 30 мин. (обяз.)
Вход: отображать информацию о последнем успешном входе
Да (реком.)
Да (реком.)
Да (реком.)
Вход: запрет одновременной работы пользователей с различными уровнями или метками мандатного доступа
Для редакции «К»: -
Для редакции «С»:
«Выкл.» (АИБ)
Для редакции «К»: -
Для редакции «С»: «Выкл.»
(АИБ)
Для редакции «К»: -
Для редакции «С»: «Выкл.»
(АИБ)
Вход: выбор мандатной метки при входе в ОС
Для редакции «К»: -
Для редакции «С»:
«Выкл.» (АИБ)
Для редакции «К»: -
Для редакции «С»: «Выкл.»
(АИБ)
Для редакции «К»: -
Для редакции «С»: «Выкл.»
(АИБ)
Вход: разрешить использование смарт-карт
Нет (АИБ)
Нет (АИБ)
Нет (АИБ)
Вход: запретить использование парольного интерфейса входа
Нет (АИБ)
Нет (АИБ)
Нет (АИБ)
Вход: автоматический выбор аппаратного идентификатора при авторизации
Нет (АИБ)
Нет (АИБ)
Нет (АИБ)
Пароли: максимальный срок действия пароля
Не более 60 дней (обяз.)
Не более 90 дней (обяз.)
Не более 120 дней (обяз.)
Пароли: минимальный срок действия пароля
От 1 до 30 дней (обяз.)
От 1 до 30 дней (обяз.)
От 1 до 30 дней (обяз.)
Пароли: напоминать о смене пароля за
14 дн. (АИБ)
14 дн. (АИБ)
14 дн. (АИБ)
Пароли: минимальная длина
Не менее 8 симв. (обяз.)
Не менее 6 симв. (обяз.)
Не менее 6 симв. (обяз.)
Пароли: необходимо наличие цифр
Да (обяз.)
Да (обяз.)
Да (обяз.)
Пароли: необходимо наличие спец. символов
Да (обяз.)
Да (обяз.)
Да (обяз.)
Пароли: необходимо наличие строчных и прописных букв
Да (обяз.)
Да (обяз.)
Да (обяз.)
Пароли: необходимо отсутствие цифр в первом и последнем символе
Нет (АИБ)
Нет (АИБ)
Нет (АИБ)
Пароли: необходимо изменение пароля не меньше чем
От 1 до 10 симв. (обяз.)
От 1 до 10 симв. (обяз.)
От 1 до 10 симв. (обяз.)
Домен безопасности
Заполняется АИБ (обяз.)
Заполняется АИБ (обяз.)
Заполняется АИБ (обяз.)
Сеть: Ключ удаленного доступа
АИБ
АИБ
АИБ
Сеть: Время хранения сетевого кэша
30 мин. (АИБ)
30 мин. (АИБ)
30 мин. (АИБ)
Сеть: список незащищенных серверов
АИБ
АИБ
АИБ
Продолжение
Таблицы №5 ▼

РЕКОМЕНДАЦИИ ПО НАСТРОЙКЕ
ДЛЯ СООТВЕТСТВИЯ ТРЕБОВАНИЯМ О ЗАЩИТЕ ИНФОРМАЦИИ
Страница 11 из 22
www.dallaslock.ru
Продолжение
Таблицы №5 ▼
Параметры
Классы защищенности ИС/Значения параметров
К1
К2
К3
Настройка считывателей аппаратных идентификаторов
Данный параметр настраивается
АИБ, в зависимости от используемых считывателей электронных идентификаторов
Данный параметр настраивается
АИБ, в зависимости от используемых считывателей электронных идентификаторов
Данный параметр настраивается
АИБ, в зависимости от используемых считывателей электронных идентификаторов
Блокировать компьютер при отключении аппаратного идентификатора
Нет (АИБ)
Нет (АИБ)
Нет (АИБ)
Блокировать файл-диски при отключении аппаратного идентификатора
Да (реком.)
Да (реком.)
Да (реком.)
Текст сообщения при входе
Рекомендуем установить
Рекомендуем установить
Рекомендуем установить
Использовать авторизационную информацию от СДЗ Dallas Lock
Нет (АИБ)
Нет (АИБ)
Нет (АИБ)
Категория «Аудит»
Значения параметров
Журнал входов в систему
Вкл. (обяз.)
Вкл. (обяз.)
Вкл. (обяз.)
Журнал ресурсов
Вкл. (обяз.)
Вкл. (обяз.)
Вкл. (обяз.)
Журнал управления политиками безопасности
Вкл. (обяз.)
Вкл. (обяз.)
Вкл. (реком.)
Журнал управления учетными записями
Вкл. (обяз.)
Вкл. (обяз.)
Вкл. (реком.)
Журнал печати
Выкл. (АИБ)
Выкл. (АИБ)
Выкл. (АИБ)
Журнал запуска/завершения процессов
Вкл. (обяз.)
Вкл. (обяз.)
Вкл. (обяз.)
Служебный журнал МЭ
Выкл. (АИБ)
Выкл. (АИБ)
Выкл. (АИБ)
Журнал пакетов МЭ
Выкл. (АИБ)
Выкл. (АИБ)
Выкл. (АИБ)
Журнал соединений МЭ
Выкл. (АИБ)
Выкл. (АИБ)
Выкл. (АИБ)
Журнал трафика фильтрации МЭ
Вкл. (обяз.)
Вкл. (обяз.)
Вкл. (обяз.)
Журнал событий ОС
Вкл. (обяз.)
Вкл. (обяз.)
Вкл. (обяз.)
Журнал трафика СОВ
Вкл. (реком.)
Вкл. (реком.)
Вкл. (реком.)
Журнал контроля приложений
СОВ
Вкл. (обяз.)
Вкл. (обяз.)
Вкл. (обяз.)
Фиксировать в журнале входов неправильные пароли
Нет (АИБ)
Нет (АИБ)
Нет (АИБ)А
Заносить в журнал исходящие попытки входа на удаленные компьютеры
Да (реком.)
Да (реком.)
Да (реком.)
Заносить в журнал события запуска и остановки ОС
Да (обяз.)
Да (обяз.)
Да (обяз.)
Заносить в журнал события запуска и остановки модулей администрирования DL
Да (реком.)
Да (реком.)
Да (реком.)
Аудит устройств
Вкл. (обяз.)
Вкл. (обяз.)
Вкл. (обяз.)
Аудит событий зачистки
Вкл. (реком.)
Вкл. (реком.)
Вкл. (реком.)
Аудит доступа: Заносить в журналы ошибки ОС
Вкл. (обяз.)
Выкл. (АИБ)
Выкл. (АИБ)
Аудит доступа/запуска: Вести аудит системных пользователей
Вкл. (реком.)
Вкл. (реком.)
Вкл. (реком.)
Печатать/редактировать штамп
Нет (АИБ)
Нет (АИБ)
Нет (АИБ)
Создавать теневые копии распечатываемых документов
Нет (АИБ)
Нет (АИБ)
Нет (АИБ)
Разрешать печатать из-под уровней доступа
Нет (АИБ)
Нет (АИБ)
Нет (АИБ)
Добавлять штамп при печати под уровнями
Нет (АИБ)
Нет (АИБ)
Нет (АИБ)

РЕКОМЕНДАЦИИ ПО НАСТРОЙКЕ
ДЛЯ СООТВЕТСТВИЯ ТРЕБОВАНИЯМ О ЗАЩИТЕ ИНФОРМАЦИИ
Страница 12 из 22
www.dallaslock.ru
Продолжение
Таблицы №5 ▼
Параметры
Классы защищенности ИС/Значения параметров
К1
К2
К3
Выгрузка журналов
Выкл. (АИБ)
Выкл. (АИБ)
Выкл. (АИБ)
Максимальное кол-во записей в журналах
Значение устанавливается АИБ
Значение устанавливается
АИБ
Значение устанавливается
АИБ
Периодическая архивация журналов
Не менее 3 мес. (обяз.)
Не менее 3 мес. (обяз.)
Не менее 3 мес. (обяз.)