Рекомендации по настройке для соответствия требованиям о защите информации рекомендации по настройке для соответствия требованиям о защите информации

РЕКОМЕНДАЦИИ ПО НАСТРОЙКЕ
ДЛЯ СООТВЕТСТВИЯ ТРЕБОВАНИЯМ О ЗАЩИТЕ ИНФОРМАЦИИ
Страница 13 из 22
www.dallaslock.ru
Таблица №6. Политики безопасности вкладки «Контроль ресурсов»
Параметры
Классы защищенности ГИС/Значения параметров
К1
К2
К3
Значения параметров
Категория «Дискреционный
доступ»
По умолчанию заданы следующие параметры, рекомендуем данные параметры оставить:
- Параметры фиксированных дисков по умолчанию
- C:\DLLOCK80\Logs
- C:\DLLOCK80\Passports
Остальные параметры данной категории настраиваются самостоятельно администратором информационной безопасности
Категория «Мандатный
доступ»
Данная категория доступна только для редакции «С». Параметры данной категории настраиваются самостоятельно администратором информационной безопасности
Категория «Аудит»
В данной категории по умолчанию уже добавлены имена и параметры файлов, рекомендуем их оставить. Остальные параметры данной категории настраиваются самостоятельно администратором информационной безопасности
Категория «Контроль
целостности»
В данной категории по умолчанию уже добавлены имена и параметры файлов, рекомендуем их оставить. Остальные параметры данной категории настраиваются самостоятельно администратором информационной безопасности
Категория «Глобальные»
Параметры данной категории администратор информационной безопасности настраивает самостоятельно
Категория «Устройства»
Параметры данной категории администратор информационной безопасности настраивает самостоятельно
Таблица №7. Политики безопасности вкладки «МЭ»
Параметры
Классы защищенности ИС/Значения параметров
К1
К2
К3
Категория «Параметры»
Значения параметров
Доверенные правила МЭ
Вкл. (реком.)
Вкл. (реком.)
Вкл. (реком.)
Отключать GZIP для анализа
HTTP трафика
Вкл. (реком.)
Вкл. (реком.)
Вкл. (реком.)
Сохранять локальные правила
МЭ при синхронизации с СБ
Да (реком.)
Да (реком.)
Да (реком.)
Режим обучения МЭ
Выкл. (АИБ)
Выкл. (АИБ)
Выкл. (АИБ)
Параметры
Классы защищенности ИС/Значения параметров
К1
К2
К3
Контроль реестра по расписанию
Данный параметр можно включить или не использовать, определяется АИБ
Данный параметр можно включить или не использовать, определяется АИБ
Данный параметр можно включить или не использовать, определяется АИБ
Изменение файлов с назначенным контролем целостности
Разрешать (АИБ)
Разрешать (АИБ)
Разрешать (АИБ)
Подкатегория «Прогр.апп.
среда»
Для параметров данной категории выставлено значение «Выключено», необходимые значения выставляет администратор информационной безопасности самостоятельно
Категория «Блокируемые
расширения»
В данной категории администратор информационной безопасности самостоятельно настраивает список расширений, которые необходимо блокировать
Категория «Изолированные
процессы»
В данной категории администратор информационной безопасности самостоятельно настраивает список процессов, которые необходимо изолировать/не изолировать.
По умолчанию все процессы не изолированы
Категория «Загрузчик DL»
Категория доступна только для редакции «С» и предназначена для включения и настройки режима загрузчика DL. Модуль загрузчика отрабатывает до загрузки
ОС и выполняет роль дополнительного уровня защиты при попытке доступа к компьютеру
Продолжение
Таблицы №7 ▼

РЕКОМЕНДАЦИИ ПО НАСТРОЙКЕ
ДЛЯ СООТВЕТСТВИЯ ТРЕБОВАНИЯМ О ЗАЩИТЕ ИНФОРМАЦИИ
Страница 14 из 22
www.dallaslock.ru
Продолжение
Таблицы №8 ▼
Таблица №8. Политики безопасности вкладки «СОВ»
Параметры
Классы защищенности ИС/Значения параметров
К1
К2
К3
Значения параметров
Категория «Сигнатуры»
По умолчанию в категорию уже добавлен набор сигнатур, все они находятся в состоянии «Активировано», рекомендуем их оставить. Администратор информационной безопасности может самостоятельно добавлять сигнатуры журналов
Категория «Параметры
СОВ»
Значения параметров
Подкатегория «Контроль
приложений»
По умолчанию в категорию добавлено три правила журнала приложений СОВ.
Администратор информационной безопасности может самостоятельно добавить новые правила или редактировать правила по умолчанию
Подкатегория «Контроль
реестра»
Данная категория уже содержит список ключей, находящихся в состоянии
«Деактивировано». Администратор информационной безопасности может самостоятельно добавлять новые ключи или активировать ключи по умолчанию
Подкатегория «Настройки
эвристики»
Данная категория уже содержит список атак и настройки эвристики для каждой из них. Рекомендуем оставить все атаки в состоянии «Вкл.» (реагирование на атаки). Администратор информационной безопасности может самостоятельно редактировать настройки эвристики для каждой атаки
Параметры
Классы защищенности ИС/Значения параметров
К1
К2
К3
Список разрешенных драйверов протоколов
Выставлено значение по умолчанию «*» (АИБ)
Выставлено значение по умолчанию «*» (АИБ)
Выставлено значение по умолчанию «*» (АИБ)
Протоколирование событий изменения конфигурации
По умолчанию выбраны все события (реком.)
По умолчанию выбраны все события (реком.)
По умолчанию выбраны все события (реком.)
Периодичность проверки защищенности системы
По умолчанию выставлено значение
«10 минут»» (АИБ)
По умолчанию выставлено значение «10 минут»» (АИБ)
По умолчанию выставлено значение «10 минут»» (АИБ)
Уведомления по событиям отсутствия антивируса и обновлений ОС и DL
По умолчанию выставлено значение
«Уведомление в журнал»
(АИБ)
По умолчанию выставлено значение «Уведомление в журнал» (АИБ)
По умолчанию выставлено значение «Уведомление в журнал» (АИБ)
Отключать локальные правила
МЭ при автопереключении профиля МЭ
Да (реком.)
Да (реком.)
Да (реком.)
Порты сторонних программ
Необходимые значения администратор информационной безопасности устанавливает самостоятельно
Категория «Правила МЭ»
По умолчанию в данную категорию уже добавлен набор правил. Все правила, кроме
«Действия с пакетами, не попавшими ни под одно правило», деактивированы.
Администратор информационной безопасности может самостоятельно добавить новое правило и активировать его, либо активировать правило по умолчанию.
Правило «Действия с пакетами, не попавшими ни под одно правило» рекомендуем оставить в состоянии «Активировано»
Категория «Профили МЭ»
По умолчанию уже добавлен один профиль. Администратор информационной безопасности может самостоятельно настроить профиль по умолчанию или добавить собственные профили
Категория «Фильтрация»
Значения параметров
Список перехватываемых исходящих портов
По умолчанию добавлены порты: 80, 443, 3128, 8080, рекомендуем их оставить.
Администратор информационной безопасности может самостоятельно дополнять список
Режим работы
По умолчанию выставлено значение «Фильтровать все, кроем исключений» (реком.)
Анализ SSL трафика
Нет (АИБ)
Нет (АИБ)
Нет (АИБ)
Максимальный размер http- заголовка
2048 симв. (АИБ)
2048 симв. (АИБ)
2048 симв. (АИБ)
Включить уведомление в трей при блокировке соединения
Нет (АИБ)
Нет (АИБ)
Нет (АИБ)

РЕКОМЕНДАЦИИ ПО НАСТРОЙКЕ
ДЛЯ СООТВЕТСТВИЯ ТРЕБОВАНИЯМ О ЗАЩИТЕ ИНФОРМАЦИИ
Страница 15 из 22
www.dallaslock.ru
Параметры
Классы защищенности ИС/Значения параметров
К1
К2
К3
Подкатегория «Глобальные
параметры»
Значения параметров
Анализ журналов ОС
Вкл. (обяз.)
Вкл. (обяз.)
Вкл. (реком.)
Анализ сигнатур атак в сетевом трафике
Вкл. (обяз.)
Вкл. (обяз.)
Вкл. (реком.)
Контроль приложений
Вкл. (обяз.)
Вкл. (обяз.)
Вкл. (реком.)
Блокировка атак на протоколы и сканирование
Вкл. (обяз.)
Вкл. (обяз.)
Вкл. (реком.)
Не заносить повторы в журнал контроля приложений
Вкл. (реком.)
Вкл. (реком.)
Вкл. (реком.)
Блокировать снятие скриншотов по клавише PrintScreen
Выкл. (АИБ)
Выкл. (АИБ)
Выкл. (АИБ)
Расширенное определение атак подмены адресов
Выкл. (АИБ)
Выкл. (АИБ)
Выкл. (АИБ)
Маскирование датчика СОВ
Выкл. (АИБ)
Выкл. (АИБ)
Выкл. (АИБ)
URL обновлений updates.dallaslock.
ru/Update (обяз.)
updates.dallaslock.ru/Update
(обяз.)
updates.dallaslock.ru/
Update (обяз.), в случае использования обновлений
Регулярность обновлений
Раз в сутки (реком.)
Раз в сутки (реком.)
Раз в сутки (реком.)
Заносить в журнал политик проверки наличия обновлений
Выкл. (АИБ)
Выкл. (АИБ)
Выкл. (АИБ)
Обновление сигнатур журналов
Вкл. (обяз.)
Вкл. (обяз.)
Вкл. (реком.)
Обновление детектора атак
Вкл. (обяз.)
Вкл. (обяз.)
Вкл. (реком.)
Обновление настроек эвристики
Вкл. (обяз.)
Вкл. (обяз.)
Вкл. (реком.)
Обновление сигнатур трафика
Вкл. (обяз.)
Вкл. (обяз.)
Вкл. (реком.)
Обновление переменных трафика
Вкл. (обяз.)
Вкл. (обяз.)
Вкл. (реком.)
Настройки оповещения контроля приложений
Список настраивается АИБ
Список настраивается АИБ
Список настраивается АИБ
Настройки списков блокировок
Список настраивается АИБ
Список настраивается АИБ
Список настраивается АИБ
Категория «Безопасная
среда»
Значения параметров
Подкатегория «Настройка»
Использовать безопасную среду
Вкл. (реком.)
Вкл. (реком.)
Вкл. (реком.)
Показывать диалог с сохранением изменений после завершения
Вкл. (реком.)
Вкл. (реком.)
Вкл. (реком.)
Автоматическая очистка по завершении всех процессов
Вкл. (реком.)
Вкл. (реком.)
Вкл. (реком.)
Эвристический анализ для блокировки работы опасных процессов
Выкл. (АИБ)
Выкл. (АИБ)
Выкл. (АИБ)
Формировать отчет по завершении работы процессов в БС
Выкл. (АИБ)
Выкл. (АИБ)
Выкл. (АИБ)
Подкатегория «Контроль
приложений»
Данная подкатегория уже содержит правило безопасной среды по умолчанию.
Администратор информационной безопасности самостоятельно может настраивать дополнительные правила
Подкатегория «Файловая
система и реестр»
Данная подкатегория уже содержит правило по умолчанию, администратор информационной безопасности может самостоятельно его редактировать

РЕКОМЕНДАЦИИ ПО НАСТРОЙКЕ
ДЛЯ СООТВЕТСТВИЯ ТРЕБОВАНИЯМ О ЗАЩИТЕ ИНФОРМАЦИИ
Страница 16 из 22
www.dallaslock.ru
2.3 ИНФОРМАЦИОННЫЕ СИСТЕМЫ
ПЕРСОНАЛЬНЫХ ДАННЫХ
СЗИ НСД Dallas Lock может быть использовано в ин- формационных системах персональных данных (ИС-
ПДн) для обеспечения 1 уровня защищенности ПДн.
При определенных настройках СЗИ обеспечивает со- ответствие требованиям для информационных сис- тем персональных данных (ИСПДн), представленных в следующих методических документах:
- состав и содержание организационных и техни- ческих мер по обеспечению безопасности персональ- ных данных при их обработке в информационных си- стемах персональных данных» (Приказ ФСТЭК России от 18 февраля 2013 г. №21).
Согласно Приказу ФСТЭК России № 21 определяются
4 уровня защищенности персональных данных.
Примечание. В системах ИСПДн уровней 1 и 2 должна выполняться доверенная загрузка средств вычислительной техники (мера УПД.17). Для выпол- нения данного требования может быть использова- но средство доверенной загрузки «Dallas Lock» или использовать программный модуль «Загрузчик Dallas
Lock» (данный механизм доступен только для редак- ции «С»). Загрузчик может быть использован в ИС-
ПДн, где угроза недоверенной загрузки не является актуальной или где нерентабельно, или конструктив- но невозможно использовать СДЗ уровня платы рас- ширения.
Примечание. В ИСПДн уровня 1 должно выполнять- ся резервирование технических средств, программ- ного обеспечения, каналов передачи информации, средств обеспечения функционирования информаци- онной системы. Для реализации данной меры необ- ходимо использовать функциональную возможность репликации Серверов безопасности «Dallas Lock».
Для соответствия уровням защищенности персональных данных должны быть настроены параметры безопас- ности, перечисленные в таблицах №9, №10, №11, №12.
В таблице №9 представлены политики безопасности категории «Параметры без-опасности».
В таблице №10 представлены политики безопасности категории «Контроль ресурсов».
В таблице №11 представлены политики безопасности категории «МЭ».
В таблице №12 представлены политики безопасности категории «СОВ».
(обяз.)
- действие обязательно для выполнения в соответствии с требованиями
(реком.)
- значение параметра выставлено по умолчанию как рекомендуемое для выполнения, но может быть настроено на усмотрение администратора безопасности
(АИБ)
- значение параметра отключено по умолчанию и может быть настроено на усмотрение администратора безопасности.
Пример: значение по умолчанию (АИБ)
«-»
- параметр отсутствует (например, из-за отсутствия в параметрах безопасности редакции «К»)
Примечание. Условные обозначения
Таблица №9. Политики безопасности вкладки «Параметры безопасности»
Параметры
Уровни защищенности ИСПДн/Значения параметров
1
2
3
4
Категория «Вход»
Значения параметров
Вход: запрет смены пользователя без перезагрузки
Вкл. (АИБ)
Вкл. (АИБ)
Вкл. (АИБ)
Вкл. (АИБ)
Вход: отображать имя последнего пользователя
Да (реком.)
Да (реком.)
Да (реком.)
Да (реком.)
Продолжение
Таблицы №9 ▼

РЕКОМЕНДАЦИИ ПО НАСТРОЙКЕ
ДЛЯ СООТВЕТСТВИЯ ТРЕБОВАНИЯМ О ЗАЩИТЕ ИНФОРМАЦИИ
Страница 17 из 22
www.dallaslock.ru
Параметры
Уровни защищенности ИСПДн/Значения параметров
1
2
3
4
Вход: максимальное кол-во ошибок ввода пароля
От 3 до 4 (обяз.)
От 3 до 8 (обяз.)
От 3 до 10 (обяз.)
От 3 до 10 (обяз.)
Вход: время блокировки учетной записи в случае ввода неправильных паролей
От 15 до 60 мин.
(обяз.)
От 10 до 30 мин.
(обяз.)
От 5 до 30 мин.
(обяз.)
От 3 до 15 мин.
(обяз.)
Вход: отображать информацию о последнем успешном входе
Да (реком.)
Да (реком.)
Да (реком.)
Да (реком.)
Вход: запрет одновременной работы пользователей с различными уровнями или метками мандатного доступа
Для редакции «К»: -
Для редакции «С»:
«Выкл.» (АИБ)
Для редакции «К»: -
Для редакции «С»:
«Выкл.» (АИБ)
Для редакции «К»: -
Для редакции «С»:
«Выкл.» (АИБ)
Для редакции «К»: -
Для редакции «С»:
«Выкл.» (АИБ)
Вход: выбор мандатной метки при входе в ОС
Для редакции «К»: -
Для редакции «С»:
«Выкл.» (АИБ)
Для редакции «К»: -
Для редакции «С»:
«Выкл.» (АИБ)
Для редакции «К»: -
Для редакции «С»:
«Выкл.» (АИБ)
Для редакции «К»: -
Для редакции «С»:
«Выкл.» (АИБ)
Вход: разрешить использование смарт-карт
Нет (АИБ)
Нет (АИБ)
Нет (АИБ)
Нет (АИБ)
Вход: запретить использование парольного интерфейса входа
Нет (АИБ)
Нет (АИБ)
Нет (АИБ)
Нет (АИБ)
Вход: автоматический выбор аппаратного идентификатора при авторизации
Нет (АИБ)
Нет (АИБ)
Нет (АИБ)
Нет (АИБ)
Пароли: максимальный срок действия пароля
Не более 60 дней
(обяз.)
Не более 90 дней
(обяз.)
Не более 120 дней
(обяз.)
Не более 180 дней
(обяз.)
Пароли: минимальный срок действия пароля
От 1 до 30 дней
(обяз.)
От 1 до 30 дней
(обяз.)
От 1 до 30 дней
(обяз.)
От 1 до 30 дней
(обяз.)
Пароли: напоминать о смене пароля за
14 дн. (АИБ)
14 дн. (АИБ)
14 дн. (АИБ)
14 дн. (АИБ)
Пароли: минимальная длина
Не менее 8 симв.
(обяз.)
Не менее 6 симв.
(обяз.)
Не менее 6 симв.
(обяз.)
Не менее 6 симв.
(обяз.)
Пароли: необходимо наличие цифр
Да (обяз.)
Да (обяз.)
Да (обяз.)
Да (обяз.)
Пароли: необходимо наличие спец. символов
Да (обяз.)
Да (обяз.)
Да (обяз.)
Да (обяз.)
Пароли: необходимо наличие строчных и прописных букв
Да (обяз.)
Да (обяз.)
Да (обяз.)
Да (обяз.)
Пароли: необходимо отсутствие цифр в первом и последнем символе
Нет (АИБ)
Нет (АИБ)
Нет (АИБ)
Нет (АИБ)
Пароли: необходимо изменение пароля не меньше чем
От 1 до 10 симв.
(обяз.)
От 1 до 10 симв.
(обяз.)
От 1 до 10 симв.
(обяз.)
От 1 до 10 симв.
(обяз.)
Домен безопасности
Заполняется АИБ
(обяз.)
Заполняется АИБ
(обяз.)
Заполняется АИБ
(обяз.)
Заполняется АИБ
(обяз.)
Сеть: Ключ удаленного доступа
АИБ
АИБ
АИБ
АИБ
Сеть: Время хранения сетевого кэша
30 мин. (АИБ)
30 мин. (АИБ)
30 мин. (АИБ)
30 мин. (АИБ)
Сеть: список незащищенных серверов
АИБ
АИБ
АИБ
АИБ
Настройка считывателей аппаратных идентификаторов
Данный параметр настрастраивается
АИБ, в зависимости от используемых считывателей электронных идентификаторов
Данный параметр настраивается
АИБ, в зависимости от используемых считывателей электронных идентификаторов
Данный параметр настраивается
АИБ, в зависимости от используемых считывателей электронных идентификаторов
Данный параметр настраивается
АИБ, в зависимости от используемых считывателей электронных идентификаторов
Блокировать компьютер при отключении аппаратного идентификатора
Нет (АИБ)
Нет (АИБ)
Нет (АИБ)
Нет (АИБ)
Блокировать файл-диски при отключении аппаратного идентификатора
Да (реком.)
Да (реком.)
Да (реком.)
Да (реком.)
Продолжение