CC BY
49
2. Тенденции и особенности развития систем информационной безопасности
программного средства защиты было предложено программное решение, обеспечивающее защиту компьютера с применением межсетевого экрана, антивируса и средства обнаружения вторжений - Security Studio Endpoint Protection, имеющий сертификат ФСТЭК.
Использование предложенных средств является необходимым и достаточным условием для обеспечения защиты конфиденциальной информации на предприятии [2].
Литература
1. Игнатьев В.А. Информационная безопасность современного коммерческого предприятия: монография. Старый Оскол: ТНТ, 2005.
2. Зауголков И.А., Михайлова Е.М. Повышение качества подготовки специалистов в области информационной безопасности // Вестник Тамбовского университета. Сер.: Естественные и технические науки. Тамбов, 2009. Т. 14, вып. 5. С. 914.
УДК 004.056.5
ПОДГОТОВКА ИСПДН ОТДЕЛОВ ЗАГС ТАМБОВСКОЙ ОБЛАСТИ К АТТЕСТАЦИИ
М.С. Крайнов, М.С. Зуев
Данная статья описывает процесс подготовки объектов информатизации к процессу аттестации применительно к автоматизированным рабочим местам отделов ЗАГС Тамбовской области. Рассматриваются требования и основные регламентирующие документы.
Ключевые слова: аттестация объектов информатизации, защита информации.
Оценка соответствия ИСПДн по требованиям безопасности информации включает в себя следующие работы:
- разработка пакета аттестационных документов;
- проведение аттестационных испытаний.
Практический опыт в разработке пакета организационно-распорядительной документации для конкретного объекта информатизации показал, что создание его требует много времени. Решением данной проблемы стала идея разработки программы, которая на основе шаблонов создает практически готовые документы. Идея программы заключается в следующем: так как документы объектов информатизации одинаково класса АС и ИСПДн схожи, то можно из них создать шаблоны, заменив основные изменяющиеся данные на переменные [1-3].
Для автоматизированного сбора информации об аппаратном и программном обеспечении АРМ используется программное средство «Агент инвентаризации». Для того, чтобы обработать информацию, собранную «Агентом инвентаризации», и использовать ее при создании документа «Список программного обеспечения АРМ», требуется много времени. Чтобы уменьшить время до минимума, можно написать программу, которая преобразовывает текстовый файл, со-
держащий структурированный отчет «Агента инвентаризации» о ПО, в таблицу.
Для описательного представления свойств или характеристик угроз безопасности информации создается документ «Модель угроз...». Модель угроз безопасности персональных данных необходима для определения требований к системе защиты. Модель угроз содержит систематизированный перечень угроз безопасности персональных данных при их обработке в ИСПДн. В Модели угроз дано:
- обобщенное описание ИСПДн;
- возможных источников УБПДн;
- основных классов уязвимостей ИСПДн;
- возможных видов деструктивных воздействий на ПДн, а также основных способов их реализации.
На основании результатов обследования и разработанной модели угроз безопасности ПДн и модели нарушителя разрабатывается техническое задание на создание СЗПДн объектов информатизации. Техническое задание содержит детализированные требования к техническим средствам защиты информации и организационным мерам обеспечения информационной безопасности при построении СЗПДн объектов информатизации.
Для автоматизированной подготовки документов «Модель угроз ИСПДн», «Частное техническое задание» и другой документации применяется программный комплекс
Психолого-педагогический журнал Гаудеамус, №2 (20), 2012
«WingDoc ПД». При этом программой выполняются следующие функции:
- удобный ввод данных об организации, ИСПДн;
- автоматическое создание необходимых документов по введенным исходным данным;
- создание отчета по выбранным пользователем полям;
- хранение всех данных в простой, удобной базе данных.
В целях аттестации ИСПДн по требованиям безопасности с 2009 г. на абонентских пунктах отделов ЗАГС Тамбовской области были установлены СЗИ от НСД «Dallas Lock 7.5», для организации безопасного сетевого взаимодействия установлены программные комплексы «ViPNet Client 3.0».
Во многих отделах ЗАГС нужно установить/восстановить работу СЗИ от НСД «Dallas Lock», настроить в соответствии с классом АС и категории ИСПДн, установить/об-новить до версии 3.1 программный комплекс «ViPNet Client 3.1», добавить в защищенную сеть ViPNet новых польТзорвеабтоевлаенйи.я по защите информации от НСД в отделах ЗАГС Тамбовской области описаны в РД Г остехкомиссии России «Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации». Так как в отделах ЗАГС Тамбовской области режим обработки информации многопользовательский, права доступа пользователей одинаковые и уровень конфиденциальности носителей информации разный, аттестационной комиссией был присвоен класс защиты АС 2А.
Чтобы предотвратить НСД к передаваемым файлам по сети Интернет, в каждом отделе ЗАГС установлен программный комплекс «ViPNet Client», а в отделе ЗАГС администрации Тамбовской области «ViPNet Coordinator». Помимо «ViPNet Coordinator» в отделе ЗАГС администрации Тамбовской области установлен «ViPNet Administrator» -это базовый программный комплекс для настройки и управления защищенной сетью. Каждый клиент подключается к координатору и получает всю необходимую информацию о других клиентах сети. Сеть для организации защищенного документооборота
строится путем установки на компьютеры пользователей (получателей и отправителей электронных сообщений) ПО «ViPNet Деловая почта». Административные функции сети выполняет компьютер с ПО «ViPNet Administrator».
В качестве средств защиты информации от ПЭМИН в некоторых отделах ЗАГС Тамбовской области установлено комбинированное устройство защиты информации от ПЭМИН «Соната-РК1».
Основные организационные меры защиты информации отделов ЗАГС Тамбовской области включают в себя:
- исключение возможности просмотра посторонними лицами текстовой информации, содержащей персональные данные в ОТСС и ВТСС;
- пользователи АС не должны работать под встроенной учетной записью администратора. Имена локальных пользователей АС на абонентских пунктах должны быть уникальными;
- ОТСС и ВТСС должны быть поставлены на инвентарный учет;
- наличие охраны территории и здания, где размещается АС;
- на каждом АП должно быть установлено сертифицированное ФСТЭК России антивирусное программное обеспечение;
- документы, содержащие сведения конфиденциального характера, созданные в офисных приложениях, должны храниться в одной папке, которую необходимо создать на любом локальном диске, кроме локального диска C:\.
Литература
1. Зуев М.С., Баранов П.А. Шифрование данных. Алгоритм ГОСТ 28147-89: учебное пособие // Федеральный депозитарий электронных изданий. Регистрационное свидетельство № 19565 от 14 июля 2010 г. № гос. регистрации 0321001202
2. Зуев М.С., Пелихосов А.А. Электронное учебное пособие «Разработка защищенного web-приложения на основе технологии AJAX» // Гаудеамус. Тамбов, 2011. № 2(18). Материалы XV международной научно-практической конференции АПИИТ. С. 37-38.
3. Хребтов Р.И., Зуев М.С. Разработка web-приложения, использующего защищенные базы данных // Гаудеамус. Тамбов, 2011. № 2(18). Материалы XV международной научно-практической конференции АПИИТ. С. 148-149.
