В ИСПДн предусмотрен многопользовательский режим работы. При этом пользователи обладают различными правами на доступ к ПДн, обрабатываемым в ИСПДн лаборатории ИУ-8.

В состав технических средств ИСПДн лаборатории ИУ-8 входят:

- серверное оборудование;

- рабочие станции пользователей ИСПДн;

- сетевое оборудование (активное и пассивное).

Информация хранится на серверах ИСПДн в виде файлов. Пользователи ИСПДн получают доступ к информации с использованием механизмов сетевого доступа к файлам и папкам.

Обработка информации осуществляется на типовых АРМ пользователей с использованием пакета программ MicrosoftOffice 2007. За каждым пользователем закрепляется выделенное АРМ, и работа пользователя на других АРМ запрещается.

Ввод информации в ИСПДн осуществляется пользователями на своих АРМ с клавиатуры. Для вывода информации из ИСПДн используется лазерный принтер, установленный в общем помещении ИСПДн.

Для обеспечения производственного процесса оборудование ИСПДн лаборатории ИУ-8 подключается к другим ЛВС организации, не имеющим выхода в сети связи общего пользования. При взаимодействии ЛВС ИСПДн с другими ЛВС организации передача ПДн не осуществляется.

Класс ИСПДн лаборатории ИУ-8 определен равным К3.

Подробное описание ИСПДн кафедры ИУ-8 приведено в документе Отчет о предпроектном обследовании (шифр – 001234567.000.001.ОПО.01.1-1).

3. ОСНОВНЫЕ ТЕХНИЧЕСКИЕ РЕШЕНИЯ

Технические решения по оснащению СЗПДн ИСПДн лаборатории ИУ-8 разработаны с учетом требований Технического задания на создание СЗПДн (шифр – 001234567.000.001.ТЗ.01.1-1), а также требования нормативных документов по защите ПДн.

СЗПДн ИСПДн лаборатории ИУ-8 проектируется как многоуровневая система с централизованным управлением. При проектировании СЗПДн ИСПДн лаборатории ИУ-8 учитываются возможности дальнейшего масштабирования систем, а также максимального использования существующих инженерных сетей и систем.

3.1 Общие требования к проектируемым СЗПДн ИСПДн лаборатории ИУ-8

СЗПДн ИСПДн лаборатории ИУ-8 должна:

- обеспечивать защиту ПДн, которые обрабатываются, передаются и хранятся на всех уровнях ИСПДн, от несанкционированного доступа (далее - НСД);

- обеспечивать защиту речевой информации, обсуждаемой в рамках обработки информации пользователями ИСПДн на своих рабочих местах;

- не вызывать существенного снижения производительности аппаратно-программного обеспечения ИСПДн при обработке информации;

- обеспечивать высокую надёжность и средства восстановления как компонент системы защиты информации, так и самой информации;

- соответствовать современному уровню развития вычислительной техники и технологий автоматизированной обработки информации;

- удовлетворять требованиям законодательства и нормативных документов Российской Федерации в области защиты ПДн.

3.2 Решения по структуре СЗПДн ИСПДн лаборатории ИУ-8

Проектируемая СЗПДн ИСПДн лаборатории ИУ-8 состоит из подсистем, перечень и назначение которых приведены в таблице 3.3.1.

Таблица 3.2.1 – Подсистемы СЗПДн ИСПДн лаборатории ИУ-8

Оснащение СЗПДн ИСПДн лаборатории ИУ-8 предусматривается на основе типовых решений с использованием средств защиты информации как отечественного, так и зарубежного производства, применяемых при построении систем защиты информации различного назначения.

Предусмотренные настоящими техническими решениями средства защиты информации интегрируются в существующую ИСПДн лаборатории ИУ-8. В целях обеспечения удобства внедрения отдельных компонентов проектируемых СЗПДн предусматривается объединение средств защиты информации в отдельные комплексы.

В целях обеспечения централизованного администрирования различных компонент ИСПДн лаборатории ИУ-8, а также средств защиты информации, входящих в состав разрабатываемой СЗПДн ИСПДн лаборатории ИУ-8, настоящими техническими решениями предусматривается организация домена Active Directory. В состав создаваемого домена предусматривается включить АРМ пользователей и серверы, входящие в ИСПДн лаборатории ИУ-8.

3.3 Описание подсистем средств защиты информации

3.3.1 Подсистема управления доступом

Для защиты ПДн, хранящихся на файловых серверах ИСПДн лаборатории ИУ-8, от НСД предназначена подсистема управления доступом. В состав подсистемы управления доступом входят:

- служба каталогов Active Directory (далее - AD);

- групповые политики AD.

Оба этих компонента полностью интегрированы в операционные системы (далее - ОС) семейства Windows, поэтому нет необходимости установки дополнительного программного обеспечения (далее - ПО), необходимо будет только произвести дополнительную настройку сервера, который впоследствии будет выполнять роль контроллера домена..

Подсистема регистрации и учета

Подсистема регистрации и учета выполняет следующие функции:

- регистрация и учет действий пользователей ИСПДн и процессов;

- регистрация действий администратора СЗПДн;

- регистрация и учет событий информационной безопасности.

В качестве подсистемы регистрации и учета используется встроенный в ОС семейства Windows модуль ведения журналов событий, а также средство их отображения – EventViewer.

3.3.2 Подсистема обеспечения целостности

СКД обеспечивает ограничение физического доступа в защищаемое помещение ИСПДн лаборатории ИУ-8, осуществляя идентификацию пользователей с использованием proximity-карт доступа. В качестве СКД используется система "Универсальный офис" компании Legos

3.3.3 Подсистема антивирусной защиты

Подсистема антивирусной защиты предназначена для защиты АРМ пользователей и серверов ИСПДн от возможных вирусных заражений, а также сетевых атак.

В состав подсистемы антивирусной защиты входит программный комплекс Kaspersky Business Space Security.

3.3.4 Подсистема межсетевого экранирования

Подсистема межсетевого экранирования выполняет следующие функции:

- фильтрация сетевого трафика на периметре ЛВС лаборатории ИУ-8;

- защита ЛВС ИСПДн лаборатории ИУ-8 от НСД.

Компоненты подсистемы устанавливаются на периметре ЛВС лаборатории ИУ-8.

Компоненты подсистемы межсетевого экранирования обеспечивают фильтрацию всего входящего и исходящего из ЛВС лаборатории ИУ-8 сетевого трафика и блокируют сетевой трафик, неразрешенный настройками безопасности.

В состав подсистемы межсетевого экранирования входит ПО Microsoft Internet Security and Acceleration (далее - ISA) Server 2006.

3.3.5 Подсистема защиты информации от утечек по побочным каналам

Подсистема защиты информации от утечек по побочным каналам предназначена для защиты выделенных помещений от утечки акустической информации по вибрационному и акустическому каналам. Компоненты подсистемы монтируются в защищаемом помещении, а также по его периметру в элементах строительных конструкций помещения. На основе данных об акустической обстановке внутри защищаемого помещения формируется виброакустическая помеха, предотвращающая съем информации по акустическому и вибрационному каналам.

В состав подсистемы защиты информации от утечек по побочным каналам входят:

- адаптивный генератор виброакустической помехи "Кедр";

- излучатели малой мощности "ПКИ-1".

3.3.6 Подсистема резервного копирования

Подсистема резервного копирования предназначена для резервного копирования как серверов хранения (создание слепков жестких дисков), так и непосредственно самих файлов, содержащих ПДн (резервное копирование и восстановление файлов). Компоненты подсистемы устанавливаются на АРМ пользователей и серверы ИСПДн.

В состав подсистемы резервного копирования входит программный комплекс AcronisTrueImageEchoEnterpriseServer.

3.3.7 Подсистема обеспечения отказоустойчивости

Подсистема обеспечения надежности должна обеспечивать бесперебойную работу серверов хранения ПДн, серверов резервного копирования и АРМ пользователей ИСПДн.

Работа подсистемы реализуется с помощью следующих компонентов:

- массив RAID5 дисков серверов хранения ПДн и серверов резервного копирования на основе программной реализации RAID-контроллера, либо внешнего RAID-контроллера – AdaptecASR-2805;

- источники бесперебойного питания (далее - ИБП) серверов хранения ПДн и серверов резервного копирования – UPS 3000VAIpponSmartWinner 3000;

- ИБП АРМ пользователей ИСПДн – UPS 600VAPowerComBNT 600A.

3.3.8 Описание средств защиты информации