Р Е Г Л А М Е Н Т

удаленного подключения абонентской станции к системе межведомственного электронного

документооборота в Ставропольском крае

2

АННОТАЦИЯ

Регламент абонента государственной информационной системы Ставропольского

края «Система межведомственного электронного документооборота «Дело» (далее – СЭД

«Дело») разработан с целью организации работ по обеспечению безопасности информации

ограниченного доступа (в том числе персональных данных), обрабатываемой в СЭД «Дело».

Регламент устанавливает обязательные требования к составу и содержанию

организационных и технических мер по обеспечению безопасности информации при ее

обработке в СЭД «Дело».

Версия документа: 0.3

Дата документа: 31.10.2013

3

СОДЕРЖАНИЕ

Используемые понятия ..................................................................................................................... 4

1 Общие положения .................................................................................................................... 6

2 Требования по разграничению доступа ................................................................................. 8

3 Требования к программно-техническому обеспечению .................................................... 10

4 Требования к антивирусному программному обеспечению .............................................. 11

5 Требования к работе со средствами криптографической защиты информации .............. 12

6 Требования к выявлению инцидентов и реагированию на них ......................................... 12

7 Требования к мониторингу и контролю эффективности ................................................... 14

8 Требования к обслуживанию технических средств и систем ............................................ 15

Приложение 1................................................................................................................................... 16

Приложение 2................................................................................................................................... 17

Приложение 3................................................................................................................................... 18

Приложение 4................................................................................................................................... 19

Приложение 5................................................................................................................................... 20

Приложение 6................................................................................................................................... 22

Приложение 7................................................................................................................................... 70

4

Используемые понятия

Для целей настоящего Регламента используются следующие понятия:

Абонент – органы власти Ставропольского края, муниципальные образования и иные

организации Ставропольского края, заключившие Соглашение о присоединении к

государственной информационной системе Ставропольского края «Система

межведомственного электронного документооборота «Дело» в целях обеспечения

автоматизации делопроизводства органов власти, муниципальных образований и иных

организаций Ставропольского края (далее – Соглашение) с Оператором СЭД «Дело»;

АРМ (автоматизированное рабочее место) – конечный программно-аппаратный

комплекс Абонента для доступа к СЭД «Дело»;

Безопасность персональных данных – состояние защищённости персональных

данных, при котором обеспечиваются их конфиденциальность, доступность и целостность

при их обработке в информационных системах персональных данных;

Информационная система персональных данных – совокупность содержащихся в

базах данных персональных данных, и обеспечивающих их обработку информационных

технологий и технических средств;

Конфиденциальность персональных данных – обязательное для соблюдения

оператором или иным получившим доступ к персональным данным лицом требование не

допускать их распространения без согласия субъекта персональных данных или наличия

иного законного основания;

Несанкционированный доступ (несанкционированные действия) – доступ к

информации или действия с информацией, осуществляемые с нарушением установленных

прав и (или) правил доступа к информации или действий с ней с применением штатных

средств информационной системы или средств, аналогичных им по своему

функциональному предназначению и техническим характеристикам;

Обработка персональных данных – любое действие (операция) или совокупность

действий, совершаемых с использованием средств автоматизации или без использования

таких средств с персональными данными, включая сбор, запись, систематизацию,

накопление, хранение, уточнение (обновление, изменение), извлечение, использование,

передачу (в том числе распространение, предоставление, доступ), обезличивание,

блокирование, удаление, уничтожение персональных данных;

Оператор СЭД «Дело» – Государственное казенное учреждение Ставропольского

края «Краевой центр информационных технологий» (на основании постановления

Правительства Ставропольского края от 13.04.2012г. № 133-п);

ОС – операционная система;

Персональные данные – любая информация, относящаяся прямо или косвенно к

определённому или определяемому физическому лицу (субъекту персональных данных);

ПО – программное обеспечение;

СЗИ – средство защиты информации;

СКЗИ – средство криптографической защиты информации;

СМЭВ – единая система межведомственного электронного взаимодействия;

СЭД «Дело», СЭД – государственная информационная система, предназначенная для

автоматизации делопроизводства органов власти, муниципальных образований и иных

организаций Ставропольского края;

Технические средства информационной системы персональных данных –

средства вычислительной техники, информационно-вычислительные комплексы и сети,

средства и системы передачи, приёма и обработки персональных данных (технические

средства обработки речевой, графической, видео и буквенно-цифровой информации),

программные средства (операционные системы, системы управления базами данных и т.п.),

средства защиты информации;

Угрозы безопасности персональных данных – совокупность условий и факторов,

создающих опасность несанкционированного, в том числе случайного, доступа к

5

персональным данным, результатом которого может стать уничтожение, изменение,

блокирование, копирование, распространение персональных данных, а также иных

несанкционированных действий при их обработке в информационной системе персональных

данных;

ЭП – электронная подпись.

6

1 Общие положения

1.1 Требования Регламента распространяются на рабочие места и локальные

информационные системы организаций, подключённых к СЭД «Дело». Условия

подключения и использования СЭД «Дело» устанавливаются Оператором в Соглашении и в

настоящем Регламенте.

1.2 Целью функционирования СЭД «Дело» является сбор электронных сообщений

и электронных документов (включение электронных сообщений и электронных документов

в СЭД «Дело»), управление электронными сообщениями и электронными документами и

обеспечение доступа участников СЭД «Дело» к электронным сообщениям и электронным

документам и защищённого обмена электронными сообщениями и электронными

документами между Губернатором Ставропольского края, первым заместителем,

заместителями председателя Правительства Ставропольского края, аппаратом Правительства

Ставропольского края и органами исполнительной власти Ставропольского края в

автоматизированном режиме с использованием электронной подписи.

1.3 Целью функционирования подсистемы информационной безопасности СЭД

«Дело» является создание оптимальных условий для функционирования данной СЭД,

обеспечения конфиденциальности, целостности и доступности информационных ресурсов

СЭД, выполнение требований законодательства РФ в области защиты информации

ограниченного доступа (в том числе персональных данных).

1.4 Оператор СЭД «Дело» (ГКУ СК «Краевой центр информтехнологий») имеет

право в любой момент проверить выполнение обязательных требований регламента

Абонентом системы, и в случае наличия существенных недостатков, приостановить доступ

Абонент к СЭД «Дело».

1.5 Регламент разработан в соответствие со следующими документами:

Федеральный закон Российской Федерации от 27.07.2006 г. № 149-ФЗ «Об

информации, информационных технологиях и о защите информации»;

Федеральный закон Российской Федерации от 06 апреля 2011г. № 63-ФЗ «Об

электронной подписи»;

Федеральный закон от 27 июля 2006 г. 152-ФЗ «О персональных данных»;

Положение об обеспечении безопасности персональных данных при их обработке

в информационных системах персональных данных. Утверждено Постановление

Правительства от 1 ноября 2012 г. № 1119;

Состав и содержание организационных и технических мер по обеспечению

безопасности персональных данных при их обработке в информационных

системах персональных данных. Утверждены приказом ФСТЭК России от 18

февраля 2013 г. № 21;

Требования о защите информации, не составляющей государственную тайну,

содержащейся в государственных информационных системах. Утверждены

приказом ФСТЭК России от 11 февраля 2013 г. № 17;

Типовые требования по организации и обеспечению функционирования

шифровальных (криптографических) средств, предназначенных для защиты

информации, не содержащей сведений, составляющих государственную тайну в

случае их использования для обеспечения безопасности персональных данных

при обработке в информационных системах персональных данных». Утверждены

руководством 8 Центра ФСБ России 21 февраля 2008 г. №149/6/6-622;

ГОСТ РО 0043-003-2012. Защита информации. Аттестация объектов

информатизации. Общие положения;

Распоряжение Правительства Ставропольского края от 13.04.2012 № 133-п «Об

организации межведомственного электронного документооборота в

Ставропольском крае»

Оператором СЭД «Дело» проведена аттестация головного узла и двух типовых

рабочих мест информационной системы по требованиям защиты информации с

7

привлечением организации-лицензиата ФСТЭК России и ФСБ России по классу

защищённости К2.

1.6 Подключение рабочих мест и/или локальных информационных систем

(сегмента) Абонента к СЭД «Дело» осуществляется только после проведения

аттестационных испытаний данного сегмента требованиям безопасности информации и

получения аттестата соответствия на данный сегмент. Сегменту Абонента должен быть

установлен класс защищённости К3, применены аттестационные испытания в соответствии с

Программой и методиками аттестационных испытаний СЭД «Дело» утверждёнными

заказчиком (заявителем на аттестацию) и с учётом актуальных угроз безопасности

информации обрабатываемой Абонентом.

1.7 Для проведения работ по защите информации в ходе создания и эксплуатации

информационной системы, имеющей доступ к ресурсам СЭД «Дело», должны привлекаться

только организации, имеющие действующую лицензию ФСТЭК России на деятельность по

технической защите конфиденциальной информации и лицензию ФСБ России на работы,

связанные с установкой и обслуживанием средств шифрования.

8

2 Требования по разграничению доступа

2.1 Руководитель Абонента своим приказом назначает ответственного за

организацию работы с СЭД «Дело» (образец приказа приведён в Приложении 1).

Ответственный получает указания непосредственно от руководителя Абонента и подотчётен

ему.

2.2 Ответственный за организацию работы с СЭД «Дело» не должен назначаться

из числа пользователей СЭД в связи с необходимостью разделения полномочий по

эксплуатации и контролю за выполнением требований по безопасности информации.

2.3 Ответственный за организацию работы с СЭД обязан:

осуществлять внутренний контроль за соблюдением работниками

законодательства Российской Федерации в области информации ограниченного доступа, в

том числе требований Регламента;

ознакомить под роспись работников с положениями законодательства Российской

Федерации в области информации ограниченного доступа, а также требованиями

Регламента;

обеспечить требуемые условия, необходимые для функционирования рабочих

мест и локальных информационных систем, подключённых к СЭД «Дело»;

обеспечить защиту информации на АРМ в своей организации.

2.4 Работники Абонента допускаются к работе с ресурсами СЭД «Дело» приказом

руководителя после соответствующего инструктажа.

2.5 К работе в СЭД «Дело» допускаются только сотрудники, подписавшие

обязательство о неразглашении (образец в Приложении 2).

2.6 Парольная защита АРМ:

2.6.1 Пароль учётной записи пользователя АРМ должен отвечать следующим

требованиям:

уникальность: пароль не должен совпадать частично или полностью с уже

использованными паролями данного пользователя;

конфиденциальность: пароль учётной записи должен знать только пользователь;

не допускается передача пароля третьим лицам ни при каких условиях;

сложность: пароль должен быть длиной не менее 8 символов; содержать буквы

разного регистра и цифры; пароль не должен нести никакой смысловой нагрузки; пароль не

должен содержать полностью или частично имени пользователя, текущего года, названия

или номера месяца, фамилий, имён, отчеств и других персональных данных, надписей с

техники на рабочем месте и т.п.;

должен немедленно изменяться в случае компрометации.

2.6.2 В случае увольнения пользователя АРМ, ответственного за защиту АРМ или

системного администратора Абонента, руководству Абонента необходимо в кратчайшие

сроки организовать внеочередную смену пароля пользователя учётной записи уволенного

пользователя (а в случае увольнения ответственного за защиту АРМ – паролей всех

пользователей АРМ) после чего письменно уведомить Оператора СЭД «Дело» о

выполненных действиях.

2.7 В целях организации упорядоченного и избирательного доступа к АРМ

программное обеспечение, установленное на АРМ, должно обеспечивать выполнение

следующих требований:

2.7.1 Осуществляется автоматическая блокировка АРМ при отсутствии активности

пользователя более 5 минут, а также по запросу пользователя.

2.7.2 Осуществляться автоматическая блокировка АРМ в случаи пяти неуспешных

попыток входа в информационную систему.

2.7.3 Гостевая учётная запись АРМ должна быть заблокирована.

9

2.7.4 Реализован доступ пользователя СЭД к системе только под учётной записью с

ограниченными правами. Запрещается работа с системой в привилегированном режиме

(авторизация в системе с учётной записью имеющей права администратора).

2.7.5 При наличии в информационной системе Абонента доменной структуры все

локальные учётные записи АРМ должны быть заблокированы.

2.7.6 Доступ пользователей к АРМ должен осуществляться в строгом соответствии с

матрицей доступа утверждённой в Абоненте (образец приведён Приложении 3).

Кроме того, технические средства АРМ должны находиться в условиях,

исключающих несанкционированный доступ. Случайный просмотр экрана монитора АРМ

посторонними людьми должен быть исключён. Помещение, в котором находятся

технические средства, должно быть оборудовано охранно-пожарной сигнализацией и в

период отсутствия сотрудников в помещении сдаваться на охрану.

2.8 Ответственный за защиту АРМ обязан разработать и утвердить у руководства

Абонента схему контролируемой зоны (образец в Приложении 4). В схеме обязательно

должны быть указаны:

граница контролируемой зоны;

расположение АРМ относительно границ контролируемой зоны, а также

ограждающих конструкций здания, окон и дверей, лестниц;

применяемые средства и способы физической защиты технических средств АРМ.

10

3 Требования к программно-техническому обеспечению

3.1 Рекомендуемая конфигурация АРМ:

ОС: Windows 7/8 Профессиональная (Корпоративная);

процессор: х86 (х64) не менее 1 ГГц;

оперативная память: не менее 1 Гб;

свободное место на жёстком диске: не менее 200 Мб;

соединение с Internet не менее 4 Мб/c.;

3.2 Запрещается использование беспроводной клавиатуры и(или) мыши, а также

радиоинтерфейсов передачи данных (Wi-Fi, WiMAX, Bluetooth и др.)

3.3 Все изменения в состав технических средств и ПО АРМ должны вноситься

только уполномоченным сотрудником Абонента с разрешения ответственного за

организацию работы в СЭД «Дело». Результаты изменений вносятся в Технический паспорт

АРМ (Приложение 5).

3.4 Запрещено оборудовать АРМ дополнительными сетевыми адаптерами для

одновременного подключения к другим сетям.

3.5 Требования к системному ПО:

совместно с АРМ допускается использовать только лицензионное программное

обеспечение;

встроенные механизмы безопасности ОС (UAC, контроль целостности системных

файлов и т.д.) не должны быть отключены;

на АРМ должна быть установлена только одна операционная система;

в настройках BIOS АРМ должен быть установлен запрет на загрузку с внешних

носителей, а также установлен пароль на вход в BIOS.

3.6 Требования к прикладному программному обеспечению АРМ:

должны отсутствовать программы развлекательного характера (игры, гороскопы,

программы – розыгрыши и т.д.) и другое ПО, не связанное непосредственно с исполнением

служебных обязанностей;

должны отсутствовать средства разработки и отладки программ (кроме средств

разработки, встроенных в прикладное ПО, выборочное удаление которых не предусмотрено

разработчиком прикладного ПО).

3.7 Требования к обновлению программного обеспечения, функционирующего

совместно с АРМ.

должно использоваться автоматическое обновление критически важных программ

и компонентов таких как: ОС Windows, Интернет браузера, Acrobat Reader, Microsoft Office;

автоматическое обновление Java необходимо запретить;

должны использоваться актуальные стабильные рекомендуемые

соответствующим производителем версии системного и прикладного программного

обеспечения;

должно проводиться своевременное обновление СЗИ АРМ с учётом ограничений,

накладываемых процедурой сертификации СЗИ.

3.8 Для корректной работы в СЭД «Дело» необходимо наличие

специализированного программного обеспечения «Дело» последних версий.

3.9 При необходимости установки расширений в браузер, должны устанавливаться

только расширения, загруженные с официального сайта и одобренные разработчиком

браузера.

3.10 Установка таких расширений, как Яндекс.бар, тулбар Вконтакте и им

подобных должна быть исключена.

3.11 Рекомендуется использовать последнюю версию специализированного

программного обеспечения «Дело» для работы в СЭД «Дело».

3.12 Подключаемые к СЭД «Дело» рабочие места Абонентов необходимо оснастить

сертифицированными в установленном действующим законодательством порядке СЗИ:

11

системой защиты от несанкционированного доступа и раскрытия информации

ограниченного доступа Dallas Lock 8.0-С;

программным комплексом, выполняющем на рабочем месте функции VPN-

клиента, персонального экрана, клиента защищённой почтовой системы, а также

криптопровайдера для прикладных программ, использующих функции подписи и

шифрования ViPNet Client включённым в сеть № 1760 (в случае если

подключаемые к СЭД «Дело» АРМ расположены в изолированном сегменте ЛВС

защищённом с применением ПАК ViPNet Coordinator и если при этом в данном

сегменте отсутствуют не допущенные к СЭД «Дело» АРМ, наличие

программного комплекса ViPNet Client не обязательно);

электронный ключ eToken PRO Java с USB интерфейсом.

Инструкции по установке и настройке СЗИ Dallas Lock 8.0-С и VipNet Client

приведены в Приложении 8 к настоящему Регламенту.

3.13 В случае если в качестве АРМ применяется терминальный клиент ViPNet

Terminal, то такое рабочее место считается достаточно защищённым. Требования пунктов 3.1

– 3.12 на него не распространяются при условии, что данный терминальный клиент

эксплуатируется в соответствии с штатной эксплуатационной документацией.

3.14 АРМ Абонента должно быть поставлено на балансовый учёт Абонента.

4 Требования к антивирусному программному обеспечению

4.1 На АРМ в обязательном порядке должно быть установлено сертифицированное

антивирусное программное обеспечение «Антивирус Касперского» или «Eset NOD32».

4.2 Пользователю АРМ запрещается работать с отключёнными средствами

антивирусной защиты.

4.3 Обновление вирусных сигнатур должно осуществляется в автоматическом

режиме не менее чем 1 раза в день.

4.4 Полное антивирусное сканирование АРМ, а также внешних носителей,

подключаемых к АРМ должно выполняться автоматически не менее одного раза в неделю.

4.5. В случае если обнаружены признаки заражения АРМ программами-вирусами

пользователь АРМ обязан:

немедленно прекратить работу АРМ и отключить его от локальной

вычислительной сети;

немедленно сообщить своему руководителю, а также ответственному за защиту

АРМ о факте заражения.

действую в соответствии правилами эксплуатации конкретного антивирусного

ПО локализовать вирусную угрозу;

определить способ распространения и вероятные пути попадания вируса на АРМ;

провести внеочередное полное антивирусное сканирование АРМ (в том числе и

сменных носителей, которые подключались к заражённому АРМ);

сообщить в ГКУ СК «Краевой центр информтехнологий» по телефону (8652) 55-

42-18 либо по электронной почте virusalert@cit-sk.ru название вируса, способ

распространения и предполагаемую дату заражения.

12

5 Требования к работе со средствами криптографической защиты

информации

5.1 К работе со средствами ЭП допускаются только сотрудники организации-

Абонента, прошедшие специальную подготовку в соответствии с правилами эксплуатации

СКЗИ и имеющие документ подтверждающий успешное прохождение данной подготовки.

Организация подготовки возлагается на Абонента.

5.2 Все ключевые носители и средства криптографической защиты информации

должны быть учтены в журнале поэкземплярного учёта СКЗИ, эксплуатационной и

технической документации к ним, ключевых документов.

5.3 Ключевые носители ЭП Абонента должны хранится в надёжно запираемых

хранилищах индивидуального пользования, оборудованных приспособлениями для

опечатывания замочных скважин и извлекаться пользователем СКЗИ, либо ответственным за

организацию работы с СЭД «Дело» строго на период работы с системой.

5.4 Все электронные документы, исходящие от Абонента с применением СЭД

подписываются ЭП Абонента. За неправомерное подписание электронного документа

ответственность несёт сотрудник, допустивший это нарушение.

5.5 Сертификат открытого ключа ЭП считается действующим, если его серийный

номер не содержится в актуальном списке (издаваемом удостоверяющим центром,

выдавшим ЭП) отозванных сертификатов на момент подписания электронного документа и

соответствующий ему закрытый ключ ЭП является действующим.

5.6 Абонент должен обеспечить сохранность открытых ключей ЭП и их

сертификатов в течение всего периода хранения электронных документов в архивном

хранилище.

5.7 Плановая замена сертификата ключа подписи Абонента, производится не реже

одного раза в год, в соответствии с требованиями эксплуатации криптографического

средства, а также при смене Уполномоченных лиц (Уполномоченных представителей).

Данный факт отражается в техническом (аппаратном) журнале АРМ.

5.8 В случае компрометации закрытого ключа ЭП Абонент должен немедленно

известить об этом УЦ, который, в свою очередь, должен произвести отзыв и внеплановую

замену указанного ключа ЭП и сертификата Абонента.

5.9 Плановая и экстренная замена сертификатов ключей подписи производится

Абонентом в соответствии с требованиями Регламента Удостоверяющего центра.

5.10 Применение СЗИ и СКЗИ производится Абонентом СЭД «Дело» в

соответствии с Инструкцией по настройке и эксплуатации средств защиты информации

(Приложение 6). АРМ должны быть оборудованы средствами

контроля вскрытия (опечатаны, опломбированы). Сведения обо всех действиях, связанных с

опечатыванием АРМ должны быть отражены в соответствующем журнале учёта пломб.

Должен осуществляться контроль целостности печатей перед началом работы с АРМ. В

случае обнаружения нарушения целостности печатей необходимо уведомить ответственного

пользователя СКЗИ, ответственного за защиту АРМ и прекратить работу в системе до

выяснения всех обстоятельств.

6 Требования к выявлению инцидентов и реагированию на них

6.1 Инциденты в области информационной безопасности возникают при

нарушении правил и требований информационной безопасности.

В ходе инцидента реализуются (или создаётся возможность для реализации) угрозы

информационной безопасности, что, как правило, приводит к нанесению вреда организации

и (или) субъекту персональных данных.

Работа с инцидентами в области информационной безопасности помогает определить

наиболее актуальные угрозы безопасности персональных данных и создаёт обратную связь в

системе обеспечения информационной безопасности, что способствует повышению общего

уровня защиты информационных ресурсов СЭД «Дело».

13

6.2 Работа с инцидентами включает в себя 3 направления:

выявление инцидентов в области информационной безопасности;

реакция на инциденты в области информационной безопасности;

профилактика инцидентов в области информационной безопасности.

6.3 Работа по выявлению инцидентов в области информационной безопасности

включает в себя мероприятия, направленные на:

выявление инцидентов в области информационной безопасности с помощью

технических средств;

выявление инцидентов в области информационной безопасности в ходе

мероприятий по контролю за обработкой персональных данных и информации

ограниченного доступа;

выявление инцидентов с помощью персонала организации.

6.4 Реакция на инциденты в области информационной безопасности включает в

себя:

фиксацию инцидента в области информационной безопасности;

определение границ инцидента и ущерба (в том числе потенциального) от

реализации угроз информационной безопасности в ходе инцидента;

ликвидация последствий инцидента и полное либо частичное возмещение ущерба;

наказание виновных в инциденте информационной безопасности.

6.5 Профилактика инцидентов строится на:

планомерной деятельности по повышению уровня осознания информационной

безопасности руководством и сотрудниками Абонента;

проведения мероприятий по обучению сотрудников Абонента правилам работы

со средствами защиты информации в ИСПДн;

доведении до сотрудников норм законодательства и внутренних документов

Абонента, устанавливающих ответственность за нарушение требований информационной

безопасности;

инструктаже увольняющихся и устраивающихся на работу сотрудников о

необходимости соблюдения конфиденциальности информации ограниченного доступа;

своевременном обновлении программного обеспечения, в т.ч. баз сигнатур

антивирусных средств;

постоянном мониторинге информационных систем и анализе электронных

журналов событий.

6.6 Причины инцидентов в области информационной безопасности

Причинами инцидентов в области информационной безопасности являются:

действие враждебных интересам Абонента лиц;

отсутствие персональной ответственности за выполнение требований по защите

информации;

недостаточная работа с персоналом по соблюдению необходимого режима

конфиденциальности персональных данных и иной информации ограниченного доступа;

отсутствие моральной и материальной стимуляции за соблюдение правил и

требований информационной безопасности;

недостаточная техническая оснащённость подразделений информационной

безопасности;

совмещение функций по разработке и сопровождению или сопровождению и

контролю за информационными системами;

наличие привилегированных бесконтрольных пользователей в информационной

системе;

пренебрежение правилами и требованиями информационной безопасности

сотрудниками;

и другие причины.

14

6.7 Расследование инцидентов в области информационной безопасности

В случае возникновения инцидента в области информационной безопасности

организация-Абонент формирует комиссию по расследованию причин инцидента и

ликвидации его последствий.

В случае, если в область распространения попадают информационные ресурсы СЭД

«Дело» (в том числе АРМ Абонента СЭД «Дело»), в состав комиссии может быть включён

уполномоченный сотрудник Оператора СЭД «Дело».

В обязанности комиссии входят:

определение границ инцидента – информационных ресурсов, технических средств

и персонала, затронутых инцидентом;

определение причин инцидента, факторов, влияющих на возникновение

инцидента;

определение участников инцидента;

определение последствий инцидента;

составление заключения по результатам расследования;

уведомление Оператора СЭД «Дело» о произошедшем инциденте;

выработка рекомендаций по предотвращению возникновения подобных

инцидентов в будущем.

6.8 Работа с персоналом по предупреждению инцидентов

Как правило, самым слабым звеном в любой системе безопасности является человек.

Наличие современных доступных способов воздействия на персонал, таких как социальная

инженерия, фишинг, подмена электронных идентификаторов, номеров телефонов и т.д.,

делает пользователя информационной системы частым объектом внимания

злоумышленника. Поэтому направление работы с персоналом является основным

направлением работы подразделений информационной безопасности.

В работе с персоналом основной упор должен делаться не на наказание сотрудника за

нарушения в области информационной безопасности, а на поощрение за надлежащие

выполнение требований информационной безопасности, проявление личной инициативы в

укреплении системы информационной безопасности.

Персонал Абонента является так же важным источником сведений об инцидентах

информационной безопасности. Поэтому необходимо донести до сотрудников информацию

о том, что оперативно предоставленные сведения об инциденте информационной

безопасности являются поводом для смягчения либо отмены наказания за нарушение

требований информационной безопасности.

Частой причиной инцидентов информационной безопасности является личная обида

подчинённых на своих руководителей, либо коллег. Поэтому благоприятный микроклимат в

коллективе является необходимым фактором обеспечения информационной безопасности в

организации.

7 Требования к мониторингу и контролю эффективности

7.1 Мониторинг событий информационной безопасности производится

уполномоченным сотрудником Абонента на постоянной основе.

Целью мониторинга является поддержание эффективности системы информационной

безопасности Абонента на требуемом уровне.

7.2 Задачами мониторинга являются:

выявление инцидентов информационной безопасности, а также факторов,

способствующих возникновению инцидента;

15

выявление ошибок и сбоев в работе программных и технических средств;

организация своевременного ремонта и(или) замены комплектующих

информационных систем.

7.3 В область мониторинга включаются:

журналы событий системного и прикладного ПО, антивирусов, систем

управления, сетевого оборудования и средств защиты информации;

сообщения средств обнаружения вторжений;

журналы учёта материальных носителей информации, средств защиты и

шифрования;

целостность программных и технических средств;

доступность информационных ресурсов СЭД «Дело».

7.4 В случае выявления нарушений в ходе мониторинга, уполномоченный

сотрудник Абонента уведомляет об этом ответственного за организацию работы со СЭД

«Дело».

Ответственный за организацию работы с СЭД «Дело» проводит анализ выявленных

нарушений и принимает мотивированное решение о приостановке либо продолжении работы

АРМ Абонента СЭД «Дело». В случае необходимости ответственный уведомляет Оператора

СЭД «Дело» о появившихся проблемах.

7.5 Контроль эффективности системы информационной безопасности проводится

Абонентом не реже 1 раза в год. Контроль эффективности осуществляется самостоятельно,

либо с привлечением организации-лицензиата ФСТЭК России и ФСБ России.

7.6 В ходе проведения контроля эффективности проверяется выполнение

требований законодательства РФ в области защиты сведений ограниченного доступа, не

составляющих государственную тайну, внутренних документов по защите информации и

Регламента, а также отрабатываются действия ответственных должностных лиц за

реализацию мер защиты информации.

7.7 Контроль эффективности работы средств защиты информации проводится

путём анализа уязвимостей информационной системы с помощью специализированного

сканнера защищённости, либо с помощью «тестов на проникновение» (pentest). По

результатам работ составляется протокол анализа уязвимостей, содержащий отчёт о

найденных уязвимостях и выводы об эффективности средств и мер защиты информации.

7.8 По результатам контроля эффективности оформляется соответствующий акт

(Приложение 7).

8 Требования к обслуживанию технических средств и систем

8.1 При необходимости ремонта технических средств и систем, уполномоченный

сотрудник должен:

уведомить ответственного за работу в СЭД «Дело» и пользователей СЭД «Дело»;

в случае невозможности самостоятельно исправить поломку, направить

техническое средство в мастерскую, предварительно изъяв все носители информации;

при получении из ремонта проверить комплектность и работоспособность

технического средства.

8.2 Неисправные носители информации АРМ Абонента СЭД «Дело» подлежат

уничтожению с использованием методов гарантированного стирания информации (в том

числе физического уничтожения).

8.3 В случае списания технических средств и (или) систем, хранивших

информацию ограниченного доступа, носители информации таких средств и (или) систем

подлежат уничтожению с использованием методов гарантированного стирания информации.

16

Приложение 1

Образец приказа о назначении ответственных за работу АРМ Абонента

государственной информационной системы Ставропольского края «Система

межведомственного электронного документооборота «Дело»

П Р И К А З

«___»___________ 20__г. № ______

О назначении ответственных при работе с государственной информационной системой

Ставропольского края «Система межведомственного электронного документооборота

«Дело»

<Название Организации>

В целях исполнения требований законодательства по защите конфиденциальной

информации, персональных данных, а также регламента подключения к

государственной информационной системе Ставропольского края «Система

межведомственного электронного документооборота «Дело»

ПРИКАЗЫВАЮ:

1. Назначить ответственного за защиту АРМ для работы в государственной

информационной системе Ставропольского края «Региональная система

межведомственного электронного взаимодействия» …….;

2. Назначить пользователем системы электронного взаимодействия:

<должность>

……………..

<ФИО>

………

3. Ответственному за защиту АРМ государственной информационной системы

Ставропольского края «Система межведомственного электронного документооборота

«Дело» ознакомить под роспись пользователей системы с документами,

устанавливающими особенности обработки конфиденциальной информации,

персональных данных в системе.

Руководитель ФИО

17

Приложение 2

Образец обязательства о неразглашении конфиденциальной информации при работе в

государственной информационной системе Ставропольского края «Система

межведомственного электронного документооборота «Дело»

Я, _______________________________________________________, работая в должности

__________________________________________________ в <Название организации>,

обязуюсь не разглашать полученные при исполнении мной трудовых обязанностей

конфиденциальную информацию, персональные данные клиентов организации.

Я понимаю, что разглашение такого рода информации может нанести ущерб клиентам

организации.

В связи с этим, даю обязательство, при работе с персональными данными и

конфиденциальной информацией в системе электронного взаимодействия соблюдать

требования, описанные в «Регламенте удалённого подключения Абонентской станции к

системе межведомственного электронного взаимодействия Ставропольского края».

В случае попытки посторонних лиц получить от меня конфиденциальную информацию и

персональные данные клиентов, немедленно сообщу своему руководителю.

Я предупреждён(а) о том, что в случае разглашения или утраты мною персональных данных

и конфиденциальной информации, я несу ответственность в соответствии с Трудовым

Кодексом РФ ст. 90. и могу быть привлечён к материальной, гражданско-правовой,

административной и уголовной ответственности в соответствие с действующим

законодательством РФ.

С «Регламентом удалённого подключения Абонентской станции к системе

межведомственного электронного взаимодействия Ставропольского края» ознакомлен(а).

«____» _____________ 20__ г. ________________________

18

Приложение 3

Образец матрицы доступа

МАТРИЦА ДОСТУПА

пользователей АРМ государственной информационной системы Ставропольского края

«Система межведомственного электронного документооборота «Дело» к средствам

вычислительной техники и информационным ресурсам

Ответственный за защиту АРМ Абонента ФИО

1 Системные каталоги включают в себя директорию операционной системы (C:\Windows) а так же каталоги прикладного

программного обеспечений (C:\Program files);

2 К объектам профиля пользователя относят каталоги «Рабочий стол», «Мои документы», «Мои рисунки», а так же

каталоги, в которых хранятся пользовательские настройки прикладного программного обеспечения «Application Data»,

«Local Settings» и другие;

3 К операциям записи так же относят модификацию, удаление и изменение прав доступа;

4 Запрет доступа имеет приоритет над остальными правами пользователя, в том числе групповыми.

Объект

доступа

Субъект

доступа

Тип доступа

Ин

терн

ет

БД

Си

стем

ы

При

нте

р

Вн

ешн

ий

носи

тель

Си

стем

ны

е

кат

алоги

1 Объекты

профиля

пользователя2

Конфигураци

онные файлы

ViPNet

Клиент,

средства ЭЦП

Пользователь

системы

электронного

взаимодействия

Чтение Х Х Х

Запись3 Х Х Х

Запрет

доступа4

Х Х Х

Администратор

Чтение Х Х Х Х Х

Запись Х Х Х Х Х Х

Запрет

доступа

Х

19

Приложение 4

Пример схемы контролируемой зоны

90

0м

м

90

0м

м9

00

мм

C

C

Условные обозначения- АРМ/Терминал Абонента системы;

- СКУД;

- камера видеонаблюдения;

- охранный датчик.

20

Приложение 5

Образец технического паспорта АРМ Абонента государственной информационной

системы Ставропольского края «Система межведомственного электронного

документооборота «Дело»

ТЕХНИЧЕСКИЙ ПАСПОРТ

на автоматизированное рабочее место

государственной информационной системы Ставропольского края «Система

межведомственного электронного документооборота «Дело»

1. Состав технических средств:

Тип ТС Наименование и модель Серийный номер

Системный блок

Монитор

Клавиатура

Мышь

Принтер

ИБП

2. Состав программного обеспечения:

Наименование ПО Версия

Операционная система _____________

Офисный пакет ___________

3. Состав средств защиты информации1:

Наименование ПО Серийный номер

4. Расположение технических средств указано на схеме контролируемой

зоны, приведенной на Рисунке 1.

Рисунок 1 – Схема контролируемой зоны объекта информатизации

1 К средствам защиты информации относятся: Антивирус, Электронный ключ

eToken/ruToken, ViPNet Client, Dallos Lock и т.д.

21

5. Сведения об аттестации объекта информатизации на соответствие

требованиям по безопасности информации:

5.1 Протокол аттестационных испытаний объекта информатизации

автоматизированное рабочее место СЭД «Дело»:

­ № ______ от __ _______ 201_ г.

5.2 Заключение по результатам аттестационных испытаний объекта

информатизации автоматизированное рабочее место СЭД «Дело»:

­ № ______ от __ _______ 201_ г.

5.3 Аттестат соответствия объекта информатизации автоматизированное

рабочее место СЭД «Дело» требованиям безопасности информации:

­ № ______ от __ _______ 201_ г.

Ответственный за защиту АРМ Абонента ФИО

22

Приложение 6

ИНСТРУКЦИЯ ПО НАСТРОЙКЕ И ЭКСПЛУАТАЦИИ

СРЕДСТВ ЗАЩИТЫ ИНФОРМАЦИИ И СРЕДСТВ

КРИПТОГРАФИЧЕСКОЙ ЗАЩИТЫ ИНФОРМАЦИИ

ИНСТРУКЦИЯ АДМИНИСТРАТОРА DALLAS LOCK 8.0-C

1. Установка системы защиты.

1.1 Подготовка компьютера к установке

Убедитесь, что все диски отформатированы в NTFS. Поставьте пароль на BIOS и загрузку

с жёсткого диска. Проверьте ПК на вирусы. Убедитесь, что установка будет произведена из-

под учётной записи «Администратор». Перепишите серийные номера Dallas Lock 8.0-C,

Aladdin eToken, средства антивирусной защиты и укажите их в журнале учёта СЗИ.

1.2 Установка системы защиты

Пользователь, установивший систему защиты, автоматически становится

привилегированным пользователем – суперадминистратором. Изменять имя

(переименовывать) суперадминистратора средствами Windows запрещено.

Внимание. Имя и пароль пользователя для входа в операционную систему,

выполнившего установку, автоматически становятся именем и паролём для

первого входа на компьютер с установленной системой защиты

Dallas Lock 8.0-C, пользователем в качестве суперадминистратора.

Внимание. Если будут использоваться сторонние Firewall программы, то

необходимо добавить разрешения для TCP портов 17490, 17491, 17492 в их

настройки вручную.

При установке системы защиты на компьютере с установленной операционной системой

Windows 7 после запуска приложения, на экране будет выведено диалоговое окно для

подтверждения операции (рис. 1).

Рис. 1. Разрешение на установку программы в ОС

После подтверждения операции запустится программа установки системы Dallas Lock 8.0-

C (рис. 2).

23

Рис. 2. Окно начала установки системы защиты

Для установки необходимо нажать кнопку «Начать установку», после чего программа

приступит к инсталляции продукта. На данном этапе программа попросит осуществить ввод

определённых параметров (рис. 3):

Рис. 3. Ввод параметров установки

В этом окне необходимо ввести серийный номер лицензии Dallas Lock 8.0-C, который

указан на обложке компакт-диска с дистрибутивом в поле «Серийный номер».

После нажатия кнопки «Далее» процесс установки системы будет завершён (рис. 4).

Рис. 4. Завершение установки программы

Далее система потребует перезагрузки компьютера (рис. 5).

24

Рис. 5. Требование перезагрузки компьютера после установки

После нажатия кнопки «Перезагрузка» автоматическая перезагрузка произойдёт через 30

секунд. После перезагрузки первый вход на защищённый компьютер сможет осуществить

пользователь, под учётной записью которого выполнялась инсталляция системы защиты

Dallas Lock 8.0-C, либо доменный пользовать, если компьютер является клиентом

контроллера.

2. Настройка Dallas lock 8.0-C

2.1. Параметры входа в систему защиты

Для настройки входа в систему, установки атрибутов пароля, аппаратных считывателей

необходимо выбрать вкладку «Параметры безопасности», закладку «Вход», требуемые

настройки показаны на (рис. 6).

Рис. 6. Параметры входа в систему

2.2. Настройка полномочий пользователей

Для настройки прав пользователей в оболочке администратора на основной вкладке

«Параметры безопасности» выделить категорию «Права пользователей» установить

параметры как показано на. (рис. 7):

25

Рис. 7. Окно редактирования прав пользователей на администрирование

2.3. Доверенная загрузка

2.3.1. Настройка модуля доверенной загрузки

Для того чтобы активировать доверенную загрузку, необходимо в оболочке

администратора в верхнем меню выбрать категорию «Параметры безопасности», далее –

«Доверенная загрузка» и нажать кнопку «Включить» (рис. 8).

Рис. 8. Включение механизма доверенной загрузки

Появится окно включения режима доверенной загрузки с вводом параметров (рис. 9).

26

Рис. 9. Окно включения доверенной загрузки

В данном окне необходимо назначить Pin-код для администратора безопасности. Этот

Pin-код будет являться средством авторизации в модуле доверенной загрузки. Необходимо

выбрать алгоритм преобразования ГОСТ 28147-89. После установки параметров необходимо

нажать «OK». Система сообщит об успешном включении модуля загрузки и потребует

перезагрузить компьютер. Следующий вход на защищённый компьютер осуществится с

предварительной авторизацией в загрузчике.

2.3.2. Создание Pin-кода пользователя

После входа в операционную систему при активном модуле загрузчика в оболочке

администратора вкладка «Доверенная загрузка» автоматически откроется на дополнительной

вкладке этого модуля - «Pin-коды». В списке основного окна вкладки присутствуют записи

об имеющихся в системе Pin-кодах для модуля загрузки (рис. 10).

Рис. 10. Вкладка Pin-коды

Чтобы создать новый Pin-код пользователя необходимо нажать на панели действий

кнопку «Добавить pin». Откроется окно создания Pin-кода (рис. 11).

27

Рис. 11. Окно создания Pin-кода для загрузчика

В окне создания Pin-кода необходимо заполнить следующие параметры:

«Имя PIN-кода» - указать имя пользователя;

«Новый PIN-код» - ввести новый PIN;

2.4. Настройка параметров аудита

Для настройки параметров аудита необходимо выбрать вкладку «Параметры

безопасности» => «Аудит. Требуемые параметры показаны на рисунке ниже (рис 44).

28

Рис. 12. Параметры аудита

2.5. Настройка очистки остаточной информации

Для того чтобы настроить процесс очистки остаточной информации, необходимо в

оболочке администратора открыть категорию «Очистка остаточной информации» на вкладке

«Параметры безопасности» и установить параметры, как показано на (рис. 13).

Рис. 13. Параметры очистки остаточной информации

2.5.1. Запрет смены пользователя без перезагрузки

Включение этой политики производится: вкладка «Параметры

безопасности» => категория «Вход» => параметр «Вход: запрет смены пользователя без

перезагрузки» (рис. 14).

Рис. 14. Редактирование параметров безопасности

При выборе пункта «Завершение сеанса» в окне «Завершение работы Windows»,

компьютер автоматически уйдет на перезагрузку (рис. 15).

Рис. 15. Сообщение системы при автоматической перезагрузке

29

2.6. Настройка параметров контроля целостности

Для настройки контроля целостности необходимо в оболочке администратора на вкладке

«Параметры безопасности» выделить категорию «Контроль целостности» и установить се

параметры как показано на рисунке (рис. 16).

Рис. 16. Закладка Контроль целостности в оболочке администратора

2.6.1. Контроль целостности для файлов

Чтобы задать контроль целостности для локального объекта ФС и исполняемых файлов

средств защиты информации, с помощью оболочки администратора необходимо в списке

объектов категории «Контроль целостности» на вкладке «Контроль доступа» нажать кнопку

«Добавить». В появившемся диалоговом окне, с помощью управляющих кнопок или

прописав вручную, необходимо указать путь к ресурсу и нажать кнопку «Выбрать».

Откроется окно редактирования параметров объекта ФС. В отобразившемся окне

редактирования параметров необходимо открыть закладку «Контроль целостности» (см.

ниже).

Задать проверку контроля целостности для локальных объектов файловой системы без

помощи оболочки администратора, а с помощью контекстного меню можно следующим

способом:

Правым щелчком мыши на значке объекта, для которого необходимо установить проверку

контроля целостности, открыть контекстное меню и выбрать из него пункт «DL8.0: Права

доступа» (рис. 17).

30

Рис. 17. Контекстное меню

В отобразившемся окне редактирования параметров необходимо открыть закладку

«Контроль целостности» (рис. 18).

Рис. 18. Контроль целостности ресурса файловой системы

Необходимо выставить флажок в поле «Контроль целостности включён» и выбрать

алгоритм расчёта контрольной суммы, ГОСТ Р 34.11-94.

Отметить при необходимости поле «Проверять контроль целостности при доступе».

Нажать «Применить» и «ОК».

Необходимо добавить исполняемые файлы средств защиты информации (Aladdin eToken,

средства антивирусной защиты), установленные на АРМ, для которых необходимо назначить

аудит, на рисунке ниже (рис. 19.), процесс назначения описан выше.

31

Рис. 20. Контроль целостности

3. Управление учётными записями

По умолчанию в системе защиты Dallas Lock 8.0-C всегда присутствуют следующие

учётные записи:

Суперадминистратор - учётная запись пользователя, установившего СЗИ НСД

(запись невозможно удалить из системы);

«anonymous» - учётная запись для проверки входов с незащищённых системой машин

(запись невозможно удалить из системы, но нужно отключить);

«secServer» - через эту учётную запись Сервер безопасности подключается к данному

ПК и проводит оперативное управление (запись невозможно удалить из системы, но

нужно отключить, если не используется Сервер Безопасности);

«*\*» - специальная учётная запись, разрешающая всем доменным пользователям вход

на защищённый системой компьютер (подробнее – в разделе «Регистрация доменных

пользователей»). Создаётся только на ПК, которые в момент установки СЗИ НСД

входят в Active Directory. Запись нужно отключить.

Для отключения учетных записей необходимо выделить категорию «Учетные записи» на

одноименной вкладке оболочки администратора и выбрать учетную запись, которую

необходимо отключить, нажав на нее два раза левой кнопкой мыши, появится окно

редактирования параметров учётной записи, на вкладке «Общие» в поле «Параметры»

отметить пункт «Отключена», отключённые учётные записи выделяются особым значком

.

3.1. Создание и удаление локальных пользователей

Ниже описаны действия по созданию нового пользователя в системе защиты.

Выделить категорию «Учётные записи» на одноименной вкладке оболочки

администратора.

Нажать кнопку «Создать» в категориях «Действия» или выбрать соответствующую из

32

контекстного меню. На экране появится окно создания новой учётной записи (рис. 21).

Рис. 21. Окно создания учетной записи

В поле «Размещение» необходимо выбрать значение «Локальный».

В поле «Логин» необходимо ввести логин (имя) регистрируемого пользователя. При вводе

имени в системе существуют следующие правила:

максимальная длина имени - 32 символа;

имя может содержать латинские символы, символы кириллицы, цифры и специальные

символы;

разрешается использовать различные регистры клавиатуры.

Если учётная запись была создана ранее, нажатие кнопки поиска, разворачивает

список учётных записей пользователей, зарегистрированных только в ОС данного

компьютера (рис. 22).

Рис. 22. Учетные записи, зарегистрированные в ОС компьютера

После нажатия кнопки «OK» появится окно редактирования параметров учетной записи

(рис. 23).

33

Рис. 23. Окно редактирования параметров новой учетной записи

На вкладке «Общие» требуется ввести следующие параметры:

полное имя;

В поле «Параметры» следует отметить:

«Блокировать при нарушении целостности».

флажок в поле «Служебный пользователь» предоставляет данной учетной записи

особый статус, необходимо назначить пользователю, которого создает программа

VipNet Client (см. раздел «Служебный пользователь» Руководства по эксплуатации);

Далее, в процессе создания или регистрации локального пользователя необходимо

включить его в группу «Пользователи». В окне закладки «Группы» отображены названия

групп, в которые включен пользователь (рис. 24). По умолчанию, каждый новый

пользователь входит в группу «Пользователи».

Рис. 24. Окно редактирование групп пользователя

34

Чтобы включить пользователя в определенную группу необходимо нажать «Добавить».

Появится список всех групп пользователей, имеющихся в системе (кроме тех, в которые

пользователь уже включён) (рис. 25).

Рис. 25. Окно выбора групп

В поле «Размещение» необходимо оставить значение «Локальный». В списке групп нужно

выбрать «Пользователи».

Завершающей операцией по созданию учётной записи пользователя является назначение

пароля. Назначение пароля предлагается системой после заполнения всех необходимых

параметров в окне создания учётной записи и нажатия кнопки «ОК» (рис. 26).

Рис. 26. Форма ввода пароля

Для создания пароля, отвечающего всем установленным требованиям политик

безопасности, необходимо воспользоваться помощью генератора паролей системы защиты.

Для этого нажать кнопку с надписью «Генерация пароля». Система автоматически создаст

случайный пароль, удовлетворяющий политикам сложности пароля, значение которого

необходимо ввести в поля «Пароль» и «Подтверждение».

3.2. Регистрация доменных пользователей

Для того чтобы зарегистрировать в СЗИ НСД учётную запись доменного пользователя,

необходимо получить список доменных пользователей. Для этого, при создании учётной записи, в выпадающем меню размещения необходимо

выбрать имя домена и нажать кнопку поиска (рис. 27).

35

Рис. 27. Заполнение имени учетной записи

Для получения списка учётных записей домена необходимо дополнительно ввести данные

авторизации администратора домена. После авторизации, появится список всех

пользователей, зарегистрированных на контроллере домена.

Выбрать учётную запись пользователя и нажать «OK».

В системе защиты автоматически сформируется учётная запись пользователя с теми

параметрами, которые соответствуют ей на контроллере. С зарегистрированными в

СЗИ НСД доменными пользователями можно проводить любые операции по реализации

политик безопасности, однако нельзя менять пароль средствами системы. При попытке

изменить пароль будет выведено предупреждение (рис. 28).

Рис. 28. Сообщение системы при попытке смены пароля

3.3. Назначение аппаратной идентификации

Перед назначением аппаратного идентификатора следует установить драйвер

соответствующего идентификатора-Aladdin eToken.

Настроить в системе защиты его считыватель.

Далее выполним настройку считывателей.

После того, как считыватель аппаратного идентификатора и драйверы к нему

установлены, необходимо войти в оболочку администратора, открыть одну из основных

вкладок «Параметры безопасности», выбрать категорию «Вход». Выбор настройки

считывателей возможен при назначении идентификатора учётной записи.

36

Открыть окно необходимого параметра «Настройка считывателей аппаратных

идентификаторов», выделив параметр и нажав кнопку «Изменить» на панели «Действия»,

либо, дважды щёлкнув левой кнопкой мыши по параметру в списке. На экране отобразится

окно настройки (рис. 289).

.

Рис. 29. Окно настройки средств аппаратной идентификации

Выделив необходимый идентификатор нужно нажать «Добавить» или поставить флажок.

Кнопка «Проверить» станет активной.

Для назначения идентификатора пользователю, необходимо в окне создания или

редактирования учётной записи пользователя открыть закладку «Аппаратная

идентификация» (рис. 30).

Рис. 30. Вкладка назначения аппаратных идентификаторов пользователю

Необходимо предъявить аппаратный идентификатор1. Предъявить идентификатор можно,

вставив его в usb-порт. В строке состояния «Предъявленные аппаратные идентификаторы»

появится цифра с количеством идентификаторов предъявленных в данный момент, а в

списке выпадающего меню – наименования. Следует выбрать необходимый идентификатор

из списка (рис. 31).

1 USB-ключи Aladdin eToken Pro/Java, смарт-карты Aladdin eToken PRO/SC, USB-ключи Rutoken (Рутокен) и Rutoken ЭЦП

37

Рис. 31. Выбор зарегистрированного идентификатора

После выбора идентификатора в полях с параметрами появятся: наименование его типа,

номер, изображение и, для некоторых видов идентификаторов, станут доступны

дополнительные кнопки (рис. 32).

Рис. 32. Автоматическое заполнение параметров назначенного идентификатора

После выбора идентификатора для пользователя необходимо нажать «Применить» и

«OK». Таким образом, после назначения идентификатора для учётной записи, для входа в

ОС помимо ввода авторизационной информации, станет необходимо предъявить и

назначенный аппаратный идентификатор.

4. Аудит журналов

В системе защиты Dallas Lock 8.0-C регистрация и запись событий ведётся в различных

типах журналов. Для удобства выделены следующие 6 журналов:

«Журнал входов»;

«Журнал управления учётными записями»;

«Журнал доступа к ресурсам»;

«Журнал печати»;

«Журнал управления политиками»;

«Журнал процессов».

Для просмотра событий определённого журнала в оболочке администратора на одной из

основных вкладок «Журналы» необходимо выбрать категорию, соответствующую одному из

6-ти типов журналов (рис. 33). Щелчок мыши на выбранном журнале открывает его и

позволяет просмотреть его содержимое.

38

Рис. 33. Вкладка Журналы

Двойной щелчок мышки на любой записи любого журнала открывает форму, содержащую

всю информацию, относящуюся к этой записи (рис. 34).

Рис. 34. Отдельная форма записи журнала событий

Нажимая на кнопки «вверх» и «вниз» можно листать журнал, просматривая предыдущие

или следующие записи.

39

5. Сохранение конфигурации

После того, как была произведена настройка системы защиты Dallas Lock 8.0-C согласно

требованиям, были зарегистрированы пользователи и им были предоставлены необходимые

права и полномочия, администратор безопасности может сохранить все или определённые

настройки системы защиты в специальном файле конфигурации.

Для сохранения настроек системы защиты необходимо в списке функций кнопки

основного меню выбрать пункт «Сохранить конфигурацию» (рис. 35).

Рис. 35. Выбор сохранения конфигурации

Появится окно с выбором параметров системы защиты для их сохранения (рис. 36).

Рис. 36. Окно для выбора параметров при сохранении их в файле конфигурации

В данном окне необходимо отметить названия параметров, выбрать расположение и имя

файла, в котором будет сохранена конфигурация (по умолчанию – это системная папка

DLLOCK80). После нажатия кнопки «ОК» файл конфигурации будет сформирован и

сохранен. Система выдаст подтверждение. Сохранённый файл конфигурации будет иметь

расширение *.dlc.

40

6. Удаление системы защиты

Чтобы осуществить удаление системы Dallas Lock 8.0-C, необходимо обладать

соответствующими полномочиями на администрирование системы (полномочия на

деактивацию) и одновременно являться администратором операционной системы.

В ОС Windows 7 необходимо нажать кнопку «Пуск» , выбрать компонент «Панель

управления» и открыть утилиту «Программы и компоненты». В появившемся окне из списка

выбрать программу Dallas Lock 8.0-C (рис. 37).

Рис. 37. Удаление Dallas Lock 8.0-C

Нажать кнопку «Удалить» и подтвердить удаление. После этого запустится

деинсталляция. После успешного удаления СЗИ НСД Dallas Lock 8.0-C появится

информационное окно о необходимости перезагрузки ПК (рис. 38), после нажатия кнопки

«Перезагрузка» будет выполнена принудительная (!) перезагрузка компьютера.

Рис. 38. Сообщение системы после удаления СЗИ НСД

41

ИНСТРУКЦИЯ ПОЛЬЗОВАТЕЛЯ DALLAS LOCK 8.0-C

1. Вход на защищённый компьютер

1.1. Вход на компьютер в загрузчике

Перед началом работы на компьютере пользователю представлено окно модуля

доверенной загрузки Dallas Lock 8.0-C, то это означает, что вход на защищённый компьютер

должен произойти с предварительной авторизацией в загрузчике.

Рис. 39. Вход в модуле доверенной загрузки компьютера

Авторизации в загрузчике происходит без использования устройства «мышь».

Переключение раскладки клавиатуры происходит нажатием комбинации клавиш

«Ctrl»+«Shift».

Для осуществления входа в загрузчике необходимо ввести Pin-код, выданный

пользователю администратором безопасности.

Действие в поле для клавиши «F2» обязательно должно быть указано как «Загрузка».

После ввода Pin-кода в загрузчике необходимо нажать «Enter». После этого начнётся

стандартная загрузка операционной системы. И далее вход на ПК будет осуществляться под

индивидуальной учётной записью пользователя, описано в разделе «Вход в операционную

систему».

1.2. Вход в операционную систему

При загрузке компьютера, защищённого системой Dallas Lock 8.0-C, в зависимости от

операционной системы, появляется экран приветствия

Рис. 40. Экран приветствия в ОС Windows 7

42

Рис. 41. Экран приветствия в ОС Windows XP

Для входа на защищённый системой Dallas Lock 8.0-C компьютер каждому пользователю

необходимо выполнить следующую последовательность шагов:

заполнить поле имени пользователя, под которым он зарегистрирован в системе.

В зависимости от настроек системы защиты в этом поле может оставаться имя

пользователя, выполнившего вход последним;

заполнить поле имени домена. Если пользователь доменный, то указывается имя

домена, если пользователь локальный, то в этом поле оставляется имя компьютера

или оставляется пустое значение;

необходимо предъявить аппаратный идентификатор, (подробное описание

приводится ниже);

выбрать уровень мандатного доступа, назначенный пользователю

администратором безопасности, по умолчанию 0;

ввести пароль;

нажать кнопку «Enter».

После нажатия кнопки «Enter» проверяется возможность входа пользователя с данным

именем и доменом. В случае успеха проверки, пользователю разрешается вход в систему,

иначе вход в систему пользователю запрещается.

Если пользователю назначен аппаратный идентификатор, то, для того, чтобы его

предъявить, необходимо:

в зависимости от типа устройства предъявить идентификатор можно, вставив его в

соответствующий usb- или com-порт, или прикоснувшись к считывателю;

необходимо выбрать наименование идентификатора, которое появится в

выпадающем меню в поле «аппаратные идентификаторы:

Рис. 42. Выбор аппаратного идентификатора при входе в ОС Windows

Далее, в зависимости от настроек, произведённых администратором безопасности,

43

применительно к учётной записи пользователя, возможны следующие способы

авторизации:

o после выбора идентификатора необходимо заполнение всех

авторизационных полей формы1

Рис. 43. Поля авторизации после предъявления идентификатора

o после выбора идентификатора необходим ввод только пароля (логин

автоматически считывается с идентификатора)

Рис. 44. Поля авторизации после предъявления идентификатора

o после выбора идентификатора необходим ввод только pin-кода

идентификатора (логин и пароль автоматически считываются с идентификатора):

Рис. 45. Поля авторизации после предъявления идентификатора

1 Выбор мандатного уровня останется обязательным при любом способе авторизации.

44

Внимание! При получении аппаратного идентификатора пользователю

следует выяснить, необходим ли идентификатор для работы на данном ПК.

Администратором безопасности может быть определено, что использование

аппаратного идентификатора обязательно для работы на защищенном

компьютере и при отключении идентификатора, компьютер может быть

заблокирован.

1.3. Ошибки, возникающие при входе в систему

Попытка входа пользователя на защищённый компьютер может быть неудачной, к чему

приводит ряд событий. При этом на экран могут выводиться сообщения о характере события,

или соответствующие сообщения предупреждающего характера.

Если введённый пароль неверен, то на экране появится сообщение об ошибке, после чего

система предоставит возможность повторно ввести имя и пароль (рис. 46).

Рис. 46. Сообщение системы при вводе неправильного пароля

Подобное сообщение появится и при предъявлении неверного аппаратного

идентификатора или, когда зарегистрированный за пользователем идентификатор не

предъявлен вообще (рис. 47).

Рис. 47. Сообщение системы при неверном идентификаторе

Возможна ситуация, при которой пользователь забыл свой пароль. В этом случае он также

должен обратиться к администратору, который имеет право назначить пользователю новый

пароль.

Так же при ошибочном вводе данных в поле имени или домена могут возникнуть

соответствующие сообщения (рис. 48).

45

Рис. 48. Ошибка авторизации

Администратор может отключить учётную запись, тогда при авторизации, система

выведет соответствующее предупреждение (рис. 49).

Рис. 49. Сообщение системы при отключенной учетной записи

В такой ситуации необходимо обратиться к администратору системы защиты.

При проблеме подключения по локальной сети или других может возникнуть ошибка

авторизации доменных пользователей (рис. 50).

Рис. 50. Ошибка при вводе имени домена

В этом случае необходимо обратиться к администратору безопасности.

На этапе загрузки компьютера осуществляется контроль целостности аппаратно-

программной среды BIOS, поэтому может быть выведено предупреждение о нарушении

данных параметров.

После ввода имени и пароля на этапе загрузки компьютера на экране может появиться

предупреждение о том, что нарушен контроль целостности (рис. 51).

Рис. 51. Сообщение системы при входе

46

При обнаружении нарушения целостности политиками безопасности пользователю

запрещён вход в операционную систему (в этом случае система защиты блокирует процесс

входа), пользователю следует обратиться к администратору.

Внимание! При всех возникающих проблемных ситуациях следует

обращаться к администратору безопасности.

2. Завершение сеанса работы

2.1. Завершение работы

При завершении сеанса работы пользователя на компьютере, например, в конце рабочего

дня, необходимо выполнить стандартное выключение компьютера. Для этого нужно:

сохранить все данные и завершить работу всех приложений, так как выключение не

сохраняет результатов работы;

в меню «Пуск» в нижнем правом углу нажать кнопку «Завершение работы»;

после нажатия кнопки «Завершение работы» компьютер закрывает все открытые

программы, вместе с самой ОС Windows, а затем полностью выключает компьютер

и монитор.

2.2. Смена пользователя

Возможно, что завершение сеанса пользователя необходимо для смены пользователя

компьютера, то есть для входа на данный компьютер под другой учётной записью.

Для завершения сеанса и смены пользователя, в зависимости от версии операционной

системы, необходимо сделать следующее:

в ОС Windows 7 в меню «Пуск» в нижнем правом углу нажать вызов меню

возле кнопки «Завершение работы» и выбрать пункт «Сменить пользователя» (рис.

52)

Рис. 52. Смена пользователя в ОС Windows 7

в ОС Windows XP в меню «Пуск» в нижнем правом углу нажать кнопку

«Завершение работы» и в появившемся окне выбрать пункт меню «Завершение

сеанса …» (рис. 53)

47

Рис. 53. Смена пользователя в ОС Windows XP

Сеанс текущего пользователя будет завершён, а на экране появится диалог для повторного

входа в систему.

Внимание! При смене сеанса пользователя, хотя выход пользователя и

происходит, но на компьютере продолжают работать все запущенные им

приложения, и в случае завершения работы компьютера одним из

пользователей система выведет предупреждение.

Перед сменой пользователя рекомендуется сохранить все необходимые данные и

закончить работу приложений, так как администратором безопасности в системе

Dallas Lock 8.0-C включен режим запрета смены пользователя без перезагрузки компьютера.

В этом случае, при смене пользователя, операционная система автоматически завершит

работу и выполнит перезагрузку (рис. 54).

Рис. 54. Автоматическая перезагрузка при смене пользователя

Несохраненные другими пользователями результаты работы в этом случае не сохранятся.

3. Смена пароля

Пользователь может самостоятельно сменить свой пароль для авторизации. Для этого,

после входа в операционную систему, необходимо нажать комбинацию клавиш «Ctr-Alt-Del»

и выбрать операцию «Сменить пароль» (рис. 55).

48

Рис. 55. Меню действий

На экране появится диалоговое окно, предлагающее ввести данные для смены пароля

(рис. 56).

Рис. 56. Экран смены пароля

В открывшемся диалоговом окне необходимо ввести в соответствующие поля имя

пользователя, имя домена (для доменного пользователя, для локального – оставить это поле

пустым), старый пароль, новый пароль и подтверждение нового пароля. Предъявить

назначенный аппаратный идентификатор, выбрав его из выпадающего меню.

Примечание. Если текущему пользователю назначен аппаратный

идентификатор, на который записаны авторизационные данные, то при смене

пароля, помимо заполнения других полей, необходимо предъявить

идентификатор и ввести Pin-код пользователя идентификатора.

Для создания пароля, отвечающего всем требованиям параметров безопасности, можно

воспользоваться помощью генератора паролей системы защиты. Для этого нажать поле с

надписью «Генерация пароля». Система автоматически создаст случайный пароль, значение

которого необходимо ввести в поля «Новый пароль» и «Повтор».

Далее нажать кнопку «ОК», для сохранения нового пароля, или кнопку «Отмена».

Если все требования соблюдены, то пароль пользователя в системе будет успешно сменен,

и система выведет соответствующее сообщение (рис. 57).

49

Рис. 57. Успешная смена пароля

Далее вход пользователя на защищенную системой Dallas Lock 8.0-C рабочую станцию

будет осуществляться с новым паролем.

4. Блокировка компьютера

В некоторых случаях, возникает необходимость временно заблокировать компьютер, без

завершения сеанса работы пользователя. Заблокировать защищённый системой защиты

компьютер можно следующими 3-мя способами:

дважды кликнуть правой клавишей мыши на жёлтый значок в виде замочка,

который находится в нижнем правом углу экрана рядом с часами (рис. 58)

Рис. 58. Значок блокировки на панели задач

нажать комбинацию клавиш «Win» + «L»

нажать комбинацию клавиш «Ctr+Alt+Del» и на появившемся экране системы

выбрать кнопку «Блокировать компьютер» (рис. 59)

Рис. 59. Меню блокировки экрана

Кроме того, компьютер может заблокироваться автоматически по истечении заданного

периода неактивности пользователя. Период неактивности, после которого компьютер будет

50

автоматически заблокирован, задаётся стандартными средствами операционной системы

(рис. 60).

Рис. 60. Параметры автоматической блокировки экрана

После того, как компьютер заблокирован, разблокировать его может только пользователь,

выполнивший блокировку, либо администратор безопасности. В случае разблокировки

компьютера администратором, сеанс работы пользователя будет автоматически завершён.

Для разблокировки компьютера, нужно, как и при авторизации (обычном входе на

компьютер), ввести имя пользователя, домен (для доменного пользователя), пароль и

предъявить аппаратный идентификатор, если он назначен.

При попытке войти на заблокированный пользователем компьютер под учётной записью

другого пользователя, на экране появится предупреждение (рис. 61).

Рис. 61. Сообщение ОС при попытке входа на заблокированный компьютер

5. Удаление файлов и зачистка остаточной информации по команде

пользователя

При необходимости удалить какие-либо данные без возможности их восстановления

нужно воспользоваться контекстным меню данного объекта файловой системы и выбрать

пункт «DL8.0: Удалить и зачистить» (рис. 62).

51

Рис. 62. Контекстное меню

Появится окно с просьбой подтвердить операцию (рис. 63).

Рис. 63. Подтверждение удаления файла

При активации удаления происходит зачистка данного объекта путём перезаписи файла.

Количество циклов затирания определяется соответствующей политикой (см. раздел

«Количество циклов затирания»). После перезаписи восстановить хоть сколько-нибудь

значимый фрагмент файла становится практически невозможно. После успешного удаления

объектов система выведет соответствующее подтверждение (рис. 64).

Рис. 64. Сообщение системы об успешном удалении

Примечание. При нескольких одновременно выделенных объектах,

возможно осуществить их одновременное удаление и зачистку как группы.

При этом система выведет окно подтверждения удаления с количеством

зачищаемых объектов.

52

ИНСТРУКЦИЯ ПО УСТАНОВКЕ VIPNET КЛИЕНТА ДЛЯ

РАБОТЫ В ЗАЩИЩЕННОЙ СЕТИ ОГВ СК

1 Перед инсталляцией:

отключить антивирусное ПО;

деинсталлировать стороннее ПО межсетевого экранирования. Если используется

встроенный межсетевой экран WINDOWS, то его можно просто отключить;

инсталляцию рекомендуется производить на компьютер с установленной с «нуля»

операционной системой;

установить драйвера ключа Рутокен. Драйвера ключей для Вашей ОС брать с этой

страницы: http://www.rutoken.ru/hotline/download/drivers/ раздел «Драйверы Rutoken».

2 Инсталляция:

дважды щёлкнете на ярлыке программы-инсталлятора. Внешний вид ярлыка:

появится окно установщика, нажимаем «Далее»:

появится окно «Лицензионное соглашение», выбираем опцию «Я ПРИНИМАЮ

СОГЛАШЕНИЕ», нажимаем «Далее»:

53

появится окно «Информация о пользователе» - это необязательная для заполнения

форма, однако имя пользователя рекомендуется заполнить. Нажимаем «Далее»

появится окно выбора папки установки. Можем выбрать свой путь для установки,

нажав ОБЗОР либо согласиться с предложенным, тогда обзор не нажимаем. Нажимаем

«Далее».

54

появится окно «Выбор типа установки». Выбираем «ТИПИЧНАЯ». Нажимаем

«Далее».

выбор меню и ярлыков. Оставляем все как есть. Нажимаем «Далее».

55

появится окно «Подготовка завершена». Финальное окно перед стартом

инсталляции. Нажимаем «Далее».

Возможно появление окна конфликта с брандмауэром WINDOWS. Нажимаем

«ДА».

56

появится окно процесса инсталляции. Процесс инсталляции занимает от одной до

пяти минут в зависимости от компьютерной системы.

далее появится окно завершения установки. Нажимаем «ОК».

далее появится окно с требованием перезагрузки ОС. Нажимаем

«ПЕРЕЗАГРУЗИТЬ СЕЙЧАС».

57

в появившемся после перезагрузки ОС окне нажимаем «ОК»

проводим начальную инициализацию установленной программы. Запускаем ПО

двойным нажатием на ярлык.

окно ввода пароля. Нажимаем «НАСТРОЙКА», выбираем «ПЕРВИЧНАЯ

ИНИЦИАЛИЗАЦИЯ».

появится окно приветствия. На этом шаге вставляем в USB-порты компьютера

ключ RuToken и Flash-накопитель Kingston. Затем нажимаем «ДАЛЕЕ».

58

нажатием на кнопку «ОБЗОР» указываем путь к файлу abn_????.dst, который

находится на flash-накопителе.

59

После того, как указан путь к файлу, нажимаем кнопку «ДАЛЕЕ».

Инициализируем ключевой носитель. Выбираем «ИСПОЛЬЗОВАТЬ

ДОПОЛНИТЕЛЬНЫЙ НОСИТЕЛЬ». Вводим ПИН-код. (ПИН-код по умолчанию

12345678.) Нажимаем «ДАЛЕЕ».

60

Появится окно выбора места хранения справочников и ключевой информации.

Рекомендуется оставить все без изменений. Нажимаем «ДАЛЕЕ».

Появится окно готовности к выполнению инициализации. Нажимаем «ДАЛЕЕ».

61

Появится окно завершения инициализации. Выбираем «ЗАПУСТИТЬ

ПРИЛОЖЕНИЕ» и нажимаем «ГОТОВО».

Появится окно приложения. Закрываем окна с информацией о недоступности

координаторов. Выбираем пункт меню «СЕРВИС-НАСТРОЙКИ».

62

63

Выбираем «ОБЩИЕ». Выбираем «ОТОБРАЖАТЬ IP-адреса в папке

«ЗАЩИЩЕННАЯ СЕТЬ»». Нажимаем «ПРИМЕНИТЬ», «затем ОК».

Проверяем настройки координаторов. Выбираем центральный координатор в окне

«ЗАЩИЩЕННАЯ СЕТЬ». Затем выбираем «ДЕЙСТВИЯ», «ПРАВИЛА ДОСТУПА»,

«ОТКРЫТЬ».

64

Появляется окно «ПРАВИЛА ДОСТУПА». Выбираем вкладку «IP-адреса».

Если адресов нет в списке, то нажатием кнопки «ДОБАВИТЬ» вносим адрес

«178.211.1.183». Затем нажимаем «ОК».

Проверяем настройки межсетевого экрана на соответствующей вкладке.

65

Если какого-то адреса нет в списке, то добавляем их нажатием кнопки

«ДОБАВИТЬ».

Точно также проверяем настройки координатора администрации сельских

поселений. Настройки адресов и межсетевого экрана приведены на рисунках ниже.

66

Проверяем настройки защищенной сети. Выбираем «СЕРВИС-НАСТРОЙКИ»,

затем «ЗАЩИЩЕННАЯ СЕТЬ».

67

«Сервер IP-адресов» должен быть выбран «ЦЕНТРАЛЬНЫЙ КООРДИНАТОР»,

если это не так, то нажатием на кнопку , выбираем его из списка координаторов и

затем нажимаем кнопку «ВЫБРАТЬ».

Включаем опцию «ИСПОЛЬЗОВАТЬ МЕЖСЕТЕВОЙ ЭКРАН. В опции «ТИП

МЕЖСЕТЕВОГО ЭКРАНА» из списка выбираем «С ДИНАМИЧЕСКОЙ

ТРАНСЛЯЦИЕЙ АДРЕСОВ». Опцию «Допустимый таймаут отсутствия трафика»

ставим «25 секунд». В опции «КООРДИНАТОР ДЛЯ ОРГАНИЗАЦИИ СВЯЗИ С

68

ВНЕШНИМИ УЗЛАМИ» выбираем «ЦЕНТРАЛЬНЫЙ КООРДИНАТОР» из списка

или нажатием кнопки , если его нет в списке. Отмечаем опцию «ВЕСЬ ТРАФИК

С ВНЕШНИМИ СЕТЕВЫМИ УЗЛАМИ». В результате основные настройки будут

выглядеть так

После завершения настроек нажимаем «ПРИМЕНИТЬ», затем «ОК». Проверяем доступность координаторов. Выбираем координатор и нажимаем

кнопку «ПРОВЕРИТЬ».

При этом должно появиться окно проверки соединения и статус доступности

координатора.

69

Настройка завершена.

70

Приложение 7

АКТ

контроля эффективности системы информационной безопасности АРМ Абонента СЭД

«Дело»

Комиссия в составе:

Председатель комиссии: _______________________________________________________,

Члены комиссии: _____________________________________________________________,

_____________________________________________________________,

_____________________________________________________________,

провела контроль эффективности системы информационной безопасности АРМ Абонента

СЭД «Дело».

В ходе проведения контроля эффективности были выявлены следующие недостатки,

которые не могут быть устранены на месте:

1. _______________________________________________________________________________,

2. _______________________________________________________________________________,

3. _______________________________________________________________________________,

4. _______________________________________________________________________________,

5. _______________________________________________________________________________.

Решение комиссии:

1. Ответственному за организацию работы в СЭД «Дело» устранить выявленные

недостатки;

2. Назначить повторный контроль эффективности не позднее

____________________________.

Приложение: Отчёт об эффективности работы средств защиты информации на ____ л.

Председатель комиссии: _________________________

Члены комиссии: _________________________

_________________________

_________________________