Фрагмент документа "ОБ УТВЕРЖДЕНИИ КОНЦЕПЦИИ ИНФОРМАТИЗАЦИИ РАБОТЫ ОРГАНОВ ИСПОЛНИТЕЛЬНОЙ ВЛАСТИ, ГОРОДСКИХ ОРГАНИЗАЦИЙ В РЕЖИМЕ "ОДНОГО ОКНА" (РЕДАКЦИЯ НА 26.04.2006)".
5.4.3. Программно-техническая структура
реализации защиты информации информационных систем,
используемых при реализации режима
"одного окна"
В составе средств, обеспечивающих информационную безопасность
режима "одного окна", должны быть реализованы механизмы
аутентификации, авторизации и аудита действий пользователей.
Структура комплексной системы информационной безопасности режима
"одного окна" (далее - КСИБ) должна включать следующие подсистемы:
- защиты межсетевого и информационного обмена;
- защиты информационного обмена служб "одного окна" со смежными
ИСиР;
- защиты серверов;
- защиты рабочих мест пользователей;
- управления информационной безопасностью.
В состав подсистем защиты межсетевого и информационного обмена и
информационного обмена ИСиР с внешними абонентами должны входить:
- средства межсетевого экранирования для разграничения и контроля
доступа к информационным ресурсам;
- средства организации виртуальной частной сети (ВЧС) для
обеспечения создания единого защищенного информационного пространства
режима "одного окна";
- пользовательские средства подключения к ВЧС для организации
защищенного доступа пользователей ИССОО, обеспечивающие надежную
аутентификацию пользователей при подключении к СОЗВ и СКиМОО и защиту
трафика при его передаче вне контролируемых зон;
- сетевые средства обнаружения атак (в том числе антивирусные
средства анализа сетевого трафика), обеспечивающие контроль сетевой
активности на границах и внутри служб "одного окна".
Подсистема защиты серверов организуется следующими механизмами:
- настройкой операционных систем серверов, минимизирующей
предоставление сетевых сервисов, оптимизирующих права доступа к
системным файлам и настройкам, включающей механизмы аудита;
- использованием средств обнаружения атак (агентов активного
аудита) на уровне серверов;
- средствами антивирусной защиты;
- периодическим контролем целостности среды серверов и контролем
сервисов и прав доступа к конфигурационным файлам.
Подсистема защиты рабочих станций пользователей организуется
следующими механизмами:
- средствами надежной аутентификации пользователей в сети на
основе средств криптографической защиты информации (далее - СКЗИ) и
внешних носителей ключевой информации (с минимизацией использования
паролей для доступа к ресурсам) и централизованным ведением учетных
данных пользователей;
- настройкой операционных систем рабочих станций, минимизирующей
предоставление сетевых и прикладных сервисов, оптимизирующих права
доступа к системным файлам и настройкам, включающей механизмы аудита;
- использованием средств обнаружения атак (агентов активного
аудита) на уровне рабочих станций;
- средствами антивирусной защиты;
- периодическим контролем целостности среды рабочих станций и
контролем сервисов и прав доступа к конфигурационным файлам;
- использованием электронных замков для ограничения доступа к
рабочим станциям и контроля целостности среды рабочей станции при ее
запуске;
- криптографическими средствами защиты информации,
обеспечивающими доступ прикладного и системного ПО к функциям
шифрования, формирования и проверки ЭЦП.
Подсистема управления КСИБ включает выделенные рабочие места
администраторов безопасности с установленными консолями управления
межсетевым экранированием, ВЧС и средств обнаружения вторжений, а
также серверы антивирусной защиты и серверы средств обнаружения
вторжений для централизованного сбора данных аудита.
Централизация управления КСИБ достигается интеграцией локальных
подсистем информационной безопасности (ПИБ) ИСиР с Центром мониторинга
событий информационной безопасности города Москвы (ЦМ СИБ) в рамках
единой политики информационной безопасности Метасистемы "Электронная
Москва" и построения Центра компетенции по информационной
безопасности.
|
Фрагмент документа "ОБ УТВЕРЖДЕНИИ КОНЦЕПЦИИ ИНФОРМАТИЗАЦИИ РАБОТЫ ОРГАНОВ ИСПОЛНИТЕЛЬНОЙ ВЛАСТИ, ГОРОДСКИХ ОРГАНИЗАЦИЙ В РЕЖИМЕ "ОДНОГО ОКНА" (РЕДАКЦИЯ НА 26.04.2006)".