Разработка типового проектного решения защищенной автоматизированной системы в рамках государственной организации, обрабатывающей персональные данные - Чигаркин С.С.

Автор: Чигаркин С.С.
Теги: информатика автоматизация защита информации
Год: 2023
Похожие
Структуры данных для персональных ЭВМ
Ничего личного. Как социальные сети, поисковые системы и спецслужбы используют наши персональные данные
Правовые формы организации государственной службы в США
Комплексная защита информации в корпоративных системах
Текст
                    4
СОДЕРЖАНИЕ
ВВЕДЕНИЕ .............................................................................................................. 5
ОСНОВНАЯ ЧАСТЬ............................................................................................... 7
1 Исходные данные .............................................................................................. 7
2 Описание отрасли и объекта, подлежащего о защите .................................. 7
3 Определение и описание класса системы ...................................................... 8
4 Требования к защите системы с классом защищенности 3Б ....................... 9
5 Определение типа актуальных угроз безопасности. ................................... 12
6 Описание СЗИ от НСД ................................................................................... 31
7 Выбор СЗИ от НСД......................................................................................... 33
ЗАКЛЮЧЕНИЕ ..................................................................................................... 48
СПИСОК ИСПОЛЬЗОВАННЫХ ИСТОЧНИКОВ ........................................... 49

5
ВВЕДЕНИЕ
Актуальность выбранной темы: крайне актуальной является тема
обеспечения безопасности персональных данных в государственных
организациях. Увеличение угроз со стороны киберпреступников и важность
защиты от несанкционированного доступа к персональным данным делают эту
задачу настоятельной и важной.
Государственные организации, которые обрабатывают персональные
данные граждан, такие как личная информация о гражданах, данные о социальном
положении, медицинская информация, обязаны обеспечивать надежную защиту
этих данных. Развитие информационных технологий сопровождается
увеличением объема и сложности персональной информации, а, следовательно,
растет риск утечек и несанкционированного доступа к этим данным.
Создание
стандартизированных
решений
для
безопасных
автоматизированных информационных систем помогает решить проблемы
безопасности персональных данных и обеспечить эффективное управление всей
этой информацией в рамках государственной организации. Такие системы
гарантируют защиту от утечек, несанкционированного доступа, а также
позволяют гибко настраивать доступ к персональным данным для различных
пользователей внутри организации.
Цель работы: разработать стандартное проектное решение для
защищенной автоматизированной информационной системы в рамках
государственной организации, которая работает с персональными данными,
чтобы обеспечить ее безопасность.
Для достижения поставленной цели в работе решались следующие
основные задачи:
1) определить классы и средств защиты в соответствии с заданием;
2) провести выбор по методу анализа иерархий указанного в
варианте средства, среди 3-5 альтернатив;
3) сформировать
перечень
необходимых
средств
защиты
информации;

6
4) рассчитать стоимость системы защиты с учетом численности
абонентов, указанной в варианте;
5) сдать проект на проверку.
Объект исследования: автоматизированная информационная система
государственной организации, обрабатывающей персональные данные.
Предмет
исследования:
защищенная
автоматизированная
информационная система государственной организации (СЗИ от НСД).
Методы исследования: системный анализ, исследование литературных
источников, описательный метод, включающий прием анализа полученных
сведений для изучения предмета исследования.
Практическая значимость: разработка типового проекта защищенной
автоматизированной информационной системы позволяет защитить
персональные
данные
и
предотвратить
возможные
угрозы
несанкционированного доступа к этой информации. Это способствует
сохранению информации государственных организаций и предотвращению
потенциальных утечек.

7
ОСНОВНАЯ ЧАСТЬ
1 Исходные данные
Исходные данные первого варианта показаны в Таблице 1.
Таблица 1 – Исходные данные 1-го варианта
No
Отрасль
Типы
защищаемой
информации
Тип СЗИ
для
подробного
выбора
Вид
(класс)
системы
Примечание
к
виду
системы
Ёмкость сети
защищенного
сегмента
1
Государственные
организации
ПДН
СЗИ от
НСД
3Б ИСПДн-О
30
2 Описание отрасли и объекта, подлежащего о защите
Государственные
организации
занимаются
выполнением
государственных функций и обрабатывают персональные данные граждан. Их
деятельность связана с обеспечением социальных услуг, регулированием,
управлением и другими аспектами государственной работы.
Эти организации обрабатывают персональные данные граждан, включая
информацию о личности, адресе, финансовом положении, здоровье и другие
личные сведения, которые требуют особой защиты.
Объектами защиты являются данные о гражданах, хранящиеся в офисах
на компьютерах, серверах и в других физических и электронных носителях. К
таким данным относятся персональные сведения, информация о состоянии
здоровья, а также другие конфиденциальные данные, доступ к которым
ограничен законом и требует особого внимания в обеспечении безопасности.
Защищая персональные данные людей, следует обращаться к таким
правовым актам, как:
⎯
Федеральный закон "О персональных данных" от 27.07.2006 N
152-ФЗ.

8
⎯
Постановление Правительства РФ от 01.11.2012 N 1119 "Об
утверждении требований к защите персональных данных при их
обработке в информационных системах персональных данных" .
⎯
Приказ ФСТЭК России от 18 февраля 2013 г. N 21 .
3 Определение и описание класса системы
Руководящий документ «Автоматизированные системы. Защита от
несанкционированного доступа к информации.» от 30 марта 1992 г
устанавливает классификацию автоматизированных систем, подлежащих
защите от несанкционированного доступа к информации, и требования по
защите информации в АС различных классов.
Руководящий документ разработан в дополнение ГОСТ 34.003 -90,
ГОСТ 34.601-90, РД 50-680-88, РД 50-34.680 -90 и других документов.
Документ может использоваться как нормативно-методический
материал для заказчиков и разработчиков АС при формулировании и
реализации требований по защите.
Классификация
информационных
систем
государственных
организаций, обрабатывающих персональные данные, целесообразна для
определения уровня защиты информации. Разделение систем на классы
зависит от их функционирования, структуры и важности данных. Процесс
классификации включает этапы анализа системы, выявления признаков,
сравнения и присвоения класса защиты. Для этого необходимы данные о
ресурсах, уровне конфиденциальности, доступе пользователей и режиме
обработки данных. Выбор класса защиты производится заказчиком,
разработчиком и специалистами по защите информации. Существует девять
классов защищенности, включающих классы: 1А, 1Б, 1В, 1Г, 1Д, 2А, 2Б, 3А,
3Б. Они подразделяются на три группы в зависимости от уровня доступа
пользователей и ценности информации. Каждый класс имеет определенные
требования по защите, а группы различаются способами обработки
информации и иерархией требований по защите.

9
Система класса 3Б относится к третьей группе автоматизированных
систем, где работает один пользователь, имеющий доступ ко всей информации
на носителях одного уровня конфиденциальности. Этот класс представляет
собой случай, когда один пользователь имеет доступ ко всей информации на
одном уровне конфиденциальности системы, не допуская других
пользователей.
4 Требования к защите системы с классом защищенности 3Б
Обозначения:
-
"-"
-
нет требований к данному классу;
-
" + " - есть требования к данному классу
Таблица 2 – Требования к АС третьей группы
Подсистемы и требования
3Б
1. Подсистема управления доступом
1.1. Идентификация, проверка подлинности и контроль доступа субъектов:
в систему
+
к терминалам, ЭВМ, узлам сети ЭВМ, каналам связи, внешним устройствам ЭВМ -
к программам
-
к томам, каталогам, файлам, записям, полям записей
-
1.2. Управление потоками информации
2. Подсистема регистрации и учета
2.1. Регистрация и учет:
входа (выхода) субъектов доступа в (из) систему(ы) (узел сети)
+
выдачи печатных (графических) выходных документов
-
запуска (завершения) программ и процессов (заданий, задач)
-
доступа программ субъектов доступа к защищаемым файлам, включая их
создание и удаление, передачу по линиям и каналам связи
-
доступа программ субъектов доступа к терминалам, ЭВМ, узлам сети ЭВМ,
каналам связи, внешним устройствам ЭВМ, программам, томам, каталогам,
файлам, записям, полям записей
-
изменения полномочий субъектов доступа
-
создаваемых защищаемых объектов доступа
-
2.2. Учет носителей информации
+
2.3. Очистка (обнуление, обезличивание) освобождаемых областей оперативной
памяти ЭВМ и внешних накопителей
-
2.4. Сигнализация попыток нарушения защиты
-

10
Продолжение таблицы 2 – Требования к АС третьей группы
3. Криптографическая подсистема
3.1. Шифрование конфиденциальной информации
-
3.2. Шифрование информации, принадлежащей различным субъектам доступа
(группам субъектов) на разных ключах
-
3.3. Использование аттестованных (сертифицированных) криптографических
средств
-
4. Подсистема обеспечения целостности
4.1. Обеспечение целостности программных средств и обрабатываемой
информации
+
4.2. Физическая охрана средств вычислительной техники и носителей информации +
4.3. Наличие администратора (службы) защиты информации в АС
-
4.4. Периодическое тестирование СЗИ НСД
+
4.5. Наличие средств восстановления СЗИ НСД
+
4.6. Использование сертифицированных средств защиты
-
Классификация системы государственной организации как 3Б, в нашем
случае предполагает обработку персональных данных, что требует особой
защиты. Этап определения требований по защите данного класса представляет
важность в разработке проекта. 3Б предполагает высокий уровень защиты
персональных данных, что требует соответствующих мер и механизмов для
предотвращения несанкционированного доступа и утечек. Помимо защиты
конфиденциальности, система также обязана обеспечивать целостность
информации, исключая возможность несанкционированных изменений,
подделок или повреждений данных.
Требования по защите системы класса защищенности 3Б, согласно
Руководящему документу от 30 марта 1992 г.:
Подсистема
управления
доступом:
должны
осуществляться
идентификация и проверка подлинности субъектов доступа при входе в
систему по паролю условно-постоянного действия, длиной не менее шести
буквенно-цифровых символов.
Подсистема регистрации и учета: должна осуществляться регистрация
входа (выхода) субъектов доступа в систему (из системы), либо регистрация
загрузки и инициализации операционной системы и ее программного

11
останова. Регистрация выхода из системы или останова не проводится в
моменты аппаратурного отключения АС.
В параметрах регистрации указываются:
⎯
дата и время входа (выхода) субъекта доступа в систему (из системы)
или загрузки (останова) системы;
⎯
должен проводиться учет всех защищаемых носителей информации с
помощью их любой маркировки и с занесением учетных данных в
журнал (учетную карточку).
Подсистема обеспечения целостности: должна быть обеспечена
целостность программных средств СЗИ НСД, обрабатываемой информации, а
также неизменность программной среды.
При этом:
⎯
целостность СЗИ НСД проверяется при загрузке системы по наличию
имен (идентификаторов) компонент СЗИ;
⎯
целостность программной среды обеспечивается отсутствием в АС
средств разработки и отладки программ;
⎯
должна осуществляться физическая охрана СВТ (устройств и носителей
информации), предусматривающая контроль доступа в помещения АС
посторонних
лиц,
наличие
надежных
препятствий
для
несанкционированного проникновения в помещения АС и хранилище
носителей информации, особенно в нерабочее время;
⎯
должно проводиться периодическое тестирование функций СЗИ НСД
при изменении программной среды и персонала АС с помощью тест-
программ, имитирующих попытки НСД;
⎯
должны быть в наличии средства восстановления СЗИ НСД,
предусматривающие ведение двух копий программных средств СЗИ
НСД и их периодическое обновление, и контроль работоспособности.

12
5 Определение типа актуальных угроз безопасности.
Оценка
угроз безопасности
информации
дорабатываемой
информационной системы в защищенном исполнении выполнена в
соответствии с требованиями методического документа ФСТЭК России от
05.02.2021 «Методика оценки угроз безопасности информации».
Целью моделирования угроз безопасности информации (УБИ) является
выявление условий и факторов, вероятных инцидентов, приводящих к
нарушению безопасности информации (нарушению конфиденциальности,
целостности или доступности информации) и средств ее обработки.
Оценивание угроз безопасности информации осуществляется в целях
определения угроз, реализация которых возможна и может нанести ущерб
рассматриваемой информационной системе, с описанной архитектурой и
условиями функционирования.
Таблица 3 – Процесс моделирования угроз и нарушителя безопасности
информации
Исходные данные
Этап
Результат
Требования
законодательства
РФ,
сведения о составе, структуре
и функционале Аккорд-Win64
К и Аккорд-X
,сведения о
защищаемых активах.
Определение
возможных
негативных
последствий
реализации
угроз
Перечень
негативных
последствий
Вид
рисков
(ущерба)

13
Продолжение таблицы 3 – Процесс моделирования угроз и нарушителя
безопасности информации
Сведения о составе,
структуре и функционале
Аккорд-Win64 К и Аккорд-X,
сведения о доступе к объектам
защиты,
БДУ ФСТЭК,
результаты
предыдущего
этапа.
Возможные объекты
воздействия угроз
Наименование и
назначение
компонентов Аккорд-
Win64 К и Аккорд-X,
которые
являются
объектами воздействия
угроз
Варианты
возможного
доступа
нарушителей
информационной
безопасности
к
объектам
Аккорд-
Win64 К и Аккорд-X
Особенности
организации технологических
процессов, сведения о типах
внутренних
и
внешних
нарушителей,
описание
векторов
Компьютерных
атака, содержащиеся в базах
данных, сведения о составе,
структуре и функционале
Аккорд-Win64 К и Аккорд-X,
результаты
предыдущего
этапа.
Оценка возможности
реализации
угроз
и
определение их актуальности
Определение
источников
угроз
(модель нарушителя)
Оценка способов
реализации угроз
Оценка способов
реализации угроз

14
Основными задачами оценки УБИ являются:
−
определение негативных последствий от реализации угроз
безопасности информации;
−
оценка способов реализации угроз и возникновения УБИ;
−
определение возможных объектов воздействия угроз;
−
оценка возможности реализации УБИ и определение актуальности
угроз безопасности информации;
−
оценка сценариев реализации УБИ в системах и сетях.
В результате моделирования УБИ формируется список актуальных
угроз безопасности
информации,
которые
могут
возникнуть
в
информационной инфраструктуре салона сотовой связи.
В ЗИАС обработка персональных данных осуществляется в
многопользовательском режиме. Методом доступа к данным является ролевой
метод доступа.
Режим обработки предусматривает следующие действия с ПДн: сбор,
систематизацию, накопление, хранение, уточнение (обновление, изменение),
использование, анализ, распространение (передачу), обезличивание,
блокирование, уничтожение.
В таблице 4 приведено описание возможных негативных последствий и
видов риска (ущерба) реализации УБИ.
Таблица 4 – Возможные виды рисков (ущерба) и негативные
последствия
No
Виды риска (ущерба)
Возможные негативные последствия
У1 Ущерб физическому лицу
Разглашение ПДн сотрудников, в
результате утечки ИОД (ПДн)

15
Продолжение таблицы 4 – Возможные виды рисков (ущерба) и
негативные последствия
У2 Возникновение финансовых
и производственных рисков
для юридических лиц,
обладателя информации,
оператора
−
репутационные потери в результате
утечки;
−
принятие неправильных решений в
результате
нарушения целостности
информации;
−
передача
недостоверных
аналитических данных в результате
нарушения целостности информации
У3 Ущерб в социальной, эконо-
мической, политической
или экологической сферах
деятельности государства
Отсутствуют
Для определенных информационных ресурсов и компонентов системы
должны быть определены виды воздействия на них, которые могут привести к
негативным последствиям. Основными видами таких воздействий являются:
−
утечка (перехват) конфиденциальной информации или отдельных
данных (нарушение конфиденциальности);
−
несанкционированный доступ (НСД) к компонентам, защищаемой
информации, системным, конфигурационным, иным служебным данным;
−
отказ в обслуживании компонентов (нарушение доступности);
−
несанкционированная
модификация,
подмена,
искажение
защищаемой информации, системных, конфигурационных, иных служебных
данных (нарушение целостности);
−
несанкционированное использование вычислительных ресурсов
систем и сетей в интересах решения несвойственных им задач;
нарушение функционирования (работоспособности) программно-
аппаратных средств обработки, передачи и хранения информации.
Перечень объектов воздействия ЗИАС и виды воздействия на них
приведены в таблице 5.

16
Таблица 5 – Объекты воздействия ЗИАС и виды воздействия на них
Негативные
последствия
Объекты воздействия
Виды воздействия
Разглашение ПДн
сотрудников, в
результате утечки
ИОД (У1)
Репутационные
потери в результате
утечки ИОД (У2)
Сервер приложений
−
утечка
ИОД
(нарушение
конфиденциальности);
−
НСД
АРМ работников отдела
Информация (данные),
содержащаяся в ЗИАС
Средства защиты
информации
Принятие не-
правильных ре-
шений в результате
нарушения
целостности ин-
формации (У2)
Передача недо-
стоверных ана-
литических данных
в результате
нарушения
целостности
информации (У2)
Сервер приложений
−
НСД;
−
несанкционированная модификация,
подмена,
искажение защищаемой
информации,
системных,
конфигурационных, иных служебных
данных (нарушение целостности)
АРМ работников отдела
Информация (данные),
содержащаяся в ЗИАС
Средства защиты
информации
Описание групп внешних и внутренних потенциальных нарушителей, а
также определение их актуальности представлено в приложении 1 к
настоящему документу.
Описание способов воздействия (реализации угроз) приведено в
приложении 2 к настоящему документу.
Перечень
угроз безопасности
информации
составляется
с
использованием банка данных угроз, расположенного по адресу
https://bdu.fstec.ru, ведение которого осуществляется ФСТЭК России. При
вводе данных об актуальных типах нарушителей (внутренний или внешний, с
низким, средним или высоким потенциалом) формируется список УБИ,
актуальных для определенного типа нарушителя.
С учетом проведенного исследования Системы можно произвести
исключение неактуальных угроз для ЗИАС (идентификаторы согласно БДУ

17
ФСТЭК). Перечень исключенных угроз представлен в приложении 3 к
настоящему документу.
Актуальные угрозы безопасности для УБИ приведены в таблице 6.
Таблица 6 – Актуальные УБИ ЗИАС
No
п/
п
Иденти-
фика-
тор
угрозы
Наименование угрозы
1 УБИ.006 Угроза внедрения кода или данных
2 УБИ.008 Угроза восстановления и/или повторного использования аутентификаци-
онной информации
3 УБИ.012 Угроза деструктивного изменения конфигурации/среды окружения
программ
4 УБИ.014 Угроза длительного удержания вычислительных ресурсов пользователями
5 УБИ.015 Угроза доступа к защищаемым файлам с использованием обходного пути
6 УБИ.017 Угроза доступа/перехвата/изменения HTTP cookies
7 УБИ.019 Угроза заражения DNS-кеша
8 УБИ.022 Угроза избыточного выделения оперативной памяти
9 УБИ.023 Угроза изменения компонентов информационной (автоматизированной)
системы
10 УБИ.027 Угроза искажения вводимой и выводимой на периферийные устройства
11
информации
12 УБИ.028 Угроза использования альтернативных путей доступа к ресурсам
13 УБИ.030 Угроза использования информации идентификации/аутентификации,
заданной по умолчанию
14 УБИ.031 Угроза использования механизмов авторизации для повышения
привилегий
15 УБИ.034 Угроза использования слабостей протоколов сетевого/локального обмена
данными
16 УБИ.041 Угроза межсайтового скриптинга

18
Продолжение таблицы 6 – Актуальные УБИ ЗИАС
17 УБИ.049 Угроза нарушения целостности данных кеша
18 УБИ.062 Угроза некорректного использования прозрачного прокси-сервера за счет
плагинов браузера
19 УБИ.067 Угроза неправомерного ознакомления с защищаемой информацией
20 УБИ.069 Угроза неправомерных действий в каналах связи
21 УБИ.071 Угроза несанкционированного восстановления удаленной защищаемой
информации
22 УБИ.074 Угроза несанкционированного доступа к аутентификационной
информации
23 УБИ.086 Угроза несанкционированного изменения аутентификационной
информации
24 УБИ.088 Угроза несанкционированного копирования защищаемой информации
25 УБИ.089 Угроза несанкционированного редактирования реестра
26 УБИ.090 Угроза несанкционированного создания учетной записи пользователя
27 УБИ.091 Угроза несанкционированного удаления защищаемой информации
28 УБИ.093 Угроза несанкционированного управления буфером
29 УБИ.098 Угроза обнаружения открытых портов и идентификации привязанных к
ним сетевых служб
30 УБИ.099 Угроза обнаружения хостов
31 УБИ.100 Угроза обхода некорректно настроенных механизмов аутентификации
32 УБИ.103 Угроза определения типов объектов защиты
33 УБИ.104 Угроза определения топологии вычислительной сети
34 УБИ.113 Угроза перезагрузки аппаратных и программно-аппаратных средств
вычислительной техники
35 УБИ.115 Угроза перехвата вводимой и выводимой на периферийные устройства
информации
36 УБИ.124 Угроза подделки записей журнала регистрации событий
37 УБИ.128 Угроза подмены доверенного пользователя
38 УБИ.130 Угроза подмены содержимого сетевых ресурсов
39 УБИ.140 Угроза приведения системы в состояние «отказ в обслуживании»
40 УБИ.145 Угроза пропуска проверки целостности программного обеспечения
41 УБИ.152 Угроза удаления аутентификационной информации
42 УБИ.153 Угроза усиления воздействия на вычислительные ресурсы пользователей
при помощи сторонних серверов
43 УБИ.155 Угроза утраты вычислительных ресурсов
44 УБИ.158 Угроза форматирования носителей информации

19
Продолжение таблицы 6 – Актуальные УБИ ЗИАС
45 УБИ.159 Угроза «форсированного веб-браузинга»
46 УБИ.170 Угроза неправомерного шифрования информации
47 УБИ.171 Угроза скрытного включения вычислительного устройства в состав бот-
сети
48 УБИ.172 Угроза распространения «почтовых червей»
49 УБИ.174 Угроза «фарминга»
50 УБИ.175 Угроза «фишинга»
51 УБИ.178 Угроза несанкционированного использования системных и сетевых
утилит
52 УБИ.179 Угроза несанкционированной модификации защищаемой информации
53 УБИ.185 Угроза несанкционированного изменения параметров настройки средств
защиты информации
54 УБИ.191 Угроза внедрения вредоносного кода в дистрибутив программного
обеспечения
55 УБИ.205 Угроза нарушения работы компьютера и блокирования доступа к его
данным из-за некорректной работы установленных на нем средств защиты
56 УБИ.209 Угроза несанкционированного доступа к защищаемой памяти
Результат представлен в таблице 7. Расчет актуальности УБИ.179 при
помощи аддитивной свертки приведен в таблицах 8-9 .
Таблица 7 – Описание актуальных угроз безопасности информации
Пе
речень
возможны
х
угроз
безопасно
сти
информац
ии
Тактики, применения
которых достаточно для
реализации угрозы
Наруш
итель
способный на
реализацию
угрозы
Нео
бходимый
набор
средств для
нейтрализа
ции угрозы
Имеющ
ийся
набор
средств/мер для
нейтрализации
угрозы/наруши
теля

20
Продолжение таблицы 7 – Описание актуальных угроз безопасности
информации
УБ
И.179
Угроза
несанкцио
нированн
ой
модифика
ции
защищаем
ой
информац
ии
Т1.4. Направленное
сканирование при помощи
специализированного
программного
обеспечения
подключенных
к
сети
устройств
с
целью
идентификации
сетевых
сервисов, типов и версий
программного
обеспечения
этих сервисов, а также с целью
получения конфигурационной
информации
компонентов
систем и сетей, программного
обеспечения
сервисов
и
приложений.
Т1.5. Сбор информации
о пользователях, устройствах,
приложениях, а также сбор
конфигурационной
информации
компонентов
систем и сетей, программного
обеспечения
сервисов
и
приложений путем поиска и
эксплуатации
уязвимостей
подключенных
к
сети
устройств.
Т1.6. Сбор информации
о пользователях, устройствах,
приложениях, авторизуемых
сервисами
вычислительной
сети, путем перебора.
Престу
пные
группировки
Разрабо
тчики ПО
Постав
щики
Бывши
е сотрудники
Сотруд
ники
салона
сотовой связи
1.Ис
пользовани
е
спец
иализирова
нных
программ,
закрывающ
их порты на
операционн
ой
сист
еме.
2.Ис
пользовани
е
эффективно
й,
усто
йчивой
паро
льной
политики в
организаци
и
(в
совокупнос
ти
с
утвержденн
ой в виде
ОРД
–
Парольной
Установ
очный
комплект
сетевого
клиента СЗИ
НСД «Блок
хост- сеть»
USB-
елюч eToken
PRO
АПКШ
«Континент 3.5.
ЦУС Сервер
Доступа»
СЗИ
«КонтинентАП
»
Cisco IPS
4240
Аппарат
но-
программное
средство
мониторинга и
администриров
ания событий
ИБ ПАКАБ

21
Т1.9. Сбор информации
о пользователях, устройствах,
приложениях путем поиска
информации
в
памяти,
файлах,
каталогах,
базах
данных,
прошивках
устройств,
репозиториях
исходных кодов ПО, включая
поиск паролей в исходном и
хешированном
виде,
криптографических ключей.
Кража
цифровых
сертификатов, включая кражу
физических токенов, либо
неавторизованное
выписывание
новых
сертификатов
Сбор
личной
идентификационной
информации
(идентификаторы
пользователей,
устройств,
информация
об
идентификации
пользователей
сервисами,
приложениями,
средствами
удаленного доступа), в том
числе
сбор украденных
личных данных сотрудников и
подрядчиков на случай, если
сотрудники/подрядчики
используют одни и те же
пароли на работе и за ее
пределами
поли
тикой или
соответству
ющим
разделом в
Политике
ИБ).
3.Ис
пользовани
е
для
внутренней
проверки
устойчивос
ти системы
программ
для подбора
паролей
(проведени
е тестов на
проникнове
ние).
4.Ис
пользовани
е
сертифицир
ованных
систем
обнаружен
ия
вторжений.
5.Ис
пользовани
е
сертифицир
ованного

22
Т4.1.
Несанкционированное
создание учетных записей или
кража
существующих
учетных данных
Т4.4. Маскирование
подключенных устройств под
легитимные
системного
и
прикладног
о ПО.
6.Ис
пользовани
е
сертифицир
ованных
сканеров
уязвимосте
й
Таблица 8 – УБИ. 179
No
Вопрос
Оценка
частного
показателя Chj
Важность
α
1.
Утверждено ли Положение о системе
разграничения доступа или соответствующий раздел в
Политике ИБ?
0,12
Нет
0
Да
1
2.
Утверждена ли в организации Парольная
политика или соответствующий раздел в Политике
ИБ?
0,09
Нет
0
Да
1
3.
Имеется ли план внутренних проверок по
обеспечению защищенности ПДн в организации?
Проводятся ли тесты на проникновение?
0,11
Нет
0
Да, план имеется
0,5
Да, имеется план, а также осуществляется
тестирование на проникновение
1

23
Продолжение таблицы 8 – УБИ.179
4.
Используются ли на объекте средства
обнаружения вторжений и сканеры уязвимостей?
0,14
Нет
0
Да
0,5
Да, и все средства имеют сертификационную
документацию
1
5.
В организации
используется
только
сертифицированное системное прикладное ПО?
0,10
Нет
0
Да
1
6.
Используются ли на объекте средства
межсетевого экранирования?
0,06
Нет
0
Да
0,5
Да, и все средства имеют сертификационную
документацию
1
7.
Производится ли ознакомление работников,
осуществляющих обработку ПДн, с положениями
законодательства РФ о персональных данных, в том
числе документами, определяющими политику
оператора в отношении обработки ПДн и обучение
указанных работников?
0,16
Нет
0
Производится ознакомление работников с
требованиями
законодательства
и
внутренней
документацией
0,7
8.
Используется ли на объекте антивирусное ПО?
0,07
Нет
0
Да
0,5
Да, и все средства имеют сертификационную
документацию
1
9.
Используются ли средства физической защиты
объекта?
0,05
Нет
0
Да
1

24
Таблица 9 – Подсчет результатов УБИ.179
Оценка частного показателя,
Chj
Важность, α
Вопрос 1 -1
0,12
Вопрос 2 -1
0,09
Вопрос 3 -1
0,11
Вопрос 4 -0,5
0,14
Вопрос 5 -1
0,10
Вопрос 6 -0,5
0,06
Вопрос 2 -0,7
0,16
Вопрос 8 -1
0,07
Вопрос 9 -1
0,05
GP=1*0,12+1*0,09+1*0,11+0,5*0,14+1*0,10+0,5*0,06+0,7*0.16+1*0,07+1*0,05
=
0,752
Cтепень защищенности информации высокая, оценка соответствия
требования защиты – высокая, реализации угрозы низкая, необходима
установка средств защиты в соответствии с выявленными недостатками –
угроза актуальна.
Рассмотренная угроза является актуальной, требуются доработки в
системе защиты информации.
ЗИАС обрабатывает персональные данные, поэтому необходимо
определить уровень защищенности персональных данных в соответствии с
постановлением Правительства No 1119. Данные для определения уровня
защищенности персональных данных приведены в таблице 10.

25
Таблица 10 – Определение уровня защищенности персональных данных
Тип ИСПДн
Категории
субъектов
Количество
субъектов
Тип актуальных угроз
1
тип
(НДВ в
СПО)
2
тип
(НДВ в
ППО)
3
тип
(нет НДВ)
ИСПДн-С
(специальные)
Не
сотрудников
Более 100
000
УЗ
1
УЗ
1
УЗ2
Менее чем
100 000
УЗ
1
УЗ
2
УЗ3
Сотрудников
Любое
УЗ
1
УЗ
2
УЗ3
ИСПДн-Б
(биометрические)
Любых
Любое
УЗ
1
УЗ
2
УЗ3
ИСПДн-И
(иные)
Не
сотрудников
Более 100
000
УЗ
1
УЗ
2
УЗ3
Менее чем
100 000
УЗ
1
УЗ
3
УЗ4
Сотрудников
Любое
УЗ
1
УЗ
3
УЗ4
ИСПДн-О
(общедоступные)
Не
сотрудников
Более 100
000
УЗ
2
УЗ
2
УЗ4
Менее чем
100 000
УЗ
2
УЗ
3
УЗ4
Уровень защищенности ИСПДн – третий (основание: Акт комиссии по
определению уровня защищенности персональных данных в ИСПДн No 02 от
12.07.2022). Категория обрабатываемых персональных данных: ИСПДн-С
–
специальные (состояние здоровья), где субъектами являются сотрудники,
количество которых менее 100000. Угрозы 3-го типа - актуальны угрозы, не
связанные с наличием недокументированных возможностей в используемом
системном и прикладном программном обеспечении. Для обеспечения 3-го
уровня защищенности персональных данных при их обработке в
информационных
системах
помимо
выполнения
требований,
предусмотренных для 4-ого уровня защищенности необходимо, чтобы было
назначено должностное лицо (работник), ответственный за обеспечение
безопасности персональных данных в информационной системе.

26
Требования к составу и содержанию мер по обеспечению безопасности
ПДн, необходимых для обеспечения уровня защищенности (УЗ) ПДн,
установленного для ИСПДн (Основание для определения УЗ: АКТ
определения УЗ ПДн в ИСПДн) приведены в таблице 11.
Таблица 11 – Состав и содержание мер по обеспечению УЗ3
Содержание мер по обеспечению безопасности
персональных данных
Уровни
защищенности
персональных данных
УЗ3
Идентификация и аутентификация пользователей,
являющихся работниками оператора
+
Управление идентификаторами, в том числе создание,
присвоение, уничтожение идентификаторов
+
Управление средствами аутентификации, в том числе
хранение, выдача, инициализация, блокирование средств
аутентификации и принятие мер в случае утраты и (или)
компрометации средств аутентификации
+
Защита обратной связи при вводе аутентификационной
информации
+
Идентификация и аутентификация пользователей, не
являющихся работниками оператора
+
Управление (заведение, активация, блокирование и
уничтожение) учетными записями пользователей, в том числе
внешних пользователей
+
Реализация необходимых методов (дискреционный,
мандатный, ролевой или иной метод), типов (чтение, запись,
выполнение или иной тип) и правил разграничения доступа
+

27
Продолжение таблицы 11 – Состав и содержание мер по обеспечению
УЗ3
Содержание мер по обеспечению безопасности
персональных данных
Уровни
защищенности
персональных данных
УЗ3
Идентификация и аутентификация пользователей,
являющихся работниками оператора
+
Управление идентификаторами, в том числе создание,
присвоение, уничтожение идентификаторов
+
Управление средствами аутентификации, в том числе
хранение, выдача, инициализация, блокирование средств
аутентификации и принятие мер в случае утраты и (или)
компрометации средств аутентификации
+
Защита обратной связи при вводе аутентификационной
информации
+
Идентификация и аутентификация пользователей, не
являющихся работниками оператора
+
Управление (заведение, активация, блокирование и
уничтожение) учетными записями пользователей, в том числе
внешних пользователей
+
Реализация необходимых методов (дискреционный,
мандатный, ролевой или иной метод), типов (чтение, запись,
выполнение или иной тип) и правил разграничения доступа
+
Управление (фильтрация, маршрутизация, контроль
соединений, однонаправленная передача и иные способы
управления)
информационными
потоками
между
устройствами, сегментами информационной системы, а также
между информационными системами
+
Разделение полномочий (ролей) пользователей,
администраторов и лиц, обеспечивающих функционирование
информационной системы
+

28
Продолжение таблицы 11 – Состав и содержание мер по обеспечению
УЗ3
Назначение минимально необходимых прав и
привилегий пользователям, администраторам и лицам,
обеспечивающим функционирование
информационной
системы
+
Ограничение
неуспешных
попыток
входа
в
информационную систему (доступа к информационной
системе)
+
Блокирование сеанса доступа в информационную
систему после установленного времени бездействия
(неактивности) пользователя или по его запросу
+
Разрешение
(запрет) действий
пользователей,
разрешенных до идентификации и аутентификации
+
Реализация
защищенного
удаленного
доступа
субъектов доступа к объектам доступа через внешние
информационно-телекоммуникационные сети
+
Регламентация
и
контроль
использования
в
информационной системе технологий беспроводного доступа
+
Регламентация
и
контроль
использования
в
информационной системе мобильных технических средств
+
Управление взаимодействием с информационными
системами
сторонних
организаций
(внешние
информационные системы)
+
Уничтожение
(стирание)
или
обезличивание
персональных данных на машинных носителях при их
передаче между пользователями, в сторонние организации
для ремонта или утилизации, а также контроль уничтожения
(стирания) или обезличивания
+

29
Продолжение таблицы 11 – Состав и содержание мер по обеспечению
УЗ3
Определение событий безопасности, подлежащих
регистрации, и сроков их хранения
+
Определение состава и содержания информации о
событиях безопасности, подлежащих регистрации
+
Сбор, запись и хранение информации о событиях
безопасности в течение установленного времени хранения
+
Защита информации о событиях безопасности
+
Реализация антивирусной защиты
+
Обновление базы данных признаков вредоносных
компьютерных программ (вирусов)
+
Выявление, анализ уязвимостей информационной
системы и оперативное устранение вновь выявленных
уязвимостей
+
Контроль установки обновлений программного
обеспечения, включая обновление программного обеспечения
средств защиты информации
+
Контроль работоспособности, параметров настройки и
правильности функционирования программного обеспечения
и средств защиты информации
+
Контроль состава технических средств, программного
обеспечения и средств защиты информации
+
Идентификация и аутентификация субъектов доступа и
объектов доступа в виртуальной инфраструктуре, в том числе
администраторов управления средствами виртуализации
+
Управление доступом субъектов доступа к объектам
доступа в виртуальной инфраструктуре, в том числе внутри
виртуальных машин
+
Регистрация событий безопасности в виртуальной
инфраструктуре
+
Реализация и управление антивирусной защитой в
виртуальной инфраструктуре
+

30
Продолжение таблицы 11 – Состав и содержание мер по обеспечению
УЗ3
Разбиение виртуальной инфраструктуры на сегменты
(сегментирование
виртуальной
инфраструктуры) для
обработки персональных данных отдельным пользователем и
(или) группой пользователей
+
Контроль и управление физическим доступом к
техническим средствам, средствам защиты информации,
средствам обеспечения функционирования, а также в
помещения и сооружения, в которых они установлены,
исключающие несанкционированный физический доступ к
средствам обработки информации, средствам защиты
информации и средствам обеспечения функционирования
информационной системы, в помещения и сооружения, в
которых они установлены
+
Размещение
устройств
вывода (отображения)
информации,
исключающее ее несанкционированный
просмотр
+
Обеспечение защиты персональных данных от
раскрытия, модификации и навязывания (ввода ложной
информации) при ее передаче (подготовке к передаче) по
каналам связи, имеющим выход за пределы контролируемой
зоны, в том числе беспроводным каналам связи
+
Защита беспроводных соединений, применяемых в
информационной системе
+
Определение лиц, которым разрешены действия по
внесению изменений в конфигурацию информационной
системы и системы защиты персональных данных
+
Документирование
информации (данных)
об
изменениях в конфигурации информационной системы и
системы защиты персональных данных
+

31
6 Описание СЗИ от НСД
Средства защиты информации от несанкционированного доступа – это,
комплекс программных и аппаратных средств, предназначенных для защиты
информации от несанкционированного доступа. Целью таких средств является
предотвращение
несанкционированного
использования,
изменения,
уничтожения или распространения информации, а также обеспечение
конфиденциальности, целостности и доступности данных.
Средства защиты от несанкционированного доступа включают в себя
различные методы и технологии, такие как:
⎯
Идентификация и аутентификация: процессы проверки и
подтверждения
легитимности
пользователя
или
системы
перед
предоставлением доступа к информации. Это может включать использование
паролей, шифрования, биометрических данных и других методов.
⎯
Контроль доступа: определение и установление различных
уровней доступа к информации и ресурсам в системе, в зависимости от прав и
ролей пользователей. Это может включать управление ролями, политики
доступа и многоуровневую архитектуру.
⎯
Шифрование: использование математических методов для
преобразования информации в зашифрованный формат, который может быть
прочитан только с помощью соответствующего ключа. Шифрование
позволяет обезопасить данные при передаче или хранении.
⎯
Мониторинг и аудит: систематическое отслеживание и запись
действий пользователей и системы с целью выявления потенциальных угроз и
аномального поведения. Это может включать регистрацию журналов событий,
анализ трафика и обнаружение вторжений.
⎯
Физическая защита: защита физического доступа к серверам,
компьютерам и другим устройствам, содержащим информацию. Это может

32
включать применение камер видеонаблюдения, контроль доступа к
помещениям и защиту от пожаров и других чрезвычайных ситуаций.
⎯
Обучение и осведомленность: создание условий для повышения
осведомленности пользователей о возможных угрозах и методах защиты
информации. Это может включать проведение обучающих программ,
разработку политик безопасности и регулярное информирование.
⎯
Резервное копирование и восстановление: создание резервных
копий информации и разработка планов восстановления в случае потери или
повреждения данных. Это помогает минимизировать последствия возможных
атак или инцидентов безопасности.
Средства защиты от несанкционированного доступа могут быть
программными, аппаратными и программно-аппаратными. Под аппаратными
средствами понимаются модули доверенной загрузки, которые помимо
вышеописанных функций имеют встроенные датчики случайных чисел и
сторожевые таймеры (позволяющие подавать сигнал компьютеру на
перезагрузку, в случае если операционная система не перешла в стадию
загрузки за определенное время), а также осуществлять доверенную загрузку
(производить загрузку только с заранее определенных устройств, например
жестких дисков, и выполнять контроль целостности секторов жесткого диска
и других параметров).
Современные информационные системы строятся на базе различных
компонентов. Например, клиентские и серверные конечные точки используют
разные операционные системы. На клиентских чаще всего используются
операционные системы семейства Windows, а на серверных – ОС Linux. Но в
ИС также присутствуют и другие компоненты, которые обеспечивают защиту
информации и функционирование системы. Поэтому одним из самых важным
критерием при выборе СЗИ от НСД является интеграция с другими модулями
защиты и компонентов, например, программными межсетевыми экранами,
антивирусными средствами и средствами обнаружения вторжений.

33
7 Выбор СЗИ от НСД
При выборе СЗИ от НСД будем использовать только те средства,
которые включают в себя следующие требования:
⎯
меры по обеспечению 3-го уровня защищенности данных;
⎯
класс защищенности 3Б;
⎯
ОС Windows и Linux.
Среди средств были выбраны следующие:
1. Secret Net Studio 8 и Secret Net LSP 8.
Secret Net Studio 8 и Secret Net LSP 8 – единый контур управления для
смешанной среды Windows-Linux. Secret Net представляет из себя
комплексное решение для защиты рабочих станций и серверов на уровне
данных, приложений, сети, операционной системы и периферийного
оборудования.
Secret Net Studio 8 и Secret Net LSP 8 выполняют следующие функции:
⎯
дискреционное и мандатное управление доступом к файлам и
объектам;
⎯
усиленный вход в систему, поддержка двухфакторной
аутентификации и электронных идентификаторов;
⎯
контроль печати, настройка отдельных принтеров и правил для
всех подключенных устройств, дискреционное и полномочное управление
доступом к принтерам;
⎯
затирание данных, настройка количества циклов затирания,
поддержка FAT, NTFS и REFS;
⎯
замкнутая программная среда и контроль целостности данных,
создание списка разрешенных к запуску приложений;
⎯
контроль устройств, дискреционное и полномочное управление
доступом к устройствам, контроль по группам, классам, моделям и отдельным
устройствам;

34
⎯
антивирусная защита и обнаружение вторжений (средства АВПО
входят в отдельную лицензию);
⎯
централизованное управление и мониторинг централизованное
управление клиентами Secret Net Studio и Secret Net LSP (одна из ключевых
особенностей для рассматриваемого варианта);
⎯
рассылка уведомлений сервера аудита о событиях возможна по
электронной почте или в формате CEF по протоколу Syslog
⎯
централизованное развертывание, установка исправлений и
обновлений.
Среди достоинств можно отметить высокий уровень надёжности,
полную документацию, регулярные обновления, добавление новых функций
и интеграцию с другими решениями «Кода Безопасности». А также:
⎯
встроенное САВЗ (средство антивирусной защиты);
⎯
более расширенный контроль целостности системы;
⎯
поддержка
централизованного
управления
аппаратными
средствами доверенной загрузки (ПАК Собль);
⎯
поддержка протокола Syslog;
⎯
более расширенная замкнутая программная среда.
Из недостатков данного решения можно выделить:
⎯
обязательная привязка к службе каталогов Microsoft Active
Directory;
⎯
необходима сторонняя БД для регистрации событий ИБ;
⎯
клиент для устройств под управлением ОС Linux отстаёт в
функциональности от клиента под Windows-системы, а клиент для устройств
под управлением macOS отсутствует.
⎯
нет сертификации криптографии, используемой в Secret Net
Studio.
Регистрационные номера сертификатов соответствия:

35
⎯
Secret Net Studio 8 – сертификат ФСТЭК России No 3745 от 16 мая
2017 г., срок действия до 16 мая 2025 г.
⎯
Secret Net LSP 8 – для 8 версии сертификат отсутствует. Для
версии 1.12 сертификат ФСТЭК России No 2790 от 18 декабря 2012 г., срок
действия до 18 декабря 2028 г.
Расчет примерного стоимости комплекта СЗИ на основе таблицы с
прайс-листом с сайта производителя представлен в таблице 12.
Таблица 12 – расчет стоимости SNS 8.0 + SNS LSP 8.0
Наименование
Цена за ед. (руб.)
Количество
Примерная
итоговая сумма
SNS-SNLSP-Sup-Dir-Ext (SNS
8.0 + SNS LSP 8.0) (1-50 копий)
(в лицензию входит антивирус
по технологии Kaspersky)
9700
10
97 000 руб.
2. Аккорд-Win64 К и Аккорд-X.
СПО Аккорд-Win64 К – специальное программное обеспечение, в состав
которого входит СПО для 32-х и 64-х разрядных операционных систем.
Решение используется, когда нужно разграничить доступ к терминалам и
терминальным серверам, рабочим станциям, а также работать со средствами
идентификации пользователя.
ПАК СЗИ НСД Аккорд-X
–
программно-аппаратный комплекс средств
защиты информации (ПАК СЗИ) Аккорд-X предназначен для разграничения
доступа пользователей к рабочим станциям под управлением ОС семейства
Linux.
Аккорд-Win64 К и Аккорд-X выполняют следующие функции:
⎯
защита от несанкционированного доступа;
⎯
идентификация/аутентификация пользователей для входа в ОС;

36
⎯
статический и динамический контроль целостности данных, их
защита от несанкционированных модификаций;
⎯
создание
индивидуальной для каждого
пользователя
изолированной программной среды;
⎯
запрет запуска неразрешенных программ;
⎯
разграничение доступа пользователей к массивам данных и
программам с помощью дискреционного контроля доступа;
⎯
разграничение доступа пользователей и процессов к массивам
данных с помощью мандатного контроля доступа;
⎯
автоматическое ведение протокола регистрируемых событий;
⎯
управление терминальными сессиями;
⎯
контроль печати на принтерах, подключенных как к
терминальным серверам, так и к пользовательским терминалам.
⎯
контроль доступа к USB-устройствам.
⎯
имеет собственную систему разграничения доступа;
⎯
поддерживает управление потоками информации;
⎯
поддерживает механизм блокировки экрана после некоторого
установленного времени неактивности, который дополнен функцией
идентификации пользователя при разблокировании СВТ;
⎯
позволяет контролировать печать из любого прикладного
программного обеспечения и маркировать выводимые на печать документы (в
качестве маркера может выступать гриф секретности документа, имя
пользователя, имя принтера, имя документа и другая служебная информация).
Из недостатков данного решения можно выделить:
⎯
закрытый прайс-лист;
⎯
отсутствие централизированного управления;
⎯
неполная документация.
На сайте производителя не указаны актуальные примерные цены
продукции (в отличии от предыдущих производителей), так как компания

37
имеет закрытый прайс-лист, поэтому примерная стоимость будет браться с
сайта
независимого российского
интернет-проекта Anti-Malware.ru
(https://www.anti-malware.ru/).
Регистрационные номера сертификатов соответствия:
⎯
Аккорд-Win64 К – сертификат ФСТЭК России No 4495 от 09
декабря 2021 г., срок действия до 09 декабря 2026 г.
⎯
Аккорд-X – сертификат ФСТЭК России No 4533 от 21 апреля 2022
г., срок действия до 21 апреля 2027 г.
Расчет стоимости СЗИ на основе информации с данного ресурса
представлен в таблице 13.
Таблица 13 – расчет стоимости Аккорд-Win64 К + Аккорд-X
Наименование
Цена за ед. (руб.)
Количество
Примерная
итоговая сумма
Аккорд-Win64 К
5865
8
106 750 руб.
Аккорд-X
17135
2
Kaspersky Total Security для
бизнеса (не входит в состав
лицензий)
2556
10
3. Dallas Lock 8.0‐K и Dallas Lock Linux
Dallas Lock 8.0‐K
–
сертифицированная система защиты
конфиденциальной информации накладного типа. Предназначена для
автономных персональных компьютеров и компьютеров в составе локально-
вычислительной сети, в том числе под управлением контроллера домена.
Представляет собой программный комплекс средств защиты информации в
ОС семейства Windows с возможностью подключения аппаратных
идентификаторов.
Dallas Lock Linux – Сертифицированная система защиты
конфиденциальной информации накладного типа предназначена для

38
автономных персональных компьютеров и компьютеров в составе локально-
вычислительной сети. Представляет собой программный комплекс средств
защиты информации в ОС семейства Linux с возможностью подключения
аппаратных идентификаторов. Легко интегрируется в сложные сетевые
инфраструктуры благодаря собственному набору сертифицированных
решений.
Dallas Lock 8.0‐K и Dallas Lock Linux выполняют следующие функции:
⎯
защита конфиденциальной информации от несанкционированного
доступа на персональных, портативных и мобильных компьютерах (ноутбуках
и планшетных ПК), серверах (файловых, контроллерах домена и
терминального доступа), работающих как автономно, так и в составе ЛВС.
Поддерживает виртуальные среды;
⎯
дискреционный
принцип
разграничения
доступа
к
информационным ресурсам и подключаемым устройствам в соответствии со
списками пользователей и их правами доступа (матрица доступа);
⎯
аудит действий пользователей санкционированных и без
соответствующих прав, ведение журналов регистрации событий;
⎯
контроль целостности файловой системы,
программно-
аппаратной среды и реестра;
⎯
объединение защищенных ПК для централизованного управления
механизмами безопасности (одна из ключевых особенностей для
рассматриваемого варианта);
⎯
собственные
механизмы
управления
информационной
безопасностью, подменяющие (дублирующие) механизмы операционной
системы;
⎯
эмулятор среды исполнения («Песочница»), в котором можно
запустить любое программное обеспечение и протестировать его в
изолированной, защищённой среде.
Из достоинств данного решения можно выделить:
⎯
более расширенная система обнаружения вторжений;

39
⎯
лучше дискреционное управление доступом.
Из недостатков данного решения можно выделить:
⎯
низкая популярность среди коммерческих организаций;
⎯
дублирование, а не замещение функционала ОС Windows.
⎯
низкая популярность в учебных заведениях.
Регистрационные номера сертификатов соответствия:
⎯
Dallas Lock 8.0 ‐K
–
сертификат ФСТЭК России No 2720 от 25
сентября 2012 г., срок действия до 25 сентября 2026 г.
⎯
Dallas Lock Linux – сертификат ФСТЭК России No 3594 от 04 июля
2016 г., срок действия до 04 июля 2024 г.
Расчет примерного стоимости комплекта СЗИ на основе калькулятора с
сайта производителя представлен в таблице 14.
Таблица 14 – расчет стоимости Dallas Lock Linux + Dallas Lock 8.0 -К
Наименование
Цена за ед. (руб.)
Количество
Примерная
итоговая сумма
Dallas Lock Linux/Dallas Lock
8.0-К (универсальная лицензия)
(10-24 копий)
9150
10
132 060 руб.
Неискл. право СБ для Dallas
Lock 8.0-К (10-24 копий)
15000
1
Kaspersky Total Security для
бизнеса (не входит в состав
универсальной лицензии)
2556
10
4. ViPNet SafePoint.
ViPNet SafePoint – устанавливается на рабочие станции и сервера в целях
обеспечения мандатного и дискреционного разграничения доступа
пользователей к критически важной информации и подключаемым
устройствам. Реализованные разграничительные (пользователя к объектам) и

40
разделительные (между пользователями) политики доступа, основанные на
автоматической разметке файлов, позволяют реализовать механизмы защиты
от внешних и внутренних нарушителей.
ViPNet SafePoint выполняет следующие функции:
⎯
двухфакторная аутентификация пользователей при входе в
операционную систему;
⎯
контроль прав доступа к объектам файловой системы (мандатный
и дискреционный);
⎯
замкнутая программная среда;
⎯
контроль доступа к печатным устройствам;
⎯
управление доступом пользователей к буферу обмена ОС;
⎯
контроль подключения внешних устройств;
⎯
контроль целостности файлов, объектов реестра ОС, собственных
компонент продукта;
⎯
аудит и журнал безопасности;
⎯
рассылка уведомлений сервера аудита о событиях возможна по
электронной почте или в формате CEF по протоколу Syslog на внешние SIEM-
системы.
Из достоинств данного решения можно выделить:
⎯
интеграция с богатой экосистемой Инфотекса;
⎯
SSO (Single Sign-On) с ViPNet SafeBoot;
⎯
поддержка протокола Syslog.
Из недостатков данного решения можно выделить:
⎯
редкие обновления;
⎯
редкое добавление нового функционала;
Регистрационный номер сертификата соответствия:
⎯
ViPNet SafePoint – сертификат ФСТЭК России No 4468 от 18
октября 2021 г., срок действия до 18 октября 2026 г.

41
Расчет примерного стоимости СЗИ на основе прайс-листа с сайта
производителя представлен в таблице 15.
Таблица 15 – расчет стоимости ViPNet SafePoint
Наименование
Цена за ед. (руб.)
Количество
Примерная
итоговая сумма
SC-281-SafePoint-NetBase-1.X
(базовая лицензия)
37 000
1 (в лицензию
входит
подключение 5
клиентов)
130 060 руб.
SC-281-SafePoint-NetClient-1.X
(расширение лицензии)
7500
5
Kaspersky Total Security для
бизнеса (не входит в состав
лицензий)
2556
10
Таблица 16 – СЗИ от НСД сертификация
Название
Сертификация
Secret Net
Studio 8 и Secret
Net LSP 8
Secret Net Studio 8 (Windows), сертифицирован по
требованиям: ФСТЭК(4-й уровень доверия, 5-й класс защищенности
СВТ,4-й класс защиты СКН, 4-й класс защиты САВЗ, 4-й класс
защиты СОВ уровня хоста,4-й класс защиты МЭ типа «В»), ФСБ
(Класс защиты от НСД АК3).
Secret Net LSP 8 (Linux) – несертифицированн

42
Продолжение таблицы 16 – СЗИ от НСД сертификация
Аккорд-
Win64 К и Аккорд-
X
Аккорд-Win64 К (Windows) - соответствие требованиям
программным средствам защиты от несанкционированного доступа
к информации, не содержащей сведений, составляющих
государственную тайну, соответствует требованиям по безопасности
информации, установленным в документах «Требования по
безопасности информации, устанавливающие уровни доверия к
средствам технической защиты информации и средствам
обеспечения безопасности информационных технологий» (ФСТЭК
России, 2020) – по 4 уровню доверия, «Требования к средствам
контроля съемных машинных носителей информации» (ФСТЭК
России, 2014), «Профиль защиты средств контроля подключения
съемных машин носителей информации четвертого класса защиты.
ИТ.СКН.П4.П3» (ФСТЭК России, 2014), «Средства вычислительной
техники. Защита от несанкционированного доступа к информации.
Показатели защищенности от несанкционированного доступа к
информации» (Гостехкомиссия России, 1992) – по 5 классу
защищенности
Аккорд-X (Linux) - соответствие требованиям программным
средствам защиты от несанкционированного доступа к информации,
не содержащей сведений, составляющих государственную тайну.
Классификация по уровню контроля отсутствия недекларированных
возможностей» (Гостехкомиссия
России,
1999) —2 уровень
контроля, «Средства вычислительной техники. Защита от
несанкционированного
доступа
к информации.
Показатели
защищенности от несанкционированного доступа к информации»
(Гостехкомиссия России, 1992) —3 класс защищенности).
Dallas Lock
8.0‐K и Dallas Lock
Linux
Dallas Lock 8.0 ‐K (Windows) - 5 класс защищенности СВТ от
НСД, 4 класс защиты МЭ (ИТ.МЭ.В4.ПЗ), 4 класс защиты СОВ
(ИТ.СОВ.У4.ПЗ), 4 класс защиты СКН (ИТ.СКН.П4.ПЗ,
ИТ.СКН.Н4.ПЗ), 4 уровень доверия (УД 4).
Dallas Lock Linux – 5 класс защищенности СВТ от НСД, 4
класс защиты СКН (ИТ.СКН.П4.ПЗ), 4 уровень доверия (УД 4).
ViPNet
SafePoint
Соответствие требованиям по безопасности информации,
установленным в документах «Требования по безопасности
информации, устанавливающие уровни доверия к средствам
технической защиты информации и средствам обеспечения
безопасности информационных технологий» (ФСТЭК России,
2020)» - по 4 уровню доверия, «Требования к средствам контроля
съемных машинных носителей информации» (ФСТЭК России, 2014),
«Профиль защиты средств контроля подключения съемных
машинных носителей информации четвертого класса защиты
ИТ.СКН.П4.ПЗ» (ФСТЭК России, 2014). «Средства вычислительной
техники. Защита от несанкционированного доступа к информации.
Показатели защищенности от несанкционированного доступа к
информации» (Гостехкомиссия России, 1992) – по 5 классу
защищенности

43
В конечном итоге, после рассмотрения всех представленных решений
можно свести информацию в отдельную таблицу, которая представлена в
таблице 17.
Таблица 17 – Сравнение решений
Наименование
Примерная
цена
Удобство
использования,
документация и
существенные
недостатки
Влияние на
производительность
Dallas Lock
8.0-K + Dallas Lock
Linux
Не менее
132 060 руб.
Документация
полная, разобраться в
настройке и вводе в
эксплуатацию
довольно
просто.
Существенных
недостатков нет.
Средняя
Secret
Net
Studio 8 + Secret Net
LSP 8
Не менее
97 000 руб.
Документация
полная, разобраться в
настройке и вводе в
эксплуатацию
довольно
просто.
Существенных
недостатков нет.
Средняя
ViPNet
SafePoint
Не менее
130 060 руб.
Документация
полная, разобраться в
настройке и вводе в
эксплуатацию может
быть проблематично
для
людей,
не
знакомых
с
продукцией
Инфотекса
Средняя
Аккорд-Win64
К + Аккорд-X
Не менее
106 750 руб.
Документация
не полная. Отсутствие
централизованной
системы управления.
Средняя
Подводя итоги, самым бюджетным и лучшим вариантом становится
комплекс из Secret Net Studio 8 и Secret Net LSP 8.
На выбор данного варианта повлияло:

44
⎯
в данный комплекс также входит встроенное средство АВПО на
основе технологий «Лаборатории Касперского».
⎯
опыт компании «Кода Безопасности» в сфере разработки СЗИ от
НСД «Secret Net Studio» составляет 31 год. Такой же опыт разработки имеет и
«Dallas Lock».
⎯
с комплексом SNS чаще всего работают студенты в учебных
заведениях, так что поиск персонала, который будет иметь опыт работы с
данным комплексом, будет намного легче.
⎯
постоянные бесплатные курсы по обучению;
⎯
постоянное обновление и расширение функционала;
⎯
большая экосистема СЗИ;
⎯
большая открытая база знаний, помимо полной документации;
⎯
данный комплекс (вместе с сертифицированным вариантом SNS
LSP) также можно будет использовать и в информационных системах, к
котором предъявляются требования.
Комплекс Аккорд-Win64 К + Аккорд-X имеет существенный недостаток
–
отсутствие централизованного управления. Поэтому, если организация
будет расширяться, то возникнут проблемы и неудобства с конфигурацией и
управлением комплекса. Также потенциальному заказчику будет сложно
сформировать примерную стоимость, так как у «Сапр» закрытый прайс-лист.
«ViPNet SafePoint» молодой продукт на рынке СЗИ от НСД, обновления
которого происходят редко. Данный продукт не является главной разработкой
компании «Инфотекс» и не известно насколько долго будет поддерживаться.
В то время, как «Secret Net Studio» является одним из главным продуктом
«Кода Безопасности».
Главным конкурентом «Secret Net Studio» является «Dallas Lock» от
компании «Конфидент». У продукта нет обширной открытой базы знаний и в
лицензию Dallas Lock 8.0 K + Dallas Lock Linux не входят средства АВПО.
Однако, данное средство также можно потенциально рассматривать для
использования.

45
По итогу сравнения и анализа рынка СЗИ от НСД, лучшим вариантом
для коммерческой организации интегратора информационной безопасности
становиться комплекс Secret Net Studio 8 + Secret Net LSP 8, который можно
использовать в современной информационной системе с разными
компонентами (ОС Windows и ОС Linux).
Требования и средства (механизмы), обеспечивающие требования
После выбора СЗИ от НСД, можно сделать вывод, какие средства
(механизмы) выполняют требования мер по обеспечению 3-го уровня
защищенности данных. В таблице 18 представлены требования и их
обеспечивающие средства (механизмы).
Таблица 18 – Требования и средства (механизмы)
Требования к 3 уровню защищённости
Средства (механизмы), обеспечивающие
требования
1. идентификация и аутентификация
субъектов доступа и объектов доступа
(ИАФ)
Реализуется при помощи службы
каталогов Active Directory. Служба
позволяет централизованно управлять
аутентификацией пользователей,
устанавливать политики доступа и аудита.
В будущем организация планирует
использовать аналог Active Directory -
FreeIPA, используемый вариант в ОС
Linux. Однако он также позволят
аутентифицировать и идентифицировать
пользователей, использующих ОС
Windows.
Помимо стандартной аутентификации ОС
Windows, дополнительно выполняется
аутентификация по паролю пользователя
средствами системы Secret Net Studio.

46
Продолжение таблицы 18 – Требования и средства (механизмы)
2. управление доступом субъектов доступа
к объектам доступа (УПД)
Данная мера также реализуется при
помощи Active Directory. Механизм
службы каталогов позволяет
разграничивать доступ к объектам на
основе групп, выборочного доступа и
меток доступа.
Также управление учетными записями
осуществляется в программе управления
пользователями SNS.
3. защита машинных носителей
информации, на которых хранятся и (или)
обрабатываются данные (ЗНИ)
Данная мера реализуется при помощи
политики работы с коммерческой тайной,
в которой описывается процесс
уничтожения (стирания) на машинных
носителях при их передаче между
пользователями, в сторонние организации
для ремонта или утилизации, а также
контроль уничтожения (стирания).
Также в SNS присутствует модуль
«Контроль устройств»
4. регистрация событий безопасности
(РСБ)
Расширенная
регистрация
событий
безопасности в SNS, которая гибко
настраивается при помощи фильтров.
Также можно гибко настраивать
хранилище событий.
5. антивирусная защита (АВЗ)
Наличие антивирусного модуля в составе
модуля SNS.
6. контроль (анализ) защищенности
данных (АНЗ)
Функциональный контроль. Возможность
контроля целостности файлов и реестра.
Контроль устройств в SNS.

47
Продолжение таблицы 18 – Требования и средства (механизмы)
7. защита среды виртуализации (ЗСВ)
Данная мера реализуется при помощи
расширенной системы аудита auditd.
Антивирусная защита реализована при
помощи модуля SNS.
8. Защита технических средств (ЗТС)
Данная мера реализуется при помощи при
помощи политики работы с коммерческой
тайной и размещения серверов в
специальные помещения, доступ к
которым разрешен ограниченному кругу
лиц.
9. управление конфигурацией ИС и
системы защиты данных (УКФ)
Данная мера реализуется при помощи
программы управления конфигурации SNS
и политикой работы с коммерческой
тайной.

48
ЗАКЛЮЧЕНИЕ
В результате выполнения курсовой работы решены все поставленные
задачи:
1.
определены классы и средства защиты в соответствии с заданием;
2.
проведен выбор по методу анализа иерархий указанного в
варианте средства;
3.
сформирован
перечень
необходимых
средств
защиты
информации;
4. рассчитана стоимость системы защиты с учетом численности
абонентов, указанной в варианте;
В ходе курсовой работы была рассчитана стоимость системы защиты.
Сравнивая два отдельных средства защиты информации от НСД, можно
сделать вывод о том, что самым оптимальным решением является СЗИ от НСД
Страж NT 4.0". По сравнению с другим вариантом, он немного дешевле, при
этом выполняет больше функции, которые необходимы для коммерческой
организации. В результате был разработан проект решения для защищенной
автоматизированной
системы,
предназначенной
для
обработки
конфиденциальной информации, в рамках одного из сегментов существующей
сети.

49
СПИСОК ИСПОЛЬЗОВАННЫХ ИСТОЧНИКОВ
1. Руководящий документ ФСТЭК 296 [Электронный ресурс] URL:
https://fstec.ru/component/attachments/download/296
(дата
обращения
10.10.2023.)
2. Постановлению Правительства РФ от 01.11 .2012 No 1119.[
[Электронный ресурс] URL: https://base.garant.ru/70252506/ (дата обращения
11.10.2023.)
3. Приложение к приказу Федеральной службы безопасности РФ от
10 июля
2014 г.
N 378 [Электронный ресурс] URL:
https://base.garant.ru/70727118/ (дата обращения 12.10.2023.)
4. Сведения по сертификатам ФСБ [Электронный ресурс] URL:
http://clsz.fsb.ru/certification.htm (дата обращения 12.10.2023.)
5. Давыдов Е.Б ., Шапаренко Ю.М., Давыдов А.Е . Проблемы
разработки и проектирования защищенной телекоммуникационной системы //
Успехи современной науки - 2016. - Т . 1. - No 3. - С. 92-97.
6. Воробьев С.П., Давыдов А.Е ., Курносов В.И. Жизненный цикл
инфокоммуникационных сетей.
–
М.: Управление делами президента
Российской Федерации. – 2012.
7. Остроух А. В., Суркова Н. Е .. Проектирование информационных
систем [Электронный ресурс]: монография. - Санкт-Петербург: Лань, 2019. -
164 с. – Режим доступа: https://e.lanbook.com/book/118650
8. Рочев К. В. Информационные технологии. Анализ и
проектирование информационных систем [Электронный ресурс]: учебное
пособие.
-
Санкт-Петербург: Лань, 2019.
-
128 с.
–
Режим доступа:
https://e.lanbook.com/book/122181
9. Руководящий документ "Автоматизированные системы. Защита от
несанкционированного
доступа
к
информации.
Классификация
автоматизированных систем и требования по защите информации",
утвержденным решением председателя Государственной технической
комиссии при Президенте Российской Федерации от 30.03.1992 г

50
[Электронный
ресурс]
URL:
https://fstec.ru/component/attachments/download/296
(дата
обращения
16.10.2023.)
10. Руководящем документе «Средства вычислительной техники.
Защита от несанкционированного доступа к информации. Показатели
защищенности от несанкционированного доступа к информации»
Гостехкомиссия
России,
1992 г [Электронный ресурс] URL:
https://fstec.ru/component/attachments/download/297
(дата
обращения
16.10.2023.)