2020-06-08
1346
Для решения задачи обеспечения информационной безопасности была выбрана idM система Solar inRights – решение для автоматизации и управления доступом к информационным ресурсам компании и контроля соблюдения политики безопасности.
idM система – комплекс подходов, практик, технологий и специальных программных средств для управления учётными данными пользователей, системами контроля и управления доступом (СКУД) с целью повышения безопасности и производительности информационных систем при одновременном снижении затрат, оптимизации времени простоя и сокращения количества повторяющихся задач.
Solar inRights функционирует по принципу центрального пункта управления: он подсоединяется ко всем ключевым информационным системам компании и дает возможность централизованно управлять пользователями и их полномочиями.
В Solar inRights настраиваются процессы управления доступом к информационным системам – такие, как предоставление доступа при приеме на работу, запрос дополнительных полномочий, приостановка доступа при увольнении, смена пароля и другие, соответствующие регламентирующим документам организации. Процессы автоматизируются целиком, включая создание, согласование и исполнение заявок на доступ.
|
|
|
Для обеспечения полного цикла управления доступом сотрудников Solar inRights получает кадровую информацию, как правило, непосредственно из кадровой системы. Учет сотрудников, не зафиксированных в кадровой системе, например внештатников, выполняется непосредственно через пользовательский интерфейс Solar inRights. Пользователи работают с системой через тонкий клиент, то есть web-обозреватель. Концептуальная схема работы Solar inRights 2.0 приведена на рисунке 2.
Рисунок 2 – Концептуальная схема работы Solar inRights
Основные возможности Solar inRights:
1. Автоматизация всех составляющих жизненного цикла доступа сотрудников от приема на работу до увольнения.
– Получение кадровых событий в реальном времени, учет сотрудников, которые не фиксируются в кадровой системе, учет технологических учетных записей.
– Автоматизация ролевой модели с поддержкой множественных иерархий, разграничения областей видимости и контекстов назначения ролей.
– Автоматизация создания и согласования заявок на доступ с любыми вариантами подачи, разбиения и согласования заявок.
– Автоматизация управления доступом в целевых системах: создание, изменение и удаление учетных записей, блокировка и разблокировка, смена паролей, назначение и отзыв полномочий, синхронизация в реальном времени.
– Полностью настраиваемые процессы автоматизации с возможностью гибкого описания логики посредством скриптовых языков.
|
|
|
2. Полный контроль прав доступа в информационных системах.
– Предоставление полной картины прав доступа в информационных системах как в интерактивном режиме, так и в виде отчетов: актуальный доступ сотрудника, актуальный доступ к системе, история предоставления доступа, права доступа на дату в прошлом и так далее.
– Автоматическое выявление нарушений регламентов: несогласованные полномочия, бесхозные или неиспользуемые учетные записи, конфликты разделения ответственности.
– Средства оперативного реагирования: мгновенная блокировка учетных записей сотрудников, отзыв полномочий, смена паролей.
3. Сервис самообслуживания для сотрудников.
– Просмотр своих прав доступа к системам и прав доступа своих подчиненных, смена паролей учетных записей.
– Подача заявок на доступ для себя и своих подчиненных.
– Отслеживание статуса поданных заявок.
Solar inRights может использовать в качестве доверенного источника практически все современные кадровые системы. Также для получения кадровых данных можно использовать файлы различных форматов и даже любые системы, подключенные как управляемые.
Модулей интеграции с управляемыми системами у Solar inRights довольно много, что позволяет подключиться к большинству распространенных инфраструктурных систем и бизнес-приложений. Решение поддерживает коннекторы технологии ConnId, что позволяет использовать для подключения информационных систем свободно распространяемые модули интеграции, совместимые с этой платформой, в том числе и продуктам фирмы 1С.
В результате аудита информационной безопасности предприятия, были выявлены основные проблемы системы видеонаблюдения. Учитывая вышеизложенное, разработаны меры для повышения эффективности функционирования системы видеонаблюдения организации [13, стр. 51]:
1. Замена устаревших видеокамер.
2. Установка камер в помещениях и на прилегающей территории.
3. Замена монитора видеооператора.
4. Установка сервера в отдельном помещении.
5. Установка видеомонитора у проходной.
6. Замена программного обеспечения вывода видеосигнала.
7. Замена соединительного кабеля.
Благодаря предложенным мероприятиям будет построена эффективная система видеонаблюдения в организации.
Для защиты компьютеров организации от несанкционированного доступа целесообразно использовать средство защиты информации Secret Net Studio. Наличие необходимых сертификатов ФСТЭК обеспечивает возможность использования Secret Net Studio для защиты автоматизированных систем до уровня 1Б включительно и информационных систем обработки персональных данных до 1 класса включительно.
Система Secret Net Studio совместно с ОС Windows обеспечивает идентификацию и аутентификацию пользователя с помощью программно-аппаратных средств при его входе в систему. В качестве устройств для ввода в нее идентификационных признаков могут использоваться:
- iButton;
- eToken Pro.
Функция управления доступом пользователей к конфиденциальной информации работает следующем образом, каждому информационному ресурсу назначается один их трёх уровней конфиденциальности: «Не конфиденциально», «Конфиденциально», «Строго конфиденциально», а каждому пользователю – уровень допуска. Доступ осуществляется по результатам сравнения уровня допуска с категорией конфиденциальности информации.
С помощью средств аппаратной поддержки можно запретить пользователю загрузку ОС с внешних съёмных носителей. В качестве аппаратной поддержки система Secret Net Studio использует программно-аппаратный комплекс Secret Net Touch Memory Card. Плату аппаратной поддержки невозможно обойти средствами BIOS: если в течение определённого времени после включения питания на плату не было передано управление, она блокирует работу всей системы.
|
|
|
Контроль целостности используется для слежения за неизменностью контролируемых объектов с целью защиты их от модификации. Контроль проводится в автоматическом режиме в соответствии с некоторым заданным расписанием.
Объектами контроля могут быть файлы, каталоги, элементы системного реестра и секторы дисков. Каждый тип объектов имеет свой набор контролируемых параметров. Так, файлы могут контролироваться на целостность содержимого, прав доступа, атрибутов, а также на их существование, т.е. на наличие файлов по заданному пути. При обнаружении несоответствия предусмотрены следующие варианты реакции на возникающие ситуации нарушения целостности [10, стр. 55]:
- регистрация события в журнале Secret Net;
- блокировка компьютера;
- восстановление повреждённой/модифицированной информации;
- отклонение или принятие изменений.
Самоконтроль подсистем СКЗИ производится перед входом пользователя в систему и предназначен для обеспечения гарантии того, что к моменту завершения загрузки ОС все ключевые компоненты Secret Net 5.1 загружены и функционируют.
Шифрование файлов предназначено для усиления защищенности информационных ресурсов компьютера. В системе Secret Net 5.1 управление шифрованием файлов и доступ к зашифрованным файлам осуществляется на уровне каталога. Пользователь, создавший зашифрованный ресурс, является его владельцем, он может пользоваться им не только индивидуально, но и предоставлять доступ к этому ресурсу другим пользователям. Шифрование файлов производится по алгоритму ГОСТ 28147–89.
Система Secret Net Studio регистрирует все события, происходящие на компьютере: включение\выключение компьютера, вход\выход пользователей, события НСД, запуск приложений, обращения к конфиденциальной информации, контроль вывода конфиденциальной информации на печать и отчуждаемые носители.
Для обеспечения возможности восстановления всех критически важных данных и программ после выхода из строя автоматизированной рабочей станции, сервера или порчи цифрового носителя информации, необходимо иметь надлежащие средства резервного копирования.
|
|
|
Резервное копирование – процесс создания копии данных на цифровом носителе, предназначенной для восстановления данных в оригинальном месте их расположения в случае их повреждения или разрушения.
Для решения задачи резервного копирования рекомендуется использовать программный продукт Drive Backup 11 Workstation, который необходимо установить на каждую рабочую станцию, на которой планируется резервное копирование данных. Для удаленного администрирования программы можно установить на любом из компьютере, входящем в состав локальной вычислительной сети предприятия Paragon Remote Manager 2.2.
Целесообразно использовать две независимые консоли удаленного администрирования: одна в сегменте сети с информацией, доступ к которой не ограничен, другая в сегменте с конфиденциальной информацией. В сегмент ИСПДн устанавливать консоль удаленного администрирования нет необходимости в связи с небольшим количеством компьютеров.
Для хранения резервных копий используется сервер в сегменте сети с открытой информацией, в другие сегменты добавлены компьютеры, на эти компьютеры также предлагается установить средства защиты информации он несанкционированного доступа, а также консоль удалённого администрирования Paragon Remote Manager 2.2.
От компьютеров, предназначенных для хранения резервных копий, не требуется высокой производительности, основное требование – относительно большой объем дискового пространства. Рекомендуется использовать ПК с объемом дискового пространства больше 1 ТБ.
Администратор безопасности настраивает расписание задач резервного копирования для каждой машины с помощью консоли управления, или создает расписания задач для отдельных рабочих групп. Управление контрольными точками резервирования и дисковым пространством, выделенным под резервные копии, происходит автоматически.
Администратор безопасности должен регулярно просматривать отчеты задач, которые формируются удалёнными клиентами, и следить за состоянием резервных архивов [12, стр. 18].
