Результаты аттестационных испытаний

4.1. Анализ и оценка состава и содержания исходных данных и разработанной документации по защите информации на ОИ № 001 показала полноту и достаточность данных и представленных документов на ОИ № 001 и их соответствие требованиям ГОСТов, нормативных и руководящих документов по защите информации.

4.2. Контроль состава АРМ, а также перечня установленных программных средств показал соответствие реальных условий размещения и эксплуатации АРМ представленным исходным данным.

4.3. Анализ технологического процесса обработки информации показал его соответствие представленному описанию технологического процесса обработки информации в АС.

4.4. В АС обрабатывается информация различного уровня ограничения доступа. Режим обработки данных – коллективный, пользователи имеют одинаковые права доступа (полномочия) ко всей информации АС, обрабатываемой и (или) хранимой на носителях различного уровня конфиденциальности.

4.5. Проведена проверка эффективности мер и средств защиты информации в АС от несанкционированного доступа

4.5.1. Проверка работоспособности технических и программных средств АС показала их исправность.

4.5.2. Проверка подсистемы управления доступом

4.5.2.1. Проверка механизма контроля входа.

Идентификация и проверка подлинности субъектов доступа осуществляется средством защиты информации (СЗИ) «Secret Net 6.0» при входе в систему по идентификатору и (или) паролю условно-постоянного действия длинной восемь буквенно-цифровых символов (далее – паролю).

Настройки СЗИ выполнены таким образом, что при задании или смене пароля невозможно ввести пароль длинной менее восьми символов. Смена паролей осуществляется администратором безопасности информации.

СЗИ не позволяет использовать для входа в систему незарегистрированные администратором безопасности идентификаторы. При несоответствии вводимого пароля паролю, зарегистрированному в СЗИ для данного пользователя, загрузка системы невозможна.

Надежность аутентификации при входе в операционную систему АС оценивалась путем ввода неверного пароля. После превышения заданного предела попыток ввода неправильного пароля СЗИ полностью блокировала доступ к ресурсам АС и фиксировала в журнале событий «Secret Net 6.0» попытку НСД.

В АС задействована функция блокировки органов управления и отображения при временном оставлении пользователем рабочего места. При разблокировке проводилась повторная аутентификация пользователя по персональному паролю. При использовании неверного пароля, либо зарегистрированного пароля другого пользователя, разблокировка системы невозможна.

Доступ к информации с использованием загрузочных машинных носителей информации (загрузка системы в обход СЗИ) невозможен, при этом содержимое НЖМД оказывается недоступным.

4.5.2.2. Устройства АС, программы, каталоги, файлы идентифицируются по именам при обращении к ним при помощи средств ОС СЗИ от НСД «Secret Net 6.0».

4.5.2.3. В системе защиты реализованы мандатный и дискреционный принципы контроля доступа. Правильность предоставления доступа в соответствии с установленными правами субъектов по отношению к конкретным объектам (каталогам, устройствам) обеспечивается СЗИ.

4.5.2.4. Реальные права пользователей по доступу к защищаемым ресурсам соответствуют установленной разрешительной системе доступа, а примененные способы и средства контроля защищенности не позволяют получить несанкционированный доступ к защищаемым ресурсам АС.

Вывод: права доступа пользователей к информационным и техническим ресурсам реализованы в соответствии с принятой для данной АС разрешительной системой доступа, подсистема управления доступом обеспечивается средствами используемой системы защиты информации и удовлетворяет требованиям РД.

4.5.3. Проверка подсистемы регистрации и учета.

4.5.3.1. В ходе проверки моделировались стандартные процессы обработки информации, после чего просматривались результаты учета в журнале регистрации событий.

Проверка показала, что в журнале СЗИ регистрируются все события, требуемые РД. Параметры регистрации также соответствуют требованиям РД. Кроме того, при наличии попыток несанкционированного доступа либо нарушениях целостности системы происходила фиксация данных событий в журнале СЗИ.

4.5.3.2. Установленные в АС СЗИ от НСД «Secret Net 6.0» не осуществляет автоматическую регистрацию, учет и маркировку защищаемых носителей информации. Однако выполнение соответствующих требований РД обеспечивается организационными мерами. Учет, маркирование, хранение и выдача пользователям секретных машинных носителей информации, учтенной бумаги ведется отделом безопасности в соответствии с установленными требованиями.

4.5.3.3. Очистка оперативной памяти реализована СЗИ от НСД «Secret Net 6.0». Качество очистки памяти на магнитных носителях после удаления файлов контролировалось при помощи программы поиска и уничтожения информации на дисках «Служба ППШ» (сертификат ФСТЭК России № 2834 от 21.02.2013, действителен до 21.02.2016).

Данные средства не позволяют восстанавливать удаленные файлы после очистки памяти средствами СЗИ.

Вывод: средствами СЗИ «Secret Net 6.0» осуществляется регистрация и учет различных событий. Параметры регистрации и учета соответствуют требованиям РД по безопасности информации.

4.5.4. Проверка подсистемы обеспечения целостности.

4.5.4.1. При загрузке системы средствами СЗИ от НСД «Secret Net 6.0» проверялась целостность самой СЗИ по содержимому папки программы вместе с дочерними объектами.

Проверена надежность функций контроля целостности программных средств путем внесения изменений в отдельные программы, а также их подмены. СЗИ на произведенные нарушения реагирует.

Проведена проверка обеспечения неизменности программной среды. Средства и меры предотвращения несанкционированного ввода программ в операционную среду работоспособны.

При нарушении целостности обрабатываемой информации СЗИ от НСД регистрирует событие в журнале безопасности всех контролируемых объектов системы.

Кроме того контроль состояния каталогов, различий в заданных файлах, целостности файлов программного комплекса осуществлялся программой фиксации и контроля исходного состояния программного комплекса ФИКС 2.0.1 (сертификат № 913 ФСТЭК России от 28.05.2004, действителен до 01.06.2016).

Целостность СЗИ от НСД проверена с использованием программы ФИКС 2.0.1 по алгоритму контрольного суммирования «Уровень-1» и заключалась в вычислении для каждого файла исследуемого программного комплекса контрольной суммы и сравнение ее с полученной ранее и зафиксированной в главном отчете, принимаемом за эталонный.

Данных, свидетельствующих о нарушении целостности программного комплекса при его контроле, изменений в каталогах по сравнению с предыдущей фиксацией, не выявлено.

Средства разработки и отладки программного обеспечения в АС отсутствуют.

4.5.4.2. Испытания криптографической подсистемы не проводилось в связи с отсутствием в АС криптографических средства защиты.

ОИ № 001 расположен в пределах контролируемой зоны, помещение ОИ № 001 оборудовано техническими средствами охраны, обеспечивающими соответствующий уровень защиты хранимой информации, осуществляется физическая охрана СВТ и носителей информации, предусматривающая постоянную охрану территории и здания, где размещается АС, с помощью технических средств охраны и специального персонала, используются строгий пропускной режим и специальное оборудование помещений АС.

Порядок обращения с носителями секретной информации определен соответствующими инструкциями администратору безопасности информации и пользователям и соответствует требованиям.

4.5.4.3. Администратором безопасности информации проводится периодическое тестирование функций СЗИ от НСД. Порядок проведения тестирования определен Руководством по администрированию СЗИ «Secret Net 6.0».

4.5.4.4. Все используемые в АС машинные носители информации подвергаются обязательному контролю на наличие компьютерных вирусов при помощи антивирусной программы Kaspersky Business Security Russian Edition, ЖМД находится под контролем антивирусной программы Kaspersky Business Security Russian Edition постоянно. Администратором безопасности информации осуществляет периодическое обновление антивирусных пакетов и контроль их работоспособности согласно Инструкции по проведению антивирусного контроля.

4.5.4.5. В ходе проверки установлено наличие средств восстановления СЗИ от НСД «Secret Net 6.0» в виде компакт диска у администратора безопасности информации.

Вывод: подсистема обеспечения целостности удовлетворяет требованиям РД.

5. Обобщенный перечень требований РД "Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации" и краткое описание их реализации в АС представлены в таблице.

Подсистема управления доступом
1. Идентификация, проверка подлинности и контроль доступа субъектов при входе в систему по идентификатору (коду) и паролю условно-постоянного действия длиной не менее шести буквенно-цифровых символов. Реализовано средствами СЗИ «Secret Net 6.0» с помощью механизмов контроля входа. Пароль не менее восьми буквенно-цифровых символов
2. Должна осуществляться идентификация терминалов, системных блоков, узлов сети, каналов связи, внешних устройств по их логическим адресам (номерам) Реализовано средствами СЗИ «Secret Net 6.0» с помощью механизма контроля аппаратной конфигурации
3. Идентификация, проверка подлинности и контроль доступа субъектов к терминалам, системным блокам, внешним устройствам АС Реализовано средствами СЗИ «Secret Net 6.0» с помощью механизма разграничения доступа к устройствам
4. Идентификация, проверка подлинности и контроль доступа субъектов к программам Реализовано средствами СЗИ «Secret Net 6.0» с помощью механизма полномочного разграничения доступом
5. Идентификация, проверка подлинности и контроль доступа субъектов к томам, каталогам, файлам, записям, полям записей. Реализовано средствами СЗИ «Secret Net 6.0» с помощью механизма полномочного разграничения доступом
6. Контроль доступа субъектов к защищаемым ресурсам в соответствии с матрицей доступа. Реализовано средствами СЗИ «Secret Net 6.0» с помощью механизма полномочного разграничения доступом
7. Управление потоками информации   Реализовано средствами СЗИ «Secret Net 6.0» с помощью механизма полномочного разграничения доступа
Подсистема регистрации и учета
1. Регистрация входа (выхода) субъектов доступа в систему (из системы), либо регистрация загрузки и инициализации операционной системы и ее программного останова. Регистрация выхода из системы или останова не производится в моменты аппаратурного отключения системы. В параметрах регистрации указываются: - дата и время входа (выхода) субъекта доступа в систему (из системы) или загрузки (останова) системы; - результат попытки входа: успешная или неуспешная (несанкционированная); - идентификатор (код или фамилия) субъекта, предъявленный при попытке доступа. Реализовано средствами СЗИ «Secret Net 6.0» с помощью механизма контроля и регистрации
2. Регистрация запуска (завершения) всех программ и процессов (заданий, задач), предназначенных для обработки защищаемых файлов. В параметрах регистрации указывается: - дата и время запуска; - имя (идентификатор) программы (процесса, задания); - идентификатор субъекта доступа, запросившего программу (процесс, задание); - результат запуска (успешный, неуспешный – несанкционированный). Реализовано средствами СЗИ «Secret Net 6.0» с помощью механизма контроля и регистрации
3. Регистрация попыток доступа программных средств (программ, процессов, заданий, задач) к защищаемым файлам. В параметрах регистрации указывается: - дата и время попытки доступа с указанием результата; - идентификатор субъекта доступа; - спецификация защищаемого файла; - результат запуска. Реализовано средствами СЗИ «Secret Net 6.0» с помощью механизма контроля и регистрации
4. Регистрация попыток доступа программных средств к следующим дополнительным защищаемым объектам доступа: терминалам, системным блокам, внешним устройствам АС, программам, томам, каталогам, файлам, записям, полям записей. В параметрах регистрации указывается: - дата и время попытки доступа к защищаемому объекту с указанием ее результата: успешная, неуспешная – несанкционированная; - идентификатор субъекта доступа; - спецификация защищаемого объекта (логическое имя, номер); - имя программы осуществляющей доступ к файлу; - вид запрашиваемой операции. Реализовано средствами СЗИ «Secret Net 6.0» с помощью механизма контроля и регистрации
5. Регистрация изменения полномочий субъектов доступа и статуса объектов доступа. В параметрах регистрации указываются: - дата и время изменения полномочий; - идентификатор субъекта доступа (администратора), осуществившего изменения.   Реализовано средствами СЗИ «Secret Net 6.0» с помощью механизма контроля и регистрации
6. Учет создаваемых защищаемых файлов с помощью их дополнительной маркировки, используемой в системе управления доступом. Маркировка должна отражать уровень объекта. Реализовано средствами СЗИ «Secret Net 6.0» с помощью механизма полномочного управления доступом
7. Учет всех защищаемых носителей информации с помощью их маркировки и с занесением учетных данных в журнал (учетную карточку). Учет должен вестись в журнале (картотеке) с регистрацией их выдачи/приема. Должно проводиться несколько видов учета. Учет носителей информации организован в соответствии с требованиями  
8. Очистка (обнуление, обезличивание) освобождаемых областей оперативной памяти и внешних носителей. Реализовано средствами СЗИ «Secret Net 6.0»
9. Должна осуществляться сигнализация попыток нарушения защиты на терминал администратора и нарушителя Реализовано средствами СЗИ «Secret Net 6.0» с помощью механизма контроля и регистрации    
Подсистема обеспечения целостности
1. Должна быть обеспечена целостность программных средств СЗИ от НСД, обрабатываемой информации, а также неизменность программной среды. При этом: - целостность СЗИ от НСД проверяется при загрузке системы по наличию имен (идентификаторов) компонент СЗИ; - целостность программной среды обеспечивается отсутствием в системе средств разработки и отладки программ. Реализовано средствами ОС Windows XP Professional и средствами СЗИ «Secret Net 6.0» с помощью механизма контроля целостности. Средства разработки и отладки программ отсутствуют
2. Физическая охрана средств вычислительной техники (устройств и носителей информации), предусматривающая постоянное наличие охраны территории и здания, где размещается АС, с помощью технических средств охраны и специального персонала, использование строгого пропускного режима, специальное оборудование помещения системы. Реализовано техническими средствами охраны, а также персоналом службы охраны ОАО «Рога и Копыта»
3. Должен быть предусмотрен администратор (служба) защиты информации, ответственный за ведение, нормальное функционирование и контроль работы СЗИ от НСД. Назначен
4. Периодическое тестирование всех функций средств защиты информации. Реализуется с помощью разработанной методики испытаний
5. Наличие средств восстановления системы защиты информации, предусматривающие наличие СЗИ на компакт диске, периодическое обновление и контроль работоспособности. В наличии у администратора безопасности
6. Использование сертифицированных средств защиты. Установлены сертифицированные СЗИ: «Secret Net 6.0»сер № 71234А12, знак соответствия 1235644, сертификат ФСТЭК России № 2228 от 03.12.2010, действителен до 03.12.2016.
     

Заключение.

Были проведены аттестационные испытания объекта информатизации № 001 ОАО «Рога и Копыта», расположенного по адресу: г. Москва, ул. Перпендикулярная, д. 1, строение 7, 2 этаж, комната 001 ОАО «Рога и Копыта» на соответствие требованиям безопасности информации.

Аттестационные испытания проводились на ОИ № 001 согласно Программе и методикам аттестационных испытаний объекта информатизации № 001 ОАО «Рога и копыта» на соответствие требованиям безопасности информации.

В ходе аттестационных испытаний установлено:

1. Все основные и вспомогательные технические средства и системы (ОТСС и ВТСС) импортного производства прошли специальные проверки на соответствие возможно внедренных устройств перехвата информации, по результатам которых имеются соответствующие заключения.

2. Все ОТСС из состава ОИ прошли специальные исследования.

3. Согласно СТР на ОИ представлены исходные данные и документация по защите информации, в том числе Технический паспорт объекта информатизации № 001. Состав ОТСС и ВТСС, установленных на объекте, соответствует указанному в данном Техническом паспорте.

4. На объекте информатизации № 001 установлены следующие средства защиты информации:

Генератор шума «Соната-P2», заводской № 874215423, Сертификат № 1129 ФСТЭК России, продлен до 16.01.2018

Система защиты информации «Secret Net 6.0» (автономный вариант) RU.40308570.501410.008ПС, заводской № 71234А12, знак соответствия 1235644, сертификат ФСТЭК России № 2228 от 03.12.2010, действителен до 03.12.2016

Антивирусная программа Kaspersky Business Security Russian Edition лицензионное соглашение А856-906189-671324 серийный № КО783ВН710.

5. ОИ размещен на втором этаже строения 7 ОАО «Рога и Копыта». Монитор на рабочем месте ОИ развернут в сторону, от окна помещения, на окна помещения установлены жалюзи, в связи с чем визуальный просмотр информации, обрабатываемой на объекте, посторонними лицами из-за пределов контролируемой зоны невозможен.

6. Минимальное расстояние от ОТСС и ВТСС до мест возможного ведения разведки ПЭМИ удовлетворяют требованиям.

7. Состав комплекса технических средств АС ОИ, схема их размещения на объекте и относительно границ контролируемой зоны, перечень используемых средств защиты, а также расположение объекта указаны в Техническом паспорте объекта информатизации № 001 правильно.

8. Размещение и монтаж ОТСС и ВТСС ОИ соответствует требованиям.

9. Помещение ОИ оборудовано техническими средствами охраны, обеспечивающими уровень защиты, соответствующий хранимой информации.

Дверь помещения объекта оборудована магнитоконтактным датчиком охранной сигнализации типа: ИО 102-6 сигнал с которого поступает на пульт службы охраны ОАО «Рога и копыта», дверь ОИ имеет замки, гарантирующие надежное закрытие помещения. Линии сигнализации не выходят за пределы контролируемой зоны. В нерабочее время помещение объекта сдается под охрану службы охраны.

10. Средства вычислительной техники объекта являются автономными и выходов в локальные и международные открытые телекоммуникационные сети не имеют.

11. Лица, ответственные за эксплуатацию и выполнение требований по защите информации, обрабатываемой на объекте, определены. Контроль за соблюдением требований безопасности информации, обрабатываемой на ОИ, возложен на отдел безопасности ОАО «Рога и копыта».

12. Электропитание ОИ осуществляется от трансформаторной подстанции, расположенной в пределах контролируемой зоны. Доступ посторонних лиц в помещение трансформаторной подстанции исключен. Посторонние потребители по низковольтной части, расположенные за пределами контролируемой зоны, отсутствуют.

Информативных сигналов в цепи электропитания технических средств ОИ не обнаружено.

13. Система заземления ОИ выполнена в соответствии с требованиями.

Контур заземления находится в пределах контролируемой зоны и соединен с технологическим электрощитом помещения №001 заземляющим кабелем, от электрощита до розеток, от которых питаются ОТСС ОИ, проложен заземляющий кабель.

14. В местах возможного ведения разведки портативными возимыми, носимыми и стационарными средствами требуемое для объекта информатизации отношение сигнал/шум в диапазоне частот побочных электромагнитных излучений аттестуемых средств вычислительной техники не превышает предельно допустимого, обрабатываемой средствами вычислительной техники и в автоматизированных системах, от утечки за счет побочных электромагнитных излучений и наводок (ПЭМИН), при условии применения САЗ на базе технического средства защиты информации, обрабатываемой на объекте информатизации, от утечки за счет побочных электромагнитных излучений и наводок (изделие «Соната-Р2» сертификат ФСТЭК России № 1129 от 16.01.2006, продлен до 16.01.2018) (результаты измерений и расчетов приведены в протоколе оценки эффективности принятых мер защиты информации для ПЭВМ, установленной в помещении №001 ОАО «Рога и Копыта» от утечки за счет ПЭМИН.

15. Контроль неизменности условий эксплуатации ОИ возложен на администратора безопасности информации.

16. Требования по защите информации от утечки за счет специальных электронных устройств перехвата информации, по каналам ПЭМИН, по защите информации от несанкционированного доступа – выполнены (протоколы оценки эффективности принятых мер защиты информации для ПЭВМ, установленной в помещении №001 ОАО «Рога и Копыта» от утечки за счет ПЭМИН и проведения аттестационных испытаний автоматизированной системы объекта информатизации № 001 отдела аттестационных испытаний ОАО «Рога и Копыта» на соответствие требованиям по защите информации от несанкционированного доступа).

ВЫВОД: По результатам аттестационных испытаний объекта информатизации № 001 отдела аттестационных испытаний ОАО «Рога и Копыта», на соответствие требованиям по безопасности информации может быть выдан «Аттестат соответствия» на право обработки информации в соответствии с установленной нормой.

Наши рекомендации