Разработка проекта КСЗИ субъекта КИИ

Входящие в состав ЗОС компоненты, позволяют рассматривать операционную систему в качестве программной платформы для создания защищенных высокопроизводительных масштабируемых решений от автономных ЭВМ и небольших программно-технических комплексов до сложнейших территориально распределенных автоматизированных систем [4].
Соответствие требования нормативных документов подтверждено сертификатом ФСТЭК № 2557 (действителен до 27.01.2021), который подтверждает соответствие требованиям документов: Требования к ОС (А второго класса защиты. ИТ.ОС.А2.ПЗ).
2.4.2 Средство доверенной загрузки
В качестве СДЗ может быть применим аппаратно-программный модуль доверенной загрузки АПМДЗ «МАКСИМ-М1» [5].
Модуль доверенной загрузки предназначен для вычислительной техники, обрабатывающей секретную и конфиденциальную информацию (включая уровни «совершенно секретно» и КА1). Благодаря работе с многопользовательскими группам с равными и разными уровнями полномочий и поддержке схем администрирования как с централизованным и так децентрализованным управлением, Максим-М1 является универсальным решением для использования в защищенных системах.
Соответствие требования нормативных документов подтверждено сертификатом ФСТЭК № 3732 (действителен до 12.04.2020), который подтверждает соответствие требованиям документов: Требования к ТСДЗ (ИТ.СДЗ.ПР2.ПЗ).
2.4.3 Однонаправленный шлюз
ОШ предназначен для передачи IP-трафика только в одном направлении, предотвращая тем самым передачу трафика внутрь защищаемого сегмента. Данное решение, как правило, обеспечивается аппаратным решением [6].
В качестве однонаправленного шлюза используется «Рубикон-ОШ» – решение, предназначенное для однонаправленной передачи данных в автоматизированных системах между сегментами разного уровня секретности на базе ПАК «Рубикон».
ПАК «Рубикон» имеет сертификат ФСТЭК №2574 (действителен до 17.02.2021) на соответствие требований документов: Требования к МЭ, Профиль защиты МЭ А второго класса защиты. ИТ.МЭ.А2.ПЗ, Требования к СОВ (сети второго класса защиты. ИТ.СОВ.С2.ПЗ).
2.4.4 Межсетевой экран
МЭ предназначен для фильтрации входящего и исходящего трафика.
В качестве МЭ применяется ПАК «Рубикон», выполняющий функции межсетевого экрана, системы обнаружения вторжений и однонаправленного шлюза. Предназначен для использования в информационных системах, обрабатывающих информацию, составляющую государственную тайну [6].
2.4.5 Система обнаружения вторжений
СОВ обеспечивает идентификацию и блокирование кибератак.
В качестве СОВ также используется ПАК «Рубикон» [6].
2.4.6 Средство антивирусной защиты
САВЗ предназначено для обнаружения и блокирования вредоносного программного обеспечения на элементах СВТ [7].
В качестве САВЗ типов Б и В применяется решение Dr.Web Enterprise Security Suite в исполнении DrWeb ESS 11.03 (Linux edition) совместимое с Linux-дистрибутивами, в частности с ЗОС Astra Linux Special Edition.
Dr.Web Enterprise Security Suite имеет сертификат ФСТЭК России №3509 (действителен до 27.01.2024) на соответствие требованиям САВЗ типов Б и В.
2.4.7 Система контроля и управления доступом
Система контроля и управления доступом является средством инженерно-технической защиты и применяется в целях управления доступом.
2.5 Интеграция средств защиты
В соответствии с условиями размещения компонентов ЛВС можно выделить следующие потенциально опасные информационные потоки:
между ССОП и ИСОП;
между ИСОП и АСЗС.
В связи с тем, что в сегменте АСЗС также предусмотрена работа с документами в данный сегмент также аналогично быть интегрирован сервер печати.
2.6 SIEM-система
По своему назначению SIEM-система должна собирать, анализировать и представлять информацию из сетевых устройств и устройств безопасности.
В состав аналитической архитектуры SIEM-системы входят следующие уровни:
уровень сбора данных с различных источников: журналы событий операционных систем, журналы событий прикладного программного обеспечения, log-файлы сетевых устройств, log-файлы средств защиты информации, SNMP протокол и многие другие источники;
уровень первичной обработки событий. Осуществляется управление собранными данными: предварительная обработка, длительное хранение.
уровень анализа данных. Происходит анализ собранных данных, корреляция событий безопасности, формирование отчетности, выдача предупреждений.
В состав аппаратной архитектуры SIEM-системы входят следующие компоненты:
Сервер SIEM – выполняет роль аналитики (размещается в сегменте АСЗС);
АРМ SIEM – предназначен для взаимодействия с администратором информационной безопасности (размещается в сегменте АСЗС);
Сенсоры SIEM – предназначены для сбора данных (размещается на всех источниках данных).
В качестве SIEM-системы применяется программное изделие «Система мониторинга событий информационной безопасности MaxPatrol SIEM» [8].
Программное изделие «Система мониторинга событий информационной безопасности MaxPatrol SIEM» имеет сертификат соответствия ФСТЭК России № 3734 (действителен до 12.04.2020) на соответствие требованиям документов по 4 уровню контроля РД НДВ и ТУ.
На рисунке 4 нанесены компоненты SIEM-системы на структурные элементы в соответствии с их условиями размещения.