Эта статья для тех, кто начинает свой карьерный путь в сфере информационной безопасности. Рассказываем о том, как администрировать аттестованный АРМ (автоматизированное рабочее место) и наладить безопасность на объекте.

Администрирование аттестованного АРМ

Процесс администрирования аттестованного АРМ сводится к следующим шагам:

1. Знакомство с Актом классификации.

2. Знакомство с Разрешительной системой доступа.

3. Настройка системы и администрирование СЗИ от НСД.

4. Поддержание АРМ в актуальном состоянии, в соответствии с разрешительной системой доступа.

Разберём каждый пункт.

Знакомство с Актом классификации

Акт классификации — документ, в котором определяется класс для вашего АРМ. В нём содержится информация о том, по какому классу и в соответствии с каким руководящим документом была произведена классификация. Для каждого класса выдвигаются свои требования по составу и содержанию мер обеспечения безопасности информации.

Знакомство с Разрешительной системой доступа

Разрешительная система доступа — пожалуй, самый главный документ для администратора, так как в нём содержится такая информация, как:

• Наименование всех учётных записей, которые должны быть на ПК, а также их роли.

• Перечень информационных ресурсов, их расположение, их гриф.

• Перечень разрешённого оборудования, участвующего в обработке информации.

• Матрица доступа, содержащая подробную информацию, какой пользователь, к какому информационному ресурсу/оборудованию, под каким грифом имеет доступ.

Несмотря на то, что это очень ценный документ, на практике его переиздают по десять раз на дню в связи с:

• появлением новых пользователей;

• необходимостью добавления/удаления информационных ресурсов;

• изменению прав для пользователей на информационных ресурсах;

• и пр.

В том, что этот документ так часто переиздаётся, нет ничего плохого или странного, ведь главное — поддержание его в актуальном состоянии.

Настройка системы и администрирование СЗИ от НСД

После ознакомления с разрешительной системой доступа у администратора должно сложиться понимание того, что из себя представляет АРМ, что на нём должно быть, а чего нет.

Следующим шагом является настройка АРМ и администрирование СЗИ от НСД, то есть средств защиты от несанкционированного доступа. Эти CЗИ представляют собой программные, технические или программно‑технические средства, предназначенные для предотвращения или существенного затруднения несанкционированного доступа к информации.

Основные функции СЗИ от НСД:

• идентификация и аутентификация пользователей;

• дискреционный контроль доступа пользователей;

• мандатный контроль доступа пользователей и процессов;

• маркировка документов и контроль их вывода на печать;

• защита ввода и вывода информации на внешний физический носитель;

• регистрация событий безопасности в журнале событий;

• контроль целостности критичных файлов и данных;

• контроль доступа к периферийным устройствам и портам ввода‑вывода;

• гарантированное удаление данных на дисках и выборочное затирание файлов и пр.

Среди сертифицированных СЗИ от НСД наибольшую известность получили:

• Secret Net Studio от производителя «Код Безопасности».

• Dallas Lock от производителя «Конфидент».

• Astra Linux от производителя «РусБИТех‑Астра».

Настройка системы и администрирование СЗИ от НСД заключается в следующих шагах:

1. Первым делом — настройка самого СЗИ от НСД. Производится в соответствии с требованиями, выдвигаемыми под установленный класс, указанный в «Акте классификации». Сами требования указаны в руководящем документе, в соответствии с которым производилась классификация. Настраиваются следующие функции:

   а) Идентификация и аутентификация пользователей. На данном этапе настраиваются способы авторизации пользователей в системе, ограничение по количеству неудачных входов, требования по парольной политике и пр.

   б) Мандатный контроль доступа пользователей и процессов. На данном этапе создаются мандатные уровни, по сути дополнительный способ разделения полномочий пользователей в системе. Данная настройка определяет список доступных мандатных уровней для документов (файлов), пользователей и сессий. Мандатная сессия представляет собой копию рабочего пространства пользователя, только с ограничениями (Очень похоже на замкнутую программную среду). Например, нельзя перемещать документы из сессии с более высоким уровнем в более низкую, или в мандатной сессии можно ограничить список приложений, с которым может работать пользователь.

   в) Маркировка документов и контроль их вывода на печать. На данном этапе настраивается маркировка документов — штамп в конце документа, показывающий регистрационный, учётный номер листа и номер страницы. Также настраиваются устройства, с которых возможно выводить на печать такие документы.

   г) Регистрация событий безопасности в журнале событий. Настройка всего, что подлежит регистрации в журналах СЗИ от НСД. Присутствуют журнал входов, журнал управления политиками безопасности, журнал печати, журнал процессов, журнал ресурсов и пр.

   д) Контроль целостности критичных файлов и данных. На данном этапе настраивается перечень ресурсов (файлов, папок, веток реестра и пр.), алгоритмы расчёта уникальных значений для этих ресурсов, и реакция системы на проверку этих уникальных значений. По умолчанию при установке СЗИ от НСД автоматически рассчитываются уникальные значения для файлов самой. При старте операционной системы СЗИ от НСД сравнивает текущие значения с рассчитанными ранее (эталонными), и при несоответствии блокирует АРМ.

   е) Контроль доступа к периферийным устройствам и портам ввода‑вывода. На данном этапе настраивается, что можно или нельзя подключать к АРМ, а также реакция системы на включение/отключение определённых устройств. Например, это может быть запрет подключения флеш‑накопителей, запрет работы подключенных аудио‑выводящих устройств и пр.

   ж) Гарантированное удаление данных на дисках. На данном этапе настраивается гарантированная очистка оперативной памяти при выключении/перезагрузке АРМ, настройка удаления файлов минуя корзину и пр.

2. Создание/Удаление/Редактирование учетных записей пользователей на АРМ. Администратору необходимо настроить список учётных записей пользователей, имена учётных записей пользователей, разрешённые мандатные уровни для каждого пользователя, в соответствии с разрешительной системой доступа.

3. Настройка информационных ресурсов. Администратору необходимо привести перечень каталогов и подкаталогов в соответствие разрешительной системе доступа. После чего на каждый каталог и подкаталог средствами СЗИ от НСД в соответствии с матрицей доступа настроить:

   а) Дискреционный контроль доступа пользователей. Здесь администратору необходимо настроить, КТО (какая учётная запись) и к КАКОЙ ПАПКЕ (информационному ресурсу) будет иметь доступ. Настройка доступа заключается в настройке следующих атрибутов — Чтение (Пользователь сможет увидеть документ), Запись (Пользователь может перемещать, удалять, редактировать), Выполнение (Пользователь сможет открывать документ, приложения), Изменение прав (Пользователь сможет открывать настройки и менять самостоятельно).

   б) Мандатный контроль доступа пользователей. Настраиваем, в какой мандатной сессии пользователь может работать с данным документом, папкой, приложением.

4. Настроить мандатный доступ в мандатных сессиях на приложения. Самый сложный и трудоёмкий процесс. В соответствии с разрешительной системой доступа (матрицей доступа) администратору необходимо настроить, чтобы указанные там приложения запускались в той или иной мандатной сессии. В разных СЗИ от НСД это делается по‑разному. Упрощённо это выглядит так: администратор должен зайти под учётной записью пользователя, по несколько раз открыть все используемые в работе приложения, чтобы приложения создали свои каталоги для временных файлов в каталоге AppData данного пользователя. После чего администратор должен сделать эти каталоги разделяемыми. Система в зависимости от количества настроенных мандатных уровней, создает равное количество копий этих временных каталогов, по одной на каждый уровень. И получается, что когда пользователь заходит под уровнем +1 от нулевого, и все временные файлы приложения записываются не в оригинальную папку в AppData, а в копию, соответствующую данному мандатному уровню.

5. Ну и напоследок. Администратор не должен забывать, что раздел «Программы и компоненты» должен содержать только разрешённый перечень общесистемного и прикладного программного обеспечения.

Завершение настройки

После выполнения всего вышенаписанного работа по администрированию АРМ считается завершённой. Администратору остаётся поддерживать АРМ в актуальном состоянии в соответствии с разрешительной системой доступа.

В следующих статьях на практике рассмотрим работу администратора в СЗИ от НСД — Secret Net Studio — C, Dallas Lock 8.0C, Astra Linux SE 1.7. Надеемся, что эта информация вам пригодится. Спасибо за внимание!

Что ещё интересного есть в блоге Cloud4Y

→ Спортивные часы Garmin: изучаем GarminOS и её ВМ MonkeyC

→ NAS за шапку сухарей

→ Взлом Hyundai Tucson, часть 1, часть 2

→ Взламываем «умную» зубную щётку

→ 50 самых интересных клавиатур из частной коллекции