8. Система защиты информации от несанкционированного доступа
8.1. Состав комплекта:
система защиты информации от несанкционированного доступа (далее – СЗИ от НСД) – 1 шт.;
комплект эксплуатационной документации на русском языке (на бумажном носителе и на компакт-диске).
СЗИ от НСД должно обеспечивать комплексную и многофункциональную защиту информации от несанкционированного доступа при работе в многопользовательских автоматизированных операционных системах Windows на базе однопроцессорных и многопроцессорных персональных ЭВМ.
СЗИ от НСД должно соответствовать требованиям руководящего документа «Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации» (Гостехкомиссия России, 1992) – по 3-му классу защищенности.
Комплект должен соответствовать требованиям документа «Защита от несанкционированного доступа к информации. Часть 1. Программное обеспечение средств защиты информации. Классификация по уровню отсутствия не декларированных возможностей» (Гостехкомиссия России, 1999) – по 2-му уровню контроля.
8.2. Требование к системе защиты информации от несанкционированного доступа к информационным ресурсам автоматизированного рабочего места в защищенном исполнении.
СЗИ от НСД представляет собой программный комплекс средств защиты информации в ОС семейства Windows с возможностью подключения аппаратных идентификаторов.
СЗИ от НСД представляет собой программный комплекс средств защиты информации в операционных системах семейства Windows XP, Windows Server 2003, Windows Vista, Windows Server 2008, Windows 7, Windows Server 2008 R2, Windows 8, Windows Server 2012, Windows 8.1, Windows Server 2012 R2 с возможностью подключения аппаратных идентификаторов.
СЗИ от НСД должна быть предназначена для ПЭВМ типа IBM PC под управлением операционных семейства Windows в многопользовательском режиме их эксплуатации.
СЗИ от НСД поддерживает 32- и 64-битные версии операционные системы.
СЗИ от НСД должна быть предназначена для использования на персональных компьютерах, портативных компьютерах (ноутбуках, планшетах), серверах (в том числе контроллерах домена и терминального доступа), также поддерживает виртуальные среды и технологию Windows To Go.
СЗИ от НСД должна обеспечивать:
Регистрацию различных пользователей: локальных, доменных, сетевых. Определение
количества одновременных сеансов для пользователя. Имеется возможность ограничения количества
терминальных сессий на одном компьютере.
Идентификацию и проверку подлинности пользователей при входе в операционную систему, а также аутентификацию при входе на ПЭВМ до начала загрузки ОС. Имеется возможность двухфакторной идентификации по паролю и аппаратному идентификатору. Имеется возможность записи авторизационных данных в идентификатор. Имеется возможность определить принадлежность аппаратного идентификатора конкретному пользователю. Поддержка входа в ОС по сертификату смарт-карты, выданному удостоверяющим центром Windows.
Реализацию настроек сложности паролей и механизм генерации пароля, соответствующего настройкам.
Реализацию независимого от механизмов ОС механизм разграничения прав доступа к объектам файловой системы, к запуску программ и к печати документов.Разграничения доступа к объектам файловой системы (FAT и NTFS), реестру, сети, съемным носителям информации. Разграничения всех пользователей –локальных, сетевых, доменных, терминальных.
Контроль аппаратной конфигурации компьютера и подключаемых устройств:
Android-устройств;
iOS-устройств;
Bluetooth-устройств;
DVD- и CD-ROM-дисководов;
устройств HID, MTD, PCMCIA, IEEE 1394, Secure Digital;
USB-контроллеров;
беспроводных устройств (Wireless Communication Devices);
биометрических устройств;
дисководов магнитных дисков;
звуковых, видео- и игровых устройств;
инфракрасных устройств (IrDA);
контроллеров магнитных дисков;
ленточных накопителей;
модемов;
переносных устройств;
портов (COM и LPT);
сенсоров;
сетевых адаптеров;
сканеров и цифровых фотоаппаратов;
принтеров;
съемных носителей информации (CD-ROM, FDD, USB-Flash-накопителей).
Для предотвращения утечки информации с использованием съемных носителей информации СЗИ от НСД должен позволять разграничивать доступ как к отдельным типам носителей, так и к конкретным экземплярам; возможность настройки мандатного доступа к устройствам.
Должно обеспечиваться преобразование информации:
на съемных носителях информации, для создания доверенной среды при работе со съемными носителями;
при работе с виртуальными дисками (преобразование выполняется незаметно для пользователя);
при создании преобразованных файлов-контейнеров, используемых для хранения информации на внешних носителях или для передачи по различным каналам связи.
При преобразовании информации обеспечивается возможность использования встроенного алгоритма преобразования ГОСТ 28147-89 либо подключение внешнего криптопровайдера, в том числе сертифицированного.
Сохранение теневых копий файлов, записываемых на съемные носители.
В соответствии с требованиями к СЗИ от НСД должно использоваться два принципа контроля доступа:
мандатный – каждому пользователю присваивается уровень доступа и некоторым объектам файловой системы тоже присваивается уровень доступа. Возможность автоматизированной настройки мандатного доступа с помощью шаблонов; дискреционный – обеспечивает доступ к защищаемым объектам в соответствии со списками пользователей (групп) и их правами доступа (матрица доступа).
Должна обеспечиваться возможность ограничивать средствами СЗИ от НСД круг доступных сетевых ресурсов (с точностью до отдельных удалённых рабочих станций и отдельных папок общего доступа).
Должна обеспечиваться регистрация и учет (аудит) действий пользователей независимыми от ОС средствами (включение ПЭВМ, вход/выход пользователей, доступ к ресурсам, запуск/остановка процессов, администрирование). Должны вестись непрерывные журналы (т. е. новые записи не должны затирать более старые) с возможностью сортировки и архивации записей.
Должны обеспечиваться расширенные возможности аудита печати: печать документов с возможностью добавления штампа (произвольного или по ГОСТу), предоставляться возможность сохранения теневых копий распечатываемых документов, разграничение доступа пользователей к печати и нанесению штампов, в том числе с помощью мандатного принципа.
Должна обеспечиваться возможность организации замкнутой программной среды (ЗПС) и различные способы ее настройки.
Должна обеспечиваться возможность разграничения доступа к буферу обмена.
Должна обеспечиваться возможность локального и удаленного администрирования (управление учетными записями, политиками безопасности, правами доступа, аудитом, просмотр журналов).
Должна обеспечиваться возможность контроля целостности программно-аппаратной среды (в том числе отдельных веток реестра, каталогов) при загрузке ПЭВМ, по команде администратора и по расписанию. А также контроль целостности файлов при доступе, и блокировка входа в ОС при выявлении изменений. Должна обеспечиваться возможность восстановления объекта доступа (файла, ветки реестра) в случае обнаружения нарушения его целостности.
Должна обеспечиваться очистка остаточной информации (освобождаемого дискового пространства, зачистка определенных файлов и папок по команде пользователя). Должна обеспечиваться возможность полной зачистки дисков и разделов. Запрет смены пользователей без перезагрузки.
Должна обеспечиваться возможность самодиагностики основного функционала СЗИ от НСД с возможностью сохранения отчета.
Должна обеспечиваться возможность сохранения конфигурации для последующего восстановления СЗИ от НСД.
Должно обеспечиваться ведение двух копий программных средств защиты информации и возможность возврата к настройкам по умолчанию.
Должно обеспечиваться централизованное управление защищенными рабочими станциями при помощи специального модуля. С помощью этого модуля должно осуществляться централизованное управление учетными записями пользователей, политиками, правами пользователей, преобразованными съемными носителями информации. Должна поддерживаться многоуровневая иерархия групп компьютеров и наследование установленных параметров.
Этим модулем должен осуществляться периодический сбор журналов со всех защищенных рабочих станций. Должна обеспечиваться возможность блокировки компьютера, завершения сеанса работы пользователя по команде администратора.
Должна обеспечиваться поддержка имеющегося у Заказчика программного обеспечения АИС "Статистика УИС" и "СтатОператор".
Должна обеспечиваться возможность сигнализации администратору безопасности о ситуациях несанкционированного доступа на клиентских рабочих станциях:
нарушение контроля целостности объекта;
попытка работы после блокировки при нарушении целостности;
попытка входа на клиентскую рабочую станцию с неправильным паролем;
попытка входа с неразрешенным уровнем мандатного доступа;
блокировка пользователя после многократного ввода неправильного пароля;
СЗИ от НСД на клиенте не отвечает (возможная причина – несанкционированная деактивация системы защиты);
клиент недоступен долгое время (с возможностью задания периода времени);
попытки монтирования и попытка работы с запрещенными для пользователей на клиенте
устройствами.
Блокировка доступа к файлам по расширению.
Должна обеспечиваться возможность настройки всех параметров СЗИ от НСД из единой консоли администрирования.
Для защиты данных от загрузки в обход СЗИ, либо от подключения дисков к другой ПЭВМ, должна обеспечиваться возможность прозрачного преобразования областей дисков. В том числе и системной области.
Должна обеспечиваться возможность создания отчета по назначенным правам, формирование паспорта программного обеспечения, установленного на ПЭВМ, формирование паспорта аппаратной части ПЭВМ.
Должна обеспечиваться возможность построения иерархии управления при помощи специального модуля – менеджера, управляющего несколькими модулями централизованного управления.
Должна обеспечиваться возможность использования механизма удаленной установки и обновления СЗИ от НСД средствами модуля централизованного управления самой СЗИ или средствами групповых политик Active Directory.
Должна обеспечиваться возможность визуализации сети защищаемых компьютеров.
Должна обеспечиваться возможность подключения к модулям администрирования пользователя с ограниченными правами (права только на просмотр настроек).
Реализация СЗИ от НСД должна быть полностью программная, но с возможностью подключения аппаратных средств считывания индивидуальных идентификаторов пользователей, включая идентификаторы: USB-Flash-накопители, Touch Memory (iButton), eToken Pro/Java (USB-ключи и смарт-карты), USB-ключи Rutoken, JaCarta ГОСТ/PKI (USB-ключи и смарт-карты).
9. Антивирусное программное обеспечение
Расширение неисключительных (пользовательских) прав на действующее лицензионное антивирусное программное обеспечение, имеющееся у Заказчика Kaspersky Endpoint Security для бизнеса – Стандартный Russian Edition.
Характеристики технической поддержки от производителя:
Должна обеспечиваться возможность получения новых версий лицензионных антивирусных программных обеспечений, включая сигнатуры угроз, образцы спама и сетевых атак;
Должна обеспечиваться круглосуточная техническая поддержка по телефону, электронной почте или через информационно-телекоммуникационную сеть «Интернет»;
Должны представляться новые версии сигнатур угроз для лечения обнаруженного ранее неизвестного вирус в течение 48 часов после получения вируса службой технической поддержки.
В составе комплекта должен быть медиа-пак, в количестве 1 шт. в состав которого входит:
Дубликат ключевого файла.
Сертифицированный дистрибутив на носителе.
Сертификаты соответствия ФСТЭК России.
10. Лицензионное программное обеспечение (ПО):
10.1. Должна быть обеспечена передача неисключительного (пользовательского) права на программное обеспечение операционная система Microsoft Windows 7 Professional x64 RUS.
10.2. Предустановленный пакет офисных приложений OpenOffice.
10.3. Программное обеспечение для создания и управления архивами 7Zip. |
