АННОТАЦИЯ
Специализированная система удаленного централизованного управления средствами защиты информации от несанкционированного доступа Аккорд (в дальнейшем также СУЦУ, Система) предназначена для реализации требований нормативных документов Банка России по ИБ, централизованного мониторинга событий ИБ и управления средствами защиты информации от несанкционированного доступа, функционирующими в АС Банка России.
Данный документ описывает действия Администратора нештатного режима СУЦУ (Администратор НШР СЗИ от НСД), связанные с непосредственной работой подсистемы в штатном режиме функционирования.
СОДЕРЖАНИЕ
1 Введение 4
1.1 Область применения 4
1.2 Функции Администратора нештатного режима функционирования СУЦУ 4
1.3 Комплект поставки 4
1.4 Регламент и режимы работы оборудования 4
2 Порядок работы 5
2.1 Сервисный режим 5
2.2 Действия Администратора нештатного режима функционирования в сервисном режиме 5
2.3 Аварийный режим 8
2.4 Действия Администратора нештатного режима функционирования в аварийном режиме 8
3 Перечень принятых сокращений 9
1Введение
1.1Область применения
Деятельность Администратора нештатного режима функционирования СУЦУ.
1.2Функции Администратора нештатного режима функционирования СУЦУ
Администратор нештатного режима функционирования СУЦУ:
создает учетные записи управляющего персонала СУЦУ: Администратора информационной безопасности СУЦУ и Администратора СУЦУ;
осуществляет мероприятия по восстановлению работоспособности СУЦУ в случаях сбоев и аварийных ситуаций;
осуществляет функции только в нештатном режиме СУЦУ;
в случае необходимости может выполнять любые функции ASM.
1.3Комплект поставки
СУЦУ является подсистемой, внедряемой путем поставки, установки и настройки следующих компонентов:
сервер централизованного управления.
клиент централизованного управления (на каждый АРМ, являющийся подконтрольным объектом).
серверные и клиентские компоненты, реализующие транспортные функции (подсистема распределенного аудита и управления), серверные компоненты, реализующие функции управления (подсистема Accord Security Management Special Edition (ASM SE)) СЗИ от НСД подконтрольных объектов (далее по тексту ПКО) – на CD;
лицензии на подключения управляемых объектов к СУЦУ на DS 1996;
комплект рабочей документации на CD.
1.4Регламент и режимы работы оборудования
СУЦУ может функционировать в следующих режимах:
штатный режим функционирования;
нештатный режим функционирования:
сервисный режим;
аварийный режим.
Изменение режима эксплуатации СУЦУ не влияет на работоспособность ПКО.
Нарушение функционирования СУЦУ не приводит к нарушению функционирования других подсистем и объектов защиты.
2Порядок работы
2.1Сервисный режим
Сервисный режим функционирования задействуется при проведении регламентных работ с техническими средствами СУЦУ, включающих обслуживание и переконфигурирование компонентов СУЦУ.
Эксплуатация СУЦУ в сервисном режиме должна осуществляться только в рамках плановых мероприятий и регламентов обслуживания, согласованных в установленном порядке.
2.2Действия Администратора нештатного режима функционирования в сервисном режиме
В сервисном режиме Администратор нештатного режима функционирования обеспечивает доступность всех событий ИБ, зарегистрированных СУЦУ для анализа и контроля персонала СУЦУ после завершения технического обслуживания;
Открыв вкладку «Журналы», Администратор нештатного режима средств защиты информации от НСД может работать с тремя типами журналов.
Первый тип – Журналы «Аккорд», в которых содержатся сведения о работе пользователей на рабочих местах (рисунок 1). (Журналы «Аккорд» хранятся в каталоге ASM/ACCONNET/Client.Log/XXX/YYY/, где XXX – имя каталога, соответствующего имени ПКО, YYY – имя каталога, соответствующего дате в формате дата – месяц- год.
Например: С:/Asm/ACCONNET/Client.Log/Demo_PC/18_01_2013/20131005172617.LOW). Маска файла журнала следующая: «*******.LOW», где знак «*******» обозначает дату с точностью до секунды).
Рисунок 1 - Журналы «Аккорд»
Сведения, хранящиеся в журнале, обновляются в режиме реального времени.
Получить журналы с ПКО (по централизованной схеме) можно по нажатии кнопки <�Получить> (рисунок 2).
Рисунок 2 - Обновление журналов
Для просмотра журнала на сервере централизованного управления необходимо нажать кнопку <�Просмотр>. После этого на экране появляется окно выбора каталога, в котором нужно выбрать необходимый файл.
Конвертировать журнал в общепринятые форматы можно, нажав кнопку <�СSV конвертация> в окне, показанном на рисунке 1. В результате этой операции в каталоге, указанном в поле «СSV файл для конвертации журналов, появится файл в формате csv.
Журнал «Аккорд» можно экспортировать (например, для дальнейшего анализа в системах мониторинга), для этого необходимо нажать кнопку <�Экспорт>. Далее на экране появляется окно выбора каталога, в котором необходимо выбрать каталог и нажать кнопку <�Применить>.
Кнопка <�Импорт> необходима для получения журналов с ПКО по децентрализованной схеме.
По нажатии кнопки <�Фильтр журнала> на экране появляется окно смены фильтров оперативного журнала (рисунок 3).
Рисунок 3 – Фильтры оперативного журнала для текущей учетной записи
В нем можно выбрать типы событий, информация о которых передается в оперативный журнал, для текущей учетной записи (в данном случае для Администратора ИБ, см. рисунок 3). События хранятся в каталоге ASM\AccountName_FilterParam.ini, где параметр «AccountName» – это имя учетной записи.
Второй тип – журналы ASM, касающиеся работы утилиты ASM (рисунок 4). В них записываются дата и время выполнения операций в ASM, сами эти операции, информация о попытках несанкционированного доступа, информация об изменении параметров ASM (сообщения об изменении параметров имеют префикс CFG). (Журналы ASM хранятся в каталоге ASM/ACCONNET/Client.Log в следующей форме: «asm*****.LOW», где знак «*****» обозначает дату с точностью до секунды).
Рисунок 4 - Журнал ASM
Третий тип журналов - журнал АРМ АБИ, касающийся работы утилиты AсConnet (рисунок 5). Он необходим для просмотра сетевых сообщений.
Рисунок 5 – Журнал АРМ АБИ
Для получения журналов ПКО в рамках децентрализованной схемы используется функция экспорта журналов СЗИ от НСД ПКО. При этом производится копирование перечня журналов на внешний носитель, в качестве которого может использоваться ТМ-идентификатор DS-1996, USB флэш-накопитель или флоппи-диск (журналы экспортируются в каталог <�выбранный_каталог>:\IN\xxxx\, где <�выбранный_каталог> – каталог на внешнем носителе, xxx - имя станции.). Далее перечень на внешнем носителе должен быть доставлен на сервер централизованного управления.
Получив каталог с журналами ПКО, Администратор нештатного режима функционирования должен выполнить следующие действия:
копировать каталог с журналами на сервер централизованного управления;
во вкладке «Журналы» нажать кнопку <�Импорт> (рисунок 1);
далее в появившемся окне выбрать необходимый каталог и нажать кнопку <�Применить>.
2.3Аварийный режим
Аварийный режим функционирования СУЦУ характеризуется возникновением нештатных ситуации в работе компонентов сервера централизованного управления и/или полным или частичным отказом в предоставляемых сервисах ПКО, возникшим вследствие работы СУЦУ. Работа в данном режиме функционирования СУЦУ сервере централизованного управления осуществляется только под учетной записью Администратора НШР СУЦУ.
Принятие решения о переводе СУЦУ в аварийный режим должно производиться в установленном порядке, указанный порядок определяется на этапе рабочего проектирования и отражен в соответствующих руководствах.
2.4Действия Администратора нештатного режима функционирования в аварийном режиме
Администратор нештатного режима функционирования обеспечивает доступность всех событий ИБ, зарегистрированных СУЦУ в аварийном режиме, для анализа и контроля персонала СУЦУ после устранения нештатной ситуации. Действия Администратора нештатного режима в случае аварийного сбоя системы идентичны действиям в случае сервисного режима в рамках ПО «ASM»;
в случае необходимости Администратор нештатного режима связывается с Администратором СУЦУ для устранения возникшего сбоя в системе;
в случае нарушения сетевого взаимодействия между сервером централизованного управления и ПКО администратор нештатного режима обеспечивает возможность получения журналов событий ИБ от ПКО, с которыми отсутствует сетевое соединение. Данная функциональность позволяет сохранить журналы на какой-либо носитель и перенести их с ПКО на сервере централизованного управления.
3Перечень принятых сокращений
АБИ
|
Администратор безопасности информации (то же, что АИБ)
|
АИБ
АРМ
|
Администратор информационной безопасности
Автоматизированное рабочее место
|
АС
|
Автоматизированная система
|
ИБ
|
Информационная безопасность
|
ИС
|
Информационная система
|
НСД
|
Несанкционированный доступ
|
НШР
|
Нештатный режим
|
ПКО
|
Подконтрольный объект
|
ПО
|
Программное обеспечение
|
СВТ
|
Средства вычислительной техники
|
СЗИ
|
Средство защиты информации
|
СУЦУ
|
Система централизованного управления
|
СУ
|
Система управления
|
ASM
|
Accord Security Management
|
Лист регистрации изменений
Изм.
|
Номера листов (страниц)
|
Всего листов (стр.) в документе
|
№ документа
|
Входящий № сопроводительного
документа
|
Подпись
|
Дата
|
измененных
|
замененных
|
новых
|
Аннулированых
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Согласовано
Наименование организации, предприятия
|
Должность исполнителя
|
Фамилия, имя,
отчество
|
Подпись
|
Дата
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
