4. Техническое задание (Разработка профиля защиты информации обрабатываемой в центре обработки данных муниципального образования), страница 2
Описание файла
Файл "4. Техническое задание" внутри архива находится в папке "Разработка профиля защиты информации обрабатываемой в центре обработки данных муниципального образования". Документ из архива "Разработка профиля защиты информации обрабатываемой в центре обработки данных муниципального образования", который расположен в категории "". Всё это находится в предмете "дипломы и вкр" из 8 семестр, которые можно найти в файловом архиве ДВГУПС. Не смотря на прямую связь этого архива с ДВГУПС, его также можно найти и в других разделах. .
Онлайн просмотр документа "4. Техническое задание"
Текст 2 страницы из документа "4. Техническое задание"
Уничтожение персональных данных – действия, в результате которых невозможно восстановить содержание персональных данных в информационной системе персональных данных или в результате которых уничтожаются материальные носители персональных данных.
Уязвимость – слабость в средствах защиты, которую можно использовать для нарушения системы или содержащейся в ней информации.
Целостность информации – способность средства вычислительной техники или автоматизированной системы обеспечивать неизменность информации в условиях случайного и/или преднамеренного искажения (разрушения).
-
Принятые сокращения
АВС | – | антивирусные средства |
АРМ | – | автоматизированное рабочее место |
АС | – | автоматизированная система |
ГИС ЦОД | – – | государственная информационная система Центр обработки данных |
ГОСТ | – | государственный стандарт |
ДСП | – | для служебного пользования |
ИБ | – | информационная безопасность |
ИСПДн | – | информационная система, обрабатывающая персональные данные |
КЗ | – | контролируемая зона |
ИТ | – | информационные технологии |
ЛВС | – | локальная вычислительная сеть |
НДВ | – | не декларированные возможности |
НЖМД | – | накопитель на жестких магнитных дисках |
НСД | – | несанкционированный доступ |
ОЗУ | – | оперативное запоминающее устройство |
ОПО | – | общесистемное программное обеспечение |
ОС | – | операционная система |
ОТСС | – | основные технические средства и системы |
ПДн | – | персональные данные |
ПК | – | программный комплекс |
ПО | – | программное обеспечение |
ПС | – | программные средства |
ПТС | – | программно-технические средства |
ПЭВМ | – | персональная электронно-вычислительная машина |
РД | – | руководящий документ |
СВТ | – | средства вычислительной техники |
СЗИ | – | система защиты информации |
СКЗИ | – | средства криптографической защиты информации |
СПО | – | специальное программное обеспечение |
СрЗИ | – | средства защиты информации |
ТЗ | – | техническое задание |
ТС | – | технические средства |
ТП | – | технический проект |
ФСБ | – | Федеральная служба безопасности |
ФСТЭК | – | Федеральная служба технического и экспортного контроляэ |
-
Назначение и цели создания СЗИ
-
Назначение СЗИ
-
СЗИ предназначена для обеспечения информационной безопасности информации, обрабатываемых в МКУ "Комитет по содержанию объектов муниципальной собственности" (далее – ЦОД). СЗИ призвана обеспечить конфиденциальность, целостность и доступность информации при ее обработке в МИС ЦОД.
-
Цели создания СЗИ
Целями создания СЗИ являются:
-
обеспечение защищенности сегмента в процессе обработки и хранения информации, обеспечение конфиденциальности информации при ее обработке, а также целостности и доступности;
-
соответствие «Об утверждении требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах», утвержденных ФСТЭК России от 11 февраля 2013 г. № 17;
-
соответствие требованиям Федерального закона от 27.07.2006 г. № 152-ФЗ «О персональных данных» и выполнение мер в соответствии с «Методическим документом: Меры защиты информации в государственных информационных системах», утвержденным ФСТЭК 11.02.2014 и «Составом и содержанием организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных», утвержденных приказом ФСТЭК России от 18.02.2013№ 21 и других РД ФСТЭК России и ФСБ России.
В результате создания СЗИ должно быть обеспечено:
-
снижение вероятности реализации актуальных угроз информационной безопасности информации;
-
отслеживание действий субъектов информационных отношений.
Критериями оценки достижения поставленных целей по созданию СЗИ являются:
-
соответствие требованиям по обеспечению безопасности информации соответствующего уровня защищенности, определенному в соответствии с «Мерами защиты информации в государственных информационных систем»;
-
выполнение мер, определенных «Методическим документом: Меры защиты информации в государственных информационных систем», утвержденным ФСТЭК 11.02.2014, и «Составом и содержанием организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных», утвержденным приказом ФСТЭК России от 18.02.2013 № 21;
-
выполнение требований настоящего ТЗ.
-
Параметры объекта защиты
В муниципальной информационной системе обрабатываются государственные информационные ресурсы различных категорий субъектов. Информация обрабатывается и хранится на серверах в пределах одной контролируемой зоны. Информация обрабатывается на 127 АРМ и 6 серверах.
Информация субъектов муниципальной информационной системы хранится распределено, на серверах БД и на жёстких дисках АРМ пользователей, к которым имеют доступ ограниченный перечень лиц.
Параметры информационной системы ЦОД представлены в таблице 4.1.
Таблица 4.1 – Параметры информационной системы ЦОД
Наименование параметра | Значение |
Структура информационной системы | Локальная |
Архитектура информационной системы |
|
Используемым ИТ | Системы на основе виртуализации |
Взаимодействие с иными информационными системами | Подключенная через выделенную инфраструктуру |
Подключение информационной системы к сетям общего пользования и (или) сетям международного информационного обмена | Расположенные в пределах одной контролируемой зоны |
Размещение технических средств | ТС расположенные в пределах одной контролируемой зоны |
Режим разграничения прав доступа пользователей | Система с разграничением прав доступа |
Разделение функций по управлению информационной системой | Без разделения |
Сегментирование информационной системы | Система без сегментирования |
Местонахождение технических средств информационной системы | Расположенные пределах одной контролируемой зоны |
Объем обрабатываемых персональных данных | Менее 100 тысяч субъектов персональных данных |
Масштаб информационной системы | Объектовый |
Актуальные угрозы ИБ, которым подвержена МИС ЦОД определены и обоснованы в Модели нарушителя и угроз безопасности информации при их обработке в муниципальной информационной системе Муниципального Казенного Учреждения "Центра обработки данных", разработанной на основании «Базовой модели угроз безопасности персональных данных при их обработке в информационных системах персональных данных», «меры защиты информации в ГИС» и других нормативно-методических документов ФСТЭК России и ФСБ России.
-
Меры по обеспечению безопасности информации
-
Базовый набор мер
-
Для обеспечения 2-го уровня защищенности персональных данных при их обработке в информационных системах необходимо выполнение следующих условий:
-
организация режима обеспечения безопасности помещений, в которых размещена информационная система, препятствующего возможности неконтролируемого проникновения или пребывания в этих помещениях лиц, не имеющих права доступа в эти помещения;
-
обеспечение сохранности носителей персональных данных;
-
утверждение руководителем оператора документа, определяющего перечень лиц, доступ которых к персональным данным, обрабатываемым в информационной системе, необходим для выполнения ими служебных (трудовых) обязанностей;
-
использование средств защиты информации, прошедших процедуру оценки соответствия требованиям законодательства Российской Федерации в области обеспечения безопасности информации, в случае, когда применение таких средств необходимо для нейтрализации актуальных угроз;
-
должно быть назначено должностное лицо (работник), ответственный за обеспечение безопасности персональных данных в информационной системе.
-
необходимо, чтобы доступ к содержанию электронного журнала сообщений был возможен исключительно для должностных лиц (работников) оператора или уполномоченного лица, которым сведения, содержащиеся в указанном журнале, необходимы для выполнения служебных (трудовых) обязанностей
В соответствии приказом ФСТЭК от 11.02.2014 г. «Меры защиты информации в государственных информационных системах», базовый набор мер, применяемых для обеспечения 2 уровня защищенности информации представлен в таблице 5.1
Таблица 5.1 – базовый набор мер
№ меры | Содержание мер по обеспечению безопасности информации |
ИАФ.1 | Идентификация и аутентификация пользователей, являющихся работниками оператора |
ИАФ.2 | Идентификация и аутентификация устройств, в том числе стационарных, мобильных и портативных |
ИАФ.З | Управление идентификаторами, в том числе создание, присвоение, уничтожение идентификаторов |
ИАФ.4 | Управление средствами аутентификации, в том числе хранение, выдача, инициализация, блокирование средств аутентификации и принятие мер в случае утраты и (или) компрометации средств аутентификации |
ИАФ.5 | Защита обратной связи при вводе аутентификационной информации |
ИАФ.6 | Идентификация и аутентификация пользователей, не являющихся работниками оператора (внешних пользователей) |
УПД.1 | Управление (заведение, активация, блокирование и уничтожение) учетными записями пользователей, в том числе внешних пользователей |
УПД.2 | Реализация необходимых методов (дискреционный, мандатный, ролевой или иной метод), типов (чтение, запись, выполнение или иной тип) и правил разграничения доступа |
УПД.3 | Управление (фильтрация, маршрутизация, контроль соединений, однонаправленная передача и иные способы управления) информационными потоками между устройствами, сегментами информационной системы, а также между информационными системами |
УПД.4 | Разделение полномочий (ролей) пользователей, администраторов и лиц, обеспечивающих функционирование информационной системы |
УПД.5 | Назначение минимально необходимых прав и привилегий пользователям, администраторам и лицам, обеспечивающим функционирование информационной системы |
УПД.6 | Ограничение неуспешных попыток входа в информационную систему (доступа к информационной системе) |
УПД.10 | Блокирование сеанса доступа в информационную систему после установленного времени бездействия (неактивности) пользователя или по его запросу |
УПД.11 | Разрешение (запрет) действий пользователей, разрешенных до аутентификации |
УПД.13 | Реализация защищенного удаленного доступа субъектов доступа к объектам доступа через внешние информационно-телекоммуникационные сети |
УПД.14 | Регламентация и контроль использования в информационной системе технологий беспроводного доступа |
УПД.15 | Регламентация и контроль использования в информационной системе мобильных технических средств |
УПД.16 | Управление взаимодействием с информационными системами сторонних организаций (внешние информационные системы) |
УПД.17 | Обеспечение доверенной загрузки средств вычислительной техники |
ОПС.2 | Управление установкой (инсталляцией) компонентов программного обеспечения, в том числе определение компонентов, подлежащих установке, настройка параметров установки компонентов, контроль за установкой компонентов программного обеспечения |
ОПС.3 | Установка (инсталляция) только разрешенного к использованию программного обеспечения и (или) его компонентов |
ЗНИ.1 | Учет машинных носителей персональных данных |
ЗНИ.2 | Управление доступом к машинным носителям персональных данных |
ЗНИ.5 | Контроль использования интерфейсов ввода (вывода) информации на машинные носители информации |
ЗНИ.8 | Уничтожение (стирание) или обезличивание персональных данных на машинных носителя при их передаче между пользователями, в сторонние организации для ремонта или утилизации, а также контроль уничтожения (стирания) или обезличивания |
РСБ.1 | Определение событий безопасности, подлежащих регистрации, и сроков их хранения |
РСБ.2 | Определение состава и содержания информации о событиях безопасности, подлежащих регистрации |
РСБ.З | Сбор, запись и хранение информации о событиях безопасности в течение установленного времени хранения |
РСБ.4 | Реагирование на сбои при регистрации событий безопасности, в том числе аппаратные и программные ошибки, сбои в механизмах сбора информации и достижение предела или переполнения объема (емкости) памяти |
РСБ.5 | Мониторинг (пересмотр, анализ) результатов регистрации событий безопасности и реагирование на них |
РСБ.6 | Генерирование временных меток и (или) синхронизация системного времени в информационной системе |
РСБ. 7 | Защита информации о событиях безопасности |
АВ3.1 | Реализация антивирусной защиты |
АВ3.2 | Обновление базы данных признаков вредоносных компьютерных программ (вирусов) |
СОВ.1 | Обнаружение вторжений |
СОВ.2 | Обновление базы решающих правил |
АНЗ.1 | Выявление, анализ уязвимостей информационной системы и оперативное устранение вновь выявленных уязвимостей |
АНЗ.2 | Контроль установки обновлений программного обеспечения, включая обновление программного обеспечения средств защиты информации |
АНЗ.3 | Контроль работоспособности, параметров настройки и правильности функционирования программного обеспечения и средств защиты информации |
АНЗ.4 | Контроль состава технических средств, программного обеспечения и средств защиты информации |
АНЗ.5 | Контроль правил генерации и смены паролей пользователей, заведения и удаления учетных записей пользователей, реализации правил разграничения доступа, полномочий пользователей в информационной системе |
ОЦЛ. 1 | Контроль целостности программного обеспечения, включая программное обеспечение средств защиты информации |
ОЦЛ. 3 | Обеспечение возможности восстановления программного обеспечения, включая программное обеспечение средств защиты информации, при возникновении нештатных ситуаций |
ОЦЛ. 4 | Обнаружение и реагирование на поступление в информационную систему незапрашиваемых электронных сообщений (писем, документов) и иной информации, не относящихся к функционированию информационной системы (защита от спама) |
ОДТ.3 | Контроль безотказного функционирования технических средств, обнаружение и локализация отказов функционирования, принятие мер по восстановлению отказавших средств и их тестирование |
ОДТ.4 | Периодическое резервное копирование информации на резервные машинные носители информации |
ОДТ.5 | Обеспечение возможности восстановления информации с резервных машинных носителей информации (резервных копий) в течение установленного временного интервала |
ОДТ.7 | Контроль состояния и качества предоставления уполномоченным лицом вычислительных ресурсов (мощностей), в том числе по передаче информации |
ЗСВ.1 | Идентификация и аутентификация субъектов доступа и объектов доступа в виртуальной инфраструктуре, в том числе администраторов управления средствами виртуализации |
ЗСВ.2 | Управление доступом субъектов доступа к объектам доступа в виртуальной инфраструктуре, в том числе внутри виртуальных машин |
ЗСВ.3 | Регистрация событий безопасности в виртуальной инфраструктуре |
ЗСВ.4 | Управление (фильтрация, маршрутизация, контроль соединения, однонаправленная передача) потоками информации между компонентами виртуальной инфраструктуры, а также по периметру виртуальной инфраструктуры |
ЗСВ.6 | Управление перемещением виртуальных машин (контейнеров) и обрабатываемых на них данных |
ЗСВ.7 | Контроль целостности виртуальной инфраструктуры и ее конфигураций |
ЗСВ.8 | Резервное копирование данных, резервирование технических средств, программного обеспечения виртуальной инфраструктуры, а также каналов связи внутри виртуальной инфраструктуры |
ЗСВ.9 | Реализация и управление антивирусной защитой в виртуальной инфраструктуре |
ЗСВ.10 | Разбиение виртуальной инфраструктуры на сегменты (сегментирование виртуальной инфраструктуры) для обработки информации отдельным пользователем и (или) группой пользователей |
ЗТС.2 | Организация контролируемой зоны, в пределах которой постоянно размещаются стационарные технические средства, обрабатывающие информацию, и средства защиты информации, а также средства обеспечения функционирования |
ЗТС.3 | Контроль и управление физическим доступом к техническим средствам, средствам защиты информации, средствам обеспечения функционирования, а также в помещения и сооружения, в которых они установлены, исключающие несанкционированный физический доступ к средствам обработки информации, средствам защиты информации и средствам обеспечения функционирования информационной системы, в помещения и сооружения, в которых они установлены |
ЗТС.4 | Размещение устройств вывода (отображения) информации, исключающее ее несанкционированный просмотр |
ЗИС.1 | Разделение в информационной системе функций по управлению (администрированию) информационной системой, управлению (администрированию) системой защиты информации, функций по обработке информации и иных функций информационной системы |
ЗИС.3 | Обеспечение защиты персональных данных от раскрытия, модификации и навязывания (ввода ложной информации) при ее передаче (подготовке к передаче) по каналам связи, имеющим выход за пределы контролируемой зоны, в том числе беспроводным каналам связи |
ЗИС.5 | Запрет несанкционированной удаленной активации видеокамер, микрофонов и иных периферийных устройств, которые могут активироваться удаленно, и оповещение пользователей об активации таких устройств |
ЗИС.7 | Контроль санкционированного и исключение несанкционированного использования технологий мобильного кода, в том числе регистрация событий, связанных с использованием технологий мобильного кода, их анализ и реагирование на нарушения, связанные с использованием технологий |
ЗИС.8 | Контроль санкционированного и исключение несанкционированного использования технологий передачи речи, в том числе регистрация событий, связанных с использованием технологий передачи речи, их анализ и реагирование на нарушения, связанные с использованием технологий передачи речи |
ЗИС.9 | Контроль санкционированной и исключение несанкционированной передачи видеоинформации, в том числе регистрация событий, связанных с передачей видеоинформации, их анализ и реагирование на нарушения, связанные с передачей видео информации |
ЗИС.11 | Обеспечение подлинности сетевых соединений (сеансов взаимодействия), в том числе для защиты от подмены сетевых устройств и сервисов |
ЗИС.12 | Исключение возможности отрицания пользователем факта отправки информации другому пользователю |
ЗИС.13 | Исключение возможности отрицания пользователем факта получения информации |
ЗИС.15 | Защита архивных файлов, параметров настройки средств защиты информации и программного обеспечения и иных данных, не подлежащих изменению в процессе обработки информации |
ЗИС.17 | Разбиение информационной системы на сегменты (сегментирование информационной системы) и обеспечение защиты периметров сегментов информационной системы |
ЗИС.20 | Защиты беспроводных соединений, применяемых в информационной системе |
ЗИС.22 | Защита информационной системы от угроз безопасности информации, направленных на отказ в обслуживании информационной системы |
ЗИС.23 | Защита периметра (физических и (или) логических границ) информационной системы при ее взаимодействии с иными информационными системами и информационно-телекоммуникационными сетями |
ЗИС.24 | Прекращение сетевых соединений по их завершении или по истечении заданного оператором временного интервала неактивности сетевого соединения |
ЗИС.30 | Защита мобильных технических средств, применяемых в информационной системе |
-
Адаптация базового набора мер
При адаптации из базового набора мер защиты информации исключаются меры, непосредственно связанные с информационными технологиями, не используемыми в информационной системе, или структурно-функциональными характеристиками, не свойственными информационной системе. Исключаемые меры и причина исключения приведены в таблице 5.2.