Пояснительная записка (1208517), страница 5
Текст из файла (страница 5)
ИАФ.З Управление идентификаторами, в том числе создание, присвоение, уничтожение идентификаторов.
ИАФ.4 Управление средствами аутентификации, в том числе хранение, выдача, инициализация, блокирование средств аутентификации и принятие мер в случае утраты и (или) компрометации средств аутентификации.
ИАФ.5 Защита обратной связи при вводе аутентификационной информации.
ИАФ.6 Идентификация и аутентификация пользователей, не являющихся работниками оператора (внешних пользователей).
УПД.1 Управление (заведение, активация, блокирование и уничтожение) учетными записями пользователей, в том числе внешних пользователей.
УПД.2 Реализация необходимых методов (дискреционный, мандатный, ролевой или иной метод), типов (чтение, запись, выполнение или иной тип) и правил разграничения доступа.
УПД.З Управление (фильтрация, маршрутизация, контроль соединений, однонаправленная передача и иные способы управления) информационными потоками между устройствами, сегментами информационной системы, а также между информационными системами.
УПД.4 Разделение полномочий (ролей) пользователей, администраторов и лиц, обеспечивающих функционирование информационной системы.
УПД.5 Назначение минимально необходимых прав и привилегий пользователям, администраторам и лицам, обеспечивающим функционирование информационной системы.
УПД.6 Ограничение неуспешных попыток входа в информационную систему (доступа к информационной системе).
УПД.14 Регламентация и контроль использования в информационной системе технологий беспроводного доступа.
УПД.15 Регламентация и контроль использования в информационной системе мобильных технических средств.
УПД.16 Управление взаимодействием с информационными системами сторонних организаций (внешние информационные системы).
РСБ.1 Определение событий безопасности, подлежащих регистрации, и сроков их хранения.
РСБ.2 Определение состава и содержания информации о событиях безопасности, подлежащих регистрации.
РСБ.З Сбор, запись и хранение информации о событиях безопасности в течение установленного времени хранения.
РСБ. 7 Защита информации о событиях безопасности.
АВ3.1 Реализация антивирусной защиты.
АВ3.2 Обновление базы данных признаков вредоносных компьютерных программ (вирусов).
ЗСВ.1 Идентификация и аутентификация субъектов доступа и объектов доступа в виртуальной инфраструктуре, в том числе администраторов управления средствами виртуализации.
ЗСВ.2 Управление доступом субъектов доступа к объектам доступа в виртуальной инфраструктуре, в том числе внутри виртуальных машин.
ЗТС.3 Контроль и управление физическим доступом к техническим средствам, средствам защиты информации, средствам обеспечения функционирования, а также в помещения и сооружения, в которых они установлены, исключающие несанкционированный физический доступ к средствам обработки информации, средствам защиты информации и средствам обеспечения функционирования информационной системы, в помещения и сооружения, в которых они установлены.
Для того чтобы адаптировать базовый набор мер конкретно к нашей информационной системе, исключим меры, непосредственно связанные с информационными технологиями, не используемыми в информационной системе, или структурно-функциональными характеристиками, не свойственными системе.
Исключенные меры:
ИАФ.6 Идентификация и аутентификация пользователей, не являющихся работниками оператора (внешних пользователей). Причина исключения: В ИСПДн отсутствуют внешние пользователи.
XI. Защита среды виртуализации (ЗСВ). Причина исключения: В ИСПДн отсутствует виртуальная инфраструктура.
УПД.14 Регламентация и контроль использования в информационной системе технологий беспроводного доступа. Причина исключения: В ИСПДн отсутствуют технологии беспроводного доступа.
УПД.15 Регламентация и контроль использования в информационной системе мобильных технических средств. Причина исключения: В ИСПДн отсутствуют мобильные устройства.
ЗИС.20 Защита беспроводных соединений, применяемых в информационной системе. Причина исключения: В ИСПДн отсутствуют технологии беспроводного доступа.
Также добавим определенные меры, не выбранные ранее, нейтрализующие все актуальные угрозы безопасности персональных данных в соответствии с Моделью нарушителя и угроз безопасности персональных данных при их обработке в информационной системе персональных данных.
Добавленные меры:
УПД.17 Обеспечение доверенной загрузки средств вычислительной техники.
ОПС.3 Установка (инсталляция) только разрешенного к использованию программного обеспечения и (или) его компонентов.
ЗНИ.1 Учет машинных носителей.
ЗНИ.2 Управление доступом к машинным носителям информации.
ЗНИ.6 Контроль ввода (вывода) информации на машинные носители информации.
ЗНИ.7 Контроль подключения машинных носителей персональных данных.
РСБ.4 Реагирование на сбои при регистрации событий безопасности, в том числе аппаратные и программные ошибки, сбои в механизмах сбора информации и достижение предела или переполнения объема (емкости) памяти.
РСБ.5 Мониторинг (просмотр, анализ) результатов регистрации событий безопасности и реагирование на них.
АНЗ.5 Контроль правил генерации и смены паролей пользователей, заведения и удаления учетных записей пользователей, реализации правил разграничения доступа, полномочий пользователей в информационной системе.
ОЦЛ.3 Обеспечение возможности восстановления программного обеспечения, включая программное обеспечение средств защиты информации, при возникновении нештатных ситуаций.
ЗТС.2 Организация контролируемой зоны, в пределах которой постоянно размещаются стационарные технические средства, обрабатывающие информацию, и средства защиты информации, а также средства обеспечения функционирования.
ЗИС.23 Защита периметра (физических и (или) логических границ) информационной системы при её взаимодействии с иными информационными система и информационно-телекоммуникационными сетями.
В итоге мы получаем конечный набор мер защиты персональных данных в соответствии с актуальными угрозами. Реализация мер защиты информации в ИСПДн обязательно должна осуществляться сертифицированными средствами защиты информации. Реализация требований ФСТЭК и ФСБ России по обеспечению безопасности информации для сегментов «Диспансер» (4 уровень защищенности ПДн) приведена в Приложении B.
-
2.3 Характеристики технических средств защиты информации, предлагаемые для использования в ИСПДн
СЗПДн должна реализовываться с использованием как встроенных, так и наложенных средств защиты информации, формирующих функциональные подсистемы СЗПДн.
Применяемые СЗИ в совокупности образовать комплексную систему защиты персональных данных, обеспечивающую безопасность их обработки во всех сегментах и на всех узлах рассматриваемой ИСПДн.
Для безопасной реализации разрешительной системы допуска пользователей (обслуживающего персонала) к информационным ресурсам, информационной системе и связанным с ее использованием работам, и документам необходимо применение сертифицированных программных и программно-аппаратных комплексов защиты информации от НСД. Перечень предлагаемых к использованию сертифицированных средств защиты информации представлен в таблице 2.3.1.
Таблица 2.3.1 – Перечень предлагаемых к использованию сертифицированных средств защиты информации
| Тип СЗИ | Модель | Производитель | Сертификат ФСТЭК России |
| Система защиты информации от НСД | КСЗИ «ПАНЦИРЬ-К» | ООО «Конфидент» | № 1973, действителен до 09.12.2018 |
| Средство анализа защищенности | RedCheck | ЗАО «АЛТЭКС-СОФТ» | № 3172, действителен до 23.06.2017 |
| Средство антивирусной защиты | ESET NOD32 Secure Enterprise Pack 5.0 | ООО «ИСС Дистрибьюшн» | №3556, действителен до 20.04.2019 |
-
-
2.3.1 Система защиты информации от НСД КСЗИ «ПАНЦИРЬ-К»
Система защиты информации от НСД КСЗИ «ПАНЦИРЬ-К» обеспечивает:
-
механизмы разграничения доступа к локальным и разделенным в сети ресурсам – к файловым объектам, к объектам реестра ОС, к внешних накопителям, к принтерам, к сетевым хостам и др.;
-
механизм включения в разграничительную политику субъекта "процесс", как самостоятельного субъекта доступа к ресурсам, принципиально расширяющий функциональные возможности защиты и противодействующий атакам на расширение привилегий;
-
механизм управления подключением устройств;
-
механизм обеспечения замкнутости программной среды, позволяющий локализовать среду исполнения для пользователей, в частности противодействующий запуску троянских и шпионских программ;
-
механизмы контроля целостности файловых объектов (программ и данных) и контроля корректности функционирования КСЗИ;
-
механизм авторизации, позволяющий подключать аппаратные средства ввода парольных данных (eToken и др.);
-
механизм контроля корректности идентификации субъекта доступа к ресурсам (контроль олицетворения);
-
механизм противодействия ошибкам и закладкам в системном и в прикладном ПО.
-
2.3.2 Средство анализа защищенности RedCheck
Функциональные возможности:
-
поиск уязвимостей и критичных обновлений безопасности на основе контента в формате языка OVAL для современных программных платформ: Мicrosoft, Red Hat, РОСА, Debian, Ubuntu, ORACLE, SUSE, Cisco и др.;
-
compliance политик, рекомендованных разработчиками ПО и экспертными организациями;
-
compliance политик и стандартов, включая CIS, PCI DSS, СТО БР, ГОСТ Р ИСО/МЭК 17799, ISO/IEC 27002;
-
проведение детальной инвентаризации программного и аппаратно-программного обеспечения сети организации;
-
контроль целостности на файловом уровне с использованием встроенных сертифицированных СЗИ;
-
сканер сети;
-
подбор паролей;
-
детализированные и дифференциальные отчёты по каждому направлению аудита.
-
2.3.3 Средство антивирусной защиты ESET NOD32 Secure Enterprise Pack 5.0
ESET NOD32 Secure Enterprise Pack 5.0 – сертифицированный ФСТЭК России комплект программных продуктов ESET NOD32, которые могут быть использованы для защиты персональных данных в ИСПДн до класса К1 и конфиденциальной информации в автоматизированных системах до класса 1Г в части построения антивирусных систем любого масштаба.
Сертификат соответствия ФСТЭК России № 3243 от 13 октября 2014 года сроком действия до 13 октября 2017 года удостоверяет, что программное обеспечение ESET NOD32 Secure Enterprise Pack 5.0 является программным средством антивирусной защиты информации и соответствует требованиям документов ФСТЭК России от 2012 года: «Требования к средствам антивирусной защиты», «Профиль защиты средств антивирусной защиты типа «А» четвертого класса защиты», «Профиль защиты средств антивирусной защиты типа «Б» четвертого класса защиты», «Профиль защиты средств антивирусной защиты типа «В» четвертого класса защиты» и «Профиль защиты средств антивирусной защиты типа «Г» четвертого класса защиты».
В таблице 2.3.3.1 приведены меры защиты информации в целях нейтрализации актуальных угроз в ИСПДн «ДПР». В ИСПДн «ДПР» предполагаются к использованию САЗ RedCheck и СрЗИ НСД КСЗИ «ПАНЦИРЬ-К».
Таблица 2.3.3.1 – Меры защиты информации в целях нейтрализации актуальных угроз в ИСПДн «ДПР»
| Наименование угрозы | Меры по противодействию угрозе | |
| Технические | Организационные | |
| Угрозы НСД в ИСПДн путем физического доступа | ||
| Несанкционированное отключение средств защиты | САЗ RedCheck | Инструкции персоналу, периодический контроль состояния системы защиты и выполнения организационных мер |
| Разглашение информации, модификация, уничтожение сотрудниками, допущенными к ее обработке | СрЗИ НСД КСЗИ «ПАНЦИРЬ-К» | Инструкции персоналу, обязательство о неразглашении |
| Угрозы НСД в ИСПДн с применением программных и программно-аппаратных средств | ||
| Угрозы, реализуемые после загрузки операционной системы и направленные на выполнение НСД с применением стандартных функций операционной системы или какой-либо прикладной программы (например, системы управления базами данных), с применением специально созданных для выполнения НСД программ | СрЗИ НСД КСЗИ «ПАНЦИРЬ-К» | Инструкции персоналу, ограничение использования внешних носителей |
| Подключение к ИСПДн стороннего оборудования (компьютеров, внешних носителей и иных устройств, в том числе имеющих выход в беспроводные сети связи) | СрЗИ НСД КСЗИ «ПАНЦИРЬ-К» | Инструкции персоналу, ограничение использования внешних носителей, ведение Журнала учета носителей |
-
2.4 Перечень мероприятий по обеспечению конфиденциальности информации на стадии проектирования системы защиты ИСПДн
-
Организация охраны и физической защиты технических средств и систем ИСПДн, исключающих несанкционированный доступ к техническим средствам обработки, хранения и передачи информации, их хищение и нарушение работоспособности, хищение носителей информации.
-
Разработка и реализация разрешительной системы доступа пользователей и эксплуатационного персонала к обрабатываемой (обсуждаемой) на объекте информатизации информации;
-
Определение заказчиком подразделений и лиц, ответственных за эксплуатацию средств защиты информации, обучение назначенных лиц специфике работ по защите информации на стадии эксплуатации объекта информатизации.
-
Профиль системы защиты персональных данных
Схема построения СЗИ в ИСПДн «ДПР» представлена на рисунке 3.1
Рисунок 3.1 – Схема построения СЗИ в ИСПДн «ДПР»
![](https://s.studizba.com/z.php?f=/templates/si/i/noavatar.png&w=100&h=100&t=1"){kind=avatar}
