Пояснительная записка (1208526), страница 4
Текст из файла (страница 4)
- межсетевой экран (МЭ;
- средство анализа защищённости (САЗ).
Организационные меры включают в себя:
- общие требования;
- организационные меры по размещению ТС;
-организационные меры по работе со съемными носителями информации;
- организация работ по защите информации от НСД;
- организацию работы администратора безопасности.
Для обеспечения четвёртого уровня защищенности персональных данных при их обработке в информационных системах согласно Постановлению Правительства РФ от 01.11.2012 N 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных" необходимо выполнение следующих требований :
-
организация режима обеспечения безопасности помещений, в которых размещена информационная система, препятствующего возможности неконтролируемого проникновения или пребывания в этих помещениях лиц, не имеющих права доступа в эти помещения;
-
обеспечение сохранности носителей персональных данных;
-
утверждение руководителем оператора документа, определяющего перечень лиц, доступ которых к персональным данным, обрабатываемым в информационной системе, необходим для выполнения ими служебных (трудовых) обязанностей;
-
использование средств защиты информации, прошедших процедуру оценки соответствия требованиям законодательства Российской Федерации в области обеспечения безопасности информации, в случае, когда применение таких средств необходимо для нейтрализации актуальных угроз.
Все же самое важное из этого – использовать сертифицированные средства защиты информации. При сертификации какого-либо средства испытательная лаборатория или орган по сертификации подтверждает, что в испытуемом средстве защиты информации отсутствуют недекларированные возможности, с помощью которых возможна реализация угроз безопасности и классифицирует средство, подтверждая, что оно выполняет требования и реализует определенные меры, которые необходимы для требуемого уровня защищенности персональных данных или класса защищенности информационной системы.
Для информационной системы персональных данных, где требуется обеспечить определенный уровень защищенности персональных данных, необходимо подбирать средства защиты, имеющие определенный класс защиты. Так, в соответствии с Составом и содержанием организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, утвержденным приказом ФСТЭК России от 18.02.2013 г. №21 для обеспечения 4 уровня защищенности персональных данных применяются:
-
средства вычислительной техники не ниже 6 класса;
-
системы обнаружения вторжений и средства антивирусной защиты не ниже 5 класса;
-
межсетевые экраны 5 класса.
2.2. Технические средства защиты информации
-
Система защиты информации от несанкционированного доступа SECRET NET 7
Secret Net является сертифицированным средством защиты информации от несанкционированного доступа. Обеспечивает идентификацию и аутентификацию пользователей рабочих станций, а так же разграничивает доступ к устройствам и защищаемой информации, предоставляет централизованное управление системой защиты и оперативный мониторинг. Позволяет защитить данные от утечек через внешние устройства, сетевые интерфейсы. Secret Net может быть использован, как для защиты небольшого количества АРМ и серверов, так и для обеспечения безопасности информации в доменной сети, посредством централизованного управления с применением политики безопасности в масштабах организации.
Ключевые возможности:
-
Аутентификация пользователей.
-
Разграничение доступа пользователей к информации и ресурсам автоматизированной системы.
-
Доверенная информационная среда.
-
Контроль утечек и каналов распространения конфиденциальной информации.
-
Контроль устройств компьютера и отчуждаемых носителей информации на основе централизованных политик, исключающих утечки конфиденциальной информации.
-
Централизованное управление системой защиты, оперативный мониторинг, аудит безопасности.
-
Масштабируемая система защиты, возможность применения Secret Net (сетевой вариант) в организации с большим количеством филиалов.
Поддерживаемые операционные системы (32- и 64-разрядные ОС):
-
Windows 7;
-
Windows Server 2012/2012 R2;
-
Windows Server 2008 / 2008 R2;
-
Windows Server 2003 / 2003 R2;
-
Windows 8/8.1.
2.АВС. Dr.Web Enterprise Security Suite 6.0
Dr.Web Enterprise Security Suite версии 6.0 обеспечивает процесс построения и централизованного управления надежной комплексной антивирусной защитой компьютеров и устройств, принадлежащих организации и ее сотрудникам, включая их личные и домашние устройства. Средство предназначено для обеспечения безопасности:
-
рабочие станции, клиенты терминальных серверов и клиенты встроенных систем;
-
файловые серверы и серверы приложений (включая терминальные серверы);
-
почтовые серверы;
-
интернет-шлюзы;
-
мобильные устройства.
Сертификат ФСТЭК России № 2446 от 20.09.2011 г. удостоверяет, что Dr.Web Enterprise Security Suite соответствует требованиям РД по 2 уровню контроля отсутствия НДВ.
3.Сканер безопасности RedCheck.
Для реализации мер по АНЗ предполагается использовать сканер безопасности RedCheck, а также организационные меры.
RedCheck представляет собой простое и удобное решение для анализа защищенности и управления информационной безопасностью организации любого масштаба, обеспечивающее поиск и предотвращение уязвимостей, вызванных ошибками в коде, неверными настройками параметров безопасности, слабостью парольной защиты, несанкционированной установкой программного и аппаратного обеспечения, несвоевременной установкой критичных обновлений, нарушением принятых политик безопасности.
RedCheck позволяет повысить эффективность деятельности служб безопасности и IT-подразделений, снизить издержки на управление безопасностью, обеспечить непрерывный мониторинг защищенности корпоративной сети.
Программа постоянно совершенствуется, а база уязвимостей ежедневно актуализируется и регулярно пополняется новыми продуктами и платформами. Сегодня в базе RedCheck содержатся описания более 50 000 различных уязвимостей и смежного контента безопасности.
Ключевые характеристики:
-
поиск уязвимостей и критичных обновлений безопасности на основе контента в формате языка OVAL для современных программных платформ: Мicrosoft, Red Hat, РОСА, Debian, Ubuntu, ORACLE, SUSE, Cisco и др.;
-
Compliance политик, рекомендованных разработчиками ПО и экспертными организациями;
-
Compliance политик и стандартов, включая CIS, PCI DSS, СТО БР, ГОСТ Р ИСО/МЭК 17799, ISO/IEC 27002;
-
проведение детальной инвентаризации программного и аппаратно-программного обеспечения сети организации;
-
контроль целостности на файловом уровне с использованием встроенных сертифицированных СЗИ;
-
сканер сети;
-
подбор паролей;
-
детализированные и дифференциальные отчёты по каждому направлению аудита.
Основные преимущества:
-
позволяет оперативно выявлять проблемы несоответствия политикам безопасности, связанным с наличием уязвимостей, несвоевременной установкой критичных обновлений, несанкционированного изменения настроек параметров безопасности, установкой запрещенных программ, изменения состава аппаратных средств;
-
программа имеет понятный графический интерфейс, не предъявляет высоких требований к подготовке пользователя при установке и использовании;
-
реализация планировщика заданий делает удобным применение программы при повседневном контроле за безопасностью корпоративной сети;
-
совмещение консоли и служб сканирования на одном компьютере (сервере) позволяет легко разворачивать программу при проведении однократных процедур аудита;
-
для работы не требуется больших аппаратных мощностей, RedCheck может быть установлен на любой клиентской и серверной операционной системе Microsoft;
-
доступна интеграция с Active Directory, что обеспечивает удобный и гибкий процесс разворачивания и контроля;
-
обеспечивает непрерывный мониторинг защищенности корпоративной сети предприятия с одной АРМ;
-
эффективная комбинация агентной и безагентной технологии сканирования сети, позволяющая существенно сократить время проверок и обеспечить требуемый уровень безопасности;
-
возможность консолидации результатов сканирования в распределённых сетях.
4. МЭ и СОВ. ViPNet Custom 3.2
ViPNet Custom – это широкая линейка продуктов компании «ИнфоТеКС», включающая программные и программно-аппаратные комплексы (средства защиты информации ограниченного доступа, в том числе персональных данных).
Сертификат ФСТЭК России № 1549/1 от 26.05.2010 г. удостоверяет, что данный программный комплекс соответствует требованиям РД по 3 классу защищённости межсетевых экранов, имеет оценочный уровень доверия ОУД 4 уровень контроля отсутствия недекларированных возможностей, то есть подходит по требованиям к ИСПДн эксплуатируемой в Организации.
Программный продукт ViPNet Coordinator, включенный в ViPNet Custom одновременно является и межсетевым экраном, и системой обнаружения вторжений.
Все используемые технические средства сертифицированы, перечень сертифицированных средств показан в таблице 2.2.1.
Таблица 2.2.1– Перечень предлагаемых к использованию сертифицированных средств защиты информации
| Тип СЗИ | Наименование | Производитель | Сертификат ФСТЭК или ФСБ России |
| Средство защиты от несанкционированного доступа | Secret Net | ООО «Код Безопасности» | Сертификат ФСТЭК № 2707 действителен до 07.09.2018 |
| Средство контроля съемных машинных носителей информации | Secret Net | ООО «Код Безопасности» | Сертификат ФСТЭК № 2707 действителен до 07.09.2018 |
Окончание таблицы 2.2.1
| Средство антивирусной защиты | Dr.Web Enterprise Security Suite 6.0 | ООО «Доктор Веб» | Сертификат ФСТЭК № № 2446 от 20.09.2021 |
| Средство анализа защищенности | RedCheck | ООО «АЛТЭКС-СОФТ» | ФСТЭК России № 3172 от 20.06.2014 г. |
| VPN-сеть, средство межсетевого экранирования и криптографической защиты информации | ПК VipNet Administrator 3.2 (КС2) | ОАО «ИнфоТеКС» | Сертификат ФСБ СФ/124-2836 действителен до 31.12.2017 Сертификат ФСТЭК №1549/1 действителен до 26.05.2016 |
| ПК VipNet Client 3.2 (КС2) | |||
| ПАК VipNet Coordinator HW1000 | ОАО «ИнфоТеКС» | Сертификат ФСБ СФ/124-2730 действителен до 01.08.2016, Сертификат ФСТЭК № 2353 действителен до 26.05.2017 |
2.3 Организационные меры защиты информации
Организационные (организационно-режимные, организационно-технические, кадровые) мероприятия по обеспечению информационной безопасности являются мероприятиями по организации деятельности персонала, порядку эксплуатации ТС системы в помещениях, систематическому выполнению мер по недопущению вывода системы из строя и контроля утечки защищаемой информации.
Мероприятия по защите ПДн при автоматизированной обработке должны выполняться в соответствии с требованиями ФСТЭК России и ФСБ России.
2.3.1 Организационные меры расположения ТС
Организационные меры расположения ТС:
-
размещение ТС ИС в помещениях, расположенных в пределах контролируемой зоны;
-
размещение ТС не должно сопутствовать несанкционированному просмотру информации на дисплее;
-
в организации, эксплуатирующей ИС должны быть предусмотрены организационные меры, препятствующие несанкционированному доступу к ТС ИС (режим доступа в помещения, порядок допуска к работе с ТС, опечатывание корпусов и мест подключения периферийных устройств к основным техническим средствам обработки);
-
в организации, эксплуатирующей ИС, должны быть предусмотрены организационные меры, которые не позволят получить несанкционированный доступ к АРМ(режим доступа в помещения, порядок допуска к работе с АРМ);
-
в организации, эксплуатирующей ИС, должны быть предусмотрены организационные меры, препятствующие несанкционированному доступу к СрЗИ (определен порядок допуска к работе с СрЗИ, определен порядок их эксплуатации);
-
при размещении ТС, использующих СрЗИ и СКЗИ, необходимо выполнять рекомендации документации на данные средства;
-
размещение ТС, предназначенных для вывода защищаемой информации на печать, необходимо проводить с учетом максимального затруднения визуального просмотра информации лицами, не имеющими санкционированного допуска к обрабатываемой информации.
2.3.2 Организационные меры по работе со съемными носителями информации
При работе со съемными носителями информации:
-
необходимы организационные меры по учету носителей;
-
в организации, эксплуатирующей ИС, должен быть внедрен порядок использования и хранения съемных носителей, препятствующий краже, утере носителей;
-
в организации, эксплуатирующей ИС, должен быть внедрен порядок учета, использования и хранения съемных носителей, препятствующего несанкционированному доступу к ним;
-
в организации должно осуществляться уничтожение выведенных из строя носителей.
2.3.3 Организация работ по защите информации от НСД
При эксплуатации ИС:
-
должна быть выпущена инструкция по защите от НСД к системе, разработанная на базе руководящих документов ФСТЭК России, ФСБ России, а также настоящего типового технического проекта;
-
должен быть назначен ответственный за обеспечение безопасности ПДн в типовой ИС – администратор безопасности ИС;
-
каждый исполнитель работ должен быть зарегистрирован в ИС у администратора безопасности;
-
при установке программного обеспечения СрЗИ и СКЗИ следует руководствоваться только эксплуатационной документацией на данные средства;
-
должны быть реализованы меры обеспечивающие восстановление информационных ресурсов и СЗПДн;
-
обращение с ключевыми носителями должно осуществляться только в соответствии с требованиями и рекомендациями ФСБ России.
2.3.4 Организация работы администратора безопасности
Администратор безопасности назначается директором организации на верхнем уровне управления ИС, в случае необходимости, на среднем и нижнем уровнях ИС.
![](https://s.studizba.com/z.php?f=/templates/si/i/noavatar.png&w=100&h=100&t=1"){kind=avatar}
