Пояснительная записка (1208526), страница 5
Текст из файла (страница 5)
Администратор безопасности должен владеть информацией по настройке и эксплуатации средств защиты информации, применяемых в СЗПДн, в соответствии с поставляемой с ними эксплуатационной документацией, а также предписаниями и выписками из заключений, определяющими порядок их эксплуатации в ИС.
Администратор безопасности осуществляет локальное и удаленное управление всеми СрЗИ из состава СЗПДн.
Администратор безопасности ведет журналы учета работы пользователей в ИС и печати пользователями документов, идентификаторов и паролей доступа пользователей к ТС, идентификаторов и паролей доступа администратора к ТС, регламентных работ с СЗПДн, учета неисправностей СЗПДн.
В случае лишения пользователя прав доступа к конкретной информации (например, в связи со сменой работы или деятельности) его пароли и аутентифицирующая информация должны обязательно ликвидироваться администратором безопасности.
Оператором должен быть определен порядок смены атрибутов безопасности пользователей ИС (в случае компрометации ключевой информации пользователей, в случае истечения срока действия паролей пользователей и т.п.).
Перед установкой программного обеспечения ИС администратор безопасности должен провести его антивирусную проверку (проверку дистрибутивов устанавливаемого программного обеспечения).
Факты и попытки НСД к ПДн, а также случаи утечки обрабатываемых с использованием средств автоматизации ПДн должны обязательно регистрироваться администратором безопасности в предназначенном для данных записей журнале, после чего им проводятся служебные расследования по выявленным фактам и попыткам НСД и случаям утечки защищаемой информации.
Администратор безопасности должен проводить:
-
периодическое тестирование функций СЗПДн при изменении программной среды и пользователей информационной системы с помощью тест-программ, которые имитируют попытки НСД;
-
регламентное тестирование реализации политики безопасности, в том числе: процесса идентификации и аутентификации пользователей и администраторов, в том числе процесса идентификации и аутентификации администратора СрЗИ, процесса регистрации действий администратора СрЗИ, процесса выполнения контроля целостности.
2.4 Меры защиты информации в целях нейтрализации актуальных угроз
В таблице приведены меры защиты информации в целях нейтрализации актуальных угроз в ИСПДн «БиК». В ИСПДн «БиК» предполагаются к использованию САЗ RedCheck 7.7 и СрЗИ НСД Secret NET
Таблица 2.4.1 – Меры защиты информации в целях нейтрализации актуальных угроз в ИСПДн «БиК»
| Наименование угрозы | Меры по противодействию угрозе | |
| Технические | Организационные | |
| Угрозы НСД в ИСПДн путем физического доступа | ||
| Несанкционированное отключение средств защиты | САЗ Redcheck | Инструкции персоналу, периодический контроль состояния системы защиты и выполнения организационных мер |
| Разглашение информации, модификация, уничтожение сотрудниками, допущенными к ее обработке | СрЗИ Secret NET | Инструкции персоналу, обязательство о неразглашении |
| Угрозы НСД в ИСПДн с применением программных и программно-аппаратных средств | ||
Окончание таблицы 2.4.1
| Угрозы, реализуемые после загрузки операционной системы и направленные на выполнение НСД с применением стандартных функций операционной системы или какой-либо прикладной программы (например, системы управления базами данных), с применением специально созданных для выполнения НСД программ | СрЗИ НСД Secret NET | Инструкции персоналу, ограничение использования внешних носителей |
| Подключение к ИСПДн стороннего оборудования (компьютеров, внешних носителей и иных устройств, в том числе имеющих выход в беспроводные сети связи) | СрЗИ НСД Secret NET | Инструкции персоналу, ограничение использования внешних носителей, ведение Журнала учета носителей |
В соответствии с требованиями нормативно-правовых актов в области защиты информации, система защиты персональных данных, обрабатываемых в организации должна включать в себя перечень разработанных организационно-распорядительных, эксплуатационных и технических документов, регламентирующих вопросы организации обеспечения безопасности ПДн и эксплуатации системы защиты персональных данных.
Перечень необходимых документов должен включать в себя:
-
план мероприятий по обеспечению защиты персональных данных в информационных системах персональных данных;
-
правила обработки персональных данных;
-
инструкцию по организации антивирусной защиты в информационных системах;
-
порядок доступа служащих в помещения, в которых ведется обработка персональных данных;
-
инструкцию по организации парольной защиты ИСПДн;
-
инструкцию пользователя ИСПДн;
-
положение о защите персональных данных;
-
приказ об утверждении мест хранения персональных данных (материальных носителей);
-
приказ о назначении администраторов ИСПДн;
-
список помещений, предназначенных для обработки персональных данных;
-
политику информационной безопасности персональных данных, циркулирующих в сегменте государственной информационной системы Управления;
-
инструкцию лица, ответственного за обеспечение защиты информации и функционирование технических средств защиты информации;
-
инструкцию лица, ответственного за организацию обработки персональных данных в ИСПДн;
-
инструкцию администратора информационной безопасности ИСПДн «Бухгалтерия и Кадры» «52 ЦПИ»
-
инструкцию по резервированию и восстановлению работоспособности технических средств, программного обеспечения баз данных и средств защиты информации;
-
инструкцию по порядку учета и хранения машинных и съемных носителей информации;
-
перечень лиц, допущенных к работе в ИСПДн «Бухгалтерия и Кадры» «52 ЦПИ»;
-
перечень регистрируемых событий безопасности в ИСПДн
-
перечень персональных данных;
-
приказ о создании комиссии по определению уровня защищенности ИСПДн «Бухгалтерия и Кадры» «52 ЦПИ»;
-
акт определения уровня защищенности ИСПДн «Бухгалтерия и Кадры» «52 ЦПИ»;
-
матрицу разграничения доступа ИСПДн;
-
технический паспорт ИСПДн;
-
типовую форму Журнала учета и выдачи персональных идентификаторов (ПИ);
-
журнал учета съемных носителей информации (СНИ), содержащих персональные данные;
-
журнал учета проведения инструктажа пользователя, допущенного к работе с СКЗИ;
-
журнал поэкземплярного учета СрЗИ, эксплуатационной и технической документации к ним, ключевых документов;
-
журнал учета машинных носителей информации;
-
акт на списание и уничтожение машинных (бумажных) носителей информации;
-
журнал учета нештатных ситуаций ИСПДн, выполнения профилактических работ, установки и модификации программных средств на компьютерах.
2.5. Меры по обеспечению безопасности ПДн
Требования для обеспечения 4-го уровня защищенности ПДн:
-
организация режима обеспечения безопасности помещений, в которых размещена информационная система, препятствующего возможности неконтролируемого проникновения или пребывания в этих помещениях лиц, не имеющих права доступа в эти помещения;
-
обеспечение сохранности носителей персональных данных;
-
утверждение руководителем оператора документа, определяющего перечень лиц, доступ которых к персональным данным, обрабатываемым в информационной системе, необходим для выполнения ими служебных (трудовых) обязанностей;
-
использование средств защиты информации, прошедших процедуру оценки соответствия требованиям законодательства Российской Федерации в области обеспечения безопасности информации, в случае, когда применение таких средств необходимо для нейтрализации актуальных угроз.
В соответствии приказом ФСТЭК от 18.02.2013 г. «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных», базовый набор мер, применяемых для обеспечения 4 уровня защищенности ПДн представлен в таблице 2.5.1.
Таблица 2.5.1 – Содержание мер по обеспечению безопасности ПДн
| № меры | Содержание мер по обеспечению безопасности персональных данных | 4 уровень защ. ПДн |
| ИАФ.1 | Идентификация и аутентификация пользователей, являющихся работниками оператора | + |
| ИАФ.З | Управление идентификаторами, в том числе создание, присвоение, уничтожение идентификаторов | + |
| ИАФ.4 | Управление средствами аутентификации, в том числе хранение, выдача, инициализация, блокирование средств аутентификации и принятие мер в случае утраты и (или) компрометации средств аутентификации | + |
| ИАФ.5 | Защита обратной связи при вводе аутентификационной информации | + |
Продолжение таблицы 2.5.1
| ИАФ.6 | Идентификация и аутентификация пользователей, не являющихся работниками оператора (внешних пользователей) | + |
| УПД.1 | Управление (заведение, активация, блокирование и уничтожение) учетными записями пользователей, в том числе внешних пользователей | + |
| УПД.2 | Реализация необходимых методов (дискреционный, мандатный, ролевой или иной метод), типов (чтение, запись, выполнение или иной тип) и правил разграничения доступа | + |
| УПД.З | Управление (фильтрация, маршрутизация, контроль соединений, однонаправленная передача и иные способы управления) информационными потоками между устройствами, сегментами информационной системы, а также между информационными системами | + |
| УПД.4 | Разделение полномочий (ролей) пользователей, администраторов и лиц, обеспечивающих функционирование информационной системы | + |
| УПД.5 | Назначение минимально необходимых прав и привилегий пользователям, администраторам и лицам, обеспечивающим функционирование информационной системы | + |
| УПД.6 | Ограничение неуспешных попыток входа в информационную систему (доступа к информационной системе) | + |
Продолжение таблицы 2.5.1
| УПД.10 | Блокирование сеанса доступа в информационную систему после установленного времени бездействия (неактивности) пользователя или по его запросу | |
| УПД.11 | Разрешение (запрет) действий пользователей, разрешенных до аутентификации | |
| УПД.13 | Реализация защищенного удаленного доступа субъектов доступа к объектам доступа через внешние информационно-телекоммуникационные сети | |
| УПД.14 | Регламентация и контроль использования в информационной системе технологий беспроводного доступа | + |
| УПД.15 | Регламентация и контроль использования в информационной системе мобильных технических средств | + |
| УПД.16 | Управление взаимодействием с информационными системами сторонних организаций (внешние информационные системы) | + |
| ЗНИ.8 | Уничтожение (стирание) или обезличивание персональных данных на машинных носителях при их передаче между пользователями, в сторонние организации для ремонта или утилизации, а также контроль уничтожения (стирания) или обезличивания | |
| РСБ.1 | Определение событий безопасности, подлежащих регистрации, и сроков их хранения | + |
| РСБ.2 | Определение состава и содержания информации о событиях безопасности, подлежащих регистрации | + |
Продолжение таблицы 2.5.1
| РСБ.З | Сбор, запись и хранение информации о событиях безопасности в течение установленного времени хранения | + |
| РСБ. 7 | Защита информации о событиях безопасности | + |
| АВ3.1 | Реализация антивирусной защиты | + |
| АВ3.2 | Обновление базы данных признаков вредоносных компьютерных программ (вирусов) | + |
| АНЗ.1 | Выявление, анализ уязвимостей информационной системы и оперативное устранение вновь выявленных уязвимостей | |
| АНЗ.2 | Контроль установки обновлений программного обеспечения, включая обновление программного обеспечения средств защиты информации | + |
| АНЗ.3 | Контроль работоспособности, параметров настройки и правильности функционирования программного обеспечения и средств защиты информации | |
| АНЗ.4 | Контроль состава технических средств, программного обеспечения и средств защиты информации | |
| ЗСВ.1 | Идентификация и аутентификация субъектов доступа и объектов доступа в виртуальной инфраструктуре, в том числе администраторов управления средствами виртуализации | + |
![](https://s.studizba.com/z.php?f=/templates/si/i/noavatar.png&w=100&h=100&t=1"){kind=avatar}
