Пояснительная записка (1208526), страница 6
Текст из файла (страница 6)
Продолжение таблицы 2.5.1
| ЗСВ.2 | Управление доступом субъектов доступа к объектам доступа в виртуальной инфраструктуре, в том числе внутри виртуальных машин | + |
| ЗСВ.3 | Регистрация событий безопасности в виртуальной инфраструктуре | |
| ЗСВ.9 | Реализация и управление антивирусной защитой в виртуальной инфраструктуре | |
| ЗСВ.10 | Разбиение виртуальной инфраструктуры на сегменты (сегментирование виртуальной инфраструктуры) для обработки персональных данных отдельным пользователем и (или) группой пользователей | |
| ЗТС.3 | Контроль и управление физическим доступом к техническим средствам, средствам защиты информации, средствам обеспечения функционирования, а также в помещения и сооружения, в которых они установлены, исключающие несанкционированный физический доступ к средствам обработки информации, средствам защиты информации и средствам обеспечения функционирования информационной системы, в помещения и сооружения, в которых они установлены | + |
| ЗТС.4 | Размещение устройств вывода (отображения) информации, исключающее ее несанкционированный просмотр | + |
Окончание таблицы 2.5.1
| ЗИС.3 | Обеспечение защиты персональных данных от раскрытия, модификации и навязывания (ввода ложной информации) при ее передаче (подготовке к передаче) по каналам связи, имеющим выход за пределы контролируемой зоны, в том числе беспроводным каналам связи | + |
| ЗИС.20 | Защиты беспроводных соединений, применяемых в информационной системе | |
| УКФ.1 | Определение лиц, которым разрешены действия по внесению изменений в конфигурацию информационной системы и системы защиты персональных данных | |
| УКФ.2 | Управление изменениями конфигурации информационной системы и системы защиты персональных данных | |
| УКФ.3 | Анализ потенциального воздействия планируемых изменений в конфигурации информационной системы и системы защиты персональных данных на обеспечение защиты персональных данных и согласование изменений в конфигурации информационный системы с должностным лицом (работником), ответственным за обеспечение безопасности персональных данных | |
| УКФ.4 | Документирование информации (данных) об изменениях в конфигурации информации и системы защиты персональных данных |
Для того чтобы адаптировать базовый набор мер конкретно к нашей информационной системе, исключим меры непосредственно связанные с информационными технологиями, не используемыми в информационной системе, или структурно-функциональными характеристиками, не свойственными системе. Причину исключения и исключаемую меру разместим в таблице 2.5.2.
Таблица 2.5.2 – Исключаемые меры
| Исключаемая мера | Причина исключения |
| ИАФ.6 Идентификация и аутентификация пользователей, не являющихся работниками оператора (внешних пользователей) | В ИСПДн отсутствуют внешние пользователи |
| XI. Защита среды виртуализации (ЗСВ) | В ИСПДн отсутствует виртуальная инфраструктура |
| УПД.14 Регламентация и контроль использования в информационной системе технологий беспроводного доступа | В ИСПДн отсутствуют технологии беспроводного доступа |
| УПД.15 Регламентация и контроль использования в информационной системе мобильных технических средств | В ИСПДн отсутствуют мобильные устройства |
| ЗИС.20 Защита беспроводных соединений, применяемых в информационной системе | В ИСПДн отсутствуют технологии беспроводного доступа |
Также добавим определенные меры не выбранные ранее, нейтрализующие все актуальные угрозы безопасности персональных данных в соответствии с Моделью нарушителя и угроз безопасности персональных данных при их обработке в информационной системе персональных данных «52 ЦПИ». Перечень необходимых нам добавленных мер приведен в Приложении Б.
В итоге мы получаем конечный набор мер защиты персональных данных в соответствии с актуальными угрозами. Реализация мер защиты информации в ИСПДн обязательно должна осуществляться сертифицированными средствами защиты информации. Реализация требований ФСТЭК и ФСБ России по обеспечению безопасности информации для сегментов «Бухгалтерия и кадры» (4 уровень защищенности ПДн) приведена в Приложении В.
Таким образом, организационные и технические меры защиты информации, предлагаемые к реализации в информационной системе нашей организации в рамках ее системы защиты информации обеспечат(согласно требованиям 17 приказа ФСТЭК):
-
идентификацию и аутентификацию субъектов доступа и объектов доступа;
-
управление доступом субъектов доступа к объектам доступа;
-
ограничение программной среды;
-
защиту машинных носителей информации;
-
регистрацию событий безопасности;
-
антивирусную защиту;
-
обнаружение (предотвращение) вторжений;
-
контроль (анализ) защищенности информации;
-
целостность информационной системы и информации;
-
защиту технических средств;
-
защиту информационной системы, ее средств, систем связи и передачи данных
2.6 Эскизный проект профиля защиты ПДн в ИСПДн «Бухгалтерия и Кадры»
Эскизный проект профиля защиты ПДн показан на рисунке 2.6.1.
Рисунок 2.6.1 – Эскизный проект профиля защиты ПДн в ИСПДн «Бухгалтерия и Кадры»
Заключение
Разработанный профиль защиты Персональных Данных (ПДн) в Информационной Системе (ИСПДн) проектно-исследовательской организации позволяет обеспечить установленный уровень защиты ПДн в ИСПДн организации «52 ЦПИ», предлагаемые к использованию средства защиты отвечают требованиям нормативно-технических и нормативно-методических документов ФСБ и ФСТЭК России.
Список используемых источников
-
Приказ ФСТЭК России от 18 февраля 2013 г. N 21.
-
Постановление Правительства РФ от 01.11.2012 N 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных".
-
Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных [Текст] : постановление Правительства РФ от 1 ноября 2012 г. № 1119 // Собрание законодательства РФ. – 2012. – № 45. – ст. 6257.
-
Национальные стандарты.
-
О персональных данных [Текст] : федер. закон : [принят Гос. Думой 8 июля 2006 г. № 152-ФЗ : одобр. Советом Федерации 14 июля 2006 г.]. – М.: Ось-98, [2006г].
-
Доктрина информационной безопасности РФ [Текст]: утв. Президентом РФ от 9 сентября 2000 г. № Пр-1895 // Российская газета. – 2000 г. – № 187, 27 сентября.
Приложение А
Определение актуальных угроз
Таблица А.1 – Определение актуальных угроз
| Угрозы | Коэффициент вероятности угрозы | Коэффициент возможности реализации угрозы | Реализуемость угрозы | Опасность угрозы | Актуальность |
| Угрозы утечки акустической информации | |||||
| Непосредственное прослушивание акустической речевой информации физическими лицами при посещении ими служебных помещений | 2 | 0,6 | Средняя | Низкая | Неактуальная |
| Перехват акустических сигналов с использованием направленных микрофонов | 0 | 0,5 | Средняя | Низкая | Неактуальная |
| Перехват акустических сигналов с использованием акустооптических модуляторов | 0 | 0,5 | Средняя | Низкая | Неактуальная |
| Перехват вибрационных сигналов с использованием оптико-электронной аппаратуры дистанционного лазерного зондирования | 0 | 0,5 | Средняя | Низкая | Неактуальная |
| Перехват вибрационных сигналов с использованием вибродатчиков | 0 | 0,5 | Средняя | Низкая | Неактуальная |
Продолжение таблицы А.1
| Угрозы утечки видовой информации | |||||||||
| Непосредственных просмотр информации с экранов дисплеев и других средств отображения графической, видео- и буквенно-цифровой информации физическими лицами при посещении ими служебных помещений | 2 | 0,6 | Средняя | Низкая | Неактуальная | ||||
| Просмотр (регистрация) информации с помощью специальных электронных устройств съема, внедренных в служебных помещениях (видеозакладки) или скрытно используемых физическими лицами при посещении ими служебных помещений | 0 | 0,5 | Средняя | Низкая | Неактуальная | ||||
| Угрозы утечки информации по каналу ПЭМИН | |||||||||
| Перехват информации техническими средствами побочных электромагнитных излучений информативных сигналов от технических средств и линий передачи информации с использованием портативных сканерных приемников, цифровых анализаторов спектра, селективных микровольтметров и специальных программно-аппаратных комплексов | 0 | 0,5 | Средняя | Низкая | Неактуальная | ||||
| Перехват информации техническими средствами наводок информативного сигнала, обрабатываемого техническими средствами, на цепи электропитания и линии связи, выходящие за пределы служебных помещений с использованием токосъемников | 0 | 0,5 | Средняя | Низкая | Неактуальная | ||||
| Перехват информации техническими средствами радиоизлучений, модулированных информативным сигналом, возникающих в результате работы различных генераторов в составе ИСПДн или в результате паразитной генерации в узлах | 0 | 0,5 | Средняя | Низкая | Неактуальная | ||||
| Перехват информации техническими средствами радиоизлучений, формируемых за счет высокочастотного облучения технических средств ИСПДн с использованием портативных сканерных приемников, цифровых анализаторов спектра, селективных микровольтметров и специальных программно-аппаратных комплексов | 0 | 0,5 | Средняя | Низкая | Неактуальная | ||||
Продолжение таблицы А.1
| Перехват информации техническими средствами оптического излучения с боковой поверхности оптического волокна в волоконно-оптической системе передачи данных | 0 | 0,5 | Средняя | Низкая | Неактуальная |
| Перехват информации с применением электронных устройств перехвата информации, подключенных к каналам связи или техническим средствам обработки информации («аппаратные закладки») | 0 | 0,5 | Средняя | Низкая | Неактуальная |
| УРОЗЫ НЕСАНКЦИОНИРОВАННОГО ДОСТУПА К ИНФОРМАЦИОННОЙ СИСТЕМЕ | |||||
| Угрозы уничтожения, хищения аппаратных средств ИСПДн носителей информации путем физического доступа к элементам ИСПДн | |||||
| Кража ПЭВМ АРМ или сервера ИСПДн | 2 | 0,6 | Средняя | Низкая | Неактуальная |
| Кража носителей информации | 5 | 0,75 | Высокая | Средняя | Актуальная |
| Кража ключей и атрибутов доступа | 2 | 0,6 | Средняя | Низкая | Неактуальная |
| Кража, модификация и уничтожение информации | 2 | 0,6 | Средняя | Низкая | Неактуальная |
| Вывод из строя узлов ПЭВМ, каналов связи | 2 | 0,6 | Средняя | Средняя | Актуальная |
| Несанкционированный доступ к информации при техническом обслуживании (ремонте) узлов ПЭВМ | 5 | 0,75 | Высокая | Средняя | Актуальная |
| Несанкционированное отключение средств защиты | 2 | 0,6 | Средняя | Средняя | Актуальная |
| Угрозы хищения, несанкционированной модификации или блокирования информации за счет несанкционированного доступа (НСД) с применением программно-аппаратных и программных средств (в том числе программно-математических воздействий) | |||||
| Действия вредоносных программ (вирусов) | 2 | 0,6 | Средняя | Средняя | Актуальная |
| Недекларированные возможности (НДВ) системного ПО и ПО, предназначенного для обработки ПДн | 0 | 0,5 | Средняя | Низкая | Неактуальная |
| Установка ПО, не связанного с исполнением служебных обязанностей | 2 | 0,6 | Средняя | Средняя | Актуальная |
| Угрозы непреднамеренных действий пользователей и нарушений безопасности функционирования ИСПДн и СЗПДн в её составе из-за сбоев в программном обеспечении, а также от угроз не антропогенного (сбоев аппаратуры и-за ненадежности элементов, сбоев электропитания) и стихийного (ударов молний, пожаров, наводнений и т.п.) характера | |||||
| Утрата ключей и атрибутов доступа | 5 | 0,75 | Высокая | Средняя | Актуальная |
![](https://s.studizba.com/z.php?f=/templates/si/i/noavatar.png&w=100&h=100&t=1"){kind=avatar}
