Пояснительная записка (1208526), страница 7
Текст из файла (страница 7)
Окончание таблицы А.1
| Разглашение (например, при разговорах, записывание на бумаге и т.п.) логинов и паролей | 10 | 1 | Очень высокая | Высокая | Актуальная |
| Неумышленная (случайная) модификация (искажение) доступной информации | 2 | 0,6 | Средняя | Средняя | Актуальная |
| Неумышленное (случайное) добавление (фальсификация) информации | 0 | 0,5 | Средняя | Средняя | Актуальная |
| Непреднамеренное отключение средств защиты | 5 | 0,75 | Высокая | Средняя | Актуальная |
| Выход из строя программно-аппаратных средств | 2 | 0,6 | Средняя | Средняя | Актуальная |
| Сбой системы электроснабжения | 2 | 0,6 | Средняя | Низкая | Неактуальная |
| Стихийное бедствие | 0 | 0,5 | Средняя | Низкая | Неактуальная |
| Угрозы преднамеренных действий внутренних нарушителей | |||||
| Доступ к информации, модификация, уничтожение сотрудниками, не допущенными к её обработке | 2 | 0,6 | Средняя | Средняя | Актуальная |
| Разглашение информации, модификация, уничтожение сотрудниками, допущенными к её обработке | 5 | 0,75 | Высокая | Средняя | Актуальная |
| Угрозы несанкционированного доступа по каналам связи | |||||
| Перехват информации за пределами контролируемой зоны | 5 | 0,75 | Высокая | Средняя | Актуальная |
| Перехват информации в пределах контролируемой зоны внешними нарушителями | 2 | 0,6 | Средняя | Низкая | Неактуальная |
| Перехват информации в пределах контролируемой зоны внутренними нарушителями | 5 | 0,75 | Высокая | Средняя | Актуальная |
| Угроза «сканирование сети» | 5 | 0,75 | Высокая | Средняя | Актуальная |
| Угроза выявления паролей | 2 | 0,6 | Средняя | Средняя | Актуальная |
| Угроза подмены доверенного объекта сети | 5 | 0,75 | Высокая | Средняя | Актуальная |
| Внедрение ложного объекта сети | 5 | 0,75 | Высокая | Средняя | Актуальная |
| Угроза типа «отказ в обслуживании» | 5 | 0,75 | Высокая | Средняя | Актуальная |
| Угрозы удаленного запуска приложений | 5 | 0,75 | Высокая | Средняя | Актуальная |
| Угрозы внедрения вредоносных программ по сети | 2 | 0,6 | Средняя | Средняя | Актуальная |
Приложение Б
Набор добавленных мер
Таблица Б.1 – Набор добавленных мер
| УПД.17 | Обеспечение доверенной загрузки средств вычислительной техники |
| ОПС.3 | Установка (инсталляция) только разрешенного к использованию программного обеспечения и (или) его компонентов |
| ЗНИ.1 | Учет машинных носителей |
| ЗНИ.2 | Управление доступом к машинным носителям информации |
| ЗНИ.6 | Контроль ввода (вывода) информации на машинные носители информации |
| ЗНИ.7 | Контроль подключения машинных носителей персональных данных |
| РСБ.4 | Реагирование на сбои при регистрации событий безопасности, в том числе аппаратные и программные ошибки, сбои в механизмах сбора информации и достижение предела или переполнения объема (емкости) памяти |
| РСБ.5 | Мониторинг (просмотр, анализ) результатов регистрации событий безопасности и реагирование на них |
| АНЗ.5 | Контроль правил генерации и смены паролей пользователей, заведения и удаления учетных записей пользователей, реализации правил разграничения доступа, полномочий пользователей в информационной системе |
| ОЦЛ.3 | Обеспечение возможности восстановления программного обеспечения, включая программное обеспечение средств защиты информации, при возникновении нештатных ситуаций |
| ЗТС.2 | Организация контролируемой зоны, в пределах которой постоянно размещаются стационарные технические средства, обрабатывающие информацию, и средства защиты информации, а также средства обеспечения функционирования |
Окончание таблицы Б.1
| ЗИС.23 | Защита периметра (физических и (или) логических границ) информационной системы при её взаимодействии с иными информационными системами. |
Приложение В
Конечный набор мер
Таблица В.1 – Конечный набор мер
| Условное обозначение и номер меры | Содержание мер по обеспечению безопасности | Уровень защищенности | |
| Применяемые технические средства и системы для реализации мер | Сегмент «Бухгалтерия и Кадры | ||
| I. Идентификация и аутентификация субъектов доступа и объектов доступа (ИАФ) | |||
| ИАФ.1 | Идентификация и аутентификация пользователей, являющихся работниками оператора | SECRET NET 7 | + |
| ИАФ.3 | Управление идентификаторами, в том числе создание, присвоение, уничтожение идентификаторов | SECRET NET 7 | + |
| ИАФ.4 | Управление средствами аутентификации, в том числе хранение, выдача, инициализация, блокирование средств аутентификации и принятие мер в случае утраты и (или) компрометации средств аутентификации | SECRET NET 7 | + |
| ИАФ.5 | Защита обратной связи при вводе аутентификационной информации | SECRET NET 7 | + |
| I | |||
I. Управление доступом субъектов доступа к объектам доступа (УПД
Продолжение таблицы В.1
| УПД.1 | Управление (заведение, активация, блокирование и уничтожение) учетными записями пользователей, в том числе внешних пользователей | SECRET NET 7 | + |
| УПД.2 | Реализация необходимых методов (дискреционный, мандатный, ролевой или иной метод), типов (чтение, запись, выполнение или иной тип) и правил разграничения доступа | SECRET NET 7 | + |
| УПД.3 | Управление (фильтрация, маршрутизация, контроль соединений, однонаправленная передача и иные способы управления) информационными потоками между устройствами, сегментами информационной системы, а также между информационными системами |
SECRET NET 7 | + |
| УПД.4 | Разделение полномочий (ролей) пользователей, администраторов и лиц, обеспечивающих функционирование информационной системы | SECRET NET 7 | + |
| УПД.5 | Назначение минимально необходимых прав и привилегий пользователям, администраторам и лицам, обеспечивающим функционирование информационной системы | SECRET NET 7 | + |
| У | Ограничение неуспешных попыток входа в информационную систему (доступа к информационной системе) | SECRET NET 7 | + |
Продолжение таблицы В.1
| УПД.10 | Блокирование сеанса доступа в информационную систему после установленного времени бездействия (неактивности) пользователя или по его запросу | SECRET NET 7 | + |
| УПД.11 | Разрешение (запрет) действий пользователей, разрешенных до идентификации и аутентификации | SECRET NET 7 | + |
| УПД.16 | Управление взаимодействием с информационными системами сторонних организаций (внешние информационные системы) | SECRET NET 7 | + |
| УПД.17 | Обеспечение доверенной загрузки средств вычислительной техники | SECRET NET 7 | + |
| III. Ограничение программной среды (ОПС) | |||
| ОПС.3 | Установка (инсталляция) только разрешенного к использованию программного обеспечения и (или) его компонентов | Организа-ционные меры
| + |
| IV. Защита машинных носителей информации (ЗНИ) | |||
| ЗНИ.1 | Учет машинных носителей персональных данных | Организа-ционные меры | + |
| ЗНИ.2 | Управление доступом к машинным носителям информации | SECRET NET 7 | + |
| З | Контроль ввода (вывода) информации на машинные носители информации | SECRET NET 7 | + |
Продолжение таблицы В.1
| ЗНИ.7 | Контроль подключения машинных носителей персональных данных | SECRET NET 7 | + |
| ЗНИ.8 | Уничтожение (стирание) информации на машинных носителях при их передаче между пользователями, в сторонние организации для ремонта или утилизации, а также контроль уничтожения (стирания) | SECRET NET 7 | + |
| V. Регистрация событий безопасности (РСБ) | |||
| РСБ.1 | Определение событий безопасности, подлежащих регистрации, и сроков их хранения | SECRET NET 7 | + |
| РСБ.2 | Определение состава и содержания информации о событиях безопасности, подлежащих регистрации | SECRET NET 7 | + |
| РСБ.3 | Сбор, запись и хранение информации о событиях безопасности в течении установленного времени хранения | SECRET NET 7 | + |
| Р | Реагирование на сбои при регистрации событий безопасности, в том числе аппаратные и программные ошибки, сбои в механизмах сбора информации и достижение предела или переполнения объема (емкости) памяти | SECRET NET 7 | + |
![](https://s.studizba.com/z.php?f=/templates/si/i/noavatar.png&w=100&h=100&t=1"){kind=avatar}
