4.Техническое задание (1208535), страница 2
Текст из файла (страница 2)
Уничтожение персональных данных – действия, в результате которых невозможно восстановить содержание персональных данных в информационной системе персональных данных или в результате которых уничтожаются материальные носители персональных данных.
Уязвимость – слабость в средствах защиты, которую можно использовать для нарушения системы или содержащейся в ней информации.
Целостность информации – способность средства вычислительной техники или автоматизированной системы обеспечивать неизменность информации в условиях случайного и/или преднамеренного искажения (разрушения).
-
Принятые сокращения
| АВС | – | антивирусные средства |
| АРМ | – | автоматизированное рабочее место |
| АС | – | автоматизированная система |
| ГИС | – | государственная информационная система |
| ГОСТ | – | государственный стандарт |
| ДСП | – | для служебного пользования |
| ИБ | – | информационная безопасность |
| ИСПДн | – | информационная система, обрабатывающая персональные данные |
| КЗ | – | контролируемая зона |
| ИТ | – | информационные технологии |
| ЛВС | – | локальная вычислительная сеть |
| НДВ | – | не декларированные возможности |
| НЖМД | – | накопитель на жестких магнитных дисках |
| НСД | – | несанкционированный доступ |
| ОЗУ | – | оперативное запоминающее устройство |
| ОПО | – | общесистемное программное обеспечение |
| ОС | – | операционная система |
| ОТСС | – | основные технические средства и системы |
| ПДн | – | персональные данные |
| ПК | – | программный комплекс |
| ПО | – | программное обеспечение |
| ПС | – | программные средства |
| ПТС | – | программно-технические средства |
| ПЭВМ | – | персональная электронно-вычислительная машина |
| РД | – | руководящий документ |
| СВТ | – | средства вычислительной техники |
| СЗИ | – | система защиты информации |
| СКЗИ | – | средства криптографической защиты информации |
| СПО | – | специальное программное обеспечение |
| СрЗИ | – | средства защиты информации |
| ТЗ | – | техническое задание |
| ТС | – | технические средства |
| ТП | – | технический проект |
| ФСБ | – | Федеральная служба безопасности |
| ФСТЭК | – | Федеральная служба технического и экспортного контроля |
-
Назначение и цели создания СЗИ
-
Назначение СЗИ
СЗИ предназначена для обеспечения информационной безопасности персональных данных, обрабатываемых в информационной системе персональных данных отдела бухгалтерского учета и отчетности АО "АК "Железные дороги Якутии".
СЗИ призвана обеспечить конфиденциальность, целостность и доступность информации при ее обработке в ИСПДн.
-
Цели создания Системы защиты информации.
Целями создания СЗИ являются:
-
обеспечение защищенности информационной системы отдела бухгалтерского отчета и отчетности АО "АК " Железные дороги Якутии " в процессе обработки и хранения информации, обеспечение конфиденциальности информации при ее обработке, а также целостности и доступности;
-
соответствие требованиям Федерального закона от 27.07.2006 г. № 152-ФЗ «О персональных данных».
-
соответствие «Требованиям к защите персональных данных при их обработке в информационных системах персональных данных», утвержденных постановлением Правительства РФ от 01.11.2012 № 1119;
-
выполнение мер в соответствии с «Методическим документом: Меры защиты информации в государственных информационных системах», утвержденным ФСТЭК 11.02.2014 и «Составом и содержанием организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных», утвержденных приказом ФСТЭК России от 18.02.2013№ 21.
В результате создания СЗИ должно быть обеспечено снижение вероятности реализации актуальных угроз информационной безопасности информации.
Критериями оценки достижения поставленных целей по созданию СЗИ являются:
-
соответствие требованиям по обеспечению безопасности ПДн соответствующего уровня защищенности, определенному в соответствии с «Требованиями к защите персональных данных при их обработке в информационных системах персональных данных», утвержденными постановлением Правительства РФ от 01.11.2012 № 1119;
-
выполнение мер, определенных «Методическим документом: Меры защиты информации в государственных информационных систем», утвержденным ФСТЭК 11.02.2014, и «Составом и содержанием организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных», утвержденным приказом ФСТЭК России от 18.02.2013 № 21;
-
выполнение требований настоящего ТЗ.
-
Параметры информационной системы отдела бухгалтерского учета и отчетности.
В информационной системе отдела обрабатываются персональные данные иной категории персональных данных. Персональные данные обрабатываются на 5 АРМ и 1 сервере.
Персональные данные хранятся на сервере БД и на жёстких дисках АРМ пользователей, к которым имеют доступ ограниченный перечень лиц.
ИСПДн представляет собой локальную вычислительную сеть, объединяющую отдельные АРМ учреждения по беспроводной технологии передачи данных Wi-Fi. Взаимодействие всех сетевых устройств друг с другом осуществляется по стандарту IEEE 802.11n. Используется роутер модели ASUS RT-N66U. Имеется одна точка выхода в сети общего пользования. Топология применяемой сети Basic Service Set (BSS), BSS - это группа станций, связывающихся одна с другой. Технология BSS предполагает наличие особой станции, которая называется точка доступа AP (Access Point). Точка доступа - это центральный пункт связи для всех станций BSS. Клиентские станции не связываются непосредственно одна с другой. Вместо этого они связываются с точкой доступа, а уже она направляет кадры к станции-адресату. В таблице 4представлены сегменты беспроводной сети.
Таблица 4.- Сегменты беспроводной сети.
| № | Название сегмента | Роль в сети |
| 1 | Роутер : ASUS RT-N66U | Точка доступа |
| 2 | Адаптер Wi-Fi: D-Link DLK-DWA-520 (АРМ 1) | Клиентская станция |
| 3 | Адаптер Wi-Fi: D-Link DLK-DWA-520 (АРМ 2) | Клиентская станция |
| 4 | Адаптер Wi-Fi: D-Link DLK-DWA-520 (АРМ 3) | Клиентская станция |
| 5 | Адаптер Wi-Fi: D-Link DLK-DWA-520 (АРМ 4) | Клиентская станция |
Параметры информационной системы отдела представлены в таблице 4.1.
Таблица 4.1– Параметры информационной системы отдела
| Наименование параметра | Значение |
| Структура информационной системы | Локальная |
| Архитектура информационной системы | Файл-серверная |
| Взаимодействие с иными информационными системами | Имеется |
| Подключение информационной системы к сетям общего пользования и (или) сетям международного информационного обмена | Имеется |
| Размещение технических средств | ТС расположены в пределах одной контролируемой зоны |
| Режим обработки персональных данных | Многопользовательский |
| Режим разграничения прав доступа пользователей | Система с разграничением прав доступа |
| Местонахождение технических средств информационной системы | Все технические средства находятся в пределах Российской Федерации |
| Объем обрабатываемых персональных данных | Менее 100 тысяч субъектов персональных данных |
| Категории обрабатываемых персональных данных | Иные категории ПДн |
| Вид доступа | Применение технологии беспроводного доступа |
Актуальные угрозы ИБ, которым подвержена «ИСПДн отдела бухгалтерского учета и отчетности» определены в модели угроз безопасности персональных данных при их обработке в информационной системе персональных данных отдела бухгалтерского учета и отчетности, разработанной на основании «Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных (выписка)» и «Банк данных угроз безопасности информации ФСТЭК России».
Конфигурация ИСПДн и топология ЛВС Предприятия.
Рис А1-Конфигурация ИСПДн отдела. 
Рис А2-Топология локальной вычислительной сети отдела.
-
Меры по обеспечению безопасности информации
-
Требования для обеспечения 3 уровня защищенности ПДн
Согласно Требованиям к защите персональных данных при их обработке в информационных системах персональных данных», утвержденным постановлением Правительства Российской Федерации № 1119 от 01.11.2012 г., для обеспечения 3 уровня защищенности персональных данных, необходимо выполнение следующих требований:
-
организация режима обеспечения безопасности помещений, в которых размещена информационная система, препятствующего возможности неконтролируемого проникновения или пребывания в этих помещениях лиц, не имеющих права доступа в эти помещения;
-
обеспечение сохранности носителей персональных данных;
-
утверждение руководителем оператора документа, определяющего перечень лиц, доступ которых к персональным данным, обрабатываемым в информационной системе, необходим для выполнения ими служебных (трудовых) обязанностей;
-
использование средств защиты информации, прошедших процедуру оценки соответствия требованиям законодательства Российской Федерации в области обеспечения безопасности информации, в случае, когда применение таких средств необходимо для нейтрализации актуальных угроз;
-
Базовый набор мер
В соответствии приказом ФСТЭК от 18.02.2013 г. «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных», базовый набор мер, применяемых для обеспечения 4 уровня защищенности ПДн представлен в таблице 5.1
Таблица 5.1 – базовый набор мер
| № меры | Содержание мер по обеспечению безопасности персональных данных | 3 уровень защ. ПДн |
| I. Идентификация и аутентификация субъектов доступа и объектов доступа (ИАФ) | ||
| ИАФ.1 | Идентификация и аутентификация пользователей, являющихся работниками оператора | + |
| ИАФ.З | Управление идентификаторами, в том числе создание, присвоение, уничтожение идентификаторов | + |
| ИАФ.4 | Управление средствами аутентификации, в том числе хранение, выдача, инициализация, блокирование средств аутентификации и принятие мер в случае утраты и (или) компрометации средств аутентификации | + |
| ИАФ.5 | Защита обратной связи при вводе аутентификационной информации | + |
| ИАФ.6 | Идентификация и аутентификация пользователей, не являющихся работниками оператора (внешних пользователей) | + |
| II. Управление доступом субъектов доступа к объектам доступа (УПД) | ||
| УПД.1 | Управление (заведение, активация, блокирование и уничтожение) учетными записями пользователей, в том числе внешних пользователей | + |
| УПД.2 | Реализация необходимых методов (дискреционный, мандатный, ролевой или иной метод), типов (чтение, запись, выполнение или иной тип) и правил разграничения доступа | + |
| УПД.З | Управление (фильтрация, маршрутизация, контроль соединений, однонаправленная передача и иные способы управления) информационными потоками между устройствами, сегментами информационной системы, а также между информационными системами | + |
| УПД.4 | Разделение полномочий (ролей) пользователей, администраторов и лиц, обеспечивающих функционирование информационной системы | + |
| УПД.5 | Назначение минимально необходимых прав и привилегий пользователям, администраторам и лицам, обеспечивающим функционирование информационной системы | + |
| УПД.6 | Ограничение неуспешных попыток входа в информационную систему (доступа к информационной системе) | + |
| УПД.10 | Блокирование сеанса доступа в информационную систему после установленного времени бездействия (неактивности) пользователя или по его запросу | + |
| УПД.11 | Разрешение (запрет) действий пользователей, разрешенных до аутентификации | + |
| УПД.13 | Реализация защищенного удаленного доступа субъектов доступа к объектам доступа через внешние информационно-телекоммуникационные сети | + |
| УПД.14 | Регламентация и контроль использования в информационной системе технологий беспроводного доступа | + |
| УПД.15 | Регламентация и контроль использования в информационной системе мобильных технических средств | + |
| УПД.16 | Управление взаимодействием с информационными системами сторонних организаций (внешние информационные системы) | + |
| IV. Защита машинных носителей персональных данных (ЗНИ) | ||
| ЗНИ.8 | Уничтожение (стирание) или обезличивание персональных данных на машинных носителях при их передаче между пользователями, в сторонние организации для ремонта или утилизации, а также контроль уничтожения (стирания) или обезличивания | + |
| V. Регистрация событий безопасности (РСБ) | ||
| РСБ.1 | Определение событий безопасности, подлежащих регистрации, и сроков их хранения | + |
| РСБ.2 | Определение состава и содержания информации о событиях безопасности, подлежащих регистрации | + |
| РСБ.З | Сбор, запись и хранение информации о событиях безопасности в течение установленного времени хранения | + |
| РСБ. 7 | Защита информации о событиях безопасности | + |
| VI. Антивирусная защита (АВЗ) | ||
| АВ3.1 | Реализация антивирусной защиты | + |
| АВ3.2 | Обновление базы данных признаков вредоносных компьютерных программ (вирусов) | + |
| VIII. Контроль (анализ) защищенности персональных данных (АНЗ) | ||
| АНЗ.1 | Выявление, анализ уязвимостей информационной системы и оперативное устранение вновь выявленных уязвимостей | + |
| АНЗ.2 | Контроль установки обновлений программного обеспечения, включая обновление программного обеспечения средств защиты информации | + |
| АНЗ.3 | Контроль работоспособности, параметров настройки и правильности функционирования программного обеспечения и средств защиты информации | + |
| АНЗ.4 | Контроль состава технических средств, программного обеспечения и средств защиты информации | + |
| ЗСВ.1 | Идентификация и аутентификация субъектов доступа и объектов доступа в виртуальной инфраструктуре, в том числе администраторов управления средствами виртуализации | + |
| ЗСВ.2 | Управление доступом субъектов доступа к объектам доступа в виртуальной инфраструктуре, в том числе внутри виртуальных машин | + |
| ЗСВ.3 | Регистрация событий безопасности в виртуальной инфраструктуре | + |
| ЗСВ.9 | Реализация и управление антивирусной защитой в виртуальной инфраструктуре | + |
| ЗСВ.10 | Разбиение виртуальной инфраструктуры на сегменты (сегментирование виртуальной инфраструктуры) для обработки персональных данных отдельным пользователем и (или) группой пользователей | + |
| XII. Защита технических средств (ЗТС) | ||
| ЗТС.3 | Контроль и управление физическим доступом к техническим средствам, средствам защиты информации, средствам обеспечения функционирования, а также в помещения и сооружения, в которых они установлены, исключающие несанкционированный физический доступ к средствам обработки информации, средствам защиты информации и средствам обеспечения функционирования информационной системы, в помещения и сооружения, в которых они установлены | + |
| ЗТС.4 | Размещение устройств вывода (отображения) информации, исключающее ее несанкционированный просмотр | + |
| XIII. Защита информационной системы, ее средств, систем связи и передачи данных (ЗИС) | ||
| ЗИС.3 | Обеспечение защиты персональных данных от раскрытия, модификации и навязывания (ввода ложной информации) при ее передаче (подготовке к передаче) по каналам связи, имеющим выход за пределы контролируемой зоны, в том числе беспроводным каналам связи | + |
| ЗИС.20 | Защиты беспроводных соединений, применяемых в информационной системе | + |
| XV. Управление конфигурацией информационной системы и системы защиты персональных данных (УКФ) | ||
| УКФ.1 | Определение лиц, которым разрешены действия по внесению изменений в конфигурацию информационной системы и системы защиты персональных данных | + |
| УКФ.2 | Управление изменениями конфигурации информационной системы и системы защиты персональных данных | + |
| УКФ.3 | Анализ потенциального воздействия планируемых изменений в конфигурации информационной системы и системы защиты персональных данных на обеспечение защиты персональных данных и согласование изменений в конфигурации информационный системы с должностным лицом (работником), ответственным за обеспечение безопасности персональных данных | + |
| УКФ.4 | Документирование информации (данных) об изменениях в конфигурации информации и системы защиты персональных данных | + |
-
Адаптация базового набора мер
При адаптации из базового набора мер защиты информации исключаются меры, непосредственно связанные с информационными технологиями, не используемыми в информационной системе, или структурно-функциональными характеристиками, не свойственными информационной системе. Исключаемые меры и причина исключения приведены в таблице 5.2.
![](https://s.studizba.com/z.php?f=/templates/si/i/noavatar.png&w=100&h=100&t=1"){kind=avatar}
