636329067387170199 (1208537), страница 8
Текст из файла (страница 8)
12 No21, а также в методическом документе«Меры защиты информации в государственных информационных системах, 6утвержденном ФСТЭК России 11.02.2014 г., который 23 можно использовать идля защиты ИСПДн, определен базовый набор мер для каждого извозможных уровней защищенности ПДн.Из указанных документов выбирался базовый набор мер для 4 уровнязащищенности ПДн.Базовые наборы мер подвергались адаптации с учетом структурнофункциональных характеристик информационной системы персональныхданных. Например, в ИСПДн отдела не используются технологиивиртуальной инфраструктуры и мобильные устройства, соответственнореализация мер, направленных на защиту данных технологийнецелесообразна. Перечень мер, которые были исключены из базового наборамер, представлен в таблице 2.1.Таблица 2.1 – Перечень мер, исключенных из базового набораИсключаемая мера Причина исключенияXI.
Защита среды виртуализации (ЗСВ)В ИСПДн отсутствуетвиртуальная инфраструктураУПД.15 Регламентация и контрольиспользования в информационной системемобильных технических средствВ 4 ИСПДн отсутствуютмобильные устройстваСледующим шагом производилось уточнение адаптированного базового49набора мер. При уточнении добавлялись меры, не включенные в базовыйнабор, но необходимые для нейтрализации 6 всех актуальных угрозбезопасности 6 информации. Например, были добавлены меры УПД.17«Обеспечение доверенной загрузки», так как угрозы загрузки нештатной ОСс внешнего носителя была определена как актуальная.
Остальныедобавленные меры представлены в таблице 2.2.Таблица 2.2 – Перечень добавленных мер при уточнении адаптированногобазового набора мерНомермерыМера 2УПД.17 Обеспечение доверенной загрузки средств вычислительной техники 8ОПС.3Установка (инсталляция) только разрешенного к использованиюпрограммного обеспечения и (или) его компонентовЗНИ.1 Учет машинных носителей 8ЗНИ.2 Управление доступом к машинным носителям 4 информацииЗНИ.6Контроль ввода (вывода) информации на машинные носителиинформацииЗНИ.7 Контроль подключения машинных носителей 4 персональных данных 7РСБ.4Реагирование на сбои при регистрации событий безопасности, в томчисле аппаратные и программные ошибки, сбои в механизмах сбораинформации и достижение предела или переполнения объема(емкости) памятиРСБ.5Мониторинг (просмотр, анализ) результатов регистрации событийбезопасности и реагирование на них 4АНЗ.5Контроль правил генерации и смены паролей пользователей,заведения и удаления учетных записей пользователей, реализацииправил разграничения доступа, полномочий пользователей винформационной системеОЦЛ.3 8Обеспечение возможности восстановления программногообеспечения, включая программное обеспечение средств защитыинформации, при возникновении нештатных ситуаций 1ЗТС.2Организация контролируемой зоны, в пределах которой постоянноразмещаются стационарные технические средства, обрабатывающиеинформацию, и средства защиты информации, а также средстваобеспечения функционирования 4ЗИС.23Защита периметра (физических и (или) логических границ)информационной системы при её взаимодействии с инымиинформационными система и информационнотелекоммуникационными сетями 850 8ИАФ.2Идентификация и аутентификация устройств, в том числестационарных, мобильных и портативных.
4ЗИС.4Обеспечение доверенных канала, маршрута между администратором,пользователем и средствами защиты информации (функциямибезопасности средств защиты информации) 4ЗИС.10Подтверждение происхождения источника информации, получаемойв процессе определения сетевых адресов по сетевым именам илиопределения сетевых имен по сетевым адресамЗИС.11Обеспечение подлинности сетевых соединений (сеансоввзаимодействия), в том числе для защиты от подмены сетевыхустройств и сервисовЗИС.16 4Выявление, анализ и блокирование в информационной системескрытых каналов передачи информации в обход реализованных мерзащиты информации или внутри разрешенных сетевых протоколовЗИС.20 4Защиты беспроводных соединений, применяемых в информационнойсистеме 6ЗИС.28Воспроизведение ложных и (или) скрытие истинных отдельныхинформационных технологий и (или) структурно-функциональных 4характеристик информационной системы или ее сегментов,обеспечивающее навязывание у нарушителя ложного представленияоб истинных информационных технологиях и (или) структурнофункциональных характеристиках информационной системы 3УПД.14Регламентация и контроль использования в информационной системетехнологий беспроводного доступа 4Последним шагом к созданию конечного набора мер было дополнениеуточненного адаптированного базового набора мер.
Дополнениепроизводилось в соответствии с требованиями руководящих документовФСБ, в которых сказано, что в ИСПДн должна обеспечиватьсякриптографическая защита персональных данных при 26 передаче по каналамсвязи в 4 сторонние организации при передаче информации через сети связимеждународного информационного обмена и между элементами ИСПДн, припередачи по каналам связи с использованием 2 технологии беспроводногодоступа. 16Конечный набор мер представлен в таблице Г.1 приложения Г.1.2 Требования к защите персональных данныхДля обеспечения 27 безопасности 27 ПДн постановлением Правительства 2751Российской Федерации 27 No1119 от 01.11.2012 были утверждены «Требования кзащите персональных данных при их обработке в информационных системахперсональных данных» .
В 44 соответствии с 23 этими требованиями дляобеспечения 12 четвертого уровня защищенности необходимо:организовать режим обеспечения безопасности помещений, в которыхразмещена информационная система, препятствующий возможностинеконтролируемого проникновения или пребывания в этих помещениях лиц,не имеющих права доступа в эти помещения; 18обеспечить сохранность носителей персональных данных; 18руководителю оператора утвердить документ, определяющий переченьлиц, доступ которых к персональным данным, обрабатываемым винформационной системе, необходим для выполнения ими служебных(трудовых) обязанностей; 27использовать средства защиты информации, прошедшие процедуруоценки соответствия требованиям законодательства Российской Федерации вобласти обеспечения безопасности информации, в случае, когда применениетаких средств необходимо для нейтрализации актуальных угроз.
18Самое важное из этого – использовать сертифицированные средствазащиты информации. При сертификации какого-либо средства испытательнаялаборатория или орган по сертификации подтверждает, что в испытуемомсредстве защиты информации отсутствуют недекларированные возможности,с помощью которых возможна реализация угроз безопасности, а такжеклассифицирует средство, тем самым подтверждая, что средство выполняеттребования и реализует меры, необходимые для требуемого уровнязащищенности персональных данных или класса защищенностиинформационной системы.Для информационной системы персональных данных, где требуетсяобеспечить определенный уровень защищенности персональных данных,необходимо подбирать средства защиты, имеющие определенный классзащиты в соответствии с различными требованиями документов ФСТЭК 1252России.
12 Так, в соответствии с Составом и содержанием организационных итехнических мер по обеспечению безопасности персональных данных при ихобработке в информационных системах персональных данных, 22утвержденным приказом ФСТЭК России от 18.02.2013 г. 12 No21 дляобеспечения для обеспечения 4 уровня защищенности ПДн необходимоприменять:средства вычислительной техники не ниже 6 класса;системы обнаружения вторжений и средства антивирусной защиты нениже 5 класса;межсетевые экраны 5 класса.С 30 учетом определенного набора мер защиты информации, необходимоиспользование средств контроля съемных машинных носителей и средствдоверенной загрузки.
Эти средства могут входить в состав средства защитыот несанкционированного доступа. К таким средствам аналогичнопредъявляются требования на соответствие класса защиты средстватребуемому уровню защищенности персональных данных.В соответствии с Требованиями к средствам доверенной загрузки,утверждёнными приказом ФСТЭК России от 27.09.2013 No119 иТребованиями к средствам контроля съемных машинных носителейинформации, 8 утвержденными приказом ФСТЭК России от 28.07.2014 8 No87,при необходимости обеспечения 4 уровня защищенности ПДн применяютсясредства доверенной загрузки и средства контроля съемных машинныхносителей соответствующие 5 классу защиты.В соответствии с Составом и содержанием 22 организационных итехнических мер по обеспечению безопасности персональных данных при ихобработке в информационных системах персональных данных сиспользованием средств криптографической защиты информации,необходимых для выполнения установленных Правительством РоссийскойФедерации требований к защите персональных данных для каждого изуровней защищенности, 27 утвержденным приказом ФСБ России от 10.07.2014 г.
4353 43No378 при использовании средств криптографической защиты (СКЗИ),сертифицированных по требованиям безопасности для обеспечения 4 уровнязащищенности персональных данных применяются 24 СКЗИ класса КС2.1.3 27 Технические средства защиты информацииВ 27 соответствии с указанными в разделе 2.2 требованиями былипредложены сертифицированные средства защиты информации, указанные втаблице 2.3.Таблица 2.3 – Перечень предлагаемых к использованиюсертифицированных средств защиты информацииТип СЗИ Наименование ПроизводительСертификатФСТЭК илиФСБ РоссииСредство защиты отнесанкционированногодоступаDallas Lock 8.0-K 21ООО«Конфидент»СертификатФСТЭК No2720действителендо 25.09.2018Средство контролясъемных машинныхносителейинформацииDallas Lock 8.0-KООО«Конфидент»СертификатФСТЭК No2720действителендо 25.09.2018Средство довереннойзагрузкиПАК «Соболь»3.0ООО «КодБезопасности»СертификатФСТЭК No1967действителендо 07.12.2018Средство анализазащищенностиXSpider 7.8.24ООО «ПозитивТехнолоджис»СертификатФСТЭК No3247действителендо 24.10.2017VPN-сеть, средствомежсетевогоэкранирования икриптографическойзащиты информацииПК VipNetAdministrator 4(КС2)ОАО«ИнфоТеКС»СертификатФСБ СФ/1242836действителендо 31.12.2017ПК VipNet Client4 (КС2)СертификатФСБ СФ/124542796действителендо 30.11.2017ПАК VipNetCoordinator HW2000 версия 3СертификатФСБ СФ/1242730действителендо 01.08.2016,СертификатФСТЭК No2353действителендо 26.05.20171.3.1 Dallas Lock 8.0-KDallas Lock 8.0-K является сертифицированным средством защитыинформации от несанкционированного доступа.
21 Средство 16 соответствуеттребованиям руководящих документов по 5 классу защищенности средстввычислительной техники, 9 по 4 уровню контроля отсутствиянедекларированных возможностей, по 4 23 классу защиты средств контролясъемных машинных носителей.В ИСПДн отдела данное средство защиты информации 7 используется для:идентификации и аутентификации пользователей; 5разграничения доступа пользователей к информации и 5 защищаемымресурсам ИСПДн;контроля подключения и отчуждения учтенных съемных носителейинформации, а также контроля подключения других устройств (мобильныетелефоны, модемы, неучтенные съемные носители);централизованного управления системой защиты, оперативногомониторинга и аудита безопасности (с 19 помощью серверов безопасностиDallas Lock 8.0-K).1.3.2 ПАК «Соболь» 3.0Программно-аппаратный комплекс «Соболь» 3.0 является55сертифицированным средством доверенной загрузки операционной системы.Средство соответствует требованиям руководящих документов по уровнюплаты расширения 2 класса средств доверенной загрузки.В ИСПДн отдела данное средство защиты информации 7 используется для:идентификации и аутентификации пользователей 15 до загрузки ОС спомощью аппаратных идентификаторов iButton DS1992;запрета загрузки ОС с внешних носителей, что гарантирует загрузкуштатной доверенной операционной системы;контроля целостности аппаратной конфигурации компьютера, файловОС, реестра Windows и прикладных программ.
![](https://s.studizba.com/z.php?f=/templates/si/i/noavatar.png&w=100&h=100&t=1"){kind=avatar}
