Пояснительная записка (1208558), страница 3
Текст из файла (страница 3)
Таблица 1.4 – Сопоставление угрозы утечки по ТКУИ и потенциала нарушителя
| Название угрозы | Потенциал нарушителя, необходимый для реализации угрозы | Решение о рассмотрении угрозы |
| ТА.001 Угроза утечки информации за счет распространения информативного акустического сигнала в воздушной среде. | Базовый (низкий) | Рассматривается |
| ТА.002 Угроза утечки информации по виброакустическому каналу за счет распространения информативного сигнала в инженерных коммуникациях (трубы водоснабжения, отопления, вентиляции и т.д) и ограждающих строительных конструкциях (стены, потолки, полы). | Базовый повышенный (средний) | Не рассматривается |
| ТА.003 Угроза утечки информации по виброакустическому каналу за счет перехвата информативного сигнала с использованием закладных устройств. | Высокий | Не рассматривается |
| ТА.004 Угроза утечки информации по акустоэлектрическому каналу, возникающему за счет акустоэлектрических преобразований («микрофонного эффекта») элементов ВТСС. | Высокий | Не рассматривается |
| ТА.005 Угроза утечки информации через ВТСС по акустоэлектрическому каналу, осуществляемому путем «высокочастотного навязывания». | Высокий | Не рассматривается |
| ТП.001 Угроза утечки информации за счет побочных электромагнитных излучений (ПЭМИ) ТСПИ, возникающих при прохождении тока по их токоведущим элементам ТСПИ. | Высокий | Не рассматривается |
Продолжение таблицы 1.4
| Название угрозы | Потенциал нарушителя, необходимый для реализации угрозы | Решение о рассмотрении угрозы |
| ТП.002 Угроза утечки информации за счет побочных электромагнитных излучений (ПЭМИ), возникающих на частотах работы высокочастотных генераторов ТСПИ. | Высокий | Не рассматривается |
| ТП.003 Угроза утечки информации за счет побочных электромагнит-ных излучений (ПЭМИ) на частотах самовозбуждения усилителей низкой частоты ТСПИ. | Высокий | Не рассматривается |
| ТП.004 Угроза утечки информации за счет наводок электромагнитных излучений (ЭМИ) ТСПИ на соединительные линии ВТСС и посторонние проводники, выходящие за пределы КЗ. | Высокий | Не рассматривается |
| ТП.005 Угроза утечки информативных сигналов за счет их просачивания в линии электропитания и цепи заземления ТСПИ. | Высокий | Не рассматривается |
| ТП.006 Угроза утечки информации за счет съема информации, обрабатываемой ТСПИ, путем использования закладных устройств. | Высокий | Не рассматривается |
| ТП.007 Угроза утечки информации за счет перехвата информативного сигнала путем «высокочастотного облучения» ТСПИ. | Высокий | Не рассматривается |
| ТА.007 Угроза утечки акустической информации по параметрическому каналу, образованному за счет «высокочастотного облучения» помещения, где установлены закладные устройства, имеющие элементы, параметры которых изменяются под действием акустического сигнала. | Высокий | Не рассматривается |
| ТА.008 Угроза перехвата акустической информации по параметрическому каналу путем приема модулированных информативных сигналов побочных электромагнитных излучений (ПЭМИ) ТСПИ и ВТСС. | Высокий | Не рассматривается |
| ТА.006 Угроза утечки акустической ин-формации по оптико-электронному каналу за счет облучения лазерным лучом отражающих поверхностей (оконные стекла, зеркала и т.д), вибрирующих под действием информативного акустического сигнала. | Высокий | Не рассматривается |
| ТС.001 Угроза утечки информации по электромагнитному каналу с использованием портативных средств радиоразведки | Высокий | Не рассматривается |
Окончание таблицы 1.4
| Название угрозы | Потенциал нарушителя, необходимый для реализации угрозы | Решение о рассмотрении угрозы |
| ТВ.001 Угроза утечки видовой информации путем наблюдения за объектами с использованием специальных технических средств (оптические приборы, телевизионные камеры, приборы ночного видения, тепловизоры и т.д) | Базовый (низкий) | Рассматривается |
| ТВ.002 Угроза утечки видовой информации путем съемки объектов с использованием телевизионных и фотографических средств. | Базовый (низкий) | Рассматривается |
| ТВ.003 Угроза утечки видовой информации путем съемки документов с использованием портативных фотоаппаратов | Базовый (низкий) | Рассматривается |
Угроза ТВ.001 не актуальна и не рассматривается из-за существующих организационных мер защиты, описанных ранее (жалюзи на окнах). Таким образом, рассматривается всего три угрозы утечки информации по ТКУИ.
2 Разработка методов и способов защиты персональных данных
2.1 Определение набора организационных и технических мер
В соответствии с третьим классом защищенности, определенном в первом разделе, к средствам защиты информации предъявляются требования [1]:
-
средства вычислительной техники не ниже 5 класса;
-
системы обнаружения вторжений и средства антивирусной защиты не ниже 4 класса;
-
межсетевые экраны не ниже 3 класса в случае взаимодействия информационной системы с информационно-телекоммуникационными сетями международного информационного обмена;
Для определения набора мер, необходимых для обеспечения безопасности ПД при их обработке в ИС необходимо пройти 4 этапа:
-
определение базового набора мер;
-
адаптацию базового набора мер;
-
уточнение адаптированного базового набора мер;
-
дополнение уточненного адаптированного базового набора мер.
При невозможности технической реализации отдельных выбранных мер по обеспечению безопасности персональных данных, а также с учетом экономической целесообразности на этапах адаптации базового набора мер и (или) уточнения адаптированного базового набора мер могут разрабатываться иные (компенсирующие) меры, направленные на нейтрализацию актуальных угроз безопасности персональных данных.
Определение базового набора мер происходит в соответствии с приказом ФСТЭК №21 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных», так как ранее был определен третий уровень защищенности, из списка мер выбираются лишь те, которые необходимы для данного уровня. Затем они адаптируются под заданные структурно-функциональные характеристики, учитывая отсутствие использования средств виртуализации меры по защите средств виртуализации не используются. Кроме того, не рассматриваются УПД.14 (Регламентация и контроль использования в информационной системе технологий беспроводного доступа) и УПД.15 (Регламентация и контроль использования в информационной системе мобильных технических средств), ЗИС.20 (Защита беспроводных соединений, применяемых в информационной системе) из-за отсутствия технологий беспроводного доступа и мобильных устройств. ИАФ.6 Идентификация и аутентификация пользователей, не являющихся работниками оператора (внешних пользователей) также исключаются из общего списка угроз в виду отсутствия внешних пользователей.
Далее, используя список угроз, определенных в первом разделе происходит уточнение мер для их нейтрализации, кроме мер из приказа ФСТЭК №21 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных», также используется несколько мер из приказа ФСТЭК №17 «Требования о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах» и организационных мер. Таким образом, добавились меры, приведенные в таблице №2.1. К примеру, для нейтрализации угрозы изменения компонентов системы или перехвата вводимой и выводимой на периферийные устройства информации вводится дополнительная мера установка (инсталляция) только разрешенного к использованию программного обеспечения и (или) его компонентов.
Таблица 2.1 – Уточненные меры, необходимые для нейтрализации угроз.
| Условное обозначение меры | Содержание мер по обеспечению безопасности персональных данных |
| ОПС.3 | Установка (инсталляция) только разрешенного к использованию программного обеспечения и (или) его компонентов |
| ЗТС.2 | Организация контролируемой зоны, в пределах которой постоянно размещаются стационарные технические средства, обрабатывающие информацию, и средства защиты информации, а также средства обеспечения функционирования |
| ОЦЛ.2 | Контроль целостности информации, содержащейся в базах данных информационной системы |
| ЗНИ.4 | Исключение возможности несанкционированного ознакомления с содержанием информации, хранящейся на машинных носителях, и (или) использования носителей информации в иных информационных системах |
| ЗИС.4 | Обеспечение доверенных канала, маршрута между администратором, пользователем и средствами защиты информации (функциями безопасности средств защиты информации) |
| ЗИС.21 | Исключение доступа пользователя к информации, возникшей в результате действий предыдущего пользователя через реестры, оперативную память, внешние запоминающие устройства и иные общие для пользователей ресурсы информационной системы |
| УПД.16 | Управление взаимодействием с информационными системами сторонних организаций (внешние информационные системы) |
| УПД.17 | Обеспечение доверенной загрузки средств вычислительной техники |
| ЗНИ.1 | Учет машинных носителей персональных данных |
| СОВ.1 | Обнаружение вторжений |
| ОЦЛ.1 | Контроль целостности программного обеспечения, включая программное обеспечение средств защиты информации |
| ЗИС.11 | Обеспечение подлинности сетевых соединений (сеансов взаимодействия), в том числе для защиты от подмены сетевых устройств и сервисов |
2.2 Технические средства защиты информации
В соответствии с классом защищенности информационной системы, имеющихся технических средствах и выводах сделанных о классе подходящих технических средств были подобраны средства для защиты персональных данных при их обработке в ИСПД поликлиники, они представлены в таблице 2.2.
Таблица 2.2 – Технические средства защиты информации
| Класс СЗИ | Наименование | Производитель | Сертификат ФСТЭК |
| Защита информации от НСД | Secret Net Studio 8.0 - С | ООО «Код Безопасности» | Сертификат ФСТЭК № 3675 действителен до 30.11.2019 |
| Межсетевое экранирование | |||
| Средство доверенной загрузки | |||
| Система обнаружения вторжений | Аппаратно-программный комплекс шифрования «Континент» 3.7 | Сертификат ФСТЭК № 3008 действителен до 22.11.2019 | |
| Межсетевое экранирование | |||
| Антивирусная защита | Kaspersky Endpoint Security 10 для Windows | ЗАО «Лаборатория Касперского» | Сертификат ФСТЭК № 3025 действителен до 05.12.2019 |
| Средство анализа и контроля защищенности | XSpider 7.8.24 | ООО «Позитив Технолоджис» | Сертификат ФСТЭК № 3247 действителен до 24.10.2017 |
-
Secret Net Studio 8.0 – С
Система Secret Net Studio предназначена для обеспечения безопасности информационных систем на компьютерах, функционирующих под управлением операционных систем MS Windows 10/8/7/Vista и Windows Server 2012/2008. Система имеет модульную систему и в зависимости от потребностей организации может приобретаться полностью (максимальная защита) или частично (постоянная защита), как в случае с данным предприятием, так как к сожалению пока еще не все модули прошли сертификацию ФСТЭК. Основным преимуществом Secret Net Studioм после полной сертификации будет централизованное управление, кроме того возможные конфликты между СЗИ от разных поставщиков также будут устранены.
![](https://s.studizba.com/z.php?f=/templates/si/i/noavatar.png&w=100&h=100&t=1"){kind=avatar}
