Пояснительная записка (1209492), страница 5
Текст из файла (страница 5)
Сохранение и поддержка атрибутов безопасности (меток безопасности), связанных с информацией в процессе ее хранения и обработки не реализуется в качестве обязательной меры для информационной системы любого класса защищенности.
Десятой мерой является обеспечение в информационной системе при доступе пользователей (запускаемых от их имени процессов) и (или) иных субъектов доступа к объектам доступа через информационно-телекоммуникационные сети, в том числе сети связи общего пользования, защиты информации с использованием мобильных и (или) стационарных технических средств, т.е. организация защиты удаленного доступа. Данная мера является обязательной для реализации в информационной системе с любым классом защищённости и подлежит усилению в таких системах (кроме информационной системы с 4 классом защищенности) с помощью использования автоматизированных средств для контроля доступа и конечного числа подключений к информационной системе, исключения удалённого доступа от имени администраторов для администрирования системы, а также путем контроля с целью выявления несанкционированных соединений устройств с информационной системой. В описании реализации этой меры освещены действия, необходимые для обеспечения защиты удаленного доступа при всех видах доступа, описанных в разрабатывающемся документе.
Одиннадцатая реализуемая мера – регулирование и контроль применения в информационной системе мобильных технических средств. Данная мера реализуется для всех классов защищенности. Помимо этого, для 1,2 класса защищенности администратор безопасности должен провести усиление меры обеспечением запрета использования не входящих в состав информационной системы (находящихся в личном использовании) съемных машинных носителей информации, а также запрет использования в информационной системе таких съемных машинных носителей информации, для которых не определен владелец (пользователь, организация, ответственные за принятие мер защиты информации). В описании реализации данной меры дается разъяснение того, что относится к мобильным техническим средствам, а также приводится список действий, обеспечивающих регулирование и контроль использования мобильных технических средств. В числе таких действий – установление видов доступа, разрешенных для удаленного доступа к объектам доступа информационной системы с использованием мобильных технических средств, входящих в состав информационной системы. Установлен перечень таких видов и приведен в табличном виде с указанием вида доступа и соответствующей группы пользователей.
Управление взаимодействием с внешними информационными системами является обязательной для реализации мерой в информационной системе любого класса защищенности и подлежит усилению путем предоставления доступа пользователям внешних информационных систем при наличии договора и (или) подтверждения выполнения в таких системах предъявляемых к ним требований о защите информации (например, аттестат соответствия). В описании данной меры приводится список действий, обеспечивающих управление взаимодействием с внешними информационными системами. Также в описании меры необходимо создать перечень системных учетных записей, используемых в рамках взаимодействия с информационными системами сторонних организаций и перечень прикладного программного обеспечения информационной системы, к которым разрешен доступ авторизованным (уполномоченным) пользователям из внешних информационных систем.
В целях межведомственного электронного взаимодействия, исполнения государственных и муниципальных функций, формирования базовых государственных информационных ресурсов управление взаимодействием с внешними информационными системами осуществляется, в том числе, с применением единой системы идентификации и аутентификации, которая создана на основании постановления Правительства Российской Федерации от 28 ноября 2011 г. № 977.
Последней мерой по управлению доступом субъектов доступа к объектам доступа является обеспечение доверенной загрузки средств вычислительной техники. Эта мера является обязательной в информационной системе 1 или 2 класса защищенности, усиления этой меры описаны в разработанном документе. Доверенная загрузка в информационной системе применяется на разных уровнях (уровень базовой системы ввода-вывода, уровень платы расширения и уровень загрузочной записи). В описании реализации меры для большего понимания приводится понятие доверенной загрузки и список действий, выполнение которых необходимо для обеспечения доверенной загрузки.
-
Меры по ограничению программной среды
С помощью мер, направленных на ограничение программной среды необходимо обеспечивать установку и (или) запуск только разрешенного к использованию в информационной системе программного обеспечения.
Первой реализуемой мерой является управление запуском (обращениями) компонентов программного обеспечения, в том числе определение запускаемых компонентов, настройка параметров запуска компонентов, контроль запуска компонентов программного обеспечения. Эта мера является обязательной для 1 класса защищенности и для него же подлежит усилениям, изложенным в разрабатываемых правилах. В описании меры приводятся функции, в виде которых организовывается управление запуском компонентов программного обеспечения. При описании этих функций составляется перечень компонентов программного обеспечения, запускаемых автоматически при загрузке операционной системы средства вычислительной техники.
Вторая мера – управление установкой компонентов программного обеспечения. Эта мера, в том числе, включает в себя:
-
определение компонентов, подлежащих установке;
-
настройку параметров установки компонентов;
-
контроль установки компонентов программного обеспечения;
Данная мера реализуется в информационной системе 1 и 2 класса защищенности, при этом для 1 класса защищенности мера подлежит усилению путем использования средств автоматизации для применения и контроля параметров настройки компонентов программного обеспечения, влияющих на безопасность информации. Описание меры содержит список функций, в виде которых реализовывается управление установкой компонентов программного обеспечения.
В данной информационной системе не будет применяться управление временными файлами (запрет, разрешение, перенаправление записи, удаление временных файлов), поскольку эта мера является необязательной и, по моему мнению, не способствует повышению уровня безопасности данной информационной системы.
Последней мерой по ограничению программной среды является установка только разрешенного к использованию программного обеспечения и (или) его компонентов. Мера реализуется для системы с любым классом защищенности и не подлежит обязательному усилению. В описании меры приведен перечень программного обеспечения и (или) его компонентов, разрешенных оператором к установке. Указанный перечень программного обеспечения и (или) его компонентов разрабатывается для информационной системы в целом или для всех ее сегментов или устройств в отдельности.
-
Меры по защите машинных носителей информации
С помощью мер по защите машинных носителей информации (далее – МНИ) (средства обработки (хранения) информации, съемные машинные носители информации) исключается [1]:
-
возможность несанкционированного доступа к МНИ;
-
возможность несанкционированного доступа к информации, хранящейся на МНИ;
-
несанкционированное использование съемных МНИ.
Первой мерой, направленной на защиту МНИ является их учет. Эта мера является обязательной для реализации в информационной системе любого класса защищенности, при этом для 1 и 2 класса защищенности она подлежит усилению, путем указания при маркировке МНИ дополнительной информации. В разрабатываемых правилах приводится список устройств, подлежащих учету, а также макет журнала учета МНИ, с помощью которого и осуществляется учет МНИ.
Учет встроенных в портативные или стационарные технические средства МНИ может вестись в журналах материально-технического учета в составе соответствующих технических средств. Когда в составе одного технического средства информационной системы используется несколько встроенных машинных носителей информации, конструктивно объединенных в единый ресурс для хранения информации, допускается присвоение регистрационного номера техническому средству в целом. Раздельному учету в журналах учета подлежат съемные (в том числе портативные) перезаписываемые МНИ (флэш-накопители, съемные жесткие диски).
Регистрационные или иные номера необходимо заносить в журналы учета МНИ или журналы материально-технического учета, указывая при этом пользователя или группы пользователей, которым разрешен доступ к МНИ.
Второй мерой является управление доступом к МНИ. Эта мера является обязательной для реализации в информационной системе с любым классом защищенности и не подразумевает усиления. В описании меры приводятся функции, с помощью которых эта мера осуществляется, в их числе – определение должностных лиц, имеющих физический доступ к МНИ. В документе определены такие лица и представлены в документе в виде списка.
В рамках защиты МНИ в данной информационной системе не реализуются следующие меры:
-
контроль перемещения МНИ за пределы контролируемой зоны;
-
исключение возможности несанкционированного ознакомления с содержанием информации, хранящейся на МНИ, и (или) использования носителей информации в иных информационных системах;
-
контроль подключения МНИ;
-
контроль ввода (вывода) информации на МНИ.
Эти меры являются необязательными для информационной системы с любым классом защищенности и не критичны для применения.
Третья мера по защите МНИ – контроль использования интерфейсов ввода (вывода). Мера должна быть реализована в ИС 1 или 2 класса защищенности, причем в ИС 1 класса защищенности она подлежит усилению путем регистрации интерфейсов ввода (вывода) в соответствии с правилами по регистрации событий безопасности (эти правила описаны в разработанном документе в следующем разделе). В описании данной меры приводится список действий, которые нужно выполнять для реализации данной меры, а также приводятся меры, исключающие возможность использования запрещенных интерфейсов. Помимо этого, в описании меры содержится перечень категорий пользователей, которым предоставлен доступ разрешенным интерфейсам ввода (вывода).
Последней мерой, направленной на защиту МНИ является уничтожение (стирание) информации на МНИ при их передаче между пользователями, в сторонние организации для ремонта или утилизации, а также контроль уничтожения (стирания). Она реализуется для любого класса защищенности и предполагает усиления, приведенные в разрабатываемых правилах. В этих правилах будут описаны обязанности администратора по реализации данной меры.
Уничтожение (стирание) информации на машинных носителях должно исключать возможность восстановления защищаемой информации при передаче машинных носителей между пользователями, в сторонние организации для ремонта или утилизации.
-
Меры по регистрации событий безопасности
С помощью мер по регистрации событий безопасности в информационной системе должны обеспечиваться:
-
сбор, запись, хранение и защита информации о событиях безопасности;
-
возможность просмотра и анализа информации о таких событиях и реагирование на них.
Первой реализуемой мерой является определение событий безопасности, подлежащих регистрации, и сроков их хранения. Эта мера является обязательной для реализации в информационной системе любого класса защищенности и подлежит усилению путем периодического пересмотра перечня событий безопасности, включения в этот перечень событий, связанных с действиями администраторов, изменением их учетных записей. Также мера усиливается обеспечением определенного срока хранения информации о зарегистрированных событиях. В описании меры приводится перечень событий, подлежащих регистрации, а также обязанности администратора по обеспечению данной меры.
Регистрируемые события безопасности должны определяться с учетом способов реализации угроз безопасности для информационной системы. К таким событиям необходимо отнести любые проявления состояния информационной системы и ее системы защиты информации, которые указывают на возможность нарушения конфиденциальности, целостности или доступности информации, доступности компонентов информационной системы, нарушения штатного функционирования средств защиты информации, а также на нарушение процедур, установленных организационно-распорядительными документами по защите информации администратора безопасности.
![](https://s.studizba.com/z.php?f=/templates/si/i/noavatar.png&w=100&h=100&t=1"){kind=avatar}
