Техническое задание (1209880), страница 2
Текст из файла (страница 2)
Таблица 4.1 – Параметры информационной системы
| Наименование параметра | Значение |
| Структура информационной системы | Локальная |
| Архитектура информационной системы | Файл-серверная |
| Взаимодействие с иными информационными системами | Отсутствует |
| Подключение информационной системы к сетям общего пользования и (или) сетям международного информационного обмена | Имеется |
| Размещение технических средств | ТС расположены в пределах одной контролируемой зоны |
| Режим обработки информации | Многопользовательский |
| Режим разграничения прав доступа пользователей | Система с разграничением прав доступа |
| Разделение функций по управлению информационной системой | Выделение рабочих мест для администрирования в отдельный домен |
| Сегментирование информационной системы | Система без сегментирования |
| Категории обрабатываемой информации | Общедоступная |
Угрозы безопасности информации, актуальные для учебной ИСОП, определены и обоснованы в «Модели угроз безопасности информации, обрабатываемой в учебной информационной системе общего пользования Федерального государственного бюджетного образовательного учреждения высшего образования «Дальневосточный государственный университет путей сообщения», разработанной на основании «Методики определения актуальных угроз безопасности информации в информационных системах» и других нормативно-методических документов ФСТЭК России и ФСБ России.
-
Меры по обеспечению безопасности информации
-
Определение базового набора мер защиты информации
-
В соответствие с пунктом 7 «Требований о защите информации, содержащейся в информационных системах общего пользования», утвержденными приказом ФСБ, ФСТЭК от 31 августа 2010 г. № 416/489 методы и способы защиты информации в информационных системах общего пользования определяются оператором информационной системы общего пользования и должны соответствовать этим Требованиям. Достаточность принятых мер по защите информации в информационных системах общего пользования оценивается при проведении мероприятий по созданию данных систем, а также в ходе мероприятий по контролю за их функционированием.
Для обеспечения целей модернизации учебной ИСОП (см. пункт 3.2) определение мер по обеспечению безопасности информации осуществляется в соответствии «Требованиями о защите информации, содержащейся в информационных системах общего пользования», утвержденными приказом ФСБ, ФСТЭК от 31 августа 2010 г. № 416/489 для ИСОП II класса, методическим документом «Меры защиты информации в государственных информационных системах», утвержденным ФСТЭК России 11 февраля 2014 г. с учетом «Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах», утвержденных приказом ФСТЭК России от 11 февраля 2013 г. № 17.
В таблице 5.1 приведены требования по защите информации, предъявляемые к ИСОП II класса, и меры защиты информации, реализующие эти требования.
Таблица 5.1– Требования по защите информации и реализующие их меры по обеспечению безопасности информации
Требования по защите информации | Меры защиты информации |
| Использование средств защиты информации от неправомерных действий, сертифицированных ФСБ России и (или) ФСТЭК России с учетом их компетенции, в том числе средств криптографической защиты информации (электронной цифровой подписи, при этом средства электронной цифровой подписи должны применяться к публикуемому информационному наполнению) | УПД.5. Назначение минимально необходимых прав и привилегий пользователям, администраторам и лицам, обеспечивающим функционирование информационной системы |
УПД.11. Разрешение (запрет) действий пользователей, разрешенных до идентификации и аутентификации | |
УПД.15. Регламентация и контроль использования в информационной системе мобильных технических средств | |
УПД.14. Регламентация и контроль использования в информационной системе технологий беспроводного доступа | |
РСБ.7. Защита информации о событиях безопасности | |
ОЦЛ.2. Контроль целостности информации, содержащейся в базах данных информационной системы | |
ОЦЛ.5. Контроль содержания информации, передаваемой из информационной системы (контейнерный, основанный на свойствах объекта доступа, и контентный, основанный на поиске запрещенной к передаче информации с использованием сигнатур, масок и иных методов), и исключение неправомерной передачи информации из информационной системы | |
ОЦЛ.6. Ограничение прав пользователей по вводу информации в информационную систему | |
ЗИС.3. Обеспечение защиты информации от раскрытия, модификации и навязывания (ввода ложной информации) при ее передаче (подготовке к передаче) по каналам связи, имеющим выход за пределы контролируемой зоны, в том числе беспроводным каналам связи | |
ЗИС.6. Передача и контроль целостности атрибутов безопасности (меток безопасности), связанных с информацией, при обмене информацией с иными информационными системами | |
ЗИС.15. Защита архивных файлов, параметров настройки средств защиты информации и программного обеспечения и иных данных, не подлежащих изменению в процессе обработки информации | |
ЗСВ.6. Управление перемещением виртуальных машин (контейнеров) и обрабатываемых на них данных | |
ЗИС.3. Обеспечение защиты информации от раскрытия, модификации и навязывания (ввода ложной информации) при ее передаче (подготовке к передаче) по каналам связи, имеющим выход за пределы контролируемой зоны, в том числе беспроводным каналам связи | |
ЗИС.5. Запрет несанкционированной удаленной активации видеокамер, микрофонов и иных периферийных устройств, которые могут активироваться удаленно, и оповещение пользователей об активации таких устройств | |
ЗИС.7. Контроль санкционированного и исключение несанкционированного использования технологий мобильного кода, в том числе регистрация событий, связанных с использованием технологий мобильного кода, их анализ и реагирование на нарушения, связанные с использованием технологий мобильного кода | |
ЗИС.8. Контроль санкционированного и исключение несанкционированного использования технологий передачи речи, в том числе регистрация событий, связанных с использованием технологий передачи речи, их анализ и реагирование на нарушения, связанные с использованием технологий передачи речи | |
ЗИС.9. Контроль санкционированной и исключение несанкционированной передачи видеоинформации, в том числе регистрация событий, связанных с передачей видеоинформации, их анализ и реагирование на нарушения, связанные с передачей видеоинформации | |
ЗИС.20. Защита беспроводных соединений, применяемых в информационной системе | |
ЗИС.30. Защита мобильных технических средств, применяемых в информационной системе | |
| Использование средств обнаружения вредоносного программного обеспечения, в том числе антивирусных средств, сертифицированных ФСБ России и (или) ФСТЭК России с учетом их компетенции | АВЗ.1. Реализация антивирусной защиты |
АВЗ.2. Обновление базы данных признаков вредоносных компьютерных программ (вирусов) | |
ЗСВ.9. Реализация и управление антивирусной защитой в виртуальной инфраструктуре | |
ЗИС.30. Защита мобильных технических средств, применяемых в информационной системе | |
| Использование средств контроля доступа к информации, в том числе средств обнаружения компьютерных атак, сертифицированных ФСБ России и (или) ФСТЭК России с учетом их компетенции | ИАФ.1. Идентификация и аутентификация администраторов информационной системы и преподавателей |
ИАФ.3. Управление идентификаторами, в том числе создание, присвоение, уничтожение идентификаторов | |
ИАФ.4. Управление средствами аутентификации, в том числе хранение, выдача, инициализация, блокирование средств аутентификации и принятие мер в случае утраты и (или) компрометации средств аутентификации | |
ИАФ.5. Защита обратной связи при вводе аутентификационной информации | |
ИАФ.6. Идентификация и аутентификация пользователей, не являющихся работниками оператора (внешних пользователей) | |
УПД.1. Управление (заведение, активация, блокирование и уничтожение) учетными записями пользователей, в том числе внешних пользователей | |
УПД.2. Реализация необходимых методов (дискреционный, мандатный, ролевой или иной метод), типов (чтение, запись, выполнение или иной тип) и правил разграничения доступа | |
УПД.4. Разделение полномочий (ролей) пользователей, администраторов и лиц, обеспечивающих функционирование информационной системы | |
УПД.5. Назначение минимально необходимых прав и привилегий пользователям, администраторам и лицам, обеспечивающим функционирование информационной системы | |
УПД.6. Ограничение неуспешных попыток входа в информационную систему (доступа к информационной системе) | |
УПД.9. Ограничение числа параллельных сеансов доступа для каждой учетной записи пользователя информационной системы | |
УПД.10. Блокирование сеанса доступа в информационную систему после установленного времени бездействия (неактивности) пользователя или по его запросу | |
УПД.13. Реализация защищенного удаленного доступа субъектов доступа к объектам доступа через внешние информационно-телекоммуникационные сети (как обосновать удаление меры) | |
УПД.16. Управление взаимодействием с информационными системами сторонних организаций (внешние информационные системы) | |
УПД.17. Обеспечение доверенной загрузки средств вычислительной техники | |
РСБ.7. Защита информации о событиях безопасности | |
СОВ.1. Обнаружение вторжений | |
СОВ.2. Обновление базы решающих правил | |
ЗСВ.1. Идентификация и аутентификация субъектов доступа и объектов доступа в виртуальной инфраструктуре, в том числе администраторов управления средствами виртуализации | |
ЗСВ.2. Управление доступом субъектов доступа к объектам доступа в виртуальной инфраструктуре, в том числе внутри виртуальных машин | |
ЗСВ.5. Доверенная загрузка серверов виртуализации, виртуальной машины (контейнера), серверов управления виртуализацией | |
ЗИС.6. Передача и контроль целостности атрибутов безопасности (меток безопасности), связанных с информацией, при обмене информацией с иными информационными системами | |
ЗИС.20. Защита беспроводных соединений, применяемых в информационной системе | |
ЗИС.30. Защита мобильных технических средств, применяемых в информационной системе | |
| Использование средств фильтрации и блокирования сетевого трафика, в том числе средств межсетевого экранирования, сертифицированных ФСБ России и (или) ФСТЭК России с учетом их компетенции | УПД.3. Управление (фильтрация, маршрутизация, контроль соединений, однонаправленная передача и иные способы управления) информационными потоками между устройствами, сегментами информационной системы, а также между информационными системами |
ЗСВ.4. Управление (фильтрация, маршрутизация, контроль соединения, однонаправленная передача) потоками информации между компонентами виртуальной инфраструктуры, а также по периметру виртуальной инфраструктуры | |
| Осуществление локализации и ликвидации неблагоприятных последствий нарушения порядка доступа к информации | ОЦЛ.3 Обеспечение возможности восстановления программного обеспечения, включая программное обеспечение средств защиты информации, при возникновении нештатных ситуаций |
ОДТ.3. Контроль безотказного функционирования технических средств, обнаружение и локализация отказов функционирования, принятие мер по восстановлению отказавших средств и их тестирование | |
АНЗ.1. Выявление, анализ уязвимостей информационной системы и оперативное устранение вновь выявленных уязвимостей | |
АНЗ.5. Контроль правил генерации и смены паролей пользователей, заведения и удаления учетных записей пользователей, реализации правил разграничения доступом, полномочий пользователей в информационной системе | |
ОДТ.2. Резервирование технических средств, программного обеспечения, каналов передачи информации, средств обеспечения функционирования информационной системы | |
ОДТ.5. Обеспечение возможности восстановления информации с резервных машинных носителей информации (резервных копий) в течении установленного временного интервала | |
ЗСВ.8. Резервное копирование данных, резервирование технических средств, программного обеспечения виртуальной инфраструктуры, а также каналов связи внутри виртуальной инфраструктуры | |
| Осуществление записи и хранения сетевого трафика при обращении к государственным информационным ресурсам за последние сутки и более и предоставление доступа к записям по запросам уполномоченных государственных органов, осуществляющих оперативно-розыскную деятельность | РСБ.1 Определение событий безопасности, подлежащих регистрации, и сроков их хранения |
РСБ.2 Определение состава и содержания информации о событиях безопасности, подлежащих регистрации | |
РСБ.3 Сбор, запись и хранение информации о событиях безопасности в течение установленного времени хранения | |
РСБ.8. Обеспечение возможности просмотра и анализа информации о действиях отдельных пользователей в информационной системе | |
| Обеспечение защиты от воздействий на технические и программные средства информационных систем общего пользования, в результате которых нарушается их функционирование, и несанкционированного доступа к помещениям, в которых находятся данные средства | ОПС.1. Управление запуском (обращениями) компонентов программного обеспечения, в том числе определение запускаемых компонентов, настройка параметров запуска компонентов, контроль за запуском компонентов программного обеспечения |
ОПС.2. Управление установкой (инсталляцией) компонентов программного обеспечения, в том числе определение компонентов, подлежащих установке, настройка параметров установки компонентов, контроль за установкой компонентов программного обеспечения | |
ОПС.3. Установка (инсталляция) только разрешенного к использованию программного обеспечения и (или) его компонентов | |
ОПС.4. Управление временными файлами, в том числе запрет, разрешение, перенаправление записи, удаление временных файлов | |
ЗНИ 1. Учет машинных носителей информации, встроенных в корпус средств вычислительной техники (накопителей на жестких дисках) | |
ЗНИ.2. Управление доступом к машинным носителям информации, встроенным в корпус средств вычислительной техники (накопителям на жестких дисках) | |
ЗНИ.3 Контроль перемещения машинных носителей информации, встроенных в корпус средств вычислительной техники (накопителей на жестких дисках), за пределы контролируемой зоны | |
АНЗ.1. Выявление, анализ уязвимостей информационной системы и оперативное устранение вновь выявленных уязвимостей | |
АНЗ.2. Контроль установки обновлений программного обеспечения, включая обновление программного обеспечения средств защиты информации | |
АНЗ.3. Контроль работоспособности, параметров настройки и правильности функционирования программного обеспечения и средств защиты информации | |
АНЗ.4. Контроль состава технических средств, программного обеспечения и средств защиты информации | |
РСБ.4. Реагирование на сбои при регистрации событий безопасности, в том числе аппаратные и программные ошибки, сбои в механизмах сбора информации и достижение предела или переполнения объема (емкости) памяти | |
ОЦЛ.1. Контроль целостности программного обеспечения, включая программное обеспечение средств защиты информации | |
ОЦЛ.3. Обеспечение возможности восстановления программного обеспечения, включая программное обеспечение средств защиты информации, при возникновении нештатных ситуаций | |
ОДТ.3. Контроль безотказного функционирования технических средств, обнаружение и локализация отказов функционирования, принятие мер по восстановлению отказавших средств и их тестирование | |
ЗТС.2. Организация контролируемой зоны, в пределах которой постоянно размещаются стационарные технические средства, обрабатывающие информацию, и средства защиты информации, а также средства обеспечения функционирования | |
ЗТС.3. Контроль и управление физическим доступом к техническим средствам, средствам защиты информации, средствам обеспечения функционирования, а также в помещения и сооружения, в которых они установлены, исключающие несанкционированный физический доступ к средствам обработки информации, средствам защиты информации и средствам обеспечения функционирования информационной системы и помещения и сооружения, в которых они установлены | |
ЗТС.5. Защита от внешних воздействий (воздействий окружающей среды, нестабильности электроснабжения, кондиционирования и иных внешних факторов) | |
ЗИС.22. Защита информационной системы от угроз безопасности информации, направленных на отказ в обслуживании информационной системы | |
ЗИС.23. Защита периметра (физических и (или) логических границ) информационной системы при ее взаимодействии с иными информационными системами и информационно- телекоммуникационными сетями | |
ЗСВ.7. Контроль целостности виртуальной инфраструктуры и ее конфигураций | |
ЗИС.30. Защита мобильных технических средств, применяемых в информационной системе | |
| Осуществление регистрации действий обслуживающего персонала | РСБ.1. Определение событий безопасности, подлежащих регистрации, и сроков их хранения |
РСБ.2. Определение состава и содержания информации о событиях безопасности, подлежащих регистрации | |
РСБ.3. Сбор, запись и хранение информации о событиях безопасности в течении установленного времени хранения | |
РСБ.5. Мониторинг (просмотр, анализ) результатов регистрации событий безопасности и реагирование на них | |
РСБ.6. Генерирование временных меток и (или) синхронизация системного времени в информационной системе | |
РСБ.8. Обеспечение возможности просмотра и анализа информации о действиях отдельных пользователей в информационной системе | |
ЗСВ.3. Регистрация событий безопасности в виртуальной инфраструктуре | |
ЗИС.7. Контроль санкционированного и исключение несанкционированного использования технологий мобильного кода, в том числе регистрация событий, связанных с использованием технологий мобильного кода, их анализ и реагирование на нарушения, связанные с использованием технологий мобильного кода | |
ЗИС.8. Контроль санкционированного и исключение несанкционированного использования технологий передачи речи, в том числе регистрация событий, связанных с использованием технологий передачи речи, их анализ и реагирование на нарушения, связанные с использованием технологий передачи речи | |
ЗИС.9. Контроль санкционированной и исключение несанкционированной передачи видеоинформации, в том числе регистрация событий, связанных с передачей видеоинформации, их анализ и реагирование на нарушения, связанные с передачей видеоинформации | |
ЗИС.20. Защита беспроводных соединений, применяемых в информационной системе | |
ЗИС.30. Защита мобильных технических средств, применяемых в информационной системе | |
| Обеспечение частичного резервирования технических средств и дублирования массивов информации | ОДТ.2. Резервирование технических средств, программного обеспечения, каналов передачи информации, средств обеспечения функционирования информационной системы |
ОДТ.4. Периодическое резервное копирование информации на резервные машинные носители информации | |
ОДТ.5. Обеспечение возможности восстановления информации с резервных машинных носителей информации (резервных копий) в течении установленного временного интервала | |
ЗСВ.8. Резервное копирование данных, резервирование технических средств, программного обеспечения виртуальной инфраструктуры, а также каналов связи внутри виртуальной инфраструктуры | |
| Использование систем обеспечения гарантированного электропитания (источников бесперебойного питания) | ОДТ.2. Резервирование технических средств, программного обеспечения, каналов передачи информации, средств обеспечения функционирования информационной системы |
ЗТС.5. Защита от внешних воздействий (воздействий окружающей среды, нестабильности электроснабжения, кондиционирования и иных внешних факторов) |
В таблице 5.2 представлен базовый набор мер, основанный на требованиях по защите информации, предъявляемых к ИСОП II класса.
Таблица 5.2 – Базовый набор мер защиты информации
| Условное обозначение меры | Мера защиты информации в информационных системах |
| Идентификация и аутентификация субъектов доступа и объектов доступа (ИАФ) | |
| ИАФ.1 | Идентификация и аутентификация администраторов информационной системы и преподавателей |
| ИАФ.3 | Управление идентификаторами, в том числе создание, присвоение, уничтожение идентификаторов |
| ИАФ.4 | Управление средствами аутентификации, в том числе хранение выдача, инициализация, блокирование средств аутентификации и принятие мер в случае утраты и (или) компрометации средств аутентификации |
| ИАФ.5 | Защита обратной связи при вводе аутентификационной информации |
| ИАФ.6 | Идентификация и аутентификация пользователей, не являющихся работниками оператора (внешних пользователей) |
| Управление доступом субъектов доступа к объектам доступа (УПД) | |
| УПД.1 | Управление (заведение, активация, блокирование и уничтожение) учетными записями пользователей, в том числе внешних пользователей |
| УПД.2 | Реализация необходимых методов (дискреционный, мандатный, ролевой или иной метод), типов (чтение, запись, выполнение или иной тип) и правил разграничения доступа |
| УПД.3 | Управление (фильтрация, маршрутизация, контроль соединений, однонаправленная передача и иные способы управления) информационными потоками между устройствами, сегментами информационной системы, а также между информационными системами |
| УПД.4 | Разделение обязанностей полномочий (ролей), администраторов и лиц, обеспечивающих функционирование информационной системы |
| УПД.5 | Назначение минимально необходимых прав и привилегий пользователям, администраторам и лицам, обеспечивающим функционирование информационной системы |
| УПД.6 | Ограничение неуспешных попыток входа в информационную систему (доступа к информационной системе) |
| УПД.9 | Ограничение числа параллельных сеансов доступа для каждой учетной записи пользователя информационной системы |
| УПД.10 | Блокирование сеанса доступа в информационную систему после установленного времени бездействия (неактивности) пользователя или по его запросу |
| УПД.11 | Разрешение (запрет) действий пользователей, разрешенных до идентификации и аутентификации |
| УПД.13 | Реализация защищенного удаленного доступа субъектов доступа к объектам доступа через внешние информационно-телекоммуникационные сети |
| УПД.14 | Регламентация и контроль использования в информационной системе технологий беспроводного доступа |
| УПД.15 | Регламентация и контроль использования в информационной системе мобильных технических средств |
| УПД.16 | Управление взаимодействием с информационными системами сторонних организаций (внешние информационные системы) |
| УПД.17 | Обеспечение доверенной загрузки средств вычислительной техники |
| Ограничение программной среды (ОПС) | |
| ОПС.1 | Управление запуском (обращениями) компонентов программного обеспечения, в том числе определение запускаемых компонентов, настройка параметров запуска компонентов, контроль за запуском компонентов программного обеспечения |
| ОПС.2 | Управление установкой (инсталляцией) компонентов программного обеспечения, в том числе определение компонентов, подлежащих установке, настройка параметров установки компонентов, контроль за установкой компонентов программного обеспечения |
| ОПС.3 | Установка (инсталляция) только разрешенного к использованию программного обеспечения и (или) его компонентов |
| ОПС.4 | Управление временными файлами, в том числе запрет, разрешение, перенаправление записи, удаление временных файлов |
| Защита машинных носителей информации (ЗНИ) | |
| ЗНИ.1 | Учет машинных носителей информации, встроенных в корпус средств вычислительной техники (накопителей на жестких дисках) |
| ЗНИ.2 | Управление доступом к машинным носителям информации, встроенным в корпус средств вычислительной техники (накопителям на жестких дисках) |
| ЗНИ.3 | Контроль перемещения машинных носителей информации, встроенных в корпус средств вычислительной техники (накопителей на жестких дисках) за пределы контролируемой зоны |
| Регистрация событий безопасности (РСБ) | |
| РСБ.1 | Определение событий безопасности, подлежащих регистрации, и сроков их хранения |
| РСБ.2 | Определение состава и содержания информации о событиях безопасности, подлежащих регистрации |
| РСБ.3 | Сбор, запись и хранение информации о событиях безопасности в течение установленного времени хранения |
| РСБ.4 | Реагирование на сбои при регистрации событий безопасности, в том числе аппаратные и программные ошибки, сбои в механизмах сбора информации и достижение предела или переполнения объема (емкости) памяти |
| РСБ.5 | Мониторинг (просмотр, анализ) результатов регистрации событий безопасности и реагирование на них |
| РСБ.6 | Генерирование временных меток и (или) синхронизация системного времени в информационной системе |
| РСБ.7 | Защита информации о событиях безопасности |
| РСБ.8 | Обеспечение возможности просмотра и анализа информации о действиях отдельных пользователей в информационной системе |
| Антивирусная защита (АВЗ) | |
| АВЗ.1 | Реализация антивирусной защиты |
| АВЗ.2 | Обновление базы данных признаков вредоносных компьютерных программ (вирусов) |
| Обнаружение вторжений (СОВ) | |
| СОВ.1 | Обнаружение вторжений |
| СОВ.2 | Обновление базы решающих правил |
| Контроль (анализ) защищенности информации (АНЗ) | |
| АНЗ.1 | Выявление, анализ уязвимостей информационной системы и оперативное устранение вновь выявленных уязвимостей |
| АНЗ.2 | Контроль установки обновлений программного обеспечения, включая обновление программного обеспечения средств защиты информации |
| АНЗ.3 | Контроль работоспособности, параметров настройки и правильности функционирования программного обеспечения и средств защиты информации |
| АНЗ.4 | Контроль состава технических средств, программного обеспечения и средств защиты информации |
| АНЗ.5 | Контроль правил генерации и смены паролей пользователей, заведения и удаления учетных записей пользователей, реализации правил разграничения доступом, полномочий пользователей в информационной системе |
| Обеспечение целостности информационной системы и информации (ОЦЛ) | |
| ОЦЛ.1 | Контроль целостности программного обеспечения, включая программное обеспечение средств защиты информации |
| ОЦЛ.2 | Контроль целостности информации, содержащейся в базах данных информационной системы |
| ОЦЛ.3 | Обеспечение возможности восстановления программного обеспечения, включая программное обеспечение средств защиты информации, при возникновении нештатных ситуаций |
| ОЦЛ.5 | Контроль содержания информации, передаваемой из информационной системы (контейнерный, основанный на свойствах объекта доступа, и контентный, основанный на поиске запрещенной к передаче информации с использованием сигнатур, масок и иных методов), и исключение неправомерной передачи информации из информационной системы |
| ОЦЛ.6 | Ограничение прав пользователей по вводу информации в информационную систему |
| Обеспечение доступности информации (ОДТ) | |
| ОДТ.2 | Резервирование технических средств, программного обеспечения, каналов передачи информации, средств обеспечения функционирования информационной системы |
| ОДТ.3 | Контроль безотказного функционирования технических средств, обнаружение и локализация отказов функционирования, принятие мер по восстановлению отказавших средств и их тестирование |
| ОДТ.4 | Периодическое резервное копирование информации на резервные машинные носители информации |
| ОДТ.5 | Обеспечение возможности восстановления информации с резервных машинных носителей информации (резервных копий) в течении установленного временного интервала |
| Защита среды виртуализации (ЗСВ) | |
| ЗСВ1 | Идентификация и аутентификация субъектов доступа и объектов доступа в виртуальной инфраструктуре, в том числе администраторов управления средствами виртуализации |
| ЗСВ2 | Управление доступом субъектов доступа к объектам доступа в виртуальной инфраструктуре, в том числе внутри виртуальных машин |
| ЗСВ3 | Регистрация событий безопасности в виртуальной инфраструктуре |
| ЗСВ.4 | Управление (фильтрация, маршрутизация, контроль соединения, однонаправленная передача) потоками информации между компонентами виртуальной инфраструктуры, а также по периметру виртуальной инфраструктуры |
| ЗСВ.5 | Доверенная загрузка серверов виртуализации, виртуальной машины (контейнера), серверов управления виртуализацией |
| ЗСВ.6 | Управление перемещением виртуальных машин (контейнеров) и обрабатываемых на них данных |
| ЗСВ.7 | Контроль целостности виртуальной инфраструктуры и ее конфигураций |
| ЗСВ.8 | Резервное копирование данных, резервирование технических средств, программного обеспечения виртуальной инфраструктуры, а также каналов связи внутри виртуальной инфраструктуры |
| ЗСВ.9 | Реализация и управление антивирусной защитой в виртуальной инфраструктуре |
| Защита технических средств (ЗТС) | |
| ЗТС.2 | Организация контролируемой зоны, в пределах которой постоянно размещаются стационарные технические средства, обрабатывающие информацию, и средства защиты информации, а также средства обеспечения функционирования |
| ЗТС.3 | Контроль и управление физическим доступом к техническим средствам, средствам защиты информации, средствам обеспечения функционирования, а также в помещения и сооружения, в которых они установлены, исключающие несанкционированный физический доступ к средствам обработки информации, средствам защиты информации и средствам обеспечения функционирования информационной системы и помещения и сооружения, в которых они установлены |
| ЗТС.5 | Защита от внешних воздействий (воздействий окружающей среды, нестабильности электроснабжения, кондиционирования и иных внешних факторов) |
| Защита информационной системы, ее средств, систем связи и передачи данных (ЗИС) | |
| ЗИС.3 | Обеспечение защиты информации от раскрытия, модификации и навязывания (ввода ложной информации) при ее передаче (подготовке к передаче) по каналам связи, имеющим выход за пределы контролируемой зоны, в том числе беспроводным каналам связи |
| ЗИС.5 | Запрет несанкционированной удаленной активации видеокамер, микрофонов и иных периферийных устройств, которые могут активироваться удаленно, и оповещение пользователей об активации таких устройств |
| ЗИС.6 | Передача и контроль целостности атрибутов безопасности (меток безопасности), связанных с информацией, при обмене информацией с иными информационными системами |
| ЗИС.7 | Контроль санкционированного и исключение несанкционированного использования технологий мобильного кода, в том числе регистрация событий, связанных с использованием технологий мобильного кода, их анализ и реагирование на нарушения, связанные с использованием технологий мобильного кода |
| ЗИС.8 | Контроль санкционированного и исключение несанкционированного использования технологий передачи речи, в том числе регистрация событий, связанных с использованием технологий передачи речи, их анализ и реагирование на нарушения, связанные с использованием технологий передачи речи |
| ЗИС.9 | Контроль санкционированной и исключение несанкционированной передачи видеоинформации, в том числе регистрация событий, связанных с передачей видеоинформации, их анализ и реагирование на нарушения, связанные с передачей видеоинформации |
| ЗИС.15 | Защита архивных файлов, параметров настройки средств защиты информации и программного обеспечения и иных данных, не подлежащих изменению в процессе обработки информации |
| ЗИС20 | Защита беспроводных соединений, применяемых в информационной системе |
| ЗИС.22 | Защита информационной системы от угроз безопасности информации, направленных на отказ в обслуживании информационной системы |
| ЗИС.23 | Защита периметра (физических и (или) логических границ) информационной системы при ее взаимодействии с иными информационными системами и информационно- телекоммуникационными сетями |
| ЗИС.30 | Защита мобильных технических средств, применяемых в информационной системе |
-
Адаптация базового набора мер защиты информации
Под адаптацией базового набора мер защиты информации подразумевается исключение мер базового набора в соответствии со структурно-функциональными характеристиками информационной системы, информационными технологиями и особенностями функционирования информационной системы.
Исключенные меры защиты информации и причины их исключения представлены в таблице 5.2.
Таблица 5.2 – Исключенные меры защиты информации
| Условное обозначение меры | Меры защиты информации в информационных системах | Причины исключения меры |
| ИАФ.6 | Идентификация и аутентификация пользователей, не являющихся работниками оператора (внешних пользователей) | В Учебной ИСОП отсутствуют внешние пользователи |
| УПД.13 | Реализация защищенного удаленного доступа субъектов доступа к объектам доступа через внешние информационно-телекоммуникационные сети | В Учебной ИСОП не используются технологии удаленного доступа |
| УПД.14 | Регламентация и контроль использования в информационной системе технологий беспроводного доступа | В учебной ИСОП не используются технологии беспроводного доступа |
| УПД15 | Регламентация и контроль использования в информационной системе мобильных технических средств | В учебной ИСОП не используются мобильные технические средства |
| УПД16 | Управление взаимодействием с информационными системами сторонних организаций (внешние информационные системы) | В учебной ИСОП отсутствует взаимодействие с иными информационными системами |
| ОЦЛ.2 | Контроль целостности информации, содержащейся в базах данных информационной системы | В учебной ИСОП отсутствуют базы данных |
| ОЦЛ.5 | Контроль содержания информации, передаваемой из информационной системы (контейнерный, основанный на свойствах объекта доступа, и контентный, основанный на поиске запрещенной к передаче информации с использованием сигнатур, масок и иных методов), и исключение неправомерной передачи информации из информационной системы | В учебной ИСОП защищаемая информация является общедоступной, отсутствует взаимодействие с иными информационными системами |
| ЗСВ1 | Идентификация и аутентификация субъектов доступа и объектов доступа в виртуальной инфраструктуре, в том числе администраторов управления средствами виртуализации | В учебной ИСОП не используются средства виртуализации |
| ЗСВ2 | Управление доступом субъектов доступа к объектам доступа в виртуальной инфраструктуре, в том числе внутри виртуальных машин | В учебной ИСОП не используются средства виртуализации |
| ЗСВ3 | Регистрация событий безопасности в виртуальной инфраструктуре | В учебной ИСОП не используются средства виртуализации |
| ЗСВ.4 | Управление (фильтрация, маршрутизация, контроль соединения, однонаправленная передача) потоками информации между компонентами виртуальной инфраструктуры, а также по периметру виртуальной инфраструктуры | В учебной ИСОП не используются средства виртуализации |
| ЗСВ.5 | Доверенная загрузка серверов виртуализации, виртуальной машины (контейнера), серверов управления виртуализацией | В учебной ИСОП не используются средства виртуализации |
| ЗСВ.6 | Управление перемещением виртуальных машин (контейнеров) и обрабатываемых на них данных | В учебной ИСОП не используются средства виртуализации |
| ЗСВ.7 | Контроль целостности виртуальной инфраструктуры и ее конфигураций | В учебной ИСОП не используются средства виртуализации |
| ЗСВ.8 | Резервное копирование данных, резервирование технических средств, программного обеспечения виртуальной инфраструктуры, а также каналов связи внутри виртуальной инфраструктуры | В учебной ИСОП не используются средства виртуализации |
| ЗСВ.9 | Реализация и управление антивирусной защитой в виртуальной инфраструктуре | В учебной ИСОП не используются средства виртуализации |
| ЗИС.3 | Обеспечение защиты информации от раскрытия, модификации и навязывания (ввода ложной информации) при ее передаче (подготовке к передаче) по каналам связи, имеющим выход за пределы контролируемой зоны, в том числе беспроводным каналам связи | В учебной ИСОП отсутствует взаимодействие с иными информационными системами |
| ЗИС.5 | Запрет несанкционированной удаленной активации видеокамер, микрофонов и иных периферийных устройств, которые могут активироваться удаленно, и оповещение пользователей об активации таких устройств | В учебной ИСОП отсутствуют периферийные устройства с возможностью удаленной активации, с возможностью управления через компоненты программного обеспечения коммуникационных сервисов сторонних лиц. Коммуникационные сервисы сторонних лиц не используются |
| ЗИС.6 | Передача и контроль целостности атрибутов безопасности (меток безопасности), связанных с информацией, при обмене информацией с иными информационными системами | Взаимодействие с иными информационными системами отсутствует |
| ЗИС.8 | Контроль санкционированного и исключение несанкционированного использования технологий передачи речи, в том числе регистрация событий, связанных с использованием технологий передачи речи, их анализ и реагирование на нарушения, связанные с использованием технологий передачи речи | В учебной ИСОП не используются технологии передачи речи |
| ЗИС.9 | Контроль санкционированной и исключение несанкционированной передачи видеоинформации, в том числе регистрация событий, связанных с передачей видеоинформации, их анализ и реагирование на нарушения, связанные с передачей видеоинформации | В учебной ИСОП не обрабатывается видеоинформация |
| ЗИС20 | Защита беспроводных соединений, применяемых в информационной системе | В учебной ИСОП не используются беспроводные технологии |
| ЗИС.30 | Защита мобильных технических средств, применяемых в информационной системе | В учебной ИСОП не используются мобильные технические средства |
В таблице 5.3 представлен адаптированный базовый набор мер защиты информации.
Таблица 5.3 – Адаптированный базовый набор мер защиты информации
| Условное обозначение меры | Мера защиты информации в информационных системах |
| Идентификация и аутентификация субъектов доступа и объектов доступа (ИАФ) | |
| ИАФ.1 | Идентификация и аутентификация администраторов информационной системы и преподавателей |
| ИАФ.3 | Управление идентификаторами, в том числе создание, присвоение, уничтожение идентификаторов |
| ИАФ.4 | Управление средствами аутентификации, в том числе хранение выдача, инициализация, блокирование средств аутентификации и принятие мер в случае утраты и (или) компрометации средств аутентификации |
| ИАФ.5 | Защита обратной связи при вводе аутентификационной информации |
| Управление доступом субъектов доступа к объектам доступа (УПД) | |
| УПД.1 | Управление (заведение, активация, блокирование и уничтожение) учетными записями пользователей, в том числе внешних пользователей |
| УПД.2 | Реализация необходимых методов (дискреционный, мандатный, ролевой или иной метод), типов (чтение, запись, выполнение или иной тип) и правил разграничения доступа |
| УПД.3 | Управление (фильтрация, маршрутизация, контроль соединений, однонаправленная передача и иные способы управления) информационными потоками между устройствами, сегментами информационной системы, а также между информационными системами |
| УПД.4 | Разделение обязанностей полномочий (ролей), администраторов и лиц, обеспечивающих функционирование информационной системы |
| УПД.5 | Назначение минимально необходимых прав и привилегий пользователям, администраторам и лицам, обеспечивающим функционирование информационной системы |
| УПД.6 | Ограничение неуспешных попыток входа в информационную систему (доступа к информационной системе) |
| УПД.9 | Ограничение числа параллельных сеансов доступа для каждой учетной записи пользователя информационной системы |
| УПД.10 | Блокирование сеанса доступа в информационную систему после установленного времени бездействия (неактивности) пользователя или по его запросу |
| УПД.11 | Разрешение (запрет) действий пользователей, разрешенных до идентификации и аутентификации |
| УПД.17 | Обеспечение доверенной загрузки средств вычислительной техники |
| Ограничение программной среды (ОПС) | |
| ОПС.1 | Управление запуском (обращениями) компонентов программного обеспечения, в том числе определение запускаемых компонентов, настройка параметров запуска компонентов, контроль за запуском компонентов программного обеспечения |
| ОПС.2 | Управление установкой (инсталляцией) компонентов программного обеспечения, в том числе определение компонентов, подлежащих установке, настройка параметров установки компонентов, контроль за установкой компонентов программного обеспечения |
| ОПС.3 | Установка (инсталляция) только разрешенного к использованию программного обеспечения и (или) его компонентов |
| ОПС.4 | Управление временными файлами, в том числе запрет, разрешение, перенаправление записи, удаление временных файлов |
| Защита машинных носителей информации (ЗНИ) | |
| ЗНИ.1 | Учет машинных носителей информации, встроенных в корпус средств вычислительной техники (накопителей на жестких дисках) |
| ЗНИ.2 | Управление доступом к машинным носителям информации, встроенным в корпус средств вычислительной техники (накопителям на жестких дисках) |
| ЗНИ.3 | Контроль перемещения машинных носителей информации, встроенных в корпус средств вычислительной техники (накопителей на жестких дисках) за пределы контролируемой зоны |
| Регистрация событий безопасности (РСБ) | |
| РСБ.1 | Определение событий безопасности, подлежащих регистрации, и сроков их хранения |
| РСБ.2 | Определение состава и содержания информации о событиях безопасности, подлежащих регистрации |
| РСБ.3 | Сбор, запись и хранение информации о событиях безопасности в течение установленного времени хранения |
| РСБ.4 | Реагирование на сбои при регистрации событий безопасности, в том числе аппаратные и программные ошибки, сбои в механизмах сбора информации и достижение предела или переполнения объема (емкости) памяти |
| РСБ.5 | Мониторинг (просмотр, анализ) результатов регистрации событий безопасности и реагирование на них |
| РСБ.6 | Генерирование временных меток и (или) синхронизация системного времени в информационной системе |
| РСБ.7 | Защита информации о событиях безопасности |
| РСБ.8 | Обеспечение возможности просмотра и анализа информации о действиях отдельных пользователей в информационной системе |
| Антивирусная защита (АВЗ) | |
| АВЗ.1 | Реализация антивирусной защиты |
| АВЗ.2 | Обновление базы данных признаков вредоносных компьютерных программ (вирусов) |
| Обнаружение вторжений (СОВ) | |
| СОВ.1 | Обнаружение вторжений |
| СОВ.2 | Обновление базы решающих правил |
| Контроль (анализ) защищенности информации (АНЗ) | |
| АНЗ.1 | Выявление, анализ уязвимостей информационной системы и оперативное устранение вновь выявленных уязвимостей |
| АНЗ.2 | Контроль установки обновлений программного обеспечения, включая обновление программного обеспечения средств защиты информации |
| АНЗ.3 | Контроль работоспособности, параметров настройки и правильности функционирования программного обеспечения и средств защиты информации |
| АНЗ.4 | Контроль состава технических средств, программного обеспечения и средств защиты информации |
| АНЗ.5 | Контроль правил генерации и смены паролей пользователей, заведения и удаления учетных записей пользователей, реализации правил разграничения доступом, полномочий пользователей в информационной системе |
| Обеспечение целостности информационной системы и информации (ОЦЛ) | |
| ОЦЛ.1 | Контроль целостности программного обеспечения, включая программное обеспечение средств защиты информации |
| ОЦЛ.3 | Обеспечение возможности восстановления программного обеспечения, включая программное обеспечение средств защиты информации, при возникновении нештатных ситуаций |
| ОЦЛ.6 | Ограничение прав пользователей по вводу информации в информационную систему |
| Обеспечение доступности информации (ОДТ) | |
| ОДТ.2 | Резервирование технических средств, программного обеспечения, каналов передачи информации, средств обеспечения функционирования информационной системы |
| ОДТ.3 | Контроль безотказного функционирования технических средств, обнаружение и локализация отказов функционирования, принятие мер по восстановлению отказавших средств и их тестирование |
| ОДТ.4 | Периодическое резервное копирование информации на резервные машинные носители информации |
| ОДТ.5 | Обеспечение возможности восстановления информации с резервных машинных носителей информации (резервных копий) в течении установленного временного интервала |
| Защита технических средств (ЗТС) | |
| ЗТС.2 | Организация контролируемой зоны, в пределах которой постоянно размещаются стационарные технические средства, обрабатывающие информацию, и средства защиты информации, а также средства обеспечения функционирования |
| ЗТС.3 | Контроль и управление физическим доступом к техническим средствам, средствам защиты информации, средствам обеспечения функционирования, а также в помещения и сооружения, в которых они установлены, исключающие несанкционированный физический доступ к средствам обработки информации, средствам защиты информации и средствам обеспечения функционирования информационной системы и помещения и сооружения, в которых они установлены |
| ЗТС.5 | Защита от внешних воздействий (воздействий окружающей среды, нестабильности электроснабжения, кондиционирования и иных внешних факторов) |
| Защита информационной системы, ее средств, систем связи и передачи данных (ЗИС) | |
| ЗИС.7 | Контроль санкционированного и исключение несанкционированного использования технологий мобильного кода, в том числе регистрация событий, связанных с использованием технологий мобильного кода, их анализ и реагирование на нарушения, связанные с использованием технологий мобильного кода |
| ЗИС.15 | Защита архивных файлов, параметров настройки средств защиты информации и программного обеспечения и иных данных, не подлежащих изменению в процессе обработки информации |
| ЗИС.22 | Защита информационной системы от угроз безопасности информации, направленных на отказ в обслуживании информационной системы |
| ЗИС.23 | Защита периметра (физических и (или) логических границ) информационной системы при ее взаимодействии с иными информационными системами и информационно- телекоммуникационными сетями |
-
Уточнение адаптированного базового набора мер защиты информации
При уточнении адаптированного базового набора мер защиты информации определяются меры защиты информации, включая ранее не выбранные, обеспечивающие блокирование всех УБИ, определенных в «Модели угроз безопасности информации, обрабатываемой в учебной информационной системе общего пользования Федерального государственного бюджетного образовательного учреждения высшего образования «Дальневосточный государственный университет путей сообщения».
![](https://s.studizba.com/z.php?f=/templates/si/i/noavatar.png&w=100&h=100&t=1"){kind=avatar}
