Аналитическое обоснование (1209933), страница 3
Текст из файла (страница 3)
Оптимальный вариант шифрования осуществляется непосредственно перед формированием пакетов для отправки в сеть, так как информация в этом случае находится уже в обработанном (сжатом) виде.
Функции, обеспечиваемые видеосервером:
-
учет соответствия камер и ключей;
-
признание ключей скомпрометированными;
-
инициализация механизма распределения ключей для камер, ключи которых были скомпрометированы;
-
проверка подлинности трафика;
-
регистрация нарушения.
Для обнаружения, удаления и защиты от компьютерных вирусов на ТС системы видеонаблюдения используется программное обеспечение «Антивирус Касперского 6.0 для Windows».
Пользователи системы видеонаблюдения получают доступ к управлению видеокамерами и передаваемой ip-камерами видеоинформации, отражаемой на мониторах и хранимой на видеосервере. Для переключения видеоимпульсов между мониторами используется KVM-переключатель.
3.5 Режим обработки видеоинформации
Режим обработки биометрических ПДн в системе видеонаблюдения предусматривает сбор видеоинформации, ее запись, накопление, хранение, использование, передачу, блокирование и уничтожение.
С общей базой биометрических ПДн, обрабатываемых в системе видеонаблюдения, одновременно могут работать несколько пользователей (на разных АРМ, с разными именами, полномочиями и задачами). Доступ к персональным данным системы видеонаблюдения Управления ДВЖД строго регламентирован. Установлен четкий перечень сотрудников, имеющих доступ к видеоинформации, обрабатываемой в системе видеонаблюдения.
Таблица 3.3 – Перечень сотрудников, допущенных к обработке видеоинформации
| Пользователи системы видеонаблюдения | Перечень сотрудников | № кабинета | № АРМ на плане |
| Сотрудники вневедомственной охраны | Согласно перечню, утвержденному начальником дороги | 130 | АРМ № 1 |
| Администратор системы видеонаблюдения | Согласно перечню, утвержденному начальником дороги | 130 | АРМ № 2 |
В рамках проведения разграничительной политики допуска к различным функциям системы видеонаблюдения каждому из пользователей в соответствии с уровнем допуска определен набор действий, разрешённых для выполнения в системе видеонаблюдения (таблица 3.4).
Таблица 3.4 – Действия, разрешенные для выполнения в системе видеонаблюдения
| Пользователи | Уровень доступа | Разрешенные действия |
| Сотрудники вневедомственной охраны | Обладают минимально необходимым набором прав для доступа к системе видеонаблюдения в пределах, установленных должностными инструкциями; располагают фрагментами информации о системе видеонаблюдения (коммуникационной части) и об используемых коммуникационных протоколах и их сервисах. | Просмотр видеоинформации в режиме реального времени. |
| Администратор системы видеонаблюдения | Обладает полной информацией об используемом системном и прикладном программном обеспечении, о технических средствах и конфигурации системы видеонаблюдения; имеет учетную запись администратора системы видеонаблюдения; имеет доступ ко всем техническим и программным средствам обработки видеоинформации, имеет доступ к видеозаписям, обрабатываемым в системе видеонаблюдения. | Установка ПО и ОС на рабочие станции и видеосервер; выявление ошибок пользователей и ПО и принятие мер по их исправлению; поддержание в работоспособном состоянии ПО видеосервера и рабочих станций; осуществление конфигурации ПО на видеосервере и рабочих станциях; осуществление резервного копирования прикладных конфигураций системы видеонаблюдения; осуществление своевременного обновления прикладных конфигураций системы видеонаблюдения; добавление и удаление пользователей системы видеонаблюдения; установление прав доступа и контроль использования системы видеонаблюдения. |
Доступ осуществляется только по персональным учетным записям после прохождения авторизации пользователей на АРМ. В организации разработаны инструкции, регламентирующие порядок доступа, способы фиксации доступа, позволяющие установить, кто из сотрудников в каждый конкретный момент имел доступ к видеоинформации.
Сотрудники организации, допущенные в установленном порядке к видеоинформации, обрабатываемой в системе видеонаблюдения, действуют в соответствии с должностными инструкциями, описывающими порядок работы с данными видеонаблюдения.
Пользователи предупреждаются об ответственности о неразглашении конфиденциальных сведений, которые стали известны в результате осуществления видеонаблюдения, а также о недопустимости передачи собственных логина и пароля посторонним лицам.
Просмотр изображений с видеокамер осуществляется в зоне ограниченного доступа в специально предназначенном для службы безопасности помещении (ПЦО).
Просматривать видеоархив имеет право ограниченный круг лиц – начальник дороги, его заместители и сотрудники службы безопасности.
Организация предоставляет копию видеозаписи лишь по требованию самого лица, изображенного на видеозаписи, либо по официальному запросу правоохранительных органов. В каждом конкретном случае решение о доступе к записи видеоинформации принимает начальник дороги либо заместитель начальника дороги по безопасности и режиму.
Срок хранения информации в видеоархиве определяется с учетом текущего состояния оперативной обстановки на территории Управления ДВЖД и составляет три месяца. После истечения указанного срока записи, полученные в системе видеонаблюдения, уничтожаются путем перезаписи.
4 Актуальные угрозы безопасности видеоинформации и предлагаемые меры по их предотвращению
Система защиты видеоинформации включает в себя организационные и технические меры, направленные на нейтрализацию актуальных угроз безопасности, определенных в Модели угроз безопасности биометрических ПДн, обрабатываемых в системе видеонаблюдения Управления ДВЖД (приложение А). Выбор мер защиты биометрических ПДн от угроз осуществлялся в соответствии с Составом и содержанием организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, утвержденных приказом ФСТЭК № 21.
Также учитывалось, что в соответствии с требованиями постановления Правительства № 1119 для обеспечения 3-го уровня защищенности персональных данных, установленного для системы видеонаблюдения, необходимо выполнение следующих требований:
а) организации режима обеспечения безопасности помещений, в которых размещена система видеонаблюдения, препятствующего возможности неконтролируемого проникновения или пребывания в этих помещениях лиц, не имеющих права доступа в эти помещения;
б) обеспечения сохранности носителей персональных данных;
в) утверждения руководителем организации документа, определяющего перечень лиц, доступ которых к персональным данным, обрабатываемым в системе видеонаблюдения, необходим для выполнения ими служебных (трудовых) обязанностей;
г) использования средств защиты видеоинформации, прошедших процедуру оценки соответствия требованиям законодательства Российской Федерации в области обеспечения безопасности информации, в случае, когда применение таких средств необходимо для нейтрализации актуальных угроз;
д) назначения должностного лица (работника), ответственного за обеспечение безопасности биометрических персональных данных, обрабатываемых в системе видеонаблюдения.
Перечень актуальных угроз безопасности видеоинформации и набор мер по их предотвращению, адаптированный для системы видеонаблюдения, представлены в таблице 4.1.
Таблица 4.1 – Актуальные угрозы безопасности и меры по их предотвращению
| Наименование актуальных угроз безопасности, определенных в Модели угроз | Меры по предотвращению актуальных угроз, определенные в соответствии с приказом ФСТЭК № 21 | |
| Актуальные угрозы безопасности видеоинформации, реализуемые за счет несанкционированного доступа | ||
| УБИ.015. Угроза доступа к защищаемым файлам с использованием обходного пути | ИАФ.3 Управление идентификаторами, в том числе создание, присвоение, уничтожение идентификаторов ИАФ.4 Управление средствами аутентификации, в том числе хранение выдача, инициализация, блокирование средств аутентификации и принятие мер в случае утраты и (или) компрометации средств аутентификации ИАФ.5 Защита обратной связи при вводе аутентификационной информации УПД.5 Назначение минимально необходимых прав и привилегий пользователям, администраторам и лицам, обеспечивающим функционирование информационной системы | |
| УБИ.022. Угроза избыточного выделения оперативной памяти | УПД.5 Назначение минимально необходимых прав и привилегий пользователям, администраторам и лицам, обеспечивающим функционирование информационной системы ОЦЛ.8 Контроль ошибочных действий пользователей по вводу и (или) передаче информации и предупреждение пользователей об ошибочных действиях | |
| УБИ.027. Угроза искажения вводимой и выводимой на периферийные устройства информации | ОПС.1 Управление запуском (обращениями) компонентов программного обеспечения, в том числе определение запускаемых компонентов, настройка параметров запуска компонентов, контроль за запуском компонентов программного обеспечения ОПС.2 Управление установкой (инсталляцией) компонентов программного обеспечения, в том числе определение компонентов, подлежащих установке, настройка параметров установки компонентов, контроль за установкой компонентов программного обеспечения АВЗ.1 Реализация антивирусной защиты | |
| УБИ.074. Угроза несанкционированного доступа к аутентификационной информации | ИАФ.1 Идентификация и аутентификация пользователей, являющихся работниками оператора ИАФ.4 Управление средствами аутентификации, в том числе хранение выдача, инициализация, блокирование средств аутентификации и принятие мер в случае утраты и (или) компрометации средств аутентификации ИАФ.5 Защита обратной связи при вводе аутентификационной информации УПД.4 Разделение обязанностей полномочий (ролей), администраторов и лиц, обеспечивающих функционирование информационной системы | |
| Продолжение таблицы 4.1 | ||
| Наименование актуальных угроз безопасности, определенных в Модели угроз | Меры по предотвращению актуальных угроз, определенные в соответствии с приказом ФСТЭК № 21 | |
| УПД.5 Назначение минимально необходимых прав и привилегий пользователям, администраторам и лицам, обеспечивающим функционирование информационной системы ЗТС.2 Организация контролируемой зоны, в пределах которой постоянно размещаются стационарные технические средства, обрабатывающие информацию, и средства защиты информации, а также средства обеспечения функционирования ЗТС.3 Контроль и управление физическим доступом к техническим средствам, средствам защиты информации, средствам обеспечения функционирования, а также в помещения и сооружения, в которых они установлены, исключающие несанкционированный физический доступ к средствам обработки информации, средствам защиты информации и средствам обеспечения функционирования информационной системы и помещения и сооружения, в которых они установлены | ||
| УБИ.086. Угроза несанкционированного изменения аутентификационной информации | ИАФ.3 Управление идентификаторами, в том числе создание, присвоение, уничтожение идентификаторов ИАФ.4 Управление средствами аутентификации, в том числе хранение выдача, инициализация, блокирование средств аутентификации и принятие мер в случае утраты и (или) компрометации средств аутентификации АНЗ.5 Контроль правил генерации и смены паролей пользователей, заведения и удаления учетных записей пользователей, реализации правил разграничения доступом, полномочий пользователей в информационной системе | |
| УБИ.088. Угроза несанкционированного копирования защищаемой информации | УПД.5 Назначение минимально необходимых прав и привилегий пользователям, администраторам и лицам, обеспечивающим функционирование информационной системы ЗНИ.2 Управление доступом к машинным носителям информации ЗНИ.6 Контроль ввода (вывода) информации на машинные носители информации ЗНИ.7 Контроль подключения машинных носителей информации ЗТС.2 Организация контролируемой зоны, в пределах которой постоянно размещаются стационарные технические средства, обрабатывающие информацию, и средства защиты информации, а также средства обеспечения функционирования ЗТС.3 Контроль и управление физическим доступом к техническим средствам, средствам защиты информации, средствам обеспечения функционирования, а также в помещения и сооружения, в которых они установлены, исключающие несанкционированный физический доступ к средствам | |
| Продолжение таблицы 4.1 | ||
| Наименование актуальных угроз безопасности, определенных в Модели угроз | Меры по предотвращению актуальных угроз, определенные в соответствии с приказом ФСТЭК № 21 | |
| обработки информации, средствам защиты информации и средствам обеспечения функционирования информационной системы и помещения и сооружения, в которых они установлены | ||
| УБИ.090. Угроза несанкционированного создания учётной записи пользователя | ИАФ.4 Управление средствами аутентификации, в том числе хранение выдача, инициализация, блокирование средств аутентификации и принятие мер в случае утраты и (или) компрометации средств аутентификации УПД.4 Разделение обязанностей полномочий (ролей), администраторов и лиц, обеспечивающих функционирование информационной системы УПД.5 Назначение минимально необходимых прав и привилегий пользователям, администраторам и лицам, обеспечивающим функционирование информационной системы ЗТС.2 Организация контролируемой зоны, в пределах которой постоянно размещаются стационарные технические средства, обрабатывающие информацию, и средства защиты информации, а также средства обеспечения функционирования ЗТС.3 Контроль и управление физическим доступом к техническим средствам, средствам защиты информации, средствам обеспечения функционирования, а также в помещения и сооружения, в которых они установлены, исключающие несанкционированный физический доступ к средствам обработки информации, средствам защиты информации и средствам обеспечения функционирования информационной системы и помещения и сооружения, в которых они установлены | |
| УБИ.095. Угроза несанкционированного управления указателями | УПД.З Управление (фильтрация, маршрутизация, контроль соединений, однонаправленная передача и иные способы управления) информационными потоками между устройствами, сегментами информационной системы, а также между информационными системами УПД.5 Назначение минимально необходимых прав и привилегий пользователям, администраторам и лицам, обеспечивающим функционирование информационной системы | |
| УБИ.100. Угроза обхода некорректно настроенных механизмов аутентификации | ИАФ.3 Управление идентификаторами, в том числе создание, присвоение, уничтожение идентификаторов ИАФ.4 Управление средствами аутентификации, в том числе хранение выдача, инициализация, блокирование средств аутентификации и принятие мер в случае утраты и (или) компрометации средств аутентификации | |
| Продолжение таблицы 4.1 | ||
| Наименование актуальных угроз безопасности, определенных в Модели угроз | Меры по предотвращению актуальных угроз, определенные в соответствии с приказом ФСТЭК № 21 | |
| УБИ.113. Угроза перезагрузки аппаратных и программно-аппаратных средств вычислительной техники | ИАФ.3 Управление идентификаторами, в том числе создание, присвоение, уничтожение идентификаторов ИАФ.7 Идентификация и аутентификация объектов файловой системы, запускаемых и исполняемых модулей, объектов систем управления базами данных, объектов, создаваемых прикладным и специальным программным обеспечением, иных объектов доступа УПД.5 Назначение минимально необходимых прав и привилегий пользователям, администраторам и лицам, обеспечивающим функционирование информационной системы ОДТ.3 Контроль безотказного функционирования технических средств, обнаружение и локализация отказов функционирования, принятие мер по восстановлению отказавших средств и их тестирование ЗТС.2 Организация контролируемой зоны, в пределах которой постоянно размещаются стационарные технические средства, обрабатывающие информацию, и средства защиты информации, а также средства обеспечения функционирования ЗТС.3 Контроль и управление физическим доступом к техническим средствам, средствам защиты информации, средствам обеспечения функционирования, а также в помещения и сооружения, в которых они установлены, исключающие несанкционированный физический доступ к средствам обработки информации, средствам защиты информации и средствам обеспечения функционирования информационной системы и помещения и сооружения, в которых они установлены ОЦЛ.3 Обеспечение возможности восстановления программного обеспечения, включая программное обеспечение средств защиты информации, при возникновении нештатных ситуаций | |
| УБИ.115. Угроза перехвата вводимой и выводимой на периферийные устройства информации | ОПС.1 Управление запуском (обращениями) компонентов программного обеспечения, в том числе определение запускаемых компонентов, настройка параметров запуска компонентов, контроль за запуском компонентов программного обеспечения ОПС.2 Управление установкой (инсталляцией) компонентов программного обеспечения, в том числе определение компонентов, подлежащих установке, настройка параметров установки компонентов, контроль за установкой компонентов программного обеспечения АВЗ.1 Реализация антивирусной защиты ЗТС.4 Размещение устройств вывода (отображения) информации, исключающее ее несанкционированный просмотр | |
| Продолжение таблицы 4.1 | ||
| Наименование актуальных угроз безопасности, определенных в Модели угроз | Меры по предотвращению актуальных угроз, определенные в соответствии с приказом ФСТЭК № 21 | |
| УБИ.124. Угроза подделки записей журнала регистрации событий | УПД.4 Разделение обязанностей полномочий (ролей), администраторов и лиц, обеспечивающих функционирование информационной системы РСБ.1 Определение событий безопасности, подлежащих регистрации, и сроков их хранения РСБ.2 Определение состава и содержания информации о событиях безопасности, подлежащих регистрации РСБ.3 Сбор, запись и хранение информации о событиях безопасности в течение установленного времени хранения РСБ.4 Реагирование на сбои при регистрации событий безопасности, в том числе аппаратные и программные ошибки, сбои в механизмах сбора информации и достижение предела или переполнения объема (емкости) памяти РСБ.7 Защита информации о событиях безопасности ОЦЛ.6 Ограничение прав пользователей по вводу информации в информационную систему | |
| УБИ.139. Угроза преодоления физической защиты | ЗТС.2 Организация контролируемой зоны, в пределах которой постоянно размещаются стационарные технические средства, обрабатывающие информацию, и средства защиты информации, а также средства обеспечения функционирования ЗТС.3 Контроль и управление физическим доступом к техническим средствам, средствам защиты информации, средствам обеспечения функционирования, а также в помещения и сооружения, в которых они установлены, исключающие несанкционированный физический доступ к средствам обработки информации, средствам защиты информации и средствам обеспечения функционирования информационной системы и помещения и сооружения, в которых они установлены | |
| УБИ.143. Угроза программного выведения из строя средств хранения, обработки и (или) ввода/вывода/передачи информации | УПД.5 Назначение минимально необходимых прав и привилегий пользователям, администраторам и лицам, обеспечивающим функционирование информационной системы ОДТ.3 Контроль безотказного функционирования технических средств, обнаружение и локализация отказов функционирования, принятие мер по восстановлению отказавших средств и их тестирование АНЗ.3 Контроль работоспособности, параметров настройки и правильности функционирования программного обеспечения и средств защиты информации | |
| УБИ.149. Угроза сбоя обработки специальным образом изменённых файлов | УПД.5 Назначение минимально необходимых прав и привилегий пользователям, администраторам и лицам, обеспечивающим функционирование информационной системы | |
| Продолжение таблицы 4.1 | ||
| Наименование актуальных угроз безопасности, определенных в Модели угроз | Меры по предотвращению актуальных угроз, определенные в соответствии с приказом ФСТЭК № 21 | |
| ОЦЛ.1 Контроль целостности программного обеспечения, включая программное обеспечение средств защиты информации ОЦЛ.6 Ограничение прав пользователей по вводу информации в информационную систему | ||
| УБИ.152. Угроза удаления аутентификационной информации | ИАФ.4 Управление средствами аутентификации, в том числе хранение выдача, инициализация, блокирование средств аутентификации и принятие мер в случае утраты и (или) компрометации средств аутентификации УПД.1 Управление (заведение, активация, блокирование и уничтожение) учетными записями пользователей, в том числе внешних пользователей УПД.5 Назначение минимально необходимых прав и привилегий пользователям, администраторам и лицам, обеспечивающим функционирование информационной системы | |
| УБИ.155. Угроза утраты вычислительных ресурсов | УПД.4 Разделение обязанностей полномочий (ролей), администраторов и лиц, обеспечивающих функционирование информационной системы УПД.5 Назначение минимально необходимых прав и привилегий пользователям, администраторам и лицам, обеспечивающим функционирование информационной системы АНЗ.4 Контроль состава технических средств, программного обеспечения и средств защиты информации АВЗ.1 Реализация антивирусной защиты АВЗ.2 Обновление базы данных признаков вредоносных компьютерных программ (вирусов) | |
| УБИ.157. Угроза физического выведения из строя средств хранения, обработки и (или) ввода/вывода/передачи информации | ЗТС.2 Организация контролируемой зоны, в пределах которой постоянно размещаются стационарные технические средства, обрабатывающие информацию, и средства защиты информации, а также средства обеспечения функционирования ЗТС.3 Контроль и управление физическим доступом к техническим средствам, средствам защиты информации, средствам обеспечения функционирования, а также в помещения и сооружения, в которых они установлены, исключающие несанкционированный физический доступ к средствам обработки информации, средствам защиты информации и средствам обеспечения функционирования информационной системы и помещения и сооружения, в которых они установлены ИНЦ.2 Обнаружение, идентификация и регистрация инцидентов ИНЦ.5 Принятие мер по устранению последствий инцидентов | |
| Продолжение таблицы 4.1 | ||
| Наименование актуальных угроз безопасности, определенных в Модели угроз | Меры по предотвращению актуальных угроз, определенные в соответствии с приказом ФСТЭК № 21 | |
| УБИ.160. Угроза хищения средств хранения, обработки и (или) ввода/вывода/передачи информации | ЗНИ.1 Учет машинных носителей информации ЗНИ.2 Управление доступом к машинным носителям информации ЗТС.3 Контроль и управление физическим доступом к техническим средствам, средствам защиты информации, средствам обеспечения функционирования, а также в помещения и сооружения, в которых они установлены, исключающие несанкционированный физический доступ к средствам обработки информации, средствам защиты информации и средствам обеспечения функционирования информационной системы и помещения и сооружения, в которых они установлены | |
| УБИ.176. Угроза нарушения технологического/производственного процесса из-за временных задержек, вносимых средством защиты | ЗИС.2 Предотвращение задержки или прерывания выполнения процессов с высоким приоритетом со стороны процессов с низким приоритетом УКФ.1 Определение лиц, которым разрешены действия по внесению изменений в конфигурацию информационной системы и системы защиты персональных данных УКФ.2 Управление изменениями конфигурации информационной системы и системы защиты персональных данных УКФ.3 Анализ потенциального воздействия планируемых изменений в конфигурации информационной системы и системы защиты персональных данных на обеспечение защиты персональных данных и согласование изменений в конфигурации информационной системы с должностным лицом (работником), ответственным за обеспечение безопасности персональных данных УКФ.4 Документирование информации (данных) об изменениях в конфигурации информационной системы и системы защиты персональных данных | |
| УБИ.178. Угроза несанкционированного использования системных и сетевых утилит | УПД.5 Назначение минимально необходимых прав и привилегий пользователям, администраторам и лицам, обеспечивающим функционирование информационной системы ОПС.1 Управление запуском (обращениями) компонентов программного обеспечения, в том числе определение запускаемых компонентов, настройка параметров запуска компонентов, контроль за запуском компонентов программного обеспечения ОПС.2 Управление установкой (инсталляцией) компонентов программного обеспечения, в том числе определение компонентов, подлежащих установке, настройка параметров установки компонентов, контроль за установкой компонентов программного обеспечения ОПС.3 Установка (инсталляция) только разрешенного к использованию программного обеспечения и (или) его компонентов | |
| Продолжение таблицы 4.1 | ||
| Наименование актуальных угроз безопасности, определенных в Модели угроз | Меры по предотвращению актуальных угроз, определенные в соответствии с приказом ФСТЭК № 21 | |
| УБИ.179. Угроза несанкционированной модификации защищаемой информации | УПД.5 Назначение минимально необходимых прав и привилегий пользователям, администраторам и лицам, обеспечивающим функционирование информационной системы ЗНИ.2 Управление доступом к машинным носителям информации ЗНИ.6 Контроль ввода (вывода) информации на машинные носители информации ЗНИ.7 Контроль подключения машинных носителей информации ЗТС.3 Контроль и управление физическим доступом к техническим средствам, средствам защиты информации, средствам обеспечения функционирования, а также в помещения и сооружения, в которых они установлены, исключающие несанкционированный физический доступ к средствам обработки информации, средствам защиты информации и средствам обеспечения функционирования информационной системы и помещения и сооружения, в которых они установлены | |
| УБИ.182. Угроза физического устаревания аппаратных компонентов | ЗТС.5 Защита от внешних воздействий (воздействий окружающей среды, нестабильности электроснабжения, кондиционирования и иных внешних факторов) ОДТ.2 Резервирование технических средств, программного обеспечения, каналов передачи информации, средств обеспечения функционирования информационной системы ОДТ.3 Контроль безотказного функционирования технических средств, обнаружение и локализация отказов функционирования, принятие мер по восстановлению отказавших средств и их тестирование ОДТ.4 Периодическое резервное копирование персональных данных на резервные машинные носители персональных данных | |
| УБИ.187. Угроза несанкционированного воздействия на средство защиты информации | УПД.2 Реализация необходимых методов (дискреционный, мандатный, ролевой или иной метод), типов (чтение, запись, выполнение или иной тип) и правил разграничения доступа УПД.5 Назначение минимально необходимых прав и привилегий пользователям, администраторам и лицам, обеспечивающим функционирование информационной системы ЗТС.3 Контроль и управление физическим доступом к техническим средствам, средствам защиты информации, средствам обеспечения функционирования, а также в помещения и сооружения, в которых они установлены, исключающие несанкционированный физический доступ к средствам обработки информации, средствам защиты информации и средствам обеспечения функционирования информационной системы и помещения и сооружения, в которых они установлены | |
| Окончание таблицы 4.1 | ||
| Наименование актуальных угроз безопасности, определенных в Модели угроз | Меры по предотвращению актуальных угроз, определенные в соответствии с приказом ФСТЭК № 21 | |
| УБИ.192. Угроза использования уязвимых версий программного обеспечения | АВ3.2 Обновление базы данных признаков вредоносных компьютерных программ (вирусов) АНЗ.1 Выявление, анализ уязвимостей информационной системы и оперативное устранение вновь выявленных уязвимостей АНЗ.2 Контроль установки обновлений программного обеспечения, включая обновление программного обеспечения средств защиты информации АНЗ.4 Контроль состава технических средств, ПО и средств защиты информации | |
| Актуальные угрозы безопасности видеоинформации, реализуемые за счет утечки по техническим каналам | ||
| ТВ.001. Угроза утечки видовой информации путем наблюдения за объектами с использованием специальных технических средств (оптические приборы, телевизионные камеры, приборы ночного видения, тепловизоры). | ЗТС.4 Размещение устройств вывода (отображения) информации, исключающее ее несанкционированный просмотр УПД. 10 Блокирование сеанса доступа в информационную систему после установленного времени бездействия (неактивности) пользователя или по его запросу | |
| Актуальные техногенные угрозы безопасности видеоинформации: | ||
| ТУ.004 Угроза, связанная со старением и размагничиванием технических средств обработки информации носителей информации | ОДТ.1 Использование отказоустойчивых технических средств ОДТ.2 Резервирование технических средств, программного обеспечения, каналов передачи информации, средств обеспечения функционирования информационной системы | |
| ТУ.005 Угроза сбоя общесистемного программного обеспечения | ОПС.3 Установка (инсталляция) только разрешенного к использованию программного обеспечения и (или) его компонентов ОДТ.2 Резервирование технических средств, программного обеспечения, каналов передачи информации, средств обеспечения функционирования информационной системы | |
| ТУ.006 Угроза сбоя прикладного ПО (сервисных программ, антивирусного программного обеспечения и т.д.) или систем управления базами данных | ОПС.3 Установка (инсталляция) только разрешенного к использованию программного обеспечения и (или) его компонентов ОДТ.2 Резервирование ТС, ПО, каналов передачи информации, средств обеспечения функционирования информационной системы | |
5 Средства зашиты видеоинформации
Для создания комплексной системы защиты видеоинформации, обрабатываемой в системе видеонаблюдения, определен перечень программных и технических средств защиты видеоинформации, составленный на основании государственного реестра сертифицированных средств защиты информации ФСТЭК России № РОСС RU.0001.01БИ00 и включающий средство защиты от несанкционированного доступа, средство доверенной загрузки, средство антивирусной защиты, средство резервного копирования.
![](https://s.studizba.com/z.php?f=/templates/si/i/noavatar.png&w=100&h=100&t=1"){kind=avatar}
