Пояснительная записка (1209942), страница 13
Текст из файла (страница 13)
в системе видеонаблюдения Управления ДВЖД
(выписка)
Перечень актуальных угроз безопасности видеоинформации и набор мер по их предотвращению, адаптированный для системы видеонаблюдения, представлены в таблице В.1.
Таблица В.1 – Актуальные угрозы безопасности и меры по их предотвращению
| Наименование актуальных угроз безопасности, определенных в Модели угроз | Меры по предотвращению актуальных угроз безопасности, определенные в соответствии с приказом ФСТЭК № 21 |
| Актуальные угрозы безопасности видеоинформации, реализуемые за счет несанкционированного доступа | |
| УБИ.015. Угроза доступа к защищаемым файлам с использованием обходного пути | ИАФ.3, ИАФ.4, ИАФ.5, УПД.5 |
| УБИ.022. Угроза избыточного выделения оперативной памяти | УПД.5, ОЦЛ.8 |
| УБИ.027. Угроза искажения вводимой и выводимой на периферийные устройства информации | ОПС.1, ОПС.2, АВЗ.1 |
| УБИ.074. Угроза несанкционированного доступа к аутентификационной информации | ИАФ.1, ИАФ.4, ИАФ.5, УПД.4, УПД.5, ЗТС.2, ЗТС.3 |
| УБИ.086. Угроза несанкционированного изменения аутентификационной информации | ИАФ.3, ИАФ.4, АНЗ.5 |
| Продолжение таблицы В.1 | |
| Наименование актуальных угроз безопасности, определенных в Модели угроз | Меры по предотвращению актуальных угроз безопасности, определенные в соответствии с приказом ФСТЭК № 21 |
| УБИ.088. Угроза несанкционированного копирования защищаемой информации | УПД.5, ЗНИ.2, ЗНИ.6, ЗНИ.7, ЗТС.2, ЗТС.3 |
| УБИ.090. Угроза несанкционированного создания учётной записи пользователя | ИАФ.4, УПД.4, УПД.5, ЗТС.2, ЗТС.3 |
| УБИ.095. Угроза несанкционированного управления указателями | УПД.З , УПД.5 |
| УБИ.100. Угроза обхода некорректно настроенных механизмов аутентификации | ИАФ.3, ИАФ.4 |
| УБИ.113. Угроза перезагрузки аппаратных и программно-аппаратных средств вычислительной техники | ИАФ.3, ИАФ.7, УПД.5, ОДТ.3, ЗТС.2, ЗТС.3, ОЦЛ.3 |
| УБИ.115. Угроза перехвата вводимой и выводимой на периферийные устройства информации | ОПС.1, ОПС.2, АВЗ.1, ЗТС.4 |
| УБИ.124. Угроза подделки записей журнала регистрации событий | УПД.4, РСБ.1, РСБ.2, РСБ.3, РСБ.4, РСБ.7, ОЦЛ.6 |
| УБИ.139. Угроза преодоления физической защиты | ЗТС.2, ЗТС.3 |
| УБИ.143. Угроза программного выведения из строя средств хранения, обработки и (или) ввода/вывода/передачи информации | УПД.5, ОДТ.3, АНЗ.3 |
| УБИ.149. Угроза сбоя обработки специальным образом изменённых файлов | УПД.5, ОЦЛ.1, ОЦЛ.6 |
| УБИ.152. Угроза удаления аутентификационной информации | ИАФ.4, УПД.1, УПД.5 |
| УБИ.155. Угроза утраты вычислительных ресурсов | УПД.4, УПД.5, АНЗ.4, АВЗ.1, АВЗ.2 |
| УБИ.157. Угроза физического выведения из строя средств хранения, обработки и (или) ввода/вывода/передачи информации | ЗТС.2, ЗТС.3, ИНЦ.2, ИНЦ.5 |
| УБИ.160. Угроза хищения средств хранения, обработки и (или) ввода/вывода/передачи информации | ЗНИ.1, ЗНИ.2, ЗТС.3 |
| УБИ.176. Угроза нарушения технологического/производственного процесса из-за временных задержек, вносимых средством защиты | ЗИС.2, УКФ.1, УКФ.2, УКФ.3, УКФ.4 |
| УБИ.178. Угроза несанкционированного использования системных и сетевых утилит | УПД.5, ОПС.1, ОПС.2, ОПС.3 |
| Окончание таблицы В.1 | |
| Наименование актуальных угроз безопасности, определенных в Модели угроз | Меры по предотвращению актуальных угроз безопасности, определенные в соответствии с приказом ФСТЭК № 21 |
| УБИ.179. Угроза несанкционированной модификации защищаемой информации | УПД.5, ЗНИ.2, ЗНИ.6, ЗНИ.7, ЗТС.3 |
| УБИ.182. Угроза физического устаревания аппаратных компонентов | ЗТС.5, ОДТ.2, ОДТ.3, ОДТ.4 |
| УБИ.187. Угроза несанкционированного воздействия на средство защиты информации | УПД.2, УПД.5, ЗТС.3 |
| УБИ.192. Угроза использования уязвимых версий программного обеспечения | АВ3.2, АНЗ.1, АНЗ.2, АНЗ.4 |
| Актуальные угрозы безопасности видеоинформации, реализуемые за счет утечки по техническим каналам | |
| ТВ.001. Угроза утечки видовой информации путем наблюдения за объектами с использованием специальных технических средств (оптические приборы, телевизионные камеры, приборы ночного видения, тепловизоры) | ЗТС.4, УПД. 10 |
| Актуальные техногенные угрозы безопасности видеоинформации | |
| ТУ.004 Угроза, связанная со старением и размагничиванием технических средств обработки информации носителей информации | ОДТ.1, ОДТ.2 |
| ТУ.005 Угроза сбоя общесистемного программного обеспечения | ОПС.3, ОДТ.2 |
| ТУ.006 Угроза сбоя прикладного программного обеспечения (сервисных программ, антивирусного программного обеспечения и т.д.) или систем управления базами данных | ОПС.3, ОДТ.2 |
Приложение Г
Техническое задание
на создание системы защиты биометрических персональных данных
в системе видеонаблюдения Управления ДВЖД
(выписка)
Система защиты видеоинформации должна включать следующие функциональные блоки.
Идентификация и аутентификация субъектов доступа и объектов доступа должны обеспечивать присвоение субъектам и объектам доступа уникального признака (идентификатора), сравнение предъявляемого субъектом (объектом) доступа идентификатора с перечнем присвоенных идентификаторов, а также проверку принадлежности субъекту (объекту) доступа предъявленного им идентификатора (подтверждение подлинности).
Управление доступом субъектов доступа к объектам доступа должно обеспечивать управление правами и привилегиями субъектов доступа, разграничение доступа субъектов доступа к объектам доступа на основе совокупности установленных в системе видеонаблюдения правил разграничения доступа, а также обеспечивать контроль за соблюдением этих правил.
Ограничение программной среды должно обеспечивать установку и (или) запуск только разрешенного к использованию в системе видеонаблюдения программного обеспечения или исключать возможность установки и (или) запуска, запрещенного к использованию в системе программного обеспечения.
Защита машинных носителей (средств обработки видеоинформации) должна исключать возможность несанкционированного доступа к машинным носителям и хранящейся на них видеоинформации.
Регистрация событий безопасности должна обеспечивать сбор, запись, хранение и защиту видеоинформации о событиях безопасности в системе видеонаблюдения, а также возможность просмотра и анализа информации о таких событиях и реагирование на них.
Антивирусная защита должна обеспечивать обнаружение в системе видеонаблюдения компьютерных программ либо иной компьютерной информации, предназначенной для несанкционированного уничтожения, блокирования, модификации, копирования видеоинформации или нейтрализации средств защиты видеоинформации, а также реагирование на обнаружение этих программ и информации.
Обнаружение (предотвращение) вторжений должно обеспечивать обнаружение действий в системе видеонаблюдения, направленных на несанкционированный доступ к видеоинформации, специальные воздействия на систему видеонаблюдения и (или) видеоинформацию в целях добывания, уничтожения, искажения и блокирования доступа к видеоинформации, а также реагирование на эти действия.
Контроль (анализ) защищенности видеоинформации должен обеспечивать контроль уровня защищенности видеоинформации, обрабатываемой в системе видеонаблюдения, путем проведения систематических мероприятий по анализу защищенности системы видеонаблюдения и тестированию работоспособности системы защиты видеоинформации.
Обеспечение целостности системы видеонаблюдения и видеоинформации должно обеспечивать обнаружение фактов несанкционированного нарушения целостности системы видеонаблюдения и содержащейся в ней видеоинформации, а также возможность восстановления системы видеонаблюдения и содержащейся в ней видеоинформации.
Обеспечение доступности видеоинформации должно обеспечивать авторизованный доступ пользователей, имеющих права по доступу, к видеоинформации, содержащейся в системе видеонаблюдения, в штатном режиме функционирования системы видеонаблюдения.
Защита технических средств должна исключать несанкционированный доступ к стационарным техническим средствам, обрабатывающим видеоинформацию, средствам, обеспечивающим функционирование системы видеонаблюдения, и в помещения, в которых они постоянно расположены, защиту технических средств от внешних воздействий, а также защиту видеоинформации, представленной в виде информативных электрических сигналов и физических полей.
Выявление инцидентов и реагирование на них должны обеспечивать обнаружение, идентификацию, анализ инцидентов в системе видеонаблюдения, а также принятие мер по устранению и предупреждению инцидентов.
Управление конфигурацией системы видеонаблюдения и системы защиты видеоинформации должно обеспечивать управление изменениями конфигурации системы видеонаблюдения и системы защиты видеоинформации, анализ потенциального воздействия планируемых изменений на обеспечение безопасности видеоинформации, а также документирование этих изменений.
Приложение Д
Технический проект
на создание системы защиты биометрических персональных данных
в системе видеонаблюдения Управления ДВЖД
(выписка)
Результатами работ на каждой из стадий создания системы защиты должны являться документы, приведенные в таблице Д.1.
Таблица Д.1 – Документы, разрабатываемые на стадиях создания системы защиты
| Стадия работ по созданию системы защиты | Разрабатываемый документ |
| Формирование требований к системе защиты (предпроектная стадия) | Заключение по результатам аудита системы видеонаблюдения |
| Модель угроз безопасности | |
| Аналитическое обоснование | |
| Техническое задание | |
| Разработка (проектирование) системы защиты | Технический проект |
| План мероприятий по обеспечению защиты видеоинформации | |
| Программа и методика испытаний | |
| Описание автоматизируемых функций | |
| Описание комплекса технических средств | |
| Описание программного обеспечения | |
| Технический паспорт системы защиты | |
| Инструкции по эксплуатации технических и программных средств | |
| Перечень компонентов программного обеспечения, запускаемых автоматически при загрузке операционной системы АРМ пользователей и администратора системы видеонаблюдения | |
| Правила управления запуском программного обеспечения | |
| Правила управления установкой (инсталляцией) компонентов программного обеспечения | |
| Руководство пользователя | |
| Руководство администратора | |
| Ведомость потребности в материалах |
| Продолжение таблицы Д.1 | |
| Стадия работ по созданию системы защиты | Разрабатываемый документ |
| Акты о поставке оборудования и программных продуктов | |
| Акт о проведении сертификации | |
| Внедрение системы защиты | Протокол предварительных испытаний |
| Акт о передаче системы защиты в опытную эксплуатацию | |
| Протокол опытной эксплуатации | |
| Протокол приемочных испытаний | |
| Порядок доступа служащих в помещение, в котором ведется обработка видеоинформации | |
| Перечень лиц, имеющих право доступа в помещение ПЦО | |
| Приказ о назначении должностных лиц, допущенных к обработке видеоинформации | |
| Приказ о назначении должностного лица, ответственного за обеспечение безопасности видеоинформации | |
| Положение о разграничении прав доступа к видеоинформации | |
| Правила обработки видеоинформации | |
| Порядок управления учетными записями пользователей | |
| Инструкция по организации парольной защиты системы видеонаблюдения | |
| Приказ о назначении должностных лиц, ответственных за создание, присвоение и уничтожение идентификаторов пользователей | |
| Приказ о назначении должностных лиц, ответственных за хранение, выдачу, инициализацию, блокирование средств аутентификации | |
| Порядок создания, присвоения и уничтожения идентификаторов пользователей | |
| Порядок хранения, выдачи, инициализации, блокирования средств аутентификации | |
| Журнал учета и выдачи персональных идентификаторов | |
| Инструкция по организации антивирусной защиты | |
| Инструкция пользователя системы видеонаблюдения | |
| Инструкция администратора системы видеонаблюдения | |
| Программы обучения пользователей и администраторов | |
| Инструкция по резервированию и восстановлению работоспособности технических средств, программного обеспечения и средств защиты видеоинформации | |
| Инструкция по порядку учета и хранения машинных носителей видеоинформации | |
| Порядок доступа к машинным носителям видеоинформации | |
| Приказ о назначении должностных лиц, имеющих физический доступ к машинным носителям видеоинформации | |
| Приказ о назначении должностных лиц, которым предоставлены полномочия по вводу видеоинформации на съемные носители | |
![](https://s.studizba.com/z.php?f=/templates/si/i/noavatar.png&w=100&h=100&t=1"){kind=avatar}
