Пояснительная записка (1209942), страница 5
Текст из файла (страница 5)
Модель угроз устанавливает следующий систематизированный перечень актуальных угроз безопасности видеоинформации (таблица 2.3).
Таблица 2.3 – Перечень актуальных угроз безопасности
| Идентифи-катор угрозы | Содержание актуальной угрозы безопасности видеоинформации |
| Актуальные угрозы, реализуемые за счет НСД | |
| УБИ.015 | Угроза доступа к защищаемым файлам с использованием обходного пути |
| УБИ.022 | Угроза избыточного выделения оперативной памяти |
| Окончание таблицы 2.3 | |
| Идентифи-катор угрозы | Содержание актуальной угрозы безопасности видеоинформации |
| УБИ.027 | Угроза искажения вводимой и выводимой на периферийные устройства информации |
| УБИ.074 | Угроза несанкционированного доступа к аутентификационной информации |
| УБИ.086 | Угроза несанкционированного изменения аутентификационной информации |
| УБИ.088 | Угроза несанкционированного копирования защищаемой информации |
| УБИ.090 | Угроза несанкционированного создания учётной записи пользователя |
| УБИ.095 | Угроза несанкционированного управления указателями |
| УБИ.100 | Угроза обхода некорректно настроенных механизмов аутентификации |
| УБИ.113 | Угроза перезагрузки аппаратных и программно-аппаратных средств вычислительной техники |
| УБИ.115 | Угроза перехвата вводимой и выводимой на периферийные устройства информации |
| УБИ.124 | Угроза подделки записей журнала регистрации событий |
| УБИ.139 | Угроза преодоления физической защиты |
| УБИ.143 | Угроза программного выведения из строя средств хранения, обработки и (или) ввода/вывода/передачи информации |
| УБИ.149 | Угроза сбоя обработки специальным образом изменённых файлов |
| УБИ.152 | Угроза удаления аутентификационной информации |
| УБИ.155 | Угроза утраты вычислительных ресурсов |
| УБИ.157 | Угроза физического выведения из строя средств хранения, обработки и (или) ввода/вывода/передачи информации |
| УБИ.160 | Угроза хищения средств хранения, обработки и (или) ввода/вывода/передачи информации |
| УБИ.176 | Угроза нарушения технологического/ производственного процесса из-за временных задержек, вносимых средством защиты |
| УБИ.178 | Угроза несанкционированного использования системных и сетевых утилит |
| УБИ.179 | Угроза несанкционированной модификации защищаемой информации |
| УБИ.182 | Угроза физического устаревания аппаратных компонентов |
| УБИ.187 | Угроза несанкционированного воздействия на средство защиты информации |
| УБИ.192 | Угроза использования уязвимых версий программного обеспечения |
| Актуальные угрозы, реализуемые по ТКУ | |
| ТВ.001 | Угроза утечки видовой информации путем наблюдения за объектами с использованием специальных технических средств (оптические приборы, телевизионные камеры, приборы ночного видения, тепловизоры) |
| Актуальные техногенные угрозы | |
| ТУ.004 | Угроза, связанная со старением и размагничиванием технических средств обработки видеоинформации и носителей видеоинформации |
| ТУ.005 | Угроза сбоя общесистемного программного обеспечения |
| ТУ.006 | Угроза сбоя прикладного программного обеспечения |
Угрозы безопасности, содержащиеся в Модели угроз, должны уточняться и дополняться по мере выявления новых источников угроз, развития способов и средств реализации УБПДн в системе видеонаблюдения. Для обеспечения актуальности Модели угроз должен осуществляться ее плановый (не реже одного раза в год) и внеплановый пересмотр (в случае изменения требований законодательства Российской Федерации, нормативно-правовых актов и методических рекомендаций, регулирующих защиту информации; изменения конфигурации и условий размещения системы видеонаблюдения; изменений в составе основных элементов системы видеонаблюдения, которые могут повлиять на состав УБПДн).
3 Создание системы защиты видеоинформации
3.1 Назначение и цели системы защиты видеоинформации
Под системой защиты биометрических ПДн в системе видеонаблюдения понимается совокупность органов защиты видеоинформации (структурных подразделений, должностных лиц), используемых ими аппаратных, программных и программно-аппаратных средств защиты, комплекса технических, организационных, правовых, физических мер, проводимых в этих целях, а также проведение контроля за принимаемыми мерами по обеспечению безопасности.
Назначением системы защиты видеоинформации является обеспечение информационной безопасности биометрических ПДн в системе видеонаблюдения.
Целями создания системы защиты видеоинформации являются обеспечение защищенности системы видеонаблюдения при обработке и хранении биометрических ПДн, а также обеспечение конфиденциальности биометрических ПДн при их обработке и хранении.
Для достижения указанных целей согласно статье 16 Федерального закона № 149-ФЗ система защиты видеоинформации должна обеспечивать:
-
предотвращение НСД к видеоинформации и (или) передачи ее лицам, не имеющим права на доступ к видеоинформации;
-
своевременное обнаружение фактов НСД к видеоинформации;
-
предупреждение возможности неблагоприятных последствий нарушения порядка доступа к видеоинформации;
-
недопущение воздействия на технические средства обработки видеоинформации, в результате которого нарушается их функционирование;
-
возможность незамедлительного восстановления видеоинформации, уничтоженной вследствие НСД;
-
постоянный контроль за обеспечением уровня защищенности видеоинформации.
3.2 Определение стадий создания системы защиты
Стадии создания системы защиты видеоинформации определены в соответствии с требованиями приказа ФСТЭК № 17 и ГОСТ Р 51583-2014 «Защита информации. Порядок создания автоматизированных систем в защищенном исполнении. Общие положения».
Стадии создания системы защиты и содержание работ на каждой стадии приведены в таблице 2.4.
Таблица 2.4 – Стадии создания системы защиты и содержание работ
| Стадии создания системы защиты | Содержание работ |
| Формирование требований к системе защиты (предпроектная стадия) | Анализ нормативных правовых актов, которым должна соответствовать система видеонаблюдения; Анализ целей создания системы видеонаблюдения и задач, решаемых этой системой; Анализ структурно-функциональных характеристик систем видеонаблюдения; Определение требуемого уровня защищенности видеоинформации, обрабатываемой в системе видеонаблюдения; Принятие решения о необходимости создания системы защиты видеоинформации, обрабатываемой в системе видеонаблюдения. |
| Определение угроз безопасности, реализация которых может привести к нарушению безопасности видеоинформации; Разработка модели угроз безопасности видеоинформации. | |
| Оценка целесообразности создания системы защиты видеоинформации; Обоснование архитектуры и конфигурации системы защиты и ее отдельных составных частей; Обоснование перечня сертифицированных средств защиты, использование которых возможно в составе системы защиты; Обоснование необходимости привлечения организаций, имеющих необходимые лицензии, для создания системы защиты; Оценка финансовых и трудовых затрат на разработку и внедрение системы защиты; Оценка экономического эффекта от внедрения системы защиты. | |
| Стадия разработки технического задания | Определение требований к системе защиты видеоинформации; Разработка, согласование и утверждение технического задания на создание системы защиты. |
Окончание таблицы 2.4
| Стадии создания системы защиты | Содержание работ |
| Разработка (проектирование) системы защиты | Разработка проектных решений (технического проекта): определение типов субъектов доступа и объектов доступа, являющихся объектами защиты; определение методов управления доступом, типов доступа и правил разграничения доступа; выбор мер защиты видеоинформации; выбор средств защиты видеоинформации, сертифицированных на соответствие требованиям по безопасности; определение параметров настройки программного обеспечения. |
| Работы по закупке и поставке средств защиты. | |
| Проведение сертификации средств защиты по требованиям безопасности. | |
| Разработка эксплуатационной документации на средства системы защиты. | |
| Внедрение системы защиты | Работы по установке средств защиты. |
| Разработка документов, определяющих правила и процедуры, реализуемые для обеспечения защиты видеоинформации в ходе эксплуатации системы видеонаблюдения; Внедрение организационных, правовых мер защиты информации. | |
| Обучение специалистов. | |
| Проведение предварительных испытаний системы защиты. | |
| Проведение опытной эксплуатации системы защиты. | |
| Анализ уязвимостей системы видеонаблюдения и принятие мер по их устранению. | |
| Приемочные испытания системы защиты. | |
| Аттестация системы защиты и ввод ее в действие | Проведение аттестационных испытаний на соответствие требованиям безопасности. |
| Ввод в действие системы защиты. |
Необходимость в привлечении специализированных организаций для организации системы защиты видеоинформации отсутствует, так как ОАО «РЖД», чьим филиалом является ДВЖД, имеет лицензию на деятельность по технической защите конфиденциальной информации в соответствии с Федеральным законом от 04.05.2011 № 99-ФЗ «О лицензировании отдельных видов деятельности» и утвержденным постановлением Правительства Российской Федерации от 03.02.2012 № 79 положением «О лицензировании деятельности по технической защите конфиденциальной информации» (лицензия № 0265 от 01.10.2004, срок действия – бессрочно).
3.3 Функциональное назначение системы защиты
Система защиты включает следующие функциональные блоки:
-
идентификацию и аутентификацию субъектов и объектов доступа;
-
управление доступом субъектов доступа к объектам доступа;
-
ограничение программной среды;
-
защиту машинных носителей, на которых обрабатывается видеоинформация;
-
регистрацию событий безопасности;
-
антивирусную защиту;
-
обнаружение (предотвращение) вторжений;
-
контроль (анализ) защищенности видеоинформации;
-
обеспечение целостности системы видеонаблюдения и видеоинформации;
-
обеспечение доступности видеоинформации;
-
защиту технических средств;
-
выявление инцидентов, которые могут привести к нарушению функционирования системы видеонаблюдения и (или) к возникновению угроз безопасности видеоинформации, и реагирование на них;
-
управление конфигурацией системы видеонаблюдения и системы защиты видеоинформации.
3.4 Требования к системе защиты видеоинформации
Требования к функциональным блокам системы защиты, совместимости системы со смежными системами, режимам функционирования, к ее развитию и модернизации, численности и квалификации персонала, программному, техническому и организационному обеспечению, к эксплуатации и техническому обслуживанию, другие требования, а также порядок контроля и приемки системы определены в техническом задании на создание системы защиты биометрических персональных данных в системе видеонаблюдения Управления ДВЖД (приложение Г).
4 Разработка профиля защиты видеоинформации
4.1 Выбор мер защиты и средств их реализации
Система защиты видеоинформации включает в себя технические, организационные, правовые, физические меры защиты, направленные на нейтрализацию актуальных угроз безопасности, определенных в Модели угроз. Меры защиты должны обеспечивать конфиденциальность, целостность и доступность видеоинформации.
![](https://s.studizba.com/z.php?f=/templates/si/i/noavatar.png&w=100&h=100&t=1"){kind=avatar}
