Пояснительная записка (1209942), страница 6
Текст из файла (страница 6)
Выбор мер защиты определен в соответствии с Составом и содержанием организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, утвержденных приказом ФСТЭК № 21. Базовый набор мер, необходимых для обеспечения третьего уровня защищенности ПДн, адаптирован с учётом структурно-функциональных характеристик системы видеонаблюдения и особенностей её функционирования (из базового набора мер исключены меры, связанные с технологиями, не используемыми в системе видеонаблюдения, и характеристиками, не свойственными системе видеонаблюдения), уточнен с учетом не выбранных ранее мер, приведенных в приложении к приказу ФСТЭК № 21, с целью нейтрализации всех актуальных угроз безопасности видеоинформации. Дополнительных мер для нейтрализации актуальных угроз безопасности, установленных иными нормативно-правовыми актами, не требуется.
Базовый набор мер представлен в техническом задании на создание системы защиты биометрических персональных данных в системе видеонаблюдения (приложение Г). Меры, исключенные из базового набора на этапе адаптации, представлены в таблице 4.1.
Таблица 4.1 – Меры, исключенные из базового набора мер
| Меры по обеспечению безопасности биометрических ПДн | Исключающий фактор |
| I. Идентификация и аутентификация субъектов доступа и объектов доступа | |
| ИАФ.6 Идентификация и аутентификация пользователей, не являющихся работниками оператора (внешних пользователей) | Отсутствие внешних пользователей |
| II. Управление доступом субъектов доступа к объектам доступа | |
| УПД.11 Разрешение (запрет) действий пользователей, разрешенных до идентификации и аутентификации | Действия пользователей до прохождения ими процедур идентификации и аутентификации не разрешены |
| УПД.13 Реализация защищенного удаленного доступа субъектов доступа к объектам доступа через внешние информационно-телекоммуникационные сети | Отсутствие подключения к внешним сетям |
| УПД.14 Регламентация и контроль использования в информационной системе технологий беспроводного доступа | Отсутствие технологий беспроводного доступа |
| УПД.15 Регламентация и контроль использования в информационной системе мобильных технических средств | Мобильные технические средства не используются |
| УПД.16 Управление взаимодействием с информационными системами сторонних организаций (внешние информационные системы) | Отсутствие подключения к внешним системам |
| IV. Защита машинных носителей персональных данных | |
| ЗНИ.8 Уничтожение (стирание) или обезличивание персональных данных на машинных носителях при их передаче между пользователями, в сторонние организации для ремонта или утилизации, а также контроль уничтожения (стирания) или обезличивания | Передача видеоинформации осуществляется только правоохранительным органам на их съемных носителях |
| XI. Защита среды виртуализации | |
| ЗСВ.1 Идентификация и аутентификация субъектов доступа и объектов доступа в виртуальной инфраструктуре, в том числе администраторов управления средствами виртуализации | Отсутствие виртуальной инфраструктуры |
| ЗСВ.2 Управление доступом субъектов доступа к объектам доступа в виртуальной инфраструктуре, в том числе внутри виртуальных машин | |
| ЗСВ.3 Регистрация событий безопасности в виртуальной инфраструктуре | |
| ЗСВ.9 Реализация и управление антивирусной защитой в виртуальной инфраструктуре | |
Окончание таблицы 4.1
| Меры по обеспечению безопасности биометрических ПДн | Исключающий фактор |
| ЗСВ.10 Разбиение виртуальной инфраструктуры на сегменты (сегментирование виртуальной инфраструктуры) для обработки персональных данных отдельным пользователем и (или) группой пользователей | Отсутствие виртуальной инфраструктуры |
| XIII. Защита информационной системы, ее средств, систем связи и передачи данных | |
| ЗИС.3 Обеспечение защиты персональных данных от раскрытия, модификации и навязывания (ввода ложной информации) при ее передаче (подготовке к передаче) по каналам связи, имеющим выход за пределы контролируемой зоны, в том числе беспроводным каналам связи | Видеоинформация не передается по каналам связи за пределы контролируемой зоны |
| ЗИС.20 Защита беспроводных соединений, применяемых в информационной системе | Отсутствуют технологии беспроводных соединений |
Меры, уточняющие адаптированный базовый набор мер с учетом не выбранных ранее мер, приведенных в приложении к приказу ФСТЭК № 21, с целью нейтрализации всех актуальных угроз безопасности видеоинформации, представлен в техническом задании на создание системы защиты биометрических персональных данных в системе видеонаблюдения Управления ДВЖД (приложение Г).
Уточненный адаптированный базовый набор мер защиты и средства их реализации, определенные в соответствии с методическим документом ФСТЭК России «Меры защиты информации в государственных информационных системах», представлены в таблице 4.2.
Таблица 4.2 – Меры защиты видеоинформации и средства их реализации
| Меры защиты видеоинформации | Средства для реализации мер защиты |
| I. Идентификация и аутентификация субъектов доступа и объектов доступа (ИАФ) | |
| ИАФ.1 Идентификация и аутентификация пользователей, являющихся работниками оператора | Утверждение правил и процедур, регламентирующих порядок создания, присвоения и уничтожения идентификаторов пользователей, хранение, выдачу, инициализацию, блокирование средств аутентификации; Назначение должностных лиц, ответственных за создание, присвоение и уничтожение идентификаторов пользователей, и за хранение, выдачу, инициализацию, блокирование средств аутентификации и принятие мер в случае утраты и (или) компрометации средств аутентификации; Утверждение инструкции пользователя системы видеонаблюдения; Утверждение инструкции администратора системы видеонаблюдения; Использование средств защиты видеоинформации от НСД, программно-аппаратного комплекса доверенной загрузки включающие механизмы идентификации и аутентификации пользователей. |
| ИАФ.3 Управление идентификаторами, в том числе создание, присвоение, уничтожение идентификаторов | |
| ИАФ.4 Управление средствами аутентификации, в том числе хранение, выдача, инициализация, блокирование средств аутентификации и принятие мер в случае утраты и (или) компрометации средств аутентификации | |
| ИАФ.5 Защита обратной связи при вводе аутентификационной информации | |
| ИАФ.7 Идентификация и аутентификация объектов файловой системы, запускаемых и исполняемых модулей, объектов систем управления базами данных, объектов, создаваемых прикладным и специальным программным обеспечением, иных объектов доступа | Использование свидетельств подлинности модулей. |
| II. Управление доступом субъектов доступа к объектам доступа (УПД) | |
| УПД.1 Управление (заведение, активация, блокирование и уничтожение) учетными записями пользователей | Утверждение положения о разграничении прав доступа к персональным данным; Утверждение правил и процедур, регламентирующих порядок управления учетными записями пользователей; Использование средств защиты видеоинформации от НСД, программно-аппаратного комплекса доверенной загрузки, включающие механизмы разграничения доступа к информационным ресурсам и подключаемым устройствам. |
| Продолжение таблицы 4.2 | |
| Меры защиты видеоинформации | Средства для реализации мер защиты |
| УПД.2 Реализация необходимых методов (дискреционный, мандатный, ролевой или иной метод), типов (чтение, запись, выполнение или иной тип) и правил разграничения доступа | Утверждение положения о разграничении прав доступа к видеоинформации; Утверждение списков доступа, обеспечивающих управление доступом пользователей и запускаемых от их имени процессов при входе в систему видеонаблюдения; Использование средств защиты видеоинформации от НСД, программно-аппаратного комплекса доверенной загрузки, включающие механизмы разграничения доступа к информационным ресурсам и подключаемым устройствам. |
| УПД.3 Управление (фильтрация, маршрутизация, контроль соединений, однонаправленная передача и иные способы управления) информационными потоками между устройствами, сегментами информационной системы, а также между информационными системами | |
| УПД.4 Разделение полномочий (ролей) пользователей, администраторов и лиц, обеспечивающих функционирование информационной системы | |
| УПД.5 Назначение минимально необходимых прав и привилегий пользователям, администраторам и лицам, обеспечивающим функционирование информационной системы | |
| УПД.6 Ограничение неуспешных попыток входа в информационную систему | Утверждение положения о разграничении прав доступа к видеоинформации; Ведение журнала регистрации и учета действий пользователей. Использование средств защиты видеоинформации от НСД, программно-аппаратного комплекса доверенной загрузки. |
| УПД.10 Блокирование сеанса доступа в информационную систему после установленного времени бездействия (неактивности) пользователя или по его запросу | Определение параметров блокирования сеанса доступа пользователя после времени бездействия пользователя; Использование средств защиты видеоинформации от НСД, программно-аппаратного комплекса доверенной загрузки. |
| Продолжение таблицы 4.2 | |
| Меры защиты видеоинформации | Средства для реализации мер защиты |
| III. Ограничение программной среды (ОПС) | |
| ОПС.1 Управление запуском (обращениями) компонентов ПО, в том числе определение запускаемых компонентов, настройка параметров запуска компонентов, контроль за запуском компонентов ПО | Утверждение перечня компонентов программного обеспечения (файлов, объектов баз данных, хранимых процедур и иных компонентов), запускаемых автоматически при загрузке операционной системы АРМ пользователей системы видеонаблюдения; Утверждение правил и процедур управления запуском программного обеспечения. |
| ОПС.2 Управление установкой компонентов ПО, в том числе определение компонентов, подлежащих установке, настройка параметров установки компонентов, контроль за установкой компонентов ПО | Утверждение правил и процедур управления установкой (инсталляцией) компонентов программного обеспечения; Использование программно-аппаратного комплекса доверенной загрузки, имеющего механизм контроля состава компонентов аппаратного обеспечения; Контроль за установкой ПО осуществляется средствами инвентаризации программной среды. |
| ОПС.3 Установка только разрешенного к использованию ПОи (или) его компонентов | |
| IV. Защита машинных носителей персональных данных (ЗНИ) | |
| ЗНИ.1 Учет машинных носителей информации | Присвоение регистрационных номеров машинным носителям; Ведение журнала учета машинных носителей видеоинформации. |
| ЗНИ.2 Управление доступом к машинным носителям информации | Утверждение порядка и правил доступа к машинным носителям видеоинформации; Назначение должностных лиц, имеющих физический доступ к машинным носителям видеоинформации. |
| ЗНИ.6 Контроль ввода (вывода) информации на машинные носители информации | Назначение должностных лиц, которым предоставлены полномочия по вводу видеоинформации на съемные носители; Ведение журнала регистрации действий пользователей и событий по вводу видеоинформации на съемные носители. |
| ЗНИ.7 Контроль подключения машинных носителей информации | Утверждение правил и процедур контроля подключения машинных носителей видеоинформации; Использование системы защиты информации от НСД, имеющие механизмы контроля съемных носителей, сертифицированных в соответствии с требованиями к средствам контроля съемных машинных носителей информации. |
| Продолжение таблицы 4.2 | |
| Меры защиты видеоинформации | Средства для реализации мер защиты |
| V. Регистрация событий безопасности (РСБ) | |
| РСБ.1 Определение событий безопасности, подлежащих регистрации, и сроков их хранения | Утверждение правил и процедур сбора, записи и хранения информации о событиях безопасности Использование средств защиты видеоинформации от НСД, программно-аппаратного комплекса доверенной загрузки, имеющих механизм автоматической регистрации событий, относящихся к безопасности. |
| РСБ.2 Определение состава и содержания информации о событиях безопасности, подлежащих регистрации | |
| РСБ.3 Сбор, запись и хранение информации о событиях безопасности в течение установленного времени хранения | |
| РСБ.4 Реагирование на сбои при регистрации событий безопасности, в том числе аппаратные и программные ошибки, сбои в механизмах сбора информации и достижение предела или переполнения объема (емкости) памяти | Ведение единого логического журнала аудита с информацией по событиям безопасности для своевременного выявления инцидентов и реагирования на них; Запрет обработки видеоинформации в случае аппаратных или программных ошибок, сбоев в механизмах сбора видеоинформации. |
| РСБ.7 Защита информации о событиях безопасности | Предоставление записей регистрации событий безопасности только администратору системы видеонаблюдения путем ограничения программной среды; Обеспечение хранения записей системных журналов и записей о событиях безопасности в обособленном хранилище, физически отделенном от технических средств, входящих в состав системы видеонаблюдения. |
| VI. Антивирусная защита (АВЗ) | |
| АВЗ.1 Реализация антивирусной защиты | Использование сертифицированных средств антивирусной защиты. |
| АВЗ.2 Обновление базы данных признаков вредоносных компьютерных программ (вирусов) | Определение порядка и сроков обновления антивирусных баз. |
| VIII. Контроль (анализ) защищенности персональных данных (АНЗ) | |
| АНЗ.1 Выявление, анализ уязвимостей информационной системы и оперативное устранение вновь выявленных уязвимостей | Установка специализированного программного обеспечения по поиску и анализу уязвимостей. |
| Продолжение таблицы 4.2 | |
| Меры защиты видеоинформации | Средства для реализации мер защиты |
| АНЗ.2 Контроль установки обновлений программного обеспечения, включая обновление программного обеспечения средств защиты информации | Проведение проверок корректности функционирования обновлений в тестовой среде с обязательным оформлением результатов проверки в соответствующем журнале. |
| АНЗ.3 Контроль работоспособности, параметров настройки и правильности функционирования программного обеспечения и средств защиты информации | Использование автоматизированных средств, обеспечивающих инвентаризацию параметров настройки программного обеспечения и средств защиты информации и восстановление параметров настройки программного обеспечения и средств защиты информации. |
| АНЗ.4 Контроль состава технических средств, программного обеспечения и средств защиты информации | Использование автоматизированных средств, обеспечивающих инвентаризацию технических средств, программного обеспечения и средств защиты информации. |
| АНЗ.5 Контроль правил генерации и смены паролей пользователей, заведения и удаления учетных записей пользователей, реализации правил разграничения доступом, полномочий пользователей в информационной системе | Проведение периодических проверок генерации и смены паролей пользователей, заведения и удаления учетных записей пользователей, реализации правил разграничения доступом, полномочий пользователей. |
| IX. Обеспечение целостности информационной системы и информации (ОЦЛ) | |
| ОЦЛ.3 Обеспечение возможности восстановления программного обеспечения, включая программное обеспечение средств защиты информации, при возникновении нештатных ситуаций | Использование средств резервного копирования. |
| ОЦЛ.6 Ограничение прав пользователей по вводу информации в информационную систему | Реализация ограничительных интерфейсов по вводу информации только через специальные формы прикладного программного обеспечения. |
| ОЦЛ.8 Контроль ошибочных действий пользователей по вводу и (или) передаче информации и предупреждение пользователей об ошибочных действиях | Регистрация информации об ошибочных действиях пользователей, которые могут привести к нарушению безопасности видеоинформации, в журналах регистрации событий безопасности. |
| Продолжение таблицы 4.2 | |
| Меры защиты видеоинформации | Средства для реализации мер защиты |
| X. Обеспечение доступности информации (ОДТ) | |
| ОДТ.1 Использование отказоустойчивых технических средств | Выбор технических средств с установленными характеристиками готовности и надежности, обеспечивающими непрерывность функционирования системы видеонаблюдения. |
| ОДТ.2 Резервирование технических средств, программного обеспечения, каналов передачи информации, средств обеспечения функционирования информационной системы | Использование средств резервного копирования. |
| ОДТ.3 Контроль безотказного функционирования технических средств, обнаружение и локализация отказов функционирования, принятие мер по восстановлению отказавших средств и их тестирование | Регистрация сбоев и отказов в функционировании технических средств; Применение программных средства мониторинга технического состояния системы видеонаблюдения. |
| ОДТ.4 Периодическое резервное копирование персональных данных на резервные машинные носители персональных данных | Использование средств резервного копирования. |
| XII. Защита технических средств (ЗТС) | |
| ЗТС.2 Организация контролируемой зоны, в пределах которой постоянно размещаются стационарные технические средства, обрабатывающие информацию, и средства защиты информации, а также средства обеспечения функционирования | Обеспечение доступности сведений о физических мерах защиты объектов, в которых размещены компоненты системы видеонаблюдения, ограниченному кругу сотрудников; Утверждение правил доступа в помещение ПЦО, где располагаются компоненты системы видеонаблюдения; Утверждение перечня лиц, имеющих право доступа в помещение ПЦО, где располагаются компоненты системы видеонаблюдения. |
| ЗТС.3 Контроль и управление физическим доступом к техническим средствам, средствам защиты информации, средствам обеспечения функционирования, а также в помещения и | Обеспечение нахождения в помещении ПЦО представителей технических, обслуживающих и других вспомогательных служб при работе в помещении ПЦО и сотрудников организации, не являющихся пользователями системы видеонаблюдения, только в присутствии сотрудников вневедомственной охраны; |
| Продолжение таблицы 4.2 | |
| Меры защиты видеоинформации | Средства для реализации мер защиты |
| сооружения, в которых они установлены, исключающие несанкционированный физический доступ к средствам обработки информации, средствам защиты информации и средствам обеспечения функционирования информационной системы, в помещения и сооружения, в которых они установлены | Оснащение помещения ПЦО входными дверьми с замками, обеспечивающими постоянное закрытие дверей помещения на замок и их открытие только для санкционированного прохода. |
| ЗТС.4 Размещение устройств вывода (отображения) информации, исключающее ее несанкционированный просмотр | Оптимальное расположение средств отображения видеоинформации (экраны компьютеров) с целью исключения прямого или дистанционного наблюдения; использование занавесок, штор, жалюзи. |
| ЗТС.5 Защита от внешних воздействий (воздействий окружающей среды, нестабильности электроснабжения, кондиционирования и иных внешних факторов) | Утверждение норм и правил пожарной безопасности; Утверждение норм и правил устройства и технической эксплуатации электроустановок, а также соблюдение параметров электропитания и заземления технических средств; Применение технических средств температурно-влажностного режима и условий по степени запыленности воздуха. |
| XIII. Защита информационной системы, ее средств, систем связи и передачи данных (3ИС) | |
| ЗИС.2 Предотвращение задержки или прерывания выполнения процессов с высоким приоритетом со стороны процессов с низким приоритетом | Настройка приоритетов выполнения процессов в системе видеонаблюдения. |
| XIV. Выявление инцидентов и реагирование на них (ИНЦ) | |
| ИНЦ.2 Обнаружение, идентификация и регистрация инцидентов | Назначение лиц, ответственных за выявление инцидентов и реагирование на них; Определение порядка информирования лиц, ответственных за выявление инцидентов и реагирование на них, о возникновении инцидентов в системе видеонаблюдения пользователями и администраторами; Определение порядка проведения анализа инцидентов и оценки их последствий. |
| ИНЦ.5 Принятие мер по устранению последствий инцидентов | |
| Окончание таблицы 4.2 | |
| Меры защиты видеоинформации | Средства для реализации мер защиты |
| XV. Управление конфигурацией информационной системы и системы защиты персональных данных (УКФ) | |
| УКФ.1 Определение лиц, которым разрешены действия по внесению изменений в конфигурацию информационной системы и системы защиты персональных данных | Утверждение положения о разграничении прав доступа к персональным данным; Утверждение списков доступа, обеспечивающих управление доступом пользователей и запускаемых от их имени процессов при входе в систему видеонаблюдения; Использование программно-аппаратного комплекса доверенной загрузки, включающее механизмы разграничения доступа к информационным ресурсам и блокирующими загрузку операционной системы при обнаружении несанкционированного изменения состава аппаратных компонентов; |
| УКФ.2 Управление изменениями конфигурации информационной системы и системы защиты персональных данных | |
| УКФ.3 Анализ потенциального воздействия планируемых изменений в конфигурации информационной системы и системы защиты персональных данных на обеспечение защиты персональных данных и согласование изменений в конфигурации информационной системы с должностным лицом (работником), ответственным за обеспечение безопасности персональных данных | |
| УКФ.4 Документирование информации (данных) об изменениях в конфигурации информационной системы и системы защиты персональных данных | Ведение журнала учета изменений в конфигурации системы видеонаблюдения и систему защиты видеоинформации. |
4.2 Выбор программных и программно-аппаратных средств защиты, их установка и настройка
Для создания комплексной системы защиты видеоинформации определен перечень программных и программно-аппаратных средств защиты, составленный на основании государственного реестра сертифицированных средств защиты информации ФСТЭК России № РОСС RU.0001.01БИ00 и включающий средство защиты от несанкционированного доступа, средство доверенной загрузки, средство антивирусной защиты, средство резервного копирования.
![](https://s.studizba.com/z.php?f=/templates/si/i/noavatar.png&w=100&h=100&t=1"){kind=avatar}
