Технический проект (1209944), страница 3
Текст из файла (страница 3)
Перед формированием пакетов для отправки в сеть используется шифрование видеоинформации. Шифрование обеспечивает аутентичность трафика (устанавливается взаимно однозначное соответствие между камерой и соответствующим ключом шифрования в центре управления). Аутентичность источника обеспечивается за счет добавления к зашифрованным данным информации о камере и некоторых дополнительных меток. Сигнал «жизни» обеспечивается добавлением к данным зашифрованных меток времени. Цифровой поток в ip-видеокамерах защищен от подмены с помощью цифровых водяных знаков.
2.4 Существующие меры защиты видеоинформации
Видеонаблюдение в Управление ДВЖД осуществляется с соблюдением ограничений, связанных с регулированием процесса обработки биометрических ПДн: выработаны мероприятия по ограничению к ней доступа, организовано хранение видеоархива и сохранность записей в нем.
Доступ к системе видеонаблюдения осуществляется только по персональным учетным записям после прохождения авторизации пользователей на АРМ. В организации разработаны инструкции, регламентирующие порядок доступа, способы фиксации доступа, позволяющие установить, кто из сотрудников в каждый конкретный момент имел доступ к видеоинформации.
Сотрудники организации, допущенные в установленном порядке к видеоинформации, действуют в соответствии с должностными инструкциями, описывающими порядок работы с данными видеонаблюдения.
Пользователи предупреждаются об ответственности о неразглашении конфиденциальных сведений, которые стали известны в результате осуществления видеонаблюдения, а также о недопустимости передачи собственных логина и пароля посторонним лицам.
Просмотр изображений с видеокамер осуществляется в зоне ограниченного доступа в специально предназначенном для службы безопасности помещении (ПЦО). Сотрудники вневедомственной охраны не имеют доступа к базе данных видеосервера, изображение на видеомониторы поступает с центрального видеокоммутатора. Такое разграничение прав доступа повышает безопасность системы видеонаблюдения.
Просматривать видеоархив имеет право ограниченный круг лиц – начальник дороги, его заместители и сотрудники службы безопасности. Для просмотра видеоархива при необходимости используются съемные носители. В каждом конкретном случае решение о доступе к записи видеоинформации принимает начальник дороги либо заместитель начальника дороги по безопасности и режиму.
Срок хранения информации в видеоархиве определен с учетом текущего состояния оперативной обстановки на территории Управления ДВЖД и составляет три месяца. После истечения указанного срока записи, полученные в системе видеонаблюдения, уничтожаются путем перезаписи.
Для обнаружения, удаления и защиты от компьютерных вирусов на ТС системы видеонаблюдения используется ПО «Антивирус Касперского 6.0 для Windows».
Реализованы меры по нейтрализации и предотвращению техногенных угроз безопасности путем применения:
-
лицензионного программного обеспечения;
-
сертифицированных ТС и средств обеспечения функционирования системы видеонаблюдения с высокой степенью отказоустойчивости;
-
системы резервного питания, обеспечивающей работу при пропадании электроэнергии;
-
сетевых фильтров электропитания, предотвращающих сбои и отказы технических средств от скачка электропитания.
Физические средства защиты
Физические средства защиты системы видеонаблюдения представлены на рисунке 2.1.
Ограждение по задней стороне здания, системы охранной сигнализации и видеонаблюдения
Система контроля управления доступом
Запирающие устройства и хранилища
включают различные запирающие устройства и хранилища
реализует контролируемый доступ на охраняемые объекты
обеспечивают защиту от несанкционированного доступа
Рисунок 2.1 – Физические средства защиты
Центральный вход в здание Управления ДВЖД оборудован турникетом с перекрытием всей зоны прохода и оснащен системой контроля управления доступом. Контролируемый доступ предполагает ограничение круга лиц, допускаемых в здание Управления ДВЖД, и контроль за передвижением клиентов организации внутри здания. Основанием допуска служат постоянные электронные пропуска для сотрудников организации, временные пропуска (разовые или на определенный период времени) и документы, удостоверяющие личность – для клиентов, находящихся в договорных или иных гражданско-правовых отношениях с организацией. Обеспечение пропускного режима осуществляется сотрудниками Управления вневедомственной охраны при УВД г. Хабаровска.
Для получения информации о состоянии контролируемых параметров на охраняемом объекте используются технические средства охранно-пожарной сигнализации, работающей в круглосуточном режиме. Все рубежи охранной сигнализации всех помещений объекта подключены на пульт ПЦО с автоматической регистрацией всей поступающей информации.
Для физической защиты ТС системы видеонаблюдения от несанкционированного доступа используется установленная в ПЦО защищенная телекоммуникационная стойка, в которой размещены элементы сегмента видеонаблюдения (центральный видеокоммутатор, видеосервер, блок питания, модуль грозозащиты). Стойка снабжена надежной двойной системой запирания: замком ключевого типа и трех — пятизначным комбинированным замком.
3 Рекомендованные к использованию меры защиты и средства их реализации
Выбор мер защиты видеоинформации определен в соответствии с Составом и содержанием организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, утвержденных приказом ФСТЭК № 21. Базовый набор мер определен с учетом необходимости обеспечения 3-го уровня защищенности биометрических ПДн, обрабатываемых в системе видеонаблюдения.
Уточненный адаптированный базовый набор мер защиты видеоинформации и средства их реализации, определенные в соответствии с методическим документом ФСТЭК России «Меры защиты информации в государственных информационных системах», представлены в таблице 3.1.
Таблица 3.1 – Меры защиты видеоинформации и средства их реализации
| Меры защиты видеоинформации | Средства для реализации мер защиты |
| I. Идентификация и аутентификация субъектов доступа и объектов доступа (ИАФ) | |
| ИАФ.1 Идентификация и аутентификация пользователей, являющихся работниками оператора | Утверждение правил и процедур, регламентирующих порядок создания, присвоения и уничтожения идентификаторов пользователей, хранение, выдачу, инициализацию, блокирование средств аутентификации; Назначение должностных лиц, ответственных за создание, присвоение и уничтожение идентификаторов пользователей, и за хранение, выдачу, инициализацию, блокирование средств аутентификации и принятие мер в случае утраты и (или) компрометации средств аутентификации; Утверждение инструкции пользователя системы видеонаблюдения; Утверждение инструкции администратора системы видеонаблюдения; Использование средств защиты видеоинформации от НСД, программно-аппаратного комплекса доверенной загрузки включающие механизмы идентификации и аутентификации пользователей. |
| ИАФ.3 Управление идентификаторами, в том числе создание, присвоение, уничтожение идентификаторов | |
| ИАФ.4 Управление средствами аутентификации, в том числе хранение, выдача, инициализация, блокирование средств аутентификации и принятие мер в случае утраты и (или) компрометации средств аутентификации | |
| ИАФ.5 Защита обратной связи при вводе аутентификационной информации | |
| ИАФ.7 Идентификация и аутентификация объектов файловой системы, запускаемых и исполняемых модулей, объектов систем управления базами данных, объектов, создаваемых прикладным и специальным программным обеспечением, иных объектов доступа | Использование свидетельств подлинности модулей. |
| II. Управление доступом субъектов доступа к объектам доступа (УПД) | |
| УПД.1 Управление (заведение, активация, блокирование и уничтожение) учетными записями пользователей | Утверждение положения о разграничении прав доступа к персональным данным; Утверждение правил и процедур, регламентирующих порядок управления учетными записями пользователей; Использование средств защиты видеоинформации от НСД, программно-аппаратного комплекса доверенной загрузки, включающие механизмы разграничения доступа к информационным ресурсам и подключаемым устройствам. |
| Продолжение таблицы 3.1 | |
| Меры защиты видеоинформации | Средства для реализации мер защиты |
| УПД.2 Реализация необходимых методов (дискреционный, мандатный, ролевой или иной метод), типов (чтение, запись, выполнение или иной тип) и правил разграничения доступа | Утверждение положения о разграничении прав доступа к видеоинформации; Утверждение списков доступа, обеспечивающих управление доступом пользователей и запускаемых от их имени процессов при входе в систему видеонаблюдения; Использование средств защиты видеоинформации от НСД, программно-аппаратного комплекса доверенной загрузки, включающие механизмы разграничения доступа к информационным ресурсам и подключаемым устройствам. |
| УПД.3 Управление (фильтрация, маршрутизация, контроль соединений, однонаправленная передача и иные способы управления) информационными потоками между устройствами, сегментами информационной системы, а также между информационными системами | |
| УПД.4 Разделение полномочий (ролей) пользователей, администраторов и лиц, обеспечивающих функционирование информационной системы | |
| УПД.5 Назначение минимально необходимых прав и привилегий пользователям, администраторам и лицам, обеспечивающим функционирование информационной системы | |
| УПД.6 Ограничение неуспешных попыток входа в информационную систему | Утверждение положения о разграничении прав доступа к видеоинформации; Ведение журнала регистрации и учета действий пользователей. Использование средств защиты видеоинформации от НСД, программно-аппаратного комплекса доверенной загрузки. |
| УПД.10 Блокирование сеанса доступа в информационную систему после установленного времени бездействия (неактивности) пользователя или по его запросу | Определение параметров блокирования сеанса доступа пользователя после времени бездействия пользователя; Использование средств защиты видеоинформации от НСД, программно-аппаратного комплекса доверенной загрузки. |
| Продолжение таблицы 3.1 | |
| Меры защиты видеоинформации | Средства для реализации мер защиты |
| III. Ограничение программной среды (ОПС) | |
| ОПС.1 Управление запуском (обращениями) компонентов ПО, в том числе определение запускаемых компонентов, настройка параметров запуска компонентов, контроль за запуском компонентов ПО | Утверждение перечня компонентов программного обеспечения (файлов, объектов баз данных, хранимых процедур и иных компонентов), запускаемых автоматически при загрузке операционной системы АРМ пользователей системы видеонаблюдения; Утверждение правил и процедур управления запуском программного обеспечения. |
| ОПС.2 Управление установкой компонентов ПО, в том числе определение компонентов, подлежащих установке, настройка параметров установки компонентов, контроль за установкой компонентов ПО | Утверждение правил и процедур управления установкой (инсталляцией) компонентов программного обеспечения; Использование программно-аппаратного комплекса доверенной загрузки, имеющего механизм контроля состава компонентов аппаратного обеспечения; Контроль за установкой ПО осуществляется средствами инвентаризации программной среды. |
| ОПС.3 Установка только разрешенного к использованию ПОи (или) его компонентов | |
| IV. Защита машинных носителей персональных данных (ЗНИ) | |
| ЗНИ.1 Учет машинных носителей информации | Присвоение регистрационных номеров машинным носителям; Ведение журнала учета машинных носителей видеоинформации. |
| ЗНИ.2 Управление доступом к машинным носителям информации | Утверждение порядка и правил доступа к машинным носителям видеоинформации; Назначение должностных лиц, имеющих физический доступ к машинным носителям видеоинформации. |
| ЗНИ.6 Контроль ввода (вывода) информации на машинные носители информации | Назначение должностных лиц, которым предоставлены полномочия по вводу видеоинформации на съемные носители; Ведение журнала регистрации действий пользователей и событий по вводу видеоинформации на съемные носители. |
| ЗНИ.7 Контроль подключения машинных носителей информации | Утверждение правил и процедур контроля подключения машинных носителей видеоинформации; Использование системы защиты информации от НСД, имеющие механизмы контроля съемных носителей, сертифицированных в соответствии с требованиями к средствам контроля съемных машинных носителей информации. |
| Продолжение таблицы 3.1 | |
| Меры защиты видеоинформации | Средства для реализации мер защиты |
| V. Регистрация событий безопасности (РСБ) | |
| РСБ.1 Определение событий безопасности, подлежащих регистрации, и сроков их хранения | Утверждение правил и процедур сбора, записи и хранения информации о событиях безопасности Использование средств защиты видеоинформации от НСД, программно-аппаратного комплекса доверенной загрузки, имеющих механизм автоматической регистрации событий, относящихся к безопасности. |
| РСБ.2 Определение состава и содержания информации о событиях безопасности, подлежащих регистрации | |
| РСБ.3 Сбор, запись и хранение информации о событиях безопасности в течение установленного времени хранения | |
| РСБ.4 Реагирование на сбои при регистрации событий безопасности, в том числе аппаратные и программные ошибки, сбои в механизмах сбора информации и достижение предела или переполнения объема (емкости) памяти | Ведение единого логического журнала аудита с информацией по событиям безопасности для своевременного выявления инцидентов и реагирования на них; Запрет обработки видеоинформации в случае аппаратных или программных ошибок, сбоев в механизмах сбора видеоинформации. |
| РСБ.7 Защита информации о событиях безопасности | Предоставление записей регистрации событий безопасности только администратору системы видеонаблюдения путем ограничения программной среды; Обеспечение хранения записей системных журналов и записей о событиях безопасности в обособленном хранилище, физически отделенном от технических средств, входящих в состав системы видеонаблюдения. |
| VI. Антивирусная защита (АВЗ) | |
| АВЗ.1 Реализация антивирусной защиты | Использование сертифицированных средств антивирусной защиты. |
| АВЗ.2 Обновление базы данных признаков вредоносных компьютерных программ (вирусов) | Определение порядка и сроков обновления антивирусных баз. |
| VIII. Контроль (анализ) защищенности персональных данных (АНЗ) | |
| АНЗ.1 Выявление, анализ уязвимостей информационной системы и оперативное устранение вновь выявленных уязвимостей | Установка специализированного программного обеспечения по поиску и анализу уязвимостей. |
| Продолжение таблицы 3.1 | |
| Меры защиты видеоинформации | Средства для реализации мер защиты |
| АНЗ.2 Контроль установки обновлений программного обеспечения, включая обновление программного обеспечения средств защиты информации | Проведение проверок корректности функционирования обновлений в тестовой среде с обязательным оформлением результатов проверки в соответствующем журнале. |
| АНЗ.3 Контроль работоспособности, параметров настройки и правильности функционирования программного обеспечения и средств защиты информации | Использование автоматизированных средств, обеспечивающих инвентаризацию параметров настройки программного обеспечения и средств защиты информации и восстановление параметров настройки программного обеспечения и средств защиты информации. |
| АНЗ.4 Контроль состава технических средств, программного обеспечения и средств защиты информации | Использование автоматизированных средств, обеспечивающих инвентаризацию технических средств, программного обеспечения и средств защиты информации. |
| АНЗ.5 Контроль правил генерации и смены паролей пользователей, заведения и удаления учетных записей пользователей, реализации правил разграничения доступом, полномочий пользователей в информационной системе | Проведение периодических проверок генерации и смены паролей пользователей, заведения и удаления учетных записей пользователей, реализации правил разграничения доступом, полномочий пользователей. |
| IX. Обеспечение целостности информационной системы и информации (ОЦЛ) | |
| ОЦЛ.3 Обеспечение возможности восстановления программного обеспечения, включая программное обеспечение средств защиты информации, при возникновении нештатных ситуаций | Использование средств резервного копирования. |
| ОЦЛ.6 Ограничение прав пользователей по вводу информации в информационную систему | Реализация ограничительных интерфейсов по вводу информации только через специальные формы прикладного программного обеспечения. |
| ОЦЛ.8 Контроль ошибочных действий пользователей по вводу и (или) передаче информации и предупреждение пользователей об ошибочных действиях | Регистрация информации об ошибочных действиях пользователей, которые могут привести к нарушению безопасности видеоинформации, в журналах регистрации событий безопасности. |
| Продолжение таблицы 3.1 | |
| Меры защиты видеоинформации | Средства для реализации мер защиты |
| X. Обеспечение доступности информации (ОДТ) | |
| ОДТ.1 Использование отказоустойчивых технических средств | Выбор технических средств с установленными характеристиками готовности и надежности, обеспечивающими непрерывность функционирования системы видеонаблюдения. |
| ОДТ.2 Резервирование технических средств, программного обеспечения, каналов передачи информации, средств обеспечения функционирования информационной системы | Использование средств резервного копирования. |
| ОДТ.3 Контроль безотказного функционирования технических средств, обнаружение и локализация отказов функционирования, принятие мер по восстановлению отказавших средств и их тестирование | Регистрация сбоев и отказов в функционировании технических средств; Применение программных средства мониторинга технического состояния системы видеонаблюдения. |
| ОДТ.4 Периодическое резервное копирование персональных данных на резервные машинные носители персональных данных | Использование средств резервного копирования. |
| XII. Защита технических средств (ЗТС) | |
| ЗТС.2 Организация контролируемой зоны, в пределах которой постоянно размещаются стационарные технические средства, обрабатывающие информацию, и средства защиты информации, а также средства обеспечения функционирования | Обеспечение доступности сведений о физических мерах защиты объектов, в которых размещены компоненты системы видеонаблюдения, ограниченному кругу сотрудников; Утверждение правил доступа в помещение ПЦО, где располагаются компоненты системы видеонаблюдения; Утверждение перечня лиц, имеющих право доступа в помещение ПЦО, где располагаются компоненты системы видеонаблюдения. |
| ЗТС.3 Контроль и управление физическим доступом к техническим средствам, средствам защиты информации, средствам обеспечения функционирования, а также в помещения и | Обеспечение нахождения в помещении ПЦО представителей технических, обслуживающих и других вспомогательных служб при работе в помещении ПЦО и сотрудников организации, не являющихся пользователями системы видеонаблюдения, только в присутствии сотрудников вневедомственной охраны; |
| Продолжение таблицы 3.1 | |
| Меры защиты видеоинформации | Средства для реализации мер защиты |
| сооружения, в которых они установлены, исключающие несанкционированный физический доступ к средствам обработки информации, средствам защиты информации и средствам обеспечения функционирования информационной системы, в помещения и сооружения, в которых они установлены | Оснащение помещения ПЦО входными дверьми с замками, обеспечивающими постоянное закрытие дверей помещения на замок и их открытие только для санкционированного прохода. |
| ЗТС.4 Размещение устройств вывода (отображения) информации, исключающее ее несанкционированный просмотр | Оптимальное расположение средств отображения видеоинформации (экраны компьютеров) с целью исключения прямого или дистанционного наблюдения; использование занавесок, штор, жалюзи. |
| ЗТС.5 Защита от внешних воздействий (воздействий окружающей среды, нестабильности электроснабжения, кондиционирования и иных внешних факторов) | Утверждение норм и правил пожарной безопасности; Утверждение норм и правил устройства и технической эксплуатации электроустановок, а также соблюдение параметров электропитания и заземления технических средств; Применение технических средств температурно-влажностного режима и условий по степени запыленности воздуха. |
| XIII. Защита информационной системы, ее средств, систем связи и передачи данных (3ИС) | |
| ЗИС.2 Предотвращение задержки или прерывания выполнения процессов с высоким приоритетом со стороны процессов с низким приоритетом | Настройка приоритетов выполнения процессов в системе видеонаблюдения. |
| XIV. Выявление инцидентов и реагирование на них (ИНЦ) | |
| ИНЦ.2 Обнаружение, идентификация и регистрация инцидентов | Назначение лиц, ответственных за выявление инцидентов и реагирование на них; Определение порядка информирования лиц, ответственных за выявление инцидентов и реагирование на них, о возникновении инцидентов в системе видеонаблюдения пользователями и администраторами; Определение порядка проведения анализа инцидентов и оценки их последствий. |
| ИНЦ.5 Принятие мер по устранению последствий инцидентов | |
| Окончание таблицы 3.1 | |
| Меры защиты видеоинформации | Средства для реализации мер защиты |
| XV. Управление конфигурацией информационной системы и системы защиты персональных данных (УКФ) | |
| УКФ.1 Определение лиц, которым разрешены действия по внесению изменений в конфигурацию информационной системы и системы защиты персональных данных | Утверждение положения о разграничении прав доступа к персональным данным; Утверждение списков доступа, обеспечивающих управление доступом пользователей и запускаемых от их имени процессов при входе в систему видеонаблюдения; Использование программно-аппаратного комплекса доверенной загрузки, включающее механизмы разграничения доступа к информационным ресурсам и блокирующими загрузку операционной системы при обнаружении несанкционированного изменения состава аппаратных компонентов; |
| УКФ.2 Управление изменениями конфигурации информационной системы и системы защиты персональных данных | |
| УКФ.3 Анализ потенциального воздействия планируемых изменений в конфигурации информационной системы и системы защиты персональных данных на обеспечение защиты персональных данных и согласование изменений в конфигурации информационной системы с должностным лицом (работником), ответственным за обеспечение безопасности персональных данных | |
| УКФ.4 Документирование информации (данных) об изменениях в конфигурации информационной системы и системы защиты персональных данных | Ведение журнала учета изменений в конфигурации системы видеонаблюдения и систему защиты видеоинформации. |
4 Функциональные назначения программных и программно-аппаратных средства зашиты
Для создания комплексной системы защиты видеоинформации определен перечень рекомендуемых программных и программно-аппаратных средств защиты видеоинформации, включенных в государственный реестр сертифицированных средств защиты информации ФСТЭК России № РОСС RU.0001.01БИ00.
![](https://s.studizba.com/z.php?f=/templates/si/i/noavatar.png&w=100&h=100&t=1"){kind=avatar}
