Техническое задание (1209945), страница 2
Текст из файла (страница 2)
Ограничение программной среды должно обеспечивать установку и (или) запуск только разрешенного к использованию в системе видеонаблюдения программного обеспечения или исключать возможность установки и (или) запуска запрещенного к использованию в системе программного обеспечения.
Защита машинных носителей (средств обработки видеоинформации) должна исключать возможность несанкционированного доступа к машинным носителям и хранящейся на них видеоинформации.
Регистрация событий безопасности должна обеспечивать сбор, запись, хранение и защиту видеоинформации о событиях безопасности в системе видеонаблюдения, а также возможность просмотра и анализа информации о таких событиях и реагирование на них.
Антивирусная защита должна обеспечивать обнаружение в системе видеонаблюдения компьютерных программ либо иной компьютерной информации, предназначенной для несанкционированного уничтожения, блокирования, модификации, копирования видеоинформации или нейтрализации средств защиты видеоинформации, а также реагирование на обнаружение этих программ и информации.
Обнаружение (предотвращение) вторжений должно обеспечивать обнаружение действий в системе видеонаблюдения, направленных на несанкционированный доступ к видеоинформации, специальные воздействия на систему видеонаблюдения и (или) видеоинформацию в целях добывания, уничтожения, искажения и блокирования доступа к видеоинформации, а также реагирование на эти действия.
Контроль (анализ) защищенности видеоинформации должен обеспечивать контроль уровня защищенности видеоинформации, обрабатываемой в системе видеонаблюдения, путем проведения систематических мероприятий по анализу защищенности системы видеонаблюдения и тестированию работоспособности системы защиты видеоинформации.
Обеспечение целостности системы видеонаблюдения и видеоинформации должно обеспечивать обнаружение фактов несанкционированного нарушения целостности системы видеонаблюдения и содержащейся в ней видеоинформации, а также возможность восстановления системы видеонаблюдения и содержащейся в ней видеоинформации.
Обеспечение доступности видеоинформации должно обеспечивать авторизованный доступ пользователей, имеющих права по доступу, к видеоинформации, содержащейся в системе видеонаблюдения, в штатном режиме функционирования системы видеонаблюдения.
Защита ТС должна исключать НСД к стационарным техническим средствам, обрабатывающим видеоинформацию, средствам, обеспечивающим функционирование системы видеонаблюдения, и в помещения, в которых они постоянно расположены, защиту ТС от внешних воздействий, а также защиту видеоинформации, представленной в виде информативных электрических сигналов и физических полей.
Выявление инцидентов и реагирование на них должны обеспечивать обнаружение, идентификацию, анализ инцидентов в системе видеонаблюдения, а также принятие мер по устранению и предупреждению инцидентов.
Управление конфигурацией системы видеонаблюдения и системы защиты видеоинформации должно обеспечивать управление изменениями конфигурации системы видеонаблюдения и системы защиты видеоинформации, анализ потенциального воздействия планируемых изменений на обеспечение безопасности видеоинформации, а также документирование этих изменений.
4.1.2 Требования к совместимости системы защиты со смежными системами
Входящие в состав системы видеонаблюдения средства защиты видеоинформации не должны препятствовать нормальному функционированию системы видеонаблюдения.
ПО системы защиты видеоинформации должно быть совместимым с ПО системы видеонаблюдения и не должно снижать требуемый уровень защищенности видеоинформации.
Программно-технические средства, используемые для построения системы защиты видеоинформации, должны быть совместимы между собой (корректно работать совместно) и не должны снижать уровень защищенности видеоинформации в системе видеонаблюдения.
4.1.3 Требования к режимам функционирования системы защиты
Система защиты видеоинформации должна поддерживать основной и профилактический режимы функционирования.
В основном режиме система выполняет все свои функции в круглосуточном режиме семь дней в неделю. Для обеспечения основного режима должны выполнятся требования эксплуатации программно-технических средств системы, указанные в соответствующих технических документах.
Профилактический режим, в котором одна или все подсистемы не выполняют своих функций, должен обеспечивать проведение технического обслуживания, модернизацию аппаратно-программного комплекса, устранение аварийных ситуаций.
4.1.4 Требования к развитию, модернизации системы защиты
Система защиты видеоинформации должна создаваться с учетом обеспечения возможности формирования различных вариантов ее построения, а также расширения возможностей ее составных частей.
4.2 Требования к численности и квалификации персонала системы защиты и режиму его работы
Численность персонала должна быть определена в соответствии со штатным расписанием организации и реализована с целью минимизации количественного состава.
К работе с системой допускается персонал, имеющий общую и специальную подготовку для работы с конкретным прикладным программным обеспечением и ТС систем видеонаблюдения. Контроль знаний и навыков по работе с системой должен проводится в соответствии с методическими и регламентирующими документами.
Режим работы персонала должен быть установлен в соответствии с Трудовым кодексом Российской Федерации и требованиями к организации труда и режима отдыха при работе со средствами вычислительной техники.
4.3 Показатели назначения
Система должна обеспечивать независимость от изменений в организационной структуре при сохранении состава и содержания выполняемых функций.
Адаптация системы должна осуществляться экспертами в предметной области, обслуживающим персоналом путем проведения структурной и параметрической настройки программно-технических средств.
Система должна обеспечивать возможность модернизации и развития при необходимости изменения состава требований к выполняемым функциям и видам обеспечения.
Вероятностно-временные характеристики программного обеспечения, при которых сохраняется целевое назначение системы – не менее 5 лет (при проведении соответствующей технической модернизации и развития).
4.4 Требования к надежности
Система должна обеспечить сохранение работоспособности при отказе или выходе их строя по любым причинам одного из компонентов технических средств или коммуникационной подсистемы.
Система должна обеспечить сохранение накопленной информации при отказе компонентов системы с последующим восстановлением после проведения восстановительных работ функционирования системы.
Показатели надежности должны обеспечивать возможность эффективного выполнения функциональных задач системы защиты.
Технические меры должны предусматривать резервирование критически важных компонентов и данных системы, применение сертифицированных ПО, обеспечивающих высокую отказоустойчивость.
Организационные меры должны обеспечивать минимизацию ошибок пользователей и обслуживающего персонала при эксплуатации и обслуживании технических средств системы.
4.5 Требования к безопасности
Технические средства системы должны обеспечивать безопасность пользователей и обслуживающего персонала при эксплуатации, техническом обслуживании и ремонте, отвечать государственным стандартам безопасности труда и иметь сертификаты по электробезопасности и электромагнитной безопасности.
4.6 Требования по эргономике и технической эстетике
Система должна соответствовать требованиям эргономики и профессиональной медицины при условии комплектования высококачественным оборудованием (ПЭВМ, монитор и прочее оборудование), имеющим необходимые сертификаты соответствия и безопасности Росстандарта.
4.7 Требования к эксплуатации и техническому обслуживанию
Аппаратно-технические средства системы должны выбираться с учётом их непрерывного круглосуточного функционирования.
Эксплуатация системы должна проводиться в соответствии с эксплуатационной документацией и регламентом технического обслуживания, который разрабатывается на этапе технического проекта и утверждается в составе эксплуатационной документации.
Техническое обслуживание системы должно предусматривать ежедневный контроль функционирования аппаратно-технических средств и проводится обслуживающим персоналом.
Размещение ТС должно соответствовать требованиям техники безопасности, санитарным нормам и требованиям пожарной безопасности.
Климатические условия в помещениях с размещёнными ТС должны соответствовать климатическим условиям, установленным производителями технических средств.
4.8 Требования по сохранности информации при авариях
К авариям относятся:
-
сбой или выход из строя технических средств, на которых осуществляется эксплуатация системы;
-
сбои электропитания;
-
сбой программного обеспечения;
-
сбой из-за ошибок в работе персонала.
В состав эксплуатационной документации должен входить регламент, определяющий процедуры резервного копирования, восстановления данных и программного обеспечения.
4.9 Требования по стандартизации и унификации
Все используемые средства защиты должны быть сертифицированы в системе сертификации ФСТЭК России.
Функциональные свойства системы должны достигаться средствами ПО, реализованного в виде унифицированных функциональных комплексов.
4.10 Требования к функциям (задачам), выполняемым системой защиты
Система защиты должна реализовывать меры по защите видеоинформации, определённые в базовом наборе мер, представленных в приложении к приказу ФСТЭК № 21.
Система защиты видеоинформации должна обеспечивать 3-ий уровень защищенности ПДн при их обработке в системе видеонаблюдения.
Организационные и технические меры защиты, реализуемые в рамках системы защиты биометрических персональных данных, обрабатываемых в системе видеонаблюдения, должны обеспечивать конфиденциальность, целостность и доступность видеоинформации.
Базовый набор мер приведен в таблице 4.1.
Базовый набор мер должен адаптироваться с учётом структурно-функциональных характеристик системы видеонаблюдения и особенностей её функционирования (из базового набора мер должны исключаться меры, связанные с технологиями, не используемыми в системе видеонаблюдения, и меры, не свойственные системе видеонаблюдения), уточняться с учетом не выбранных ранее мер, приведенных в приложении к приказу ФСТЭК № 21 для определения мер, направленных на нейтрализацию всех актуальных угроз безопасности видеоинформации, и дополняться мерами, установленными иными нормативно-правовыми актами в области обеспечения безопасности информации.
Меры, исключенные их базового набора мер, представлены в таблице 4.2.
Меры, уточненные с учетом не выбранных ранее мер, представлены в таблице 4.3.
Дополнительных мер для нейтрализации актуальных угроз безопасности видеоинформации, установленных иными нормативно-правовыми актами, не требуется.
Таблица 4.1 – Базовый набор мер по защите видеоинформации
| Условное обозначение и номер меры | Содержание мер по обеспечению безопасности персональных данных | 3 уровень защищен-ности ПДн |
| I. Идентификация и аутентификация субъектов доступа и объектов доступа (ИАФ) | ||
| ИАФ.1 | Идентификация и аутентификация пользователей, являющихся работниками оператора | + |
| ИАФ.З | Управление идентификаторами, в том числе создание, присвоение, уничтожение идентификаторов | + |
| ИАФ.4 | Управление средствами аутентификации, в том числе хранение, выдача, инициализация, блокирование средств аутентификации и принятие мер в случае утраты и (или) компрометации средств аутентификации | + |
| ИАФ.5 | Защита обратной связи при вводе аутентификационной информации | + |
| ИАФ.6 | Идентификация и аутентификация пользователей, не являющихся работниками оператора (внешних пользователей) | + |
| II. Управление доступом субъектов доступа к объектам доступа (УПД) | ||
| УПД.1 | Управление (заведение, активация, блокирование и уничтожение) учетными записями пользователей, в том числе внешних пользователей | + |
| УПД.2 | Реализация необходимых методов (дискреционный, мандатный, ролевой или иной метод), типов (чтение, запись, выполнение или иной тип) и правил разграничения доступа | + |
| УПД.З | Управление (фильтрация, маршрутизация, контроль соединений, однонаправленная передача и иные способы управления) информационными потоками между устройствами, сегментами информационной системы, а также между информационными системами | + |
| УПД.4 | Разделение полномочий (ролей) пользователей, администраторов и лиц, обеспечивающих функционирование информационной системы | + |
| УПД.5 | Назначение минимально необходимых прав и привилегий пользователям, администраторам и лицам, обеспечивающим функционирование информационной системы | + |
| УПД.6 | Ограничение неуспешных попыток входа в информационную систему (доступа к информационной системе) | + |
| Продолжение таблицы 4.1 | ||
| Условное обозначение и номер меры | Содержание мер по обеспечению безопасности персональных данных | 3 уровень защищен-ности ПДн |
| УПД.10 | Блокирование сеанса доступа в информационную систему после установленного времени бездействия (неактивности) пользователя или по его запросу | + |
| УПД.11 | Разрешение (запрет) действий пользователей, разрешенных до идентификации и аутентификации | + |
| УПД.13 | Реализация защищенного удаленного доступа субъектов доступа к объектам доступа через внешние информационно-телекоммуникационные сети | + |
| УПД.14 | Регламентация и контроль использования в информационной системе технологий беспроводного доступа | + |
| УПД.15 | Регламентация и контроль использования в информационной системе мобильных технических средств | + |
| УПД.16 | Управление взаимодействием с информационными системами сторонних организаций (внешние информационные системы) | + |
| IV. Защита машинных носителей персональных данных (ЗНИ) | ||
| ЗНИ.8 | Уничтожение (стирание) или обезличивание персональных данных на машинных носителях при их передаче между пользователями, в сторонние организации для ремонта или утилизации, а также контроль уничтожения (стирания) или обезличивания | + |
| V. Регистрация событий безопасности (РСБ) | ||
| РСБ.1 | Определение событий безопасности, подлежащих регистрации, и сроков их хранения | + |
| РСБ.2 | Определение состава и содержания информации о событиях безопасности, подлежащих регистрации | + |
| РСБ.З | Сбор, запись и хранение информации о событиях безопасности в течение установленного времени хранения | + |
| РСБ. 7 | Защита информации о событиях безопасности | + |
| VI. Антивирусная защита (АВЗ) | ||
| АВ3.1 | Реализация антивирусной защиты | + |
| АВ3.2 | Обновление базы данных признаков вредоносных компьютерных программ (вирусов) | + |
| VIII. Контроль (анализ) защищенности персональных данных (АНЗ) | ||
| АНЗ.1 | Выявление, анализ уязвимостей информационной системы и оперативное устранение вновь выявленных уязвимостей | + |
| АНЗ.2 | Контроль установки обновлений программного обеспечения, включая обновление программного обеспечения средств защиты информации | + |
| Продолжение таблицы 4.1 | ||
| Условное обозначение и номер меры | Содержание мер по обеспечению безопасности персональных данных | 3 уровень защищен-ности ПДн |
| АНЗ.3 | Контроль работоспособности, параметров настройки и правильности функционирования программного обеспечения и средств защиты информации | + |
| АНЗ.4 | Контроль состава технических средств, программного обеспечения и средств защиты информации | + |
| XI. Защита среды виртуализации (ЗСВ) | ||
| ЗСВ.1 | Идентификация и аутентификация субъектов доступа и объектов доступа в виртуальной инфраструктуре, в том числе администраторов управления средствами виртуализации | + |
| ЗСВ.2 | Управление доступом субъектов доступа к объектам доступа в виртуальной инфраструктуре, в том числе внутри виртуальных машин | + |
| ЗСВ.3 | Регистрация событий безопасности в виртуальной инфраструктуре | + |
| ЗСВ.9 | Реализация и управление антивирусной защитой в виртуальной инфраструктуре | + |
| ЗСВ.10 | Разбиение виртуальной инфраструктуры на сегменты (сегментирование виртуальной инфраструктуры) для обработки персональных данных отдельным пользователем и (или) группой пользователей | + |
| XII. Защита технических средств (ЗТС) | ||
| ЗТС.3 | Контроль и управление физическим доступом к техническим средствам, средствам защиты информации, средствам обеспечения функционирования, а также в помещения и сооружения, в которых они установлены, исключающие несанкционированный физический доступ к средствам обработки информации, средствам защиты информации и средствам обеспечения функционирования информационной системы, в помещения и сооружения, в которых они установлены | + |
| ЗТС.4 | Размещение устройств вывода (отображения) информации, исключающее ее несанкционированный просмотр | + |
| XIII. Защита информационной системы, ее средств, систем связи и передачи данных (ЗИС) | ||
| ЗИС.3 | Обеспечение защиты персональных данных от раскрытия, модификации и навязывания (ввода ложной информации) при ее передаче (подготовке к передаче) по каналам связи, имеющим выход за пределы контролируемой зоны, в том числе беспроводным каналам связи | + |
| ЗИС.20 | Защита беспроводных соединений, применяемых в информационной системе | + |
| Окончание таблицы 4.1 | ||
| Условное обозначение и номер меры | Содержание мер по обеспечению безопасности персональных данных | 3 уровень защищен-ности ПДн |
| XV. Управление конфигурацией информационной системы и системы защиты персональных данных (УКФ) | ||
| УКФ.1 | Определение лиц, которым разрешены действия по внесению изменений в конфигурацию информационной системы и системы защиты персональных данных | + |
| УКФ.2 | Управление изменениями конфигурации информационной системы и системы защиты персональных данных | + |
| УКФ.3 | Анализ потенциального воздействия планируемых изменений в конфигурации информационной системы и системы защиты персональных данных на обеспечение защиты персональных данных и согласование изменений в конфигурации информационной системы с должностным лицом (работником), ответственным за обеспечение безопасности персональных данных | + |
| УКФ.4 | Документирование информации (данных) об изменениях в конфигурации информационной системы и системы защиты персональных данных | + |
Таблица 4.2 – Меры, исключенные из базового набора мер
| Условное обозначение и номер меры | Содержание мер по обеспечению безопасности персональных данных | Исключающий фактор |
| I. Идентификация и аутентификация субъектов доступа и объектов доступа (ИАФ) | ||
| ИАФ.6 | Идентификация и аутентификация пользователей, не являющихся работниками оператора (внешних пользователей) | Отсутствие внешних пользователей |
| II. Управление доступом субъектов доступа к объектам доступа (УПД) | ||
| УПД.11 | Разрешение (запрет) действий пользователей, разрешенных до идентификации и аутентификации | Действия пользователей до прохождения ими процедур идентификации и аутентификации не разрешены |
| УПД.13 | Реализация защищенного удаленного доступа субъектов доступа к объектам доступа через внешние информационно-телекоммуникационные сети | Отсутствие подключения к внешним сетям |
| УПД.14 | Регламентация и контроль использования в информационной системе технологий беспроводного доступа | Отсутствие технологий беспроводного доступа |
| Окончание таблицы 4.2 | ||
| Условное обозначение и номер меры | Содержание мер по обеспечению безопасности персональных данных | Исключающий фактор |
| УПД.15 | Регламентация и контроль использования в информационной системе мобильных технических средств | Мобильные технические средства не используются |
| УПД.16 | Управление взаимодействием с информационными системами сторонних организаций (внешние информационные системы) | Отсутствие подключения к внешним системам |
| IV. Защита машинных носителей персональных данных (ЗНИ) | ||
| ЗНИ.8 | Уничтожение (стирание) или обезличивание персональных данных на машинных носителях при их передаче между пользователями, в сторонние организации для ремонта или утилизации, а также контроль уничтожения (стирания) или обезличивания | Передача видеоинформации осуществляется только правоохранительным органам на их съемных носителях |
| XI. Защита среды виртуализации (ЗСВ) | ||
| ЗСВ.1 | Идентификация и аутентификация субъектов доступа и объектов доступа в виртуальной инфраструктуре, в том числе администраторов управления средствами виртуализации | Не рассматривается в связи с отсутствием виртуальной инфраструктуры |
| ЗСВ.2 | Управление доступом субъектов доступа к объектам доступа в виртуальной инфраструктуре, в том числе внутри виртуальных машин | |
| ЗСВ.3 | Регистрация событий безопасности в виртуальной инфраструктуре | |
| ЗСВ.9 | Реализация и управление антивирусной защитой в виртуальной инфраструктуре | |
| ЗСВ.10 | Разбиение виртуальной инфраструктуры на сегменты (сегментирование виртуальной инфраструктуры) для обработки персональных данных отдельным пользователем и (или) группой пользователей | |
| XIII. Защита ИС, ее средств, систем связи и передачи данных (ЗИС) | ||
| ЗИС.3 | Обеспечение защиты персональных данных от раскрытия, модификации и навязывания (ввода ложной информации) при ее передаче (подготовке к передаче) по каналам связи, имеющим выход за пределы контролируемой зоны, в том числе беспроводным каналам связи | Видеоинформация не передается по каналам связи за пределы КЗ |
| ЗИС.20 | Защита беспроводных соединений, применяемых в информационной системе | Отсутствуют технологии беспроводных соединений |
Таблица 4.3 – Меры, уточненные с учетом не выбранных ранее мер
| Условное обозначение и номер меры | Содержание мер по обеспечению безопасности персональных данных |
| I. Идентификация и аутентификация субъектов доступа и объектов доступа (ИАФ) | |
| ИАФ.7 | Идентификация и аутентификация объектов файловой системы, запускаемых и исполняемых модулей, объектов систем управления базами данных, объектов, создаваемых прикладным и специальным программным обеспечением, иных объектов доступа |
| III. Ограничение программной среды (ОПС) | |
| ОПС.1 | Управление запуском (обращениями) компонентов программного обеспечения, в том числе определение запускаемых компонентов, настройка параметров запуска компонентов, контроль за запуском компонентов программного обеспечения |
| ОПС.2 | Управление установкой (инсталляцией) компонентов программного обеспечения, в том числе определение компонентов, подлежащих установке, настройка параметров установки компонентов, контроль за установкой компонентов программного обеспечения |
| ОПС.3 | Установка (инсталляция) только разрешенного к использованию программного обеспечения и (или) его компонентов |
| IV. Защита машинных носителей персональных данных (ЗНИ) | |
| ЗНИ.1 | Учет машинных носителей информации |
| ЗНИ.2 | Управление доступом к машинным носителям информации |
| ЗНИ.6 | Контроль ввода (вывода) информации на машинные носители информации |
| ЗНИ.7 | Контроль подключения машинных носителей информации |
| V. Регистрация событий безопасности (РСБ) | |
| РСБ.4 | Реагирование на сбои при регистрации событий безопасности, в том числе аппаратные и программные ошибки, сбои в механизмах сбора информации и достижение предела или переполнения объема (емкости) памяти |
| VIII. Контроль (анализ) защищенности персональных данных (АНЗ) | |
| АНЗ.5 | Контроль правил генерации и смены паролей пользователей, заведения и удаления учетных записей пользователей, реализации правил разграничения доступом, полномочий пользователей в информационной системе |
| IX. Обеспечение целостности информационной системы и информации (ОЦЛ) | |
| ОЦЛ.3 | Обеспечение возможности восстановления программного обеспечения, включая программное обеспечение средств защиты информации, при возникновении нештатных ситуаций |
| ОЦЛ.6 | Ограничение прав пользователей по вводу информации в информационную систему |
| ОЦЛ.8 | Контроль ошибочных действий пользователей по вводу и (или) передаче информации и предупреждение пользователей об ошибочных действиях |
| Окончание таблицы 4.3 | |
| Условное обозначение и номер меры | Содержание мер по обеспечению безопасности персональных данных |
| X. Обеспечение доступности информации (ОДТ) | |
| ОДТ.1 | Использование отказоустойчивых технических средств |
| ОДТ.2 | Резервирование технических средств, программного обеспечения, каналов передачи информации, средств обеспечения функционирования информационной системы |
| ОДТ.3 | Контроль безотказного функционирования технических средств, обнаружение и локализация отказов функционирования, принятие мер по восстановлению отказавших средств и их тестирование |
| ОДТ.4 | Периодическое резервное копирование персональных данных на резервные машинные носители персональных данных |
| XII. Защита технических средств (ЗТС) | |
| ЗТС.2 | Организация контролируемой зоны, в пределах которой постоянно размещаются стационарные технические средства, обрабатывающие информацию, и средства защиты информации, а также средства обеспечения функционирования |
| ЗТС.5 | Защита от внешних воздействий (воздействий окружающей среды, нестабильности электроснабжения, кондиционирования и иных внешних факторов) |
| XIII. Защита информационной системы, ее средств, систем связи и передачи данных (3ИС) | |
| ЗИС.2 | Предотвращение задержки или прерывания выполнения процессов с высоким приоритетом со стороны процессов с низким приоритетом |
| XIV. Выявление инцидентов и реагирование на них (ИНЦ) | |
| ИНЦ.2 | Обнаружение, идентификация и регистрация инцидентов |
| ИНЦ.5 | Принятие мер по устранению последствий инцидентов |
4.11 Требования к видам обеспечения системы защиты
4.11.1 Требования к программному обеспечению системы защиты
Выбор ПО должен проводиться с учетом функций и задач проектируемой системы защиты видеоинформации.
![](https://s.studizba.com/z.php?f=/templates/si/i/noavatar.png&w=100&h=100&t=1"){kind=avatar}
