4. Техническое задание (1209951), страница 3
Текст из файла (страница 3)
Таблица 5.3 – меры, добавленные при уточнении
| Номер меры | Мера |
| УПД.17 | Обеспечение доверенной загрузки средств вычислительной техники |
| ОПС.3 | Установка (инсталляция) только разрешенного к использованию программного обеспечения и (или) его компонентов |
| ЗНИ.1 | Учет машинных носителей |
| ЗНИ.2 | Управление доступом к машинным носителям информации |
| ЗНИ.6 | Контроль ввода (вывода) информации на машинные носители информации |
| ЗНИ.7 | Контроль подключения машинных носителей персональных данных |
| РСБ.4 | Реагирование на сбои при регистрации событий безопасности, в том числе аппаратные и программные ошибки, сбои в механизмах сбора информации и достижение предела или переполнения объема (емкости) памяти |
| РСБ.5 | Мониторинг (просмотр, анализ) результатов регистрации событий безопасности и реагирование на них |
| АНЗ.5 | Контроль правил генерации и смены паролей пользователей, заведения и удаления учетных записей пользователей, реализации правил разграничения доступа, полномочий пользователей в информационной системе |
| ОЦЛ.3 | Обеспечение возможности восстановления программного обеспечения, включая программное обеспечение средств защиты информации, при возникновении нештатных ситуаций |
| ЗТС.2 | Организация контролируемой зоны, в пределах которой постоянно размещаются стационарные технические средства, обрабатывающие информацию, и средства защиты информации, а также средства обеспечения функционирования |
| ЗИС.23 | Защита периметра (физических и (или) логических границ) информационной системы при её взаимодействии с иными информационными система и информационно-телекоммуникационными сетями |
-
Дополнение уточненного адаптированного базового набора мер
На основании требований руководящих документов ФСБ России, изложенных в «Типовых требованиях по организации и обеспечению функционирования шифровальных (криптографических) средств, предназначенных для защиты информации, не содержащей сведений, составляющих государственную тайну в случае их использования для обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных» от 21 февраля 2008 г. № 149/6/6-622 и «Методических рекомендаций по обеспечению с помощью криптосредств безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств автоматизации» утвержденных руководством 8 Центра ФСБ России 21 февраля 2008 г. № 149/5-144, в ГИС должна обеспечиваться криптографическая защита персональных данных при передаче по каналам связи в сторонние организации и между сегментами ГИС, при передаче информации через сети связи международного информационного обмена.
-
Конечный набор мер и средств защиты информации в соответствии с актуальными угрозами
«Требованиями о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах», утвержденными приказом ФСТЭК от 11.02.2013 № 17, «Составом и содержанием организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных», утвержденным приказом ФСТЭК России от 18.02.2013 № 21 и «Методическими рекомендациями по обеспечению с помощью крипто-средств безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств автоматизации» утвержденными руководством 8 Центра ФСБ России 21 февраля 2008 г. № 149/5-144 определен комплекс методов и способов защиты информации, применяемых для ГИС 4-го и 3-го уровня защищенности персональных данных, реализуемых специализированным средствами защиты информации, прошедшими в установленном порядке процедуру оценки соответствия.
В таблице 5.4 представлен конечный набор организационных и технических мер, которые необходимо реализовать.
Таблица 5.4 – Перечень мер по обеспечению безопасности информации
| № меры | Содержание мер по обеспечению безопасности персональных данных |
| I. Идентификация и аутентификация субъектов доступа и объектов доступа (ИАФ) | |
| 1 | ИАФ1. Идентификация и аутентификация пользователей, являющихся работниками оператора |
| 2 | ИАФ3. Управление идентификаторами, в том числе создание, присвоение, уничтожение идентификаторов |
| 3 | ИАФ4. Управление средствами аутентификации, в том числе хранение выдача, инициализация, блокирование средств аутентификации и принятие мер в случае утраты и (или) компрометации средств аутентификации |
| 4 | ИАФ5. Защита обратной связи при вводе аутентификационной информации |
| 5 | ИАФ6. Идентификация и аутентификация пользователей, не являющихся работниками оператора (внешних пользователей) |
| II. Управление доступом субъектов доступа к объектам доступа (УПД) | |
| 6 | УПД1. Управление (заведение, активация, блокирование и уничтожение) учетными записями пользователей, в том числе внешних пользователей |
| 7 | УПД4. Разделение обязанностей полномочий (ролей), администраторов и лиц, обеспечивающих функционирование информационной системы |
| 8 | УПД5. Назначение минимально необходимых прав и привилегий пользователям, администраторам и лицам, обеспечивающим функционирование информационной системы |
| 9 | УПД6. Ограничение неуспешных попыток входа в информационную систему (доступа к информационной системе) |
| 10 | УПД10. Блокирование сеанса доступа в информационную систему после установленного времени бездействия (неактивности) пользователя или по его запросу |
| 11 | УПД11. Разрешение (запрет) действий пользователей, разрешенных до идентификации и аутентификации |
| 12 | УПД13. Реализация защищенного удаленного доступа субъектов доступа к объектам доступа через внешние информационно-телекоммуникационные сети |
| 13 | УПД16. Управление взаимодействием с информационными системами сторонних организаций (внешние информационные системы) |
| III. Ограничение программной среды (ОПС) | |
| 14 | ОПС3. Установка (инсталляция) только разрешенного к использованию программного обеспечения и (или) его компонентов |
| IV. Защита машинных носителей персональных данных (ЗНИ) | |
| 15 | ЗНИ1. Учет машинных носителей информации |
| 16 | ЗНИ2. Управление доступом к машинным носителям информации |
| 17 | ЗНИ8. Уничтожение (стирание) информации на машинных носителях при их передаче между пользователями, в сторонние организации для ремонта или утилизации, а также контроль уничтожения (стирания) |
| V. Регистрация событий безопасности (РСБ) | |
| 18 | РСБ1. Определение событий безопасности, подлежащих регистрации, и сроков их хранения |
| 19 | РСБ2. Определение состава и содержания информации о событиях безопасности, подлежащих регистрации |
| 20 | РСБ3. Сбор, запись и хранение информации о событиях безопасности в течение установленного времени хранения |
| 21 | РСБ4. Реагирование на сбои при регистрации событий безопасности, в том числе аппаратные и программные ошибки, сбои в механизмах сбора информации и достижение предела или переполнения объема (емкости) памяти |
| 22 | РСБ5. Мониторинг (просмотр, анализ)результатов регистрации событий безопасности и реагирование на них |
| 23 | РСБ6. Генерирование временных меток и (или) синхронизация системного времени в информационной системе |
| 24 | РСБ7. Защита информации о событиях безопасности |
| VI. Антивирусная защита (АВЗ) | |
| 25 | АВЗ1. Реализация антивирусной защиты |
| 26 | АВЗ2. Обновление базы данных признаков вредоносных компьютерных программ (вирусов) |
| VIII. Контроль (анализ) защищенности персональных данных (АНЗ) | |
| 27 | АНЗ1. Выявление, анализ уязвимостей информационной системы и оперативное устранение вновь выявленных уязвимостей |
| 28 | АНЗ2. Контроль установки обновлений программного обеспечения, включая обновление программного обеспечения средств защиты информации |
| 29 | АНЗ3. Контроль работоспособности, параметров настройки и правильности функционирования программного обеспечения и средств защиты информации |
| 30 | АНЗ4. Контроль состава технических средств, программного обеспечения и средств защиты информации |
| 31 | АНЗ5. Контроль правил генерации и смены паролей пользователей, заведения и удаления учетных записей пользователей, реализации правил разграничения доступом, полномочий пользователей в информационной системе |
| IX. Обеспечение целостности информационной системы и информации (ОЦЛ) | |
| 32 | ОЦЛ3. Обеспечение возможности восстановления программного обеспечения, включая программное обеспечение средств защиты информации, при возникновении нештатных ситуаций |
| XII. Защита технических средств (ЗТС) | |
| 33 | ЗТС2. Организация контролируемой зоны, в пределах которой постоянно размещаются стационарные технические средства, обрабатывающие информацию, и средства защиты информации, а также средства обеспечения функционирования |
| 34 | ЗТС3. Контроль и управление физическим доступом к техническим средствам, средствам защиты информации, средствам обеспечения функционирования, а также в помещения и сооружения, в которых они установлены, исключающие несанкционированный физический доступ к средствам обработки информации, средствам защиты информации и средствам обеспечения функционирования информационной системы и помещения и сооружения, в которых они установлены |
| 35 | ЗТС4. Размещение устройств вывода (отображения) информации, исключающее ее несанкционированный просмотр |
| XIII. Защита информационной системы, ее средств, систем связи и передачи данных (ЗИС) | |
| 36 | ЗИС3. Обеспечение защиты информации от раскрытия, модификации и навязывания (ввода ложной информации) при ее передаче (подготовке к передаче) по каналам связи, имеющим выход за пределы контролируемой зоны, в том числе беспроводным каналам связи |
| 37 | ЗИС5. Запрет несанкционированной удаленной активации видеокамер, микрофонов и иных периферийных устройств, которые могут активироваться удаленно, и оповещение пользователей об активации таких устройств |
-
Требования к СЗИ
-
Общие требования
Архитектура СЗИ в совокупности с механизмом поддержки функциональных подсистем не должна накладывать каких-либо существенных ограничений на информационные технологии, используемые в ГИС «Система-112».
Архитектура СЗИ должна обеспечивать реализацию функций безопасности на всех технологических этапах эксплуатации ГИС «Система-112», в том числе при проведении технического обслуживания и ремонта.
![](https://s.studizba.com/z.php?f=/templates/si/i/noavatar.png&w=100&h=100&t=1"){kind=avatar}
