Просмтор этого файла доступен только зарегистрированным пользователям. Но у нас супер быстрая регистрация: достаточно только электронной почты!

Текст из файла (страница 4)

Эффективность СЗИ должна достигаться комплексным применением различных средств и методов.

СЗИ должна быть структурирована по функциональным подсистемам, уровням применения и видам исполнений.

Приводимые в настоящем документе требования по обеспечению безопасности информации должны обеспечивать уровень защищенности информации, соответствующий требованиям, установленными:

• «Требованиями о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах». Утверждены приказом ФСТЭК от 11.02.2013 г. № 17;

• «Методическим документом: Меры защиты информации в государственных информационных системах». Утвержден ФСТЭК 11.02.2014 г.;

• «Составом и содержанием организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных», утвержденным приказом ФСТЭК России от 18.02.2013 г. № 21;

• «Требованиями к защите персональных данных при их обработке в информационных системах персональных данных», утвержденными постановлением Правительства РФ от 01.11.2012 г. № 1119;

• Требованиями к средствам доверенной загрузки, утвержденными приказом ФСТЭК от 27.09.2013 г. №119;

• Требованиями к средствам контроля съемных машинных носителей информации, утвержденными приказом ФСТЭК от 28.07.2014 г. №87;

• «Типовыми требованиями по организации и обеспечению функционирования шифровальных (криптографических) средств, предназначенных для защиты информации, не содержащей сведений, составляющих государственную тайну, в случае их использования для обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных»;

• руководящим документом ФСБ России от 21 февраля 2008 г. № 149/5-144 «Методические рекомендации по обеспечению с помощью криптосредств безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств автоматизации».

• Федеральным законом Российской Федерации от 27 июля 2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации»;

• Федеральным законом Российской Федерации от 27 июля 2006 г. № 152-ФЗ «О персональных данных»;

• Федеральным законом Российской Федерации от 27 декабря 2002 г. № 184-ФЗ «О техническом регулировании».

1. Требования к вариантам исполнения системы

СЗИ должна строиться для всех типов объектов, на которых присутствует или будет присутствовать информация, подлежащая защите. Необходимый набор мер и средств защиты определяется на основании модели угроз и уровня защищенности ПДн.

В связи с тем, что персональные данные обрабатываются только в двух сегментах: «Бухгалтерия и кадры» и «Учебный процесс», а также для удобства администрирования и повышения уровня безопасности, принимается решение об установке средств защиты только в этих сегментах в соответствии с требуемым уровнем защищенности персональных данных.

1. Требования к режимам функционирования системы

В разработанной СЗИ должны быть реализованы следующие режимы функционирования:

• режим установки и конфигурирования;

• режим отладки;

• рабочий режим.

Режим конфигурирования должен быть предназначен для первичной настройки СЗИ и должен выполняться на этапе пуско-наладочных работ. В этом режиме должно происходить настраивание СЗИ путем создания правил, создания, редактирования и применения политик, шаблонов, настроек необходимых видов доступа. Режим установки и конфигурирования должен подразумевать работы по установке и начальной настройке установленного программного обеспечения.

Режим отладки должен быть предназначен для отладки СЗИ и должен выполняться на этапе ввода в эксплуатацию после режима конфигурирования. В этом режиме должно происходить журналирование отработки необходимых компонент СЗИ, отлаживание реакций, видов и методов реагирования компонент на происходящие воздействия.

Рабочий режим должен быть единственным допустимым режимом штатного функционирования системы. В рабочий режим система должна переводиться после режима отладки, когда становится ясно, что система функционирует верно, корректно отрабатываются необходимые политики, правила и шаблоны.

1. Требования к численности и квалификации персонала, режиму его работы

1. Требования к квалификации администратора безопасности

Сотрудники, имеющие высшее профессиональное образование в области технической защиты информации либо высшее или среднее профессиональное (техническое) образование и прошедших переподготовку или повышение квалификации по вопросам технической защиты информации.

Квалификация специалистов должна быть достаточной для осуществления ими настройки общесистемных, прикладных и сетевых сервисов ГИС, а также эксплуатации средств защиты.

Специалисты должны осуществлять обслуживание и эксплуатацию ГИС по рабочим дням в рабочее время с возможностью выхода в нерабочее время для проведения сервисного обслуживания или восстановления работоспособности ГИС «Система-112».

1. Требования к квалификации пользователя ГИС

Квалификация и численность пользователей ГИС должна быть достаточной для осуществления ими обработки персональных данных в соответствии с инструкциями пользователей ГИС.

1. Порядок подготовки персонала, контроль знаний и навыков

Регулярное обучение лиц, использующих средства защиты информации, применяемые в информационных системах, правилам работы с ними с принятием зачетов.

1. Показатели назначения

Системно-технические решения СЗИ должны обеспечить минимизацию вероятности реализации актуальных угроз, описанных в Модели вероятного нарушителя и угроз безопасности информации в сегменте информационной системы «Безопасный город».

Экономический эффект от создания СЗИ должен проявляться в снижении вероятной величины материального и морального ущерба по отношению к субъектам и оператору ПДн.

1. Требования к надежности

Аппаратно-программные компоненты СЗИ должны быть рассчитаны для функционирования в режиме круглосуточной работы и позволять осуществлять выполнение процедур резервирования и восстановления системы после сбоев.

1. Требования к безопасности

В процессе обслуживания и эксплуатации оборудования СЗИ должна обеспечиваться безопасность персонала.

Конструкция используемого оборудования должна обеспечивать защиту эксплуатирующего персонала от поражения электрическим током в соответствии с требованиями ГОСТ 12.2.003 и ГОСТ 12.2.007.

Размещение оборудования на штатных местах должно обеспечивать его безопасное обслуживание и эксплуатацию.

1. Требования к эргономике и технической эстетике

Для обработки информации использовать СВТ, удовлетворяющие требованиям стандартов Российской Федерации по электромагнитной совместимости, по безопасности, по санитарным нормам, предъявляемым к видеодисплейным терминалам ПЭВМ, например, ГОСТ 29216-91, ГОСТ Р 50948-2001, ГОСТ Р 50949-2001, СанПиН 2.2.2/2.4.1340-03.

1. Требования к эксплуатации, техническому обслуживанию, ремонту и хранению компонентов СЗИ

Условия и регламент (режим) эксплуатации, виды и периодичность обслуживания технических средств системы в соответствии с эксплуатационной документацией.

Физический доступ неуполномоченных лиц к компонентам СЗИ должен быть запрещен.

Требования к эксплуатации, техническому обслуживанию, ремонту и хранению могут уточняться на этапе проектирования СЗИ.

1. Требования к защите информации от несанкционированного доступа

Проведение мероприятий, направленных на предотвращение несанкционированного доступа к персональным данным и (или) передачи их лицам, не имеющим права доступа к такой информации.

Своевременное обнаружение фактов несанкционированного доступа к персональным данным.

Недопущение воздействия на технические средства автоматизированной обработки персональных данных, в результате которого может быть нарушено их функционирование.

Возможность незамедлительного восстановления персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним.

1. Требования к сохранности информации при авариях

Перечень событий, при которых должна быть обеспечена сохранность информации в системе: пожар в здании; взрыв; просадка грунта с частичным обрушением здания. Отказ элементов ГИС и средств защиты из-за: повреждения водой (прорыв системы водоснабжения, канализационных труб, систем охлаждения), а также подтопления в период паводка или проливных дождей; сбоя системы кондиционирования.

Механизмы обеспечения сохранности информации могут уточняться на этапе проектирования СЗИ.

1. Требования к защите от влияний внешних воздействий

Защита информации, обрабатываемой в ГИС, от влияния внешних воздействий должна осуществляться в рамках общих организационно-технических мероприятий по обеспечению безопасности и физической защите на объектах размещения СВТ ГИС.

1. Требования к патентной чистоте

При создании СЗИ должны соблюдаться положения законодательных актов Российской Федерации по соблюдению авторских прав и защите специальных знаков.

1. Требования к стандартизации и унификации

Решения по использованию технических средств и ПО в СЗИ должны использовать однотипные компоненты в целях обеспечения снижения расходов на обслуживание и ремонт, взаимозаменяемости используемых компонентов, удобства эксплуатации.

Должна обеспечиваться совместимость технических средств и ПО СЗИ с техническими средствами и ПО, используемыми в ГИС.

Требования по стандартизации и унификации могут уточняться на этапе проектирования СЗИ.

1. Требования к видам обеспечения

1. Требования к программному обеспечению

Предлагаемое к использованию программное обеспечение должно быть лицензионным.

Решения по использованию ПО должны приниматься с учетом обеспечения поддержки его функционирования производителем или поставщиком данного ПО.

В процессе эксплуатации СЗИ лицензии на применяемое ПО должны поддерживаться в актуальном состоянии.

Средства защиты информации, входящие в состав СЗИ, должны быть сертифицированы на соответствие требованиям руководящих документов ФСТЭК России, ФСБ России.

Требования к программному обеспечению могут уточняться на этапе проектирования СЗИ.

1. Требования к техническому обеспечению

Решения по использованию технических средств должны приниматься с учетом обеспечения поддержки его функционирования производителем или поставщиком данных ТС.

В составе СЗИ должны использоваться аппаратные (программно-аппаратные) СЗИ, сертифицированные на соответствие требованиям руководящих документов ФСТЭК России.

В соответствии с Требованиями о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах, утвержденным приказом ФСТЭК России от 11 февраля 2013 г. №17. при использовании в информационных системах, сертифицированных по требованиям безопасности информации средств защиты информации:

1. для обеспечения 3 уровня защищенности персональных данных применяются:

• средства вычислительной техники не ниже 5 класса;

• системы обнаружения вторжений и средства антивирусной защиты не ниже 4 класса защиты в случае актуальности угроз 2-го типа или взаимодействия информационной системы с информационно-телекоммуникационными сетями международного информационного обмена и системы обнаружения вторжений и средства антивирусной защиты не ниже 5 класса защиты в случае актуальности угроз 3-го типа и отсутствия взаимодействия информационной системы с информационно-телекоммуникационными сетями международного информационного обмена;

• межсетевые экраны не ниже 3 класса в случае актуальности угроз 2-го типа или взаимодействия информационной системы с информационно-­телекоммуникационными сетями международного информационного обмена и межсетевые экраны не ниже 4 класса в случае актуальности угроз 3-го типа и отсутствия взаимодействия информационной системы с информационно­-телекоммуникационными сетями международного информационного обмена;

1. для обеспечения 4 уровня защищенности персональных данных применяются:

• средства вычислительной техники не ниже 6 класса;

• системы обнаружения вторжений и средства антивирусной защиты не ниже 5 класса;

• межсетевые экраны 5 класса.

В соответствии с Составом и содержанием организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности, утвержденным приказом ФСБ России от 10.07.2014 г. №378 при использовании средств криптографической защиты (СКЗИ), сертифицированных по требованиям безопасности для обеспечения 4 и 3 уровня защищенности персональных данных применяются СКЗИ класса КС1 и выше.

В соответствии с выбранными мерами, система защиты должна включать в себя средство доверенной загрузки и средство контроля съемных машинных носителей информации.

В соответствии с Требованиями к средствам доверенной загрузки, утвержденные приказом ФСТЭК России от 27.09.2013 №119 и Требованиями к средствам контроля съемных машинных носителей информации, утвержденные приказом ФСТЭК России от 28.07.2014 №87, при необходимости обеспечения 4 уровня защищенности персональных данных применяются средства доверенной загрузки и средства контроля съемных машинных носителей соответствующие 5 классу защиты, а при необходимости обеспечения 3 уровня защищенности персональных данных, применяются средства доверенной загрузки и средства контроля съемных машинных носителей соответствующие 4 классу защиты в случае взаимодействия информационной системы с информационно-телекоммуникационными сетями международного обмена.

Характеристики

Список файлов ВКР