4.Техническое задание (1209965), страница 2
Текст из файла (страница 2)
обеспечение защищенности информационной системы в процессе обработки и хранения информации, обеспечение конфиденциальности информации при ее обработке, а также целостности и доступности;
соответствие требованиям Федерального закона от 27.07.2006 г. № 152-ФЗ «О персональных данных».
соответствие «Требованиям к защите персональных данных при их обработке в информационных системах персональных данных», утвержденных постановлением Правительства РФ от 01.11.2012 № 1119;
выполнение мер в соответствии с «Методическим документом: Меры защиты информации в государственных информационных системах», утвержденным ФСТЭК 11.02.2014 и «Составом и содержанием организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных», утвержденных приказом ФСТЭК России от 18.02.2013№ 21.
выполнение требований настоящего ТЗ
44 параметры ИС телекоммуникационной компании
Персональные данные хранятся на сервере БД и на жёстких дисках АРМ пользователей, к которым имеют доступ ограниченный перечень лиц.
Параметры информационной системы отдела представлены в таблице 1
Таблица 1. Параметры ИС
| Наименование параметра | Значение |
| Структура информационной системы | Распределенная |
| Архитектура информационной системы | Файл-серверная |
| Взаимодействие с иными информационными системами | Имеется |
| Подключение информационной системы к сетям общего пользования и (или) сетям международного информационного обмена | Имеется |
| Размещение технических средств | ТС расположены в главном офисе компании, который не является объектом рассматриваемой контролируемой зоны |
| Режим обработки персональных данных | Многопользовательский |
| Режим разграничения прав доступа пользователей | Система с разграничением прав доступа |
| Местонахождение технических средств информационной системы | Все технические средства находятся в пределах Российской Федерации |
| Объем обрабатываемых персональных данных | Более 100 тысяч субъектов персональных данных |
| Категории обрабатываемых персональных данных | Иные категории персональных данных |
| Вид доступа | Применяется технология проводного доступа |
Актуальные угрозы ИБ, которым подвержена ИСПДн определены в модели угроз безопасности персональных данных при их обработке в информационной системе персональных данных разработанной на основании «Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных (выписка)» и «Банк данных угроз безопасности информации ФСТЭК России»
4.1 Конфигурация ИСПДн и топология подразделения
Топология и конфигурация представлена на рисунке 1.
Рисунок 1 Конфигурация и топология ЛВС компании
55 Меры по обеспечению ИБ
5.1 Требования для обеспечения 3 уровня защищенности ПДн
Согласно Требованиям, к защите персональных данных при их обработке в информационных системах персональных данных», утвержденным постановлением Правительства Российской Федерации № 1119 от 01.11.2012 г., для обеспечения 3 уровня защищенности персональных данных, необходимо выполнение следующих требований:
-
организация режима обеспечения безопасности помещений, в которых размещена информационная система, препятствующего возможности неконтролируемого проникновения или пребывания в этих помещениях лиц, не имеющих права доступа в эти помещения;
-
обеспечение сохранности носителей персональных данных;
-
утверждение руководителем оператора документа, определяющего перечень лиц, доступ которых к персональным данным, обрабатываемым в информационной системе, необходим для выполнения ими служебных (трудовых) обязанностей;
-
использование средств защиты информации, прошедших процедуру оценки соответствия требованиям законодательства Российской Федерации в области обеспечения безопасности информации, в случае, когда применение таких средств необходимо для нейтрализации актуальных угроз
5.2 Базовый набор мер
В соответствии приказом ФСТЭК от 18.02.2013 г. «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных», базовый набор мер, применяемых для обеспечения 3 уровня защищенности ПДн представлена в таблице 5.1.
Таблица 5.1 – Базовый набор мер
| 1 | ИАФ1. Идентификация и аутентификация пользователей, являющихся работниками оператора |
| 2 | ИАФ3. Управление идентификаторами, в том числе создание, присвоение, уничтожение идентификаторов |
| 3 | ИАФ4. Управление средствами аутентификации, в том числе хранение выдача, инициализация, блокирование средств аутентификации и принятие мер в случае утраты и (или) компрометации средств аутентификации |
| 4 | ИАФ5. Защита обратной связи при вводе аутентификационной информации |
| 5 | ИАФ6. Идентификация и аутентификация пользователей, не являющихся работниками оператора (внешних пользователей) |
| 6 | УПД1. Управление (заведение, активация, блокирование и уничтожение) учетными записями пользователей, в том числе внешних пользователей |
| 7 | УПД3. Управление (фильтрация, маршрутизация, контроль соединений, однонаправленная передача и иные способы управления) информационными потоками между устройствами, сегментами информационной системы, а также между информационными системами |
| 8 | УПД4. Разделение обязанностей полномочий (ролей), администраторов и лиц, обеспечивающих функционирование информационной системы |
| 9 | УПД5. Назначение минимально необходимых прав и привилегий пользователям, администраторам и лицам, обеспечивающим функционирование информационной системы |
| 10 | УПД6. Ограничение неуспешных попыток входа в информационную систему (доступа к информационной системе) |
| 11 | УПД10. Блокирование сеанса доступа в информационную систему после установленного времени бездействия (неактивности) пользователя или по его запросу |
| 12 | УПД11. Разрешение (запрет) действий пользователей, разрешенных до идентификации и аутентификации |
| 13 | УПД13. Реализация защищенного удаленного доступа субъектов доступа к объектам доступа через внешние информационно телекоммуникационные сети |
| 14 | УПД14. Регламентация и контроль использования в информационной системе технологий беспроводного доступа |
| 15 | УПД15. Регламентация и контроль использования в информационной системе мобильных технических средств |
| 16 | УПД16. Управление взаимодействием с информационными системами сторонних организаций (внешние информационные системы) |
| 17 | ЗНИ8. Уничтожение (стирание) информации на машинных носителях при их передаче между пользователями, в сторонние организации для ремонта или утилизации, а также контроль уничтожения (стирания) |
| 18 | РСБ1. Определение событий безопасности, подлежащих регистрации, и сроков их хранения |
| 19 | РСБ2. Определение состава и содержания информации о событиях безопасности, подлежащих регистрации |
| 20 | РСБ3. Сбор, запись и хранение информации о событиях безопасности в течение установленного времени хранения |
| 21 | РСБ7. Защита информации о событиях безопасности |
| 22 | АВЗ1. Реализация антивирусной защиты |
| 23 | АВЗ2. Обновление базы данных признаков вредоносных компьютерных программ (вирусов) |
| 24 | АНЗ1. Выявление, анализ уязвимостей информационной системы и оперативное устранение вновь выявленных уязвимостей |
| 25 | АНЗ2. Контроль установки обновлений программного обеспечения, включая обновление программного обеспечения средств защиты информации |
| 26 | АНЗ3. Контроль работоспособности, параметров настройки и правильности функционирования программного обеспечения и средств защиты информации |
| 27 | АНЗ4. Контроль состава технических средств, программного обеспечения и средств защиты информации |
| 28 | ЗСВ1. Идентификация и аутентификация субъектов доступа и объектов доступа в виртуальной инфраструктуре, в том числе администраторов управления средствами виртуализации |
| 29 | ЗСВ2. Управление доступом субъектов доступа к объектам доступа в виртуальной инфраструктуре, в том числе внутри виртуальных машин |
| 30 | ЗСВ3. Регистрация событий безопасности в виртуальной инфраструктуре |
| 31 | ЗСВ9. Реализация и управление антивирусной защитой в виртуальной инфраструктуре |
| 32 | ЗСВ10. Разбиение виртуальной инфраструктуры на сегменты (сегментирование виртуальной инфраструктуры) для обработки информации отдельным пользователем и (или) группой пользователей |
| 33 | ЗТС3. Контроль и управление физическим доступом к техническим средствам, средствам защиты информации, средствам обеспечения функционирования, а также в помещения и сооружения, в которых они установлены, исключающие несанкционированный физический доступ к средствам обработки информации, средствам защиты информации и средствам обеспечения функционирования информационной системы и помещения и сооружения, в которых они установлены |
| 34 | ЗТС4. Размещение устройств вывода (отображения) информации, исключающее ее несанкционированный просмотр |
| 35 | ЗИС3. Обеспечение защиты информации от раскрытия, модификации и навязывания (ввода ложной информации) при ее передаче (подготовке к передаче) по каналам связи, имеющим выход за пределы контролируемой зоны, в том числе беспроводным каналам связи |
| 36 | ЗИС20. Защита беспроводных соединений, применяемых в информационной системе |
| 37 | УКФ1. Определение лиц, которым разрешены действия по внесению изменений в конфигурацию информационной системы и системы защиты персональных данных |
| 38 | УКФ2. Управление изменениями конфигурации информационной системы и системы защиты персональных данных |
| 39 | УКФ3. Анализ потенциального воздействия планируемых изменений в конфигурации информационной системы и системы защиты персональных данных на обеспечение защиты персональных данных и согласование изменений в конфигурации информационной системы с должностным лицом (работником), ответственным за обеспечение безопасности персональных данных |
| 40 | УКФ4. Документирование информации (данных) об изменениях в конфигурации информационной системы и системы защиты персональных данных информационной системы с должностным лицом (работником), ответственным за обеспечение безопасности персональных данных |
5.3 Конечный набор мер и средств защиты информации в соответствии с актуальными угрозами
«Требованиями о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах», утвержденными приказом ФСТЭК от 11.02.2013 № 17, «Составом и содержанием организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных», утвержденным приказом ФСТЭК России от 18.02.2013 № 21 и «Методическими рекомендациями по обеспечению с помощью крипто-средств безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств автоматизации» утвержденными руководством 8 Центра ФСБ России 21 февраля 2008 г. № 149/5-144 определен комплекс методов и способов защиты информации, применяемых для ИСПДн 3-го уровня защищенности персональных данных, реализуемых специализированным средствами защиты информации, прошедшими в установленном порядке процедуру оценки соответствия.
![](https://s.studizba.com/z.php?f=/templates/si/i/noavatar.png&w=100&h=100&t=1"){kind=avatar}
