Пояснительная записка (1209970), страница 3

Просмтор этого файла доступен только зарегистрированным пользователям. Но у нас супер быстрая регистрация: достаточно только электронной почты!

Текст из файла (страница 3)

Для оценки возможности реализации угрозы определялись два показателя: уровень исходной (проектной) защищенности ИСПДн и вероятность реализации рассматриваемой угрозы.

Под уровнем проектной защищенности ИСПДн понимается обобщенный показатель, зависящий от технических и эксплуатационных характеристик ИСПДн, приведенных в таблице 1.2

Таблица 1.2 – Показатели, характеризующие проектную защищенность информационной системы

В связи с чем можно сделать вывод, что в соответствии с методикой определения актуальных угроз ИСПДн имеет низкую степень защищенности в связи с тем, что уровню не ниже среднего не соответствуют более 82,86% характеристик.

1. Разработка методов и способов защиты персональных данных

1. Определение набора мер

Для полного понимания того, как и чем защищать информацию, необходимо определить набор мер.

Согласно Требованиям, к защите персональных данных при их обработке в информационных системах персональных данных», утвержденным постановлением Правительства Российской Федерации № 1119 от 01.11.2012 г. [7], для обеспечения 3 уровня защищенности персональных данных и в соответствии приказом ФСТЭК России от 18.02.2013 г. №21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных» [4], был определен базовый набор мер, применяемых для обеспечения 3 уровня защищенности ПДн. Базовый набор мер:

• ИАФ1. Идентификация и аутентификация пользователей, являющихся работниками оператора;

• ИАФ2. Идентификация и аутентификация устройств, в том числе стационарных, мобильных и портативных;

• ИАФ3. Управление идентификаторами, в том числе создание, присвоение, уничтожение идентификаторов;

• ИАФ4. Управление средствами аутентификации, в том числе хранение выдача, инициализация, блокирование средств аутентификации и принятие мер в случае утраты и (или) компрометации средств аутентификации;

• ИАФ5. Защита обратной связи при вводе аутентификационной информации;

• ИАФ6. Идентификация и аутентификация пользователей, не являющихся работниками оператора (внешних пользователей);

• УПД1. Управление (заведение, активация, блокирование и уничтожение) учетными записями пользователей, в том числе внешних пользователей;

• УПД3. Управление (фильтрация, маршрутизация, контроль соединений, однонаправленная передача и иные способы управления) информационными потоками между устройствами, сегментами информационной системы, а также между информационными системами;

• УПД4. Разделение обязанностей полномочий (ролей), администраторов и лиц, обеспечивающих функционирование информационной системы;

• УПД5. Назначение минимально необходимых прав и привилегий пользователям, администраторам и лицам, обеспечивающим функционирование информационной системы;

• УПД6. Ограничение неуспешных попыток входа в информационную систему (доступа к информационной системе);

• УПД10. Блокирование сеанса доступа в информационную систему после установленного времени бездействия (неактивности) пользователя или по его запросу;

• УПД11. Разрешение (запрет) действий пользователей, разрешенных до идентификации и аутентификации;

• УПД13. Реализация защищенного удаленного доступа субъектов доступа к объектам доступа через внешние информационно телекоммуникационные сети;

• УПД14. Регламентация и контроль использования в информационной системе технологий беспроводного доступа;

• УПД15. Регламентация и контроль использования в информационной системе мобильных технических средств;

• УПД16. Управление взаимодействием с информационными системами сторонних организаций (внешние информационные системы);

• УПД17. Обеспечение доверенной загрузки средств вычислительной техники;

• ОПС2. Управление установкой (инсталляцией) компонентов программного обеспечения, в том числе определение компонентов, подлежащих установке, настройка параметров установки компонентов, контроль за установкой компонентов программного обеспечения;

• ЗНИ1. Учет машинных носителей информации;

• ЗНИ2. Управление доступом к машинным носителям информации;

• ЗНИ8. Уничтожение (стирание) информации на машинных носителях при их передаче между пользователями, в сторонние организации для ремонта или утилизации, а также контроль уничтожения (стирания);

• РСБ1. Определение событий безопасности, подлежащих регистрации, и сроков их хранения;

• РСБ2. Определение состава и содержания информации о событиях безопасности, подлежащих регистрации;

• РСБ3. Сбор, запись и хранение информации о событиях безопасности в течение установленного времени хранения;

• РСБ5. Мониторинг (просмотр, анализ) результатов регистрации событий безопасности и реагирование на них;

• РСБ7. Защита информации о событиях безопасности;

• АВЗ1. Реализация антивирусной защиты;

• АВЗ2. Обновление базы данных признаков вредоносных компьютерных программ (вирусов);

• СОВ1. Обнаружение вторжений;

• СОВ2. Обновление базы решающих правил;

• АНЗ1. Выявление, анализ уязвимостей информационной системы и оперативное устранение вновь выявленных уязвимостей;

• АНЗ2. Контроль установки обновлений программного обеспечения, включая обновление программного обеспечения средств защиты информации;

• АНЗ3. Контроль работоспособности, параметров настройки и правильности функционирования программного обеспечения и средств защиты информации;

• АНЗ4. Контроль состава технических средств, программного обеспечения и средств защиты информации;

• АНЗ5. Контроль правил генерации и смены паролей пользователей, заведения и удаления учетных записей пользователей, реализации правил разграничения доступом, полномочий пользователей в информационной системе;

• ИНЦ1. Определение лиц, ответственных за выявление инцидентов и реагирование на них;

• ИНЦ2. Обнаружение, идентификация и регистрация инцидентов;

• ИНЦ3. Своевременное информирование лиц, ответственных за выявление инцидентов и реагирование на них, о возникновении инцидентов в информационной системе пользователями и администраторами;

• ИНЦ4. Анализ инцидентов, в том числе определение источников и причин возникновения инцидентов, а также оценка их последствий;

• ИНЦ5. Принятие мер по устранению последствий инцидентов;

• ИНЦ6. Планирование и принятие мер по предотвращению повторного возникновения инцидентов;

• ОЦЛ1. Контроль целостности программного обеспечения, включая программное обеспечение средств защиты информации;

• ОЦЛ4. Обнаружение и реагирование на поступление в информационную систему незапрашиваемых электронных сообщений (писем, документов) и иной информации, не относящихся к функционированию информационной системы (защита от спама);

• ОДТ4. Периодическое резервное копирование информации на резервные машинные носители информации;

• ОДТ5. Обеспечение возможности восстановления информации с резервных машинных носителей информации (резервных копий) в течение установленного временного интервала;

• ЗСВ1. Идентификация и аутентификация субъектов доступа и объектов доступа в виртуальной инфраструктуре, в том числе администраторов управления средствами виртуализации;

• ЗСВ2. Управление доступом субъектов доступа к объектам доступа в виртуальной инфраструктуре, в том числе внутри виртуальных машин;

• ЗСВ3. Регистрация событий безопасности в виртуальной инфраструктуре;

• ЗСВ6. Управление перемещением виртуальных машин (контейнеров) и обрабатываемых на них данных;

• ЗСВ7. Контроль целостности виртуальной инфраструктуры и ее конфигураций;

• ЗСВ8. Резервное копирование данных, резервирование технических средств, программного обеспечения виртуальной инфраструктуры, а также каналов связи внутри виртуальной инфраструктуры;

• ЗСВ9. Реализация и управление антивирусной защитой в виртуальной инфраструктуре;

• ЗСВ10. Разбиение виртуальной инфраструктуры на сегменты (сегментирование виртуальной инфраструктуры) для обработки информации отдельным пользователем и (или) группой пользователей;

• ЗТС3. Контроль и управление физическим доступом к техническим средствам, средствам защиты информации, средствам обеспечения функционирования, а также в помещения и сооружения, в которых они установлены, исключающие несанкционированный физический доступ к средствам обработки информации, средствам защиты информации и средствам обеспечения функционирования информационной системы и помещения и сооружения, в которых они установлены;

• ЗТС4. Размещение устройств вывода (отображения) информации, исключающее ее несанкционированный просмотр;

• ЗИС3. Обеспечение защиты информации от раскрытия, модификации и навязывания (ввода ложной информации) при ее передаче (подготовке к передаче) по каналам связи, имеющим выход за пределы контролируемой зоны, в том числе беспроводным каналам связи;

• ЗИС11. Обеспечение подлинности сетевых соединений (сеансов взаимодействия), в том числе для защиты от подмены сетевых устройств и сервисов;

• ЗИС15. Защита архивных файлов, параметров настройки средств защиты информации и программного обеспечения и иных данных, не подлежащих изменению в процессе обработки информации;

• ЗИС17. Разбиение информационной системы на сегменты (сегментирование информационной системы) и обеспечение защиты периметров сегментов информационной системы;

• ЗИС20. Защита беспроводных соединений, применяемых в информационной системе;

• УКФ1. Определение лиц, которым разрешены действия по внесению изменений в конфигурацию информационной системы и системы защиты персональных данных;

• УКФ2. Управление изменениями конфигурации информационной системы и системы защиты персональных данных;

• УКФ3. Анализ потенциального воздействия планируемых изменений в конфигурации информационной системы и системы защиты персональных данных на обеспечение защиты персональных данных и согласование изменений в конфигурации информационной системы с должностным лицом (работником), ответственным за обеспечение безопасности персональных данных;

• УКФ4. Документирование информации (данных) об изменениях в конфигурации информационной системы и системы защиты персональных данных информационной системы с должностным лицом (работником), ответственным за обеспечение безопасности персональных данных;

• УПД17. Реализация необходимых методов (дискреционный, мандатный, ролевой или иной метод), типов (чтение, запись, выполнение или иной тип) и правил разграничения доступа;

Базовый набор мер подвергался адаптации с учетом структурно-функциональных характеристик ИСПДн. Исключением нецелесообразных мер, которые не применимы к данной ИСПДн, из-за того, что в ней не используются некоторые структуры. Например, были из ИСПДн были исключены мобильные устройства.

Так же производилось уточнение адаптированного базового набора мер, добавлялись меры, не включенные в базовый набор, но необходимые для устранения угроз безопасности информации

Затем производилось дополнение адаптированного базового набора мер в соответствии с руководящими документами ФСБ [8,9]. Конечный набор мер представлен таблице Г.1 приложении Г.

1. Требования к системе защиты ПДн

Согласно Требованиям, к защите персональных данных при их обработке в информационных системах персональных данных», утвержденным постановлением Правительства Российской Федерации № 1119 от 01.11.2012 г. [7], для обеспечения 3 уровня защищенности персональных данных, необходимо выполнение следующих требований:

• организация режима обеспечения безопасности помещений, в которых размещена информационная система, препятствующего возможности неконтролируемого проникновения или пребывания в этих помещениях лиц, не имеющих права доступа в эти помещения;

• обеспечение сохранности носителей персональных данных;

• утверждение руководителем оператора документа, определяющего перечень лиц, доступ которых к персональным данным, обрабатываемым в информационной системе, необходим для выполнения ими служебных (трудовых) обязанностей;

• использование средств защиты информации, прошедших процедуру оценки соответствия требованиям законодательства Российской Федерации в области обеспечения безопасности информации, в случае, когда применение таких средств необходимо для нейтрализации актуальных угроз

Самым главным в этом является использование сертифицированных средств. Если у технического средства есть сертификат, значит оно прошло соответствующую проверку и испытательная лаборатория подтверждает, что в данном средстве нет не декларированных возможностей, с помощью которых можно попробовать реализовать угрозу безопасности, а также подтверждает, что средство выполняет и реализует меры, необходимые для требуемого уровня защищенности персональных данных или класса защищенности информационной системы.

Для обеспечения 3 уровня защищенности персональных данных применяются:

• средства вычислительной техники не ниже 5 класса;

• системы обнаружения вторжений и средства антивирусной защиты не ниже 5 класса защиты в случае актуальности угроз 3-го типа и отсутствия взаимодействия информационной системы с информационно-телекоммуникационными сетями международного информационного обмена

• межсетевые экраны не ниже 4 класса в случае актуальности угроз 3-го типа и отсутствия взаимодействия информационной системы с информационно – телекоммуникационными сетями международного информационного обмена

В соответствии с Составом и содержанием организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности, утвержденным приказом ФСБ России от 10.07.2014 г. №378 [3] при использовании средств криптографической защиты (далее СКЗИ), сертифицированных по требованиям безопасности для обеспечения 3 уровня защищенности персональных данных применяются СКЗИ класса КС1 и выше.

1. Технические средства защиты информации

Примерная стоимость предлагаемых технических средств представлена в таблице В.1 приложения В.

Характеристики

Список файлов ВКР