Пояснительная записка (1209970), страница 5
Текст из файла (страница 5)
| Продолжение таблицы 2.3 | |
| Мера и её содержание | Средство защиты информации |
| РСБ2. Определение состава и содержания информации о событиях безопасности, подлежащих регистрации | СЗИ Dallas Lock 8.0-K, СДЗ Dallas Lock Организационные меры |
| РСБ3. Сбор, запись и хранение информации о событиях безопасности в течение установленного времени хранения | СЗИ Dallas Lock 8.0-K, СДЗ Dallas Lock Организационные меры |
| РСБ7. Защита информации о событиях безопасности | СЗИ Dallas Lock 8.0-K, СДЗ Dallas Lock |
| АВЗ1. Реализация антивирусной защиты | Kaspersky Endpoint Security РАСШИРЕННЫЙ |
| АВЗ2. Обновление базы данных признаков вредоносных компьютерных программ (вирусов) | Kaspersky Endpoint Security РАСШИРЕННЫЙ |
| АНЗ1. Выявление, анализ уязвимостей информационной системы и оперативное устранение вновь выявленных уязвимостей | XSpider 7.8.24 |
| АНЗ2. Контроль установки обновлений программного обеспечения, включая обновление программного обеспечения средств защиты информации | Организационно технические |
| Продолжение таблицы 2.3 | |
| Мера и её содержание | Средство защиты информации |
| АНЗ3. Контроль работоспособности, параметров настройки и правильности функционирования программного обеспечения и средств защиты информации | СЗИ Dallas Lock 8.0-K, СДЗ Dallas Lock |
| АНЗ4. Контроль состава технических средств, программного обеспечения и средств защиты информации | СЗИ Dallas Lock 8.0-K, СДЗ Dallas Lock |
| ЗТС3. Контроль и управление физическим доступом к техническим средствам, средствам защиты информации, средствам обеспечения функционирования, а также в помещения и сооружения, в которых они установлены, исключающие несанкционированный физический доступ к средствам обработки информации, средствам защиты информации и средствам обеспечения функционирования информационной системы и помещения и сооружения, в которых они установлены | Организационные меры |
| ЗТС4. Размещение устройств вывода (отображения) информации, исключающее ее несанкционированный просмотр | Организационные меры |
| Окончание таблицы 2.3 | |
| Мера и её содержание | Средство защиты информации |
| ЗИС3. Обеспечение защиты информации от раскрытия, модификации и навязывания (ввода ложной информации) при ее передаче (подготовке к передаче) по каналам связи, имеющим выход за пределы контролируемой зоны, в том числе беспроводным каналам связи | АПКШ «Континент» 3.7 |
| УКФ1. Определение лиц, которым разрешены действия по внесению изменений в конфигурацию информационной системы и системы защиты персональных данных | Организационные меры |
| УКФ2. Управление изменениями конфигурации информационной системы и системы защиты персональных данных | Организационные меры |
| УКФ3. Анализ потенциального воздействия планируемых изменений в конфигурации информационной системы и системы защиты персональных данных на обеспечение защиты персональных данных и согласование изменений в конфигурации информационной системы с должностным лицом (работником), ответственным за обеспечение безопасности персональных данных | Организационные меры |
| УКФ4. Документирование информации (данных) об изменениях в конфигурации информационной системы и системы защиты персональных данных информационной системы с должностным лицом (работником), ответственным за обеспечение безопасности персональных данных | Организационные меры |
-
Профиль системы защиты
Таким образом, установка средств защиты информации производилась в соответствии со схемой, представленной на рисунке 2.6.1.
В качестве средства межсетевого экранирования и криптографической защиты был выбран АПКШ «Континет» 3.7 на платформе IPC – 100, имеющий возможность подключения волоконно-оптической линии связи, а значит из схемы можно исключить медиаконверторы.
Перечень АРМ пользователей и АРМ администратора с указанием местоположения и необходимых для установки и настройки средств защиты информации представлен в таблице Д.1 приложения Д.
Перечень технических средств с указанием розничной цены и общих затрат на закупку данных средств представлен в таблице Д.2 приложения Д. Цены взяты с официальных сайтов разработчиков и поставщиков данных средств защиты информации.
Заключение
Был разработан профиль защиты информации в сегменте информационной системы телекоммуникационной компании общества с ограниченной ответственностью «Рэдком – Розничные Услуги» в соответствии с требованиями нормативно – правовых актов, национальных стандартов и методических документов, для обеспечения безопасности персональных данных при их обработке в сегменте сети.
Предложенные к применению технические средства и системы имеют актуальные сертификаты и соответствуют требованиям Федеральной службы технического и экспортного контроля и Федеральной службы безопасности по классу защищенности и уровню контроля не декларированных возможностей.
Разработанные организационные меры и технические решения позволяют поддерживать установленный уровень защищенности персональных данных в соответствии с требованиями к защите персональных данных при их обработке в информационных системах персональных данных, утвержденными постановлением Правительства Российской Федерации от 01.11.2012 г. №1119. [7]
Список использованных источников
-
Меры защиты информации в государственных информационных системах // Методический документ ФСТЭК от 11.02.2014 г. // [сайт] URL: http://fstec.ru/tekhnicheskaya-zashchita-informatsii/dokumenty/114-spetsialnye-normativnye-dokumenty/805-metodicheskij-dokument.
-
Требования к средствам контроля съемных машинных носителей информации // Приказ ФСТЭК от 28.07.2014 № 87.
-
Состав и содержание организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнение установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности // Приказ ФСБ от 10.07.2014 г. № 378.
-
Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных // Приказ ФСТЭК №21 от 18.02.2013 г. // [сайт] URL: http://fstec.ru/normotvorcheskaya/akty/53-prikazy/691-prikaz-fstek-rossii-ot-18-fevralya-2013-g-n-21.
-
Требования к средствам доверенной загрузки // Приказ ФСТЭК от 27.09.2013 № 119.
-
Требования о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах // Приказ ФСТЭК от 11.02.2013 г. № 17. // [сайт] URL: http://fstec.ru/normotvorcheskaya/akty/53-prikazy/702-prikaz-fstek-rossii-ot-11-fevralya-2013-g-n-17
-
Требования к защите персональных данных при их обработке в информационных системах персональных данных от 01.11.2012 г. № 1119 // Справочная правовая система КонсультантПлюс: [сайт]. URL: http://www.consultant.ru/document/cons_doc_LAW_137356/.
-
Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных: 15.02.2008 г // URL: http://fstec.ru/component/attachments/download/289.
-
Типовые требования по организации и обеспечению функционирования шифровальных (криптографических) средств, предназначенных для защиты информации, не содержащей сведений, составляющих государственную тайну в случае их использования для обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных // Приказ ФСБ России от 21.02.2008 г. № 149/6/6-622.
-
Методические рекомендации по обеспечению с помощью криптосредств безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств автоматизации // Приказ ФСБ от 21.02.2008 г. № 149/5-144.
-
Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах // Методика ФСТЭК 14.02. 2008 г.
-
Об информации, информационных технологиях и о защите информации: ФЗ от 27.07.2006 г. № 149-ФЗ // Справочная правовая система КонсультантПлюс:[сайт]. URL: http://www.consultant.ru/document/cons_doc_LAW_61798/.
-
О персональных данных : ФЗ от 27.07.2006 г. № 152-ФЗ // Справочная правовая система КонсультантПлюс: [сайт]. URL: http://www.consultant.ru/document/cons_doc_LAW_61801/.
-
Нормативно-методический документ «Специальные требования и рекомендации по технической защите конфиденциальной информации (СТР-К)» // Приказ Гостехкомиссии от 30.08.2002 г. №282.
-
Методические указания. Информационная технология. Комплекс стандартов и руководящих документов на автоматизированные системы. Автоматизированные системы. Требования к содержанию документов : РД 50-34.698-90. Введ. 27.12.1990 г.
-
Информационная технология. Комплекс стандартов на автоматизированные системы. Автоматизированные системы. Стадии создания : ГОСТ 34.601-90. Введ. 29.12.1990 г. № 3469.
-
Информационная технология. Комплекс стандартов на автоматизированные системы. Автоматизированные системы. Термины и определения : ГОСТ 34.003-90. Введ. 27.12.1990 г. № 3399.
-
Информационная технология. Комплекс стандартов на автоматизированные системы. Техническое задание на создание автоматизированной системы : ГОСТ 34.602-89. Введ. 24.03.1989 г. № 661.
-
Информационная технология. Комплекс стандартов на автоматизированные системы. Виды, комплектность и обозначение документов при создании автоматизированных систем : ГОСТ 34.201-89. Введ. 24.03.1989 № 664.
-
URL: http://www.dallaslock.ru/ – официальный сайт средства защиты от несанкционированного доступа и средства контроля съемных машинных носителей Dallas Lock компании ООО «Конфидент».
-
URL: http://www.dallaslock.ru/ – официальный сайт средств средства доверенной загрузки Dallas Lock компании ООО «Конфидент».
-
URL: http://www.ptsecurity.ru/ - официальный сайт средства анализа защищенности XSpider 7.8.24 компании ООО «Позитив Технолоджис».
-
URL: https://www.securitycode.ru - официальный сайт средства криптографической защиты и межсетевого экранирования АПКШ «Континент» 3.7 компании ООО «Код Безопасности».
Принятые сокращения
| АРМ | – | автоматизированное рабочее место |
| АС | – | автоматизированная система |
| ГОСТ | – | государственный стандарт |
| ИСПДн | – | информационная система, обрабатывающая персональные данные |
| ЛВС | – | локальная вычислительная сеть |
| НДВ | – | не декларированные возможности |
| НСД | – | несанкционированный доступ |
| ОС | – | операционная система |
| ПДн | – | персональные данные |
| ПК | – | программный комплекс |
| ПО | – | программное обеспечение |
| ПЭВМ | – | персональная электронно-вычислительная машина |
| СЗИ | – | система защиты информации |
| СКЗИ | – | средства криптографической защиты информации |
| СрЗИ | – | средства защиты информации |
| ФСБ | – | Федеральная служба безопасности |
| ФСТЭК | – | Федеральная служба технического и экспортного контроля |
| ЦОД | – | Центр обработки данных |
Приложение А
![](https://s.studizba.com/z.php?f=/templates/si/i/noavatar.png&w=100&h=100&t=1"){kind=avatar}
