4. Техническое задание (1209979), страница 2
Текст из файла (страница 2)
СЗИ направлена на обеспечение конфиденциальности, целостности и доступности информации при ее обработке в ИС.
-
Цели создания СЗИ
Целями создания СЗИ являются:
-
обеспечение защищенности сегмента в процессе обработки и хранения информации, обеспечение конфиденциальности информации при ее обработке, а также целостности и доступности;
-
соответствие «Требованиям к защите персональных данных при их обработке в информационных системах персональных данных», утвержденных постановлением Правительства РФ от 01.11.2012 № 1119;
-
соответствие требованиям Федерального закона от 27.07.2006 г. № 152-ФЗ «О персональных данных» и выполнение мер в соответствии с «Методическим документом: Меры защиты информации в государственных информационных системах», утвержденным ФСТЭК 11.02.2014 и «Составом и содержанием организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных», утвержденных приказом ФСТЭК России от 18.02.2013№ 21 и других РД ФСТЭК России и ФСБ России.
В результате создания СЗИ должно быть обеспечено:
-
снижение вероятности реализации актуальных угроз информационной безопасности информации;
-
отслеживание действий субъектов информационных отношений.
Критериями оценки достижения поставленных целей по созданию СЗИ являются:
-
соответствие требованиям по обеспечению безопасности ПДн соответствующего уровня защищенности, определенному в соответствии с «Требованиями к защите персональных данных при их обработке в информационных системах персональных данных», утвержденными постановлением Правительства РФ от 01.11.2012 № 1119;
-
выполнение мер, определенных «Методическим документом: Меры защиты информации в государственных информационных систем», утвержденным ФСТЭК 11.02.2014, и «Составом и содержанием организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных», утвержденным приказом ФСТЭК России от 18.02.2013 № 21;
-
выполнение требований настоящего ТЗ.
-
Параметры информационной системы
В информационной системе обрабатывается два вида информации: персональные данные различных категорий нескольких видов субъектов ПДн и информация, составлющая служебную тайну.
Информация, обрабатываемая в процессе работы, хранится на жестких дисках АРМ пользователей ИС «Комитет», а так же на удаленном сервере БД, находящемся в пределах КЗ, но относящемуся к другому юридическому лицу - Муниципальному казённому учреждению «Комитет по содержанию объектов муниципальной собственности» Администрации Ванинского муниципального района Хабаровского края (далее КСОМС). В информационной системе «КСОМС» отсутствуют какие - либо средств защиты информации, разграничение доступа к данным осуществляется путем создания нескольких виртуальных серверов на одном физическом сервере, ИС не аттестована по требованиям информационной безопасности.
Параметры информационной системы «Комитет» представлены в таблице 4.1.
Таблица 4.1 – Структурно – функциональные характеристики информационной системы
| Структурно-функциональные характеристики ИС, условия ее эксплуатации | Уровень проектной защищенности ИС (Y1П) | ||
| высокий | средний | низкий | |
| По структуре ИС:
| + | ||
| По архитектуре информационной системы:
| + | + | |
| По архитектуре информационной системы:
| + | ||
| По наличию (отсутствию) взаимосвязей с иными информационными системами:
| + | ||
| + | ||
| По размещению технических средств:
| + | ||
| По режимам обработки информации в ИС:
| + | ||
| По режимам разграничения прав доступа:
| + | ||
| По режимам разделения функций по управлению информационной системой:
| + | ||
| По подходам к сегментированию ИС:
| + | ||
Актуальные угрозы ИБ, которым подвержена ИС определены и обоснованы в Модели нарушителя и угроз безопасности информации, обрабатываемой в сегменте муниципальной ИС «Комитет».
-
Меры по обеспечению безопасности информации
-
Базовый набор мер
Набор мер, направленный на устранение существующих недостатков функционирования информационной системы, необходим для понимания того, как и чем защищаться информацию.
В методическом документе «Меры защиты информации в государственных информационных системах», утвержденном ФСТЭК России 11.02.2014 г. [1], определено четыре базовых набора мер, соответствующих одному из четырех уровней защищенности ИС.
Ранее было определено, что ИС соответствует третий уровень защищенности, следовательно необходимо отталкиваться от соответствующего базового набора мер.
Определение набора мер, необходимых для конкретной информационной системы, производится в несколько этапов, первым из которых является его адаптация с учетом структурно-функциональных характеристик информационной системы. К примеру, в обследуемой ИС отсутствует использование технологий виртуальной инфраструктуры, а значит меры, направленные на защиту данной технологии, можно исключить. Ниже в таблице 2.1 представлен перечень мер, который был исключен из базового набора на этапе адаптации базового набора под условия функционирования ИС.
Таблица 2.1 – Перечень мер, исключенных из базового набора
| Условное обозначение и номер меры | Меры защиты информации в информационных системах | Причина исключения |
| УПД.13 | Реализация защищенного удаленного доступа субъектов доступа к объектам доступа через внешние информационно-телекоммуникационные сети | В ИС отсутствует система удаленногодоступа |
| УПД.14 | Регламентация и контроль использования в информационной системе технологий беспроводного доступа | В ИС отсутствует система беспроводного доступа |
| ЗСВ.1 | Идентификация и аутентификация субъектов доступа и объектов доступа в виртуальной инфраструктуре, в том числе администраторов управления средствами виртуализации | В ИС отсутствует технология виртуальной инфраструктуры |
| ЗСВ.2 | Управление доступом субъектов доступа к объектам доступа в виртуальной инфраструктуре, в том числе внутри виртуальных машин | В ИС отсутствует технология виртуальной инфраструктуры |
| ЗСВ.3 | Регистрация событий безопасности в виртуальной инфраструктуре | В ИС отсутствует технология виртуальной инфраструктуры |
| ЗСВ.9 | Реализация и управление антивирусной защитой в виртуальной инфраструктуре | В ИС отсутствует технология виртуальной инфраструктуры |
| ЗИС.5 | Запрет несанкционированной удаленной активации видеокамер, микрофонов и иных периферийных устройств, которые могут активироваться удаленно, и оповещение пользователей об активации таких устройств | В ИС отсутствуют периферийные устройства, которые возможно активировать дистанционно |
| ЗИС.20 | Защита беспроводных соединений, применяемых в информационной системе | В ИС отсутствует технология беспроводного соединения |
| ЗИС.30 | Защита мобильных технических средств, применяемых в информационной системе | В ИС отсутствуют мобильные технические средства |
После адаптации базового набора мер осуществляется его уточнение на основании перечня актуальных угроз безопасности информации, характерных для защищаемой информационной системы. После чего производится дополнение уточненного адаптированного базового набора мер на основе требований соответствующих руководящих документов и правовых актов. После проделанных этапов был получен итоговый перечень мер, необходимых для обеспечения защиты обрабатываемой в ИС информации, представленный в таблице 2.2.
Таблица 2.2 – Перечень добавленных мер при уточнении адаптированного базового набора мер
| Условное обозначение и номер меры | Меры защиты информации в информационных системах | Причина исключения |
| УПД.13 | Реализация защищенного удаленного доступа субъектов доступа к объектам доступа через внешние информационно-телекоммуникационные сети | В ИС отсутствует система удаленного доступа |
| УПД.14 | Регламентация и контроль использования в информационной системе технологий беспроводного доступа | В ИС отсутствует система беспроводного доступа |
| ЗСВ.1 | Идентификация и аутентификация субъектов доступа и объектов доступа в виртуальной инфраструктуре, в том числе администраторов управления средствами виртуализации | В ИС отсутствует технология виртуальной инфраструктуры |
| ЗСВ.2 | Управление доступом субъектов доступа к объектам доступа в виртуальной инфраструктуре, в том числе внутри виртуальных машин | В ИС отсутствует технология виртуальной инфраструктуры |
| ЗСВ.3 | Регистрация событий безопасности в виртуальной инфраструктуре | В ИС отсутствует технология виртуальной инфраструктуры |
|
| ||
| Окончание таблицы 2.2 | ||
| Условное обозначение и номер меры | Меры защиты информации в информационных системах | Причина исключения |
| ЗСВ.9 | Реализация и управление антивирусной защитой в виртуальной инфраструктуре | В ИС отсутствует технология виртуальной инфраструктуры |
| ЗИС.5 | Запрет несанкционированной удаленной активации видеокамер, микрофонов и иных периферийных устройств, которые могут активироваться удаленно, и оповещение пользователей об активации таких устройств | В ИС отсутствуют периферийные устройства, которые возможно активировать дистанционно |
| ЗИС.20 | Защита беспроводных соединений, применяемых в информационной системе | В ИС отсутствует технология беспроводного соединения |
| ЗИС.30 | Защита мобильных технических средств, применяемых в информационной системе | В ИС отсутствуют мобильные технические средства |
После адаптации базового набора мер осуществляется его уточнение на основании перечня актуальных угроз безопасности информации, характерных для защищаемой информационной системы. После чего производится дополнение уточненного адаптированного базового набора мер на основе требований соответствующих руководящих документов и правовых актов. После проделанных этапов был получен итоговый перечень мер, необходимых для обеспечения защиты обрабатываемой в ИС информации, представленный в таблице 2.3.
Таблица 2.3 – Итоговый перечень мер, необходимых для обеспечения защиты обрабатываемой в ИС информации
| № меры | Описание |
| ИАФ1. | Идентификация и аутентификация пользователей, являющихся работниками оператора |
| Продолжение таблицы 2.3 | |
| № меры | Описание |
| ИАФ3. | Управление идентификаторами, в том числе создание, присвоение, уничтожение идентификаторов |
| ИАФ4. | Управление средствами аутентификации, в том числе хранение выдача, инициализация, блокирование средств аутентификации и принятие мер в случае утраты и (или) компрометации средств аутентификации |
| ИАФ5. | Защита обратной связи при вводе аутентификационной информации |
| ИАФ6. | Идентификация и аутентификация пользователей, не являющихся работниками оператора (внешних пользователей) |
| УПД1. | Управление (заведение, активация, блокирование и уничтожение) учетными записями пользователей, в том числе внешних пользователей |
| УПД4. | Разделение обязанностей полномочий (ролей), администраторов и лиц, обеспечивающих функционирование информационной системы |
| УПД5. | Назначение минимально необходимых прав и привилегий пользователям, администраторам и лицам, обеспечивающим функционирование информационной системы |
| УПД6. | Ограничение неуспешных попыток входа в информационную систему (доступа к информационной системе) |
| УПД10. | Блокирование сеанса доступа в информационную систему после установленного времени бездействия (неактивности) пользователя или по его запросу |
| УПД11. | Разрешение (запрет) действий пользователей, разрешенных до идентификации и аутентификации |
| Продолжение таблицы 2.3 | |
| № меры | Описание |
| УПД13. | Реализация защищенного удаленного доступа субъектов доступа к объектам доступа через внешние информационно-телекоммуникационные сети |
| УПД16. | Управление взаимодействием с информационными системами сторонних организаций (внешние информационные системы) |
| ОПС3. | Установка (инсталляция) только разрешенного к использованию программного обеспечения и (или) его компонентов |
| ЗНИ1. | Учет машинных носителей информации |
| ЗНИ2. | Управление доступом к машинным носителям информации |
| ЗНИ8. | Уничтожение (стирание) информации на машинных носителях при их передаче между пользователями, в сторонние организации для ремонта или утилизации, а также контроль уничтожения (стирания) |
| РСБ1. | Определение событий безопасности, подлежащих регистрации, и сроков их хранения |
| РСБ2. | Определение состава и содержания информации о событиях безопасности, подлежащих регистрации |
| РСБ3. | Сбор, запись и хранение информации о событиях безопасности в течение установленного времени хранения |
| РСБ4. | Реагирование на сбои при регистрации событий безопасности, в том числе аппаратные и программные ошибки, сбои в механизмах сбора информации и достижение предела или переполнения объема (емкости) памяти |
| РСБ5. | Мониторинг (просмотр, анализ)результатов регистрации событий безопасности и реагирование на них |
| Продолжение таблицы 2.3 | |
| № меры | Описание |
| РСБ6. | Генерирование временных меток и (или) синхронизация системного времени в информационной системе |
| РСБ7. | Защита информации о событиях безопасности |
| АВЗ1. | Реализация антивирусной защиты |
| АВЗ2. | Обновление базы данных признаков вредоносных компьютерных программ (вирусов) |
| АНЗ1. | Выявление, анализ уязвимостей информационной системы и оперативное устранение вновь выявленных уязвимостей |
| АНЗ2. | Контроль установки обновлений программного обеспечения, включая обновление программного обеспечения средств защиты информации |
| АНЗ3. | Контроль работоспособности, параметров настройки и правильности функционирования программного обеспечения и средств защиты информации |
| АНЗ4. | Контроль состава технических средств, программного обеспечения и средств защиты информации |
| АНЗ5. | Контроль правил генерации и смены паролей пользователей, заведения и удаления учетных записей пользователей, реализации правил разграничения доступом, полномочий пользователей в информационной системе |
| ОЦЛ3. | Обеспечение возможности восстановления программного обеспечения, включая программное обеспечение средств защиты информации, при возникновении нештатных ситуаций |
| ЗТС2. | Организация контролируемой зоны, в пределах которой постоянно размещаются стационарные технические средства, обрабатывающие информацию, и средства защиты информации, а также средства обеспечения функционирования |
| Окончание таблицы 2.3 | |
| № меры | Описание |
| ЗТС3. | Контроль и управление физическим доступом к техническим средствам, средствам защиты информации, средствам обеспечения функционирования, а также в помещения и сооружения, в которых они установлены, исключающие несанкционированный физический доступ к средствам обработки информации, средствам защиты информации и средствам обеспечения функционирования информационной системы и помещения и сооружения, в которых они установлены |
| ЗТС4. | Размещение устройств вывода (отображения) информации, исключающее ее несанкционированный просмотр |
| ЗИС3. | Обеспечение защиты информации от раскрытия, модификации и навязывания (ввода ложной информации) при ее передаче (подготовке к передаче) по каналам связи, имеющим выход за пределы контролируемой зоны, в том числе беспроводным каналам связи |
-
Требования к СЗИ
-
Общие требования
Архитектура СЗИ в совокупности с механизмом поддержки функциональных подсистем не должна накладывать каких-либо существенных ограничений на информационные технологии, используемые в ИС.
![](https://s.studizba.com/z.php?f=/templates/si/i/noavatar.png&w=100&h=100&t=1"){kind=avatar}
