Усов636329261709751498 (1209981), страница 8
Текст из файла (страница 8)
По 11 сле чего производи тсядополнение уточненного адаптированного базового набора 11 мер на основетребований соответствующих руководящих документов и правовых актов.После проделанных этапов был получен итоговый перечень мер, необходимыхдля обеспечения защиты обрабатываемой в ИС информации, представленный втаблице 2.2.Таблица 2.2 – Перечень добавленных мер при уточнении адаптированногобазового набора мер49NoмерыОписани е1 ИАФ1. Идентификация и аутентификация пользователей,являющихся работниками оператора2 ИАФ3.
Управление идентификаторами, в том числе создание,присвоение, уничтожение идентификато 10 ров 4Продолжение таблицы 2.2NoмерыОписани е3 ИАФ4. Управление средствами аутентификации, в том числехранение выдача, инициализация, блокирование средстваутентификации и принятие мер в случае утраты и (или)компрометации средств аутентификации4 ИАФ5. Защита обратной связи при вводе аутентификационнойинформации5 ИАФ6. Идентификация и аутентификация пользователей, неявляющихся работниками оператора (внешних пользователей)6 УПД1. Управление (заведение, активация, блокирование иуничтожение) учетными записями пользователей, в том числевнешних пользователей7 УП 10 Д4.
5 Разделение обязанностей полномочий (роле й),администраторов и лиц, обеспечивающих функционированиеинформационной системы8 УПД5. Назначение минимально необходимых прав и привилегийпользователям, администраторам и лицам, обеспечивающимфункционирование информационной системы9 УПД6. Ограничение неуспешных попыток входа винформационную систему (доступа к информационной системе)10 УПД10. Блокирование сеанса доступа в информационную систему 1050после установленного времени бездействия (неактивности)пользователя или по его запросу11 УПД11.
Разрешение (запрет) действий пользователей, разрешенныхдо идентификации и аутентификации12 УПД13. Реализация защищенного удаленного доступа субъектовдоступа к объектам доступа через внешние информационнотелекоммуникационные с 10 етиПродолжение таблицы 11 2.2NoмерыОписание13 УПД16. Управление взаимодействием с информационнымисистемами сторонних организаций (внешние информационныесистемы) 1014 ОПС3.
Установка (инсталляция) только разрешенного киспользованию программного обеспечения и (или) его компонентов15 ЗНИ1. Учет машинных носителей информации16 ЗНИ2. Управление доступо 10 м к машинным носителям информации17 ЗНИ8. Уничтожение (стирание) информации на машинныхносителях при их передаче между пользователями, в сторонниеорганизации для ремонта или утилизации, а также контрольуничтожения (стирания)18 РСБ1. Определение событий безопасности, подлежащихрегистрации, и сроков их хранения19 РСБ2.
Определение состава и содержания информации о событияхбезопасности, подлежащих регистрации20 РСБ3. Сбор, запись и хранение информации о событияхбезопасности в течение установленного времени хранения21 РСБ4. Реагирование на сбои при регистрации событийбезопасности, в том числе аппаратные и программные ошибки,сбои в механизмах сбора информации и достижение предела или 1051переполнения объема (емкости) памяти22 РСБ5. Мониторинг (просмотр, анализ)результатов регистрациисобытий безопасности и реагирование на них23 РСБ6.
Генерирование временных меток и (или) синхронизациясистемного времени в информационной системе24 РСБ7. Защита информации о событиях безопасно 10 сти 4Продолжение таблицы 2.2NoмерыОписание25 АВЗ1. Реализация антивирусной защиты26 АВЗ2. Обновление базы данных признаков вредоносныхкомпьютерных программ (вирусов) 1027 АНЗ1.
Выявление, анализ уязвимостей информационной системы иоперативное устранение вновь выявленных уязвимостей28 АНЗ2. Контроль установки обновлений программного обеспечения,включая обновление программного обеспечения средств защитыинформации29 АНЗ3. Контроль работоспособности, параметров настройки иправильности функционирования программного обеспечения исредств защиты информации30 АНЗ4. Контроль состава технических средств, программногообеспечения и средств защиты информации31 АНЗ5.
Контроль правил генерации и смены паролей пользователей,заведения и удаления учетных записей пользователей, реализацииправил разграничения доступом, полномочий пользователей винформационной системе32 ОЦ 10 Л3. Обеспечение возможности восстановления программногообеспечения, включая программное обеспечение средств защитыинформации, при возникновении нештатных ситуаций 433 ЗТС2. Организация контролируемой зоны, в пределах которойпостоянно размещаются стационарные технические средства, 1052обрабатывающие информацию, и средства защиты информации, атакже средства обеспечения функционирова 10 ния 4Продолжение таблицы 2.2NoмерыОписание34 ЗТС3.
Контроль и управление физическим доступом к техническимсредствам, средствам защиты информации, средствам обеспеченияфункционирования, а также в помещения и сооружения, в которыхони установлены, исключающие несанкционированныйфизический доступ к средствам обработки информации, средствамзащиты информации и средствам обеспечения функционированияинформационной системы и помещения и сооружения, в которыхони установлены35 ЗТС4.
Размещение устройств вывода (отображения) информации,исключающее ее несанкционированный просмотр36 ЗИ 10 С3. Обеспечение защиты информации от раскрытия,модификации и навязывания (ввода ложной информации) при еепередаче (подготовке к передаче) по каналам связи, имеющимвыход за пределы контролируемой зоны, в том числе беспроводнымканалам связи 4Требования к защите информации 5Для того, чтобы обеспечить безопасность информац ии, приказом ФСТЭК от11 февраля 2013 г. N 22 17 были утвержде ны «Требования о защите информации,не составляющей государственную тайну, содержащейся в государственныхинформационных системах» [6]. В соответстви 18 и с этими требовани ями меры 1153защиты информа 11 ции 6 должны обеспечивать:идентификацию и аутентификацию субъектов доступа и объектовдоступа;управление доступом субъектов доступа к объектам доступа;ограничение программной среды;защиту машинных носителей информации;регистрацию событий безопасности;антивирусную защиту;обнаружение (предотвращение) вторжений;контроль (анализ) защищенности информации;целостность информационной системы и информации;доступность информации;защиту среды виртуализации;защиту технических средств; 4Средства защиты информац 6 ии, применяемые в ИС, а такжеорганизационные меры в информационной системе 3 класса защищенностидолжны обеспечивать защиту от угроз безопасности, которые могут бытьсвязаны с нарушителем информации, обладающем потенциалом не нижебазового.
Стоит отметить, что может быть принято решение об принятии мер,соответствующих более высокому классу защищенности.Меры защиты информации, связанные с применением технических средствзащиты информации, осуществляются посредством использования средствзащиты, имеющих определенные функции безопасности, при этом вв информационных системах 3 класса защищенности применяются средствазащиты информаци 22 и 6 32 класса, а та кже средства вычислительной техники нениже 5 класса 12 .В случае, если в ИС обрабатываются персональные данные, для 454информационной системы 3 класса защищенности обеспечивают 3 и 4 уровнизащищенности персональных данных, в 4 соответствии с «Требованиями кзащите персональных данных при их обработке в информационных системахперсональных данных», утвержденными постановлением ПравительстваРоссийской Федерации от 1 ноября 4 2012 г.
N 1119. [8]Технические средства защиты информаци 22 иВ соответствии с указанными в разделе 2.2 требованиями были предложенысертифицированные средства защиты информации, указанные в таблице 2.3.Таблица 2.3 – Перечень предлагаемых к использованию сертифицированныхсредств защиты информацииТип СЗИ Наименование ПроизводительСертификат ФСТЭКили ФСБ РоссииVPN-сеть, средствомежсетевогоэкранирования икриптографическойзащиты информацииПК VipNetAdministrator3.2ОАО«ИнфоТеКС»Сертификат ФСБРоссии No СФ/1242861 действителендо 31.03.2018,Сертификат ФСТЭКРоссии No 1549/1действителен до26.05.2019ПК VipNetClient 3.2Сертификат ФСТЭКРоссии No 1549/1действителен до26.05.2019Сертификат ФСБРоссии No СФ/5252952 на ПК ViPNetClient 3.2действителен до20.08.2018ПАК VipNetCoordinatorHW1000версии 3Сертификат ФСБ РФNo СФ/525-2667действителен до23.07.2018,Сертификат ФСБ РФ55NoСФ/124-2606действителен до15.04.2018Продолжение работы 2.3Тип СЗИ Наименование ПроизводительСертификат ФСТЭКили ФСБ РоссииСредство анализазащищенностиXSpider 7.8ООО «ПозитивТехнолоджис»Сертификат ФСТЭКNo 3247действителен до24.10.2017Средство защиты отнесанкционированногодоступаSecret NetStudioООО «КодБезопасности»Сертификат ФСТЭКNo 3745действителен до16.05.20201.6.3 Secret Net StudioSecret Net Studio представляет собой средство защиты информации отнесанкционированного доступа, имеющее действующий сертификатсоответствия.
![](https://s.studizba.com/z.php?f=/templates/si/i/noavatar.png&w=100&h=100&t=1"){kind=avatar}
