1. Пояснительная_записка (1209982), страница 4
Текст из файла (страница 4)
В методическом документе «Меры защиты информации в государственных информационных системах», утвержденном ФСТЭК России 11.02.2014 г. [1], определено четыре базовых набора мер, соответствующих одному из четырех уровней защищенности ИС.
Ранее было определено, что ИС соответствует третий уровень защищенности, следовательно необходимо отталкиваться от соответствующего базового набора мер.
Определение набора мер, необходимых для конкретной информационной системы, производится в несколько этапов, первым из которых является его адаптация с учетом структурно-функциональных характеристик информационной системы. К примеру, в обследуемой ИС отсутствует использование технологий виртуальной инфраструктуры, а значит меры, направленные на защиту данной технологии, можно исключить. Ниже в таблице 2.1 представлен перечень мер, который был исключен из базового набора на этапе адаптации базового набора под условия функционирования ИС.
Таблица 2.1 – Перечень мер, исключенных из базового набора
| Условное обозначение и номер меры | Меры защиты информации в информационных системах | Причина исключения |
| УПД.13 | Реализация защищенного удаленного доступа субъектов доступа к объектам доступа через внешние информационно-телекоммуникационные сети | В ИС отсутствует система удаленного |
| УПД.14 | Регламентация и контроль использования в информационной системе технологий беспроводного доступа | В ИС отсутствует система беспроводного доступа |
| ЗСВ.1 | Идентификация и аутентификация субъектов доступа и объектов доступа в виртуальной инфраструктуре, в том числе администраторов управления средствами виртуализации | В ИС отсутствует технология виртуальной инфраструктуры |
| ЗСВ.2 | Управление доступом субъектов доступа к объектам доступа в виртуальной инфраструктуре, в том числе внутри виртуальных машин | В ИС отсутствует технология виртуальной инфраструктуры |
| ЗСВ.3 | Регистрация событий безопасности в виртуальной инфраструктуре | В ИС отсутствует технология виртуальной инфраструктуры |
| ЗСВ.9 | Реализация и управление антивирусной защитой в виртуальной инфраструктуре | В ИС отсутствует технология виртуальной инфраструктуры |
| ЗИС.5 | Запрет несанкционированной удаленной активации видеокамер, микрофонов и иных периферийных устройств, которые могут активироваться удаленно, и оповещение пользователей об активации таких устройств | В ИС отсутствуют периферийные устройства, которые возможно активировать дистанционно |
| ЗИС.20 | Защита беспроводных соединений, применяемых в информационной системе | В ИС отсутствует технология беспроводного соединения |
| ЗИС.30 | Защита мобильных технических средств, применяемых в информационной системе | В ИС отсутствуют мобильные технические средства |
После адаптации базового набора мер осуществляется его уточнение на основании перечня актуальных угроз безопасности информации, характерных для защищаемой информационной системы. После чего производится дополнение уточненного адаптированного базового набора мер на основе требований соответствующих руководящих документов и правовых актов. После проделанных этапов был получен итоговый перечень мер, необходимых для обеспечения защиты обрабатываемой в ИС информации, представленный в таблице 2.2.
Таблица 2.2 – Перечень добавленных мер при уточнении адаптированного базового набора мер
| Условное обозначение и номер меры | Меры защиты информации в информационных системах | Причина исключения |
| УПД.13 | Реализация защищенного удаленного доступа субъектов доступа к объектам доступа через внешние информационно-телекоммуникационные сети | В ИС отсутствует система удаленного доступа |
| УПД.14 | Регламентация и контроль использования в информационной системе технологий беспроводного доступа | В ИС отсутствует система беспроводного доступа |
| ЗСВ.1 | Идентификация и аутентификация субъектов доступа и объектов доступа в виртуальной инфраструктуре, в том числе администраторов управления средствами виртуализации | В ИС отсутствует технология виртуальной инфраструктуры |
| ЗСВ.2 | Управление доступом субъектов доступа к объектам доступа в виртуальной инфраструктуре, в том числе внутри виртуальных машин | В ИС отсутствует технология виртуальной инфраструктуры |
| ЗСВ.3 | Регистрация событий безопасности в виртуальной инфраструктуре | В ИС отсутствует технология виртуальной инфраструктуры |
|
| ||
| Окончание таблицы 2.2 | ||
| Условное обозначение и номер меры | Меры защиты информации в информационных системах | Причина исключения |
| ЗСВ.9 | Реализация и управление антивирусной защитой в виртуальной инфраструктуре | В ИС отсутствует технология виртуальной инфраструктуры |
| ЗИС.5 | Запрет несанкционированной удаленной активации видеокамер, микрофонов и иных периферийных устройств, которые могут активироваться удаленно, и оповещение пользователей об активации таких устройств | В ИС отсутствуют периферийные устройства, которые возможно активировать дистанционно |
| ЗИС.20 | Защита беспроводных соединений, применяемых в информационной системе | В ИС отсутствует технология беспроводного соединения |
| ЗИС.30 | Защита мобильных технических средств, применяемых в информационной системе | В ИС отсутствуют мобильные технические средства |
После адаптации базового набора мер осуществляется его уточнение на основании перечня актуальных угроз безопасности информации, характерных для защищаемой информационной системы. После чего производится дополнение уточненного адаптированного базового набора мер на основе требований соответствующих руководящих документов и правовых актов. После проделанных этапов был получен итоговый перечень мер, необходимых для обеспечения защиты обрабатываемой в ИС информации, представленный в таблице 2.3.
Таблица 2.3 – Итоговый перечень мер, необходимых для обеспечения защиты обрабатываемой в ИС информации
| № меры | Описание |
| ИАФ1. | Идентификация и аутентификация пользователей, являющихся работниками оператора |
| Продолжение таблицы 2.3 | |
| № меры | Описание |
| ИАФ3. | Управление идентификаторами, в том числе создание, присвоение, уничтожение идентификаторов |
| ИАФ4. | Управление средствами аутентификации, в том числе хранение выдача, инициализация, блокирование средств аутентификации и принятие мер в случае утраты и (или) компрометации средств аутентификации |
| ИАФ5. | Защита обратной связи при вводе аутентификационной информации |
| ИАФ6. | Идентификация и аутентификация пользователей, не являющихся работниками оператора (внешних пользователей) |
| УПД1. | Управление (заведение, активация, блокирование и уничтожение) учетными записями пользователей, в том числе внешних пользователей |
| УПД4. | Разделение обязанностей полномочий (ролей), администраторов и лиц, обеспечивающих функционирование информационной системы |
| УПД5. | Назначение минимально необходимых прав и привилегий пользователям, администраторам и лицам, обеспечивающим функционирование информационной системы |
| УПД6. | Ограничение неуспешных попыток входа в информационную систему (доступа к информационной системе) |
| УПД10. | Блокирование сеанса доступа в информационную систему после установленного времени бездействия (неактивности) пользователя или по его запросу |
| УПД11. | Разрешение (запрет) действий пользователей, разрешенных до идентификации и аутентификации |
| Продолжение таблицы 2.3 | |
| № меры | Описание |
| УПД13. | Реализация защищенного удаленного доступа субъектов доступа к объектам доступа через внешние информационно-телекоммуникационные сети |
| УПД16. | Управление взаимодействием с информационными системами сторонних организаций (внешние информационные системы) |
| ОПС3. | Установка (инсталляция) только разрешенного к использованию программного обеспечения и (или) его компонентов |
| ЗНИ1. | Учет машинных носителей информации |
| ЗНИ2. | Управление доступом к машинным носителям информации |
| ЗНИ8. | Уничтожение (стирание) информации на машинных носителях при их передаче между пользователями, в сторонние организации для ремонта или утилизации, а также контроль уничтожения (стирания) |
| РСБ1. | Определение событий безопасности, подлежащих регистрации, и сроков их хранения |
| РСБ2. | Определение состава и содержания информации о событиях безопасности, подлежащих регистрации |
| РСБ3. | Сбор, запись и хранение информации о событиях безопасности в течение установленного времени хранения |
| РСБ4. | Реагирование на сбои при регистрации событий безопасности, в том числе аппаратные и программные ошибки, сбои в механизмах сбора информации и достижение предела или переполнения объема (емкости) памяти |
| РСБ5. | Мониторинг (просмотр, анализ) результатов регистрации событий безопасности и реагирование на них |
| Продолжение таблицы 2.3 | |
| № меры | Описание |
| РСБ6. | Генерирование временных меток и (или) синхронизация системного времени в информационной системе |
| РСБ7. | Защита информации о событиях безопасности |
| АВЗ1. | Реализация антивирусной защиты |
| АВЗ2. | Обновление базы данных признаков вредоносных компьютерных программ (вирусов) |
| АНЗ1. | Выявление, анализ уязвимостей информационной системы и оперативное устранение вновь выявленных уязвимостей |
| АНЗ2. | Контроль установки обновлений программного обеспечения, включая обновление программного обеспечения средств защиты информации |
| АНЗ3. | Контроль работоспособности, параметров настройки и правильности функционирования программного обеспечения и средств защиты информации |
| АНЗ4. | Контроль состава технических средств, программного обеспечения и средств защиты информации |
| АНЗ5. | Контроль правил генерации и смены паролей пользователей, заведения и удаления учетных записей пользователей, реализации правил разграничения доступом, полномочий пользователей в информационной системе |
| ОЦЛ3. | Обеспечение возможности восстановления программного обеспечения, включая программное обеспечение средств защиты информации, при возникновении нештатных ситуаций |
| ЗТС2. | Организация контролируемой зоны, в пределах которой постоянно размещаются стационарные технические средства, обрабатывающие информацию, и средства защиты информации, а также средства обеспечения функционирования |
| Окончание таблицы 2.3 | |
| № меры | Описание |
| ЗТС3. | Контроль и управление физическим доступом к техническим средствам, средствам защиты информации, средствам обеспечения функционирования, а также в помещения и сооружения, в которых они установлены, исключающие несанкционированный физический доступ к средствам обработки информации, средствам защиты информации и средствам обеспечения функционирования информационной системы и помещения и сооружения, в которых они установлены |
| ЗТС4. | Размещение устройств вывода (отображения) информации, исключающее ее несанкционированный просмотр |
| ЗИС3. | Обеспечение защиты информации от раскрытия, модификации и навязывания (ввода ложной информации) при ее передаче (подготовке к передаче) по каналам связи, имеющим выход за пределы контролируемой зоны, в том числе беспроводным каналам связи |
-
Требования к защите информации
Для того, чтобы обеспечить безопасность информации, приказом ФСТЭК от 11 февраля 2013 г. N 17 были утверждены «Требования о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах» [6]. В соответствии с этими требованиями меры защиты информации должны обеспечивать:
-
идентификацию и аутентификацию субъектов доступа и объектов доступа;
-
управление доступом субъектов доступа к объектам доступа;
-
ограничение программной среды;
-
защиту машинных носителей информации;
-
регистрацию событий безопасности;
-
антивирусную защиту;
-
обнаружение (предотвращение) вторжений;
-
контроль (анализ) защищенности информации;
-
целостность информационной системы и информации;
-
доступность информации;
-
защиту среды виртуализации;
-
защиту технических средств.
Средства защиты информации, применяемые в ИС, а так же организационные меры в информационной системе третьего класса защищенности должны обеспечивать защиту от угроз безопасности, которые могут быть связаны с нарушителем информации, обладающем потенциалом не ниже базового. Стоит отметить, что может быть принято решение об принятии мер, соответствующих более высокому классу защищенности.
![](https://s.studizba.com/z.php?f=/templates/si/i/noavatar.png&w=100&h=100&t=1"){kind=avatar}
