4. Техническое задание (1209995), страница 2
Текст из файла (страница 2)
Уничтожение персональных данных – действия, в результате которых невозможно восстановить содержание персональных данных в информационной системе персональных данных или в результате которых уничтожаются материальные носители персональных данных.
Уязвимость – слабость в средствах защиты, которую можно использовать для нарушения системы или содержащейся в ней информации.
Целостность информации – способность средства вычислительной техники или автоматизированной системы обеспечивать неизменность информации в условиях случайного и/или преднамеренного искажения (разрушения).
-
Принятые сокращения
| АВС | – | антивирусные средства |
| АРМ | – | автоматизированное рабочее место |
| АС | – | автоматизированная система |
| ГИС ЦОД | – – | государственная информационная система Центр обработки данных |
| ГОСТ | – | государственный стандарт |
| ДСП | – | для служебного пользования |
| ИБ | – | информационная безопасность |
| ИСПДн | – | информационная система, обрабатывающая персональные данные |
| КЗ | – | контролируемая зона |
| ИТ | – | информационные технологии |
| ЛВС | – | локальная вычислительная сеть |
| НДВ | – | не декларированные возможности |
| НЖМД | – | накопитель на жестких магнитных дисках |
| НСД | – | несанкционированный доступ |
| ОЗУ | – | оперативное запоминающее устройство |
| ОПО | – | общесистемное программное обеспечение |
| ОС | – | операционная система |
| ОТСС | – | основные технические средства и системы |
| ПДн | – | персональные данные |
| ПК | – | программный комплекс |
| ПО | – | программное обеспечение |
| ПС | – | программные средства |
| ПТС | – | программно-технические средства |
| ПЭВМ | – | персональная электронно-вычислительная машина |
| РД | – | руководящий документ |
| СВТ | – | средства вычислительной техники |
| СЗИ | – | система защиты информации |
| СКЗИ | – | средства криптографической защиты информации |
| СПО | – | специальное программное обеспечение |
| СрЗИ | – | средства защиты информации |
| ТЗ | – | техническое задание |
| ТС | – | технические средства |
| ТП | – | технический проект |
| ФСБ | – | Федеральная служба безопасности |
| ФСТЭК | – | Федеральная служба технического и экспортного контроляэ |
-
Назначение и цели создания СЗИ
-
Назначение СЗИ
-
СЗИ предназначена для обеспечения информационной безопасности информации, обрабатываемых в МКУ "Комитет по содержанию объектов муниципальной собственности" (далее – ЦОД). СЗИ призвана обеспечить конфиденциальность, целостность и доступность информации при ее обработке в МИС ЦОД.
-
Цели создания СЗИ
Целями создания СЗИ являются:
-
обеспечение защищенности сегмента в процессе обработки и хранения информации, обеспечение конфиденциальности информации при ее обработке, а также целостности и доступности;
-
соответствие «Об утверждении требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах», утвержденных ФСТЭК России от 11 февраля 2013 г. № 17;
-
соответствие требованиям Федерального закона от 27.07.2006 г. № 152-ФЗ «О персональных данных» и выполнение мер в соответствии с «Методическим документом: Меры защиты информации в государственных информационных системах», утвержденным ФСТЭК 11.02.2014 и «Составом и содержанием организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных», утвержденных приказом ФСТЭК России от 18.02.2013№ 21 и других РД ФСТЭК России и ФСБ России.
В результате создания СЗИ должно быть обеспечено:
-
снижение вероятности реализации актуальных угроз информационной безопасности информации;
-
отслеживание действий субъектов информационных отношений.
Критериями оценки достижения поставленных целей по созданию СЗИ являются:
-
соответствие требованиям по обеспечению безопасности информации соответствующего уровня защищенности, определенному в соответствии с «Мерами защиты информации в государственных информационных систем»;
-
выполнение мер, определенных «Методическим документом: Меры защиты информации в государственных информационных систем», утвержденным ФСТЭК 11.02.2014, и «Составом и содержанием организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных», утвержденным приказом ФСТЭК России от 18.02.2013 № 21;
-
выполнение требований настоящего ТЗ.
-
Параметры объекта защиты
В муниципальной информационной системе обрабатываются государственные информационные ресурсы различных категорий субъектов. Информация обрабатывается и хранится на серверах в пределах одной контролируемой зоны. Информация обрабатывается на 127 АРМ и 6 серверах.
Информация субъектов муниципальной информационной системы хранится распределено, на серверах БД и на жёстких дисках АРМ пользователей, к которым имеют доступ ограниченный перечень лиц.
Параметры информационной системы ЦОД представлены в таблице 4.1.
Таблица 4.1 – Параметры информационной системы ЦОД
| Наименование параметра | Значение |
| Структура информационной системы | Локальная |
| Архитектура информационной системы |
|
| Используемым ИТ | Системы на основе виртуализации |
| Взаимодействие с иными информационными системами | Подключенная через выделенную инфраструктуру |
| Подключение информационной системы к сетям общего пользования и (или) сетям международного информационного обмена | Расположенные в пределах одной контролируемой зоны |
| Размещение технических средств | ТС расположенные в пределах одной контролируемой зоны |
| Режим разграничения прав доступа пользователей | Система с разграничением прав доступа |
| Разделение функций по управлению информационной системой | Без разделения |
| Сегментирование информационной системы | Система без сегментирования |
| Местонахождение технических средств информационной системы | Расположенные пределах одной контролируемой зоны |
| Объем обрабатываемых персональных данных | Менее 100 тысяч субъектов персональных данных |
| Масштаб информационной системы | Объектовый |
Актуальные угрозы ИБ, которым подвержена МИС ЦОД определены и обоснованы в Модели нарушителя и угроз безопасности информации при их обработке в муниципальной информационной системе Муниципального Казенного Учреждения "Центра обработки данных", разработанной на основании «Базовой модели угроз безопасности персональных данных при их обработке в информационных системах персональных данных», «меры защиты информации в ГИС» и других нормативно-методических документов ФСТЭК России и ФСБ России.
-
Меры по обеспечению безопасности информации
-
Базовый набор мер
-
Для обеспечения 2-го уровня защищенности персональных данных при их обработке в информационных системах необходимо выполнение следующих условий:
-
организация режима обеспечения безопасности помещений, в которых размещена информационная система, препятствующего возможности неконтролируемого проникновения или пребывания в этих помещениях лиц, не имеющих права доступа в эти помещения;
-
обеспечение сохранности носителей персональных данных;
-
утверждение руководителем оператора документа, определяющего перечень лиц, доступ которых к персональным данным, обрабатываемым в информационной системе, необходим для выполнения ими служебных (трудовых) обязанностей;
-
использование средств защиты информации, прошедших процедуру оценки соответствия требованиям законодательства Российской Федерации в области обеспечения безопасности информации, в случае, когда применение таких средств необходимо для нейтрализации актуальных угроз;
-
должно быть назначено должностное лицо (работник), ответственный за обеспечение безопасности персональных данных в информационной системе.
-
необходимо, чтобы доступ к содержанию электронного журнала сообщений был возможен исключительно для должностных лиц (работников) оператора или уполномоченного лица, которым сведения, содержащиеся в указанном журнале, необходимы для выполнения служебных (трудовых) обязанностей
В соответствии приказом ФСТЭК от 11.02.2014 г. «Меры защиты информации в государственных информационных системах», базовый набор мер, применяемых для обеспечения 2 уровня защищенности информации представлен в таблице 5.1
Таблица 5.1 – базовый набор мер
| № меры | Содержание мер по обеспечению безопасности информации |
| ИАФ.1 | Идентификация и аутентификация пользователей, являющихся работниками оператора |
| ИАФ.2 | Идентификация и аутентификация устройств, в том числе стационарных, мобильных и портативных |
| ИАФ.З | Управление идентификаторами, в том числе создание, присвоение, уничтожение идентификаторов |
| ИАФ.4 | Управление средствами аутентификации, в том числе хранение, выдача, инициализация, блокирование средств аутентификации и принятие мер в случае утраты и (или) компрометации средств аутентификации |
| ИАФ.5 | Защита обратной связи при вводе аутентификационной информации |
| ИАФ.6 | Идентификация и аутентификация пользователей, не являющихся работниками оператора (внешних пользователей) |
| УПД.1 | Управление (заведение, активация, блокирование и уничтожение) учетными записями пользователей, в том числе внешних пользователей |
| УПД.2 | Реализация необходимых методов (дискреционный, мандатный, ролевой или иной метод), типов (чтение, запись, выполнение или иной тип) и правил разграничения доступа |
| УПД.3 | Управление (фильтрация, маршрутизация, контроль соединений, однонаправленная передача и иные способы управления) информационными потоками между устройствами, сегментами информационной системы, а также между информационными системами |
| УПД.4 | Разделение полномочий (ролей) пользователей, администраторов и лиц, обеспечивающих функционирование информационной системы |
| УПД.5 | Назначение минимально необходимых прав и привилегий пользователям, администраторам и лицам, обеспечивающим функционирование информационной системы |
| УПД.6 | Ограничение неуспешных попыток входа в информационную систему (доступа к информационной системе) |
| УПД.10 | Блокирование сеанса доступа в информационную систему после установленного времени бездействия (неактивности) пользователя или по его запросу |
| УПД.11 | Разрешение (запрет) действий пользователей, разрешенных до аутентификации |
| УПД.13 | Реализация защищенного удаленного доступа субъектов доступа к объектам доступа через внешние информационно-телекоммуникационные сети |
| УПД.14 | Регламентация и контроль использования в информационной системе технологий беспроводного доступа |
| УПД.15 | Регламентация и контроль использования в информационной системе мобильных технических средств |
| УПД.16 | Управление взаимодействием с информационными системами сторонних организаций (внешние информационные системы) |
| УПД.17 | Обеспечение доверенной загрузки средств вычислительной техники |
| ОПС.2 | Управление установкой (инсталляцией) компонентов программного обеспечения, в том числе определение компонентов, подлежащих установке, настройка параметров установки компонентов, контроль за установкой компонентов программного обеспечения |
| ОПС.3 | Установка (инсталляция) только разрешенного к использованию программного обеспечения и (или) его компонентов |
| ЗНИ.1 | Учет машинных носителей персональных данных |
| ЗНИ.2 | Управление доступом к машинным носителям персональных данных |
| ЗНИ.5 | Контроль использования интерфейсов ввода (вывода) информации на машинные носители информации |
| ЗНИ.8 | Уничтожение (стирание) или обезличивание персональных данных на машинных носителя при их передаче между пользователями, в сторонние организации для ремонта или утилизации, а также контроль уничтожения (стирания) или обезличивания |
| РСБ.1 | Определение событий безопасности, подлежащих регистрации, и сроков их хранения |
| РСБ.2 | Определение состава и содержания информации о событиях безопасности, подлежащих регистрации |
| РСБ.З | Сбор, запись и хранение информации о событиях безопасности в течение установленного времени хранения |
| РСБ.4 | Реагирование на сбои при регистрации событий безопасности, в том числе аппаратные и программные ошибки, сбои в механизмах сбора информации и достижение предела или переполнения объема (емкости) памяти |
| РСБ.5 | Мониторинг (пересмотр, анализ) результатов регистрации событий безопасности и реагирование на них |
| РСБ.6 | Генерирование временных меток и (или) синхронизация системного времени в информационной системе |
| РСБ. 7 | Защита информации о событиях безопасности |
| АВ3.1 | Реализация антивирусной защиты |
| АВ3.2 | Обновление базы данных признаков вредоносных компьютерных программ (вирусов) |
| СОВ.1 | Обнаружение вторжений |
| СОВ.2 | Обновление базы решающих правил |
| АНЗ.1 | Выявление, анализ уязвимостей информационной системы и оперативное устранение вновь выявленных уязвимостей |
| АНЗ.2 | Контроль установки обновлений программного обеспечения, включая обновление программного обеспечения средств защиты информации |
| АНЗ.3 | Контроль работоспособности, параметров настройки и правильности функционирования программного обеспечения и средств защиты информации |
| АНЗ.4 | Контроль состава технических средств, программного обеспечения и средств защиты информации |
| АНЗ.5 | Контроль правил генерации и смены паролей пользователей, заведения и удаления учетных записей пользователей, реализации правил разграничения доступа, полномочий пользователей в информационной системе |
| ОЦЛ. 1 | Контроль целостности программного обеспечения, включая программное обеспечение средств защиты информации |
| ОЦЛ. 3 | Обеспечение возможности восстановления программного обеспечения, включая программное обеспечение средств защиты информации, при возникновении нештатных ситуаций |
| ОЦЛ. 4 | Обнаружение и реагирование на поступление в информационную систему незапрашиваемых электронных сообщений (писем, документов) и иной информации, не относящихся к функционированию информационной системы (защита от спама) |
| ОДТ.3 | Контроль безотказного функционирования технических средств, обнаружение и локализация отказов функционирования, принятие мер по восстановлению отказавших средств и их тестирование |
| ОДТ.4 | Периодическое резервное копирование информации на резервные машинные носители информации |
| ОДТ.5 | Обеспечение возможности восстановления информации с резервных машинных носителей информации (резервных копий) в течение установленного временного интервала |
| ОДТ.7 | Контроль состояния и качества предоставления уполномоченным лицом вычислительных ресурсов (мощностей), в том числе по передаче информации |
| ЗСВ.1 | Идентификация и аутентификация субъектов доступа и объектов доступа в виртуальной инфраструктуре, в том числе администраторов управления средствами виртуализации |
| ЗСВ.2 | Управление доступом субъектов доступа к объектам доступа в виртуальной инфраструктуре, в том числе внутри виртуальных машин |
| ЗСВ.3 | Регистрация событий безопасности в виртуальной инфраструктуре |
| ЗСВ.4 | Управление (фильтрация, маршрутизация, контроль соединения, однонаправленная передача) потоками информации между компонентами виртуальной инфраструктуры, а также по периметру виртуальной инфраструктуры |
| ЗСВ.6 | Управление перемещением виртуальных машин (контейнеров) и обрабатываемых на них данных |
| ЗСВ.7 | Контроль целостности виртуальной инфраструктуры и ее конфигураций |
| ЗСВ.8 | Резервное копирование данных, резервирование технических средств, программного обеспечения виртуальной инфраструктуры, а также каналов связи внутри виртуальной инфраструктуры |
| ЗСВ.9 | Реализация и управление антивирусной защитой в виртуальной инфраструктуре |
| ЗСВ.10 | Разбиение виртуальной инфраструктуры на сегменты (сегментирование виртуальной инфраструктуры) для обработки информации отдельным пользователем и (или) группой пользователей |
| ЗТС.2 | Организация контролируемой зоны, в пределах которой постоянно размещаются стационарные технические средства, обрабатывающие информацию, и средства защиты информации, а также средства обеспечения функционирования |
| ЗТС.3 | Контроль и управление физическим доступом к техническим средствам, средствам защиты информации, средствам обеспечения функционирования, а также в помещения и сооружения, в которых они установлены, исключающие несанкционированный физический доступ к средствам обработки информации, средствам защиты информации и средствам обеспечения функционирования информационной системы, в помещения и сооружения, в которых они установлены |
| ЗТС.4 | Размещение устройств вывода (отображения) информации, исключающее ее несанкционированный просмотр |
| ЗИС.1 | Разделение в информационной системе функций по управлению (администрированию) информационной системой, управлению (администрированию) системой защиты информации, функций по обработке информации и иных функций информационной системы |
| ЗИС.3 | Обеспечение защиты персональных данных от раскрытия, модификации и навязывания (ввода ложной информации) при ее передаче (подготовке к передаче) по каналам связи, имеющим выход за пределы контролируемой зоны, в том числе беспроводным каналам связи |
| ЗИС.5 | Запрет несанкционированной удаленной активации видеокамер, микрофонов и иных периферийных устройств, которые могут активироваться удаленно, и оповещение пользователей об активации таких устройств |
| ЗИС.7 | Контроль санкционированного и исключение несанкционированного использования технологий мобильного кода, в том числе регистрация событий, связанных с использованием технологий мобильного кода, их анализ и реагирование на нарушения, связанные с использованием технологий |
| ЗИС.8 | Контроль санкционированного и исключение несанкционированного использования технологий передачи речи, в том числе регистрация событий, связанных с использованием технологий передачи речи, их анализ и реагирование на нарушения, связанные с использованием технологий передачи речи |
| ЗИС.9 | Контроль санкционированной и исключение несанкционированной передачи видеоинформации, в том числе регистрация событий, связанных с передачей видеоинформации, их анализ и реагирование на нарушения, связанные с передачей видео информации |
| ЗИС.11 | Обеспечение подлинности сетевых соединений (сеансов взаимодействия), в том числе для защиты от подмены сетевых устройств и сервисов |
| ЗИС.12 | Исключение возможности отрицания пользователем факта отправки информации другому пользователю |
| ЗИС.13 | Исключение возможности отрицания пользователем факта получения информации |
| ЗИС.15 | Защита архивных файлов, параметров настройки средств защиты информации и программного обеспечения и иных данных, не подлежащих изменению в процессе обработки информации |
| ЗИС.17 | Разбиение информационной системы на сегменты (сегментирование информационной системы) и обеспечение защиты периметров сегментов информационной системы |
| ЗИС.20 | Защиты беспроводных соединений, применяемых в информационной системе |
| ЗИС.22 | Защита информационной системы от угроз безопасности информации, направленных на отказ в обслуживании информационной системы |
| ЗИС.23 | Защита периметра (физических и (или) логических границ) информационной системы при ее взаимодействии с иными информационными системами и информационно-телекоммуникационными сетями |
| ЗИС.24 | Прекращение сетевых соединений по их завершении или по истечении заданного оператором временного интервала неактивности сетевого соединения |
| ЗИС.30 | Защита мобильных технических средств, применяемых в информационной системе |
-
Адаптация базового набора мер
При адаптации из базового набора мер защиты информации исключаются меры, непосредственно связанные с информационными технологиями, не используемыми в информационной системе, или структурно-функциональными характеристиками, не свойственными информационной системе. Исключаемые меры и причина исключения приведены в таблице 5.2.
![](https://s.studizba.com/z.php?f=/templates/si/i/noavatar.png&w=100&h=100&t=1"){kind=avatar}
