4. Техническое задание (1209995), страница 3
Текст из файла (страница 3)
Таблица 5.2 – исключаемые меры при адаптации
| Исключаемая мера | Причина исключения |
| УПД.14 Регламентация и контроль использования в информационной системе технологий беспроводного доступа | В МИС ЦОД отсутствуют технологии беспроводного доступа |
| УПД.15 Регламентация и контроль использования в информационной системе мобильных технических средств | В МИС ЦОД отсутствуют мобильные устройства |
| ЗИС.20 Защита беспроводных соединений, применяемых в информационной системе | В МИС ЦОД отсутствуют технологии беспроводного доступа |
| ЗИС.30 Защита мобильных технических средств, применяемых в информационной системе | В МИС ЦОД отсутствуют мобильные устройства |
-
Уточнение адаптированного базового набора мер
При уточнении базового набора мер добавляются меры, не выбранные ранее, нейтрализующие все актуальные угрозы безопасности информации в соответствии с Моделью нарушителя и угроз безопасности информации при их обработке в муниципальной информационной системе Муниципального Казенного Учреждения "Центра обработки данных" Перечень добавленных мер приведен в таблице 5.3.
Таблица 5.3 – меры, добавленные при уточнении
| Номер меры | Мера |
| ОПС.1 | Управление запуском (обращениями) компонентов программного обеспечения, в том числе определение запускаемых компонентов, настройка параметров запуска компонентов, контроль за запуском компонентов программного обеспечения |
| ОПС.4 | Управление временными файлами, в том числе запрет, разрешение, перенаправление записи, удаление временных файлов |
| ЗНИ.3 | Контроль перемещения машинных носителей информации за пределы контролируемой зоны |
| ЗНИ.4 | Исключение возможности несанкционированного ознакомления с содержанием информации, хранящейся на машинных носителях, и (или) использования носителей информации в иных информационных системах |
| ЗНИ.6 | Контроль ввода (вывода) информации на машинные носители информации |
| ЗНИ.7 | Контроль подключения машинных носителей персональных данных |
| ОЦЛ.2 | Контроль целостности информации, содержащейся в базах данных информационной системы |
| ОТД.1 | Использование отказоустойчивых технических средств |
| ОДТ.2 | Резервирование технических средств, программного обеспечения, каналов передачи информации, средств обеспечения функционирования информационной системы |
| ЗИС.10 | Подтверждение происхождения источника информации, получаемой в процессе определения сетевых адресов по сетевым именам или определения сетевых имен по сетевым адресам |
-
Дополнение уточненного адаптированного базового набора мер
-
утверждения перечня лиц, имеющих право доступа в ЦОД.
-
утверждения правил доступа в ЦОД в рабочее и нерабочее время, а также в нештатных ситуациях
-
документальное оформление перечня сведений конфиденциального характера;
-
реализация разрешительной системы допуска работников ЦОД к информации и связанным с ее использованием работам, документам;
-
ограничение доступа персонала и посторонних лиц в защищаемые помещения и помещения, где размещены средства информатизации и коммуникации, а также хранятся носители информации;
-
учет и надежное хранение бумажных и машинных носителей информации, ключей (ключевой документации) и их обращение, исключающее их хищение, подмену и уничтожение;
-
обмен конфиденциальной информацией между серверами должен осуществляться только на учтенных носителях информации с учетом допуска исполнителей, работающих на сервере, к переносимой информации;
-
необходимо назначение обладающего достаточными навыками должностного лица (работника) оператора ответственным за обеспечение безопасности персональных данных в информационной системе.
-
на рабочих местах исполнителей, работающих по этой технологии, во время работы, не должно быть неучтенных накопителей информации.
-
Конечный набор мер и средств защиты информации в соответствии с актуальными угрозами
«Требованиями о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах», утвержденными приказом ФСТЭК от 11.02.2013 № 17, «Составом и содержанием организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных», утвержденным приказом ФСТЭК России от 18.02.2013 № 21 и «Методическими рекомендациями по обеспечению с помощью крипто-средств безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств автоматизации» утвержденными руководством 8 Центра ФСБ России 21 февраля 2008 г. № 149/5-144 определен комплекс методов и способов защиты информации, применяемых для МИС ЦОД 2 уровня защищенности информации, реализуемых специализированным средствами защиты информации, прошедшими в установленном порядке процедуру оценки соответствия.
Реализация функций защиты информации в МИС ЦОД должна осуществляться сертифицированными средствами защиты информации. Реализация требований ФСТЭК и ФСБ России по обеспечению безопасности информации (2 уровень защищенности информации) приведена в таблице 5.4
Таблица 5.4 - Перечень мер по обеспечению безопасности информации
| № | Содержание мер по обеспечению безопасности информации |
| 1 | ИАФ1. Идентификация и аутентификация пользователей, являющихся работниками оператора |
| 2 | ИАФ2. Идентификация и аутентификация устройств, в том числе стационарных, мобильных и портативных |
| 3 | ИАФ3. Управление идентификаторами, в том числе создание, присвоение, уничтожение идентификаторов |
| 4 | ИАФ4. Управление средствами аутентификации, в том числе хранение выдача, инициализация, блокирование средств аутентификации и принятие мер в случае утраты и (или) компрометации средств аутентификации |
| 5 | ИАФ5. Защита обратной связи при вводе аутентификационной информации |
| 6 | ИАФ6. Идентификация и аутентификация пользователей, не являющихся работниками оператора (внешних пользователей) |
| 7 | УПД1. Управление (заведение, активация, блокирование и уничтожение) учетными записями пользователей, в том числе внешних пользователей |
| 8 | УПД2. Реализация необходимых методов (дискреционный, мандатный, ролевой или иной метод), типов (чтение, запись, выполнение или иной тип) и правил разграничения доступа |
| 9 | УПД3. Управление (фильтрация, маршрутизация, контроль соединений, однонаправленная передача и иные способы управления) информационными потоками между устройствами, сегментами информационной системы, а также между информационными системами |
| 10 | УПД4. Разделение обязанностей полномочий (ролей), администраторов и лиц, обеспечивающих функционирование информационной системы |
| 11 | УПД5. Назначение минимально необходимых прав и привилегий пользователям, администраторам и лицам, обеспечивающим функционирование информационной системы |
| 12 | УПД6. Ограничение неуспешных попыток входа в информационную систему (доступа к информационной системе) |
| 13 | УПД10. Блокирование сеанса доступа в информационную систему после установленного времени бездействия (неактивности) пользователя или по его запросу |
| 14 | УПД11. Разрешение (запрет) действий пользователей, разрешенных до идентификации и аутентификации |
| 14 | УПД13. Реализация защищенного удаленного доступа субъектов доступа к объектам доступа через внешние информационнотелекоммуникационные сети |
| 15 | УПД16. Управление взаимодействием с информационными системами сторонних организаций (внешние информационные системы) |
| 16 | УПД17. Обеспечение доверенной загрузки средств вычислительной техники |
| 17 | ОПС.1 Управление запуском (обращениями) компонентов программного обеспечения, в том числе определение запускаемых компонентов, настройка параметров запуска компонентов, контроль за запуском компонентов программного обеспечения |
| 18 | ОПС2. Управление установкой (инсталляцией) компонентов программного обеспечения, в том числе определение компонентов, подлежащих установке, настройка параметров установки компонентов, контроль за установкой компонентов программного обеспечения |
| 19 | ОПС3. Установка (инсталляция) только разрешенного к использованию программного обеспечения и (или) его компонентов |
| 20 | ОПС.4 Управление временными файлами, в том числе запрет, разрешение, перенаправление записи, удаление временных файлов |
| 21 | ЗНИ1. Учет машинных носителей информации |
| 22 | ЗНИ2. Управление доступом к машинным носителям информации |
| 23 | ЗНИ.3 Контроль перемещения машинных носителей информации за пределы контролируемой зоны |
| 24 | ЗНИ.4 Исключение возможности несанкционированного ознакомления с содержанием информации, хранящейся на машинных носителях, и (или) использования носителей информации в иных информационных системах |
| 25 | ЗНИ.5. Контроль использования интерфейсов ввода (вывода) информации на машинные носители информации |
| 26 | ЗНИ.6 Контроль ввода (вывода) информации на машинные носители информации |
| 27 | ЗНИ.7 Контроль подключения машинных носителей персональных данных |
| 28 | ЗНИ.8. Уничтожение (стирание) информации на машинных носителях при их передаче между пользователями, в сторонние организации для ремонта или утилизации, а также контроль уничтожения (стирания) |
| 29 | РСБ1. Определение событий безопасности, подлежащих регистрации, и сроков их хранения |
| 30 | РСБ2. Определение состава и содержания информации о событиях безопасности, подлежащих регистрации |
| 31 | РСБ3. Сбор, запись и хранение информации о событиях безопасности в течение установленного времени хранения |
| 32 | РСБ4. Реагирование на сбои при регистрации событий безопасности, в том числе аппаратные и программные ошибки, сбои в механизмах сбора информации и достижение предела или переполнения объема (емкости) памяти |
| 33 | РСБ5. Мониторинг (просмотр, анализ)результатов регистрации событий безопасности и реагирование на них |
| 34 | РСБ6. Генерирование временных меток и (или) синхронизация системного времени в информационной системе |
| 35 | РСБ7. Защита информации о событиях безопасности |
| 36 | АВЗ1. Реализация антивирусной защиты |
| 37 | АВЗ2. Обновление базы данных признаков вредоносных компьютерных программ (вирусов) |
| 38 | СОВ1. Обнаружение вторжений |
| 39 | СОВ2. Обновление базы решающих правил |
| 40 | АНЗ1. Выявление, анализ уязвимостей информационной системы и оперативное устранение вновь выявленных уязвимостей |
| 41 | АНЗ2. Контроль установки обновлений программного обеспечения, включая обновление программного обеспечения средств защиты информации |
| 42 | АНЗ3. Контроль работоспособности, параметров настройки и правильности функционирования программного обеспечения и средств защиты информации |
| 43 | АНЗ4. Контроль состава технических средств, программного обеспечения и средств защиты информации |
| 44 | АНЗ5. Контроль правил генерации и смены паролей пользователей, заведения и удаления учетных записей пользователей, реализации правил разграничения доступом, полномочий пользователей в информационной системе |
| 45 | ОЦЛ1. Контроль целостности программного обеспечения, включая программное обеспечение средств защиты информации |
| 46 | ОЦЛ.2 Контроль целостности информации, содержащейся в базах данных информационной системы |
| 47 | ОЦЛ3. Обеспечение возможности восстановления программного обеспечения, включая программное обеспечение средств защиты информации, при возникновении нештатных ситуаций |
| 48 | ОЦЛ4. Обнаружение и реагирование на поступление в информационную систему незапрашиваемых электронных сообщений (писем, документов) и иной информации, не относящихся к функционированию информационной системы (защита от спама) |
| 49 | ОТД.1 Использование отказоустойчивых технических средств |
| 50 | ОДТ.2 Резервирование технических средств, программного обеспечения, каналов передачи информации, средств обеспечения функционирования информационной системы |
| 51 | ОДТ3. Контроль безотказного функционирования технических средств, обнаружение и локализация отказов функционирования, принятие мер по восстановлению отказавших средств и их тестирование |
| 52 | ОДТ4. Периодическое резервное копирование информации на резервные машинные носители информации |
| 53 | ОДТ5. Обеспечение возможности восстановления информации с резервных машинных носителей информации (резервных копий) в течение установленного временного интервала |
| 54 | ОДТ7. Контроль состояния и качества предоставления уполномоченным лицом вычислительных ресурсов (мощностей), в том числе по передаче информации |
| 55 | ЗСВ1. Идентификация и аутентификация субъектов доступа и объектов доступа в виртуальной инфраструктуре, в том числе администраторов управления средствами виртуализации |
| 56 | ЗСВ2. Управление доступом субъектов доступа к объектам доступа в виртуальной инфраструктуре, в том числе внутри виртуальных машин |
| 57 | ЗСВ3. Регистрация событий безопасности в виртуальной инфраструктуре |
| 58 | ЗСВ4. Управление (фильтрация, маршрутизация, контроль соединения, однонаправленная передача) потоками информации между компонентами виртуальной инфраструктуры, а также по периметру виртуальной инфраструктуры |
| 59 | ЗСВ6. Управление перемещением виртуальных машин (контейнеров) и обрабатываемых на них данных |
| 60 | ЗСВ7. Контроль целостности виртуальной инфраструктуры и ее конфигураций |
| 61 | ЗСВ8. Резервное копирование данных, резервирование технических средств, программного обеспечения виртуальной инфраструктуры, а также каналов связи внутри виртуальной инфраструктуры |
| 62 | ЗСВ9. Реализация и управление антивирусной защитой в виртуальной инфраструктуре |
| 63 | ЗСВ10. Разбиение виртуальной инфраструктуры на сегменты (сегментирование виртуальной инфраструктуры) для обработки информации отдельным пользователем и (или) группой пользователей |
| 64 | ЗТС2. Организация контролируемой зоны, в пределах которой постоянно размещаются стационарные технические средства, обрабатывающие информацию, и средства защиты информации, а также средства обеспечения функционирования |
| 65 | ЗТС3. Контроль и управление физическим доступом к техническим средствам, средствам защиты информации, средствам обеспечения функционирования, а также в помещения и сооружения, в которых они установлены, исключающие несанкционированный физический доступ к средствам обработки информации, средствам защиты информации и средствам обеспечения функционирования информационной системы и помещения и сооружения, в которых они установлены |
| 66 | ЗТС4. Размещение устройств вывода (отображения) информации, исключающее ее несанкционированный просмотр |
| 67 | ЗИС1. Разделение в информационной системе функций по управлению (администрированию) информационной системой, управлению (администрированию) системой защиты информации, функций по обработке информации и иных функций информационной системы |
| 68 | ЗИС3. Обеспечение защиты информации от раскрытия, модификации и навязывания (ввода ложной информации) при ее передаче (подготовке к передаче) по каналам связи, имеющим выход за пределы контролируемой зоны, в том числе беспроводным каналам связи |
| 69 | ЗИС5. Запрет несанкционированной удаленной активации видеокамер, микрофонов и иных периферийных устройств, которые могут активироваться удаленно, и оповещение пользователей об активации таких устройств |
| 70 | ЗИС7. Контроль санкционированного и исключение несанкционированного использования технологий мобильного кода, в том числе регистрация событий, связанных с использованием технологий мобильного кода, их анализ и реагирование на нарушения, связанные с использованием технологий мобильного кода |
| 71 | ЗИС8. Контроль санкционированного и исключение несанкционированного использования технологий передачи речи, в том числе регистрация событий, связанных с использованием технологий передачи речи, их анализ и реагирование на нарушения, связанные с использованием технологий передачи речи |
| 72 | ЗИС9. Контроль санкционированной и исключение несанкционированной передачи видеоинформации, в том числе регистрация событий, связанных с передачей видеоинформации, их анализ и реагирование на нарушения, связанные с передачей видео информации |
| 73 | ЗИС.10 Подтверждение происхождения источника информации, получаемой в процессе определения сетевых адресов по сетевым именам или определения сетевых имен по сетевым адресам |
| 74 | ЗИС11. Обеспечение подлинности сетевых соединений (сеансов взаимодействия), в том числе для защиты от подмены сетевых устройств и сервисов |
| 75 | ЗИС12. Исключение возможности отрицания пользователем факта отправки информации другому пользователю |
| 76 | ЗИС13. Исключение возможности отрицания пользователем факта получения информации от другого пользователя |
| 77 | ЗИС15. Защита архивных файлов, параметров настройки средств защиты информации и программного обеспечения и иных данных, не подлежащих изменению в процессе обработки информации |
| 78 | ЗИС17. Разбиение информационной системы на сегменты (сегментирование информационной системы) и обеспечение защиты периметров сегментов информационной системы |
| 79 | ЗИС22. Защита информационной системы от угроз безопасности информации, направленных на отказ в обслуживании информационной системы |
| 80 | ЗИС23. Защита периметра (физических и (или) логических границ) информационной системы при ее взаимодействии с иными информационными системами и информационнотелекоммуникационными сетями |
| 81 | ЗИС24. Прекращение сетевых соединений по их завершении или по истечении заданного оператором временного интервала неактивности сетевого соединения |
-
Набор мер по противодействию актуальным угрозам безопасности
Для каждой актуальной угрозы подберем необходимые меры по минимизации ее возможности. Набор мер по противодействию угроз для каждой угрозы безопасности информации представлен в таблице 5.5
![](https://s.studizba.com/z.php?f=/templates/si/i/noavatar.png&w=100&h=100&t=1"){kind=avatar}
