Просмтор этого файла доступен только зарегистрированным пользователям. Но у нас супер быстрая регистрация: достаточно только электронной почты!

Текст из файла (страница 5)

Архитектура СЗИ должна обеспечивать реализацию функций безопасности на всех технологических этапах эксплуатации МИС ЦОД, в том числе при проведении технического обслуживания и ремонта.

Эффективность СЗИ должна достигаться комплексным применением различных средств и методов.

СЗИ должна быть структурирована по функциональным подсистемам, уровням применения и видам исполнений.

Приводимые в настоящем документе требования по обеспечению безопасности информации должны обеспечивать уровень защищенности информации, соответствующий требованиям, установленными:

• «Требованиями о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах». Утверждены приказом ФСТЭК от 11.02.2013 г. № 17;

• «Методическим документом: Меры защиты информации в государственных информационных системах». Утвержден ФСТЭК 11.02.2014 г.;

• «Составом и содержанием организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных», утвержденным приказом ФСТЭК России от 18.02.2013 г. № 21;

• «Требованиями к защите персональных данных при их обработке в информационных системах персональных данных», утвержденными постановлением Правительства РФ от 01.11.2012 г. № 1119;

• Требованиями к средствам доверенной загрузки, утвержденными приказом ФСТЭК от 27.09.2013 г. №119;

• Требованиями к средствам контроля съемных машинных носителей информации, утвержденными приказом ФСТЭК от 28.07.2014 г. №87;

• Федеральным законом Российской Федерации от 27 июля 2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации»;

• Федеральным законом Российской Федерации от 27 июля 2006 г. № 152-ФЗ «О персональных данных»;

• Федеральным законом Российской Федерации от 27 декабря 2002 г. № 184-ФЗ «О техническом регулировании».

1. Требования к вариантам исполнения системы

СЗИ должна строиться для всех типов объектов, на которых присутствует или будет присутствовать информация, подлежащая защите. Необходимый набор мер и средств защиты определяется на основании модели угроз и уровня защищенности МИС ЦОД.

1. Требования к режимам функционирования системы

В разработанной СЗИ должны быть реализованы следующие режимы функционирования:

• режим установки и конфигурирования;

• режим отладки;

• рабочий режим.

Режим конфигурирования должен быть предназначен для первичной настройки СЗИ и должен выполняться на этапе пуско-наладочных работ. В этом режиме должно происходить настраивание СЗИ путем создания правил, создания, редактирования и применения политик, шаблонов, настроек необходимых видов доступа. Режим установки и конфигурирования должен подразумевать работы по установке и начальной настройке установленного программного обеспечения.

Режим отладки должен быть предназначен для отладки СЗИ и должен выполняться на этапе ввода в эксплуатацию после режима конфигурирования. В этом режиме должно происходить журналирование отработки необходимых компонент СЗИ, отлаживание реакций, видов и методов реагирования компонент на происходящие воздействия.

Рабочий режим должен быть единственным допустимым режимом штатного функционирования системы. В рабочий режим система должна переводиться после режима отладки, когда становится ясно, что система функционирует верно, корректно отрабатываются необходимые политики, правила и шаблоны.

1. Требования к численности и квалификации персонала, режиму его работы

   1. Требования к квалификации администратора безопасности

Сотрудники, имеющие высшее профессиональное образование в области технической защиты информации либо высшее или среднее профессиональное (техническое) образование и прошедших переподготовку или повышение квалификации по вопросам технической защиты информации.

Квалификация специалистов должна быть достаточной для осуществления ими настройки общесистемных, прикладных и сетевых сервисов МИС ЦОД, а также эксплуатации средств защиты.

Специалисты должны осуществлять обслуживание и эксплуатацию МИС ЦОД по рабочим дням в рабочее время с возможностью выхода в нерабочее время для проведения сервисного обслуживания или восстановления работоспособности МИС ЦОД.

1. Требования к квалификации пользователя МИС ЦОД

Квалификация и численность пользователей МИС ЦОД должна быть достаточной для осуществления ими обработки информации в соответствии с инструкциями пользователей МИС ЦОД.

1. Порядок подготовки персонала, контроль знаний и навыков

Регулярное обучение лиц, использующих средства защиты информации, применяемые в информационных системах, правилам работы с ними с принятием зачетов.

1. Показатели назначения

Системно-технические решения СЗИ должны обеспечить минимизацию вероятности реализации актуальных угроз, описанных в Модели нарушителя и угроз безопасности информации при их обработке в МИС ЦОД.

Экономический эффект от создания СЗИ должен проявляться в снижении вероятной величины материального и морального ущерба по отношению к субъектам и оператору информации.

1. Требования к надежности

Аппаратно-программные компоненты СЗИ должны быть рассчитаны для функционирования в режиме круглосуточной работы и позволять осуществлять выполнение процедур резервирования и восстановления системы после сбоев.

1. Требования к безопасности

В процессе обслуживания и эксплуатации оборудования СЗИ должна обеспечиваться безопасность персонала.

Конструкция используемого оборудования должна обеспечивать защиту эксплуатирующего персонала от поражения электрическим током в соответствии с требованиями ГОСТ 12.2.003 и ГОСТ 12.2.007.

Размещение оборудования на штатных местах должно обеспечивать его безопасное обслуживание и эксплуатацию.

1. Требования к эксплуатации, техническому обслуживанию, ремонту и хранению компонентов СЗИ

Условия и регламент (режим) эксплуатации, виды и периодичность обслуживания технических средств системы в соответствии с эксплуатационной документацией.

Физический доступ неуполномоченных лиц к компонентам СЗИ должен быть запрещен.

Требования к эксплуатации, техническому обслуживанию, ремонту и хранению могут уточняться на этапе проектирования СЗИ.

1. Требования к защите информации от несанкционированного доступа

Проведение мероприятий, направленных на предотвращение несанкционированного доступа к информации и (или) передачи ее лицам, не имеющим права доступа к такой информации.

Своевременное обнаружение фактов несанкционированного доступа к информации.

Недопущение воздействия на технические средства автоматизированной обработки информации, в результате которого может быть нарушено их функционирование.

Возможность незамедлительного восстановления информации, модифицированных или уничтоженных вследствие несанкционированного доступа к ней.

1. Требования к сохранности информации при авариях

Перечень событий, при которых должна быть обеспечена сохранность информации в системе: пожар в здании; взрыв; просадка грунта с частичным обрушением здания. Отказ элементов МИС ЦОД и средств защиты из-за: повреждения водой (прорыв системы водоснабжения, канализационных труб, систем охлаждения), а также подтопления в период паводка или проливных дождей; сбоя системы кондиционирования.

Механизмы обеспечения сохранности информации могут уточняться на этапе проектирования СЗИ.

1. Требования к защите от влияний внешних воздействий

Защита информации, обрабатываемой в МИС ЦОД, от влияния внешних воздействий должна осуществляться в рамках общих организационно-технических мероприятий по обеспечению безопасности и физической защите на объектах размещения СВТ МИС ЦОД.

1. Требования к патентной чистоте

При создании СЗИ должны соблюдаться положения законодательных актов Российской Федерации по соблюдению авторских прав и защите специальных знаков.

1. Требования к стандартизации и унификации

Решения по использованию технических средств и ПО в СЗИ должны использовать однотипные компоненты в целях обеспечения снижения расходов на обслуживание и ремонт, взаимозаменяемости используемых компонентов, удобства эксплуатации.

Должна обеспечиваться совместимость технических средств и ПО СЗИ с техническими средствами и ПО, используемыми в МИС ЦОД.

Требования по стандартизации и унификации могут уточняться на этапе проектирования СЗИ.

1. Требования к видам обеспечения

   1. Требования к программному обеспечению

Предлагаемое к использованию программное обеспечение должно быть лицензионным.

Решения по использованию ПО должны приниматься с учетом обеспечения поддержки его функционирования производителем или поставщиком данного ПО.

В процессе эксплуатации СЗИ лицензии на применяемое ПО должны поддерживаться в актуальном состоянии.

Средства защиты информации, входящие в состав СЗИ, должны быть сертифицированы на соответствие требованиям руководящих документов ФСТЭК России, ФСБ России.

Требования к программному обеспечению могут уточняться на этапе проектирования СЗИ.

1. Требования к техническому обеспечению

Решения по использованию технических средств должны приниматься с учетом обеспечения поддержки его функционирования производителем или поставщиком данных ТС.

В составе СЗИ должны использоваться аппаратные (программно-аппаратные) СЗИ, сертифицированные на соответствие требованиям руководящих документов ФСТЭК России.

В соответствии с Составом и содержанием организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, утвержденным приказом ФСТЭК России от 18.02.2013 г. №21 при использовании в информационных системах, сертифицированных по требованиям безопасности информации средств защиты информации:

Для обеспечения 2 уровня защищенности персональных данных применяются:

• средства вычислительной техники не ниже 5 класса;

• системы обнаружения вторжений и средства антивирусной защиты не ниже 4 класса защиты в случае актуальности угроз 1-го и 2-го типа или взаимодействия информационной системы с информационно-телекоммуникационными сетями международного информационного обмена и системы обнаружения вторжений и средства антивирусной защиты не ниже 5 класса защиты в случае актуальности угроз 3-го типа и отсутствия взаимодействия информационной системы с информационно-телекоммуникационными сетями международного информационного обмена;

• межсетевые экраны не ниже 4 класса в случае актуальности угроз 2-го типа или взаимодействия информационной системы с информационно-­телекоммуникационными сетями международного информационного обмена и межсетевые экраны не ниже 4 класса в случае актуальности угроз 3-го типа и отсутствия взаимодействия информационной системы с информационно­-телекоммуникационными сетями международного информационного обмена;

Требования к техническому обеспечению могут уточняться на этапе проектирования СЗИ.

1. Требования к организационно-распорядительной документации

В соответствии с требованиями нормативно-правовых актов в области защиты информации, система защиты информации, обрабатываемых в МИС ЦОД должна включать в себя перечень разработанных организационно-распорядительных, эксплуатационных и технических документов, регламентирующих вопросы организации обеспечения безопасности информации и эксплуатации системы защиты информации.

Перечень должен включать в себя:

• План мероприятий по обеспечению защиты информации в муниципальных информационных системах;

• Правила обработки информации;

• Инструкцию по организации антивирусной защиты;

• Порядок доступа служащих в помещения, в которых ведется обработка информации;

• Инструкцию по организации парольной защиты МИС ЦОД;

• Инструкцию пользователя МИС ЦОД;

• Положение о защите информации;

• Перечень мест хранения съемных машинных носителей информации;

• Приказ о назначении администратора безопасности МИС ЦОД;

• Перечень лиц, допущенных к обработке информации;

• Политику информационной безопасности информации, циркулирующих в МИС ЦОД;

• Инструкцию лица, ответственного за обеспечение безопасности информации;

• Инструкцию администратора информационной безопасности МИС ЦОД;

• Инструкцию администратора МИС ЦОД;

• Инструкцию по использованию сети Интернет;

• Инструкцию по резервированию и восстановлению работоспособности технических средств, программного обеспечения баз данных и средств защиты информации;

• Инструкцию по порядку учета и хранения машинных и съемных носителей информации;

• Перечень лиц, допущенных к техническому обслуживанию МИС ЦОД;

• Перечень защищаемых ресурсов МИС ЦОД;

• Перечень регистрируемых событий безопасности в МИС ЦОД;

• Перечень информации;

• Матрицу разграничения доступа МИС ЦОД;

• Типовую форму журнала учета и выдачи персональных идентификаторов (ПИ);

• Типовую форму Журнала учета мероприятий по контролю за соблюдением режима защиты конфиденциальной информации (персональных данных);

• Типовую форму Журнала учета съемных носителей информации (СНИ), содержащих персональные данные;

• Типовую форму Журнала поэкземплярного учета СрЗИ, эксплуатационной и технической документации к ним, ключевых документов;

• Типовую форму Журнала периодического тестирования средств защиты информации;

• Типовую форму Журнала проверок электронных журналов.

1. Состав работ по созданию СЗИ

В состав работ по созданию СЗИ включены следующие стадии:

• разработка системы защиты информации ИС;

• внедрение системы защиты информации ИС;

• аттестация информационной системы и ввод ее в действие.

1. Разработка СЗИ

Разработка СЗИ осуществляется в соответствии с техническим заданием на создание СЗИ с учетом ГОСТ 34.601 «Информационная технология. Комплекс стандартов на автоматизированные системы. Автоматизированные системы. Стадии создания» (далее – Гост 34.601), ГОСТ Р 51583 и ГОСТ Р 51624 и в том числе включает:

• проектирование СЗИ;

• разработку эксплуатационной документации на СЗИ;

• макетирование и тестирование СЗИ (при необходимости).

При разработке СЗИ учитывается ее информационное взаимодействие с иными информационными системами и информационно-телекоммуникационными сетями.

При проектировании СЗИ:

• определяются типы субъектов доступа (пользователи, процессы и иные субъекты доступа) и объектов доступа, являющихся объектами защиты (устройства, объекты файловой системы, запускаемые и исполняемые модули, объекты системы управления базами данных, объекты, создаваемые прикладным программным обеспечением, иные объекты доступа);

• определяются методы управления доступом (дискреционный, мандатный, ролевой или иные методы), типы доступа (чтение, запись, выполнение или иные типы доступа) и правила разграничения доступа субъектов доступа к объектам доступа (на основе списков, меток безопасности, ролей и иных правил), подлежащие реализации в информационной системе;

• выбираются меры защиты информации, подлежащие реализации в СЗИ;

• определяются виды и типы средств защиты информации, обеспечивающие реализацию технических мер защиты информации;

• определяется структура СЗИ, включая состав (количество) и места размещения ее элементов;

• осуществляется выбор средств защиты информации, сертифицированных на соответствие требованиям по безопасности информации, с учетом их стоимости, совместимости с информационными технологиями и техническими средствами, функций безопасности этих средств и особенностей их реализации, а также класса защищенности информационной системы;

• определяются параметры настройки программного обеспечения, включая программное обеспечение средств защиты информации, обеспечивающие реализацию мер защиты информации, а также устранение возможных уязвимостей информационной системы, приводящих к возникновению угроз безопасности информации;

• определяются меры защиты информации при информационном взаимодействии с иными информационными системами и информационно-телекоммуникационными сетями, в том числе с информационными системами уполномоченного лица, а также при применении вычислительных ресурсов (мощностей), предоставляемых уполномоченным лицом для обработки информации.

Результаты проектирования СЗИ отражаются в проектной документации (эскизном (техническом) проекте и (или) в рабочей документации) на информационную систему (систему защиты информации информационной системы), разрабатываемых с учетом ГОСТ 34.201 «Информационная технология. Комплекс стандартов на автоматизированные системы. Виды, комплектность и обозначение документов при создании автоматизированных систем» (далее –ГОСТ 34.201).

Проектная документация на информационную систему и (или) ее систему защиты информации подлежат согласованию с оператором информационной системы в случае, если он определен таковым в соответствии с законодательством Российской Федерации к моменту окончания проектирования системы защиты информации информационной системы и не является заказчиком данной информационной системы.

Характеристики

Список файлов ВКР