Пояснительная записка (1210016), страница 5
Текст из файла (страница 5)
2 Разработка методов и способов защиты персональных данных
2.1 Меры по защите персональных данных
Содержание мер по обеспечению безопасности персональных данных (4 уровень защищенности ПДн):
-
ИАФ.1 Идентификация и аутентификация пользователей, являющихся работниками оператора;
-
ИАФ.З Управление идентификаторами, в том числе создание, присвоение, уничтожение идентификаторов;
-
ИАФ.4 Управление средствами аутентификации, в том числе хранение, выдача, инициализация, блокирование средств аутентификации и принятие мер в случае утраты и (или) компрометации средств аутентификации;
-
ИАФ.5 Защита обратной связи при вводе аутентификационной информации;
-
ИАФ.6 Идентификация и аутентификация пользователей, не являющихся работниками оператора (внешних пользователей);
-
УПД.1 Управление (заведение, активация, блокирование и уничтожение) учетными записями пользователей, в том числе внешних пользователей;
-
УПД.2 Реализация необходимых методов (дискреционный, мандатный, ролевой или иной метод), типов (чтение, запись, выполнение или иной тип) и правил разграничения доступа;
-
УПД.З Управление (фильтрация, маршрутизация, контроль соединений, однонаправленная передача и иные способы управления) информационными потоками между устройствами, сегментами информационной системы, а также между информационными системами;
-
УПД.4 Разделение полномочий (ролей) пользователей, администраторов и лиц, обеспечивающих функционирование информационной системы;
-
УПД.5 Назначение минимально необходимых прав и привилегий пользователям, администраторам и лицам, обеспечивающим функционирование информационной системы;
-
УПД.6 Ограничение неуспешных попыток входа в информационную систему (доступа к информационной системе);
-
УПД.14 Регламентация и контроль использования в информационной системе технологий беспроводного доступа;
-
УПД.15 Регламентация и контроль использования в информационной системе мобильных технических средств;
-
УПД.16 Управление взаимодействием с информационными системами сторонних организаций (внешние информационные системы);
-
РСБ.1 Определение событий безопасности, подлежащих регистрации, и сроков их хранения;
-
РСБ.2 Определение состава и содержания информации о событиях безопасности, подлежащих регистрации;
-
РСБ.З Сбор, запись и хранение информации о событиях безопасности в течение установленного времени хранения;
-
РСБ. 7 Защита информации о событиях безопасности;
-
АВ3.1 Реализация антивирусной защиты;
-
АВ3.2 Обновление базы данных признаков вредоносных компьютерных программ (вирусов);
-
ЗСВ.1 Идентификация и аутентификация субъектов доступа и объектов доступа в виртуальной инфраструктуре, в том числе администраторов управления средствами виртуализации;
-
ЗСВ.2 Управление доступом субъектов доступа к объектам доступа в виртуальной инфраструктуре, в том числе внутри виртуальных машин;
-
ЗТС.3 Контроль и управление физическим доступом к техническим средствам, средствам защиты информации, средствам обеспечения функционирования, а также в помещения и сооружения, в которых они установлены, исключающие несанкционированный физический доступ к средствам обработки информации, средствам защиты информации и средствам обеспечения функционирования информационной системы, в помещения и сооружения, в которых они установлены.
Для того чтобы адаптировать базовый набор мер конкретно к нашей информационной системе, исключим меры, непосредственно связанные с информационными технологиями, не используемыми в информационной системе, или структурно-функциональными характеристиками, не свойственными системе.
Исключенные меры:
-
ИАФ.6 Идентификация и аутентификация пользователей, не являющихся работниками оператора (внешних пользователей). Причина исключения: В ИСПДн отсутствуют внешние пользователи;
-
УПД.14 Регламентация и контроль использования в информационной системе технологий беспроводного доступа. Причина исключения: В ИСПДн отсутствуют технологии беспроводного доступа;
-
ЗИС.20 Защита беспроводных соединений, применяемых в информационной системе. Причина исключения: В ИСПДн отсутствуют технологии беспроводного доступа.
Также добавим определенные меры, не выбранные ранее, нейтрализующие все актуальные угрозы безопасности персональных данных в соответствии с Моделью нарушителя и угроз безопасности персональных данных при их обработке в информационной системе персональных данных.
Добавленные меры:
-
УПД.17 Обеспечение доверенной загрузки средств вычислительной техники;
-
ОПС.3 Установка (инсталляция) только разрешенного к использованию программного обеспечения и (или) его компонентов;
-
ЗНИ.1 Учет машинных носителей;
-
ЗНИ.2 Управление доступом к машинным носителям информации;
-
ЗНИ.6 Контроль ввода (вывода) информации на машинные носители информации;
-
ЗНИ.7 Контроль подключения машинных носителей персональных данных;
-
РСБ.4 Реагирование на сбои при регистрации событий безопасности, в том числе аппаратные и программные ошибки, сбои в механизмах сбора информации и достижение предела или переполнения объема (емкости) памяти;
-
РСБ.5 Мониторинг (просмотр, анализ) результатов регистрации событий безопасности и реагирование на них;
-
АНЗ.5 Контроль правил генерации и смены паролей пользователей, заведения и удаления учетных записей пользователей, реализации правил разграничения доступа, полномочий пользователей в информационной системе;
-
ОЦЛ.3 Обеспечение возможности восстановления программного обеспечения, включая программное обеспечение средств защиты информации, при возникновении нештатных ситуаций;
-
ЗТС.2 Организация контролируемой зоны, в пределах которой постоянно размещаются стационарные технические средства, обрабатывающие информацию, и средства защиты информации, а также средства обеспечения функционирования;
-
ЗИС.23 Защита периметра (физических и (или) логических границ) информационной системы при её взаимодействии с иными информационными система и информационно-телекоммуникационными сетями.
В итоге мы получаем конечный набор мер защиты персональных данных в соответствии с актуальными угрозами. Реализация мер защиты информации в ИСПДн обязательно должна осуществляться сертифицированными средствами защиты информации. Реализация требований ФСТЭК и ФСБ России по обеспечению безопасности информации для сегментов строительной организации (4 уровень защищенности ПДн) приведена в таблице 2.1.1.
Таблица 2.1.1 – Обеспечение безопасности информации для сегментов строительной организации
| Условное обозначение и номер меры | Содержание мер по обеспечению безопасности персональных данных | Уровень защищенности | |
| Применяемые технические средства для реализации мер | Сегменты строительной организации | ||
| I. Идентификация и аутентификация субъектов доступа и объектов доступа (ИАФ) | |||
| ИАФ.1 | Идентификация и аутентификация пользователей, являющихся работниками оператора | КСЗИ « Dallas Lock 8.0-K » | + |
| ИАФ.3 | Управление идентификаторами, в том числе создание, присвоение, уничтожение идентификаторов | КСЗИ « Dallas Lock 8.0-K » | + |
| ИАФ.4 | Управление средствами аутентификации, в том числе хранение, выдача, инициализация, блокирование средств аутентификации и принятие мер в случае утраты и (или) компрометации средств аутентификации | КСЗИ « Dallas Lock 8.0-K » | + |
Продолжение таблицы 2.1.1
| Условное обозначение и номер меры | Содержание мер по обеспечению безопасности персональных данных | Уровень защищенности | |
| Применяемые технические средства для реализации мер | Сегменты строительной организации | ||
| ИАФ.5 | Защита обратной связи при вводе аутентификационной информации | КСЗИ « Dallas Lock 8.0-K » | + |
| II. Управление доступом субъектов доступа к объектам доступа (УПД | |||
| УПД.1 | Управление (заведение, активация, блокирование и уничтожение) учетными записями пользователей, в том числе внешних пользователей | КСЗИ « Dallas Lock 8.0-K » | + |
| УПД.2 | Реализация необходимых методов (дискреционный, мандатный, ролевой или иной метод), типов (чтение, запись, выполнение или иной тип) и правил разграничения доступа | КСЗИ « Dallas Lock 8.0-K » | + |
| УПД.3 | Управление (фильтрация, маршрутизация, контроль соединений, однонаправленная передача и иные способы управления) информационными потоками между устройствами, сегментами информационной системы, а также между информационными системами |
КСЗИ « Dallas Lock 8.0-K » | + |
| УПД.4 | Разделение полномочий (ролей) пользователей, администраторов и лиц, обеспечивающих функционирование информационной системы | КСЗИ « Dallas Lock 8.0-K » | + |
| УПД.5 | Назначение минимально необходимых прав и привилегий пользователям, администраторам и лицам, обеспечивающим функционирование информационной системы | КСЗИ « Dallas Lock 8.0-K » | + |
Продолжение таблицы 2.1.1
| Условное обозначение и номер меры | Содержание мер по обеспечению безопасности персональных данных | Уровень защищенности | |
| Применяемые технические средства для реализации мер | Сегменты строительной организации | ||
| УПД.6 | Ограничение неуспешных попыток входа в информационную систему (доступа к информационной системе) | КСЗИ « Dallas Lock 8.0-K » | + |
| УПД.10 | Блокирование сеанса доступа в информационную систему после установленного времени бездействия (неактивности) пользователя или по его запросу | КСЗИ « Dallas Lock 8.0-K » | + |
| УПД.11 | Разрешение (запрет) действий пользователей, разрешенных до идентификации и аутентификации | КСЗИ « Dallas Lock 8.0-K » | + |
| УПД.16 | Управление взаимодействием с информационными системами сторонних организаций (внешние информационные системы) | КСЗИ « Dallas Lock 8.0-K » | + |
| УПД.17 | Обеспечение доверенной загрузки средств вычислительной техники | КСЗИ « Dallas Lock 8.0-K » | + |
| III. Ограничение программной среды (ОПС) | |||
| ОПС.3 | Установка (инсталляция) только разрешенного к использованию программного обеспечения и (или) его компонентов | Организационные меры
| + |
| IV. Защита машинных носителей информации (ЗНИ) | |||
| ЗНИ.1 | Учет машинных носителей персональных данных | Организационные меры | + |
| ЗНИ.2 | Управление доступом к машинным носителям информации | КСЗИ « Dallas Lock 8.0-K » | + |
![](https://s.studizba.com/z.php?f=/templates/si/i/noavatar.png&w=100&h=100&t=1"){kind=avatar}
