Пояснительная записка (1210027), страница 13
Текст из файла (страница 13)
Приложение В
Аналитическое обоснование необходимости создания системы защиты персональных данных, обрабатываемых в информационной системе КГБУЗ «Перинатальный центр»
(выписка)
Затраты на технические и программные средства защиты
Ориентировочная стоимость предлагаемых к использованию сертифицированных средств защиты информации представлена в таблице В.1.
Таблица В.1 – Ориентировочная стоимость предлагаемых технических средств
| Продукт | Примерная стоимость, рублей |
| Средство защиты от несанкционированного доступа на 28 рабочих мест и 2 сервера | 600 000,00 |
| Средство анализа защищенности | 50 000,00 |
| Средство межсетевого экранирования и криптографической защиты | 420 000,00 |
| ИТОГО: | 1 070 000,00 |
Затраты на установку и настройку средств защиты информации специалистами
К установке и настройке средств защиты информации могут привлекаться специалисты по защиты информации оператора, разработчики информационной системы и специалисты сторонних организаций, специализирующихся на защиты информации. Расчет стоимости работ по установке СЗИ приведен в таблице В.2.
Таблица В.2 – Затраты работа на установку и настройки СЗИ
| Продукт | Примерная стоимость, рублей |
| Установка и настройка средств защиты от несанкционированного доступа на 28 рабочих машин и 2 сервера | 50000,00 |
| Установка и настройка средства анализа защищенности | 5000,00 |
| Установка и настройка средства межсетевого экранирования и криптографической защиты | 90000,00 |
| ИТОГО: | 145 000,00 |
Проведение испытаний системы защиты информационной системы сопровождается выдачей документа, подтверждающего соответствие принятых мер защиты в соответствии с классом ИС.
Проведение работ по оценке соответствия требованиям руководящих документов по защите ПДн в информационной системе может проводить организация, имеющая лицензию на право проведения работ по защиты конфиденциальной информации. Стоимость работ приведена в таблице В.3
Таблица В.3 – Перечень работ по аттестации информационной системы
| Продукт | Кол-во | Цена розничная, 1 шт., руб. | Общая стоимость, руб. |
| Предварительное обследование ИСПДн (изучение технологического процесса обработки и хранения защищаемой информации, анализ информационных потоков, определение состава использованных для обработки персональных данных средств). | 1 | 20000,00 | 20000,00 |
| Анализ исходных данных, необходимых для изучения и анализа циркулирующей информации. | 1 | 10000,00 | 10000,00 |
| Окончание таблицы В.3 | |||
| Продукт | Кол-во | Цена розничная, 1 шт., руб. | Общая стоимость, руб. |
| Анализ организационной структуры ИСПДн и условий ее эксплуатации, фиксация состава технических средств, входящих в аттестуемый объект, системы ЗИ на объекте, разработанной документации и её соответствия требованиям нормативной документации по ЗИ. | 1 | 10000,00 | 10000,00 |
| Разработка программы и методик аттестационных испытаний | 1 | 15000,00 | 15000,00 |
| Проверка состояния организации работ и выполнения организационно-технических требований по защите информации, оценка правильности классификации ИСПДн, оценка уровня разработки организационно-распорядительной, проектной и эксплуатационной документации, оценка уровня подготовки кадров и распределения ответственности за выполнение требований по обеспечению безопасности информации в ИСПДн. | 1 | 20000,00 | 20000,00 |
| Комплексные испытания на соответствие требованиям по защите от несанкционированного доступа (НСД) к информации, обрабатываемой в ИСПДн (за 1 АРМ) | 30 | 3000,00 | 90000,00 |
| Контрольные испытания ИСПДн на соответствие требованиям по защите информации от несанкционированного доступа в соответствии с определенным классом защищенности от НСД для межсетевого обмена | 30 | 1500,00 | 45000,00 |
| Подготовка отчетной документации (протоколы испытания и заключения по результатам аттестационных испытаний, аттестат соответствия) | 1 | 15000,00 | 15000,00 |
| ИТОГО, руб. | 225 000,00 | ||
Приложение Г.
Информационная система
наименование вида
Информационная система
КГБУЗ «Перинатальный центр»
наименование объекта информатизации
ИС Лечебного учреждения
сокращенное наименование ИС
ТЕХНИЧЕСКОЕ ЗАДАНИЕ
на создание системы защиты персональных данных в информационной системе КГБУЗ «Перинатальный центр»
(выписка)
Хабаровск, 2017 г.
В таблице Г.4 представлен конечный набор организационных и технических мер, которые необходимо реализовать для каждого сегмента.
Таблица Г.4 – Перечень мер по обеспечению безопасности информации
| Условное обозначение меры | Содержание мер по обеспечению безопасности персональных данных | |
| Идентификация и аутентификация субъектов доступа и объектов доступа (ИАФ) | ||
| ИАФ.1 | Идентификация и аутентификация пользователей, являющихся работниками оператора | |
| ИАФ.З | Управление идентификаторами, в том числе создание, присвоение, уничтожение идентификаторов | |
| ИАФ.4 | Управление средствами аутентификации, в том числе хранение, выдача, инициализация, блокирование средств аутентификации и принятие мер в случае утраты и (или) компрометации средств аутентификации | |
| ИАФ.5 | Защита обратной связи при вводе аутентификационной информации | |
| Управление доступом субъектов доступа к объектам доступа (УПД) | ||
| УПД.1 | Управление (заведение, активация, блокирование и уничтожение) учетными записями пользователей, в том числе внешних пользователей | |
| УПД.2 | Реализация необходимых методов (дискреционный, мандатный, ролевой или иной метод), типов (чтение, запись, выполнение или иной тип) и правил разграничения доступа | |
| УПД.З | Управление (фильтрация, маршрутизация, контроль соединений, однонаправленная передача и иные способы управления) информационными потоками между устройствами, сегментами информационной системы, а также между информационными системами | |
| УПД.4 | Разделение полномочий (ролей) пользователей, администраторов и лиц, обеспечивающих функционирование информационной системы | |
| УПД.5 | Назначение минимально необходимых прав и привилегий пользователям, администраторам и лицам, обеспечивающим функционирование информационной системы | |
| УПД.6 | Ограничение неуспешных попыток входа в информационную систему (доступа к информационной системе) | |
| УПД.10 | Блокирование сеанса доступа в информационную систему после установленного времени бездействия (неактивности) пользователя или по его запросу | |
| Продолжение таблицы Г.4 | ||
| УПД.11 | Разрешение (запрет) действий пользователей, разрешенных до аутентификации | |
| УПД.13 | Реализация защищенного удаленного доступа субъектов доступа к объектам доступа через внешние информационно-телекоммуникационные сети | |
| УПД.16 | Управление взаимодействием с информационными системами сторонних организаций (внешние информационные системы) | |
| УПД.17 | Обеспечение доверенной загрузки средств вычислительной техники | |
| Ограничение программной среды (ОПС) | ||
| ОПС.3 | Установка (инсталляция) только разрешенного к использованию программного обеспечения и (или) его компонентов | |
| ОПС.4 | Управление временными файлами, в том числе запрет, разрешение, перенаправление записи, удаление временных файлов | |
| Защита машинных носителей персональных данных (ЗНИ) | ||
| ЗНИ.1 | Учет машинных носителей | |
| ЗНИ.2 | Управление доступом к машинным носителям информации | |
| ЗНИ.6 | Контроль ввода (вывода) информации на машинные носители информации | |
| ЗНИ.7 | Контроль подключения машинных носителей персональных данных | |
| ЗНИ.8 | Уничтожение (стирание) или обезличивание персональных данных на машинных носителях при их передаче между пользователями, в сторонние организации для ремонта или утилизации, а также контроль уничтожения (стирания) или обезличивания | |
| Регистрация событий безопасности (РСБ) | ||
| РСБ.1 | Определение событий безопасности, подлежащих регистрации, и сроков их хранения | |
| РСБ.2 | Определение состава и содержания информации о событиях безопасности, подлежащих регистрации | |
| РСБ.З | Сбор, запись и хранение информации о событиях безопасности в течение установленного времени хранения | |
| РСБ.4 | Реагирование на сбои при регистрации событий безопасности, в том числе аппаратные и программные ошибки, сбои в механизмах сбора информации и достижение предела или переполнения объема (емкости) памяти | |
| Продолжение таблицы Г.4 | ||
| РСБ.5 | Мониторинг (просмотр, анализ) результатов регистрации событий безопасности и реагирование на них | |
| РСБ. 7 | Защита информации о событиях безопасности | |
| Антивирусная защита (АВЗ) | ||
| АВ3.1 | Реализация антивирусной защиты | |
| АВ3.2 | Обновление базы данных признаков вредоносных компьютерных программ (вирусов) | |
| Обнаружение вторжений (СОВ) | ||
| COB.l | Обнаружение вторжений | |
| COB.2 | Обновление базы решающих правил | |
| Контроль (анализ) защищенности персональных данных (АНЗ) | ||
| АНЗ.1 | Выявление, анализ уязвимостей информационной системы и оперативное устранение вновь выявленных уязвимостей | |
| АНЗ.2 | Контроль установки обновлений программного обеспечения, включая обновление программного обеспечения средств защиты информации | |
| АНЗ.3 | Контроль работоспособности, параметров настройки и правильности функционирования программного обеспечения и средств защиты информации | |
| АНЗ.4 | Контроль состава технических средств, программного обеспечения и средств защиты информации | |
| АНЗ.5 | Контроль правил генерации и смены паролей пользователей, заведения и удаления учетных записей пользователей, реализации правил разграничения доступа, полномочий пользователей в информационной системе | |
| Обеспечение целостности информационной системы и информации (ОЦЛ) | ||
| ОЦЛ.3 | Обеспечение возможности восстановления программного обеспечения, включая программное обеспечение средств защиты информации, при возникновении нештатных ситуаций | |
| Обеспечение доступности персональных данных (ОДТ) | ||
| ОДТ.4 | Периодическое резервное копирование персональных данных на резервные машинные носители персональных данных | |
| ОДТ. 5 | Обеспечение возможности восстановления персональных данных с резервных машинных носителей персональных данных (резервных копий) в течение установленного временного интервала | |
| Продолжение таблицы Г.4 | ||
| Защита технических средств (ЗТС) | ||
| ЗТС.2 | Организация контролируемой зоны, в пределах которой постоянно размещаются стационарные технические средства, обрабатывающие информацию, и средства защиты информации, а также средства обеспечения функционирования | |
| ЗТС.3 | Контроль и управление физическим доступом к техническим средствам, средствам защиты информации, средствам обеспечения функционирования, а также в помещения и сооружения, в которых они установлены, исключающие несанкционированный физический доступ к средствам обработки информации, средствам защиты информации и средствам обеспечения функционирования информационной системы, в помещения и сооружения, в которых они установлены | |
| ЗТС.4 | Размещение устройств вывода (отображения) информации, исключающее ее несанкционированный просмотр | |
| ЗТС.5 | Защита от внешних воздействий (воздействий окружающей среды, нестабильности электроснабжения, кондиционирования и иных внешних факторов) | |
| XIII. Защита информационной системы, ее средств, систем связи и передачи данных (ЗИС) | ||
| ЗИС.1 | Разделение в информационной системе функций по управлению (администрированию) информационной системой, управлению (администрированию) системой защиты персональных данных, функций по обработке персональных данных и иных функций информационной системы | |
| ЗИС.3 | Обеспечение защиты персональных данных от раскрытия, модификации и навязывания (ввода ложной информации) при ее передаче (подготовке к передаче) по каналам связи, имеющим выход за пределы контролируемой зоны, в том числе беспроводным каналам связи | |
| ЗИС.21 | Исключение доступа пользователя к информации, возникшей в результате действий предыдущего пользователя через реестры, оперативную память, внешние запоминающие устройства и иные общие для пользователей ресурсы информационной системы | |
| Продолжение таблицы Г.4 | ||
| ЗИС.23 | Защита периметра (физических и (или) логических границ) информационной системы при её взаимодействии с иными информационными система и информационно-телекоммуникационными сетями | |
| XV. Управление конфигурацией информационной системы и системы защиты персональных данных (УКФ) | ||
| УКФ.1 | Определение лиц, которым разрешены действия по внесению изменений в конфигурацию информационной системы и системы защиты персональных данных | |
| УКФ.2 | Управление изменениями конфигурации информационной системы и системы защиты персональных данных | |
| УКФ.3 | Анализ потенциального воздействия планируемых изменений в конфигурации информационной системы и системы защиты персональных данных на обеспечение защиты персональных данных и согласование изменений в конфигурации информационный системы с должностным лицом (работником), ответственным за обеспечение безопасности персональных данных | |
| УКФ.4 | Документирование информации (данных) об изменениях в конфигурации информации и системы защиты персональных данных | |
Приложение Д
Информационная система
![](https://s.studizba.com/z.php?f=/templates/si/i/noavatar.png&w=100&h=100&t=1"){kind=avatar}
