Пояснительная записка (1210027), страница 7
Текст из файла (страница 7)
Таблица 2.2 – Перечень добавленных мер при уточнении адаптированного базового набора мер
| Номер меры | Мера |
| УПД.17 | Обеспечение доверенной загрузки средств вычислительной техники |
| ОПС.3 | Установка (инсталляция) только разрешенного к использованию программного обеспечения и (или) его компонентов |
| ОПС.4 | Управление временными файлами, в том числе запрет, разрешение, перенаправление записи, удаление временных файлов |
| ЗНИ.6 | Контроль ввода (вывода) информации на машинные носители информации |
| ЗНИ.7 | Контроль подключения машинных носителей персональных данных |
| Окончание таблицы 2.2 | |
| Номер меры | Мера |
| РСБ.4 | Реагирование на сбои при регистрации событий безопасности, в том числе аппаратные и программные ошибки, сбои в механизмах сбора информации и достижение предела или переполнения объема (емкости) памяти |
| РСБ.5 | Мониторинг (просмотр, анализ) результатов регистрации событий безопасности и реагирование на них |
| COB.l | Обнаружение вторжений |
| COB.2 | Обновление базы решающих правил |
| АНЗ.5 | Контроль правил генерации и смены паролей пользователей, заведения и удаления учетных записей пользователей, реализации правил разграничения доступа, полномочий пользователей в информационной системе |
| ОЦЛ.3 | Обеспечение возможности восстановления программного обеспечения, включая программное обеспечение средств защиты информации, при возникновении нештатных ситуаций |
| ОДТ.4 | Периодическое резервное копирование персональных данных на резервные машинные носители персональных данных |
| ОДТ. 5 | Обеспечение возможности восстановления персональных данных с резервных машинных носителей персональных данных (резервных копий) в течение установленного временного интервала |
| ЗТС.2 | Организация контролируемой зоны, в пределах которой постоянно размещаются стационарные технические средства, обрабатывающие информацию, и средства защиты информации, а также средства обеспечения функционирования |
| ЗИС.1 | Разделение в информационной системе функций по управлению (администрированию) информационной системой, управлению (администрированию) системой защиты персональных данных, функций по обработке персональных данных и иных функций информационной системы |
| ЗИС.21 | Исключение доступа пользователя к информации, возникшей в результате действий предыдущего пользователя через реестры, оперативную память, внешние запоминающие устройства и иные общие для пользователей ресурсы информационной системы |
| ЗИС.23 | Защита периметра (физических и (или) логических границ) информационной системы при её взаимодействии с иными информационными система и информационно-телекоммуникационными сетями |
Последним шагом к созданию конечного набора мер было дополнение уточненного адаптированного базового набора мер. Дополнение производилось в соответствии с требованиями руководящих документов ФСБ [13,14], в которых сказано, что в ИСПДн должна обеспечиваться криптографическая защита персональных данных при передаче по каналам связи в сторонние организации и между сегментами ИСПДн, при передаче информации через сети связи международного информационного обмена. Конечный набор мер представлен в таблице Г.1 приложения Г.
2.2. Требования к защите персональных данных
Для обеспечения безопасности ПДн постановлением Правительства Российской Федерации №1119 от 01.11.2012 были утверждены «Требования к защите персональных данных при их обработке в информационных системах персональных данных» [8]. В соответствии с этими требованиями для обеспечения третьего уровня защищенности персональных данных необходимо:
-
назначить ответственного за обеспечение безопасности персональных данных в информационной системе;
-
организовать режим обеспечения безопасности помещений, в которых размещена информационная система, препятствующий возможности неконтролируемого проникновения или пребывания в этих помещениях лиц, не имеющих права доступа в эти помещения;
-
обеспечить сохранность носителей персональных данных;
-
руководителю оператора утвердить документ, определяющий перечень лиц, доступ которых к персональным данным, обрабатываемым в информационной системе, необходим для выполнения ими служебных (трудовых) обязанностей;
-
использовать средства защиты информации, прошедшие процедуру оценки соответствия требованиям законодательства Российской Федерации в области обеспечения безопасности информации, в случае, когда применение таких средств необходимо для нейтрализации актуальных угроз.
В соответствии с Составом и содержанием организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, утвержденным приказом ФСТЭК России от 18.02.2013 г. №21 [4] для обеспечения третьего уровня защищенности ПДн необходимо применить:
-
средства вычислительной техники не ниже пятого класса;
-
система обнаружения вторжений и средства антивирусной защиты не ниже четвертого класса защиты в случае взаимодействия информационной системы с информационно-телекоммуникационными сетями международного информационного обмена;
-
межсетевые экраны не ниже третьего класса в случае взаимодействия информационной системы с информационно-телекоммуникационными сетями международного информационного обмена.
В соответствии с Составом и содержанием организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности, утвержденным приказом ФСБ России от 10.07.2014 г. № 378 [3] при использовании средств криптографической защиты (СКЗИ), сертифицированных по требованиям безопасности для обеспечения третьего уровня защищенности персональных данных применяются СКЗИ класса КС1 и выше.
В соответствии с выбранными мерами, система защиты должна включать в себя средство доверенной загрузки и средство контроля съемных машинных носителей информации.
В соответствии с Требованиями к средствам доверенной загрузки, утвержденные приказом ФСТЭК России от 27.09.2013 №119 [5] и Требованиями к средствам контроля съемных машинных носителей информации, утвержденные приказом ФСТЭК России от 28.07.2014 № 87 [36], при необходимости обеспечения третьего уровня защищенности персональных данных, применяются средства доверенной загрузки и средства контроля съемных машинных носителей соответствующие четвертому классу защиты в случае взаимодействия информационной системы с информационно-телекоммуникационными сетями международного обмена.
2.3 Технические средства защиты информации
В соответствии с указанными в разделе 2.2 требованиями были предложены сертифицированные средства защиты информации, указанные в таблице 2.3.
Таблица 2.3 – Перечень предлагаемых к использованию сертифицированных средств защиты информации
| Тип СЗИ | Наименование | Производитель | Сертификат ФСТЭК или ФСБ России |
| Средство защиты от несанкционированного доступа | Dallas Lock 8.0-K | ООО «Конфидент» | Сертификат ФСТЭК № 2720 действителен до 25.09.2018 |
| Средство контроля съемных машинных носителей информации | Dallas Lock 8.0-K | ООО «Конфидент» | Сертификат ФСТЭК № 2720 действителен до 25.09.2018 |
| Окончание таблицы 2.3 | |||
| Тип СЗИ | Наименование | Производитель | Сертификат ФСТЭК или ФСБ России |
| Средство доверенной загрузки | ПАК «Соболь» 3.0 | ООО «Код Безопасности» | Сертификат ФСТЭК № 1967 действителен до 07.12.2018 |
| Средство анализа защищенности | XSpider 7.8.24 | ООО «Позитив Технолоджис» | Сертификат ФСТЭК № 3247 действителен до 24.10.2017 |
| Средство резервного копирования и восстановления | Acronis Backup & Recovery 11 Advanced Server | ЗАО «АЛТЭКС-СОФТ» | Сертификат ФСТЭК № 2677 действителен до 16.07.2018 |
| Средство операционной системы | Microsoft Windows 7 (SP1) | Microsoft Corporation | Сертификат ФСТЭК № 2180/1 действителен до 04.10.2017 |
| Средство антивирусной защиты | Антивирус Касперского 6.0 для Windows Workstations | ЗАО «Лаборатория Касперского» | Сертификат ФСТЭК № 1384 действителен до 01.01.2018 |
| Тип СЗИ | Наименование | Производитель | Сертификат ФСТЭК или ФСБ России |
| VPN-сеть, средство межсетевого экранирования и криптографической защиты информации | АПКШ «Континент» версия 3.7 | ООО «Код Безопасности» | Сертификат ФСТЭК № 3008 действителен до 01.11.2019 |
-
Dallas Lock 8.0-K
Dallas Lock 8.0-K является сертифицированным средством защиты информации от несанкционированного доступа. Средство соответствует требованиям руководящих документов по пятому классу защищенности средств вычислительной техники, по четвертому уровню контроля отсутствия недекларированных возможностей, по четвертому классу защиты средств контроля съемных машинных носителей.
![](https://s.studizba.com/z.php?f=/templates/si/i/noavatar.png&w=100&h=100&t=1"){kind=avatar}
