Пояснительная записка (1210027), страница 8
Текст из файла (страница 8)
В информационной системе Лечебного учреждения данное средство защиты используется для:
-
идентификации и аутентификация пользователей;
-
разграничение доступа пользователей к информации и защищаемым ресурсам информационной системы;
-
контроля подключения и отчуждения учтенных съемных носителей информации, а также контроля подключения других устройств (мобильные телефоны, модемы, неучтенные съемные носители);
-
централизованного управления системой защиты, оперативного мониторинга и аудита безопасности (с помощью серверов безопасности Dallas Lock 8.0-K).
-
ПАК «Соболь» 3.0
Программно-аппаратный комплекс «Соболь» 3.0 является сертифицированным средством доверенной загрузки операционной системы. Средство соответствует требованиям руководящих документов по уровню платы расширения второго класса средств доверенной загрузки.
В информационной системе Лечебного учреждения данное средство защиты используется для:
-
идентификация и аутентификация пользователей до загрузки ОС с помощью аппаратных идентификаторов iButton DS1992;
-
запрета загрузки ОС с внешних носителей, что гарантирует загрузку штатной доверенной операционной системы;
-
контроля целостности аппаратной конфигурации компьютера, файлов ОС, реестра Windows и прикладных программ. В случае нарушения целостности загрузка ОС невозможна;
-
ведения журнала безопасности, в который записываются все события безопасности, происходящие при загрузке и работе компьютера. Записи журнала хранятся в специальной энергонезависимой памяти;
-
блокировки доступа к компьютеру при обнаружении попытки отключения электронного замка «Соболь» с помощью модуля сторожевого таймера.
-
XSpider 7.8.24
XSpider является сертифицированным средством анализа защищенности. Средство соответствует требованиям руководящих документов по четвертому уровню контроля отсутствия недекларированных возможностей.
В информационной системе Лечебного учреждения данное средство защиты информации используется для:
-
полной идентификации сервисов на случайных портах;
-
определения типов и имен серверов (HTTP, FTP, SMTP, POP3, DNS, SSH) вне зависимости от их ответа на стандартные запросы;
-
обработки RPC-сервисов (Windows и *nix) с их полной идентификацией;
-
проверки слабости парольной защиты;
-
проведения проверок на нестандартные DoS-атаки.
-
Acronis Backup & Recovery 11 Advanced Server
Сертифицированное средство резервного копирования и восстановления.
Средство соответствует четвертому уровню контроля отсутствия НДВ в соответствии с руководящим документом (гостехкомиссия России 1999 г.)
В информационной системе Лечебного учреждения данное средство защиты информации используется для:
-
резервного копирования информации;
-
восстановления информации.
-
Средство операционной системы Windows 7 SP1
Сертифицированная операционная система соответствует требованиям руководящих документов по пятому классу защищенности СВТ.
-
Антивирус Касперского 6.0 для Windows Workstations
Антивирус Касперского 6.0 для Windows Workstations является сертифицированным средством антивирусной защиты. Средство соответствует требованиям руководящих документов по второму уровню контроля отсутствия НДВ.
В информационной системе Лечебного учреждения данное средство используется для:
-
защиты от вредоносного программного обеспечения;
-
регистрации событий безопасности, связанных с антивирусной защитой.
-
АПКШ «Континент»3.7
Комплекс обеспечивает криптографическую защиту информации, передаваемой по открытым каналам связи, между составными частями VPN, которыми могут являться локальные вычислительные сети, их сегменты и отдельные компьютеры. Средство сертифицировано как СОВ и межсетевой экран третьего класса.
В информационно системе Лечебного учреждения данное средство защиты информации используется для:
-
организации защищенной VPN-сети для передачи информации между элементами сегментов через сети международного информационного обмена (между элементами, находящимися в общежитии и учебном корпусе);
-
защиты логической границы локальной сети с помощью межсетевого экранирования от внешних угроз безопасности информации;
-
фильтрации входящего и исходящего трафика;
-
шифрования трафика, передаваемого по открытым каналам связи.
2.4 Организационные меры защиты информации
В организационно-распорядительной документации регламентируются:
-
правила и процедуры идентификации и аутентификации пользователей;
-
правила и процедуры управления идентификаторами;
-
правила и процедуры управления средствами аутентификации (аутентификационной информацией);
-
правила и процедуры управления учетными записями пользователей;
-
правила разграничения доступа;
-
правила и процедуры управления информационными потоками;
-
правила и процедуры блокирования сеансов доступа;
-
правила и процедуры определения действий пользователей, разрешенных до прохождения ими процедур идентификации и аутентификации;
-
правила и процедуры применения удаленного доступа;
-
правила и процедуры обеспечения доверенной загрузки средств вычислительной техники;
-
порядок очистки (стирания) временных файлов;
-
правила и процедуры доступа к машинным носителям информации;
-
правила и процедуры контроля ввода (вывода) информации на машинные носители информации;
-
правила и процедуры контроля подключения машинных носителей информации;
-
состав и содержание информации о событиях безопасности, подлежащих регистрации;
-
правила и процедуры сбора, записи и хранения информации о событиях безопасности;
-
правила и процедуры реагирования на сбои при регистрации событий безопасности;
-
правила и процедуры защиты информации о событиях безопасности
-
правила и процедуры управления взаимодействием с внешними информационными системами;
-
правила и процедуры антивирусной защиты информационной системы;
-
правила и процедуры обнаружения (предотвращения) вторжений (компьютерных атак);
-
правила и процедуры выявления, анализа и устранения уязвимостей;
-
правила и процедуры контроля установки обновлений программного обеспечения;
-
правила и процедуры восстановления (в том числе планы по действиям персонала порядок применения компенсирующих мер);
-
правила и процедуры резервного копирования информации;
-
правила и процедуры восстановления информации с резервных машинных носителей информации;
-
правила и процедуры контроля и управления физическим доступом;
-
правила и процедуры защиты периметра информационной системы;
-
перечень лиц, которым разрешены действия по внесению изменений в конфигурацию информационной системы и системы защиты персональных данных;
-
правила и процедуры проведения анализа потенциального воздействия планируемых изменений в конфигурацию информационной системы персональных данных и системы защиты информации;
-
документирование информации об изменениях в конфигурации информационной системы персональных данных и системы защиты информации.
Необходима реализация следующих организационных мер:
а) контроль доступа в помещения, в которых размещены элементы информационной системы Лечебного учреждения:
-
утвердить правил доступа в помещения в рабочее и нерабочее время;
-
утвердить перечень сотрудников, имеющих право вскрывать помещения в нештатных ситуациях, а также порядок вскрытия помещений в таких ситуациях;
б) обеспечение защиты машинных носителей информации:
-
осуществлять учет машинных носителей информации, используемых в информационной системе для хранения и обработки информации;
-
осуществлять присвоение регистрационных (учетных) номеров машинным носителям;
-
осуществлять ведение журнала учета машинных носителей информации;
-
осуществлять контроль вноса и выноса в контролируемую зону зарегистрированных (учтенных) съемных носителей информации,
в) утверждение главным врачом Лечебного учреждения перечня лиц, доступ которых к персональным данным, обрабатываемым в информационной системе, необходим для выполнения ими служебных (трудовых) обязанностей:
-
определить круг лиц, доступ которых к персональным данным, обрабатываемым в информационной системе, необходим для выполнения ими служебных (трудовых) обязанностей;
-
разработать и утвердить документ, определяющий перечень лиц, доступ которых к персональным данным, обрабатываемым в информационной системе, необходим для выполнения ими служебных (трудовых) обязанностей;
-
поддерживать в актуальном состоянии документ, определяющий перечень лиц, доступ которых к персональным данным, обрабатываемым в информационной системе, необходим для выполнения ими служебных (трудовых) обязанностей,
г) назначение лица, ответственного за обеспечение безопасности персональных данных, обрабатываемых в информационной системе Лечебного учреждения.
-
Выполнение набора мер техническими средствами защиты информации
В таблице 2.4 приведен набор мер, которые реализуются выбранными техническими средствами защиты информации.
Таблица 2.4 – Содержание мер по обеспечению безопасности информации и технических средств, их реализующих
| № меры | Содержание мер по обеспечению безопасности персональных данных | Средства защиты информации\ организационные меры по защите информации | |
| Идентификация и аутентификация субъектов доступа и объектов доступа (ИАФ) | |||
| ИАФ.1 | Идентификация и аутентификация пользователей, являющихся работниками оператора | Dallas Lock 8.0-K, ПАК «Соболь» 3.0 | |
| ИАФ.З | Управление идентификаторами, в том числе создание, присвоение, уничтожение идентификаторов | Dallas Lock 8.0-K, ПАК «Соболь» 3.0 | |
| ИАФ.4 | Управление средствами аутентификации, в том числе хранение, выдача, инициализация, блокирование средств аутентификации и принятие мер в случае утраты и (или) компрометации средств аутентификации | Dallas Lock 8.0-K, ПАК «Соболь» 3.0 | |
| ИАФ.5 | Защита обратной связи при вводе аутентификационной информации | Dallas Lock 8.0-K, ПАК «Соболь» 3.0 | |
| Управление доступом субъектов доступа к объектам доступа (УПД) | |||
| УПД.1 | Управление (заведение, активация, блокирование и уничтожение) учетными записями пользователей, в том числе внешних пользователей | Dallas Lock 8.0-K, ПАК «Соболь» 3.0 | |
| УПД.2 | Реализация необходимых методов (дискреционный, мандатный, ролевой или иной метод), типов (чтение, запись, выполнение или иной тип) и правил разграничения доступа | Dallas Lock 8.0-K | |
| УПД.З | Управление (фильтрация, маршрутизация, контроль соединений, однонаправленная передача и иные способы управления) информационными потоками между устройствами, сегментами информационной системы, а также между информационными системами | АПКШ «Континент» 3.7 | |
| УПД.4 | Разделение полномочий (ролей) пользователей, администраторов и лиц, обеспечивающих функционирование информационной системы | Dallas Lock 8.0-K, ПАК «Соболь» 3.0 | |
| Продолжение таблицы 2.4 | |||
| № меры | Содержание мер по обеспечению безопасности персональных данных | Средства защиты информации\ организационные меры по защите информации | |
| УПД.5 | Назначение минимально необходимых прав и привилегий пользователям, администраторам и лицам, обеспечивающим функционирование информационной системы | Dallas Lock 8.0-K | |
| УПД.6 | Ограничение неуспешных попыток входа в информационную систему (доступа к информационной системе) | Dallas Lock 8.0-K, ПАК «Соболь» 3.0 | |
| УПД.10 | Блокирование сеанса доступа в информационную систему после установленного времени бездействия (неактивности) пользователя или по его запросу | Средствами операционной системы | |
| УПД.11 | Разрешение действий пользователей, разрешенных до аутентификации | Dallas Lock 8.0-K, ПАК «Соболь» 3.0 | |
| УПД.13 | Реализация защищенного удаленного доступа субъектов доступа к объектам доступа через внешние информационно-телекоммуникационные сети | АПКШ «Континент» 3.7 | |
| УПД.16 | Управление взаимодействием с информационными системами сторонних организаций (внешние информационные системы) | АПКШ «Континент» 3.7 | |
| УПД.17 | Обеспечение доверенной загрузки средств вычислительной техники | ПАК «Соболь» 3.0 | |
| Ограничение программной среды (ОПС) | |||
| ОПС.3 | Установка (инсталляция) только разрешенного к использованию программного обеспечения и (или) его компонентов | Средства контроллера домена | |
| ОПС.4 | Управление временными файлами, в том числе запрет, разрешение, перенаправление записи, удаление временных файлов | Средствами операционной системы | |
| Защита машинных носителей персональных данных (ЗНИ) | |||
| ЗНИ.1 | Учет машинных носителей | Dallas Lock 8.0-K | |
| Продолжение таблицы 2.4 | |||
| № меры | Содержание мер по обеспечению безопасности персональных данных | Средства защиты информации\ организационные меры по защите информации | |
| ЗНИ.2 | Управление доступом к машинным носителям информации | Определение должностных лиц, имеющих физический доступ к машинным носителям | |
| ЗНИ.6 | Контроль ввода (вывода) информации на машинные носители информации | Dallas Lock 8.0-K | |
| ЗНИ.7 | Контроль подключения машинных носителей персональных данных | Dallas Lock 8.0-K | |
| ЗНИ.8 | Уничтожение (стирание) или обезличивание персональных данных на машинных носителях при их передаче между пользователями, в сторонние организации для ремонта или утилизации, а также контроль уничтожения (стирания) или обезличивания | Dallas Lock 8.0-K | |
| Регистрация событий безопасности (РСБ) | |||
| РСБ.1 | Определение событий безопасности, подлежащих регистрации, и сроков их хранения | Dallas Lock 8.0-K, ПАК «Соболь» 3.0 | |
| РСБ.2 | Определение состава и содержания информации о событиях безопасности, подлежащих регистрации | Dallas Lock 8.0-K | |
| РСБ.З | Сбор, запись и хранение информации о событиях безопасности в течение установленного времени хранения | Dallas Lock 8.0-K, ПАК «Соболь» 3.0 | |
| РСБ.4 | Реагирование на сбои при регистрации событий безопасности, в том числе аппаратные и программные ошибки, сбои в механизмах сбора информации и достижение предела или переполнения объема (емкости) памяти | Dallas Lock 8.0-K, ПАК «Соболь» 3.0 | |
| РСБ.5 | Мониторинг (просмотр, анализ) результатов регистрации событий безопасности и реагирование на них | Dallas Lock 8.0-K, ПАК «Соболь» 3.0 | |
| РСБ. 7 | Защита информации о событиях безопасности | ПАК «Соболь» 3.0 Dallas Lock 8.0-K | |
| Продолжение таблицы 2.4 | |||
| № меры | Содержание мер по обеспечению безопасности персональных данных | Средства защиты информации\ организационные меры по защите информации | |
| Антивирусная защита (АВЗ) | |||
| АВ3.1 | Реализация антивирусной защиты | Антивирус Касперского 6.0 | |
| АВ3.2 | Обновление базы данных признаков вредоносных компьютерных программ (вирусов) | Антивирус Касперского 6.0 | |
| Обнаружение вторжений (СОВ) | |||
| COB.l | Обнаружение вторжений | Dallas Lock 8.0-K | |
| COB.2 | Обновление базы решающих правил | Dallas Lock 8.0-K | |
| VIII. Контроль (анализ) защищенности персональных данных (АНЗ) | |||
| АНЗ.1 | Выявление, анализ уязвимостей информационной системы и оперативное устранение вновь выявленных уязвимостей | XSpider 7.8.24 | |
| АНЗ.2 | Контроль установки обновлений программного обеспечения, включая обновление программного обеспечения средств защиты информации | Ведение и контроль журнала обновления | |
| АНЗ.3 | Контроль работоспособности, параметров настройки и правильности функционирования программного обеспечения и средств защиты информации | Dallas Lock 8.0-K, ПАК «Соболь» 3.0 | |
| АНЗ.4 | Контроль состава технических средств, программного обеспечения и средств защиты информации | Dallas Lock 8.0-K, ПАК «Соболь» 3.0 | |
| АНЗ.5 | Контроль правил генерации и смены паролей пользователей, заведения и удаления учетных записей пользователей, реализации правил разграничения доступа, полномочий пользователей в информационной системе | Dallas Lock 8.0-K, реализация методов управления доступом, типов и правил разграничения доступом | |
| Обеспечение целостности информационной системы и информации (ОЦЛ) | |||
| ОЦЛ.3 | Обеспечение возможности восстановления программного обеспечения, включая программное обеспечение средств защиты информации, при возникновении нештатных ситуаций | Dallas Lock 8.0-K | |
| Продолжение таблицы 2.4 | |||
| № меры | Содержание мер по обеспечению безопасности персональных данных | Средства защиты информации\ организационные меры по защите информации | |
| Обеспечение доступности персональных данных (ОДТ) | |||
| ОДТ.4 | Периодическое резервное копирование персональных данных на резервные машинные носители персональных данных | Acronis Backup & Recovery 11 Advanced Server | |
| ОДТ. 5 | Обеспечение возможности восстановления персональных данных с резервных машинных носителей персональных данных (резервных копий) в течение установленного временного интервала | Acronis Backup & Recovery 11 Advanced Server | |
| Защита технических средств (ЗТС) | |||
| ЗТС.2 | Организация контролируемой зоны, в пределах которой постоянно размещаются стационарные технические средства, обрабатывающие информацию, и средства защиты информации, а также средства обеспечения функционирования | Организация контролируемой зоны | |
| ЗТС.3 | Контроль и управление физическим доступом к техническим средствам, СЗИ, средствам обеспечения функционирования, а также в помещения и сооружения, в которых они установлены, исключающие несанкционированный физический доступ к средствам обработки информации, СЗИ и средствам обеспечения функционирования информационной системы, в помещения и сооружения, в которых они установлены | определение лиц и санкционирование физического доступа | |
| ЗТС.4 | Размещение устройств вывода (отображения) информации, исключающее ее несанкционированный просмотр | Размещение устройств вывода информации должно исключать возможность несанкционированного просмотра выводимой информации | |
| Продолжение таблицы 2.4 | |||
| № меры | Содержание мер по обеспечению безопасности персональных данных | Технические средства защиты информации реализующие технические меры\ организационные меры | |
| ЗТС.5 | Защита от внешних воздействий (воздействий окружающей среды, нестабильности электроснабжения, кондиционирования и иных внешних факторов) | выполнение норм и правил пожарной безопасности, устройства и технической эксплуатации технических средств, а также соблюдение параметров их заземления и электропитания, а так же обеспечение температурно-влажностного режима. | |
| Защита информационной системы, ее средств, систем связи и передачи данных (ЗИС) | |||
| ЗИС.1 | Разделение в информационной системе функций по управлению (администрированию) информационной системой, управлению (администрированию) системой защиты персональных данных, функций по обработке персональных данных и иных функций информационной системы | Выделение АРМ для администраторов ИС и для администраторов ИБ в отдельный домен | |
| ЗИС.3 | Обеспечение защиты персональных данных от раскрытия, модификации и навязывания (ввода ложной информации) при ее передаче (подготовке к передаче) по каналам связи, имеющим выход за пределы контролируемой зоны, в том числе беспроводным каналам связи | АПКШ «Континент» 3.7 | |
| ЗИС.21 | Исключение доступа пользователя к информации, возникшей в результате действий предыдущего пользователя через реестры, оперативную память, внешние запоминающие устройства и иные общие для пользователей ресурсы информационной системы | Dallas Lock 8.0-K | |
| Окончание таблицы 2.4 | |||
| № меры | Содержание мер по обеспечению безопасности персональных данных | Технические средства защиты информации реализующие технические меры\ организационные меры | |
| ЗИС.23 | Защита периметра (физических и (или) логических границ) информационной системы при её взаимодействии с иными информационно-телекоммуникационными сетями | АПКШ «Континент» 3.7 | |
| Управление конфигурацией информационной системы и системы защиты персональных данных (УКФ) | |||
| УКФ.1 | Определение лиц, которым разрешены действия по внесению изменений в конфигурацию информационной системы и системы защиты персональных данных | Организационные меры | |
| УКФ.2 | Управление изменениями конфигурации информационной системы и системы защиты персональных данных | Организационные меры | |
| УКФ.3 | Анализ потенциального воздействия планируемых изменений в конфигурации информационной системы и системы защиты персональных данных на обеспечение защиты персональных данных и согласование изменений в конфигурации информационный системы с должностным лицом ответственным за обеспечение безопасности персональных данных | Организационные меры | |
| УКФ.4 | Документирование информации (данных) об изменениях в конфигурации информации и системы защиты персональных данных | Организационные меры | |
2.5 Профиль системы защиты персональных данных
Таким образом, установка средств защиты информации производилась в соответствии со схемой, представленной на рисунке 2.1. Перечень АРМ пользователей, серверы и АРМ Администратора с указанием местоположения и необходимых для установки и настройки средств защиты информации представлен в таблице Д.1 приложения Д.
![](https://s.studizba.com/z.php?f=/templates/si/i/noavatar.png&w=100&h=100&t=1"){kind=avatar}
