Пояснительная записка (814191), страница 2
Текст из файла (страница 2)
Таблица 2.3 – Меры, нейтрализующие актуальные угрозы безопасности
| Наименование угрозы | Меры по противодействию угрозе |
| Непреднамеренная модификация (уничтожение) информации сотрудниками | ОЦЛ.2 Контроль целостности персональных данных, содержащихся в базах информационной системы |
Окончание таблицы 2.3
| Наименование угрозы | Меры по противодействию угрозе |
| Угрозы сканирования Угрозы подмены доверенного объекта в сети Угрозы внедрения ложного объекта как в ИС, так и во внешних сетях Угрозы типа «Отказ в обслуживании» Угрозы удалённого запуска приложений | АНЗ.1 Выявление, анализ уязвимостей информационной системы и оперативное устранение вновь выявленных уязвимостей УПД.3 управление (фильтрация, маршрутизация, контроль соединений, однонаправленная передача и иные способы управления) информационными потоками между устройствами, сегментами информационной системы, а также между информационными системами ЗСВ.4 Управление (фильтрация, маршрутизация, контроль соединения, однонаправленная передача) потоками информации между компонентами виртуальной инфраструктуры, а также по периметру виртуальной инфраструктуры |
-
Дополнение уточнённого адаптированного базового набора производится с учётом следующих нормативных актов, требований и методических рекомендаций: 152-ФЗ «О ПЕРСОНАЛЬНЫХ ДАННЫХ», Постановления Правительства РФ №1119, приказ ФСТЭК №21, требований ФСБ об использовании криптографических средств защиты (рисунок 2.2).
Рисунок 2.2 – Дополнение уточнённого базового набора
Дополнение уточнённого адаптированного базового набора включается в техническое задание на создание информационной системы или в техническое задание на создание системы защиты информации информационной системы. Важно не забывать о том, что обеспечение требуемого уровня защищённости невозможно без выполнения требований к защите информации (рисунок 2.3).
Рисунок 2.3 – Обеспечение требуемого уровня защищённости
-
Осуществляется выбор параметров настройки, который включается в проектную документацию на систему защиты информации.
Если в системе защиты информации информационной системы невозможно реализовать отдельные выбранные меры защиты информации на этапах адаптации базового набора или уточнения базового набора, то могут разрабатываться компенсирующие меры защиты информации, обеспечивающие необходимые функции по блокированию или нейтрализации угроз безопасности информации. При этом необходимо обосновать применение компенсирующих мер защиты:
-
изложить причины исключения меры защиты информации;
-
сопоставить исключаемую меру защиты информации с блокируемой угрозой безопасности информации;
-
описать содержание компенсирующих мер защиты информации;
-
провести сравнение компенсирующих мер защиты с исключаемыми мерами защиты информации;
-
аргументировать, почему предлагаемые компенсирующие меры защиты обеспечивают приемлемое блокирование угроз безопасности информации.
После определения мер защиты информации и, при необходимости, компенсирующих мер, необходимо их реализовать в системе защиты информации информационной системы. Реализация происходит, как правило, путём разработки организационно-распорядительной документации и путём внедрения программных или программно-аппаратных средств, которые не могут обеспечить требуемый уровень защищённости без необходимых настроек.
Для того, чтобы настроить технические средства защиты, необходимо знать, какие меры защиты информации необходимо реализовать в системе защиты информации, и, самое главное, содержание этих мер. Поскольку их самостоятельное изучение займёт большое количество времени, то необходимы некоторые методические рекомендации по определению параметров настройки средств защиты. Когда работник, занимающийся внедрением средств защиты, столкнётся с необходимостью их настроить для обеспечения требуемого уровня защищённости, ему нужно будет прочитать как минимум Приказ ФСТЭК №17, а это займёт огромное количество времени. В руководствах пользователя к техническим средствам не указаны конкретные параметры настройки, только общие сведения о возможностях содержащихся компонентов. Используя методические рекомендации по определению настройки параметров средств защиты, остаётся только выбрать те меры защиты информации, которые касаются требуемого класса защищённости. Методические рекомендации при этом учитывают возможное принятие решения усиления базового набора мер защиты информации.
Существует множество технических средств защиты, предлагаемые различными производителями, а также различные параметры настройки этих средств. При их выборе необходимо выполнить следующие шаги.
-
Заполнить необходимые формы и перечни, находящиеся в «Методических рекомендациях по определению параметров настройки технических средств защиты информации».
-
Определить, имеет ли средство Сертификат соответствия требованиям безопасности информации ФСТЭК. Для этого следует проверить Государственный реестр сертифицированных средств защиты информации N РОСС RU.0001.01БИ00, расположенный на сайте ФСТЭК на наличие действующего сертификата данного технического средства.
-
Если ТСЗИ сертифицировано, то для каждой меры защиты информации, находящейся в дополненном уточнённом адаптированном наборе мер защиты необходимо определить параметр настройки технического средства защиты.
-
Разработать в соответствии с заполненными формами и перечнями матрицу доступа к информационной системе.
-
Установить параметры настройки в соответствии с «Методическими рекомендациями по определению параметров настройки технических средств защиты информации», а также заполненными формами и перечнями.
2.1 Алгоритм определения параметров настроек на примере подсистемы управления доступом ТСЗИ Dallas Lock 8.0-С
Сертификат ФСТЭК России № 2945 до 16.08.2019
Возможности:
-
обеспечение 1 уровня защищенности персональных данных;
-
защита информации в государственных информационных системах 1 класса защищенности;
-
создании защищенных информационных систем управления производственными и технологическими процессами на критически важных объектах, потенциально опасных объектах, а также объектах, представляющих повышенную опасность для жизни и здоровья людей и для окружающей природной до 1 класса защищенности включительно;
-
защита информации от несанкционированного доступа на персональных компьютерах, портативных и мобильных компьютерах, серверах, работающих как автономно, так и в составе ЛВС;
-
дискреционный и мандатный принципы разграничения доступа к информационным ресурсам и подключаемым устройствам;
-
аудит действий пользователей – санкционированных и без соответствующих прав, ведение журналов регистрации событий;
-
контроль целостности файловой системы, программно-аппаратной среды и реестра;
-
объединение защищенных ПК для централизованного управления механизмами безопасности;
-
приведение АС, ГИС, АСУ ТП и систем обработки ПДн в соответствие законодательству РФ по защите информации.
Пример реализации алгоритма определения параметров настроек.
-
Заполнение формы «Внутренние пользователи» (таблица 2.1.1).
Таблица 2.1.1 – Пример заполнения формы «Внутренние пользователи»
| Наименование | Учётная запись | Описание | ФИО работника | № АРМ |
| Администратор безопасности | Superadm | Пользователь, имеющий полномочия по администрированию системы защиты информации информационной системы | Иванов И.И. | 1 |
| Системный администратор | Admin | Пользователь, имеющий полномочия по администрированию информационной системы | Сидоров С.С. | 2 |
Окончание таблицы 2.1.1
| Наименование | Учётная запись | Описание | ФИО работника | № АРМ |
| Пользователь | User | Должностное лицо, использующее АРМ для выполнения служебных обязанностей | Петров П.П. | 1 |
| Панов П.П. | 2 | |||
| Акимов А.А. | 3 | |||
| Сервер безопасности | SecServer | Используется для удалённых подключений к АРМ и проводит оперативное управление | Сидоров С.С. | 4 |
-
Заполнение формы «Внешние пользователи» (таблица 2.1.2).
Таблица 2.1.2 – Пример заполнения формы «Внешние пользователи»
| Наименование | Учётная запись | Описание | № АРМ |
| Гость | Anonymous | Учётная запись для доступа к информационной системе на законных основаниях для пользователей, не являющихся работниками оператора |
-
Перечень групп пользователей (таблица 2.1.3).
Таблица 2.1.3 – Пример заполнения формы «Группы пользователей»
| Группа | Описание |
| Администраторы | Администраторы имеют наиболее высокий уровень доступа |
| Пользователи | Внутренние пользователи ИС – члены этой группы могут запускать некоторые программы, необходимые для выполнения работы, а так же записывать данные. |
| Гости | Внешние пользователи ИС – члены этой группы имеют права только для просмотра общедоступной информации. |
-
Форма «Полномочия пользователей» (таблица 2.1.4).
Таблица 2.1.4 – Пример заполнения формы «Полномочия пользователей»
| Пользователь | Полномочия |
| Гость | Есть права только на чтение общедоступной информации |
| Пользователь | Есть права «Гостя», а также доступ к конфиденциальной информации, необходимой для выполнения служебных обязанностей |
| Администратор | Есть права «Пользователя», а также права на администрирование ИС |
| Администратор безопасности | Есть права «Администратора», а также права на администрирование системы защиты информации |
-
Перечень учётных записей пользователей (таблица 2.1.5).
Таблица 2.1.5 – Пример заполнения формы «Учётные записи пользователей»
| Учётная запись СЗИ | Наимено-вание | Описание (из формы «внутренние пользователи» таблица 2.1.1 и «внешние пользователи» таблица 2.1.2) | Группа (см. форму «группы» таблица 2.1.3) | Тип учётной записи (см. форму «внутренние пользователи» таблица 2.1.1) |
| Superadm | Админис-тратор безопас-ности | Администратор безопасности: пользователь, имеющий полномочия по администрированию системы защиты информации информационной системы. | Админис-траторы | Внутренний |
| Admin | Систем-ный админис-тратор | Системный администратор: пользователь, имеющий полномочия по администрированию информационной системы. | Админис-траторы | Внутренний |
| User1 | Пользова-тель | Внутренний пользователь: оператор ИС | Пользо-ватели | Внутренний |
Окончание таблицы 2.1.5
| Учётная запись СЗИ | Наимено-вание | Описание | Группа | Тип учётной записи |
| User2 | Пользова-тель | Внутренний пользователь: оператор информационной системы. | Пользо-ватели | Внутрен-ний |
| User3 | Пользова-тель | Внутренний пользователь: оператор информационной системы. | Пользо-ватели | Внутрен-ний |
| Anony-mous | Гость | Внешний пользователь: анонимная учётная запись для удалённого доступа к информационной системе на законных основаниях через сеть Интернет для пользователей, не являющихся работниками оператора. | Гости | Внешний |
-
Перечень меток конфиденциальности для реализации мандатного доступа (таблица 2.1.6).
Таблица 2.1.6 – Пример заполнения формы «Метки конфиденциальности»
| Уровень доступа | Значение | Описание |
| 0 | Открытые данные | Уровень доступа для внешних пользователей; Есть права только на чтение общедоступной информации |
Окончание таблицы 2.1.6
| Уровень доступа | Значение | Описание |
| 1 | Конфиденциальные данные | Уровень доступа для внутренних пользователей; Есть права уровня 0, а так же права на запуск необходимых для работы программ, запись файлов на внутренние носители и удаление файлов с машинных носителей |
| 2 | Системные данные | Уровень доступа для системных администраторов; Есть права уровня 1, а так же права для администрирования ИС |
| 3 | Данные СЗИ | Уровень доступа для администратора безопасности; Есть права уровня 2, а так же права на администрирование СЗИ |
-
Матрица доступа на основании перечня меток конфиденциальности (таблица 2.1.7).
Таблица 2.1.7 – Пример заполнения формы «Матрица доступа» (на основании заполненных перечней и форм)
| Учётная запись СЗИ | Уровень доступа |
| Superadm | 3 |
| Admin | 2 |
| User | 1 |
| Guest | 0 |
| Secserver | 3 |
-
Перечень прав на удалённый доступ (таблица 2.1.8):
Таблица 2.1.8 – Пример заполнения формы «Перечень прав на удалённый доступ»
| Учётная запись СЗИ | Уровень доступа (см. матрицу доступа таблица 2.1.7) | Удалённый доступ (см. методические рекомендации) |
| Superadm | 3 | Запрещён |
| Admin | 2 | Запрещён |
| User | 1 | Разрешён |
| Guest | 0 | Разрешён |
| Secserver | 3 | Разрешён |
-
На основании заполненных форм, а также состава мер защиты из Методических рекомендаций по определению параметров настройки ИАФ.1-7 и УПД.1-17 заполняем параметры настройки подсистемы доступа (таблица 2.1.9-2.1.10):
![](https://s.studizba.com/z.php?f=/templates/si/i/noavatar.png&w=100&h=100&t=1"){kind=avatar}
