Митряев636329268818306215 (814199), страница 3
Текст из файла (страница 3)
3 No17, необходимо обеспечить класс защищённости К3.2. Определение базового набора мер защиты информации дляустановленного класса защищенности информационной системы – 2основывается на классе информационной системы. Для определениябазового набора необходимо обратиться к Приложению 2 приказаФСТЭК No17 « Требования о защите информации, не составляющейгосударственную тайну, в 5 государственных информационныхсистемах» и 2 выбрать один из трёх базовых наборов мер защиты,соответствующий классу защищённости информационной системы.3. Адаптацию базового набора мер 13 защиты информации – 2 изменениевыбранного базового набора мер в 3 соответствии со структурой,реализацией и особенностям эксплуатации информационной системы.Пример:Адаптация базового набора мер защиты информацииПри адаптации из базового набора мер защиты информации исключаютсямеры, непосредственно связанные со структурно-функциональнымихарактеристиками, 2 несвойственными информационной системе или с 2информационными технологиями, не используемыми в информационнойсистеме.
2 Исключаемые меры приведены в таблице 1.2.Таблица 1.2 Исключаемые мерыИсключаемая мера Причина исключенияИАФ.6 Идентификация и аутентификацияпользователей, не являющихся работниками оператора(внешних пользователей)В 2 ИС отсутствуютвнешние пользователи12Окончание таблицы 1.2Исключаемая мера Причина исключенияУПД.14 Регламентация и контрольиспользования в информационной системетехнологии беспроводного доступаВ 11 ИС не применяютсятехнологии беспроводногодоступаУПД.15 Регламентация и контрольиспользования в информационной системемобильных технических средствВ 11 ИС не используютсямобильные техническиесредстваЗИС.20 Защита беспроводных соединений,применяемых в ИСВ ИС не применяютсятехнологии беспроводногодоступа4. 4 Уточнение адаптации базового набора мер с 4 помощью модели угроз иполитики информационной безопасности.Пример:Уточнение адаптированного базового набора мер 10При уточнении адаптированного базового набора мер по обеспечениюбезопасности 9 КИ добавляются меры, не выбранные ранее, нейтрализующие всеактуальные угрозы безопасности КИ.
Перечень добавленных мер приведён втаблице 2.2:Таблица 2.2. Меры, нейтрализующие актуальные угрозы безопасностиНаименование угрозы Меры по противодействию угрозеНепреднамереннаямодификация(уничтожение)информации сотрудникамиОЦЛ.2 Контроль целостности персональныхданных, содержащихся в базах 4 информационнойсистемы13Окончание таблицы 2.2Наименование угрозы Меры по противодействию угрозеУгрозы сканированияУгрозы подменыдоверенного объекта всетиУгрозы внедренияложного объекта как в 55ИС, 18 так и во внешнихсетяхУгрозы типа «Отказ вобслуживании»Угрозы удалённогозапуска приложений 6АНЗ.1 Выявление, анализ уязвимостейинформационной системы и оперативноеустранение вновь выявленных уязвимостей 5УПД.3 управление (фильтрация, маршрутизация,контроль соединений, однонаправленная передачаи иные способы управления) информационнымипотоками между устройствами, сегментамиинформационной системы, а также междуинформационными системами 2ЗСВ.4 Управление (фильтрация, маршрутизация,контроль соединения, однонаправленная передача)потоками информации между компонентамивиртуальной инфраструктуры, а также попериметру виртуальной инфраструктуры5.
5 Дополнение уточнённого адаптированного базового набора 4производится с учётом следующих нормативных актов, требований иметодических рекомендаций: 152-ФЗ «О ПЕРСОНАЛЬНЫХДАННЫХ», Постановления Правительства РФ No1119, приказ ФСТЭКNo21, требований ФСБ об использовании криптографических средствзащиты.14Рисунок 2.2. Дополнение уточнённого базового набораДополнение уточнённого адаптированного базового набора включается в 5техническое задание на создание информационной системы или в техническоезадание на создание системы защиты информации информационной системы. 1215 12Важно не забывать о том, что обеспечение требуемого уровня защищённостиневозможно без выполнения требований к защите информации (рисунок 2.3).Рисунок 2.3.
Обеспечение требуемого уровня защищённости166. Осуществляется выбор параметров настройки, который включается в17проектную документацию на систему защиты информации. 11Если в системе защиты 11 информации информационной системы 7 невозможнореализовать отдельные выбранные меры защиты информации на этапахадаптации базового набора 2 или уточнения базового набора, то могутразрабатываться компенсирующие меры защиты информации, обеспечивающиенеобходимые функции по блокированию или нейтрализации угроз безопасностиинформации.
При этом необходимо обосновать применение компенсирующихмер защиты:Изложить причины исключения меры защиты информации; 17Сопоставить исключаемую меру защиты информации с 17 блокируемойугрозой безопасности информации; 17Описать содержание компенсирующих мер защиты информации;Провести сравнение компенсирующих мер защиты с исключаемымимерами защиты информации; 2Аргументировать, почему предлагаемые компенсирующие мерызащиты 2 обеспечивают приемлемое блокирование угроз безопасностиинформации.
2После определения мер защиты информации и, 2 при необходимости,компенсирующих мер, необходимо их реализовать в системе защитыинформации информационной системы. Реализация происходит, как правило,путём разработки организационно-распорядительной документации и путёмвнедрения программных или программно-аппаратных средств, которые немогут обеспечить требуемый уровень защищённости без необходимыхнастроек.Для того, чтобы настроить технические средства защиты, необходимо знать,какие меры защиты информации необходимо реализовать в системе защитыинформации, и, самое главное, содержание этих мер. Поскольку ихсамостоятельное изучение займёт большое количество времени, то необходимынекоторые методические рекомендации по определению параметров настройки18средств защиты.
Когда работник, занимающийся внедрением средств защиты,столкнётся с необходимостью их настроить для обеспечения требуемого уровнязащищённости, ему нужно будет прочитать как минимум Приказ ФСТЭК No17,а это займёт огромное количество времени. В руководствах пользователя ктехническим средствам не указаны конкретные параметры настройки, толькообщие сведения о возможностях содержащихся компонентов. Используяметодические рекомендации по определению настройки параметров средствзащиты, остаётся только выбрать те меры защиты информации, которыекасаются требуемого класса защищённости.
Методические рекомендации приэтом учитывают возможное принятие решения усиления базового набора мерзащиты информации. 17Существует множество технических средств защиты, 17 предлагаемыеразличными производителями, а также различные параметры настройки этихсредств. При их выборе необходимо:1. Заполнить необходимые формы и перечни, находящиеся в«Методических рекомендациях по определению параметровнастройки технических средств защиты информации».2. Определить, имеет ли средство Сертификат соответствия требованиямбезопасности информации ФСТЭК. Для этого следует проверитьГосударственный реестр сертифицированных средств защитыинформации N РОСС RU.0001.01БИ00, 23 расположенный на сайтеФСТЭК на наличие действующего сертификата данного техническогосредства.3.
Если ТСЗИ сертифицировано, то для каждого параметра настройкиТСЗИ необходимо определить реализуемую им меру защитыинформации, находящуюся в дополненном уточнённомадаптированном наборе мер защиты.4. Разработать в соответствии с заполненными формами и перечнямиматрицу доступа к информационной системе.195. Установить параметры настройки в соответствии с «Методическимирекомендациями по определению параметров настройки техническихсредств защиты информации», а также заполненными формами иперечнями.Алгоритм определения параметров настроек на примере подсистемыуправления доступом ТСЗИ Dallas Lock 8.0-ССертификат ФСТЭК России No 2945 до 16.08.2019Возможностиобеспечение 1 уровня защищенности персональных данных; 8защита информации в государственных информационных системах 1 8класса защищенности;создании защищенных информационных систем управленияпроизводственными и технологическими процессами на критическиважных объектах, потенциально опасных объектах, а также объектах,представляющих повышенную опасность для жизни и здоровья людейи для окружающей природной 22 до 1 класса защищенностивключительно;защита информации от несанкционированного доступа наперсональных компьютерах, портативных и мобильных компьютерах, 14серверах, работающих как автономно, так и в составе ЛВС;дискреционный и мандатный принципы разграничения доступа кинформационным ресурсам и 7 подключаемым устройствам; 14аудит действий пользователей – санкционированных и безсоответствующих прав, ведение журналов регистрации событий;контроль целостности файловой системы, программно-аппаратнойсреды и реестра;объединение защищенных ПК для централизованного управлениямеханизмами безопасности; 1420приведение АС, ГИС, 14 АСУ ТП и систем обработки ПДн в соответствиезаконодательству РФ по защите информации.1.
14 Заполнение необходимых форм и перечней (таблица 2.3):Таблица 2.3. Пример заполнения формы "Внутренние пользователи"Наименование УчётнаязаписьОписание ФИОработникаNo АРМАдминистраторбезопасностиSuperadm Пользователь,имеющий полномочияпо администрированиюсистемы защитыинформацииинформационнойсистемыИванов И.И. 1СистемныйадминистраторAdmin Пользователь,имеющий полномочияпо администрированиюинформационнойсистемыСидоровС.С.2Окончание таблицы 2.3Наименование Учётная Описание ФИО No АРМ21запись работникаПользователь User Должностное лицо,использующее АРМдля выполненияслужебныхобязанностейПетров П.П. 1Панов П.П.
2АкимовА.А.3СервербезопасностиSecServer Используется дляудалённыхподключений к АРМ ипроводит оперативноеуправлениеСидоровС.С.42. Заполнение формы «Внешние пользователи» (таблица 2.4):Таблица 2.4. Пример заполнения формы "Внешние пользователи"Наименование Учётная запись Описание No АРМГость Anonymous Учётная запись для доступа кинформационной системе назаконных основаниях дляпользователей, не являющихсяработниками оператора.3.
Перечень групп пользователей (таблица 2.5):Таблица 2.5. Пример заполнения формы "Группы пользователей"22Группа ОписаниеАдминистраторы Администраторы имеют наиболее высокий уровень доступаПользователи Внутренние пользователи ИС – члены этой группы могутзапускать некоторые программы, необходимые длявыполнения работы, а так же записывать данные.Гости Внешние пользователи ИС – члены этой группы имеютправа только для просмотра общедоступной информации.4. Форма «Полномочия пользователей» (таблица 2.7):Таблица 2.7. Пример заполнения формы "Полномочия пользователей"Пользователь ПолномочияГость Есть права только на чтение общедоступной информации;Пользователь Есть права «Гостя», а также доступ к конфиденциальнойинформации, необходимой для выполнения служебныхобязанностей;Администратор Есть права «Пользователя», а также права наадминистрирование ИС;АдминистраторбезопасностиЕсть права «Администратора», а также права наадминистрирование системы защиты информации.5.
11 Перечень учётных записей пользователей ( 11 таблица 2.8):Таблица 2.8. Пример заполнения формы " Учётные записи пользователей "23УчётнаязаписьСЗИНаименованиеОписание (из формы«внутренниепользователи» таблица2.3 и «внешниепользователи» таблица2.4)Группа(см.форму«группы»таблица2.5)Тип учётнойзаписи (см.форму«внутренниепользователи»таблица 2.3)SuperadmАдминистраторбезопасностиАдминистраторбезопасности:пользователь, имеющийполномочия поадминистрированиюсистемы защитыинформацииинформационнойсистемы.АдминистраторыВнутреннийAdmin СистемныйадминистраторСистемныйадминистратор:пользователь, имеющийполномочия поадминистрированиюинформационнойсистемы.АдминистраторыВнутреннийUser1 ПользовательВнутреннийпользователь: операторИСПользователиВнутреннийОкончание таблицы 2.824УчётнаязаписьСЗИНаименованиеОписание Группа ТипучётнойзаписиUser2 ПользовательВнутренний пользователь:оператор информационнойсистемы.ПользователиВнутреннийUser3 ПользовательВнутренний пользователь:оператор информационнойсистемы.ПользователиВнутреннийanonymousГость Внешний пользователь:анонимная учётная запись дляудалённого доступа кинформационной системе назаконных основаниях черезсеть Интернет дляпользователей, не являющихсяработниками оператора.Гости Внешний6.














