Архитектура Аудит Военная наука Иностранные языки Медицина Металлургия Метрология
Образование Политология Производство Психология Стандартизация Технологии


ОПРЕДЕЛЕНИЕ КОЛИЧЕСТВА ИСПДН, ИХ ТИПА И УРОВНЯ ЗАЩИЩЕННОСТИ С УЧЕТОМ ВВОДНЫХ ДАННЫХ



Содержание

Введение......................................................................................................................................... 3

1 Общая часть................................................................................................................................. 4

1.1 Определение вводных данных.............................................................................................. 4

1.2 Определение требований по защите от НСД для АС, необходимых для реализации на предприятии......................................................................................................................................................... 4

1.3 Требования АС класса 1Г....................................................................................................... 4

1.4 Определение количества ИСПДн, их типа и уровня защищенности с учетом вводных данных 6

1.5 Требования к защите ИСПДн.............................................................................................. 10

2 Специальная часть.................................................................................................................... 31

2.1 Характеристика объекта защиты......................................................................................... 31

2.2 План-схема объекта защиты с размещением ИС и средств вычислительной техники. 32

2.3 Комплект документов по обработке ПДн.......................................................................... 33

2.4 Комплект документов по коммерческой тайне................................................................. 33

2.5 Выбор технических средств защиты ИСПДн (методика СААТИ).................................. 34

2.6 Комплексный анализ информационной безопасности объекта защиты......................... 37

Заключение.................................................................................................................................. 42

Список используемой литературы............................................................................................ 43

 

 


Введение

Актуальность проведения комплексного анализа информационной безопасности объекта защиты (предприятие) заключается необходимость защиты информации осознавалась с глубокой древности. Недаром до нас дошли сведения о применявшихся в прошлом методах защиты — технических (например, шифр Цезаря, различные виды стеганографии) и организационных (за частую они сводились к физическому устранению людей — носителей сведений, когда необходимость в них миновала). Шло время, совершенствовались не только методы защиты, но и методы нападения. Но решать эти вопросы, когда «все вокруг народное, все вокруг ничье», было сравнительно несложно. Иное дело — современная экономическая обстановка, когда в ожесточенной конкурентной схватке борется множество больших и малых организаций. В борьбе, как известно, все средства хороши, а тем более эффективные. К таким, без сомнения, можно причислить нападение на информацию конкурента с целью завладеть ею, исказить, сделать недоступной и т. д. Поэтому вопросы защиты информации в современном обществе имеют первостепенное значение. Особенно облегчается задача злоумышленника в связи с повсеместным внедрением автоматизированной обработки информации. Степень автоматизации фирмы определяет зачастую ее конкурентоспособность и в то же время является источником многочисленных угроз безопасности. Неслучайно в сознании многих людей защита информации — это прежде всего защита информации в компьютерных системах от несанкционированного доступа. Конечно, эта точка зрения неверна точно так же, как неверна и точка зрения другой полярности: все определяется организационно-режимными мерами. Надежное обеспечение безопасности информации немыслимо без реализации комплексного подхода к решению этой задачи. Отсюда и потребность как в создании комплексной системы защиты информации на предприятии, так и в подготовке специалистов по данному профилю.

 

 

ОБЩАЯ ЧАСТЬ

ОПРЕДЕЛЕНИЕ ВВОДНЫХ ДАННЫХ

Целями курсового проекта является проведение комплексного анализа информационной безопасности объекта защиты(предприятие) с разработкой мероприятий по совершенствованию систем информационной безопасности.

Вводные данные:

Тип ИСПДн: О

Тип актуальных угроз: 3

Тип данных обрабатываемой в ИСПДн - «Клиент»

Количество записей в ПДн: < 100 000

Тип автоматизированной системы: 1Г

Исходя из исходных данных определяем требования безопасности к автоматизированным системам ИСПДн из действующих нормативных данных.

 

ОПРЕДЕЛЕНИЕ ТРЕБОВАНИЙ ПО ЗАЩИТЕ ОТ НСД ДЛЯ АС, НЕОБХОДИМЫХ ДЛЯ РЕАЛИЗАЦИИ НА ПРЕДПРИЯТИИ

Используя РД ФСТЭК «Автоматизированные системы. Защита от НСД к информации» выписываем требования по защите информации от НСД для автоматизированной системы класса 1Г.

1Г – класс включает многопользовательские АС, в которых одновременно обрабатывается и (или) хранится информация разных уровней конфиденциальности. Не все пользователи имеют право доступа ко всей информации АС.

ТРЕБОВАНИЯ АС КЛАССА1Г

Таблица 1 – Требования АС класса 1Г

Подсистемы и требования Классы
1. Подсистема управления доступом  
1.1. Идентификация, проверка подлинности и контроль доступа субъектов:  
В систему +
К терминалам ЭВМ, узлам сети ЭВМ, каналам связи внешним устройствам ЭВМ +
К программам +
К томам, каталогам, файлам, записям, полям записей +
2. Подсистема регистрации и учета  
2.1. Регистрация и учет:  

Продолжение

входа (выхода) субъектов доступа в (из) систему (узел сети) +
Выдачи печатных (графических) выходных документов +
Запуска/завершения программ и процессов (заданий, задач)  
Доступа программ субъектов доступа к защищаемым файлам, включая их создание и удаление, передачу по линиям и каналам связи +
Доступа программ субъектов доступа к теминалам, ЭВМ, узлам сети ЭВМ, каналам связи, внешним устройствам ЭВМ, программам, томам, каталогам файлам, записям, полям записей +
2.2. Учет носителей информации +
2.3. Очистка (обнуление, обезличивание) освобождаемых областей оперативной памяти ЭВМ и внешних накопителей +
4. Подсистема обеспечения целостности  
4.1. Обеспечение целостности программных средств и обрабатываемой информации +
4.2. Физическая охрана средств вычислительной техники и носителей информации +
4.4. Периодическое тестирование СЗИ НСД +
4.5. Наличие средств восстановления СЗИ НСД +

 

Подсистема управления доступом:

должны осуществляться идентификация и проверка подлинности субъектов доступа при входе в систему по идентификатору (коду) и паролю условно-постоянного действия длиной не менее шести буквенно - цифровых символов.

Подсистема регистрации и учета:

должна осуществляться регистрация входа (выхода) субъектов доступа в систему (из системы), либо регистрация загрузки и инициализации операционной системы и ее программного останова. Регистрация выхода из системы или останова не проводится в моменты аппаратурного отключения АС.

Изм.
Лист
№ докум.
Подпись
Дата
Лист
 
 
В параметрах регистрации указываются: - дата и время входа (выхода) субъекта доступа в систему (из системы) или загрузки (останова) системы; - результат попытки входа: успешная или неуспешная (при НСД); - должен проводиться учет всех защищаемых носителей информации с помощью их маркировки и с занесением учетных данных в журнал (учетную карточку).

Подсистема обеспечения целостности:

должна быть обеспечена целостность программных средств СЗИ НСД, обрабатываемой информации, а также неизменность программной среды.

При этом: - целостность СЗИ НСД проверяется при загрузке системы по наличию имен (идентификаторов) компонент СЗИ; - целостность программной среды обеспечивается отсутствием в АС средств разработки и отладки программ во время обработки и (или) хранения защищаемой информации; - должна осуществляться физическая охрана СВТ (устройств и носителей информации), предусматривающая контроль доступа в помещения АС посторонних лиц, наличие надежных препятствий для несанкционированного проникновения в помещения АС и хранилище носителей информации, особенно в нерабочее время; - должно проводиться периодическое тестирование функций СЗИ НСД при изменении программной среды и персонала АС с помощью тест - программ, имитирующих попытки НСД; - должны быть в наличии средства восстановления СЗИ НСД, предусматривающие ведение двух копий программных средств СЗИ НСД и их периодическое обновление и контроль работоспособности.

СПЕЦИАЛЬНАЯ ЧАСТЬ

АНАЛИТИЧЕСКАЯ ЧАСТЬ

ПЛАН-СХЕМА ОБЪЕКТА ЗАЩИТЫ С РАЗМЕЩЕНИЕМ ИНФОРМАЦИОННЫХ СИСТЕМ И СРЕДСТВ ВЫЧИСЛИТЕЛЬНОЙ ТЕХНИКИ

Рисунок 1 - схема территории ГУП ИНХП РБ

Схема 2 - план помещения

КАЧЕСТВЕННАЯ ОЦЕНКА ИБ

 

 

 


Таблица13

 

 

Качественная

 

 


Количественная

 

 

 

Наложение

 

ЗАКЛЮЧЕНИЕ

В данной курсовой работе были рассмотрены нормативные правовые документы по ИСПДн в соответствии с Федеральными законами, а также проанализировалась комплексная защита информации, возможные действия злоумышленника направленные на дестабилизацию целостности, конфиденциальности, доступности информации. Кроме этого, рассматривались основные методы противодействия от дестабилизирующих факторов.

Основными целями защиты информации являются обеспечение конфиденциальности, целостности, полноты, достаточности информационных ресурсов, создания и разработки совокупности методологических, организационных и технических элементов КСЗИ.

 

 

СПИСОК ИСПОЛЬЗОВАННОЙ ЛИТЕРАТУРЫ

1.Постановление от 1 ноября 2012 года №1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»

2. Приказ от 18 февраля 2013 года №21 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при обработке в информационных системах персональных данных»

3.http: //ispdn.ru/ открытая площадка для обсуждение вопросов о персональных данных

4.ФЗ № 152-ФЗ " О персональных данных"

 

Содержание

Введение......................................................................................................................................... 3

1 Общая часть................................................................................................................................. 4

1.1 Определение вводных данных.............................................................................................. 4

1.2 Определение требований по защите от НСД для АС, необходимых для реализации на предприятии......................................................................................................................................................... 4

1.3 Требования АС класса 1Г....................................................................................................... 4

1.4 Определение количества ИСПДн, их типа и уровня защищенности с учетом вводных данных 6

1.5 Требования к защите ИСПДн.............................................................................................. 10

2 Специальная часть.................................................................................................................... 31

2.1 Характеристика объекта защиты......................................................................................... 31

2.2 План-схема объекта защиты с размещением ИС и средств вычислительной техники. 32

2.3 Комплект документов по обработке ПДн.......................................................................... 33

2.4 Комплект документов по коммерческой тайне................................................................. 33

2.5 Выбор технических средств защиты ИСПДн (методика СААТИ).................................. 34

2.6 Комплексный анализ информационной безопасности объекта защиты......................... 37

Заключение.................................................................................................................................. 42

Список используемой литературы............................................................................................ 43

 

 


Введение

Актуальность проведения комплексного анализа информационной безопасности объекта защиты (предприятие) заключается необходимость защиты информации осознавалась с глубокой древности. Недаром до нас дошли сведения о применявшихся в прошлом методах защиты — технических (например, шифр Цезаря, различные виды стеганографии) и организационных (за частую они сводились к физическому устранению людей — носителей сведений, когда необходимость в них миновала). Шло время, совершенствовались не только методы защиты, но и методы нападения. Но решать эти вопросы, когда «все вокруг народное, все вокруг ничье», было сравнительно несложно. Иное дело — современная экономическая обстановка, когда в ожесточенной конкурентной схватке борется множество больших и малых организаций. В борьбе, как известно, все средства хороши, а тем более эффективные. К таким, без сомнения, можно причислить нападение на информацию конкурента с целью завладеть ею, исказить, сделать недоступной и т. д. Поэтому вопросы защиты информации в современном обществе имеют первостепенное значение. Особенно облегчается задача злоумышленника в связи с повсеместным внедрением автоматизированной обработки информации. Степень автоматизации фирмы определяет зачастую ее конкурентоспособность и в то же время является источником многочисленных угроз безопасности. Неслучайно в сознании многих людей защита информации — это прежде всего защита информации в компьютерных системах от несанкционированного доступа. Конечно, эта точка зрения неверна точно так же, как неверна и точка зрения другой полярности: все определяется организационно-режимными мерами. Надежное обеспечение безопасности информации немыслимо без реализации комплексного подхода к решению этой задачи. Отсюда и потребность как в создании комплексной системы защиты информации на предприятии, так и в подготовке специалистов по данному профилю.

 

 

ОБЩАЯ ЧАСТЬ

ОПРЕДЕЛЕНИЕ ВВОДНЫХ ДАННЫХ

Целями курсового проекта является проведение комплексного анализа информационной безопасности объекта защиты(предприятие) с разработкой мероприятий по совершенствованию систем информационной безопасности.

Вводные данные:

Тип ИСПДн: О

Тип актуальных угроз: 3

Тип данных обрабатываемой в ИСПДн - «Клиент»

Количество записей в ПДн: < 100 000

Тип автоматизированной системы: 1Г

Исходя из исходных данных определяем требования безопасности к автоматизированным системам ИСПДн из действующих нормативных данных.

 

ОПРЕДЕЛЕНИЕ ТРЕБОВАНИЙ ПО ЗАЩИТЕ ОТ НСД ДЛЯ АС, НЕОБХОДИМЫХ ДЛЯ РЕАЛИЗАЦИИ НА ПРЕДПРИЯТИИ

Используя РД ФСТЭК «Автоматизированные системы. Защита от НСД к информации» выписываем требования по защите информации от НСД для автоматизированной системы класса 1Г.

1Г – класс включает многопользовательские АС, в которых одновременно обрабатывается и (или) хранится информация разных уровней конфиденциальности. Не все пользователи имеют право доступа ко всей информации АС.

ТРЕБОВАНИЯ АС КЛАССА1Г

Таблица 1 – Требования АС класса 1Г

Подсистемы и требования Классы
1. Подсистема управления доступом  
1.1. Идентификация, проверка подлинности и контроль доступа субъектов:  
В систему +
К терминалам ЭВМ, узлам сети ЭВМ, каналам связи внешним устройствам ЭВМ +
К программам +
К томам, каталогам, файлам, записям, полям записей +
2. Подсистема регистрации и учета  
2.1. Регистрация и учет:  

Продолжение

входа (выхода) субъектов доступа в (из) систему (узел сети) +
Выдачи печатных (графических) выходных документов +
Запуска/завершения программ и процессов (заданий, задач)  
Доступа программ субъектов доступа к защищаемым файлам, включая их создание и удаление, передачу по линиям и каналам связи +
Доступа программ субъектов доступа к теминалам, ЭВМ, узлам сети ЭВМ, каналам связи, внешним устройствам ЭВМ, программам, томам, каталогам файлам, записям, полям записей +
2.2. Учет носителей информации +
2.3. Очистка (обнуление, обезличивание) освобождаемых областей оперативной памяти ЭВМ и внешних накопителей +
4. Подсистема обеспечения целостности  
4.1. Обеспечение целостности программных средств и обрабатываемой информации +
4.2. Физическая охрана средств вычислительной техники и носителей информации +
4.4. Периодическое тестирование СЗИ НСД +
4.5. Наличие средств восстановления СЗИ НСД +

 

Подсистема управления доступом:

должны осуществляться идентификация и проверка подлинности субъектов доступа при входе в систему по идентификатору (коду) и паролю условно-постоянного действия длиной не менее шести буквенно - цифровых символов.

Подсистема регистрации и учета:

должна осуществляться регистрация входа (выхода) субъектов доступа в систему (из системы), либо регистрация загрузки и инициализации операционной системы и ее программного останова. Регистрация выхода из системы или останова не проводится в моменты аппаратурного отключения АС.

Изм.
Лист
№ докум.
Подпись
Дата
Лист
 
 
В параметрах регистрации указываются: - дата и время входа (выхода) субъекта доступа в систему (из системы) или загрузки (останова) системы; - результат попытки входа: успешная или неуспешная (при НСД); - должен проводиться учет всех защищаемых носителей информации с помощью их маркировки и с занесением учетных данных в журнал (учетную карточку).

Подсистема обеспечения целостности:

должна быть обеспечена целостность программных средств СЗИ НСД, обрабатываемой информации, а также неизменность программной среды.

При этом: - целостность СЗИ НСД проверяется при загрузке системы по наличию имен (идентификаторов) компонент СЗИ; - целостность программной среды обеспечивается отсутствием в АС средств разработки и отладки программ во время обработки и (или) хранения защищаемой информации; - должна осуществляться физическая охрана СВТ (устройств и носителей информации), предусматривающая контроль доступа в помещения АС посторонних лиц, наличие надежных препятствий для несанкционированного проникновения в помещения АС и хранилище носителей информации, особенно в нерабочее время; - должно проводиться периодическое тестирование функций СЗИ НСД при изменении программной среды и персонала АС с помощью тест - программ, имитирующих попытки НСД; - должны быть в наличии средства восстановления СЗИ НСД, предусматривающие ведение двух копий программных средств СЗИ НСД и их периодическое обновление и контроль работоспособности.

ОПРЕДЕЛЕНИЕ КОЛИЧЕСТВА ИСПДН, ИХ ТИПА И УРОВНЯ ЗАЩИЩЕННОСТИ С УЧЕТОМ ВВОДНЫХ ДАННЫХ

На основании ФЗ № 152-ФЗ " О персональных данных" ст. 18.1 и ст.19 определяются необходимые и достаточные правовые, организационные и технические меры, для защиты ПДн от неправомерного и случайного доступа, уничтожения, изменения и блокирования, копирования, предоставление, распространение или иных неправомерных действий в отношении ПДн. Обеспечение безопасности персональных данных достигается определением уровня защищенности ИСПДн и требований для данных уровней защищенности. Определение уровней защищенности выполняется ПП №1119 от 1.11.12г.

Оператор обязан принимать меры, необходимые и достаточные для обеспечения выполнения обязанностей, предусмотренных ФЗ от 27.07.2006 № 152-ФЗ " О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами. Оператор самостоятельно определяет состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных настоящим Федеральным законом и принятыми в соответствии с ним нормативными правовыми актами, если иное не предусмотрено настоящим Федеральным законом или другими федеральными законами. К таким мерам могут, в частности, относиться:

1) назначение оператором, являющимся юридическим лицом, ответственного за организацию обработки персональных данных;

2) издание оператором, являющимся юридическим лицом, документов, определяющих политику оператора в отношении обработки персональных данных, локальных актов по вопросам обработки персональных данных, а также локальных актов, устанавливающих процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации, устранение последствий таких нарушений;

3) применение правовых, организационных и технических мер по обеспечению безопасности персональных данных в соответствии со статьей 19 настоящего Федерального закона;

4) осуществление внутреннего контроля и (или) аудита соответствия обработки персональных данных настоящему Федеральному закону и принятым в соответствии с ним нормативным правовым актам, требованиям к защите персональных данных, политике оператора в отношении обработки персональных данных, локальным актам оператора;

5) оценка вреда, который может быть причинен субъектам персональных данных в случае нарушения настоящего Федерального закона, соотношение указанного вреда и принимаемых оператором мер, направленных на обеспечение выполнения обязанностей, предусмотренных настоящим Федеральным законом;

6) ознакомление работников оператора, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных, в том числе требованиями к защите персональных данных, документами, определяющими политику оператора в отношении обработки персональных данных, локальными актами по вопросам обработки персональных данных, и (или) обучение указанных работников.

Обеспечение безопасности персональных данных достигается, в частности:

1) определением угроз безопасности персональных данных при их обработке в информационных системах персональных данных;

2) применением организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные Правительством Российской Федерации уровни защищенности персональных данных;

3) применением прошедших в установленном порядке процедуру оценки соответствия средств защиты информации;

4) оценкой эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных;

5) учетом машинных носителей персональных данных;

6) обнаружением фактов несанкционированного доступа к персональным данным и принятием мер;

7) восстановлением персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;

8) установлением правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечением регистрации и учета всех действий, совершаемых с персональными данными в информационной системе персональных данных;

9) контролем за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищенности информационных систем персональных данных.

Под актуальными угрозами безопасности персональных данных понимается совокупность условий и факторов, создающих актуальную опасность несанкционированного, в том числе случайного, доступа к персональным данным при их обработке в информационной системе, результатом которого могут стать уничтожение, изменение, блокирование, копирование, предоставление, распространение персональных данных, а также иные неправомерные действия.

Определяем уровень защиты для вводных данных

 

Таблица-2

Определили уровень защищенности – УЗ4

 

Угрозы 4-го типа актуальны для информационной системы, если для нее актуальны угрозы, не связанные с наличием недокументированных (недекларированных) возможностей в системном и прикладном программном обеспечении, используемом в информационной системе.

Определение типа угроз безопасности персональных данных, актуальных для информационной системы, производится оператором с учетом оценки возможного вреда, проведенной во исполнение пункта 5 части 1 статьи 18.1 Федерального закона " О персональных данных", и в соответствии с нормативными правовыми актами, принятыми во исполнение части 5 статьи 19 Федерального закона " О персональных данных".

Необходимость обеспечения 4-го уровня защищенности персональных данных при их обработке в информационной системе актуальны угрозы 4-го типа и информационная система обрабатывает биометрические персональные данные менее чем 100000 субъектов персональных данных, не являющихся сотрудниками оператора.

В состав мер по обеспечению безопасности персональных данных, реализуемых в рамках системы защиты персональных данных с учетом актуальных угроз безопасности персональных данных и применяемых информационных технологий, входят:

идентификация и аутентификация субъектов доступа и объектов доступа;

управление доступом субъектов доступа к объектам доступа;

ограничение программной среды;

защита машинных носителей информации, на которых хранятся и (или) обрабатываются персональные данные (далее - машинные носители персональных данных);

регистрация событий безопасности;

антивирусная защита;

обнаружение (предотвращение) вторжений;

контроль (анализ) защищенности персональных данных;

обеспечение целостности информационной системы и персональных данных;

обеспечение доступности персональных данных;

защита среды виртуализации;

защита технических средств;

защита информационной системы, ее средств, систем связи и передачи данных;

выявление инцидентов (одного события или группы событий), которые могут привести к сбоям или нарушению функционирования информационной системы и (или) к возникновению угроз безопасности персональных данных (далее - инциденты), и реагирование на них

 

 

Таблица 3

Условное обозначение и номер меры. Содержание мер по обеспечению безопасности персональных данных. Уровень защищенности персональных данных 4.
1. Идентификация и аутентификация субъектов доступа и объектов доступа (ИАФ)
  ИАФ.1 Идентификация и аутентификация пользователей, являющихся работниками оператора. +
  ИАФ.3 Управление идентификаторами, в том числе создание, присвоение, уничтожение идентификаторов. +
    ИАФ.4 Управление средствами аутентификации, в том числе хранение, выдача, инициализация, блокирование средств аутентификации и принятие мер в случае утраты и (или) компрометации средств аутентификации +
  ИАФ.5 Защита обратной связи при вводе аутентификационной информации +
  ИАФ.6 Идентификация и аутентификация пользователей, не являющихся работниками оператора (внешних пользователей) +
2. Управление доступом субъектов доступа к объектам доступа (УПД)
  УПД.1 Управление (заведение, активация, блокирование и уничтожение) учетными записями пользователей, в том числе внешних пользователей +
  УПД.2 Реализация необходимых методов (дискреционный, мандатный, ролевой или иной метод), типов (чтение, запись, выполнение или иной тип) и правил разграничения доступа +

 


Продолжение таблицы 3

  УПД.3 Управление (фильтрация, маршрутизация, контроль соединений, однонаправленная передача и иные способы управления) информационными потоками между устройствами, сегментами информационной системы, а также между информационными системами +
  УПД.4 Разделение полномочий (ролей) пользователей, администраторов и лиц, обеспечивающих функционирование информационной системы +
  УПД.5 Назначение минимально необходимых прав и привилегий пользователям, администраторам и лицам, обеспечивающим функционирование информационной системы +
  УПД.6 Ограничение неуспешных попыток входа в информационную систему (доступа к информационной системе) +
  УПД.10 Блокирование сеанса доступа в информационную систему после установленного времени бездействия (неактивности) пользователя или по его запросу +
  УПД.11 Разрешение (запрет) действий пользователей, разрешенных до идентификации и аутентификации +
  УПД.13 Реализация защищенного удаленного доступа субъектов доступа к объектам доступа через внешние информационно-телекоммуникационные сети +

 


 

Продолжение таблицы 3

  УПД.14 Регламентация и контроль использования в информационной системе технологий беспроводного доступа +
  УПД.15 Регламентация и контроль использования в информационной системе мобильных технических средств +
  УПД.16 Управление взаимодействием с информационными системами сторонних организаций (внешние информационные системы) +
4.Защита машинных носителей персональных данных (ЗНИ)
  ЗНИ.8 Уничтожение (стирание) или обезличивание персональных данных на машинных носителях при их передаче между пользователями, в сторонние организации для ремонта или утилизации, а также контроль уничтожения (стирания) или обезличивания +
5.Регистрация событий безопасности (РСБ)
РСБ.1 Определение событий безопасности, подлежащих регистрации, и сроков их хранения +
РСБ.2 Определение состава и содержания информации о событиях безопасности, подлежащих регистрации +
РСБ.3 Сбор, запись и хранение информации о событиях безопасности в течение установленного времени хранения +
РСБ.7 Защита информации о событиях безопасности +
6.Антивирусная защита (АВЗ)
АВЗ.1 Реализация антивирусной защиты +

 


Продолжение таблицы 3

АВЗ.2 Обновление базы данных признаков вредоносных компьютерных программ (вирусов) +
8.Контроль (анализ) защищенности персональных данных (АНЗ)
АНЗ.1 Выявление, анализ уязвимостей информационной системы и оперативное устранение вновь выявленных уязвимостей +
    АНЗ.2 Контроль установки обновлений программного обеспечения, включая обновление программного обеспечения средств защиты информации +
АНЗ.3 Контроль работоспособности, параметров настройки и правильности функционирования программного обеспечения и средств защиты информации +
АНЗ.4 Контроль состава технических средств, программного обеспечения и средств защиты информации +
11.Защита среды виртуализации (ЗСВ)
ЗСВ.1 Идентификация и аутентификация субъектов доступа и объектов доступа в виртуальной инфраструктуре, в том числе администраторов управления средствами виртуализации +
ЗСВ.2 Управление доступом субъектов доступа к объектам доступа в виртуальной инфраструктуре, в том числе внутри виртуальных машин +
12.Защита технических средств (ЗТС)
         

 


Продолжение таблицы 3

ЗТС.3 Контроль и управление физическим доступом к техническим средствам, средствам защиты информации, средствам обеспечения функционирования, а также в помещения и сооружения, в которых они установлены, исключающие несанкционированный физический доступ к средствам обработки информации, средствам защиты информации. +
ЗТС.4 Размещение устройств вывода (отображения) информации, исключающее ее несанкционированный просмотр +
13.Защита информационной системы, ее средств, систем связи и передачи данных (ЗИС)
ЗИС.3 Обеспечение защиты персональных данных от раскрытия, модификации и навязывания (ввода ложной информации) при ее передаче (подготовке к передаче) по каналам связи, имеющим выход за пределы контролируемой зоны, в том числе беспроводным каналам связи +
  ЗИС.20 Защита беспроводных соединений, применяемых в информационной системе +
15.Управление конфигурацией информационной системы и системы защиты персональных данных (УКФ)
  УКФ.1 Определение лиц, которым разрешены действия по внесению изменений в конфигурацию информационной системы и системы защиты персональных данных +
  УКФ.2 Управление изменениями конфигурации информационной системы и системы защиты персональных данных +

 


Продолжение таблицы 3

  УКФ.3 Анализ потенциального воздействия планируемых изменений в конфигурации информационной системы и системы защиты персональных данных на обеспечение защиты персональных данных и согласование изменений в конфигурации информационной системы с должностным лицом (работником). +
  УКФ.4 Документирование информации (данных) об изменениях в конфигурации информационной системы и системы защиты персональных данных +

 

1.Идентификация и аутентификация субъектов доступа и объектов доступа (ИАФ)

Меры по идентификации и аутентификации субъектов доступа и объектов доступа должны обеспечивать присвоение субъектам и объектам доступа уникального признака (идентификатора), сравнение предъявляемого субъектом (объектом) доступа идентификатора с перечнем присвоенных идентификаторов, а также проверку принадлежности субъекту (объекту) доступа предъявленного им идентификатора (подтверждение подлинности).

2.Управление доступом субъектов доступа к объектам доступа (УПД)

Меры по управлению доступом субъектов доступа к объектам доступа должны обеспечивать управление правами и привилегиями субъектов доступа, разграничение доступа субъектов доступа к объектам доступа на основе совокупности установленных в информационной системе правил разграничения доступа, а также обеспечивать контроль за соблюдением этих правил.

3.Ограничение программной среды (ОПС)

Меры по ограничению программной среды должн


Поделиться:



Популярное:

Последнее изменение этой страницы: 2016-04-10; Просмотров: 1480; Нарушение авторского права страницы


lektsia.com 2007 - 2024 год. Все материалы представленные на сайте исключительно с целью ознакомления читателями и не преследуют коммерческих целей или нарушение авторских прав! (0.074 с.)
Главная | Случайная страница | Обратная связь