Файл: Политика информационной безопасности информационной системы персональных данных ооо Щит.doc
ВУЗ: Не указан
Категория: Не указан
Дисциплина: Не указана
Добавлен: 27.03.2024
Просмотров: 53
Скачиваний: 0
ВНИМАНИЕ! Если данный файл нарушает Ваши авторские права, то обязательно сообщите нам.
4. Требования к подсистемам СЗПДн
СЗПДн включает в себя следующие подсистемы:
управления доступом, регистрации и учета;
обеспечения целостности и доступности;
антивирусной защиты;
защиты информационной системы, ее средств, систем связи и передачи данных;
идентификации и аутентификации субъектов доступа и объектов доступа;
контроля защищенности;
защиты технических средств.
Подсистемы СЗПДн имеют различный функционал в зависимости от класса ИСПДн, определенного в Акте классификации информационной системы персональных данных ООО «Щит».
4.1 Подсистемы управления доступом, регистрации и учета
Подсистема управления доступом, регистрации и учета предназначена для реализации следующих функций:
идентификации и проверка подлинности субъектов доступа при входе в ИСПДн;
идентификации терминалов, узлов сети, каналов связи, внешних устройств по логическим именам;
идентификации программ, томов, каталогов, файлов, записей, полей записей по именам;
регистрации входа (выхода) субъектов доступа в систему (из системы), либо регистрация загрузки и инициализации операционной системы и ее останова.
регистрации попыток доступа программных средств (программ, процессов, задач, заданий) к защищаемым файлам;
регистрации попыток доступа программных средств к терминалам, каналам связи, программам, томам, каталогам, файлам, записям, полям записей.
Подсистема управления доступом может быть реализована с помощью штатных средств обработки ПДн (операционных систем, приложений и СУБД). Так же может быть внедрено специальное техническое средство или их комплекс осуществляющие дополнительные меры по аутентификации и контролю. Например, применение единых хранилищ учетных записей пользователей и регистрационной информации, использование биометрических и технических (с помощью электронных пропусков) мер аутентификации и других.
Рекомендуется для выполнения требований по защите от НСД для рабочих станций, подключенных к ЛВС 4 уровня защищённости ПДн использовать систему защиты информации от несанкционированного доступа (СЗИ от НСД) «Dallas Lock 8.0-K» (Сертификат ФСТЭК № 2720 от 25.09.2012г. - по 4 уровню контроля НДВ, по 5 классу СВТ, по 3 классу РД МЭ, Требований к СКСМНИ (ИТ.СКН.П4.ПЗ) по 4 классу защиты, Требования к СОВ уровня узла 4 класса).
Возможно использовать аналогичные СЗИ НСД прошедшие процедуру сертификации и выполняющие все требования.
4.2 Подсистема обеспечения целостности и доступности
Подсистема обеспечения целостности и доступности предназначена для обеспечения целостности и доступности ПДн, программных и аппаратных средств ИСПДн ООО «Щит», а так же средств защиты, при случайной или намеренной модификации.
Подсистема реализуется с помощью организации резервного копирования обрабатываемых данных, а так же резервированием ключевых элементов ИСПДн.
4.3 Подсистема антивирусной защиты
Подсистема антивирусной защиты предназначена для обеспечения антивирусной защиты серверов и ИСПДН ООО «Щит».
Средства антивирусной защиты предназначены для реализации следующих функций:
резидентный антивирусный мониторинг;
антивирусное сканирование;
скрипт-блокирование;
централизованную/удаленную установку/деинсталляцию антивирусного продукта, настройку, администрирование, просмотр отчетов и статистической информации по работе продукта;
автоматизированное обновление антивирусных баз;
ограничение прав пользователя на остановку исполняемых задач и изменения настроек антивирусного программного обеспечения;
автоматический запуск сразу после загрузки операционной системы.
Подсистема реализуется путем внедрения специального антивирусного программного обеспечения на все элементы ИСПДн.
В ИСПДн ООО «Щит» на рабочих станциях присутствуют средства антивирусной защиты DrWeb.
4.4 Подсистема защиты информационной системы, ее средств, систем связи и передачи данных
Подсистема защиты информационной системы, ее средств, систем связи и передачи данных предназначена для реализации следующих функций:
фильтрации открытого и зашифрованного (закрытого) IP-трафика по следующим параметрам;
фиксации во внутренних журналах информации о проходящем открытом и закрытом IP-трафике;
идентификации и аутентификацию администратора межсетевого экрана при его локальных запросах на доступ;
регистрации входа (выхода) администратора межсетевого экрана в систему (из системы) либо загрузки и инициализации системы и ее программного останова;
контроля целостности своей программной и информационной части;
фильтрации пакетов служебных протоколов, служащих для диагностики и управления работой сетевых устройств;
фильтрации с учетом входного и выходного сетевого интерфейса как средство проверки подлинности сетевых адресов;
регистрации и учета запрашиваемых сервисов прикладного уровня;
блокирования доступа неидентифицированного объекта или субъекта, подлинность которого при аутентификации не подтвердилась, методами, устойчивыми к перехвату;
контроля за сетевой активностью приложений и обнаружения сетевых атак.
Подсистема реализуется внедрением программно-аппаратных комплексов межсетевого экранирования, классом не ниже 4.
Рекомендуется для выполнения требований по защите от НСД установить межсетевой экран для разграничения доступа ИСПДн от сети общего пользования. Возможно использовать встроенный межсетевой экран системы защиты информации от несанкционированного доступа (СЗИ от НСД) «Dallas Lock 8.0-K» (Сертификат ФСТЭК № 2720 от 25.09.2012г. - по 4 уровню контроля НДВ, по 5 классу СВТ, по 3 классу РД МЭ, Требований к СКСМНИ (ИТ.СКН.П4.ПЗ) по 4 классу защиты, Требования к СОВ уровня узла 4 класса).
Для исключения угрозы чтения, перехвата и раскрытия персональных данных, передаваемых через открытые каналы связи, рекомендуется использовать сертифицированные средства шифрования информации. Рекомендуется применение СКЗИ «КриптоПро CSP», версия 4.0 (Сертификат ФСБ № СФ/124-3010 от 30.12.2016г. - соответствует требованиям ФСБ России
к шифровальным (криптографическим) средствам класса КС3).
Возможно использовать аналогичные СЗИ НСД прошедшие процедуру сертификации и выполняющие все требования.
4.5. Подсистема идентификации и аутентификации субъектов доступа и объектов доступа
Подсистема идентификации и аутентификации субъектов доступа и объектов доступа предназначена для реализации следующих механизмов:
-
механизм идентификации и аутентификации пользователей, являющихся работниками оператора персональных данных; -
механизм управления идентификаторами, в том числе создание, присвоение, уничтожение идентификаторов; -
механизм управления средствами аутентификации, в том числе хранение, выдача, инициализация, блокирование средств аутентификации и принятие мер в случае утраты и (или) компрометации средств аутентификации; -
механизм защиты обратной связи при вводе аутентификационной информации; -
механизм идентификации и аутентификации пользователей, не являющихся работниками оператора (внешних пользователей).
Идентификация и проверка подлинности субъектов доступа при входе в систему должно осуществляться средствами СЗИ НСД по индивидуальным имени и паролю условно-постоянного действия длиной не менее шести буквенно-цифровых символов.
Рекомендуется для выполнения требований подсистемы идентификации и аутентификации субъектов доступа и объектов доступа использовать СЗИ от НСД «Dallas Lock 8.0-K».
Возможно использовать аналогичные СЗИ НСД прошедшие процедуру сертификации и выполняющие все требования.
-
Подсистема контроля защищенности персональных данных
Подсистема контроля защищенности персональных данных предназначена для реализации следующих функций:
- обеспечения контроля установки обновлений программного обеспечения, включая обновление программного обеспечения средств защиты информации. |
Контроль установки обновлений программного обеспечения, включая обновление программного обеспечения средств защиты информации рекомендуется выполнять организационными мерами и при помощи СЗИ от НСД «Dallas Lock 8.0-K».
4.7 Подсистема защиты технических средств
Подсистема защиты технических средств предназначена для реализации следующих функций:
- обеспечение контроля и управления физическим доступом к техническим средствам, средствам защиты информации, средствам обеспечения функционирования, а также в помещения и сооружения, в которых они установлены, исключающие несанкционированный физический доступ к средствам обработки информации, средствам защиты информации и средствам обеспечения функционирования информационной системы, в помещения и сооружения, в которых они установлены; - контроль размещения устройств вывода (отображения) информации, исключающее ее несанкционированный просмотр. |
Рекомендуется размещать технические средства, обрабатывающие персональные данные в помещении на охраняемой территории и оборудованном техническими средствами охраны.
5. Реализация установленных требований к СЗИ от НСД
Реализация требований к СЗИ от НСД для защиты ИСПДн 4 уровня защищенности ООО «Щит» отражена в таблице №1
Таблица №1
Подсистемы защиты ИСПДн от НСД | Механизмы защиты сертифицированного программного обеспечения |
Подсистема управления доступом | Механизмы управления доступом: - ОС Windows 7, 8; - СЗИ от НСД «Dallas Lock 8.0-K»; |
Подсистема регистрации и учета | Механизмы регистрации и учета: - ОС Windows 7, 8; - СЗИ от НСД «Dallas Lock 8.0-K»; С помощью организационно-распорядительных мероприятий. |
Подсистема обеспечения целостности | Механизмы тестирования (самотестирования) функций безопасности ОС Windows 7, 8, Отсутствие на ПЭВМ средств разработки исполняемых модулей программного обеспечения. Контроль целостности основных конфигурационных файлов СЗИ НСД и ОС обеспечивается использованием программ контроля. |
Подсистема антивирусной защиты | Механизмы тестирования Антивирус DrWeb |
Подсистема защиты информационной системы, ее средств, систем связи и передачи данных | Встроенный межсетевой экран СЗИ от НСД «Dallas Lock 8.0-K» СКЗИ «КриптоПро CSP», версия 4.0 |
Подсистема идентификации и аутентификации субъектов доступа и объектов доступа | Механизмы идентификация, аутентификация и защиты данных: - ОС Windows 7, 8; - СЗИ от НСД «Dallas Lock 8.0-K»; |
Подсистема контроля защищенности | Организационные меры и при помощи СЗИ от НСД «Dallas Lock 8.0-K» |
Подсистема защиты технических средств | Размещение технических средств, обрабатывающих персональные данные в помещении на охраняемой территории и оборудованном техническими средствами охраны |