- •Перечень используемых сокращений
- •Постановка задачи
- •Перечень использованных нормативных и нормативно-методических документов
- •Описание организации, владельца информационной системы
- •Описание информационной системы персональных данных
- •1. Наименование организации
- •2. Наименование испДн
- •3. Физическое расположение испДн
- •4. Логическая структура испДн
- •Акт предварительной классификации информационной системы персональных данных
- •Акт предварительной классификации информационной системы персональных данных «Хранилище»
- •Перечень персональных данных, обрабатываемый организацией
- •Положение об обработке персональных данных субъектов
- •1. Общие требования при обработке персональных данных
- •2. Получение персональных данных
- •3. Хранение персональных данных
- •4. Передача персональных данных
- •5. Уничтожение персональных данных
- •Регламент по работе с носителями персональных данных
- •Регламент по работе с носителями персональных данных
- •Регламент реагирования на запросы субъектов
- •Регламент реагирования на запросы субъектов
- •План внутренних проверок обработки пДн
- •План внутренних проверок обработки пДн
- •Регламент по порядку обезличивания пДн в испДн
- •Регламент по порядку обезличивания пДн в испДн
- •Положение о защите персональных данных
- •Перечень должностей служащих государственного или муниципального органа, ответственных за проведение мероприятий по обезличиванию обрабатываемых персональных данных
- •Перечень должностей служащих государственного или муниципального органа, ответственных за проведение мероприятий по обезличиванию обрабатываемых персональных данных
- •Перечень должностей служащих государственного или муниципального органа, ответственных за проведение мероприятий по обработке персональных данных
- •Перечень должностей служащих государственного или муниципального органа, ответственных за проведение мероприятий по обработке персональных данных
- •Приказ о назначении и закреплении функциональных обязанностей ответственного за организацию обработки персональных данных
- •Политика обработки персональных данных
- •Политика обработки персональных данных
- •Описание доверенных пользователей информационной системы персональных данных с обоснованием
- •Оценка возможности сговора нарушителей
- •Оценка исходной защищенности информационной системы персональных данных
- •Модель нарушителя для информационной системы персональных данных
- •Модель нарушителя в соответствии с требованиями нормативных документов фсб России
- •Модель угроз безопасности персональных данных при их обработке в информационной системе персональных данных
- •Модель атак для испДн
- •Перечень актуальных угроз, атак и меры противодействия
- •Классы используемых средств защиты информации
- •Частное техническое задание на выполнение работ по созданию системы защиты персональных данных
- •Пояснительная записка к техническому проекту на создание системы защиты персональных данных
- •4.5 Система контроля защищенности «Сканер вс»
- •4.6 Система Secret Disk
4.5 Система контроля защищенности «Сканер вс»
Система представляет собой загрузочныйDVDилиUSB-накопитель с ОС и предустановленным программным обеспечением для комплексного тестирования защищенности информационных систем
Функциональные возможности:
Определение топологии и инвентаризации ресурсов сети;
Поиск уязвимостей;
Локальный и сетевой аудит стойкости паролей;
Поиск остаточной информации на жестком диске;
Перехват и анализ сетевого трафика;
Аудит ПО и аппаратной конфигурации;
Контроль целостности;
Аудит WI-FI сетей
Модуль гарантированной очистки информации;
4.6 Система Secret Disk
Сертифицированная версия Secret Disk 4 может использоваться в ИСПДн до 2 класса включительно и для создания автоматизированных систем до класса защищенности 1Г включительно. Комплектуется сертифицированным ключом eToken PRO (Java).
Защита информации от несанкционированного доступа;
Двухфакторная аутентификация с помощью электронного ключа eToken;
Защита системного раздела;
Прозрачная работа для пользователя;
Соответствие закону по защите персональных данных.
Описание организации работ с применением разрабатываемой системы защиты информации
Ввод СЗИ в эксплуатацию
Для ввода спроектированной СЗИ в эксплуатацию необходимо внести следующие изменения в структуру АС Заказчика:
Разместить компоненты АПКШ «Континент» в серверном помещении основного офиса Заказчика;
Подключить коммутаторы к КШ «Континент» в основном офисе,
Подключить КШ «Континент» к внешней сети Интернет в основном офисе Заказчика;
Установить на АРМ администратора СЗИ ПУ сетью КШ «Континент» и агент ЦУС согласно руководству администратора;
Установить в системные блоки АРМ, АРМ администратора СЗИ на самих АРМ и сервере установить ПО комплекса «Соболь» согласно руководству администратора;
Установить на АРМ администратора СЗИ консоль администрирования SecurityStudioEndpointProtectionсогласно руководству администратора;
Установить на сервере администрирования SecurityStudioEndpointProtectionсогласно руководству администратора;
Осуществить введение комплекса организационных мер, сопровождаемых необходимой организационно-распорядительной документацией, по организации и проведению мероприятий по учету защищаемых носителей информации, по тестированию функций СЗИ НСД, по проверке, обновлению и контролю работоспособности средств восстановления СЗИ НСД, а также контроль их выполнения.
Иметь систему контроля защищенности «Сканер ВС» на загрузочном DVDилиUSB-накопителе.
Ожидаемые технико-экономические показатели
Для создания СЗПДн «Хранилище» необходимо приобретение СЗИ. Для использования рекомендуемых СЗИ требуется закупка дополнительных аппаратных средств. Полный список наименований, рекомендованных к приобретению, представлен в таблице ниже.
Таблица. Список наименований, рекомендованных к приобретению
Наименование |
Цена, руб. |
Кол-во, шт. |
Стоимость, руб. |
Аппаратно-программный комплекс шифрования «Континент» |
269 000 |
1 |
269 000 |
Аппаратно-программное средство защиты от НСД Электронный замок «Соболь» |
9 200 |
5 |
46 000 |
Система антивирусной защиты Symantec Endpoint Protection Small Business Edition |
600 |
20 |
12 000 |
СЗИ от НСД SecretNet 7 |
182200 |
1 |
162200 |
Система анализа защищенности «Сканер ВС» |
30000 |
1 |
30000 |
Система Secret Disk 4 |
290 |
50 |
145000 |
Итоговая минимальная стоимость рекомендуемых к приобретению СЗИ, аппаратных средств составляет 664 200 руб.
Уровень стандартизации и унификации
Применяемый в данной системе защиты АПКШ «Континент» удовлетворяет требованиям РД ФСТЭК России «Средства вычислительной техники. Межсетевые экраны. Защита от несанкционированного доступа. Показатели защищенности от несанкционированного доступа к информации» по 4-му классу защищенности и требованиям РД «Защита от несанкционированного доступа к информации. Часть 1. Программное обеспечение средств защиты информации. Классификация по уровню контроля отсутствия недекларированных возможностей» - по 3-му уровню контроля. Также АПКШ "Континент" удовлетворяет требованиям к стойкости СКЗИ классов КС1 и КС2 и может быть использован для криптографической защиты конфиденциальной информации.
Система антивирусной защиты «SecurityStudioEndpointProtectionAntivirus», функционирующая в данной системе защиты соответствует требованиям РД ФСТЭК России "Защита от несанкционированного доступа к информации. Часть 1. Программное обеспечение средств защиты информации. Классификация по уровню контроля отсутствия недекларированных возможностей" - по 4 уровню контроля и требованиям технических условий.
ЭЗ «Соболь», используемый при построении системы защиты соответствует требованиям РД ФСТЭК России «Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации» и позволяет использовать данный продукт при разработке систем защиты для автоматизированных систем с классом защищенности до 1В включительно.
СЗИ от НСД «SecretNet» 7cсоответствует РД по 2-му уровню контроля на отсутствие НДВ и 3-му классу защищенности по СВТ. Может использоваться в АС до класса 1Б включительно и в ИСПДн до класса К1 включительно.
Система анализа защищенности «Сканер ВС» соответствует требованиям руководящего документа «Защита от несанкционированного доступа к информации. Часть 1. Программное обеспечение средств защиты информации . Классификация по уровню контроля отсутствия недекларированных возможностей» - по 4 уровню контроля и технических условий.
1 По приказу Министра здравоохранения Республики Тыва утечка информации с использованием закладных программно-аппаратных устройств считается неактуальной (с. 10, Описание информационной системы персональных данных, п.4).
2Описание информационной системы персональных данных, с. 10, п. 4