Выявление объектов информатизации для защиты

Условное обозначение и номер меры

Содержание мер по обеспечению безопасности персональных данных

Средства реализации мер

I. Идентификация и аутентификация субъектов доступа и объектов доступа (ИАФ)

ИАФ.1

Идентификация и аутентификация пользователей, являющихся работниками оператора

- Возможность входа пользователей в систему, как по логину/паролю, так и с использованием аппаратных средств усиленной аутентификации. Стандартная аутентификация, усиленная аутентификация по ключу, усиленная аутентификация по паролю

ИАФ.3

Управление идентификаторами, в том числе создание, присвоение, уничтожение идентификаторов

- Управление учетными записями, присвоение аппаратных средств аутентификации

ИАФ.4

Управление средствами аутентификации, в том числе хранение, выдача, инициализация, блокирование средств аутентификации и принятие мер в случае утраты и (или) компрометации средств аутентификации

- Управление паролями, назначение аппаратных средств аутентификации.

ИАФ.5

Защита обратной связи при вводе аутентификационной информации

- Наличие функциональной возможности, позволяющей осуществлять идентификацию и аутентификация пользователей при доступе к сетевым ресурсам в том числе посредством VPN соединения.

ИАФ.6

Идентификация и аутентификация пользователей, не являющихся работниками оператора (внешних пользователей)

- Межсетевой экран, авторизация соединений

II. Управление доступом субъектов доступа к объектам доступа (УПД)

УПД.1

Управление (заведение, активация, блокирование и уничтожение) учетными записями пользователей, в том числе внешних пользователей

- Управление учетными записями в программе управления пользователями SNS

УПД.2

Реализация необходимых методов (дискреционный, мандатный, ролевой или иной метод), типов (чтение, запись, выполнение или иной тип) и правил разграничения доступа

- Дискреционный метод разграничения доступа к объектам ФС, устройствам компьютера (usb, физические диски, принтеры, сетевые интерфейсы). Мандатный метод разграничения доступа к объектам ФС, устройствам (usb, диски, принтеры, сетевые интерфейсы)

УПД.3

Управление (фильтрация, маршрутизация, контроль соединений, однонаправленная передача и иные способы управления) информационными потоками между устройствами, сегментами информационной системы, а также между информационными системами

УПД.4

Разделение полномочий (ролей) пользователей, администраторов и лиц, обеспечивающих функционирование информационной системы

- Права доступа/группы пользователей, администраторов, защита от локального администратора

УПД.5

Назначение минимально необходимых прав и привилегий пользователям, администраторам и лицам, обеспечивающим функционирование информационной системы

- Разграничение уровня доступа

УПД.6

Ограничение неуспешных попыток входа в информационную систему (доступа к информационной системе)

- Задается количество неудачных попыток аутентификации, после чего компьютер будет блокирован

УПД.10

Блокирование сеанса доступа в информационную систему после установленного времени бездействия (неактивности) пользователя или по его запросу

- Возможность блокировки сессии пользователя по периоду неактивности

УПД.11

Разрешение (запрет) действий пользователей, разрешенных до идентификации и аутентификации

- Без входа в систему (идентификации и аутентификации) все действия недоступны

УПД.13

Реализация защищенного удаленного доступа субъектов доступа к объектам доступа через внешние информационно-телекоммуникационные сети

- Наличие функциональной возможности, позволяющей создавать VPN-подключения одного из следующих типов: Remote access VPN, Site-to-Site VPN.

УПД.14

Регламентация и контроль использования в информационной системе технологий беспроводного доступа

- Наличие функциональной возможности, позволяющей осуществлять фильтрацию сетевого трафика на уровне L3-L7.

УПД.15

Регламентация и контроль использования в информационной системе мобильных технических средств

- Контроль подключения мобильных устройств. Реализация указанной меры включает в себя периодическое получение с объекта защиты информации о подключенных к нему устройствах с использованием активного сбора данных.

УПД.16

Управление взаимодействием с информационными системами сторонних организаций (внешние информационные системы)

- Выявление и контроль (проверка/учет) информационных потоков по сетевым реквизитам источников и получателей, а также протоколу и данным пакетов. Осуществляется контроль информационных потоков, для которых источник или получатель находится за пределами защищаемой АСУ ТП.

Ш Защита машинных ностителей информации

ЗНИ.8

Уничтожение (стирание) или обезличивание персональных данных на машинных носителях при их передаче между пользователями, в сторонние организации для ремонта или утилизации, а также контроль уничтожения (стирания) или обезличивания

- Автоматическое затирание удаляемых данных с носителей. Полное затирание данных на носителей по команде администратора

Регистрация событий безопасности

РСБ.1

Определение событий безопасности, подлежащих регистрации, и сроков их хранения

- Регистрация событий безопасности в журнале Secret Net Studio, оперативные оповещения об НСД

РСБ.2

Определение состава и содержания информации о событиях безопасности, подлежащих регистрации

- Регистрация событий безопасности в журнале Secret Net Studio, оперативные оповещения об НСД

РСБ.3

Сбор, запись и хранение информации о событиях безопасности в течение установленного времени хранения

- C 8.5 - События безопасности в журнале Secret Net Studio, оперативные оповещения об НСД. Общая, графическая панель мониторинга защищенности системы (защищаемого контура), с отображением оперативных данных и статистики

РСБ.7

Защита информации о событиях безопасности

- Контроль целостности журнала Secret Net Studio

Антивирусная защита

АВЗ.1

Реализация антивирусной защиты

Наличие модуля антивирусной защиты, позволяющего выполнять проверку сетевого трафика на наличие вредоносного кода.

АВЗ.2

Обновление базы данных признаков вредоносных компьютерных программ (вирусов)

- Возможность обновления баз сигнатур вирусов как в сетевой версии, так и в локальной

Анализ защищённости

АНЗ.1

Выявление, анализ уязвимостей информационной системы и оперативное устранение вновь выявленных уязвимостей

- Внутренняя синхронизация времени с ЦУС. ЦУС - синхронизация с сервером во внешней сети по NTP

АНЗ.2

Контроль установки обновлений программного обеспечения, включая обновление программного обеспечения средств защиты информации

- Контроль списка установленного ПО. Включает в себя периодическое получение с объекта защиты информации об установленном на нем ПО с использованием активного сбора данных с объекта защиты и контроль за изменением получаемой информации (конфигурации).

АНЗ.3

Контроль работоспособности, параметров настройки и правильности функционирования программного обеспечения и средств защиты информации

- Проведение функционального контроля

Защита среды виртуализации

ЗСВ.1

Идентификация и аутентификация субъектов доступа и объектов доступа в виртуальной инфраструктуре, в том числе администраторов управления средствами виртуализации

- Идентификация объектов получающих доступ к виртуальной инфрастурктуре

ЗСВ.2

Управление доступом субъектов доступа к объектам доступа в виртуальной инфраструктуре, в том числе внутри виртуальных машин

- Контроль миграции, клонирования и других операции с виртуальными машинами

ЗСВ.3

Регистрация событий безопасности в виртуальной инфраструктуре

- Мониторинг и корреляция событий безопасности в виртуальной инфрастурктуре

ЗСВ.9

Реализация и управление антивирусной защитой в виртуальной инфраструктуре

- Мониторинг и корреляция событий безопасности в виртуальной инфрастурктуре

ЗСВ.10

Разбиение виртуальной инфраструктуры на сегменты (сегментирование виртуальной инфраструктуры) для обработки персональных данных отдельным пользователем и (или) группой пользователей

- Все защищаемые сервера распологаются за сервером авторизации vGate, сегментация виртуальных сетей метками безопасности

Защита технических средств

ЗТС.3

Контроль и управление физическим доступом к техническим средствам, средствам защиты информации, средствам обеспечения функционирования, а также в помещения и сооружения, в которых они установлены, исключающие несанкционированный физический доступ к средствам обработки информации, средствам защиты информации и средствам обеспечения функционирования информационной системы, в помещения и сооружения, в которых они установлены

Комплекс инженерно-технических средств охраны (КИТСО). Системы контроля и управления доступом (СКУД). Использование замков на монтажных шкафах, блок-боксах и т.п

ЗТС.4

Размещение устройств вывода (отображения) информации, исключающее ее несанкционированный просмотр

Комплекс инженерно-технических средств охраны (КИТСО). Применение устройств с отключенными / отсутствующими возможностями по выводу информации.

ЗТС.5

Защита от внешних воздействий (воздействий окружающей среды, нестабильности электроснабжения, кондиционирования и иных внешних факторов)

Комплекс инженерно-технических средств охраны (КИТСО). Использование систем бесперебойного питания

Защита информационной среды

ЗИС.3

Обеспечение защиты персональных данных от раскрытия, модификации и навязывания (ввода ложной информации) при ее передаче (подготовке к передаче) по каналам связи, имеющим выход за пределы контролируемой зоны, в том числе беспроводным каналам связи

- Шифрованный канал, имитовставка

ЗИС.20

Защита беспроводных соединений, применяемых в информационной системе

- Наличие функциональной возможности, позволяющей обеспечить безопасный гостевой интернет-доступ через Wi-Fi сеть.

Управление конфигурацией

УКФ.1

Определение лиц, которым разрешены действия по внесению изменений в конфигурацию информационной системы и системы защиты персональных данных

- Объекты защиты DATAPK являются объектами управления конфигурацией. Для объектов защиты обеспечивается управление конфигурациями в части их контроля с использованием активного сбора данных.

УКФ.2

Управление изменениями конфигурации информационной системы и системы защиты персональных данных

- Управление конфигурациями реализуется путем:

• идентификации конфигурации АСУ ТП в широком смысле (состав узлов, потоков, конфигураций объектов защиты) и ее параметров;

• привязки конфигураций к объектам защиты, контроля изменений;

• возможностью управления статусом конфигураций (в т. ч. задания статуса эталонной конфигурации, легитимности узла или потока путем определения таких статусов из интерфейса CL DATAPK);

• выявления факта несанкционированного изменения конфигурации;

• реагирования на выявленный инцидент ИБ силами ответственных лиц.

УКФ.3

Анализ потенциального воздействия планируемых изменений в конфигурации информационной системы и системы защиты персональных данных на обеспечение защиты персональных данных и согласование изменений в конфигурации информационной системы с должностным лицом (работником), ответственным за обеспечение безопасности персональных данных

- Контроль списка установленного ПО. Включает в себя периодическое получение с объекта защиты информации об установленном на нем ПО с использованием активного сбора данных с объекта защиты и контроль за изменением получаемой информации (конфигурации).

УКФ.4

Документирование информации (данных) об изменениях в конфигурации информационной системы и системы защиты персональных данных

- Контроль изменения конфигураций. Включает в себя периодическое получение с объекта защиты конфигурации с использованием активного сбора данных и контроль за изменением получаемой конфигурации.