- •Санкт-петербургский государственный электротехнический университет
- •Кафедра Информационной безопасности
- •По дисциплине «Основы информационной безопасности» Тема: Разработка и оценка вариантов сзи соответственно профилю риска
- •Разработка мер защиты информации
- •1. Разработка мер защиты информации согласно Приказу фстэк
1. Разработка мер защиты информации согласно Приказу фстэк
№ 21
В предыдущих работах было установлено, что в соответствии с Приказом ФСТЭК №21 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных», объект имеет уровень защищенности персональных
данных в ИСПДн-И – УЗ 3.
Документами устанавливается базовый набор мер защиты. Большинство пунктов совпадают с таблицей 1, не вошедшие в неѐ приведены в таблице 2 вместе с реализующими меры средствами защиты, планируемымик внедрению в систему.
Таблица 2 – Меры по защите ПДн
ID меры |
Меры защиты информации и информационныхсистем |
Средства защиты |
Стоимость, р. |
1. Идентификация и аутентификация субъектов доступа и объектов доступа (ИАФ) |
|||
ИАФ.2 |
Идентификация и аутентификация устройств, в том числе стационарных, мобильных и портативных |
Модуль «Администратор» |
- (указана ранее) |
2. Управление доступом субъектов доступа к объектам доступа (УПД) |
|||
УПД.17 |
Обеспечение доверенной загрузки средств вычислительной техники |
СЗИ Dallas Lock |
- (указана ранее) |
3. Ограничение программной среды (ОПС) |
|||
ОПС.2 |
Управление установкой (инсталляцией) компонентов программного обеспечения, в том числе определение компонентов, подлежащих установке, настройка параметров установки компонентов, контроль за установкой компонентов программного обеспечения |
СЗИ Dallas Lock |
- (указана ранее) |
8. Обеспечение целостности информационной системы и информации (ОЦЛ) |
|||
ОЦЛ.1 |
Контроль целостности программного обеспечения, включая программное обеспечение средств защиты информации |
Dr.Web Enterprise Security Suite |
- (указана ранее) |
ОЦЛ.4 |
Обнаружение и реагирование на поступление в информационную систему незапрашиваемых электронныхсообщений (писем, документов) и иной информации, не относящихся к функционированию информационной системы (защита от спама) |
||
9. Обеспечение доступности персональных данных (ОДТ) |
|||
ОДТ.4 |
Периодическое резервное копирование персональных данных на резервные машинные носители персональных данных |
Dr.Web Enterprise Security Suite |
- (указана ранее) |
ОДТ.5 |
Обеспечение возможности восстановления персональных данных с резервных машинных носителей персональных данных (резервных копий) в течение установленного временного интервала |
||
10. Защита среды виртуализации (ЗСВ) |
|||
ЗСВ.6 |
Управление перемещением виртуальных машин (контейнеров) и обрабатываемыхна них данных |
vGate R2 Standard |
- (указана ранее) |
ЗСВ.7 |
Контроль целостности виртуальной инфраструктуры и ее конфигураций |
||
ЗСВ.8 |
Резервное копирование данных, резервирование технических средств, программного обеспечения виртуальной инфраструктуры, а также каналов связи внутри виртуальной инфраструктуры |
|
|
12. Защита информационной системы, ее средств, систем связи и передачи данных (ЗИС) |
|||
ЗИС.11 |
Обеспечение подлинности сетевых соединений (сеансов взаимодействия), в том числе для защиты отподмены сетевых устройств и сервисов |
СЗИ Dallas Lock |
- (указана ранее) |
ЗИС.15 |
Защита архивных файлов, параметров настройки средств защиты информации и программного обеспечения и иных данных, не подлежащих изменению в процессе обработки персональных данных |
||
ЗИС.17 |
Разбиение информационной системы на сегменты (сегментирование информационной системы) и обеспечение защиты периметров сегментов информационной системы |
||
13. Выявление инцидентов и реагирование на них (ИНЦ) |
|||
ИНЦ.1 |
Определение лиц, ответственных за выявление инцидентов и реагирование на них |
|
- (указана ранее) |
ИНЦ.2 |
Обнаружение, идентификация и регистрация инцидентов |
||
ИНЦ.3 |
Своевременное информирование лиц, ответственных инцидентов и реагирование на них, о возникновени информационной системе пользователями и администрато |
||
ИНЦ.4 |
Анализ инцидентов, в том числе определение источников и причин возникновения инцидентов, а также оценка их последствий |
||
ИНЦ.5 |
Принятие мер по устранению последствий инцидентов |
||
ИНЦ.6 |
Планирование и принятие мер по предотвращению повторного возникновения инцидентов |
||
14. Управление конфигурацией информационной системы и системы защиты персональных данных (УКФ) |
|||
УКФ.1 |
Определение лиц, которым разрешены действия по внесению изменений в конфигурацию информационной системы и системы защиты персональных данных |
Сервис “Panda Systems Management” |
20 000 |
УКФ.2 |
Управление изменениями конфигурации информацион системы защиты персональных данных |
||
УКФ.3 |
Анализ потенциального воздействия планируемых конфигурации информационной системы и системы защи данных на обеспечение защиты персональных данны изменений в конфигурации информационной системы лицом (работником), ответственным за обеспечен персональных данных |
|
|
Итоговый перечень средств защиты представлен в таблице 3.
Таблица 3 – Итоговый перечень средств защиты
Наименование средства |
Количество |
Цена, р. |
СЗИ Dallas Lock 8.0-К |
125 лицензий |
75 000 |
Dr.Web Enterprise Security Suite |
125 лицензий, централизованное управление защитой |
44 600 |
Dr.Web Enterprise Security Space |
80 лицензий, централизованное управление защитой |
44 600 |
Континент TLS |
1 шт, До 125 подключений к TLS серверу для безопасного шифрованного доступа в Интернет |
150 380 |
Система видеонаблюдение «Оракул» |
Круглосуточное видеонаблюдение |
16 000 |
Система пожарной безопасности |
Круглосуточно |
15 000 |
Частная служба охраны |
Круглосуточно |
45 000 |
СКУД |
Круглосуточно |
38 000 |
Итого |
|
405 750 |
ВЫВОДЫ
В результате классификации по классу защищенности ГИС К3 и уровню защищенности ИСПДн-И, в соответствии с перечнями мер, указанными в Приказах ФСТЭК № 17 и № 25, для локальной сети центрального офиса ООО «Скайнэт» был разработан комплекс мер защиты информации и представлен список средств защиты. Для средств защиты рассчитана их суммарная стоимость – 405 750 рублей.