МИНОБРНАУКИ РОССИИ САНКТ-ПЕТЕРБУРГСКИЙ ГОСУДАРСТВЕННЫЙ ЭЛЕКТРОТЕХНИЧЕСКИЙ УНИВЕРСИТЕТ «ЛЭТИ» ИМ. В.И. УЛЬЯНОВА (ЛЕНИНА) Кафедра Информационной безопасности
ОТЧЕТ по Основам информационной безопасности
Практическая работа №15 Тема: «Разработка и оценка вариантов СЗИ соответственно профилю
риска»
Студент гр.
Преподаватель
Санкт-Петербург
2023
ВВЕДЕНИЕ
Цель работы: провести разработку списка контрмер, дать дополнительные рекомендации по проекту защиты (Приказы №17, 235, 239 ФСТЭК).
Задача: разработать список контрмер, дать дополнительные рекомендации по проекту защиты.
Предприятие: Филиал «Карельский» ПАО «ТГК-1» (ПАО Территориальная Генерирующая Компания 1).
Объект: CRM-система.
1. Рассмотрим комплекс составленных ПО РискМенеджер — Анализ
v3.5 контрмер.
Комплексы мер по модели
КМ 1
КМ 2
Модель: Филиал «Карельский» ПАО «Тгк-1» (CRM-система)
Комплекс мер: КМ по внедрению политики безопасности
|
|
Потенциал снижения риска: 200,00 |
Экспертная оценка стоимости: 250,00 |
Расчетная стоимость: 600,00 |
Экспертно-расчетная оценка стоимости: |
|
300,00 |
Мера: М.09. Планирование бесперебойной работы организации
Регион: Карелия
ЛС: Петрозаводская ТЭЦ
ПС: По ЛС в целом
|
|
|
|
Объект: АИС |
|
|
|
Потенциал |
Расчетная |
Экспертная оценка |
Код |
снижения риска: |
стоимость: 0,00 |
стоимости: 0,00 |
упорядочивания: |
40,00 |
|
|
|
Мера: М.03.02. Классификация информации по уровням секретности |
|||
Регион: Карелия |
|
|
|
ЛС: Петрозаводская ТЭЦ |
|
|
|
ПС: По ЛС в целом |
|
|
|
Объект: АИС |
|
|
|
Потенциал |
Расчетная |
Экспертная оценка |
Код |
снижения риска: |
стоимость: 70,00 |
стоимости: 0,00 |
упорядочивания: |
20,00 |
|
|
|
Мера: М.03.01. Обеспечение ответственности за информационные ресурсы |
|||
Регион: Карелия |
|
|
|
ЛС: Петрозаводская ТЭЦ |
|
|
|
ПС: По ЛС в целом |
|
|
|
Объект: АИС |
|
|
|
Потенциал |
Расчетная |
Экспертная оценка Код |
|
снижения риска: |
стоимость: 80,00 |
стоимости: 70,00 |
упорядочивания: 2 |
60,00 |
|
|
|
Мера: М.02.01 Создание инфраструктуры управления информационной безопасностью
Регион: Карелия
ЛС: Петрозаводская ТЭЦ
ПС: По ЛС в целом
|
|
|
|
|
Объект: АИС |
|
|
|
|
Потенциал |
Расчетная |
|
Экспертная оценка |
Код |
снижения риска: |
стоимость: 200,00 |
|
стоимости: 0,00 |
упорядочивания: |
20,00 |
|
|
|
|
Мера: М.01.01. Разработка, внедрение и поддержка политики безопасности |
||||
Регион: Карелия |
|
|
|
|
ЛС: Петрозаводская ТЭЦ |
|
|
|
|
ПС: По ЛС в целом |
|
|
|
|
Объект: АИС |
|
|
|
|
Потенциал |
Расчетная |
|
Экспертная оценка |
Код |
снижения риска: |
стоимость: 250,00 |
|
стоимости: 230,00 |
упорядочивания: 1 |
20,00 |
|
|
|
|
Комплекс мер: КМ по развитию инфраструктуры управления ИБ |
||||
Потенциал снижения риска: 100,00 |
Экспертная оценка стоимости: 300,00 |
|||
Расчетная стоимость: 450,00 |
Экспертно-расчетная оценка стоимости: |
|||
|
|
230,00 |
|
|
Мера: М.02.01 Создание инфраструктуры управления информационной безопасностью
Регион: Карелия
ЛС: Группа ГЭС
ПС: По ЛС в целом
Объект: АИС |
|
|
|
Потенциал |
Расчетная |
Экспертная оценка |
Код |
снижения риска: |
стоимость: 200,00 |
стоимости: 120,00 |
упорядочивания: 1 |
70,00 |
|
|
|
Мера: М.01.01. Разработка, внедрение и поддержка политики безопасности |
|||
Регион: Карелия |
|
|
|
ЛС: Группа ГЭС |
|
|
|
ПС: По ЛС в целом |
|
|
|
Объект: АИС |
|
|
|
Потенциал |
Расчетная |
Экспертная оценка |
Код |
снижения риска: |
стоимость: 250,00 |
стоимости: 110,00 |
упорядочивания: 2 |
30,00 |
|
|
|
Лучшим комплексом мер является комплекс мер 1 по внедрению средств защиты, так как стоимость минимальная.
2. Выбор комплекса контр-мер
Приемлемым остаточным риском является риск не превышающий 363,75 USD, представленный КМ удовлетворяется сформированным требованиям.
Рисунки 1 — остаточный риск
Сравнение комплексов мер по уровням остаточных рисков в разрезе структуры оцениваемой системы
КМ 1
Остаточный Уменьшение риск риска
|
|
|
Модель: Филиал «Карельский» ПАО «Ткг-1» |
Риск до принятия мер: |
|
|
2425,83 |
|
КМ по внедрению политики безопасности |
1775,88 |
649,95 |
Регион: Карелия |
Риск до принятия мер: |
|
|
1772,50 |
|
КМ по внедрению политики безопасности |
1122,55 |
649,95 |
ЛС: Петрозаводская ТЭЦ |
Риск до принятия мер: |
|
|
1772,50 |
|
КМ по внедрению политики безопасности |
1122,55 |
649,95 |
ПС: По ЛС в целом |
Риск до принятия мер: |
|
|
1772,50 |
|
КМ по внедрению политики безопасности |
1122,55 |
649,95 |
Объект: АИС |
Риск до принятия мер: |
|
|
1572,50 |
|
КМ по внедрению политики безопасности |
922,55 |
649,95 |
Объект: Ключевые серверы обработки |
Риск до принятия мер: |
|
информации |
200,00 |
|
КМ по внедрению политики безопасности |
200,00 |
0,00 |
Регион: Карелия |
Риск до принятия мер: |
|
|
653,33 |
|
КМ по внедрению политики безопасности |
653,33 |
0,00 |
ЛС: Группа ГЭС |
Риск до принятия мер: |
|
|
653,33 |
|
КМ по внедрению политики безопасности |
653,33 |
0,00 |
ПС: По ЛС в целом |
Риск до принятия мер: |
|
|
600,00 |
|
КМ по внедрению политики безопасности |
600,00 |
0,00 |
Объект: Серверы аутентификации |
Риск до принятия мер: |
|
|
100,00 |
|
КМ по внедрению политики безопасности |
100,00 |
0,00 |
Объект: Межсетевое экранирование |
Риск до принятия мер: |
|
|
500,00 |
|
КМ по внедрению политики безопасности |
500,00 |
0,00 |
Объект: АИС |
Риск до принятия мер: |
|
|
0,00 |
|
КМ по внедрению политики безопасности |
0,00 |
0,00 |
3.Разработка мер защиты информации согласно Приказу ФСТЭК №17.
Всоответствии с Приказом ФСТЭК №17 «Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах», CRM-система имеет класс защищенности К2.
ID меры |
Меры защиты информации и |
Средства защиты |
Стоимость, USD |
||||||
|
информационных систем |
|
|
|
|||||
|
1. Идентификация и аутентификация субъектов доступа и объектов доступа (ИАФ) |
||||||||
ИАФ.1 |
Идентификация |
и |
аутентификация |
Indeed Access Manager |
50 |
||||
|
пользователей, являющихся работниками |
|
|
||||||
|
оператора |
|
|
|
|
|
|
|
|
ИАФ. 4 |
Управление средствами аутентификации, |
Indeed Access Manager |
50 |
||||||
|
в том числе хранение, выдача, |
|
|
||||||
|
инициализация, |
блокирование |
средств |
|
|
||||
|
аутентификации и принятие мер в случае |
|
|
||||||
|
утраты и (или) компрометации средств |
|
|
||||||
|
аутентификации |
|
|
|
|
|
|
||
ИАФ. 5 |
Защита обратной связи при вводе |
Indeed Access Manager |
50 |
||||||
|
аутентификационной информации |
|
|
|
|||||
ИАФ.6 |
Идентификация |
и |
аутентификация |
Indeed Access Manager |
50 |
||||
|
пользователей, |
не |
|
являющихся |
|
|
|||
|
работниками |
оператора |
(внешних |
|
|
||||
|
пользователей) |
|
|
|
|
|
|
|
|
|
2. Управление доступом субъектов доступа к объектам доступа (УПД) |
|
|||||||
УПД.1 |
Управление |
|
(заведение, |
активация, |
Модуль «Администратор» |
200 |
|||
|
блокирование и уничтожение) учетными |
|
|
||||||
|
записями пользователей, в том числе |
|
|
||||||
|
внешних пользователей |
|
|
|
|
|
|||
УПД.2 |
Реализация |
|
необходимых |
методов |
Модуль «Администратор» |
200 |
|||
|
(дискреционный, мандатный, ролевой или |
|
|
||||||
|
иной метод), типов (чтение, запись, |
|
|
||||||
|
выполнение или иной тип) и правил |
|
|
||||||
|
разграничения доступа |
|
|
|
|
|
|||
УПД.3 |
Управление (фильтрация, маршрутизация, |
СЗИ Dallas Lock |
100 |
||||||
|
контроль соединений, |
однонаправленная |
|
|
|||||
|
передача и иные способы управления) |
|
|
||||||
|
информационными |
потоками |
между |
|
|
||||
|
устройствами, |
|
|
|
сегментами |
|
|
||
|
информационной системы, а также между |
|
|
||||||
|
информационными системами |
|
|
|
|||||
УПД.4 |
Разделение |
|
полномочий |
|
(ролей) |
Модуль «Администратор» |
200 |
||
|
пользователей, |
администраторов |
и лиц, |
|
|
||||
|
обеспечивающих |
функционирование |
|
|
|||||
|
информационной системы |
|
|
|
|
|
|||
УПД.5 |
Назначение |
минимально |
необходимых |
Модуль «Администратор» |
200 |
||||
|
прав и |
привилегий |
пользователям, |
|
|
||||
|
администраторам |
и |
|
|
лицам, |
|
|
||
|
обеспечивающим |
функционирование |
|
|
|||||
|
информационной системы |
|
|
|
|
|
|||
УПД.11 |
Разрешение |
|
(запрет) |
|
действий |
Модуль «Администратор» |
200 |
||
|
пользователей, |
разрешенных |
до |
|
|
||||
|
идентификации и аутентификации |
|
|
|
|||||
УПД.13 |
Реализация |
защищенного |
удаленного |
ViPNet Client |
100 |
||||
|
доступа субъектов доступа к объектам |
|
|
||||||
|
доступа через внешние информационно- |
|
|
||||||
|
телекоммуникационные сети |
|
|
|
|
||||
УПД.14 |
Регламентация и контроль использования |
СЗИ Dallas Lock |
100 |
||||||
|
в информационной системе |
технологий |
|
|
|||||
|
беспроводного доступа |
|
|
|
|
|
|||
УПД.15 |
Регламентация и контроль использования |
СЗИ Dallas Lock |
100 |
||||||
|
в информационной системе |
мобильных |
|
|
|||||
|
технических средств |
|
|
|
|
|
|
||
|
|
|
3. Ограничение программной среды (ОПС) |
|
|||||
ОПС.3 |
Установка |
|
|
(инсталляция) |
только |
СЗИ Dallas Lock |
100 |
|||||
|
разрешенного |
|
к |
|
|
использованию |
|
|
||||
|
программного обеспечения и (или) его |
|
|
|||||||||
|
компонентов |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
4. Защита машинных носителей информации (ЗНИ) |
|
||||||
ЗНИ.1 |
Учет машинных носителей информации |
СЗИ Dallas Lock |
100 |
|||||||||
|
|
|
|
|
|
|
|
|
|
|||
ЗНИ.2 |
Управление |
|
доступом |
|
к |
|
машинным |
СЗИ Dallas Lock |
100 |
|||
|
носителям ранее) информации |
|
|
|
||||||||
ЗНИ.8 |
Уничтожение (стирание) информации на |
СЗИ Dallas Lock |
100 |
|||||||||
|
машинных носителях при их передаче |
|
|
|||||||||
|
между |
пользователями, |
в |
|
сторонние |
|
|
|||||
|
организации для ремонта или утилизации, |
|
|
|||||||||
|
а также контроль уничтожения (стирания) |
|
|
|||||||||
|
|
|
|
|
|
|
|
|||||
|
|
|
|
|
5. Регистрация событий безопасности (РСБ) |
|
||||||
РСБ.1 |
Определение |
|
событий |
безопасности, |
СЗИ Dallas Lock |
100 |
||||||
|
подлежащих регистрации, и сроков их |
|
|
|||||||||
|
хранения |
|
|
|
|
|
|
|
|
|
|
|
РСБ.2 |
Определение |
|
состава |
и |
содержания |
СЗИ Dallas Lock |
100 |
|||||
|
информации |
|
о |
событиях |
безопасности, |
|
|
|||||
|
подлежащих регистрации |
|
|
|
|
|
||||||
РСБ.3 |
Сбор, запись и хранение информации о |
СЗИ Dallas Lock |
100 |
|||||||||
|
событиях |
безопасности |
|
в |
течение |
|
|
|||||
|
установленного времени хранения |
|
|
|||||||||
РСБ.4 |
Реагирование |
на сбои |
при |
регистрации |
СЗИ Dallas Lock |
100 |
||||||
|
событий безопасности, в том числе |
|
|
|||||||||
|
аппаратные и программные ошибки, сбои |
|
|
|||||||||
|
в механизмах сбора информации и |
|
|
|||||||||
|
достижение |
предела |
или |
переполнения |
|
|
||||||
|
объема (емкости) памяти |
|
|
|
|
|
||||||
РСБ.5 |
Мониторинг |
|
|
(просмотр, |
|
анализ) |
СЗИ Dallas Lock |
100 |
||||
|
результатов |
|
|
регистрации |
|
событий |
|
|
||||
|
безопасности и реагирование на них |
|
|
|||||||||
РСБ.6 |
Генерирование временных меток и (или) |
СЗИ Dallas Lock |
100 |
|||||||||
|
синхронизация |
системного |
времени в |
|
|
|||||||
|
информационной системе |
|
|
|
|
|
||||||
РСБ.7 |
Защита |
информации |
|
о |
|
событиях |
СЗИ Dallas Lock |
100 |
||||
|
безопасности |
|
|
|
|
|
|
|
|
|
||
|
|
|
|
|
|
|
|
6. Антивирусная защита (АВЗ) |
|
|||
АВЗ.1 |
Реализация антивирусной защиты |
Kaspersky Security |
60 |
|||||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
АВЗ.2 |
Обновление |
|
базы |
данных |
|
признаков |
Kaspersky Security |
60 |
||||
|
вредоносных |
|
компьютерных |
программ |
|
|
||||||
|
(вирусов) |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
7. Контроль (анализ) защищенности информации (АНЗ) |
|
|||||||
АНЗ.1 |
Выявление, |
|
|
анализ |
|
|
уязвимостей |
Программа-фильтр «AVPMonitor» |
300 |
|||
|
информационной системы и оперативное |
|
|
|||||||||
|
устранение |
|
|
вновь |
|
|
выявленных |
|
|
|||
|
уязвимостей |
|
|
|
|
|
|
|
|
|
|
|
АНЗ.2 |
Контроль |
|
|
установки |
|
обновлений |
Организационные меры |
|
0 |
|||||||
|
программного |
обеспечения, |
|
включая |
|
|
|
|||||||||
|
обновление |
программного |
обеспечения |
|
|
|
||||||||||
|
средств защиты информации |
|
|
|
|
|
|
|
||||||||
АНЗ.3 |
Контроль работоспособности, параметров |
Организационные меры |
|
0 |
||||||||||||
|
настройки |
|
|
|
и |
|
|
правильности |
|
|
|
|||||
|
функционирования |
|
|
программного |
|
|
|
|||||||||
|
обеспечения |
|
и |
средств |
|
|
защиты |
|
|
|
||||||
|
информации |
|
|
|
|
|
|
|
|
|
|
|
|
|
||
АНЗ.4 |
Контроль |
состава |
технических |
средств, |
Организационные меры |
|
0 |
|||||||||
|
программного |
обеспечения |
и |
|
средств |
|
|
|
||||||||
|
защиты информации |
|
|
|
|
|
|
|
|
|
|
|||||
АНЗ.5 |
Контроль |
правил |
генерации |
|
и |
смены |
Программа-фильтр «AVPMonitor» |
|
300 |
|||||||
|
паролей |
пользователей, |
заведения |
и |
|
|
|
|||||||||
|
удаления учетных записей пользователей, |
|
|
|
||||||||||||
|
реализации |
|
правил |
|
разграничения |
|
|
|
||||||||
|
доступом, |
полномочий |
|
пользователей |
в |
|
|
|
||||||||
|
информационной системе |
|
|
|
|
|
|
|
|
|||||||
|
|
8. Обеспечение целостности информационной системы и информации (ОЦЛ) |
|
|||||||||||||
ОЦЛ.3 |
Обеспечение |
|
|
|
|
возможности |
СЗИ Dallas Lock |
|
|
|||||||
|
восстановления |
|
|
|
программного |
|
|
|
||||||||
|
обеспечения, |
включая |
|
программное |
|
|
|
|||||||||
|
обеспечение |
|
|
средств |
|
|
|
защиты |
|
|
|
|||||
|
информации, |
при |
|
возникновении |
|
|
|
|||||||||
|
нештатных ситуаций |
|
|
|
|
|
|
|
|
|
|
|||||
|
|
|
|
|
|
9. Защита среды виртуализации (ЗСВ) |
|
|||||||||
ЗСВ.1 |
Идентификация |
и |
|
аутентификация |
Microsoft Hyper-V |
|
400 |
|||||||||
|
субъектов доступа и объектов доступа в |
|
|
|||||||||||||
|
|
|
|
|||||||||||||
|
виртуальной инфраструктуре, в том числе |
|
|
|
||||||||||||
|
администраторов управления средствами |
|
|
|
||||||||||||
|
виртуализации |
|
|
|
|
|
|
|
|
|
|
|
||||
ЗСВ.2 |
Управление доступом субъектов доступа |
Microsoft Hyper-V |
|
400 |
||||||||||||
|
к объектам доступа в виртуальной |
|
|
|||||||||||||
|
|
|
|
|||||||||||||
|
инфраструктуре, в том числе внутри |
|
|
|
||||||||||||
|
виртуальных машин |
|
|
|
|
|
|
|
|
|
|
|||||
ЗСВ.3 |
Регистрация |
|
событий |
|
безопасности |
в |
Microsoft Hyper-V |
|
400 |
|||||||
|
виртуальной инфраструктуре |
|
|
|
|
|
|
|||||||||
|
|
|
|
|
|
|
|
|||||||||
|
|
|
|
|
|
|
|
|||||||||
ЗСВ.9 |
Реализация |
и |
управление |
антивирусной |
Microsoft Hyper-V |
|
400 |
|||||||||
|
защитой в виртуальной инфраструктуре |
|
|
|
||||||||||||
|
|
|
|
|
||||||||||||
ЗСВ.10 |
Разбиение |
виртуальной |
|
инфраструктуры |
Microsoft Hyper-V |
|
400 |
|||||||||
|
на |
сегменты |
|
(сегментирование |
|
|
||||||||||
|
|
|
|
|
||||||||||||
|
виртуальной |
|
инфраструктуры) |
для |
|
|
|
|||||||||
|
обработки |
|
|
информации |
|
отдельным |
|
|
|
|||||||
|
пользователем |
|
и |
(или) |
|
группой |
|
|
|
|||||||
|
пользователей |
|
|
|
|
|
|
|
|
|
|
|
|
|||
|
|
|
|
|
|
10. Защита технических средств (ЗТС) |
|
|||||||||
ЗТС.2 |
Организация |
контролируемой |
зоны, |
в |
Считыватель "Портал-К" |
|
150 |
|||||||||
|
пределах |
|
|
которой |
|
|
|
постоянно |
|
|
|
|||||
|
размещаются стационарные технические |
|
|
|
||||||||||||
|
средства, обрабатывающие информацию, |
|
|
|
||||||||||||
|
и средства защиты информации, а также |
|
|
|
||||||||||||
|
средства обеспечения функционирования |
|
|
|
||||||||||||
ЗТС.3 |
Контроль |
и |
управление |
физическим |
Система противопожарной |
|
100 |
|||||||||
|
доступом |
к |
техническим |
средствам, |
защиты,организационные меры, |
|
|
|||||||||
|
средствам |
|
|
защиты |
|
|
информации, |
видеонаблюдение |
|
|
||||||
|
средствам |
|
|
|
|
|
|
обеспечения |
|
|
|
|||||
|
функционирования, а также в помещения |
|
|
|
||||||||||||
|
и |
сооружения, |
в |
|
которых |
они |
|
|
|
|||||||
|
установлены, |
|
|
|
|
исключающие |
|
|
|
|||||||
несанкционированный физический доступ к средствам обработки информации, средствам защиты информации и средствам обеспечения функционирования информационной системы и помещения и сооружения, в которых они установлены
11. Защита информационной системы, ее средств, систем связи и передачи данных (ЗИС)
ЗИС.3 |
Обеспечение защиты |
информации |
от |
КриптоПро NGate |
300 |
|||||||
|
раскрытия, модификации и навязывания |
|
|
|||||||||
|
(ввода ложной информации) при ее |
|
|
|||||||||
|
передаче (подготовке к передаче) по |
|
|
|||||||||
|
каналам связи, имеющим выход за |
|
|
|||||||||
|
пределы контролируемой зоны, в том |
|
|
|||||||||
|
числе беспроводным каналам связи |
|
|
|
|
|||||||
ЗИС.5 |
Запрет |
несанкционированной |
удаленной |
КриптоПро NGate |
300 |
|||||||
|
активации |
видеокамер, |
микрофонов |
и |
|
|
||||||
|
иных периферийных устройств, которые |
|
|
|||||||||
|
могут |
активироваться |
|
удаленно, |
и |
|
|
|||||
|
оповещение пользователей об активации |
|
|
|||||||||
|
таких устройств |
|
|
|
|
|
|
|
|
|||
ЗИС.20 |
Защита |
|
беспроводных |
соединений, |
КриптоПро NGate |
300 |
||||||
|
применяемых в информационной системе |
|
|
|||||||||
ЗИС.30 |
Защита мобильных технических средств, |
КриптоПро NGate |
300 |
|||||||||
|
применяемых в информационной системе |
|
|
|||||||||
|
|
|
13. Выявление инцидентов и реагирование на них (ИНЦ) |
|
||||||||
ИНЦ.1 |
Определение |
лиц, |
ответственных |
за |
Отдел ИБ |
0 |
||||||
|
выявление инцидентов и реагирование на |
|
|
|||||||||
|
них |
|
|
|
|
|
|
|
|
|
|
|
ИНЦ.2 |
Обнаружение, |
идентификация |
|
и |
Отдел ИБ |
0 |
||||||
|
регистрация инцидентов |
|
|
|
|
|
|
|
||||
ИНЦ.3 |
Своевременное |
информирование |
лиц, |
Отдел ИБ |
0 |
|||||||
|
ответственных |
|
инцидентов |
|
и |
|
|
|||||
|
реагирование на них, о возникновении в |
|
|
|||||||||
|
информационной системе пользователями |
|
|
|||||||||
|
и администраторорами. |
|
|
|
|
|
|
|
||||
ИНЦ.4 |
Анализ инцидентов, в том числе |
Отдел ИБ |
0 |
|||||||||
|
определение |
источников |
и |
причин |
|
|
||||||
|
возникновения |
инцидентов, |
а |
также |
|
|
||||||
|
оценка их последствий |
|
|
|
|
|
|
|
||||
ИНЦ.5 |
Принятие |
мер |
по |
устранению |
Отдел ИБ |
0 |
||||||
|
последствий инцидентов |
|
|
|
|
|
|
|
||||
ИНЦ.6 |
Планирование и принятие мер по |
Отдел ИБ |
0 |
|||||||||
|
предотвращению |
|
|
повторного |
|
|
||||||
|
возникновения инцидентов |
|
|
|
|
|
|
|||||
Таблица 1 – Меры по защите информации и ИС
4.Разработка мер защиты информации согласно Приказу ФСТЭК № 21.
Впредыдущих работах было установлено, что в соответствии с Приказом
ФСТЭК №21 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их
обработке в информационных системах персональных данных», объект имеет уровень защищенности персональных данных в ИСПДн-И – УЗ 2.
Документами устанавливается базовый набор мер защиты. Большинство пунктов совпадают с таблицей 1, не вошедшие в неё приведены в таблице 2 вместе с реализующими меры средствами защиты, планируемыми к внедрению в CRM-систему.
ID меры |
|
|
Меры защиты информации и |
|
Средства защиты |
Стоимость, USD |
||||||
|
|
|
информационных систем |
|
|
|
||||||
|
|
1. Идентификация и аутентификация субъектов доступа и объектов доступа (ИАФ) |
||||||||||
ИАФ.2 |
|
Идентификация |
и |
аутентификация |
Модуль «Администратор» |
2000 |
||||||
|
|
устройств, в том числе стационарных, |
|
|
||||||||
|
|
мобильных и портативных |
|
|
|
|
|
|||||
|
|
|
2. Управление доступом субъектов доступа к объектам доступа (УПД) |
|
||||||||
УПД.17 |
|
Регламентация и контроль использования |
СЗИ Dallas Lock |
100 |
||||||||
|
|
в |
информационной системе |
технологий |
|
|
||||||
|
|
беспроводного доступа |
|
|
|
|
|
|
||||
|
|
|
|
|
|
3. Ограничение программной среды (ОПС) |
|
|||||
ОПС.2 |
|
Установка |
|
(инсталляция) |
только |
СЗИ Dallas Lock |
100 |
|||||
|
|
разрешенного |
|
к |
использованию |
|
|
|||||
|
|
программного обеспечения и (или) его |
|
|
||||||||
|
|
компонентов |
|
|
|
|
|
|
|
|
||
|
|
|
8. Обеспечение целостности информационной системы и информации (ОЦЛ) |
|||||||||
ОЦЛ.1 |
|
Обеспечение |
|
|
|
возможности |
СЗИ Dallas Lock |
|
||||
|
|
восстановления |
|
программного |
|
|
||||||
|
|
обеспечения, |
включая |
программное |
|
|
||||||
|
|
обеспечение |
|
средств |
|
защиты |
|
|
||||
|
|
информации, |
|
при |
возникновении |
|
|
|||||
|
|
нештатных ситуаций |
|
|
|
|
|
|
||||
ОЦЛ.4 |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
9. Обеспечение доступности персональных данных (ОДТ) |
|
|||||||
ОДТ.4 |
|
Идентификация |
и |
аутентификация |
Microsoft Hyper-V |
400 |
||||||
|
|
субъектов доступа и объектов доступа в |
|
|||||||||
|
|
|
|
|||||||||
|
|
виртуальной инфраструктуре, в том числе |
|
|
||||||||
|
|
администраторов управления средствами |
|
|
||||||||
|
|
виртуализации |
|
|
|
|
|
|
|
|||
ОДТ.5 |
|
Управление доступом субъектов доступа |
Microsoft Hyper-V |
400 |
||||||||
|
|
к объектам доступа в виртуальной |
|
|||||||||
|
|
|
|
|||||||||
|
|
инфраструктуре, в том числе внутри |
|
|
||||||||
|
|
виртуальных машин |
|
|
|
|
|
|
||||
|
|
|
|
|
|
10. Защита среды виртуализации (ЗСВ) |
|
|||||
ЗСВ.6 |
|
Организация |
контролируемой зоны, в |
Считыватель "Портал-К" |
150 |
|||||||
|
|
пределах |
|
которой |
|
|
постоянно |
|
|
|||
|
|
размещаются стационарные технические |
|
|
||||||||
|
|
средства, обрабатывающие информацию, |
|
|
||||||||
|
|
и средства защиты информации, а также |
|
|
||||||||
|
|
средства обеспечения функционирования |
|
|
||||||||
ЗСВ.7 |
|
Контроль |
и |
управление |
|
физическим |
Система противопожарной |
2200 |
||||
|
|
доступом |
к |
техническим |
|
средствам, |
защиты,организационные меры, |
|
||||
|
|
средствам |
|
защиты |
|
информации, |
видеонаблюдение |
|
||||
|
|
средствам |
|
|
|
|
обеспечения |
|
|
|||
|
|
функционирования, а также в помещения |
|
|
||||||||
|
|
и |
сооружения, |
в |
которых |
они |
|
|
||||
|
|
установлены, |
|
|
исключающие |
|
|
|||||
|
|
несанкционированный |
|
|
физический |
|
|
|||||
|
|
доступ |
к |
средствам |
|
обработки |
|
|
||||
|
|
информации, |
|
средствам |
|
защиты |
|
|
||||
|
|
информации |
и |
средствам |
обеспечения |
|
|
|||||
|
|
функционирования |
информационной |
|
|
|||||||
|
|
системы и помещения и сооружения, в |
|
|
||||||||
|
|
которых они установлены |
|
|
|
|
|
|||||
ЗСВ.8 |
|
|
|
|
|
|
|
|
|
|
|
|
|
11. Защита информационной системы, ее средств, систем связи и передачи данных (ЗИС) |
|||||||||||
ЗИС.11 |
|
Обеспечение |
защиты |
информации |
от |
КриптоПро NGate |
300 |
|||||
|
|
раскрытия, модификации и навязывания |
|
|
||||||||