Введение

Наименование меры

Организационная мера

Техническая мера

I. Идентификация и аутентификация субъектов доступа и объектов доступа (ИАФ)

ИАФ.1 Идентификация и аутентификация работников оператора

Политика парольной защиты, регламент управления учетными записями.

Уникальные логины/пароли для каждого пользователя (АРМ бухгалтеров, сервер). Использование встроенных механизмов Windows.

ИАФ.2 Идентификация и аутентификация устройств

Учет сетевых устройств (коммутатор, МФУ), регламент доступа к АРМ.

Уникальные идентификаторы для сетевого оборудования (MAC-адреса), настройка доступа по спискам контроля доступа (ACL).

ИАФ.3 Управление идентификаторами

Регламент создания, выдачи, блокировки, уничтожения идентификаторов.

Автоматизированное управление учетными записями в ОС Windows (Active Directory) и СУБД MS SQL.

ИАФ.4 Управление средствами аутентификации

Порядок хранения и выдачи идентификаторов (паролей, смарт-карт).

Безопасное хранение учетных данных

ИАФ.5 Защита обратной связи при вводе аутентификационной информации

Требования к защите каналов ввода паролей.

Временное отображение символов пароля, запрет на удаленный ввод паролей по незащищенным каналам.

ИАФ.6 Идентификация и аутентификация внешних пользователей

В ИСПДн отсутствует обработка данных внешних пользователей (гостевой доступ не предусмотрен).

II. Управление доступом субъектов доступа к объектам доступа (УПД)

УПД.1 Управление учетными записями пользователей

Регламент управления учетными записями АРМ.

Автоматизированное управление учетными записями в Active Directory и MS SQL.

УПД.2 Реализация методов разграничения доступа

Определение ролей и прав доступа к функциям 1С и данным.

Настройка ролей и прав доступа в 1С: Предприятие (профили доступа) и в ОС Windows (групповые политики).

УПД.3 Управление информационными потоками

Правила маршрутизации и фильтрации трафика.

Настройка межсетевого экрана (Windows Firewall, аппаратный МЭ) на АРМ и сервере, настройка VPN-туннеля (VipNet).

УПД.4 Разделение полномочий (ролей) пользователей

Определение ролей с разными уровнями полномочий (бухгалтер по зарплате, бухгалтер по банку, администратор).

Настройка прав доступа в 1С и ОС Windows по ролям (группы безопасности AD).

УПД.5 Назначение минимально необходимых прав и привилегий

Принцип наименьших привилегий.

Настройка прав доступа в 1С и ОС Windows с минимальным набором функций для каждой роли.

УПД.6 Ограничение неуспешных попыток входа

Политика блокировки учетных записей после неудачных попыток.

Настройка политики блокировки в ОС Windows (групповые политики) и в 1С (при необходимости).

УПД.10 Блокирование сеанса доступа

Автоматическая блокировка сеанса при бездействии.

Настройка политики блокировки экрана в ОС Windows (групповые политики) – не более 15 минут.

УПД.11 Разрешение (запрет) действий до идентификации и аутентификации

Ограничение доступа к ресурсам до аутентификации.

Настройка прав доступа в ОС Windows и 1С (гостевой доступ запрещен).

УПД.13 Реализация защищенного удаленного доступа

Отсутствие удаленного доступа для пользователей. Только для администратора по защищенному каналу (VPN) в исключительных случаях.

Настройка VipNet Client для удаленного доступа администратора (с двухфакторной аутентификацией).

УПД.14 Регламентация и контроль использования беспроводного доступа

Отсутствие беспроводных интерфейсов на критичных компонентах (сервер, АРМ).

Отключение Wi-Fi-адаптеров (если есть) на аппаратном уровне или через групповые политики.

УПД.15 Регламентация и контроль использования мобильных средств

Отсутствие использования мобильных устройств для обработки ПДн.

УПД.16 Управление взаимодействием с внешними ИС

Регламент взаимодействия с операторами ЭДО и банками.

Настройка защищенных каналов связи (VipNet, SSL/TLS) с внешними системами.

III. Ограничение программной среды (ОПС)

ОПС.2 Управление установкой компонентов ПО

Разрешение установки только одобренного ПО (белые списки).

Настройка политик ограничения ПО (AppLocker) в ОС Windows, использование Secret Net Studio для контроля запуска приложений.

IV. Защита машинных носителей персональных данных (ЗНИ)

ЗНИ.1 Учет машинных носителей ПДн

Ведение учета всех носителей (жесткие диски, флешки, внешние диски).

Использование средств инвентаризации (Secret Net Studio) для контроля подключаемых устройств.

ЗНИ.2 Управление доступом к машинным носителям ПДн

Ограничение физического доступа к серверам и АРМ.

Физическая охрана помещений, контроль доступа в серверную (электронный замок).

ЗНИ.8 Уничтожение (стирание) или обезличивание ПДн на носителях

Регламент уничтожения носителей информации (акт, комиссия).

Физическое уничтожение (дробление, сжигание) или надежное стирание данных (специализированное ПО при утилизации).

V. Регистрация событий безопасности (РСБ)

РСБ.1 Определение событий безопасности, подлежащих регистрации

Перечень регистрируемых событий (вход/выход, доступ к файлам, изменение прав).

Настройка логирования в ОС Windows (EventLog), СУБД MS SQL, 1С, сетевом оборудовании.

РСБ.2 Определение состава и содержания информации о событиях

Определение фиксируемой информации в журналах (дата, время, пользователь, событие).

Настройка детализации логирования (аудит успехов и неудач).

РСБ.3 Сбор, запись и хранение информации о событиях

Централизованный сбор и хранение логов (не менее 1 года).

Отправка логов на центральный сервер (Windows Event Collector) или локальное хранение с защитой от переполнения. Secret Net Studio.

РСБ.5 Мониторинг результатов регистрации событий

Регулярный анализ журналов событий (не реже 1 раза в неделю).

Использование средств анализа логов (SIEM-системы или ручной просмотр, Secret Net Studio).

РСБ.7 Защита информации о событиях безопасности

Защита журналов от НСД и модификации.

Настройка прав доступа к файлам журналов, использование СЗИ от НСД (Secret Net Studio) для контроля целостности логов.

VI. Антивирусная защита (АВЗ)

АВЗ.1 Реализация антивирусной защиты

Установка и настройка антивирусного ПО.

Установка сертифицированного антивирусного ПО (Kaspersky Endpoint Security, Dr.Web) на АРМ и сервер.

АВЗ.2 Обновление баз данных вредоносных программ

Регулярное обновление антивирусных баз.

Настройка автоматического обновления антивирусных баз (ежедневно).

VII. Обнаружение вторжений (СОВ)

СОВ.1 Обнаружение вторжений

Использование средств обнаружения вторжений.

Подсистема обнаружения вторжений Secret Net Studio (контроль поведения, сигнатурный анализ).

СОВ.2 Обновление базы решающих правил

Регулярное обновление правил обнаружения вторжений.

Автоматическое обновление правил (подписка на обновления).

VIII. Контроль (анализ) защищенности персональных данных (АНЗ)

АНЗ.1 Выявление, анализ уязвимостей ИС и оперативное устранение

Регулярное сканирование на уязвимости.

Использование сканеров уязвимостей (Nessus, MaxPatrol, сканер от Secret Net Studio) для АРМ и сервера.

АНЗ.2 Контроль установки обновлений ПО

Своевременная установка обновлений ОС Windows и ПО.

Настройка системы управления обновлениями ( Центр обновления Windows с одобрением администратора).

АНЗ.3 Контроль работоспособности, параметров настройки и правильности функционирования ПО

Мониторинг работы ПО и СЗИ.

Использование средств мониторинга (Zabbix) для контроля доступности и производительности.

АНЗ.4 Контроль состава технических средств, ПО и СЗИ

Инвентаризация и контроль состава оборудования.

Использование средств инвентаризации (Secret Net Studio, System Center).

АНЗ.5 Контроль правил генерации и смены паролей, управления учетными записями

Контроль соблюдения политики парольной защиты.

Аудит настроек парольной политики в ОС Windows (групповые политики) и MS SQL.

IX. Обеспечение целостности информационной системы и персональных данных (ОЦЛ)

ОЦЛ.1 Контроль целостности ПО, включая СЗИ

Использование средств контроля целостности ПО.

Настройка средств контроля целостности (Secret Net Studio, самоконтроль ОС Windows) для системных файлов, файлов 1С и СЗИ.

ОЦЛ.4 Обнаружение и реагирование на незапрашиваемые сообщения

Фильтрация спама и вредоносных вложений на почтовом сервере.

Использование антиспам-решений на почтовом шлюзе (если используется корпоративная почта).

X. Обеспечение доступности персональных данных (ОДТ)

ОДТ.4 Периодическое резервное копирование ПДн

Регулярное создание резервных копий базы данных 1С.

Настройка автоматического резервного копирования MS SQL (средствами SQL Server или сторонним ПО).

ОДТ.5 Обеспечение возможности восстановления ПДн

Тестирование процедуры восстановления из резервных копий.

Периодическое проведение тестовых восстановлений (не реже 1 раза в полгода).

XI. Защита среды виртуализации (ЗСВ)

ЗСВ.1-6 Меры по защите среды виртуализации

Не применимо (в системе отсутствует виртуализация, используется физический сервер).

XII. Защита технических средств (ЗТС)

ЗТС.3 Контроль и управление физическим доступом

Ограничение физического доступа к оборудованию.

Использование СКУД (электронный замок) для контроля доступа в серверную, охрана офиса, видеонаблюдение.

ЗТС.4 Размещение устройств вывода (отображения) информации

Ограничение видимости информации на экранах АРМ.

Размещение АРМ бухгалтеров для исключения несанкционированного просмотра (экранами к стене, защитные пленки).

XIII. Защита информационной системы, ее средств, систем связи и передачи данных (ЗИС)

ЗИС.3 Обеспечение защиты ПДн от раскрытия, модификации и навязывания при передаче

Защита каналов связи.

Использование сертифицированного VPN (VipNet CSP) для связи с банками и операторами ЭДО. Шифрование трафика (SSL/TLS).

ЗИС.11 Обеспечение подлинности сетевых соединений

Защита от подмены сетевых устройств.

Использование VPN, аутентификация сетевых устройств по MAC-адресам, настройка портов коммутатора.

ЗИС.15 Защита архивных файлов, параметров настройки СЗИ

Резервное копирование и защита конфигураций.

Регулярное резервное копирование конфигураций СЗИ (Secret Net Studio, VipNet), ПО, ОС.

ЗИС.17 Разбиение ИС на сегменты

Отсутствие сегментирования сети (в пределах одного офиса сегментация не требуется).

ЗИС.20 Защита беспроводных соединений

Запрет беспроводных соединений для критичных операций.

Отключение Wi-Fi на всех критичных компонентах.

XIV. Выявление инцидентов и реагирование на них (ИНЦ)

ИНЦ.1 Определение ответственных за выявление инцидентов

Назначение ответственных лиц (специалист по ИБ, системный администратор).

Определение в должностных инструкциях обязанностей по выявлению инцидентов.

ИНЦ.2 Обнаружение, идентификация и регистрация инцидентов

Ведение журнала инцидентов.

Централизованный сбор и анализ логов, фиксация инцидентов (Secret Net Studio, SIEM).

ИНЦ.3 Своевременное информирование ответственных лиц

Регламент оповещения об инцидентах.

Автоматическое оповещение ответственных лиц по email/SMS при срабатывании правил корреляции.

ИНЦ.4 Анализ инцидентов

Анализ причин и последствий инцидентов.

Проведение расследований инцидентов с привлечением специалиста по ИБ.

ИНЦ.5 Принятие мер по устранению последствий инцидентов

План реагирования на инциденты.

Реализация мер по устранению последствий (восстановление из бэкапов, переустановка ПО).

ИНЦ.6 Планирование и принятие мер по предотвращению повторных инцидентов

Анализ инцидентов для выявления уязвимостей.

Внесение изменений в конфигурацию, ПО, политики по результатам анализа.

XV. Управление конфигурацией информационной системы и системы защиты персональных данных (УКФ)

УКФ.1 Определение лиц, которым разрешены действия по внесению изменений

Назначение ответственных за управление конфигурацией (системный администратор, специалист по ИБ).

Определение в должностных инструкциях.

УКФ.2 Управление изменениями конфигурации

Регламентация процесса внесения изменений (заявка, согласование).

Ведение журнала изменений конфигурации (документально).

УКФ.3 Анализ потенциального воздействия планируемых изменений

Оценка влияния изменений на безопасность.

Проведение анализа рисков перед внесением изменений (экспертная оценка).

УКФ.4 Документирование информации об изменениях

Фиксация всех изменений конфигурации.

Ведение журнала изменений, обновление документации (схем сети, конфигураций).