- •Выбор мер по обеспечению безопасности пДн в испДн «Клиентская база» ао «Городская управляющая компания»
- •1. Исходные данные
- •2. Базовый набор мер для уз-1
- •3. Перечень локальных документов и средств защиты информации
- •1. Общие положения
- •2. Термины и определения
- •3. Лица, ответственные за выявление инцидентов и реагирование на них (инц.1)
- •4. Классификация инцидентов иб
- •5. Порядок обнаружения, идентификации и регистрации инцидентов (инц.2)
- •6. Порядок реагирования на инциденты иб
- •7. Анализ инцидентов (инц.4)
- •8. Планирование мер по предотвращению повторного возникновения инцидентов (инц.6)
- •9. Журнал инцидентов иб
- •10. Ответственность
- •11. Заключительные положения
Приложение А
(обязательное)
Выбор мер по обеспечению безопасности ПДн в ИСПДн «Клиентская база» АО «Городская управляющая компания»
Выбор мер по обеспечению безопасности пДн в испДн «Клиентская база» ао «Городская управляющая компания»
1. Исходные данные
Таблица 1.1 – Исходные данные для ИСПДн «Клиентская база» АО «Городская управляющая компания»
Параметр |
Значение |
Категория ПДн |
Иные, специальные |
Категория субъектов |
клиенты |
Объём обрабатываемых ПДн |
Менее 100 000 субъектов |
Тип актуальных угроз |
1-й тип |
Уровень защищённости |
УЗ-1 (п. 9(а) ПП РФ №1119) |
Таблица 1.2 – Перечень средств защиты информации
№ |
СЗИ |
Назначение |
Орган сертификации и номер сертификата |
1 |
КриптоПро CSP 5.0 |
Средство криптографической защиты информации (СКЗИ), электронная подпись, шифрование каналов связи |
ФСБ России (классы КС1/КС2/КС3) |
2 |
Kaspersky Endpoint Security + KSC |
Средство антивирусной защиты (АВЗ), контроль приложений, контроль устройств |
ФСТЭК России № 4068 |
3 |
ViPNet Personal Firewall 4.5 |
Межсетевой экран (МЭ) типа В 4 класса и средство фильтрации трафика, IDS-модуль |
ФСТЭК России № 4173 |
4 |
Dallas Lock 8.0-C |
СЗИ от НСД: контроль доступа, доверенная загрузка, контроль целостности |
ФСТЭК России № 2945 (2-й уровень доверия) |
5 |
R-Vision (Центр контроля ИБ) |
SIEM, анализ уязвимостей, управление инцидентами, сбор логов |
ФСТЭК России № 4782 (4-й уровень доверия) |
6 |
VeraCrypt / КриптоПро (модуль шифрования) |
Шифрование резервных копий на NAS и съёмных носителях |
КриптоПро: ФСБ России (классы КС1/КС2/КС3) |
2. Базовый набор мер для уз-1
Для УЗ-1 Приказ ФСТЭК №21 требует выполнения полного комплекса мер, предусмотренных Приложением к Приказу, представленных в таблице 2.1.
Таблица 2.1 – Набор мер по приказу ФСТЭК №21
Мера |
СЗИ |
Организационные меры |
Идентификация и аутентификация (ИАФ) |
||
1.Идентификация и аутентификация пользователей, являющихся работниками оператора |
Dallas Lock 8.0-C (логин/пароль + аппаратные токены eToken/Рутокен для 2FA) |
Положение о парольной защите и управлении доступом |
2.Идентификация и аутентификация устройств (стационарных, мобильных) |
ViPNet Personal Firewall 4.5, Dallas Lock 8.0-C (контроль по МАС/серийным номерам) |
Положение о парольной защите и управлении доступом |
3.Управление идентификаторами (создание, присвоение, уничтожение) |
Dallas Lock 8.0-C (централизованное управление идентификаторами) |
Инструкция администратора безопасности |
4.Управление средствами аутентификации (хранение, выдача, блокирование) |
Dallas Lock 8.0-C, КриптоПро CSP 5.0 (управление токенами ЭП) |
Журнал учёта средств криптографической защиты и токенов |
5.Защита обратной связи при вводе аутентификационной информации |
Dallas Lock 8.0-C (маскирование пароля), штатные средства ОС |
Положение о парольной защите и управлении доступом |
Управление доступом (УПД) |
||
1.Управление учётными записями пользователей |
Dallas Lock 8.0-C (централизованное управление УЗ) |
Инструкция администратора безопасности |
2.Реализация правил разграничения доступа (дискреционный, ролевой) |
Dallas Lock 8.0-C, 1С:ЖКХ (ролевая модель) |
Регламент разграничения прав доступа к ИСПДн |
3.Управление информационными потоками между устройствами и сегментами ИС |
ViPNet Personal Firewall 4.5, маршрутизатор (VLAN) |
Политика организации защищённых каналов связи |
4.Разделение полномочий (ролей) пользователей и администраторов |
Dallas Lock 8.0-C, 1С:ЖКХ (ролевая модель) |
Регламент разграничения прав доступа к ИСПДн |
5.Назначение минимально необходимых прав и привилегий |
Dallas Lock 8.0-C, 1С:ЖКХ |
Инструкция администратора безопасности |
6.Ограничение неуспешных попыток входа в ИС |
Dallas Lock 8.0-C (блокировка после 5 попыток) |
Положение о парольной защите и управлении доступом |
10.Блокирование сеанса доступа после времени бездействия |
Dallas Lock 8.0-C (блокировка по таймауту 15 мин) |
Положение о парольной защите и управлении доступом |
11.Разрешение (запрет) действий до идентификации и аутентификации |
Dallas Lock 8.0-C |
Положение о парольной защите и управлении доступом |
17.Обеспечение доверенной загрузки средств вычислительной техники |
Dallas Lock 8.0-C (модуль доверенной загрузки МДЗ) |
Инструкция администратора безопасности |
Ограничение программной среды (ОПС) |
||
2.Управление установкой компонентов ПО |
Dallas Lock 8.0-C, Kaspersky Endpoint Security (контроль приложений) |
Инструкция администратора безопасности |
3.Установка только разрешённого к использованию ПО |
Kaspersky Endpoint Security (Application Control), Dallas Lock 8.0-C (замкнутая программная среда) |
Инструкция администратора безопасности |
Защита машинных носителей (ЗНИ) |
||
1.Учёт машинных носителей персональных данных |
|
Журнал учёта машинных носителей персональных данных |
2.Управление доступом к машинным носителям ПДн |
Dallas Lock 8.0-C (контроль USB), Kaspersky (Device Control) |
Инструкция по работе со съёмными носителями |
8.Уничтожение (стирание) данных на машинных носителях |
Dallas Lock 8.0-C (гарантированное стирание), VeraCrypt |
Инструкция по работе со съёмными носителями |
Регистрация событий безопасности (РСБ) |
||
1.Определение событий безопасности, подлежащих регистрации |
R-Vision (SIEM), Dallas Lock 8.0-C (журналы событий) |
Регламент мониторинга событий ИБ |
2.Определение состава и содержания информации о событиях |
R-Vision, Dallas Lock 8.0-C |
Регламент мониторинга событий ИБ |
3.Сбор, запись и хранение информации о событиях безопасности |
R-Vision (централизованный сбор логов) |
Регламент мониторинга событий ИБ |
5.Мониторинг (просмотр, анализ) результатов регистрации событий |
R-Vision (анализ аномалий), Kaspersky Security Center |
Регламент мониторинга событий ИБ |
7.Защита информации о событиях безопасности |
R-Vision (ролевой доступ), Dallas Lock 8.0-C (ACL на журналы) |
Регламент мониторинга событий ИБ |
Антивирусная защита (АВЗ) |
||
1.Реализация антивирусной защиты |
Kaspersky Endpoint Security (сертификат ФСТЭК №4068) |
Инструкция по антивирусной защите |
2.Обновление базы данных признаков вредоносных программ |
Kaspersky Security Center (KSC, централизованное обновление) |
Регламент управления обновлениями ПО |
Анализ защищённости (АНЗ) |
||
1.Выявление, анализ уязвимостей ИС и оперативное устранение |
R-Vision (сканирование уязвимостей) |
Регламент управления уязвимостями и конфигурациями |
2.Контроль установки обновлений ПО |
Kaspersky Security Center |
Регламент управления обновлениями ПО |
3.Контроль работоспособности и параметров настройки СЗИ |
R-Vision (мониторинг СЗИ), Kaspersky (KSC) |
Инструкция администратора безопасности |
4.Контроль состава технических средств, ПО и СЗИ |
R-Vision (инвентаризация активов), Dallas Lock 8.0-C |
Инструкция администратора безопасности |
5.Контроль правил генерации и смены паролей, учётных записей |
Dallas Lock 8.0-C (парольная политика) |
Положение о парольной защите и управлении доступом |
Обеспечение целостности (ОЦЛ) |
||
1.Контроль целостности ПО и СЗИ |
Dallas Lock 8.0-C (контрольные суммы), Kaspersky Endpoint Security |
Инструкция администратора безопасности |
Обеспечение доступности (ОДТ) |
||
3.Контроль безотказного функционирования технических средств |
R-Vision (мониторинг доступности) |
Инструкция администратора безопасности |
4.Периодическое резервное копирование ПДн |
NAS, VeraCrypt/КриптоПро (шифрование бэкапов) |
План непрерывности и восстановления (DRP/BCP) |
5.Обеспечение возможности восстановления ПДн с резервных копий |
NAS, штатные средства 1С:Предприятие |
План непрерывности и восстановления (DRP/BCP) |
Защита технических средств (ЗТС) |
||
3.Контроль и управление физическим доступом к техническим средствам |
СКУД, видеонаблюдение, электронный замок серверной |
Положение о пропускном и внутриобъектовом режиме |
4.Размещение устройств вывода информации, исключающее НСД-просмотр |
|
Положение о пропускном и внутриобъектовом режиме |
Защита информационной системы, её средств, систем связи и передачи данных (ЗИС) |
||
1.Разделение функций по управлению ИС, СЗПДн и обработке ПДн |
Dallas Lock 8.0-C (разделение ролей), 1С:ЖКХ |
Регламент разграничения прав доступа к ИСПДн |
3.Обеспечение защиты ПДн при передаче по каналам связи за пределами КЗ |
КриптоПро CSP 5.0 (шифрование ГОСТ), ViPNet (VPN) |
Политика организации защищённых каналов связи |
15.Защита архивных файлов и параметров настройки СЗИ |
VeraCrypt, Dallas Lock 8.0-C (ACL) |
Инструкция администратора безопасности |
17.Сегментирование ИС и защита периметров сегментов |
ViPNet Personal Firewall 4.5, маршрутизатор (VLAN) |
Политика организации защищённых каналов связи |
Управление инцидентами (ИНЦ) |
||
1.Определение лиц, ответственных за выявление инцидентов ИБ |
|
Приказ о назначении ответственных за обеспечение безопасности ПДн |
2.Обнаружение, идентификация и регистрация инцидентов |
R-Vision (SIEM), Kaspersky (KSC) |
Регламент реагирования на инциденты ИБ |
3.Своевременное информирование ответственных лиц об инцидентах |
R-Vision (автоматические оповещения) |
Регламент реагирования на инциденты ИБ |
4.Анализ инцидентов, определение источников и причин |
R-Vision (расследование инцидентов) |
Регламент реагирования на инциденты ИБ |
5.Принятие мер по устранению последствий инцидентов |
|
Регламент реагирования на инциденты ИБ |
6.Планирование мер по предотвращению повторного возникновения |
|
Регламент реагирования на инциденты ИБ |
Управление конфигурацией (УКФ) |
||
1.Определение лиц, которым разрешены изменения конфигурации |
|
Приказ о назначении ответственных за обеспечение безопасности ПДн |
2.Управление изменениями конфигурации ИС и СЗПДн |
R-Vision (контроль изменений) |
Регламент управления уязвимостями и конфигурациями |
3.Анализ потенциального воздействия изменений конфигурации |
|
Регламент управления уязвимостями и конфигурациями |
4.Документирование изменений в конфигурации ИС и СЗПДн |
R-Vision (журнал изменений) |
Регламент управления уязвимостями и конфигурациями |
Для УЗ-1 Приказ ФСБ №378 требует выполнения полного комплекса мер, представленных в таблице 2.2.
Таблица 2.2 – Набор мер по приказу ФСБ
Наименование |
Описание меры |
СЗИ |
Организационная мера |
ФСБ.п22а |
Автоматическая регистрация в электронном журнале изменений полномочий по доступу к ПДн |
R-Vision (модуль аудита), Dallas Lock 8.0-C |
Регламент аудита и мониторинга событий ИБ |
ФСБ.п22б |
Создание отдельного структурного подразделения, ответственного за ИБ |
Организационная мера |
Приказ о создании подразделения ИБ, Положение о подразделении ИБ |
ФСБ.п25 |
Оборудование окон и дверей помещений ИС металлическими решётками/сигнализацией |
Охранная сигнализация, СКУД |
Положение о пропускном и внутриобъектовом режиме |
ФСБ.п26 |
Использование СКЗИ класса КА (т.к. актуальны угрозы 1-го типа) |
КриптоПро CSP 5.0 (класс КА), ViPNet |
Политика криптографической защиты и организации защищённых каналов связи |