I. Требования к подсистеме обеспечения информационной безопасности
Подсистема обеспечения информационной безопасности реализуется организационными мерами, а также программно-техническими средствами и должна обеспечивать:
- управление доступом к информационным ресурсам КСА ЕЦОР;
- обеспечение безопасности передачи данных при межсетевом взаимодействии;
- регистрацию и учет работы пользователей;
- обеспечения целостности информации;
- антивирусную защиту;
- обнаружения вторжений;
- криптографическую защиту при передаче и хранении данных.
Подсистема обеспечения информационной безопасности должна обеспечивать требуемый уровень защиты информации от внешних и внутренних угроз.
Подсистема обеспечения информационной безопасности предназначена для защиты информации и средств ее обработки в КСА ЕЦОР.
К объектам защиты КСА ЕЦОР относятся:
- технические средства;
- программные средства;
- информация (в любой форме ее представления), содержащая охраняемые сведения, в том числе регламенты и процедуры работы;
- помещения, предназначенные для обработки и хранения информации.
В КСА ЕЦОР должен обеспечивать возможность обработки конфиденциальной информации, относящейся к следующим типам:
- персональные данные;
- служебные сведения, доступ к которым ограничен органами государственной власти в соответствии с Гражданским кодексом Российской Федерации и федеральными законами (служебная тайна);
- сведения, связанные с профессиональной деятельностью, доступ к которым ограничен в соответствии с Конституцией Российской Федерации и федеральными законами (тайна переписки, телефонных переговоров, почтовых отправлений, телеграфных или иных сообщений и так далее).
Для решения задач подсистемы обеспечения информационной безопасности (далее - ПОИБ) должен быть предусмотрен комплекс программно-технических средств и организационных (процедурных) решений по защите информации от несанкционированного доступа, определяемый на основании требований настоящего документа и с учетом модели угроз и нарушителя.
Информационный обмен между компонентами ПОИБ должен осуществляться с использованием каналов связи локальной вычислительной сети, не выходящих за пределы контролируемой зоны. При этом под контролируемой зоной понимается пространство (территория, здание, часть здания), в котором исключено неконтролируемое пребывание сотрудников и посетителей. Клиенты беспроводных сетей (Wi-Fi), если беспроводные сети присутствуют в составе локальной сети, не должны иметь доступ к компонентам ПОИБ.
Должна осуществляться очистка (обнуление, обезличивание) освобождаемых областей оперативной памяти и внешних накопителей. Очистка осуществляется однократной произвольной записью в освобождаемую область памяти, ранее использованную для хранения защищаемых данных (файлов).
Для организации информационного обмена с использованием каналов связи, выходящих за пределы контролируемой зоны, требуется использовать средства криптографической защиты информации, которые в установленном порядке прошли процедуру оценки соответствия требованиям безопасности информации ФСБ России. Криптографическая защита информации, передаваемой по каналам связи, выходящим за пределы контролируемой зоны, должна обеспечиваться с использованием криптографического алгоритма ГОСТ 28147-89. Используемые средства криптографической защиты информации должны обеспечивать криптографическую защиту по уровню не ниже КС2 (Приложение N 1 "Требования к средствам электронной подписи" к приказу ФСБ России от 27 декабря 2011 г. N 796).
В соответствии с Приказом ФСТЭК России от 18.02.2013 N 21 "Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах" для обеспечения безопасности персональных данных при их обработке в информационной системе (далее по тексту - ИСПДн) требуется использовать мероприятия по обеспечению безопасности персональных данных (далее по тексту - ПДн). Для реализации данных мероприятий необходимо создание, как минимум, следующих функциональных модулей:
- управления доступом;
- регистрации и учета;
- обеспечения целостности;
- обеспечения безопасного межсетевого взаимодействия;
- анализа защищенности;
- обнаружения вторжений;
- антивирусной защиты.
Функциональный модуль управления доступом
Модуль управления доступом должен осуществлять идентификацию и проверку подлинности субъектов доступа при входе в КСА ЕЦОР по идентификатору (коду) и паролю условно-постоянного действия длиной не менее шести буквенно-цифровых символов.
Должна осуществляться идентификация терминалов, узлов сети, каналов связи, внешних устройств по логическим именам.
Должна осуществляться идентификация программ, томов, каталогов, файлов по именам.
Должен осуществляться контроль доступа субъектов к защищаемым ресурсам в соответствии с матрицей доступа.
Функциональный модуль регистрации и учета
Должна осуществляться регистрация входа (выхода) субъектов доступа в КСА ЕЦОР (из КСА ЕЦОР).
Должна осуществляться регистрация попыток доступа программных средств (программ, процессов, задач и так далее) к защищаемым файлам. В параметрах регистрации указываются:
- дата и время попытки доступа к защищаемому файлу с указанием ее результата: успешная, неуспешная - несанкционированная;
- идентификатор субъекта доступа;
- спецификация защищаемого файла.
Должна осуществляться регистрация попыток доступа программных средств к следующим дополнительным защищаемым объектам доступа: терминалам, узлам сети, линиям (каналам) связи, внешним устройствам, программам, томам, каталогам, файлам, записям, полям записей. В параметрах регистрации указываются:
- дата и время попытки доступа к защищаемому объекту с указанием ее результата: успешная, неуспешная - несанкционированная;
- идентификатор субъекта доступа;
- спецификация защищаемого объекта [логическое имя (номер)].
Должен проводиться учет всех защищаемых носителей информации с помощью их маркировки и с занесением учетных данных в журнал (учетную карточку).
Учет защищаемых носителей должен проводиться в журнале (картотеке) с регистрацией их выдачи (приема).
Функциональный модуль обеспечения целостности
Должна быть обеспечена целостность программных средств ПОИБ, а также неизменность программной среды.
Целостность ПОИБ проверяется при загрузке КСА ЕЦОР по контрольным суммам компонент системы защиты.
Целостность программной среды обеспечивается использованием трансляторов с языков высокого уровня и отсутствием средств модификации объектного кода программ в процессе обработки и (или) хранения защищаемой информации.
Должна осуществляться физическая охрана технических средств (устройств и носителей информации), предусматривающая контроль доступа в помещения посторонних лиц, наличие надежных препятствий для несанкционированного проникновения в помещения и хранилище носителей информации, особенно в нерабочее время.
Должно проводиться периодическое тестирование функций ПОИБ при изменении программной среды и персонала ИСПДн с помощью тест-программ, имитирующих попытки НСД.
Должны быть в наличии средства восстановления ПОИБ, предусматривающие ведение двух копий программных средств ПОИБ и их периодическое обновление и контроль работоспособности.
Функциональный модуль обеспечения безопасного межсетевого взаимодействия
В связи с наличием подключения ИСПДн к сетям связи общего пользования данный функциональный модуль должен быть реализован путем использования средств межсетевого экранирования, соответствующих 3 (третьему) классу защищенности в соответствии с РД ФСТЭК "Средства вычислительной техники. Межсетевые экраны. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации". В целях выполнения требований законов и подзаконных нормативных актов, регламентирующих вопросы защиты конфиденциальной информации, в том числе персональных данных, используемые межсетевые экраны как средства защиты информации должны в установленном порядке пройти процедуру оценки соответствия ФСТЭК России.
Функциональный модуль анализа защищенности
Средства анализа защищенности должны обеспечивать возможность выявления уязвимостей, связанных с ошибками в конфигурации программного обеспечения ИСПДн, которые могут быть использованы нарушителем для реализации атаки на систему. В целях выполнения требований законов и подзаконных нормативных актов, регламентирующих вопросы защиты конфиденциальной информации, в том числе персональных данных, используемые средства анализа защищенности как средства защиты информации должны в установленном порядке пройти процедуру оценки соответствия ФСТЭК России.
Функциональный модуль обнаружения вторжений
Данный модуль должен быть реализован путем использования в составе ИСПДн сертифицированных программных или программно-аппаратных средств (систем) обнаружения вторжений.
Функциональный модуль антивирусной защиты
В составе ИСПДн на рабочих станциях и серверах должны применяться сертифицированные средства антивирусной защиты в целях защиты ПДн и программно-технических средств от воздействия вредоносного программного обеспечения.
Для программных средств, используемых при защите информации в ИСПДн, должен быть обеспечен четвертый уровень контроля отсутствия НДВ. Все программное и аппаратное обеспечение, реализующее функционал защиты информации, должно быть сертифицировано в системе сертификации ФСТЭК России.