I. Требования к подсистеме обеспечения информационной безопасности

Весь документ

I. Требования к подсистеме обеспечения информационной безопасности

Подсистема обеспечения информационной безопасности реализуется организационными мерами, а также программно-техническими средствами и должна обеспечивать:

- управление доступом к информационным ресурсам КСА ЕЦОР;

- обеспечение безопасности передачи данных при межсетевом взаимодействии;

- регистрацию и учет работы пользователей;

- обеспечения целостности информации;

- антивирусную защиту;

- обнаружения вторжений;

- криптографическую защиту при передаче и хранении данных.

Подсистема обеспечения информационной безопасности должна обеспечивать требуемый уровень защиты информации от внешних и внутренних угроз.

Подсистема обеспечения информационной безопасности предназначена для защиты информации и средств ее обработки в КСА ЕЦОР.

К объектам защиты КСА ЕЦОР относятся:

- технические средства;

- программные средства;

- информация (в любой форме ее представления), содержащая охраняемые сведения, в том числе регламенты и процедуры работы;

- помещения, предназначенные для обработки и хранения информации.

В КСА ЕЦОР должен обеспечивать возможность обработки конфиденциальной информации, относящейся к следующим типам:

- персональные данные;

- служебные сведения, доступ к которым ограничен органами государственной власти в соответствии с Гражданским кодексом Российской Федерации и федеральными законами (служебная тайна);

- сведения, связанные с профессиональной деятельностью, доступ к которым ограничен в соответствии с Конституцией Российской Федерации и федеральными законами (тайна переписки, телефонных переговоров, почтовых отправлений, телеграфных или иных сообщений и так далее).

Для решения задач подсистемы обеспечения информационной безопасности (далее - ПОИБ) должен быть предусмотрен комплекс программно-технических средств и организационных (процедурных) решений по защите информации от несанкционированного доступа, определяемый на основании требований настоящего документа и с учетом модели угроз и нарушителя.

Информационный обмен между компонентами ПОИБ должен осуществляться с использованием каналов связи локальной вычислительной сети, не выходящих за пределы контролируемой зоны. При этом под контролируемой зоной понимается пространство (территория, здание, часть здания), в котором исключено неконтролируемое пребывание сотрудников и посетителей. Клиенты беспроводных сетей (Wi-Fi), если беспроводные сети присутствуют в составе локальной сети, не должны иметь доступ к компонентам ПОИБ.

Должна осуществляться очистка (обнуление, обезличивание) освобождаемых областей оперативной памяти и внешних накопителей. Очистка осуществляется однократной произвольной записью в освобождаемую область памяти, ранее использованную для хранения защищаемых данных (файлов).

Для организации информационного обмена с использованием каналов связи, выходящих за пределы контролируемой зоны, требуется использовать средства криптографической защиты информации, которые в установленном порядке прошли процедуру оценки соответствия требованиям безопасности информации ФСБ России. Криптографическая защита информации, передаваемой по каналам связи, выходящим за пределы контролируемой зоны, должна обеспечиваться с использованием криптографического алгоритма ГОСТ 28147-89. Используемые средства криптографической защиты информации должны обеспечивать криптографическую защиту по уровню не ниже КС2 (Приложение N 1 "Требования к средствам электронной подписи" к приказу ФСБ России от 27 декабря 2011 г. N 796).

В соответствии с Приказом ФСТЭК России от 18.02.2013 N 21 "Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах" для обеспечения безопасности персональных данных при их обработке в информационной системе (далее по тексту - ИСПДн) требуется использовать мероприятия по обеспечению безопасности персональных данных (далее по тексту - ПДн). Для реализации данных мероприятий необходимо создание, как минимум, следующих функциональных модулей:

- управления доступом;

- регистрации и учета;

- обеспечения целостности;

- обеспечения безопасного межсетевого взаимодействия;

- анализа защищенности;

- обнаружения вторжений;

- антивирусной защиты.

Функциональный модуль управления доступом

Модуль управления доступом должен осуществлять идентификацию и проверку подлинности субъектов доступа при входе в КСА ЕЦОР по идентификатору (коду) и паролю условно-постоянного действия длиной не менее шести буквенно-цифровых символов.

Должна осуществляться идентификация терминалов, узлов сети, каналов связи, внешних устройств по логическим именам.

Должна осуществляться идентификация программ, томов, каталогов, файлов по именам.

Должен осуществляться контроль доступа субъектов к защищаемым ресурсам в соответствии с матрицей доступа.

Функциональный модуль регистрации и учета

Должна осуществляться регистрация входа (выхода) субъектов доступа в КСА ЕЦОР (из КСА ЕЦОР).

Должна осуществляться регистрация попыток доступа программных средств (программ, процессов, задач и так далее) к защищаемым файлам. В параметрах регистрации указываются:

- дата и время попытки доступа к защищаемому файлу с указанием ее результата: успешная, неуспешная - несанкционированная;

- идентификатор субъекта доступа;

- спецификация защищаемого файла.

Должна осуществляться регистрация попыток доступа программных средств к следующим дополнительным защищаемым объектам доступа: терминалам, узлам сети, линиям (каналам) связи, внешним устройствам, программам, томам, каталогам, файлам, записям, полям записей. В параметрах регистрации указываются:

- дата и время попытки доступа к защищаемому объекту с указанием ее результата: успешная, неуспешная - несанкционированная;

- идентификатор субъекта доступа;

- спецификация защищаемого объекта [логическое имя (номер)].

Должен проводиться учет всех защищаемых носителей информации с помощью их маркировки и с занесением учетных данных в журнал (учетную карточку).

Учет защищаемых носителей должен проводиться в журнале (картотеке) с регистрацией их выдачи (приема).

Функциональный модуль обеспечения целостности

Должна быть обеспечена целостность программных средств ПОИБ, а также неизменность программной среды.

Целостность ПОИБ проверяется при загрузке КСА ЕЦОР по контрольным суммам компонент системы защиты.

Целостность программной среды обеспечивается использованием трансляторов с языков высокого уровня и отсутствием средств модификации объектного кода программ в процессе обработки и (или) хранения защищаемой информации.

Должна осуществляться физическая охрана технических средств (устройств и носителей информации), предусматривающая контроль доступа в помещения посторонних лиц, наличие надежных препятствий для несанкционированного проникновения в помещения и хранилище носителей информации, особенно в нерабочее время.

Должно проводиться периодическое тестирование функций ПОИБ при изменении программной среды и персонала ИСПДн с помощью тест-программ, имитирующих попытки НСД.

Должны быть в наличии средства восстановления ПОИБ, предусматривающие ведение двух копий программных средств ПОИБ и их периодическое обновление и контроль работоспособности.

Функциональный модуль обеспечения безопасного межсетевого взаимодействия

В связи с наличием подключения ИСПДн к сетям связи общего пользования данный функциональный модуль должен быть реализован путем использования средств межсетевого экранирования, соответствующих 3 (третьему) классу защищенности в соответствии с РД ФСТЭК "Средства вычислительной техники. Межсетевые экраны. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации". В целях выполнения требований законов и подзаконных нормативных актов, регламентирующих вопросы защиты конфиденциальной информации, в том числе персональных данных, используемые межсетевые экраны как средства защиты информации должны в установленном порядке пройти процедуру оценки соответствия ФСТЭК России.

Функциональный модуль анализа защищенности

Средства анализа защищенности должны обеспечивать возможность выявления уязвимостей, связанных с ошибками в конфигурации программного обеспечения ИСПДн, которые могут быть использованы нарушителем для реализации атаки на систему. В целях выполнения требований законов и подзаконных нормативных актов, регламентирующих вопросы защиты конфиденциальной информации, в том числе персональных данных, используемые средства анализа защищенности как средства защиты информации должны в установленном порядке пройти процедуру оценки соответствия ФСТЭК России.

Функциональный модуль обнаружения вторжений

Данный модуль должен быть реализован путем использования в составе ИСПДн сертифицированных программных или программно-аппаратных средств (систем) обнаружения вторжений.

Функциональный модуль антивирусной защиты

В составе ИСПДн на рабочих станциях и серверах должны применяться сертифицированные средства антивирусной защиты в целях защиты ПДн и программно-технических средств от воздействия вредоносного программного обеспечения.

Для программных средств, используемых при защите информации в ИСПДн, должен быть обеспечен четвертый уровень контроля отсутствия НДВ. Все программное и аппаратное обеспечение, реализующее функционал защиты информации, должно быть сертифицировано в системе сертификации ФСТЭК России.

<<< Приложение 4. ТРЕБОВАНИЯ К ПОДСИСТЕМАМ КСА ЕЦОРПриложение 4 [к: "Временные единые требования к техническим параметрам сегментов аппаратно-программного комплекса "Безопасный город" (утв. МЧС России 29.12.2014 N 14-7-5552)]
II. Требования к подсистеме архивированияII. Требования к подсистеме архивирования ["Временные единые требования к техническим параметрам сегментов аппаратно-программного комплекса "Безопасный город" (утв. МЧС России 29.12.2014 N 14-7-5552)] >>>