АвтоАвтоматизацияАрхитектураАстрономияАудитБиологияБухгалтерияВоенное делоГенетикаГеографияГеологияГосударствоДомДругоеЖурналистика и СМИИзобретательствоИностранные языкиИнформатикаИскусствоИсторияКомпьютерыКулинарияКультураЛексикологияЛитератураЛогикаМаркетингМатематикаМашиностроениеМедицинаМенеджментМеталлы и СваркаМеханикаМузыкаНаселениеОбразованиеОхрана безопасности жизниОхрана ТрудаПедагогикаПолитикаПравоПриборостроениеПрограммированиеПроизводствоПромышленностьПсихологияРадиоРегилияСвязьСоциологияСпортСтандартизацияСтроительствоТехнологииТорговляТуризмФизикаФизиологияФилософияФинансыХимияХозяйствоЦеннообразованиеЧерчениеЭкологияЭконометрикаЭкономикаЭлектроникаЮриспунденкция

Определение требований к ИСПДН, необходимые к реализации на предприятии, согласно Приказа ФСТЭК №21от 18.02.2013 г

Читайте также:
  1. D. Определение звука в слове (начало, середина, конец слова)
  2. I Этап. Определение проблемы
  3. I. КОМПЛЕКС ТРЕБОВАНИЙ К ВЫПУСКНИКУ
  4. I.2. Определение расчетной длины и расчетной нагрузки на колонну
  5. II. Основные цели и задачи Программы, срок и этапы ее реализации, целевые индикаторы и показатели
  6. III. Анализ изобразительно-выразительных средств, определение их роли в раскрытии идейного содержания произведения, выявлении авторской позиции.
  7. IV. Обмен в пределах подразделения II. Необходимые жизненные средства и предметы роскоши
  8. IV. Определение победителей.
  9. SDRAM: Определение
  10. VI. Ожидаемые результаты реализации Программы
  11. АНАЛИЗ УРОВНЯ И ЭФФЕКТИВНОСТИ ПРОИЗВОДСТВА И РЕАЛИЗАЦИИ ПРОДУКЦИИ В ОАО «ГАСТЕЛЛОВСКОЕ»
  12. Анализ функциональных и технических требований

Состав и содержание мер по обеспечению безопасности персональных данных

В состав мер по обеспечению безопасности персональных данных, реализуемых в рамках системы защиты персональных данных с учетом актуальных угроз безопасности персональных данных и применяемых информационных технологий, входят:

идентификация и аутентификация субъектов доступа и объектов доступа;

управление доступом субъектов доступа к объектам доступа;

ограничение программной среды;

защита машинных носителей информации, на которых хранятся и (или) обрабатываются персональные данные (далее - машинные носители персональных данных);

регистрация событий безопасности;

антивирусная защита;

обнаружение (предотвращение) вторжений;

контроль (анализ) защищенности персональных данных;

обеспечение целостности информационной системы и персональных данных;

обеспечение доступности персональных данных;

защита среды виртуализации;

защита технических средств;

защита информационной системы, ее средств, систем связи и передачи данных;

выявление инцидентов (одного события или группы событий), которые могут привести к сбоям или нарушению функционирования информационной системы и (или) к возникновению угроз безопасности персональных данных (далее - инциденты), и реагирование на них

управление конфигурацией информационной системы и системы защиты персональных данных.

Состав и содержание мер по обеспечению безопасности персональных данных, необходимых для обеспечения каждого из уровней защищенности персональных данных, приведены в приложении к настоящему документу.

9. Выбор мер по обеспечению безопасности персональных данных, подлежащих реализации в информационной системе в рамках системы защиты персональных данных, включает:

определение базового набора мер по обеспечению безопасности персональных данных для установленного уровня защищенности персональных данных в соответствии с базовыми наборами мер по обеспечению безопасности персональных данных, приведенными в приложении к настоящему документу;

адаптацию базового набора мер по обеспечению безопасности персональных данных с учетом структурно-функциональных характеристик информационной системы, информационных технологий, особенностей функционирования информационной системы (в том числе исключение из базового набора мер, непосредственно связанных с информационными технологиями, не используемыми в информационной системе, или структурно-функциональными характеристиками, не свойственными информационной системе);

уточнение адаптированного базового набора мер по обеспечению безопасности персональных данных с учетом не выбранных ранее мер, приведенных в приложении к настоящему документу, в результате чего определяются меры по обеспечению безопасности персональных данных, направленные на нейтрализацию всех актуальных угроз безопасности персональных данных для конкретной информационной системы;

дополнение уточненного адаптированного базового набора мер по обеспечению безопасности персональных данных мерами, обеспечивающими выполнение требований к защите персональных данных, установленными иными нормативными правовыми актами в области обеспечения безопасности персональных данных и защиты информации.

10. При невозможности технической реализации отдельных выбранных мер по обеспечению безопасности персональных данных, а также с учетом экономической целесообразности на этапах адаптации базового набора мер и (или) уточнения адаптированного базового набора мер могут разрабатываться иные (компенсирующие) меры, направленные на нейтрализацию актуальных угроз безопасности персональных данных.

В этом случае в ходе разработки системы защиты персональных данных должно быть проведено обоснование применения компенсирующих мер для обеспечения безопасности персональных данных.

11. В случае определения в соответствии с Требованиями к защите персональных при их обработке в информационных системах персональных данных, утвержденными постановлением Правительства Российской Федерации от 1 ноября 2012 г. N1119, в качестве актуальных угроз безопасности персональных данных 1-го и 2-го типов дополнительно к мерам по обеспечению безопасности персональных данных, указанным в пункте 8 настоящего документа, могут применяться следующие меры:

проверка системного и (или) прикладного программного обеспечения, включая программный код, на отсутствие не декларированных возможностей с использованием автоматизированных средств и (или) без использования таковых;

тестирование информационной системы на проникновения;

использование в информационной системе системного и (или) прикладного программного обеспечения, разработанного с использованием методов защищенного программирования.

12. При использовании в информационных системах сертифицированных по требованиям безопасности информации средств защиты информации:

а) для обеспечения 1 и 2 уровней защищенности персональных данных применяются:

средства вычислительной техники не ниже 5 класса;

системы обнаружения вторжений и средства антивирусной защиты не ниже 4 класса;

межсетевые экраны не ниже 3 класса в случае актуальности угроз 1-го или 2-го типов или взаимодействия информационной системы с информационно-телекоммуникационными сетями международного информационного обмена и межсетевые экраны не ниже 4 класса в случае актуальности угроз 3-го типа и отсутствия взаимодействия информационной системы с информационно-телекоммуникационными сетями международного информационного обмена;

 

Таблица 3 - Требования УЗ 1

Условное обозначе ние и номер меры     Содержание мер по обеспечению безопасности персональных данных   УЗ-1
ИАФ.1 Идентификация и аутентификация пользователей, являющихся работниками оператора +
ИАФ.2 Идентификация и аутентификация устройств, в том числе стационарных, мобильных и портативных +
ИАФ.З Управление идентификаторами, в том числе создание, присвоение, уничтожение идентификаторов +
ИАФ.4 Управление средствами аутентификации, в том числе хранение, выдача, инициализация, блокирование средств аутентификации и принятие мер в случае утраты и (или) компрометации средств аутентификации +
ИАФ.5 Защита обратной связи при вводе аутентификационной информации +
ИАФ.6 Идентификация и аутентификация пользователей, не являющихся работниками оператора (внешних пользователей) +
УПД.1 Управление (заведение, активация, блокирование и уничтожение) учетными записями пользователей, в том числе внешних пользователей +
УПД.2 Реализация необходимых методов (дискреционный, мандатный, ролевой или иной метод), типов (чтение, запись, выполнение или иной тип) и правил разграничения доступа +
УПД.З Управление (фильтрация, маршрутизация, контроль соединений, однонаправленная передача и иные способы управления) информационными потоками между устройствами, сегментами информационной системы, а также между информационными системами +
УПД.4 Разделение полномочий (ролей) пользователей, администраторов и лиц, обеспечивающих функционирование информационной системы +
УПД.4 Разделение полномочий (ролей) пользователей, администраторов и лиц, обеспечивающих функционирование информационной системы +
УПД.5 Назначение минимально необходимых прав и привилегий пользователям, администраторам и лицам, обеспечивающим функционирование информационной системы +
УПД.4 Разделение полномочий (ролей) пользователей, администраторов и лиц, обеспечивающих функционирование информационной системы +

 

 

Продолжение таблицы 3

УПД.5 Назначение минимально необходимых прав и привилегий пользователям, администраторам и лицам, обеспечивающим функционирование информационной системы +
УПД.6 Ограничение неуспешных попыток входа в информационную систему (доступа к информационной системе) +
УПД.10 Блокирование сеанса доступа в информационную систему после установленного времени бездействия (неактивности) пользователя или по его запросу +
УПД.11 Разрешение (запрет) действий пользователей, разрешенных до идентификации и аутентификации +
УПД.13 Реализация защищенного удаленного доступа субъектов доступа к объектам доступа через внешние информационно-телекоммуникационные сети +
УПД.14 Регламентация и контроль использования в информационной системе технологий беспроводного доступа +
УПД.15 Регламентация и контроль использования в информационной системе мобильных технических средств +
УПД.16 Управление взаимодействием с информационными системами сторонних организаций (внешние информационные системы) +
УПД.17 Обеспечение доверенной загрузки средств вычислительной техники +
  III. Ограничение программной среды (ОПС) +
ОПС.1 Управление запуском (обращениями) компонентов программного обеспечения, в том числе определение запускаемых компонентов, настройка параметров запуска компонентов, контроль за запуском компонентов программного обеспечения +
ОПС.4 Управление временными файлами, в том числе запрет, разрешение, перенаправление записи, удаление временных файлов +
ЗНИ.1 Учет машинных носителей персональных данных +
ЗНИ.7 Контроль подключения машинных носителей персональных данных +
ЗНИ.8 Уничтожение (стирание) или обезличивание персональных данных на машинных носителях при их передаче между пользователями, в сторонние организации для ремонта или утилизации, а также контроль уничтожения (стирания) или обезличивания +
  V. Регистрация событий безопасности (РСБ) +
РСБ.1 Определение событий безопасности, подлежащих регистрации, и сроков их хранения +

 

 

Продолжение таблицы 3

РСБ.2 Определение состава и содержания информации о событиях безопасности, подлежащих регистрации +
РСБ.З Сбор, запись и хранение информации о событиях безопасности в течение установленного времени хранения +
РСБ.5 Мониторинг (просмотр, анализ) результатов регистрации событий безопасности и реагирование на них +
РСБ.6 Генерирование временных меток и (или) синхронизация системного времени в информационной системе +
РСБ. 7 Защита информации о событиях безопасности +
АВ3.1 Реализация антивирусной защиты +
АВ3.2 Обновление базы данных признаков вредоносных компьютерных программ (вирусов) +
COB.l Обнаружение вторжений +
COB.2 Обновление базы решающих правил +
АНЗ.1 Выявление, анализ уязвимостей информационной системы и оперативное устранение вновь выявленных уязвимостей +
АНЗ.2 Контроль установки обновлений программного обеспечения, включая обновление программного обеспечения средств защиты информации +
АНЗ.3 Контроль работоспособности, параметров настройки и правильности функционирования программного обеспечения, и средств защиты информации +
АНЗ.4 Контроль состава технических средств, программного обеспечения и средств защиты информации +
ОЦЛ.2 Контроль целостности персональных данных, содержащихся в базах данных информационной системы +
ОДТ.2 Резервирование технических средств, программного обеспечения, каналов передачи информации, средств обеспечения функционирования информационной системы +
ОДТ.3 Контроль безотказного функционирования технических средств, обнаружение и локализация отказов функционирования, принятие мер по восстановлению отказавших средств и их тестирование +
ОДТ.4 Периодическое резервное копирование персональных данных на резервные машинные носители персональных данных +
ОДТ.5 Обеспечение возможности восстановления персональных данных с резервных машинных носителей персональных данных (резервных копий) в течение установленного временного интервала +

 

Продолжение таблицы 3

ОДТ. 5 Обеспечение возможности восстановления персональных данных с резервных машинных носителей персональных данных (резервных копий) в течение установленного временного интервала +
ЗСВ.1 Идентификация и аутентификация субъектов доступа и объектов доступа в виртуальной инфраструктуре, в том числе администраторов управления средствами виртуализации +
ЗСВ.4 Управление (фильтрация, маршрутизация, контроль соединения, однонаправленная передача) потоками информации между компонентами виртуальной инфраструктуры, а также по периметру виртуальной инфраструктуры +
ЗСВ.5 Доверенная загрузка серверов виртуализации, виртуальной машины (контейнера), серверов управления виртуализацией +
ЗСВ.6 Управление перемещением виртуальных машин (контейнеров) и обрабатываемых на них данных +
ЗСВ.7 Контроль целостности виртуальной инфраструктуры и ее конфигураций +
ЗСВ. 8 Резервное копирование данных, резервирование технических средств, программного обеспечения виртуальной инфраструктуры, а также каналов связи внутри виртуальной инфраструктуры +
ЗТС.1 Защита информации, обрабатываемой техническими средствами, от ее утечки по техническим каналам +
ЗТС.2 Организация контролируемой зоны, в пределах которой постоянно размещаются стационарные технические средства, обрабатывающие информацию, и средства защиты информации, а также средства обеспечения функционирования +
ЗТС.4 Размещение устройств вывода (отображения) информации, исключающее ее несанкционированный просмотр +
ЗИС. 7 Контроль санкционированного и исключение несанкционированного использования технологий мобильного кода, в том числе регистрация событий, связанных с использованием технологий мобильного кода, их анализ и реагирование на нарушения, связанные с использованием технологий мобильного кода +
ЗИС.11 Обеспечение подлинности сетевых соединений (сеансов взаимодействия), в том числе для защиты от подмены сетевых устройств и сервисов +
ЗИС.13 Исключение возможности отрицания пользователем факта получения персональных данных от другого пользователя +
ЗИС.16 Выявление, анализ и блокирование в информационной системы скрытых каналов передачи информации в обход реализованных мер или внутри разрешенных сетевых протоколов +
ЗИС.17 Разбиение информационной системы на сегменты (сегментирование информационной системы) и обеспечение защиты периметров сегментов информационной системы +

Окончание таблицы 3

ЗИС.18 Обеспечение загрузки и исполнения программного обеспечения с машинных носителей персональных данных, доступных только для чтения, и контроль целостности данного программного обеспечения +
ЗИС.19 Изоляция процессов (выполнение программ) в выделенной области памяти +
ЗИС.20 Защита беспроводных соединений, применяемых в информационной системе +
ИНЦ.1 Определение лиц, ответственных за выявление инцидентов и реагирование на них +
ИНЦ.2 Обнаружение, идентификация и регистрация инцидентов +
ИНЦ.3 Своевременное информирование лиц, ответственных за выявление инцидентов и реагирование на них, о возникновении инцидентов в информационной системе пользователями и администраторами +
ИНЦ.4 Анализ инцидентов, в том числе определение источников и причин возникновения инцидентов, а также оценка их последствий +
ИНЦ.5 Принятие мер по устранению последствий инцидентов +
ИНЦ.6 Планирование и принятие мер по предотвращению повторного возникновения инцидентов +

 


1 | 2 | 3 | 4 | 5 | 6 | 7 |

Поиск по сайту:



Все материалы представленные на сайте исключительно с целью ознакомления читателями и не преследуют коммерческих целей или нарушение авторских прав. Студалл.Орг (0.006 сек.)