вфвф. Политика информационной безопасности информационной системы персональных данных ооо Организация
Скачать 241.5 Kb.
|
3. Система защиты персональных данныхСистема защиты персональных данных (СЗПДн) ООО «Организация», строится на основании: Технического паспорта на ИСПДн; Перечня персональных данных, подлежащих защите; Акта классификации информационной системы персональных данных; Модели угроз безопасности персональных данных; Руководящих документов ФСТЭК и ФСБ России. На основании этих документов определяется необходимый уровень защищенности ПДн каждой ИСПДн ООО «Организация». На основании анализа актуальных угроз безопасности ПДн описанного в Модели угроз ИСПДн ООО «Организация», делается заключение о необходимости использования технических средств и организационных мероприятий для обеспечения безопасности ПДн. Для каждой ИСПДн должен быть составлен список используемых технических средств защиты, а так же программного обеспечения участвующего в обработке ПДн, на всех элементах ИСПДн: ИСПДН пользователей; Каналов передачи в сети. В зависимости от уровня защищенности ИСПДн и актуальных угроз, СЗПДн может включать следующие технические средства: антивирусные средства для рабочих станций пользователей и серверов; средства межсетевого экранирования; средства криптографической защиты информации, при передаче защищаемой информации по каналам связи. Так же в список должны быть включены функции защиты, обеспечиваемые штатными средствами обработки ПДн операционными системами (ОС), прикладным ПО и специальными комплексами, реализующими средства защиты. Список функций защиты может включать: управление и разграничение доступа пользователей; регистрацию и учет действий с информацией; - обеспечивать целостность данных; Список используемых технических средств отражается в Плане мероприятий по обеспечению защиты персональных данных. Список используемых средств должен поддерживаться в актуальном состоянии. При изменении состава технических средств защиты или элементов ИСПДн, соответствующие изменения должны быть внесены в Список и утверждены руководителем ООО «Организация» или лицом, ответственным за обеспечение защиты ПДн. 4. Требования к подсистемам СЗПДнСЗПДн включает в себя следующие подсистемы: управления доступом, регистрации и учета; обеспечения целостности и доступности; антивирусной защиты; защиты информационной системы, ее средств, систем связи и передачи данных; идентификации и аутентификации субъектов доступа и объектов доступа; контроля защищенности; защиты технических средств. Подсистемы СЗПДн имеют различный функционал в зависимости от класса ИСПДн, определенного в Акте классификации информационной системы персональных данных ООО «Организация». 4.1 Подсистемы управления доступом, регистрации и учета Подсистема управления доступом, регистрации и учета предназначена для реализации следующих функций: идентификации и проверка подлинности субъектов доступа при входе в ИСПДн; идентификации терминалов, узлов сети, каналов связи, внешних устройств по логическим именам; идентификации программ, томов, каталогов, файлов, записей, полей записей по именам; регистрации входа (выхода) субъектов доступа в систему (из системы), либо регистрация загрузки и инициализации операционной системы и ее останова. регистрации попыток доступа программных средств (программ, процессов, задач, заданий) к защищаемым файлам; регистрации попыток доступа программных средств к терминалам, каналам связи, программам, томам, каталогам, файлам, записям, полям записей. Подсистема управления доступом может быть реализована с помощью штатных средств обработки ПДн (операционных систем, приложений и СУБД). Так же может быть внедрено специальное техническое средство или их комплекс осуществляющие дополнительные меры по аутентификации и контролю. Например, применение единых хранилищ учетных записей пользователей и регистрационной информации, использование биометрических и технических (с помощью электронных пропусков) мер аутентификации и других. Рекомендуется для выполнения требований по защите от НСД для рабочих станций, подключенных к ЛВС 4 уровня защищённости ПДн использовать систему защиты информации от несанкционированного доступа (СЗИ от НСД) «Dallas Lock 8.0-K» (Сертификат ФСТЭК № 2720 от 25.09.2012г. - по 4 уровню контроля НДВ, по 5 классу СВТ, по 3 классу РД МЭ, Требований к СКСМНИ (ИТ.СКН.П4.ПЗ) по 4 классу защиты, Требования к СОВ уровня узла 4 класса). Возможно использовать аналогичные СЗИ НСД прошедшие процедуру сертификации и выполняющие все требования. 4.2 Подсистема обеспечения целостности и доступности Подсистема обеспечения целостности и доступности предназначена для обеспечения целостности и доступности ПДн, программных и аппаратных средств ИСПДн ООО «Организация», а так же средств защиты, при случайной или намеренной модификации. Подсистема реализуется с помощью организации резервного копирования обрабатываемых данных, а так же резервированием ключевых элементов ИСПДн. 4.3 Подсистема антивирусной защиты Подсистема антивирусной защиты предназначена для обеспечения антивирусной защиты серверов и ИСПДН ООО «Организация». Средства антивирусной защиты предназначены для реализации следующих функций: резидентный антивирусный мониторинг; антивирусное сканирование; скрипт-блокирование; централизованную/удаленную установку/деинсталляцию антивирусного продукта, настройку, администрирование, просмотр отчетов и статистической информации по работе продукта; автоматизированное обновление антивирусных баз; ограничение прав пользователя на остановку исполняемых задач и изменения настроек антивирусного программного обеспечения; автоматический запуск сразу после загрузки операционной системы. Подсистема реализуется путем внедрения специального антивирусного программного обеспечения на все элементы ИСПДн. В ИСПДн ООО «Организация» на рабочих станциях присутствуют средства антивирусной защиты DrWeb. 4.4 Подсистема защиты информационной системы, ее средств, систем связи и передачи данных Подсистема защиты информационной системы, ее средств, систем связи и передачи данных предназначена для реализации следующих функций: фильтрации открытого и зашифрованного (закрытого) IP-трафика по следующим параметрам; фиксации во внутренних журналах информации о проходящем открытом и закрытом IP-трафике; идентификации и аутентификацию администратора межсетевого экрана при его локальных запросах на доступ; регистрации входа (выхода) администратора межсетевого экрана в систему (из системы) либо загрузки и инициализации системы и ее программного останова; контроля целостности своей программной и информационной части; фильтрации пакетов служебных протоколов, служащих для диагностики и управления работой сетевых устройств; фильтрации с учетом входного и выходного сетевого интерфейса как средство проверки подлинности сетевых адресов; регистрации и учета запрашиваемых сервисов прикладного уровня; блокирования доступа неидентифицированного объекта или субъекта, подлинность которого при аутентификации не подтвердилась, методами, устойчивыми к перехвату; контроля за сетевой активностью приложений и обнаружения сетевых атак. Подсистема реализуется внедрением программно-аппаратных комплексов межсетевого экранирования, классом не ниже 4. Рекомендуется для выполнения требований по защите от НСД установить межсетевой экран для разграничения доступа ИСПДн от сети общего пользования. Возможно использовать встроенный межсетевой экран системы защиты информации от несанкционированного доступа (СЗИ от НСД) «Dallas Lock 8.0-K» (Сертификат ФСТЭК № 2720 от 25.09.2012г. - по 4 уровню контроля НДВ, по 5 классу СВТ, по 3 классу РД МЭ, Требований к СКСМНИ (ИТ.СКН.П4.ПЗ) по 4 классу защиты, Требования к СОВ уровня узла 4 класса). Для исключения угрозы чтения, перехвата и раскрытия персональных данных, передаваемых через открытые каналы связи, рекомендуется использовать сертифицированные средства шифрования информации. Рекомендуется применение СКЗИ «КриптоПро CSP», версия 4.0 (Сертификат ФСБ № СФ/124-3010 от 30.12.2016г. - соответствует требованиям ФСБ России к шифровальным (криптографическим) средствам класса КС3). Возможно использовать аналогичные СЗИ НСД прошедшие процедуру сертификации и выполняющие все требования. 4.5. Подсистема идентификации и аутентификации субъектов доступа и объектов доступа Подсистема идентификации и аутентификации субъектов доступа и объектов доступа предназначена для реализации следующих механизмов: механизм идентификации и аутентификации пользователей, являющихся работниками оператора персональных данных; механизм управления идентификаторами, в том числе создание, присвоение, уничтожение идентификаторов; механизм управления средствами аутентификации, в том числе хранение, выдача, инициализация, блокирование средств аутентификации и принятие мер в случае утраты и (или) компрометации средств аутентификации; механизм защиты обратной связи при вводе аутентификационной информации; механизм идентификации и аутентификации пользователей, не являющихся работниками оператора (внешних пользователей). Идентификация и проверка подлинности субъектов доступа при входе в систему должно осуществляться средствами СЗИ НСД по индивидуальным имени и паролю условно-постоянного действия длиной не менее шести буквенно-цифровых символов. Рекомендуется для выполнения требований подсистемы идентификации и аутентификации субъектов доступа и объектов доступа использовать СЗИ от НСД «Dallas Lock 8.0-K». Возможно использовать аналогичные СЗИ НСД прошедшие процедуру сертификации и выполняющие все требования. Подсистема контроля защищенности персональных данных Подсистема контроля защищенности персональных данных предназначена для реализации следующих функций:
Контроль установки обновлений программного обеспечения, включая обновление программного обеспечения средств защиты информации рекомендуется выполнять организационными мерами и при помощи СЗИ от НСД «Dallas Lock 8.0-K». 4.7 Подсистема защиты технических средств Подсистема защиты технических средств предназначена для реализации следующих функций:
Рекомендуется размещать технические средства, обрабатывающие персональные данные в помещении на охраняемой территории и оборудованном техническими средствами охраны. |