АвтоАвтоматизацияАрхитектураАстрономияАудитБиологияБухгалтерияВоенное делоГенетикаГеографияГеологияГосударствоДомДругоеЖурналистика и СМИИзобретательствоИностранные языкиИнформатикаИскусствоИсторияКомпьютерыКулинарияКультураЛексикологияЛитератураЛогикаМаркетингМатематикаМашиностроениеМедицинаМенеджментМеталлы и СваркаМеханикаМузыкаНаселениеОбразованиеОхрана безопасности жизниОхрана ТрудаПедагогикаПолитикаПравоПриборостроениеПрограммированиеПроизводствоПромышленностьПсихологияРадиоРегилияСвязьСоциологияСпортСтандартизацияСтроительствоТехнологииТорговляТуризмФизикаФизиологияФилософияФинансыХимияХозяйствоЦеннообразованиеЧерчениеЭкологияЭконометрикаЭкономикаЭлектроникаЮриспунденкция
|
Определение требований к ИСПДН, необходимые к реализации на предприятии, согласно Приказа ФСТЭК №21от 18.02.2013 г
Состав и содержание мер по обеспечению безопасности персональных данных
В состав мер по обеспечению безопасности персональных данных, реализуемых в рамках системы защиты персональных данных с учетом актуальных угроз безопасности персональных данных и применяемых информационных технологий, входят:
идентификация и аутентификация субъектов доступа и объектов доступа;
управление доступом субъектов доступа к объектам доступа;
ограничение программной среды;
защита машинных носителей информации, на которых хранятся и (или) обрабатываются персональные данные (далее - машинные носители персональных данных);
регистрация событий безопасности;
антивирусная защита;
обнаружение (предотвращение) вторжений;
контроль (анализ) защищенности персональных данных;
обеспечение целостности информационной системы и персональных данных;
обеспечение доступности персональных данных;
защита среды виртуализации;
защита технических средств;
защита информационной системы, ее средств, систем связи и передачи данных;
выявление инцидентов (одного события или группы событий), которые могут привести к сбоям или нарушению функционирования информационной системы и (или) к возникновению угроз безопасности персональных данных (далее - инциденты), и реагирование на них
управление конфигурацией информационной системы и системы защиты персональных данных.
Состав и содержание мер по обеспечению безопасности персональных данных, необходимых для обеспечения каждого из уровней защищенности персональных данных, приведены в приложении к настоящему документу.
9. Выбор мер по обеспечению безопасности персональных данных, подлежащих реализации в информационной системе в рамках системы защиты персональных данных, включает:
определение базового набора мер по обеспечению безопасности персональных данных для установленного уровня защищенности персональных данных в соответствии с базовыми наборами мер по обеспечению безопасности персональных данных, приведенными в приложении к настоящему документу;
адаптацию базового набора мер по обеспечению безопасности персональных данных с учетом структурно-функциональных характеристик информационной системы, информационных технологий, особенностей функционирования информационной системы (в том числе исключение из базового набора мер, непосредственно связанных с информационными технологиями, не используемыми в информационной системе, или структурно-функциональными характеристиками, не свойственными информационной системе);
уточнение адаптированного базового набора мер по обеспечению безопасности персональных данных с учетом не выбранных ранее мер, приведенных в приложении к настоящему документу, в результате чего определяются меры по обеспечению безопасности персональных данных, направленные на нейтрализацию всех актуальных угроз безопасности персональных данных для конкретной информационной системы;
дополнение уточненного адаптированного базового набора мер по обеспечению безопасности персональных данных мерами, обеспечивающими выполнение требований к защите персональных данных, установленными иными нормативными правовыми актами в области обеспечения безопасности персональных данных и защиты информации.
10. При невозможности технической реализации отдельных выбранных мер по обеспечению безопасности персональных данных, а также с учетом экономической целесообразности на этапах адаптации базового набора мер и (или) уточнения адаптированного базового набора мер могут разрабатываться иные (компенсирующие) меры, направленные на нейтрализацию актуальных угроз безопасности персональных данных.
В этом случае в ходе разработки системы защиты персональных данных должно быть проведено обоснование применения компенсирующих мер для обеспечения безопасности персональных данных.
11. В случае определения в соответствии с Требованиями к защите персональных при их обработке в информационных системах персональных данных, утвержденными постановлением Правительства Российской Федерации от 1 ноября 2012 г. N1119, в качестве актуальных угроз безопасности персональных данных 1-го и 2-го типов дополнительно к мерам по обеспечению безопасности персональных данных, указанным в пункте 8 настоящего документа, могут применяться следующие меры:
проверка системного и (или) прикладного программного обеспечения, включая программный код, на отсутствие не декларированных возможностей с использованием автоматизированных средств и (или) без использования таковых;
тестирование информационной системы на проникновения;
использование в информационной системе системного и (или) прикладного программного обеспечения, разработанного с использованием методов защищенного программирования.
12. При использовании в информационных системах сертифицированных по требованиям безопасности информации средств защиты информации:
а) для обеспечения 1 и 2 уровней защищенности персональных данных применяются:
средства вычислительной техники не ниже 5 класса;
системы обнаружения вторжений и средства антивирусной защиты не ниже 4 класса;
межсетевые экраны не ниже 3 класса в случае актуальности угроз 1-го или 2-го типов или взаимодействия информационной системы с информационно-телекоммуникационными сетями международного информационного обмена и межсетевые экраны не ниже 4 класса в случае актуальности угроз 3-го типа и отсутствия взаимодействия информационной системы с информационно-телекоммуникационными сетями международного информационного обмена;
Таблица 3 - Требования УЗ 1
Условное обозначе ние и номер меры
|
Содержание мер по обеспечению безопасности персональных данных
|
УЗ-1
| ИАФ.1
| Идентификация и аутентификация пользователей, являющихся работниками оператора
| +
| ИАФ.2
| Идентификация и аутентификация устройств, в том числе стационарных, мобильных и портативных
| +
| ИАФ.З
| Управление идентификаторами, в том числе создание, присвоение, уничтожение идентификаторов
| +
| ИАФ.4
| Управление средствами аутентификации, в том числе хранение, выдача, инициализация, блокирование средств аутентификации и принятие мер в случае утраты и (или) компрометации средств аутентификации
| +
| ИАФ.5
| Защита обратной связи при вводе аутентификационной информации
| +
| ИАФ.6
| Идентификация и аутентификация пользователей, не являющихся работниками оператора (внешних пользователей)
| +
| УПД.1
| Управление (заведение, активация, блокирование и уничтожение) учетными записями пользователей, в том числе внешних пользователей
| +
| УПД.2
| Реализация необходимых методов (дискреционный, мандатный, ролевой или иной метод), типов (чтение, запись, выполнение или иной тип) и правил разграничения доступа
| +
| УПД.З
| Управление (фильтрация, маршрутизация, контроль соединений, однонаправленная передача и иные способы управления) информационными потоками между устройствами, сегментами информационной системы, а также между информационными системами
| +
| УПД.4
| Разделение полномочий (ролей) пользователей, администраторов и лиц, обеспечивающих функционирование информационной системы
| +
| УПД.4
| Разделение полномочий (ролей) пользователей, администраторов и лиц, обеспечивающих функционирование информационной системы
| +
| УПД.5
| Назначение минимально необходимых прав и привилегий пользователям, администраторам и лицам, обеспечивающим функционирование информационной системы
| +
| УПД.4
| Разделение полномочий (ролей) пользователей, администраторов и лиц, обеспечивающих функционирование информационной системы
| +
|
Продолжение таблицы 3
УПД.5
| Назначение минимально необходимых прав и привилегий пользователям, администраторам и лицам, обеспечивающим функционирование информационной системы
| +
| УПД.6
| Ограничение неуспешных попыток входа в информационную систему (доступа к информационной системе)
| +
| УПД.10
| Блокирование сеанса доступа в информационную систему после установленного времени бездействия (неактивности) пользователя или по его запросу
| +
| УПД.11
| Разрешение (запрет) действий пользователей, разрешенных до идентификации и аутентификации
| +
| УПД.13
| Реализация защищенного удаленного доступа субъектов доступа к объектам доступа через внешние информационно-телекоммуникационные сети
| +
| УПД.14
| Регламентация и контроль использования в информационной системе технологий беспроводного доступа
| +
| УПД.15
| Регламентация и контроль использования в информационной системе мобильных технических средств
| +
| УПД.16
| Управление взаимодействием с информационными системами сторонних организаций (внешние информационные системы)
| +
| УПД.17
| Обеспечение доверенной загрузки средств вычислительной техники
| +
|
| III. Ограничение программной среды (ОПС)
| +
| ОПС.1
| Управление запуском (обращениями) компонентов программного обеспечения, в том числе определение запускаемых компонентов, настройка параметров запуска компонентов, контроль за запуском компонентов программного обеспечения
| +
| ОПС.4
| Управление временными файлами, в том числе запрет, разрешение, перенаправление записи, удаление временных файлов
| +
| ЗНИ.1
| Учет машинных носителей персональных данных
| +
| ЗНИ.7
| Контроль подключения машинных носителей персональных данных
| +
| ЗНИ.8
| Уничтожение (стирание) или обезличивание персональных данных на машинных носителях при их передаче между пользователями, в сторонние организации для ремонта или утилизации, а также контроль уничтожения (стирания) или обезличивания
| +
|
| V. Регистрация событий безопасности (РСБ)
| +
| РСБ.1
| Определение событий безопасности, подлежащих регистрации, и сроков их хранения
| +
|
Продолжение таблицы 3
РСБ.2
| Определение состава и содержания информации о событиях безопасности, подлежащих регистрации
| +
| РСБ.З
| Сбор, запись и хранение информации о событиях безопасности в течение установленного времени хранения
| +
| РСБ.5
| Мониторинг (просмотр, анализ) результатов регистрации событий безопасности и реагирование на них
| +
| РСБ.6
| Генерирование временных меток и (или) синхронизация системного времени в информационной системе
| +
| РСБ. 7
| Защита информации о событиях безопасности
| +
| АВ3.1
| Реализация антивирусной защиты
| +
| АВ3.2
| Обновление базы данных признаков вредоносных компьютерных программ (вирусов)
| +
| COB.l
| Обнаружение вторжений
| +
| COB.2
| Обновление базы решающих правил
| +
| АНЗ.1
| Выявление, анализ уязвимостей информационной системы и оперативное устранение вновь выявленных уязвимостей
| +
| АНЗ.2
| Контроль установки обновлений программного обеспечения, включая обновление программного обеспечения средств защиты информации
| +
| АНЗ.3
| Контроль работоспособности, параметров настройки и правильности функционирования программного обеспечения, и средств защиты информации
| +
| АНЗ.4
| Контроль состава технических средств, программного обеспечения и средств защиты информации
| +
| ОЦЛ.2
| Контроль целостности персональных данных, содержащихся в базах данных информационной системы
| +
| ОДТ.2
| Резервирование технических средств, программного обеспечения, каналов передачи информации, средств обеспечения функционирования информационной системы
| +
| ОДТ.3
| Контроль безотказного функционирования технических средств, обнаружение и локализация отказов функционирования, принятие мер по восстановлению отказавших средств и их тестирование
| +
| ОДТ.4
| Периодическое резервное копирование персональных данных на резервные машинные носители персональных данных
| +
| ОДТ.5
| Обеспечение возможности восстановления персональных данных с резервных машинных носителей персональных данных (резервных копий) в течение установленного временного интервала
| +
|
Продолжение таблицы 3
ОДТ. 5
| Обеспечение возможности восстановления персональных данных с резервных машинных носителей персональных данных (резервных копий) в течение установленного временного интервала
| +
| ЗСВ.1
| Идентификация и аутентификация субъектов доступа и объектов доступа в виртуальной инфраструктуре, в том числе администраторов управления средствами виртуализации
| +
| ЗСВ.4
| Управление (фильтрация, маршрутизация, контроль соединения, однонаправленная передача) потоками информации между компонентами виртуальной инфраструктуры, а также по периметру виртуальной инфраструктуры
| +
| ЗСВ.5
| Доверенная загрузка серверов виртуализации, виртуальной машины (контейнера), серверов управления виртуализацией
| +
| ЗСВ.6
| Управление перемещением виртуальных машин (контейнеров) и обрабатываемых на них данных
| +
| ЗСВ.7
| Контроль целостности виртуальной инфраструктуры и ее конфигураций
| +
| ЗСВ. 8
| Резервное копирование данных, резервирование технических средств, программного обеспечения виртуальной инфраструктуры, а также каналов связи внутри виртуальной инфраструктуры
| +
| ЗТС.1
| Защита информации, обрабатываемой техническими средствами, от ее утечки по техническим каналам
| +
| ЗТС.2
| Организация контролируемой зоны, в пределах которой постоянно размещаются стационарные технические средства, обрабатывающие информацию, и средства защиты информации, а также средства обеспечения функционирования
| +
| ЗТС.4
| Размещение устройств вывода (отображения) информации, исключающее ее несанкционированный просмотр
| +
| ЗИС. 7
| Контроль санкционированного и исключение несанкционированного использования технологий мобильного кода, в том числе регистрация событий, связанных с использованием технологий мобильного кода, их анализ и реагирование на нарушения, связанные с использованием технологий мобильного кода
| +
| ЗИС.11
| Обеспечение подлинности сетевых соединений (сеансов взаимодействия), в том числе для защиты от подмены сетевых устройств и сервисов
| +
| ЗИС.13
| Исключение возможности отрицания пользователем факта получения персональных данных от другого пользователя
| +
| ЗИС.16
| Выявление, анализ и блокирование в информационной системы скрытых каналов передачи информации в обход реализованных мер или внутри разрешенных сетевых протоколов
| +
| ЗИС.17
| Разбиение информационной системы на сегменты (сегментирование информационной системы) и обеспечение защиты периметров сегментов информационной системы
| +
| Окончание таблицы 3
ЗИС.18
| Обеспечение загрузки и исполнения программного обеспечения с машинных носителей персональных данных, доступных только для чтения, и контроль целостности данного программного обеспечения
| +
| ЗИС.19
| Изоляция процессов (выполнение программ) в выделенной области памяти
| +
| ЗИС.20
| Защита беспроводных соединений, применяемых в информационной системе
| +
| ИНЦ.1
| Определение лиц, ответственных за выявление инцидентов и реагирование на них
| +
| ИНЦ.2
| Обнаружение, идентификация и регистрация инцидентов
| +
| ИНЦ.3
| Своевременное информирование лиц, ответственных за выявление инцидентов и реагирование на них, о возникновении инцидентов в информационной системе пользователями и администраторами
| +
| ИНЦ.4
| Анализ инцидентов, в том числе определение источников и причин возникновения инцидентов, а также оценка их последствий
| +
| ИНЦ.5
| Принятие мер по устранению последствий инцидентов
| +
| ИНЦ.6
| Планирование и принятие мер по предотвращению повторного возникновения инцидентов
| +
| 1 | 2 | 3 | 4 | 5 | 6 | 7 | Поиск по сайту:
|