АвтоАвтоматизацияАрхитектураАстрономияАудитБиологияБухгалтерияВоенное делоГенетикаГеографияГеологияГосударствоДомДругоеЖурналистика и СМИИзобретательствоИностранные языкиИнформатикаИскусствоИсторияКомпьютерыКулинарияКультураЛексикологияЛитератураЛогикаМаркетингМатематикаМашиностроениеМедицинаМенеджментМеталлы и СваркаМеханикаМузыкаНаселениеОбразованиеОхрана безопасности жизниОхрана ТрудаПедагогикаПолитикаПравоПриборостроениеПрограммированиеПроизводствоПромышленностьПсихологияРадиоРегилияСвязьСоциологияСпортСтандартизацияСтроительствоТехнологииТорговляТуризмФизикаФизиологияФилософияФинансыХимияХозяйствоЦеннообразованиеЧерчениеЭкологияЭконометрикаЭкономикаЭлектроникаЮриспунденкция

Требования ко 3 уровню защищенности

Читайте также:
  1. I. Значение владения движимыми вещами (бумагами на предъявителя и правами требования как вещами)
  2. II Требования к содержанию и оформлению работ
  3. II. Общие требования безопасности
  4. II. Общие требования и правила оформления текстов исследовательских работ.
  5. II. Требования к структуре образовательной программы дошкольного образования и ее объему
  6. III. Основные требования, предъявляемые к документам
  7. III. Требования к оформлению
  8. III. ТРЕБОВАНИЯ К РЕЗУЛЬТАТАМ ОСВОЕНИЯ СОДЕРЖАНИЯ ДИСЦИПЛИНЫ
  9. IV. Единые требования к использованию и сохранности учебников для учеников и их законных представителей
  10. V. Требования к подготовке и оформлению конкурсной работы
  11. Аппаратов, прокаченных до 20 уровня, требования к защитному и атакующему составляющему не выставляются, все на усмотре
  12. Ассортимент изделий из пластмасс. Классификация, основные виды и требования к изделиям из пластмасс.

- Организация режима обеспечения безопасности помещений, в которых размещена информационная система, препятствующего возможности неконтролируемого проникновения или пребывания в этих помещениях лиц, не имеющих права доступа в эти помещения

- обеспечение сохранности носителей персональных данных

- утверждение руководителем оператора документа, определяющего перечень лиц, доступ которых к персональным данным, обрабатываемым в информационной системе, необходим для выполнения ими служебных (трудовых) обязанностей

- использование средств защиты информации, прошедших процедуру оценки соответствия требованиям законодательства Российской Федерации в области обеспечения безопасности информации, в случае, когда применение таких средств необходимо для нейтрализации актуальных угроз

- назначение должностного лица (работника), ответственного за обеспечение безопасности персональных данных в информационной системе

 

Таблица 6 – Требования к УЗ 2

Условное обозначение и номер меры Содержание мер по обеспечению безопасности персональных данных УЗ-3
ИАФ.1 Идентификация и аутентификация пользователей, являющихся работниками оператора +
ИАФ.З Управление идентификаторами, в том числе создание, присвоение, уничтожение идентификаторов +

 

Продолжение таблицы 6

ИАФ.4 Управление средствами аутентификации, в том числе хранение, выдача, инициализация, блокирование средств аутентификации и принятие мер в случае утраты и (или) компрометации средств аутентификации +
ИАФ.5 Защита обратной связи при вводе аутентификационной информации +
ИАФ.6 Идентификация и аутентификация пользователей, не являющихся работниками оператора (внешних пользователей) +
  II. Управление доступом субъектов доступа к объектам доступа (УПД)  
УПД.1 Управление (заведение, активация, блокирование и уничтожение) учетными записями пользователей, в том числе внешних пользователей +
УПД.2 Реализация необходимых методов (дискреционный, мандатный, ролевой или иной метод), типов (чтение, запись, выполнение или иной тип) и правил разграничения доступа +
УПД.З Управление (фильтрация, маршрутизация, контроль соединений, однонаправленная передача и иные способы управления) информационными потоками между устройствами, сегментами информационной системы, а также между информационными системами +
УПД.4 Разделение полномочий (ролей) пользователей, администраторов и лиц, обеспечивающих функционирование информационной системы +
УПД.5 Назначение минимально необходимых прав и привилегий пользователям, администраторам и лицам, обеспечивающим функционирование информационной системы +
УПД.6 Ограничение неуспешных попыток входа в информационную систему (доступа к информационной системе) +
УПД.10 Блокирование сеанса доступа в информационную систему после установленного времени бездействия (неактивности) пользователя или по его запросу +
УПД.11 Разрешение (запрет) действий пользователей, разрешенных до идентификации и аутентификации +
УПД.13 Реализация защищенного удаленного доступа субъектов доступа к объектам доступа через внешние информационно-телекоммуникационные сети +
УПД.14 Регламентация и контроль использования в информационной системе технологий беспроводного доступа +
УПД.15 Регламентация и контроль использования в информационной системе мобильных технических средств +
УПД.16 Управление взаимодействием с информационными системами сторонних организаций (внешние информационные системы) +
  IV. Защита машинных носителей персональных данных (ЗНИ)  
ЗНИ.8 Уничтожение (стирание) или обезличивание персональных данных на машинных носителях при их передаче между пользователями, в сторонние организации для ремонта или утилизации, а также контроль уничтожения (стирания) или обезличивания +

 

Продолжение таблицы 6

V. Регистрация событий безопасности (РСБ) +
РСБ.1 Определение событий безопасности, подлежащих регистрации, и сроков их хранения +
РСБ.2 Определение состава и содержания информации о событиях безопасности, подлежащих регистрации +
РСБ.З Сбор, запись и хранение информации о событиях безопасности в течение установленного времени хранения +
РСБ. 7 Защита информации о событиях безопасности +
VI. Антивирусная защита (АВЗ)  
АВ3.1 Реализация антивирусной защиты +
АВ3.2 Обновление базы данных признаков вредоносных компьютерных программ (вирусов) +
VIII. Контроль (анализ) защищенности персональных данных (АНЗ) +
АНЗ.1 Выявление, анализ уязвимостей информационной системы и оперативное устранение вновь выявленных уязвимостей +
АНЗ.2 Контроль установки обновлений программного обеспечения, включая обновление программного обеспечения средств защиты информации +
АНЗ.3 Контроль работоспособности, параметров настройки и правильности функционирования программного обеспечения и средств защиты информации +
АНЗ.4 Контроль состава технических средств, программного обеспечения и средств защиты информации +
XI. Защита среды виртуализации (ЗСВ)  
ЗСВ.1 Идентификация и аутентификация субъектов доступа и объектов доступа в виртуальной инфраструктуре, в том числе администраторов управления средствами виртуализации +
ЗСВ.2 Управление доступом субъектов доступа к объектам доступа в виртуальной инфраструктуре, в том числе внутри виртуальных машин +
ЗСВ.3 Регистрация событий безопасности в виртуальной инфраструктуре +
ЗСВ.9 Реализация и управление антивирусной защитой в виртуальной инфраструктуре +
ЗСВ.10 Разбиение виртуальной инфраструктуры на сегменты (сегментирование виртуальной инфраструктуры) для обработки персональных данных отдельным пользователем и (или) группой пользователей +

Окончание таблицы 6

ЗСВ.10 Разбиение виртуальной инфраструктуры на сегменты (сегментирование виртуальной инфраструктуры) для обработки персональных данных отдельным пользователем и (или) группой пользователей +
XII. Защита технических средств (ЗТС) +
ЗТС.3 Контроль и управление физическим доступом к техническим средствам, средствам защиты информации, средствам обеспечения функционирования, а также в помещения и сооружения, в которых они установлены, исключающие несанкционированный физический доступ к средствам обработки информации, средствам защиты информации и средствам обеспечения функционирования информационной системы, в помещения и сооружения, в которых они установлены +
ЗТС.4 Размещение устройств вывода (отображения) информации, исключающее ее несанкционированный просмотр +
XIII. Защита информационной системы, ее средств, систем связи и передачи данных (ЗИС)  
ЗИС.3 Обеспечение защиты персональных данных от раскрытия, модификации и навязывания (ввода ложной информации) при ее передаче (подготовке к передаче) по каналам связи, имеющим выход за пределы контролируемой зоны, в том числе беспроводным каналам связи +
ЗИС.20 Защита беспроводных соединений, применяемых в информационной системе +
XV. Управление конфигурацией информационной системы и системы защиты персональных данных (УКФ)  
УКФ.1 Определение лиц, которым разрешены действия по внесению изменений в конфигурацию информационной системы и системы защиты персональных данных +
УКФ.2 Управление изменениями конфигурации информационной системы и системы защиты персональных данных +
УКФ.3 Анализ потенциального воздействия планируемых изменений в конфигурации информационной системы и системы защиты персональных данных на обеспечение защиты персональных данных и согласование изменений в конфигурации информационной системы с должностным лицом (работником), ответственным за обеспечение безопасности персональных данных +
УКФ.4 Документирование информации (данных) об изменениях в конфигурации информационной системы и системы защиты персональных данных +

 

Заключение

 

В данной курсовой работе рассмотрен комплексный анализ информационной безопасности объекта защиты информационных ресурсов объекта. Изложены основные сведения, которые требуются для организации такой защиты. Среди них и теоретическая база, и практические решения информационной безопасности такие как: схема информационных активов, организационно-правовая защита информации предприятия.

Главной целью злоумышленника является получение информации о составе, состоянии и деятельности объекта конфиденциальных интересов (фирмы, изделия, проекта, рецепта, технологии и т.д.) в целях удовлетворения своих информационных потребностей. Возможно в корыстных целях и внесение определенных изменений в состав информации, циркулирующей на объекте конфиденциальных интересов. Такое действие может привести к потери таких важных атрибутов информации как: целостность, конфиденциальность, доступность. Более опасной целью является уничтожение накопленных информационных массивов в документальной или магнитной форме и программных продуктов. Полный объем сведений о деятельности конкурента не может быть получен только каким-нибудь одним из возможных способов доступа к информации.

Способы защиты информационных ресурсов должны представлять собой целостный комплекс защитных мероприятий. Целью данной курсовой работы было проведение анализа комплексной системы защиты информации

Список литературы

1 Постановление от 1 ноября 2012 г. N 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»

2 Приказ от 18 февраля 2013 г. N 21 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных»

3 Федеральный закон от 27 июля 2006 г. N 152-ФЗ «О персональных данных»

4 Федеральный закон от 29 июля 2004 г. N 98-ФЗ «О коммерческой тайне» С изменениями и дополнениями от: 2 февраля, 18 декабря 2006 г., 24 июля 2007 г. 11 июля 2011 г., 12 марта 2014 г.

5 Постановление правительства от 15 сентября 2008 г. N 687 «Об утверждении положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»

 

Приложение 1

Соглашение

о неразглашении ПДн

 

 

Я, _______________________, обязуюсь получать доступ к ПДн работников (клиентов) ООО ««Страйк»», обладающих конфиденциальной ценностью в силу неизвестности третьим лицам, которые могли бы получить выгоду от разглашения или использования ПДн не передавать или разглашать эти данные третьим лицам. В случае попытки третьих лиц получить от меня информацию обязуюсь сообщить о данном факте службу безопасности или руководителя. Я предупрежден об ответственности за разглашении или незаконное использование ПДн. В случае нарушения этого соглашения буду нести дисциплинарную ответственность по ст. 81 ТК РФ ч.1 п.6 вплоть до увольнения с работы. А также административная, уголовная ответственность в соответствии со статьей 137 УК РФ.

 

 

Подпись_________ Дата_________

Приложение 2

УТВЕРЖДАЮ

Директор ООО «Страйк»

____________ Фатхутдинова А.И

«___»_____________2015г.

 

 

Инструкция №

по антивирусной защите

 

 

Общие положения

1.1 Инструкция по организации антивирусной защиты ИСПДн разработана в соответствии с ФЗ №149 от 27.07.2006 «Об информации, и информационных технологиях и о защите информации».

1.2 Настоящая инструкция предназначена для организации порядка проведения антивирусного контроля в ООО «Страйк»с целью предотвращения несанкционированных вредоносных воздействий на информационные ресурсы ООО «Страйк».

 


1 | 2 | 3 | 4 | 5 | 6 | 7 |

Поиск по сайту:



Все материалы представленные на сайте исключительно с целью ознакомления читателями и не преследуют коммерческих целей или нарушение авторских прав. Студалл.Орг (0.011 сек.)