1. идентификация и контроль подлинности субъекта доступа при его входе в систему по идентификатору (коду) и паролю условно-постоянного действия длиной не менее шести буквенно-цифровых символов.
Подсистема регистрация и учета
1. регистрация входа (выхода) субъектов доступа в систему (из системы), либо регистрация загрузки и инициализации операционной системы и ее программного останова. Регистрация выхода из системы или останова не проводится в периоды аппаратурного отключения АРМ. В параметрах регистрации указываются:
· дата и время входа (выхода) субъекта доступа в систему (из системы) или загрузки (останова) системы;
· результат попытки входа (успешная или неуспешная – несанкционированная);
· идентификатор (код или фамилия) субъекта, предъявленный при попытке доступа.
2. занесение учетных данных в журнал учета с отметкой об их выдаче (приеме), учет носителей информации защищаемых с помощью их маркировки.
Подсистема обеспечения целостности аппаратной, программной среды и обрабатываемых данных
|
|
1. обеспечение целостности программных средств СЗПДн, обрабатываемой информации, а также неизменность программной среды. При этом целостность системы защиты персональных данных проверяется при загрузке системы по контрольным суммам компонентов системы защиты, а целостность программной среды обеспечивается использованием трансляторов с языков высокого уровня и отсутствием средств модификации объектного кода программ в процессе обработки и (или) хранения персональных данных;
2. физическая охрана компонентов ИСПДн «АРМ пластиковых карт» (устройств и носителей информации), предполагает:
· контроль доступа в помещения расположения АРМ ИСПДн посторонних лиц;
· наличие надежных препятствий для несанкционированного проникновения в помещения ИСПДн и хранилище носителей информации, особенно в нерабочее время;
3. периодическое тестирование функций СЗПДн при изменении программной среды и персонала ИСПДн с помощью тест-программ, имитирующих попытки НСД;
4. наличие средств восстановления СЗПДн, предусматривающих ведение двух копий программных средств защиты информации и их периодическое обновление и контроль работоспособности.
Подсистема обеспечения безопасного межсетевого взаимодействия
1. фильтрацию на сетевом уровне независимо для каждого сетевого пакета (решение о фильтрации принимается на основе сетевых адресов отправителя и получателя или на основе других эквивалентных атрибутов);
2. идентификацию и аутентификацию администратора межсетевого экрана при его локальных запросах на доступ по идентификатору (коду) и паролю условно-постоянного действия;
|
|
3. регистрацию входа (выхода) администратора межсетевого экрана в систему (из системы) либо загрузки и инициализации системы и ее программного останова (регистрация выхода из системы не проводится в моменты аппаратурного отключения межсетевого экрана);
4. регистрацию запуска программ и процессов (заданий, задач);
5. контроль целостности своей программной и информационной части;
6. восстановление свойств межсетевого экрана после сбоев и отказов оборудования;
7. регламентное тестирование реализации правил фильтрации, процесса регистрации, процесса идентификации и аутентификации администратора межсетевого экрана, процесса регистрации действий администратора межсетевого экрана, процесса контроля за целостностью программной и информационной части, процедуры восстановления.
Проектное решение
После разработки технического задания следует разработать документ «Проектное решение на систему защиты персональных данных», в котором будут представлены основные технические решения, в том числе и выбор средств защиты, для обеспечения информационной безопасности.
Сертифицированные средства защиты отличаются большим разнообразием в связи с чем, сложно сделать правильный выбор. Следует принимать во внимание большое количество факторов, а именно: стойкость и функциональность средств защиты информации, соответствие требованиям руководящих документов по защите ресурсов информационных систем персональных данных, совместимость с операционными системами и прикладным ПО, подготовку персонала и многое другое. Кроме всего прочего, ни одно средство защиты информации не может обеспечить выполнение всех технических требований к защите автоматизированных систем, следовательно, следует учитывать и корректность совместного функционирования выбранных СЗИ.
При подборе средств защиты рассматривались производители и их продукты, удовлетворяющие требованиям к СЗПДн:
· приказу ФСТЭК России от 6 декабря 2011 г. 683, утверждающий требования к системам обнаружения вторжений;
· приказу ФСТЭК России от 20 марта 2012 г. 28, утверждающий требования к средствам антивирусной защиты;
· выполнение условий предъявляемых к СЗПДн, оговоренных в техническом задании на создание СЗПДН ИСПДн ГКУЗ «ЯНОСДР»;
· сертификат соответствия выданный серийному производству СЗИ;
Выбор СЗИ для каждой ИСПДн необходимо рассматривать отдельно, в зависимости от ее структуры.
Для ИСПДн помимо СЗИ от НСД требуется использование межсетевого экранирования, чтобы разделить ИСПДн от общей сети.
Для всех рекомендованных к приобретению СЗИ производится в обязательном порядке процедура оценки соответствия требованиям безопасности информации и гарантируется, что они позволяют нейтрализовать все актуальные угрозы, обнаруженные и описанные на этапе составления Частной модели угроз. В зависимости от типа и характеристик нейтрализуемых угроз безопасности персональных данных, к приобретению предлагаются различные варианты исполнения СЗИ: программные, аппаратные и программно-аппаратные комплексы.
· Оптимальное решение в выборе средств защиты информации было принято после анализа требований к системе защиты персональных данных и представлено в таблице 4
Таблица 4. Выбранные средства защиты информации
Тип СЗИ | Продукт | Класс ИСПДн согласно действующему сертификату ФСТЭК России | Применение для защиты ПДн в соответствии с новыми требованиями |
Средство защиты от несанкционированного доступа | «Secret Net 6.5-A» | К3 и выше | УЗ1, УЗ2, УЗ3 |
Межсетевой экран, средство обнаружения вторжений и сертифицированный антивирус; | Security Studio Endpoint Protection: Personal Firewall, HIPS | К3 и выше | УЗ1, УЗ2, УЗ3 |
Сканер сети | XSpider 7.8 | К3 и выше | УЗ1, УЗ2, УЗ3 |
ОС со встроенными, сертифицированными по требованиям безопасности, средствами защиты информации | Microsoft Windows XP Professional (XP_Check 3.0) | К3 и выше | УЗ1, УЗ2, УЗ3 |