2018-01-21
1346
После составления проектного решения на СЗПДн и формирования проектно-сметной документации, работы по подбору СЗПДн перешли в фазу непосредственного внедрения средств защиты информации.
Перечень работ по установке и настройке СЗИ содержит работы по внедрению, пуско-наладочным работам и введению в эксплуатацию приобретенных СЗИ в соответствии с техническим проектом и планом внедрения на СЗПДн.
Главным, наиболее производительным и экономически эффективным путём реализации СЗПДн, позволяющим обеспечить защиту от имеющихся угроз безопасности ПДн и обеспечить требуемые показатели информационной безопасности, предлогается выделение из общей сети информационного обмена защищенного сегмента (сегментирование), в состав которого входят АРМ непосредственно участвующий в процессе обработки, хранения и передачи персональных данных. Подобный метод предоставляет возможность уменьшить расходы на внедрение СЗПДн и обеспечить управление средствами защиты ПДн. Отсюда следует, что для построения СЗПДн в ГКУЗ «ЯНОСДР», АРМ обособляются от общей сети путем установки межсетевых экранов. Такой сегмент представляет собой обособленную область обработки ПДн в которой содержатся усиленные средства защиты персональных данных по сравнению с теми, что применяются в остальной ЛВС для защиты ПДн.
|
|
|
Связь АРМ с сетями информационного обмена (в т.ч. с международными) реализуется с помощью пограничного сервера-маршрутизатора, шифрующего проходящий защищенный трафик по сертифицированным алгоритмам.
Подсистема управления доступом
Подсистема управления доступом предназначена для предоставления зарегистрированным пользователям санкционированного доступа к информационным ресурсам и сервисам, полномочий по работе с ними в соответствии с установленными правилами, а также защиту от несанкционированного доступа к программно-аппаратным средствам и ресурсам, участвующим в процессах обработки и хранения конфиденциальной информации.
Описание технического решения
На границе между локальной сетью и защищенным АРМом осуществляется установка межсетевого экрана. МЭ гарантирует фильтрацию всего входящего/исходящего сетевого трафика к защищаемому АРМ, и предоставляет возможность осуществлять контроль за обращениями к ресурсам защищенного сегмента обработки ПДн. Все возможные попытки доступа из внешних сетей по отношению к защищенному сегменту регистрируются в журналах событий на МЭ. Администратор безопасности информации в ИСПДн осуществляет инициализацию и первоначальную наладку МЭ с целью ограничения доступа к защищаемому АРМ ИСПДн из локальной сети и настройки привилегий доступа зарегистрированных пользователей ИСПДн.
|
|
|
На АРМ устанавливается система защиты информации от несанкционированного доступа «Secret Net 7» (автономный вариант) и персональный межсетевой экран «Security Studio Endpoint Protection».
Через консоль управления администратор безопасности присваивает привилегии доступа пользователей системы к каталогам, хранящим базы персональных данных, программную часть установленных СЗИ и операционной системы с целью обеспечения целостности данных.
Организационные меры
Организационные меры предусматривают обеспечение следующих функций:
· обязательный ежедневный осмотр АРМ пользователем для контроля целостности пломб;
· определение перечня и регламента действий в чрезвычайных ситуациях;
· определение парольной политики, применяемой для доступа к информации, хранимой на микросхеме BIOS;
· определение комиссии по расследованию инцидентов информационной безопасности;
· составление инструкций администраторам безопасности информации в ИСПДн;
· определение политики резервирования и восстановления ПО, баз ПДн ИСПДн;
· определение порядка действий пользователей ИСПДн в части обеспечения безопасности ПДн;
· составление инструкции о порядке проверки электронного журнала обращений к ИСПДн;
· составление инструкции об использовании СЗИ.
