 |
Главная |
Определение мер защиты информации, подлежащих к реализации в информационной системе
 2018-07-06 |
 1452 |
 Обсуждений (0) |
из
5.00
|
Этапы определения перечня мер защиты информации для обеспечения необходимого класса защищенности ИС показаны на рисунке 4.
Рисунок 4 – Схема этапов определения перечня мер защиты информации
вариантам).
Выбор мер защиты информации для их реализации в информационной системе в рамках ее системы защиты информации включает:
1. определение базового набора мер защиты информации для установленного класса защищенности информационной системы в соответствии с базовыми наборами мер защиты информации;
2. адаптацию базового набора мер защиты информации с учетом структурно-функциональных характеристик информационной системы, информационных технологий, особенностей функционирования информационной системы (в том числе исключение из базового набора мер, непосредственно связанных с информационными технологиями, не используемыми в информационной системе, или структурно-функциональными характеристиками, не свойственными информационной системе);
3. уточнение адаптированного базового набора мер защиты информации с учетом не выбранных ранее мер, в результате чего определяются меры защиты информации, направленные на блокирование (нейтрализацию) всех актуальных угроз безопасности информации, включенных в модель угроз;
4. дополнение уточненного адаптированного базового набора мер защиты информации мерами, обеспечивающими выполнение требований о защите информации, установленными иными нормативными правовыми актами в области защиты информации, в том числе в области защиты персональных данных.
Исходя из особенностей информационной системы, из базового набора защитных мер[8] были исключены меры, представленные в таблице 15.
Таблица 15 – Перечень исключенных мер защиты информации из базового набора
| № Меры ЗИ | Наименование меры защиты информации | 1С Медицина. Больница | 1С Бухгалтерия | Примечание |
| ИАФ.6 | Идентификация и аутентификация пользователей, не являющихся работниками оператора (внешних пользователей) | Искл. | Искл. | В ИС отсутствуют внешние пользователи |
| УПД.16 | Управление взаимодействием с информационными системами сторонних организаций (внешние информационные системы) | Искл. | Взаимодействие с внешними информационными системами не осуществляется | |
| ОЦЛ.4 | Обнаружение и реагирование на поступление в информационную систему незапрашиваемых электронных сообщений (писем, документов) и иной информации, не относящихся к функционированию информационной системы (защита от спама) | Искл. | Не используются средства обмена электронными сообщениями | |
| ЗИС.5 | Запрет несанкционированной удаленной активации видеокамер, микрофонов и иных периферийных устройств, которые могут активироваться удаленно, и оповещение пользователей об активации таких устройств | Искл. | Искл. | Не используются периферийные устройства, посредством которых может происходить утечка информации |
| ЗИС.9 | Контроль санкционированной и исключение несанкционированной передачи видеоинформации, в том числе регистрация событий, связанных с передачей видеоинформации, их анализ и реагирование на нарушения, связанные с передачей видео информации | Искл. | Искл. | В ИС нет видеоинформации |
| ЗИС.20 | Защита беспроводных соединений, применяемых в информационной системе | Искл. | Искл. | В ИС отсутствуют беспроводные сети |
| ЗИС.23 | Защита периметра (физических и (или) логических границ) информационной системы при ее взаимодействии с иными информационными системами и информационно - телекоммуникационными сетями | Искл. | ИС не взаимодействует с другими ИС |
На этапе уточнения адаптированного базового набора мер защиты информации проведен анализ актуальных угроз безопасности информации, на возможность их нейтрализации адаптированным базовым набором мер защиты информации.
Сопоставление актуальных угроз безопасности информации с адаптированным базовым набором мер защиты информации для ИС 1C Бухгалтерия представлено в таблице 16.
Таблица 16 – Сопоставление актуальных угроз безопасности информации с адаптированным базовым набором мер защиты информации для ИС 1C Бухгалтерия
| № п/п | Угрозы безопасности информации | Номер и условное обозначение организационных и технических мер | |
| 1. | Угрозы утечки информации по техническим каналам | ||
| 1.1 | Угроза утечки акустической информации | ЗИС.8 Контроль санкционированного и исключение несанкционированного использования технологий передачи речи, в том числе регистрация событий, связанных с использованием технологий передачи речи, их анализ и реагирование на нарушения, связанные с использованием технологий передачи речи | |
| 1.2 | Угроза утечки видовой информации | ЗТС.4 Размещение устройств вывода (отображения) информации, исключающее её несанкционированный просмотр; | |
| 2. | Угрозы техногенного характера | ||
| 2.1 | Угроза отказа электропитания серверного и телекоммуникационного оборудования | ОЦЛ.3 Обеспечение возможности восстановления программного обеспечения, включая программное обеспечение средств защиты информации, при возникновении нештатных ситуаций; ОДТ. 3 Контроль безотказного функционирования технических средств, обнаружение и локализация отказов функционирования, принятие мер по восстановлению отказавших средств и их тестирование; ОДТ.5 Обеспечение возможности восстановления информации с резервных машинных носителей информации (резервных копий) в течение установленного временного интервала. | |
| 3. | Угрозы нарушения процессов функционирования ИС в процессе эксплуатации | ||
| 3.1 | Угроза некорректного использования функционала программного обеспечения | ОПС.1 Управление запуском (обращениями) компонентов программного обеспечения, в том числе определение запускаемых компонентов, настройка параметров запуска компонентов, контроль за запуском компонентов программного обеспечения ОПС.2 Управление установкой (инсталляцией) компонентов программного обеспечения, в том числе определение компонентов, подлежащих установке, настройка параметров установки компонентов, контроль за установкой компонентов программного обеспечения АВЗ.1 Реализация антивирусной защиты СОВ.1 Обнаружение вторжений ОПС.2 Управление установкой (инсталляцией) компонентов программного обеспечения, в том числе определение компонентов, подлежащих установке, настройка параметров установки компонентов, контроль за установкой компонентов программного обеспечения ОЦЛ.1 Контроль целостности программного обеспечения, включая программное обеспечение средств защиты информации ОЦЛ.4 Обнаружение и реагирование на поступление в информационную систему незапрашиваемых электронных сообщений (писем, документов) и иной информации, не относящихся к функционированию информационной системы (защита от спама) ОЦЛ.6 Ограничение прав пользователей по вводу информации в информационную систему | |
| 3.2 | Угроза повреждения системного реестра | ОДТ. 4 Периодическое резервное копирование информации на резервные машинные носители информации ОДТ. 5 Обеспечение возможности восстановления информации с резервных машинных носителей информации (резервных копий) в течение установленного временного интервала АВЗ. 1 Реализация антивирусной защиты | |
| 4. | Угрозы получения сведений об объектах защиты | ||
| 4.1 | Угроза несанкционированного восстановления удалённой защищаемой информации | ЗНИ.1 Учет машинных носителей информации ЗНИ.2 Управление доступом к машинным носителям информации ЗНИ.5 Контроль использования интерфейсов ввода (вывода) информации на машинные носители информации ЗНИ.8 Уничтожение (стирание) информации на машинных носителях при их передаче между пользователями, в сторонние организации для ремонта или утилизации, а также контроль уничтожения (стирания) | |
| 4.2 | Угроза неправомерного ознакомления с защищаемой информацией | ИАФ.1 Идентификация и аутентификация пользователей, являющихся работниками оператора УПД.2 Реализация необходимых методов (дискреционный, мандатный, ролевой или иной метод), типов (чтение, запись, выполнение или иной тип) и правил разграничения доступа УПД.6 Ограничение неуспешных попыток входа в информационную систему (доступа к информационной системе) УПД.9 Ограничение числа параллельных сеансов доступа для каждой учетной записи пользователя информационной системы УПД.10 Блокирование сеанса доступа в информационную систему после установленного времени бездействия (неактивности) пользователя или по его запросу УПД.11 Разрешение (запрет) действий пользователей, разрешенных до идентификации и аутентификации | |
| 5. | Угрозы, связанные с использованием беспроводных сетей передачи данных | ||
| 5.1 | Угроза несанкционированного доступа к системе по беспроводным каналам | ЗИС.3 Обеспечение защиты информации от раскрытия, модификации и навязывания (ввода ложной информации) при ее передаче (подготовке к передаче) по каналам связи, имеющим выход за пределы контролируемой зоны, в том числе беспроводным каналам связи ЗИС.20 Защита беспроводных соединений, применяемых в информационной системе УПД.14 Регламентация и контроль использования в информационной системе технологий беспроводного доступа | |
| 6. | Угрозы несанкционированного физического доступа к компонентам ИС | ||
| 6.1 | Угроза преодоления физической защиты | ЗТС.2 Организация контролируемой зоны, в пределах которой постоянно размещаются стационарные технические средства, обрабатывающие информацию, и средства защиты информации, а также средства обеспечения функционирования ЗТС.3 Контроль и управление физическим доступом к техническим средствам, средствам защиты информации, средствам обеспечения функционирования, а также в помещения и сооружения, в которых они установлены, исключающие несанкционированный физический доступ к средствам обработки информации, средствам защиты информации и средствам обеспечения функционирования информационной системы и помещения и сооружения, в которых они установлены | |
| 6.2 | Угроза физического выведения из строя средств хранения, обработки и (или) ввода/вывода/передачи информации аппаратных элементов компьютера | ЗТС.2 Организация контролируемой зоны, в пределах которой постоянно размещаются стационарные технические средства, обрабатывающие информацию, и средства защиты информации, а также средства обеспечения функционирования ЗТС.3 Контроль и управление физическим доступом к техническим средствам, средствам защиты информации, средствам обеспечения функционирования, а также в помещения и сооружения, в которых они установлены, исключающие несанкционированный физический доступ к средствам обработки информации, средствам защиты информации и средствам обеспечения функционирования информационной системы и помещения и сооружения, в которых они установлены | |
| 7. | Угрозы, связанные с действиями легитимных пользователей (пользователи ИС, сотрудники подрядных организаций) | ||
| 8. | Угрозы нарушения функционирования виртуальной инфраструктуры ИС | ||
| 8.1 | Угроза несанкционированного доступа к защищаемым виртуальным устройствам из виртуальной и (или) физической сети | АВЗ.1 Реализация антивирусной защиты АВЗ.2 Обновление базы данных признаков вредоносных компьютерных программ (вирусов) ЗСВ.1 Идентификация и аутентификация субъектов доступа и объектов доступа в виртуальной инфраструктуре, в том числе администраторов управления средствами виртуализации ЗСВ.4 Управление (фильтрация, маршрутизация, контроль соединения, однонаправленная передача) потоками информации между компонентами виртуальной инфраструктуры, а также по периметру виртуальной инфраструктуры ЗСВ.7 Контроль целостности виртуальной инфраструктуры и ее конфигураций ЗСВ.9 Реализация и управление антивирусной защитой в виртуальной инфраструктуре | |
| 8.2 | Угроза выхода процесса за пределы виртуальной машины | ОПС.1 Управление запуском (обращениями) компонентов программного обеспечения, в том числе определение запускаемых компонентов, настройка параметров запуска компонентов, контроль за запуском компонентов программного обеспечения ОПС.2 Управление установкой (инсталляцией) компонентов программного обеспечения, в том числе определение компонентов, подлежащих установке, настройка параметров установки компонентов, контроль за установкой компонентов программного обеспечения Установка (инсталляция) только разрешенного к использованию программного обеспечения и (или) его компонентов АВЗ.1 Реализация антивирусной защиты | |
| 9. | Угрозы, связанные с эксплуатацией механизмов и средств защиты информации | ||
| 9.1 | Угроза нарушения технологического/производственного процесса из-за временных задержек, вносимых средством защиты | РСБ. 6 Генерирование временных меток и (или) синхронизация системного времени в информационной системе АНЗ. 1 Выявление, анализ уязвимостей информационной системы и оперативное устранение вновь выявленных уязвимостей ОДТ. 3 Контроль безотказного функционирования технических средств, обнаружение и локализация отказов функционирования, принятие мер по восстановлению отказавших средств и их тестирование ОДТ. 7 Контроль состояния и качества предоставления уполномоченным лицом вычислительных ресурсов (мощностей), в том числе по передаче информации | |
| 9.2 | Угроза несанкционированного изменения параметров настройки средств защиты информации | АВЗ. 1 Реализация антивирусной защиты АНЗ. 1 Выявление, анализ уязвимостей информационной системы и оперативное устранение вновь выявленных уязвимостей АНЗ. 4 Контроль состава технических средств, программного обеспечения и средств защиты информации АНЗ. 5 Контроль правил генерации и смены паролей пользователей, заведения и удаления учетных записей пользователей, реализации правил разграничения доступом, полномочий пользователей в информационной системе | |
Сопоставление актуальных угроз безопасности информации с адаптированным базовым набором мер защиты информации для ИС 1С Медицина.Больница представлено в таблице 17.
Таблица 17 – Сопоставление актуальных угроз безопасности информации с адаптированным базовым набором мер защиты информации для ИС 1С Медицина.Больница
| № п/п | Угрозы безопасности информации | Номер и условное обозначение организационных и технических мер | |
| 1. | Угрозы утечки информации по техническим каналам | ||
| 1.1 | Угроза утечки акустической информации | ЗИС.8 Контроль санкционированного и исключение несанкционированного использования технологий передачи речи, в том числе регистрация событий, связанных с использованием технологий передачи речи, их анализ и реагирование на нарушения, связанные с использованием технологий передачи речи | |
| 2. | Угрозы техногенного характера | ||
| 2.1 | Угроза отказа электропитания серверного и телекоммуникационного оборудования | ОЦЛ.3 Обеспечение возможности восстановления программного обеспечения, включая программное обеспечение средств защиты информации, при возникновении нештатных ситуаций; ОДТ. 3 Контроль безотказного функционирования технических средств, обнаружение и локализация отказов функционирования, принятие мер по восстановлению отказавших средств и их тестирование; ОДТ.5 Обеспечение возможности восстановления информации с резервных машинных носителей информации (резервных копий) в течение установленного временного интервала. | |
| 2.2 | Угроза невозможности восстановления сессии работы на ПЭВМ при выводе из промежуточных состояний питания | ОДТ.2 Резервирование технических средств, программного обеспечения, каналов передачи информации, средств обеспечения функционирования информационной системы; ОДТ.4 Периодическое резервное копирование информации на резервные машинные носители информации; ОДТ.5 Обеспечение возможности восстановления информации с резервных машинных носителей информации (резервных копий) в течение установленного временного интервала; ОДТ.7 Контроль состояния и качества предоставления уполномоченным лицом вычислительных ресурсов (мощностей), в том числе по передаче информации; ЗТС.5 Защита от внешних воздействий (воздействия окружающей среды, нестабильности электроснабжения, кондиционирования и иных внешних факторов); | |
| 3. | Угрозы нарушения процессов функционирования ИС в процессе эксплуатации | ||
| 3.1 | Угроза некорректного использования функционала программного обеспечения | ОПС.1 Управление запуском (обращениями) компонентов программного обеспечения, в том числе определение запускаемых компонентов, настройка параметров запуска компонентов, контроль за запуском компонентов программного обеспечения ОПС.2 Управление установкой (инсталляцией) компонентов программного обеспечения, в том числе определение компонентов, подлежащих установке, настройка параметров установки компонентов, контроль за установкой компонентов программного обеспечения АВЗ.1 Реализация антивирусной защиты СОВ.1 Обнаружение вторжений ОПС.2 Управление установкой (инсталляцией) компонентов программного обеспечения, в том числе определение компонентов, подлежащих установке, настройка параметров установки компонентов, контроль за установкой компонентов программного обеспечения ОЦЛ.1 Контроль целостности программного обеспечения, включая программное обеспечение средств защиты информации ОЦЛ.4 Обнаружение и реагирование на поступление в информационную систему незапрашиваемых электронных сообщений (писем, документов) и иной информации, не относящихся к функционированию информационной системы (защита от спама) ОЦЛ.6 Ограничение прав пользователей по вводу информации в информационную систему | |
| 3.2 | Угроза повреждения системного реестра | ОДТ. 4 Периодическое резервное копирование информации на резервные машинные носители информации ОДТ. 5 Обеспечение возможности восстановления информации с резервных машинных носителей информации (резервных копий) в течение установленного временного интервала АВЗ. 1 Реализация антивирусной защиты | |
| 4. | Угрозы получения сведений об объектах защиты | ||
| 4.1 | Угроза несанкционированного восстановления удалённой защищаемой информации | ЗНИ.1 Учет машинных носителей информации ЗНИ.2 Управление доступом к машинным носителям информации ЗНИ.5 Контроль использования интерфейсов ввода (вывода) информации на машинные носители информации ЗНИ.8 Уничтожение (стирание) информации на машинных носителях при их передаче между пользователями, в сторонние организации для ремонта или утилизации, а также контроль уничтожения (стирания) | |
| 5. | Угрозы, связанные с использованием беспроводных сетей передачи данных | ||
| 5.1 | Угроза несанкционированного доступа к системе по беспроводным каналам | ЗИС.3 Обеспечение защиты информации от раскрытия, модификации и навязывания (ввода ложной информации) при ее передаче (подготовке к передаче) по каналам связи, имеющим выход за пределы контролируемой зоны, в том числе беспроводным каналам связи ЗИС.20 Защита беспроводных соединений, применяемых в информационной системе УПД.14 Регламентация и контроль использования в информационной системе технологий беспроводного доступа | |
| 6. | Угрозы несанкционированного физического доступа к компонентам ИС | ||
| 6.1 | Угроза преодоления физической защиты | ЗТС.2 Организация контролируемой зоны, в пределах которой постоянно размещаются стационарные технические средства, обрабатывающие информацию, и средства защиты информации, а также средства обеспечения функционирования ЗТС.3 Контроль и управление физическим доступом к техническим средствам, средствам защиты информации, средствам обеспечения функционирования, а также в помещения и сооружения, в которых они установлены, исключающие несанкционированный физический доступ к средствам обработки информации, средствам защиты информации и средствам обеспечения функционирования информационной системы и помещения и сооружения, в которых они установлены | |
| 6.2 | Угроза физического выведения из строя средств хранения, обработки и (или) ввода/вывода/передачи информации аппаратных элементов компьютера | ЗТС.2 Организация контролируемой зоны, в пределах которой постоянно размещаются стационарные технические средства, обрабатывающие информацию, и средства защиты информации, а также средства обеспечения функционирования ЗТС.3 Контроль и управление физическим доступом к техническим средствам, средствам защиты информации, средствам обеспечения функционирования, а также в помещения и сооружения, в которых они установлены, исключающие несанкционированный физический доступ к средствам обработки информации, средствам защиты информации и средствам обеспечения функционирования информационной системы и помещения и сооружения, в которых они установлены | |
| 7. | Угрозы, связанные с действиями легитимных пользователей (пользователи ИС, сотрудники подрядных организаций) | ||
| 8. | Угрозы нарушения функционирования виртуальной инфраструктуры ИС | ||
| 9. | Угрозы, связанные с эксплуатацией механизмов и средств защиты информации | ||
| 9.1 | Угроза нарушения технологического/производственного процесса из-за временных задержек, вносимых средством защиты | РСБ. 6 Генерирование временных меток и (или) синхронизация системного времени в информационной системе АНЗ. 1 Выявление, анализ уязвимостей информационной системы и оперативное устранение вновь выявленных уязвимостей ОДТ. 3 Контроль безотказного функционирования технических средств, обнаружение и локализация отказов функционирования, принятие мер по восстановлению отказавших средств и их тестирование ОДТ. 7 Контроль состояния и качества предоставления уполномоченным лицом вычислительных ресурсов (мощностей), в том числе по передаче информации | |
| 9.2 | Угроза несанкционированного изменения параметров настройки средств защиты информации | АВЗ. 1 Реализация антивирусной защиты АНЗ. 1 Выявление, анализ уязвимостей информационной системы и оперативное устранение вновь выявленных уязвимостей АНЗ. 4 Контроль состава технических средств, программного обеспечения и средств защиты информации АНЗ. 5 Контроль правил генерации и смены паролей пользователей, заведения и удаления учетных записей пользователей, реализации правил разграничения доступом, полномочий пользователей в информационной системе | |
| 2018-07-06 |
1452 |
Обсуждений (0) |
из
5.00
|
Обсуждение в статье: Определение мер защиты информации, подлежащих к реализации в информационной системе |
|
Обсуждений еще не было, будьте первым... ↓↓↓ |
Популярное:
Как вы ведете себя при стрессе?: Вы можете самостоятельно управлять стрессом! Каждый из нас имеет право и возможность уменьшить его воздействие на нас...
Почему стероиды повышают давление?: Основных причин три...
Как выбрать специалиста по управлению гостиницей: Понятно, что управление гостиницей невозможно без специальных знаний. Соответственно, важна квалификация...
Почему люди поддаются рекламе?: Только не надо искать ответы в качестве или количестве рекламы...
©2015-2024 megaobuchalka.ru Все материалы представленные на сайте исключительно с целью ознакомления читателями и не преследуют коммерческих целей или нарушение авторских прав. (1452)
Почему 1285321 студент выбрали МегаОбучалку...
Система поиска информации
Мобильная версия сайта
Удобная навигация
Нет шокирующей рекламы