Разработка АС в защищенном исполнении

Для обеспечения 1-го уровня защищенности персональных данных при их обработке в информационных системах помимо требований, предусмотренных 2-ого уровня защищенности, необходимо выполнение следующих требований:

            Автоматическая регистрация в электронном журнале безопасности изменения полномочий сотрудника оператора по доступу к персональным данным;

          Создание структурного подразделения, ответственного за обеспечение безопасности персональных данных в информационной системе, либо возложение на одно из структурных подразделений функций по обеспечению такой безопасности.

 

 

 

 

 

Таблица 2

Соотношение типа угроз/уровня защищенности/и типа обрабатываемой информации:

	Угрозы 1-го типа	Угрозы 2-го типа	Угрозы 3-го типа
4 уровень защищенности			Информационная  система обрабатывает: общедоступные персональные данные иные категории персональных данных сотрудников оператора иные категории персональных данных лиц, не являющихся сотрудниками (менее чем 100000 субъектов).
3 уровень защищенности		Информационная  система обрабатывает: общедоступные персональные данные сотрудников общедоступные персональные данные лиц, не являющихся сотрудниками (менее чем 100000 субъектов) иные категории персональных данных сотрудников	Информационная  система обрабатывает: биометрические персональные данные иные категории персональных данных лиц, не являющихся сотрудниками (более чем 100000 субъектов).
2 уровень защищенности	Информационная система обрабатывает: общедоступные персональные данные.	Информационная  система обрабатывает: специальные категории персональных данных сотрудников оператора специальные категории персональных данных лиц, не являющихся сотрудниками (менее чем 100000 субъектов)	Информационная  система обрабатывает: специальные категории персональных данных лиц, не являющихся сотрудниками (более чем 100000 субъектов).
1 уровень защищенности	Информационная  система обрабатывает: либо специальные категории персональных данных биометрические персональные данные	Информационная  система обрабатывает: специальные категории персональных данных лиц, не являющихся сотрудниками.

Частная модель угроз информационной безопасности

 

Частная модель угроз информационной безопасности  составляется на основании методики определения актуальных угроз. Определение коэффициента исходной защищённости показано в приложении 3.

 

Требования  и рекомендации по защите конфиденциальной информации, обрабатываемой в автоматизированных системах

Согласно СТР-К (5раздел) предусмотрены основные меры защиты информации:

1. Документальное  оформление перечня сведений  конфиденциального характера с  учетом ведомственной и отраслевой  специфики этих сведений;

2. Реализация  разрешительной системы допуска  исполнителей (пользователей, обслуживающего персонала) к информации и связанным с ее использованием работам, документам;

3. Ограничение  доступа персонала и посторонних  лиц в защищаемые помещения  и помещения, где размещены  средства информатизации и коммуникации, а также хранятся носители информации;

4. Разграничение  доступа пользователей и обслуживающего  персонала к информационным ресурсам, программным средствам обработки  (передачи) и защиты информации;

5. Регистрация  действий пользователей АС и  обслуживающего персонала, контроль за несанкционированным доступом и действиями пользователей, обслуживающего персонала и посторонних лиц;

6. Учет и надежное  хранение бумажных и машинных  носителей информации, ключей (ключевой  документации) и их обращение,  исключающее их хищение, подмену и уничтожение;

7. Использование  СЗЗ, создаваемых на основе  физико-химических технологий для  контроля доступа к объектам  защиты и для защиты документов  от подделки;

8. Необходимое  резервирование технических средств  и дублирование массивов и носителей информации;

9. Использование  сертифицированных серийно выпускаемых  в защищенном исполнении технических  средств обработки, передачи и  хранения информации;

10. Использование  технических средств, удовлетворяющих  требованиям стандартов по электромагнитной совместимости;

11. Использование  сертифицированных средств защиты  информации;

12. Размещение  объектов защиты на максимально  возможном расстоянии относительно  границы КЗ;

13. Размещение  понижающих трансформаторных подстанций  электропитания и контуров заземления объектов защиты в пределах КЗ;

14. Развязка  цепей электропитания объектов  защиты с помощью защитных  фильтров, блокирующих (подавляющих)  информативный сигнал;

15. Электромагнитная  развязка между линиями связи  и другими цепями ВТСС, выходящими за пределы КЗ, и информационными цепями, по которым циркулирует защищаемая информация;

16. Использование  защищенных каналов связи (защищенных  ВОЛС и криптографических средств  ЗИ;

17. Размещение  дисплеев и других средств  отображения информации, исключающее несанкционированный просмотр информации;

18. Организация  физической защиты помещений  и собственно технических средств  с помощью сил охраны и технических  средств, предотвращающих или  существенно затрудняющих проникновение  в здания, помещения посторонних лиц, хищение документов и информационных носителей, самих средств информатизации, исключающих нахождение внутри контролируемой зоны технических средств разведки или промышленного шпионажа;

19. Криптографическое  преобразование информации, обрабатываемой и передаваемой средствами вычислительной техники и связи (при необходимости, определяемой особенностями функционирования конкретных АС и систем связи);

20. Предотвращение  внедрения в автоматизированные  системы программ-вирусов, программных  закладок.

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Порядок создания АС в защищенном исполнении

Типовое содержание работ по защите информации на стадиях создания автоматизированных систем в защищенном исполнении

                                            Таблица  3

ГОСТ 34.601					Типовое содержание работ по защите информации
Стадия		Этап  работы
1 Формирование требований к АС		1.1 Обследование  объекта и обоснование необходимости  создания АСЗИ			Сбор  данных о проводимых работах на объекте  информатизации по обработке информации различной степени секретности. Определение факторов, воздействующих на информацию в соответствии с требованиями ГОСТ Р 51275. Оценка целесообразности создания АСЗИ
		1.2 Формирование  требований пользователя к АСЗИ			Подготовка  исходных данных для формирования требований по ЗИ на АС и процессов ее создания и эксплуатации. Разработка предварительных требований к СиЗИ на АСЗИ
		1.3 Оформление  отчета о выполняемой работе  и заявки на разработку АСЗИ			Разработка  предложений по ЗИ в отчетной НД. Оформление отчета о выполненных работах по ЗИ на данных стадиях. Оформление предложений по ЗИ в заявку на разработку АСЗИ. Формирование предложений по ЗИ в ТЗ на АСЗИ
2. Разработка  концепции АС		2.1 Изучение  объекта			Уточнение условий эксплуатации АСЗИ и категорий  важности обрабатываемой информации. Формирование перечня угроз защищаемой информации. Уточнение номенклатуры требований, предъявляемых к АСЗИ
		2.2 Проведение  необходимых НИР			Поиск путей реализации требований по ЗИ в АС. Оценка возможности реализации требований по ЗИ в АСЗИ. Оформление и утверждение отчета о НИР по ЗИ или разделов по ЗИ в отчет о НИР по созданию АСЗИ
		2.3 Разработка  вариантов концепции АС и выбор  варианта концепции АС			Разработка  альтернативных вариантов концепции  ЗИ в АС и облика СиЗИ и процессов ее создания с учетом требований [9]. Выбор оптимального варианта концепции ЗИ в АС (разработка замысла ЗИ в АС) и СиЗИ АС. Технико-экономическое обоснование выбранного варианта ЗИ в АС и процессов ее создания и эксплуатации
Продолжение таблицы 3
		2.4 Оформление отчета о выполненной работе			Подготовка  и оформление отчета о выполненных  работах по ЗИ на данной стадии создания АС. Согласование концепции ЗИ в АС и предложений по вариантам СиЗИ в АС. Предложения по ЗИ в отчетную НД этапа работ. Согласование и получение заключения ФАПСИ на разработку ШС
3 Техническое задание		3.1 Разработка  и утверждение технического задания на создание АСЗИ			Разработка  требований по ЗИ в раздел ТЗ (ЧТЗ) на создание АСЗИ. Разработка, оформление, согласование и утверждение ТЗ (ЧТЗ) на создание АСЗИ
4 Эскизный  проект		4.1 Разработка  предварительных проектных решений по системе в целом и ее частям			Разработка  предварительных проектных решений  АСЗИ. Технико-экономическое обоснование  эффективности вариантов СиЗИ. Разработка ТЗ на СрЗИ и средства контроля эффективности ЗИ. Разработка требований на СрЗИ и средства контроля эффективности ЗИ и АС
ГОСТ 34.601						Типовое содержание работ по защите информации
Стадия			Этап  работы
4 Эскизный  проект			4.2 Разработка  документации на АСЗИ и ее части			Разработка, оформление, согласование и утверждение  документации по ЗИ и разделов эскизного  проекта АС в части ЗИ. Экспертиза документации отчетной научно-технической документации и технической документации
Технический проект			5.1 Разработка проектных решений по системе в целом и ее частям			Разработка  СрЗИ и средств контроля. Разработка технического проекта СиЗИ и предложений по ЗИ в технический проект АСЗИ
			5.2 Разработка  документации на АСЗИ и ее части			Разработка  рабочей документации и технического проекта СиЗИ АС. Разработка разделов технической документации по ЗИ и/или отдельных документов по ЗИ в АС. Участие в экспертизе документации АСЗИ
				5.3 Разработка  и оформление документации на поставку изделий для комплектования АСЗИ			Подготовка  и оформление технической документации на поставку ТС и ПС для АС и СиЗИ. Поставка СрЗИ. Испытания СрЗИ.
							Продолжение таблицы 3
6 Рабочая  документация			6.1 Разработка  рабочей документации на систему в целом и ее части			Участие в разработке рабочей конструкторской документации АС в части учета требований по ЗИ. Разработка рабочей конструкторской документации СиЗИ. Участие в экспертизе рабочей конструкторской документации
			6.2 Разработка  или адаптация программ			Разработка  ПС АСЗИ, программных СрЗИ. Тестирование ПС. Сертификация ПС по требованиям безопасности информации
7 Ввод  в действие			7.1 Подготовка  АСЗИ к вводу в действие			Реализация  проектных решений по организационной  структуре СиЗИ АС и процесса. Требования к организационным мерам ЗИ
			7.2 Подготовка  персонала			Проверка  способности персонала обеспечивать функционирование АСЗИ и СиЗИ. Проверка специалистов службы безопасности АС по обслуживанию СиЗИ
			7.3 Комплектация  АС поставляемыми изделиями (ПС и ТС)			Получение комплектующих изделий для СиЗИ. Проверка качества поставляемых комплектующих изделий
			7.4 Строительно-монтажные работы			Участие в работах по надзору за выполнением  требований по ЗИ строительными организациями. Участие в испытаниях ТС по вопросам ЗИ. Проведение специсследований ТС
			7.5 Пуско-наладочные  работы			Проведение  автономных наладок технических  и программных СрЗИ, загрузка информации в базу данных и ее проверка. Участие в комплексной наладке всех средств АС с точки зрения обеспечения ЗИ
ГОСТ 34.601						Типовое содержание работ по защите информации
Стадия		Этап  работы
7 Ввод  в действие		7.6 Проведение предварительных испытаний				Испытание СиЗИ на соответствие требованиям. Устранение недостатков СрЗИ и СиЗИ. Внесение изменений в документацию на СиЗИ. Участие в испытаниях АСЗИ. Проведение специсследований ТС. Аттестация АСЗИ
		7.7 Проведение  опытной эксплуатации				Эксплуатация  СиЗИ. Анализ, доработка, наладка СиЗИ. Акт о завершении опытной эксплуатации СиЗИ. Участие в опытной эксплуатации АСЗИ. Анализ и предложения по доработке АСЗИ
8 Сопровождение АСЗИ		8.1 Выполнение  работ в соответствии с гарантийными  обязательствами				Устранение  недостатков по ЗИ в процессе функционирования АСЗИ. Внесение изменений в документацию АС в части вопросов ЗИ. Проведение инспекционного контроля за стабильностью характеристик АСЗИ
		8.2 Послегарантийное  обслуживание				Анализ  функционирования СиЗИ в АСЗИ. Установление причин невыполнения требований по ЗИ в АСЗИ. Выявление недостатков. Устранение недостатков в СиЗИ АСЗИ по гарантийным обязательствам. Внесение изменений в документацию на АСЗИ. Контроль состояния ЗИ в АС в защищенном исполнении

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Пример  автоматизированной системы в защищенном исполнении

 

 

 

 

 

В помещениях находятся 3 рабочих места, объединенных в локальную сеть. Для защиты автоматизированной системы применены следующие технические и организационные средства и проведены строительно-монтажные работы:

- Рабочие места  расположены так, чтобы исключить  случайное или преднамеренное  считывание информации с экранов мониторов

- На окнах  установлены жалюзи для обеспечения  защиты периметра от физического  проникновения и просмотра данных  вне помещения;

- На всех  машинах установлено антивирусное  программное обеспечение  ESET NOD32 Titan;

- Так же для исключения выявления паролей на каждой из машин используется аппаратно-программный комплекс  MyPasswordManager;

-  На сервере  установлено специализированное  лицензионное программное обеспечение ESET NOD32;

- Реализуется  система резервного копирования, с периодичностью 2 раза в сутки по средству BackupPC (лицензия GNU GPL) ;

- Систему доступа в помещения осуществляет персональная карта HID;

Все используемые для защиты объекта программно-аппаратные средства имеют необходимые сертификаты  ФСТЭК России.

Заключение

В результате данной курсовой работы были изучены основные положения и требования стандартов и нормативных документов по защите конфиденциальной информации в защищённых автоматизированных системах. Разработана частная модель угроз безопасности данных в ИСПДн для отдела по работе с конфиденциальной информацией ООО «ТЕНТО».  В частности вычислены показатели исходной защищенности для ИСПДн, составлен акт  классификации автоматизированной системы, обрабатывающей персональные данные, составлен акт классификации информационной системы персональных данных, разработан технический паспорт на помещение, составлен бланк оценки угроз безопасности ИСПДн для построения частной модели угроз, разработано техническое задание для проектирования АС отдела по работе с конфиденциальными документами.

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Список  использованных источников

1. РД. Решение председателя Гостехкомиссии России от 30 марта 1992 г.
2. Постановлению Правительства РФ от 1 ноября 2012 г. N 1119
3. Выписка из СТР-К. Требования и рекомендации по защите конфиденциальной информации, обрабатываемой в автоматизированных системах
4. ГОСТ 34.601. Порядок создания АС в защищённом исполнении
5. ГОСТ Р 51583-2000
6. ГОСТ 34.602-89 Техническое задание на создание автоматизированной системы
7. ФСТЭК: Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных" от 15 февраля 2008 года (выписки)
8. Выписка из СТР-К. Форма технического паспорта на автоматизированную систему  
   Приложение 1

 

Утверждаю

Ген. директор

Юрин  В.А.

8 мая 2013г.

 

А К Т № 10

классификации автоматизированной системы обработки  информации

отдела по работе с конфиденциальной информацией

 

Комиссия, в соответствии с приказом от 10 мая 2013 № 10 в составе:

Председатель 

Заместитель директора:   Макаров В.А.

Члены комиссии

Администратор безопасности:  Липин С.С.

Системный администратор:  Леханов В.В.

Рассмотрев исходные данные на автоматизированную систему обработки информации (АС) отдела по работе с конфиденциальной информацией,  условия ее эксплуатации (многопользовательский с разными правами доступа к информации), с учетом характера обрабатываемой информации (коммерческая тайна, персональные данные и т.д.) и в соответствии с руководящими документами ФСТЭК России "Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации" и "Специальные требования и рекомендации по технической защите конфиденциальной информации (СТР-К)",

 

РЕШИЛА:

Установить  АС отдела по работе с конфиденциальной информацией класс защищенности  1Г

Председатель

Заместитель директора                                                                                       /Макаров В.А

Члены комиссии:                                                 

Администратор безопасности                                                                               /Липин С.С

     Системный администратор                                                                                 /Леханов В.В

 

Приложение 2

 

Утверждаю 

Генеральный директор

Юрин В.А. 
10 мая 2013 г.

А К Т  № 11

 

классификации информационной системы,  обрабатывающей персональные данные

ООО «ТЕНТО»

 

Комиссия, в  соответствии с приказом от 10 мая 2013 № 10  в составе:

Председатель 

Заместитель директора:   Макаров В.А.

Члены комиссии

Администратор безопасности:  Липин С.С.

Системный администратор:  Леханов В.В.

провела классификацию  информационной системы АС ООО «ТЕНТО»,  обрабатывающей персональные данные,  и установила:

Выявленные определяющие признаки классификации типовой информационной системы:

Отсутствуют сведения, составляющих государственную тайну;

ИС обрабатывает биометрические персональные данные;