печити безпеку персональних даних. Безпека персональних даних забезпечується виконанням комплексу організаційних і технічних заходів захисту, які визначаються відповідно до нормативно-методичними документами ФСТЕК Росії і ФСБ Росії.
Система захисту повинна розроблятися з метою запобігання збитку від можливої ??реалізації порушень характеристик безпеки. Загрози безпеці визначені в «Моделі загроз інформаційної системи ...» (далі Модель загроз). Цей документ розроблений для вирішення наступних завдань:
розробка системи захисту ПДН, що забезпечує нейтралізацію передбачуваних загроз з використанням методів і способів захисту ПДН, передбачених для відповідного класу ІСПДн;
створення регламенту проведення заходів, спрямованих на запобігання несанкціонованого доступу до ПДН і (або) передачі їх особам, які не мають права доступу до такої інформації;
недопущення впливу на технічні засоби ІСПДн, в результаті якого може бути порушено їхнє функціонування;
створення регламенту заходів, що забезпечують контроль за забезпеченням рівня захищеності персональних даних.
Вихідні дані
Опис інформаційної системи персональних даних Секретар приведено в Моделі загроз. Для інформаційної системи визначено передбачуваний клас ІСПДн- К2. Даний клас тягне за собою необхідність атестації інформаційної системи по вимогам безпеки конфіденційної інформації. За заданими характеристиками безпеки (задані в Моделі загроз) інформаційна система є типовою, і вимоги для неї формуються з урахуванням моделі загроз і попередньо визначеного класу. Таким чином, необхідно виконати наступні вимоги:
вимоги з безпеки персональних даних для інформаційних систем класу К2;
вимоги для нейтралізації всіх актуальних загроз, визначених у Моделі загроз;
вимоги з безпеки конфіденційної інформації для автоматизованих систем.
Необхідні заходи і заходи захисту
У даному розділі формулюються вимоги з безпеки інформації та пропонуються заходи для їх виконання.
Перелік вимог безпеки персональних даних, передбачений нормативно-методичними документами для ІСПДн із заданими параметрами (класом, режимом обробки даних) представлений в таблиці.
№ п/пУсловное обозначеніеТребованіеТребованіе за параметрами ІСПДн1Т1должен реєструватися код або пароль пред'явлений при неуспішної спробі.- 2Т2для ІСПДн 1 і 2 класів - обов'язкова сертифікація (атестація) за вимогами безпеки інформації; + ............ 110Т110должна здійснюватися фізична охорона ІСПДн (пристроїв і носіїв інформації), що передбачає постійну наявність охорони території та будівлі, де розміщується ІСПДн, за допомогою технічних засобів охорони та спеціального персоналу, використання суворого пропускного режиму, спеціальне обладнання приміщень ІСПДн; -
Захист від загроз, виявлених у процесі складання моделі загроз
Захист інформації від виявлених загроз зводиться до прийняття організаційних і технічних заходів, які дозволяють позбутися тих чи інших компонентів загроз.
Оскільки в моделі загроз складений повний перелік загроз (що складаються з компонентів), то нейтралізація хоча б одного компонента загрози прийняттям заходів захисту ліквідує загрозу.
Повний перелік вимог, необхідний для нейтралізації загроз наведено в таблиці. Описи загроз і компонентів загроз наведені в Моделі загроз.
№ п/пМножество угрозНейтралізуемие компонентиТребованія за параметрами ІСПДнПрочіе требованія1 lt; Джерела ТКУИ 1, Н2, Канали витоку 2 gt; К10, К11, К12, К13Т61Т54, Т56, Т57, Т58, Т59, Т60 ............... 61 lt; Джерела НСД 11, Уразливості 3, Р18, Об'єкти 4, Действія2 gt; В2, В3, У4, У5, У6, У7, Р18Т10, Т102, Т103, Т11, Т12, Т13, Т4, Т5, Т6, Т7, Т72, Т8 , Т83, Т9, Т95
Далі наводяться вимоги, достатні для нейтралізації загроз, визначені експертом.
№ п/пНейтралізуемое безліч угрозДостаточние вимоги для нейтралізаціі1 lt; Джерела ТКУІ1, Н2, Канали утечкі2 gt; Т54, Т56, Т57, Т58, Т59, Т60, Т61 ......... 59 lt; Джерела НСД 11, Уразливості 3, Реалізаціі13, Об'екти6, дії1 gt; Т10, Т11, Т12, Т13, Т4, Т5, Т6, Т7, Т8, Т960 lt; Джерела НСД 11, Уразливості 3, Реалізаціі15, Об'екти3, дії1 gt; Т10, Т11, Т12, Т13, Т4, Т5, Т6, Т7, Т8, Т961 lt; Джерела НСД 11, Уразливості 3, Р18, Об'екти4, Действія2 gt; Т10, Т11, Т12, Т13, Т4, Т5, Т6, Т7, Т8, Т9
У наступній таблиці наведено вимоги, необхідні для нейтралізації конкретних компонентів загроз.
№ п/пНейтралізуемий компонентДостаточние вимоги для нейтралізаціі1К...
