Eng

Examus

база знаний

поделись своим мнением и помоги нам стать лучше!

Категории

Типовые требования Информационной Безопасности

Типовые требования ИБ сформированы для внедрения коробочного решения системы автоматического прокторинга (Системы) в соответствии с Приказ ФСТЭК России от 18 февраля 2013 г. N 21 и направлены на обеспечение защиты информации, обрабатываемой в Системе.

Выбор применяемых требований ИБ определен с учетом:

  • Вида ИС - ПДн;
  • Уровня защищенности ПДн, обрабатываемых в ИСПДн, устанавливаемого требованиями законодательства по обеспечению безопасности ПДн УЗ-3.

В случае необходимости обработки в Системе информации, относящейся к другим категориям настоящие требования должны быть пересмотрены.


При внедрении коробочного решения системы автоматического прокторинга Заказчик, выступающий в роли оператора персональных данных, должен реализовать в организации следующие меры по обеспечению защиты информации:

I. Идентификация и аутентификация субъектов доступа и объектов доступа

  1. Идентификация и аутентификация пользователей, являющихся работниками оператора
  2. Управление идентификаторами, в том числе создание, присвоение, уничтожение идентификаторов
  3. Управление средствами аутентификации, в том числе хранение, выдача, инициализация, блокирование средств аутентификации и принятие мер в случае утраты и (или) компрометации средств аутентификации
  4. Защита обратной связи при вводе аутентификационной информации
  5. Идентификация и аутентификация пользователей, не являющихся работниками оператора (внешних пользователей)

II. Управление доступом субъектов доступа к объектам доступа

  1. Управление (заведение, активация, блокирование и уничтожение) учетными записями пользователей, в том числе внешних пользователей
  2. Реализация необходимых методов (дискреционный, мандатный, ролевой или иной метод), типов (чтение, запись, выполнение или иной тип) и правил разграничения доступа
  3. Управление (фильтрация, маршрутизация, контроль соединений, однонаправленная передача и иные способы управления) информационными потоками между устройствами, сегментами ИСПДн, а также между ИСПДН
  4. Разделение полномочий (ролей) пользователей, администраторов и лиц, обеспечивающих функционирование ИСПДн
  5. Назначение минимально необходимых прав и привилегий пользователям, администраторам и лицам, обеспечивающим функционирование ИСПДн
  6. Ограничение неуспешных попыток входа в ИСПДн (доступа к ИСПДн)
  7. Блокирование сеанса доступа в ИСПДн после установленного времени бездействия (неактивности) пользователя или по его запросу
  8. Разрешение (запрет) действий пользователей, разрешенных до идентификации и аутентификации
  9. Реализация защищенного удаленного доступа субъектов доступа к объектам доступа через внешние информационно-телекоммуникационные сети
  10. Регламентация и контроль использования в ИСПДн технологий беспроводного доступа
  11. Регламентация и контроль использования в ИСПДн мобильных технических средств
  12. Управление взаимодействием с ИСПДн сторонних организаций (внешние ИСПДн)

III. Защита машинных носителей персональных данных

  1. Уничтожение (стирание) или обезличивание персональных данных на машинных носителях при их передаче между пользователями, в сторонние организации для ремонта или утилизации, а также контроль уничтожения (стирания) или обезличивания

IV. Регистрация событий безопасности

  1. Определение событий безопасности, подлежащих регистрации, и сроков их хранения
  2. Определение состава и содержания информации о событиях безопасности, подлежащих регистрации
  3. Сбор, запись и хранение информации о событиях безопасности в течение установленного времени хранения
  4. Защита информации о событиях безопасности

V. Антивирусная защита

  1. Реализация антивирусной защиты
  2. Обновление базы данных признаков вредоносных компьютерных программ (вирусов)
    VI. Контроль (анализ) защищенности персональных данных
  3. Выявление, анализ уязвимостей ИСПДн и оперативное устранение вновь выявленных уязвимостей
  4. Контроль установки обновлений программного обеспечения, включая обновление программного обеспечения средств защиты информации
  5. Контроль работоспособности, параметров настройки и правильности функционирования программного обеспечения и средств защиты информации
  6. Контроль состава технических средств, программного обеспечения и средств защиты информации

VII. Защита среды виртуализации

  1. Идентификация и аутентификация субъектов доступа и объектов доступа в виртуальной инфраструктуре, в том числе администраторов управления средствами виртуализации
  2. Управление доступом субъектов доступа к объектам доступа в виртуальной инфраструктуре, в том числе внутри виртуальных машин
  3. Регистрация событий безопасности в виртуальной инфраструктуре
  4. Реализация и управление антивирусной защитой в виртуальной инфраструктуре
  5. Разбиение виртуальной инфраструктуры на сегменты (сегментирование виртуальной инфраструктуры) для обработки персональных данных отдельным пользователем и (или) группой пользователей

VIII. Защита технических средств

  1. Контроль и управление физическим доступом к техническим средствам, средствам защиты информации, средствам обеспечения функционирования, а также в помещения и сооружения, в которых они установлены, исключающие несанкционированный физический доступ к средствам обработки информации, средствам защиты информации и средствам обеспечения функционирования ИСПДн, в помещения и сооружения, в которых они установлены
  2. Размещение устройств вывода (отображения) информации, исключающее ее несанкционированный просмотр

IX. Защита ИСПДн, ее средств, систем связи и передачи данных

  1. Обеспечение защиты персональных данных от раскрытия, модификации и навязывания (ввода ложной информации) при ее передаче (подготовке к передаче) по каналам связи, имеющим выход за пределы контролируемой зоны, в том числе беспроводным каналам связи
  2. Защита беспроводных соединений, применяемых в ИСПДН

X. Управление конфигурацией ИСПДн и системы защиты персональных данных

  1. Определение лиц, которым разрешены действия по внесению изменений в конфигурацию ИСПДн и системы защиты персональных данных
  2. Управление изменениями конфигурации ИСПДн и системы защиты персональных данных
  3. Анализ потенциального воздействия планируемых изменений в конфигурации ИСПДн и системы защиты персональных данных на обеспечение защиты персональных данных и согласование изменений в конфигурации ИСПДн с должностным лицом (работником), ответственным за обеспечение безопасности персональных данных
  4. Документирование информации (данных) об изменениях в конфигурации ИСПДн и системы защиты персональных данных