Заглавная страница Избранные статьи Случайная статья Познавательные статьи Новые добавления Обратная связь FAQ Написать работу КАТЕГОРИИ: АрхеологияБиология Генетика География Информатика История Логика Маркетинг Математика Менеджмент Механика Педагогика Религия Социология Технологии Физика Философия Финансы Химия Экология ТОП 10 на сайте Приготовление дезинфицирующих растворов различной концентрацииТехника нижней прямой подачи мяча. Франко-прусская война (причины и последствия) Организация работы процедурного кабинета Смысловое и механическое запоминание, их место и роль в усвоении знаний Коммуникативные барьеры и пути их преодоления Обработка изделий медицинского назначения многократного применения Образцы текста публицистического стиля Четыре типа изменения баланса Задачи с ответами для Всероссийской олимпиады по праву Мы поможем в написании ваших работ! ЗНАЕТЕ ЛИ ВЫ?
Влияние общества на человека
Приготовление дезинфицирующих растворов различной концентрации Практические работы по географии для 6 класса Организация работы процедурного кабинета Изменения в неживой природе осенью Уборка процедурного кабинета Сольфеджио. Все правила по сольфеджио Балочные системы. Определение реакций опор и моментов защемления |
Средства защиты каналов при передаче пднСодержание книги
Поиск на нашем сайте
Для обеспечения безопасности ПДн при передаче по открытым каналам или в несегментированной сети служит подсистема криптографической защиты каналов связи. Помимо вышеназванной задачи данная подсистема позволяет обеспечивать безопасное взаимодействие с технологическими сетями и доступ для осуществления удаленного администрирования. Данная подсистема может быть реализована на основе программно-аппаратного комплекса Cisco Adaptive Security Appliance. Этот комплекс сертифицирован ФСТЭК (соответствие руководящим документам по межсетевым экранам (3 и 4 Класс) и требованиям технических условий). Cisco ASA 5500 предназначен для решения сразу нескольких задач – разграничения доступа к сетевым ресурсам, защиты от атак, защиты взаимодействия с удаленными территориями, блокирования вирусов, червей, шпионского ПО и других вредоносных программ, спама и атак типа «фишинг». Это достигается за счет объединения в одном устройстве лучших защитных средств – межсетевого экрана Cisco Pix, системы предотвращения атак Cisco IPS и Cisco VPN 3000 Concentrator. Помимо описанных выше программно-технических средств защиты компания «Инфосистемы Джет» широко использует продукты других ведущих производителей на рынке информационной безопасности. К ним, в частности, относятся Oracle, Aladdin, Check Point, «С-Терра СиЭсПи», «КриптоПро». Данные компании проводят активную позицию по соответствию требований регуляторов и сертификации своих продуктов с целью их применения в решениях по защите персональных данных. Требования к средствам защиты ПДн Для реализации перечисленных подсистем, общая структура СЗПДн может включать в себя как существующие, так и дополнительные программно-аппаратные средства защиты информации. В соответствии с Постановлением Правительства РФ от 17 ноября 2007 г. № 781 «Положение об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных» технические и программные средства, используемые для обработки данных в ИСПДн, должны в установленном порядке проходить процедуру оценки соответствия, включая сертификацию на соответствие требованиям по безопасности информации. В отношении разработанных шифровальных (криптографических) средств защиты информации, предназначенных для обеспечения безопасности персональных данных при их обработке в информационных системах, проводятся тематические исследования и контрольные тематические исследования в целях проверки выполнения требований по безопасности информации10. Результаты оценки соответствия (сертификации) и тематических исследований средств защиты информации, предназначенных для обеспечения безопасности персональных данных при их обработке в информационных системах, оцениваются в ходе экспертизы, осуществляемой Федеральной службой по техническому и экспортному контролю и Федеральной службой безопасности РФ. К средствам защиты информации, предназначенным для обеспечения безопасности персональных данных при их обработке в информационных системах, прилагаются правила пользования этими средствами, согласованные с Федеральной службой по техническому и экспортному контролю и Федеральной службой безопасности Российской Федерации в пределах их полномочий. Изменение условий применения средств защиты информации (происходящие, например, в ходе модернизации ИСПДн), предусмотренных указанными правилами, согласовывается с ФСТЭК и ФСБ. Средства защиты информации, предназначенные для обеспечения безопасности персональных данных при их обработке в информационных системах, подлежат учету с использованием индексов или условных наименований и регистрационных номеров. Перечень индексов, условных наименований и регистрационных номеров определяется Федеральной службой по техническому и экспортному контролю и Федеральной службой безопасности Российской Федерации. Особенности разработки, производства, реализации и эксплуатации шифровальных (криптографических) средств защиты информации и предоставления услуг по шифрованию персональных данных при их обработке в информационных системах устанавливаются Федеральной службой безопасности Российской Федерации. Этапы создания СЗПДн Рекомендуются следующие этапы создания систем защиты персональных данных: · предпроектная стадия, включающая предпроектное обследование ИСПДн, разработку технического (частного технического) задания на ее создание; · стадия проектирования (разработки проектов) и реализации ИСПДн, включающая разработку СЗПДн в составе ИСПДн; · стадия ввода в действие СЗПДн, включающая опытную эксплуатацию и приемо-сдаточные испытания средств защиты информации, а также оценку соответствия ИСПДн требованиям безопасности информации. Предпроекное обследование На этапе предпроектного обследования рекомендуются следующие мероприятия: · устанавливается необходимость обработки данных в ИСПДн; · определяется перечень ПДн, подлежащих защите от несанкционированного доступа; · определяются условия расположения ИСПДн относительно границ контролируемой зоны (КЗ); · определяются конфигурация и топология ИСПДн в целом и ее отдельных компонент, физические, функциональные и технологические связи как внутри этих систем, так и с другими системами различного уровня и назначения; · определяются технические средства и системы, предполагаемые к использованию в разрабатываемой ИСПДн, условия их расположения, общесистемные и прикладные программные средства, имеющиеся и предлагаемые к разработке; · определяются режимы обработки ПДн в ИСПДн в целом и в отдельных компонентах; · определяется класс ИСПДн; · уточняется степень участия персонала в обработке данных, характер их взаимодействия между собой; · определяются (уточняются) угрозы безопасности ПДн в конкретных условиях функционирования (разработка частной модели угроз). Разработка технического задания По результатам предпроектного обследования с учетом установленного класса ИСПДн задаются конкретные требования по обеспечению безопасности данных, включаемые в техническое (частное техническое) задание на разработку системы защиты. · обоснование разработки СЗПДн; · исходные данные создаваемой (модернизируемой) ИСПДн в техническом, программном, информационном и организационном аспектах; класс ИСПДн; · ссылку на нормативные документы, с учетом которых будет разрабатываться СЗПДн и приниматься в эксплуатацию информационная система; конкретизацию мероприятий и требований к СЗПДн; · перечень предполагаемых к использованию сертифицированных средств защиты информации; · обоснование проведения разработок собственных средств защиты информации при невозможности или нецелесообразности использования имеющихся на рынке сертифицированных средств защиты информации; · состав, содержание и сроки проведения работ по этапам разработки и внедрения СЗПДн. Проектирование СЗПДн На стадии проектирования и создания ИСПДн (СЗПДн) проводятся следующие мероприятия: · разработка задания и проекта на строительные, строительно-монтажные работы (или реконструкцию) ИСПДн в соответствии с требованиями технического (частного технического) задания на разработку СЗПДн; · разработка раздела технического проекта на ИСПДн в части защиты информации; · строительно-монтажные работы в соответствии с проектной документацией; · использование серийно выпускаемых технических средств обработки, передачи и хранения информации; · разработка мероприятий по защите информации в соответствии с предъявляемыми требованиями; · использование сертифицированных технических, программных и программно-технических средств защиты информации и их установка; · сертификация программных средств защиты информации по требованиям безопасности данных в случае, когда на рынке отсутствуют требуемые сертифицированные средства защиты информации; · разработка и реализация разрешительной системы доступа пользователей к обрабатываемой в ИСПДн информации; · определение подразделений и назначение лиц, ответственных за эксплуатацию средств защиты информации, с их обучением по направлению обеспечения безопасности ПДн; · разработка эксплуатационной документации на ИСПДн и средства защиты информации, а также организационно-распорядительной документации по защите информации (приказов, инструкций и других документов); · выполнение других мероприятий, характерных для конкретных ИСПДн и направлений обеспечения безопасности персональных данных. Проектирование СЗПДн является одним из самых трудоемких и ответственных этапов по созданию системы защиты. Понимая это и имея значительный опыт в этой области, специалисты компании «Инфосистемы Джет» проводят работы с учетом следующих факторов:
Только учет данных факторов позволяет добиться того, что созданная в результате проектирования СЗПДн будет отвечать всем требованиям по защите и при этом не оказывать негативного влияния на работу модернизируемой (создаваемой) ИСПДн, а значит и на все бизнес-процессы организации Оценка соответствия ИСПДн требованиям безопасности персональных данных Оценка соответствия ИСПДн по требованиям безопасности ПДн проводится: · для ИСПДн 1 и 2 классов – обязательная сертификация (аттестация) по требованиям безопасности информации; · для ИСПДн 3 класса – декларирование соответствия или обязательная сертификация (аттестация) по требованиям безопасности информации (по решению оператора); · для ИСПДн 4 класса оценка соответствия проводится по решению оператора. Аттестация ИСПДн заказчика по требованиям безопасности информации предшествует началу обработки подлежащей защите информации и вызвана необходимостью официального подтверждения эффективности комплекса используемых в ИСПДн мер и средств защиты данных. Под аттестацией объекта информатизации понимается комплекс организационно-технических мероприятий, в результате которых специальным документом – «Аттестатом соответствия» подтверждается, что ИСПДн заказчика соответствуют требованиям стандартов и нормативно-технических документов по безопасности ПДн, утвержденных ФСТЭК России. Оценка соответствия ИСПДн по требованиям безопасности информации включает в себя следующие работы: 1. Разработка пакета аттестационных документов. Формируется пакет организационно-распорядительной и технической документации на аттестуемую ИСПДн, содержащий: · программу и методику аттестационных испытаний; · проект документа «Перечень персональных данных, обрабатываемых в ИСПДн»; · проект документа «Перечень лиц, допущенных к обработке ПДн»; · проект документа «Перечень лиц, допущенных в помещения, в которых располагаются технические средства ИСПДн»; · проект документа «Акт классификации ИСПДн»; · проект документа «Акт внедрения СЗИ»; · технический паспорт на ИСПДн; · проекты приказов о назначении ответственных за обеспечение режима безопасности персональных данных; · инструкция по обеспечению безопасности персональных данных; · описание технологии обработки информации в ИСПДн. 2. Проведение аттестационных испытаний. Уровень безопасности информации, оцениваемый в процессе аттестационных испытаний, определяется классом ИСПДн (по классификации в соответствии нормативно-методическими документами ФСТЭК России). При этом выполнятся следующие работы: · проведение аттестационных испытаний ИСПДн; · разработка отчетных документов. Аттестационные испытания ИСПДн осуществляются аттестационной комиссией, формируемой органом по аттестации, аккредитованным ФСТЭК России. Аттестационные испытания проводятся по программе и методике испытаний и в соответствии с Положением по аттестации объектов автоматизации. Аттестационные испытания ИСПДн предполагают проведение следующих проверок: · проверка состояния технологического процесса автоматизированной обработки персональных данных в ИСПДн; · проверка ИСПДн на соответствие организационно-техническим требованиям по защите информации; · испытания ИСПДн на соответствие требованиям по защите информации от несанкционированного доступа. Результатом работ на данном подэтапе является: · Протокол аттестационных испытаний; · Заключение по результатам аттестационных испытаний; · Аттестат соответствия на ИСПДн (выдается в случае положительного Заключения); · Акт о переводе СЗПДн в промышленную эксплуатацию (в случае наличия положительного заключения по результатам аттестационных испытаний ИСПДн).
|
||||
Последнее изменение этой страницы: 2016-07-16; просмотров: 332; Нарушение авторского права страницы; Мы поможем в написании вашей работы! infopedia.su Все материалы представленные на сайте исключительно с целью ознакомления читателями и не преследуют коммерческих целей или нарушение авторских прав. Обратная связь - 3.148.115.43 (0.009 с.) |