четверг, 26 февраля 2015 г.

О "бумажной" защите ГИС


На прошедшем недавно форуме «Технологии безопасности» представители ФСТЭК пояснили, что при аттестации ГИС должна быть подтверждена, в том числе, и разработка оператором системы документов, регламентирующих процедуры защиты информации в ходе эксплуатации ИС. Возникает вопрос, сколько и каких документов должен разработать оператор и от чего это зависит?
В методическом  документе «Меры защитыинформации в государственных информационных системах» характеристика многих мер заканчивается словами: «Правила и процедуры … регламентируются в организационно-распорядительных документах оператора».
Сколько таких мер? Это зависит от класса ГИС. Например, в ГИС класса К3 я насчитал ни много, ни мало 34 меры, требующие описания правил и процедур своей реализации в ОРД оператора. Возможно, что-то упустил, но список все равно внушительный. Если кому не лень – читайте (в список не включены меры из группы «ЗСВ»).


-        Правила и процедуры идентификации и аутентификации внутренних и внешних пользователей.
-        Правила и процедуры идентификации и аутентификации  устройств.
-        Правила и процедуры управления идентификаторами.
-        Правила и процедуры управления средствами аутентификации (в том числе определение должностного лица, ответственного за хранение, выдачу, инициализацию, блокирование средств аутентификации).
-        Правила и процедуры управления учетными записями пользователей.
-        Правила разграничения доступа.
-        Правила и процедуры управления информационными потоками.
-        Полномочия, права и привилегии пользователей, администраторов и запускаемых от их имени процессов, а так же лиц, обеспечивающих функционирование ИС.
-        Роли или должностные обязанности, а также объекты доступа, в отношении которых установлен наименьший уровень привилегий.
-        Правила и процедуры блокирования сеансов доступа пользователя после установленного оператором времени его бездействия в ИС.
-        Перечень действий пользователей, разрешенных до прохождения ими процедур идентификации и аутентификации.
-        Правила и процедуры применения удаленного доступа.
-        Правила и процедуры применения технологий беспроводного доступа.
-        Правила и процедуры применения мобильных технических средств.
-        Правила и процедуры управления взаимодействием с внешними ИС.
-        Правила и процедуры управления установкой компонентов программного обеспечения (в том числе состав и конфигурация подлежащих установке компонентов, параметры установки, параметры настройки компонентов программного обеспечения).
-        Документ по учету носителей информации (например, журнал).
-        Правила и процедуры доступа к машинным носителям информации (в т.ч. перечень должностных лиц, имеющих право такого доступа).
-        Процедуры уничтожения (стирания) информации на машинных носителях.
-        Состав и содержание событий безопасности, подлежащих регистрации в ИС (вход/выход субъектов доступа в ИС, подключение МНИ и вывод на них  информации,  запуск/завершение программ и процессов, и др).
-        Состав и содержание информации о событиях безопасности, подлежащих регистрации в ИС (тип события, даты и время, идентификационная информации источника события и др.).
-        Правила и процедуры сбора, записи и хранения информации о событиях безопасности (время хранения информации о событиях, объем памяти для хранения и др.).
-        Правила и процедуры реагирования на сбои при регистрации событий безопасности
-        Правила и процедуры мониторинга результатов регистрации событий безопасности (в том числе периодичность просмотра событий безопасности и реагирование на инциденты ИБ).
-        Правила и процедуры защиты информации о событиях безопасности.
-        Правила и процедуры антивирусной защиты ИС и обновления базы данных признаков вредоносных компьютерных программ.
-        Правила и процедуры выявления, анализа и устранения уязвимостей.
-        Правила и процедуры контроля установки обновлений программного обеспечения.
-        Правила и процедуры восстановления ПО (в т.ч. планы по действиям персонала и порядок применения компенсирующих мер).
-        Границы контролируемой зоны.
-        Правила и процедуры контроля и управления физическим доступом к техническим средствам, СЗИ, средствам обеспечения функционирования, а также в помещения и сооружения, в которых они установлены.
-        Перечень периферийных устройств, для которых допускается возможность удаленной активации.
-        Правила и процедуры применения беспроводных соединений в ИС.
-        Правила и процедуры защиты мобильных технических средств.


Конечно, при отсутствии каких-то технологий (например, беспроводного доступа) документов получится немножко меньше, но поработать все же придется. Разумеется, в классе К1 этот список получится гораздо больше, а уж что писать в этих самых «правилах и процедурах» и как правильно называть эти документы – зависит от особенностей конкретной ИС и потребностей оператора. А лицензиаты смогут неплохо заработать на «бумажной защите».

2 комментария:

  1. Этот комментарий был удален автором.

    ОтветитьУдалить
  2. Почти все эти правила и процедуры подробно описаны и входят в грамотную инструкцию администратора. Некоторые вопросы решает матрица доступа.

    ОтветитьУдалить