Данный шаблон основан на анализе исключительно не сертифицированных средств безопасности и не является выбором редакции zpdn-day ru
| Вид материала | Документы |
- Технический регламент о безопасности колесных транспортных средств, 14977.85kb.
- Правила промышленной безопасности нефтебаз и складов нефтепродуктов пб 09-560-03, 907.64kb.
- Положение о порядке проведения экспертизы промышленной безопасности в химической, нефтехимической, 243.98kb.
- Данный документ не является официальной версией. Информация справочная, исключительно, 1359.9kb.
- Данный документ не является официальной версией. Информация справочная, исключительно, 902.6kb.
- Данный документ не является официальной версией. Информация справочная, исключительно, 2963.82kb.
- Данный документ не является официальной версией. Информация справочная, исключительно, 2557.92kb.
- Данный документ не является официальной версией. Информация справочная, исключительно, 477.99kb.
- Данный документ не является официальной версией. Информация справочная, исключительно, 11625.41kb.
- Данный документ не является официальной версией. Информация справочная, исключительно, 1234.58kb.
| Данный шаблон основан на анализе исключительно не сертифицированных средств безопасности и не является выбором редакции zpdn-day.ru. Вторая версия шаблона с обзором сертифицрованных средств защиты будет опубликована до 20.09.11 | УТВЕРЖДАЮ Руководитель Компании ООО «Наша компания» ФИО _______________________ « » __________ 20 __ г. |
проект системы защиты
ИСПДН “Наша компания:
сотрудники и контрагенты”
Настоящий документ описывает систему защиты персональных данных для информационной системы персональных данных №1 «Наша компания: сотрудники и контрагенты» (далее – ИСПДн НК:СК).
Перечень сокращений и условных наименований
| АРМ | Автоматизированное рабочее место |
| ИВС | Информационно-Вычислительная Сеть |
| ИСПДн | Информационная Система Персональных Данных |
| ИС | Информационная Система |
| ЛВС | Локальная Вычислительная Сеть |
| НСД | Несанкционированный Доступ |
| НДВ | Недекларированные возможности |
| ОС | Операционная Система |
| ОРД | Организационно-распорядительная документация |
| ПДн | Персональные Данные |
| ПО | Программное обеспечение |
| ПК | Персональный Компьютер |
| РД | Руководящий Документ |
| СЗПДн | Система Защиты Персональных данных и конфиденциальной информации, |
| СКЗИ | Средства криптографической защиты информации |
| СЗИ | Система Защиты Информации |
| ТС | Технические Средства |
| ИКЦ | Инвентаризация и контроль целостности |
| ИТ | Информационные технологии |
| ФСТЭК | Федеральная служба по техническому и экспортному контролю |
| DDoS | Distributed Denial of Service |
| IP | Internet Protocol |
| VPN | Virtual Private Network |
| DMZ | Demilitarized zone |
-
Наименование системы:
Система защиты персональных данных и конфиденциальной информации, обрабатываемых ООО «Наша компания».
Исходные данные для выполнения работ
Приказ Федеральной службы по техническому и экспортному контролю (ФСТЭК России) от 5 февраля 2010 г. N 58 г. Москва "Об утверждении Положения о методах и способах защиты информации в информационных системах персональных данных" и Модель угроз информационной безопасности ООО "Наша компания".
-
Назначение системы
Система защиты персональных данных предназначена для обеспечения безопасности персональных данных, обрабатываемых в ИСПДн ООО "Наша компания".
-
Основные принципы построения системы:
- законность;
- системность;
- комплексность;
- открытость алгоритмов и механизмов защиты;
- простота внедрения и применения средств защиты.
В соответствие с назначенными принципами выбран вариант построения системы защиты преимущественно на базе приложений, разработанных российскими производителями.
-
Характеристика ИСПДн.
В составе ИСПДн функционирует 20 АРМ и 2 сервера. Рассматриваемая ИСПДн имеет подключение к сетям общего пользования и международного обмена. Все компоненты ИСПДн находятся на одном объекте, внутри контролируемой зоны. Обработка персональных данных ведется в многопользовательском режиме, без ограничения прав доступа. Все технические средства находятся в пределах РФ. В ИСПДн обрабатываются данные второй категории персональных данных. Объем обработки не превышает 1 000 записей о субъектах ПДн. При входе в систему и выдаче запросов на доступ проводится аутентификация пользователей ИСПДн НК:СК. Все пользователи имеют собственные роли: администратор безопасности, пользователи с правом чтения-записи, пользователи с правом чтения данных.
-
Физические меры защиты.
Физическая защита здания и средств информатизации, включенных ИСПДн, осуществляется путем круглосуточного дежурства сотрудников ЧОП "Бодигард" на посту охраны №1 (контроль входа/выхода в здание) и на посту охраны №2 (контроль выезда транспортных средств с территории ООО "Наша компания").
Ограничение доступа пользователей в помещения, где размещены технические средства, позволяющие осуществлять обработку персональных данных, а также, хранятся носители информации, осуществляется путем использования системы персональных электронных ключей доступа, с фиксацией всех событий вход/выход на сервере системы.
-
Программные и технические средства защиты персональных данных
В соответствии с требованиями РД ФСТЭК к ИСПДН класса К3 и актуальными угрозами безопасности, согласно Модели угроз ООО «Наша компания», по всем направлениям защиты в состав системы включены следующие средства:
- средства идентификации (опознавания) и аутентификации (подтверждения подлинности) пользователей ИСПДн;
- средства разграничения доступа пользователей и обслуживающего персонала к информационным ресурсам ИСПДн;
- средства резервирования технических средств, дублирование массивов и носителей информации;
- средства антивирусной защиты;
- средства межсетевого экранирования с целью управления доступом, фильтрации сетевых пакетов и трансляции сетевых адресов для скрытия структуры информационной системы;
- средства блокирования использование съемных носителей и накопителей информации;
- средства обнаружения вторжений;
- средства анализа защищенности информационных систем, предполагающие применение специализированных программных средств (сканеров безопасности).
-
Структура и состав средств защиты информации
Контроль эффективности системы защиты информационной системы персональных данных
№
Средства защиты
Наименование средства
Версия
Примечание
1
Cредства идентификации (опознавания) и аутентификации (подтверждения подлинности) пользователей ИСПДн
MS Windows
7
Настройка встроенных в ОС средств идентификации и аутентификации
2
Средства разграничения доступа пользователей и обслуживающего персонала к информационным ресурсам ИСПДн
Служба Active Directory
Windows Server 2008
Нет
3
Средства резервирования технических средств, дублирование массивов и носителей информации
Acronis Backup&Recovery
11
Нет
4
Средства антивирусной защиты
Kaspersky Total Space Security
8
Антивирусная защита интернет и почтового трафика, АРМ и серверов, с возможностью защиты от DDoS
5
Средства межсетевого экранирования с целью управления доступом, фильтрации сетевых пакетов и трансляции сетевых адресов для скрытия структуры информационной системы
Интернет-шлюз Ideco ICS
4.3
NAT, полноценный межсетевой экран, политики доступа, контроль утечек
6
Средства обнаружения вторжений
Интернет-шлюз Ideco ICS
4.3
Модуль IDS/IPS
7
Cредства анализа защищенности информационных систем, предполагающие применение сканеров безопасности
XSpider
7.8
Сетевой сканер безопасности
Контроль эффективности СЗПДн должен осуществляется на периодической основе. Целью контроля эффективности является своевременное выявление ненадлежащих режимов работы СЗПДн (отключение средств защиты, нарушение режимов защиты, несанкционированное изменение режима защиты и т.п.), а так прогнозирование и превентивное реагирование на новые угрозы безопасности ПДн.
Контроль может осуществляться администратором безопасности как с помощью штатных средств системы защиты ПДн, так и с помощью специальных программных средств контроля.