понедельник, 30 декабря 2013 г.

Собака лает, караван идет

Добрый вечер, дорогие читатели! Позволю себе немного пофилософствовать на тему повышения эффективности работ по защите информации. Пусть наихудшим вариантом - абсолютным нулем будет безразличное отношение бизнеса к рекомендациям, запретам и советам ИБ, а абсолютным максимумом будет безукоризненное выполнение всех требований безопасности. Второго достичь дано увы немногим :) 
Но все же не хотелось бы быть той самой собакой безуспешно лающей на караван. Для этого нужно получить свое право слова, а это не так-то просто. Все мы понимаем, что главенствующую роль всегда будут играть интересы производства, безопасность обычно лишь замедляет бизнес-процессы. Остается один выход - убедить руководство в опасности существующих угроз ИБ. Реальность угрозы для руководителя может измеряться не только деньгами, но и суровостью наказания за нарушения установленных требований. Самые продвинутые руководители опасаются также репутационных рисков. 
Самое простое обоснование, которое может подготовить начинающий безопасник - это подборка статей УК, КоАП и т.д, где будет четко указано, кто, за что и на сколько может "сесть", заплатить штраф, лишиться должности. Однако есть такое понятие, как нерабочая статья. Поэтому подготовить подборку карательных мер мало, нужно еще собрать судебную практику и лучше, если она будет относиться к конкретному региону (зачастую суровость наказаний в различных частях нашей огромной страны варьируется). Самое эффективное на мой взгляд - найти похожую по виду деятельности организацию, которая пострадала от угроз хакеров/инсайдеров/стихийных бедствий/проверок регуляторов. В случаях с проверками можно добиться и обратного эффекта - "раз из нашей отрасли организацию уже проверяли, то нас не тронут". Здесь нужен творческий подход и знание особенностей руководителя: чего он боится, какие ваши тревоги разделяет (нашествие вирусов, потеря данных на серверах, инсайдеры, которые выносят документы и передают их конкурентам). Объяснять доходчиво можно на примерах из частной жизни: потерять базу клиентов на сервере, это все равно, что лишиться архива семейных фотографий на жестком диске домашнего компьютера. 

Продолжение следует...

суббота, 14 декабря 2013 г.

Ревизор глазами экспертов информационной продукции

Добрый вечер, уважаемые читатели! Обнаружила любопытный материал на сайте Роскомнадзора, спешу поделиться ссылкой с вами. В статье рассматривается принятие решения о присвоении возрастной категории записи спектакля "Ревизор". Чтобы Вас заинтересовать, приведу кусочек:
Почтмейстер распахивает мундир, под которым одета женская кружевная комбинация. Барышни начинают визжать. Городничий запахивает мундир обратно.
Есть / нет пропаганда нетрадиционных сексуальных отношений?
Сцена решена в жанре гротеск, является элементом фарса. Не носит характера пропаганды нетрадиционной ориентации, скорее, иллюстрирует странное поведение Почтмейстера.
12+

понедельник, 9 декабря 2013 г.

Химеры информационной безопасности

Добрый день, дорогие коллеги! Спешу поделиться с вами своей новой статьей в открытом доступен. В ней я попыталась поразмышлять о проблемах отрасли.   С текстом статьи можно ознакомиться здесь.

воскресенье, 10 ноября 2013 г.

Борьба с материально-вещественным каналом утечки информации

Добрый вечер, дорогие читатели! Вышла моя новая статья о борьбе с утечками через блокноты, тетрадки и другие традиционные материальные носители информации. Она есть в открытом доступе здесь. Читайте, комментируйте, надеюсь, что она будет Вам полезна!

вторник, 15 октября 2013 г.

Как я на Infobez-expo 2013 выступала

Добрый вечер, дорогие читатели! Хочу поделиться с Вами своими впечатлениями от участия в Инфобезе. Мероприятие, как мы знаем, проходило в Москве с 8 по 10 октября. Было очень приятно получить приглашение, спасибо Алексею Волкову! Но приехать к сожалению не получилось, однако, безвыходных ситуаций не бывает и я смогла присоединиться к участникам круглого стола по скайпу. Как говорится, до чего дошел прогресс :) Сижу я дома, попиваю чаек и заодно в инфобезе участвую:)
Честно говоря, было очень волнительно, в голову лезли тысячи способов того, что может пойти не так, особенно мало было надежды на качество связи. Но опасения не оправдались и меня было видно и даже слышно (я надеюсь). Сказать наверняка не могу, потому что на зал камеры направлено не было, поэтому мне приходилось отвечать на вопросы, ориентируясь на звук и глядя глаза в глаза организатору:) Закрадывались даже мыслишки, что в зале никого нет и может мы все участвуем по скайпу (кроме Алексея, конечно, я видела, как он пробегал :).
Ближе к сути. Мероприятие, в котором мне посчастливилось участвовать - круглый стол, посвященный проблемам DLP. Краткое описание взято здесь:


Круглый стол: «Блеск и нищета DLP-систем»
Приглашены:
Карпов А., Яндекс,
Аветян А.,Computershare,
Лысенко Ю., Home Credit&Finance Bank,
Прозоров А., InfoWatch,
Орешин М., Амрита,
Барташевич С., ЛЕТА,
Шудрова К., Россельхозбанк,
Токаренко А., Независимый эксперт,
Сытник Г., SearchInform

Модератор: Волков А.Н., Начальник отдела эксплуатации средств защиты информации, управления по защите информации генеральной дирекции ОАО «Северсталь».
Об утечках данных, их причинах и последствиях для владельцев информации, о методах и средствах их обнаружения и предотвращения сейчас не говорит только ленивый. По понятным причинам, громче всех кричат и страшнее всех пугают представители компаний, предлагающих разномастные технические средства предотвращения утечек (DLP), продаваемых в комплекте с «нехилым» консалтингом. На этом фоне заказчики дрожат, рынок - растет, перспективы – радужные, и все вроде бы на первый взгляд хорошо. Но так ли хороши эти средства в деле? Можно ли использовать их функционал «на полную катушку» или следует чего-то опасаться? Да и нужно ли это владельцам информации? Участники этого круглого стола – производители DLP и их потенциальные клиенты - обсудят три самых животрепещущих темы, а зрители могут не стесняться задавать самые неудобные вопросы и тем, и другим. Никакого скрытого смысла, фальшивого лоска, умалчиваний и «деланой» политкорректности, обусловленной «хозяином площадки». Только правда, и ничего кроме!
«Юридические казусы». В последнее время государственные регуляторы в области ИБ стали обращать пристальное внимание на DLP-системы. Активная работа по обеспечению кибербезопасности страны и безопасности ПДн граждан привела к тому, что в нормативной документации стали появляться требования, «намекающие» на использование DLP-решений.
О юридическом парадоксе и возможных последствиях его реализации - Аветян А. , Computershare.
«Еще раз о ценности информации». Можно долго говорить об инсадерской информации и коммерческой тайне – о том, насколько все это важно и нужно. Но бизнес в РФ построен таким образом, что все обо всем догадываются, а государственные структуры – знают. В добывающе-перерабатывающем секторе экономики, объем информации, имеющей какую-либо ценность в силу потенциальной ее неизвестности третьим лицам, очень и очень мал. На первое место выходит борьба с мошенничеством, совершаемом с ТМЦ посредством искажения или уничтожения информации, а не за счет нарушения конфиденциальности. Может, в других секторах дело обстоит по-другому? Например, хай-тек или банки – есть ли им что защищать?
Подробнее – Карпов А. , Яндекс; Лысенко Ю. , Home Credit&Finance Bank.
«Технический регресс». Технический прогресс в сфере потребительских ИТ сосредоточен на предоставление пользователю многочисленных удобных сервисов хранения и обмена информацией. Корпоративная ИТ не отстает – предлагая интеграцию всех возможных сервисов в единую коммуникационную инфраструктуру. В таких условиях вендорыDLP, вместо того, чтобы качественно развивать бизнес-аналитику и углубляться в новые технологии распознавания голоса и обработки видео, поголовно включились в погоню за перехватом новых каналов утечки.
О том, как ИБ-шник, внедривший DLP, превращается в главного врага ИТ и бизнеса – Волков А.

С презентацией Алексея Волкова вы можете ознакомиться здесь. Я, к сожалению, смогла видеоряд увидеть только сейчас, во время трансляции доступен был лишь звук, картинки, конечно шикарно подобраны. Наконец-то поняла шутку про Диброва :)
Обсуждение DLP было очень бурным, даже показалось, что этих полутора часов не хватило. Тема-то богатая! Естественно, самым главным вопросом было - моральное право рыться в "грязном белье сотрудников". В начале мероприятия попросили поднять руки тех, кто использовал рабочий компьютер в личных целях. Могу только догадываться, но мне кажется, подняли руки многие (если не все). Как правильно заметил один из экспертов, здорово быть безопасником и чувствовать свою власть, от того, что можешь следить за людьми, и совсем не здорово, когда следят за тобой. Приводились доводы о том, что общаться на нерабочие темы можно по личному телефону. С другой стороны Конституция предусматривает безусловные права каждого человека на тайну его личной жизни и переписки. Здесь можно долго размышлять, обычно все доводы разбиваются об фразу "а в Конституции сказано..." Поэтому оставлю возможность читателю самостоятельно решить, к какому лагерю он хочет примкнуть. 
Разобравшись с моральной стороной вопроса, специалисты начали обсуждать, является ли целесообразным внедрение покупной длп-системы, либо достаточно самим собрать "на коленке" подобный анализатор. Мнения разделились, моё в этом случае следующее - смысла в навороченных системах нет никакого, как бы хорошо фильтр не работал, в итоге все равно придется держать специалиста, который будет анализировать полученную информацию. Не стоит забывать о том что ошибки могут быть как первого, так и второго рода. А жестко настроенный фильтр может привести к тому, что утечка информации с нехарактерными признаками проскользнет мимо. Ничего лучше, чем перебор всей почты вручную, пока не придумали :)
Алексей метко сравнил DLP-систему с комбайном, как мы помним, если в комбайне ломалась одна деталь, то все части его переставали работать ;)

среда, 11 сентября 2013 г.

Приучение к лотку и защита информации

Добрый вечер, дорогие читатели! Больше месяца я ничего не писала, пора исправляться. Хотела бы поговорить с вами о вечной проблеме - соблюдение сотрудниками норм информационной безопасности. Существует множество мнений: кнуты, пряники - классика. А сегодня пришла мне в голову забавная аналогия с приучением котенка к лотку. Давайте поразмышляем. В нашем случае цель - соблюдение сотрудниками правил ИБ (котенок ходит в лоток). Объект - сотрудники (котенок). Рассмотрим мою историю с котом-лотком в контексте информационной безопасности. Поехали :)

Начитавшись форумов, я решила, что посмотрю, какое место для туалета выберет себе котенок и туда поставлю лоток. Можно пойти от обратного и навязывать место, удобное хозяину, но мне кажется так дольше, да и надежда все-таки была на то, что кот не станет выбирать люстру или холодильник. Он поступил как настоящий интеллигент - в углу за мольбертом. Туда мы лоток и поместили. 
Информационная безопасность. Посмотрите, какие нарушения наиболее часто встречаются у сотрудников, как они работают, рисуйте схемы со стрелочками - откуда и куда перемещается информация. Вы можете придумать новые замудренные правила работы, но соблюдать их сотрудники станут очень не скоро. Асфальтируйте дорогу там, где были тропинки. 
Но этого оказалось мало. Кот ходил в то место, но возле лотка. Не совсем то, что мы хотим. Начинаем усаживать, караулить, пытаться объяснить ему - бесполезно. Привыкаем ходить с тряпкой и вытирать бесконечные лужи. Потом замечаем, что лоток стоял немножко в наклон, ставим его в то же место в устойчивое положение. Не терроризируем больше кота, ждем. На следующий день - победа, котенок ходит в туалет!:)
Информационная безопасность. Анализируйте статистику нарушений, поведение пользователей, если наметился сдвиг в лучшую сторону, но все же ситуация оставляет желать лучшего - "двигайте лоток" - чуть поменяйте правила. Безопасность - это всего лишь инструмент для сохранения бизнеса, задачи которого важнее всего.
Казалось бы, все решилось. Но тут меня подстерегал сюрприз. Котик почему-то решил, что ходить в туалет он будет исключительно по-маленькому, остальные свои дела нужно делать в укромных местах, там где не ступала швабра человека. Что было делать? По советам форумов укромные уголочки были застелены фольгой - она шуршит и не дает "сосредоточиться" (то что нужно!), также был обнаружен тайный ход из кухни в ванную, который котенком активно использовался, он был заделан. Но самое главное -был куплен второй лоток, наполнен шуршащим наполнителем. И вот это уже полная победа - лоток используется по прямому назначению :)
Информационная безопасность. Не обольщайтесь небольшой победой. Например, вы заблокировали самый популярный сайт и ежедневный интернет-трафик предприятия упал в разы. Вы ликуете, но! Через какое-то время трафик достигает прежнего значения, а явного сайта-лидера уже нет. Каждый нашел что-то по своим интересам, сайтов множество и фильтровать их нужно уже не вручную добавляя в список, а анализируя контент. Здесь Вы тоже сможете найти "тайный ход из кухни в ванную" - анонимайзеры. После того, как используемые сотрудниками прокси-сервера, будут добавлены в черный список, а на экранах у них появится грозное предупреждение о запрете доступа, объемы "левого" трафика начнут стремительно падать. 
Конечно, этот шутливый рассказ не даст вам исчерпывающих советов о том, как защищать информацию (этому нужно долго и нудно учиться в университете :)), да я и не ставила себе подобную задачу. Просто мне нравится использовать в своих рассуждениях наглядные примеры. Помнится мой учитель по программированию объяснял, что массив - это шкаф с ящиками, в которых может лежать что угодно, например, помидор:)


среда, 7 августа 2013 г.

Меня посчитали за ученого или социальная инженерия Lambert academic publishing

Добрый вечер, дорогие читатели! Спешу поделиться с Вами полезной информацией о "научном" издательстве Lambert academic publishing. Никогда бы мне о нем не узнать, но совершилось чудо и они выбрали именно мою научную работу для издания монографии. Привожу дословно текст письма (да простит меня Лаура и вся их честная компания):


Уважаемая г-жа Шудрова,


Я представляю Международный Издательский Дом, LAP Lambert Academic Publishing.
В ходе исследования в Сибирскогом государственном аэрокосмическом университете имени академика М. Ф. Решетнева, я столкнулась с упоминанием о Вашей работе на тему " ЗАЩИЩЕННЫЙ ДОСТУП К СИСТЕМАМ ВИДЕОКОНФЕРЕНЦИИ".

Мы являемся международным издательством, чья цель заключается в том, чтобы сделать академические исследования доступными более широкой аудитории. Мы очень заинтересованы в издании Вашей работе в форме монографии.

Буду очень признательна, если Вы ответите, указав при этом Ваш email-адрес, на который можно отправить письмо с подробной информацией.

С нетерпением жду Вашего ответа.

С наилучшими пожеланиями, 

Лаура Кубинеца


Ну, естественно, после такого письма первый порыв - бежать и хвастаться родным и близким, вот дескать Вы говорили, что ерундой занимаюсь, да время трачу, а вот за бугром моей работой серьезно заинтересовались. Потом возникают в голове такие картинки - я издаю собственную монографию, люди читают и плачут от восторга и изумления, как они сами до этого не додумались и до чего же гениально и просто устроены системы видеоконференций и как же ОНА хорошо их изложила... :) 
Однако остался во мне еще здравый смысл, прежде чем кидаться собирать по сусекам все свои научненькие изыскания, я решила поинтересоваться, что за издательство написало мне письмо. После открытия первой же ссылки от радости не осталось и следа. Оказывается такие письма приходят очень и очень многим, на форумах пишут, что свеженьким кандидатам наук (вот здесь немножко погордилась собой, я все-таки кандидат еще только будущий) и везде подписываются разные люди, но надо заметить, что всегда с экзотическими именами. Держу пари, моя Лаура Кубинеца всех затмила!:) 
Суть предложения от издательства такова: Вы берете свой оригинальный научный текст, обрабатываете на их сайте, моделируете обложку и права на печать переходят издательству. Через две недели они уже продают ее на разлиных книжных сайтах. Вы получаете процент от продаж, но не ранее, чем через год. А самое главное - книга распечатывается издательством только после того, как ее уже купили на сайте. Шикарная бизнес-модель! Размер рукописи, судя по информации на сайте, не менее 50 листов, согласитесь, немного жаль потерять права на издание такого объема текста. к тому же цена, по которой будет продаваться книга - от 30 до 70 евро, а значит вряд ли ее будут активно приобретать, ну если только родители, супруги, дети, братья или сестры не захотят сделать Вам приятное :) 
А самый главный развод заключается в том, что это НЕнаучное издательство, хотя именно этим они и цепляют в своем спам-письме. Доказательством этого я хочу привести заголовок одной из монографий: 

It's not like this is my dream job!: Student Sex Workers in the U.K

Возможно я ошибаюсь и это у них ТАМ такая наука, такие насущные вопросы, а у нас ЗДЕСЬ все по старинке, сразу даже как-то почувствовала себя нафталиновой старушкой со своими видеоконференциями, не туда я копаю, секс-вокерс - мейнстрим современной науки :)

В общем, дорогие читатели, не спешите радоваться таким вот письмам счастья и будьте осторожны. Как часто специалисты по информационной безопасности считают, что попадаются на спам и фишинг только дурачки-пользователи: "ну я бы никогда не перешел по ссылке на чудо-электро-нано-веник". А здесь издательство как хороший социальный инженер замешивает коктейль из лести (мое исследование кому-то интересно!), статуса (международное издательство!) и волшебного слова - бесплатно (у меня выйдет собственная книга!).
Дополнительную информацию от других счастливчиков, получивших письма, можно найти здесь и здесь. Очень прошу представителей издательства не писать комментарии к данному посту, держите себя в руках, ай эм нот э сэкс воркер, ай эм э янг рашн сайэнтист ;)

среда, 31 июля 2013 г.

Видеосеминар - Реальная безопасность и система защиты информации

Добрый вечер, дорогие читатели! Хочу поделиться с Вами полезной находкой. Интересный семинар МГИМО по защите информации на ютуб - ссылка. Очень любопытно послушать, вдохновляет, советую.

понедельник, 22 июля 2013 г.

Типовая программа проверки Роскомнадзора

Добрый вечер, дорогие читатели! Многих из нас интересует, что же проверяет Роскомнадзор при проверке? Перечень необходимых к предоставлению документов был найден мною на странице Управления Роскомнадзора по Вологодской области - ссылка. Несколько лет назад я была непосредственным участником выездной проверки и могу сказать, что представители Роскомнадзора запрашивали примерно такую информацию. Также перечень необходимых документов встретился мне на сайте Роскомнадзора по Уральскому Федеральному округу - ссылка. Здесь менее подробно, но по существу. Данные перечни документов могут быть полезны всем операторам для проверки полноты своего пакета документов по защите персональных данных. 

понедельник, 1 июля 2013 г.

Документация по безопасности

Добрый вечер, дорогие читатели! Вышла моя новая статья в журнале "Директор по безопасности" под названием "Необходимая бюрократия". Анонс:
Многие практики считают, что организационная защита уступает технической и не так эффективна, однако нельзя недооценивать ее роль в жизни организации. «Все, что не закреплено на бумаге, выполняться не будет» – это простое правило для каждого, кто еще сомневается в необходимости организационных мер. Если обратиться к лучшим практикам наиболее крупных и успешных компаний, можно увидеть, что их документация очень обширна и регламентации подлежит практически любой аспект деятельности организации. Благодаря тому, что существуют четкие инструкции на каждый возможный случай, можно заранее предугадать поведение сотрудника.Нормативная документация служит для нескольких целей.
Надеюсь материал статьи будет Вам полезен!

вторник, 18 июня 2013 г.

21 Приказ ФСТЭК: что делать оператору персональных данных

Добрый вечер, дорогие читатели! О 21 Приказе ФСТЭК я уже кратко писала здесь, затем приводила базовые наборы мер защиты:

  1. Базовый набор мер защиты для 1го уровня защищенности.
  1. Базовый набор мер защиты для 2го уровня защищенности.
  1. Базовый набор мер защиты для 3го уровня защищенности.
  1. Базовый набор мер защиты для 4го уровня защищенности.

Теперь хочу рассказать Вам об этапах работы по выбору защитных мер. Существует 5 этапов:
Этап 1. Определяем базовый набор мер защиты. 
Этап 2. Адаптируем базовый набор мер под свою систему с учетом особенностей ее функционирования.
Этап 3. Уточняем список мер с учетом не выбранных ранее мер для нейтрализации актуальных угроз. 
Этап 4. Добавляем меры, обеспечивающие выполнение требований к защите персональных данных, установленных иными нормативными правовыми актами.
Этап 5 (необязательный). Выбираем компенсирующие меры. 
Подробнее об этих этапах работы Вы можете прочитать здесь. Публикация на портале sec.ru находится в открытом доступе, читайте, оставляйте свои комментарии, буду рада, если статья окажется Вам полезной!


пятница, 7 июня 2013 г.

Базовый набор мер для 4 уровня защищенности

Условное обозначение и номер меры
Содержание мер по обеспечению безопасности персональных данных
I. Идентификация и аутентификация субъектов доступа и объектов доступа (ИАФ)

ИАФ.1
Идентификация и аутентификация пользователей, являющихся работниками оператора

ИАФ.З
Управление идентификаторами, в том числе создание, присвоение, уничтожение идентификаторов

ИАФ.4
Управление средствами аутентификации, в том числе хранение, выдача, инициализация, блокирование средств аутентификации и принятие мер в случае утраты и (или) компрометации средств аутентификации

ИАФ.5
Защита обратной связи при вводе аутентификационной информации

ИАФ.6
Идентификация и аутентификация пользователей, не являющихся работниками оператора (внешних пользователей)

II. Управление доступом субъектов доступа к объектам доступа (УПД)

УПД.1
Управление (заведение, активация, блокирование и уничтожение) учетными записями пользователей, в   том числе внешних пользователей

УПД.2
Реализация необходимых методов (дискреционный, мандатный, ролевой или иной метод), типов (чтение, запись, выполнение или иной тип) и правил разграничения доступа

УПД.З
Управление (фильтрация, маршрутизация, контроль соединений, однонаправленная передача и иные способы управления) информационными потоками между устройствами, сегментами информационной системы, а также между информационными системами

УПД.4
Разделение полномочий (ролей) пользователей, администраторов и лиц, обеспечивающих функционирование информационной системы

УПД.5
Назначение минимально необходимых прав и привилегий пользователям, администраторам и лицам, обеспечивающим функционирование информационной системы

УПД.6
Ограничение неуспешных попыток входа в информационную систему (доступа к информационной системе)

УПД.13
Реализация защищенного удаленного доступа субъектов доступа к объектам доступа через внешние информационно-телекоммуникационные сети

УПД.14
Регламентация и контроль использования в информационной системе технологий беспроводного доступа

УПД.15
Регламентация и контроль использования в информационной системе мобильных технических средств

УПД.16
Управление взаимодействием с информационными системами сторонних организаций (внешние информационные системы)

V. Регистрация событий безопасности (РСБ)

РСБ.1
Определение событий безопасности, подлежащих регистрации, и сроков их хранения

РСБ.2
Определение состава и содержания информации о событиях безопасности, подлежащих регистрации

РСБ.З
Сбор, запись и хранение информации о событиях безопасности в течение установленного времени хранения

РСБ. 7
Защита информации о событиях безопасности

VI. Антивирусная защита (АВЗ)

АВ3.1
Реализация антивирусной защиты

АВ3.2
Обновление базы данных признаков вредоносных компьютерных программ (вирусов)

VIII. Контроль (анализ) защищенности персональных данных (АНЗ)

АНЗ.2
Контроль установки обновлений программного обеспечения, включая обновление программного обеспечения средств защиты информации

XI. Защита среды виртуализации (ЗСВ)

ЗСВ.1
Идентификация и аутентификация субъектов доступа и объектов доступа в виртуальной инфраструктуре, в том числе администраторов управления средствами виртуализации

ЗСВ.2
Управление доступом субъектов доступа к объектам доступа в виртуальной инфраструктуре, в том числе внутри виртуальных машин
XII. Защита технических средств (ЗТС)

ЗТС.3
Контроль и управление физическим доступом к техническим средствам, средствам защиты информации, средствам обеспечения функционирования, а также в помещения и сооружения, в которых они установлены, исключающие несанкционированный физический доступ к средствам обработки информации, средствам защиты информации и средствам обеспечения функционирования информационной системы, в помещения и сооружения, в которых они установлены

ЗТС.4
Размещение устройств вывода (отображения) информации, исключающее ее несанкционированный просмотр

XIII. Защита информационной системы, ее средств, систем связи и передачи данных (ЗИС)

ЗИС.3
Обеспечение защиты персональных данных от раскрытия, модификации и навязывания (ввода ложной информации) при ее передаче (подготовке к передаче) по каналам связи, имеющим выход за пределы контролируемой зоны, в том числе беспроводным каналам связи

Базовый набор мер для 3 уровня защищенности

Условное обозначение и номер меры
Содержание мер по обеспечению безопасности персональных данных
I. Идентификация и аутентификация субъектов доступа и объектов доступа (ИАФ)

ИАФ.1
Идентификация и аутентификация пользователей, являющихся работниками оператора

ИАФ.З
Управление идентификаторами, в том числе создание, присвоение, уничтожение идентификаторов

ИАФ.4
Управление средствами аутентификации, в том числе хранение, выдача, инициализация, блокирование средств аутентификации и принятие мер в случае утраты и (или) компрометации средств аутентификации

ИАФ.5
Защита обратной связи при вводе аутентификационной информации

ИАФ.6
Идентификация и аутентификация пользователей, не являющихся работниками оператора (внешних пользователей)

II. Управление доступом субъектов доступа к объектам доступа (УПД)
УПД.1
Управление (заведение, активация, блокирование и уничтожение) учетными записями пользователей, в   том числе внешних пользователей

УПД.2
Реализация необходимых методов (дискреционный, мандатный, ролевой или иной метод), типов (чтение, запись, выполнение или иной тип) и правил разграничения доступа

УПД.З
Управление (фильтрация, маршрутизация, контроль соединений, однонаправленная передача и иные способы управления) информационными потоками между устройствами, сегментами информационной системы, а также между информационными системами

УПД.4
Разделение полномочий (ролей) пользователей, администраторов и лиц, обеспечивающих функционирование информационной системы

УПД.5
Назначение минимально необходимых прав и привилегий пользователям, администраторам и лицам, обеспечивающим функционирование информационной системы

УПД.6
Ограничение неуспешных попыток входа в информационную систему (доступа к информационной системе)

УПД.10
Блокирование сеанса доступа в информационную систему после установленного времени бездействия (неактивности) пользователя или по его запросу

УПД.11
Разрешение (запрет) действий пользователей, разрешенных до идентификации и аутентификации

УПД.13
Реализация защищенного удаленного доступа субъектов доступа к объектам доступа через внешние информационно-телекоммуникационные сети

УПД.14
Регламентация и контроль использования в информационной системе технологий беспроводного доступа

УПД.15
Регламентация и контроль использования в информационной системе мобильных технических средств

УПД.16
Управление взаимодействием с информационными системами сторонних организаций (внешние информационные системы)

IV. Защита машинных носителей персональных данных (ЗНИ)

ЗНИ.8
Уничтожение (стирание) или обезличивание персональных данных на машинных носителях при их передаче между пользователями, в сторонние организации для ремонта или утилизации, а также контроль уничтожения (стирания) или обезличивания

V. Регистрация событий безопасности (РСБ)

РСБ.1
Определение событий безопасности, подлежащих регистрации, и сроков их хранения

РСБ.2
Определение состава и содержания информации о событиях безопасности, подлежащих регистрации

РСБ.З
Сбор, запись и хранение информации о событиях безопасности в течение установленного времени хранения

РСБ. 7
Защита информации о событиях безопасности

VI. Антивирусная защита (АВЗ)

АВ3.1
Реализация антивирусной защиты

АВ3.2
Обновление базы данных признаков вредоносных компьютерных программ (вирусов)

VIII. Контроль (анализ) защищенности персональных данных (АНЗ)

АНЗ.1
Выявление, анализ уязвимостей информационной системы и оперативное устранение вновь выявленных уязвимостей

АНЗ.2
Контроль установки обновлений программного обеспечения, включая обновление программного обеспечения средств защиты информации

АНЗ.3
Контроль работоспособности, параметров настройки и правильности функционирования программного обеспечения и средств защиты информации

АНЗ.4
Контроль состава технических средств, программного обеспечения и средств защиты информации

XI. Защита среды виртуализации (ЗСВ)

ЗСВ.1
Идентификация и аутентификация субъектов доступа и объектов доступа в виртуальной инфраструктуре, в том числе администраторов управления средствами виртуализации

ЗСВ.2
Управление доступом субъектов доступа к объектам доступа в виртуальной инфраструктуре, в том числе внутри виртуальных машин

ЗСВ.3
Регистрация событий безопасности в виртуальной инфраструктуре

ЗСВ.9
Реализация и управление антивирусной защитой в виртуальной инфраструктуре

ЗСВ.10
Разбиение виртуальной инфраструктуры на сегменты (сегментирование виртуальной инфраструктуры) для обработки персональных данных отдельным пользователем и (или) группой пользователей

XII. Защита технических средств (ЗТС)

ЗТС.3
Контроль и управление физическим доступом к техническим средствам, средствам защиты информации, средствам обеспечения функционирования, а также в помещения и сооружения, в которых они установлены, исключающие несанкционированный физический доступ к средствам обработки информации, средствам защиты информации и средствам обеспечения функционирования информационной системы, в помещения и сооружения, в которых они установлены

ЗТС.4
Размещение устройств вывода (отображения) информации, исключающее ее несанкционированный просмотр

XIII. Защита информационной системы, ее средств, систем связи и передачи данных (ЗИС)

ЗИС.3
Обеспечение защиты персональных данных от раскрытия, модификации и навязывания (ввода ложной информации) при ее передаче (подготовке к передаче) по каналам связи, имеющим выход за пределы контролируемой зоны, в том числе беспроводным каналам связи

ЗИС.20
Защита беспроводных соединений, применяемых в информационной системе

XV. Управление конфигурацией информационной системы и системы защиты персональных данных (УКФ)

УКФ.1
Определение лиц, которым разрешены действия по внесению изменений в конфигурацию информационной системы и системы защиты персональных данных

УКФ.2
Управление изменениями конфигурации информационной системы и системы защиты персональных данных

УКФ.3
Анализ потенциального воздействия планируемых изменений в конфигурации информационной системы и системы защиты персональных данных на обеспечение защиты персональных данных и согласование изменений в конфигурации информационной системы с должностным лицом (работником), ответственным за обеспечение безопасности персональных данных

УКФ.4
Документирование информации (данных) об изменениях в конфигурации информационной системы и системы защиты персональных данных