вторник, 18 июня 2013 г.

21 Приказ ФСТЭК: что делать оператору персональных данных

Добрый вечер, дорогие читатели! О 21 Приказе ФСТЭК я уже кратко писала здесь, затем приводила базовые наборы мер защиты:

  1. Базовый набор мер защиты для 1го уровня защищенности.
  1. Базовый набор мер защиты для 2го уровня защищенности.
  1. Базовый набор мер защиты для 3го уровня защищенности.
  1. Базовый набор мер защиты для 4го уровня защищенности.

Теперь хочу рассказать Вам об этапах работы по выбору защитных мер. Существует 5 этапов:
Этап 1. Определяем базовый набор мер защиты. 
Этап 2. Адаптируем базовый набор мер под свою систему с учетом особенностей ее функционирования.
Этап 3. Уточняем список мер с учетом не выбранных ранее мер для нейтрализации актуальных угроз. 
Этап 4. Добавляем меры, обеспечивающие выполнение требований к защите персональных данных, установленных иными нормативными правовыми актами.
Этап 5 (необязательный). Выбираем компенсирующие меры. 
Подробнее об этих этапах работы Вы можете прочитать здесь. Публикация на портале sec.ru находится в открытом доступе, читайте, оставляйте свои комментарии, буду рада, если статья окажется Вам полезной!


пятница, 7 июня 2013 г.

Базовый набор мер для 4 уровня защищенности

Условное обозначение и номер меры
Содержание мер по обеспечению безопасности персональных данных
I. Идентификация и аутентификация субъектов доступа и объектов доступа (ИАФ)

ИАФ.1
Идентификация и аутентификация пользователей, являющихся работниками оператора

ИАФ.З
Управление идентификаторами, в том числе создание, присвоение, уничтожение идентификаторов

ИАФ.4
Управление средствами аутентификации, в том числе хранение, выдача, инициализация, блокирование средств аутентификации и принятие мер в случае утраты и (или) компрометации средств аутентификации

ИАФ.5
Защита обратной связи при вводе аутентификационной информации

ИАФ.6
Идентификация и аутентификация пользователей, не являющихся работниками оператора (внешних пользователей)

II. Управление доступом субъектов доступа к объектам доступа (УПД)

УПД.1
Управление (заведение, активация, блокирование и уничтожение) учетными записями пользователей, в   том числе внешних пользователей

УПД.2
Реализация необходимых методов (дискреционный, мандатный, ролевой или иной метод), типов (чтение, запись, выполнение или иной тип) и правил разграничения доступа

УПД.З
Управление (фильтрация, маршрутизация, контроль соединений, однонаправленная передача и иные способы управления) информационными потоками между устройствами, сегментами информационной системы, а также между информационными системами

УПД.4
Разделение полномочий (ролей) пользователей, администраторов и лиц, обеспечивающих функционирование информационной системы

УПД.5
Назначение минимально необходимых прав и привилегий пользователям, администраторам и лицам, обеспечивающим функционирование информационной системы

УПД.6
Ограничение неуспешных попыток входа в информационную систему (доступа к информационной системе)

УПД.13
Реализация защищенного удаленного доступа субъектов доступа к объектам доступа через внешние информационно-телекоммуникационные сети

УПД.14
Регламентация и контроль использования в информационной системе технологий беспроводного доступа

УПД.15
Регламентация и контроль использования в информационной системе мобильных технических средств

УПД.16
Управление взаимодействием с информационными системами сторонних организаций (внешние информационные системы)

V. Регистрация событий безопасности (РСБ)

РСБ.1
Определение событий безопасности, подлежащих регистрации, и сроков их хранения

РСБ.2
Определение состава и содержания информации о событиях безопасности, подлежащих регистрации

РСБ.З
Сбор, запись и хранение информации о событиях безопасности в течение установленного времени хранения

РСБ. 7
Защита информации о событиях безопасности

VI. Антивирусная защита (АВЗ)

АВ3.1
Реализация антивирусной защиты

АВ3.2
Обновление базы данных признаков вредоносных компьютерных программ (вирусов)

VIII. Контроль (анализ) защищенности персональных данных (АНЗ)

АНЗ.2
Контроль установки обновлений программного обеспечения, включая обновление программного обеспечения средств защиты информации

XI. Защита среды виртуализации (ЗСВ)

ЗСВ.1
Идентификация и аутентификация субъектов доступа и объектов доступа в виртуальной инфраструктуре, в том числе администраторов управления средствами виртуализации

ЗСВ.2
Управление доступом субъектов доступа к объектам доступа в виртуальной инфраструктуре, в том числе внутри виртуальных машин
XII. Защита технических средств (ЗТС)

ЗТС.3
Контроль и управление физическим доступом к техническим средствам, средствам защиты информации, средствам обеспечения функционирования, а также в помещения и сооружения, в которых они установлены, исключающие несанкционированный физический доступ к средствам обработки информации, средствам защиты информации и средствам обеспечения функционирования информационной системы, в помещения и сооружения, в которых они установлены

ЗТС.4
Размещение устройств вывода (отображения) информации, исключающее ее несанкционированный просмотр

XIII. Защита информационной системы, ее средств, систем связи и передачи данных (ЗИС)

ЗИС.3
Обеспечение защиты персональных данных от раскрытия, модификации и навязывания (ввода ложной информации) при ее передаче (подготовке к передаче) по каналам связи, имеющим выход за пределы контролируемой зоны, в том числе беспроводным каналам связи

Базовый набор мер для 3 уровня защищенности

Условное обозначение и номер меры
Содержание мер по обеспечению безопасности персональных данных
I. Идентификация и аутентификация субъектов доступа и объектов доступа (ИАФ)

ИАФ.1
Идентификация и аутентификация пользователей, являющихся работниками оператора

ИАФ.З
Управление идентификаторами, в том числе создание, присвоение, уничтожение идентификаторов

ИАФ.4
Управление средствами аутентификации, в том числе хранение, выдача, инициализация, блокирование средств аутентификации и принятие мер в случае утраты и (или) компрометации средств аутентификации

ИАФ.5
Защита обратной связи при вводе аутентификационной информации

ИАФ.6
Идентификация и аутентификация пользователей, не являющихся работниками оператора (внешних пользователей)

II. Управление доступом субъектов доступа к объектам доступа (УПД)
УПД.1
Управление (заведение, активация, блокирование и уничтожение) учетными записями пользователей, в   том числе внешних пользователей

УПД.2
Реализация необходимых методов (дискреционный, мандатный, ролевой или иной метод), типов (чтение, запись, выполнение или иной тип) и правил разграничения доступа

УПД.З
Управление (фильтрация, маршрутизация, контроль соединений, однонаправленная передача и иные способы управления) информационными потоками между устройствами, сегментами информационной системы, а также между информационными системами

УПД.4
Разделение полномочий (ролей) пользователей, администраторов и лиц, обеспечивающих функционирование информационной системы

УПД.5
Назначение минимально необходимых прав и привилегий пользователям, администраторам и лицам, обеспечивающим функционирование информационной системы

УПД.6
Ограничение неуспешных попыток входа в информационную систему (доступа к информационной системе)

УПД.10
Блокирование сеанса доступа в информационную систему после установленного времени бездействия (неактивности) пользователя или по его запросу

УПД.11
Разрешение (запрет) действий пользователей, разрешенных до идентификации и аутентификации

УПД.13
Реализация защищенного удаленного доступа субъектов доступа к объектам доступа через внешние информационно-телекоммуникационные сети

УПД.14
Регламентация и контроль использования в информационной системе технологий беспроводного доступа

УПД.15
Регламентация и контроль использования в информационной системе мобильных технических средств

УПД.16
Управление взаимодействием с информационными системами сторонних организаций (внешние информационные системы)

IV. Защита машинных носителей персональных данных (ЗНИ)

ЗНИ.8
Уничтожение (стирание) или обезличивание персональных данных на машинных носителях при их передаче между пользователями, в сторонние организации для ремонта или утилизации, а также контроль уничтожения (стирания) или обезличивания

V. Регистрация событий безопасности (РСБ)

РСБ.1
Определение событий безопасности, подлежащих регистрации, и сроков их хранения

РСБ.2
Определение состава и содержания информации о событиях безопасности, подлежащих регистрации

РСБ.З
Сбор, запись и хранение информации о событиях безопасности в течение установленного времени хранения

РСБ. 7
Защита информации о событиях безопасности

VI. Антивирусная защита (АВЗ)

АВ3.1
Реализация антивирусной защиты

АВ3.2
Обновление базы данных признаков вредоносных компьютерных программ (вирусов)

VIII. Контроль (анализ) защищенности персональных данных (АНЗ)

АНЗ.1
Выявление, анализ уязвимостей информационной системы и оперативное устранение вновь выявленных уязвимостей

АНЗ.2
Контроль установки обновлений программного обеспечения, включая обновление программного обеспечения средств защиты информации

АНЗ.3
Контроль работоспособности, параметров настройки и правильности функционирования программного обеспечения и средств защиты информации

АНЗ.4
Контроль состава технических средств, программного обеспечения и средств защиты информации

XI. Защита среды виртуализации (ЗСВ)

ЗСВ.1
Идентификация и аутентификация субъектов доступа и объектов доступа в виртуальной инфраструктуре, в том числе администраторов управления средствами виртуализации

ЗСВ.2
Управление доступом субъектов доступа к объектам доступа в виртуальной инфраструктуре, в том числе внутри виртуальных машин

ЗСВ.3
Регистрация событий безопасности в виртуальной инфраструктуре

ЗСВ.9
Реализация и управление антивирусной защитой в виртуальной инфраструктуре

ЗСВ.10
Разбиение виртуальной инфраструктуры на сегменты (сегментирование виртуальной инфраструктуры) для обработки персональных данных отдельным пользователем и (или) группой пользователей

XII. Защита технических средств (ЗТС)

ЗТС.3
Контроль и управление физическим доступом к техническим средствам, средствам защиты информации, средствам обеспечения функционирования, а также в помещения и сооружения, в которых они установлены, исключающие несанкционированный физический доступ к средствам обработки информации, средствам защиты информации и средствам обеспечения функционирования информационной системы, в помещения и сооружения, в которых они установлены

ЗТС.4
Размещение устройств вывода (отображения) информации, исключающее ее несанкционированный просмотр

XIII. Защита информационной системы, ее средств, систем связи и передачи данных (ЗИС)

ЗИС.3
Обеспечение защиты персональных данных от раскрытия, модификации и навязывания (ввода ложной информации) при ее передаче (подготовке к передаче) по каналам связи, имеющим выход за пределы контролируемой зоны, в том числе беспроводным каналам связи

ЗИС.20
Защита беспроводных соединений, применяемых в информационной системе

XV. Управление конфигурацией информационной системы и системы защиты персональных данных (УКФ)

УКФ.1
Определение лиц, которым разрешены действия по внесению изменений в конфигурацию информационной системы и системы защиты персональных данных

УКФ.2
Управление изменениями конфигурации информационной системы и системы защиты персональных данных

УКФ.3
Анализ потенциального воздействия планируемых изменений в конфигурации информационной системы и системы защиты персональных данных на обеспечение защиты персональных данных и согласование изменений в конфигурации информационной системы с должностным лицом (работником), ответственным за обеспечение безопасности персональных данных

УКФ.4
Документирование информации (данных) об изменениях в конфигурации информационной системы и системы защиты персональных данных

Базовый набор мер для 2 уровня защищенности


Условное обозначение и номер меры
Содержание мер по обеспечению безопасности персональных данных
I. Идентификация и аутентификация субъектов доступа и объектов доступа (ИАФ)

ИАФ.1
Идентификация и аутентификация пользователей, являющихся работниками оператора

ИАФ.2
Идентификация и аутентификация устройств, в том числе стационарных, мобильных и портативных

ИАФ.З
Управление идентификаторами, в том числе создание, присвоение, уничтожение идентификаторов

ИАФ.4
Управление средствами аутентификации, в том числе хранение, выдача, инициализация, блокирование средств аутентификации и принятие мер в случае утраты и (или) компрометации средств аутентификации

ИАФ.5
Защита обратной связи при вводе аутентификационной информации

ИАФ.6
Идентификация и аутентификация пользователей, не являющихся работниками оператора (внешних пользователей)

II. Управление доступом субъектов доступа к объектам доступа (УПД)

УПД.1
Управление (заведение, активация, блокирование и уничтожение) учетными записями пользователей, в   том числе внешних пользователей

УПД.2
Реализация необходимых методов (дискреционный, мандатный, ролевой или иной метод), типов (чтение, запись, выполнение или иной тип) и правил разграничения доступа

УПД.З
Управление (фильтрация, маршрутизация, контроль соединений, однонаправленная передача и иные способы управления) информационными потоками между устройствами, сегментами информационной системы, а также между информационными системами

УПД.4
Разделение полномочий (ролей) пользователей, администраторов и лиц, обеспечивающих функционирование информационной системы

УПД.5
Назначение минимально необходимых прав и привилегий пользователям, администраторам и лицам, обеспечивающим функционирование информационной системы

УПД.6
Ограничение неуспешных попыток входа в информационную систему (доступа к информационной системе)

УПД.10
Блокирование сеанса доступа в информационную систему после установленного времени бездействия (неактивности) пользователя или по его запросу

УПД.11
Разрешение (запрет) действий пользователей, разрешенных до идентификации и аутентификации

УПД.13
Реализация защищенного удаленного доступа субъектов доступа к объектам доступа через внешние информационно-телекоммуникационные сети

УПД.14
Регламентация и контроль использования в информационной системе технологий беспроводного доступа

УПД.15
Регламентация и контроль использования в информационной системе мобильных технических средств

УПД.16
Управление взаимодействием с информационными системами сторонних организаций (внешние информационные системы)

УПД.17
Обеспечение доверенной загрузки средств вычислительной техники

III. Ограничение программной среды (ОПС)

ОПС.2
Управление установкой (инсталляцией) компонентов программного обеспечения, в том числе определение компонентов, подлежащих установке, настройка параметров установки компонентов, контроль за установкой компонентов программного обеспечения

IV. Защита машинных носителей персональных данных (ЗНИ)

ЗНИ.1
Учет машинных носителей персональных данных

ЗНИ. 2
Управление доступом к машинным носителям персональных данных

ЗНИ.8
Уничтожение (стирание) или обезличивание персональных данных на машинных носителях при их передаче между пользователями, в сторонние организации для ремонта или утилизации, а также контроль уничтожения (стирания) или обезличивания

V. Регистрация событий безопасности (РСБ)

РСБ.1
Определение событий безопасности, подлежащих регистрации, и сроков их хранения

РСБ.2
Определение состава и содержания информации о событиях безопасности, подлежащих регистрации

РСБ.З
Сбор, запись и хранение информации о событиях безопасности в течение установленного времени хранения

РСБ.5
Мониторинг (просмотр, анализ) результатов регистрации событий безопасности и реагирование на них

РСБ. 7
Защита информации о событиях безопасности

VI. Антивирусная защита (АВЗ)

АВ3.1
Реализация антивирусной защиты

АВ3.2
Обновление базы данных признаков вредоносных компьютерных программ (вирусов)

VII. Обнаружение вторжений (СОВ)

COB.l
Обнаружение вторжений

COB.2
Обновление базы решающих правил

VIII. Контроль (анализ) защищенности персональных данных (АНЗ)

АНЗ.1
Выявление, анализ уязвимостей информационной системы и оперативное устранение вновь выявленных уязвимостей

АНЗ.2
Контроль установки обновлений программного обеспечения, включая обновление программного обеспечения средств защиты информации

АНЗ.3
Контроль работоспособности, параметров настройки и правильности функционирования программного обеспечения и средств защиты информации

АНЗ.4
Контроль состава технических средств, программного обеспечения и средств защиты информации

АНЗ.5
Контроль правил генерации и смены паролей пользователей, заведения и удаления учетных записей пользователей, реализации правил разграничения доступа, полномочий пользователей в информационной системе

IХ.Обеспечение целостности информационной системы и персональных данных (ОЦЛ)

ОЦЛ.1
Контроль целостности программного обеспечения, включая программное обеспечение средств защиты информации

ОЦЛ.4
Обнаружение и реагирование на поступление в информационную систему незапрашиваемых электронных сообщений (писем, документов) и иной информации, не относящихся к функционированию информационной системы (защита от спама)

X. Обеспечение доступности персональных данных (ОДТ)

ОДТ.4
Периодическое резервное копирование персональных данных на резервные машинные носители персональных данных

ОДТ. 5
Обеспечение возможности восстановления персональных данных с резервных машинных носителей персональных данных (резервных копий) в течение установленного временного интервала

XI. Защита среды виртуализации (ЗСВ)

ЗСВ.1
Идентификация и аутентификация субъектов доступа и объектов доступа в виртуальной инфраструктуре, в том числе администраторов управления средствами виртуализации

ЗСВ.2
Управление доступом субъектов доступа к объектам доступа в виртуальной инфраструктуре, в том числе внутри виртуальных машин

ЗСВ.3
Регистрация событий безопасности в виртуальной инфраструктуре

ЗСВ.6
Управление перемещением виртуальных машин (контейнеров) и обрабатываемых на них данных

ЗСВ.7
Контроль целостности виртуальной инфраструктуры и ее конфигураций

ЗСВ. 8
Резервное копирование данных, резервирование технических средств, программного обеспечения виртуальной инфраструктуры, а также каналов связи внутри виртуальной инфраструктуры

ЗСВ.9
Реализация и управление антивирусной защитой в виртуальной инфраструктуре

ЗСВ.10
Разбиение виртуальной инфраструктуры на сегменты (сегментирование виртуальной инфраструктуры) для обработки персональных данных отдельным пользователем и (или) группой пользователей

XII. Защита технических средств (ЗТС)

ЗТС.3
Контроль и управление физическим доступом к техническим средствам, средствам защиты информации, средствам обеспечения функционирования, а также в помещения и сооружения, в которых они установлены, исключающие несанкционированный физический доступ к средствам обработки информации, средствам защиты информации и средствам обеспечения функционирования информационной системы, в помещения и сооружения, в которых они установлены

ЗТС.4
Размещение устройств вывода (отображения) информации, исключающее ее несанкционированный просмотр

XIII. Защита информационной системы, ее средств, систем связи и передачи данных (ЗИС)

ЗИС.3
Обеспечение защиты персональных данных от раскрытия, модификации и навязывания (ввода ложной информации) при ее передаче (подготовке к передаче) по каналам связи, имеющим выход за пределы контролируемой зоны, в том числе беспроводным каналам связи

ЗИС.11
Обеспечение подлинности сетевых соединений (сеансов взаимодействия), в том числе для защиты от подмены сетевых устройств и сервисов

ЗИС.15
Защита архивных файлов, параметров настройки средств защиты информации и программного обеспечения и иных данных, не подлежащих изменению в процессе обработки персональных данных

ЗИС.17
Разбиение информационной системы на сегменты (сегментирование информационной системы) и обеспечение защиты периметров сегментов информационной системы

ЗИС.20
Защита беспроводных соединений, применяемых в информационной системе

XIV. Выявление инцидентов и реагирование на них (ИНЦ)

ИНЦ.1
Определение лиц, ответственных за выявление инцидентов и реагирование на них

ИНЦ.2
Обнаружение, идентификация и регистрация инцидентов

ИНЦ.3
Своевременное информирование лиц, ответственных за выявление инцидентов и реагирование на них, о возникновении инцидентов в информационной системе пользователями и администраторами

ИНЦ.4
Анализ инцидентов, в том числе определение источников и причин возникновения инцидентов, а также оценка их последствий

ИНЦ. 5
Принятие мер по устранению последствий инцидентов

ИНЦ. 6
Планирование и принятие мер по предотвращению повторного возникновения инцидентов

XV. Управление конфигурацией информационной системы и системы защиты персональных данных (УКФ)

УКФ.1
Определение лиц, которым разрешены действия по внесению изменений в конфигурацию информационной системы и системы защиты персональных данных

УКФ.2
Управление изменениями конфигурации информационной системы и системы защиты персональных данных

УКФ.3
Анализ потенциального воздействия планируемых изменений в конфигурации информационной системы и системы защиты персональных данных на обеспечение защиты персональных данных и согласование изменений в конфигурации информационной системы с должностным лицом (работником), ответственным за обеспечение безопасности персональных данных

УКФ.4
Документирование информации (данных) об изменениях в конфигурации информационной системы и системы защиты персональных данных