8 Декабря, 2012

Таблицы по базовым мерам по ПДн (проект)

Andrey Prozorov
Анализируя базовый состав мер по обеспечению безопасности персональных данных для соответствующего уровня защищенности ПДн, обрабатываемых в информационной системе, понял, что им не очень удобно пользоваться, т.к. идет привязка к группам мер, а не уровням защищенности. Пришлось переделывать, итоговые таблицы привожу ниже.

Всего мер ФСТЭК России предлагает довольно много - 104. Из них 78 мер применяются в качестве базовых "для обеспечения безопасности персональных соответствующего уровня защищенности персональных данных". И 26 мер "применяются при адаптации базового набора мер, дополнения адаптированного базового набора мер, а также при разработке компенсирующих мер по обеспечению безопасности персональных данных соответствующего уровня защищенности".

Все меры разделены на группы:
  1. Обеспечение доверенной загрузки (ДЗГ)
  2. Идентификация и аутентификация субъектов доступа и объектов доступа (ИАФ)
  3. Управление доступом субъектов доступа к объектам доступа (УПД)
  4. Ограничение программной среды (ОПС)
  5. Защита машинных носителей информации (ЗНИ)
  6. Регистрация событий безопасности (РСБ)
  7. Обеспечение целостности информационной системы и информации (ОЦЛ)
  8. Защита среды виртуализации (ЗСВ)
  9. Защита технических средств (ЗТС)
  10. Защите информационной системы, ее средств и систем связи и передачи данных (ЗИС)
При этом для 4 уровня защищенности ПДн должны применяться 41 базовая мера, для 3 уровня - 46, для 2 уровня - 69, для 1 уровня - 78. Есть над чем подумать...


Про сам проект документа "Состав и содержание организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных" вы можете почитать в моей предыдущей заметке .



Итоговые (переделанные) таблицы можете скачать в PDF тут или в DOC тут .
Сокращенно, таблицы выглядят так:



1.


Номер и условное обозначение мерыМеры по обеспечению безопасности персональных данныхУровень защищенности персональных данных
4321
ИАФ.1Идентификация и аутентификация пользователей, процессов, иных субъектов доступа++++
ИАФ.3Управление идентификаторами++++
++++
ЗИС.28Защита внутренних и внешних беспроводных соединений, применяемых в информационной системе++++
42УПД.4Разделение обязанностей различных категорий пользователей и администраторов информационной системы +++
+++
46ЗИС.4Защита информационной системы от действий нарушителей, приводящих к затруднению или невозможности доступа пользователей к ресурсам этой информационной системы (защита от отказа в обслуживании) +++
47ИАФ.2Идентификация и аутентификация устройств (в том числе стационарных, мобильных и портативных), объектов файловой системы, запускаемых и исполняемых модулей, объектов систем управления базами данных, объектов, создаваемых прикладным программным обеспечением, иных объектов доступа ++
++
ЗИС.25Разбиение информационной системы на сегменты с учетом значимости обрабатываемой в них персональных данных и обеспечение защиты периметров сегментов информационной системы (сегментирование информационной системы) ++
70ДЗГ.1Блокировка доступа к ресурсам средств вычислительной техники +
+
78ЗИС.17Перевод (обеспечение возврата) информационной системы или ее устройств (компонентов) в заранее определенное состояние, обеспечивающее защиту персональных данных в случае возникновении отказов (сбоев) в системе защиты информации информационной системы +
2.


Номер и условное обозначение мерыМеры по обеспечению безопасности персональных данных
1ДЗГ.2Блокировка загрузки нештатной операционной системы или программного обеспечения, способного модифицировать загрузочную область штатной операционной системы, в том числе со съемных машинных носителей информации
26ЗИС.27Изоляция процессов (выполнение программ) в выделенной области памяти
или введите имя

CAPTCHA