Комплекс технических средств
Описание комплекса технических средств приведено в документе «Типовые проектные решения по созданию автоматизированной системы обмена информацией на основе Системы-112, обработки вызовов и управления мобильными бригадами скорой медицинской помощи, в том числе с использованием технологий системы ГЛОНАСС. Типовой технический проект на внедрение Системы-103 в субъектах РФ с учетом интеграции с Системой-112. Комплекс технических средств».
Решения по составу информации, объему, способам ее организации, видам машинных носителей, входным и выходным документам, и сообщениям, последовательности обработки информации и другим компонентам
Состав обрабатываемой в Системе информации приведен в разделе 1 документа «Типовые проектные решения по созданию автоматизированной системы обмена информацией на основе Системы-112, обработки вызовов и управления мобильными бригадами скорой медицинской помощи, в том числе с использованием технологий системы ГЛОНАСС. Типовой технический проект на внедрение Системы-103 в субъектах РФ с учетом интеграции с Системой-112. Схема информационного обмена».
Схема информационных потоков, реализованная в Системе приведена в разделе 2 документа «Типовые проектные решения по созданию автоматизированной системы обмена информацией на основе Системы-112, обработки вызовов и управления мобильными бригадами скорой медицинской помощи, в том числе с использованием технологий системы ГЛОНАСС. Типовой технический проект на внедрение Системы-103 в субъектах РФ с учетом интеграции с Системой-112. Схема информационного обмена».
Регламенты преобразования информации в Системе приведены в разделе 3 документа «Типовые проектные решения по созданию автоматизированной системы обмена информацией на основе Системы-112, обработки вызовов и управления мобильными бригадами скорой медицинской помощи, в том числе с использованием технологий системы ГЛОНАСС. Типовой технический проект на внедрение Системы-103 в субъектах РФ с учетом интеграции с Системой-112. Схема информационного обмена».
Описание информационного обеспечения приведено в документе «Унифицированное программное решение для обеспечения функции диспетчеризации санитарного автотранспорта. Описание информационного обеспечения системы».
Программное обеспечение системы
Описание программного обеспечения приведено в документе «Типовые проектные решения по созданию автоматизированной системы обмена информацией на основе Системы-112, обработки вызовов и управления мобильными бригадами скорой медицинской помощи, в том числе с использованием технологий системы ГЛОНАСС. Типовой технический проект на внедрение Системы-103 в субъектах РФ с учетом интеграции с Системой-112. Описание программного обеспечения системы».
Решения по обеспечению информационной безопасности Объекты защиты
Объектами защиты Контура обеспечения ИБ являются:
средства и системы информатизации Системы (СВТ, АС на базе СВТ, в том числе информационно-вычислительные комплексы, сети и системы, средства и системы связи и передачи данных, технические средства приема, передачи и обработки информации, программные средства (операционные системы, системы управления базами данных, другое общесистемное и прикладное программное обеспечение), средства защиты информации, используемые для обработки ПДн;
технические средства Системы, не обрабатывающие непосредственно ПДн, но размещенные в помещениях контролируемой зоны Системы;
защищаемые помещения в пределах контролируемой зоны Системы, в которых обрабатывается защищаемая информация Системы.
Информация, обрабатываемая в ИСПДн Системы, не содержит сведений, составляющих государственную тайну. В общем объеме информационных ресурсов содержатся сведения ограниченного доступа, составляющие персональные данные.
ИСПДн «Система» определена как информационная система, обрабатывающая иные категории персональных данных субъектов персональных данных, не являющихся сотрудниками оператора.
Для ИСПДн «Система. Федеральный уровень» необходимо обеспечить 2-й уровень защищенности персональных данных.
Для ИСПДн «Система. Региональный уровень» необходимо обеспечить 2-й уровень защищенности персональных данных.
Для ИСПДн «Система. Территориальный уровень» необходимо обеспечить 2-й уровень защищенности персональных данных.
Решения по КТС для КИБ Обоснование выбора КТС для КИБ
В ходе работ по проектированию КТС была проведена сравнительная оценка и выбор средств защиты информации. При выборе СрЗИ учитывались:
требования к производительности, масштабируемости и совместимости ресурсов;
экономическая целесообразность.
Средства защиты от НСД
Защита информации от НСД в рамках КИБ реализуется средствами защиты информации Dallas Lock.
СрЗИ Dallas lock включает в себя следующие функциональные компоненты:
Dallas lock – Клиент;
Dallas lock – Сервер безопасности;
Dallas lock – консоль сервера безопасности.
Клиент Dallas lock следит за соблюдением настроенной политики безопасности на рабочих станциях и серверах, обеспечивает регистрацию событий безопасности и передачу журналов на Сервер Безопасности, а также приём от него оперативных команд и их выполнение.
Сервер Безопасности производит сбор журналов от зарегистрированных на нем агентов, накапливает полученную информацию в базе данных и обеспечивает выдачу команд оперативного управления клиентам (например, блокировку рабочей станции при выявлении попытки НСД).
консоль сервера безопасности в режиме реального времени отображает оперативную информацию о происходящих событиях НСД, позволяет осуществлять просмотр журналов всех рабочих станций, а также выдавать на защищаемые рабочие станции команды оперативного управления.
консоль сервера безопасности является средством, которое отображает администратору оперативную информацию от Сервера Безопасности о состоянии рабочих станций и дает возможность отслеживать:
какие компьютеры сети в данный момент включены;
какие пользователи на них работают (как локально, так и в терминальном режиме).
В СрЗИ Dallas lock используются следующие механизмы по разграничению доступа:
разрешение/запрет работы субъекта доступа на рабочей станции или сервере ИСПДн (в том числе по времени);
задание сложности пароля пользователя и контроль регулярности его смены;
блокировка учетной записи пользователя при неудачных попытках входа;
блокировка сессии доступа к рабочей станции или серверу ИСПДн самим субъектом доступа или в случае истечения заданного интервала времени неактивности субъекта доступа;
ограничение права доступа пользователя к аппаратным средствам компьютера.
Средствами Dallas lock реализуется регистрация следующих событий безопасности:
входы (или попытки входов – с указанием причины отказа) и выходы пользователей ПК, включая как локальный, так и сетевые, в том числе, терминальный вход и вход для удаленного администрирования;
учет всех действий по изменению прав пользователей, созданию и удалению пользователей;
лог обращений к объектам файловой системы, для которых назначен аудит;
регистрация событий, связанных с распечаткой документов на локальных или удаленных принтерах;
все действия, изменяющие настройку параметров системы защиты;
события запуска и завершения процессов.
В СЗИ Dallas lock может использоваться механизм усиленной аутентификации с применением следующих персональных идентификаторов: USB-флэш-накопители, электронные ключи Touch Memory (iButton), USB-ключи Aladdin eToken Pro/Java, смарт-карты Aladdin eToken Pro/SC, USB-ключи Rutoken (Рутокен) и Rutoken ЭЦП.
Средства межсетевого экранирования
Средства межсетевого экранирования выполняют:
отделение сегментов внутренней ЛВС от сети Интернет, сокрытие топологии защищаемой сети путем статической и динамической трансляции сетевых адресов;
защиту выделенных сегментов, в том числе ИСПДн;
В качестве средств межсетевого экранирования используется оборудование компании StoneSoft - StoneGate Firewall/VPN. Это современное высокотехнологичное решение, совмещающее в себе функции межсетевого экрана и технологии организации виртуальных частных сетей со встроенной поддержкой высокой доступности.
В состав средств межсетевого экранирования входят следующие компоненты:
пользовательский интерфейс (Administration client), используемый администратором ИБ для управления СрЗИ;
система управления (сервер управления (Management Server), сервер журналирования (Log Server));
непосредственно модуль Firewall/VPN.
В случае применения распределенной архитектуры Системы на границах типовых объектов применяются:
На границе ЛВС ЦОД СМП устанавливаются устройства StoneGate FW-315.
На границе рЦОД устанавливаются устройства StoneGate FW-315 в кластерной конфигурации, обеспечивая единую отказоустойчивую среду для подключения внешних каналов связи. Межсетевые экраны работают в режиме отказоустойчивой пары (Active\Standby). В случае выхода одного из межсетевых экранов кластера из строя (или обрыва канала связи с сетью), задачи по обработке данных автоматически переводятся на работоспособный МЭ кластера.
На границе ЛВС фЦОД устанавливаются высокопроизводительные межсетевые экраны StoneGate FW-1302.
В случае применения централизованной архитектуры Системы на границах типовых объектов применяются:
На границе ЛВС фЦОД устанавливаются высокопроизводительные межсетевые экраны StoneGate FW-1302.
В результате сегментирования ЛВС Центрального офиса выделены следующие «зоны безопасности»:
Название зоны безопасности
|
Объекты
|
Серверный сегмент Системы
|
Серверы Системы
|
Сегмент администрирования вычислительной инфраструктуры
|
АРМы администраторов информационной безопасности и АРМы администраторов вычислительной инфраструктуры
|
Сегмент управления КИБ
|
Серверы управления средствами защиты информации
|
Пограничный сегмент
|
Пограничные средства сетевой безопасности (СКЗИ, МЭ, СОВ)
|
Сегмент управления ВИ
|
Серверы ESXi
|
Сегмент внешнего доступа
|
Доступ внешних пользователей к коммуникационному серверу внешнего доступа
|
На границе ЛВС каждого Филиала устанавливается одно устройство StoneGate FW-315.
Управление всеми межсетевыми экранами в рамках типового объекта выполняется централизованно через StoneGate Management Server. В целях обеспечения безопасности системы управления выполняется аутентификация и шифрование всех коммуникаций между компонентами системы с использованием SSL/TLS. Для этого используются цифровые сертификаты, изданные внутренним центром сертификации. Компоненты управления межсетевыми экранами устанавливаются на выделенные серверы, что позволяет обеспечить высокую производительность, отказоустойчивость и безопасность системы управления.
Средства антивирусной защиты
Для защиты ЛВС используется средство антивирусной защиты Kaspersky Endpoint Security.
Средство антивирусной защиты Kaspersky Endpoint Security включает в себя следующие функциональные компоненты:
Антивирусный сервер - обеспечивает централизованное администрирование антивирусной защиты сети предприятия, включая: развертывание, обновление вирусных баз и программных модулей компонентов, мониторинг состояния сети, извещения о вирусных событиях, сбор статистики.
Антивирусный агент - устанавливается на всех компьютерах защищаемой сети, включая антивирусный сервер, и обеспечивает: приём и передачу всей необходимой для функционирования антивирусной сети информации; правильное функционирование антивирусного комплекса на каждом компьютере; выполнение назначенных сервером и пользователем заданий на защищаемом компьютере; отсылает информацию о вирусных событиях и другую необходимую информацию антивирусному серверу.
Антивирусная консоль – визуальное средство удаленного управления антивирусной защитой сотен и тысяч клиентов через единый графический интерфейс.
Средство антивирусной защиты должно устанавливаться на все компьютеры ЛВС. В составе ЛВС необходима установка антивирусного сервера, содержащего обновления и централизованную систему управления политиками и настройками антивирусного приложения. При этом все сообщения выводятся на консоль, которая находится у администратора ИБ. С той же самой консоли также производится управление антивирусным комплексом.
Средства защиты виртуальной инфраструктуры
Для защиты информации от несанкционированного доступа в виртуальной инфраструктуре, развернутой с использованием VMware vSphere 5.1, внедряется программное СрЗИ vGate R2 версии 2.5 (далее – vGate), разработанный компанией «Код безопасности» (ГК «Информзащита»). СрЗИ vGate включает в себя следующие функциональные компоненты:
сервер авторизации;
резервный сервер авторизации;
агент аутентификации;
модули защиты ESX-сервера;
компонент защиты vCenter;
консоль управления;
средство просмотра отчетов;
служба развертывания vGate.
 
Компоненты «Сервер авторизации» устанавливаются на виртуальную машину без применения электронного замка «Соболь». Применение аппаратных модулей доверенной загрузки носит рекомендательный характер, поэтому данное решение не противоречит требованиям разработчика СрЗИ (см. документ «RU.88338853.501410.012 ТУ»).
Компоненты «Консоль управления» и «Средство просмотра отчетов» устанавливаются на сервер авторизации.
Службы AD и DNS запущены на котроллере домена. На контроллере домена устанавливается агент аутентификации для того, чтобы разрешить доступ сервисным службам в защищаемый периметр путем создания правила разрешения доступа по шаблону «Разрешить поиск DNS-имен».
Средства криптографической защиты
Защита информации передаваемой по открытым каналам связи обеспечивается криптографическими средствами, класс которых выбирается на основании документа «Модель угроз и действий вероятного нарушителя».
В случае применения распределенной архитектуры Системы на границах типовых объектов применяются:
В качестве шлюзов удаленного доступа к информационным ресурсам ЦОД СМП устанавливаются устройства StoneGate SSL VPN 1035 с лицензией, позволяющий организовывать одновременную работу до 50 удаленныз пользователей;
В качестве СКЗИ, используемых для шифрования трафика между объектами ЦОД СМП и рЦОД используются СКЗИ Stonesoft FW-315 (как со стороны ЦОД СМП, так и со стороны рЦОД).
В качестве СКЗИ, используемых для шифрования трафика между объектами рЦОД и фЦОД используются СКЗИ Stonesoft FW-315 в кластерной конфигурации (со стороны рЦОД) и СКЗИ Stonesoft FW-1302 в кластерной конфигурации (со стороны фЦОД).
В случае применения централизованной архитектуры Системы на границах типовых объектов применяются:
На границе ЛВС фЦОД устанавливаются высокопроизводительные СКЗИ Stonesoft SSL VPN 3202 в кластерной конфигурации, позволяющие организовать 15000 одновременных защищенных SSL-соединений, а с учетом кластерной конфигурации – 30000 одновременных SSL-соединений.
СКЗИ Stonegate FW/VPN удовлетворяет "Специальным требованиям к шифровальным (криптографическим) средствам, предназначенных для защиты информации, не содержащей сведений, составляющих государственную тайну, и эксплуатируемым на территории Российской Федерации" по уровню КС1 и КС2, что подтверждено cертификатом соответствия № СФ/124-2027 от 4 октября 2013, выдан Центром по лицензированию, сертификации и защите государственной тайны ФСБ России.
СКЗИ Stonesoft SSL VPN удовлетворяет "Специальным требованиям к шифровальным (криптографическим) средствам, предназначенных для защиты информации, не содержащей сведений, составляющих государственную тайну, и эксплуатируемым на территории Российской Федерации" по уровню КС1 и КС2, что подтверждено cертификатом соответствия № СФ/124-1803 от 27 марта 2012, выдан Центром по лицензированию, сертификации и защите государственной тайны ФСБ России.
Средства анализа защищенности
Анализ защищенности в рамках КИБ реализуется средством защиты информации – сканер уязвимостей XSpider 7.8.
СрЗИ XSpider 7.8 включает в себя следующие функциональные компоненты:
графический интерфейс пользователя;
база знаний, содержащая информацию о проверках и уязвимостях;
модуль управления;
сканирующее ядро.
Графический интерфейс пользователя предназначен для управления компонентами XSpider 7.8 через модуль управления. Графический интерфейс позволяет Администратору ИБ подключаться к компонентам XSpider 7.8, просматривать и изменять их конфигурацию, создавать и модифицировать задачи на проведение сканирований, просматривать информацию о ходе выполнения задач и результаты их выполнения.
База знаний предназначена для хранения информации о проверках и уязвимостях.
Модуль управления является центральным компонентом XSpider 7.8, осуществляющим управление остальными компонентами XSpider 7.8. Получая сведения о результатах сканирования, модуль управления осуществляет формирование отчетов о защищенности объектов сканирования.
Сканирующее ядро выполняет проверки, определенные в сценариях и задачах. Результаты сканирования передаются в модуль управления.
Функции, реализованные в КИБ Блок идентификация и аутентификация
Блок обеспечивает выполнение следующих основных функций:
идентификация и аутентификация пользователей, являющихся работниками оператора;
управление идентификаторами, в том числе создание, присвоение, уничтожение идентификаторов;
управление средствами аутентификации, в том числе хранение, выдача, инициализация, блокирование средств аутентификации и принятие мер в случае утраты и (или) компрометации средств аутентификации;
защита обратной связи при вводе аутентификационной информации;
идентификация и аутентификация пользователей, не являющихся работниками оператора (внешних пользователей).
Реализация функций идентификации и аутентификации на АРМ и серверах происходит с использованием СрЗИ защиты от НСД Dallas Lock версии 8K компании «Конфидент», а также организационных мероприятий, включающих в себя следующие организационно-распорядительные документы:
Положение по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных
Положение об организации пропускного режима и охране помещений;
Регламент реагирования на инциденты информационной безопасности в информационных системах персональных данных;
Инструкция администратора безопасности ИСПДн.
Блок управления доступом
Блок обеспечивает выполнение следующих основных функций:
управление (заведение, активация, блокирование и уничтожение) учетными записями пользователей, в том числе внешних пользователей;
реализация дискреционного метода разграничения доступа на уровне операционной системы для чтения, записи, выполнения;
управление (фильтрация, маршрутизация) информационными потоками между сегментами информационной системы, а также между информационными системами;
разделение полномочий (ролей) пользователей, администраторов и лиц, обеспечивающих функционирование информационной системы (на уровне встроенных средств защиты в прикладное программное обеспечение Системы);
назначение минимально необходимых прав и привилегий пользователям, администраторам и лицам, обеспечивающим функционирование информационной системы (на уровне встроенных средств защиты в прикладное программное обеспечение Системы);
ограничение неуспешных попыток входа в информационную систему (доступа к информационной системе) (на уровне встроенных средств защиты в прикладное программное обеспечение Системы и на уровне операционной системы);
блокирование сеанса доступа в информационную систему после установленного времени бездействия (неактивности) пользователя или по его запросу (на уровне встроенных средств защиты в прикладное программное обеспечение Системы и на уровне операционной системы);
разрешение (запрет) действий пользователей, разрешенных до идентификации и аутентификации (на уровне встроенных средств защиты в прикладное программное обеспечение Системы и на уровне операционной системы);
регламентация и контроль использования в информационной системе технологий беспроводного доступа;
регламентация и контроль использования в информационной системе мобильных технических средств;
управление взаимодействием с информационными системами сторонних организаций (внешние информационные системы).
Реализация функций управления доступом на АРМ и серверах происходит с использованием СрЗИ защиты от НСД Dallas Lock версии 8K компании «Конфидент».
Реализация функций управления доступом на уровне прикладного программного обеспечения происходит с использованием встроенных средств защиты самого прикладного программного обеспечения.
Для обеспечения выполнения функций управления доступом на сетевом уровне используются средства межсетевого экранирования компании «StoneSoft».
Организационные мероприятия, реализующие функции управления доступом, включают в себя следующие организационно-распорядительные документы:
Положение по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных;
Регламент обмена с третьими лицами персональными данными;
Инструкция администратора безопасности ИСПДн.
Блок регистрации
Блок обеспечивает выполнение следующих основных функций:
определение событий безопасности, подлежащих регистрации, и сроков их хранения;
определение состава и содержания информации о событиях безопасности, подлежащих регистрации;
сбор, запись и хранение информации о событиях безопасности в течение установленного времени хранения;
защита информации о событиях безопасности.
Данный блок строится с использованием встроенных механизмов регистрации событий безопасности всех СрЗИ, входящих в состав КИБ:
средства защиты от НСД (журнал событий сервера безопасности Dallas Lock);
средства межсетевого экранирования (компонент log-сервер системы управления Stonesoft SMC);
средства антивирусной защиты (журнал событий системы управления Kaspersky security center);
средства защиты виртуальной инфраструктуры (журнал событий сервера авторизации vGate);
средства криптографической защиты (компонент log-сервер системы управления Stonesoft SMC);
средства анализа защищенности (журнал событий xSpider).
А также организационных мероприятий, включающих в себя следующие организационно-распорядительные документы:
Положение по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных;
Инструкция администратора безопасности ИСПДн;
Регламент резервного копирования;
Регламент работы с машинными носителями информации.
Блок антивирусной защиты
Блок обеспечивает выполнение следующих основных функций:
реализация антивирусной защиты;
обновление базы данных признаков вредоносных компьютерных программ (вирусов).
Блок строится на основе средств антивирусной защиты и является полностью интегрированной, централизованно управляемой с АРМ администратора.
Блок защиты среды виртуализации
Блок обеспечивает выполнение следующих основных функций:
идентификация и аутентификация субъектов доступа и объектов доступа в виртуальной инфраструктуре, в том числе администраторов управления средствами виртуализации;
управление доступом субъектов доступа к объектам доступа в виртуальной инфраструктуре, в том числе внутри виртуальных машин;
регистрация событий безопасности в виртуальной инфраструктуре;
реализация и управление антивирусной защитой в виртуальной инфраструктуре.
Реализация функций на уровне виртуальной инфраструктуры (развернутой с использованием VMware vSphere 5.1) по идентификации и аутентификации субъектов доступа и объектов доступа, управлению доступом субъектов доступа к объектам доступа, регистрация событий безопасности происходит с использованием средства защиты виртуальной инфраструктуры vGate R2 версии 2.5 компании «Код безопасности».
Реализация функций антивирусной защиты на уровне виртуальной инфраструктуры происходит с использованием средств антивирусной защиты программное изделие Kaspersky Endpoint Security 8 для Linux 643.46856491.00054 - на соответствие ТУ и 2 уровню РД НДВ (может использоваться в ИСПДН до 1 класса), сертификат ФСТЭК России № 2485, выдан 18.11.2011, под управлением системы управления Kaspersy securitu center.
Блок защиты передачи данных
Блок обеспечивает выполнение следующих основных функций:
обеспечение защиты персональных данных от раскрытия, модификации и навязывания (ввода ложной информации) при их передаче (подготовке к передаче) по каналам связи, имеющим выход за пределы контролируемой зоны, в том числе беспроводным каналам связи посредством криптографического преобразование информации;
реализация защищенного удаленного доступа мобильных пользователей бригад СМП, операторов СМП к объектам доступа через внешние информационно-телекоммуникационные сети;
поддерживание непрерывности процессов протоколирования работы СКЗИ и обеспечение целостности программного обеспечения для среды функционирования СКЗИ.
Данный блок строится на средствах криптографической защиты каналов связи с применением ПАК компании «StoneSoft».
Блок контроля (анализа) защищенности
Блок обеспечивает выполнение следующих основных функций:
выявление, анализ уязвимостей информационной системы и оперативное устранение вновь выявленных уязвимостей;
контроль установки обновлений программного обеспечения, включая обновление программного обеспечения средств защиты информации;
контроль работоспособности, параметров настройки и правильности функционирования программного обеспечения и средств защиты информации;
контроль состава технических средств, программного обеспечения и средств защиты информации.
Данный блок строится с использованием средств анализа защищенности, а также организационных мероприятий, включающих в себя следующие организационно-распорядительные документы:
Положение по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных;
Инструкция администратора безопасности ИСПДн.
Блок защиты машинных носителей информации
Блок обеспечивает выполнение следующих основных функций:
уничтожение (стирание) или обезличивание персональных данных на машинных носителях при их передаче между пользователями, в сторонние организации для ремонта или утилизации, а также контроль уничтожения (стирания) или обезличивания.
Реализация функций по защите машинных носителей информации происходит с использованием организационных мероприятий, включающих в себя следующие организационно-распорядительные документы:
Регламент обмена с третьими лицами персональными данными;
Инструкция администратора безопасности ИСПДн.
Блок защиты технических средств
Блок обеспечивает выполнение следующих основных функций:
контроль и управление физическим доступом к техническим средствам, средствам защиты информации, средствам обеспечения функционирования, а также в помещения и сооружения, в которых они установлены, исключающие несанкционированный физический доступ к средствам обработки информации, средствам защиты информации и средствам обеспечения функционирования информационной системы, в помещения и сооружения, в которых они установлены;
размещение устройств вывода (отображения) информации, исключающее ее несанкционированный просмотр.
Данный блок строится на основе действующих технических мер, обеспечивающих физическую защиту помещений и средств обработки информации с помощью сил охраны и технических средств, предотвращающих несанкционированное проникновение в помещение посторонних лиц (средства охранной сигнализации, видеонаблюдения), а также с использованием организационных мероприятий, включающих в себя следующие организационно-распорядительные документы:
Положение об организации пропускного режима и охране помещений;
Регламент допуска работников к обработке персональных данных;
Инструкция пользователя информационных систем персональных данных.
Блок управления конфигурацией ИСПДн и КИБ
Блок обеспечивает выполнение следующих основных функций:
определение лиц, которым разрешены действия по внесению изменений в конфигурацию информационной системы и системы защиты персональных данных;
управление изменениями конфигурации информационной системы и системы защиты персональных данных;
анализ потенциального воздействия планируемых изменений в конфигурации информационной системы и системы защиты персональных данных на обеспечение защиты персональных данных и согласование изменений в конфигурации информационной системы с должностным лицом (работником), ответственным за обеспечение безопасности персональных данных;
документирование информации (данных) об изменениях в конфигурации информационной системы и системы защиты персональных данных.
Реализация функций управления конфигурацией ИСПДн и КИБ происходит с использованием организационных мероприятий, включающих в себя следующие организационно-распорядительные документы:
Положение по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных;
Инструкция администратора безопасности ИСПДн.
Диагностирование работы КИБ
Диагностирование работы КИБ осуществляется в автоматическом режиме программными средствами, входящими в состав блоков КИБ, реализованных техническими средствами.
Блок КИБ
|
Средства диагностирования
|
Идентификации и аутентификации
Управления доступом
Регистрации
|
Сервер безопасности Dallas Lock 8.0-K
|
Управления доступом (на сетевом уровне)
Защиты передачи данных
|
Консоль StoneGate Management Server
|
Антивирусной защиты
|
Kaspersky Security Center
|
Защиты среды виртуализации
|
Консоль управления vGate, средство просмотра отчетов vGate
|
Анализа защищенности
|
Консоль управления xSpider
|
|
