Согласно [4] для надлежащей защиты информации, содержащейся в государственной информационной системе, проводятся следующие мероприятия:
? формирование требований к защите информации, содержащейся в информационной системе;
? разработка системы защиты информации информационной системы;
? внедрение системы защиты информации информационной системы;
? аттестация информационной системы по требованиям защиты информации (далее - аттестация информационной системы) и ввод ее в эксплуатацию;
? обеспечение защиты информации в ходе эксплуатации аттестованной информационной системы;
? обеспечение защиты информации при выводе из эксплуатации аттестованной информационной системы или после принятия решения об окончании обработки информации.
Исходя из [4] ИСПДн ТСП и Министерства соответствует второй класс защищённости.
Полный перечень необходимых организационных и технических мер по обеспечению безопасности ПДн при их обработке в ИСПДн должен быть создан в рамках вновь создаваемой системы защиты ПДн.
В соответствии с требованиями [4], необходимыми для второго класса защищенности, средства защиты ПДн в системе органов социальной защиты населения Московской области должна обеспечивать реализацию мероприятий по защите обрабатываемых данных в ИСПДн от несанкционированного доступа, включая:
? идентификацию и аутентификацию субъектов доступа и объектов доступа;
? управление доступом субъектов доступа к объектам доступа;
? ограничение программной среды;
? защиту машинных носителей информации;
? регистрацию событий безопасности;
? антивирусную защиту;
? обнаружение (предотвращение) вторжений;
? контроль (анализ) защищенности информации;
? обеспечение целостности информационной системы и информации;
? обеспечение доступности информации;
? защиту среды виртуализации;
? защиту технических средств;
? защиту информационной системы, ее средств, систем связи и передачи данных.
Подключение ИСПДн к информационно-телекоммуникационным сетям международного информационного обмена (в том числе Интернет) должно осуществляться в соответствии с [13].
При взаимодействии объектов ИСПДн безопасность ПДн должна дополнительно обеспечиваться следующими методами и способами:
? межсетевое экранирование с целью управления доступом, фильтрации сетевых пакетов и трансляции сетевых адресов для скрытия структуры ИСПДн;
? обнаружение вторжений в ИСПДн, нарушающих или создающих предпосылки к нарушению установленных требований по обеспечению безопасности персональных данных;
? анализ защищенности ИСПДн, предполагающий применение специализированных программных средств (сканеров безопасности);
? защита информации при ее передаче по каналам связи;
? использование средств антивирусной защиты;
? централизованное управление средствами защиты ИСПДн;
Проведение работ по защите информации без финансовых затрат предполагает выработку организационно-режимных мероприятий, документации, проведение периодических контрольных мероприятий, поддержание системы в работоспособном и актуальном состоянии.
Требуется разработка следующих организационно-методических документов:
1. Перечень информационных ресурсов, подлежащих защите, с назначением ответственных за ресурс;
2. Перечень защищаемых помещений;
3. План защиты автоматизированных систем;
4. Положение о разграничении прав доступа информационным ресурсам;
5. Положение об использовании сети Internet и электронной почты;
6. Положение о парольной защите;
7. Положение о резервном копировании;
8. Положение об антивирусном контроле;
9. Положение об использовании съемных носителях информации;
10. Положение об использовании переносных компьютеров;
11. Приказы о назначении ответственных лиц за антивирусный контроль, резервное копирование, предоставление доступа;
12. Памятка по защите информации для каждого сотрудника;
13. Пакет документов по защите ПДн;
14. Положение о порядке доступа к конфиденциальной информации;
? Требуется провести следующие организационно-режимные мероприятия:
? Составить поэтажные планы размещения персональных компьютеров, серверов, средств коммутации и связи, локальной вычислительной сети, системы видеонаблюдения с целью выявления недостатков в области защиты информации и выработки рекомендаций по их устранению.
? Ограничить доступ в серверную посторонних лиц, определив круг лиц, которые могут там находится и установив кодовый замок на помещение.
? Определить порядок именования рабочих станций и учетных записей пользователей, привязав их к расположению рабочей станции.
? Изменить тип учетных записей пользователей, понизив их с Администратора до Пользователя, в крайнем случае, до Опытного пользователя.
? Разграничить доступ к общим ресурсам на сервере на основе структуры организации, то есть свободный доступ к информации подразделения имеют лишь работники этого подразделения, а доступ работников других подразделений возможен только с согласия руководителя защищаемого подразделения.
? Изменить принцип организации парольной защиты – изменить тип пароля на сменяемый каждые 30 дней, возложить ответственность за сохранность секретности пароля на пользователя.
? Использование USB – устройств (флешки, съёмные диски, USB- модемы) и записываемых CD, DVD как самого вероятного способа вирусного заражения и хищения конфиденциальной информации следует ограничить до минимально необходимого уровня.
? Ограничить доступ к развлекательным сайтам сети Internet.
? Расположить мониторы и печатающие устройства таким образом, чтобы исключить несанкционированный доступ к отображаемой и печатаемой информации.
? Блокировать рабочую станцию при временном отсутствии на рабочем месте.
? Должностные инструкции работников организации дополнить пунктом об ответственности за соблюдение правил защиты информации.
? По мере составления организационно-методических документов по защите информации потребуется проведение дополнительных организационно-режимных мероприятий.
