После разработки технического задания следует разработать документ «Проектное решение на систему защиты персональных данных», в котором будут представлены основные технические решения, в том числе и выбор средств защиты, для обеспечения информационной безопасности.
Сертифицированные средства защиты отличаются большим разнообразием в связи с чем, сложно сделать правильный выбор. Следует принимать во внимание большое количество факторов, а именно: стойкость и функциональность средств защиты информации, соответствие требованиям руководящих документов по защите ресурсов информационных систем персональных данных, совместимость с операционными системами и прикладным ПО, подготовку персонала и многое другое. Кроме всего прочего, ни одно средство защиты информации не может обеспечить выполнение всех технических требований к защите автоматизированных систем, следовательно, следует учитывать и корректность совместного функционирования выбранных СЗИ.
При подборе средств защиты рассматривались производители и их продукты, удовлетворяющие требованиям к СЗПДн:
приказу ФСТЭК России от 6 декабря 2011 г. 683, утверждающий требования к системам обнаружения вторжений;
приказу ФСТЭК России от 20 марта 2012 г. 28, утверждающий требования к средствам антивирусной защиты;
выполнение условий предъявляемых к СЗПДн, оговоренных в техническом задании на создание СЗПДН ИСПДн ГКУЗ «ЯНОСДР»;
сертификат соответствия выданный серийному производству СЗИ;
Выбор СЗИ для каждой ИСПДн необходимо рассматривать отдельно, в зависимости от ее структуры.
Для ИСПДн помимо СЗИ от НСД требуется использование межсетевого экранирования, чтобы разделить ИСПДн от общей сети.
Для всех рекомендованных к приобретению СЗИ производится в обязательном порядке процедура оценки соответствия требованиям безопасности информации и гарантируется, что они позволяют нейтрализовать все актуальные угрозы, обнаруженные и описанные на этапе составления Частной модели угроз. В зависимости от типа и характеристик нейтрализуемых угроз безопасности персональных данных, к приобретению предлагаются различные варианты исполнения СЗИ: программные, аппаратные и программно-аппаратные комплексы.
Оптимальное решение в выборе средств защиты информации было принято после анализа требований к системе защиты персональных данных и представлено в таблице 4.
Таблица 4. Выбранные средства защиты информации.
|
Тип СЗИ. | Продукт. | Класс ИСПДн согласно действующему сертификату ФСТЭК России. | Применение для защиты ПДн в соответствии с новыми требованиями. | |
Средство защиты от несанкционированного доступа. | «Secret Net 6.5-A». | К3 и выше. | УЗ1, УЗ2, УЗ3. | |
Межсетевой экран, средство обнаружения вторжений и сертифицированный антивирус; | Security Studio Endpoint Protection: Personal Firewall, HIPS. | К3 и выше. | УЗ1, УЗ2, УЗ3. | |
Сканер сети. | XSpider 7.8. | К3 и выше. | УЗ1, УЗ2, УЗ3. | |
ОС со встроенными, сертифицированными по требованиям безопасности, средствами защиты информации. | Microsoft Windows XP Professional (XP_Check 3.0). | К3 и выше. | УЗ1, УЗ2, УЗ3. | |
|