Обеспечение информационной безопасности государственных и муниципальных информационных систем Докладчик: заместитель директора бюджетного учреждения в сфере информационных технологий Вологодской области «Центр информационных технологий» Сулоев Юрий Геннадьевич
Документе устанавливаются требования к обеспечению защиты информации в государственных информационных системах 1. Требования о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах (утвержденные приказом ФСТЭК России от 11 февраля 2013 г. 17, зарегистрирован Минюстом России 31 мая 2013 г., рег ). В документе устанавливаются требования к обеспечению защиты информации ограниченного доступа, не содержащей сведения, составляющие государственную тайну, от утечки по техническим каналам, несанкционированного доступа, специальных воздействий на такую информацию в целях ее добывания, уничтожения, искажения или блокирования доступа к ней при обработке указанной информации в государственных информационных системах. 2. Информационное сообщение опубликованное ФСТЭК России 15 июля 2013 г. 3. Методический документ «Меры защиты информации в государственных информационных системах» утвержден ФСТЭК России 11 февраля 2014 г. Методический документ детализирует организационные и технические меры защиты информации, принимаемые в государственных информационных системах в соответствии с «Требованиями о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах», утвержденными приказом ФСТЭК России от 11 февраля 2013 г. 17.
1. В документе устанавливаются требования к обеспечению защиты информации ограниченного доступа, не содержащей сведения, составляющие государственную тайну, от утечки по техническим каналам, несанкционированного доступа, специальных воздействий на такую информацию в целях ее добывания, уничтожения, искажения или блокирования доступа к ней при обработке указанной информации в государственных информационных системах. 3. Настоящие Требования являются обязательными при обработке информации в государственных информационных системах, функционирующих на территории Российской Федерации, а также в муниципальных информационных системах, если иное не установлено законодательством Российской Федерации о местном самоуправлении. 5. При обработке в государственной информационной системе информации, содержащей персональные данные, настоящие Требования применяются наряду с требованиями к защите персональных данных при их обработке в информационных системах персональных данных, утвержденных постановлением Правительства Российской Федерации от 1 ноября 2012 г. N 1119 (Собрание законодательства Российской Федерации, 2012, N 45, ст. 6257). Требования о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах утвержденные приказом ФСТЭК России от 11 февраля 2013 г.
8. В информационной системе объектами защиты являются информация, содержащаяся в информационной системе, технические средства (в том числе средства вычислительной техники, машинные носители информации, средства и системы связи и передачи данных, технические средства обработки буквенно- цифровой, графической, видео- и речевой информации), общесистемное, прикладное, специальное программное обеспечение, информационные технологии, а также средства защиты информации. 9. Для обеспечения защиты информации, содержащейся в информационной системе, оператором назначается структурное подразделение или должностное лицо (работник), ответственные за защиту информации. 10. Для проведения работ по защите информации в ходе создания и эксплуатации информационной системы обладателем информации (заказчиком) и оператором в соответствии с законодательством Российской Федерации при необходимости привлекаются организации, имеющие лицензию на деятельность по технической защите конфиденциальной информации. 11. Для обеспечения защиты информации, содержащейся в информационной системе, применяются средства защиты информации, прошедшие оценку соответствия в форме обязательной сертификации на соответствие требованиям по безопасности информации. Требования о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах утвержденные приказом ФСТЭК России от 11 февраля 2013 г.
Выбор мер защиты информации для их реализации в информационной системе осуществляется в ходе проектирования системы защиты информации информационной системы в соответствии с техническим заданием на создание информационной системы и (или) техническим заданием (частным техническим заданием) на создание системы защиты информации информационной системы. Выбор мер защиты информации осуществляется исходя из: 1. Класса защищенности информационной системы, определяющего требуемый уровень защищенности содержащейся в ней информации. 2.Структурно-функциональных характеристик информационной системы, применяемых информационных технологий и особенностей ее функционирования, а также иных характеристики информационной системы. 3. Угроз безопасности информации, включенных в модель угроз безопасности информационной системы. 4. Требований о защите информации, установленных иными нормативными правовыми актами в области защиты информации, в том числе в области защиты персональных данных. Выбор мер защиты информации для их реализации в информационной системе в рамках системы защиты информации
Классификация информационной системы по требованиям защиты информации Устанавливаются четыре класса защищенности информационной системы определяющие уровни защищенности содержащейся в ней информации : первый класс (К1), второй класс (К2), третий класс (К3), четвертый класс (К4). Самый низкий класс – четвертый, самый высокий – первый. Класс защищенности информационной системы определяется в зависимости от уровня значимости информации (УЗ), обрабатываемой в этой информационной системе, и масштаба информационной системы (федеральный, региональный, объектовый). Класс защищенности (К) = [уровень значимости информации ; масштаб системы] Уровень значимости (УЗ) информации определяется степенью возможного ущерба для обладателя информации и (или) оператора от нарушения конфиденциальности, целостности или доступности информации. УЗ = [(конфиденциальность, степень ущерба) (целостность, степень ущерба) (доступность, степень ущерба)], где степень возможного ущерба определяется обладателем информации (заказчиком) и (или) оператором самостоятельно экспертным или иными методами и может быть высокой, средней, низкой или минимальной. Для определения степени возможного ущерба от нарушения конфиденциальности, целостности или доступности могут применяться национальные стандарты и (или) методические документы, разработанные и утвержденные ФСТЭК России.
Классификация информационной системы При обработке персональных данных в информационной системе определение класса защищенности информационной системы осуществляется с учетом требуемого уровня защищенности персональных данных, установленного в соответствии с Требованиями к защите персональных данных при их обработке в информационных системах персональных данных, утвержденными постановлением Правительства Российской Федерации от 1 ноября 2012 г В случае, если определенный в установленном порядке уровень защищенности персональных данных выше чем установленный класс защищенности государственной информационной системы, то осуществляется повышение класса защищенности до значения, обеспечивающего выполнение Требований, утвержденных приказом ФСТЭК России от 11 февраля 2013 г. 17. Результаты классификации информационной системы оформляются актом классификации.
Определение угроз безопасности информации в информационной системе Угрозы безопасности информации (УБИ) определяются по результатам оценки возможностей (потенциала, оснащенности и мотивации) внешних и внутренних нарушителей, анализа возможных уязвимостей информационной системы, возможных способов реализации угроз безопасности информации и последствий от нарушения свойств безопасности информации (конфиденциальности, целостности, доступности) УБИ = [возможности нарушителя; уязвимости информационной системы; способ реализации угрозы; последствия от реализации угрозы]. При определении угроз безопасности информации учитываются структурно- функциональные характеристики информационной системы, применяемые информационные технологии и особенности (условия) функционирования информационной системы. Модель угроз безопасности информации разрабатывается обладателем информации и должна по содержанию соответствовать Требованиям о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах, утвержденным приказом ФСТЭК России от 11 февраля 2013 г. 17. Для определения угроз безопасности информации и разработки модели угроз безопасности информации применяются методические документы, разрабатываемые и утверждаемые ФСТЭК России.
Выбор мер защиты информации для их реализации в информационной системе в рамках ее системы защиты информации В информационной системе подлежат реализации следующие меры защиты информации: 1. Идентификация и аутентификация субъектов доступа и объектов доступа. 2. Управление доступом субъектов доступа к объектам доступа; ограничение программной среды. 3. Защита машинных носителей информации. 4. Регистрация событий безопасности. 5. Антивирусная защита. 6. Обнаружение (предотвращение) вторжений. 7. Контроль (анализ) защищенности информации. 8. Обеспечение целостности информационной системы и информации. 9. Обеспечение доступности информации. 10. Защита среды виртуализации. 11. Защита технических средств. 12. Защита информационной системы, ее средств и систем связи и передачи данных. Меры защиты информации, выбираемые для реализации в информационной системе, должны обеспечивать блокирование одной или нескольких угроз безопасности информации, включенных в модель угроз безопасности информации.
Общий порядок действий по выбору мер защиты информации для их реализации в информационной системе
Шаг 1. Определение базового набора мер защиты информации Определение базового набора мер защиты информации основывается на классе защищенности информационной системы, в соответствии с Требованиями о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах, утвержденными приказом ФСТЭК России от 11 февраля 2013 г. 17 Приложение 2.
Шаг 2. Адаптация базового набора мер защиты информации Изменение изначально выбранного базового набора мер защиты информации в части его максимальной адаптации применительно к структуре, реализации и особенностям эксплуатации информационной системы. При адаптации базового набора мер защиты информации учитываются: 1. Цели (обеспечение конфиденциальности, целостности и (или) доступности информации) и задачи защиты информации в информационной системе; перечень мероприятий проводимых оператором по обеспечению безопасности в рамках организации в целом. 2. Применяемые информационные технологии и структурно-функциональные характеристики информационной системы. Адаптация базового набора мер защиты информации, как правило, предусматривает исключение мер, непосредственно связанных с информационными технологиями, не используемыми в информационной системе, или структурно-функциональными характеристиками, не свойственными информационной системе. В качестве примера адаптации можно рассмотреть исключение из базового набора мер защиты информации мер по защите среды виртуализации, в случае если в информационной системе не применяется технология виртуализации, или исключение из базового набора мер защиты информации мер по защите мобильных технических средств, если такие мобильные устройства не применяются или их применение запрещено.
Шаг 3. Уточнение адаптированного базового набора мер защиты информации ИАФ.1 ИДЕНТИФИКАЦИЯ И АУТЕНТИФИКАЦИЯ ПОЛЬЗОВАТЕЛЕЙ, ЯВЛЯЮЩИХСЯ РАБОТНИКАМИ ОПЕРАТОРА Требования к реализации ИАФ.1: В информационной системе должна обеспечиваться идентификация и аутентификация пользователей, являющихся работниками оператора. При доступе в информационную систему должна осуществляться …... Требования к усилению ИАФ.1: 1) в информационной системе должна обеспечиваться многофакторная (двухфакторная) аутентификация для удаленного доступа в систему с правами привилегированных учетных записей (администраторов): а) с использованием сети связи общего пользования, в том числе сети Интернет; б) без использования сети связи общего пользования; 2) в информационной системе должна обеспечиваться многофакторная …...
Содержание базовых мер защиты информации для соответствующего класса защищенности информационной системы Итоговое содержание каждой уточненной адаптированной базовой меры защиты информации, которое, как минимум, должно быть реализовано в информационной системе, приведено в Приложении 2 методического документа утвержденного ФСТЭК России 11 февраля 2014 г. «Меры защиты информации в государственных информационных системах»
Шаг 4. Дополнение уточненного адаптированного базового набора мер защиты информации Дополнение уточненного адаптированного базового набора мер защиты информации осуществляется с целью выполнения требований о защите информации, установленных иными нормативными правовыми актами в области защиты информации, в том числе в области защиты персональных данных. При дополнении уточненного адаптированного базового набора мер защиты информации возможны следующие действия: 1. Может быть обосновано, что меры защиты информации, включенные в уточненный адаптированный базовый набор мер защиты информации, достаточны. 2. Могут быть усилены (ужесточены) требования к некоторым мерам защиты информации, ранее включенным в уточненный адаптированный базовый набор мер защиты информации. 3. Может быть дополнен уточненный адаптированный базовый набор мер защиты информации мерами защиты информации для выполнения дополнительных требований
Шаг 5. Применение компенсирующих мер защиты информации Сформированный набор мер защиты информации может содержать меры защиты информации, которые по каким-либо причинам (высокая стоимость, отсутствие апробированных технических реализаций, неприемлемо большие сроки реализации, отсутствие компетенции для эксплуатации и другие) делает невозможным или крайне затруднительным их реализацию в информационной системе в рамках ее системы защиты информации. В таких случаях у заказчика, оператора и разработчика (проектировщика) есть возможность заменить соответствующие меры защиты информации на компенсирующие меры защиты информации, при этом должно быть проведено обоснование применения компенсирующих мер защиты информации. Разработанное обоснование должно быть представлено при проведении аттестационных испытаний. При аттестационных испытаниях с учетом представленного обоснования должны быть оценены достаточность и адекватность компенсирующих мер для блокирования (нейтрализации) угроз безопасности информации.
Аттестация информационной системы и ввод ее в действие Аттестация информационной системы организуется обладателем информации (заказчиком) или оператором и включает проведение комплекса организационных и технических мероприятий (аттестационных испытаний), в результате которых подтверждается соответствие системы защиты информации информационной системы. Аттестация информационной системы проводится в соответствии с программой и методиками аттестационных испытаний до начала обработки информации, подлежащей защите в информационной системе. Для проведения аттестации информационной системы применяются национальные стандарты, а также методические документы, разработанные и утвержденные ФСТЭК России. По результатам аттестационных испытаний оформляются протоколы аттестационных испытаний, заключение о соответствии информационной системы требованиям о защите информации и аттестат соответствия в случае положительных результатов аттестационных испытаний. Ввод в действие информационной системы осуществляется в соответствии с законодательством Российской Федерации об информации, информационных технологиях и о защите информации и с учетом ГОСТ и при наличии аттестата соответствия. Повторная аттестация информационной системы осуществляется в случае окончания срока действия аттестата соответствия или повышения класса защищенности информационной системы.