Elettracompany.com

Компьютерный справочник
3 просмотров
Рейтинг статьи
1 звезда2 звезды3 звезды4 звезды5 звезд
Загрузка...

Государственная система технической защиты информации

Органы по технической защите информации в РФ

3.1. Государственные органы в области защиты информации

Система государственного регулирования и контроля в области информационной безопасности построена на деятельности специальных государственных органов, к которым относятся:

Комитет Государственной думы по безопасности — структура в Государственной Думе Федерального собрания России, в ведении которой находятся рассмотрение и подготовка законопроектов по вопросам безопасности государства и граждан.

Совет безопасности России — совещательный орган, осуществляющий подготовку решений Президента Российской Федерации по вопросам обеспечения защищённости жизненно важных интересов личности, общества и государства от внутренних и внешних угроз, проведения единой государственной политики по обеспечению национальной безопасности.

Федеральная служба по техническому и экспортному контролю (ФСТЭК России)

Федеральная служба безопасности Российской Федерации (ФСБ России)

Служба внешней разведки Российской Федерации (СВР России) — основной орган внешней разведки Российской Федерации.

Министерство обороны Российской Федерации (Минобороны России) — федеральный орган исполнительной власти (федеральное министерство), проводящий государственную политику и осуществляющий государственное управление в области обороны, а также координирующий деятельность федеральных министерств, иных федеральных органов исполнительной власти и органов исполнительной власти субъектов Российской Федерации по вопросам обороны.

Министерство внутренних дел Российской Федерации (МВД России) — федеральный орган исполнительной власти, осуществляющий функции по выработке и реализации государственной политики и нормативно-правовому регулированию в сфере внутренних дел, а также по выработке государственной политики в сфере миграции.

Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) — федеральный орган исполнительной власти, осуществляющий функции по контролю и надзору в сфере средств массовой информации, в том числе электронных, и массовых коммуникаций, информационных технологий и связи, функции по контролю и надзору за соответствием обработки персональных данных требованиям законодательства Российской Федерации в области персональных данных , а также функции по организации деятельности радиочастотной службы.

В области технической защиты информации ключевыми органами является ФСБ России и ФСТЭК России.

ФСБ России является федеральным органом исполнительной власти, в пределах своих полномочий осуществляющим государственное управление в области обеспечения безопасности Российской Федерации, защиты и охраны государственной границы Российской Федерации (далее именуется — государственная граница), охраны внутренних морских вод, территориального моря, исключительной экономической зоны, континентального шельфа Российской Федерации и их природных ресурсов, обеспечивающим информационную безопасность Российской Федерации и непосредственно реализующим основные направления деятельности органов федеральной службы безопасности, определенные законодательством Российской Федерации, а также координирующим контрразведывательную деятельность федеральных органов исполнительной власти, имеющих право на ее осуществление [3.2]. Руководит ФСБ Президент. При ФСБ России действует Академия криптографии Российской Федерации. Основные цели, задачи и функции ФСБ описаны в «Положении о Федеральной службе безопасности Российской Федерации и ее структуре». Среди перечисленных в данном документе функций процитируем те, которые связаны непосредственно с ТЗИ:

  1. ФСБ определяет порядок осуществления в пределах своих полномочий контроля за организацией и функционированием криптографической и инженерно-технической безопасности информационно-телекоммуникационных систем, систем шифрованной, засекреченной и иных видов специальной связи, за соблюдением режима секретности при обращении с шифрованной информацией в шифровальных подразделениях государственных органов и организаций на территории Российской Федерации и в ее учреждениях, находящихся за пределами Российской Федерации, а также за обеспечением защиты особо важных объектов (помещений) и находящихся в них технических средств от утечки информации по техническим каналам.
  2. ФСБ осуществляет и организует в соответствии с федеральным законодательством сертификацию средств защиты информации , систем и комплексов телекоммуникаций , технических средств, используемых для выявления электронных устройств, предназначенных для негласного получения информации, в помещениях и технических средствах, специальных технических средств, предназначенных для негласного получения информации, технических средств обеспечения безопасности и (или) защиты информации; определяет основные направления деятельности органов федеральной службы безопасности в этих областях.
  3. осуществляет и организует в соответствии с федеральным законодательством лицензирование отдельных видов деятельности [3.2].

ФСБ России имеет право проводить плановые проверки в следующих случаях:

  • представление по запросу отчета по лицензируемым видам деятельности ;
  • представление копий аттестатов соответствия по требованиям информационной безопасности на автоматизированные системы, в составе которых эксплуатируются системы криптографической защиты информации (СКЗИ);
  • явочная проверка выполнения организационных мер на объектах лицензируемых видов деятельности.

Другими словами, ФСБ России отвечает за организацию работы с криптографическими (шифровальными) средствами защиты информации и специальными техническими средствами, предназначенными для противодействия утечке по техническим каналам связи. Следует отметить, что ФСБ должна проводить собственные разработки и исследования криптографических и специальных технических средств защиты информации , а также способствовать аналогичным разработкам других организаций Российской Федерации.

Структура государственной системы защиты информации (ГСЗИ)

Лекция 11

По дисциплине «История и современная система защиты информации в России»

Тема 8. Система защиты информации в Российской Федерации.

Раздел 1. Государственная система защиты информации на современном этапе

1. Основные задачи и направления работ государственной системы защиты информации (ГСЗИ).

2. Структура государственной системы защиты информации.

Основные задачи и направления работ государственной системы защиты информации.

· проведение единой технической политики, организация и координация работ по защите информации в оборонной, экономической, политической, научно-технической и других сферах деятельности;

· исключение или существенное затруднение добывания информации техническими средствами разведки, а также предотвращение ее утечки по техническим каналам, несанкционированного доступа к ней, предупреждение преднамеренных программно-технических воздействий в целях разрушения (уничтожения) или искажения информации в процессе ее обработки, передачи и хранения;

· принятие в пределах компетенции правовых актов, регулирующих отношения в области защиты информации;

· анализ состояния и прогнозирование возможностей технических средств разведки и способов их применения, формирование системы информационного обмена сведениями по осведомленности иностранных разведок;

· организация сил, создание средств защиты информации и контроля за ее эффективностью;

· контроль состояния защиты информации в органах государственной власти и на предприятиях.

Направления работ государственной системы защиты информации:

· обеспечение эффективного управления системой защиты информации;

· определение сведений, охраняемых от технических средств разведки, и демаскирующих признаков, раскрывающих эти сведения;

· анализ и оценка реальной опасности перехвата информации техническими средствами разведки, несанкционированного доступа, разрушения (уничтожения) или искажения информации путем преднамеренных программно-технических воздействий в процессе ее обработки, передачи и хранения в технических средствах, выявление возможных технических каналов утечки информации, подлежащих защите;

· разработка организационно-технических мероприятий по защите информации и их реализация;

· организация и проведение контроля состояния защиты информации.

Структура государственной системы защиты информации (ГСЗИ)

Государственная система обеспечения информационной безопасности определяет основные направления деятельности федеральных органов государственной власти и органов государственной власти субъектов Российской Федерации в этой области, порядок закрепления их обязанностей по защите интересов личности, общества, государства.

Государственная политика обеспечения информационной безопасности основывается на следующих принципах:

· соблюдения Конституции РФ, законодательство РФ, общепринятых законов и норм международного права;

· открытость в реализации функций федеральных органов государственной власти, органов государственной власти субъектов РФ, с учётом ограничений, установленных законодательством РФ;

· правовое равенство всех участников процесса информационного взаимодействия, основывающего на конституционном праве граждан на свободный поиск, получение, передачу, производство и распространение информации;

· приоритетное развитие отечественных, современных, информационных и телекоммуникационных технологий, производство технических и программных средств для соблюдения жизненно важных интересов Российской Федерации.

Государство, как основной субъект обеспечения защиты информации, через свои органы законодательной, исполнительной и судебной властей, обеспечивает создание условий для осуществления защиты, а именно:

· создание системы правовых норм, регулирующих отношения в области защиты информации;

· проведение единой технической политики, организация, координация и методическое руководство работами по защите информации;

· разработка технических норм и рекомендаций;

· разработка государственных программ по защите информации;

· общий контроль над состоянием защиты информации.

Читать еще:  Защита прав авторов и иных правообладателей

Основными элементами организационной основы системы обеспечения информационной безопасности РФ является:

Президент Российской Федерации;

Совет Федерации и Государственная дума Федерального собрания Российской Федерации;

Правительство Российской Федерации;

Совет безопасности Российской Федерации;

федеральные органы исполнительной власти;

межведомственные и государственные комиссии, создаваемые Президентом Российской Федерации и Правительством Российской Федерации;

органы исполнительной власти;

органы исполнительной власти субъектов Российской Федерации;

органы местного самоуправления;

органы судебной власти;

Президент Российской Федерации руководит в пределах своих конституционных полномочий органами и силами по обеспечению информационной безопасности Российской Федерации, формирует, реорганизует и управляет подчиненные ему органами и силами по обеспечению информационной безопасности российской Федерации, определяет приоритетные направления государственной политики.

Совет Федерации и Государственная дума Федерального собрания Российской Федерации, на основании Конституции Российской Федерации, по представлению Президента Российской Федерации и Правительства Российской Федерации, формируют законодательную базу в области обеспечения безопасности информации Российской Федерации.

Правительство Российской Федерации координирует деятельность федеральных органов исполнительной власти и органов исполнительной власти субъектов федерации, а также при формировании в установленном порядке проектов федерального бюджета, предусматривает выделение средств, необходимых для реализации федеральных программ в этой области.

Совет безопасности Российской Федерации проводит работу по выявлению и оценке угроз информационной безопасности Российской Федерации, оперативно подготавливает проекты решений Президента Российской Федерации, разрабатывает предложения по обеспечению информационной безопасности Российской Федерации, координирует деятельность органов и сил по обеспечению информационной безопасности Российской Федерации, контролирует реализацию федеральными органами, исполнительными властями и органами власти субъектов Российской Федерации решений Президента Российской Федерации.

Межведомственная комиссия по защите государственной тайне, создана Указом Президента Российской Федерации от 08.11.95 г. №1108. К основным функциям этой комиссии относится: формирование Перечня сведений, отнесенных к государственной тайне, наделение полномочий по распоряжению от лица государства сведениями, отнесенных к государственной тайне, экспертиза и принятие решения о межгосударственном обмене сведений, составляющих государственную тайну.

Федеральная служба по техническому и экспортному контролю (ФСТЭК России) возглавляет государственную систему защиты информации. Она в пределах своей компетенции формирует общую стратегию и определяет приоритетные направления защиты информации, определяет основные направления исследований и утверждает концепции, требования, нормы, методики и критерии защиты информации; разрабатывает предложения по развитию научной, экспериментальной и производственной базы для защиты информации и осуществления контроля защищённости, осуществляет координацию работ по защите информации и методическое руководство по защите информации в условиях режимов открытости и функционирования на территории России предприятий и производств, созданных с участием иностранных фирм, осуществляет методическое руководство подготовкой кадров для ГСЗИ. Кроме того, ФСТЭК России проверяет организацию защиты информации в органах федерального и регионального управления, в государственных объединениях, на предприятиях, в организациях и учреждениях, контролирует, с применением технических средств (с уведомлением и без уведомления) эффективность защиты государственных и промышленных объектов, информационных систем, средств и систем связи и управления, проводит радиоконтроль за соблюдением должностными лицами государственных объединений, предприятий, организаций и учреждений установленного порядка передачи служебных сообщений по открытым каналам радио-, радиорелейных, тропосферных и спутниковых линий связи, доступных для иностранной радиоразведки.

Федеральная служба безопасности России (ФСБ России) осуществляет контроль за обеспечением в органах государственного управления и на предприятиях, ведущих работы по закрытой тематике, организационно-режимных мероприятий, разрабатывает, внедряет и контролирует криптографические средства защиты информации, проводит работы по выявлению и предотвращению ущерба от средств съёма информации, выдает лицензию на право проведения работ со сведениями, составляющих государственную тайну.

Росстандарт выступает в качестве национального органа по стандартизации и сертификации продукции.

Органы судебной власти осуществляют правосудие по делам и преступлениям, связанных с посягательствам на законные интересы личности, общества, государства.

Другие органы государственного управления (министерства, агентства, ведомства), в пределах своей компетенции: определяют перечень охраняемых сведений, проводят работу по защите информации, разрабатывают отраслевые документы по защите информации, контролируют выполнения предприятиями, установленных норм и требований по защите информации, создает отраслевые центры по защите информации по контролю эффективности принятых мер по защите информации, организует подготовку и повышение квалификации специалистов по защите информации.

Для осуществления указанных функций в составе органов государственного управления функционируют подразделения по защите информации.

В акционерных обществах, выполняющие секретные работы, создаются подразделения по защите государственной тайны, в остальных обществах создаются подразделения по защите конфиденциальной информации.

Создание систем защиты информации государственных информационных систем

Государственные (муниципальные) информационные системы (ГИС) – информационные системы, созданные на основании федеральных законов, законов субъектов Российской Федерации, правовых актов государственных органов или решений органов местного самоуправления.

Ключевым документом, устанавливающим обязательные требования к обеспечению защиты информации ограниченного доступа при ее обработке в государственных (муниципальных) информационных системах, является Приказ ФСТЭК России от 11.02.2013 № 17.

Требования этого приказа распространяются, в том числе, и на ГИС, обрабатывающие персональные данные (государственные ИСПДн). По решению обладателя информации (заказчика) или оператора информационной системы требования Приказа № 17 могут применяться и для защиты информации, содержащейся в негосударственных информационных системах.

В соответствии с этими требованиями создание системы защиты информации ГИС осуществляется в следующей последовательности:

  • формирование требований к защите информации, содержащейся в информационной системе;
  • разработка системы защиты информации информационной системы;
  • внедрение системы защиты информации информационной системы;
  • аттестация информационной системы по требованиям защиты информации и ввод ее в действие.

Кроме того, при обеспечении информационной безопасности ГИС можно дополнительно руководствоваться Специальными требованиями и рекомендациями по технической защите конфиденциальной информации (СТР-К), утвержденными приказом Гостехкомиссии России от 30.08.2002 № 282.

Следует отметить, что, помимо Приказа ФСТЭК № 17, при создании систем защиты информации государственных информационных систем должны быть учтены и другие нормативные документы, в том числе:

  • Постановление Правительства от 1 ноября 2012 г. № 1119;
  • Специальные требования и рекомендации по технической защите конфиденциальной информации (СТР-К);
  • ПКЗ-2005, Приказ № 378 и другие документы ФСБ России;
  • национальные и отраслевые стандарты по безопасности информации.

Формирование требований к защите информации ГИС

На этапе формирования требований к защите информации ГИС решаются следующие задачи:

  • Проведение обследования и сбор исходных сведений об информационной системе, ее характеристиках, структуре, составе, организационно-распорядительной и эксплуатационно-технической документации, а также о реализуемых мероприятиях по обеспечению безопасности информации. Собранные сведения служат основой для дальнейших работ.
  • Классификация информационной системы,. В соответствии с требованиями Приказа ФСТЭК России от 11.02.2013 № 17 оценивается степень возможного ущерба от нарушения безопасности информации (конфиденциальности, целостности, доступности), уровень значимости информации, масштаб системы. По этим характеристикам определяется требуемый класс защищенности государственной информационной системы.
  • Разработка модели нарушителя и угроз безопасности информации ГИС. Угрозы безопасности информации определяются по результатам оценки возможностей (потенциала, оснащенности и мотивации) внешних и внутренних нарушителей, анализа возможных уязвимостей информационной системы, возможных способов реализации угроз безопасности информации и последствий от нарушения свойств безопасности информации.
  • Определение перечня мер обеспечения безопасности, которые должны быть реализованы. На этом шаге, в соответствии с требованиями ГОСТ 34.602, ГОСТ Р 51583 и ГОСТ Р 51624, осуществляется разработка Технического задания на создание системы защиты информации ГИС, в котором осуществляется выбор, адаптация, уточнение и дополнение защитных мер, содержащихся в Приказе ФСТЭК России от 11.02.2013 № 17 и других нормативных документах по обеспечению безопасности информации ФСТЭК России и ФСБ России.

Результатом этапа служат следующие документы:

  • Отчет об обследовании и оценке защищенности информационной системы;
  • Перечень конфиденциальной информации, обрабатываемой в ГИС, Перечень должностных лиц, допущенных к работе в ГИС;
  • Акт классификации государственной информационной системы;
  • Модель нарушителя и угроз безопасности информации, обрабатываемой в ГИС;
  • Техническое задание на создание (модернизацию) системы защиты информации ГИС.

Разработка системы защиты информации информационной системы

Разработка системы защиты информации ГИС включает следующие шаги:

  • Разработка Технического проекта системы защиты информации, содержащего детальное описание конкретных программно-технических решений для создания системы защиты в соответствии с требованиями Технического задания. Более подробную информацию о проектировании систем защиты информации можно получить на странице «Разработка проектной документации на системы защиты информации».
  • Разработка организационно-распорядительной и эксплуатационной документации на систему защиты информации. Перечень разрабатываемых документов определяется Техническим заданием и, как правило, включает Положения и Политики по защите конфиденциальной информации, Инструкции и Регламенты администраторам безопасности и пользователям ГИС, приказы о назначении ответственных лиц, дополнения в разделы должностных инструкций и другие документы.
Читать еще:  Коллаж день защитника отечества

Внедрение системы защиты информации информационной системы

Внедрение системы защиты информации осуществляется в соответствии с разработанной на предыдущем этапе пояснительной запиской к Техническому проекту. На данном этапе осуществляется:

  • поставка, установка и настройка средств защиты информации;
  • приемочные испытания системы защиты информации информационной системы.

Отчетными документами по данному этапу, как правило, служат:

  • документы на поставку средств защиты информации (лицензии, дистрибутивы, формуляры и документация на средства защиты);
  • программа и методики приемочных испытаний системы защиты ГИС;
  • протоколы и заключение по результатам приемочных испытаний;
  • акты внедрения средств защиты информации.

Аттестация информационной системы и ввод ее в действие

Согласно требованиям Приказа ФСТЭК России от 11.02.2013 № 17 ввод в действие информационной системы осуществляется только при наличии аттестата соответствия. Поэтому обязательным заключительным этапом создания систем защиты информации государственных информационных систем является проведение аттестации по требованиям безопасности информации.

Порядок проведения аттестации ИСПДн регламентируется:

  • Национальным стандартом РФ ГОСТ РО 0043-003-2012 «Защита информации. Аттестация объектов информатизации. Общие положения»;
  • Положением по аттестации объектов информатизации по требованиям безопасности информации, утвержденным председателем Государственной технической комиссии при Президенте Российской Федерации 25 ноября 1994 г.

В соответствии с указанными нормативными документами организации, проводящие аттестацию объектов информатизации, несут ответственность за выполнение возложенных на них функций, обеспечение сохранности государственных и коммерческих секретов, а также за соблюдение авторских прав разработчиков аттестуемых объектов информатизации и их компонентов.

Для проведения аттестации разрабатываются:

  • Технический паспорт, Матрица доступа и Описание технологических процессов обработки и защиты информации в ГИС;
  • Программа и методики аттестационных испытаний ГИС;
  • Протоколы и Заключение по результатам аттестационных испытаний ГИС;
  • Аттестат соответствия.

Реализация проекта по созданию системы защиты информации государственной (муниципальной) информационной системы позволяет как снизить уровень угроз безопасности информации ограниченного доступа, так и выполнить обязательные требования нормативных документов РФ, подтвердив это надлежащим аттестатом соответствия информационной системы.

В случае появления вопросов или интереса к описанной услуге, пожалуйста, свяжитесь с нами по телефону +7 (495) 980-67-76 или через форму обратной связи, адресовав вопрос в «Коммерческий отдел».

Защита информации в государственных информационных системах (ГИС)

МАСКОМ Восток оказывает услуги по обеспечению защиты информации, содержащейся в государственных информационных системах (ГИС).

Государственные информационные системы (ГИС) — это федеральные информационные системы и региональные информационные системы, созданные на основании соответствующих федеральных законов, законов субъектов Российской Федерации, на основании правовых актов государственных органов.

Муниципальные информационные системы (МИС) —информационные системы, созданные на основании решений органов местного самоуправления.

Информация в ГИС и МИС должна быть защищена от несанкционированного доступа, а также от специальных воздействий в целях ее добывания, уничтожения, искажения или блокирования

Нормативная база

Необходимость защиты информации, содержащейся в ГИС, устанавливает Федеральный Закон от 27.07.2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации», который обязывает владельца информации и оператора информационной системы, обеспечить защиту информации от неправомерных доступа, уничтожения, модифицирования, блокирования, копирования, предоставления, распространения и иных неправомерных действий (ст.14 п.9) путем принятия правовых, организационных и технически мер, направленных на соблюдение конфиденциальности информации ограниченного доступа и реализацию права на доступ к общедоступной информации (ст.16).

Требования о защите Информации в соответствии с 149-ФЗ утверждены Приказом ФСТЭК России от 11 февраля 2013 г. № 17 и обязательны для выполнения с 1 сентября 2013 г., в том числе и при обработке информации в муниципальных информационных системах (МИС).

Информация должна быть защищена от несанкционированного доступа, а также от специальных воздействий в целях ее добывания, уничтожения, искажения или блокирования доступа к ней.

Мероприятия по защите информации в ГИС и МИС

Мероприятия, проводимые для обеспечения защиты информации, содержащейся в информационной системе:

  • формирование требований к защите информации, содержащейся в информационной системе;
  • разработка системы защиты информации информационной системы;
  • внедрение системы защиты информации информационной системы;
  • аттестация информационной системы по требованиям защиты информации (далее — аттестация информационной системы) и ввод ее в действие;
  • обеспечение защиты информации в ходе эксплуатации аттестованной информационной системы;
  • обеспечение защиты информации при выводе из эксплуатации аттестованной информационной системы или после принятия решения об окончании обработки информации.

Формирование требований к защите информации включает:

  • принятие решения о необходимости защиты информации;
  • классификацию ГИС по требованиям защиты информации;
  • определение актуальных угроз безопасности информации и разработку на их основе модели угроз;
  • определение требований к СЗИ.

Этапы создания системы защиты информации в ГИС и МИС

Создание системы защиты информации в ГИС и МИС можно разделить на последовательные этапы:

  • аудит информационной системы;
  • классификация информационной системы;
  • моделирование угроз безопасности;
  • проектирование и разработка системы защиты информации;
  • реализация проекта системы защиты информации;
  • мероприятие по контролю соответствия системы защиты информации требованиям законодательства в сфере защиты информации (персональных данных).

Первостепенной задачей при создании системы защиты информации и контроле ее функционирования является определение класса информационной системы, так как выбранный класс устанавливает набор требований к системе защиты информации.

Классификация необходима для более детальной, дифференцированной разработки требований по защите информации с учетом специфических особенностей этих систем. Требование к классу защищенности изначально включается в техническое задание на создание информационной системы или системы защиты информации.

Для определения класса защищенности ГИС необходимы два параметра – уровень значимости информации и масштаб ГИС.

Классификация ГИС по четырем установленным классам защищенности проводится в зависимости от значимости обрабатываемой в ней информации и масштаба ГИС (федеральный, региональный, объектовый) в соответствии с таблицей:

Уровень значимости информации определяется степенью возможного ущерба от нарушения конфиденциальности (неправомерные доступ, копирование, предоставление или распространение), целостности (неправомерные уничтожение или модифицирование) или доступности (неправомерное блокирование) информации.

Актуальные угрозы безопасности информации определяются с учетом структурно-функциональных характеристик ГИС по результатам оценки возможностей нарушителей, анализа возможных уязвимостей, способов реализации угроз и последствий.

Разработка СЗИ осуществляется в соответствии с ГОСТ и включает:

  • проектирование СЗИ;
  • разработку эксплуатационной документации;
  • макетирование и тестирование СЗИ (при необходимости).

В соответствии с Требованиями обеспечивается, чтобы СЗИ не препятствовала достижению целей создания ГИС и ее функционированию.

Целью создания СЗИ является выполнение обязанностей Заказчика по применению правовых, организационных и технических мер обеспечения безопасности информации в соответствии с ФЗ-149 и принятыми в соответствии с ним нормативными правовыми актами.

Внедрение СЗИ осуществляется в соответствии с разработанной документацией и включает:

  • установку и настройку средств защиты информации;
  • разработку организационно-распорядительных документов, определяющих правила и процедуры обеспечения защиты в ходе эксплуатации ГИС;
  • внедрение организационных мер защиты информации;
  • предварительные испытания СЗИ;
  • опытную эксплуатацию СЗИ;
  • анализ уязвимостей ГИС и принятие мер по их устранению;
  • приемочные испытания СЗИ.

Анализ уязвимостей проводится в целях оценки возможности преодоления нарушителем СЗИ и предотвращения реализации угроз безопасности информации.

В случае выявления уязвимостей, приводящих к возникновению дополнительных угроз безопасности информации, проводится уточнение модели угроз и при необходимости принимаются дополнительные меры защиты информации, направленные на устранение выявленных уязвимостей или исключающие возможность использования нарушителем выявленных уязвимостей.

Аттестация ГИС

Для государственных информационных систем мероприятием по контролю соответствия системы защиты информации требованиям является аттестация, регламентированная «Положением по аттестации объектов информатизации», рядом ГОСТов и руководящими документами ФСТЭК.

Читать еще:  Выбор предохранителей для защиты электродвигателей

Аттестация ГИС включает проведение комплекса организационных и технических мероприятий (аттестационных испытаний), в результате которых подтверждается соответствие СЗИ установленным Требованиям безопасности.

По результатам аттестационных испытаний оформляются протоколы, заключение о соответствии и аттестат соответствия в случае положительных результатов.

Допускается аттестация на основе результатов аттестационных испытаний выделенного набора сегментов ГИС, реализующих полную технологию обработки информации.

Ввод в действие ГИС осуществляется при наличии аттестата соответствия.

Мы успешно реализуем весь комплекс работ по защите информации в ГИС в соответствии с требованиями нормативных правовых актов:

  • обследование и классификация ГИС по требованиям защиты информации;
  • разработка частной модели актуальных угроз нарушения безопасности информации в ГИС;
  • выбор и обоснование организационно-технических мер защиты, необходимых для нейтрализации актуальных угроз нарушения безопасности информации в ГИС;
  • разработка технического задания и проектирование систем защиты информации;
  • разработка организационно-распорядительной и исполнительной документации, регламентирующей порядок защиты информации и эксплуатации СЗИ;
  • поставка и внедрение сертифицированных технических средств защиты информации;
  • обучение персонала в авторизованных учебных центрах;
  • оценка соответствия выполнения требований к защите информации в форме аттестации ГИС;
  • техническое сопровождение и сервисное обслуживание СЗИ.

При выборе и реализации необходимых мер защиты информации мы руководствуемся требованиями использования наиболее эффективных решений, в соответствии с индивидуальными особенностями защищаемых ГИС и спецификой деятельности Заказчика.

Государственные информационные системы (ГИСы): практические вопросы защиты информации

Взаимодействие с государством активно переводится в интернет. Это не только упрощает многие процессы, но и накладывает определенную ответственность на пользователей, так как большинство государственных информационных систем обрабатывает персональные данные.

Защита ГИС — не равно защите персональных данных

В РФ существует порядка 100 государственных информационных систем, они подразделяются на федеральные и региональные. Организация, работающая с какой-либо из этих систем, обязана выполнять требования к защите данных, которые в ней обрабатываются. В зависимости от классификации, к разным информационным системам предъявляются разные требования, за несоблюдение которых применяются санкции — от штрафа до более серьезных мер.

Работа всех информационных систем в РФ определяется Федеральным законом от 27.07.2006 № 149-ФЗ (ред. от 21.07.2014) «Об информации, информационных технологиях и о защите информации» (27 июля 2006 г.). В статье 14 этого закона дается подробное описание ГИСов. К операторам государственных ИС, в которых ведется обработка информации ограниченного доступа (не содержащей сведений, составляющих государственную тайну), предъявляются требования, изложенные в Приказе ФСТЭК России от 11 февраля 2013 г. № 17 «Об утверждении требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах».

Напомним, что оператор — гражданин или юридическое лицо, осуществляющие деятельность по эксплуатации информационной системы, в том числе по обработке информации, содержащейся в ее базах данных.

Если организация подключена к государственной информационной системе, то приказ ФСТЭК № 17 обязывает аттестовать систему, а для защиты информации должны применяться только сертифицированные средства защиты информации (имеющие действующие сертификаты ФСТЭК или ФСБ).

Нередки случаи, когда оператор информационной системы ошибочно относит ее к ГИСам, в то время как она таковой не является. В итоге к системе применяются избыточные меры по защите. Например, если по ошибке оператор информационной системы персональных данных классифицировал ее как государственную, ему придется выполнить более жесткие требования к безопасности обрабатываемой информации, чем того требует закон. Тем временем требования к защите информационных систем персональных данных, которые регулирует приказ ФСТЭК № 21, менее жесткие и не обязывают аттестовать систему.

На практике не всегда понятно, является ли система, к которой необходимо подключиться, государственной, и, следовательно, какие меры по построению защиты информации необходимо предпринять. Тем не менее план проверок контролирующих органов растет, планомерно увеличиваются штрафы.

Как отличить ГИС от неГИС

Государственная информационная система создается, когда необходимо обеспечить:

  • реализацию полномочий госорганов;
  • информационный обмен между госорганами;
  • достижение иных установленных федеральными законами целей.

Понять, что информационная система относится к государственной, можно, используя следующий алгоритм:

  1. Узнать, есть ли законодательный акт, предписывающий создание информационной системы.
  2. Проверить наличие системы в Реестре федеральных государственных информационных систем. Подобные реестры существуют на уровне субъектов Федерации.
  3. Обратить внимание на назначение системы. Косвенным признаком отнесения системы к ГИС будет описание полномочий, которые она реализует. Например, каждая администрация Республики Башкортостан имеет свой устав, который в том числе описывает полномочия органов местного самоуправления. ИС «Учет граждан, нуждающихся в жилых помещениях на территории Республики Башкортостан» создана для реализации таких полномочий администраций, как «принятие и организация выполнения планов и программ комплексного социально-экономического развития муниципального района», и является ГИС.

Если система подразумевает обмен информацией между госорганами, она также с высокой долей вероятности будет государственной (например, система межведомственного электронного документооборота).

Защитить информацию в ГИС и провести аттестацию помогут специалисты
Контур-Безопасность.

Это ГИС. Что делать?

Приказ ФСТЭК 17 предписывает проведение следующих мероприятий по защите информации к операторам ГИС:

  • формирование требований к защите информации, содержащейся в информационной системе;
  • разработка системы защиты информации информационной системы;
  • внедрение системы защиты информации информационной системы;
  • аттестация информационной системы по требованиям защиты информации (далее — аттестация ИСПДн) и ввод ее в действие;
  • обеспечение защиты информации в ходе эксплуатации аттестованной информационной системы;
  • обеспечение защиты информации при выводе из эксплуатации аттестованной информационной системы или после принятия решения об окончании обработки информации.

Организации, которые подключены к государственным информационным системам, должны выполнить следующие действия:

1. Провести классификацию ИС и определить угрозы безопасности.

Классификация ИС проводится в соответствии с пунктом 14.2 17 приказа ФСТЭК.

Угрозы безопасности информации определяются по результатам

  • оценки возможностей нарушителей;
  • анализа возможных уязвимостей информационной системы;
  • анализа (или моделирования) возможных способов реализации угроз безопасности информации;
  • оценки последствий от нарушения свойств безопасности информации (конфиденциальности, целостности, доступности).

2. Сформировать требования к системе обработки информации.

Требования к системе должны содержать:

  • цель и задачи обеспечения защиты информации в информационной системе;
  • класс защищенности информационной системы;
  • перечень нормативных правовых актов, методических документов и национальных стандартов, которым должна соответствовать информационная система;
  • перечень объектов защиты информационной системы;
  • требования к мерам и средствам защиты информации, применяемым в информационной системе.

3. Разработать систему защиты информации информационной системы.

Для этого необходимо провести:

  • проектирование системы защиты информации информационной системы;
  • разработку эксплуатационной документации на систему защиты информации информационной системы;
  • макетирование и тестирование системы защиты информации информационной системы.

4. Провести внедрение системы защиты информации информационной системы, а именно:

  • установку и настройку средств защиты информации в информационной системе;
  • разработку документов, определяющих правила и процедуры, реализуемые оператором для обеспечения защиты информации в информационной системе в ходе ее эксплуатации (далее — организационно-распорядительные документы по защите информации);
  • внедрение организационных мер защиты информации;
  • предварительные испытания системы защиты информации информационной системы;
  • опытную эксплуатацию системы защиты информации информационной системы;
  • проверку построенной системы защиты информации на уязвимость;
  • приемочные испытания системы защиты информации информационной системы.

5. Аттестовать ИСПДн:

  • провести аттестационные испытания;
  • получить на руки аттестат соответствия.

Существует распространенное мнение, что для прохождения проверки контролирующих органов достаточно наличия организационно-распорядительных документов, поэтому операторы ГИС зачастую пренебрегают внедрением средств защиты. Действительно, Роскомнадзор уделяет пристальное внимание именно документам и реализации организационно-распорядительных мер по защите ПДн в организации. Однако в случае возникновения вопросов к проверке могут быть привлечены специалисты из ФСТЭК и ФСБ. При этом ФСТЭК очень внимательно смотрит на состав технической защиты информации и проверяет правильность составления модели угроз, а ФСБ проверяет реализацию требований, касающихся использования средств криптографической защиты информации.

Олег Нечеухин, эксперт по защите информационных систем, «Контур-Безопасность»

Ссылка на основную публикацию
Adblock
detector