Приложение. Методические рекомендации по обеспечению защиты информации в государственных информационных системах. Приказ Министерства цифровых технологий и связи Калининградской области от 12.07.2021 N 273 "Об утверждении методических рекомендаций по обеспечению защиты информации в государственных информационных системах"

Приложение
к Приказу Министерства
цифровых технологий и связи
Калининградской области
от 12 июля 2021 г. N 273

Методические рекомендации
по обеспечению защиты информации в государственных информационных системах

Перечень сокращений

В настоящем документе используются сокращения, приведенные в таблице 1.

Таблица 1. Перечень сокращений

Сокращение	Обозначение
ГИС	Государственная информационная система
ГОСТ	Государственный стандарт
ЗИ	Защита информации
ИБ	Информационная безопасность
ОИВ	Органы исполнительной власти Калининградской области
Организация	Государственное учреждение Калининградской области и иная организация, подведомственные органам исполнительной власти Калининградской области
ФСБ России	Федеральная служба безопасности Российской Федерации
ФСТЭК	Федеральная служба по техническому и экспортному контролю Российской Федерации

Перечень терминов

В настоящем документе используются термины, приведенные в таблице 2.

Таблица 2. Перечень терминов

Термин	Определение	Источник
Атака	Целенаправленные действия нарушителя с использованием технических и (или) программных средств с целью нарушения заданных характеристик безопасности, защищаемой криптосредством информации или с целью создания условий для этого	Приказ ФСБ России от 10.07.2014 N 378
Аттестационные испытания	Определение количественных и качественных характеристик объекта информатизации и его системы ЗИ с целью оценки их соответствия требованиям безопасности информации	ГОСТ РО 0043-004-2013 "Защита информации. Аттестация объектов информатизации. Программа и методики аттестационных испытаний"
Аттестация объектов информатизации	Комплекс организационных и технических мероприятий, в результате которых подтверждается соответствие системы ЗИ объекта информатизации требованиям безопасности информации	ГОСТ РО 0043-004-2013 "Защита информации. Аттестация объектов информатизации. Программа и методики аттестационных испытаний"
Безопасность информации	Состояние защищенности информации (данных), при котором обеспечены ее (их) конфиденциальность, доступность и целостность	ГОСТ Р 50922-2006 "Защита информации. Основные термины и определения"
Виртуализация	Группа технологий, основанных на преобразовании формата или параметров программных или сетевых запросов к компьютерным ресурсам с целью обеспечения независимости процессов обработки информации от программной или аппаратной платформы информационной системы	ГОСТ Р 56938-2016 "Защита информации. Защита информации при использовании технологий виртуализации. Общие положения"
Вспомогательные технические средства и системы	Технические средства и системы, не предназначенные для передачи, обработки и хранения защищаемой информации, устанавливаемые совместно с основными техническими средствами и системами или в защищаемых помещениях	Специальные требования и рекомендации по защите конфиденциальной информации от утечки по техническим каналам (СТР-К)
ГИС	Федеральные информационные системы и региональные информационные системы, созданные на основании соответственно федеральных законов, законов субъектов Российской Федерации, на основании правовых актов государственных органов	Федеральный закон от 27.07.2006 N 149-ФЗ "Об информации, информационных технологиях и о защите информации"
Государственный информационный ресурс	Информация, содержащаяся в ГИС, а также иные имеющиеся в распоряжении государственных органов сведения и документы	Федеральный закон от 27.07.2006 N 149-ФЗ "Об информации, информационных технологиях и о защите информации"
Доступ к информации	Возможность получения информации и ее использования	Федеральный закон от 27.07.2006 N 149-ФЗ "Об информации, информационных технологиях и о защите информации"
Доступность информации (ресурсов информационной системы)	Состояние информации (ресурсов автоматизированной информационной системы), при котором субъекты, имеющие право доступа, могут реализовать их беспрепятственно	Р 50.1.056-2005 "Техническая защита информации. Основные термины и определения"
ЗИ	Деятельность, направленная на предотвращение утечки защищаемой информации, несанкционированных и непреднамеренных воздействий на защищаемую информацию	ГОСТ Р 50922-2006 "Защита информации. Основные термины и определения"
ЗИ от несанкционированного доступа	ЗИ, направленная на предотвращение получения защищаемой информации заинтересованными субъектами с нарушением установленных нормативными и правовыми документами (актами) или обладателями информации прав или правил разграничения доступа к защищаемой информации	ГОСТ Р 50922-2006 "Защита информации. Основные термины и определения"
Информационно-телекоммуникационная сеть	Технологическая система, предназначенная для передачи по линиям связи информации, доступ к которой органов и организаций осуществляется с использованием средств вычислительной техники	Федеральный закон от 27.07.2006 N 149-ФЗ "Об информации, информационных технологиях и о защите информации"
Информация	Сведения (сообщения, данные), независимо от формы их представления	Федеральный закон от 27.07.2006 N 149-ФЗ "Об информации, информационных технологиях и о защите информации"
Информация ограниченного доступа	Информация, доступ к которой ограничен федеральными законами	Федеральный закон от 27.07.2006 N 149-ФЗ "Об информации, информационных технологиях и о защите информации"
Источник угрозы безопасности информации	Субъект (физическое лицо, материальный объект или физическое явление), являющийся непосредственной причиной возникновения угрозы безопасности информации	ГОСТ Р 50922-2006 "Защита информации. Основные термины и определения"
Информационная система	Совокупность содержащейся в базах данных информации и обеспечивающих ее обработку информационных технологий и технических средств	Федеральный закон от 27.07.2006 N 149-ФЗ "Об информации, информационных технологиях и о защите информации"
Информационные технологии	Процессы, методы поиска, сбора, хранения, обработки, предоставления, распространения информации и способы осуществления таких процессов и методов	Федеральный закон от 27.07.2006 N 149-ФЗ "Об информации, информационных технологиях и о защите информации"
Инцидент ИБ	Одно или несколько нежелательных или неожидаемых событий информационной безопасности, которые со значительной вероятностью приводят к компрометации бизнес-операций и создают угрозы для ИБ	ГОСТ Р ИСО/МЭК 27000-2012 "Информационная технология (ИТ). Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Общий обзор и терминология"
Конфиденциальность информации	Обязательное для выполнения лицом, получившим доступ к определенной информации, требование не передавать такую информацию третьим лицам без согласия ее обладателя	Федеральный закон от 27.07.2006 N 149-ФЗ "Об информации, информационных технологиях и о защите информации"
Лицензирование в области ЗИ	Деятельность, заключающаяся в проверке (экспертизе) возможностей юридического лица выполнять работы в области ЗИ в соответствии с установленными требованиями и выдаче разрешения на выполнение этих работ	ГОСТ Р 50922-2006 "Защита информации. Основные термины и определения"
Модель угроз безопасности информации	Физическое, математическое, описательное представление свойств или характеристик угроз безопасности информации	ГОСТ Р 53114-2008 "Защита информации. Обеспечение информационной безопасности в организации. Основные термины и определения"
Нарушитель безопасности информации	Физическое лицо или логический объект, случайно или преднамеренно совершившие действие, следствием которого является нарушение ИБ организации	ГОСТ Р 53114-2008 "Защита информации. Обеспечение информационной безопасности в организации. Основные термины и определения"
Недекларированные возможности (программного обеспечения)	Функциональные возможности средств вычислительной техники и программного обеспечения, не описанные или не соответствующие описанным в документации, которые могут привести к снижению или нарушению свойств безопасности информации	ГОСТ Р 53114-2008 "Защита информации. Обеспечение информационной безопасности в организации. Основные термины и определения"
Обладатель информации	Лицо, самостоятельно создавшее информацию либо получившее на основании закона или договора право разрешать или ограничивать доступ к информации, определяемой по каким-либо признакам	Федеральный закон от 27.07.2006 N 149-ФЗ "Об информации, информационных технологиях и о защите информации"
Оператор информационной системы	Гражданин или юридическое лицо, осуществляющие деятельность по эксплуатации информационной системы, в том числе по обработке информации, содержащейся в ее базах данных	Федеральный закон от 27.07.2006 N 149-ФЗ "Об информации, информационных технологиях и о защите информации"
Основные технические средства и системы	Технические средства и системы, а также их коммуникации, используемые для обработки, хранения и передачи защищаемой информации	Специальные требования и рекомендации по защите конфиденциальной информации от утечки по техническим каналам (СТР-К)
Оценка соответствия требованиям по защите информации	Прямое или косвенное определение степени соблюдения требований по защите информации, предъявляемых к объекту защиты, информации	ГОСТ Р 50922-2006 "Защита информации. Основные термины и определения"
Персональные данные	Любая информация, относящаяся прямо или косвенно к определенному или определяемому физическому лицу (субъекту персональных данных)	Федеральный закон от 27.07.2006 N 152-ФЗ "О персональных данных"
Пользователь (автоматизированной системы)	Лицо, участвующее в функционировании автоматизированной системы или использующее результаты ее функционирования	ГОСТ 34.003-90 "Информационная технология (ИТ). Комплекс стандартов на автоматизированные системы. Автоматизированные системы. Термины и определения"
Потенциал нарушителя	Мера усилий, затрачиваемых нарушителем при реализации угроз безопасности информации в информационной системе	На основе методического документа "Меры защиты информации в государственных информационных системах" (утв. ФСТЭК России 11.02.2014)
Сертификация на соответствие требованиям по безопасности информации	Форма осуществляемого органом по сертификации подтверждения соответствия объектов оценки требованиям по безопасности информации, установленным техническими регламентами, стандартами или условиями договоров	ГОСТ Р 50922-2006 "Защита информации. Основные термины и определения"
Система ЗИ	Совокупность органов и (или) исполнителей, используемой ими техники ЗИ, а также объектов ЗИ, организованная и функционирующая по правилам и нормам, установленным соответствующими документами в области ЗИ	ГОСТ Р 50922-2006 "Защита информации. Основные термины и определения"
Системная программа (программное обеспечение)	Программа, предназначенная для поддержания работоспособности системы обработки информации или повышения эффективности ее использования в процессе выполнения прикладных программ	ГОСТ 19781-90 "Обеспечение систем обработки информации программное. Термины и определения"
Среда функционирования криптосредства	Компоненты аппаратных и программных средств, совместно с которыми штатно функционирует криптосредство и которые способны повлиять на выполнение предъявляемых к криптосредству требований	Приказ ФСБ России от 10.07.2014 N 378
Средства вычислительной техники	Совокупность программных и технических элементов систем обработки данных, способных функционировать самостоятельно или в составе других систем	ГОСТ Р 50739-95 "Средства вычислительной техники. Защита от несанкционированного доступа к информации. Общие технические требования"
Средство ЗИ	Техническое, программное, программно-техническое средство, вещество и/или материал, предназначенные или используемые для ЗИ	ГОСТ Р 50922-2006 "Защита информации. Основные термины и определения"
Субъект доступа	Лицо или единица ресурса информационной системы, действия которого по доступу к ресурсам информационной системы регламентируются правилами разграничения доступа	Р 50.1.056-2005 "Техническая защита информации. Основные термины и определения"
Техническое средство	Средства вычислительной техники, информационно-вычислительные комплексы и сети, средства и системы передачи, приема и обработки персональных данных (средства и системы звукозаписи, звукоусиления, звуковоспроизведения, переговорные и телевизионные устройства, средства изготовления, тиражирования документов и другие технические средства обработки речевой, графической, видео- и буквенно-цифровой информации), программные средства (операционные системы, системы управления базами данных и т.п.), средства ЗИ	Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных (выписка) (утв. ФСТЭК России 15.02.2008)
Требование по защите информации	Установленное правило или норма, которая должна быть выполнена при организации и осуществлении ЗИ, или допустимое значение показателя эффективности ЗИ	ГОСТ Р 50922-2006 "Защита информации. Основные термины и определения"
Угроза безопасности информации	Совокупность условий и факторов, создающих потенциальную или реально существующую опасность нарушения безопасности информации	ГОСТ Р 50922-2006 "Защита информации. Основные термины и определения"
Уязвимость информационной системы	Свойство информационной системы, предоставляющее возможность реализации угроз безопасности обрабатываемой в ней информации	ГОСТ Р 50922-2006 "Защита информации. Основные термины и определения"
Целостность информации	Состояние информации, при котором отсутствует любое ее изменение либо изменение осуществляется только преднамеренно субъектами, имеющими на него право	Р 50.1.056-2005 "Техническая защита информации. Основные термины и определения"
Шифровальные (криптографические) средства (средства криптографической ЗИ), документация на эти средства	а) средства шифрования - аппаратные, программные и программно-аппаратные шифровальные (криптографические) средства, реализующие алгоритмы криптографического преобразования информации для ограничения доступа к ней, в том числе при ее хранении, обработке и передаче; б) средства имитозащиты - аппаратные, программные и программно-аппаратные шифровальные (криптографические) средства (за исключением средств шифрования), реализующие алгоритмы криптографического преобразования информации для ее защиты от навязывания ложной информации, в том числе защиты от модифицирования, для обеспечения ее достоверности и некорректируемости, а также обеспечения возможности выявления изменений, имитации, фальсификации или модифицирования информации; в) средства электронной подписи; г) средства кодирования - средства шифрования, в которых часть криптографических преобразований информации осуществляется с использованием ручных операций или с использованием автоматизированных средств, предназначенных для выполнения таких операций; д) средства изготовления ключевых документов - аппаратные, программные, программно-аппаратные шифровальные (криптографические) средства, обеспечивающие возможность изготовления ключевых документов для шифровальных (криптографических) средств, не входящие в состав этих шифровальных (криптографических) средств; е) ключевые документы - электронные документы на любых носителях информации, а также документы на бумажных носителях, содержащие ключевую информацию ограниченного доступа для криптографического преобразования информации с использованием алгоритмов криптографического преобразования информации (криптографический ключ) в шифровальных (криптографических) средствах; ж) аппаратные шифровальные (криптографические) средства - устройства и их компоненты, в том числе содержащие ключевую информацию, обеспечивающие возможность преобразования информации в соответствии с алгоритмами криптографического преобразования информации без использования программ для электронных вычислительных машин; з) программные шифровальные (криптографические) средства - программы для электронных вычислительных машин и их части, в том числе содержащие ключевую информацию, обеспечивающие возможность преобразования информации в соответствии с алгоритмами криптографического преобразования информации в программно-аппаратных шифровальных (криптографических) средствах, информационных системах и телекоммуникационных системах, защищенных с использованием шифровальных (криптографических) средств; и) программно-аппаратные шифровальные (криптографические) средства - устройства и их компоненты (за исключением информационных систем и телекоммуникационных систем), в том числе содержащие ключевую информацию, обеспечивающие возможность преобразования информации в соответствии с алгоритмами криптографического преобразования информации с использованием программ для электронных вычислительных машин, предназначенных для осуществления этих преобразований информации или их части	Постановление Правительства Российской Федерации от 16.04.2012 N 313 "Об утверждении Положения о лицензировании деятельности по разработке, производству, распространению шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств, выполнению работ, оказанию услуг в области шифрования информации, техническому обслуживанию шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств (за исключением случая, если техническое обслуживание шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств, осуществляется для обеспечения собственных нужд юридического лица или индивидуального предпринимателя)"

1. Общие положения

Настоящие Методические рекомендации по обеспечению ЗИ в ГИС (далее - Методические рекомендации) содержат описание состава и содержания мероприятий по обеспечению ЗИ ограниченного доступа, не содержащей сведений, составляющих государственную тайну, при обработке указанной информации в ГИС и предназначены для использования в ОИВ и организациях, являющихся заказчиками, заключившими государственный контракт на создание ГИС (далее - Заказчики), и (или) операторами ГИС.

ЗИ, содержащейся в ГИС, является составной частью работ по созданию и эксплуатации ГИС и обеспечивается путем реализации организационных и технических мер ЗИ, направленных на блокирование (нейтрализацию) угроз безопасности информации в ГИС, в том числе с использованием системы (подсистемы) ЗИ ГИС (далее - система ЗИ ГИС).

Реализуемые организационные и технические меры ЗИ, в зависимости от видов информации, содержащейся в ГИС, целей создания ГИС и задач, решаемых ГИС, должны быть направлены на исключение:

- неправомерных доступа, копирования, предоставления или распространения информации (обеспечение конфиденциальности информации);

- неправомерных уничтожения или модифицирования информации (обеспечение целостности информации);

- неправомерного блокирования информации (обеспечение доступности информации).

Обеспечение ЗИ, содержащейся в ГИС, предусматривает выполнение следующих основных мероприятий (этапов):

- создание системы (подсистемы) ЗИ ГИС;

- аттестация ГИС по требованиям ЗИ;

- обеспечение ЗИ в ходе эксплуатации аттестованной ГИС;

- обеспечение ЗИ при выводе из эксплуатации аттестованной ГИС или после принятия решения об окончании обработки информации.

В Методических рекомендациях для каждого из перечисленных мероприятий (этапов) определены необходимые к разработке и утверждению в ОИВ и организациях организационно-распорядительные документы в области организации ЗИ, содержащейся в ГИС, а также приведены примеры таких документов.

ОИВ и организации самостоятельно определяют потребность в разработке отсутствующих и (или) актуализации действующих организационно-распорядительных документов в области организации ЗИ, содержащейся в ГИС, и вправе вносить изменения в примеры организационно-распорядительных документов при условии соблюдения требований законодательства Российской Федерации в сфере ЗИ.

ОИВ и организации несут ответственность за содержание организационно-распорядительных документов, разработанных и актуализированных ими на основании представленных в Методических рекомендациях примеров.

При разработке и актуализации организационно-распорядительной документации в области организации ЗИ, содержащейся в ГИС, необходимо учитывать требования эксплуатационной документации на данную ГИС.

Настоящие Методические рекомендации также могут применяться при организации защиты общедоступной информации, обрабатываемой в ГИС, для достижения целей, указанных в пунктах 1 и 3 части 1 статьи 16 Федерального закона от 27 июля 2006 года N 149-ФЗ "Об информации, информационных технологиях и о защите информации".

2. Основания для разработки

Настоящие Методические рекомендации, включая примеры организационно-распорядительных документов в области организации ЗИ, содержащейся в ГИС, разработаны в соответствии с требованиями законодательства Российской Федерации и государственных стандартов:

- Федерального закона от 27 июля 2006 года N 149-ФЗ "Об информации, информационных технологиях и о защите информации";

- Федерального закона от 27 июля 2006 года N 152-ФЗ "О персональных данных";

- постановления Правительства РФ от 6 июля 2015 года N 676 "О требованиях к порядку создания, развития, ввода в эксплуатацию, эксплуатации и вывода из эксплуатации государственных информационных систем и дальнейшего хранения содержащейся в их базах данных информации";

- постановления Правительства Российской Федерации от 1 ноября 2012 года N 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных";

- Закона Калининградской области от 24 апреля 2018 года N 165 "О правовом регулировании отдельных вопросов в сфере создания, модернизации и эксплуатации государственных информационных систем Калининградской области";

- приказа ФСТЭК России от 11 февраля 2013 года N 17 "Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах";

- приказа ФСТЭК России от 18 февраля 2013 года N 21 "Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных";

- приказа ФСБ России от 10 июля 2014 года N 378 "Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности";

- приказа ФСБ России от 9 февраля 2005 года N 66 "Об утверждении положения о разработке, производстве, реализации и эксплуатации шифровальных (криптографических) средств защиты информации (положение ПКЗ-2005)";

- приказа Гостехкомиссии России от 30 августа 2002 года N 282 "Специальные требования и рекомендации по технической защите конфиденциальной информации (СТР-К)";

- приказа ФАПСИ от 13 июня 2001 года N 152 "Об утверждении инструкции об организации и обеспечении безопасности хранения, обработки и передачи по каналам связи с использованием средств криптографической защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну";

- Методики определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных, утверждена ФСТЭК России 14 февраля 2008 года;

- методического документа ФСТЭК России "Меры защиты информации в государственных информационных системах", утвержден ФСТЭК России 11 февраля 2014 года;

- Методических рекомендаций по разработке нормативных правовых актов, определяющих угрозы безопасности персональных данных, актуальные при обработке персональных данных в информационных системах персональных данных, эксплуатируемых при осуществлении соответствующих видов деятельности, утверждены ФСБ России 31 марта 2015 года, N 149/7/2/6-432;

- ГОСТ 34.601-90 "Информационная технология. Комплекс стандартов на автоматизированные системы. Автоматизированные системы. Стадии создания";

- ГОСТ 34.602-89 "Информационная технология. Комплекс стандартов на автоматизированные системы. Техническое задание на создание автоматизированной системы";

- ГОСТ 34.603-92 "Информационная технология. Виды испытаний автоматизированных систем";

- ГОСТ 34.201-89 "Информационная технология. Комплекс стандартов на автоматизированные системы. Виды, комплексность и обозначение документов при создании автоматизированных систем";

- ГОСТ 34.003-90 "Информационная технология. Комплекс стандартов на автоматизированные системы. Автоматизированные системы. Термины и определения";

- ГОСТ РО 0043-003-2012 "Защита информации. Аттестация объектов информатизации. Общие положения";

- ГОСТ РО 0043-004-2013 "Защита информации. Аттестация объектов информатизации. Программа и методики аттестационных испытаний";

- ГОСТ Р 51583-2014 "Защита информации. Порядок создания автоматизированных систем в защищенном исполнении. Общие положения";

- ГОСТ 51624-2000 "Защита информации. Автоматизированные системы в защищенном исполнении. Общие требования".

3. Создание системы ЗИ ГИС

Процесс создания системы ЗИ ГИС включает в себя следующие основные мероприятия:

1) формирование требований к ЗИ, содержащейся в ГИС, включая:

- принятие решения о необходимости ЗИ, содержащейся в ГИС;

- классификацию ГИС по требованиям ЗИ;

- определение угроз безопасности информации, реализация которых может привести к нарушению безопасности информации в ГИС;

- описание совокупности предположений о возможностях, которые могут использоваться при создании способов, подготовке и проведении атак, для нейтрализации которых должны применяться СКЗИ (в случае принятия решения об использовании средств криптографической ЗИ для обеспечения безопасности информации, содержащейся в ГИС);

- разработку на основе определенных угроз модели угроз безопасности информации в соответствии с нормативно-методическими документами ФСТЭК России и ФСБ России;

- определение требований к системе ЗИ ГИС;

2) разработку системы ЗИ ГИС, включая:

- проектирование системы ЗИ ГИС;

- разработку эксплуатационной документации на систему ЗИ ГИС;

- макетирование и тестирование системы ЗИ ГИС;

3) внедрение системы ЗИ ГИС, включая:

- установку и настройку средств ЗИ;

- разработку организационно-распорядительных документов по ЗИ;

- внедрение организационных мер ЗИ;

- проведение предварительных испытаний системы ЗИ ГИС;

- проведение опытной эксплуатации системы ЗИ ГИС;

- анализ уязвимостей ГИС и принятие мер ЗИ по их устранению;

- проведение приемочных испытаний системы ЗИ ГИС;

4) аттестацию ГИС по требованиям ЗИ (далее - аттестация ГИС).

Для обеспечения эффективного выполнения перечисленных мероприятий рекомендуется определить ответственное структурное подразделение или должностное лицо (работника) ОИВ или организации.

В качестве исполнителей (соисполнителей) мероприятий могут привлекаться сторонние организации, оказывающие соответствующие услуги на основании заключенных государственных контрактов и имеющие лицензии ФСТЭК России и ФСБ России на осуществление необходимых видов деятельности.

3.1. Формирование требований к ЗИ, содержащейся в ГИС

Формирование требований к ЗИ, содержащейся в ГИС, осуществляется Заказчиком или оператором ГИС.

3.1.1. Принятие решения о необходимости ЗИ, содержащейся в ГИС

При принятии решения о необходимости ЗИ, содержащейся в ГИС, необходимо:

- осуществить анализ целей создания ГИС и решаемых ею задач, определяемых в правовом акте о создании ГИС;

- определить информацию, подлежащую обработке в ГИС;

- осуществить анализ нормативных правовых актов, методических документов и национальных стандартов, которым должна соответствовать ГИС;

- принять решение о необходимости создания системы ЗИ ГИС, определив цели и задачи ЗИ в ГИС.

При определении информации, подлежащей обработке в ГИС, учитываются следующие виды информации:

- персональные данные субъектов персональных данных;

- информация, являющаяся государственным информационным ресурсом;

- служебная технологическая информация ограниченного распространения;

- общедоступная информация.

Персональные данные субъектов персональных данных подразделяются на категории:

- биометрические персональные данные;

- специальные категории персональных данных;

- общедоступные персональные данные;

- иные категории персональных данных.

К информации, являющейся государственным информационным ресурсом, относятся сведения, содержащиеся в ГИС и обрабатывающиеся в соответствии с целями ее создания.

К служебной технологической информации ограниченного распространения относятся:

- идентификационная и аутентификационная информация;

- сведения, содержащиеся в эксплуатационной и иной технической документации на компоненты вычислительной инфраструктуры ГИС и на систему защиты ГИС;

- содержимое конфигурационных файлов и регистрационных записей сетевого оборудования, аппаратных и программных средств ГИС, средств ЗИ;

- содержимое регистрационных записей системного, специального и прикладного программного обеспечения ГИС;

- сведения о технических параметрах ГИС.

К общедоступной информации относятся сведения, находящиеся в открытом доступе и используемые в ГИС.

3.1.2. Классификация ГИС по требованиям ЗИ

Классификация ГИС по требованиям ЗИ проводится для установления соответствующего ей класса защищенности, каждому из которых соответствует определенный набор требований по ЗИ (состав мер защиты).

Значение определяемого класса защищенности ГИС зависит от:

- уровня значимости обрабатываемой в ГИС информации (высокий, средний, низкий);

- масштаба ГИС (федеральный, региональный, объектовый).

Классификация ГИС по требованиям ЗИ проводится Заказчиком или оператором ГИС.

Класс защищенности ГИС определяется специально созданной комиссией в соответствии с приложением N 1 к приказу ФСТЭК России от 11 февраля 2013 года N 17 "Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах". Форма приказа (распоряжения) о создании комиссии приведена в приложении к Методическим рекомендациям.

Класс защищенности может быть определен как для ГИС в целом, так и при необходимости для ее отдельных сегментов (составных частей).

Результаты классификации ГИС должны оформляться протоколом заседания комиссии и соответствующим актом (форма протокола и акта классификации ГИС приведена в приложении к Методическим рекомендациям).

Класс защищенности ГИС подлежит пересмотру при изменении масштаба ГИС или значимости обрабатываемой в ней информации.

В случае обработки в ГИС информации, содержащей персональные данные, необходимо дополнительно определить уровень защищенности персональных данных, обрабатываемых в ГИС, в зависимости от:

- категории обрабатываемых персональных данных (специальные категории персональных данных, биометрические персональные данные, общедоступные персональные данные, иные персональные данные);

- количества субъектов персональных данных, данные которых обрабатываются в ГИС (более 100000 субъектов персональных данных, менее 100000 субъектов персональных данных);

- принадлежности субъектов персональных данных, данные которых обрабатываются в ГИС, к работникам ОИВ или организации (работник, не работник);

- типа актуальных угроз (первый, второй, третий).

Уровень защищенности персональных данных, обрабатываемых в ГИС, определяется указанной выше комиссией (одновременно с установлением класса защищенности ГИС) в соответствии с Требованиями к защите персональных данных при их обработке в информационных системах персональных данных, утвержденными постановлением Правительства Российской Федерации от 1 ноября 2012 года N 1119 (методика определения уровня защищенности персональных данных, обрабатываемых в ГИС, приведена в приложении к Методическим рекомендациям).

В случае, если определенный уровень защищенности персональных данных, обрабатываемых в ГИС, выше чем установленный класс защищенности, то осуществляется повышение 1 класса защищенности до значения, обеспечивающего выполнение требований к значению уровня защищенности.

Результаты определения уровня защищенности персональных данных, обрабатываемых в ГИС, должны оформляться одновременно с результатами определения класса защищенности ГИС протоколом заседания комиссии и соответствующим актом (форма протокола и акта классификации ГИС при обработке персональных данных приведена в приложении к Методическим рекомендациям).

3.1.3. Определение угроз безопасности информации

3.1.3.1. Угрозы безопасности информации

Определение угроз безопасности информации направлено на установление возможности нарушения конфиденциальности, целостности или доступности информации, содержащейся в ГИС, и наступления вследствие реализации такой возможности этого негативных последствий (ущерба) для Заказчика (оператора) ГИС в социальной, политической, международной, экономической, финансовой или иных областях деятельности, а в случае обработки персональных данных - и для субъектов персональных данных.

Угрозы безопасности информации определяются по результатам оценки возможностей (потенциала) внешних и внутренних нарушителей, анализа возможных уязвимостей ГИС, возможных способов реализации угроз безопасности информации и последствий от нарушения свойств безопасности информации (конфиденциальности, целостности, доступности). В качестве исходных данных для определения угроз безопасности информации используется банк данных угроз безопасности информации 2, ведение которого осуществляется ФСТЭК России, а также иные источники, содержащие сведения об уязвимостях и угрозах безопасности информации.

При определении угроз безопасности информации учитываются структурно-функциональные характеристики ГИС, физические, логические, функциональные и технологические взаимосвязи между сегментами ГИС, а также с иными информационными системами и информационно-телекоммуникационными сетями, режимы обработки информации в ГИС и ее отдельных сегментах, а также иные характеристики ГИС, применяемые информационные технологии и особенности функционирования ГИС.

Модель угроз безопасности информации должна включать в себя описания:

- ГИС и ее структурно-функциональных характеристик;

- угроз безопасности информации;

- возможностей нарушителей;

- возможных уязвимостей ГИС;

- способов реализации угроз безопасности информации и последствий от нарушения свойств безопасности информации.

Для определения угроз безопасности информации и разработки модели угроз безопасности информации необходимо использовать Методику определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных 3 (утв. ФСТЭК России 14 февраля 2008 года).

Также для определения угроз безопасности информации и разработки модели угроз безопасности информации рекомендуется использовать проект Методики определения угроз безопасности информации в информационных системах 4.

Пример типовой модели угроз безопасности информации, обрабатываемой в ГИС, приведен в приложении к Методическим рекомендациям.

В общем случае разработка модели угроз безопасности информации осуществляется в 3 этапа:

1. Определение области оценки угроз безопасности информации.

Оценка угроз безопасности информации осуществляется для ГИС в целом в отношении каждого технологического уровня 5 ГИС, при этом из области оценки исключаются компоненты ГИС, входящие в состав технологических уровней ГИС, в отношении которых Заказчик или оператор ГИС не осуществляет эксплуатацию. В этом случае необходимо указать документы, на основании которых были сделаны выводы о нейтрализации угроз безопасности информации в отношении таких компонентов.

2. Определение возможностей нарушителей.

Этап определения возможностей нарушителей включает в себя следующие подэтапы:

1) определение типов нарушителей (внешние и внутренние) и видов 6 нарушителей, их возможных целей и потенциала (низкий, средний, высокий) нападения при реализации угроз безопасности информации в ГИС.

Возможности каждого вида нарушителя по реализации угроз безопасности информации характеризуются его потенциалом. В свою очередь, потенциал нарушителя определяется компетентностью, ресурсами и мотивацией, требуемыми для реализации угроз безопасности информации в ГИС с заданными структурно-функциональными характеристиками и особенностями функционирования;

2) проведение оценки актуальности и/или отнесения к доверенным лицам нарушителя (определение потенциальных нарушителей безопасности информации).

Оценка актуальности нарушителя соответствующего вида и (или) отнесения нарушителя к доверенным лицам осуществляется с учетом категорий обрабатываемой в ГИС информации, структурно-функциональных характеристик ГИС и особенностей ее функционирования, степени ущерба, который может быть причинен Заказчику или оператору от реализации угроз безопасности информации, характера взаимоотношений с внешними организациями;

3) определение применимых технологических уровней ГИС, входящих в область оценки угроз безопасности информации, в отношении которых потенциальный нарушитель имеет возможности по реализации угроз безопасности информации.

Оценка применимых технологических уровней ГИС проводится для каждого вида потенциального нарушителя.

3. Определение актуальных угроз безопасности информации.

Этап определения актуальных угроз безопасности информации состоит из следующих подэтапов:

1) определение базового перечня угроз безопасности информации для технологических уровней ГИС, выявленных на втором этапе;

2) адаптация базового перечня угроз безопасности информации.

Адаптация базового перечня угроз безопасности информации осуществляется путем рассмотрения структурно-функциональных характеристик ГИС, применяемых информационных технологий, потенциала возможных актуальных нарушителей и класса защищенности ГИС - в результате из базового перечня угроз безопасности информации исключаются неприменимые угрозы безопасности информации;

3) определение достаточности потенциала нарушителя для реализации определенных базовых угроз безопасности информации;

4) определение актуальных угроз безопасности информации в отношении адаптированного базового перечня угроз безопасности информации в соответствии с методическими документами ФСТЭК России.

В случае принятия решения об использовании средств криптографической ЗИ для обеспечения безопасности информации, содержащейся в ГИС, в модели угроз безопасности информации, обрабатываемой в ГИС, должна быть дополнительно описана совокупность предположений о возможностях, которые могут использоваться при создании способов, подготовке и проведении атак, для нейтрализации которых должны применяться СКЗИ.

При разработке совокупности предположений необходимо руководствоваться документом "Методические рекомендации по разработке нормативных правовых актов, определяющих угрозы безопасности персональных данных, актуальные при обработке персональных данных в информационных системах персональных данных, эксплуатируемых при осуществлении соответствующих видов деятельности" 7 (утв. приказом ФСБ России 31 марта 2015 года за N 149/7/2/6-432).

Далее на основании совокупности предположений о возможностях, которые могут использоваться при создании способов, подготовке и проведении атак, и с учетом типа актуальных угроз безопасности информации определяется требуемый класс СКЗИ, применяемых для защиты персональных данных и иной информации ограниченного доступа, обрабатываемой в ГИС.

Указанный класс определяется путем оценки возможностей потенциальных нарушителей по созданию способов, подготовке и проведению атак в соответствии с приказом ФСБ России от 10 июля 2014 года N 378 "Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности" 8.

3.1.3.2. Согласование модели угроз безопасности информации, обрабатываемой в ГИС, с регуляторами в сфере ЗИ

Проект разработанной модели угроз безопасности информации, обрабатываемый в ГИС, подлежит согласованию с Управлением ФСТЭК России по Северо-Западному федеральному округу и с ФСБ России и направляется на согласование от лица Заказчика либо оператора ГИС (формы исходящих писем о направлении на согласование модели угроз безопасности информации, обрабатываемой в ГИС, во ФСТЭК России и ФСБ России приведены в приложениях к Методическим рекомендациям).

3.1.3.3. Плановый и внеплановый пересмотр результатов определения угроз безопасности информации

Разработанная модель угроз безопасности информации, обрабатываемой в ГИС, подлежит пересмотру на плановой (регулярной) основе с периодичностью не реже одного раза в 3 года, а также на внеплановой основе в следующих случаях:

- изменения законодательства Российской Федерации в области ЗИ и требований нормативных правовых актов и методических документов в области защиты конфиденциальной информации, в том числе с использованием СКЗИ;

- по результатам проведения мероприятий по контролю за выполнением требований к обеспечению безопасности информации при ее обработке в ГИС;

- модернизации ГИС;

- изменения условий размещения компонентов ГИС;

- выявления уязвимостей ГИС, приводящих к возникновению дополнительных угроз безопасности информации или повышению возможности реализации существующих;

- выявления новых источников угроз, развития способов и средств реализации угроз безопасности информации в ГИС;

- изменения информационной технологии, применяемой в ГИС, как совокупности приемов, способов и методов использования средств вычислительной техники при обработке информации;

- изменения в составе основных элементов ГИС и особенностей функционирования ГИС, которые могут повлиять на состав угроз безопасности информации. К таким элементам относятся:

основные технические средства и системы (средства вычислительной техники, информационно-вычислительные комплексы и сети, средства и системы передачи, приема и обработки информации);

программные средства (операционные системы, системы управления базами данных и т.п.);

средства ЗИ;

вспомогательные технические средства и системы;

появление сведений и фактов о новых возможностях нарушителей.

В случае модернизации ГИС актуализированная модель угроз безопасности информации, обрабатываемой в ГИС, подлежит повторному согласованию с Управлением ФСТЭК России по Северо-Западному федеральному округу и с ФСБ России.

3.1.4. Определение требований к системе ЗИ ГИС

В целях подготовки технического задания (далее - ТЗ) на создание системы ЗИ ГИС проводится определение требований к такой системе в зависимости от класса защищенности ГИС, актуальных угроз безопасности информации и в соответствии с приказом ФСТЭК России от 11 февраля 2013 года N 17 "Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах" путем выполнения следующих мероприятий:

- определение базового набора мер ЗИ для установленного класса защищенности ГИС;

- адаптация базового набора мер ЗИ с учетом структурно-функциональных характеристик ГИС, информационных технологий, особенностей функционирования ГИС (в том числе исключение мер ЗИ из базового набора мер, непосредственно связанных с информационными технологиями, не используемыми в ГИС, или структурно-функциональными характеристиками, не свойственными ГИС);

- уточнение адаптированного базового набора мер ЗИ с учетом не выбранных ранее мер ЗИ, в результате чего определяются меры ЗИ, обеспечивающие блокирование (нейтрализацию) всех актуальных угроз безопасности информации, включенных в модель угроз безопасности информации;

- дополнение уточненного адаптированного базового набора мер ЗИ мерами, обеспечивающими выполнение требований о ЗИ, установленными иными нормативными правовыми актами в области ЗИ (например, отраслевые нормативные правовые акты, устанавливающие требования по ЗИ для определенных сфер деятельности), в том числе в области защиты персональных данных.

В случае необходимости применения в составе ГИС криптографических методов ЗИ и шифровальных (криптографических) средств ЗИ, при определении требований к системе ЗИ ГИС дополнительно необходимо руководствоваться следующими документами:

- приказ ФСБ России от 10 июля 2014 года N 378 "Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности" 9;

- приказ ФСБ России от 9 февраля 2005 года N 66 "Об утверждении положения о разработке, производстве, реализации и эксплуатации шифровальных (криптографических) средств защиты информации (положение ПКЗ-2005)" 10;

- приказ ФАПСИ от 13 июня 2001 года N 152 "Об утверждении инструкции об организации и обеспечении безопасности хранения, обработки и передачи по каналам связи с использованием средств криптографической защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну" 11.

При невозможности реализации в ГИС отдельных выбранных мер ЗИ на этапах адаптации базового набора мер ЗИ или уточнения адаптированного базового набора мер ЗИ могут быть определены иные (компенсирующие) меры ЗИ, обеспечивающие адекватное блокирование (нейтрализацию) соответствующих угроз безопасности информации. В этом случае при разработке системы ЗИ ГИС требуется провести обоснование применения компенсирующих мер ЗИ, а при аттестационных испытаниях ГИС необходимо оценить достаточность и адекватность данных компенсирующих мер для блокирования (нейтрализации) угроз безопасности информации.

Выбранные меры ЗИ реализуются в системе ЗИ ГИС применительно ко всем объектам и субъектам доступа на аппаратном, системном, прикладном и сетевом уровнях, в том числе в среде виртуализации и облачных вычислений.

Также при определении требований к системе ЗИ ГИС учитываются положения политик обеспечения ИБ Заказчика или оператора ГИС.

ТЗ на создание системы ЗИ ГИС разрабатывается с учетом:

- ГОСТ 34.602-89 "Информационная технология. Комплекс стандартов на автоматизированные системы. Техническое задание на создание автоматизированной системы" 12;

- ГОСТ Р 51583-2014 "Защита информации. Порядок создания автоматизированных систем в защищенном исполнении. Общие положения" 13;

- ГОСТ 51624-2000 "Защита информации. Автоматизированные системы в защищенном исполнении. Общие требования" 14.

Проект разработанного ТЗ подлежит согласованию с Управлением ФСТЭК России по Северо-Западному федеральному округу и направляется на согласование во ФСТЭК России от лица Заказчика либо оператора ГИС. Проект ТЗ направляется на согласование во ФСТЭК России одновременно с моделью угроз безопасности информации, обрабатываемой в ГИС.

3.2. Разработка системы ЗИ ГИС

Разработка системы ЗИ ГИС организуется Заказчиком, осуществляется в соответствии с разработанным ТЗ на создание системы ЗИ ГИС и включает в себя следующие этапы:

- проектирование системы ЗИ ГИС;

- разработка эксплуатационной документации на систему ЗИ ГИС;

- макетирование и тестирование системы ЗИ ГИС (при необходимости).

Разрабатываемая система ЗИ ГИС не должна препятствовать достижению целей создания ГИС и ее функционированию.

При разработке системы ЗИ ГИС необходимо учитывать ее информационное взаимодействие с иными информационными системами, информационно-телекоммуникационными сетями, а также способы размещения ГИС на инфраструктуре предоставляемых вычислительных ресурсов (мощностей).

3.2.1. Проектирование системы ЗИ ГИС

При проектировании системы ЗИ ГИС требуется:

- выбрать меры ЗИ, подлежащие реализации в системе ЗИ ГИС;

- определить технические решения по реализации требований к системе ЗИ ГИС;

- выбрать средства ЗИ с учетом их совместимости с информационными технологиями и техническими средствами, применяемыми в ГИС, а также с учетом функций безопасности этих средств и особенностей их реализации;

- определить структуру технических решений системы ЗИ ГИС (состав и назначение составных частей) и описание применения системы ЗИ ГИС, включая определение мест размещения компонентов средств и систем защиты, способов взаимодействия между ними, способов управления и мониторинга;

- разработать требования по реализации необходимых функций и механизмов безопасности в прикладном программном обеспечении ГИС (в случае необходимости);

- подготовить спецификацию необходимого оборудования и средств ЗИ, необходимых для создания системы ЗИ ГИС;

- определить условия внедрения системы ЗИ ГИС, включая требования к системной и сетевой инфраструктуре объектов внедрения.

При построении системы ЗИ ГИС должны использоваться средства ЗИ, сертифицированные на соответствие требованиям по безопасности информации, установленным ФСТЭК России (в части не криптографических методов ЗИ) и ФСБ России (в части криптографических методов ЗИ). При этом:

- в ГИС 1-го класса защищенности применяются средства ЗИ не ниже 4-го класса, а также средства вычислительной техники не ниже 5-го класса защищенности;

- в ГИС 2-го класса защищенности применяются средства ЗИ не ниже 5-го класса, а также средства вычислительной техники не ниже 5-го класса защищенности;

- в ГИС 3-го класса защищенности применяются средства ЗИ 6-го класса, а также средства вычислительной техники не ниже 5-го класса защищенности.

В ГИС 1-го и 2-го классов защищенности применяются средства ЗИ, прошедшие проверку не ниже чем по 4-му уровню контроля отсутствия недекларированных возможностей.

При отсутствии необходимых средств ЗИ, сертифицированных на соответствие требованиям по безопасности информации, организуется разработка (доработка) средств ЗИ и их сертификация в соответствии с законодательством Российской Федерации или производится корректировка проектных решений по ГИС и (или) ее системе ЗИ с учетом функциональных возможностей имеющихся сертифицированных средств ЗИ.

Проектная документация на систему ЗИ ГИС, разрабатываемая в соответствии с ГОСТ 34.201-89, должна включать:

- пояснительную записку к эскизному и/или техническому проекту на систему ЗИ ГИС;

- спецификацию оборудования и программного обеспечения;

- схему структурную комплекса технических средств;

- схему функциональной структуры;

- схему соединений и подключений;

- чертеж установки технических средств;

- план расположения оборудования;

- программу и методику предварительных испытаний системы ЗИ ГИС;

- программу опытной эксплуатации системы ЗИ ГИС;

- программу и методику приемочных испытаний системы ЗИ ГИС.

Пояснительная записка к проекту должна содержать описание объекта защиты, описание состава и содержания мер по обеспечению безопасности информации, включая правила выбора указанных мер, описание процесса деятельности, основные технические решения и описание мероприятий по подготовке к вводу системы ЗИ в действие.

Спецификация оборудования и программного обеспечения должна содержать перечень используемых программных, программно-аппаратных и аппаратных средств ЗИ (как имеющихся, так и приобретаемых) с указанием количества и производителя.

Схема структурная комплекса технических средств должна отображать состав (компоненты) системы ЗИ и связи между компонентами системы ЗИ. Допускается представлять структуру комплекса технических средств несколькими схемами, первой из которых является укрупненная схема комплекса технических средств в целом.

Схема функциональной структуры должна содержать элементы функциональной структуры (подсистемы системы ЗИ), функции и/или задачи (комплексы задач) и информационные связи между элементами и с внешней средой.

На схеме соединений и подключений должны быть указаны электрические провода и кабели (защитные трубы, короба и т.п.), прокладываемые вне щитов и кроссовых шкафов, устройства, встраиваемые в технологическое оборудование, устройства, устанавливаемые вне щитов, устройства защитного заземления, щиты и пульты, вводные устройства (сборки коммутационных зажимов, штепсельные разъемы и т.п.) щитов, пультов, соединительных коробок и подключаемые к ним кабели и провода, а также другие виды технических средств. Схему допускается выполнять в виде таблицы.

Чертеж установки технических средств должен содержать изображение монтируемого изделия, изображение устройства (конструкции), к которому изделие крепится, установочные и присоединительные размеры с предельными отклонениями, перечень составных частей, необходимых для монтажа, и технические требования к монтажу изделия.

План расположения оборудования должен отображать планы и разрезы помещений, на которых должно быть указано размещение технических средств (в т.ч. устройств телемеханики и связи, кабельных проводок и т.п.). На плане указывают установочные размеры, необходимые для монтажа оборудования.

Программа и методики испытаний (предварительных испытаний, опытной эксплуатации, приемочных испытаний) должны устанавливать необходимый и достаточный объем испытаний, обеспечивающий заданную достоверность получаемых результатов. В документе должны быть указаны в том числе:

- описание объекта (объектов) испытаний - системы ЗИ ГИС и ее подсистем;

- условия и сроки проведения испытаний;

- состав технических и программных средств, необходимых для проведения испытаний, включая специальные стенды для проведения испытаний;

- требования, которым должны соответствовать система ЗИ и ее подсистемы;

- порядок и методы испытаний;

- порядок устранения недостатков, выявленных в процессе испытаний;

- критерии приемки системы ЗИ и ее подсистем.

Проектная документация на систему ЗИ ГИС подлежит согласованию с оператором ГИС (если он определен в установленном порядке и не является Заказчиком данной ГИС).

3.2.2. Разработка эксплуатационной документации на систему ЗИ ГИС

Разработка эксплуатационной документации на систему ЗИ ГИС осуществляется в соответствии с ТЗ на создание системы ЗИ ГИС.

Эксплуатационная документация разрабатывается с учетом ГОСТ 34.601-90, ГОСТ 34.201-89 и ГОСТ Р 51624-2000 и должна в том числе содержать описание:

- структуры системы ЗИ ГИС;

- состава, мест установки, параметров и порядка настройки средств ЗИ, программного обеспечения и технических средств;

- правил эксплуатации системы ЗИ ГИС.

Результаты работ данного этапа должны быть зафиксированы в документах и содержать:

- описание технологического процесса обработки информации, содержащейся в ГИС;

- описание настроек средств ЗИ;

- технический паспорт ГИС;

- руководство администратора комплекса средств ЗИ ГИС;

- руководство пользователя комплекса средств ЗИ ГИС.

В случае использования в составе системы ЗИ ГИС средств криптографической ЗИ в состав эксплуатационной документации также включается журнал поэкземплярного учета СКЗИ из состава ЗИ ГИС (форма журнала приведена в приложении к Методическим рекомендациям).

Описание технологического процесса обработки информации, содержащейся в ГИС, включает в себя сведения о жизненном цикле обработки информации в ГИС, порядке доступа к информации, процессах, в рамках которых осуществляется обработка информации в ГИС, и целях такой обработки. Также в документе приводятся данные о конфигурации и топологии ГИС, ее отдельных компонентах, используемых технологиях и технологических процессах обработки информации.

Описание настроек средств ЗИ должно содержать сведения о настраиваемых параметрах и их значениях по каждому средству ЗИ из состава системы ЗИ ГИС.

Технический паспорт ГИС должен содержать общие сведения о ГИС, сведения о функциях, реализуемых ГИС, описание принципов функционирования ГИС, общий регламент и режимы функционирования ГИС, сведения о совместимости ГИС с другими системами, состав технических и программных средств ГИС, сведения об аттестации ГИС по требованиям безопасности информации, сведения о контроле.

В руководства администратора и пользователя комплекса средств ЗИ включается описание операций со средствами ЗИ, входящими в состав системы ЗИ ГИС, выполняемых, соответственно, администратором и пользователем. Документы должны разрабатываться в приложении к конкретным средствам ЗИ из состава системы ЗИ ГИС.

3.2.3. Макетирование и тестирование системы ЗИ ГИС

Этап макетирования и тестирования системы ЗИ ГИС проводится при необходимости, по решению Заказчика.

При проведении макетирования и тестирования системы ЗИ ГИС в том числе осуществляются:

- проверка работоспособности и совместимости выбранных средств ЗИ с информационными технологиями и техническими средствами ГИС;

- проверка выполнения выбранными средствами ЗИ установленных требований к системе ЗИ ГИС;

- корректировка (при необходимости) проектных решений, разработанных при создании ГИС и (или) системы ЗИ ГИС.

Результаты проведения макетирования и тестирования системы ЗИ ГИС оформляются в следующих документах:

- описание стенда;

- программа и методика проведения работ по макетированию и тестированию системы ЗИ ГИС;

- протокол проведения макетирования и тестирования системы ЗИ ГИС.

Макетирование системы ЗИ ГИС и ее тестирование могут проводиться в том числе с использованием средств и методов моделирования информационных систем и технологий виртуализации.

3.3. Внедрение (реализация) системы ЗИ ГИС

Внедрение (реализация) системы ЗИ ГИС осуществляется в соответствии с проектной и эксплуатационной документацией и включает следующие мероприятия:

- установка и настройка средств ЗИ;

- разработка документов, определяющих правила и процедуры, реализуемые в целях обеспечения ЗИ, обрабатываемой в ГИС, в ходе эксплуатации ГИС (далее - организационно-распорядительные документы по ЗИ);

- внедрение организационных мер ЗИ;

- предварительные испытания системы ЗИ ГИС;

- опытная эксплуатация системы ЗИ ГИС;

- анализ уязвимостей ГИС и принятие мер ЗИ по их устранению;

- приемочные испытания системы ЗИ ГИС.

Результатом выполнения перечисленных мероприятий является внедренная (реализованная) система ЗИ ГИС, которая обеспечивает блокирование (нейтрализацию) угроз безопасности информации, содержащейся в ГИС, в соответствии с необходимым классом защищенности и соответствует требованиям ТЗ на создание системы ЗИ ГИС, решениям проектной и эксплуатационной документации.

К внедрению системы ЗИ ГИС привлекается оператор ГИС.

Формы программ и методик испытаний (предварительных испытаний, опытной эксплуатации и приемочных испытаний), а также общие формы отчетных документов по результатам испытаний приведены в приложениях к Методическим рекомендациям.

3.3.1. Установка и настройка средств ЗИ

Установка и настройка средств ЗИ в ГИС должны проводиться в соответствии с эксплуатационной документацией на систему ЗИ ГИС и документацией на средства ЗИ. Результаты проведения работ необходимо оформить соответствующим актом (форма акта приведена в приложении к Методическим рекомендациям).

3.3.2. Назначение ответственных за ЗИ

Для обеспечения ЗИ, содержащейся в ГИС, в ОИВ или организации должно быть определено структурное подразделение или должностное лицо (работник), ответственные за ЗИ 15.

Для ОИВ и организаций с типовой организационно-управленческой структурой рекомендуется формирование организационной структуры обеспечения ЗИ, содержащейся в ГИС, предусматривающей наличие следующих ответственных лиц:

- ответственный за ЗИ, содержащейся в ГИС (далее - Ответственный за ЗИ);

- администратор информационной безопасности;

- администратор информационной системы (ГИС).

К основным функциям Ответственного за ЗИ относятся:

- обеспечение организации эксплуатации системы ЗИ ГИС и при необходимости ее модернизации и развития;

- организация исполнения требований по ЗИ, содержащейся в ГИС, в соответствии с организационно-распорядительной документацией на систему ЗИ ГИС;

- обеспечение внутреннего контроля за соблюдением ОИВ или организацией и пользователями ГИС требований к ЗИ;

- контроль за соблюдением требований по ЗИ, содержащейся в ГИС, в рамках работ (услуг) по созданию, развитию (модернизации), эксплуатации ГИС, выполняемых (оказываемых) сторонними организациями по договорам;

- обеспечение координации и контроля исполнения договорных обязательств, а также сроков, полноты и качества работ или услуг по ЗИ, содержащейся в ГИС, выполняемых сторонними организациями;

- организация реагирования на инциденты ИБ в ГИС и участие в их расследовании;

- участие в проведении проверок регулирующими органами, а также при проведении контрольных мероприятий по ЗИ в ГИС.

Рекомендуется назначать на роль Ответственного за ЗИ заместителя руководителя ОИВ или организации или другое лицо, ответственное за реализацию государственных контрактов, предметом которых являются создание, развитие (модернизация), эксплуатация защищаемой ГИС.

Основными функциями администратора ИБ является обеспечение эксплуатации и администрирования системы ЗИ ГИС, включая:

- администрирование и сопровождение компонентов системы ЗИ ГИС в рамках своей компетенции;

- реализацию решений по обеспечению ЗИ, обрабатываемой в ГИС, в рамках своей компетенции;

- выполнение требований по ЗИ, содержащейся в ГИС, в соответствии с проектной и организационно-распорядительной документацией на систему ЗИ ГИС;

- участие в реагировании и расследовании инцидентов ИБ в ГИС;

- контроль за соблюдением условий использования компонентов системы ЗИ ГИС, в том числе контроль работ, проводимых в отношении указанных компонентов сторонними организациями;

- участие в проведении проверок регулирующими органами, а также при проведении контрольных мероприятий по ЗИ в ГИС в части предоставления необходимой информации;

- проведение инструктажа пользователей ГИС по правилам работы со средствами ЗИ, применяемыми в ГИС, консультирование пользователей ГИС по вопросам использования средств ЗИ в составе ГИС в процессе ее эксплуатации в рамках своей компетенции.

Рекомендуется назначать на роль администратора ИБ руководителя соответствующего структурного подразделения, обеспечивающего штатное функционирование системы ЗИ ГИС.

К основным функциям администратора информационной системы (ГИС) по выполнению требований к ЗИ относятся:

- исполнение в рамках своей компетенции требований по ЗИ, содержащейся в ГИС, в соответствии с проектной и организационно-распорядительной документацией;

- реализация принятых решений по обеспечению ЗИ, обрабатываемой в ГИС, в рамках своей компетенции;

- участие в реагировании и расследовании инцидентов ИБ в ГИС;

- участие в проведении проверок регулирующими органами, а также при проведении контрольных мероприятий по ЗИ в ГИС в части предоставления необходимой информации.

Рекомендуется назначать на роль администратора информационной системы руководителя соответствующего структурного подразделения, обеспечивающего ее штатное функционирование.

Совмещение функций Ответственного за ЗИ с функциями администратора информационной системы и администратора ИБ недопустимо. Также не рекомендуется в рамках одной должности совмещать функции администратора информационной системы и администратора ИБ.

Форма приказа (распоряжения) об организации работ по ЗИ, содержащейся в ГИС, приведена в приложении к Методическим рекомендациям.

В должностные инструкции (регламенты) назначенных ответственных работников необходимо внести соответствующие изменения.

Рекомендуется Ответственному за ЗИ и администратору ИБ пройти обучение по программам профессиональной переподготовки и повышения квалификации специалистов в области противодействия иностранным техническим разведкам и технической ЗИ, разработанным ФСТЭК России 16.

3.3.3. Разработка организационно-распорядительных документов по ЗИ

Организационно-распорядительные документы по ЗИ разрабатываются в соответствии с требованиями ТЗ на создание системы ЗИ ГИС, составленного по результатам проектирования системы ЗИ ГИС. Разработка документов ведется в том числе в целях приведения процессов обработки информации, содержащейся в ГИС, в соответствие с требованиями законодательства в области ЗИ.

При разработке документов должны учитываться технологические особенности обработки информации в ГИС.

Состав организационно-распорядительных документов (формы и примеры документов приведены в приложении к Методическим рекомендациям):

- перечень лиц, доступ которых к персональным данным, обрабатываемым в ГИС, необходим для выполнения ими служебных (трудовых) обязанностей;

- перечень защищаемых информационных ресурсов ГИС;

- матрица разграничения доступа к защищаемым информационным ресурсам ГИС;

- инструкция администратора ИБ системы ЗИ ГИС;

- инструкция пользователя системы ЗИ ГИС;

- правила доступа в помещения, где размещены СКЗИ из состава системы защиты ГИС, в рабочее и нерабочее время, а также в нештатных ситуациях;

- перечень лиц, имеющих право доступа в помещения, где размещены СКЗИ из состава системы защиты ГИС;

- инструкция по обращению со СКЗИ из состава системы защиты ГИС;

- перечень лиц, допущенных к работе со СКЗИ из состава системы защиты ГИС;

- положение об обеспечении безопасности информации, содержащейся в ГИС, включающее в себя следующие разделы:

роли уполномоченных лиц, ответственных за обработку и ЗИ в ГИС;

предоставление допуска к обработке информации и предоставлению доступа в ГИС;

парольная защита;

ограничение программной среды;

обращение с машинными носителями информации;

регистрация событий безопасности;

антивирусная защита;

контроль (анализ) защищенности информации;

обеспечение целостности информации;

защита технических средств;

защита ГИС, ее средств, систем связи и передачи данных;

резервирование и восстановление информационных ресурсов ГИС;

выявление инцидентов ИБ и реагирование на них;

управление конфигурацией аттестованной ГИС и системы ЗИ ГИС;

контроль за обеспечением уровня защищенности информации, содержащейся в ГИС;

ЗИ при выводе из эксплуатации ГИС или после принятия решения об окончании обработки информации;

обучение пользователей по вопросам обработки и ЗИ.

При разработке документов д