Вы можете открыть актуальную версию документа прямо сейчас.
Если вы являетесь пользователем интернет-версии системы ГАРАНТ, вы можете открыть этот документ прямо сейчас или запросить по Горячей линии в системе.
Вход
- Главная
- Приказ Министерства цифровых технологий и связи Калининградской области от 12 июля 2021 г. N 273 "Об утверждении методических рекомендаций по обеспечению защиты информации в государственных информационных системах"
- Приложение. Методические рекомендации по обеспечению защиты информации в государственных информационных системах
Приложение. Методические рекомендации по обеспечению защиты информации в государственных информационных системах
Приложение
к Приказу Министерства
цифровых технологий и связи
Калининградской области
от 12 июля 2021 г. N 273
Методические рекомендации
по обеспечению защиты информации в государственных информационных системах
Перечень сокращений
В настоящем документе используются сокращения, приведенные в таблице 1.
Таблица 1. Перечень сокращений
|
Сокращение |
Обозначение |
|
ГИС |
Государственная информационная система |
|
ГОСТ |
Государственный стандарт |
|
ЗИ |
Защита информации |
|
ИБ |
Информационная безопасность |
|
ОИВ |
Органы исполнительной власти Калининградской области |
|
Организация |
Государственное учреждение Калининградской области и иная организация, подведомственные органам исполнительной власти Калининградской области |
|
ФСБ России |
Федеральная служба безопасности Российской Федерации |
|
ФСТЭК |
Федеральная служба по техническому и экспортному контролю Российской Федерации |
Перечень терминов
В настоящем документе используются термины, приведенные в таблице 2.
Таблица 2. Перечень терминов
|
Термин |
Определение |
Источник |
|
Атака |
Целенаправленные действия нарушителя с использованием технических и (или) программных средств с целью нарушения заданных характеристик безопасности, защищаемой криптосредством информации или с целью создания условий для этого |
Приказ ФСБ России от 10.07.2014 N 378 |
|
Аттестационные испытания |
Определение количественных и качественных характеристик объекта информатизации и его системы ЗИ с целью оценки их соответствия требованиям безопасности информации |
ГОСТ РО 0043-004-2013 "Защита информации. Аттестация объектов информатизации. Программа и методики аттестационных испытаний" |
|
Аттестация объектов информатизации |
Комплекс организационных и технических мероприятий, в результате которых подтверждается соответствие системы ЗИ объекта информатизации требованиям безопасности информации |
ГОСТ РО 0043-004-2013 "Защита информации. Аттестация объектов информатизации. Программа и методики аттестационных испытаний" |
|
Безопасность информации |
Состояние защищенности информации (данных), при котором обеспечены ее (их) конфиденциальность, доступность и целостность |
ГОСТ Р 50922-2006 "Защита информации. Основные термины и определения" |
|
Виртуализация |
Группа технологий, основанных на преобразовании формата или параметров программных или сетевых запросов к компьютерным ресурсам с целью обеспечения независимости процессов обработки информации от программной или аппаратной платформы информационной системы |
ГОСТ Р 56938-2016 "Защита информации. Защита информации при использовании технологий виртуализации. Общие положения" |
|
Вспомогательные технические средства и системы |
Технические средства и системы, не предназначенные для передачи, обработки и хранения защищаемой информации, устанавливаемые совместно с основными техническими средствами и системами или в защищаемых помещениях |
Специальные требования и рекомендации по защите конфиденциальной информации от утечки по техническим каналам (СТР-К) |
|
ГИС |
Федеральные информационные системы и региональные информационные системы, созданные на основании соответственно федеральных законов, законов субъектов Российской Федерации, на основании правовых актов государственных органов |
Федеральный закон от 27.07.2006 N 149-ФЗ "Об информации, информационных технологиях и о защите информации" |
|
Государственный информационный ресурс |
Информация, содержащаяся в ГИС, а также иные имеющиеся в распоряжении государственных органов сведения и документы |
Федеральный закон от 27.07.2006 N 149-ФЗ "Об информации, информационных технологиях и о защите информации" |
|
Доступ к информации |
Возможность получения информации и ее использования |
Федеральный закон от 27.07.2006 N 149-ФЗ "Об информации, информационных технологиях и о защите информации" |
|
Доступность информации (ресурсов информационной системы) |
Состояние информации (ресурсов автоматизированной информационной системы), при котором субъекты, имеющие право доступа, могут реализовать их беспрепятственно |
Р 50.1.056-2005 "Техническая защита информации. Основные термины и определения" |
|
ЗИ |
Деятельность, направленная на предотвращение утечки защищаемой информации, несанкционированных и непреднамеренных воздействий на защищаемую информацию |
ГОСТ Р 50922-2006 "Защита информации. Основные термины и определения" |
|
ЗИ от несанкционированного доступа |
ЗИ, направленная на предотвращение получения защищаемой информации заинтересованными субъектами с нарушением установленных нормативными и правовыми документами (актами) или обладателями информации прав или правил разграничения доступа к защищаемой информации |
ГОСТ Р 50922-2006 "Защита информации. Основные термины и определения" |
|
Информационно-телекоммуникационная сеть |
Технологическая система, предназначенная для передачи по линиям связи информации, доступ к которой органов и организаций осуществляется с использованием средств вычислительной техники |
Федеральный закон от 27.07.2006 N 149-ФЗ "Об информации, информационных технологиях и о защите информации" |
|
Информация |
Сведения (сообщения, данные), независимо от формы их представления |
Федеральный закон от 27.07.2006 N 149-ФЗ "Об информации, информационных технологиях и о защите информации" |
|
Информация ограниченного доступа |
Информация, доступ к которой ограничен федеральными законами |
Федеральный закон от 27.07.2006 N 149-ФЗ "Об информации, информационных технологиях и о защите информации" |
|
Источник угрозы безопасности информации |
Субъект (физическое лицо, материальный объект или физическое явление), являющийся непосредственной причиной возникновения угрозы безопасности информации |
ГОСТ Р 50922-2006 "Защита информации. Основные термины и определения" |
|
Информационная система |
Совокупность содержащейся в базах данных информации и обеспечивающих ее обработку информационных технологий и технических средств |
Федеральный закон от 27.07.2006 N 149-ФЗ "Об информации, информационных технологиях и о защите информации" |
|
Информационные технологии |
Процессы, методы поиска, сбора, хранения, обработки, предоставления, распространения информации и способы осуществления таких процессов и методов |
Федеральный закон от 27.07.2006 N 149-ФЗ "Об информации, информационных технологиях и о защите информации" |
|
Инцидент ИБ |
Одно или несколько нежелательных или неожидаемых событий информационной безопасности, которые со значительной вероятностью приводят к компрометации бизнес-операций и создают угрозы для ИБ |
ГОСТ Р ИСО/МЭК 27000-2012 "Информационная технология (ИТ). Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Общий обзор и терминология" |
|
Конфиденциальность информации |
Обязательное для выполнения лицом, получившим доступ к определенной информации, требование не передавать такую информацию третьим лицам без согласия ее обладателя |
Федеральный закон от 27.07.2006 N 149-ФЗ "Об информации, информационных технологиях и о защите информации" |
|
Лицензирование в области ЗИ |
Деятельность, заключающаяся в проверке (экспертизе) возможностей юридического лица выполнять работы в области ЗИ в соответствии с установленными требованиями и выдаче разрешения на выполнение этих работ |
ГОСТ Р 50922-2006 "Защита информации. Основные термины и определения" |
|
Модель угроз безопасности информации |
Физическое, математическое, описательное представление свойств или характеристик угроз безопасности информации |
ГОСТ Р 53114-2008 "Защита информации. Обеспечение информационной безопасности в организации. Основные термины и определения" |
|
Нарушитель безопасности информации |
Физическое лицо или логический объект, случайно или преднамеренно совершившие действие, следствием которого является нарушение ИБ организации |
ГОСТ Р 53114-2008 "Защита информации. Обеспечение информационной безопасности в организации. Основные термины и определения" |
|
Недекларированные возможности (программного обеспечения) |
Функциональные возможности средств вычислительной техники и программного обеспечения, не описанные или не соответствующие описанным в документации, которые могут привести к снижению или нарушению свойств безопасности информации |
ГОСТ Р 53114-2008 "Защита информации. Обеспечение информационной безопасности в организации. Основные термины и определения" |
|
Обладатель информации |
Лицо, самостоятельно создавшее информацию либо получившее на основании закона или договора право разрешать или ограничивать доступ к информации, определяемой по каким-либо признакам |
Федеральный закон от 27.07.2006 N 149-ФЗ "Об информации, информационных технологиях и о защите информации" |
|
Оператор информационной системы |
Гражданин или юридическое лицо, осуществляющие деятельность по эксплуатации информационной системы, в том числе по обработке информации, содержащейся в ее базах данных |
Федеральный закон от 27.07.2006 N 149-ФЗ "Об информации, информационных технологиях и о защите информации" |
|
Основные технические средства и системы |
Технические средства и системы, а также их коммуникации, используемые для обработки, хранения и передачи защищаемой информации |
Специальные требования и рекомендации по защите конфиденциальной информации от утечки по техническим каналам (СТР-К) |
|
Оценка соответствия требованиям по защите информации |
Прямое или косвенное определение степени соблюдения требований по защите информации, предъявляемых к объекту защиты, информации |
ГОСТ Р 50922-2006 "Защита информации. Основные термины и определения" |
|
Персональные данные |
Любая информация, относящаяся прямо или косвенно к определенному или определяемому физическому лицу (субъекту персональных данных) |
Федеральный закон от 27.07.2006 N 152-ФЗ "О персональных данных" |
|
Пользователь (автоматизированной системы) |
Лицо, участвующее в функционировании автоматизированной системы или использующее результаты ее функционирования |
ГОСТ 34.003-90 "Информационная технология (ИТ). Комплекс стандартов на автоматизированные системы. Автоматизированные системы. Термины и определения" |
|
Потенциал нарушителя |
Мера усилий, затрачиваемых нарушителем при реализации угроз безопасности информации в информационной системе |
На основе методического документа "Меры защиты информации в государственных информационных системах" (утв. ФСТЭК России 11.02.2014) |
|
Сертификация на соответствие требованиям по безопасности информации |
Форма осуществляемого органом по сертификации подтверждения соответствия объектов оценки требованиям по безопасности информации, установленным техническими регламентами, стандартами или условиями договоров |
ГОСТ Р 50922-2006 "Защита информации. Основные термины и определения" |
|
Система ЗИ |
Совокупность органов и (или) исполнителей, используемой ими техники ЗИ, а также объектов ЗИ, организованная и функционирующая по правилам и нормам, установленным соответствующими документами в области ЗИ |
ГОСТ Р 50922-2006 "Защита информации. Основные термины и определения" |
|
Системная программа (программное обеспечение) |
Программа, предназначенная для поддержания работоспособности системы обработки информации или повышения эффективности ее использования в процессе выполнения прикладных программ |
ГОСТ 19781-90 "Обеспечение систем обработки информации программное. Термины и определения" |
|
Среда функционирования криптосредства |
Компоненты аппаратных и программных средств, совместно с которыми штатно функционирует криптосредство и которые способны повлиять на выполнение предъявляемых к криптосредству требований |
Приказ ФСБ России от 10.07.2014 N 378 |
|
Средства вычислительной техники |
Совокупность программных и технических элементов систем обработки данных, способных функционировать самостоятельно или в составе других систем |
ГОСТ Р 50739-95 "Средства вычислительной техники. Защита от несанкционированного доступа к информации. Общие технические требования" |
|
Средство ЗИ |
Техническое, программное, программно-техническое средство, вещество и/или материал, предназначенные или используемые для ЗИ |
ГОСТ Р 50922-2006 "Защита информации. Основные термины и определения" |
|
Субъект доступа |
Лицо или единица ресурса информационной системы, действия которого по доступу к ресурсам информационной системы регламентируются правилами разграничения доступа |
Р 50.1.056-2005 "Техническая защита информации. Основные термины и определения" |
|
Техническое средство |
Средства вычислительной техники, информационно-вычислительные комплексы и сети, средства и системы передачи, приема и обработки персональных данных (средства и системы звукозаписи, звукоусиления, звуковоспроизведения, переговорные и телевизионные устройства, средства изготовления, тиражирования документов и другие технические средства обработки речевой, графической, видео- и буквенно-цифровой информации), программные средства (операционные системы, системы управления базами данных и т.п.), средства ЗИ |
Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных (выписка) (утв. ФСТЭК России 15.02.2008) |
|
Требование по защите информации |
Установленное правило или норма, которая должна быть выполнена при организации и осуществлении ЗИ, или допустимое значение показателя эффективности ЗИ |
ГОСТ Р 50922-2006 "Защита информации. Основные термины и определения" |
|
Угроза безопасности информации |
Совокупность условий и факторов, создающих потенциальную или реально существующую опасность нарушения безопасности информации |
ГОСТ Р 50922-2006 "Защита информации. Основные термины и определения" |
|
Уязвимость информационной системы |
Свойство информационной системы, предоставляющее возможность реализации угроз безопасности обрабатываемой в ней информации |
ГОСТ Р 50922-2006 "Защита информации. Основные термины и определения" |
|
Целостность информации |
Состояние информации, при котором отсутствует любое ее изменение либо изменение осуществляется только преднамеренно субъектами, имеющими на него право |
Р 50.1.056-2005 "Техническая защита информации. Основные термины и определения" |
|
Шифровальные (криптографические) средства (средства криптографической ЗИ), документация на эти средства |
а) средства шифрования - аппаратные, программные и программно-аппаратные шифровальные (криптографические) средства, реализующие алгоритмы криптографического преобразования информации для ограничения доступа к ней, в том числе при ее хранении, обработке и передаче; б) средства имитозащиты - аппаратные, программные и программно-аппаратные шифровальные (криптографические) средства (за исключением средств шифрования), реализующие алгоритмы криптографического преобразования информации для ее защиты от навязывания ложной информации, в том числе защиты от модифицирования, для обеспечения ее достоверности и некорректируемости, а также обеспечения возможности выявления изменений, имитации, фальсификации или модифицирования информации; в) средства электронной подписи; г) средства кодирования - средства шифрования, в которых часть криптографических преобразований информации осуществляется с использованием ручных операций или с использованием автоматизированных средств, предназначенных для выполнения таких операций; д) средства изготовления ключевых документов - аппаратные, программные, программно-аппаратные шифровальные (криптографические) средства, обеспечивающие возможность изготовления ключевых документов для шифровальных (криптографических) средств, не входящие в состав этих шифровальных (криптографических) средств; е) ключевые документы - электронные документы на любых носителях информации, а также документы на бумажных носителях, содержащие ключевую информацию ограниченного доступа для криптографического преобразования информации с использованием алгоритмов криптографического преобразования информации (криптографический ключ) в шифровальных (криптографических) средствах; ж) аппаратные шифровальные (криптографические) средства - устройства и их компоненты, в том числе содержащие ключевую информацию, обеспечивающие возможность преобразования информации в соответствии с алгоритмами криптографического преобразования информации без использования программ для электронных вычислительных машин; з) программные шифровальные (криптографические) средства - программы для электронных вычислительных машин и их части, в том числе содержащие ключевую информацию, обеспечивающие возможность преобразования информации в соответствии с алгоритмами криптографического преобразования информации в программно-аппаратных шифровальных (криптографических) средствах, информационных системах и телекоммуникационных системах, защищенных с использованием шифровальных (криптографических) средств; и) программно-аппаратные шифровальные (криптографические) средства - устройства и их компоненты (за исключением информационных систем и телекоммуникационных систем), в том числе содержащие ключевую информацию, обеспечивающие возможность преобразования информации в соответствии с алгоритмами криптографического преобразования информации с использованием программ для электронных вычислительных машин, предназначенных для осуществления этих преобразований информации или их части |
Постановление Правительства Российской Федерации от 16.04.2012 N 313 "Об утверждении Положения о лицензировании деятельности по разработке, производству, распространению шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств, выполнению работ, оказанию услуг в области шифрования информации, техническому обслуживанию шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств (за исключением случая, если техническое обслуживание шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств, осуществляется для обеспечения собственных нужд юридического лица или индивидуального предпринимателя)" |
1. Общие положения
Настоящие Методические рекомендации по обеспечению ЗИ в ГИС (далее - Методические рекомендации) содержат описание состава и содержания мероприятий по обеспечению ЗИ ограниченного доступа, не содержащей сведений, составляющих государственную тайну, при обработке указанной информации в ГИС и предназначены для использования в ОИВ и организациях, являющихся заказчиками, заключившими государственный контракт на создание ГИС (далее - Заказчики), и (или) операторами ГИС.
ЗИ, содержащейся в ГИС, является составной частью работ по созданию и эксплуатации ГИС и обеспечивается путем реализации организационных и технических мер ЗИ, направленных на блокирование (нейтрализацию) угроз безопасности информации в ГИС, в том числе с использованием системы (подсистемы) ЗИ ГИС (далее - система ЗИ ГИС).
Реализуемые организационные и технические меры ЗИ, в зависимости от видов информации, содержащейся в ГИС, целей создания ГИС и задач, решаемых ГИС, должны быть направлены на исключение:
- неправомерных доступа, копирования, предоставления или распространения информации (обеспечение конфиденциальности информации);
- неправомерных уничтожения или модифицирования информации (обеспечение целостности информации);
- неправомерного блокирования информации (обеспечение доступности информации).
Обеспечение ЗИ, содержащейся в ГИС, предусматривает выполнение следующих основных мероприятий (этапов):
- создание системы (подсистемы) ЗИ ГИС;
- аттестация ГИС по требованиям ЗИ;
- обеспечение ЗИ в ходе эксплуатации аттестованной ГИС;
- обеспечение ЗИ при выводе из эксплуатации аттестованной ГИС или после принятия решения об окончании обработки информации.
В Методических рекомендациях для каждого из перечисленных мероприятий (этапов) определены необходимые к разработке и утверждению в ОИВ и организациях организационно-распорядительные документы в области организации ЗИ, содержащейся в ГИС, а также приведены примеры таких документов.
ОИВ и организации самостоятельно определяют потребность в разработке отсутствующих и (или) актуализации действующих организационно-распорядительных документов в области организации ЗИ, содержащейся в ГИС, и вправе вносить изменения в примеры организационно-распорядительных документов при условии соблюдения требований законодательства Российской Федерации в сфере ЗИ.
ОИВ и организации несут ответственность за содержание организационно-распорядительных документов, разработанных и актуализированных ими на основании представленных в Методических рекомендациях примеров.
При разработке и актуализации организационно-распорядительной документации в области организации ЗИ, содержащейся в ГИС, необходимо учитывать требования эксплуатационной документации на данную ГИС.
Настоящие Методические рекомендации также могут применяться при организации защиты общедоступной информации, обрабатываемой в ГИС, для достижения целей, указанных в пунктах 1 и 3 части 1 статьи 16 Федерального закона от 27 июля 2006 года N 149-ФЗ "Об информации, информационных технологиях и о защите информации".
2. Основания для разработки
Настоящие Методические рекомендации, включая примеры организационно-распорядительных документов в области организации ЗИ, содержащейся в ГИС, разработаны в соответствии с требованиями законодательства Российской Федерации и государственных стандартов:
- Федерального закона от 27 июля 2006 года N 149-ФЗ "Об информации, информационных технологиях и о защите информации";
- Федерального закона от 27 июля 2006 года N 152-ФЗ "О персональных данных";
- постановления Правительства РФ от 6 июля 2015 года N 676 "О требованиях к порядку создания, развития, ввода в эксплуатацию, эксплуатации и вывода из эксплуатации государственных информационных систем и дальнейшего хранения содержащейся в их базах данных информации";
- постановления Правительства Российской Федерации от 1 ноября 2012 года N 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных";
- Закона Калининградской области от 24 апреля 2018 года N 165 "О правовом регулировании отдельных вопросов в сфере создания, модернизации и эксплуатации государственных информационных систем Калининградской области";
- приказа ФСТЭК России от 11 февраля 2013 года N 17 "Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах";
- приказа ФСТЭК России от 18 февраля 2013 года N 21 "Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных";
- приказа ФСБ России от 10 июля 2014 года N 378 "Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности";
- приказа ФСБ России от 9 февраля 2005 года N 66 "Об утверждении положения о разработке, производстве, реализации и эксплуатации шифровальных (криптографических) средств защиты информации (положение ПКЗ-2005)";
- приказа Гостехкомиссии России от 30 августа 2002 года N 282 "Специальные требования и рекомендации по технической защите конфиденциальной информации (СТР-К)";
- приказа ФАПСИ от 13 июня 2001 года N 152 "Об утверждении инструкции об организации и обеспечении безопасности хранения, обработки и передачи по каналам связи с использованием средств криптографической защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну";
- Методики определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных, утверждена ФСТЭК России 14 февраля 2008 года;
- методического документа ФСТЭК России "Меры защиты информации в государственных информационных системах", утвержден ФСТЭК России 11 февраля 2014 года;
- Методических рекомендаций по разработке нормативных правовых актов, определяющих угрозы безопасности персональных данных, актуальные при обработке персональных данных в информационных системах персональных данных, эксплуатируемых при осуществлении соответствующих видов деятельности, утверждены ФСБ России 31 марта 2015 года, N 149/7/2/6-432;
- ГОСТ 34.601-90 "Информационная технология. Комплекс стандартов на автоматизированные системы. Автоматизированные системы. Стадии создания";
- ГОСТ 34.602-89 "Информационная технология. Комплекс стандартов на автоматизированные системы. Техническое задание на создание автоматизированной системы";
- ГОСТ 34.603-92 "Информационная технология. Виды испытаний автоматизированных систем";
- ГОСТ 34.201-89 "Информационная технология. Комплекс стандартов на автоматизированные системы. Виды, комплексность и обозначение документов при создании автоматизированных систем";
- ГОСТ 34.003-90 "Информационная технология. Комплекс стандартов на автоматизированные системы. Автоматизированные системы. Термины и определения";
- ГОСТ РО 0043-003-2012 "Защита информации. Аттестация объектов информатизации. Общие положения";
- ГОСТ РО 0043-004-2013 "Защита информации. Аттестация объектов информатизации. Программа и методики аттестационных испытаний";
- ГОСТ Р 51583-2014 "Защита информации. Порядок создания автоматизированных систем в защищенном исполнении. Общие положения";
- ГОСТ 51624-2000 "Защита информации. Автоматизированные системы в защищенном исполнении. Общие требования".
3. Создание системы ЗИ ГИС
Процесс создания системы ЗИ ГИС включает в себя следующие основные мероприятия:
1) формирование требований к ЗИ, содержащейся в ГИС, включая:
- принятие решения о необходимости ЗИ, содержащейся в ГИС;
- классификацию ГИС по требованиям ЗИ;
- определение угроз безопасности информации, реализация которых может привести к нарушению безопасности информации в ГИС;
- описание совокупности предположений о возможностях, которые могут использоваться при создании способов, подготовке и проведении атак, для нейтрализации которых должны применяться СКЗИ (в случае принятия решения об использовании средств криптографической ЗИ для обеспечения безопасности информации, содержащейся в ГИС);
- разработку на основе определенных угроз модели угроз безопасности информации в соответствии с нормативно-методическими документами ФСТЭК России и ФСБ России;
- определение требований к системе ЗИ ГИС;
2) разработку системы ЗИ ГИС, включая:
- проектирование системы ЗИ ГИС;
- разработку эксплуатационной документации на систему ЗИ ГИС;
- макетирование и тестирование системы ЗИ ГИС;
3) внедрение системы ЗИ ГИС, включая:
- установку и настройку средств ЗИ;
- разработку организационно-распорядительных документов по ЗИ;
- внедрение организационных мер ЗИ;
- проведение предварительных испытаний системы ЗИ ГИС;
- проведение опытной эксплуатации системы ЗИ ГИС;
- анализ уязвимостей ГИС и принятие мер ЗИ по их устранению;
- проведение приемочных испытаний системы ЗИ ГИС;
4) аттестацию ГИС по требованиям ЗИ (далее - аттестация ГИС).
Для обеспечения эффективного выполнения перечисленных мероприятий рекомендуется определить ответственное структурное подразделение или должностное лицо (работника) ОИВ или организации.
В качестве исполнителей (соисполнителей) мероприятий могут привлекаться сторонние организации, оказывающие соответствующие услуги на основании заключенных государственных контрактов и имеющие лицензии ФСТЭК России и ФСБ России на осуществление необходимых видов деятельности.
3.1. Формирование требований к ЗИ, содержащейся в ГИС
Формирование требований к ЗИ, содержащейся в ГИС, осуществляется Заказчиком или оператором ГИС.
3.1.1. Принятие решения о необходимости ЗИ, содержащейся в ГИС
При принятии решения о необходимости ЗИ, содержащейся в ГИС, необходимо:
- осуществить анализ целей создания ГИС и решаемых ею задач, определяемых в правовом акте о создании ГИС;
- определить информацию, подлежащую обработке в ГИС;
- осуществить анализ нормативных правовых актов, методических документов и национальных стандартов, которым должна соответствовать ГИС;
- принять решение о необходимости создания системы ЗИ ГИС, определив цели и задачи ЗИ в ГИС.
При определении информации, подлежащей обработке в ГИС, учитываются следующие виды информации:
- персональные данные субъектов персональных данных;
- информация, являющаяся государственным информационным ресурсом;
- служебная технологическая информация ограниченного распространения;
- общедоступная информация.
Персональные данные субъектов персональных данных подразделяются на категории:
- биометрические персональные данные;
- специальные категории персональных данных;
- общедоступные персональные данные;
- иные категории персональных данных.
К информации, являющейся государственным информационным ресурсом, относятся сведения, содержащиеся в ГИС и обрабатывающиеся в соответствии с целями ее создания.
К служебной технологической информации ограниченного распространения относятся:
- идентификационная и аутентификационная информация;
- сведения, содержащиеся в эксплуатационной и иной технической документации на компоненты вычислительной инфраструктуры ГИС и на систему защиты ГИС;
- содержимое конфигурационных файлов и регистрационных записей сетевого оборудования, аппаратных и программных средств ГИС, средств ЗИ;
- содержимое регистрационных записей системного, специального и прикладного программного обеспечения ГИС;
- сведения о технических параметрах ГИС.
К общедоступной информации относятся сведения, находящиеся в открытом доступе и используемые в ГИС.
3.1.2. Классификация ГИС по требованиям ЗИ
Классификация ГИС по требованиям ЗИ проводится для установления соответствующего ей класса защищенности, каждому из которых соответствует определенный набор требований по ЗИ (состав мер защиты).
Значение определяемого класса защищенности ГИС зависит от:
- уровня значимости обрабатываемой в ГИС информации (высокий, средний, низкий);
- масштаба ГИС (федеральный, региональный, объектовый).
Классификация ГИС по требованиям ЗИ проводится Заказчиком или оператором ГИС.
Класс защищенности ГИС определяется специально созданной комиссией в соответствии с приложением N 1 к приказу ФСТЭК России от 11 февраля 2013 года N 17 "Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах". Форма приказа (распоряжения) о создании комиссии приведена в приложении к Методическим рекомендациям.
Класс защищенности может быть определен как для ГИС в целом, так и при необходимости для ее отдельных сегментов (составных частей).
Результаты классификации ГИС должны оформляться протоколом заседания комиссии и соответствующим актом (форма протокола и акта классификации ГИС приведена в приложении к Методическим рекомендациям).
Класс защищенности ГИС подлежит пересмотру при изменении масштаба ГИС или значимости обрабатываемой в ней информации.
В случае обработки в ГИС информации, содержащей персональные данные, необходимо дополнительно определить уровень защищенности персональных данных, обрабатываемых в ГИС, в зависимости от:
- категории обрабатываемых персональных данных (специальные категории персональных данных, биометрические персональные данные, общедоступные персональные данные, иные персональные данные);
- количества субъектов персональных данных, данные которых обрабатываются в ГИС (более 100000 субъектов персональных данных, менее 100000 субъектов персональных данных);
- принадлежности субъектов персональных данных, данные которых обрабатываются в ГИС, к работникам ОИВ или организации (работник, не работник);
- типа актуальных угроз (первый, второй, третий).
Уровень защищенности персональных данных, обрабатываемых в ГИС, определяется указанной выше комиссией (одновременно с установлением класса защищенности ГИС) в соответствии с Требованиями к защите персональных данных при их обработке в информационных системах персональных данных, утвержденными постановлением Правительства Российской Федерации от 1 ноября 2012 года N 1119 (методика определения уровня защищенности персональных данных, обрабатываемых в ГИС, приведена в приложении к Методическим рекомендациям).
В случае, если определенный уровень защищенности персональных данных, обрабатываемых в ГИС, выше чем установленный класс защищенности, то осуществляется повышение 1 класса защищенности до значения, обеспечивающего выполнение требований к значению уровня защищенности.
Результаты определения уровня защищенности персональных данных, обрабатываемых в ГИС, должны оформляться одновременно с результатами определения класса защищенности ГИС протоколом заседания комиссии и соответствующим актом (форма протокола и акта классификации ГИС при обработке персональных данных приведена в приложении к Методическим рекомендациям).
3.1.3. Определение угроз безопасности информации
3.1.3.1. Угрозы безопасности информации
Определение угроз безопасности информации направлено на установление возможности нарушения конфиденциальности, целостности или доступности информации, содержащейся в ГИС, и наступления вследствие реализации такой возможности этого негативных последствий (ущерба) для Заказчика (оператора) ГИС в социальной, политической, международной, экономической, финансовой или иных областях деятельности, а в случае обработки персональных данных - и для субъектов персональных данных.
Угрозы безопасности информации определяются по результатам оценки возможностей (потенциала) внешних и внутренних нарушителей, анализа возможных уязвимостей ГИС, возможных способов реализации угроз безопасности информации и последствий от нарушения свойств безопасности информации (конфиденциальности, целостности, доступности). В качестве исходных данных для определения угроз безопасности информации используется банк данных угроз безопасности информации 2, ведение которого осуществляется ФСТЭК России, а также иные источники, содержащие сведения об уязвимостях и угрозах безопасности информации.
При определении угроз безопасности информации учитываются структурно-функциональные характеристики ГИС, физические, логические, функциональные и технологические взаимосвязи между сегментами ГИС, а также с иными информационными системами и информационно-телекоммуникационными сетями, режимы обработки информации в ГИС и ее отдельных сегментах, а также иные характеристики ГИС, применяемые информационные технологии и особенности функционирования ГИС.
Модель угроз безопасности информации должна включать в себя описания:
- ГИС и ее структурно-функциональных характеристик;
- угроз безопасности информации;
- возможностей нарушителей;
- возможных уязвимостей ГИС;
- способов реализации угроз безопасности информации и последствий от нарушения свойств безопасности информации.
Для определения угроз безопасности информации и разработки модели угроз безопасности информации необходимо использовать Методику определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных 3 (утв. ФСТЭК России 14 февраля 2008 года).
Также для определения угроз безопасности информации и разработки модели угроз безопасности информации рекомендуется использовать проект Методики определения угроз безопасности информации в информационных системах 4.
Пример типовой модели угроз безопасности информации, обрабатываемой в ГИС, приведен в приложении к Методическим рекомендациям.
В общем случае разработка модели угроз безопасности информации осуществляется в 3 этапа:
1. Определение области оценки угроз безопасности информации.
Оценка угроз безопасности информации осуществляется для ГИС в целом в отношении каждого технологического уровня 5 ГИС, при этом из области оценки исключаются компоненты ГИС, входящие в состав технологических уровней ГИС, в отношении которых Заказчик или оператор ГИС не осуществляет эксплуатацию. В этом случае необходимо указать документы, на основании которых были сделаны выводы о нейтрализации угроз безопасности информации в отношении таких компонентов.
2. Определение возможностей нарушителей.
Этап определения возможностей нарушителей включает в себя следующие подэтапы:
1) определение типов нарушителей (внешние и внутренние) и видов 6 нарушителей, их возможных целей и потенциала (низкий, средний, высокий) нападения при реализации угроз безопасности информации в ГИС.
Возможности каждого вида нарушителя по реализации угроз безопасности информации характеризуются его потенциалом. В свою очередь, потенциал нарушителя определяется компетентностью, ресурсами и мотивацией, требуемыми для реализации угроз безопасности информации в ГИС с заданными структурно-функциональными характеристиками и особенностями функционирования;
2) проведение оценки актуальности и/или отнесения к доверенным лицам нарушителя (определение потенциальных нарушителей безопасности информации).
Оценка актуальности нарушителя соответствующего вида и (или) отнесения нарушителя к доверенным лицам осуществляется с учетом категорий обрабатываемой в ГИС информации, структурно-функциональных характеристик ГИС и особенностей ее функционирования, степени ущерба, который может быть причинен Заказчику или оператору от реализации угроз безопасности информации, характера взаимоотношений с внешними организациями;
3) определение применимых технологических уровней ГИС, входящих в область оценки угроз безопасности информации, в отношении которых потенциальный нарушитель имеет возможности по реализации угроз безопасности информации.
Оценка применимых технологических уровней ГИС проводится для каждого вида потенциального нарушителя.
3. Определение актуальных угроз безопасности информации.
Этап определения актуальных угроз безопасности информации состоит из следующих подэтапов:
1) определение базового перечня угроз безопасности информации для технологических уровней ГИС, выявленных на втором этапе;
2) адаптация базового перечня угроз безопасности информации.
Адаптация базового перечня угроз безопасности информации осуществляется путем рассмотрения структурно-функциональных характеристик ГИС, применяемых информационных технологий, потенциала возможных актуальных нарушителей и класса защищенности ГИС - в результате из базового перечня угроз безопасности информации исключаются неприменимые угрозы безопасности информации;
3) определение достаточности потенциала нарушителя для реализации определенных базовых угроз безопасности информации;
4) определение актуальных угроз безопасности информации в отношении адаптированного базового перечня угроз безопасности информации в соответствии с методическими документами ФСТЭК России.
В случае принятия решения об использовании средств криптографической ЗИ для обеспечения безопасности информации, содержащейся в ГИС, в модели угроз безопасности информации, обрабатываемой в ГИС, должна быть дополнительно описана совокупность предположений о возможностях, которые могут использоваться при создании способов, подготовке и проведении атак, для нейтрализации которых должны применяться СКЗИ.
При разработке совокупности предположений необходимо руководствоваться документом "Методические рекомендации по разработке нормативных правовых актов, определяющих угрозы безопасности персональных данных, актуальные при обработке персональных данных в информационных системах персональных данных, эксплуатируемых при осуществлении соответствующих видов деятельности" 7 (утв. приказом ФСБ России 31 марта 2015 года за N 149/7/2/6-432).
Далее на основании совокупности предположений о возможностях, которые могут использоваться при создании способов, подготовке и проведении атак, и с учетом типа актуальных угроз безопасности информации определяется требуемый класс СКЗИ, применяемых для защиты персональных данных и иной информации ограниченного доступа, обрабатываемой в ГИС.
Указанный класс определяется путем оценки возможностей потенциальных нарушителей по созданию способов, подготовке и проведению атак в соответствии с приказом ФСБ России от 10 июля 2014 года N 378 "Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности" 8.
3.1.3.2. Согласование модели угроз безопасности информации, обрабатываемой в ГИС, с регуляторами в сфере ЗИ
Проект разработанной модели угроз безопасности информации, обрабатываемый в ГИС, подлежит согласованию с Управлением ФСТЭК России по Северо-Западному федеральному округу и с ФСБ России и направляется на согласование от лица Заказчика либо оператора ГИС (формы исходящих писем о направлении на согласование модели угроз безопасности информации, обрабатываемой в ГИС, во ФСТЭК России и ФСБ России приведены в приложениях к Методическим рекомендациям).
3.1.3.3. Плановый и внеплановый пересмотр результатов определения угроз безопасности информации
Разработанная модель угроз безопасности информации, обрабатываемой в ГИС, подлежит пересмотру на плановой (регулярной) основе с периодичностью не реже одного раза в 3 года, а также на внеплановой основе в следующих случаях:
- изменения законодательства Российской Федерации в области ЗИ и требований нормативных правовых актов и методических документов в области защиты конфиденциальной информации, в том числе с использованием СКЗИ;
- по результатам проведения мероприятий по контролю за выполнением требований к обеспечению безопасности информации при ее обработке в ГИС;
- модернизации ГИС;
- изменения условий размещения компонентов ГИС;
- выявления уязвимостей ГИС, приводящих к возникновению дополнительных угроз безопасности информации или повышению возможности реализации существующих;
- выявления новых источников угроз, развития способов и средств реализации угроз безопасности информации в ГИС;
- изменения информационной технологии, применяемой в ГИС, как совокупности приемов, способов и методов использования средств вычислительной техники при обработке информации;
- изменения в составе основных элементов ГИС и особенностей функционирования ГИС, которые могут повлиять на состав угроз безопасности информации. К таким элементам относятся:
основные технические средства и системы (средства вычислительной техники, информационно-вычислительные комплексы и сети, средства и системы передачи, приема и обработки информации);
программные средства (операционные системы, системы управления базами данных и т.п.);
средства ЗИ;
вспомогательные технические средства и системы;
появление сведений и фактов о новых возможностях нарушителей.
В случае модернизации ГИС актуализированная модель угроз безопасности информации, обрабатываемой в ГИС, подлежит повторному согласованию с Управлением ФСТЭК России по Северо-Западному федеральному округу и с ФСБ России.
3.1.4. Определение требований к системе ЗИ ГИС
В целях подготовки технического задания (далее - ТЗ) на создание системы ЗИ ГИС проводится определение требований к такой системе в зависимости от класса защищенности ГИС, актуальных угроз безопасности информации и в соответствии с приказом ФСТЭК России от 11 февраля 2013 года N 17 "Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах" путем выполнения следующих мероприятий:
- определение базового набора мер ЗИ для установленного класса защищенности ГИС;
- адаптация базового набора мер ЗИ с учетом структурно-функциональных характеристик ГИС, информационных технологий, особенностей функционирования ГИС (в том числе исключение мер ЗИ из базового набора мер, непосредственно связанных с информационными технологиями, не используемыми в ГИС, или структурно-функциональными характеристиками, не свойственными ГИС);
- уточнение адаптированного базового набора мер ЗИ с учетом не выбранных ранее мер ЗИ, в результате чего определяются меры ЗИ, обеспечивающие блокирование (нейтрализацию) всех актуальных угроз безопасности информации, включенных в модель угроз безопасности информации;
- дополнение уточненного адаптированного базового набора мер ЗИ мерами, обеспечивающими выполнение требований о ЗИ, установленными иными нормативными правовыми актами в области ЗИ (например, отраслевые нормативные правовые акты, устанавливающие требования по ЗИ для определенных сфер деятельности), в том числе в области защиты персональных данных.
В случае необходимости применения в составе ГИС криптографических методов ЗИ и шифровальных (криптографических) средств ЗИ, при определении требований к системе ЗИ ГИС дополнительно необходимо руководствоваться следующими документами:
- приказ ФСБ России от 10 июля 2014 года N 378 "Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности" 9;
- приказ ФСБ России от 9 февраля 2005 года N 66 "Об утверждении положения о разработке, производстве, реализации и эксплуатации шифровальных (криптографических) средств защиты информации (положение ПКЗ-2005)" 10;
- приказ ФАПСИ от 13 июня 2001 года N 152 "Об утверждении инструкции об организации и обеспечении безопасности хранения, обработки и передачи по каналам связи с использованием средств криптографической защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну" 11.
При невозможности реализации в ГИС отдельных выбранных мер ЗИ на этапах адаптации базового набора мер ЗИ или уточнения адаптированного базового набора мер ЗИ могут быть определены иные (компенсирующие) меры ЗИ, обеспечивающие адекватное блокирование (нейтрализацию) соответствующих угроз безопасности информации. В этом случае при разработке системы ЗИ ГИС требуется провести обоснование применения компенсирующих мер ЗИ, а при аттестационных испытаниях ГИС необходимо оценить достаточность и адекватность данных компенсирующих мер для блокирования (нейтрализации) угроз безопасности информации.
Выбранные меры ЗИ реализуются в системе ЗИ ГИС применительно ко всем объектам и субъектам доступа на аппаратном, системном, прикладном и сетевом уровнях, в том числе в среде виртуализации и облачных вычислений.
Также при определении требований к системе ЗИ ГИС учитываются положения политик обеспечения ИБ Заказчика или оператора ГИС.
ТЗ на создание системы ЗИ ГИС разрабатывается с учетом:
- ГОСТ 34.602-89 "Информационная технология. Комплекс стандартов на автоматизированные системы. Техническое задание на создание автоматизированной системы" 12;
- ГОСТ Р 51583-2014 "Защита информации. Порядок создания автоматизированных систем в защищенном исполнении. Общие положения" 13;
- ГОСТ 51624-2000 "Защита информации. Автоматизированные системы в защищенном исполнении. Общие требования" 14.
Проект разработанного ТЗ подлежит согласованию с Управлением ФСТЭК России по Северо-Западному федеральному округу и направляется на согласование во ФСТЭК России от лица Заказчика либо оператора ГИС. Проект ТЗ направляется на согласование во ФСТЭК России одновременно с моделью угроз безопасности информации, обрабатываемой в ГИС.
3.2. Разработка системы ЗИ ГИС
Разработка системы ЗИ ГИС организуется Заказчиком, осуществляется в соответствии с разработанным ТЗ на создание системы ЗИ ГИС и включает в себя следующие этапы:
- проектирование системы ЗИ ГИС;
- разработка эксплуатационной документации на систему ЗИ ГИС;
- макетирование и тестирование системы ЗИ ГИС (при необходимости).
Разрабатываемая система ЗИ ГИС не должна препятствовать достижению целей создания ГИС и ее функционированию.
При разработке системы ЗИ ГИС необходимо учитывать ее информационное взаимодействие с иными информационными системами, информационно-телекоммуникационными сетями, а также способы размещения ГИС на инфраструктуре предоставляемых вычислительных ресурсов (мощностей).
3.2.1. Проектирование системы ЗИ ГИС
При проектировании системы ЗИ ГИС требуется:
- выбрать меры ЗИ, подлежащие реализации в системе ЗИ ГИС;
- определить технические решения по реализации требований к системе ЗИ ГИС;
- выбрать средства ЗИ с учетом их совместимости с информационными технологиями и техническими средствами, применяемыми в ГИС, а также с учетом функций безопасности этих средств и особенностей их реализации;
- определить структуру технических решений системы ЗИ ГИС (состав и назначение составных частей) и описание применения системы ЗИ ГИС, включая определение мест размещения компонентов средств и систем защиты, способов взаимодействия между ними, способов управления и мониторинга;
- разработать требования по реализации необходимых функций и механизмов безопасности в прикладном программном обеспечении ГИС (в случае необходимости);
- подготовить спецификацию необходимого оборудования и средств ЗИ, необходимых для создания системы ЗИ ГИС;
- определить условия внедрения системы ЗИ ГИС, включая требования к системной и сетевой инфраструктуре объектов внедрения.
При построении системы ЗИ ГИС должны использоваться средства ЗИ, сертифицированные на соответствие требованиям по безопасности информации, установленным ФСТЭК России (в части не криптографических методов ЗИ) и ФСБ России (в части криптографических методов ЗИ). При этом:
- в ГИС 1-го класса защищенности применяются средства ЗИ не ниже 4-го класса, а также средства вычислительной техники не ниже 5-го класса защищенности;
- в ГИС 2-го класса защищенности применяются средства ЗИ не ниже 5-го класса, а также средства вычислительной техники не ниже 5-го класса защищенности;
- в ГИС 3-го класса защищенности применяются средства ЗИ 6-го класса, а также средства вычислительной техники не ниже 5-го класса защищенности.
В ГИС 1-го и 2-го классов защищенности применяются средства ЗИ, прошедшие проверку не ниже чем по 4-му уровню контроля отсутствия недекларированных возможностей.
При отсутствии необходимых средств ЗИ, сертифицированных на соответствие требованиям по безопасности информации, организуется разработка (доработка) средств ЗИ и их сертификация в соответствии с законодательством Российской Федерации или производится корректировка проектных решений по ГИС и (или) ее системе ЗИ с учетом функциональных возможностей имеющихся сертифицированных средств ЗИ.
Проектная документация на систему ЗИ ГИС, разрабатываемая в соответствии с ГОСТ 34.201-89, должна включать:
- пояснительную записку к эскизному и/или техническому проекту на систему ЗИ ГИС;
- спецификацию оборудования и программного обеспечения;
- схему структурную комплекса технических средств;
- схему функциональной структуры;
- схему соединений и подключений;
- чертеж установки технических средств;
- план расположения оборудования;
- программу и методику предварительных испытаний системы ЗИ ГИС;
- программу опытной эксплуатации системы ЗИ ГИС;
- программу и методику приемочных испытаний системы ЗИ ГИС.
Пояснительная записка к проекту должна содержать описание объекта защиты, описание состава и содержания мер по обеспечению безопасности информации, включая правила выбора указанных мер, описание процесса деятельности, основные технические решения и описание мероприятий по подготовке к вводу системы ЗИ в действие.
Спецификация оборудования и программного обеспечения должна содержать перечень используемых программных, программно-аппаратных и аппаратных средств ЗИ (как имеющихся, так и приобретаемых) с указанием количества и производителя.
Схема структурная комплекса технических средств должна отображать состав (компоненты) системы ЗИ и связи между компонентами системы ЗИ. Допускается представлять структуру комплекса технических средств несколькими схемами, первой из которых является укрупненная схема комплекса технических средств в целом.
Схема функциональной структуры должна содержать элементы функциональной структуры (подсистемы системы ЗИ), функции и/или задачи (комплексы задач) и информационные связи между элементами и с внешней средой.
На схеме соединений и подключений должны быть указаны электрические провода и кабели (защитные трубы, короба и т.п.), прокладываемые вне щитов и кроссовых шкафов, устройства, встраиваемые в технологическое оборудование, устройства, устанавливаемые вне щитов, устройства защитного заземления, щиты и пульты, вводные устройства (сборки коммутационных зажимов, штепсельные разъемы и т.п.) щитов, пультов, соединительных коробок и подключаемые к ним кабели и провода, а также другие виды технических средств. Схему допускается выполнять в виде таблицы.
Чертеж установки технических средств должен содержать изображение монтируемого изделия, изображение устройства (конструкции), к которому изделие крепится, установочные и присоединительные размеры с предельными отклонениями, перечень составных частей, необходимых для монтажа, и технические требования к монтажу изделия.
План расположения оборудования должен отображать планы и разрезы помещений, на которых должно быть указано размещение технических средств (в т.ч. устройств телемеханики и связи, кабельных проводок и т.п.). На плане указывают установочные размеры, необходимые для монтажа оборудования.
Программа и методики испытаний (предварительных испытаний, опытной эксплуатации, приемочных испытаний) должны устанавливать необходимый и достаточный объем испытаний, обеспечивающий заданную достоверность получаемых результатов. В документе должны быть указаны в том числе:
- описание объекта (объектов) испытаний - системы ЗИ ГИС и ее подсистем;
- условия и сроки проведения испытаний;
- состав технических и программных средств, необходимых для проведения испытаний, включая специальные стенды для проведения испытаний;
- требования, которым должны соответствовать система ЗИ и ее подсистемы;
- порядок и методы испытаний;
- порядок устранения недостатков, выявленных в процессе испытаний;
- критерии приемки системы ЗИ и ее подсистем.
Проектная документация на систему ЗИ ГИС подлежит согласованию с оператором ГИС (если он определен в установленном порядке и не является Заказчиком данной ГИС).
3.2.2. Разработка эксплуатационной документации на систему ЗИ ГИС
Разработка эксплуатационной документации на систему ЗИ ГИС осуществляется в соответствии с ТЗ на создание системы ЗИ ГИС.
Эксплуатационная документация разрабатывается с учетом ГОСТ 34.601-90, ГОСТ 34.201-89 и ГОСТ Р 51624-2000 и должна в том числе содержать описание:
- структуры системы ЗИ ГИС;
- состава, мест установки, параметров и порядка настройки средств ЗИ, программного обеспечения и технических средств;
- правил эксплуатации системы ЗИ ГИС.
Результаты работ данного этапа должны быть зафиксированы в документах и содержать:
- описание технологического процесса обработки информации, содержащейся в ГИС;
- описание настроек средств ЗИ;
- технический паспорт ГИС;
- руководство администратора комплекса средств ЗИ ГИС;
- руководство пользователя комплекса средств ЗИ ГИС.
В случае использования в составе системы ЗИ ГИС средств криптографической ЗИ в состав эксплуатационной документации также включается журнал поэкземплярного учета СКЗИ из состава ЗИ ГИС (форма журнала приведена в приложении к Методическим рекомендациям).
Описание технологического процесса обработки информации, содержащейся в ГИС, включает в себя сведения о жизненном цикле обработки информации в ГИС, порядке доступа к информации, процессах, в рамках которых осуществляется обработка информации в ГИС, и целях такой обработки. Также в документе приводятся данные о конфигурации и топологии ГИС, ее отдельных компонентах, используемых технологиях и технологических процессах обработки информации.
Описание настроек средств ЗИ должно содержать сведения о настраиваемых параметрах и их значениях по каждому средству ЗИ из состава системы ЗИ ГИС.
Технический паспорт ГИС должен содержать общие сведения о ГИС, сведения о функциях, реализуемых ГИС, описание принципов функционирования ГИС, общий регламент и режимы функционирования ГИС, сведения о совместимости ГИС с другими системами, состав технических и программных средств ГИС, сведения об аттестации ГИС по требованиям безопасности информации, сведения о контроле.
В руководства администратора и пользователя комплекса средств ЗИ включается описание операций со средствами ЗИ, входящими в состав системы ЗИ ГИС, выполняемых, соответственно, администратором и пользователем. Документы должны разрабатываться в приложении к конкретным средствам ЗИ из состава системы ЗИ ГИС.
3.2.3. Макетирование и тестирование системы ЗИ ГИС
Этап макетирования и тестирования системы ЗИ ГИС проводится при необходимости, по решению Заказчика.
При проведении макетирования и тестирования системы ЗИ ГИС в том числе осуществляются:
- проверка работоспособности и совместимости выбранных средств ЗИ с информационными технологиями и техническими средствами ГИС;
- проверка выполнения выбранными средствами ЗИ установленных требований к системе ЗИ ГИС;
- корректировка (при необходимости) проектных решений, разработанных при создании ГИС и (или) системы ЗИ ГИС.
Результаты проведения макетирования и тестирования системы ЗИ ГИС оформляются в следующих документах:
- описание стенда;
- программа и методика проведения работ по макетированию и тестированию системы ЗИ ГИС;
- протокол проведения макетирования и тестирования системы ЗИ ГИС.
Макетирование системы ЗИ ГИС и ее тестирование могут проводиться в том числе с использованием средств и методов моделирования информационных систем и технологий виртуализации.
3.3. Внедрение (реализация) системы ЗИ ГИС
Внедрение (реализация) системы ЗИ ГИС осуществляется в соответствии с проектной и эксплуатационной документацией и включает следующие мероприятия:
- установка и настройка средств ЗИ;
- разработка документов, определяющих правила и процедуры, реализуемые в целях обеспечения ЗИ, обрабатываемой в ГИС, в ходе эксплуатации ГИС (далее - организационно-распорядительные документы по ЗИ);
- внедрение организационных мер ЗИ;
- предварительные испытания системы ЗИ ГИС;
- опытная эксплуатация системы ЗИ ГИС;
- анализ уязвимостей ГИС и принятие мер ЗИ по их устранению;
- приемочные испытания системы ЗИ ГИС.
Результатом выполнения перечисленных мероприятий является внедренная (реализованная) система ЗИ ГИС, которая обеспечивает блокирование (нейтрализацию) угроз безопасности информации, содержащейся в ГИС, в соответствии с необходимым классом защищенности и соответствует требованиям ТЗ на создание системы ЗИ ГИС, решениям проектной и эксплуатационной документации.
К внедрению системы ЗИ ГИС привлекается оператор ГИС.
Формы программ и методик испытаний (предварительных испытаний, опытной эксплуатации и приемочных испытаний), а также общие формы отчетных документов по результатам испытаний приведены в приложениях к Методическим рекомендациям.
3.3.1. Установка и настройка средств ЗИ
Установка и настройка средств ЗИ в ГИС должны проводиться в соответствии с эксплуатационной документацией на систему ЗИ ГИС и документацией на средства ЗИ. Результаты проведения работ необходимо оформить соответствующим актом (форма акта приведена в приложении к Методическим рекомендациям).
3.3.2. Назначение ответственных за ЗИ
Для обеспечения ЗИ, содержащейся в ГИС, в ОИВ или организации должно быть определено структурное подразделение или должностное лицо (работник), ответственные за ЗИ 15.
Для ОИВ и организаций с типовой организационно-управленческой структурой рекомендуется формирование организационной структуры обеспечения ЗИ, содержащейся в ГИС, предусматривающей наличие следующих ответственных лиц:
- ответственный за ЗИ, содержащейся в ГИС (далее - Ответственный за ЗИ);
- администратор информационной безопасности;
- администратор информационной системы (ГИС).
К основным функциям Ответственного за ЗИ относятся:
- обеспечение организации эксплуатации системы ЗИ ГИС и при необходимости ее модернизации и развития;
- организация исполнения требований по ЗИ, содержащейся в ГИС, в соответствии с организационно-распорядительной документацией на систему ЗИ ГИС;
- обеспечение внутреннего контроля за соблюдением ОИВ или организацией и пользователями ГИС требований к ЗИ;
- контроль за соблюдением требований по ЗИ, содержащейся в ГИС, в рамках работ (услуг) по созданию, развитию (модернизации), эксплуатации ГИС, выполняемых (оказываемых) сторонними организациями по договорам;
- обеспечение координации и контроля исполнения договорных обязательств, а также сроков, полноты и качества работ или услуг по ЗИ, содержащейся в ГИС, выполняемых сторонними организациями;
- организация реагирования на инциденты ИБ в ГИС и участие в их расследовании;
- участие в проведении проверок регулирующими органами, а также при проведении контрольных мероприятий по ЗИ в ГИС.
Рекомендуется назначать на роль Ответственного за ЗИ заместителя руководителя ОИВ или организации или другое лицо, ответственное за реализацию государственных контрактов, предметом которых являются создание, развитие (модернизация), эксплуатация защищаемой ГИС.
Основными функциями администратора ИБ является обеспечение эксплуатации и администрирования системы ЗИ ГИС, включая:
- администрирование и сопровождение компонентов системы ЗИ ГИС в рамках своей компетенции;
- реализацию решений по обеспечению ЗИ, обрабатываемой в ГИС, в рамках своей компетенции;
- выполнение требований по ЗИ, содержащейся в ГИС, в соответствии с проектной и организационно-распорядительной документацией на систему ЗИ ГИС;
- участие в реагировании и расследовании инцидентов ИБ в ГИС;
- контроль за соблюдением условий использования компонентов системы ЗИ ГИС, в том числе контроль работ, проводимых в отношении указанных компонентов сторонними организациями;
- участие в проведении проверок регулирующими органами, а также при проведении контрольных мероприятий по ЗИ в ГИС в части предоставления необходимой информации;
- проведение инструктажа пользователей ГИС по правилам работы со средствами ЗИ, применяемыми в ГИС, консультирование пользователей ГИС по вопросам использования средств ЗИ в составе ГИС в процессе ее эксплуатации в рамках своей компетенции.
Рекомендуется назначать на роль администратора ИБ руководителя соответствующего структурного подразделения, обеспечивающего штатное функционирование системы ЗИ ГИС.
К основным функциям администратора информационной системы (ГИС) по выполнению требований к ЗИ относятся:
- исполнение в рамках своей компетенции требований по ЗИ, содержащейся в ГИС, в соответствии с проектной и организационно-распорядительной документацией;
- реализация принятых решений по обеспечению ЗИ, обрабатываемой в ГИС, в рамках своей компетенции;
- участие в реагировании и расследовании инцидентов ИБ в ГИС;
- участие в проведении проверок регулирующими органами, а также при проведении контрольных мероприятий по ЗИ в ГИС в части предоставления необходимой информации.
Рекомендуется назначать на роль администратора информационной системы руководителя соответствующего структурного подразделения, обеспечивающего ее штатное функционирование.
Совмещение функций Ответственного за ЗИ с функциями администратора информационной системы и администратора ИБ недопустимо. Также не рекомендуется в рамках одной должности совмещать функции администратора информационной системы и администратора ИБ.
Форма приказа (распоряжения) об организации работ по ЗИ, содержащейся в ГИС, приведена в приложении к Методическим рекомендациям.
В должностные инструкции (регламенты) назначенных ответственных работников необходимо внести соответствующие изменения.
Рекомендуется Ответственному за ЗИ и администратору ИБ пройти обучение по программам профессиональной переподготовки и повышения квалификации специалистов в области противодействия иностранным техническим разведкам и технической ЗИ, разработанным ФСТЭК России 16.
3.3.3. Разработка организационно-распорядительных документов по ЗИ
Организационно-распорядительные документы по ЗИ разрабатываются в соответствии с требованиями ТЗ на создание системы ЗИ ГИС, составленного по результатам проектирования системы ЗИ ГИС. Разработка документов ведется в том числе в целях приведения процессов обработки информации, содержащейся в ГИС, в соответствие с требованиями законодательства в области ЗИ.
При разработке документов должны учитываться технологические особенности обработки информации в ГИС.
Состав организационно-распорядительных документов (формы и примеры документов приведены в приложении к Методическим рекомендациям):
- перечень лиц, доступ которых к персональным данным, обрабатываемым в ГИС, необходим для выполнения ими служебных (трудовых) обязанностей;
- перечень защищаемых информационных ресурсов ГИС;
- матрица разграничения доступа к защищаемым информационным ресурсам ГИС;
- инструкция администратора ИБ системы ЗИ ГИС;
- инструкция пользователя системы ЗИ ГИС;
- правила доступа в помещения, где размещены СКЗИ из состава системы защиты ГИС, в рабочее и нерабочее время, а также в нештатных ситуациях;
- перечень лиц, имеющих право доступа в помещения, где размещены СКЗИ из состава системы защиты ГИС;
- инструкция по обращению со СКЗИ из состава системы защиты ГИС;
- перечень лиц, допущенных к работе со СКЗИ из состава системы защиты ГИС;
- положение об обеспечении безопасности информации, содержащейся в ГИС, включающее в себя следующие разделы:
роли уполномоченных лиц, ответственных за обработку и ЗИ в ГИС;
предоставление допуска к обработке информации и предоставлению доступа в ГИС;
парольная защита;
ограничение программной среды;
обращение с машинными носителями информации;
регистрация событий безопасности;
антивирусная защита;
контроль (анализ) защищенности информации;
обеспечение целостности информации;
защита технических средств;
защита ГИС, ее средств, систем связи и передачи данных;
резервирование и восстановление информационных ресурсов ГИС;
выявление инцидентов ИБ и реагирование на них;
управление конфигурацией аттестованной ГИС и системы ЗИ ГИС;
контроль за обеспечением уровня защищенности информации, содержащейся в ГИС;
ЗИ при выводе из эксплуатации ГИС или после принятия решения об окончании обработки информации;
обучение пользователей по вопросам обработки и ЗИ.
При разработке документов должны учитываться положения политик обеспечения ИБ, принятые в ОИВ или организации, а также технологические особенности обработки информации в ГИС.
3.3.4. Внедрение организационных мер ЗИ
В процессе внедрения организационных мер ЗИ осуществляются:
- ознакомление с организационно-распорядительными документами ответственных работников;
- проверка полноты и правильности действий администратора и пользователей ГИС;
- отработка действий должностных лиц и подразделений, ответственных за реализацию мер ЗИ;
- реализация правил и требований, определенных в организационно-распорядительных документах.
3.3.5. Предварительные испытания системы ЗИ ГИС
Предварительные испытания системы ЗИ ГИС проводятся специально созданной приемочной комиссией в соответствии с программой и методикой предварительных испытаний системы ЗИ ГИС 17 в целях проверки ее работоспособности и принятия решения о возможности приемки системы ЗИ ГИС в опытную эксплуатацию.
Предварительные испытания проводятся в полном объеме вне зависимости от результатов каждой отдельной проверки, при этом считается, что испытания прошли успешно только в том случае, если система ЗИ ГИС успешно прошла все предусмотренные программой проверки.
В случае выявления ошибок при проведении предварительных испытаний устраняются причины их появления, после чего предварительные испытания проводятся повторно в полном объеме.
По результатам предварительных испытаний формируется протокол, который должен содержать обобщенные результаты предварительных испытаний, выводы о результатах предварительных испытаний и соответствии системы ЗИ ГИС требованиям ТЗ на ее создание.
Предварительные испытания завершаются оформлением акта о готовности системы ЗИ ГИС к опытной эксплуатации.
3.3.6. Опытная эксплуатация системы ЗИ ГИС
Опытная эксплуатация системы ЗИ ГИС проводится в целях проверки корректности ее функционирования и готовности пользователей и администраторов к ее эксплуатации.
Опытная эксплуатация проводится в соответствии с программой опытной эксплуатации системы ЗИ ГИС.
Во время опытной эксплуатации необходимо вести рабочий журнал, в который заносятся сведения о продолжительности функционирования системы ЗИ ГИС, всех отказах, сбоях, аварийных ситуациях, изменениях параметров, проводимых корректировках документации и программных средств, наладке технических средств. Сведения фиксируют с указанием даты и ответственного лица. В журнал также могут быть занесены замечания и пожелания пользователей по удобству эксплуатации системы ЗИ ГИС.
Опытная эксплуатация завершается оформлением акта о готовности системы ЗИ ГИС к проведению анализа уязвимостей ГИС и последующих приемочных испытаний.
3.3.7. Анализ уязвимостей ГИС и принятие мер ЗИ по их устранению
В целях оценки возможности преодоления нарушителем системы ЗИ ГИС, а также в целях оценки возможности предотвращения реализации угроз безопасности информации проводится анализ уязвимостей ГИС.
Анализ уязвимостей ГИС должен включать в себя проверку отсутствия известных уязвимостей средств ЗИ, технических средств и программного обеспечения, правильность установки и настройки средств ЗИ, технических средств и программного обеспечения, а также корректность работы средств ЗИ при их взаимодействии с техническими средствами и программным обеспечением ГИС.
Анализ уязвимостей ГИС проводится в соответствии с разработанной программой и методикой анализа уязвимостей.
По результатам анализа уязвимостей ГИС оформляется отчет, содержащий:
- краткий обзор результатов анализа уязвимостей ГИС;
- перечень сетевых ресурсов ГИС, подлежащих анализу уязвимостей;
- состав выполненных работ по анализу уязвимостей;
- результаты анализа уязвимостей ГИС;
- рекомендации по устранению выявленных уязвимостей ГИС (в случае их выявления).
В случае выявления уязвимостей ГИС, приводящих к возникновению дополнительных угроз безопасности информации, проводится уточнение модели угроз безопасности информации и при необходимости принимаются дополнительные меры ЗИ, направленные на устранение выявленных уязвимостей или исключающие возможность использования нарушителем выявленных уязвимостей.
По результатам анализа уязвимостей должно быть подтверждено, что в ГИС отсутствуют уязвимости, содержащиеся в банке данных угроз безопасности информации ФСТЭК России и иных источниках, или разработаны рекомендации по доработке системы ЗИ ГИС для невозможности использования (эксплуатации) выявленных уязвимостей нарушителем.
3.3.8. Приемочные испытания системы ЗИ ГИС
Приемочные испытания проводятся специально созданной приемочной комиссией в целях проверки соответствия системы ЗИ ГИС ТЗ на создание системы ЗИ ГИС, оценки качества проведенной опытной эксплуатации и решения вопроса о возможности приемки системы ЗИ ГИС в постоянную эксплуатацию.
Приемочные испытания проводятся в соответствии с программой и методикой приемочных испытаний системы ЗИ ГИС в полном объеме вне зависимости от результатов каждой отдельной проверки.
Система ЗИ ГИС считается успешно прошедшей приемочные испытания, если она успешно прошла все проверки, в противном случае считается, что система ЗИ ГИС приемочные испытания не прошла. При выявлении ошибок должны быть устранены причины их появления, после чего приемочные испытания проводятся в полном объеме повторно.
По результатам приемочных испытаний формируется протокол, содержащий обобщенные результаты приемочных испытаний, выводы о результатах приемочных испытаний и соответствии системы ЗИ ГИС требованиям ТЗ.
Приемочные испытания завершаются оформлением акта о готовности системы ЗИ ГИС к эксплуатации.
3.4. Аттестация ГИС
Аттестация ГИС проводится в целях проверки и подтверждения соответствия ГИС требованиям законодательства Российской Федерации в области ЗИ.
Аттестация ГИС организуется Заказчиком или оператором, включает в себя проведение комплекса организационных и технических мероприятий (аттестационных испытаний), по результатам оформляется аттестат соответствия ГИС требованиям по безопасности информации.
Проведение аттестационных испытаний требует наличия у ОИВ или организации оформленной в соответствии с законодательством Российской Федерации лицензии на осуществление деятельности по технической защите конфиденциальной информации, включая работы (услуги) по аттестационным испытаниям и аттестации на соответствие требованиям по ЗИ средств и систем информатизации.
В случае отсутствия лицензии на данный вид деятельности ОИВ или организации могут привлекать сторонние организации, оказывающие соответствующие услуги на основании государственных контрактов и имеющие лицензию на осуществление деятельности по технической защите конфиденциальной информации, включая работы и услуги по аттестационным испытаниям и аттестации на соответствие требованиям по ЗИ средств и систем информатизации.
Не допускается проведение аттестационных испытаний ГИС должностными лицами, осуществлявшими проектирование и (или) внедрение системы ЗИ ГИС. При этом возможно проведение работ по проектированию и (или) внедрению системы ЗИ ГИС, а также аттестационных испытаний ГИС работниками одной организации.
Аттестационные испытания ГИС проводятся с учетом ГОСТ РО 0043-003-2012 "Защита информации. Аттестация объектов информатизации. Общие положения" 18 в соответствии с программой и методикой аттестационных испытаний ГИС, разрабатываемой с учетом ГОСТ РО 0043-004-2013 "Защита информации. Аттестация объектов информатизации. Программа и методики аттестационных испытаний" 19.
По решению Заказчика (оператора) аттестационные испытания могут быть совмещены с проведением приемочных испытаний ГИС.
При проведении аттестационных испытаний ГИС должны применяться следующие методы проверок (испытаний):
- экспертно-документальный метод, предусматривающий проверку соответствия системы (реализованных мер) ЗИ ГИС установленным требованиям по ЗИ, на основе оценки эксплуатационной документации, организационно-распорядительных документов по ЗИ, а также условий функционирования ГИС;
- анализ уязвимостей ГИС, в том числе вызванных неправильной настройкой (конфигурированием) программного обеспечения ГИС и средств ЗИ ГИС;
- испытания системы (реализованных мер) ЗИ путем осуществления попыток несанкционированного доступа (воздействия) к ГИС в обход ее системы (реализованных мер) ЗИ;
- инструментальный метод с использованием контрольно-измерительной аппаратуры (при условии наличия угрозы безопасности информации от утечки по техническим каналам), предусматривающий проведение измерений и оценку уровней защищенности в соответствии с нормативными правовыми актами и методическими документами по ЗИ от ее утечки по техническим каналам;
- проверка соответствия примененных параметров настройки элементов системы ЗИ требованиям безопасности информации;
- проверка подсистем ЗИ от несанкционированного доступа, целостности применяемых средств ЗИ от несанкционированного доступа, в том числе с использованием специальных средств контроля защищенности информации;
- проверка программной совместимости и корректности функционирования всего комплекса используемых средств вычислительной техники с продукцией, используемой в целях ЗИ.
Допускается аттестация ГИС на основе результатов аттестационных испытаний выделенного набора сегментов ГИС, реализующих полную технологию обработки информации.
ГИС, функционирующие на базе общей инфраструктуры (средств вычислительной техники, серверов телекоммуникационного оборудования) в качестве прикладных сервисов, подлежат аттестации по требованиям ЗИ в составе указанной инфраструктуры.
В случае, если ГИС создается на базе центра обработки данных, такой центр обработки данных должен быть аттестован по требованиям ЗИ по классу защищенности не ниже класса защищенности, установленного для ГИС.
При аттестации ГИС должны использоваться результаты аттестации общей инфраструктуры оператора ГИС.
По результатам аттестационных испытаний оформляются протокол аттестационных испытаний, заключение о соответствии ГИС требованиям о защите ЗИ и аттестат соответствия в случае положительных результатов аттестационных испытаний.
Аттестат соответствия выдается органом по аттестации на весь срок эксплуатации информационной системы. Оператор (обладатель информации) в ходе эксплуатации ГИС должен обеспечивать поддержку соответствия системы ЗИ аттестату соответствия в рамках реализации мероприятий по ЗИ в ходе эксплуатации ГИС, указанных в пункте 4 Методических рекомендаций.
4. Основные мероприятия по обеспечению ЗИ в ходе эксплуатации аттестованной ГИС
Ввод в действие ГИС производится в соответствии с законодательством Российской Федерации об информации, информационных технологиях и о ЗИ с учетом ГОСТ 34.601 и при наличии аттестата соответствия.
Основанием для ввода ГИС в эксплуатацию является правовой акт органа о вводе ГИС в эксплуатацию, определяющий перечень мероприятий по обеспечению ввода ГИС в эксплуатацию и устанавливающий срок начала эксплуатации.
Правовой акт о вводе ГИС в эксплуатацию включает:
- мероприятия по разработке и утверждению организационно-распорядительных документов, определяющих мероприятия по ЗИ в ходе эксплуатации ГИС;
- мероприятия по аттестации ГИС по требованиям ЗИ;
- мероприятия по подготовке органа к эксплуатации ГИС;
- мероприятия по подготовке должностных лиц органа к эксплуатации системы;
- мероприятия по оформлению прав на использование компонентов ГИС, являющихся объектами интеллектуальной собственности.
Срок начала эксплуатации ГИС не может быть ранее срока окончания последнего мероприятия, предусмотренного правовым актом органа о вводе системы в эксплуатацию.
Обеспечение ЗИ в ходе эксплуатации 20 аттестованной ГИС должно осуществляться оператором в соответствии с эксплуатационной документацией на систему ЗИ, организационно-распорядительными документами по ЗИ и должно включать следующие мероприятия:
- планирование мероприятий по ЗИ в информационной системе;
- анализ угроз безопасности информации в информационной системе;
- управление (администрирование) системой ЗИ ГИС;
- управление конфигурацией ГИС и ее системой ЗИ;
- реагирование на инциденты ИБ;
- информирование и обучение персонала ГИС;
- контроль за обеспечением уровня защищенности информации, содержащейся в информационной системе.
При планировании мероприятий по ЗИ в ГИС осуществляются:
1) определение лиц, ответственных за планирование и контроль мероприятий по ЗИ в ГИС, а также лиц, ответственных за выявление инцидентов и реагирование на них;
2) разработка, утверждение и актуализация плана мероприятий по ЗИ в ГИС;
3) определение порядка контроля выполнения мероприятий по обеспечению ЗИ в ГИС, предусмотренных утвержденным планом.
План мероприятий по ЗИ в ГИС утверждается вместе с правовым актом органа о вводе информационной системы в эксплуатацию.
Контроль выполнения мероприятий, предусмотренных планом мероприятий по ЗИ в ГИС, осуществляется в сроки, определенные указанным планом.
В ходе анализа угроз безопасности информации в ГИС в ходе ее эксплуатации осуществляются:
1) выявление, анализ и устранение уязвимостей ГИС;
2) анализ изменения угроз безопасности информации в ГИС;
3) оценка возможных последствий реализации угроз безопасности информации в ГИС.
Периодичность проведения мероприятий по анализу угроз безопасности информации в ГИС определяется оператором в организационно-распорядительных документах по ЗИ.
В процессе управления (администрирования) системой ЗИ ГИС осуществляются:
1) определение лиц, ответственных за управление (администрирование) системой ЗИ ГИС;
2) управление учетными записями пользователей и поддержание в актуальном состоянии правил разграничения доступа в ГИС;
3) управление средствами ЗИ ГИС;
4) управление обновлениями программных и программно-аппаратных средств, в том числе средств ЗИ, с учетом особенностей функционирования ГИС;
5) централизованное управление системой ЗИ ГИС (при необходимости);
6) мониторинг и анализ зарегистрированных событий в ГИС, связанных с обеспечением безопасности;
7) ведение эксплуатационной документации и организационно-распорядительных документов по ЗИ.
В ходе управления конфигурацией информационной системы и ее системы ЗИ осуществляются:
1) определение лиц, которым разрешены действия по внесению изменений в конфигурацию ГИС и ее системы ЗИ, и их полномочий; определение компонентов ГИС и ее системы ЗИ, подлежащих изменению в рамках управления конфигурацией, включая программно-аппаратные, программные средства, средства ЗИ, их настройки и программный код, эксплуатационную документацию, интерфейсы, файлы и иные компоненты, подлежащие изменению и контролю;
2) управление изменениями ГИС и ее системы ЗИ, включая разработку параметров настройки, обеспечивающих ЗИ, анализ потенциального воздействия планируемых изменений на обеспечение ЗИ, санкционирование внесения изменений в ГИС и ее систему ЗИ, документирование действий по внесению изменений в ГИС и сохранение данных об изменениях конфигурации;
3) контроль действий по внесению изменений в информационную систему и ее систему ЗИ.
Реализованные процессы управления изменениями ГИС и ее системы ЗИ должны включать процессы гарантийного и (или) технического обслуживания, в том числе дистанционного (удаленного), программных и программно-аппаратных средств, включая средства ЗИ, информационной системы.
В рамках реагирования на инциденты осуществляются:
1) обнаружение и идентификация инцидентов, в том числе отказов в обслуживании, сбоев (перезагрузок) в работе технических средств, программного обеспечения и средств ЗИ, нарушений правил разграничения доступа, неправомерных действий по сбору информации, внедрений вредоносных компьютерных программ (вирусов) и иных событий, приводящих к возникновению инцидентов;
2) своевременное информирование пользователями и администраторами лиц, ответственных за выявление инцидентов и реагирование на них, о возникновении инцидентов в ГИС;
3) анализ инцидентов, в том числе определение источников и причин возникновения инцидентов, а также оценка их последствий;
4) планирование и принятие мер по устранению инцидентов, в том числе по восстановлению работоспособности ГИС и ее сегментов в случае отказа в обслуживании или после сбоев, устранению последствий нарушения правил разграничения доступа, неправомерных действий по сбору информации, внедрения вредоносных компьютерных программ (вирусов) и иных событий, приводящих к возникновению инцидентов;
5) планирование и принятие мер по предотвращению повторного возникновения инцидентов.
Процессы информирования и обучения персонала ГИС включают в себя следующие мероприятия:
1) информирование персонала ГИС о появлении актуальных угроз безопасности информации и правилах безопасной эксплуатации ГИС;
2) доведение до персонала ГИС требований по ЗИ, а также положений организационно-распорядительных документов по ЗИ с учетом вносимых в них изменений;
3) обучение персонала ГИС правилам эксплуатации отдельных средств ЗИ;
4) проведение практических занятий и тренировок с персоналом ГИС по блокированию угроз безопасности информации и реагированию на инциденты;
5) контроль осведомленности персонала ГИС об угрозах безопасности информации и уровня знаний персонала по вопросам обеспечения ЗИ.
Периодичность проведения практических занятий и тренировок с персоналом, мероприятий по обучению персонала и контролю осведомленности персонала устанавливается оператором в организационно-распорядительных документах по ЗИ с учетом особенностей функционирования ГИС, но не реже одного раза в два года.
В рамках контроля за обеспечением уровня защищенности информации, содержащейся в ГИС, осуществляются:
1) контроль (анализ) защищенности информации с учетом особенностей функционирования ГИС;
2) анализ и оценка функционирования ГИС и ее системы ЗИ, включая анализ и устранение уязвимостей и иных недостатков в функционировании системы ЗИ ГИС;
3) документирование процедур и результатов контроля за обеспечением уровня защищенности информации, содержащейся в ГИС;
4) принятие решения по результатам контроля за обеспечением уровня защищенности информации, содержащейся в информационной системе, о необходимости доработки (модернизации) ее системы ЗИ.
Контроль за обеспечением уровня защищенности информации, содержащейся в ГИС, проводится оператором самостоятельно и (или) с привлечением организации, имеющей лицензию на деятельность по технической защите конфиденциальной информации.
Контроль за обеспечением уровня защищенности информации, содержащейся в ГИС 1-го класса защищенности, проводится с периодичностью, устанавливаемой оператором в организационно-распорядительных документах по ЗИ с учетом особенностей функционирования ГИС, но не реже одного раза в год.
Контроль за обеспечением уровня защищенности информации, содержащейся в ГИС 2-го и 3-го классов защищенности, проводится с периодичностью, устанавливаемой оператором в организационно-распорядительных документах по ЗИ с учетом особенностей функционирования ГИС, но не реже одного раза в два года.
5. Основные мероприятия по обеспечению ЗИ при выводе из эксплуатации аттестованной ГИС или после принятия решения об окончании обработки информации
При выводе из эксплуатации аттестованной ГИС или после принятия решения об окончании обработки информации в ГИС оператором в соответствии с эксплуатационной документацией на систему ЗИ ГИС и организационно-распорядительными документами осуществляются следующие мероприятия по обеспечению ЗИ:
- прекращение (блокировка) доступа пользователей к информационным ресурсам ГИС;
- архивирование информации, содержащейся в ГИС, при необходимости дальнейшего использования информации. При этом архивная копия должна сниматься на учтенные в установленном порядке носители информации;
- определение порядка дальнейшего использования информационных ресурсов, содержащихся в ГИС, и порядка получения сведений из архивных копий ГИС после ее вывода из эксплуатации;
- уничтожение (стирание) данных и остаточной информации с машинных носителей информации. Гарантированное уничтожение (стирание) данных и остаточной информации должно осуществляться с использованием специализированных сертифицированных технических средств;
- уничтожение машинных носителей информации путем физического уничтожения этих машинных носителей информации при выводе машинных носителей информации из эксплуатации.
По результатам выполнения каждого из перечисленных мероприятий составляется акт о проделанной работе.
Вывод из эксплуатации аттестованной ГИС осуществляется под контролем специально созданной комиссии. Решения комиссии по выводу из эксплуатации ГИС оформляются актами в установленном порядке.
ГИС считается выведенной из эксплуатации после завершения работы комиссии и издания соответствующего приказа (распоряжения) о выводе ГИС из эксплуатации.
6. Ответственность
Ответственность в сфере обеспечения ЗИ, содержащейся в ГИС, предусмотренная законодательством Российской Федерации, приведена в таблице 3.
Таблица 3. Ответственность в сфере обеспечения ЗИ, содержащейся в ГИС
|
N п/п |
Состав правонарушения |
Мера ответственности |
Срок давности |
Правоприменитель |
|
1. |
Административная ответственность, ч. 2 ст. 13.12 КоАП |
|||
|
Использование несертифицированных информационных систем, баз и банков данных, а также несертифицированных средств ЗИ, если они подлежат обязательной сертификации (за исключением средств ЗИ, составляющей государственную тайну) |
Штраф от 20 до 25 тысяч рублей с конфискацией несертифицированных средств ЗИ или без таковой |
1 год |
ФСБ России, ФСТЭК России |
|
|
2. |
Административная ответственность, ч. 6 ст. 13.12 КоАП |
|||
|
Нарушение требований о ЗИ (за исключением информации, составляющей государственную тайну), установленных федеральными законами и принятыми в соответствии с ними иными нормативными правовыми актами Российской Федерации, за исключением случаев, предусмотренных частями 1, 2 и 5 ст. 13.12 КоАП |
Штраф от 10 до 15 тысяч рублей |
1 год |
ФСБ России, ФСТЭК России |
|
|
3. |
Административная ответственность, ст. 13.14 КоАП |
|||
|
Разглашение информации, доступ к которой ограничен федеральным законом (за исключением случаев, если разглашение такой информации влечет уголовную ответственность), лицом, получившим доступ к такой информации в связи с исполнением служебных или профессиональных обязанностей, за исключением случаев, предусмотренных частью 1 статьи 14.33 КоАП |
Штраф от 4 до 5 тысяч рублей |
1 год |
ФСБ России, ФСТЭК России |
|
|
4. |
Административная ответственность, ст. 13.14 КоАП |
|||
|
Разглашение информации, доступ к которой ограничен федеральным законом (за исключением случаев, если разглашение такой информации влечет уголовную ответственность), лицом, получившим доступ к такой информации в связи с исполнением служебных или профессиональных обязанностей, за исключением случаев, предусмотренных частью 1 статьи 14.33 КоАП |
Штраф от 4 до 5 тысяч рублей |
1 год |
ФСБ России, ФСТЭК России |
|
|
5. |
Уголовная ответственность за преступление небольшой тяжести, ч. 1 ст. 274 УК РФ |
|||
|
Нарушение правил эксплуатации средств хранения, обработки или передачи охраняемой компьютерной информации либо информационно-телекоммуникационных сетей и оконечного оборудования, а также правил доступа к информационно-телекоммуникационным сетям, повлекшее уничтожение, блокирование, модификацию либо копирование компьютерной информации, причинившее крупный ущерб (более 1000000 рублей) |
Штраф в размере до 500 тысяч рублей или в размере заработной платы или иного дохода осужденного за период до 18 месяцев, либо исправительные работы на срок от 6 месяцев до 1 года, либо ограничение свободы на срок до 2 лет, либо принудительные работы на срок до 2 лет, либо лишение свободы на тот же срок |
2 года |
МВД России |
|
|
Уголовная ответственность за преступление средней тяжести, ч. 2 ст. 274 УК РФ | ||||
|
6. |
Деяние, предусмотренное ч. 1 ст. 274, если оно повлекло тяжкие последствия или создало угрозу их наступления |
Принудительные работы на срок до 5 лет либо лишение свободы на тот же срок |
6 лет |
МВД России |
1 В соответствии с информационным сообщением ФСТЭК России от 15 июля 2013 года N 240/22/2637.
2 На момент разработки Методических рекомендаций указанный банк данных угроз безопасности информации размещен на сайте ФСТЭК России по следующей ссылке: http://bdu.fstec.ru/. Описание банка данных угроз безопасности информации приведено на сайте ФСТЭК России по следующей ссылке: https://fstec.ru/normotvorcheskaya/informatsionnye-i-analiticheskie-materialy/956-informatsionnoe-soobshchenie-fstek-rossii-ot-6-marta-2015-g-240-22-879.
3 На момент разработки Методических рекомендаций указанный документ размещен на сайте ФСТЭК России по следующей ссылке: https://fstec.ru/tekhnicheskaya-zashchita-informatsii/dokumenty/114-spetsialnye-normativnye-dokumenty/380.
4 На момент разработки Методических рекомендаций проект указанного документа размещен на сайте ФСТЭК России по следующей ссылке: https://fstec.ru/component/attachments/download/2727.
5 Описание технологических уровней ГИС приведено в прилагаемом к Методическим рекомендациям примере типовой модели угроз безопасности информации, обрабатываемой в ГИС.
6 Виды нарушителей: специальные службы иностранных государств (блоков государств); террористические, экстремистские группировки; преступные группы (криминальные структуры); внешние пользователи; конкурирующие организации; разработчики, производители, поставщики программных, технических и программно-технических средств; лица, привлекаемые для установки, наладки, монтажа, пусконаладочных и иных видов работ; лица, обеспечивающие функционирование ГИС или обслуживающие инфраструктуру оператора; пользователи ГИС; администраторы ГИС и администраторы безопасности; бывшие работники (пользователи).
7 На момент разработки Методических рекомендаций указанный документ размещен на сайте ФСБ России по следующей ссылке: http://www.fsb.ru/files/PDF/Metodicheskie_recomendacii.pdf.
8 На момент разработки Методических рекомендаций актуальная версия указанного документа размещена по следующей ссылке: http://base.garant.ru/70727118/.
9 На момент разработки Методических рекомендаций актуальная версия указанного документа размещена по следующей ссылке: http://base.garant.ru/70727118/.
10 На момент разработки Методических рекомендаций актуальная версия указанного документа размещена по следующей ссылке: http://base.garant.ru/187947/.
11 На момент разработки Методических рекомендаций актуальная версия указанного документа размещена по следующей ссылке: http://base.garant.ru/183628/.
12 На момент разработки Методических рекомендаций актуальная версия указанного документа размещена по следующей ссылке: http://base.garant.ru/193690/.
13 На момент разработки Методических рекомендаций актуальная версия указанного документа размещена по следующей ссылке: http://base.garant.ru/70795270/.
14 На момент разработки Методических рекомендаций проект указанного документа размещен на сайте ФСТЭК России по следующей ссылке: https://fstec.ru/indexen/303-tk-362/standarty/proekty/1690-gost-r-51624.
15 В соответствии с п. 9 Приказа ФСТЭК России от 11 февраля 2013 года N 17 "Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах".
16 На момент разработки Методических выписка из перечня примерных программ профессиональной переподготовки и повышения квалификации специалистов приведена на сайте ФСТЭК России по следующей ссылке: https://fstec.ru/tekhnicheskaya-zashchita-informatsii/obuchenie-spetsialistov/536-svedeniya-o-tipovykh-uchebnykh-programmakh.
17 Испытания проводятся в соответствии с ГОСТ 34.603-92 "Информационная технология. Виды испытаний автоматизированных систем". На момент разработки Методических рекомендаций актуальная версия указанного документа размещена по следующей ссылке: https://docs.cntd.ru/document/1200008642.
18 Предоставляется по отдельному запросу в соответствии с Порядком обеспечения документами ФСТЭК России, доступным по ссылке: https://fstec.ru/normotvorcheskaya/obespechenie-dokumentami.
19 Предоставляется по отдельному запросу в соответствии с Порядком обеспечения документами ФСТЭК России, доступным по ссылке: https://fstec.ru/normotvorcheskaya/obespechenie-dokumentami.
20 В соответствии с постановлением Правительства РФ от 6 июля 2015 г. N 676 "О требованиях к порядку создания, развития, ввода в эксплуатацию, эксплуатации и вывода из эксплуатации государственных информационных систем и дальнейшего хранения содержащейся в их базах данных информации" эксплуатация системы не допускается, в том числе в случае невыполнения установленных законодательством Российской Федерации требований о ЗИ, включая отсутствие действующего аттестата соответствия требованиям безопасности информации.
-
Приложение N 1. Приказ о создании комиссии по классификации информационных систем по требованиям защиты информации
-
Приложение N 2. Протокол заседания комиссии по классификации информационных систем по требованиям защиты информации
-
Приложение. Акт классификации "Наименование информационной системы" по требованиям защиты информации
-
Приложение N 3. Методика определения уровня защищенности персональных данных, обрабатываемых в информационной системе персональных данных
-
Приложение N 4. Протокол заседания комиссии по классификации информационных систем по требованиям защиты информации
-
Приложение. Акт классификации "Наименование информационной системы" по требованиям защиты информации
-
Приложение N 5. Модель угроз безопасности информации, обрабатываемой в "Наименование информационной системы"
-
Приложение 1. Перечень обнаруженных уязвимостей
-
Приложение 2. Детальное описание актуальных угроз, характерных для ИС
-
Приложение N 6. Форма письма в ФСТЭК России о направлении на согласование модели угроз и нарушителя безопасности информации и технического задания
-
Приложение N 7. Форма письма в ФСБ России о направлении на согласование модели угроз и нарушителя безопасности информации и технического задания
-
Приложение N 8. Журнал поэкземплярного учета средств криптографической защиты информации, эксплуатационной и технической документации к ним, ключевых документов из состава системы защиты информации "Наименование информационной системы"
-
Приложение N 9. Акт установки и настройки средств защиты информации
-
Приложение N 10. Приказ Об организации работ по защите информации, содержащейся в "Наименование информационной системы"
-
Приложение N 11. Перечень лиц, доступ которых к персональным данным, обрабатываемым в "Наименование информационной системы", необходим для выполнения ими служебных (трудовых) обязанностей
-
Приложение N 12. Перечень защищаемых информационных ресурсов "Наименование информационной системы"
-
Приложение N 13. Матрица разграничения доступа к защищаемым информационным ресурсам "Наименование информационной системы"
-
Приложение N 14. Инструкция администратора информационной безопасности системы защиты информации "Наименование информационной системы"
-
Приложение N 15. Инструкция пользователя "Наименование информационной системы"
-
Приложение N 16. Правила доступа в помещения, где размещены средства криптографической защиты информации из состава системы защиты информации "Наименование информационной системы"
-
Приложение N 17. Перечень лиц, имеющих право доступа в помещения, где размещены средства криптографической защиты информации из состава системы защиты информации "Наименование информационной системы"
-
Приложение N 18. Инструкция по обращению со средствами криптографической защиты информации из состава системы защиты информации "Наименование информационной системы"
-
Приложение N 19. Перечень лиц, допущенных к работе со средствами криптографической защиты информации в "Наименование информационной системы"
-
Приложение N 20. Положение об обеспечении безопасности информации, содержащейся в "Наименование информационной системы"
-
Приложение А. Перечень ПО, разрешенного к установке в ИС
-
Приложение Б. Типовая форма Отчета о событии ИБ
-
Приложение В. Типовая форма Отчета об инциденте ИБ
-
Приложение N 21. Приказ О проведении испытаний системы защиты информации "Наименование информационной системы"
-
Приложение N 22. Программа и методика испытаний системы защиты информации "Наименование информационной системы"
-
Приложение N 23. Протокол испытаний системы защиты информации "Наименование информационной системы"
-
Приложение N 24. Заключение о проведении испытаний системы защиты информации "Наименование информационной системы"
-
Приложение N 25. Акт о готовности (неготовности) перехода системы защиты информации "Наименование информационной системы" на следующую стадию