Приложение N 1. Концепция информационной безопасности. Приказ Федерального агентства водных ресурсов от 30.04.2021 N 117 "Об обеспечении технической защиты информации, содержащей сведения конфиденциального характера, в информационных системах Федерального агентства водных ресурсов"

Приложение N 1
к приказу Федерального
агентства водных ресурсов
от 30.04.2021 г. N 117

Концепция информационной безопасности

Данный документ представляет собой Концепцию информационной безопасности (далее - Концепция) Росводресурсов.

В Концепции приводится систематизированное изложение целей, задач, принципов, требований и подходов по обеспечению и управлению ИБ в Росводресурсах.

Положения Концепции не распространяются на вопросы защиты информации, включающей сведения, относящиеся к государственной тайне.

Реализация положений Концепции заключается в создании и поддержке функционирования системы защиты информации (далее - СЗИ). СЗИ представляет собой совокупность принципов, требований, подходов и методов к обеспечению информационной безопасности, представленных в виде совокупности нормативной и методической, оганизационно-распорядительной, проектной и иной документации, а также в виде совокупности реализованных организационных мер и технических механизмов защиты информации.

В документе приводится описание целей, задач и подходов по созданию и совершенствованию СЗИ Росводресурсов. В документе также определяется структура, состав и принципы функционирования СЗИ как совокупность взаимосвязанных организационных, технических и иных мер защиты информации.

1. Общие положения

1.1 Цели и задачи Концепции

Целью Концепции является определение системы взглядов на обеспечение безопасности информационных ресурсов, не содержащих сведений, составляющих государственную тайну, в Федеральном агентстве водных ресурсов.

Задачами Концепции являются:

- формирование приоритетных целей, основных задач, принципов и способов обеспечения информационной безопасности в Росводресурсах с учетом действующей законодательной и нормативной базы в области ИБ, а также отраслевой специфики деятельности;

- определение организационно-технических принципов обеспечения и управления ИБ;

- формирование подходов по защите информации ограниченного доступа и открытой информации, хранимой и обрабатываемой как в неавтоматизированном виде, так и в рамках автоматизированных систем, а также передаваемой по каналам связи.

Реализация положений Концепции заключается в создании и сопровождении системы защиты информации (СЗИ), определяющей комплекс организационно-технических мер по защите информации в рамках Росводресурсов.

Субъектами защиты информации являются:

- ответственный за ИБ - должностное лицо Росводресурсов не ниже должности заместителя руководителя, ответственное за обеспечение защиты информации, обеспечение безопасности персональных данных, содержащихся в информационных системах Федерального агентства водных ресурсов, в процессе их автоматизированной обработки, назначаемое Приказом Росводресурсов;

- администратор ИБ - должностное лицо Росводресурсов, обладающее профильными знаниями и образованием в области защиты информации, осуществляющее функции по управлению информационной безопасностью, обеспечивающие методическое обеспечение и контроль деятельности по информационной безопасности, подчиняющееся заместителю руководителя Росводресурсов, ответственному за вопросы защиты информации;

- системный администратор - подведомственная организация Росводресурсов или подрядная организация (при условии наличия у подрядных организаций лицензий на техническую защиту конфиденциальной информации), имеющая непосредственный доступ к серверному оборудованию, локальным вычислительным сетям, операционным системам, сетевому оборудованию, каналам связи, обеспечивающая информационную безопасность и непосредственно осуществляющая работы по технической защите информации, обеспечению безопасности персональных данных при их обработке;

- подрядная организация - организация, осуществляющая на договорной основе оказание услуг по представлению ИТ-сервисов, обслуживанию ИТ-инфраструктуры и обеспечению ИБ (при условии наличия у подрядной организации лицензий на техническую защиту конфиденциальной информации).

1.2 Цели обеспечения ИБ

Основными целями обеспечения ИБ являются:

- реализация организационно-технических мер защиты, предотвращающих или существенно затрудняющих несанкционированный доступ к информации ограниченного доступа, обрабатываемой в автоматизированных системах (далее - АС);

- обеспечение защищенной обработки информации в АС в соответствии с актуальными угрозами и требованиями регулирующих органов, в том числе, при осуществлении информационного обмена между АС, при взаимодействии АС с АС сторонних организаций, а также при взаимодействии АС с информационными сетями общего пользования;

- создание механизмов контроля текущего состояния защищенности и совершенствования организационно-технических мер защиты.

1.3 Задачи обеспечения информационной безопасности

Обозначенные цели обеспечения ИБ предполагают следующие задачи:

- разработать единые принципы обеспечения и управления ИБ, а также методики их реализации и адаптации, и оформить их в виде внутренней нормативной методической документации;

- разработать подходы к выбору механизмов обеспечения информационной безопасности, позволяющие обеспечить возможность совместной обработки открытой информации и информации ограниченного доступа как в неавтоматизированном виде, так и в рамках автоматизированных систем;

- определить подходы к созданию организационно-технических мер защиты, направленных на поддержание и контроль необходимого уровня защищенности информационных ресурсов, содержащих как открытую информацию, так и информацию ограниченного доступа;

- определить принципы и подходы по дальнейшему совершенствованию организационно-технических мер и механизмов обеспечения ИБ.

1.4 Принципы обеспечения ИБ

Обеспечение ИБ СЗИ должно осуществляться на основе следующих принципов:

- Законность - реализация СЗИ в соответствии:

а) с требованиями российского законодательства;

б) с нормативными требованиями государственных регулирующих органов.

Комплексность - реализация защиты на всех уровнях организационного управления и технического обеспечения СЗИ как открытой информации, так и информации ограниченного доступа.

- Соответствие СЗИ требованиям:

а) существующих российских стандартов по обеспечению ИБ и созданию АС;

б) внутренних отраслевых стандартов по обеспечению ИБ.

- Адекватность угрозам - соответствие и обоснованность организационных мер и технических механизмов защиты, используемых в СЗИ, существующим угрозам ИБ.

- Непрерывность функционирования - постоянное обеспечение отказоустойчивости, надежности, доступности и корректности функционирования технических механизмов и организационных процессов СЗИ.

- Экономическая эффективность и целесообразность - адекватное соответствие величины возможных потерь от реализации угроз ИБ стоимости принимаемых мер и используемых средств защиты СЗИ, а также сохранение сделанных финансовых инвестиций в средства защиты при условии их удовлетворения требованиям разрабатываемых отраслевых стандартов.

- Минимизация ограничивающего влияния на бизнес-процессы.

- Перспективность - реализация механизмов с учетом общих мировых тенденций и лучшего практического опыта в области обеспечения ИБ.

1.5 Особенности обработки информации

Концептуальные принципы и подходы по защите информации должны учитывать следующие аспекты текущего и целевого состояния Росводресурсов:

- типы существующей информации;

- механизмы использования и обработки информации.

В Росводресурсах обрабатываются следующие типы информации:

- открытая информация (далее - ОИ);

- персональные данные (далее - ПДн);

- служебная информация ограниченного распространения.

Все эти типы информации обрабатываются:

- в рамках традиционного документооборота, предполагающего хранение информации на бумажных носителях;

- автоматизированно в электронном виде в рамках ИС.

Необходимо также учитывать, что в составе обрабатываемой информации, как открытой, так и ограниченного доступа, содержится информация, относящаяся к категории чувствительной. Нарушение целостности такой информации может привести к принятию неправильных решений, предоставлению некорректных сведений пользователям систем, невыполнением возложенных на Росводресурсы функций.

Обработка информации в Росводресурсах производится в том числе в государственных информационных системах (далее - ГИС) и информационных системах ПДн, что влечет за собой необходимость реализации СЗИ в полном соответствии с требованиями законодательства Российской Федерации в области эксплуатации систем указанного типа, в частности, с требованиями:

- Постановления Правительства РФ от 01.11.2012 г. N 1119 "Об утверждении требований к защите ПДн при их обработке в информационных системах ПДн";

- Постановления Правительства РФ от 6 июля 2015 г. N 676 "О требованиях к порядку создания, развития, ввода в эксплуатацию, эксплуатации и вывода из эксплуатации государственных информационных систем и дальнейшего хранения содержащейся в их базах данных информации";

- Приказа ФСТЭК России от 18 февраля 2013 г. N 21 "Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности ПДн при их обработке в информационных системах ПДн";

- Приказа ФСТЭК России от 11 февраля 2013 г. N 17 "Об утверждении требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах".

В основе целевого состояния обеспечения безопасности информации ограниченного доступа в Росводресурсах должны лежать единые принципы защиты, основанные на:

- четкой фиксации конкретных типов информации ограниченного доступа, подлежащих защите и зафиксированных в перечнях сведений конфиденциального характера;

- формировании разрешительной системы допуска к информации ограниченного доступа;

- регламентировании обязанностей работников при работе с информацией ограниченного доступа;

- реализации мер и механизмов разграничения доступа к информации ограниченного доступа;

- определении мер ответственности работников за несоблюдение требований и правил по работе с информацией ограниченного доступа;

- документальном оформлении обязанностей работников по обеспечению ИБ;

- проведении аудитов и расследовании инцидентов ИБ.

2. Объекты защиты

В Росводресурсах осуществляется обработка открытой информации и информации ограниченного доступа как в автоматизированном, так и в неавтоматизированном (бумажном) виде.

В отношении информации ограниченного доступа должна обеспечиваться конфиденциальность, целостность и доступность.

В отношении открытой и чувствительной информации необходимо обеспечивать целостность и доступность, так как несвоевременное или неполное предоставление открытой информации пользователям систем Росводресурсов, в т.ч. гражданам Российской Федерации в рамках реализации функций Росводресурсов, также, как и несанкционированная публикация (без соблюдения установленных процедур публикации) открытой информации в общедоступных источниках может нанести ущерб Росводресурсам и гражданам Российской Федерации.

Автоматизированная обработка информации осуществляется в рамках информационных систем Росводресурсов, расположенных на территории центрального аппарата Росводресурсов, на территориях территориальных органов, на территориях подведомственных учреждений (далее - ИС Росводресурсов).

При неавтоматизированной обработке информация обрабатывается в бумажном виде в рамках документального делопроизводства.

Таким образом, создание СЗИ предполагает реализацию организационно-технического комплекса мер, охватывающего следующие объекты защиты:

- информационные ресурсы в электронном виде, хранимые и обрабатываемые в ИС, а также передаваемые между АС по каналам (линиям) связи;

- информационные ресурсы в бумажном виде;

- технологии хранения, обработки и передачи информации;

- вычислительные средства (серверы, рабочие станции);

- программное обеспечение;

- телекоммуникационное оборудование;

- каналы связи;

- работники, работающие с информационными ресурсами (в бумажном или электронном виде);

- персонал, обслуживающий средства обработки, хранения и передачи информации;

- физическая среда (здания, помещения).

3. Подход к построению системы защиты информации

Исходя из целей и задач обеспечения информационной безопасности в сфере водных ресурсов, основными функциями СЗИ должны являться:

- обеспечение ИБ - реализация мер и механизмов защиты ИБ;

- управление ИБ - методическое обеспечение и выборочный контроль выполнения требований к обеспечению ИБ.

3.1 Подходы по управлению и обеспечению ИБ в рамках СЗИ

В основе подхода по обеспечению и управлению ИБ в рамках СЗИ лежит необходимость определить, реализовать, эксплуатировать и совершенствовать организационно-технический комплекс защитных мер в отношении информации, обрабатываемой в Росводресурсах.

Соответствующие защитные меры должны быть направлены на обеспечение безопасности объектов защиты, указанных в разделе 2 настоящей Концепции.

3.2 Централизованное управление информационной безопасностью

Для обеспечения управления ИБ технические средства, организуемые в рамках СЗИ, должны обладать централизованными средствами управления (сервер управления антивирусной защитой, сервер управления средствами мониторинга и т.п.). Централизованные средства управления технических средств защиты информации размещаются на выделенных серверах и контролируются посредством привлечения подведомственных организаций (далее системные администраторы) и/или подрядных организаций на контрактной основе (при условии наличия у подрядных организаций лицензий на техническую защиту конфиденциальной информации).

Управление информационной безопасностью в отношении информационных систем осуществляется операторами информационных систем. Операторы информационных систем обозначены в приложении N 7 к настоящему Приказу "Перечень защищаемых информационных ресурсов".