Приложение N 1. Концепция информационной безопасности. Приказ Федерального агентства водных ресурсов от 30.04.2021 N 117 "Об обеспечении технической защиты информации, содержащей сведения конфиденциального характера, в информационных системах Федерального агентства водных ресурсов"

Приложение N 1
к приказу Федерального
агентства водных ресурсов
от 30.04.2021 г. N 117

Концепция информационной безопасности

Данный документ представляет собой Концепцию информационной безопасности (далее - Концепция) Росводресурсов.

В Концепции приводится систематизированное изложение целей, задач, принципов, требований и подходов по обеспечению и управлению ИБ в Росводресурсах.

Положения Концепции не распространяются на вопросы защиты информации, включающей сведения, относящиеся к государственной тайне.

Реализация положений Концепции заключается в создании и поддержке функционирования системы защиты информации (далее - СЗИ). СЗИ представляет собой совокупность принципов, требований, подходов и методов к обеспечению информационной безопасности, представленных в виде совокупности нормативной и методической, оганизационно-распорядительной, проектной и иной документации, а также в виде совокупности реализованных организационных мер и технических механизмов защиты информации.

В документе приводится описание целей, задач и подходов по созданию и совершенствованию СЗИ Росводресурсов. В документе также определяется структура, состав и принципы функционирования СЗИ как совокупность взаимосвязанных организационных, технических и иных мер защиты информации.

1. Общие положения

1.1 Цели и задачи Концепции

Целью Концепции является определение системы взглядов на обеспечение безопасности информационных ресурсов, не содержащих сведений, составляющих государственную тайну, в Федеральном агентстве водных ресурсов.

Задачами Концепции являются:

- формирование приоритетных целей, основных задач, принципов и способов обеспечения информационной безопасности в Росводресурсах с учетом действующей законодательной и нормативной базы в области ИБ, а также отраслевой специфики деятельности;

- определение организационно-технических принципов обеспечения и управления ИБ;

- формирование подходов по защите информации ограниченного доступа и открытой информации, хранимой и обрабатываемой как в неавтоматизированном виде, так и в рамках автоматизированных систем, а также передаваемой по каналам связи.

Реализация положений Концепции заключается в создании и сопровождении системы защиты информации (СЗИ), определяющей комплекс организационно-технических мер по защите информации в рамках Росводресурсов.

Субъектами защиты информации являются:

- ответственный за ИБ - должностное лицо Росводресурсов не ниже должности заместителя руководителя, ответственное за обеспечение защиты информации, обеспечение безопасности персональных данных, содержащихся в информационных системах Федерального агентства водных ресурсов, в процессе их автоматизированной обработки, назначаемое Приказом Росводресурсов;

- администратор ИБ - должностное лицо Росводресурсов, обладающее профильными знаниями и образованием в области защиты информации, осуществляющее функции по управлению информационной безопасностью, обеспечивающие методическое обеспечение и контроль деятельности по информационной безопасности, подчиняющееся заместителю руководителя Росводресурсов, ответственному за вопросы защиты информации;

- системный администратор - подведомственная организация Росводресурсов или подрядная организация (при условии наличия у подрядных организаций лицензий на техническую защиту конфиденциальной информации), имеющая непосредственный доступ к серверному оборудованию, локальным вычислительным сетям, операционным системам, сетевому оборудованию, каналам связи, обеспечивающая информационную безопасность и непосредственно осуществляющая работы по технической защите информации, обеспечению безопасности персональных данных при их обработке;

- подрядная организация - организация, осуществляющая на договорной основе оказание услуг по представлению ИТ-сервисов, обслуживанию ИТ-инфраструктуры и обеспечению ИБ (при условии наличия у подрядной организации лицензий на техническую защиту конфиденциальной информации).

1.2 Цели обеспечения ИБ

Основными целями обеспечения ИБ являются:

- реализация организационно-технических мер защиты, предотвращающих или существенно затрудняющих несанкционированный доступ к информации ограниченного доступа, обрабатываемой в автоматизированных системах (далее - АС);

- обеспечение защищенной обработки информации в АС в соответствии с актуальными угрозами и требованиями регулирующих органов, в том числе, при осуществлении информационного обмена между АС, при взаимодействии АС с АС сторонних организаций, а также при взаимодействии АС с информационными сетями общего пользования;

- создание механизмов контроля текущего состояния защищенности и совершенствования организационно-технических мер защиты.

1.3 Задачи обеспечения информационной безопасности

Обозначенные цели обеспечения ИБ предполагают следующие задачи:

- разработать единые принципы обеспечения и управления ИБ, а также методики их реализации и адаптации, и оформить их в виде внутренней нормативной методической документации;

- разработать подходы к выбору механизмов обеспечения информационной безопасности, позволяющие обеспечить возможность совместной обработки открытой информации и информации ограниченного доступа как в неавтоматизированном виде, так и в рамках автоматизированных систем;

- определить подходы к созданию организационно-технических мер защиты, направленных на поддержание и контроль необходимого уровня защищенности информационных ресурсов, содержащих как открытую информацию, так и информацию ограниченного доступа;

- определить принципы и подходы по дальнейшему совершенствованию организационно-технических мер и механизмов обеспечения ИБ.

1.4 Принципы обеспечения ИБ

Обеспечение ИБ СЗИ должно осуществляться на основе следующих принципов:

- Законность - реализация СЗИ в соответствии:

а) с требованиями российского законодательства;

б) с нормативными требованиями государственных регулирующих органов.

Комплексность - реализация защиты на всех уровнях организационного управления и технического обеспечения СЗИ как открытой информации, так и информации ограниченного доступа.

- Соответствие СЗИ требованиям:

а) существующих российских стандартов по обеспечению ИБ и созданию АС;

б) внутренних отраслевых стандартов по обеспечению ИБ.

- Адекватность угрозам - соответствие и обоснованность организационных мер и технических механизмов защиты, используемых в СЗИ, существующим угрозам ИБ.

- Непрерывность функционирования - постоянное обеспечение отказоустойчивости, надежности, доступности и корректности функционирования технических механизмов и организационных процессов СЗИ.

- Экономическая эффективность и целесообразность - адекватное соответствие величины возможных потерь от реализации угроз ИБ стоимости принимаемых мер и используемых средств защиты СЗИ, а также сохранение сделанных финансовых инвестиций в средства защиты при условии их удовлетворения требованиям разрабатываемых отраслевых стандартов.

- Минимизация ограничивающего влияния на бизнес-процессы.

- Перспективность - реализация механизмов с учетом общих мировых тенденций и лучшего практического опыта в области обеспечения ИБ.

1.5 Особенности обработки информации

Концептуальные принципы и подходы по защите информации должны учитывать следующие аспекты текущего и целевого состояния Росводресурсов:

- типы существующей информации;

- механизмы использования и обработки информации.

В Росводресурсах обрабатываются следующие типы информации:

- открытая информация (далее - ОИ);

- персональные данные (далее - ПДн);

- служебная информация ограниченного распространения.

Все эти типы информации обрабатываются:

- в рамках традиционного документооборота, предполагающего хранение информации на бумажных носителях;

- автоматизированно в электронном виде в рамках ИС.

Необходимо также учитывать, что в составе обрабатываемой информации, как открытой, так и ограниченного доступа, содержится информация, относящаяся к категории чувствительной. Нарушение целостности такой информации может привести к принятию неправильных решений, предоставлению некорректных сведений пользователям систем, невыполнением возложенных на Росводресурсы функций.

Обработка информации в Росводресурсах производится в том числе в государственных информационных системах (далее - ГИС) и информационных системах ПДн, что влечет за собой необходимость реализации СЗИ в полном соответствии с требованиями законодательства Российской Федерации в области эксплуатации систем указанного типа, в частности, с требованиями:

- Постановления Правительства РФ от 01.11.2012 г. N 1119 "Об утверждении требований к защите ПДн при их обработке в информационных системах ПДн";

- Постановления Правительства РФ от 6 июля 2015 г. N 676 "О требованиях к порядку создания, развития, ввода в эксплуатацию, эксплуатации и вывода из эксплуатации государственных информационных систем и дальнейшего хранения содержащейся в их базах данных информации";

- Приказа ФСТЭК России от 18 февраля 2013 г. N 21 "Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности ПДн при их обработке в информационных системах ПДн";

- Приказа ФСТЭК России от 11 февраля 2013 г. N 17 "Об утверждении требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах".

В основе целевого состояния обеспечения безопасности информации ограниченного доступа в Росводресурсах должны лежать единые принципы защиты, основанные на:

- четкой фиксации конкретных типов информации ограниченного доступа, подлежащих защите и зафиксированных в перечнях сведений конфиденциального характера;

- формировании разрешительной системы допуска к информации ограниченного доступа;

- регламентировании обязанностей работников при работе с информацией ограниченного доступа;

- реализации мер и механизмов разграничения доступа к информации ограниченного доступа;

- определении мер ответственности работников за несоблюдение требований и правил по работе с информацией ограниченного доступа;

- документальном оформлении обязанностей работников по обеспечению ИБ;

- проведении аудитов и расследовании инцидентов ИБ.

2. Объекты защиты

В Росводресурсах осуществляется обработка открытой информации и информации ограниченного доступа как в автоматизированном, так и в неавтоматизированном (бумажном) виде.

В отношении информации ограниченного доступа должна обеспечиваться конфиденциальность, целостность и доступность.

В отношении открытой и чувствительной информации необходимо обеспечивать целостность и доступность, так как несвоевременное или неполное предоставление открытой информации пользователям систем Росводресурсов, в т.ч. гражданам Российской Федерации в рамках реализации функций Росводресурсов, также, как и несанкционированная публикация (без соблюдения установленных процедур публикации) открытой информации в общедоступных источниках может нанести ущерб Росводресурсам и гражданам Российской Федерации.

Автоматизированная обработка информации осуществляется в рамках информационных систем Росводресурсов, расположенных на территории центрального аппарата Росводресурсов, на территориях территориальных органов, на территориях подведомственных учреждений (далее - ИС Росводресурсов).

При неавтоматизированной обработке информация обрабатывается в бумажном виде в рамках документального делопроизводства.

Таким образом, создание СЗИ предполагает реализацию организационно-технического комплекса мер, охватывающего следующие объекты защиты:

- информационные ресурсы в электронном виде, хранимые и обрабатываемые в ИС, а также передаваемые между АС по каналам (линиям) связи;

- информационные ресурсы в бумажном виде;

- технологии хранения, обработки и передачи информации;

- вычислительные средства (серверы, рабочие станции);

- программное обеспечение;

- телекоммуникационное оборудование;

- каналы связи;

- работники, работающие с информационными ресурсами (в бумажном или электронном виде);

- персонал, обслуживающий средства обработки, хранения и передачи информации;

- физическая среда (здания, помещения).

3. Подход к построению системы защиты информации

Исходя из целей и задач обеспечения информационной безопасности в сфере водных ресурсов, основными функциями СЗИ должны являться:

- обеспечение ИБ - реализация мер и механизмов защиты ИБ;

- управление ИБ - методическое обеспечение и выборочный контроль выполнения требований к обеспечению ИБ.

3.1 Подходы по управлению и обеспечению ИБ в рамках СЗИ

В основе подхода по обеспечению и управлению ИБ в рамках СЗИ лежит необходимость определить, реализовать, эксплуатировать и совершенствовать организационно-технический комплекс защитных мер в отношении информации, обрабатываемой в Росводресурсах.

Соответствующие защитные меры должны быть направлены на обеспечение безопасности объектов защиты, указанных в разделе 2 настоящей Концепции.

3.2 Централизованное управление информационной безопасностью

Для обеспечения управления ИБ технические средства, организуемые в рамках СЗИ, должны обладать централизованными средствами управления (сервер управления антивирусной защитой, сервер управления средствами мониторинга и т.п.). Централизованные средства управления технических средств защиты информации размещаются на выделенных серверах и контролируются посредством привлечения подведомственных организаций (далее системные администраторы) и/или подрядных организаций на контрактной основе (при условии наличия у подрядных организаций лицензий на техническую защиту конфиденциальной информации).

Управление информационной безопасностью в отношении информационных систем осуществляется операторами информационных систем. Операторы информационных систем обозначены в приложении N 7 к настоящему Приказу "Перечень защищаемых информационных ресурсов".

3.3 Управление пользователями

В Росводресурсах силами системных администраторов должно быть организовано централизованное управление правами пользователей с применением службы каталогов с целями:

- разграничения прав и ролей пользователей и групп пользователей;

- учета и контроля действий пользователей;

- применения общих политик безопасности на рабочих местах пользователей;

- контроля работы автоматизированного рабочего места (далее - АРМ) пользователей.

У пользователей при работе с информационными ресурсами должны отсутствовать права локальных администраторов. Любые работы с операционной системой и программными средствами, требующие прав локальных администраторов, должны производиться по согласованию с администратором ИБ, с системными администраторами, либо работниками подрядных организаций. При возникновении необходимости изменения конфигурации АРМ работник Росводресурсов обращается с запросом к системному администратору.

3.4 Подход к распределению обязанностей и ответственности при обеспечении ИБ

Ответственность за соблюдение ИБ возлагается на всех работников Росводресурсов.

Ответственность за доведение до сведения работников текущих требований по ИБ возлагается на руководителей структурных подразделений Росводресурсов.

Ответственность за управления ИБ возлагается на администратора ИБ.

Ответственность за обеспечение ИБ и функционирование СЗИ возлагается на работников системных администраторов или подрядных организаций на контрактной основе (при условии наличия у подрядных организаций лицензий на техническую защиту конфиденциальной информации), имеющих непосредственный доступ к серверному оборудованию, локальным вычислительным сетям, операционным системам, сетевому оборудованию, каналам связи.

4. Анализ типовых угроз информационной безопасности

При создании СЗИ построение моделей угроз силами системных администраторов, либо работников подрядных организаций дает возможность проанализировать существующие угрозы, выделить из них актуальные и противопоставить им соответствующие механизмы защиты.

В модели угроз должны быть заложены следующие принципы:

4.1 Технологии обработки информации в информационных системах

Выделяются следующие виды представления информации ограниченного доступа:

- информация в виде файлов и записей баз данных (далее - БД), обрабатываемая в рамках прикладных информационных систем;

- информация в виде файлов различных форматов;

- информация в виде электрических сигналов, передаваемых по линиям связи;

- информация в бумажном виде.

Могут быть использованы следующие механизмы передачи данных:

- электронная почта;

- сетевые протоколы передачи данных, используемые прикладными информационными системами;

- съемные накопители информации.

Процесс обработки пользователями информации ограниченного доступа на АРМ заключается в осуществлении следующих действий:

- идентификация/аутентификация в рамках операционной системы АРМ;

- запуск клиентского приложения на АРМ ("тонкий" или "толстый" клиент) информационной системы;

- идентификация/аутентификация в рамках информационной системы;

- выполнение действий с информацией ограниченного доступа в рамках предоставленных полномочий (создание, модификация, выгрузка из системы, печать на бумажном носителе, копирование на съемный носитель, передача выгруженных данных посредством средств передачи данных);

- выход из информационной и операционной систем.

4.2 Характеристики потенциальных угроз и нарушителей ИС

При проектировании СЗИ необходимо учитывать, что в отношении ИС существуют угрозы ИБ, являющиеся как следствием возможных проявлений воздействий внешней среды (пожар, затопление и пр.), так и связанные с человеческим фактором (целенаправленные или случайные).

Особое внимание при разработке СЗИ должно уделяться угрозам, связанным с целенаправленным воздействием человеческого фактора.

Технологии обработки и хранения информации ограниченного доступа в ИС допускают возможность нарушения потенциальным нарушителем свойств конфиденциальности, целостности и доступности информации ограниченного доступа, а также нарушение свойств целостности и доступности в отношении открытой информации.

Это становится возможным благодаря тому, что существуют вероятности:

- возникновения технических проблем и ошибок конфигурации для любой ИС;

- проявления нелояльности сотрудников (как пользователей ИС, так и обслуживающего персонала);

- воздействия внешних злоумышленников на ИС и каналы взаимодействия между ними и при взаимодействии АС с открытыми сетями международного обмена.

Для создания и реализации СЗИ необходим анализ существующих угроз и потенциальных нарушителей с целью последующего адекватного выбора технологий, средств и организационных мероприятий по обеспечению ИБ.

При анализе потенциальных угроз информации, обрабатываемой в ИС, необходимо учитывать следующие характеристики:

- место оказания воздействия нарушителя на ИС (аппаратное обеспечение, операционная система, сетевое оборудование, каналы связи, системные сервисы, прикладные информационные системы, съемные накопители информации);

- характер угрозы (случайная или преднамеренная);

- длительность реализации угрозы;

- актуальность угрозы;

- тяжесть последствий реализаций угрозы (величина потерь), которая зависит от состава обрабатываемых данных.

При анализе потенциальных нарушителей отраслевых ИС необходимо учитывать следующие характеристики:

- причины, мотивы и цели действий нарушителя;

- тип нарушителя (внешний, внутренний);

- уровень квалификации нарушителя;

- априорные знания.

5. Заключение

Для успешной реализации положений Концепции и эффективного обеспечения ИБ в Росводресурсах необходимо:

- детализировать отдельные положения Концепции в соответствующих организационно-распорядительных документах по ИБ, являющихся приложениями к настоящей Концепции;

- реализовать и поддерживать СЗИ в соответствии с изложенными в Концепции принципами и подходами по обеспечению и управлению ИБ.