Вход
Распоряжение Министерства государственного управления, информационных технологий и связи Московской области от 10 октября 2023 г. N 11-154/РВ-08 "Об утверждении Политики информационной безопасности центральных исполнительных органов и государственных органов Московской области"
В соответствии с Федеральным законом от 27.07.2006 N 149-ФЗ "Об информации, информационных технологиях и о защите информации" и на основании Положения о Министерстве государственного управления, информационных технологий и связи Московской области, утвержденного постановлением Правительства Московской области от 13.06.2012 N 820/19 "Об утверждении Положения о Министерстве государственного управления, информационных технологий и связи Московской области и установлении штатной численности Министерства государственного управления, информационных технологий и связи Московской области":
1. Утвердить прилагаемую Политику информационной безопасности центральных исполнительных органов и государственных органов Московской области.
2. Управлению бухгалтерского учета, правовой и кадровой работы Министерства государственного управления, информационных технологий и связи Московской области обеспечить опубликование (размещение) настоящего распоряжения на официальном сайте Министерства государственного управления, информационных технологий и связи Московской области в информационно-телекоммуникационной сети Интернет.
3. Контроль за выполнением настоящего распоряжения возложить на заместителя министра государственного управления, информационных технологий и связи Московской области Коношенко С.А.
|
Министр государственного управления, |
Н.В. Куртяник |
УТВЕРЖДЕНА
распоряжением Министерства
государственного управления,
информационных технологий и связи
Московской области
от 10.10.2023 N 11-154/РВ-08
Политика
информационной безопасности центральных исполнительных органов и государственных органов Московской области
1. Общие положения
1.1. Политика обеспечения информационной безопасности центральных исполнительных органов и государственных органов Московской области (далее - Политика ЦИО и ГО Московской области) представляет собой систему взглядов на основные направления обеспечения безопасности информационных ресурсов ЦИО и ГО Московской области, и является руководящим документом для подразделений, отвечающих за внедрение и сопровождение информационных технологий и информационную безопасность.
Политика определяет цель, задачи, принципы, основные направления и этапы совершенствования обеспечения информационной безопасности в ЦИО и ГО Московской области.
1.2. Действие Политики распространяется на ЦИО и ГО Московской области.
Действие Политики не распространяется на объекты защиты, в которых содержатся сведения, составляющие государственную тайну.
1.3. Политика служит методологической основой для:
- формирования и проведения единой политики в области обеспечения информационной безопасности;
- разработки организационно-распорядительной документации, регламентирующей деятельность по обеспечению информационной безопасности;
- принятия управленческих решений и разработки практических мер по обеспечению информационной безопасности, для выработки комплекса согласованных мер нормативно-правового, технологического и организационно-технического характера, направленных на выявление, отражение и ликвидацию последствий реализации различных видов угроз безопасности информации;
- координации деятельности ЦИО и ГО Московской области при проведении работ по созданию, развитию и эксплуатации информационных систем, сервисов, услуг и сетей с соблюдением требований информационной безопасности;
- разработки предложений по совершенствованию нормативно-правового, технологического и организационно-технического обеспечения безопасности объектов защиты.
1.4. Пересмотр положений Политики осуществляется в случае изменений:
- законодательства Российской Федерации или требований регулирующих федеральных органов исполнительной власти в части касающейся положений настоящей Политики;
- внутренних или внешних факторов, способных оказать воздействие на информационные ресурсы ЦИО и ГО Московской области;
- основных видов угроз или нарушителей информационной безопасности;
- номенклатуры объектов защиты ЦИО и ГО Московской области.
1.5. Ответственными за поддержание настоящей Политики в актуальном состоянии и общий контроль выполнения требований по обеспечению информационной безопасности являются лица, подразделения, должностные лица, ответственные за обеспечение защиты информации (безопасности) ЦИО и ГО Московской области.
2. Нормативные ссылки
При разработке Политики учтены требования следующих документов:
2.1. Федеральные законы Российской Федерации:
- от 27 декабря 2002 г. N 184-ФЗ "О техническом регулировании";
- от 7 июля 2003 г. N 126-ФЗ "О связи";
- от 27 июля 2006 г. N 149-ФЗ "Об информации, информационных технологиях и о защите информации";
- от 27 июля 2006 г. N 152-ФЗ "О персональных данных";
- от 28 декабря 2010 г. N 390-ФЗ "О безопасности";
- от 6 апреля 2011 г. N 63-ФЗ "Об электронной подписи";
- от 26 июля 2017 г. N 187-ФЗ "О безопасности критической информационной инфраструктуры Российской Федерации".
2.2. Трудовой кодекс Российской Федерации.
2.3. Гражданский кодекс Российской Федерации.
2.4. Уголовный кодекс Российской Федерации.
2.5. Кодекс Российской Федерации об административных правонарушениях.
2.6. Указы Президента Российской Федерации:
- от 3 апреля 1995 г. N 334 "О мерах по соблюдению законности в области разработки, производства, реализации и эксплуатации шифровальных средств, а также предоставления услуг в области шифрования информации";
- от 6 марта 1997 г. N 188 "Об утверждении перечня сведений конфиденциального характера";
- от 17 марта 2008 г. N 351 "О мерах по обеспечению информационной безопасности Российской Федерации при использовании информационно-телекоммуникационных сетей международного информационного обмена";
- от 5 декабря 2016 г. N 646 "Об утверждении Доктрины информационной безопасности Российской Федерации";
- от 9 мая 2017 г. N 203 "О Стратегии развития информационного общества в Российской Федерации на 2017 - 2030 годы";
- от 22 декабря 2017 г. N 620 "О совершенствовании Государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации";
- от 8 февраля 2018 г. N 127 "Об утверждении Правил категорирования объектов критической информационной инфраструктуры Российской Федерации, а также перечня показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации";
- от 2 июля 2021 г. N 400 "О Стратегии национальной безопасности Российской Федерации";
- от 30 марта 2022 г. N 166 "О мерах по обеспечению технологической независимости и безопасности критической информационной инфраструктуры Российской Федерации;
- от 1 мая 2022 г. N 250 "О дополнительных мерах по обеспечению информационной безопасности Российской Федерации".
2.7. Постановления Правительства Российской Федерации:
- от 26 июня 1995 г. N 608 "О сертификации средств защиты информации";
- от 18 мая 2009 г. N 424 "Об особенностях подключения федеральных государственных информационных систем к информационно-телекоммуникационным сетям";
- от 8 июня 2011 г. N 451 "Об инфраструктуре, обеспечивающей информационно-технологическое взаимодействие информационных систем, используемых для предоставления государственных и муниципальных услуг и исполнения государственных и муниципальных функций в электронной форме";
- от 9 февраля 2012 г. N 111 "Об электронной подписи, используемой органами исполнительной власти и органами местного самоуправления при организации электронного взаимодействия между собой, о порядке ее использования, а также об установлении требований к обеспечению совместимости средств электронной подписи";
- от 1 ноября 2012 г. N 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных";
- от 25 января 2013 г. N 33 "Об использовании простой электронной подписи при оказании государственных и муниципальных услуг";
- от 6 июля 2015 г. N 676 "О требованиях к порядку создания, развития, ввода в эксплуатацию, эксплуатации и вывода из эксплуатации государственных информационных систем и дальнейшего хранения содержащейся в их базах данных информации";
- от 6 мая 2016 г. N 399 "Об организации повышения квалификации специалистов по защите информации и должностных лиц, ответственных за организацию защиты информации в органах государственной власти, органах местного самоуправления, организациях с государственным участием и организациях оборонно-промышленного комплекса".
2.8. Приказы ФСТЭК России:
- от 30 августа 2002 г. N 282 "Специальные требования и рекомендации по технической защите конфиденциальной информации";
- от 11 февраля 2013 г. N 17 "Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах";
- от 18 февраля 2013 г. N 21 "Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных";
- от 14 марта 2014 г. N 31 "Об утверждении требований к обеспечению защиты информации в автоматизированных системах управления производственными и технологическими процессами на критически важных объектах, потенциально опасных объектах, а также объектах, представляющих повышенную опасность для жизни и здоровья людей и для окружающей природной среды";
- от 21 декабря 2017 г. N 235 "Об утверждении Требований к созданию систем безопасности значимых объектов критической информационной инфраструктуры Российской Федерации и обеспечению их функционирования";
- от 25 декабря 2017 г. N 239 "Об утверждении Требований по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации";
- от 28 мая 2020 г. N 75 "Об утверждении Порядка согласования субъектом критической информационной инфраструктуры Российской Федерации с Федеральной службой по техническому и экспортному контролю подключения значимого объекта критической информационной инфраструктуры Российской Федерации к сети связи общего пользования";
- от 29 апреля 2021 г. N 77 "Об утверждении Порядка организации и проведения работ по аттестации объектов информатизации на соответствие требованиям о защите информации ограниченного доступа, не составляющей государственную тайну".
2.9. Приказы ФСБ России, ФАПСИ:
- приказ ФАПСИ от 13 июня 2001 г. N 152 "Об утверждении Инструкции об организации и обеспечении безопасности хранения, обработки и передачи по каналам связи с использованием средств криптографической защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну";
- приказ ФСБ России от 9 февраля 2005 г. N 66 "Об утверждении Положения о разработке, производстве, реализации и эксплуатации шифровальных (криптографических) средств защиты информации";
- приказ ФСБ РФ/ФСТЭК России N 416/N 489 от 31 августа 2010 г. "Об утверждении требований о защите информации, содержащейся в информационных системах общего пользования";
- от 27 декабря 2011 г. N 795 "Об утверждении Требований к форме квалифицированного сертификата ключа проверки электронной подписи";
- приказ ФСБ России от 27 декабря 2011 г. N 796 "Об утверждении Требований к средствам электронной подписи и Требований к средствам удостоверяющего центра";
- приказ ФСБ России от 10 июля 2014 г. N 378 "Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности";
- приказ ФСБ России от 24 июля 2018 г. N 367 "Об утверждении Перечня информации, представляемой в государственную систему обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации и Порядка представления информации в государственную систему обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации";
- приказ ФСБ России от 24 июля 2018 г. N 368 "Об утверждении Порядка обмена информацией о компьютерных инцидентах между субъектами критической информационной инфраструктуры Российской Федерации, между субъектами критической информационной инфраструктуры Российской Федерации и уполномоченными органами иностранных государств, международными, международными неправительственными организациями и иностранными организациями, осуществляющими деятельность в области реагирования на компьютерные инциденты, и Порядка получения субъектами критической информационной инфраструктуры Российской Федерации информации о средствах и способах проведения компьютерных атак и о методах их предупреждения и обнаружения";
- приказ ФСБ России от 6 мая 2019 г. N 196 "Об утверждении требований к средствам, предназначенным для обнаружения, предупреждения и ликвидации последствий компьютерных атак и реагирования на компьютерные инциденты";
- приказ ФСБ России от 19 июня 2019 г. N 281 "Об утверждении Порядка, технических условий установки и эксплуатации средств, предназначенных для обнаружения, предупреждения и ликвидации последствий компьютерных атак и реагирования на компьютерные инциденты, за исключением средств, предназначенных для поиска признаков компьютерных атак в сетях электросвязи, используемых для организации взаимодействия объектов критической информационной инфраструктуры Российской Федерации";
- приказ ФСБ России от 19 июня 2019 г. N 282 "Об утверждении Порядка информирования ФСБ России о компьютерных инцидентах, реагирования на них, принятия мер по ликвидации последствий компьютерных атак, проведенных в отношении значимых объектов критической информационной инфраструктуры Российской Федерации";
- приказ ФСБ России от 20 апреля 2021 г. N 154 "Об утверждении Правил подтверждения владения ключом электронной подписи";
- приказ ФСБ России от 24 октября 2022 г. "Об утверждении Требований о защите информации, содержащейся в государственных информационных системах с использованием шифровальных (криптографических) средств";
- приказ ФСБ России от 13.02.2023 N 77 "Об утверждении порядка взаимодействия операторов с государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации, включая информирование ФСБ России о компьютерных инцидентах, повлекших неправомерную передачу (предоставление, распространение, доступ) персональных данных";
- приказ ФСБ России от 11 мая 2023 г. N 213 "Об утверждении порядка осуществления мониторинга защищенности информационных ресурсов, принадлежащих федеральным органам исполнительной власти, высшим исполнительным органам государственной власти субъектов Российской Федерации, государственным фондам, государственным корпорациям (компаниям), иным организациям, созданным на основании федеральных законов, стратегическим предприятиям, стратегическим акционерным обществам и системообразующим организациям российской экономики, юридическим лицам, являющимся субъектами критической информационной инфраструктуры Российской Федерации либо используемых ими".
2.10. Приказы Роскомнадзора:
- от 24 февраля 2021 г. N 18 "Об утверждении требований к содержанию согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения";
- от 21 июня 2021 г. N 106 "Об утверждении Правил использования информационной системы Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций, в том числе порядка взаимодействия субъекта персональных данных с оператором";
- от 27.10.2022 N 178 "Об утверждении Требований к оценке вреда, который может быть причинен субъектам персональных данных в случае нарушения Федерального закона "О персональных данных";
- от 28.10.2022 N 179 "Об утверждении Требований к подтверждению уничтожения персональных данных";
- от 14.11.2022 N 187 "Об утверждении Порядка и условий взаимодействия Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций с операторами в рамках ведения реестра учета инцидентов в области персональных данных".
2.11. Руководящие и методические документы ФСТЭК России:
- Руководящий документ. Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации. Утвержден решением председателя Гостехкомиссии России от 30.03.1992;
- Руководящий документ. Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации. Утвержден решением председателя Гостехкомиссии России от 30.03.1992;
- Руководящий документ. Защита от несанкционированного доступа. Часть 1. Программное обеспечение средств защиты информации. Классификация по уровню контроля отсутствия недекларированных возможностей. Утвержден приказом Гостехкомиссии России от 04.06.1999 N 114;
- Методический документ. Меры защиты информации в государственных информационных системах. Утвержден ФСТЭК России 11.02.2014;
- Методический документ. Методика оценки угроз безопасности информации. Утвержден ФСТЭК России 05.02.2021;
- Методический документ. Руководство по организации процесса управления уязвимостями в органе (организации). Утвержден ФСТЭК России 17.05.2023.
2.12. Документы по стандартизации:
- ГОСТ Р 50739-95 Средства вычислительной техники. Защита от несанкционированного доступа к информации. Общие технические требования;
- ГОСТ Р 51624-2000 Защита информации. Автоматизированные системы в защищенном исполнении. Общие требования;
- Рекомендации по стандартизации Р 50.1.056-2005 Техническая защита информации. Основные термины и определения;
- ГОСТ Р 50922-2006 Защита информации. Основные термины и определения;
- ГОСТ Р 51275-2006 Защита информации. Объект информатизации. Факторы, воздействующие на информацию. Общие положения;
- ГОСТ РО 0043-003-2012 Защита информации. Аттестация объектов информатизации. Общие положения;
- ГОСТ РО 0043-004-2013 Защита информации. Аттестация объектов информатизации. Программа и методики аттестационных испытаний;
- ГОСТ Р 51583-2014 Защита информации. Порядок создания автоматизированных систем в защищенном исполнении. Общие положения;
- ГОСТ Р 58833-2020 Защита информации. Идентификация и аутентификация. Общие положения;
- ГОСТ 34.201-2020 Информационные технологии. Комплекс стандартов на автоматизированные системы. Виды, комплектность и обозначение документов при создании автоматизированных систем;
- ГОСТ 34.602-2020 Информационные технологии. Комплекс стандартов на автоматизированные системы. Техническое задание на создание автоматизированной системы;
- ГОСТ Р 59853-2021 Информационные технологии. Комплекс стандартов на автоматизированные системы. Автоматизированные системы. Термины и определения;
- ГОСТ Р 59793-2021 Информационные технологии. Комплекс стандартов на автоматизированные системы. Автоматизированные системы. Стадии создания;
- ГОСТ Р 59792-2021. Информационные технологии. Комплекс стандартов на автоматизированные системы. Виды испытаний автоматизированных систем;
- ГОСТ Р ИСО/МЭК 13335-1-2006 Информационная технология. Методы и средства обеспечения безопасности. Часть 1. Концепция и модели менеджмента безопасности информационных и телекоммуникационных технологий;
- ГОСТ Р ИСО/МЭК ТО 18044-2007 Информационная технология. Методы и средства обеспечения безопасности. Менеджмент инцидентов информационной безопасности;
- ГОСТ Р ИСО/МЭК 15408-1-2012 Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 1. Введение и общая модель;
- ГОСТ Р ИСО/МЭК 15408-2-2013 Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 2. Функциональные требования безопасности;
- ГОСТ Р ИСО/МЭК 15408-3-2013 Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 3. Требования доверия к безопасности;
- ГОСТ Р 57628-2017 Информационная технология. Методы и средства обеспечения безопасности. Руководство по разработке профилей защиты и заданий по безопасности;
- ГОСТ Р ИСО/МЭК 18045-2013 Информационная технология. Методы и средства обеспечения безопасности. Методология оценки безопасности информационных технологий;
- ГОСТ Р ИСО/МЭК 27001-2021 Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования;
- ГОСТ Р ИСО/МЭК 27002-2021. Информационные технологии (ИТ). Методы и средства обеспечения безопасности. Свод норм и правил применения мер обеспечения информационной безопасности;
- ГОСТ Р ИСО/МЭК 27003-2021. Информационные технологии. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Руководство по реализации;
- ГОСТ Р ИСО/МЭК 27004-2021. Информационные технологии. Методы и средства обеспечения безопасности. Менеджмент информационной безопасности. Мониторинг, оценка защищенности, анализ и оценивание.
3. Термины, определения и сокращения
3.1. В настоящей Политике используются следующие термины с соответствующими определениями:
|
Термин |
Определение |
|
Автоматизированная система |
Система, состоящая из комплекса средств автоматизации, реализующего информационную технологию выполнения установленных функций, и персонала, обеспечивающего его функционирование |
|
Администратор информационной безопасности |
Субъект доступа, ответственный за защиту автоматизированной системы от несанкционированного доступа к информации |
|
Автоматизированное рабочее место |
Программно-технический комплекс, предназначенный для автоматизации деятельности определенной категории пользователей или определенного вида деятельности |
|
Аттестация объекта информатизации |
Комплекс организационных и технических мероприятий, в результате которых подтверждается соответствие системы защиты информации объекта информатизации требованиям безопасности информации |
|
Аутентификация |
Действия по проверке подлинности субъекта доступа |
|
Безопасность информации |
Состояние защищенности информации (данных), при котором обеспечиваются ее (их) конфиденциальность, доступность и целостность |
|
Доступность информации |
Состояние информации (ресурсов информационной системы), при котором субъекты, имеющие права доступа, могут реализовать их беспрепятственно |
|
Доступ к информации |
Ознакомление с информацией, ее обработка, в частности, копирование, модификация или уничтожение информации |
|
Защита информации |
Деятельность, направленная на предотвращение утечки защищаемой информации, несанкционированных и непреднамеренных воздействий на защищаемую информацию |
|
Защита информации от несанкционированного доступа |
Защита информации, направленная на предотвращение получения защищаемой информации заинтересованными субъектами с нарушением установленных нормативными и правовыми документами (актами) или обладателями информации прав или правил разграничения доступа к защищаемой информации |
|
Защищаемая информация |
Информация, являющаяся предметом собственности и подлежащая защите в соответствии с требованиями правовых документов или требованиями, устанавливаемыми собственником информации |
|
Защищаемый объект информатизации |
Объект информатизации, предназначенный для обработки защищаемой информации с требуемым уровнем ее защищенности |
|
Защищаемая информационная система |
Информационная система, предназначенная для обработки защищаемой информации с требуемым уровнем ее защищенности |
|
Защищаемые ресурсы (информационной системы): |
Ресурсы, использующиеся в информационной системе при обработке защищаемой информации с требуемым уровнем ее защищенности |
|
Идентификация |
Действия по присвоению субъектам и объектам доступа идентификаторов и (или) по сравнению предъявляемого идентификатора с перечнем присвоенных идентификаторов |
|
Информационная безопасность |
Состояние защищенности информационных ресурсов и обслуживающей их инфраструктуры от внутренних и внешних угроз, определяющее способность ЦИО и ГО Московской области противостоять попыткам нанесения ущерба его законным интересам |
|
Информационная система |
Совокупность содержащейся в базах данных информации и обеспечивающих ее обработку информационных технологий и технических средств |
|
Информационные системы |
Информационные системы, операторами которых являются ЦИО и ГО Московской области. Информационные системы ЦИО и ГО Московской области эксплуатируются на базе центров обработки данных и/или на базе общей инфраструктуры заказчика в качестве прикладных сервисов |
|
Информационная технология |
Приемы, способы и методы применения средств вычислительной техники при выполнении функций сбора, хранения, обработки, передачи и использования данных |
|
Информационный ресурс |
Совокупность идентифицируемой информации, обладающей смысловым содержанием |
|
Компьютерная атака |
Целенаправленное несанкционированное воздействие на информацию, на ресурс информационной системы или получение несанкционированного доступа к ним с применением программных или программно-аппаратных средств |
|
Конфиденциальность информации |
Состояние информации, при котором доступ к ней осуществляют только субъекты, имеющие на него право |
|
Модель нарушителя правил разграничения доступа |
Абстрактное (формализованное или неформализованное) описание нарушителя правил разграничения доступа |
|
Мониторинг безопасности информации |
Постоянное наблюдение за процессом обеспечения безопасности информации в информационной системе с целью выявления его соответствия требованиям по безопасности информации |
|
Несанкционированный доступ к информации |
Доступ к информации (ресурсам автоматизированной информационной системы), осуществляемый с нарушением установленных прав и (или) правил доступа к информации (ресурсам автоматизированной информационной системы) |
|
Общая инфраструктура заказчика |
Общая инфраструктура заказчика - система информатизации, включающая совокупность, расположенных в инфраструктуре исполнительных органов государственной власти и государственных органов Московской области (кроме центров обработки данных): - АРМ пользователей (привилегированных пользователей); - серверное, аппаратное и виртуальное оборудование; - системы виртуализации; - линии и каналы связи; - сетевое и коммуникационное оборудование; - системное и прикладное программное обеспечение; - средства защиты информации |
|
Объект защиты информации |
Информация или носитель информации, или информационный процесс, которые необходимо защищать в соответствии с целью защиты информации |
|
Объект информатизации |
Совокупность информационных ресурсов, средств и систем обработки информации, используемых в соответствии с заданной информационной технологией, а также средств их обеспечения, помещений или объектов (зданий, сооружений, технических средств), в которых эти средства и системы установлены, или помещений и объектов, предназначенных для ведения конфиденциальных переговоров |
|
Объекты критической информационной инфраструктуры |
Информационные системы, информационно-телекоммуникационные сети, автоматизированные системы управления субъекта критической информационной инфраструктуры |
|
Организационно-технические мероприятия по обеспечению защиты информации |
Совокупность действий, направленных на применение организационных мер и программно-технических способов защиты информации на объекте информатизации |
|
Политика безопасности |
Совокупность документированных правил, процедур, практических приемов или руководящих принципов в области безопасности информации, которыми руководствуется организация в своей деятельности |
|
Правила разграничения доступа |
Правила, регламентирующие условия доступа субъектов доступа к объектам доступа в информационной системе |
|
Система информационной безопасности |
Совокупность сил обеспечения информационной безопасности, осуществляющих скоординированную и спланированную деятельность, и используемых ими средств обеспечения информационной безопасности |
|
Система защиты информации |
Совокупность органов и (или) исполнителей, используемой ими техники защиты информации, а также объектов защиты информации, организованная и функционирующая по правилам и нормам, установленным соответствующими документами в области защиты информации |
|
Средство защиты информации |
Техническое, программное, программно-техническое средство, вещество и (или) материал, предназначенные или используемые для защиты информации |
|
Угроза (безопасности информации) |
Совокупность условий и факторов, создающих потенциальную или реально существующую опасность нарушения безопасности информации |
|
Уязвимость (информационной системы) |
Свойство информационной системы, обусловливающее возможность реализации угроз безопасности обрабатываемой в ней информации |
|
Физическая защита информации |
Защита информации путем применения организационных мероприятий и совокупности средств, создающих препятствия для проникновения или доступа неуполномоченных физических лиц к объекту защиты |
|
Целостность информации |
Состояние информации, при котором отсутствует любое ее изменение либо изменение осуществляется только преднамеренно субъектами, имеющими на него право |
|
Цель защиты информации |
Заранее намеченный результат защиты информации |
3.2. В настоящей Политике используются следующие сокращения:
|
Сокращение |
Расшифровка |
|
АРМ |
Автоматизированное рабочее место |
|
АС |
Автоматизированная система |
|
ВТСС |
Вспомогательные технические средства и системы |
|
ГосСОПКА |
Государственная система обнаружения, предупреждения и ликвидации последствий компьютерных атак |
|
ГОСТ |
Государственный стандарт |
|
ЗИ |
Защита информации |
|
ИБ |
Информационная безопасность |
|
ИСПДн |
Информационная система персональных данных |
|
НКЦКИ |
Национальный координационный центр по компьютерным инцидентам |
|
НСД |
Несанкционированный доступ |
|
ПО |
Программное обеспечение |
|
ЦОД |
Центр обработки данных |
|
ИСОП |
Информационная система общего пользования |
4. Объекты защиты
4.1. Объекты и системы информатизации
Объектами и системами информатизации, подлежащими защите в ЦИО и ГО Московской области, являются:
- автоматизированные системы;
- защищаемые помещения;
- информационные системы, оператором и/или владельцем которых являются ЦИО и ГО Московской области:
- государственные информационные системы;
- информационные системы персональных данных;
- информационные системы общего пользования;
- иные информационные системы;
- объекты критической информационной инфраструктуры;
- общая инфраструктура заказчика;
- центры обработки данных.
Объекты и системы информатизации с точки зрения построения их системы защиты информации могут:
- состоять из типовых сегментов (составных сегментов), когда в объекте или системе информатизации выделяется набор типов сегментов, обеспечивающих полную технологию обработки информации, а объект или система информатизации в таком случае рассматривается как совокупность типовых сегментов, обеспечивающих полную технологию обработки информации;
- не состоять из типовых сегментов (объект или система информатизации как неделимый целый защищаемый объект);
- иметь вариативность используемых информационных технологий (вариативность определяется в целях применения гибкого подхода к построению системы защиты информации, учитывая при этом различные возможные варианты эксплуатации объекта защиты);
- не иметь вариативности используемых информационных технологий.
Описание объектов и систем информатизации и их типовых сегментов в процессе создания систем защиты информации должно основываться на описании имеющихся в составе них следующих уровней инфраструктуры:
- уровень физической инфраструктуры, помещения, где расположены элементы объекта или системы информатизации;
- уровень сети:
- уровень ядра;
- уровень распределения;
- уровень доступа;
- уровень оборудования, непосредственно участвующего в обработке защищаемой информации;
- уровень оборудования, не участвующего в обработке защищаемой информации, но обеспечивающего процесс работы элементов сегмента;
- уровень базовой системы ввода-вывода;
- уровень общесистемного ПО;
- уровень прикладного ПО;
- уровень специального ПО;
- уровень информации;
- уровень системы защиты информации:
- уровень оборудования средств защиты информации;
- уровень программного обеспечения средств защиты информации;
- уровень программного обеспечения средств управления системы защиты информации;
- уровень виртуализации:
- уровень оборудования виртуальной инфраструктуры;
- уровень сети виртуальной инфраструктуры;
- уровень программного обеспечения управления виртуальной инфраструктуры;
- уровень виртуальных машин.
4.2. Объекты защиты ЦИО и ГО Московской области
Объектами защиты на объектах и системах информатизации, подлежащими защите ЦИО и ГО Московской области, являются:
- защищаемые помещения:
- структурные элементы помещения (стены, окна, пол, потолок, вытяжка);
- коммуникации (система отопления, система освещения, система пожаротушения и так далее);
- ВТСС не обеспечивающие эксплуатацию объекта защиты (сувениры и так далее);
- среда распространения радиосигналов;
- оборудование, участвующее в обработке защищаемой информации;
- оборудование, не участвующее в обработке защищаемой информации, но обеспечивающее процесс работы объекта защиты;
- проводные линии передачи информации;
- общесистемное ПО;
- прикладное ПО;
- специальное ПО;
- средства защиты информации (в том числе средства их настройки, среда функционирования и т.д.);
- информационные технологии;
- информация.
Наличие конкретного объекта защиты в объектах и системах информатизации ЦИО и ГО Московской области, а также необходимость его защиты, определяется на этапе формирования требований к защите объектов и систем информатизации ЦИО и ГО Московской области.
Информация как объект защиты делится:
- на типы:
- общедоступная;
- персональные данные;
- служебная информация ограниченного распространения;
- служебная технологическая информация;
- на категории:
- внутренние данные;
- внешние данные;
- по уровню доступа:
- свободного (неограниченного) доступа;
- ограниченного доступа.
5. Цель, задачи, принципы и результаты обеспечения информационной безопасности
Основная цель информационной безопасности - обеспечение конфиденциальности, целостности и доступности защищаемой информации ЦИО и ГО Московской области путем предотвращения потенциальных угроз и минимизации ущерба от их возможной реализации.
Для достижения указанной цели создается и функционирует система информационной безопасности. Система информационной безопасности является совокупностью систем информационной безопасности объектов и систем информатизации ЦИО и ГО Московской области.
Система информационной безопасности должна обеспечивать эффективное решение следующих задач:
- идентификация и классификация объектов защиты и защищаемой информации, содержащихся на объектах и системах информатизации ЦИО и ГО Московской области;
- своевременное выявление, оценка и прогнозирование угроз информационной безопасности и их источников;
- планирование деятельности по обеспечению безопасности информации;
- разработка и внедрение в ЦИО и ГО Московской области современных методов и средств обеспечения ИБ, обеспечивающих соответствие требованиям законодательства Российской Федерации в области информационной безопасности;
- поддержание системы информационной безопасности в состоянии, устойчивом к существующим и вновь выявляемым угрозам в информационной сфере;
- предотвращение неправомерного доступа к информации, обрабатываемой в объектах и системах информатизации ЦИО и ГО Московской области, уничтожения информации, ее модифицирования, блокирования, копирования, предоставления и распространения, а также иных неправомерных действий в отношении защищаемой информации;
- создание условий для минимизации ущерба от деструктивных воздействий на объекты защиты и защищаемую информацию ЦИО и ГО Московской области;
- своевременное выявление и расследование инцидентов нарушения безопасности информации, восстановление актуального состояния информации объектов защиты в случае подобных инцидентов;
- организация контроля состояния и оценки эффективности системы информационной безопасности и реализация мер по ее совершенствованию;
- повышение осведомленности работников ЦИО и ГО Московской области в вопросах информационной безопасности.
Основными принципами, на основе которых должна создаваться и функционировать система информационной безопасности, являются:
- законность - обеспечение безопасности информации должно осуществляться в соответствии с требованиями законодательства Российской Федерации;
- комплексность - функционирование в ЦИО и ГО Московской области взаимосвязанной совокупности организационных и технических мер обеспечения информационной безопасности;
- персональная ответственность - персональная ответственность за нарушения требований информационной безопасности возлагается непосредственно на работников, допустивших нарушения, и руководителей подразделений ЦИО и ГО Московской области, в которых нарушения допущены. При этом сотрудники ЦИО и ГО Московской области должны быть осведомлены о правилах по обеспечению безопасности информационных ресурсов ЦИО и ГО Московской области;
- непрерывность защиты - меры обеспечения информационной безопасности предпринимаются на всех этапах жизненного цикла объектов защиты ЦИО и ГО Московской области. Должно обеспечиваться непрерывное функционирование системы безопасности информации, тестирование работоспособности и восстановление объектов защиты в случае отказов;
- своевременность - предполагает упреждающий характер мер обеспечения безопасности информации, достигающийся параллельной разработкой и развитием мер защиты информации и объектов защиты ЦИО и ГО Московской области, а также реагирование на инциденты нарушения безопасности информации в кратчайшие сроки, адекватно степени опасности инцидента;
- надежность - построение системы информационной безопасности из компонентов, обладающих высокой надежностью, готовностью и обслуживаемостью;
- минимизация привилегий - политика информационной безопасности в части предоставления прав доступа пользователям должна строиться исходя из того, что права субъектов доступа должны быть минимально достаточными для выполнения ими своих служебных обязанностей;
- преемственность и непрерывность совершенствования - обеспечение постоянного совершенствования мер и средств защиты информационных ресурсов и информационной инфраструктуры на основе преемственности организационных и технических мер, кадрового аппарата, анализа функционирования систем защиты с учетом изменений в методах и средствах перехвата информации, нормативных требований по ее защите, достигнутого передового отечественного и зарубежного опыта в указанной области.
Результатами обеспечения информационной безопасности ЦИО и ГО Московской области являются:
- созданная и непрерывно функционирующая система информационной безопасности;
- аттестованные объекты и системы информатизации ЦИО и ГО Московской области по требованиям безопасности информации;
- разработанная и в установленным порядке согласованная и утвержденная организационно-распорядительная документация по вопросам защиты информации;
- обученный персонал, обеспечивающий функционирование системы информационной безопасности;
- своевременно выявляемые уязвимости информационно-телекоммуникационной инфраструктуры, объектов и систем информатизации ЦИО и ГО Московской области;
- гарантированно выявляемые инциденты нарушения безопасности информации (попытки нарушения конфиденциальности, целостности и доступности информации);
- успешно отраженные атаки на информационно-телекоммуникационную инфраструктуру, объекты и системы информатизации ЦИО и ГО Московской области.
6. Угрозы информационной безопасности и потенциальные нарушители информационной безопасности
6.1. Угрозы информационной безопасности
Для каждого объекта и системы информатизации ЦИО и ГО Московской области должна проводиться оценка угроз безопасности информации. Оценка угроз безопасности информации проводится в целях определения угроз безопасности информации, реализация (возникновение) которых возможна на объектах и системах информатизации с заданной архитектурой и в условиях их функционирования - актуальных угроз безопасности информации.
Основными задачами, решаемыми в ходе оценки угроз безопасности информации, являются:
а) определение негативных последствий, которые могут наступить от реализации (возникновения) угроз безопасности информации;
б) инвентаризация объектов и систем информатизации и определение возможных объектов воздействия угроз безопасности информации;
в) определение источников угроз безопасности информации и оценка возможностей нарушителей по реализации угроз безопасности информации;
г) оценка способов реализации (возникновения) угроз безопасности информации;
д) оценка возможности реализации (возникновения) угроз безопасности информации и определение актуальности угроз безопасности информации;
е) оценка сценариев реализации угроз безопасности информации на объектах и системах информатизации.
Исходными данными для оценки угроз безопасности информации являются:
а) общий перечень угроз безопасности информации, содержащийся в банке данных угроз безопасности информации ФСТЭК России (bdu.fstec.ru);
б) описания векторов (шаблоны) компьютерных атак, содержащиеся в базах данных и иных источниках, опубликованных в сети Интернет (CAPEC, ATT&CK, OWASP, STIX, WASC и др.);
в) документация на объекты и системы информатизации;
г) договоры, соглашения или иные документы, содержащие условия использования информационно-телекоммуникационной инфраструктуры центра обработки данных или облачной инфраструктуры поставщика услуг (в случае функционирования объектов и систем информатизации на базе информационно-телекоммуникационной инфраструктуры центра обработки данных или облачной инфраструктуры);
д) нормативные правовые акты Российской Федерации, в соответствии с которыми создаются и функционируют системы и сети, содержащие, в том числе, описание назначения, задач (функций) объектов и систем информатизации, состав обрабатываемой информации и ее правовой режим;
е) технологические, производственные карты или иные документы, содержащие описание управленческих, организационных, производственных и иных основных процессов (бизнес-процессов) в рамках выполнения функций (полномочий) или осуществления видов деятельности ЦИО и ГО Московской области;
ж) результаты оценки рисков (ущерба), проведенной ЦИО и ГО Московской области.
Указанные исходные данные могут уточняться или дополняться с учетом особенностей области деятельности, в которой функционируют объекты и системы информатизации ЦИО и ГО Московской области.
По результатам оценки должны быть выявлены актуальные угрозы безопасности информации, реализация (возникновение) которых может привести к нарушению безопасности обрабатываемой информации на объектах и системах информатизации (нарушению конфиденциальности, целостности, доступности, неотказуемости, подотчетности, аутентичности и достоверности информации и (или) средств ее обработки) и (или) к нарушению, прекращению функционирования объектов и систем информации.
В ЦИО и ГО Московской области модель угроз безопасности информации разрабатывается для каждого объекта и системы информатизации. При этом модель угроз безопасности информации общей инфраструктуры заказчика является базовой моделью угроз, на основе которой разрабатываются модели угроз безопасности информации других объектов и систем информатизации ЦИО и ГО Московской области. При разработке данных моделей угроз безопасности информации они должна содержать описание угроз безопасности информации, актуальных для общей инфраструктуры заказчика, на базе которой объекты и системы информатизации ЦИО и ГО Московской области функционируют, а также угроз безопасности информации, связанных с интерфейсами взаимодействия со смежными (взаимодействующими) объектами и системами информации, и внешними объектами и системами информатизации, оператором которых не являются ЦИО и ГО Московской области.
Модель угроз безопасности информации должна поддерживаться в актуальном состоянии в процессе функционирования объектов и систем информатизации.
Ведение модели угроз безопасности информации и поддержание ее в актуальном состоянии осуществляется в электронном виде.
Изменение модели угроз безопасности информации осуществляется в случаях:
а) изменения требований нормативных правовых актов Российской Федерации, методических документов ФСТЭК России, регламентирующих вопросы оценки угроз безопасности информации режима обработки информации, правового режима информации, влияющих на угрозы безопасности информации;
б) выявления, в том числе по результатам контроля уровня защищенности объектов и систем информатизации и содержащейся в них информации (анализа уязвимостей, тестирований на проникновение, аудита), новых угроз безопасности информации или новых сценариев реализации существующих угроз;
в) включения в банк данных угроз безопасности информации ФСТЭК России (bdu.fstec.ru) сведений о новых угрозах безопасности информации, сценариях (тактиках, техниках) их реализации;
г) изменений архитектуры и условий функционирования объектов и систем информатизации, режима обработки информации, правового режима информации, влияющих на объекты и системы информатизации.
Оценка угроз безопасности информации включает следующие этапы:
1) определение негативных последствий, которые могут наступить от реализации (возникновения) угроз безопасности информации;
2) определение возможных объектов воздействия угроз безопасности информации;
3) оценку возможности реализации (возникновения) угроз безопасности информации и определение их актуальности.
6.2. Нарушители информационной безопасности
В ходе оценки угроз безопасности информации определяются возможные антропогенные источники угроз безопасности информации, к которым относятся лица (группа лиц), осуществляющие реализацию угроз безопасности информации путем несанкционированного доступа и (или) воздействия на информационные ресурсы и (или) компоненты объектов и систем информатизации.
В случае если к объектам и системам информатизации предъявлены требования к устойчивости и надежности функционирования, дополнительно к антропогенным источникам угроз безопасности информации в качестве актуальных определяются техногенные источники (физические явления, материальные объекты). Угрозы безопасности информации, связанные с техногенными источниками, могут включаться в модель угроз безопасности информации по решению ЦИО и ГО Московской области.
Основными факторами возникновения угроз безопасности информации, связанными с техногенными источниками, могут являться:
а) недостатки качества, надежности программного обеспечения, программно-аппаратных средств, обеспечивающих обработку и хранение информации, их линий связи;
б) недостатки в работе обеспечивающих систем;
в) недоступность сервисов (услуг), предоставляемых сторонними организациями.
Возможность возникновения таких угроз определяется на основе статистики их возникновения за прошлые годы. В случае отсутствия указанной статистики возможно использование экспертной оценки.
Для нарушителей информационной безопасности определяется их категория в зависимости от имеющихся прав и условий по доступу к объектам и системам информации, обусловленных архитектурой и условиями функционирования этих объектов и систем информатизации, а также от установленных возможностей нарушителей.
При этом нарушители подразделяются на две категории:
1. Внешние нарушители.
2. Внутренние нарушители.
6.2.1. Внутренние нарушители
Внутренние нарушители - нарушители, имеющие права доступа в контролируемую (охраняемую) зону (территорию) и (или) полномочия по автоматизированному доступу к информационным ресурсам объектам и системам информатизации.
Внутренние нарушители первоначально могут иметь разный уровень прав доступа к информационным ресурсам, объектам и системам информатизации. К внутренним нарушителям относятся пользователи, имеющие как непривилегированные (пользовательские), так и привилегированные (административные) права доступа к информационным ресурсам, объектам и системам информатизации.
Внутренние нарушители реализуют угрозы безопасности информации преднамеренно (преднамеренные угрозы безопасности информации) с использованием программных, программно-аппаратных средств или без использования таковых или непреднамеренно (непреднамеренные угрозы безопасности информации) без использования программных, программно-аппаратных средств.
6.2.2. Внешние нарушители
Внешние нарушители - нарушители, не имеющие прав доступа в контролируемую (охраняемую) зону (территорию) и (или) полномочий по доступу к информационным ресурсам, объектам и системам информатизации, требующим авторизации.
Внешние нарушители реализуют угрозы безопасности информации преднамеренно (преднамеренные угрозы безопасности информации) с использованием программных, программно-аппаратных средств или без использования таковых.
6.2.3. Виды нарушителей
Основными видами нарушителей являются:
- специальные службы иностранных государств;
- террористические, экстремистские группировки;
- преступные группы (криминальные структуры);
- отдельные физические лица (хакеры);
- разработчики программных, программно-аппаратных средств;
- лица, обеспечивающие поставку программных, программно-аппаратных средств, объектов и систем информатизации;
- поставщики услуг связи, вычислительных услуг;
- лица, привлекаемые для установки, настройки, испытаний, пусконаладочных и иных видов работ;
- лица, обеспечивающие функционирование объектов и систем информатизации или обеспечивающих объектов и систем информатизации ЦИО и ГО Московской области (администрация, охрана, уборщики и др.);
- авторизованные пользователи объектов и систем информатизации;
- системные администраторы и администраторы безопасности;
- бывшие (уволенные) работники (сотрудники, пользователи).
Указанные виды нарушителей могут быть дополнены иными нарушителями с учетом особенностей области деятельности, в которой функционируют объекты и системы информатизации ЦИО и ГО Московской области.
6.2.4. Уровень возможностей нарушителей
Нарушители имеют разные уровни компетентности, оснащенности ресурсами и мотивации для реализации угроз безопасности информации. Совокупность данных характеристик определяет уровень возможностей нарушителей по реализации угроз безопасности информации.
В зависимости от уровня возможностей нарушители подразделяются на нарушителей, обладающих:
- базовыми возможностями по реализации угроз безопасности информации (уровень возможностей H1);
- базовыми повышенными возможностями по реализации угроз безопасности информации (уровень возможностей H2);
- средними возможностями по реализации угроз безопасности информации (уровень возможностей H3);
- высокими возможностями по реализации угроз безопасности информации (уровень возможностей H4).
Нарушители с уровнем возможности H1 имеют возможность реализовывать только известные угрозы, направленные на известные (документированные) уязвимости, с использованием общедоступных инструментов.
Нарушители с уровнем возможности H2 имеют возможность реализовывать угрозы, в том числе направленные на неизвестные (недокументированные) уязвимости, с использованием специально созданных для этого инструментов, свободно распространяемых в сети Интернет. Не имеют возможностей реализации угроз на физически изолированные сегменты объектов и систем информатизации.
Нарушители с уровнем возможности H3 имеют возможность реализовывать угрозы, в том числе на выявленные ими неизвестные уязвимости, с использованием самостоятельно разработанных для этого инструментов. Не имеют возможностей реализации угроз на физически изолированные сегменты объектов и систем информатизации.
Нарушители с уровнем возможности H4 имеют практически неограниченные возможности реализовывать угрозы, в том числе с использованием недекларированных возможностей, программных, программно-аппаратных закладок, встроенных в компоненты объектов и систем информатизации.
При определении нарушителей информационной безопасности необходимо исходить из предположения о наличии повышенной мотивации внешних и внутренних нарушителей, преднамеренно реализующих угрозы безопасности информации. Кроме того, необходимо учитывать, что такие виды нарушителей как специальные службы иностранных государств и террористические, экстремистские группировки могут привлекать (входить в сговор) внутренних нарушителей, в том числе обладающих привилегированными правами доступа. В этом случае уровень возможностей актуальных нарушителей будет определяться совокупностью возможностей нарушителей, входящих в сговор.
7. Требования к системе защиты информации
Требования к системе защиты информации объектов и систем информатизации ЦИО и ГО Московской области определяются в зависимости от типа объектов и систем информатизации, класса защищенности (класса, уровня защищенности обрабатываемых персональных данных) объектов и систем информатизации и угроз безопасности информации, включенных в модель угроз безопасности информации.
Требования к системе защиты информации объектов и систем информатизации ЦИО и ГО Московской области включаются в:
- техническое задание на создание объекта или системы информатизации;
- техническое задание (частное техническое задание) на создание системы защиты информации объекта или системы информатизации.
При этом данные документы должны быть согласованы с ответственными лицами, определенными нормативно-правовыми актами ЦИО и ГО Московской области (далее - Должностные лица) и должны содержать:
- цель и задачи обеспечения защиты информации в объекте или системе информатизации;
- класс защищенности (класс, уровень защищенности обрабатываемых персональных данных) объекта или системы информатизации;
- перечень нормативных правовых актов, методических документов и национальных стандартов, которым должен соответствовать объект или система информатизации;
- перечень объектов защиты объекта или системы информатизации;
- требования к мерам и средствам защиты информации, применяемым в объекте или системе информатизации;
- стадии (этапы работ) создания системы защиты информации объекта или системы информатизации;
- требования к поставляемым техническим средствам, программному обеспечению, средствам защиты информации;
- функции заказчика и оператора по обеспечению защиты информации в объекте или системе информатизации;
- требования к защите средств и систем, обеспечивающих функционирование объекта или системы информатизации (общей инфраструктуры ЦИО и ГО Московской области);
- требования к защите информации при информационном взаимодействии с иными информационными системами и информационно-телекоммуникационными сетями.
При определении требований к системе защиты информации объекта или системы информатизации ЦИО и ГО Московской области учитываются положения политик обеспечения информационной безопасности ЦИО и ГО Московской области.
В случае создания или эксплуатации объектов и систем информатизации ЦИО и ГО Московской области, функционирование которых предполагается на базе информационно-телекоммуникационной инфраструктуры центра обработки данных, дополнительно определяются требования по защите информации, подлежащие реализации в информационно-телекоммуникационной инфраструктуре центра обработки данных.
7.1. Руководство системой защиты информации
Общее руководство и организацию выполнения требований и положений настоящей Политики, а также организацию управления и эксплуатации системой обеспечения информационной безопасности осуществляют Должностные лица.
При этом Должностные лица несут ответственность за выполнение следующих функций:
- организация работ по обеспечению информационной безопасности;
- методическое руководство и контроль эффективности предусмотренных мер защиты информации;
- разработка и согласование организационно-распорядительных и нормативных документов по защите информации;
- осуществление настройки и эксплуатации средств защиты информации в составе систем защиты информации объектов и систем информатизации.
В рамках выполнения вышеперечисленных функций Должностные лица взаимодействуют с пользователями и привилегированными пользователями объектов и систем информатизации ЦИО и ГО Московской области. В рамках данного взаимодействия Должностные лица вправе предпринимать действия, направленные на предотвращение атак на объекты и системы информатизации, утечку конфиденциальной информации, а также нарушения свойств безопасности информации, таких как конфиденциальность, целостность и доступность.
7.2. Состав подсистем информационной безопасности
Основой системы информационной безопасности ЦИО и ГО Московской области является система защиты информации общей инфраструктуры заказчика. Подсистемы системы информационной безопасности ЦИО и ГО Московской области являются подсистемами системы защиты информации общей инфраструктуры заказчика, в следующем составе:
- подсистема защиты информации от несанкционированного доступа;
- подсистема мониторинга информационной безопасности;
- подсистема межсетевого экранирования и обнаружения вторжений;
- подсистема антивирусной защиты;
- подсистема защиты виртуальной инфраструктуры;
- подсистема защиты удаленного доступа в локальную сеть;
- подсистема криптографической защиты информации;
- подсистема инфраструктуры открытых ключей;
- подсистема защиты баз данных;
- подсистема контроля распространения конфиденциальной информации и предотвращения утечек;
- подсистема управления инцидентами ИБ.
Подсистемы системы защиты информации должны разрабатываться в рамках проектирования системы защиты информации общей инфраструктуры заказчика, при этом:
- определяются типы субъектов доступа (пользователи, процессы и иные субъекты доступа) и объектов доступа, являющихся объектами защиты объектов и систем информатизации (устройства, объекты файловой системы, запускаемые и исполняемые модули, объекты системы управления базами данных, объекты, создаваемые прикладным программным обеспечением, иные объекты доступа);
- определяются методы управления доступом (дискреционный, мандатный, ролевой или иные методы), типы доступа (чтение, запись, выполнение или иные типы доступа) и правила разграничения доступа субъектов доступа к объектам доступа (на основе списков, меток безопасности, ролей и иных правил), подлежащие реализации в объектах и системах информатизации;
- выбираются меры защиты информации, подлежащие реализации в системе защиты информации и ее подсистемах;
- определяются виды и типы средств защиты информации, обеспечивающие реализацию технических мер защиты информации;
- определяется структура системы защиты информации и ее подсистем, включая состав (количество) и места размещения ее элементов;
- осуществляется выбор средств защиты информации, сертифицированных на соответствие требованиям по безопасности информации, с учетом их стоимости, совместимости с информационными технологиями и техническими средствами, функций безопасности этих средств и особенностей их реализации, а также класса защищенности (класс, уровня защищенности обрабатываемых персональных данных) объектов и систем информатизации;
- определяются требования к параметрам настройки программного обеспечения, включая программное обеспечение средств защиты информации, обеспечивающие реализацию мер защиты информации, а также устранение возможных уязвимостей объектов и систем информатизации ЦИО и ГО Московской области, приводящих к возникновению угроз безопасности информации;
- определяются меры защиты информации при информационном взаимодействии с иными информационными системами и информационно-телекоммуникационными сетями.
При проектировании систем защиты информации объектов и систем информатизации ЦИО и ГО Московской области, которые эксплуатируются на базе общей инфраструктуры заказчика в качестве прикладных сервисов, в состав данных систем защиты информации должны включаться уже имеющиеся подсистемы системы защиты информации общей инфраструктуры заказчика.
7.3. Требования к физической защите
Физическая защита объектов и систем информатизации ЦИО и ГО Московской области заключается в:
- контроле и управлении физическим доступом к техническим средствам, средствам защиты информации, средствам обеспечения функционирования объектов и систем информатизации ЦИО и ГО Московской области, а также в помещения и сооружения, в которых они установлены, исключающим несанкционированный физический доступ к средствам обработки информации, средствам защиты информации и средствам обеспечения функционирования объектов и систем информатизации ЦИО и ГО Московской области и в помещения и сооружения, в которых они установлены;
- организации контролируемой зоны, в пределах которой постоянно размещаются стационарные технические средства, обрабатывающие информацию, и средства защиты информации, а также средства обеспечения функционирования объектов и систем информатизации ЦИО и ГО Московской области;
- размещении устройств вывода (отображения) информации объектов и систем информатизации ЦИО и ГО Московской области, исключающем ее несанкционированный просмотр.
Контроль и управление физическим доступом организуется для физических лиц как являющихся сотрудниками ЦИО и ГО Московской области, так и не являющихся таковыми.
Контроль и управление физическим доступом в ЦИО и ГО Московской области предусматривают:
- определение лиц, допущенных к техническим средствам, средствам защиты информации, средствам обеспечения функционирования объектов и систем информатизации ЦИО и ГО Московской области, а также в помещения и сооружения, в которых они установлены;
- санкционирование физического доступа к техническим средствам, средствам защиты информации, средствам обеспечения функционирования объектов и систем информатизации ЦИО и ГО Московской области, а также в помещения и сооружения, в которых они установлены;
- учет физического доступа к техническим средствам, средствам защиты информации, средствам обеспечения функционирования объектов и систем информатизации ЦИО и ГО Московской области, а также в помещения и сооружения, в которых они установлены.
Порядок контроля и управления физическим доступом описывается в организационно-распорядительных документах по защите информации ЦИО и ГО Московской области.
Границами контролируемой зоны объектов и систем информатизации ЦИО и ГО Московской области является периметр охраняемой территории, ограждающие конструкции охраняемого здания или охраняемой части здания, если оно размещено на неохраняемой территории. Границы контролируемой зоны устанавливаются в организационно-распорядительных документах по защите информации ЦИО и ГО Московской области.
7.4. Меры защиты информации
Выбор мер защиты информации, подлежащих реализации в системах защиты информации объектов и систем информатизации ЦИО и ГО Московской области производится при проектировании системы защиты информации данных объектов и систем информатизации.
Выбор мер защиты информации производится исходя из необходимых (определяемых регулятором в сфере защиты информации) классов мер защиты информации в зависимости от типа объекта или системы информатизации ЦИО и ГО Московской области, класса защищенности (класса, уровня защищенности обрабатываемых персональных данных) объекта или системы информатизации, а также угроз безопасности информации включенных в модель угроз безопасности информации объекта или системы информатизации ЦИО и ГО Московской области.
Классы мер защиты информации, из которых производится выбор мер защиты информации объектов и систем информатизации ЦИО и ГО Московской области, включают:
- идентификацию и аутентификацию субъектов доступа и объектов доступа (ИАФ);
- управление доступом субъектов доступа к объектам доступа (УПД);
- ограничение программной среды (ОПС);
- защиту машинных носителей информации (ЗНИ);
- регистрацию событий безопасности (РСБ);
- антивирусную защиту (АВЗ);
- обнаружение вторжений (СОВ);
- контроль (анализ) защищенности информации (АНЗ);
- обеспечение целостности информационной системы и информации (ОЦЛ);
- обеспечение доступности информации (ОДТ);
- защиту среды виртуализации (ЗСВ);
- защиту технических средств (ЗТС);
- защиту информационной системы, ее средств, систем связи и передачи данных (ЗИС);
- выявление инцидентов и реагирование на них (ИНЦ);
- управление конфигурацией информационной системы и системы защиты персональных данных (УКФ);
- аудит безопасности (АУД);
- управление обновлениями программного обеспечения (ОПО);
- планирование мероприятий по обеспечению безопасности (ПЛН);
- обеспечение действий в нештатных ситуациях (ДНС);
- информирование и обучение персонала (ИПО);
- меры защиты информации, предъявляемые к ИСОП (ИСОП);
- меры защиты информации, предъявляемые к АС (АС).
Меры защиты информации объектов и систем информатизации ЦИО и ГО Московской области по типу делятся на:
- организационные меры защиты информации (выполняемые за счет организационных мероприятий по защите информации и без использования сертифицированных средств защиты информации);
- технические меры защиты информации (выполняемые за счет использования сертифицированных средств защиты информации и без выполнения организационных мероприятий по защите информации);
- организационно-технические меры защиты информации (выполняемые за счет организационных мероприятий по защите информации и использования сертифицированных средств защиты информации).
Определение типа мер защиты информации объектов и систем информатизации ЦИО и ГО Московской области производится при проектировании системы защиты информации объектов и систем информатизации ЦИО и ГО Московской области.
8. Порядок создания системы защиты информации объектов и систем информатизации
8.1. Общий порядок создания систем защиты информации объектов и систем информатизации
Общий порядок создания систем защиты информации объектов и систем информатизации ЦИО и ГО Московской области включает в себя реализацию следующих мероприятий:
1) создание системы защиты информации общей инфраструктуры заказчика;
2) создание системы защиты информации центров обработки данных;
3) создание систем защиты информации объектов и систем информатизации ЦИО и ГО Московской области, которые эксплуатируются на базе центров обработки данных и/или на базе общей инфраструктуры заказчика.
Для обеспечения защиты информации, содержащейся в объектах и системах информатизации ЦИО и ГО Московской области, в обязательном порядке, независимо от типа объекта или системы информатизации, проводятся мероприятия в следующем порядке:
1) формирование требований к защите информации, содержащейся в объектах и системах информатизации;
2) разработка системы защиты информации объектов и систем информатизации;
3) внедрение системы защиты информации объектов и систем информатизации;
4) аттестация объектов и систем информатизации по требованиям защиты информации и ввод их в действие;
5) обеспечение защиты информации в ходе эксплуатации аттестованных объектов и систем информатизации;
6) обеспечение защиты информации при выводе из эксплуатации аттестованных объектов и систем информатизации или после принятия решения об окончании обработки информации.
8.2. Формирование требований к защите информации, содержащейся в объектах и системах информатизации
Формирование требований к защите информации, содержащейся в объектах и системах информатизации, включает:
- принятие решения о необходимости защиты информации, содержащейся в объектах и системах информатизации;
- классификацию объектов и систем информатизации по требованиям защиты информации;
- определение угроз безопасности информации, реализация которых может привести к нарушению безопасности информации в объектах и системах информатизации, и разработку на их основе модели угроз безопасности информации;
- определение требований к системе защиты информации объектов и систем информатизации.
8.2.1. Принятие решения о необходимости защиты информации, содержащейся в объектах и системах информатизации
При принятии решения о необходимости защиты информации, содержащейся в объектах и системах информатизации, осуществляется:
- анализ целей создания объектов и систем информатизации и задач, решаемых этими объектами и системами информатизации;
- определение информации, подлежащей обработке в объектах и системах информатизации;
- анализ нормативных правовых актов, методических документов и национальных стандартов, которым должны соответствовать объекты и системы информатизации;
- принятие решения о необходимости создания системы защиты информации объектов и систем информатизации, а также определение целей и задач защиты информации в объектах и системах информатизации, основных этапов создания системы защиты информации объектов и систем информатизации и функций по обеспечению защиты информации, содержащейся в объектах и системах информатизации ЦИО и ГО Московской области.
8.2.2. Классификация объектов и систем информатизации по требованиям защиты информации
Классификация объектов и систем информатизации проводится с целью дифференциации требований к системе защиты в зависимости от значимости обрабатываемой в них информации и масштаба объектов и систем информатизации.
Классификация объектов и систем информатизации проводится в зависимости от типа объекта или системы информатизации.
Для информационных систем в зависимости от уровня значимости информации, обрабатываемой в этих информационных системах, и масштаба систем (федеральный, региональный, объектовый), устанавливаются три класса защищенности - первый класс (К1), второй класс (К2), третий класс (КЗ). Самый низкий класс - третий, самый высокий - первый.
Уровень значимости информации определяется степенью возможного ущерба для обладателя информации и (или) ЦИО и ГО Московской области от нарушения конфиденциальности, целостности или доступности информации.
Степень возможного ущерба определяется обладателем информации и (или) ЦИО и ГО Московской области экспертным путем или иными методами и может быть:
- высокой, если в результате нарушения одного из свойств безопасности информации (конфиденциальности, целостности, доступности) возможны существенные негативные последствия в социальной, политической, международной, экономической, финансовой или иных областях деятельности и (или) информационная система и (или) ЦИО и ГО Московской области не могут выполнять возложенные на них функции;
- средней, если в результате нарушения одного из свойств безопасности информации (конфиденциальности, целостности, доступности) возможны умеренные негативные последствия в социальной, политической, международной, экономической, финансовой или иных областях деятельности и (или) информационная система и (или) ЦИО и ГО Московской области не могут выполнять хотя бы одну из возложенных на них функций;
- низкой, если в результате нарушения одного из свойств безопасности информации (конфиденциальности, целостности, доступности) возможны незначительные негативные последствия в социальной, политической, международной, экономической, финансовой или иных областях деятельности и (или) информационная система и (или) ЦИО и ГО Московской области могут выполнять возложенные на них функции с недостаточной эффективностью или выполнение функций возможно только с привлечением дополнительных сил и средств.
Класс защищенности информационных систем подлежит пересмотру при изменении масштаба систем или значимости обрабатываемой в них информации.
Результаты классификации информационных систем оформляются актом классификации.
Класс защищенности информационных систем, функционирование которых предполагается на базе информационно-телекоммуникационной инфраструктуры центра обработки данных, не должен быть выше класса защищенности информационно-телекоммуникационной инфраструктуры центра обработки данных.
Информационные системы общего пользования в зависимости от значимости содержащейся в них информации и требований к ее защите разделяются на два класса.
К I классу относятся информационные системы общего пользования Правительства Российской Федерации и иные информационные системы общего пользования в случае, если нарушение целостности и доступности информации, содержащейся в них, может привести к возникновению угроз безопасности Российской Федерации. Отнесение информационных систем общего пользования к I классу проводится по решению руководителя Федеральной службы государственной регистрации, кадастра и картографии.
Ко II классу относятся иные информационные системы общего пользования.
Категорирование объекта критической информационной инфраструктуры представляет собой установление соответствия объекта критической информационной инфраструктуры критериям значимости и показателям их значений, присвоение ему одной из категорий значимости, проверку сведений о результатах ее присвоения.
Категорирование осуществляется в соответствии правилами категорирования, установленными Правительством Российской Федерации, исходя из:
1) социальной значимости, выражающейся в оценке возможного ущерба, причиняемого жизни или здоровью людей, возможности прекращения или нарушения функционирования объектов обеспечения жизнедеятельности населения, транспортной инфраструктуры, сетей связи, а также максимальном времени отсутствия доступа к государственной услуге для получателей такой услуги;
2) политической значимости, выражающейся в оценке возможного причинения ущерба интересам Российской Федерации в вопросах внутренней и внешней политики;
3) экономической значимости, выражающейся в оценке возможного причинения прямого и косвенного ущерба субъектам критической информационной инфраструктуры и (или) бюджетам Российской Федерации;
4) экологической значимости, выражающейся в оценке уровня воздействия на окружающую среду;
5) значимости объекта критической информационной инфраструктуры для обеспечения обороны страны, безопасности государства и правопорядка.
Устанавливаются три категории значимости объектов критической информационной инфраструктуры - первая, вторая и третья. Самая высокая категория - первая, самая низкая - третья.
ЦИО и ГО Московской области в соответствии с критериями значимости и показателями их значений, а также порядком осуществления категорирования присваивает одну из категорий значимости принадлежащим ей на праве собственности, аренды или ином законном основании объектам критической информационной инфраструктуры. Если объект критической информационной инфраструктуры не соответствует критериям значимости, показателям этих критериев и их значениям, ему не присваивается ни одна из таких категорий.
Для проведения категорирования решением руководителя ЦИО и ГО Московской области создается постоянно действующая комиссия по категорированию. Решение комиссии по категорированию оформляется актом, который должен содержать сведения об объекте критической информационной инфраструктуры, сведения о присвоенной объекту критической информационной инфраструктуры категории значимости либо об отсутствии необходимости присвоения ему одной из таких категорий.
Допускается оформление единого акта по результатам категорирования нескольких объектов критической информационной инфраструктуры, принадлежащих ЦИО и ГО Московской области. Акт подписывается членами комиссии по категорированию и утверждается руководителем ЦИО и ГО Московской области.
Для автоматизированных систем ЦИО и ГО Московской области, обрабатывающих конфиденциальную информацию, устанавливается класс защищенности АС от НСД к информации 1Г, со следующими характеристиками: многопользовательские АС, в которых одновременно обрабатывается и (или) хранится информация разных уровней конфиденциальности. Не все пользователи имеют право доступа ко всей информации АС.
Результаты классификации автоматизированных систем оформляются актом классификации.
Применительно к информационным системам персональных данных устанавливаются 4 уровня защищенности персональных данных в зависимости от категории обрабатываемых персональных данных и типа актуальных угроз.
К типам актуальных угроз относят следующие:
- угрозы 1-го типа - угрозы, связанные с наличием недекларированных (недокументированных) возможностей в системном ПО, используемом в ИСПДн;
- угрозы 2-го типа - угрозы, связанные с наличием недекларированных возможностей в прикладном ПО, используемом в ИСПДн;
угрозы 3-го типа - угрозы, не связанные с наличием недекларированных возможностей в программном обеспечении, используемом в ИСПДн.
Необходимость обеспечения 1-го уровня защищенности персональных данных при их обработке в информационной системе устанавливается при наличии хотя бы одного из следующих условий:
а) для информационной системы актуальны угрозы 1-го типа и информационная система обрабатывает либо специальные категории персональных данных, либо биометрические персональные данные, либо иные категории персональных данных;
б) для информационной системы актуальны угрозы 2-го типа и информационная система обрабатывает специальные категории персональных данных более чем 100000 субъектов персональных данных, не являющихся сотрудниками оператора.
Необходимость обеспечения 2-го уровня защищенности персональных данных при их обработке в информационной системе устанавливается при наличии хотя бы одного из следующих условий:
а) для информационной системы актуальны угрозы 1-го типа и информационная система обрабатывает общедоступные персональные данные;
б) для информационной системы актуальны угрозы 2-го типа и информационная система обрабатывает специальные категории персональных данных сотрудников оператора или специальные категории персональных данных менее чем 100000 субъектов персональных данных, не являющихся сотрудниками оператора;
в) для информационной системы актуальны угрозы 2-го типа и информационная система обрабатывает биометрические персональные данные;
г) для информационной системы актуальны угрозы 2-го типа и информационная система обрабатывает общедоступные персональные данные более чем 100000 субъектов персональных данных, не являющихся сотрудниками оператора;
д) для информационной системы актуальны угрозы 2-го типа и информационная система обрабатывает иные категории персональных данных более чем 100000 субъектов персональных данных, не являющихся сотрудниками оператора;
е) для информационной системы актуальны угрозы 3-го типа и информационная система обрабатывает специальные категории персональных данных более чем 100000 субъектов персональных данных, не являющихся сотрудниками оператора.
Необходимость обеспечения 3-го уровня защищенности персональных данных при их обработке в информационной системе устанавливается при наличии хотя бы одного из следующих условий:
а) для информационной системы актуальны угрозы 2-го типа и информационная система обрабатывает общедоступные персональные данные сотрудников оператора или общедоступные персональные данные менее чем 100000 субъектов персональных данных, не являющихся сотрудниками оператора;
б) для информационной системы актуальны угрозы 2-го типа и информационная система обрабатывает иные категории персональных данных сотрудников оператора или иные категории персональных данных менее чем 100000 субъектов персональных данных, не являющихся сотрудниками оператора;
в) для информационной системы актуальны угрозы 3-го типа и информационная система обрабатывает специальные категории персональных данных сотрудников оператора или специальные категории персональных данных менее чем 100000 субъектов персональных данных, не являющихся сотрудниками оператора;
г) для информационной системы актуальны угрозы 3-го типа и информационная система обрабатывает биометрические персональные данные;
д) для информационной системы актуальны угрозы 3-го типа и информационная система обрабатывает иные категории персональных данных более чем 100000 субъектов персональных данных, не являющихся сотрудниками оператора.
Необходимость обеспечения 4-го уровня защищенности персональных данных при их обработке в информационной системе устанавливается при наличии хотя бы одного из следующих условий:
а) для информационной системы актуальны угрозы 3-го типа и информационная система обрабатывает общедоступные персональные данные;
б) для информационной системы актуальны угрозы 3-го типа и информационная система обрабатывает иные категории персональных данных сотрудников оператора или иные категории персональных данных менее чем 100000 субъектов персональных данных, не являющихся сотрудниками оператора.
Для обеспечения 4-го уровня защищенности персональных данных при их обработке в информационных системах необходимо выполнение следующих требований:
а) организация режима обеспечения безопасности помещений, в которых размещена информационная система, препятствующего возможности неконтролируемого проникновения или пребывания в этих помещениях лиц, не имеющих права доступа в эти помещения;
б) обеспечение сохранности носителей персональных данных;
в) утверждение руководителем оператора документа, определяющего перечень лиц, доступ которых к персональным данным, обрабатываемым в информационной системе, необходим для выполнения ими служебных (трудовых) обязанностей;
г) использование средств защиты информации, прошедших процедуру оценки соответствия требованиям законодательства Российской Федерации в области обеспечения безопасности информации, в случае, когда применение таких средств необходимо для нейтрализации актуальных угроз.
Для обеспечения 3-го уровня защищенности персональных данных при их обработке в информационных системах необходимо, чтобы было назначено должностное лицо (работник), ответственный за обеспечение безопасности персональных данных в информационной системе.
Для обеспечения 2-го уровня защищенности персональных данных при их обработке в информационных системах необходимо, чтобы доступ к содержанию электронного журнала сообщений был возможен исключительно для должностных лиц (работников) оператора, которым сведения, содержащиеся в указанном журнале, необходимы для выполнения служебных (трудовых) обязанностей.
Для обеспечения 1-го уровня защищенности персональных данных при их обработке в информационных системах необходимо выполнение следующих требований:
а) автоматическая регистрация в электронном журнале безопасности изменения полномочий сотрудника оператора по доступу к персональным данным, содержащимся в информационной системе;
б) создание структурного подразделения, ответственного за обеспечение безопасности персональных данных в информационной системе, либо возложение на одно из структурных подразделений функций по обеспечению такой безопасности.
8.2.3. Определение угроз безопасности информации, реализация которых может привести к нарушению безопасности информации в объектах и системах информатизации, и разработка на их основе модели угроз безопасности информации
Угрозы безопасности информации определяются по результатам оценки возможностей (потенциала) внешних и внутренних нарушителей, анализа возможных уязвимостей объектов и систем информатизации, возможных способов реализации угроз безопасности информации и последствий от нарушения свойств безопасности информации (конфиденциальности, целостности, доступности).
При определении угроз безопасности информации учитываются структурно-функциональные характеристики объектов и систем информатизации, включающие структуру и состав объектов и систем информатизации, физические, логические, функциональные и технологические взаимосвязи между сегментами объектов и систем информатизации, с иными информационными системами и информационно-телекоммуникационными сетями, режимы обработки информации в объектах и системах информатизации и в ее отдельных сегментах, а также иные характеристики объектов и систем информатизации, применяемые информационные технологии и особенности ее функционирования.
При определении угроз безопасности информации в объектах и системах информатизации, функционирование которых происходит (предполагается) на базе информационно-телекоммуникационной инфраструктуры центра обработки данных, должны учитываться угрозы безопасности информации, актуальные для информационно-телекоммуникационной инфраструктуры центра обработки данных.
При определении угроз безопасности информации в объектах и системах информатизации, эксплуатация которых производится (планирует производиться) на базе общей инфраструктуры заказчика, должны учитываться угрозы безопасности информации, актуальные для общей инфраструктуры заказчика.
По результатам определения угроз безопасности информации при необходимости разрабатываются рекомендации по корректировке структурно-функциональных характеристик объектов и систем информатизации, направленные на блокирование (нейтрализацию) отдельных угроз безопасности информации.
Модель угроз безопасности информации должна содержать описание объектов и систем информатизации и ее структурно-функциональных характеристик, а также описание угроз безопасности информации, включающее описание возможностей нарушителей (модель нарушителя), возможных уязвимостей объектов и систем информатизации, способов реализации угроз безопасности информации и последствий от нарушения свойств безопасности информации.
При оценке угроз безопасности информации также должны учитываться требования по проведению такой оценки, предъявляемые к объекту или системе информатизации ЦИО и ГО Московской области в зависимости от типа данного объекта или системы информатизации.
8.2.4. Определение требований к системе защиты информации объектов и систем информатизации
Требования к системе защиты информации объектов и систем информатизации определяются в зависимости от класса защищенности (класса, уровня защищенности обрабатываемых персональных данных) объектов и систем информатизации и угроз безопасности информации, включенных в модель угроз безопасности информации.
Требования к системе защиты информации объектов и систем информатизации включаются в техническое задание на создание объектов и систем информатизации и (или) техническое задание (частное техническое задание) на создание системы защиты информации объектов и систем информатизации, и должны в том числе содержать:
- цель и задачи обеспечения защиты информации в объектах и системах информатизации;
- класс защищенности (класс, уровень защищенности обрабатываемых персональных данных) объектов и систем информатизации;
- перечень нормативных правовых актов, методических документов и национальных стандартов, которым должна соответствовать объекты и системы информатизации;
- перечень объектов защиты объектов и систем информатизации;
- требования к мерам и средствам защиты информации, применяемым в объектах и системах информатизации;
- стадии (этапы работ) создания системы защиты объектов и систем информатизации;
- требования к поставляемым техническим средствам, программному обеспечению, средствам защиты информации;
- функции заказчика и оператора по обеспечению защиты информации в объектах и системах информатизации;
- требования к защите средств и систем, обеспечивающих функционирование объектов и систем информатизации (обеспечивающей инфраструктуре);
- требования к защите информации при информационном взаимодействии с иными информационными системами и информационно-телекоммуникационными сетями.
При определении требований к системе защиты информации объектов и систем информатизации учитываются положения политик обеспечения информационной безопасности ЦИО и ГО Московской области.
В случае создания объектов и систем информатизации, функционирование которых предполагается на базе информационно-телекоммуникационной инфраструктуры центра обработки данных, дополнительно определяются требования по защите информации, подлежащие реализации в информационно-телекоммуникационной инфраструктуре центра обработки данных.
В случае создания объектов и систем информатизации, эксплуатация которых предполагается на базе общей инфраструктуры ЦИО и ГО Московской области, дополнительно определяются требования по защите информации, подлежащие реализации в общей инфраструктуре заказчика.
8.3. Порядок разработки системы защиты информации объектов и систем информатизации
Разработка системы защиты информации объектов и систем информатизации осуществляется в соответствии с техническим заданием на создание объектов и систем информатизации и (или) техническим заданием (частным техническим заданием) на создание системы защиты информации объектов и систем информатизации.
Порядок разработки системы защиты информации объектов и систем информатизации включает мероприятия в следующем порядке:
- проектирование системы защиты информации объекта или системы информатизации;
- разработка эксплуатационной документации на систему защиты информации объекта или системы информатизации;
- макетирование и тестирование системы защиты информации объекта или системы информатизации (при необходимости).
Система защиты информации объектов и систем информатизации не должна препятствовать достижению целей создания объектов и систем информатизации и их функционированию.
При разработке системы защиты информации объектов и систем информатизации учитывается ее информационное взаимодействие с иными информационными системами и информационно-телекоммуникационными сетями.
В случае эксплуатации объекта или системы информатизации на базе общей инфраструктуры заказчика при разработке системы защиты информации учитываются результаты разработки системы защиты информации общей инфраструктуры заказчика. При этом подсистемы системы защиты информации общей инфраструктуры заказчика применяются для защиты информации в рамках системы защиты информации объекта или системы информатизации. В случае недостаточности имеющихся подсистем системы защиты информации общей инфраструктуры заказчика для разработки системы защиты информации объекта или системы информатизации, производится:
- разработка требований по модернизации системы защиты информации общей инфраструктуры заказчика с учетом требований по защите информации объекта или системы информатизации;
- модернизация системы защиты информации общей инфраструктуры ЦИО и ГО Московской области с учетом разработанных требований;
- применение подсистем системы защиты информации общей инфраструктуры заказчика после проведенной модернизации для разработки системы защиты информации объекта или системы информатизации.
8.3.1. Порядок проектирования системы защиты информации объектов и систем информатизации
При проектировании системы защиты информации объектов и систем информатизации:
- определяются типы субъектов доступа (пользователи, процессы и иные субъекты доступа) и объектов доступа, являющихся объектами защиты (устройства, объекты файловой системы, запускаемые и исполняемые модули, объекты системы управления базами данных, объекты, создаваемые прикладным программным обеспечением, иные объекты доступа);
- определяются методы управления доступом (дискреционный, мандатный, ролевой или иные методы), типы доступа (чтение, запись, выполнение или иные типы доступа) и правила разграничения доступа субъектов доступа к объектам доступа (на основе списков, меток безопасности, ролей и иных правил), подлежащие реализации в объектах и системах информатизации;
- выбираются меры защиты информации, подлежащие реализации в системе защиты информации объектов и систем информатизации;
- определяются виды и типы средств защиты информации, обеспечивающие реализацию технических мер защиты информации;
- определяется структура системы защиты информации объектов и систем информатизации, включая состав (количество) и места размещения ее элементов;
- осуществляется выбор средств защиты информации, сертифицированных на соответствие требованиям по безопасности информации, с учетом их стоимости, совместимости с информационными технологиями и техническими средствами, функций безопасности этих средств и особенностей их реализации, а также класса защищенности объектов и систем информатизации;
- определяются требования к параметрам настройки программного обеспечения, включая программное обеспечение средств защиты информации, обеспечивающие реализацию мер защиты информации, а также устранение возможных уязвимостей объектов и систем информатизации, приводящих к возникновению угроз безопасности информации;
- определяются меры защиты информации при информационном взаимодействии с иными информационными системами и информационно-телекоммуникационными сетями.
Результаты проектирования системы защиты информации объектов и систем информатизации отражаются в проектной документации (эскизном (техническом) проекте и (или) в рабочей документации) на объекты и системы информатизации (систему защиты информации объектов и систем информатизации).
Проектная документация на объекты и системы информатизации и (или) их систему защиты информации подлежит согласованию с ЦИО и ГО Московской области.
При отсутствии необходимых средств защиты информации, сертифицированных на соответствие требованиям по безопасности информации, организуется разработка (доработка) средств защиты информации и их сертификация в соответствии с законодательством Российской Федерации или производится корректировка проектных решений по объектам и системам информатизации и (или) их системе защиты информации с учетом функциональных возможностей имеющихся сертифицированных средств защиты информации.
При проектировании системы защиты информации объектов и систем информатизации ЦИО и ГО Московской области, функционирование которых предполагается на базе информационно-телекоммуникационной инфраструктуры центра обработки данных, для блокирования актуальных угроз безопасности информации применяются меры защиты информации, реализуемые в информационно-телекоммуникационной инфраструктуре центра обработки данных.
При проектировании системы защиты информации объектов и систем информатизации ЦИО и ГО Московской области, эксплуатация которых предполагается на базе общей инфраструктуры заказчика, для блокирования актуальных угроз безопасности информации применяются меры защиты информации, реализуемые в общей инфраструктуре заказчика.
8.3.2. Разработка эксплуатационной документации на систему защиты информации объектов и систем информатизации
Разработка эксплуатационной документации на систему защиты информации объектов и систем информатизации осуществляется в соответствии с техническим заданием на создание объектов и систем информатизации и (или) техническим заданием (частным техническим заданием) на создание системы защиты информации объектов и систем информатизации.
Эксплуатационная документация на систему защиты информации объектов и систем информатизации должна в том числе содержать описание:
- структуры системы защиты информации объектов и систем информатизации;
- состава, мест установки, параметров и порядка настройки средств защиты информации, программного обеспечения и технических средств;
- правил эксплуатации системы защиты информации объектов и систем информатизации.
8.3.3. Макетирование и тестирование системы защиты информации объектов и систем информатизации
Макетирование и тестирование системы защиты информации объектов и систем информатизации проводится при необходимости по решению руководителя ЦИО и ГО Московской области.
При макетировании и тестировании системы защиты информации объектов и систем информатизации в том числе осуществляются:
- проверка работоспособности и совместимости выбранных средств защиты информации с информационными технологиями и техническими средствами;
- проверка выполнения выбранными средствами защиты информации требований к системе защиты информации объектов и систем информатизации;
- корректировка проектных решений, разработанных при создании объектов и систем информатизации и (или) системы защиты информации объектов и систем информатизации.
Макетирование системы защиты информации объектов и систем информатизации и ее тестирование может проводиться, в том числе, с использованием средств и методов моделирования объектов и систем информатизации и технологий виртуализации.
8.4. Внедрение системы защиты информации объектов и систем информатизации
Внедрение системы защиты информации объектов и систем информатизации осуществляется в соответствии с проектной и эксплуатационной документацией на систему защиты информации объектов и систем информатизации и включает:
- поставку средств защиты информации (при необходимости);
- установку и настройку средств защиты информации в объектах и системах информатизации;
- разработку документов, определяющих правила и процедуры, реализуемые оператором для обеспечения защиты информации в объектах и системах информатизации в ходе их эксплуатации;
- внедрение организационных мер защиты информации;
- предварительные испытания системы защиты информации объектов и систем информатизации;
- опытную эксплуатацию системы защиты информации объектов и систем информатизации;
- анализ уязвимостей объектов и систем информатизации и принятие мер защиты информации по их устранению;
- приемочные испытания системы защиты информации объектов и систем информатизации.
8.4.1. Поставка средств защиты информации
На этапе внедрения системы защиты информации объектов и систем информатизации при необходимости производится поставка средств защиты информации, необходимых для реализации защиты информации в соответствии с проектной документацией на систему защиты информации объектов и систем информатизации ЦИО и ГО Московской области.
8.4.2. Установка и настройка средств защиты информации в объектах и системах информатизации
Установка и настройка средств защиты информации в объектах и системах информатизации должна проводиться в соответствии с эксплуатационной документацией на систему защиты информации объектов и систем информатизации и документацией на средства защиты информации.
Средства защиты информации, устанавливаемые в объектах и системах информатизации, функционирующих на базе информационно-телекоммуникационной инфраструктуры центра обработки данных, должны быть совместимы между собой, а также со средствами защиты информации, установленными в информационно-телекоммуникационной инфраструктуре центра обработки данных.
Средства защиты информации, устанавливаемые в объектах и системах информатизации, эксплуатируемых на базе общей инфраструктуры заказчика, должны быть совместимы между собой, а также со средствами защиты информации, установленными в общей инфраструктуре заказчика.
8.4.3. Разработка документов, определяющих правила и процедуры, реализуемые оператором для обеспечения защиты информации в объектах и системах информатизации в ходе их эксплуатации
Разрабатываемые организационно-распорядительные документы по защите информации должны определять правила и процедуры реализации организационных и организационно-технических мер защиты информации, а также правила и процедуры:
- управления (администрирования) системой защиты информации объектов и систем информатизации;
- выявления инцидентов (одного события или группы событий), которые могут привести к сбоям или нарушению функционирования объектов и систем информатизации и (или) к возникновению угроз безопасности информации, и реагирования на них;
- управления конфигурацией аттестованных объектов и систем информатизации и системы защиты информации объектов и систем информатизации;
- контроля (мониторинга) за обеспечением уровня защищенности информации, содержащейся в объектах и системах информатизации;
- защиты информации при выводе из эксплуатации объектов и систем информатизации или после принятия решения об окончании обработки информации.
8.4.4. Внедрение организационных мер защиты информации
При внедрении организационных мер защиты информации осуществляются:
- реализация правил разграничения доступа, регламентирующих права доступа субъектов доступа к объектам доступа, и введение ограничений на действия пользователей, а также на изменение условий эксплуатации, состава и конфигурации технических средств и программного обеспечения;
- проверка полноты и детальности описания в организационно-распорядительных документах по защите информации действий пользователей и администраторов объектов и систем информатизации по реализации организационных мер защиты информации;
- отработка действий должностных лиц и подразделений, ответственных за реализацию мер защиты информации.
8.4.5. Предварительные испытания системы защиты информации объектов и систем информатизации
Предварительные испытания системы защиты информации объектов и систем информатизации включают проверку работоспособности системы защиты информации объектов и систем информатизации, а также принятие решения о возможности опытной эксплуатации системы защиты информации объектов и систем информатизации.
8.4.6. Опытная эксплуатация системы защиты информации объектов и систем информатизации
Опытная эксплуатация системы защиты информации объектов и систем информатизации включает проверку функционирования системы защиты информации объектов и систем информатизации, в том числе реализованных мер защиты информации, а также готовность пользователей и администраторов к эксплуатации системы защиты информации объектов и систем информатизации.
8.4.7. Анализ уязвимостей объектов и систем информатизации и принятие мер защиты информации по их устранению
Анализ уязвимостей объектов и систем информатизации проводится в целях оценки возможности преодоления нарушителем системы защиты информации объектов и систем информатизации и предотвращения реализации угроз безопасности информации.
Анализ уязвимостей объектов и систем информатизации включает анализ уязвимостей средств защиты информации, технических средств и программного обеспечения объектов и систем информатизации.
При анализе уязвимостей объектов и систем информатизации проверяется отсутствие известных уязвимостей средств защиты информации, технических средств и программного обеспечения, в том числе с учетом информации, имеющейся у разработчиков и полученной из других общедоступных источников, правильность установки и настройки средств защиты информации, технических средств и программного обеспечения, а также корректность работы средств защиты информации при их взаимодействии с техническими средствами и программным обеспечением.
В случае выявления уязвимостей объектов и систем информатизации, приводящих к возникновению дополнительных угроз безопасности информации, проводится уточнение модели угроз безопасности информации и, при необходимости, принимаются дополнительные меры защиты информации, направленные на устранение выявленных уязвимостей или исключающие возможность использования нарушителем выявленных уязвимостей.
По результатам анализа уязвимостей должно быть подтверждено, что в объектах и системах информатизации отсутствуют уязвимости, содержащиеся в банке данных угроз безопасности информации ФСТЭК России, а также в иных источниках, или их использование (эксплуатация) нарушителем невозможно.
8.4.8. Приемочные испытания системы защиты информации объектов и систем информатизации
Приемочные испытания системы защиты информации объектов и систем информатизации включают проверку выполнения требований к системе защиты информации объектов и систем информатизации в соответствии с техническим заданием на создание объектов и систем информатизации и (или) техническим заданием (частным техническим заданием) на создание системы защиты информации объектов и систем информатизации.
8.5. Обеспечение защиты информации в ходе эксплуатации аттестованных объектов и систем информатизации
Обеспечение защиты информации в ходе эксплуатации аттестованных объектов и систем информатизации осуществляется в соответствии с требованиями приведенными в разделе 11 настоящей Политики.
Процесс управления уязвимостями включает пять основных этапов:
- мониторинг уязвимостей и оценка их применимости;
- оценка уязвимостей;
- определение методов и приоритетов устранения уязвимостей;
- устранение уязвимостей;
- контроль устранения уязвимостей.
На этапе мониторинга уязвимостей и оценки их применимости осуществляется выявление уязвимостей на основании данных, получаемых из внешних и внутренних источников, и принятие решений по их последующей обработке.
На этапе оценки уязвимостей определяется уровень критичности уязвимостей применительно к информационным системам ЦИО и ГО Московской области.
На этапе определения методов и приоритетов устранения уязвимостей определяется приоритетность устранения уязвимостей и выбираются методы их устранения: обновление программного обеспечения и (или) применение компенсирующих мер защиты информации.
На этапе устранения уязвимостей принимаются меры, направленные на устранение или исключение возможности использования (эксплуатации) выявленных уязвимостей.
На этапе контроля устранения уязвимостей осуществляется сбор и обработка данных о процессе управления уязвимостями и его результатах, а также принятие решений по улучшению данного процесса.
Процесс управления уязвимостями организуется для всех информационных систем органа (организации) и должен предусматривать постоянную и непрерывную актуализацию сведений об уязвимостях и объектах и систем информатизации ЦИО и ГО Московской области.
При изменении статуса уязвимостей (применимость к информационным системам, наличие исправлений, критичность) должны корректироваться способы их устранения.
8.6. Обеспечение защиты информации при выводе из эксплуатации аттестованных объектов и систем информатизации или после принятия решения об окончании обработки информации
Обеспечение защиты информации при выводе из эксплуатации аттестованных объектов и систем информатизации или после принятия решения об окончании обработки информации осуществляется в соответствии с требованиями приведенными в разделе 11 настоящей Политики.
9. Оценка соответствия требованиям по безопасности объектов и систем информатизации
9.1. Аттестация объектов и систем информатизации и ввод их в действие
Оценка соответствия требованиям по безопасности объектов и систем информатизации проводится в рамках аттестации объектов и систем информатизации и регламентируется приказами, руководящими и методическими документами ФСТЭК России.
Аттестация объектов и систем информатизации организуется ЦИО и ГО Московской области и включает проведение комплекса организационных и технических мероприятий (аттестационных испытаний), в результате которых подтверждается соответствие системы защиты информации объектов и систем информатизации требованиям безопасности информации.
Проведение аттестационных испытаний объектов и систем информатизации должностными лицами (работниками), осуществляющими проектирование и (или) внедрение системы защиты информации объектов и систем информатизации, не допускается.
Аттестации подлежат все объекты и системы информатизации ЦИО и ГО Московской области, независимо от типов объектов и систем, перечень которых приведен в 4.1 настоящей Политики. В исключительных случаях допускается оценка соответствия объектов информатизации ЦИО и ГО Московской области в других формах, если это не противоречит требованиям законодательства Российской Федерации, нормативных правовых актов и методических документов в области защиты информации.
9.2. Исходные данные, необходимые для аттестации объектов и систем информатизации
В качестве исходных данных, необходимых для аттестации объектов и систем информатизации, используются модель угроз безопасности информации, акт классификации объектов и систем информатизации, техническое задание на создание объектов и систем информатизации и (или) техническое задание (частное техническое задание) на создание системы защиты информации объектов и систем информатизации, проектная и эксплуатационная документация на систему защиты информации объектов и систем информатизации, организационно-распорядительные документы по защите информации, результаты анализа уязвимостей объектов и систем информатизации, материалы предварительных и приемочных испытаний системы защиты информации объектов и систем информатизации, а также иные документы.
9.3. Программа и методики аттестационных испытаний
Аттестация объектов и систем информатизации проводится в соответствии с программой и методиками аттестационных испытаний до начала обработки информации, подлежащей защите в объектах и системах информатизации. Для проведения аттестации объектов и систем информатизации применяются национальные стандарты, а также методические документы, разработанные и утвержденные ФСТЭК России.
По результатам аттестационных испытаний оформляется протокол аттестационных испытаний, заключение о соответствии объекта или системы информатизации требованиям о защите информации и аттестат соответствия в случае положительных результатов аттестационных испытаний.
При проведении аттестационных испытаний должны применяться следующие методы проверок (испытаний):
- экспертно-документальный метод, предусматривающий проверку соответствия системы защиты информации объектов и систем информатизации установленным требованиям по защите информации, на основе оценки эксплуатационной документации, организационно-распорядительных документов по защите информации, а также условий функционирования объектов и систем информатизации;
- анализ уязвимостей объектов и систем информатизации, в том числе вызванных неправильной настройкой (конфигурированием) программного обеспечения и средств защиты информации;
- испытания системы защиты информации путем осуществления попыток несанкционированного доступа (воздействия) к информационной системе в обход ее системы защиты информации.
9.4. Аттестационные испытания на основе выделенного набора сегментов
Допускается аттестация объектов и систем информатизации на основе результатов аттестационных испытаний выделенного набора сегментов объектов и систем информатизации, реализующих полную технологию обработки информации.
В этом случае распространение аттестата соответствия на другие сегменты объектов и систем информатизации осуществляется при условии их соответствия сегментам объектов и систем информатизации, прошедшим аттестационные испытания.
Сегмент считается соответствующим сегменту объектов и систем информатизации, в отношении которого были проведены аттестационные испытания, если для указанных сегментов установлены одинаковые классы защищенности, угрозы безопасности информации, реализованы одинаковые проектные решения по информационной системе и ее системе защиты информации.
Соответствие сегмента, на который распространяется аттестат соответствия, сегменту объектов и систем информатизации, в отношении которого были проведены аттестационные испытания, подтверждается в ходе приемочных испытаний объектов и систем информатизации или сегментов объектов и систем информатизации.
В сегментах объектов и систем информатизации, на которые распространяется аттестат соответствия, Должностными лицами обеспечивается соблюдение эксплуатационной документации на систему защиты информации объектов и систем информатизации и организационно-распорядительных документов по защите информации.
Особенности аттестации объектов и систем информатизации на основе результатов аттестационных испытаний выделенного набора ее сегментов, а также условия и порядок распространения аттестата соответствия на другие сегменты объектов и систем информатизации определяются в программе и методиках аттестационных испытаний, заключении и аттестате соответствия.
9.5. Срок действия аттестата соответствия
Аттестат соответствия выдается на весь срок эксплуатации объектов и систем информатизации, если иное не предусмотрено требованиями по защите информации, предъявляемыми к конкретному типу объекта или системы информатизации ЦИО и ГО Московской области. Должностные лица обеспечивают поддержку соответствия системы защиты информации аттестату соответствия.
9.6. Ввод в действие объектов и систем информатизации
Ввод в действие объектов и систем информатизации осуществляется по результатам выполнения работ, приведенных в разделе 10 настоящей Политики, в том числе на основании полученного аттестата соответствия требованиям по защите информации объекта или системы информатизации.
9.7. Особенности аттестации объектов и систем информатизации, функционирующих на базе ЦОД и/или эксплуатируемых на базе общей инфраструктуры заказчика
Объекты и системы информатизации, функционирующие на базе общей инфраструктуры заказчика в качестве прикладных сервисов, подлежат аттестации в составе указанной инфраструктуры.
При аттестации объектов и систем информатизации должны использоваться результаты аттестации общей инфраструктуры заказчика.
10. Порядок ввода в эксплуатацию объектов и систем информатизации
Ввод в действие объектов и систем информатизации ЦИО и ГО Московской области осуществляется в соответствии с законодательством Российской Федерации об информации, информационных технологиях и о защите информации, с учетом ГОСТ 34.601 и при наличии аттестата соответствия.
Ввод в эксплуатацию объектов и систем информатизации ЦИО и ГО Московской области осуществляется по результатам выполнения работ, приведенных в разделах 8 и 9 настоящей Политики, путем оформления акта о приемке объекта (системы) в эксплуатацию, определяющего перечень мероприятий по обеспечению ввода объектов и систем информатизации в эксплуатацию и устанавливающий срок начала эксплуатации.
В общем случае акт о приемке объекта (системы) в эксплуатацию в том числе содержит:
а) мероприятия по разработке и утверждению организационно-распорядительных документов, определяющих мероприятия по защите информации в ходе эксплуатации объекта или системы информатизации ЦИО и ГО Московской области, разработка которых предусмотрена нормативными правовыми актами и методическими документами ФСБ России и ФСТЭК России, а также национальными стандартами в области защиты информации;
б) результаты аттестации объекта или системы информатизации ЦИО и ГО Московской области по требованиям защиты информации;
в) мероприятия по подготовке ЦИО и ГО Московской области к эксплуатации объекта или системы информатизации в части защиты информации;
г) мероприятия по подготовке должностных лиц ЦИО и ГО Московской области к эксплуатации объекта или системы информатизации ЦИО и ГО Московской области, включая лиц, ответственных за обеспечение защиты информации.
Ввод объекта (системы) в эксплуатацию не допускается в случае невыполнения установленных законодательством Российской Федерации требований по защите информации, включая отсутствие действующего аттестата соответствия требованиям по защите информации.
Срок начала эксплуатации объекта (системы) не может быть ранее срока окончания последнего мероприятия, предусмотренного актом о приемке объекта (системы) в эксплуатацию.
Ввод в эксплуатацию государственных информационных систем осуществляется в соответствии с постановлением Правительства Российской Федерации от 6 июля 2015 г. N 676 и приказом ФСТЭК России от 11 февраля 2013 г. N 17. Не допускается ввод в эксплуатацию государственных информационных систем, технические средства которых размещены за пределами территории Российской Федерации.
Ввод в эксплуатацию информационных систем персональных данных осуществляется в соответствии с Постановлением Правительства Российской Федерации от 1 ноября 2012 г. N 1119 и приказом ФСТЭК России от 18 февраля 2013 г. N 21. Ввод в эксплуатацию информационных систем персональных данных может быть осуществлен на основании положительных результатов оценки соответствия требованиям по безопасности, проведенных в форме оценки эффективности реализованных в рамках системы защиты персональных данных мер по обеспечению безопасности персональных данных. Такая оценка проводится ЦИО и ГО Московской области самостоятельно или с привлечением на договорной основе юридических лиц и индивидуальных предпринимателей, имеющих лицензию на осуществление деятельности по технической защите конфиденциальной информации.
Ввод в эксплуатацию значимого объекта КИИ и его подсистемы безопасности осуществляется в соответствии с приказом ФСТЭК России от 25 декабря 2017 г. N 239 при положительном заключении (выводе) в акте приемки (или в аттестате соответствия) о соответствии значимого объекта установленным требованиям по обеспечению безопасности.
Ввод в эксплуатацию объектов информатизации (АС, защищаемого помещения) осуществляется в соответствии со "Специальными требованиями и рекомендациями по технической защите конфиденциальной информации (СТР-К)", утвержденными приказом Гостехкомиссии России от 30 августа 2002 г. N 282.
До начала эксплуатации объектов и систем информатизации ЦИО и ГО Московской области осуществляется опытная эксплуатация средств защиты информации в комплексе с другими техническими и программными средствами в целях проверки их работоспособности в составе объектов и систем информатизации и отработки технологического процесса обработки (передачи) информации.
Допускается ввод в эксплуатацию отдельных подсистем (сегментов) из состава эксплуатируемых объектов и систем информатизации. Порядок ввода в эксплуатацию отдельной подсистемы (сегмента) аналогичен порядку ввода в эксплуатацию объектов и систем информатизации при условии принятия решения о распространении аттестата соответствия объекта (системы) информатизации на подсистему (сегмент) (если для указанных подсистем, сегментов установлены одинаковые классы защищенности, угрозы безопасности информации, реализованы одинаковые проектные решения по информационной системе и ее системе защиты информации).
11. Защита информации при эксплуатации и выводе из эксплуатации аттестованных и введенных в эксплуатацию объектов и систем информатизации
Обеспечение защиты информации в ходе эксплуатации аттестованных объектов и систем информатизации должно осуществляться в соответствии с эксплуатационной документацией и организационно-распорядительными документами по защите информации и включать следующие мероприятия:
- планирование мероприятий по защите информации в объекте или системе информатизации;
- анализ угроз безопасности информации в объекте или системе информатизации;
- управление (администрирование) системой защиты информации объекта или системы информатизации;
- управление конфигурацией объекта или системы информатизации и его системой защиты информации;
- реагирование на инциденты;
- информирование и обучение персонала объекта или системы информатизации;
- контроль за обеспечением уровня защищенности информации, содержащейся в объекте или системе информатизации;
- обеспечение действий персонала в нештатных ситуациях в ходе эксплуатации объекта или системы информатизации.
В ходе планирования мероприятий по защите информации в объекте или системе информатизации осуществляются:
- определение лиц, ответственных за планирование и контроль мероприятий по защите информации;
- определение лиц, ответственных за выявление инцидентов и реагирование на них;
- разработка, утверждение и актуализация плана мероприятий по защите информации в объекте или системе информатизации;
- разработка, согласование с ФСБ России, утверждение и актуализация плана реагирования на компьютерные инциденты и принятия мер по ликвидации последствий компьютерных атак (при необходимости в соответствии с требованиями предъявляемыми в объекту или системе информатизации с учетом их типа);
- определение порядка контроля выполнения мероприятий по обеспечению защиты информации, предусмотренных утвержденным планом.
В ходе анализа угроз безопасности информации в объекте или системе информатизации осуществляются:
- выявление, анализ и устранение уязвимостей объекта или системы информатизации;
- анализ изменения угроз безопасности информации в объекте или системе информатизации;
- оценка возможных последствий реализации угроз безопасности информации в объекте или системе информатизации.
В ходе управления (администрирования) системой защиты информации объекта или системы информатизации осуществляются:
- определение лиц, ответственных за управление (администрирование) системой защиты информации объекта или системы информатизации;
- управление учетными записями пользователей и поддержание в актуальном состоянии правил разграничения доступа в объекте или системе информатизации;
- управление средствами защиты информации объекта или системы информатизации;
- управление обновлениями программных и программно-аппаратных средств, в том числе средств защиты информации, с учетом особенностей функционирования объекта или системы информатизации;
- централизованное управление системой защиты информации объекта или системы информатизации (при необходимости в соответствии с разработанными проектными решениями по защите информации объекта или системы информатизации);
- мониторинг и анализ зарегистрированных событий в объекте или системе информатизации, связанных с обеспечением безопасности (далее - события безопасности);
- обеспечение функционирования системы защиты информации объекта или системы информатизации в ходе его эксплуатации, включая ведение эксплуатационной документации и организационно-распорядительных документов по защите информации.
В ходе управления конфигурацией объекта или системы информатизации и его системы защиты информации осуществляются:
- определение лиц, которым разрешены действия по внесению изменений в конфигурацию объекта или системы информатизации и его системы защиты информации, и их полномочий;
- определение компонентов объекта или системы информатизации и его системы защиты информации, подлежащих изменению в рамках управления конфигурацией (идентификация объектов управления конфигурацией): программно-аппаратные, программные средства, включая средства защиты информации, их настройки и программный код, эксплуатационная документация, интерфейсы, файлы и иные компоненты, подлежащие изменению и контролю;
- управление изменениями объекта или системы информатизации и его системы защиты информации: разработка параметров настройки, обеспечивающих защиту информации, анализ потенциального воздействия планируемых изменений на обеспечение защиты информации, санкционирование внесения изменений в объект или систему информатизации и его систему защиты информации, документирование действий по внесению изменений в объект или систему информатизации и сохранение данных об изменениях конфигурации;
- контроль действий по внесению изменений в объект или систему информатизации и его систему защиты информации.
В ходе реагирования на инциденты в общем случае осуществляются:
- обнаружение и идентификация инцидентов, в том числе отказов в обслуживании, сбоев (перезагрузок) в работе технических средств, программного обеспечения и средств защиты информации, нарушений правил разграничения доступа, неправомерных действий по сбору информации, внедрений вредоносных компьютерных программ (вирусов) и иных событий, приводящих к возникновению инцидентов;
- своевременное информирование пользователями и администраторами лиц, ответственных за выявление инцидентов и реагирование на них, о возникновении инцидентов в объекте или системе информатизации;
- направление информации в НКЦКИ в соответствии с определенными НКЦКИ форматами представления информации о компьютерных инцидентах в государственную систему обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации (при необходимости в соответствии с требованиями предъявляемыми в объекту или системе информатизации с учетом их типа);
- анализ инцидентов, в том числе определение источников и причин возникновения инцидентов, а также оценка их последствий;
- планирование и принятие мер по устранению инцидентов, в том числе по восстановлению объекта или системы информатизации и его сегментов в случае отказа в обслуживании или после сбоев, устранению последствий нарушения правил разграничения доступа, неправомерных действий по сбору информации, внедрения вредоносных компьютерных программ (вирусов) и иных событий, приводящих к возникновению инцидентов;
- планирование и принятие мер по предотвращению повторного возникновения инцидентов;
- информирование НКЦКИ о результатах мероприятий по реагированию на компьютерные инциденты и принятию мер по ликвидации последствий компьютерных атак (при необходимости в соответствии с требованиями предъявляемыми в объекту или системе информатизации с учетом их типа).
Для обеспечения действий в нештатных ситуациях при эксплуатации объекта или системы информатизации осуществляются:
- планирование мероприятий по обеспечению безопасности объекта или системы информатизации на случай возникновения нештатных ситуаций;
- обучение и отработка действий персонала по обеспечению безопасности объекта или системы информатизации в случае возникновения нештатных ситуаций;
- создание альтернативных мест хранения и обработки информации на случай возникновения нештатных ситуаций;
- резервирование программных и программно-аппаратных средств, в том числе средств защиты информации, каналов связи на случай возникновения нештатных ситуаций;
- обеспечение возможности восстановления объекта или системы информатизации в случае возникновения нештатных ситуаций;
- определение порядка анализа возникших нештатных ситуаций и принятия мер по недопущению их повторного возникновения.
В ходе информирования и обучения персонала объекта или системы информатизации осуществляются:
- информирование персонала объекта или системы информатизации о появлении актуальных угроз безопасности информации, о правилах безопасной эксплуатации объекта или системы информатизации;
- доведение до персонала объекта или системы информатизации требований по защите информации, а также положений организационно-распорядительных документов по защите информации с учетом внесенных в них изменений;
- обучение персонала объекта или системы информатизации правилам эксплуатации отдельных средств защиты информации;
- проведение практических занятий и тренировок с персоналом объекта или системы информатизации по блокированию угроз безопасности информации и реагированию на инциденты;
- контроль осведомленности персонала объекта или системы информатизации об угрозах безопасности информации и уровня знаний персонала по вопросам обеспечения защиты информации.
В ходе контроля за обеспечением уровня защищенности информации, содержащейся в объекте или системе информатизации, осуществляются:
- контроль (анализ) защищенности информации с учетом особенностей функционирования объекта или системы информатизации;
- анализ и оценка функционирования объекта или системы информатизации и его системы защиты информации, включая анализ и устранение уязвимостей и иных недостатков в функционировании системы защиты информации объекта или системы информатизации;
- документирование процедур и результатов контроля за обеспечением уровня защищенности информации, содержащейся в объекте или системе информатизации;
- принятие решения по результатам контроля за обеспечением уровня защищенности информации, содержащейся в объекте или системе информатизации, о необходимости доработки (модернизации) ее системы защиты информации.
Обеспечение защиты информации при выводе из эксплуатации аттестованного объекта или системы информатизации или после принятия решения об окончании обработки информации осуществляется Должностными лицами в соответствии с эксплуатационной документацией на систему защиты информации объекта или системы информатизации и организационно-распорядительными документами по защите информации и, в том числе, включает:
- архивирование информации, содержащейся в объекте или системе информатизации;
- уничтожение (стирание) данных и остаточной информации с машинных носителей информации и (или) уничтожение машинных носителей информации;
- уничтожение или архивирование данных об архитектуре и конфигурации объекта или системы информатизации;
- архивирование или уничтожение эксплуатационной документации на объект или систему информатизации и его подсистему безопасности и организационно-распорядительных документов по безопасности объекта или системы информатизации.
Архивирование информации, содержащейся в объекте или системе информатизации, должно осуществляться при необходимости дальнейшего использования информации в деятельности ЦИО и ГО Московской области.
Уничтожение (стирание) данных и остаточной информации с машинных носителей информации производится при необходимости передачи машинного носителя информации в сторонние организации для ремонта, технического обслуживания или дальнейшего уничтожения.
При выводе из эксплуатации машинных носителей информации, на которых осуществлялись хранение и обработка информации, осуществляется физическое уничтожение этих машинных носителей информации.
Должен быть осуществлен сброс настроек программных и программно-аппаратных средств, в том числе средств защиты информации, удалена информация о субъектах доступа и объектах доступа, удалены учетные записи пользователей, а также идентификационная и аутентификационная информация субъектов доступа. При выводе объекта или системы информатизации из эксплуатации вся эксплуатационная документация на объект или систему информатизации и его подсистему безопасности, эксплуатационная документация на отдельные средства защиты информации подлежит архивному хранению. Сроки хранения документации определяются ЦИО и ГО Московской области в организационно-распорядительных документах по безопасности объекта или системы информатизации.
12. Периодический контроль уровня защиты информации на объектах и системах информатизации
Должностными лицами обеспечивается выполнение мероприятий по безопасности информации на объектах и системах информатизации ЦИО и ГО Московской области, а также соблюдение требований, определенных аттестатами соответствия объектов и систем информатизации ЦИО и ГО Московской области, путем реализации требований по защите информации в ходе эксплуатации аттестованных объектов и систем информатизации ЦИО и ГО Московской области и проведения периодического контроля уровня защиты информации на аттестованных объектах и системах информатизации ЦИО и ГО Московской области, результаты которого оформляются протоколами и отражаются в технических паспортах на объекты и системы информатизации ЦИО и ГО Московской области.
Периодичность проведения контроля за обеспечением уровня защищенности информации, содержащейся в информационных системах 1 класса защищенности, устанавливается ЦИО и ГО Московской области в организационно-распорядительных документах по защите информации с учетом особенностей функционирования информационной системы, но не реже одного раза в год.
Периодичность проведения контроля за обеспечением уровня защищенности информации, содержащейся в информационных системах 2 и 3 классов защищенности, устанавливается ЦИО и ГО Московской области в организационно-распорядительных документах по защите информации с учетом особенностей функционирования информационных систем, но не реже одного раза в два года.
Периодичность оценки эффективности реализованных в рамках системы защиты персональных данных мер по обеспечению безопасности персональных данных устанавливается ЦИО и ГО Московской области в организационно-распорядительных документах по защите информации с учетом особенностей функционирования информационной системы персональных данных, но не реже одного раза в 3 года.
Периодичность проведения контроля за обеспечением уровня защищенности информации в иных объектах и системах информатизации устанавливается ЦИО и ГО Московской области в организационно-распорядительных документах по защите информации с учетом особенностей функционирования объектов и систем информатизации, но не реже одного раза в 2 года.
Протоколы контроля защиты информации на аттестованном объекте или системе информатизации в случае необходимости представляются ЦИО и ГО Московской области в ФСТЭК России (территориальный орган ФСТЭК России).
В ходе периодического контроля уровня защиты информации объектов и систем информатизации ЦИО и ГО Московской области осуществляются:
- контроль (анализ) защищенности информации с учетом особенностей функционирования объектов и систем информатизации;
- анализ и оценка функционирования объектов и систем информатизации, их системы защиты информации, включая анализ и устранение уязвимостей и иных недостатков в функционировании системы защиты информации объектов и систем информатизации;
- документирование процедур и результатов контроля за обеспечением уровня защищенности информации, содержащейся на объектах и системах информатизации;
- принятие решения по результатам контроля за обеспечением уровня защищенности информации, содержащейся на объектах и системах информатизации, о необходимости доработки (модернизации) их системы защиты информации.
Контроль уровня защиты информации объектов и систем информатизации ЦИО и ГО Московской области проводится Должностными лицами самостоятельно и (или) с привлечением организации, имеющей лицензию на деятельность по технической защите конфиденциальной информации.
Периодичность проведения контроля уровня защиты информации определяется Должностными лицами с учетом требований приказов регулирующих органов в сфере информационной безопасности с учетом типа объекта или системы информатизации, класса защищенности (класса, уровня защищенности обрабатываемых персональных данных) объекта или системы информатизации и особенностей их функционирования. Сроки проведения периодического контроля уровня защиты информации объектов и систем информатизации ЦИО и ГО Московской области определяются в плане мероприятий по защите информации на объекте или системе информатизации ЦИО и ГО Московской области.
13. Требования к документации по защите информации в рамках создания, эксплуатации и вывода из эксплуатации объектов и систем информатизации
На объекты и системы информатизации в рамках создания их системы защиты информации, включая эксплуатацию и вывода из эксплуатации должны разрабатываться следующие документы (отдельные из перечисленных документов по решению владельца (оператора) объекта информатизации могут иметь другие названия, быть объединены, кроме того, такие документы могут действовать одновременно в отношении нескольких объектов):
|
N |
Наименование этапа/подэтапа создания систем защиты информации объекта или системы информатизации |
Наименование документа |
Порядок утверждения/согласования |
|
1. |
Формирование требований к защите информации, содержащейся в объектах и системах информатизации |
||
|
1.1. |
Принятие решения о необходимости защиты информации, содержащейся в объектах и системах информатизации |
Решение о необходимости защиты информации, содержащейся в объекте (системе) информатизации |
Утверждается руководителем ЦИО и ГО Московской области |
|
|
|
Приказ о назначении должностного лица (работника), ответственного за защиту информации в объекте (системе) информатизации |
|
|
1.2. |
Классификация объектов и систем информатизации по требованиям защиты информации |
Приказ о назначении комиссии по классификации объектов и систем информатизации |
|
|
Акт категорирования | |||
|
Акт классификации объекта (системы) информатизации | |||
|
Акт определения уровня защищенности персональных данных, обрабатываемых в объекте (системе) информатизации | |||
|
Акт определения класса информационной системы общего пользования | |||
|
Акт классификации автоматизированной системы | |||
|
1.3. |
Определение угроз безопасности информации, реализация которых может привести к нарушению безопасности информации в объектах и системах информатизации, и разработку на их основе модели угроз безопасности информации |
Модель угроз безопасности информации объекта (системы) информатизации Модель нарушителя безопасности информации объекта (системы) информатизации (является приложением к модели угроз безопасности информации объекта (системы) информатизации) |
|
|
1.4. |
Определение требований к системе защиты информации объектов и систем информатизации |
Частное техническое задание на создание системы защиты информации объекта (системы) информатизации |
|
|
2. |
Разработка систем защиты информации объектов и систем информатизации |
||
|
2.1. |
Проектирование систем защиты информации объектов и систем информатизации |
Ведомость технического проекта на системы защиты информации объекта (системы) информатизации |
Утверждается должностным лицом юридического лица, оказывающего услуги на данном этапе. Утверждается руководителем ЦИО и ГО Московской области |
|
Пояснительная записка к техническому проекту на создание системы защиты информации объекта (системы) информатизации | |||
|
Схема структурная комплекса технических средств системы защиты информации объекта (системы) информатизации | |||
|
Описание комплекса технических средств системы защиты информации объекта (системы) информатизации | |||
|
Схема деления системы защиты информации (структурная) объекта (системы) информатизации | |||
|
План расположения системы защиты информации объекта (системы) информатизации | |||
|
Ведомость оборудования и материалов системы защиты информации объекта (системы) информатизации | |||
|
2.2. |
Разработка эксплуатационной документации на системы защиты информации объектов и систем информатизации |
Описание структуры системы защиты информации объекта (системы) информатизации |
Утверждается должностным лицом юридического лица, оказывающего услуги на данном этапе. Утверждается руководителем ЦИО и ГО Московской области |
|
Описание состава, мест установки, параметров и порядка настройки средств защиты информации, программного обеспечения и технических средств объекта (системы) информатизации |
Утверждается должностным лицом юридического лица, оказывающего услуги на данном этапе. Утверждается руководителем ЦИО и ГО Московской области |
||
|
Описание правил эксплуатации системы защиты информации объекта (системы) информатизации |
Утверждается должностным лицом юридического лица, оказывающего услуги на данном этапе. Утверждается руководителем ЦИО и ГО Московской области |
||
|
Технический паспорт объекта (системы) информатизации |
Утверждается руководителем ЦИО и ГО Московской области |
||
|
Разрешительная система доступа пользователей и эксплуатационного персонала к объектам защиты |
Утверждается должностным лицом юридического лица, оказывающего услуги на данном этапе. Утверждается руководителем ЦИО и ГО Московской области |
||
|
3. |
Внедрение систем защиты информации объектов и систем информатизации |
||
|
3.1. |
Установка и настройка средств защиты информации в объектах и системах информатизации |
Акт установки и настройки средств защиты информации на объекте (системе) информатизации |
Утверждается должностным лицом юридического лица, оказывающего услуги на данном этапе. Утверждается руководителем ЦИО и ГО Московской области |
|
3.2. |
Разработка документов, определяющих правила и процедуры, реализуемые для обеспечения защиты информации в объектах и системах информатизации в ходе их эксплуатации |
Приказ об утверждении организационно-распорядительной документации по защите информации в объекте (системе) информатизации и о назначении должностных лиц ответственных за защиту информации |
Утверждается руководителем ЦИО и ГО Московской области |
|
Приказ о назначении лиц, которым разрешены действия по внесению изменений в конфигурацию объекта (системы) информатизации и его системы защиты информации, и их полномочий |
Утверждается руководителем ЦИО и ГО Московской области |
||
|
Приказ о назначении лиц, ответственных за планирование и контроль мероприятий по защите информации на объекте (системе) информатизации |
Утверждается руководителем ЦИО и ГО Московской области |
||
|
Приказ о назначении лиц, ответственных за выявление инцидентов и реагирования на них на объекте (системе) информатизации |
Утверждается руководителем ЦИО и ГО Московской области |
||
|
Приказ о назначении лиц, ответственных за управление (администрирование) системой защиты информации объекта (системы) информатизации |
Утверждается руководителем ЦИО и ГО Московской области |
||
|
Правила и процедуры управления (администрирования) системы защиты информации объекта (системы) информатизации |
Утверждается руководителем ЦИО и ГО Московской области |
||
|
Правила и процедуры реагирования на инциденты, которые могут привести к сбоям или нарушению функционирования системы защиты информации и (или) к возникновению угроз безопасности информации, и реагирования на них |
Утверждается руководителем ЦИО и ГО Московской области |
||
|
Правила и процедуры управления конфигурацией аттестованного объекта (системы) информатизации и системы защиты информации объекта (системы) информатизации |
Утверждается руководителем ЦИО и ГО Московской области |
||
|
Правила и процедуры контроля (мониторинга) за обеспечением уровня защищенности информации, содержащейся в объекте (системе) информатизации |
Утверждается руководителем ЦИО и ГО Московской области |
||
|
Правила и процедуры защиты информации при выводе из эксплуатации объекта (системы) информатизации или после принятия решения об окончании обработки информации |
Утверждается руководителем ЦИО и ГО Московской области |
||
|
Приказ о создании комиссии по проведению предварительных испытаний, опытной эксплуатации и приемочных испытаний в объекте (системе) информатизации |
Утверждается руководителем ЦИО и ГО Московской области |
||
|
3.3. |
Предварительные испытания систем защиты информации объектов и систем информатизации |
Программа и методика предварительных испытаний системы защиты информации объекта (системы) информатизации |
Утверждается должностным лицом юридического лица, оказывающего услуги на данном этапе. Утверждается руководителем ЦИО и ГО Московской области |
|
Протокол предварительных испытаний системы защиты информации объекта (системы) информатизации |
Утверждается руководителем ЦИО и ГО Московской области |
||
|
3.5. |
Анализ уязвимостей объектов и систем информатизации и принятие мер защиты информации по их устранению |
Отчет по результатам анализа уязвимостей в объекте (системе) информатизации |
Утверждается должностным лицом юридического лица, оказывающего услуги на данном этапе |
|
3.6. |
Приемочные испытания систем защиты информации объектов и систем информатизации |
Программа и методика приемочных испытаний системы защиты информации объекта (системы) информатизации |
Утверждается должностным лицом юридического лица, оказывающего услуги на данном этапе. Утверждается руководителем ЦИО и ГО Московской области |
|
Протокол приемочных испытаний системы защиты информации объекта (системы) информатизации |
Утверждается руководителем ЦИО и ГО Московской области |
||
|
4. |
Аттестация объектов и систем информатизации и ввод их в действие |
||
|
4.1. |
Аттестационные испытания объектов и систем информатизации |
Программа и методика аттестационных испытаний объекта (системы) информатизации |
Утверждается должностным лицом юридического лица, оказывающего услуги на данном этапе. Согласуется с руководителем ЦИО и ГО Московской области |
|
Протокол по результатам аттестационных испытаний объекта (системы) информатизации |
Утверждается должностным лицом юридического лица, оказывающего услуги на данном этапе |
||
|
Заключение по результатам аттестационных испытаний объекта (системы) информатизации |
Утверждается должностным лицом юридического лица, оказывающего услуги на данном этапе |
||
|
Аттестат соответствия требованиям безопасности информации объекта (системы) информатизации |
Утверждается должностным лицом юридического лица, оказывающего услуги на данном этапе |
||
|
5. |
Обеспечение защиты информации в ходе эксплуатации аттестованных объектов и систем информатизации |
||
|
5.1. |
Планирование мероприятий по защите информации в объектах и системах информатизации |
Приказ об обеспечении защиты информации в ходе эксплуатации аттестованного объекта (системы) информатизации |
Утверждается руководителем ЦИО и ГО Московской области |
|
План мероприятий по защите информации в объекте (системе) информатизации |
Утверждается руководителем ЦИО и ГО Московской области |
||
|
5.2. |
Анализ угроз безопасности информации в объектах и системах информатизации |
Правила и процедуры анализа угроз безопасности информации в объекте (системе) информатизации в ходе его эксплуатации |
Утверждается руководителем ЦИО и ГО Московской области |
|
5.3. |
Управление (администрирование) системой защиты информации объектов и систем информатизации |
Правила и процедуры управления (администрирования) системой защиты информации объекта (системы) информатизации |
Утверждается руководителем ЦИО и ГО Московской области |
|
5.4. |
Управление конфигурацией объектов и систем информатизации и их системой защиты информации |
Правила и процедуры управления конфигурацией объекта (системы) информатизации и его системой защиты информации |
Утверждается руководителем ЦИО и ГО Московской области |
|
5.5. |
Реагирование на инциденты |
Правила и процедуры реагирования на инциденты в объекте (системе) информатизации |
Утверждается руководителем ЦИО и ГО Московской области |
|
5.6. |
Информирование и обучение персонала объектов и систем информатизации |
Правила и процедуры информирования и обучения персонала объекта (системы) информатизации |
Утверждается руководителем ЦИО и ГО Московской области |
|
5.7. |
Контроль за обеспечением уровня защищенности информации, содержащейся в объектах и системах информатизации |
Правила и процедуры контроля за обеспечением уровня защищенности информации, содержащейся в объекте (системе) информатизации |
Утверждается руководителем ЦИО и ГО Московской области |
|
6. |
Обеспечение защиты информации при выводе из эксплуатации аттестованных объектов и систем информатизации или после принятия решения об окончании обработки информации |
||
|
6.1. |
Архивирование информации, содержащейся в объектах и системах информатизации |
Акт о проведении архивирования информации, содержащейся в объекте (системе) информатизации |
Утверждается руководителем ЦИО и ГО Московской области |
|
6.2. |
Уничтожение (стирание) данных и остаточной информации с машинных носителей информации и (или) уничтожение машинных носителей информации |
Акт об уничтожении (стирании) данных и остаточной информации с учтенных установленным порядком машинных носителей в объекте (системе) информатизации |
Утверждается руководителем ЦИО и ГО Московской области |
|
Акт об уничтожении учтенных установленным порядком машинных носителей информации объекта (системы) информатизации |
Утверждается руководителем ЦИО и ГО Московской области |
||
|
Приказ об окончании обработки информации и выводе из эксплуатации аттестованного объекта (системы) информатизации |
Утверждается руководителем ЦИО и ГО Московской области |
||
14. Требования по обеспечению информационной безопасности при взаимодействии с иными юридическими и физическими лицами, внешними объектами и системами информатизации
Требования по обеспечению информационной безопасности при взаимодействии с внешними юридическими и физическими лицами и внешними объектами и системами информатизации должны соблюдаться в следующих случаях:
- оказание внешними организациями услуг по поставке, установке, настройке и подключению технических средств и программного обеспечения из состава объектов и систем информатизации ЦИО и ГО Московской области, в том числе средств защиты информации;
- оказание услуг по обслуживанию и ремонту технических средств и программного обеспечения, из состава объектов и систем информатизации ЦИО и ГО Московской области, в том числе средств защиты информации, как на территории ЦИО и ГО Московской области, так и за ее пределами (в случае передачи технических средств для обслуживания и ремонта в стороннюю организацию);
- оказание услуг по настройке, модернизации, обновлению программного обеспечения объектов и систем информатизации ЦИО и ГО Московской области, в том числе средств защиты информации, как на территории ЦИО и ГО Московской области и за ее пределами и удаленно;
- предоставление доступа физическим лицам (не являющимся пользователями объектов и систем информатизации ЦИО и ГО Московской области) и организациям к информации, содержащейся на объектах и системах информатизации ЦИО и ГО Московской области;
- взаимодействие с ГосСОПКА (для объектов КИИ);
- организация взаимодействия объектов и систем информатизации ЦИО и ГО Московской области с внешними объектами и системами информатизации, оператором которых не является ЦИО и ГО Московской области;
- использование ЦИО и ГО Московской области для своих целей и задач внешних сервисов и услуг, предоставляемых физическими лицами и организациями;
- эксплуатация объектов и систем информатизации ЦИО и ГО Московской области на базе центров обработки данных, оператором которых не является ЦИО и ГО Московской области;
- предоставление доступа к техническим средствам и программному обеспечению из состава объектов и систем информатизации ЦИО и ГО Московской области, а также к документации объектов и систем информатизации представителям организаций, в рамках осуществления ими контроля (проверочных и иных мероприятий) за соблюдением требований законодательства Российской Федерации, в том числе в области защиты информации.
В отношении внешних сторон, привлекаемых для предоставления сервисов или оказания услуг, в рамках которых они будут наделены доступом к объектам и системам информатизации ЦИО и ГО Московской области, а также к обрабатываемой в них информации, возникают дополнительные риски информационной безопасности, связанные с нарушением безопасности информации или работоспособности объектов и систем информатизации ЦИО и ГО Московской области. В связи с этим, при взаимодействии с внешними сторонами должны применяться меры защиты информации.
В случаях описанных выше, при организации взаимодействия с физическими лицами или организациями должны быть заключены соглашения о неразглашении конфиденциальной информации до момента предоставления им доступа к объектам или системам информатизации ЦИО и ГО Московской области, конфиденциальной информации и/или к ресурсам общей инфраструктуры заказчика.
При принятии решения о привлечении организаций и физических лиц в случаях описанных выше необходимо проводить формализованную оценку связанных с этими физическими лицами и организациями рисков информационной безопасности в целях упреждения влияния взаимодействия с ними на безопасность информации или работоспособность объектов и систем информатизации ЦИО и ГО Московской области.
Перед использованием внешних сервисов и услуг физических лиц и организаций, а также перед предоставлением организациями и физическим лицам (не являющимся сотрудниками ЦИО и ГО Московской области) доступа к объектам и системам информатизации ЦИО и ГО Московской области, а также к обрабатываемой в них информации, необходимо определить и выполнить применимые к ним и к такому взаимодействию требования информационной безопасности.
При взаимодействии с физическими лицами и организациями требования по обеспечению информационной безопасности должны регламентироваться положениями, включаемыми в договоры (соглашения) с данными лицами и организациями.
В рамках взаимодействия объектов и систем информатизации ЦИО и ГО Московской области с внешними объектами и системами информатизации, оператором которых не является ЦИО и ГО Московской области, должны быть реализованы следующие механизмы:
- предоставление доступа к объектам и системам информатизации ЦИО и ГО Московской области и ее информационным ресурсам только авторизованным (уполномоченным) пользователям;
- определение типов прикладного программного обеспечения объектов и систем информатизации ЦИО и ГО Московской области, к которым разрешен доступ авторизованным (уполномоченным) пользователям из внешних объектов и систем информатизации;
- определение системных учетных записей, используемых в рамках данного взаимодействия;
- определение порядка предоставления доступа к объектам и системам информатизации ЦИО и ГО Московской области неавторизованным (уполномоченным) пользователям из внешних объектов и систем информатизации;
- определение перечня событий и регистрация событий при взаимодействии;
- определение порядка обработки, хранения и передачи информации с использованием внешних объектов и систем информатизации.
Управление взаимодействием с внешними объектами и системами информатизации должно осуществляться в соответствии с требованиями нормативных правовых актов и методических документов в области защиты информации.
Правила и процедуры управления взаимодействием с внешними объектами и системами информатизации регламентируются в организационно-распорядительных документах ЦИО и ГО Московской области.
15. Распределение ответственности и порядок взаимодействия
Ответственность за обеспечение информационной безопасности на объектах и системах информатизации ЦИО и ГО Московской области распределяется следующим образом:
- руководитель ЦИО и ГО Московской области несет ответственность в части общей организации и управления сотрудниками ЦИО и ГО Московской области, занимающимися вопросами обеспечения информационной безопасности на объектах и системах информатизации ЦИО и ГО Московской области, а также за своевременное утверждение документов по защите информации объектов и систем информатизации ЦИО и ГО Московской области;
- заместитель руководителя ЦИО и ГО Московской области по вопросам информационной безопасности несет ответственность в части общей организации и управления сотрудниками ЦИО и ГО Московской области, занимающимися вопросами обеспечения информационной безопасности на объектах и системах информатизации ЦИО и ГО Московской области, а также за своевременное предоставление для утверждения Руководителем ЦИО и ГО Московской области документов по защите информации объектов и систем информатизации ЦИО и ГО Московской области. Помимо этого, несет ответственность за обеспечение информационной безопасности ЦИО и ГО Московской области, в том числе по обнаружению, предупреждению и ликвидации последствий компьютерных атак и реагированию на компьютерные инциденты;
- должностное лицо несет ответственность за непосредственное управление вопросами обеспечения безопасности информации и организацию работы по вопросам обеспечения безопасности информации на объектах и системах информатизации ЦИО и ГО Московской области, а также своевременную подготовку документов по защите информации объектов и систем информатизации ЦИО и ГО Московской области и постоянный уровень защиты информации на объектах и системах информатизации ЦИО и ГО Московской области. Помимо этого, несет ответственность за обеспечение информационной безопасности ЦИО и ГО Московской области, в том числе по обнаружению, предупреждению и ликвидации последствий компьютерных атак и реагированию на компьютерные инциденты;
- администратор безопасности информации объекта или системы информатизации ЦИО и ГО Московской области несет ответственность за непосредственное управление вопросами обеспечения безопасности информации и организацию работы по вопросам обеспечения безопасности информации на объекте или системе информатизации ЦИО и ГО Московской области, администратором безопасности информации которых он является, а также своевременную подготовку документов по защите информации на данном объекте или системе информатизации ЦИО и ГО Московской области и за постоянный уровень защиты информации на данном объекте или системе информатизации ЦИО и ГО Московской области;
- привилегированный пользователь объекта или системы информатизации ЦИО и ГО Московской области несет ответственность за соблюдение определенных требований по обеспечению безопасности информации на объекте или системе информатизации ЦИО и ГО Московской области, привилегированным пользователем которых он является;
- пользователь объекта или системы информатизации ЦИО и ГО Московской области несет ответственность за соблюдение определенных требований по обеспечению безопасности информации на объекте или системе информатизации ЦИО и ГО Московской области, пользователем которых он является;
- иные сотрудники ЦИО и ГО Московской области, не являющиеся пользователями объекта или системы информатизации ЦИО и ГО Московской области, несут ответственность за предоставление информации в структурные подразделения по защите информации ЦИО и ГО Московской области по вопросам безопасности информации объектов и систем информатизации ЦИО и ГО Московской области, которая стала им известна, а также за свои действия, которые могли привести или привели к нарушению безопасности информации и/или доступности объекта или системы информатизации ЦИО и ГО Московской области.
16. Правовая ответственность за нарушение требований по защите информации
Правовая ответственность за нарушение требований по защите информации ЦИО и ГО Московской области регулируется соответствующими законодательными и правовыми актами Российской Федерации, а также внутренними организационно-распорядительными документами.
В соответствии с законодательством Российской Федерации, нарушение требований обеспечения информационной безопасности влечет за собой дисциплинарную, гражданско-правовую, административную или уголовную ответственность как отдельных физических лиц, так и организаций (разработчиков/пользователей и так далее), привлекаемых для оказания услуг, выполнения работ и осуществления поставки (юридических лиц).
16.1. Виды ответственности
На основании Трудового кодекса Российской Федерации работники, нарушающие требований обеспечения информационной безопасности ЦИО и ГО Московской области, могут быть подвергнуты дисциплинарным взысканиям, включая замечание, выговор и увольнение с работы.
На основании Кодекса Российской Федерации об административных правонарушениях, за совершение административных правонарушений обеспечения информационной безопасности в ЦИО и ГО Московской области установлены и применяются следующие виды административных наказаний: предупреждение, административный штраф, приостановление деятельности на определенный срок, конфискация орудия совершения или предмета административного правонарушения, административный арест, административное выдворение за пределы Российской Федерации иностранного гражданина или лица без гражданства, дисквалификация.
Уголовная ответственность за совершение правонарушений обеспечения информационной безопасности ЦИО и ГО Московской области может наступить в случаях, предусмотренных Уголовным кодексом Российской Федерации.
16.2. Внутреннее правовое обеспечение информационной безопасности
Внутреннее правовое обеспечение информационной безопасности ЦИО и ГО Московской области регламентироваться внутренними организационно-распорядительными документами, трудовыми договорами и должностными инструкциями.
Целью всех предпринимаемых мероприятий в области правового обеспечения информационной безопасности является защита интересов ЦИО и ГО Московской области, связанных с информационными ресурсами, а также выполнение требований законодательства Российской Федерации в сфере защиты информации.
16.3. Меры по пресечению нарушений требований по обеспечению информационной безопасности
Мерами по пресечению нарушений требований по обеспечению информационной безопасности являются:
- периодический контроль уровня защиты информации объектов и систем информатизации ЦИО и ГО Московской области;
- повышение уровня осведомленности сотрудников ЦИО и ГО Московской области по вопросам обеспечения информационной безопасности;
- определение целей, задач и требований обеспечения информационной безопасности, а также ответственности за невыполнения таких требований в трудовых договорах и должностных инструкциях сотрудников ЦИО и ГО Московской области;
- обучение сотрудников ЦИО и ГО Московской области по вопросам обеспечения информационной безопасности.
16.3.1. Периодический контроль уровня защиты информации объектов и систем информатизации ЦИО и ГО Московской области
Периодический контроль уровня защиты информации проводится и/или организуется Должностными лицами и может быть:
- плановым;
- внеплановым;
- по фактам нарушения информационной безопасности (по фактам выявления инцидентов информационной безопасности).
Проведение планового контроля в соответствии с годовым планом проверок, который должен разрабатываться на очередной год в декабре текущего года и утверждаться Руководителем ЦИО и ГО Московской области.
Внезапный контроль проводится сотрудниками Должностными лицами в соответствии с внутренними планами работы. Внезапный контроль проводится по отдельным вопросам обеспечения информационной безопасности.
Контроль по фактам нарушения информационной безопасности (по фактам выявления инцидентов информационной безопасности) проводится Должностными лицами после того, как нарушение устранено. Проверка проводится с целью выявления причин и предпосылок нарушения и выработки мер по предупреждению подобных нарушений в дальнейшем. Проверка проводится в обязательном порядке по каждому факту нарушения независимо от его последствий. Ответственным за организацию такого контроля является администратор безопасности информации объекта или системы информатизации ЦИО и ГО Московской области, на которых был выявлен такой факт нарушения информационной безопасности (инцидент информационной безопасности).
Расследование причин нарушения производится администратором безопасности информации объекта или системы информатизации ЦИО и ГО Московской области, при этом все связанные с нарушением сотрудники ЦИО и ГО Московской области должны оказывать содействие расследованию. Целью расследования является выявление истинных причин нарушения и предпосылок к нему для принятия мер к недопущению его повторения. Расследование проводится сразу после восстановления работоспособности объектов и систем информатизации, в обязательном порядке, независимо от последствий, которые повлекло нарушение.
16.3.2. Повышение уровня осведомленности сотрудников ЦИО и ГО Московской области
Повышение уровня осведомленности сотрудников ЦИО и ГО Московской области по вопросам обеспечения информационной безопасности - это целенаправленный, организованный, планомерно и систематически осуществляемый процесс повышения уровня знаний работников и формирования необходимых навыков в области обеспечения информационной безопасности.
Повышение осведомленности сотрудников ЦИО и ГО Московской области должно быть документально оформлено и утверждено руководителем ЦИО и ГО Московской области. Включает в себя разработку и реализацию планов, программ повышения уровня осведомленности по вопросам обеспечения информационной безопасности и контроля результатов выполнения указанных планов. Важным аспектом работы по повышению осведомленности персонала по вопросам обеспечения информационной безопасности является непрерывность процесса, информирование всех работников о произошедших изменениях в политиках безопасности и процедурах обеспечения информационной безопасности в ЦИО и ГО Московской области.
Конечной целью повышения уровня осведомленности сотрудников ЦИО и ГО Московской области является снижение ущерба и потерь (материальных, моральных, репутационных) от угроз, связанных с человеческим фактором при работе с информационными ресурсами ЦИО и ГО Московской области.
Управление и организация мероприятий по повышению уровня осведомленности сотрудников ЦИО и ГО Московской области по вопросам обеспечения информационной безопасности находится в сфере обязанностей Должностных лиц.
16.3.3. Определение целей, задач и требований обеспечения информационной безопасности, а также ответственности за невыполнения таких требований
Важным условием соблюдения требований по обеспечению информационной безопасности является наличие в ЦИО и ГО Московской области правил внутреннего трудового распорядка, определяющихся трудовыми договорами и должностными инструкциями.
В трудовых договорах и должностных инструкциях сотрудников ЦИО и ГО Московской области должны быть ясно определены цели, задачи и требования по обеспечению информационной безопасности, а также должна быть установлена ответственность за невыполнение данных требований.
17. Обучение сотрудников ЦИО и ГО Московской области по вопросам обеспечения информационной безопасности
Целью обучения сотрудников ЦИО и ГО Московской области по вопросам обеспечения информационной безопасности является формирование и поддержание необходимого уровня квалификации сотрудников, с учетом требований нормативных правовых актов Российской Федерации в сфере информационной безопасности и обеспечения высокого уровня защиты информации на объектах и системах информатизации ЦИО и ГО Московской области.
17.1. Обучение персонала в ходе эксплуатации аттестованных объектов и систем информатизации ЦИО и ГО Московской области, а также перед проведением аттестационных испытаний данных объектов и систем
В ходе эксплуатации аттестованных объектов и систем информатизации ЦИО и ГО Московской области, а также перед проведением аттестационных испытаний данных объектов в ЦИО и ГО Московской области осуществляется обучение сотрудников ЦИО и ГО Московской области, являющихся пользователями (в том числе привилегированными пользователями) объектов и систем информатизации ЦИО и ГО Московской области.
В ходе обучения осуществляются:
- информирование сотрудников ЦИО и ГО Московской области, являющихся пользователями (в том числе привилегированными пользователями) объектов и систем информатизации, о появлении актуальных угроз безопасности информации, о правилах безопасной эксплуатации объектов и систем информатизации;
- доведение до сотрудников ЦИО и ГО Московской области, являющихся пользователями (в том числе привилегированными пользователями) объектов и систем информатизации, требований по защите информации, а также положений организационно-распорядительных документов по защите информации с учетом внесенных в них изменений;
- обучение сотрудников ЦИО и ГО Московской области, являющихся пользователями (в том числе привилегированными пользователями) объектов и систем информатизации, правилам эксплуатации отдельных средств защиты информации;
- проведение практических занятий и тренировок с сотрудниками ЦИО и ГО Московской области, являющимися пользователями (в том числе привилегированными пользователями) объектов и систем информатизации, по блокированию угроз безопасности информации и реагированию на инциденты;
- контроль осведомленности сотрудников ЦИО и ГО Московской области, являющихся пользователями (в том числе привилегированными пользователями) объектов и систем информатизации, об угрозах безопасности информации и уровня знаний сотрудников по вопросам обеспечения защиты информации.
Периодичность проведения практических занятий и тренировок с сотрудниками ЦИО и ГО Московской области, являющимися пользователями (в том числе привилегированными пользователями) объектов и систем информатизации, мероприятий по обучению персонала и контролю осведомленности персонала устанавливается в организационно-распорядительных документах по защите информации с учетом типов и особенностей функционирования объектов и систем информатизации, но не реже 1 раза в два года.
17.1.1. Виды обучения и проверки знаний
Виды обучения и проверки знаний по формам планирования, организации обучение и проверки знаний могут подразделяться на плановые и внеплановые:
- плановые - проводятся по программам обучения:
- вводный инструктаж - проводится при поступлении руководителя или сотрудника в ЦИО и ГО Московской области;
- первичный инструктаж на рабочем месте - проводится при выполнении работ, к которым предъявляются дополнительные (повышенные) требования по информационной безопасности;
- первичная проверка знаний - проводится после назначения на должность, в установленные ЦИО и ГО Московской области сроки;
- повторное обучение - проводится для руководителей подразделений и сотрудников, выполняющих работы, к которым предъявляются дополнительные (повышенные) требования по информационной безопасности, проводится в установленные ЦИО и ГО Московской области сроки;
- внеплановые - проводятся по производственной необходимости, а также по заявкам руководителей структурных подразделений ЦИО и ГО Московской области;
- внеочередное обучение - проводится при изменении требований по информационной безопасности, изменениях в технологических процессах ЦИО и ГО Московской области или при нарушениях информационной безопасности;
- внеплановая проверка знаний - проводится при изменении требований по информационной безопасности, изменениях в технологических процессах ЦИО и ГО Московской области или при нарушениях информационной безопасности, проводится не реже одного раза в три года;
- целевое обучение - проводится при выполнении разовых работ, не связанных с прямыми обязанностями сотрудников;
- специальное обучение - проводится при выполнении работ, к которым предъявляются дополнительные (повышенные) требования по информационной безопасности.
Виды обучения и проверки знаний по формам проведения обучение и проверки знаний подразделяется на индивидуальные и корпоративные (групповые), внутренние и внешние:
- индивидуальное обучение - проводиться с руководителем или сотрудником персонально;
- корпоративное (групповое) - организация групп или обучение одновременно нескольких сотрудников одного подразделения;
- внутреннее - проводится за счет внутренних ресурсов ЦИО и ГО Московской области;
- внешнее - проводится с привлечением внешних обучающих организаций.
17.1.2. Организация обучения и проверка знаний
Ответственность за организацию своевременного и качественного обучения и проверки знаний по вопросам обеспечения информационной безопасности в целом в ЦИО и ГО Московской области возлагается на руководителя ЦИО и ГО Московской области, а в структурных подразделениях ЦИО и ГО Московской области - на руководителя структурного подразделения.
Обучение и инструктаж по информационной безопасности должны проводиться в рабочее время.
Для проведения проверки знаний по вопросам обеспечения информационной безопасности приказом руководителя ЦИО и ГО Московской области должны создаваться комиссии по проверке знаний.
Обучение и проверка знаний должны фиксироваться в журнале проведения обучения и проверки знаний по вопросам обеспечения информационной безопасности в ЦИО и ГО Московской области.
17.2. Повышение квалификации руководителей и сотрудников занимаемых должности в сфере информационной безопасности
Повышение квалификации по направлению "Информационная безопасность" является обязательным для сотрудников ЦИО и ГО Московской области, отвечающих за обеспечение информационной безопасности объектов и систем информатизации ЦИО и ГО Московской области. Периодичность прохождения такого повышения квалификации - не реже одного раза в пять лет, если иное не предусмотрено требованиями законодательства Российской Федерации, нормативных правовых актов и методических документов в области защиты информации.
17.3. Назначение на должности руководителей и сотрудников в сфере информационной безопасности
Назначение на должности сотрудников ЦИО и ГО Московской области, отвечающих за обеспечение информационной безопасности объектов и систем информатизации ЦИО и ГО Московской области, должно осуществляться в соответствии с нормативно-правовыми актами Российской Федерации учитывая требования к квалификации со стороны регуляторов в области информационной безопасности.
Вы можете открыть актуальную версию документа прямо сейчас.
Если вы являетесь пользователем интернет-версии системы ГАРАНТ, вы можете открыть этот документ прямо сейчас или запросить по Горячей линии в системе.
Распоряжение Министерства государственного управления, информационных технологий и связи Московской области от 10 октября 2023 г. N 11-154/РВ-08 "Об утверждении Политики информационной безопасности центральных исполнительных органов и государственных органов Московской области"
Опубликование:
сайт Министерства государственного управления, информационных технологий и связи Московской области (mits.mosreg.ru) 22 февраля 2024 г.