Приказ Министерства промышленности и торговли РФ от 23.01.2015 N 86 "Об утверждении Концепции обеспечения информационной безопасности Министерства промышленности и торговли Российской Федерации" (с изменениями и дополнениями) (документ утратил силу)

Приказ Министерства промышленности и торговли РФ от 23 января 2015 г. N 86
"Об утверждении Концепции обеспечения информационной безопасности Министерства промышленности и торговли Российской Федерации"

С изменениями и дополнениями от:

13 июня 2017 г.

В целях совершенствования системы обеспечения информационной безопасности Министерства промышленности и торговли Российской Федерации приказываю:

1. Утвердить прилагаемую Концепцию обеспечения информационной безопасности Министерства промышленности и торговли Российской Федерации (далее - Концепция).

2. Руководителям структурных подразделений Минпромторга России обеспечить:

а) доведение настоящего приказа до сведения подчиненных должностных лиц под подпись;

б) контроль за ознакомлением с настоящей Концепцией вновь принятых на работу должностных лиц;

в) ежегодное планирование и выполнение мероприятий по реализации Концепции в пределах своей компетенции и полномочий.

3. Департаменту информационных технологий и общественных связей ежегодно до 30 ноября представлять на утверждение план практических мероприятий по обеспечению информационной безопасности Минпромторга России на год.

Информация об изменениях:

Пункт 4 изменен. - Приказ Минпромторга России от 13 июня 2017 г. N 1826

См. предыдущую редакцию

4. Административному департаменту при формировании предложений к проекту федерального бюджета на соответствующий год и на плановый период предусматривать средства федерального бюджета на финансирование мероприятий по обеспечению информационной безопасности Минпромторга России.

5. Контроль за исполнением настоящего приказа возложить на первого заместителя Министра Г.С. Никитина.

Врио Министра

Г.С. Никитин

УТВЕРЖДЕНА
приказом Минпромторга России
от 23 января 2015 г. N 86

Концепция обеспечения информационной безопасности Министерства промышленности и торговли Российской Федерации

ГАРАНТ:

См. Положение о Подсистеме ведомственной электронной почты доменной структуры единой службы каталогов информационно-коммуникационной системы Минпромторга России, утвержденное приказом Минпромторга России от 15 июня 2015 г. N 1537

См. Положение о доменной структуре единой службы каталогов информационно-коммуникационной системы Минпромторга России, утвержденное приказом Минпромторга России от 11 июня 2015 г. N 1502

1. Общие положения

1.1. Назначение концепции

Настоящий документ определяет Концепцию обеспечения информационной безопасности Министерства промышленности и торговли Российской Федерации (далее - Концепция) на период до 2020 года.

Концепция является внутренним нормативным документом, определяющим общие принципы обеспечения безопасности информации, и представляет собой совокупность официальных взглядов на цели, задачи, принципы и основные направления обеспечения безопасности информации Минпромторга России.

Концепция формирует системный взгляд на подход к решению задач в сфере безопасности информации. Применение научно-методической основы в решении задач позволит осуществлять детальное исследование проблемы безопасности, осуществлять разработку, модернизацию и внедрение компонентов системы защиты информации и системы обеспечения информационной безопасности для объекта информатизации с единой позиции, учитывающей все факторы, оказывающие влияние на защиту информации.

Концепция разработана на основе анализа требований действующего законодательства Российской Федерации и нормативных документов, регламентирующих вопросы защиты информации, с учетом современного состояния и стратегии развития информационных технологий, целей, задач и правовых основ создания и эксплуатации информационной системы (далее ИС), режимов функционирования, а также на основе анализа угроз безопасности информации.

Концепция является основой для:

- формирования и проведения единой политики в области обеспечения информационной безопасности в Минпромторге России;

- разработки комплекса согласованных практических мер нормативно-правового, морально-этического, организационного, физического и технического характера, направленных на выявление, отражение и ликвидацию последствий реализации различных видов угроз безопасности информации;

- разработки единой системы нормативной документации по обеспечению информационной безопасности Минпромторга России;

- координации деятельности структурных подразделений Минпромторга России при проведении работ по созданию, развитию и эксплуатации информационно-коммуникационной системы с соблюдением требований обеспечения безопасности информации;

- проведения практических мероприятий по созданию и эксплуатации системы обеспечения информационной безопасности в Минпромторге России;

- разработки предложений по совершенствованию правового, нормативного, методического, технического и организационного обеспечения информационной безопасности Минпромторга России.

1.2. Правовые основы обеспечения безопасности информации

Правовую основу Концепции составляют Конституция Российской Федерации, Стратегия национальной безопасности Российской Федерации до 2020 года (утверждена Президентом Российской Федерации от 12 мая 2009 г. N Пр-537), Доктрина информационной безопасности Российской Федерации (утверждена Президентом Российской Федерации от 9 сентября 2000 г. N Пр-1895), федеральные законы Российской Федерации, указы и распоряжения Президента Российской Федерации, постановления и распоряжения Правительства Российской Федерации, нормативные правовые акты (приказы, распоряжения) федеральных органов исполнительной власти, уполномоченных в области обеспечения безопасности и технической защиты информации, а также международные договоры Российской Федерации.

2. Сфера действия и область распространения Концепции

Настоящая Концепция распространяется на все структурные подразделения Минпромторга России, всех работников Минпромторга России, а также на сотрудников сторонних организаций, имеющих доступ к информационным ресурсам Минпромторга России, при условии наличия соответствующего соглашения между сотрудниками сторонних организаций и Минпромторгом России.

Областью распространения Концепции являются информационные ресурсы Минпромторга России.

3. Основные цели и задачи обеспечения безопасности информации

Основной целью обеспечения безопасности информации является минимизация ущерба субъектам информационных отношений* (как непосредственного, так и опосредованного), возникающего вследствие возможной реализации угроз безопасности информации, а также соблюдение национальных и экономических интересов Российской Федерации в сфере обеспечения безопасности информации.

В настоящей Концепции в качестве субъектов информационных отношений рассматриваются Минпромторг России и субъекты персональных данных.

Для Минпромторга России непосредственный ущерб может быть связан с негативными последствиями в социальной, политической, международной, экономической, финансовой или иных областях деятельности Минпромторга России.

Для субъектов персональных данных непосредственный ущерб может быть связан с причинением физического, материального, финансового или морального вреда и может проявляться в виде:

- нанесения вреда здоровью субъекта;

- незапланированных и (или) непроизводительных финансовых или материальных затрат субъекта;

- потери субъектом свободы действий вследствие шантажа и угроз, осуществляемых с использованием персональных данных;

- нарушения конституционных прав субъекта вследствие вмешательства в его личную жизнь.

Опосредованный ущерб может быть связан с причинением вреда обществу и/или государству вследствие нарушения нормальной деятельности Минпромторга России за счет неправомерных действий с информацией (персональными данными).

Основной задачей обеспечения безопасности информации является предотвращение утечки защищаемой информации по техническим каналам, несанкционированный доступ (далее - НСД) к ней, предупреждение преднамеренных программно-технических воздействий с целью ее разрушения (уничтожения) или искажения в процессе обработки, передачи и хранения.

4. Объекты защиты

К основным объектам защиты информации в Минпромторге России относятся:

1) информация:

- речевая;

- представленная на бумажном, магнитном, магнито-оптическом либо ином типе носителя информации в виде информативных электрических сигналов, физических полей;

2) информационные ресурсы:

- открытые и общедоступные, публикуемые в информационной сети общего пользования (открытой сети Интернет);

- содержащие сведения, отнесенные к конфиденциальной информации, в том числе персональные данные;

3) средства и системы информатизации:

- средства вычислительной техники;

- информационно-вычислительные комплексы;

- локальные вычислительные сети и системы;

- автоматизированные системы управления;

4) программные средства:

- операционные системы;

- системы управления базами данных;

- общесистемное и прикладное программное обеспечение;

5) системы связи и передачи данных (в том числе телефония, устройства звукозаписи, звукоусиления и звуковоспроизведения, переговорные и телевизионные устройства, средства изготовления, тиражирования документов и другие технические средства), осуществляющие прием, обработку, хранение и передачу информации;

6) технические средства и системы, размещенные в помещениях, предназначенных для обработки информации ограниченного доступа (далее - ИОД), а также помещения, предназначенные для обработки ИОД;

7) помещения, предназначенные для ведения закрытых переговоров, а также переговоров, в ходе которых оглашаются сведения ограниченного распространения;

8) информация о методах и средствах обеспечения безопасности информации (например, парольная и аутентифицирующая информация, ключевая информация).

Политика информационной безопасности Минпромторга России должна определять категории обрабатываемой информации, подлежащие защите.

Объекты защиты должны быть описаны в Реестре информационных активов Минпромторга России.

Защищаемые информационные ресурсы должны быть описаны в Перечне сведений конфиденциального характера Минпромторга России.

Отдельное внимание должно уделяться обеспечению безопасности персональных данных, которые могут иметь различные формы представления (бумажная, файлы, записи и поля записей баз данных, электромагнитные волны и поля, излучения и т.д.), каждая из которых является объектом защиты.

Формы представления персональных данных связаны с различными ресурсами ИС персональных данных, которые в свою очередь могут порождать объекты защиты. Используемые в ИС персональных данных средства защиты информации также являются объектами защиты.

5. Общие принципы обеспечения безопасности информации

Обеспечение безопасности информации должно осуществляться в соответствии со следующими основными принципами:

- законность;

- системность;

- комплексность;

- непрерывность;

- своевременность;

- преемственность и непрерывность совершенствования;

- разумная достаточность и адекватность;

- персональная ответственность;

- минимизация полномочий;

- гибкость;

- открытость алгоритмов и механизмов защиты;

- научная обоснованность и техническая реализуемость;

- специализация и профессионализм;

- знание своих партнеров и работников;

- наблюдаемость и оцениваемость;

- обязательность контроля и оценки.

5.1. Законность

Защита информации основывается на положениях и требованиях существующих законов, стандартов и нормативно-методических документов по защите информации и учитывает лучшие мировые практики.

5.2. Системность

Системный подход к построению системы защиты информации предполагает учет всех взаимосвязанных, взаимодействующих и изменяющихся во времени элементов, условий и факторов, существенно значимых для понимания и решения проблемы обеспечения безопасности информации.

5.3. Комплексность

Безопасность информации обеспечивается комплексом программно-технических средств и поддерживающих их организационных мер, реализованных в Организации.

Применение различных средств и технологий защиты информации должно перекрывать все существенные (значимые) каналы реализации угроз безопасности информации и не содержать слабых мест в согласовании применяемых средств и технологий защиты информации.

Должен быть обеспечен комплексный подход к разработке рекомендаций (требований) по защите информации с учетом особенностей обработки информации.

Комплексная система защиты информации (далее КСЗИ) должна строиться с учетом не только всех известных каналов проникновения и НСД к информации, но и с учетом возможности повышения уровня защиты по мере выявления новых источников угроз безопасности информации, развития способов и средств их реализации в ИС.

КСЗИ должна строиться на основе единой технической политики, с использованием функциональных возможностей информационных технологий, реализованных в ИС, и имеющихся систем и средств защиты в соответствии с разработанной моделью угроз безопасности информации.

5.4. Непрерывность

Защита информации должна обеспечиваться на всех технологических этапах обработки информации и во всех режимах функционирования, в том числе при проведении ремонтных и регламентных работ.

5.5. Своевременность

Принимаемые меры по обеспечению безопасности информации должны носить упреждающий характер.

Организация принимает необходимые меры по защите информации до начала обработки информации, которые должны обеспечить надлежащий уровень безопасности информации.

КСЗИ разрабатывается одновременно с разработкой и развитием ИС Минпромторга России, что позволяет учитывать требования по безопасности информации при проектировании и модернизации ИС.

5.6. Преемственность и непрерывность совершенствования

Предполагают постоянное совершенствование мер и средств защиты информации на основе результатов анализа функционирования ИС и КСЗИ с учетом выявления новых способов и средств реализации угроз безопасности информации, отечественного и зарубежного положительного опыта в сфере защиты информации.

Минпромторг России должен определять действия, необходимые для устранения причин потенциальных несоответствий требованиям по безопасности информации, с целью предотвратить их повторное появление. Предпринимаемые предупреждающие действия должны соответствовать возможным негативным последствиям.

5.7. Разумная достаточность и адекватность

Состояние и стоимость реализации мер защиты информации должны быть соизмеримы с рисками, связанными с обработкой и характером ИОД.

Анализ рисков нарушения безопасности информации проводится в целях определения влияния системы защиты информации на вероятность реализации угроз безопасности информации с учетом уязвимостей (дефектов) ИТ-инфраструктуры Минпромторга России.

Программно-технические средства защиты информации не должны существенно ухудшать основные функциональные характеристики и производительность ИС Минпромторга России.

5.8. Персональная ответственность

Ответственность за обеспечение безопасности информации Минпромторга России возлагается на каждого работника Минпромторга России в пределах его полномочий.

Распределение обязанностей и полномочий работников Минпромторга России должно обеспечивать выявление виновных лиц в случаях нарушения безопасности информации.

Роли и обязанности работников должны быть определены и документально подтверждены в соответствии с организационной политикой в области защиты информации.

5.9. Минимизация полномочий

Предоставление и использование прав доступа к ИОД должно быть ограничено и управляемо.

Пользователям должны предоставляться минимальные права доступа к ИОД и ИС только в соответствии с производственной необходимостью.

Доступ к ИОД должен предоставляться только в том случае и объеме, если это необходимо работнику для выполнения его должностных обязанностей.

Пользователю должны быть запрещены все операции с ИОД, за исключением тех, которые разрешены явно.

5.10. Гибкость

В процессе функционирования ИС могут меняться ее характеристики, а также объем и категория обрабатываемых персональных данных (в случае обработки персональных данных).

Для обеспечения возможности варьирования уровня защищенности персональных данных КСЗИ Минпромторга России должна обладать определенной гибкостью.

5.11. Открытость алгоритмов и механизмов защиты

Защита информации не должна осуществляться только за счет сокрытия структуры, технологий и алгоритмов функционирования КСЗИ.

Знание указанных характеристик КСЗИ не должно давать возможности преодоления защиты возможными нарушителями безопасности информации, включая разработчиков средств защиты.

5.12. Научная обоснованность и техническая реализуемость

Уровень рекомендаций и требований по защите информации должен соответствовать имеющемуся уровню развития информационных технологий и средств защиты информации.

При создании и эксплуатации КСЗИ необходимо ориентироваться на лучшие современные отечественные и зарубежные технические решения, и практику защиты информации.

5.13. Специализация и профессионализм

Реализация мер по обеспечению безопасности ИОД и эксплуатация КСЗИ должна осуществляться профессионально подготовленными специалистами Минпромторга России или сторонними организациями.

Выбор сторонних организаций, сотрудники которых выполняют администрирование КСЗИ, должен осуществляться исходя из наличия подтвержденного опыта, положительной репутации и соответствующих лицензий на данный вид деятельности у таких организаций. Обязательным условием выбора сторонней организации является заключение с ней договора, неотъемлемой частью которого является соглашение о конфиденциальности информации, полученной ее сотрудниками в ходе выполнения обязательств по договору.

5.14. Знание своих работников и сторонних организаций

Минпромторг России должен обладать информацией о сторонних организациях, позволяющей минимизировать вероятность реализации угроз безопасности информации, источники которых связаны с человеческим фактором.

Минпромторг России должен реализовывать кадровую политику (тщательный подбор персонала и мотивация работников), позволяющую исключить или минимизировать возможность нарушения безопасности информации своими работниками.

5.15. Наблюдаемость и оцениваемость обеспечения безопасности информации

Предлагаемые Минпромторгом России меры по обеспечению безопасности информации должны быть спланированы так, чтобы результат их применения был явно наблюдаем (прозрачен) и мог быть оценен федеральными органами исполнительной власти, осуществляющими функции по контролю и надзору в пределах своих полномочий.

5.16. Обязательность контроля и оценки

Неотъемлемой частью работ по защите информации является оценка эффективности системы защиты информации.

С целью своевременного выявления и пресечения попыток нарушения установленных правил обеспечения безопасности информации Минпромторгом России должны быть определены процедуры для постоянного контроля использования систем обработки и защиты информации, а результаты контроля должны регулярно анализироваться.

6. Общие методы обеспечения безопасности информации

6.1. Классификация методов обеспечения безопасности информации

Методы обеспечения безопасности информации разделяются на:

- административно-правовые;

- организационно-технические;

- экономические.

По времени применения методы обеспечения безопасности информации разделяются на:

- превентивные;

- восстановительные.

6.2. Административно-правовые методы

К административно-правовым методам защиты относятся нормы действующего законодательства и внутренние организационно-распорядительные документы Минпромторга России, регламентирующие правила обращения с информацией ограниченного доступа, закрепляющие права и обязанности участников информационных отношений в процессе обработки и использования информации ограниченного доступа, а также устанавливающие ответственность за нарушение этих правил, препятствуя неправомерному использованию информации ограниченного доступа, и являющиеся сдерживающим фактором для реализации угроз безопасности потенциальными нарушителями.

Основными направлениями защиты информации являются:

- разработка, внесение изменений и дополнений в политику информационной безопасности в части защиты ИОД и поддерживающие ее документы;

- регламентация процессов обработки ИОД;

- определение ответственности за нарушения в области обеспечения безопасности ИОД;

- назначение и подготовка должностных лиц (работников), ответственных за организацию и осуществление практических мероприятий по обеспечению безопасности информации;

- закрепление в должностных инструкциях установленного разграничения полномочий в области обеспечения безопасности информации;

- разработка и принятие документов, устанавливающих ответственность структурных подразделений и сотрудников, а также взаимодействующих юридических лиц за НСД к информации, противоправное копирование, искажение и противозаконное использование, преднамеренное распространение недостоверной информации, противоправное ее раскрытие или использование в преступных и корыстных целях;

- контроль знания и соблюдения пользователями ИС требований организационно-распорядительных документов по вопросам обеспечения безопасности информации;

- проведение постоянного анализа эффективности и достаточности принимаемых мер и применяемых средств защиты информации, разработка и реализация предложений по совершенствованию КСЗИ.

6.2.1. Формирование политик информационной безопасности

Политики информационной безопасности разрабатываются для Минпромторга России и утверждаются руководством Минпромторга России.

Под политиками информационной безопасности понимается совокупность документированных требований, направленных на защиту информационных активов. В политиках информационной безопасности должны быть отражены следующие положения:

- определение понятия информационной безопасности, ее основных составляющих, области действия и значения информационной безопасности как ключевого условия процессов обработки информации;

- основные принципы управления информационной безопасностью;

- ответственность за обеспечение процесса управления информационной безопасностью, в том числе за информирование в случае возникновения инцидентов информационной безопасности;

- ссылки на другие нормативные документы, более детально описывающие требования информационной безопасности (инструкции, регламенты, руководства);

- краткое описание основных требований к информационной безопасности с учетом соответствия законодательству, требований к обучению сотрудников вопросам информационной безопасности.

6.3. Организационно-технические методы

Организационно-технические методы защиты основаны на использовании организационных мер, различных программных, аппаратных и программно-аппаратных средств, входящих в состав КСЗИ и выполняющих функции защиты информации, направленных на решение следующих задач:

- строгий учет всех подлежащих защите ресурсов (ИОД, персональных данных, сервисов, каналов связи, серверов, автоматизированных рабочих мест (далее - АРМ) и т.д.);

- предотвращение НСД к ИОД и/или передачи ее лицам, не имеющим права доступа к такой информации;

- своевременное обнаружение фактов НСД к ИОД;

- недопущение воздействия на технические средства автоматизированной обработки ИОД, в результате которого может быть нарушено их функционирование;

- возможность незамедлительного восстановления ИОД, модифицированной или уничтоженной вследствие НСД к ней;

- постоянный контроль за обеспечением уровня защищенности персональных данных, обрабатываемых в ИС персональных данных.

6.3.1. Анализ рисков

В основе планирования и осуществления мер обеспечения безопасности информации целесообразно использовать подход, основанный на анализе рисков реализации угроз информационной безопасности. Такой подход предусматривает проведение регулярной оценки рисков информационной безопасности и принятие мер по их снижению до приемлемого уровня.

Для создания методической базы проведения анализа рисков разрабатывается методика анализа рисков информационной безопасности, определяющая:

- процедуры идентификации и классификации защищаемых активов Минпромторга России;

- критерии категорирования угроз и уязвимостей;

- правила вычисления значений рисков;

- критерии обработки рисков;

- распределение функций и ответственности работников Минпромторга России по проведению анализа и оценки рисков.

При разработке методики может быть проведен предварительный анализ уже существующих методик анализа рисков (в том числе методик, предусматривающих применение средств автоматизации процесса анализа рисков) с точки зрения возможности и целесообразности их применения в Минпромторге России.

Анализ рисков должен проводиться периодически на основе разработанной методики силами подразделения, ответственного за обеспечение безопасности информации, или с привлечением внешнего исполнителя. Анализ должен также осуществляться при проведении существенных изменений в автоматизированных системах и информационно-телекоммуникационных сетях Минпромторга России.

Работы по проведению анализа и оценки рисков должны, как правило, предусматривать следующие этапы:

- определение активов, рассматриваемых в рамках процесса анализа рисков;

- определение ценности активов;

- определение угроз, направленных на данные активы;

- вычисление рисков на основе полученных оценок угроз и уязвимостей и ценности актива;

- выбор защитных мер, направленных на снижение рисков;

- вычисление планируемых остаточных рисков после применения защитных мер.

6.3.2. Основные этапы работ по обеспечению безопасности информации

Работы по обеспечению безопасности информации подразделяют на следующие этапы:

- определение объектов защиты;

- установление целей обеспечения безопасности объектов защиты;

- определение угроз безопасности объектам защиты и оценка рисков реализации угроз безопасности;

- установление требований к системе защиты информации;

- определение порядка контроля и надзора.

Определение объектов защиты осуществляется с целью выявления информационных активов, которые необходимо защищать в соответствии с требованиями законодательства Российской Федерации или в силу специфики деятельности Минпромторга России, на основе обследования и анализа процессов и информационных систем Минпромторга России.

Установление целей защиты объектов защиты включает установление характеристик безопасности для каждого из определенных объектов защиты.

Определение угроз объектам защиты проводится путем формирования модели угроз и модели нарушителя (п. 8 настоящей Концепции). При этом модель нарушителя формируется как составная часть модели угроз, определяющая возможные специфические угрозы, - атаки.

Установление требований к КСЗИ основано на формировании моделей угроз и нарушителя.

В первую очередь устанавливаются общие требования к организационным мерам.

Далее на основе моделей угроз и нарушителя, сформированных в соответствии с нормативными и методическими документами ФСТЭК России, определяются требования к средствам защиты информации, входящим в зону ответственности ФСТЭК России, а также требования к поддерживающим эти средства организационным мерам.

Процесс формирования требований к КСЗИ заканчивается, если выполнение установленных требований нейтрализует все угрозы, перечисленные в моделях угроз и нарушителя.

Если выполнение установленных требований нейтрализует не все угрозы, перечисленные в моделях угроз и нарушителя, сформированных в соответствии с нормативными и методическими документами ФСТЭК России, на основе моделей угроз и нарушителя, сформированных в соответствии с нормативными документами ФСБ России, определяются требования к средствам защиты информации, входящим в зону ответственности ФСБ России, а также требования к поддерживающим эти средства организационным мерам.

Вопросы контроля и надзора рассмотрены в п. 9 настоящей Концепции.

6.4. Экономические методы

К экономическим методам обеспечения безопасности информации относится следующее:

- разработка Минпромторгом России программ обеспечения безопасности ИОД и определение порядка их финансирования;

- разработка Минпромторгом России мер поощрения и наложения штрафных санкций за соблюдение или несоблюдение установленных правил и процедур обработки ИОД.

6.5. Превентивные методы

Превентивные методы противодействия угрозам безопасности информации осуществляются на основе эффективного применения в процессе эксплуатации ИС комплекса организационных, технических и технологических мероприятий, а также методов и средств обеспечения функциональной устойчивости и безопасности работы ИС.

Организационные мероприятия по обеспечению безопасности информации являются мероприятиями общего характера по организации деятельности персонала, эксплуатирующего ИС, порядку применения информационных технологий в зданиях и сооружениях, систематическому применению мер по недопущению вывода ИС из строя.

Технические мероприятия по обеспечению безопасности информации заключаются в обслуживании, поддержании и управлении требуемым составом технических средств, обеспечивающих обработку информации в защищенном режиме.

Технологические мероприятия по обеспечению безопасности информации направлены на правильную реализацию функций и заданных алгоритмов работы ИС, технологий обработки информации и защиту программ и информации от преднамеренных и непреднамеренных нарушений.

6.6. Восстановительные методы

Планирование восстановительных методов определяется системой документов, устанавливающих требования к обязательным мероприятиям, проводимым заблаговременно и после возникновения нарушений, угрожающих штатному функционированию ИС.

7. Модель угроз и нарушителя безопасности информации

7.1. Модель угроз безопасности информации

В ИС Минпромторга России рассматриваются угрозы, связанные с:

- перехватом (съемом) информации по техническим каналам с целью ее копирования или неправомерного распространения;

- несанкционированным, в том числе случайным, доступом в ИС с целью изменения, копирования, неправомерного распространения ИОД или деструктивных воздействий на элементы ИС и обрабатываемой в них ИОД с использованием программных и программно-аппаратных средств с целью уничтожения или блокирования ИОД.

Конечный перечень угроз безопасности информации определяется частными моделями угроз, разрабатываемыми применительно к конкретным ИС на этапах их создания и/или эксплуатации, и зависит от характеристик ИС, обусловливающих возникновение угроз безопасности информации. К таким характеристикам относятся: категория и объем обрабатываемых в ИС персональных данных (в случае обработки персональных данных), структура ИС, наличие подключений ИС к сетям связи общего пользования и/или сетям международного информационного обмена, характеристики подсистемы безопасности информации, обрабатываемой в ИС, режимы обработки информации, режимы разграничения прав доступа пользователей ИС, местонахождение и условия размещения технических средств ИС.

7.2. Модель нарушителя безопасности информации

Основным источником угроз безопасности информации является нарушитель.

В качестве нарушителя безопасности информации могут выступать физические лица или организации, которые преднамеренно или случайно совершают действия, в результате которых нарушаются заданные характеристики безопасности информации (конфиденциальность, целостность, доступность и т.д.).

Нарушитель может быть, как работником Минпромторга России, так и посторонним лицом, пытающимся непосредственно или с помощью имеющихся у него технических и программных средств получить доступ к информационным ресурсам и инфраструктуре Минпромторга России.

В зависимости от прав доступа к ИС нарушители подразделяются на два типа: внешние и внутренние.

Внешними нарушителями могут являться:

- спецслужбы иностранных государств;

- высококвалифицированные специалисты;

- разработчики программных и программно-аппаратных средств;

- конкурирующие организации и структуры;

- организованные преступные группы, сообщества;

- взломщики программных продуктов информационных технологий, использующихся в ИС;

- бывшие работники Минпромторга России;

- недобросовестные работники Минпромторга России и работники сторонних организаций.

Внутренние (потенциальные) нарушители определяются в зависимости от организационно-штатной структуры Минпромторга России и полномочий доступа к ресурсам ИС.

Основными мотивами нарушения безопасности информации могут быть:

- месть;

- достижение денежной выгоды, в том числе за счет продажи полученной информации;

- хулиганство и любопытство;

- профессиональное самоутверждение.

8. Основные мероприятия по обеспечению безопасности информации

Для разработки и осуществления мероприятий по организации и обеспечению безопасности информации при их обработке в Минпромторге России или уполномоченным им лицом назначается структурное подразделение или должностное лицо (работник), ответственное за обеспечение безопасности информации.

Основными мероприятиями по организации и техническому обеспечению безопасности информации являются:

- мероприятия по организации обеспечения безопасности информации, включая классификацию ИС;

- мероприятия по техническому обеспечению безопасности информации, включающие мероприятия по размещению, специальному оборудованию, охране и организации режима допуска в помещения, где ведется работа с ИОД;

- мероприятия по защите информации от НСД и определению порядка выбора средств защиты информации.

Обеспечение безопасности информации осуществляется путем выполнения комплекса организационных и технических мероприятий, реализуемых в рамках создаваемой КСЗИ. Структура, состав и основные функции КСЗИ определяются с учетом класса ИС (уровня защищенности персональных данных) Минпромторга России.

Перечень реализуемых мероприятий по защите информации определяется на основании анализа актуальности угроз, рисков безопасности информации, в соответствии с нормативными и методическим документами ФСБ России и ФСТЭК России.

Методы и способы защиты информации в ИС устанавливаются ФСБ России и ФСТЭК России в пределах их полномочий.

В соответствии с нормативными документами ФСТЭК России:

- осуществляется обеспечение защиты (некриптографическими методами) информации;

- проводятся мероприятия по предотвращению утечки информации по техническим каналам;

- проводятся мероприятия по предотвращению НСД к информации, специальных воздействий на информацию (носители информации) в целях ее добывания, уничтожения, искажения и блокирования доступа к ней.

В соответствии с нормативными документами ФСБ России:

- устанавливаются особенности разработки, производства, реализации и эксплуатации шифровальных (криптографических) средств защиты информации и предоставления услуг по шифрованию персональных данных при их обработке в ИС;

- проводятся мероприятия по обнаружению компьютерных атак.

Мероприятия по обеспечению безопасности информации включают в себя:

1) идентификацию и аутентификацию:

- физическая защита;

- регистрация и учет;

2) управление доступом;

3) обеспечение целостности;

4) антивирусную защиту;

5) анализ защищенности;

6) обнаружение вторжений;

7) защиту среды виртуализации;

8) защиту технических средств;

9) защиту ИС, ее средств, систем связи и передачи данных:

- обеспечение безопасности удаленного доступа;

- обеспечение безопасного доступа к сетям международного информационного обмена;

- обеспечение безопасности мобильных рабочих мест;

10) управление инцидентами;

11) управление конфигурацией;

12) криптографическую защиту;

13) обеспечения безопасности АРМ пользователя.

8.1. Идентификация и аутентификация

Каждый пользователь для получения соответствующих прав доступа при подключении к ИС должен пройти процедуру идентификации, при этом должны использоваться уникальные признаки и имена. При этом подлинность личности пользователя должна быть проверена. Стандартное средство проверки подлинности (аутентификации) - пароль. Для обеспечения более высокой надежности аутентификации возможно использование таких средств, как токены, смарт-карты и другие носители аутентифицирующей информации.

8.1.1. Физическая защита

Физическая защита зданий, помещений, объектов и средств информатизации должна осуществляться путем установления соответствующих постов охраны, с помощью технических средств охраны или любыми другими способами, предотвращающими или существенно затрудняющими проникновение в здание, помещения посторонних лиц, хищение информационных носителей, самих средств информатизации.

Размещение, специальное оборудование, охрана и организация режима в помещениях должны исключить возможность неконтролируемого проникновения или пребывания в них посторонних лиц, а также просмотра посторонними лицами ведущихся там работ.

8.1.2. Регистрация и учет

В ИС должны вестись контрольные журналы, регистрирующие действия пользователей с ИОД. Должны быть установлены процедуры применения мониторинга действий с ИОД, а результаты действий пользователей должны регулярно просматриваться.

В целях повышения эффективности контроля действий возможных нарушителей настоящая Концепция предлагает использование средств и методов активного мониторинга и аудита, направленных на выявление и регистрацию подозрительных действий в режиме реального времени.

8.2. Управление доступом

Управление доступом к ИОД должно осуществляться на основе принципа минимизации полномочий. Стандартным методом доступа является ролевой доступ, для чего определяются совокупности типов доступа - групповых прав и полномочий доступа пользователей (ролей), предоставляемых пользователям. Количество таких ролей должно быть ограниченным и подразумевать возможность эффективного управления. Назначение прав и полномочий конкретным пользователям осуществляется путем назначения им соответствующих ролей.

8.3. Обеспечение целостности

Должна обеспечиваться целостность программных средств защиты в составе КСЗИ, а также неизменность программной среды. При этом целостность средств защиты проверяется при загрузке системы по наличию имен (идентификаторов) компонентов КСЗИ, целостность программной среды обеспечивается отсутствием в ИС средств разработки и отладки программ.

Обеспечение целостности реализуется преимущественно операционными системами и системами управления базами данных. Средства повышения достоверности и обеспечения целостности передаваемых данных и надежности транзакций, встраиваемые в операционные системы и системы управления базами данных, основаны на расчете контрольных сумм, уведомлении о сбое в передаче пакета сообщения, повторе передачи непринятого пакета.

8.4. Антивирусная защита

Для обеспечения безопасности информации и программно-аппаратной среды ИС, осуществляющей обработку этой информации, необходимо применять специальные средства антивирусной защиты, выполняющие:

- обнаружение и/или блокирование деструктивных вирусных воздействий на общесистемное и прикладное программное обеспечение, реализующее обработку информации, а также на саму информацию;

- обнаружение и удаление неизвестных вирусов;

- обеспечение самоконтроля (предотвращение инфицирования) данного антивирусного средства при его запуске.

8.5. Обеспечение безопасного межсетевого взаимодействия

Для осуществления разграничения доступа к ресурсам ИС при межсетевом взаимодействии должно применяться межсетевое экранирование, которое реализуется программными и программно-аппаратными межсетевыми экранами. Межсетевой экран устанавливается между защищаемой сетью, называемой внутренней, и внешней сетью. Межсетевой экран входит в состав защищаемой сети. Для него путем настроек отдельно задаются правила, ограничивающие доступ из внутренней сети во внешнюю и наоборот.

Межсетевое экранирование должно обеспечивать:

- скрытие внутренней сетевой структуры ИС;

- разрешение только такого входящего и исходящего трафика, который является необходимым для работы ИС;

- блокирование любого входящего и исходящего трафика, не разрешенного явно.

8.6. Анализ защищенности

Анализ защищенности реализуется на основе использования средств тестирования (анализа защищенности) и контроля (аудита) безопасности информации.

Для гарантии того, что средства защиты информации успешно выполняют свои функции, должны быть разработаны процедуры контроля изменений конфигураций средств защиты информации и сетевых устройств. Для выполнения этих процедур в ИКС должна применяться система анализа защищенности, выполняющая следующие функции:

- контроль настроек сетевых устройств, средств защиты информации и программно-технического обеспечения ИС;

- анализ уязвимостей настроек средств защиты информации, сетевых устройств или уязвимостей операционных систем или прикладного программного обеспечения.

8.7. Обнаружение вторжений

Обнаружение вторжений реализуется с использованием в составе КСЗИ программных и/или программно-аппаратных средств (систем) обнаружения вторжений, использующих комбинированные методы обнаружения атак, включающие в себя сигнатурные методы и методы выявления аномалий.

8.8. Защита среды виртуализации

Виртуальная инфраструктура включает среду виртуализации (программное обеспечение, служебные данные компонентов виртуальной инфраструктуры) и аппаратное обеспечение (аппаратные средства, необходимые для функционирования среды виртуализации, в том числе средства резервного копирования и защиты информации).

Меры по защите среды виртуализации должны исключать НСД к ИОД, обрабатываемой в виртуальной инфраструктуре, и к компонентам виртуальной инфраструктуры и/или воздействие на них, в том числе к средствам управления виртуальной инфраструктурой, монитору виртуальных машин (гипервизору), системе хранения данных (включая систему хранения образов виртуальной инфраструктуры), сети передачи данных через элементы виртуальной или физической инфраструктуры, гостевым операционным системам, виртуальным машинам (контейнерам), системе и сети репликации, терминальным и виртуальным устройствам, а также системе резервного копирования и создаваемым ею копиям.

8.9. Защита технических средств

Меры по защите технических средств должны исключать НСД к стационарным техническим средствам, обрабатывающим ИОД, средствам, обеспечивающим функционирование ИС (далее - средства обеспечения функционирования), и в помещения, в которых они постоянно расположены, защиту технических средств от внешних воздействий, а также защиту ИОД, представленной в виде информативных электрических сигналов и физических полей.

8.10. Защита ИС, ее средств, систем связи и передачи данных

Меры по защите ИС, ее средств, систем связи и передачи данных должны обеспечивать защиту ИОД при взаимодействии ИС или ее отдельных сегментов с иными ИС и информационно-телекоммуникационными сетями посредством применения архитектуры ИС и проектных решений, направленных на обеспечение безопасности информации.

8.10.1. Обеспечение безопасного удаленного подключения к ИС

Удаленное подключение пользователей к ИС допускается при условии выполнения следующих требований:

- должен быть разработан порядок предоставления и использования удаленного подключения. Порядок удаленного подключения должен быть документирован;

- должны использоваться автоматизированные механизмы мониторинга и контроля удаленного доступа;

- должна использоваться криптография для защиты конфиденциальности и целостности передаваемой информации;

- удаленный доступ должен осуществляться через минимальное необходимое количество управляемых точек доступа;

- удаленный доступ к критичным компонентам ИС с привилегированными правами должен быть максимально ограничен;

- удаленный доступ должен осуществляться через ресурсы, расположенные в демилитаризованной зоне;

- должно обеспечиваться межсетевое экранирование и фильтрация сетевого трафика.

Обеспечение безопасного доступа к сетям международного информационного обмена

Доступ к сетям связи общего пользования и/или сетям международного информационного обмена, в том числе к международной компьютерной сети Интернет допускается только с использованием специально предназначенных для этого средств защиты информации.

ГАРАНТ:

См. Положение по обеспечению информационной безопасности при использовании информационно-телекоммуникационных сетей международного информационного обмена в Минпромторге России, утвержденное приказом Минпромторга России от 11 марта 2015 г. N 432

При принятии решений об использовании сети Интернет необходимо учитывать следующие положения:

- сеть Интернет не имеет единого органа управления (за исключением службы управления пространством имен и адресов) и не является юридическим лицом, с которым можно было бы заключить договор (соглашение);

- провайдеры (посредники) сети Интернет могут обеспечить только те услуги, которые реализуются непосредственно ими;

- существует вероятность НСД, потери и искажения информации, передаваемой посредством сети Интернет;

- существует вероятность атаки злоумышленников на оборудование, программное обеспечение и информационные ресурсы, подключенные/доступные из сети Интернет;

- гарантии по обеспечению безопасности информации при использовании сети Интернет никаким органом/учреждением/организацией не предоставляются.

8.10.2. Обеспечение безопасности при использовании мобильных устройств

В случае необходимости допускается организовывать доступ к ИОД с мобильных устройств, в том числе расположенных за пределами контролируемой зоны.

При использовании мобильных устройств должен быть реализован ряд дополнительных организационно-технических мер обеспечения безопасности информации:

- обеспечение доверенной загрузки операционной среды мобильных устройств;

- обеспечение доверенной среды эксплуатации мобильных устройств;

- обеспечение доверенного (защищенного) канала взаимодействия с ИС;

- очистка (обнуление, обезличивание) освобождаемых областей оперативной памяти мобильных устройств и накопителей информации.

Обеспечение доверенной загрузки основывается на загрузке операционных систем только с заранее определенных постоянных носителей в комплексе с использованием специальных средств контроля над составом аппаратных средств мобильного устройства, целостности программных модулей операционных систем и средств усиленной аутентификации.

Доверенная среда эксплуатации и доверенный (защищенный) канал взаимодействия обеспечивается путем использования специальных средств защиты информации и средств криптографической защиты информации.

По окончании информационного взаимодействия на мобильном устройстве должно производиться удаление ИОД и другой информации, которая может быть использована для осуществления НСД к ИОД.

8.11. Управление инцидентами

Меры по выявлению инцидентов и реагированию на них должны обеспечивать обнаружение, идентификацию, анализ инцидентов в ИС, а также принятие мер по устранению и предупреждению инцидентов.

8.12. Управление конфигурацией

Меры по управлению конфигурацией ИС и системы защиты ИОД должны обеспечивать управление изменениями конфигурации ИС и системы защиты информации, анализ потенциального воздействия планируемых изменений на обеспечение безопасности информации, а также документирование этих изменений.

8.13. Криптографическая защита

Для защиты ИОД, передаваемых между ИС по каналам связи, выходящим за пределы контролируемой зоны, необходимо использовать защищенные каналы связи, включая доверенные каналы и защищенные волоконно-оптические линии связи.

При использовании открытых и неконтролируемых каналов связи для защиты ИОД необходимо применять средства криптографической защиты информации. Как раздельно, так и комплексно используются следующие криптографические методы:

- шифрование как средство обеспечения конфиденциальности информации;

- электронная цифровая подпись как средство обеспечения подлинности и юридической значимости электронного документа;

- криптографическая аутентификация как средство подтверждения санкционированности доступа субъекта к объекту;

- управление ключами как необходимая составная часть систем со средствами криптографической защиты информации, которая применяется в целях изготовления, учета, распределения, хранения и уничтожения ключевых элементов.

8.14. Обеспечение безопасности АРМ пользователя

Эксплуатация АРМ пользователя допускается при условии выполнения следующих требований:

- идентификация и аутентификация пользователя. В АРМ должна быть обеспечена однозначная идентификация "Пользователь - рабочее место";

- невозможность изменения системных параметров АРМ, инсталляции программного обеспечения, несанкционированного копирования данных на съемные носители информации;

- защиту системного и прикладного программного обеспечения, в том числе сетевого, от реконфигурации;

- отсутствие программ-вирусов и программ-закладок;

- невозможность физического доступа к аппаратным ресурсам АРМ;

- запрет на применение считывающих устройств с внешних носителей информации, исключение делается для пользователей, имеющих специальное разрешение;

- ведение системного журнала по основным событиям.

9. Принципы оценки и контроля эффективности системы защиты информации

В соответствии с принципом обязательности контроля выполняются следующие виды контроля эффективности системы защиты информации:

- внутренний контроль;

- государственный контроль.

9.1. Внутренний контроль

Внутренний контроль эффективности системы защиты информации осуществляется Минпромторгом России с целью поддержания заданного уровня эффективности системы защиты информации, в соответствии с документированными методиками. Внутренний контроль включает:

- мониторинг состояния технических и программных средств, входящих в состав КСЗИ;

- контроль соблюдения требований по обеспечению безопасности информации (требований законодательства в области защиты персональных данных, требований внутренних нормативно-методических и организационно-распорядительных документов Минпромторга России, сформулированных на основе анализа рисков нарушения безопасности информации, договорных требований).

Оценка эффективности КСЗИ реализуется в виде аттестации или декларирования соответствия требованиям по безопасности информации.

Декларирование производится по факту ввода в эксплуатацию ИС. Ввод в эксплуатацию ИС производится в соответствии с документально оформленными требованиями по безопасности информации (техническими условиями**), разрабатываемыми в соответствии с требованиями законодательства и нормативно-методических документов федеральных органов исполнительной власти, осуществляющими функции по контролю и надзору в пределах своих полномочий.

Факт ввода в эксплуатацию ИС в соответствии с техническими условиями оформляется Актом ввода в эксплуатацию и утверждается приказом по Минпромторгу России.

Внутренний контроль проводится периодически либо инициируется по мере необходимости Минпромторгом России.

9.2. Государственный контроль

Обеспечение государственного контроля и надзора за соответствием обработки информации (персональных данных) требованиям законодательства Российской Федерации в области защиты информации осуществляется федеральными органами исполнительной власти.

В соответствии с действующим законодательством распределение полномочий между федеральными органами исполнительной власти, Роскомнадзором, ФСБ России и ФСТЭК России при осуществлении государственного контроля и надзора за соблюдением требований законодательства Российской Федерации в области защиты информации (персональных данных) осуществляется в пределах их компетенции.

В ходе государственного контроля и надзора оценивается достаточность принятых Минпромторгом России мер обеспечения безопасности информации.

10. Порядок пересмотра концепции

Положения настоящей Концепции пересматриваются в установленном порядке не реже одного раза в год.

Внеплановый пересмотр Концепции проводится в случае существенных изменений международного или национального законодательства в сфере защиты информации (персональных данных).

При внесении изменений в положения Концепции учитываются:

- уровень развития и внедрения информационных технологий в Минпромторге России;

- рекомендации российских и международных профильных организаций по информационной безопасности и защите персональных данных;

- рекомендации Консультационного совета при уполномоченном органе по защите прав субъектов персональных данных.

______________________________

* Субъекты информационных отношений - обладатель информации; собственник информации; собственник информационных ресурсов, информационных систем, технологий и средств их обеспечения; потребитель информации.

** Технические условия разрабатываются в соответствии с требованиями ГОСТ 2.114-95 и должны содержать в своем составе методику оценки соответствия требованиям по безопасности персональных данных.