Информационная безопасность государственных информационных систем

Государственные информационные системы (ГИСы): практические вопросы защиты информации

В РФ существует порядка 100 государственных информационных систем, они подразделяются на федеральные и региональные. Организация, работающая с какой-либо из этих систем, обязана выполнять требования к защите данных, которые в ней обрабатываются. В зависимости от классификации, к разным информационным системам предъявляются разные требования, за несоблюдение которых применяются санкции — от штрафа до более серьезных мер.

Работа всех информационных систем в РФ определяется Федеральным законом от 27.07.2006 № 149-ФЗ (ред. от 21.07.2014) «Об информации, информационных технологиях и о защите информации» (27 июля 2006 г.). В статье 14 этого закона дается подробное описание ГИСов. К операторам  государственных ИС, в которых ведется обработка информации ограниченного доступа (не содержащей сведений, составляющих государственную тайну), предъявляются требования, изложенные  в Приказе ФСТЭК России от 11 февраля 2013 г. № 17 «Об утверждении требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах».

Напомним, что оператор — гражданин или юридическое лицо, осуществляющие деятельность по эксплуатации информационной системы, в том числе по обработке информации, содержащейся в ее базах данных.

Если организация подключена к государственной информационной системе, то приказ ФСТЭК № 17 обязывает аттестовать систему, а для защиты информации должны применяться только сертифицированные средства защиты информации (имеющие действующие сертификаты ФСТЭК или ФСБ).

Нередки случаи, когда оператор информационной системы ошибочно относит ее к ГИСам, в то время как она таковой не является. В итоге к системе применяются избыточные меры по защите. Например, если по ошибке оператор информационной системы персональных данных классифицировал ее как государственную, ему придется выполнить более жесткие требования к безопасности обрабатываемой информации, чем того требует закон. Тем временем требования к защите информационных систем персональных данных, которые регулирует приказ ФСТЭК № 21, менее жесткие и не обязывают аттестовать систему.

На практике не всегда понятно, является ли система, к которой необходимо подключиться, государственной, и, следовательно, какие меры по построению защиты информации необходимо предпринять.  Тем не менее план проверок контролирующих органов растет,  планомерно увеличиваются штрафы.

Как отличить ГИС от неГИС

Государственная информационная система создается, когда необходимо обеспечить:

• реализацию полномочий госорганов;
• информационный обмен между госорганами;
• достижение иных установленных федеральными законами целей.

Понять, что информационная система относится к государственной, можно, используя следующий алгоритм:

1. Узнать, есть ли законодательный акт, предписывающий создание информационной системы.
2. Проверить наличие системы в Реестре федеральных государственных информационных систем. Подобные реестры существуют на уровне субъектов Федерации.
3. Обратить внимание на назначение системы. Косвенным признаком отнесения системы к ГИС будет описание полномочий, которые она реализует. Например, каждая администрация Республики Башкортостан имеет свой устав, который в том числе описывает полномочия органов местного самоуправления.  ИС «Учет граждан, нуждающихся в жилых помещениях на территории  Республики Башкортостан» создана для реализации таких полномочий администраций, как «принятие и организация выполнения планов и программ комплексного социально-экономического развития муниципального района», и является ГИС.

Если система подразумевает обмен информацией между госорганами, она также с высокой долей вероятности будет государственной (например, система межведомственного электронного документооборота).

Это ГИС. Что делать?

Приказ ФСТЭК 17 предписывает проведение следующих мероприятий по защите информации к операторам ГИС:

• формирование требований к защите информации, содержащейся в информационной системе;
• разработка системы защиты информации информационной системы;
• внедрение системы защиты информации информационной системы;
• аттестация информационной системы по требованиям защиты информации (далее — аттестация ИСПДн) и ввод ее в действие;
• обеспечение защиты информации в ходе эксплуатации аттестованной информационной системы;
• обеспечение защиты информации при выводе из эксплуатации аттестованной информационной системы или после принятия решения об окончании обработки информации.

Организации, которые подключены к государственным информационным системам, должны выполнить следующие действия:

1. Провести классификацию ИС и определить угрозы безопасности.

Классификация ИС проводится в соответствии с пунктом 14.2 17 приказа ФСТЭК.

Угрозы безопасности информации определяются по результатам

• оценки возможностей нарушителей;
• анализа возможных уязвимостей информационной системы;
• анализа (или моделирования) возможных способов реализации угроз безопасности информации;
• оценки последствий от нарушения свойств безопасности информации (конфиденциальности, целостности, доступности).

2. Сформировать требования к системе обработки информации.

Требования к системе должны содержать:

• цель и задачи обеспечения защиты информации в информационной системе;
• класс защищенности информационной системы;
• перечень нормативных правовых актов, методических документов и национальных стандартов, которым должна соответствовать информационная система;
• перечень объектов защиты информационной системы;
• требования к мерам и средствам защиты информации, применяемым в информационной системе.

3. Разработать систему защиты информации информационной системы.

Для этого необходимо провести:

• проектирование системы защиты информации информационной системы;
• разработку эксплуатационной документации на систему защиты информации информационной системы;
• макетирование и тестирование системы защиты информации информационной системы.

4. Провести внедрение системы защиты информации информационной системы, а именно:

• установку и настройку средств защиты информации в информационной системе;
• разработку документов, определяющих правила и процедуры, реализуемые оператором для обеспечения защиты информации в информационной системе в ходе ее эксплуатации (далее — организационно-распорядительные документы по защите информации);
• внедрение организационных мер защиты информации;
• предварительные испытания системы защиты информации информационной системы;
• опытную эксплуатацию системы защиты информации информационной системы;
• проверку построенной системы защиты информации на уязвимость;
• приемочные испытания системы защиты информации информационной системы.

5. Аттестовать ИСПДн:

• провести аттестационные испытания;
• получить на руки аттестат соответствия.

Существует распространенное мнение, что для прохождения проверки контролирующих органов достаточно наличия организационно-распорядительных документов, поэтому  операторы ГИС зачастую пренебрегают внедрением средств защиты. Действительно, Роскомнадзор уделяет пристальное внимание именно документам и реализации организационно-распорядительных мер по защите ПДн в организации. Однако в случае возникновения вопросов к проверке могут быть привлечены специалисты из ФСТЭК и ФСБ. При этом ФСТЭК очень внимательно смотрит на состав технической защиты информации и проверяет правильность составления модели угроз, а ФСБ проверяет реализацию требований, касающихся использования средств криптографической защиты информации.

Олег Нечеухин, эксперт по защите информационных систем, «Контур-Безопасность»

КриптоПро

ООО «КРИПТО-ПРО»  оказывает услуги по обеспечению в соответствии с требованиями Законодательства защиты  конфиденциальной и общедоступной информации, содержащейся в государственных информационных систем (ГИС).

В рамках оказываемых услуг проводятся мероприятия по созданию системы защиты информации (далее – СЗИ), в том числе включающие:

1. Проведение обследования и классификации ГИС по требованиям защиты информации;
2. Разработка частной модели актуальных угроз нарушения безопасности информации в ГИС;
3. Выбор и обоснование организационно-технических мер защиты, необходимых для нейтрализации актуальных угроз нарушения безопасности информации в ГИС;
4. Разработка технического задания и проектирование СЗИ;
5. Разработка организационно-распорядительной и исполнительной документации, регламентирующей порядок защиты информации и эксплуатации СЗИ;
6. Поставка и внедрение сертифицированных технических средств защиты информации;
7. Инструктаж и обучение персонала в авторизованных учебных центрах;
8. Оценка соответствия выполнения требований к защите информации в форме аттестации ГИС;
9. Техническое сопровождение и сервисное обслуживание СЗИ.

При выборе и реализации организационно-технических мер защиты информации специалисты ООО «КРИПТО-ПРО» руководствуются требованиями использования наиболее экономически-эффективных решений в соответствии с индивидуальными особенностями защищаемых ГИС и спецификой деятельности Заказчика.

Применяемые ООО «КРИПТО-ПРО» методы, организационно-технические меры и средства защиты также могут быть эффективно использованы при обеспечении безопасности негосударственных информационных систем, в том числе защиты коммерческой тайны, персональных данных, банковской тайны и пр..

Богатый опыт ООО «КРИПТО-ПРО» комплексного обеспечения безопасности информационных систем различного назначения, в том числе с использованием сертифицированных средств криптографической защиты собственной разработки и широкой номенклатурой партнерских решений, в процессе оказания услуг позволяет решить весь комплекс задач Заказчиков по защите информации и обеспечению юридической значимости электронных документов.

Основные положения законодательства в области защиты информации

На текущий момент в Российской Федерации создана и принята вертикаль (иерархия) руководящих и нормативно-методических документов по обеспечению защиты информации в ГИС. 

Необходимость защиты информации, содержащейся в ГИС (далее – Информация), устанавливает Федеральный Закон от 27.07.2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации», который обязывает владельца информации и оператора информационной системы, обеспечить защиту информации от неправомерных доступа, уничтожения, модифицирования, блокирования, копирования, предоставления, распространения и иных неправомерных действий (ст.14 п.9) путем принятия  правовых, организационных и технически мер, направленных на соблюдение конфиденциальности информации ограниченного доступа и реализацию права на доступ к общедоступной информации (ст.16).

В соответствии с 149-ФЗ (ст.16) защита информации обеспечивается, в частности:

1) предотвращением несанкционированного доступа к информации и (или) передачи ее лицам, не имеющим права на доступ к информации;

2) своевременным обнаружением фактов несанкционированного доступа к информации;

3) предупреждением возможности неблагоприятных последствий нарушения порядка доступа к информации;

4) недопущением воздействия на технические средства обработки информации, в результате которого нарушается их функционирование;

5) возможностью незамедлительного восстановления информации, модифицированной или уничтоженной вследствие несанкционированного доступа к ней;

6) постоянным контролем за обеспечением уровня защищенности информации.

Требования о защите Информации в соответствии с 149-ФЗ утверждены Приказом ФСТЭК России от 11 февраля 2013 г. № 17 (далее – Требования) и обязательны для выполнения с 1 сентября 2013 г., в том числе и при обработке информации в муниципальных информационных системах.

Требования предназначены для обладателей информации, заказчиков, заключивших государственный контракт на создание ГИС, операторов ГИС и лиц, осуществляющих обработку информации, являющейся государственным ресурсом.

В соответствии с Требованиями, защита Информации обеспечивается на всех стадиях создания и эксплуатации ГИС путем принятия организационных и технических мер, направленных на блокирование (нейтрализацию) угроз безопасности информации, в рамках системы (подсистемы) защиты информации (СЗИ).

Принимаемые организационные и технические меры должны быть направлены на исключение:

• неправомерных доступа, копирования, предоставления или распространения информации (обеспечение конфиденциальности информации);
• неправомерных уничтожения или модифицирования информации (обеспечение целостности информации);
• неправомерного блокирования информации (обеспечение доступности информации).

Для обеспечения защиты Информации проводятся следующие мероприятия:

• формирование требований к защите Информации;
• разработка СЗИ;
• внедрение СЗИ;
• аттестация ГИС по требованиям защиты информации (далее – аттестация) и ввод ее в действие;
• обеспечение защиты информации в ходе эксплуатации аттестованной ГИС;
• обеспечение защиты информации при выводе из эксплуатации аттестованной ГИС или после принятия решения об окончании обработки информации.

Формирование требований к защите информации включает:

• принятие решения о необходимости защиты Информации;
• классификацию ГИС по требованиям защиты информации (далее – классификация);
• определение актуальных угроз безопасности информации и разработку на их основе модели угроз;
• определение требований к СЗИ.

Классификация ГИС по четырем установленным класса защищенности проводится в зависимости от значимости обрабатываемой в ней информации и масштаба ГИС (федеральный, региональный, объектовый) в соответствии с таблицей:

Уровень значимости информации	Масштаб информационной системы
Федеральный	Региональный	Объектовый
УЗ 1	К1	К1	К1
УЗ 2	К1	К2	К2
УЗ 3	К2	К3	К3
УЗ 4	К3	К3	К4

Уровень значимости информации определяется степенью возможного ущерба от нарушения конфиденциальности (неправомерные доступ, копирование, предоставление или распространение), целостности (неправомерные уничтожение или модифицирование) или доступности (неправомерное блокирование) информации.

Актуальные угрозы безопасности информации определяются с учетом структурно-функциональных характеристик ГИС по результатам оценки возможностей нарушителей, анализа возможных уязвимостей, способов реализации угроз и последствий.

Определение актуальных угроз осуществляется в соответствии с Методическими документами ФСТЭК России в составе:

• Базовая модель угроз;
• Методика определения актуальных угроз.

Требования к СЗИ определяются в зависимости от класса защищенности ГИС и актуальных угроз безопасности Информации.

При определении требований к СЗИ учитываются положения политик обеспечения ИБ Заказчика, разработанных по ГОСТ Р ИСО/МЭК 27001 «Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования».

Разработка СЗИ осуществляется в соответствии с ГОСТ и включает:

• проектирование СЗИ;
• разработку эксплуатационной документации;
• макетирование и тестирование СЗИ (при необходимости).

В соответствии с Требованиями обеспечивается, чтобы СЗИ не препятствовала достижению целей создания ГИС и ее функционированию.

Результаты проектирования СЗИ отражаются в проектной документации (эскизном (техническом) проекте и (или) в рабочей документации).

При разработке СЗИ применяются средства защиты информации, прошедшие оценку соответствия в форме обязательной сертификации на соответствие требованиям по безопасности информации.

При отсутствии необходимых сертифицированных средств защиты производится корректировка проектных решений с учетом функциональных возможностей имеющихся.

Внедрение СЗИ осуществляется в соответствии с разработанной документацией и в том числе включает:

• установку и настройку средств защиты информации;
• разработку организационно-распорядительных документов, определяющих правила и процедуры обеспечения защиты в ходе эксплуатации ГИС (далее – ОРД);
• внедрение организационных мер защиты информации;
• предварительные испытания СЗИ;
• опытную эксплуатацию СЗИ;
• анализ уязвимостей ГИС и принятие мер по их устранению;
• приемочные испытания СЗИ.

Разрабатываемые ОРД определяют следующие правила и процедуры:

• управления (администрирования) СЗИ;
• выявления инцидентов, которые могут привести к сбоям или нарушению функционирования информационной системы и (или) к возникновению угроз безопасности информации (далее – инциденты), и реагирования на них;
• управления конфигурацией аттестованной ГИС и СЗИ;
• контроля (мониторинга) за обеспечением уровня защищенности информации;
• защиты информации при выводе из эксплуатации ГИС или после принятия решения об окончании обработки информации.

При внедрении организационных мер защиты информации осуществляются:

• реализация правил разграничения доступа и введение ограничений на действия пользователей, а также на изменение условий эксплуатации, состава и конфигурации технических средств и программного обеспечения;
• проверка полноты и детальности описания в ОРД действий пользователей и администраторов ГИС по реализации организационных мер защиты информации;
• отработка действий должностных лиц и подразделений, ответственных за реализацию мер защиты информации.

Анализ уязвимостей проводится в целях оценки возможности преодоления нарушителем СЗИ и предотвращения реализации угроз безопасности информации.

В случае выявления уязвимостей, приводящих к возникновению дополнительных угроз безопасности информации, проводится уточнение модели угроз и при необходимости принимаются дополнительные меры защиты информации, направленные на устранение выявленных уязвимостей или исключающие возможность использования нарушителем выявленных уязвимостей.

Приемочные испытания СЗИ проводятся с учетом ГОСТ 34.603 и включают проверку выполнения требований утвержденного технического задания.

Аттестация ГИС включает проведение комплекса организационных и технических мероприятий (аттестационных испытаний), в результате которых подтверждается соответствие СЗИ установленным Требованиям безопасности.

По результатам аттестационных испытаний оформляются протоколы, заключение о соответствии и аттестат соответствия в случае положительных результатов.

Допускается аттестация на основе результатов аттестационных испытаний выделенного набора сегментов ГИС, реализующих полную технологию обработки информации.

Ввод в действие ГИС осуществляется при наличии аттестата соответствия.

Обеспечение защиты информации в ходе эксплуатации аттестованной ГИС осуществляется оператором в соответствии с разработанными документами и в том числе включает:

• управление (администрирование) СЗИ;
• выявление инцидентов и реагирование на них;
• управление конфигурацией аттестованной ГИС и ее СЗИ;
• контроль (мониторинг) за обеспечением уровня защищенности Информации.

Организационные и технические меры, реализуемые в СЗИ, в зависимости от актуальных угроз и используемых ИТ должны обеспечивать:

• идентификацию и аутентификацию субъектов доступа и объектов доступа;
• управление доступом субъектов доступа к объектам доступа;
• ограничение программной среды;
• защиту машинных носителей информации;
• регистрацию событий безопасности;
• антивирусную защиту;
• обнаружение (предотвращение) вторжений;
• контроль (анализ) защищенности информации;
• целостность информационной системы и информации;
• доступность информации;
• защиту среды виртуализации;
• защиту технических средств;
• защиту информационной системы, ее средств, систем связи и передачи данных.

Состав мер защиты информации и их базовые наборы для соответствующих классов защищенности информационных систем приведены в приложении № 2 к Требованиям (Приказ ФСТЭК № 17).

Выбор мер защиты в рамках СЗИ включает:

• определение базового набора мер для установленного класса защищенности;
• адаптацию базового набора мер применительно к характеристикам и особенностям функционирования ГИС;
• уточнение адаптированного базового набора мер, обеспечивающее блокирование (нейтрализацию) всех актуальных угроз безопасности, включенных в разработанную модель угроз;
• дополнение уточненного адаптированного базового набора мер, обеспечивающее выполнение иных требований о защите информации, в том числе в области защиты персональных данных.

При невозможности реализации в СЗИ отдельных выбранных мер на этапах адаптации базового набора или уточнения адаптированного базового набора мер защиты могут разрабатываться иные (компенсирующие) меры, обеспечивающие адекватное блокирование (нейтрализацию) актуальных угроз.

В этом случае в ходе разработки СЗИ должно быть проведено обоснование применения компенсирующих мер защиты, а при аттестационных испытаниях оценена достаточность и адекватность данных компенсирующих мер для блокирования (нейтрализации) актуальных угроз безопасности.

При использовании новых ИТ и выявлении дополнительных угроз безопасности, для которых не определены меры защиты, должны разрабатываться компенсирующие меры.

Технические меры защиты информации реализуются посредством применения средств защиты информации, имеющих необходимые функции безопасности.

Использование СКЗИ осуществляется в соответствии с Положением ПКЗ-2005, утвержденным Приказом ФСБ России от 09.02.2005г. №66 и Инструкцией №152, утвержденной Приказом ФАПСИ от 13.06.2001г.

Нарушение требований Законодательства РФ в области защиты информации влечет за собой дисциплинарную, гражданско-правовую, административную или уголовную ответственность.

Цель создания системы защиты информации и решаемые задачи

Целью создания СЗИ является выполнение обязанностей Заказчика по применению правовых, организационных и технических мер обеспечения безопасности информации в соответствии с ФЗ-149 и принятыми в соответствии с ним нормативными правовыми актами.

Для создания СЗИ предлагается решение следующих задач:

1. Проведение обследования, анализ уязвимости и классификация ГИС;
2. Разработка частной модели актуальных угроз безопасности Информации;
3. Выбор и обоснование организационных и технических мер, необходимых для нейтрализации актуальных угроз безопасности с учетом особенностей ГИС;
4. Разработка организационно-распорядительной документации (ОРД), регламентирующей порядок защиты Информации в соответствии с принятыми организационными мерами.
5. Разработка технического задания на создание СЗИ;
6. Проектирование СЗИ в составе следующих решений в зависимости от выбранных технических мер:
   • управления доступом к информационным ресурсам;
   • сетевой безопасности;
   • антивирусной защиты;
   • криптографической защиты информации;
   • анализа уязвимости;
   • мониторинга событий безопасности;
   • защиты виртуальной инфраструктуры;
   • предотвращения утечки данных;
   • защиты мобильных устройств;
   • прочие решения, необходимые для нейтрализации актуальных угроз.
   • Поставка технических решений, внедрение и сервисное обслуживание СЗИ;
   • Анализ уязвимости защищенной ГИС;
   • Инструктаж и обучение персонала на авторизованных курсах в учебном центре;

10.  Аттестационные испытания ГИС на соответствие Требованиям безопасности.

При выполнении работ в первую очередь предполагается руководствоваться экономической целесообразностью и эффективностью проводимых мероприятий по защите ГИС.

Результаты создания системы защиты информации

В результате создания СЗИ Заказчик получает следующие отчетные документы:

1. Отчет о результатах обследования  ГИС;
2. Рекомендации по созданию/совершенствованию СЗИ;
3. Проект распоряжения о классификации ГИС;
4. Частная модель актуальных угроз безопасности Информации;
5. Требования к СЗИ, перечень и обоснование необходимых мер защиты;
6. Комплект ОРД, в т.ч.:

1. Политика защиты информации в ГИС;
2. Положение об организации и ведению работ по защите информации в ГИС;
3. Регламент защиты информации;
4. Разделы должностных инструкций персонала ГИС в части защиты информации;
5. Прочие…

1. Техническое задание на создание СЗИ;
2. Комплект проектной и эксплуатационной документации на СЗИ;
3. Комплект документов, необходимых для получения лицензий на осуществление деятельности по технической защите информации;
4. Отчет о проведенном анализе уязвимости ГИС;
5. Протокол приёмосдаточных испытаний СЗИ;
6. Пакет документации на аттестуемый объект информатизации ГИС;
7. Программа-методика проведения аттестационных испытаний;
8. Протоколы проведенных аттестационных испытаний;
9. Аттестат соответствия ГИС требованиям безопасности информации.
10. Отчеты о результатах оценки уровня защищенности ГИС в процессе сервисного обслуживания.

Создание систем защиты информации государственных информационных систем

Государственные (муниципальные) информационные системы (ГИС) – информационные системы, созданные на основании федеральных законов, законов субъектов Российской Федерации, правовых актов государственных органов или решений органов местного самоуправления.

Ключевым документом, устанавливающим обязательные требования к обеспечению защиты информации ограниченного доступа при ее обработке в государственных (муниципальных) информационных системах, является Приказ ФСТЭК России от 11.02.2013 № 17.

Требования этого приказа распространяются, в том числе, и на ГИС, обрабатывающие персональные данные (государственные ИСПДн). По решению обладателя информации (заказчика) или оператора информационной системы требования Приказа № 17 могут применяться и для защиты информации, содержащейся в негосударственных информационных системах.

В соответствии с этими требованиями создание системы защиты информации ГИС осуществляется в следующей последовательности:

• формирование требований к защите информации, содержащейся в информационной системе;
• разработка системы защиты информации информационной системы;
• внедрение системы защиты информации информационной системы;
• аттестация информационной системы по требованиям защиты информации и ввод ее в действие.

Кроме того, при обеспечении информационной безопасности ГИС можно дополнительно руководствоваться Специальными требованиями и рекомендациями по технической защите конфиденциальной информации (СТР-К), утвержденными приказом Гостехкомиссии России от 30.08.2002 № 282.

Следует отметить, что, помимо Приказа ФСТЭК № 17, при создании систем защиты информации государственных информационных систем должны быть учтены и другие нормативные документы, в том числе:

• Постановление Правительства от 1 ноября 2012 г. № 1119;
• Специальные требования и рекомендации по технической защите конфиденциальной информации (СТР-К);
• ПКЗ-2005, Приказ № 378 и другие документы ФСБ России;
• национальные и отраслевые стандарты по безопасности информации.

Формирование требований к защите информации ГИС

На этапе формирования требований к защите информации ГИС решаются следующие задачи:

• Проведение обследования и сбор исходных сведений об информационной системе, ее характеристиках, структуре, составе, организационно-распорядительной и эксплуатационно-технической документации, а также о реализуемых мероприятиях по обеспечению безопасности информации. Собранные сведения служат основой для дальнейших работ.
• Классификация информационной системы,. В соответствии с требованиями Приказа ФСТЭК России от 11.02.2013 № 17 оценивается степень возможного ущерба от нарушения безопасности информации (конфиденциальности, целостности, доступности), уровень значимости информации, масштаб системы. По этим характеристикам определяется требуемый класс защищенности государственной информационной системы.
• Разработка модели нарушителя и угроз безопасности информации ГИС. Угрозы безопасности информации определяются по результатам оценки возможностей (потенциала, оснащенности и мотивации) внешних и внутренних нарушителей, анализа возможных уязвимостей информационной системы, возможных способов реализации угроз безопасности информации и последствий от нарушения свойств безопасности информации.
• Определение перечня мер обеспечения безопасности, которые должны быть реализованы. На этом шаге, в соответствии с требованиями ГОСТ 34.602, ГОСТ Р 51583 и ГОСТ Р 51624, осуществляется разработка Технического задания на создание системы защиты информации ГИС, в котором осуществляется выбор, адаптация, уточнение и дополнение защитных мер, содержащихся в Приказе ФСТЭК России от 11.02.2013 № 17 и других нормативных документах по обеспечению безопасности информации ФСТЭК России и ФСБ России.

Результатом этапа служат следующие документы:

• Отчет об обследовании и оценке защищенности информационной системы;
• Перечень конфиденциальной информации, обрабатываемой в ГИС, Перечень должностных лиц, допущенных к работе в ГИС;
• Акт классификации государственной информационной системы;
• Модель нарушителя и угроз безопасности информации, обрабатываемой в ГИС;
• Техническое задание на создание (модернизацию) системы защиты информации ГИС.

Разработка системы защиты информации информационной системы

Разработка системы защиты информации ГИС включает следующие шаги:

• Разработка Технического проекта системы защиты информации, содержащего детальное описание конкретных программно-технических решений для создания системы защиты в соответствии с требованиями Технического задания. Более подробную информацию о проектировании систем защиты информации можно получить на странице «Разработка проектной документации на системы защиты информации».
• Разработка организационно-распорядительной и эксплуатационной документации на систему защиты информации. Перечень разрабатываемых документов определяется Техническим заданием и, как правило, включает Положения и Политики по защите конфиденциальной информации, Инструкции и Регламенты администраторам безопасности и пользователям ГИС, приказы о назначении ответственных лиц, дополнения в разделы должностных инструкций и другие документы.

Внедрение системы защиты информации информационной системы

Внедрение системы защиты информации осуществляется в соответствии с разработанной на предыдущем этапе пояснительной запиской к Техническому проекту. На данном этапе осуществляется:

• поставка, установка и настройка средств защиты информации;
• приемочные испытания системы защиты информации информационной системы.

Отчетными документами по данному этапу, как правило, служат:

• документы на поставку средств защиты информации (лицензии, дистрибутивы, формуляры и документация на средства защиты);
• программа и методики приемочных испытаний системы защиты ГИС;
• протоколы и заключение по результатам приемочных испытаний;
• акты внедрения средств защиты информации.

Аттестация информационной системы и ввод ее в действие

Согласно требованиям Приказа ФСТЭК России от 11.02.2013 № 17 ввод в действие информационной системы осуществляется только при наличии аттестата соответствия. Поэтому обязательным заключительным этапом создания систем защиты информации государственных информационных систем является проведение аттестации по требованиям безопасности информации.

Порядок проведения аттестации ИСПДн регламентируется:

• Национальным стандартом РФ ГОСТ РО 0043-003-2012 «Защита информации. Аттестация объектов информатизации. Общие положения»;
• Положением по аттестации объектов информатизации по требованиям безопасности информации, утвержденным председателем Государственной технической комиссии при Президенте Российской Федерации 25 ноября 1994 г.

В соответствии с указанными нормативными документами организации, проводящие аттестацию объектов информатизации, несут ответственность за выполнение возложенных на них функций, обеспечение сохранности государственных и коммерческих секретов, а также за соблюдение авторских прав разработчиков аттестуемых объектов информатизации и их компонентов.

Для проведения аттестации разрабатываются:

• Технический паспорт, Матрица доступа и Описание технологических процессов обработки и защиты информации в ГИС;
• Программа и методики аттестационных испытаний ГИС;
• Протоколы и Заключение по результатам аттестационных испытаний ГИС;
• Аттестат соответствия.

Реализация проекта по созданию системы защиты информации государственной (муниципальной) информационной системы позволяет как снизить уровень угроз безопасности информации ограниченного доступа, так и выполнить обязательные требования нормативных документов РФ, подтвердив это надлежащим аттестатом соответствия информационной системы.

В случае появления вопросов или интереса к описанной услуге, пожалуйста, свяжитесь с нами по телефону +7 (495) 980-67-76 или через форму обратной связи, адресовав вопрос в «Коммерческий отдел».

ИБ. Классификация для пользователей ГИС

С учетом тенденции по централизации информационных систем, в региональных государственных и муниципальных органах, в региональных гос. учреждениях отсутствуют собственные ГИСы, но есть большое количество клиентских подключений к ГИС.

Очевидно, что такие рабочие места необходимо защищать. Но по каким требованиям? То с чем я сталкивался – полный разброд и шатание. Одни защищают такие АРМ как собственную ИСПДн. Другие классифицируют как ГИС причем с уровнем защищенности от К1 до К3. Давайте разберемся какой порядок работы всё-таки правильный и какие сейчас есть сложности с ним.

Во-первых, кто может и должен классифицировать клиентские места ГИС? В соответствии с пунктом 14 приказа ФСТЭК №17 классификацию ГИС осуществляет обладатель информации в ГИС (заказчик ГИС –орган который создает или заказывает ГИС по гос. контракту). Учреждение с клиентским местом не создает ГИС и соответственно не может проводить классификацию.

Во-вторых, может быть клиентские места ГИС вообще не нужно защищать? Нужно. В соответствии с пунктом 4 приказа ФСТЭК №17 “Лицо, обрабатывающее информацию, являющуюся государственным информационным ресурсом, по поручению обладателя информации (заказчика) или оператора .... (далее - уполномоченное лицо), обеспечивает защиту информации в соответствии с законодательством Российской Федерации …”

Как как, как правило разработаны документы (ФЗ, положения, приказы о работе системы) которые предусматривают различных пользователей системы, их обязанности и функции в системе. По сути эти документы и являются поручением.  Но в соответствии с какими требованиями обеспечивать безопасность? В 90% случаев, документация на ГИС, которая передается пользователю не содержит требований по защите информации.   

В-третьих, пункт 4 приказа ФСТЭК №17 и пункт 9 статьи 14 №149-ФЗ говорят, что именно Заказчики ГИС (обладатели информации в ГИС) несут ответственность за защиту информации и именно они должны устанавливать требования по защите информации для уполномоченных лиц.  

Так получается всем пользователям надо запрашивать перечень класс ГИС и требования к защите с владельцев ГИС (готовы к шквалу запросов)? Запрашивали выборочно. Пока что широкий диапазон “мы вообще не включали клиентские места в область защиты” до “у нас для всей системы включая клиентские места один класс – К1”.  Бывает так что предусмотрена классификация для федеральных и региональных серверных сегментов, но про пользовательские места опять забыли.  

В-четвертых, а имеет вообще смысл “парится”? Могут ли у клиентских мест быть классы ГИС отличные от ГИС в целом? Могут. В соответствии с пунктом 14.2 приказа ФСТЭК №17 класс защищенности может определятся для отдельных сегментов (составных частей) ГИС. И это вполне логично, так как значимость информации на отдельном клиентском месте существенно меньше чем на серверах в ЦОД где эти данные консолидированы. Отдельный большой вопрос как определять масштаб для составной части ГИС?

Итого приходим к следующему единственно правильному сценарию:

1.       Владелец ГИС при создании системы предусматривает классификацию сегментов пользователей ГИС

2.       Владелец ГИС разрабатывает (это его обязанность) требования по защите информации для пользователей ГИС

3.       Пользователю ГИС до момента его подключения к системе доводятся требования по защите информации

4.       До подключения, после подключения или периодически во время работы пользователя с ГИС, владелец ГИС запрашивает с пользователя свидетельства того, что требования по защите информации выполняются (так как обеспечения защиты информации - это в первую очередь обязанность владельца ГИС)

Пока по нему не работают ни старые ГИС типа zakupki.gov.ru, ГИС ГМП ни новые, такие как cabinets.fss.ru

---

Смотрите также

• 
  Закон пмр о безопасности дорожного движения
• 
  Правила безопасности занятий по физической культуре и спорту 2014
• 
  Форма протокола проверки знаний по промышленной безопасности
• 
  Отчет по обоснованию безопасности радиационных источников
• 
  Аттестующие организации по транспортной безопасности
• 
  Служба безопасности московского метрополитена
• 
  Непосредственное руководство системой пожарной безопасности на подведомственных объектах осуществляет
• 
  Пиропатрон ремня безопасности принцип работы
• 
  Паспорт безопасности дорожного движения
• 
  Огп экстремизм как угроза национальной безопасности россии
• 
  Развертывание и приложение не имеют совпадающих зон безопасности