Обеспечение безопасности государственных информационных систем


Защита государственных информационных систем - компания АСТ

«АСТ» выполняет полный комплекс работ по созданию ГИС, приведению ГИС в соответствие требованиям нормативных документов, а также созданию требующихся подсистем ИБ в составе ГИС.

Государственные и муниципальные организации для выполнения тех или иных функциональных задач используют в своей деятельности информационные системы, обрабатывающие информацию с ограниченным доступом, что требует от них обеспечения должного уровня ИБ.

Для государственных и муниципальных информационных систем (ГИС) установлены обязательные требования к обеспечению необходимого уровня защиты информации. Основным документом, их определяющим, является приказ № 17 ФСТЭК России, основанный на Федеральном законе № 149-ФЗ.

С целью обеспечения оптимального и достаточного уровня защиты информации приказ формализует параметры защищаемых ГИС и выделяет 4 их класса в зависимости от объема возможного ущерба, оцениваемого по значимости обрабатываемой в ГИС информации и масштаба самой ИС. Также, приказ № 17 определяет требования к защите персональных данных, если таковые содержатся и обрабатываются в ГИС.

«АСТ» выполняет полный комплекс работ по созданию ГИС, приведению ГИС в соответствие требованиям нормативных документов, а также созданию требующихся подсистем ИБ в составе ГИС. Работы включают в себя следующие составляющие и этапы их реализации:
  • Формирование требований к защите информации: • проведение обследования и сбор исходных данных о ГИС • классификация ГИС • разработка моделей угроз и нарушителей

    • определение перечня мер обеспечения безопасности

  • Разработка системы защиты информации: • разработка технического проекта системы

    • разработка организационно-распорядительной и эксплуатационной документации

  • Внедрение системы защиты информации: • поставка, установка и настройка оборудования и ПО

    • Пуско-наладка и испытания

  • Аттестация ГИС по требованиям защиты информации
  • Ввод ГИС в действие
  • Эксплуатационное сопровождение аттестованной ГИС
  • Сервисное сопровождение аттестованной ГИС
  • Обеспечение безопасности на этапе вывода ГИС из эксплуатации или прекращения обработки в ней защищаемой информации
Состав технических средств в составе решения по обеспечению ИБ ГИС:
  • Средства управления доступом к информационным ресурсам
  • Средства ограничения программной среды
  • Решения для защиты технических средств и носителей
  • Средства сетевой безопасности
  • Средства обеспечения целостности и доступности данных
  • Системы анализа уязвимости
  • Системы мониторинга и регистрации событий безопасности
  • Средства защиты виртуальной инфраструктуры
  • Средства предотвращения событий безопасности и утечки данных
  • Антивирусная защита
  • Криптографическая защита
  • Решения для защиты мобильных устройств
  • Прочие решения, необходимые для нейтрализации актуальных угроз

Все работы в рамках реализации проекта по защите информации ГИС проводятся в четком соответствии с ГОСТ 34.601. Для владельцев ИС внедрение дает возможность существенно снизить уровень угроз информационной безопасности, а также выполнить обязательные требования нормативных документов регулирующих органов.

Предлагаемые решения «АСТ», технологии, средства и методики защиты ИС могут эффективно применяться при разработке систем ИБ также и в коммерческих организациях, в том числе защиты коммерческой тайны.

Защита государственных информационных систем

Защита информации в государственных информационных системах (ГИС)

Компания «КБ-Информ» предлагает комплекс услуг по организации защиты информации, исходя из требований Законодательства, относящейся к государственным информационным системам (ГИС).

Оказываемые услуги, направленные на создание СЗИ, включают:

  1. Анализ и проведение классификации ГИС, исходя из требований защиты информации.
  2. Создание индивидуальной модели определения потенциальных угроз нарушения ИБ в ГИС.
  3. Определение организационных и технических мер защиты, которые требуются для устранения угрозы нарушения безопасности информации в ГИС.
  4. Проектирование СЗИ.
  5. Разработка исполнительной документации, определяющей комплекс мер, необходимых для защиты информации.
  6. Внедрение технических средств защиты информации.
  7. Обучение персонала в специализированных учебных центрах.
  8. Анализ соответствия требованиям по защите информации в рамках аттестации ГИС.
  9. Сервисное обслуживание СЗИ.

В период выбора организационных и технических мер защиты информации специалисты компании берут за основу требования по применению актуальных экономических решений, исходя из особенностей защиты ГИС и деятельности клиента.

Используемые методы, меры и средства обеспечения защиты могут использоваться так же для обеспечения безопасности негосударственных систем, включая защиту коммерческой или банковской тайны, личной информации.

Благодаря опыту компании по разработке комплекса мер по защите информации, включая криптографическую защиту и широкую линейку партнерских решений, появляется возможность решить многие задачи клиентов, направленных на защиту информации и обеспечение значимости электронного документооборота.

Законодательные акты в области защиты информации

В РФ существует иерархия документов нормативно-методического характера по обеспечению защиты информации.

ФЗ №149 от 27.07.06 установлена необходимость защиты информации ГИС, согласно которому владелец информации или оператор ИС обязан обеспечить защиту информации от несанкционированного доступа, блокирования, уничтожения, распространения, копирования или других действий с помощью использования комплекса мер по соблюдению сохранности информации и ограничения доступа к общедоступной информации.

Исходя из требований ФЗ №149, обеспечивается защита информации, в том числе:

  • по предотвращению доступа к информации или передачи ее лицам, которые не имеют к ней доступ;
  • по определению попыток несанкционированного доступа к данным;
  • по предупреждению негативных последствий вследствие нарушения доступа;
  • по предотвращению влияния технических средств обработки данных, из-за которых возможно нарушение функционирования;
  • по восстановлению информации, которая была уничтожена в процессе несанкционированного доступа;
  • по контролю над уровнем защиты информации.

В соответствии с ФЗ № 149 требования утверждены приказом и обязательны для исполнения, в том числе и в процессе обработки ИС.

Требования распространяются на носителей информации, заказчиков, которые подписали контракт на разработку ГИС, операторов, а также лиц, выполняющих обработку информации государственного назначения.

Исходя из Требований, должна обеспечиваться защита информации на всех стадиях создания и эксплуатации за счет использования комплекса мер для устранения угроз нарушения доступа в рамках СЗИ.

Используемые меры должны предотвращать:

  • несанкционированный доступ, копирование, распространение информации конфиденциального характера;
  • уничтожение или изменение информации;
  • блокирование информации.

С целью обеспечения защиты Информации используются мероприятия:

  • создание требований к защите информации;
  • создание и внедрение СЗИ;
  • аттестация ГИС, исходя из требований и введение ее в эксплуатацию;
  • обеспечение защиты данных в период эксплуатации ГИС;
  • защита информации при окончании эксплуатации ГИС или окончании обработки данных.

Создание требований к защите информации содержит:

  • решение о защите информации;
  • классификацию ГИС;
  • анализ угроз безопасности и разработку на базе актуальных данных системы безопасности;
  • требования к ГИС.

Классификация ГИС осуществляется на основе установленных классов защищенности и проводится, исходя из значимости информации и масштаба ГИС:

  • Для федеральной ИС уровень значимости устанавливается: УЗ1 – К1; УЗ2 – К1; УЗ3 – К2; УЗ4 – К3.
  • Для региональной ИС: УЗ1 – К1; УЗ2 – К2; УЗ3 – К3; УЗ4 – К3.
  • Для объектовой ИС: УЗ1 – К1; УЗ2 – К2; УЗ3 – К3; УЗ4 – К4.

Определение уровня значимости зависит от ущерба, который может быть нанесен вследствие нарушения доступа, осуществления копирования или распространения информации, уничтожения или неправомерного блокирования.

Определение актуальных угроз безопасности выполняется с учетом характеристик ГИС, в соответствии с которым появляется возможность оценивать возможности нарушителей, определять уязвимость данных и возможных последствий.

Выявление угроз производится в соответствии с методическими актами, в составе которых:

  • Типичная модель угроз;
  • Методы выявления актуальных угроз.

Исходя из класса защищенности, формируются требования к СЗИ. В процессе определения требований к СЗИ принимаются во внимание положения политик обеспечения информационной безопасности, созданных в соответствии с ГОСТ.

Создание СЗИ с учетом ГОСТ включает:

  • Разработку СЗИ;
  • Создание эксплуатационной документации;
  • Тестирование СЗИ.

Исходя из Требований, обеспечивается работа СЗИ, чтобы не возникало препятствий в процессе ее функционирования.

В проектной документации отражаются результаты разработок СЗИ.

В процессе создания СЗИ используются методы защиты информации, которые прошли обязательную сертификацию и соответствуют требованиям безопасности.

Если отсутствуют сертифицированные средства защиты, то осуществляется пересмотр проектных решений под функциональные возможности существующих.

Исходя из разработанной документации, выполняется внедрение СЗИ, которое включает в себя:

  • выполнение установки и настройки СЗИ;
  • создание организационных и распорядительных документов, в которых прописаны правила и способы обеспечения безопасности в процессе эксплуатации ГИС;
  • осуществление внедрения организационных процедур, направленных на защиту информации;
  • проведение тестирования СЗИ;
  • осуществление предварительной эксплуатации СЗИ;
  • проведение анализа уязвимости ГИС и разработка мер, направленных на ее устранение;
  • проведение приемочных испытаний СЗИ.

Процедуры и правила определяются с помощью разрабатываемых ОРД:

  • администрирования СЗИ;
  • определение фактов, которые могут вызвать сбой в работе ИС или появлению угроз безопасности;
  • управления СЗИ;
  • мониторинга защищенности информации;
  • защиты информации в процессе прекращения эксплуатации ГИС или после окончательной обработки информации.

В процессе внедрения мер по защите информации, происходит:

  • введение ограничений на действия пользователей, пересмотрение условий использования программного обеспечения в процессе исполнения правил;
  • анализ полноты сведений в ОРД, направленных на описание действий пользователей и администраторов в период использования мер по защите информации;
  • оценка действий должностных лиц, которые несут ответственность за использование мер по защите информации.

Проведение оценки уязвимости необходимо для определения возможностей нарушителя и предотвращения угроз безопасности данных.

Если в процессе анализа будут выявлены уязвимости, которые могут повлечь за собой появление дополнительных угроз безопасности информации, то осуществляется корректировка модели угроз, и, если возникает необходимость, принимаются меры по защите информации, которые будут направлены на ликвидацию уязвимостей или на предотвращение возможности использования уязвимостей нарушителем.

Проведение приемочных испытаний выполняется в строгом соответствии с ГОСТ и направлены на контроль выполнения требований, указанных в техническом задании.

Аттестация ГИС предполагает выполнение организационно-технических мероприятий, по результатам которых определяется соответствие СЗИ требованиям безопасности.

После осуществления аттестационных испытаний формируются протоколы и заключение о соответствии требованиям безопасности, выдается аттестат, если результат оказывается положительным.

Аттестация может проводиться на основе результатов испытаний соответствующих сегментов ГИС, которые используют технологию обработки данных.

Внедрение ГИС может проводиться только при наличии аттестата соответствия.

В процессе использования аттестованной ГИС должна обеспечиваться защита информации, которая выполняется в соответствии с разработанными документами, например:

  • администрирование СЗИ;
  • определение нарушений и устранение их;
  • управление программным обеспечением и СЗИ;
  • мониторинг уровня защиты информации.

Организационно-технические меры, внедряемые в СЗИ, исходя из актуальности угроз, обеспечивают:

  • определение объектов и субъектов доступа;
  • контроль доступа субъектов к объектам;
  • наложение ограничений на программную среду;
  • защиту электронных носителей информации;
  • фиксирование событий безопасности;
  • защиту от вирусов;
  • контроль незаконного доступа;
  • осуществление контроля защиты информации;
  • полноту и доступность информации;
  • организацию защиты виртуальной среды;
  • обеспечение защиты технических средств;
  • защиту ИС и систем передачи данных.

Полный комплекс мер по защите информации, предназначенных для соответствующих классов защищенности ИС, можно найти в приложении к Требованиям.

Определение защитных мер СЗИ включает:

  • выявление основных мер, необходимых для определенного класса защищенности;
  • применение основных мер к особенностям ГИС;
  • определение основных мер по блокировке актуальных угроз безопасности, которые включены в существующую модель угроз;
  • добавление дополнительных мер, которые будут направлены на обеспечение соблюдений требований безопасности, включая защиту личных данных.

Если нет возможности использовать СЗИ в соответствии с выбранными мерами в период адаптации или уточнения основных мер защиты, то определяются и разрабатываются другие меры, которые будут обеспечивать блокирование угроз. Тогда в ходе создания СЗИ определяется обоснование использования компенсирующих мер для устранения актуальных угроз безопасности.

Компенсирующие меры должны создаваться и в период применения новых информационных технологий и определения дополнительных угроз безопасности.

Использование технических мер защиты информации выполняется за счет СЗИ, наделенных функциями безопасности.

Внедрение СКЗИ выполняется на основе Положения ПКЗ-2005, утвержденного Приказом ФСБ.

В случае нарушения требований Законодательства в отношении защиты информации последует дисциплинарная, административная или уголовная ответственность.

Цель и задачи разработки СЗИ

Цель разработки СЗИ направлена на реализацию обязанностей заказчика по использованию правовых, организационно-технических мер защиты информации, исходя из требований ФЗ №149 и нормативных актов.

Для достижения цели создания СЗИ осуществляется решение следующих задач:

  1. Выполнение анализа уязвимости и классификации ГИС;
  2. Создание индивидуальной модели актуальных угроз безопасности информации;
  3. Определение организационно-технических мер, которые направлены на устранение актуальных угроз безопасности, исходя из особенностей ГИС;
  4. Создание ОРД, определяющей порядок защиты информации, исходя из организационных мер.
  5. Создание СЗИ на основе разработанного технического задания;
  6. Проектирование СЗИ, исходя из выбранных технических мер:
    1. контроля доступа к информации;
    2. безопасности сети;
    3. защиты от вирусов;
    4. криптографической защиты;
    5. анализа событий безопасности;
    6. защиты виртуального пространства;
    7. ликвидации утечек информации;
    8. решения, требуемого для ликвидации актуальных угроз;
    9. защиты мобильных устройств;
  7. Внедрение технических решений, сервисное обслуживание СЗИ;
  8. Проверка уязвимости ГИС;
  9. Обучение персонала в учебном центре;
  10. Проверка ГИС на соответствие требованиям безопасности, аттестация.

В период выполнения работ целесообразно полагаться на экономическую целесообразность и эффективность осуществляемого комплекса мер по защите ГИС.

Результаты разработок СЗИ

После разработки СЗИ Заказчику выдается документация:

  1.  Отчет об исследованиях ГИС;
  2.  Основные рекомендации по улучшению СЗИ;
  3.  Проект, содержащий классификацию ГИС;
  4.  Индивидуальная модель актуальных угроз информационной безопасности;
  5.  Перечень основных требования и мер защиты СЗИ;
  6.  Организационно-распорядительная документация, включая в себя:
    1. разработанную политику, реализация которой направлена на защиту информации в ГИС;
    2. требования защиты информации;
    3. должностные инструкции сотрудников ГИС в сфере защиты информации;
    4. другую документацию;
    5. техническое задание.
  7. Проектная и эксплуатационная документация;
  8. Документация для получения лицензии для осуществления деятельности, связанной с защитой информации;
  9. Документация о проведенном мониторинге уязвимости ГИС;
  10. Документ приемосдаточных испытаний СЗИ;
  11. Аттестационные документы;
  12. Протокол выполненных аттестационных испытаний;
  13. Документ соответствия требованиям безопасности;
  14. Отчет об уровне защищенности ГИС. 

8.4 Программно-техническое обеспечение безопасности информационных систем.

Меры и средства программно-технического уровня. В рамках современных ИС должны быть доступны, по крайней мере, следующие ме­ханизмы безопасности:

  • применение защищенных виртуальных частных сетей VPN для защиты ин­формации, передаваемой по открытым каналам связи;

Под термином VPN, как правило, понимается сеть, обеспечивающая достаточ­но экономичный, надежный и безопасный способ конфиденциальной связи меж­ду бизнес-партнерами, компаниями и их клиентами, отдельными подразделения­ми предприятия, удаленными сотрудниками и центральным офисом, причем все это реализуется на базе сетей общего пользования.

  • применение межсетевых экранов для защиты корпоративной сети от вне­шних угроз при подключении к общедоступным сетям связи;

  • управление доступом на уровне пользователей и защита от несанкциониро­ванного доступа к информации;

  • гарантированная идентификация пользователей путем применения токенов (смарт-карты, touch-memory, ключи для USB-портов и т.п.) и других средств аутентификации;

  • защита информации на файловом уровне (путем шифрования файлов и ка­талогов) для обеспечения ее надежного хранения;

  • защита от вирусов с использованием специализированных комплексов ан­тивирусной профилактики и защиты;

  • технологии обнаружения вторжений и активного ис­следования защищенности информационных ресурсов;

  • криптографическое преобразование данных для обеспечения целостности, подлинности и конфиденциальности информации

8.5 Организационно-экономическое обеспечение безопасности информационных систем.

Администрация организа­ции должна сознавать необходимость поддержания режима безопасности и выделения на эти цели соответствующих ресурсов. Основой мер защиты админист­ративно-организационного уровня является политика безопасности и комплекс организационных мер.

К комплексу организационных мер относятся меры безопасности, реализуемые людьми. Можно выделить следующие группы организационных мер:

  • стандартизация способов и средств защиты информации

  • сертификация компьютерных систем и сетей и их средств защиты

  • лицензирование деятельности в сфере защиты информации

  • страхование информационных рисков, связанных с функционированием компьютерных систем и сетей

  • контроль за действием персонала в защищенных информационных системах

  • организационное обеспечение функционирования систем защиты информации. Включает в себя:

Метод защиты при помощи программных паролей; обучение персонала; архивирование и дублирование информации: носители информации должны храниться в разных местах, не доступных для посторонних лиц; важная информация должна иметь несколько копий на разных носителях и в шифрованном виде; создание механических, электро-механических устройств и сооружений, предназначенных для создания физических препятствий на путях возможного проникновения нарушителей к компонентам защиты и защищаемой информации..

8.6 Правовое обеспечение безопасности информационных систем.

Меры законодательного уровня очень важны для обеспечения ИБ. К этому уровню можно отнести весь комплекс мер, направленных на создание и поддержание в обществе негативного (в том числе карательного) отношения к нарушениям и нарушителям информационной безопасности. Боль­шинство людей не совершают противоправных действий потому, что это осуж­дается и/или наказывается обществом, и потому, что так поступать не принято.

Правовые отношения в области безопасности ИС регулируются законом «Об информатизации» от 6 сентября 1995 г. N 3850-XII. Настоящий Закон регулирует правоотношения, возникающие в процессе формирования и использования документированной информации и информационных ресурсов; создания информационных технологий, автоматизированных или автоматических информационных систем и сетей (в дальнейшем - информационные системы и сети); определяет порядок защиты информационного ресурса, а также прав и обязанностей субъектов, принимающих участие в процессах информатизации.

Одним из основных принципов информатизации является защита прав собственности на объекты права собственности в сфере информатизации.

Вопросам информационной безопасности посвящена ГЛАВА V. «Защита информационных ресурсов и прав субъектов информати3ации».

Защита государственных информационных систем

Описание Результат Нормативные документы

Государственные информационные системы (ГИС) - федеральные информационные системы и региональные информационные системы, созданные на основании соответственно федеральных законов, законов субъектов Российской Федерации, на основании правовых актов государственных органов.

Необходимость защиты информации, содержащейся в ГИС устанавливает Федеральный Закон от 27.07.2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации», который обязывает владельца информации и оператора информационной системы, обеспечить защиту информации от неправомерных доступа, уничтожения, модифицирования, блокирования, копирования, предоставления, распространения и иных неправомерных действий путем принятия  правовых, организационных и технически мер, направленных на соблюдение конфиденциальности информации ограниченного доступа и реализацию права на доступ к общедоступной информации.

Требования о защите информации в ГИС в соответствии с 149-ФЗ утверждены Приказом ФСТЭК России от 11 февраля 2013 г. № 17 и обязательны для выполнения с 1 сентября 2013 г., в том числе и при обработке информации в муниципальных информационных системах.

Требования предназначены для обладателей информации, заказчиков, заключивших государственный контракт на создание ГИС, операторов ГИС и лиц, осуществляющих обработку информации, являющейся государственным ресурсом.

Для обеспечения защиты информации в ГИС наша организация предлагает проведение следующих мероприятий:– формирование требований к защите информации;– разработка системы защиты информации (СЗИ);– внедрение СЗИ;– аттестация ГИС по требованиям защиты информации (далее – аттестация) и ввод ее в действие;– обеспечение защиты информации в ходе эксплуатации аттестованной ГИС;– обеспечение защиты информации при выводе из эксплуатации аттестованной ГИС или после принятия решения об окончании обработки информации.

Целью создания СЗИ является выполнение обязанностей Заказчика по применению правовых, организационных и технических мер обеспечения безопасности информации в соответствии с ФЗ-149 и принятыми в соответствии с ним нормативными правовыми актами. В случае нарушения требований законодательства в отношении нарушении правил защиты информации последует дисциплинарная, административная или уголовная ответственность.

ООО «Гранит» предлагает решение следующих задач:1.     Проведение обследования и классификации ГИС.2.    Разработка частной модели угроз безопасности информации.3.    Разработка технического задания.4. Разработка технического проекта на создание СЗИ и разработка организационно-распорядительной документации (ОРД), регламентирующей порядок защиты.5. Проектирование СЗИ в составе следующих решений в зависимости от выбранных технических мер:– управления доступом к информационным ресурсам;– сетевой безопасности;– антивирусной защиты;– криптографической защиты информации;– анализа уязвимости;– мониторинга событий безопасности;– защиты виртуальной инфраструктуры;– предотвращения утечки данных;– защиты мобильных устройств;– прочие решения, необходимые для нейтрализации актуальных угроз.6.    Поставка и внедрение средств защиты информации.7.    Аттестация ГИС по требованиям защиты информации.


Смотрите также