Обзор документа «Требования о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах»
12 февраля 2013г. приказом ФСТЭК России №17 утверждены требования о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах (ГИС).
Данный документ установил требования к обеспечению защиты информации ограниченного доступа, не содержащей сведения, составляющие государственную тайну, от утечки по техническим каналам, несанкционированного доступа, специальных воздействий на такую информацию (носители информации) при обработке в государственных информационных системах. Кроме того при обработке в государственной информационной системе информации, содержащей персональные данные, требования Приказа №17 должны применятся наряду с требованиями к защите персональных данных при их обработке в информационных системах персональных данных, утвержденных постановлением Правительства РФ от 1.11.12г. №1119.
А для операторов, обрабатывающих информацию ограниченного доступа и персональные данные, на их усмотрение можно использовать настоящие требования для защиты информации, содержащейся и в негосударственных информационных ресурсах.
Документ содержит требования к организации защиты информации, критерии для определения класса защищенности информационных систем и базовые наборы мер защиты информации для соответствующего класса защищенности информационной системы.
Для обеспечения защиты информации, содержащейся в информационной системе, определены следующие мероприятия:
- Формирование требований к защите информации в ходе создания информационной системы.
- Разработка системы защиты информации информационной системы.
- Внедрение системы защиты информации информационной системы.
- Аттестация информационной системы по требованиям защиты информации и ввод ее в действие.
- Эксплуатация аттестованной информационной системы и ее системы защиты информации.
- Защита информации при выводе из эксплуатации информационной системы или после принятия решения об окончании обработки информации.
Остановимся подробнее на каждом мероприятии.
Формирование требований к защите информации в ходе создания информационной системы осуществляется с учетом:
1. ГОСТ Р 51583 «Защита информации. Порядок создания автоматизированных систем в защищенном исполнении. Общие положения»
2. ГОСТ Р 51624 «Защита информации. Автоматизированные системы в защищенном исполнении. Общие требования»,
и включает:
- принятие решения о необходимости защиты информации, содержащейся в ИС;
- классификацию информационной системы по требованиям защиты информации;
- определение актуальных угроз безопасности информации и разработку на их основе модели угроз безопасности информации;
- определение требований к системе защиты информации.
Классификацию ИС теперь рекомендуется проводить в зависимости от уровня значимости обрабатываемой в ней информации (УЗ) и масштаба ИС (федеральный, региональный, объектовый). Устанавливаются четыре класса защищенности информационной системы, определяющие уровни защищенности содержащейся в ней информации (Таблица 1).
Таблица 1
Уровень значимости информации |
Масштаб информационной системы |
||
Федеральный |
Региональный |
Объектовый |
|
УЗ 1 |
К1 |
К1 |
К1 |
УЗ 2 |
К1 |
К2 |
К2 |
УЗ 3 |
К2 |
К3 |
К3 |
УЗ 4 |
К3 |
К3 |
К4 |
Федеральный масштаб – если ИС она функционирует на территории Российской Федерации (в пределах федерального округа) и имеет сегменты в субъектах Российской Федерации, муниципальных образованиях и (или) организациях.
Региональный масштаб - если ИС функционирует на территории субъекта Российской Федерации и имеет сегменты в одном или нескольких муниципальных образованиях и (или) подведомственных и иных организациях.
Объектовый масштаб - если она функционирует на объектах одного федерального органа государственной власти, органа государственной власти субъекта Российской Федерации, муниципального образования и (или) организации и не имеет сегментов в территориальных органах, представительствах, филиалах, подведомственных и иных организациях.
УЗ 1 - если хотя бы для одного из свойств безопасности информации (конфиденциальности, целостности, доступности) определена высокая степень ущерба.
УЗ 2 - если хотя бы для одного из свойств безопасности информации (конфиденциальности, целостности, доступности) определена средняя степень ущерба и нет ни одного свойства, для которого определена высокая степень ущерба.
УЗ 3 - если для всех свойств безопасности информации (конфиденциальности, целостности, доступности) определены низкие степени ущерба.
УЗ 4 - если степень ущерба от нарушения свойств безопасности информации (конфиденциальности, целостности, доступности) не может быть определена, но при этом информация подлежит защите в соответствии с законодательством Российской Федерации.
Высокая степень ущерба – если в результате нарушения одного из свойств безопасности информации (конфиденциальности, целостности, доступности) возможны существенные негативные последствия в социальной, политической, международной, экономической, финансовой или иных областях деятельности и (или) информационная система и (или) оператор не могут выполнять возложенные на них функции.
Средняя степень ущерба – если в результате нарушения одного из свойств безопасности информации (конфиденциальности, целостности, доступности) возможны умеренные негативные последствия в социальной, политической, международной, экономической, финансовой или иных областях деятельности и (или) информационная система и (или) оператор не могут выполнять хотя бы одну из возложенных на них функций.
Низкая степень ущерба – если в результате нарушения одного из свойств безопасности информации (конфиденциальности, целостности, доступности) возможны незначительные негативные последствия в социальной, политической, международной, экономической, финансовой или иных областях деятельности и (или) информационная система и (или) оператор могут выполнять возложенные на них функции с недостаточной эффективностью или выполнение функций возможно только с привлечением дополнительных сил и средств.
Разработка системы защиты информации ИС осуществляется в соответствии с ТЗ с учетом:
- ГОСТ 34.601 «Информационная технология. Комплекс стандартов на автоматизированные системы. Автоматизированные системы. Стадии создания».
- ГОСТ Р 51583
- ГОСТ Р 51624
и включает:
1. Проектирование системы защиты информации ИС:
- определяются типы субъектов доступа (пользователи, процессы и иные субъекты доступа) и объектов доступа, являющихся объектами защиты (устройства, объекты файловой системы, запускаемые и исполняемые модули, объекты системы управления базами данных, объекты, создаваемые прикладным программным обеспечением, иные объекты доступа);
- определяются методы управления доступом (дискреционный, мандатный, ролевой или иные методы), типы доступа (чтение, запись, выполнение или иные типы доступа) и правила разграничения доступа субъектов доступа к объектам доступа (на основе списков, меток безопасности, ролей и иных правил), подлежащие реализации в информационной системе;
- выбираются меры защиты информации, подлежащие реализации в системе защиты информации информационной системы;
- определяются виды и типы средств защиты информации, обеспечивающие реализацию технических мер защиты информации;
- определяется структура системы защиты информации информационной системы, включая состав (количество) и места размещения ее элементов;
- осуществляется выбор средств защиты информации, сертифицированных на соответствие требованиям по безопасности информации, с учетом их стоимости, совместимости с информационными технологиями и техническими средствами, функций безопасности этих средств и особенностей их реализации, а также класса защищенности информационной системы;
- определяются параметры настройки программного обеспечения, включая программное обеспечение средств защиты информации, обеспечивающие реализацию мер защиты информации, а также устранение возможных уязвимостей информационной системы, приводящих к возникновению актуальных угроз безопасности информации;
- определяются меры защиты информации при информационном взаимодействии с иными информационными системами и информационно-телекоммуникационными сетями, в том числе с информационными системами уполномоченного лица, а также при применении вычислительных ресурсов (мощностей), предоставляемых уполномоченным лицом для обработки информации.
2. Разработку эксплуатационной документации на систему защиты информации ИС:
- описание структуры системы защиты информации информационной системы;
- описание состава, мест установки, параметров и порядка настройки средств защиты информации, программного обеспечения и технических средств;
- описание правил эксплуатации системы защиты информации информационной системы.
3. Макетирование и тестирование системы защиты информации ИС (при необходимости):
- проверка работоспособности и совместимости выбранных средств защиты информации с информационными технологиями и техническими средствами;
- проверка выполнения выбранными средствами защиты информации требований к системе защиты информации информационной системы;
- корректировка проектных решений, разработанных при создании информационной системы и (или) системы защиты информации информационной системы;
- корректировка проектной и эксплуатационной документации на систему защиты информации информационной системы.
Внедрение системы защиты информации ИС включает:
- установку и настройку средств защиты информации в информационной системе;
- разработку документов, определяющих правила и процедуры, реализуемые оператором для обеспечения защиты информации в информационной системе в ходе ее эксплуатации;
- внедрение организационных мер защиты информации;
- предварительные испытания системы защиты информации информационной системы;
- опытную эксплуатацию системы защиты информации информационной системы;
- анализ уязвимостей информационной системы и принятие мер защиты информации по их устранению;
- приемочные испытания системы защиты информации информационной системы.
Также в документе определены порядок проведения аттестации ИС, исходные данные, разрабатываемые в ходе проведения аттестационных испытаний документы и возможность проведения аттестации на основе результатов аттестационных испытаний выделенного набора сегментов информационной системы, реализующих полную технологию обработки информации.
Далее хотелось бы остановиться на требованиях к мерам защиты информации, содержащейся в ИС. Документом определено, что организационные и технические меры защиты информации должны обеспечивать:
- идентификацию и аутентификацию субъектов доступа и объектов доступа;
- управление доступом субъектов доступа к объектам доступа;
- ограничение программной среды;
- защиту машинных носителей информации;
- регистрацию событий безопасности;
- антивирусную защиту;
- обнаружение (предотвращение) вторжений;
- контроль (анализ) защищенности информации;
- целостность информационной системы и информации;
- доступность информации;
- защиту среды виртуализации;
- защиту технических средств;
- защиту информационной системы, ее средств и систем связи и передачи данных.
Выбор мер защиты информации для их реализации в ИС включает:
- определение начального базового набора мер защиты информации для установленного класса защищенности ИС в соответствии с базовыми наборами мер защиты информации, приведенными в приложении № 2 приказа;
- адаптацию базового набора мер защиты информации применительно к структурно-функциональным характеристикам информационной системы, информационным технологиям, особенностям функционирования информационной системы (в том числе предусматривающую исключение из базового набора мер защиты информации, мер, непосредственно связанных с информационными технологиями, не используемыми в информационной системе, или структурно-функциональными характеристиками, не свойственными информационной системе);
- уточнение адаптированного базового набора мер защиты информации с целью обеспечения защиты информации от всех актуальных угроз безопасности информации, включенных в модель угроз безопасности информации оператора;
- дополнение уточненного адаптированного базового набора мер защиты информации мерами, обеспечивающими выполнение требований о защите информации, установленными иными нормативными правовыми актами в области защиты информации, в том числе в области защиты персональных данных.
Кроме того документ определяет, что при невозможности реализации в информационной системе в рамках ее системы защиты информации отдельных выбранных мер защиты информации на этапах адаптации базового набора мер защиты информации или уточнения адаптированного базового набора мер защиты информации могут разрабатываться иные (компенсирующие) меры защиты информации, обеспечивающие адекватное блокирование (нейтрализацию) актуальных угроз безопасности информации. В этом случае в ходе разработки системы защиты информации информационной системы должно быть проведено обоснование применения компенсирующих мер защиты информации, а при аттестационных испытаниях оценена достаточность и адекватность данных компенсирующих мер для блокирования (нейтрализации) актуальных угроз безопасности информации. Что из этого получится покажет время, поскольку оценка достаточности и адекватности компенсирующих мер – вещь достаточно субъективная, да и в фразе о «…невозможности реализации в ИС отдельных мер защиты информации…» отсутствуют критерии оценки такой невозможности.
В информационных системах для реализации технических мер защиты информации необходимо использовать средства защиты информации определенного класса (таблица 2).
Таблица 2
Средства защиты информации |
Класс информационной системы (уровень защищенности ПДн) |
|||
1 (УЗ1)* |
2 (УЗ2)* |
3 (УЗ3) |
4 (УЗ4) |
|
СВТ |
5 |
5 |
5 |
5 |
СОВ |
4 |
4 |
4 (есть подкл. internet) 5 (нет подкл. internet) |
6 |
САЗ |
4 |
4 |
4 (есть подкл. internet) 5 (нет подкл. internet) |
6 |
МЭ |
3 (есть подкл. internet) 4 (нет подкл. internet) |
3 (есть подкл. internet) 4 (нет подкл. internet) |
3 (есть подкл. internet) 4 (нет подкл. internet) |
4 |
* - для использования в информационных системах данного класса СЗИ должны соответствовать 4 уровню контроля отсутствия недекларированных возможностей.
И в приложении 2 к приказу 17 отражены базовые и компенсирующие меры защиты информации для соответствующего класса защищенности информационной системы.