Проведение работ по защите Государственных информационных систем
 |
|
Мы предлагаем оказание услуг по обеспечению в соответствии с требованиями Законодательства защиты конфиденциальной и общедоступной информации, содержащейся в государственных информационных систем (ГИС).
В соответствии с Федеральным законом от 27 июля 2006 г. №149-ФЗ «Об информации, информационных технологиях и о защите информации» государственные информационные системы (ГИС) создаются в целях реализации полномочий государственных органов и обеспечения обмена информацией между этими органами, а также в иных установленных федеральными законами целях.
При этом к ГИС относятся федеральные информационные системы и региональные информационные системы, созданные на основании соответственно федеральных законов, законов субъектов Российской Федерации, на основании правовых актов государственных органов, а также муниципальные информационные системы, созданные на основании решения органа местного самоуправления.
С 01 сентября 2013 года требования о защите информации, содержащейся в ГИС, определяются Приказом ФСТЭК России от 11.02.2013г. №17 «Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах».
Данный Приказ определил 4 класса защищенности ГИС, устанавливаемых в зависимости от значимости обрабатываемой в ней информации и масштаба информационной системы.
Таблица
Для обеспечения защиты информации, содержащейся в ГИС, проводятся мероприятия по созданию системы защиты информации (далее – СЗИ), в том числе включающие:
• Проведение обследования ГИС, классификация ИС;
• Разработка модели угроз ИС;
• Разработка технического задания на создание системы защиты;
• Разработка комплекта проектов организационно-распорядительных документов;
• Разработка и внедрение системы защиты информации;
• Поставка и настройка средств защиты информации;
• Обучение специалистов работе со средствами защиты информации;
• Разработка программы и методики испытаний системы защиты в ГИС;
• Проведение аттестационных испытаний, выдача аттестата соответствия ГИС по требованиям защиты информации;
• Техническое сопровождение и сервисное обслуживание СЗИ.
При выборе и реализации организационно-технических мер защиты информации наши специалисты руководствуются требованиями использования наиболее экономически-эффективных решений в соответствии с индивидуальными особенностями защищаемых ГИС и спецификой деятельности Заказчика.
Применяемые методы, организационно-технические меры и средства защиты также могут быть эффективно использованы при обеспечении безопасности негосударственных информационных систем, в том числе защиты коммерческой тайны, персональных данных, банковской тайны и пр..
Приказ ФСТЭК России от 11.02.2013г. №17 определил перечень мер защиты и их базовые наборы, которые должны быть реализованы в зависимости от класса защищенности ГИС, а также установил требование об обязательной сертификации применяемых средств защиты информации.
Требования о защите Информации в соответствии с 149-ФЗ утверждены Приказом ФСТЭК России от 11 февраля 2013 г. № 17 (далее – Требования) и обязательны для выполнения с 1 сентября 2013 г., в том числе и при обработке информации в муниципальных информационных системах.
Требования предназначены для обладателей информации, заказчиков, заключивших государственный контракт на создание ГИС, операторов ГИС и лиц, осуществляющих обработку информации, являющейся государственным ресурсом.
В соответствии с Требованиями, защита Информации обеспечивается на всех стадиях создания и эксплуатации ГИС путем принятия организационных и технических мер, направленных на блокирование (нейтрализацию) угроз безопасности информации, в рамках системы (подсистемы) защиты информации (СЗИ).
Принимаемые организационные и технические меры должны быть направлены на исключение:
- неправомерных доступа, копирования, предоставления или распространения информации (обеспечение конфиденциальности информации);
- неправомерных уничтожения или модифицирования информации (обеспечение целостности информации);
- неправомерного блокирования информации (обеспечение доступности информации).
Для обеспечения защиты Информации проводятся следующие мероприятия:
- формирование требований к защите Информации;
- разработка СЗИ;
- внедрение СЗИ;
- аттестация ГИС по требованиям защиты информации (далее – аттестация) и ввод ее в действие;
- обеспечение защиты информации в ходе эксплуатации аттестованной ГИС;
- обеспечение защиты информации при выводе из эксплуатации аттестованной ГИС или после принятия решения об окончании обработки информации.
Формирование требований к защите информации включает:
- принятие решения о необходимости защиты Информации;
- классификацию ГИС по требованиям защиты информации (далее – классификация);
- определение актуальных угроз безопасности информации и разработку на их основе модели угроз;
- определение требований к СЗИ.
Классификация ГИС по четырем установленным класса защищенности проводится в зависимости от значимости обрабатываемой в ней информации и масштаба ГИС (федеральный, региональный, объектовый) в соответствии с выше приведенной таблицей.
Уровень значимости информации определяется степенью возможного ущерба от нарушения конфиденциальности (неправомерные доступ, копирование, предоставление или распространение), целостности (неправомерные уничтожение или модифицирование) или доступности(неправомерное блокирование) информации.
Актуальные угрозы безопасности информации определяются с учетом структурно-функциональных характеристик ГИС по результатам оценки возможностей нарушителей, анализа возможных уязвимостей, способов реализации угроз и последствий.
Определение актуальных угроз осуществляется в соответствии с Методическими документами ФСТЭК России в составе:
- Базовая модель угроз;
- Методика определения актуальных угроз.
Требования к СЗИ определяются в зависимости от класса защищенности ГИС и актуальных угроз безопасности Информации.
При определении требований к СЗИ учитываются положения политик обеспечения ИБ Заказчика, разработанных по ГОСТ Р ИСО/МЭК 27001 «Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования».
Разработка СЗИ осуществляется в соответствии с ГОСТ и включает:
- проектирование СЗИ;
- разработку эксплуатационной документации;
- макетирование и тестирование СЗИ (при необходимости).
В соответствии с Требованиями обеспечивается, чтобы СЗИ не препятствовала достижению целей создания ГИС и ее функционированию.
Результаты проектирования СЗИ отражаются в проектной документации (эскизном (техническом) проекте и (или) в рабочей документации).
При разработке СЗИ применяются средства защиты информации, прошедшие оценку соответствия в форме обязательной сертификации на соответствие требованиям по безопасности информации.
При отсутствии необходимых сертифицированных средств защиты производится корректировка проектных решений с учетом функциональных возможностей имеющихся.
Внедрение СЗИ осуществляется в соответствии с разработанной документацией и в том числе включает:
- установку и настройку средств защиты информации;
- разработку организационно-распорядительных документов, определяющих правила и процедуры обеспечения защиты в ходе эксплуатации ГИС (далее – ОРД);
- внедрение организационных мер защиты информации;
- предварительные испытания СЗИ;
- опытную эксплуатацию СЗИ;
- анализ уязвимостей ГИС и принятие мер по их устранению;
- приемочные испытания СЗИ.
Разрабатываемые ОРД определяют следующие правила и процедуры:
- управления (администрирования) СЗИ;
- выявления инцидентов, которые могут привести к сбоям или нарушению функционирования информационной системы и (или) к возникновению угроз безопасности информации (далее – инциденты), и реагирования на них;
- управления конфигурацией аттестованной ГИС и СЗИ;
- контроля (мониторинга) за обеспечением уровня защищенности информации;
- защиты информации при выводе из эксплуатации ГИС или после принятия решения об окончании обработки информации.
При внедрении организационных мер защиты информации осуществляются:
- реализация правил разграничения доступа и введение ограничений на действия пользователей, а также на изменение условий эксплуатации, состава и конфигурации технических средств и программного обеспечения;
- проверка полноты и детальности описания в ОРД действий пользователей и администраторов ГИС по реализации организационных мер защиты информации;
- отработка действий должностных лиц и подразделений, ответственных за реализацию мер защиты информации.
Анализ уязвимостей проводится в целях оценки возможности преодоления нарушителем СЗИ и предотвращения реализации угроз безопасности информации.
В случае выявления уязвимостей, приводящих к возникновению дополнительных угроз безопасности информации, проводится уточнение модели угроз и при необходимости принимаются дополнительные меры защиты информации, направленные на устранение выявленных уязвимостей или исключающие возможность использования нарушителем выявленных уязвимостей.
Приемочные испытания СЗИ проводятся с учетом ГОСТ 34.603 и включают проверку выполнения требований утвержденного технического задания.
Аттестация ГИС включает проведение комплекса организационных и технических мероприятий (аттестационных испытаний), в результате которых подтверждается соответствие СЗИ установленным Требованиям безопасности.
По результатам аттестационных испытаний оформляются протоколы, заключение о соответствии и аттестат соответствия в случае положительных результатов.
Допускается аттестация на основе результатов аттестационных испытаний выделенного набора сегментов ГИС, реализующих полную технологию обработки информации.
Ввод в действие ГИС осуществляется при наличии аттестата соответствия.
Обеспечение защиты информации в ходе эксплуатации аттестованной ГИС осуществляется оператором в соответствии с разработанными документами и в том числе включает:
- управление (администрирование) СЗИ;
- выявление инцидентов и реагирование на них;
- управление конфигурацией аттестованной ГИС и ее СЗИ;
- контроль (мониторинг) за обеспечением уровня защищенности Информации.
Организационные и технические меры, реализуемые в СЗИ, в зависимости от актуальных угроз и используемых ИТ должны обеспечивать:
- идентификацию и аутентификацию субъектов доступа и объектов доступа;
- управление доступом субъектов доступа к объектам доступа;
- ограничение программной среды;
- защиту машинных носителей информации;
- регистрацию событий безопасности;
- антивирусную защиту;
- обнаружение (предотвращение) вторжений;
- контроль (анализ) защищенности информации;
- целостность информационной системы и информации;
- доступность информации;
- защиту среды виртуализации;
- защиту технических средств;
- защиту информационной системы, ее средств, систем связи и передачи данных.
Состав мер защиты информации и их базовые наборы для соответствующих классов защищенности информационных систем приведены в приложении № 2 к Требованиям (Приказ ФСТЭК № 17).
Выбор мер защиты в рамках СЗИ включает:
- определение базового набора мер для установленного класса защищенности;
- адаптацию базового набора мер применительно к характеристикам и особенностям функционирования ГИС;
- уточнение адаптированного базового набора мер, обеспечивающее блокирование (нейтрализацию) всех актуальных угроз безопасности, включенных в разработанную модель угроз;
- дополнение уточненного адаптированного базового набора мер, обеспечивающее выполнение иных требований о защите информации, в том числе в области защиты персональных данных.
При невозможности реализации в СЗИ отдельных выбранных мер на этапах адаптации базового набора или уточнения адаптированного базового набора мер защиты могут разрабатываться иные (компенсирующие) меры, обеспечивающие адекватное блокирование (нейтрализацию) актуальных угроз.
В этом случае в ходе разработки СЗИ должно быть проведено обоснование применения компенсирующих мер защиты, а при аттестационных испытаниях оценена достаточность и адекватность данных компенсирующих мер для блокирования (нейтрализации) актуальных угроз безопасности.
При использовании новых ИТ и выявлении дополнительных угроз безопасности, для которых не определены меры защиты, должны разрабатыватьсякомпенсирующие меры.
Технические меры защиты информации реализуются посредством применения средств защиты информации, имеющих необходимые функции безопасности.
Использование СКЗИ осуществляется в соответствии с Положением ПКЗ-2005, утвержденным Приказом ФСБ России от 09.02.2005г. №66 и Инструкцией №152, утвержденной Приказом ФАПСИ от 13.06.2001г.
Нарушение требований Законодательства РФ в области защиты информации влечет за собой дисциплинарную, гражданско-правовую, административную или уголовную ответственность.
Результаты создания системы защиты информации
В результате создания СЗИ Заказчик получает следующие отчетные документы:
- Отчет о результатах обследования ГИС;
- Рекомендации по созданию/совершенствованию СЗИ;
- Проект распоряжения о классификации ГИС;
- Частная модель актуальных угроз безопасности Информации;
- Требования к СЗИ, перечень и обоснование необходимых мер защиты;
- Комплект ОРД, в т.ч.:
- Политика защиты информации в ГИС;
- Положение об организации и ведению работ по защите информации в ГИС;
- Регламент защиты информации;
- Разделы должностных инструкций персонала ГИС в части защиты информации;
- Прочие…
- Техническое задание на создание СЗИ;
- Комплект проектной и эксплуатационной документации на СЗИ;
- Комплект документов, необходимых для получения лицензий на осуществление деятельности по технической защите информации;
- Отчет о проведенном анализе уязвимости ГИС;
- Протокол приёмосдаточных испытаний СЗИ;
- Пакет документации на аттестуемый объект информатизации ГИС;
- Программа-методика проведения аттестационных испытаний;
- Протоколы проведенных аттестационных испытаний;
- Аттестат соответствия ГИС требованиям безопасности информации.
- Отчеты о результатах оценки уровня защищенности ГИС в процессе сервисного обслуживания.