21 фстэк упд 16 сзи чем обеспечить

Обновлено: 02.07.2024

В соответствии с СТР-К необходимо произвести классификацию АС . Классификация АС осуществляется на основе Руководящего документа Гостехкомиссии России "Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации". Процедура классификации АС и требования по защите информации от НСД в зависимости от класса АС были рассмотрены в "Объекты защиты информации" .

В 2013 году ФСТЭК выпустила 2 документа:

• Приказ ФСТЭК России N 17 "Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах" от 11.02.2013 (далее Приказ ФСТЭК №17)
• Приказ ФСТЭК России от 18.02.2013 N 21 "Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных".

Приказ ФСТЭК №17 определяет требования о защите информации ограниченного доступа, не составляющей государственную тайну, содержащейся в государственных информационных системах (далее ГИС).

Государственные информационные системы - федеральные информационные системы и региональные информационные системы , созданные на основании соответственно федеральных законов, законов субъектов РФ, на основании правовых актов государственных органов[107].

Если в ГИС обрабатываются персональные данные , то помимо требований Приказа ФСТЭК №17 необходимо выполнять также требования к защите персональных данных при их обработке в информационных системах персональных данных, утвержденных постановлением Правительства Российской Федерации от 1 ноября 2012 г. N 1119.

Приказ ФСТЭК №17 регламентирует использование сертифицированных средств защиты информации и обязательную аттестацию ИС.

В приказе сформирован свой порядок классификации ИС. Класс защищенности ИС определяется в зависимости от уровня значимости информации (УЗ), обрабатываемой в этой информационной системе, и масштаба информационной системы (федеральный, региональный, объектовый).

Уровень значимости информации определяется степенью возможного ущерба для обладателя информации (заказчика) и (или) оператора от нарушения конфиденциальности, целостности или доступности информации.

Степень возможного ущерба определяется обладателем информации (заказчиком) и (или) оператором самостоятельно экспертным или иными методами и может быть:

• высокой, если в результате нарушения одного из свойств безопасности информации возможны существенные негативные последствия в социальной, политической, международной, экономической, финансовой или иных областях деятельности и (или) информационная система и (или) оператор (обладатель информации) не могут выполнять возложенные на них функции;
• средней, если в результате нарушения одного из свойств безопасности информации (конфиденциальности, целостности, доступности) возможны умеренные негативные последствия в социальной, политической, международной, экономической, финансовой или иных областях деятельности и (или) информационная система и (или) оператор (обладатель информации) не могут выполнять хотя бы одну из возложенных на них функций;
• низкой, если в результате нарушения одного из свойств безопасности информации (конфиденциальности, целостности, доступности) возможны незначительные негативные последствия в социальной, политической, международной, экономической, финансовой или иных областях деятельности и (или) информационная система и (или) оператор (обладатель информации) могут выполнять возложенные на них функции с недостаточной эффективностью или выполнение функций возможно только с привлечением дополнительных сил и средств.

Информация имеет высокий уровень значимости (УЗ 1), если хотя бы для одного из свойств безопасности информации определена высокая степень ущерба. Информация имеет средний уровень значимости (УЗ 2), если хотя бы для одного из свойств безопасности информации определена средняя степень ущерба и нет ни одного свойства, для которого определена высокая степень ущерба. Информация имеет низкий уровень значимости (УЗ 3), если для всех свойств безопасности информации определены низкие степени ущерба.

При обработке в информационной системе двух и более видов информации ( служебная тайна , налоговая тайна и иные установленные законодательством Российской Федерации виды информации ограниченного доступа) уровень значимости информации (УЗ) определятся отдельно для каждого вида информации. Итоговый уровень значимости информации, обрабатываемой в информационной системе, устанавливается по наивысшим значениям степени возможного ущерба, определенным для конфиденциальности, целостности, доступности информации каждого вида информации.

Информационная система имеет федеральный масштаб, если она функционирует на территории Российской Федерации (в пределах федерального округа) и имеет сегменты в субъектах Российской Федерации, муниципальных образованиях и (или) организациях.

Информационная система имеет региональный масштаб, если она функционирует на территории субъекта Российской Федерации и имеет сегменты в одном или нескольких муниципальных образованиях и (или) подведомственных и иных организациях.

Информационная система имеет объектовый масштаб, если она функционирует на объектах одного федерального органа государственной власти, органа государственной власти субъекта Российской Федерации, муниципального образования и (или) организации и не имеет сегментов в территориальных органах, представительствах, филиалах, подведомственных и иных организациях[106].

Класс защищенности ИС определяется по таблице 12.1:

От класса защищенности информационной системы зависит состав мер защиты, которые необходимо реализовать. Наименьший набор мер у третьего класса, наибольший - у первого.

Меры разделены на группы:

Есть меры защиты, необходимые для ИС любого класса, например, " Идентификация и аутентификация пользователей, являющихся работниками оператора" или "Ограничение неуспешных попыток входа в информационную систему (доступа к информационной системе)". Некоторые меры требуются только для ИС 1 класса защищенности, например, "Ограничение числа параллельных сеансов доступа для каждой учетной записи пользователя информационной системы".

С перечнем конкретных мер можно ознакомиться самостоятельно в тексте Приказа ФСТЭК №17.

Если речь идет о защите персональных данных в негосударственных ИС, требования определяются Постановлением Правительства от 01.11.2012 № 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных" и Приказом №21 ФСТЭК России от 18.02.2013 N 21 "Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных".

Постановление Правительства №1119 вводит классификацию информационных систем персональных данных (ИСПДн).

Информационная система персональных данных (ИСПДн) - совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств[108].

Уровень защищенности ИСПДн зависит от актуального типа угроз, типа обрабатываемых ПДн (специальные, биометрические, общедоступные, иные категории) и количества субъектов ПДн. Определение уровня защищенности производится в соответствии с таблицей 12.2.

В Приказе ФСТЭК №21 определены меры защиты информации, которые необходимо реализовать оператору в зависимости от класса ИСПДн.

Меры защиты разделены на группы:

• идентификация и аутентификация субъектов доступа и объектов доступа;
• управление доступом субъектов доступа к объектам доступа;
• ограничение программной среды;
• защита машинных носителей информации, на которых хранятся и (или) обрабатываются персональные данные (далее - машинные носители персональных данных);
• регистрация событий безопасности;
• антивирусная защита;
• обнаружение (предотвращение) вторжений;
• контроль (анализ) защищенности персональных данных;
• обеспечение целостности информационной системы и персональных данных;
• обеспечение доступности персональных данных;
• защита среды виртуализации;
• защита технических средств;
• защита информационной системы, ее средств, систем связи и передачи данных;
• выявление инцидентов (одного события или группы событий), которые могут привести к сбоям или нарушению функционирования информационной системы и (или) к возникновению угроз безопасности персональных данных (далее - инциденты), и реагирование на них;
• управление конфигурацией информационной системы и системы защиты персональных данных.

Всего 15 групп, включающих 109 защитных мер. С перечнем конкретных мер можно ознакомиться самостоятельно в тексте Приказа ФСТЭК №21.

В Приказе ФСТЭК №21 в отличие от №17 требования к системе защиты менее жесткие. Например, разрешено использование СЗИ, прошедших процедуру оценки соответствия, а аттестация ИС заменена на проведение оценки эффективности защитных мер. По решению обладателя информации (заказчика) или оператора меры Приказа №17 могут применяться для негосударственных ИС в соответствии с п.6 Требований, утвержденных Приказом ФСТЭК России №17.

Итак, есть несколько основных документов, определяющих требования по технической защите информации ограниченного доступа, не содержащей государственную тайну:

• СТР-К
• Приказ ФСТЭК России № 17
• Приказ ФСТЭК России № 21
• Постановление Правительства №1119

Если ГИС без персональных данных - требования к системе защиты информации определяются в соответствии с Приказом ФСТЭК России № 17.

Если ГИС, в которой есть персональные данные , - требования к системе защиты информации определяются на основе Приказа ФСТЭК России № 17 + Постановление Правительства №1119 (в соответствии с пунктом 5 Требований, утвержденных Приказом ФСТЭК России №17). Также должно быть обеспечено соотношение класса защищенности ГИС с уровнем защищенности персональных данных. Если определенный уровень защищенности ПДн выше, чем класс защищенности ГИС, то осуществляется повышение класса защищенности ГИС в соответствии с пунктом 27 Требований, утвержденных Приказом ФСТЭК России №17.

Если ИС негосударственная и в ней обрабатываются персональные данные - требования определяются на основе Постановления Правительства №1119+Приказ ФСТЭК России 21.

Кроме того, положения СТР-К и РД АС применяются по решению обладателя информации (заказчиков, операторов информационных систем) для защиты информации, содержащей сведения конфиденциального характера, в негосударственных ИС.

Сертификация ФСТЭК – процедура получения документа, подтверждающего, что средство защиты информации соответствует требованиям нормативных и методических документов ФСТЭК России.

Сертификация ФСТЭК для средств защиты информации создана для того, чтобы обеспечить:

• Защиту конфиденциальной информации строго определенного уровня.
• Возможность для потребителей выбирать качественные и эффективные средства защиты информации.
• Содействие формированию рынка защищенных информационных технологий и средств их обеспечения.

Зачем нужна сертификация ФСТЭК?

Сертификация ФСТЭК необходима для строго определенных сфер деятельности и ее необходимость зависит от того, какая именно информация будет обрабатываться в той или иной информационной системе.

Сферы деятельности с обязательной сертификацией средств защиты информации:

• Государственные информационные системы (ГИС).
• Автоматизированные системы управления технологическим процессом (АСУ ТП).
• Персональные данные (ЗПДн).
• Критическая информационная инфраструктура (КИИ).
• Государственная тайна (ЗГТ).
• Конфиденциальная информация (служебная информация).

Несертифицированный продукт невозможно использовать в тех сферах деятельности, где обязательно использование сертифицированных продуктов.

Использование компанией несертифицированной продукции в сфере деятельности, требующей обязательной сертификации средств защиты информации, может повлечь за собой серьезные последствия: от больших штрафов до уголовной ответственности для руководителей.

Отличия сертифицированных версий от версий общего пользования

Сертифицированные версии решений поставляются с соответствующим сертификатом, формуляром, инструкциями и прочими документами, подтверждающими класс, уровень защищенности информационной системы.

У сертифицированных версий продуктов есть свои особенности:

1. Их непросто обновлять. Сертификация продукта занимает от 0,5 до 1 года. И обычно ее делают на версии продуктов, которые уже отлажены, проверены на практике, имеют достаточное количество накопленных обновлений. Таким образом, сертифицированные версии запаздывают по сравнению с версиями общего пользования.
2. У сертифицированной версии могут быть дополнительные ограничения, связанные с определенным уровнем защищенности или классом защиты. Если мы говорим про ОС и офисные продукты, то в версии с сертификацией ФСТЭК могут быть закрыты некоторые функции и опции. Особенно, если есть сертификат на отсутствие недекларированных возможностей.

Когда можно покупать решения общего пользования, а когда нужны сертифицированные?

В пределах одной компании может быть несколько информационных систем. Некоторые из них нуждаются в сертифицированных средствах защиты, а некоторые – нет. Все зависит от характера информации, которая обрабатывается в этих системах. В случае, если данные касаются вышеперечисленных сфер деятельности, сертификация обязательна.

Можно ли устанавливать на сертифицированную операционную систему несертифицированные продукты?

При необходимости можно использовать пакеты, которые не входят в состав дистрибутива, поставляемого вместе с операционной системой. Для этого несертифицированные продукты должны соответствовать следующим требованиям:

• Их установка не требует замены пакетов, входящих в состав сертифицированного дистрибутива.
• Они не имеют отношения к средствам защиты информации.
• Они могут работать в замкнутой программной среде.

Для удобства контроля и обновления сторонние пакеты помещаются в служебный репозиторий.

В том случае, если продукт относится к средствам защиты информации, он должен быть обеспечен соответствующим сертификатом.

Что делать, если изменился характер деятельности компании, а продукты не сертифицированы?

Есть два варианта дальнейшего развития событий:

1. Приобретение сертифицированной версии продукта, возможно, со скидкой производителя, если предыдущая версия принадлежит тому же разработчику. В этом случае с большой вероятностью придется сделать даунгрейд – откат решения до предыдущей сертифицированной версии.
2. Можно не менять решение, а приобрести сертифицированные наложенные программные или программно-аппаратные средства, в зависимости от того, какую подсистему нужно закрыть.

Требования ФСТЭК могут измениться, насколько это может затронуть компанию-пользователя?

Требования ФСТЭК меняются не единовременно. О любых изменениях предупреждают заранее. Кроме того, после принятия нового документа с требованиями дается около года на то, чтобы подготовить все системы компании к новым реалиям.

Чем может помочь компания Softline?

• В ряде случаев поставщики сертифицированных решений также должны обладать соответствующими лицензиями. У нас есть все необходимые статусы для поставки широкого круга сертифицированных продуктов и оказания услуг по их внедрению.
• У нас большая экспертиза в вопросе поставок сертифицированных решений и ведется сотрудничество с огромным количеством вендоров. Мы всегда сможем квалифицированно определить, в каком случае нужна сертифицированная, а в каком – несертифицированная версия продуктов, а затем выбрать оптимальный вариант.

Автор статьи: руководитель органа по аттестации объектов информатизации Softline Антон Казаков

Читайте также:

  
• Входит ли учеба в стаж службы в мвд для выплаты единовременного пособия
  
• Где регистрируется паспорт безопасности
  
• Должен ли ребенок платить за коммунальные услуги
  
• 20 лет выслуги военной службы какие привилегии
  
• Номинальный счет опекуна в сбербанке что это такое