Какие мероприятия проводятся для обеспечения защиты информации содержащейся в информационной системе
Обновлено: 02.07.2024
Технические и организационные меры по защите информации в единой информационно-коммуникационной инфраструктуре Свердловской области (далее — ИК-инфраструктура) разработаны на основании следующих Руководящих документов:
2. Назначение и состав Единой информационно-коммуникационной структуры Свердловской области.
Единая информационно-коммуникационная инфраструктура Свердловской области представляет собой совокупность информационных и коммуникационных инфраструктур, в том числе единая сеть передачи данных Правительства Свердловской области (далее — ЕСПД) и центры обработки данных Правительства Свердловской области (основной и резервный) (далее – ЦОД), предназначенные для предоставления базовых инструментов информатизации и единых информационных сервисов всем пользователям ИК-инфраструктуры.
Под средством ИК-инфраструктуры предоставляется (может предоставляться) доступ к Государственным информационным системам Свердловской области.
Элементы единой информационно-коммуникационной инфраструктуры Свердловской области (ЦОД ГБУ Свердловской области «Оператор электронного правительства, коммутационные узлы для подключения исполнительных органов государственной власти Свердловской области к ЦОДу) аттестованы по 2 классу защищенности информационных систем и 2 уровню защищенности персональных данных.
Для информационных систем 2 класса защищённости меры защиты информации обеспечивают 2, 3 и 4 уровни защищённости персональных данных.
Класс защищенности Государственных информационных систем Свердловской области, оператором которых является Министерство транспорта и связи Свердловской области, представлен в таблице 1.
3. Мероприятия по защите информации в ИК-инфраструктуре при подключении к Государственным информационным системам и системам персональных данных.
3.1 Общие требования.
При подключении к Государственным информационным системам и Информационным системам персональных данных участниками ИК-инфраструктуры должны быть реализованы следующие меры защиты информации:
идентификация и аутентификация субъектов доступа и объектов доступа; управление доступом субъектов доступа к объектам доступа; ограничение программной среды; защита машинных носителей информации; регистрация событий безопасности; антивирусная защита; обнаружение (предотвращение) вторжений; контроль (анализ) защищенности информации; обеспечение целостности информационной системы и информации; обеспечение доступности информации; защита среды виртуализации; защита технических средств; защита информационной системы, ее средств и систем связи и передачи данных.
Применение беспроводных технологий связи для доступа к Государственным информационным системам и Информационным системам персональных данных возможно только при использовании средств криптографической защиты информации совместимых со средствами, использующимися в центральном сегменте ИК-инфраструктуры.
3.2 Организационные мероприятия по обеспечению безопасности информации.
Комплекс организационных мероприятий по защите информации, при подключении к Государственным информационным системам и информационным системам персональных данных в ИК-инфраструктуре Свердловской области, должен включать в себя следующие меры:
все технические средства обработки информации и носители информации должны быть размещены в пределах контролируемой зоны; все помещения, в которых происходит обработка и хранение защищаемой информации, а так же помещение с оборудованием, обеспечивающим технологический процесс обработки информации, должны быть оснащены средствами охранно-пожарной сигнализации; входные двери в помещения должны быть оснащены надежными замками; допуск в помещения вспомогательного и обслуживающего персонала (уборщиц, электромонтеров, сантехников и т.д.) должен производиться только в случае служебной необходимости в присутствии лиц, ответственных за эксплуатацию помещений; физическая охрана технических средств информационной системы должна предусматривать контроль доступа в помещения; должно проводиться резервирование технических средств, дублирование массивов и носителей информации; должен быть определен перечень лиц допущенных к обработке информации в ИС; должен быть назначен ответственный за обеспечение безопасности информации; все машинные носители информации, средства защиты информации должны быть учтены в специальных журналах.
3.3 Технические мероприятия
3.3.1 Общие требования к реализации технических мероприятий по обеспечению безопасности информации.
Применяемые технические средства защиты информации должны соответствовать требованиям к средствам защиты информации определенным в п.26 Приказа ФСТЭК России от 11 февраля 2013 г. № 17 для информационных систем 2 класса защищенности.
Выбранные для использования сертифицированные по требованиям безопасности информации средства защиты должны соответствовать:
системы обнаружения вторжений и средства антивирусной защиты — не ниже 4 класса защиты;
3.3.2 Обеспечение безопасности информации при передаче по телекоммуникационным каналам связи.
При передаче информации по телекоммуникационным каналам связи необходимо обеспечить защиту передаваемой информации от несанкционированного доступа к ней криптографическими средствами защиты информации.
Применяемые криптографические средства защиты информации должны быть полностью совместимы с уже существующими средствами защиты каналов связи Правительства Свердловской области (ViPNet сеть № 2057, в составе: ПО ViPNet Administrator, ПАК ViPNet Coordinator HW1000, ПАК ViPNet Coordinator HW100С).
Класс применяемых криптографических средств зависит от мер, реализованных в учреждении по обеспечению безопасности информации и определяется в соответствии со следующими рекомендациями:
4. Порядок проведения мероприятий по защите информации в информационных системах при подключении к Государственным информационным системам и информационным системам персональных данных в ИК–инфраструктуре Свердловской области.
5. Рекомендации к средствам защиты информации.
Применяемые технические средства защиты информации должны быть сертифицированы ФСТЭК России (ФСБ России в части средств криптографической защиты информации) и соответствовать требованиям к средствам защиты информации определенным:
Меры по защите АРМ пользователей ИК-инфраструктуры определяются пользователями ИК–инфраструктуры самостоятельно (или с привлечением организаций – лицензиатов ФСТЭК России и ФСБ России по направлениям технической и криптографической защиты информации) в зависимости от уже реализованных в учреждении мер организационного и технического характера по обеспечению безопасности информации в соответствии с требованиями федеральных законов и нормативных документов ФСТЭК России и ФСБ России, а также в соответствии с требованиями настоящего документа.
При выборе средств защиты необходимо руководствоваться следующими рекомендациями:
| № | Средства защиты информации | |
|---|---|---|
| 1 | Средства антивирусной защиты | Средства антивирусной защиты должны быть лицензионными и сертифицированными ФСТЭК России с ежедневно обновляемыми базами сигнатур. (Kaspersky Endpoint Security - медиапак) |
| 2 | Средства защиты информации при передаче по каналам связи | Применяемые средства должны быть полностью совместимы с уже существующими средствами защиты каналов связи Правительства Свердловской области (ViPNet сеть № 2057) (ViPNet Coordinator HW, ViPNet Client, или аналоги) |
| 3 | Средства межсетевого экранирования | Средства межсетевого экранирования должны корректно функционировать в рамках существующей ИК-Инфраструктуры Правительства Свердловской области (ViPNet Coordinator HW, ViPNet Client, или аналоги) |
| 4 | Системы обнаружения вторжений | Системы обнаружения вторжений должны корректно функционировать в рамках существующей ИК-Инфраструктуры Правительства Свердловской области В качестве средства обнаружения вторжений допустимо использование программно – аппаратного комплекса ViPNet IDS 1000, который корректно функционирует в действующей развернутой сети ViPNet Правительства СО |
| 5 | Средства защиты от несанкционированного доступа с программным модулем доверенной загрузки | Средства защиты должны быть способны корректно функционировать на рабочих стациях входящих в домен Правительства Свердловской области. Вариант № 1 Dallas Lock 8.0-С или аналоги с программным модулем доверенной загрузки Вариант № 2 Средство от НСД SecretNet или аналоги Средства ДЗ ПАК Соболь или аналоги |
| 6 | Средства доверенной загрузки | |
2. Для ГИС класса К2 обязательно наличие средств обнаружения вторжений, таких как ViPNet IDS 1000 или 2000.
6. Подключение к Государственным информационным системам и Информационным системам персональных данных.
Подключение к Государственным информационным системам и Информационным системам персональных данных производится по соглашению между оператором Государственной информационной системы и руководителями учреждений и организаций, планирующих осуществить подключение к информационной системе.
Подключение АРМ пользователей к Государственным информационным системам в ИК-инфраструктуре производиться только после выполнения учреждением всех требований по обеспечению безопасности информации (в том числе и персональных данных) предусмотренных федеральными законами, нормативными документами и определенными настоящим документом.
Предоставление доступа пользователей к Государственным информационным системам должно осуществляется на основании заявок, оформленных установленным порядком, проект заявки прилагается (Приложение № 1).
Ответственными за допуск учреждений и организаций к Государственным информационным системам являются операторы данных систем.
Ответственными за допуск сотрудников к Государственным информационным системам являются руководители учреждений и организаций, подключенных к ИК-инфраструктуре.
1. Утвердить прилагаемые Требования о защите информации, содержащейся в информационных системах общего пользования.
2. Контроль за исполнением настоящего приказа возложить на руководителя Научно-технической службы Федеральной службы безопасности Российской Федерации и первого заместителя директора Федеральной службы по техническому и экспортному контролю.
Директор Федеральной службы безопасности Российской Федерации А. Бортников
Директор Федеральной службы по техническому и экспортному контролю С. Григоров
1 Собрание законодательства Российской Федерации, 2009, N 21, ст. 2573.
Требования о защите информации, содержащейся в информационных системах общего пользования
1. Настоящие Требования распространяются на федеральные государственные информационные системы, созданные или используемые в целях реализации полномочий федеральных органов исполнительной власти и содержащие сведения о деятельности Правительства Российской Федерации и федеральных органов исполнительной власти, обязательные для размещения в информационно-телекоммуникационной сети Интернет, определяемые Правительством Российской Федерации 1 (далее - информационные системы общего пользования), и являются обязательными для операторов информационных систем общего пользования при разработке и эксплуатации информационных систем общего пользования.
2. Информационные системы общего пользования должны обеспечивать:
сохранность и неизменность обрабатываемой информации при попытках несанкционированных или случайных воздействий на нее в процессе обработки или хранения (далее - целостность информации);
беспрепятственный доступ пользователей к содержащейся в информационной системе общего пользования информации (далее - доступность информации);
защиту от действий пользователей в отношении информации, не предусмотренных правилами пользования информационной системой общего пользования, приводящих, в том числе к уничтожению, модификации и блокированию информации (далее - неправомерные действия).
3. Информационные системы общего пользования включают в себя средства вычислительной техники, информационно-вычислительные комплексы и сети, средства и системы передачи, приема и обработки информации, средства изготовления, тиражирования документов и другие технические средства обработки речевой, графической, видео- и буквенно-цифровой информации, программные средства (операционные системы, системы управления базами данных и т.п.), средства защиты информации, применяемые в информационных системах.
4. Информация, содержащаяся в информационной системе общего пользования, является общедоступной.
5. Информационные системы общего пользования в зависимости от значимости содержащейся в них информации и требований к ее защите разделяются на два класса.
5.1. К I классу относятся информационные системы общего пользования Правительства Российской Федерации и иные информационные системы общего пользования в случае, если нарушение целостности и доступности информации, содержащейся в них, может привести к возникновению угроз безопасности Российской Федерации. Отнесение информационных систем общего пользования к I классу проводится по решению руководителя соответствующего федерального органа исполнительной власти.
5.2. Ко II классу относятся информационные системы общего пользования, не указанные в подпункте 5.1 настоящего пункта.
6. Защита информации, содержащейся в информационных системах общего пользования, достигается путем исключения неправомерных действий в отношении указанной информации.
7. Методы и способы защиты информации в информационных системах общего пользования определяются оператором информационной системы общего пользования и должны соответствовать настоящим Требованиям.
Достаточность принятых мер по защите информации в информационных системах общего пользования оценивается при проведении мероприятий по созданию данных систем, а также в ходе мероприятий по контролю за их функционированием.
8. Работы по защите информации в информационных системах общего пользования являются неотъемлемой частью работ по созданию данных систем.
9. Размещение информационных систем общего пользования, специальное оборудование и охрана помещений, в которых находятся технические средства, организация режима обеспечения безопасности в этих помещениях должны обеспечивать сохранность носителей информации и средств защиты информации, а также исключать возможность неконтролируемого проникновения или пребывания в этих помещениях посторонних лиц.
10. Защиту информации в информационных системах общего пользования обеспечивает оператор информационной системы общего пользования.
11. В информационных системах общего пользования должны быть обеспечены:
поддержание целостности и доступности информации;
предупреждение возможных неблагоприятных последствий нарушения порядка доступа к информации;
проведение мероприятий, направленных на предотвращение неправомерных действий в отношении информации;
своевременное обнаружение фактов неправомерных действий в отношении информации;
недопущение воздействия на технические средства информационной системы общего пользования, в результате которого может быть нарушено их функционирование;
возможность оперативного восстановления информации, модифицированной или уничтоженной вследствие неправомерных действий;
проведение мероприятий по постоянному контролю за обеспечением их защищенности;
возможность записи и хранения сетевого трафика.
12. Мероприятия по обеспечению защиты информации в информационных системах общего пользования включают в себя:
определение угроз безопасности информации, формирование на их основе модели угроз;
разработку на основе модели угроз системы защиты информации, обеспечивающей нейтрализацию предполагаемых угроз с использованием методов и способов защиты информации, предусмотренных для соответствующего класса информационных систем общего пользования;
проверку готовности средств защиты информации к использованию с составлением заключений о возможности их эксплуатации;
установку и ввод в эксплуатацию средств защиты информации в соответствии с эксплуатационной и технической документацией;
обучение лиц, использующих средства защиты информации, применяемые в информационной системе общего пользования, правилам работы с ними;
учет применяемых средств защиты информации, эксплуатационной и технической документации к ним;
контроль за соблюдением условий использования средств защиты информации, предусмотренных эксплуатационной и технической документацией;
проведение разбирательств и составление заключений по фактам несоблюдения условий использования средств защиты информации, которые могут привести к нарушению безопасности информации или другим нарушениям, снижающим уровень защищенности информационной системы общего пользования, разработку и принятие мер по предотвращению возможных опасных последствий подобных нарушений;
описание системы их защиты.
13. Для разработки и осуществления мероприятий по защите информации в информационных системах общего пользования оператором информационной системы общего пользования назначается структурное подразделение или должностное лицо (работник), ответственные за обеспечение защиты информации.
14. Запросы пользователей на получение информации, содержащейся в информационных системах общего пользования, а также факты предоставления информации по этим запросам регистрируются автоматизированными средствами информационных систем общего пользования в электронном журнале обращений. Содержание электронного журнала обращений периодически проверяется соответствующими должностными лицами (работниками) оператора информационной системы общего пользования.
15. При обнаружении нарушений порядка доступа к информации оператор информационной системы общего пользования организует работы по выявлению причин нарушений и устранению этих причин в установленном порядке. Подсистема информационной безопасности должна обеспечивать восстановление информации в информационной системе общего пользования, модифицированной или уничтоженной вследствие неправомерных действий в отношении такой информации. Время восстановления процесса предоставления информации пользователям не должно превышать 8 часов.
16. Реализация требований по обеспечению защиты информации в средствах защиты информации возлагается на их разработчиков.
17. При создании и эксплуатации информационных систем общего пользования должны выполняться следующие требования по защите информации:
17.1. В информационных системах общего пользования I класса:
использование средств защиты информации от неправомерных действий, в том числе средств криптографической защиты информации (электронной цифровой подписи, при этом средства электронной цифровой подписи обязательно должны применяться к публикуемому информационному наполнению), сертифицированных ФСБ России;
использование средств обнаружения вредоносного программного обеспечения, в том числе антивирусных средств, сертифицированных ФСБ России;
использование средств контроля доступа к информации, в том числе средств обнаружения компьютерных атак, сертифицированных ФСБ России;
использование средств фильтрации и блокирования сетевого трафика, в том числе средств межсетевого экранирования, сертифицированных ФСБ России;
осуществление локализации и ликвидации неблагоприятных последствий нарушения порядка доступа к информации;
осуществление записи и хранения сетевого трафика при обращении к государственным информационным ресурсам за десять и более последних дней и предоставление доступа к записям по запросам уполномоченных государственных органов, осуществляющих оперативно-розыскную деятельность;
обеспечение защиты от воздействий на технические и программные средства информационных систем общего пользования, в результате которых нарушается их функционирование, и несанкционированного доступа к помещениям, в которых находятся данные средства, с использованием технических средств охраны, в том числе систем видеонаблюдения, предотвращающих проникновение в помещения посторонних лиц;
осуществление регистрации действий обслуживающего персонала и пользователей;
обеспечение резервирования технических и программных средств, дублирования носителей и массивов информации;
использование сертифицированных в установленном порядке систем обеспечения гарантированного электропитания (источников бесперебойного питания);
осуществление мониторинга их защищенности уполномоченным подразделением ФСБ России;
введение в эксплуатацию только после направления оператором информационной системы общего пользования в ФСБ России уведомления о готовности ввода информационной системы общего пользования в эксплуатацию и ее соответствии настоящим Требованиям.
17.2. В информационных системах общего пользования II класса:
использование средств защиты информации от неправомерных действий, сертифицированных ФСБ России и (или) ФСТЭК России с учетом их компетенции, в том числе средств криптографической защиты информации (электронной цифровой подписи, при этом средства электронной цифровой подписи должны применяться к публикуемому информационному наполнению);
использование средств обнаружения вредоносного программного обеспечения, в том числе антивирусных средств, сертифицированных ФСБ России и (или) ФСТЭК России с учетом их компетенции;
использование средств контроля доступа к информации, в том числе средств обнаружения компьютерных атак, сертифицированных ФСБ России и (или) ФСТЭК России с учетом их компетенции;
использование средств фильтрации и блокирования сетевого трафика, в том числе средств межсетевого экранирования, сертифицированных ФСБ России и (или) ФСТЭК России с учетом их компетенции;
осуществление локализации и ликвидации неблагоприятных последствий нарушения порядка доступа к информации;
осуществление записи и хранения сетевого трафика при обращении к государственным информационным ресурсам за последние сутки и более и предоставление доступа к записям по запросам уполномоченных государственных органов, осуществляющих оперативно-разыскную деятельность;
обеспечение защиты от воздействий на технические и программные средства информационных систем общего пользования, в результате которых нарушается их функционирование, и несанкционированного доступа к помещениям, в которых находятся данные средства;
осуществление регистрации действий обслуживающего персонала;
обеспечение частичного резервирования технических средств и дублирования массивов информации;
использование систем обеспечения гарантированного электропитания (источников бесперебойного питания);
осуществление мониторинга их защищенности уполномоченным подразделением ФСБ России;
введение в эксплуатацию только после направления оператором информационной системы общего пользования в ФСТЭК России уведомления о готовности ввода информационной системы общего пользования в эксплуатацию и ее соответствии настоящим Требованиям.
1 Постановление Правительства Российской Федерации от 24 ноября 2009 г. N 953 "Об обеспечении доступа к информации о деятельности Правительства Российской Федерации и федеральных органов исполнительной власти" (Собрание законодательства Российской Федерации, 2009, N 48, ст. 5832).
На волне усиления контроля государства в области информационной безопасности всем специалистам по ИБ необходимо знать, что такое государственные информационные системы, а не работают ли они сами с ГИС? Эта статья посвящена всем, кто так или иначе связан с этими системами, будь вы инженер или менеджер ИБ или же вы являетесь разработчиком/поставщиком программного обеспечения в данной области.
Мы расскажем о подводных камнях в сфере законодательного регулирования, опишем необходимые и достаточные условия для построения легитимной реально работающей системы защиты ГИС. Также вы сможете разобраться в отличительных чертах, связанных с моделью угроз и нарушителя БИ, неочевидных особенностях сертификации и аттестации и, конечно, получите практические рекомендации. А в качестве бонуса вы узнаете об актуальных трендах и перспективах в области ГИС.
Государство стремится быть в тренде и не пропускает ни одной значимой темы: блокчейн, криптовалюта, искусственный интеллект. Мы живем в век цифровизации экономики, в век быстро развивающихся информационных технологий, которые на самом деле меняют общество. По этой же причине правительство вынуждено идти в ногу со временем, чтобы контролировать экономику страны. В результате взаимодействие с государством активно переводится в Интернет, возникают так называемые государственные информационные системы (ГИСы).
Нормативная база. Как определить ГИС, какие документы регулируют сферу ИБ в ГИС?
Чтобы дать корректное и понятное определение ГИС, необходимо воспользоваться основными нормативными правовыми актами в сфере защиты информации (ЗИ) таких систем.
На федеральном уровне можно выделить три документа:
На уровне города Москвы ГИСы регулируют следующие акты:
Итак, какую информационную систему можно назвать государственной и зачем она нужна?
Согласно Федеральному закону №149-ФЗ Государственные информационные системы — федеральные информационные системы и региональные информационные системы, созданные на основании соответственно федеральных законов, законов субъектов Российской Федерации, на основании правовых актов государственных органов.
Цели создания ГИС:
Реализация полномочий государственных органов.
Обеспечение информационного обмена между госорганами.
Иные цели, установленные федеральными законами.
Но для чего так плотно рассматривать нормативную базу в ГИС? Все дело в особенностях защиты персональных данных (ПДн). Перед любой организацией, обрабатывающей ПДн (далее - Оператор), встает проблема приведения своих информационных систем в соответствие с требованиями законодательства.
ГИС или не ГИС?
Существуют определенные требования законодательства Российской Федерации в области обработки и защиты ПДн:
Постановление Правительства №1119;
Приказ ФСТЭК России №21.
Особенность
Приказ по защите ПДн
Приказ по защите ГИС/МИС
Коммерческий оператор – на его выбор
Госоператор – аттестация обязательна
Контроль и надзор
ФСТЭК – только госоператоры
ФСБ – только госоператоры
Роскомнадзор не обладает полномочием проверять коммерческих операторов
Под сертификацией будем понимать действия, в процессе которых проверяется, насколько объект (программное обеспечение, средство защиты информации) соответствует заданным требованиям.
Роли и обязанности участников информационного взаимодействия в ГИС
Для описания создания системы защиты информации в ГИС, необходимо рассмотреть еще одну подтему, в которой определим участников информационного взаимодействия в ГИС, их функции в части обработки информации и зоны ответственности.
По законодательству к субъектам ГИС относятся:
Разберем теперь функции описанных участников информационного взаимодействия в ГИС применительно к обработке информации:
Основные функции
Ответственный за организацию информационного наполнения ИС
Определение целей обработки информации, состава обрабатываемой информации, действий с ней в рамках ГИС
Координация наполнения ГИС информацией
Государственный заказчик эксплуатации ИС
Обработка информации в ГИС (хранение, накопление, передача) в соответствии с целями, определенными Обладателем информации
Обработка информации в ГИС в соответствии с целями, определенными Обладателем информации
Сбор и наполнение ГИС информацией
Обработка информации в ГИС в соответствии с целями, определенными Обладателем информации
Сбор и наполнение ГИС информацией
На схеме ниже отображены ЗО участников взаимодействия в ГИС при обеспечении ЗИ.
Обеспечение ИБ в ГИС. Ответ на вопрос, как создать систему защиты информации в ГИС?
В соответствии с требованиями вышеуказанных нормативных правовых актов создание системы защиты информации ГИС осуществляется в несколько этапов:
1. Классификация ГИС, т.е. определение класса ГИС в соответствии с ее масштабом и значимостью для органов исполнительной власти (ОИВ). Формирование модели угроз и нарушителя. Под моделью угроз понимается документ, содержащий перечень актуальных угроз ИБ, применимых к конкретной ИС. Под моделью нарушителя понимается документ, содержащий типы нарушителей и оценку их возможностей по воздействию на ГИС.
На выходе этапа:
Акт классификации ГИС;
Модель угроз и нарушителя безопасности информации (МУиН).
На выходе этапа:
Техническое задание на СЗИ. Под техническим заданием (ТЗ) понимается документ, содержащий набор требований, предъявляемых к к проектированию СЗИ.
На выходе этапа:
Технический проект на СЗИ.
На выходе этапа:
На выходе этапа:
Акт приемки в опытную эксплуатацию.
На выходе этапа:
На выходе этапа:
Акт о вводе в промышленную эксплуатацию.
Каждая система защиты имеет свои границы, т.е. требуется понимать, что должно защищаться, а что нет. В данном случае важно, кто является оператором.
В случае, если организация является оператором ГИС, то защита ГИС осуществляется в целом, объектами которой выступают сервера, автоматизированные рабочие места (АРМ) администраторов, каналы связи.
В этом случае требуется:
создание и внедрение СЗИ, включающей как организационные, так и технические меры защиты.
В случае, если организация не является оператором ГИС, защищать требуется не всю ГИС в целом, а только клиентские компоненты, такие как АРМ и каналы связи в пределах территориальных подразделений.
В этом случае требуется:
создание и внедрение СЗИ в пределах границ контролируемой зоны (территориальных подразделений);
выполнение требований оператора ГИС, предъявляемых при подключении к ГИС (в т.ч. аттестованной).
В случае, если к созданию СЗИ на основании договора (контракта) привлекается стороннее юридическое лицо (ЮЛ)/ индивидуальный предприниматель (ИП), необходимо проверять наличие следующих документов:
лицензии ФСТЭК России на деятельность по технической защите конфиденциальной информации;
Далее необходимо рассмотреть каким образом ГИС может размещаться в ЦОД. Сейчас актуальны три способа размещения серверных компонент ИС в дата-центрах:
Первый способ – colocation.
Это услуга размещения в ЦОД в формате предоставления стоек для оборудования, инженерной составляющей, физической защиты. Помимо целых стоек можно арендовать unit места в них под свое оборудование или же размещать оборудование нестандартных габаритов. Компании, предоставляющие услуги по colocation серверов, дают возможность клиентам экономить там, где они не могли бы этого делать, поставив сервер у себя в офисе. Так клиент получает доступ к более высокой скорости канала связи с интернетом, чем это было бы возможно в серверной его офиса, и по гораздо меньшей цене.
Второй способ – IaaS (Infrastructure As A Service/Инфраструктура как услуга).
Ни для кого не секрет, что за минувшие несколько лет облачные сервисы проникли в большое количество сфер жизни и бизнеса, вследствие чего возникло большое количество разновидностей подобных ресурсов и аббревиатур: SaaS, PaaS, IaaS. Разобраться во всем этом многообразии вариантов и понять, зачем нужен каждый из них, довольно трудно. Но даже если вы уже имеете представление об этом, согласитесь, что всегда хочется узнать что-то новое или систематизировать существующие знания, скажем так, разложить по полочкам.
Итак, изобразим стек облачных технологий и определим каждый из его частей.
IaaS — это вычислительная инфраструктура (серверы, хранилища данных, сети, операционные системы), которая предоставляется клиентам для развертывания и запуска собственных программных решений.
PaaS — это набор инструментов и сервисов, которые облегчают разработку и развертывание облачных приложений.
SaaS – это приложения, работающие в облаке, доступ к которым конечные пользователи получают через веб.
Чем ниже в этой топологии располагается облачная технология, тем больше прав у самого клиента. Так, в IaaS заказчик не управляет и не контролирует лежащую в основе физическую инфраструктуру, зато имеет контроль над операционными системами и развернутыми приложениями. А вот в PaaS и SaaS у него таких прав нет. В рамках модели PaaS клиент управляет приложениями и базами данных, но не имеет возможности управлять облачной инфраструктурой (сетевое и серверное оборудование, СХД, операционными системами). В SaaS же заказчик вообще не контролирует параметры работы и настройки приложений. Весь сервис предоставляется ему под ключ. Наглядно различия всех трех моделей можно изобразить следующим образом:
Итак, мы подошли к третьему способу - PaaS –Platform As A Service (Платформа как услуга). Описание услуги уже дано выше. SaaS не может являться способом размещения серверных компонент ИС исходя из описания услуги.
Разобравшись в понятиях услуг размещения, можно перейти непосредственно к обозначению распределения ответственности участников процесса размещения ГИС ЦОД.
Технологический (архитектурный) уровень
Способы размещения/ Способы реализации мер защиты
1 – Уровень инженерно-технического обеспечения серверных компонент
2 – Уровень инфраструктурного обеспечения серверных компонент
Система защиты информации ИС
3 – Уровень обеспечения системного программного обеспечения серверных компонент
Система защиты информации ИС
4 – Уровень обеспечения специального и прикладного программного обеспечения серверных компонент
Система защиты информации ИС
5 – Уровень обеспечения внутреннего сетевого взаимодействия серверных компонент
Система защиты информации ИС
6 – Уровень обеспечения внешнего сетевого взаимодействия
Сервисы ИБ ЦОД и(или)
Система защиты информации И
7 – Уровень обеспечения рабочих мест пользователей ИС
Система защиты информации ИС
А что если ГИС размещается в незащищенном дата-центре или вообще не в ЦОД? Как тогда защищать систему? Есть ли отличия для того, кто является оператором этой системы? Ответ – да, отличия существуют исходя из зон ответственности. Рассмотрим возможные варианты решений по защите ГИС.
ГИС размещается в аттестованном ЦОД
ГИС размещается в незащищённом ЦОД
ГИС не размещается в ЦОД
Организация является оператором ГИС
Защита ГИС на определенных технологических уровнях в соответствии с выбранным способом размещения в ЦОД
Защита ГИС на всех технологических уровнях
Защита ГИС на всех технологических уровнях
Организация не является оператором ГИС
Создание и внедрение СЗИ в пределах границ контролируемой зоны
Выполнение требований оператора ГИС, предъявляемых при подключении к ГИС (в т.ч. аттестованной) (Если АРМ не подключено к другим системам)
Внедрение системы защиты ГИС при размещении в незащищенном дата - центре исходя из таблицы выше так же будет отличаться от этого процесса в аттестованном. Для неаттестованного ЦОД потребуется внедрение следующих систем:
защиты периметра и доступа к СВТ ГИС;
криптографической защиты (шифрование);
защиты от несанкционированного доступа (НСД).
Что касается дополнительных мер для ГИС с несертифицированным прикладным ПО, то к ним относят установку средств от НСД на сервера и комплексного решения для защиты рабочих станций.
Сертифицировать прикладное ПО выгодно, когда у ГИС много пользователей (более 100). Если меньше, то дешевле использовать наложенные средства защиты информации (СрЗИ).
Нельзя не сказать и об особенностях, связанных с моделью угроз и нарушителя БИ. Постараемся ответить на самые часто задаваемые вопросы:
Особенности сертификации и аттестации
Выше мы уже рассматривали эти понятия, когда говорили о нормативной базе и об этапах создания системы защиты информации в государственных информационных системах. Но так как речь идет о необычных информационных системах, то, конечно, не обходится без особенностей в процессах проверки их соответствия заданным требованиям. Для наглядности, построим схему:
В продолжении разговора о государственных информационных системах и о том, как построить защиту информации в них, следует обратить внимание, что несоблюдение описанных в статье принципов является правонарушением с определенной ответственностью и мерами взыскания. Например, за отсутствие обязательной сертификации ИС предусмотрен штраф 20-25 тыс.руб. (с конфискацией несертифицированных СрЗИ или без таковой).
Перспективы и тренды в сфере ГИС
Государственные облака
Расширение нормативной базы
Развитие мобильных технологий
Импортозамещение
Данный вопрос значительно касается области информационной безопасности. Проблема состоит в том, что в условиях санкций, встает вопрос допустимости закупки и последующей поддержки ранее купленных СрЗИ. В первую очередь это касается государственных органов. Отечественный рынок быстро развивается и у многих импортных решений в области ИБ существуют российский аналоги с высоким уровнем сертификации. Пока сложно диагностировать, будет ли государственная политика по импортозамещению толчком к технологическому улучшению продуктов российского поставщика, однако повысить их распространение на рынке оно поможет.
Заключение
Область обеспечения ИБ в ГИС на данный момент является одной из самых стремительно развивающихся. Вносятся изменения в существующие нормативные акты, пишутся новые документы, вводятся в эксплуатацию новейшие технологии, появляются и новые средства защиты информации.
Информационная безопасность
1. Перечень используемых определений, обозначений и сокращений
АИБ – Администратор информационной безопасности.
АРМ – Автоматизированное рабочее место.
АС – Автоматизированная система.
ИБ – Информационная безопасность.
ИР – Информационные ресурсы.
ИС – Информационная система.
КИ — Конфиденциальная информация.
МЭ – Межсетевой экран.
ЛВС — Локальная вычислительная сеть.
НСД – Несанкционированный доступ.
ОС – Операционная система.
ПБ – Политики безопасности.
ПДн – Персональные данные.
ПО – Программное обеспечение.
СЗИ – Средство защиты информации.
СУИБ — Система управления информационной безопасностью.
ЭВМ – Электронная – вычислительная машина, персональный компьютер.
Автоматизированная система – система, состоящая из персонала и комплекса средств автоматизации его деятельности, реализующая информационную технологию выполнения установленных функций.
Администратор информационной безопасности – специалист или группа специалистов организации, осуществляющих контроль за обеспечением защиты информации в ЛВС, а также осуществляющие организацию работ по выявлению и предупреждению возможных каналов утечки информации, потенциальных возможностей осуществления НСД к защищаемой информации.
Доступ к информации – возможность получения информации и ее использования.
Идентификация – присвоение субъектам доступа (пользователям, процессам) и объектам доступа (информационным ресурсам, устройствам) идентификатора и (или) сравнение предъявляемого идентификатора с перечнем присвоенных идентификаторов.
Информация – это актив, который, подобно другим активам, имеет ценность и, следовательно, должен быть защищен надлежащим образом.
Информационная безопасность – механизм защиты, обеспечивающий конфиденциальность, целостность, доступность информации; состояние защищенности информационных активов общества в условиях угроз в информационной сфере. Угрозы могут быть вызваны непреднамеренными ошибками персонала, неправильным функционированием технических средств, стихийными бедствиями или авариями (пожар, наводнение, отключение электроснабжения, нарушение телекоммуникационных каналов и т.п.), либо преднамеренными злоумышленными действиями, приводящими к нарушению информационных активов общества.
Информационные технологии – процессы, методы поиска, сбора, хранения, обработки, предоставления, распространения информации и способы осуществления таких процессов и методов.
Информационные ресурсы – совокупность содержащейся в базах данных информации и обеспечивающих ее обработку информационных технологий.
Источник угрозы – намерение или метод, нацеленный на умышленное использование уязвимости, либо ситуация или метод, которые могут случайно проявить уязвимость.
Конфиденциальная информация – информация с ограниченным доступом, не содержащая сведений, составляющих государственную тайну, доступ к которой ограничивается в соответствии с законодательством Российской Федерации.
Конфиденциальность – доступ к информации только авторизованных пользователей.
Локальная вычислительная сеть – группа ЭВМ, а также периферийное оборудование, объединенные одним или несколькими автономными высокоскоростными каналами передачи цифровых данных в пределах одного или нескольких близлежащих зданий.
Несанкционированный доступ к информации – доступ к информации, нарушающий правила разграничения уровней полномочий пользователей.
Программное обеспечение – совокупность прикладных программ, установленных на сервере или ЭВМ.
Рабочая станция – персональный компьютер, на котором пользователь сети выполняет свои служебные обязанности.
Регистрационная (учетная) запись пользователя – включает в себя имя пользователя и его уникальный цифровой идентификатор, однозначно идентифицирующий данного пользователя в операционной системе (сети, базе данных, приложении и т.п.). Регистрационная запись создается администратором при регистрации пользователя в операционной системе компьютера, в системе управления базами данных, в сетевых доменах, приложениях и т.п. Она также может содержать такие сведения о пользователе, как Ф.И.О., название подразделения, телефоны, E-mail и т.п.
Роль – совокупность полномочий и привилегий на доступ к информационному ресурсу, необходимых для выполнения пользователем определенных функциональных обязанностей.
Угрозы информации – потенциально существующая опасность случайного или преднамеренного разрушения, несанкционированного получения или модификации данных, обусловленная структурой системы обработки, а также условиями обработки и хранения данных, т.е. это потенциальная возможность источника угроз успешно выявить определенную уязвимость системы.
Уязвимость – недостатки или слабые места информационных активов, которые могут привести к нарушению информационной безопасности при реализации угроз в информационной сфере.
Целостность информации – состояние защищенности информации, характеризуемое способностью АС обеспечивать сохранность и неизменность конфиденциальной информации при попытках несанкционированных или случайных воздействий на нее в процессе обработки или хранения.
Электронная подпись – информация в электронной форме, которая присоединена к другой информации в электронной форме (подписываемой информации) или иным образом связана с такой информацией и которая используется для определения лица, подписывающего информацию.
2. Вводные положения
Должностные обязанности АИБа и системного администратора закрепляются в соответствующих инструкциях.
Политика ИБ направлена на защиту информационных активов от угроз, исходящих от противоправных действий злоумышленников, уменьшение рисков и снижение потенциального вреда от аварий, непреднамеренных ошибочных действий персонала, технических сбоев, неправильных технологических и организационных решений в процессах обработки, передачи и хранения информации и обеспечение нормального функционирования технологических процессов.
Стратегия обеспечения ИБ заключается в использовании заранее разработанных мер противодействия атакам злоумышленников, а также программно-технических и организационных решений, позволяющих свести к минимуму возможные потери от технических аварий и ошибочных действий персонала.
Задачами настоящей политики являются:
- описание организации СУИБ;
- определение Политики ИБ, а именно: политика реализации антивирусной защиты; политика учетных записей; политика предоставления доступа к ИР; политика использования паролей; политика защиты АРМ; политика конфиденциального делопроизводства;
2.4. Область действия
2.5. Период действия и порядок внесения изменений
- администратор информационной безопасности.
Плановая актуализация настоящей политики производится ежегодно и имеет целью приведение в соответствие определенных политикой защитных мер реальным условиям и текущим требованиям к защите информации.
Внеплановая актуализация политики ИБ и производится в обязательном порядке в следующих случаях:
Ответственными за актуализацию политики ИБ (плановую и внеплановую) несет АИБ.
Контроль за исполнением требований настоящей политики и поддержанием ее в актуальном состоянии возлагается на АИБа.
3.1. Назначение политики информационной безопасности
Политика ИБ регламентируют эффективную работу СЗИ. Они охватывают все особенности процесса обработки информации, определяя поведение ИС и ее пользователей в различных ситуациях. Политика ИБ реализуются посредством административно-организационных мер, физических и программно-технических средств и определяет архитектуру системы защиты.
3.2. Основные принципы обеспечения информационной безопасности
Основными принципами обеспечения ИБ являются следующие:
- контроль эффективности принимаемых защитных мер;
3.3. Соответствие Политики безопасности действующему законодательству
Правовую основу политики составляют законы Российской Федерации и другие законодательные акты, определяющие права и ответственность граждан, сотрудников и государства в сфере безопасности, а также нормативные, отраслевые и ведомственные документы, по вопросам безопасности информации, утвержденные органами государственного управления различного уровня в пределах их компетенции.
3.4. Ответственность за реализацию политики информационной безопасности
Ответственность за разработку мер и контроль обеспечения защиты информации несёт АИБ.
Ответственность за реализацию политики возлагается:
- в части, касающейся разработки и актуализации правил внешнего доступа и управления доступом, антивирусной защиты – на АИБа;
3.5. Порядок подготовки персонала по вопросам информационной безопасности и допуска его к работе
4. Политика информационной безопасности
4.1. Политика предоставления доступа к информационному ресурсу
4.2. Политика учетных записей
4.2.1. Наз н ачение
4.2.2. Положение политики
Регистрационные учетные записи подразделяются на:
- системные – используемые для нужд операционной системы;
- служебные – предназначенные для обеспечения функционирования отдельных процессов или приложений.
В общем случае запрещено создавать и использовать общую пользовательскую учетную запись для группы пользователей. В случаях, когда это необходимо, ввиду особенностей автоматизируемого бизнес-процесса или организации труда (например, посменное дежурство), использование общей учетной записи должно сопровождаться отметкой в журнале учета машинного времени, которая должна однозначно идентифицировать текущего владельца учетной записи в каждый момент времени. Одновременное использование одной общей пользовательской учетной записи разными пользователями запрещено.
Системные регистрационные учетные записи формируются операционной системой и должны использоваться только в случаях, предписанных документацией на операционную систему.
Служебные регистрационные учетные записи используются только для запуска сервисов или приложений.
Использование системных или служебных учетных записей для регистрации пользователей в системе категорически запрещено.
4.3. Политика использования паролей
4.3.2. Положения политики
4.4. Политика реализации антивирусной защиты
4.4.2. Положения политики
4.5. Политика защиты автоматизированного рабочего места
4.5.2. Положения политики
Положения данной политики определяются в соответствии с используемым техническим решением.
5. Профилактика нарушений политик информационной безопасности
5.1. Ликвидация последствий нарушения политик информационной безопасности
АИБ, используя данные, полученные в результате применения инструментальных средств контроля (мониторинга) безопасности информации ИС, должен своевременно обнаруживать нарушения ИБ, факты осуществления НСД к защищаемым ИР и предпринимать меры по их локализации и устранению.
В случае обнаружения подсистемой защиты информации факта нарушения ИБ или осуществления НСД к защищаемым ИР ИС рекомендуется уведомить АИБа, и далее следовать их указаниям.
Действия АИБа и администратора информационной системы при признаках нарушения политик информационной безопасности регламентируются следующими внутренними документами:
- политикой информационной безопасности;
- регламентом администратора информационной безопасности;
- регламентом системного администратора.
После устранения инцидента необходимо составить акт о факте нарушения и принятых мерах по восстановлению работоспособности ИС, а также зарегистрировать факт нарушения в журнале учета нарушений, ликвидации их причин и последствий.
5.2. Ответственность за наруш ение Политик безопасности
Читайте также: