Управление ФСТЭК России по Сибирскому федеральному округу БУЛГАКОВ

Зарегистрируйтесь, чтобы просмотреть полный документ!

Управление ФСТЭК России по Сибирскому федеральному округу БУЛГАКОВ Виктор Николаевич «Требования о защите информации, не составляющей государственную тайну, содержащейся в государственных (муниципальных) информационных системах»

149 -ФЗ «Об информации, информационных технологиях и о защите информации» Объект правовых отношений - информация (сведения, сообщения, данные) независимо от формы их представления в зависимости от категории доступа информация подразделяется на: информацию ограниченного доступа (доступ ограничен федеральными законами) содержит сведения, составляющие государственную тайну не содержит сведений, составляющих государственную тайну (конфиденциальная информация) общедоступная информация общеизвестные сведения и иная информация, доступ к которой не ограничен свойства информации, которые подлежат защите: конфиденциальность доступность целостность 2

149 -ФЗ «Об информации, информационных технологиях и о защите информации» ИНФОРМАЦИОННАЯ СИСТЕМА Информация Технология Технические средства Государственные ИС Муниципальные ИС Иные ИС Федеральные ИС Региональные ИС 3

Государственное регулирование в области защиты информации ГИС создаются в целях: Ø реализации полномочий государственных органов; Ø обеспечения обмена информацией между этими органами; Ø а также в иных установленных федеральными законами целях Постановление Правительства Российской Федерации от 6 июля 2015 г. № 676 «О требованиях к порядку создания, развития, ввода в эксплуатацию, эксплуатации и вывода из эксплуатации государственных информационных систем и дальнейшего хранения содержащейся в их базах данных информации» : Ø утверждает требования к порядку создания, развития, ввода в эксплуатацию, эксплуатации и вывода из эксплуатации государственных информационных систем и дальнейшего хранения содержащейся в их базах данных информации; Ø рекомендует иным государственным органам, помимо ФОИВ и ОИВ субъектов РФ, органам управления государственными внебюджетными фондами, органам местного самоуправления руководствоваться в своей деятельности требованиями, утвержденными настоящим постановлением 4

Государственное регулирование в области защиты информации ч. 1. ст. 16 149 -ФЗ: Государственное регулирование отношений в сфере защиты информации осуществляется путем установления требований о защите информации ч. 2 ст. 16 149 -ФЗ: Требования о защите информации, содержащейся в ГИС, устанавливаются федеральным органом исполнительной власти в области противодействия техническим разведкам и технической защиты информации, в пределах его полномочий – ФСТЭК России ч. 5 ст. 16 149 -ФЗ: При создании и эксплуатации государственных информационных систем используемых в целях защиты информации методы и способы ее защиты должны соответствовать указанным требованиям 5

Система документов по ТЗИ ограниченного доступа в ИС, не содержащей сведений, составляющих ГТ ФЗ «Об информации, информационных технологиях и о защите информации» (149 -ФЗ) Постановление Правительства Российской Федерации № 1119 – 2012 года № 676 – 2015 года № 675 – 2015 года «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных» «О требованиях к порядку создания, развития, ввода в эксплуатацию, эксплуатации и вывода из эксплуатации государственных информационных систем и дальнейшего хранения содержащейся в их базах данных информации » «О порядке осуществления контроля за соблюдением требований, предусмотренных частью 2. 1 статьи 13 и частью 6 статьи 14 Федерального закона «Об информации, информатизации и защите информации» (если в ГИС обрабатываются ПДн) Документы ФСТЭК России «Об утверждении требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах» (утверждены приказом ФСТЭК России от 11. 02. 2013 № 17) Нормативные правовые акты и руководящие документы, регулирующие вопросы защиты информации от ее утечки по техническим каналам и предотвращения НСД к информации в ГИС (МИС) Методические документы, регулирующие вопросы по защите информации, не составляющей государственную тайну, содержащейся в ГИС (МИС) 6

Требования Указа Президента РФ от 17. 03. 2008 № 351 Указ Президента РФ от 17. 03. 2008 № 351 «О мерах по обеспечению информационной безопасности Российской Федерации при использовании информационно-телекоммуникационных сетей международного информационного обмена» 1. Подключение ИС, ИТКС и СВТ к трансграничным сетям не допускается. 2. При необходимости такое подключение производится только с использованием специально предназначенных для этого СЗИ, в том числе шифровальных (криптографических) средств, прошедших в установленном законодательством РФ порядке сертификацию в ФСБ России и (или) получивших подтверждение соответствия в ФСТЭК России. 3. Выполнение данного требования является обязательным для операторов ИС, владельцев ИТКС и (или) СВТ. 4. Государственные органы в целях защиты общедоступной информации, размещаемой в информационно-телекоммуникационных сетях международного информационного обмена, используют только СЗИ, прошедшие в установленном законодательством Российской Федерации порядке сертификацию в ФСБ России и (или) получившие подтверждение соответствия в ФСТЭК России 7

Приказ ФСТЭК России от 11. 02. 2013 г. № 17 I. Общие положения II. Требования к организации защиты информации, содержащейся в ИС III. Требования к мерам защиты информации в ИС Приложение 1. Определение класса защищенности ИС Приложение 2. Состав мер защиты информации для классов защищенности 1. Устанавливает требования к обеспечению защиты информации: Ø от утечки по техническим каналам; Ø от НСД к информации; Ø от специальных воздействий на такую информацию и носители информации. 2. Требования предназначены для: Ø обладателей информации; Ø заказчиков, заключивших государственный контракт на создание ИС; Ø операторов ИС 3. Требования являются обязательными: при обработке информации в ГИС, а также в МИС, если иное не установлено законодательством РФ о местном самоуправлении. 4. Объекты защиты в ИС: Ø информация, содержащаяся в информационной системе; Ø технические средства; Ø программное обеспечения; Ø информационные технологии Ø средства защиты информации 8

Требования приказа ФСТЭК России от 11. 02. 2013 г. № 17 1. Назначается структурное подразделение или должностное лицо (работник), ответственные за защиту информации. 2. Применяются СЗИ прошедшие оценку соответствия в форме обязательной сертификации на соответствие требованиям по безопасности информации (статья 5 184 -ФЗ «О техническом регулировании» ). 3. Заказчиком, при необходимости, привлекаются организации, имеющие лицензию на деятельность по ТЗКИ (99 -ФЗ «О лицензировании отдельных видов деятельности» , постановление Правительства РФ 3 февраля 2012 г. № 79 «О лицензировании деятельности по технической защите конфиденциальной информации» ). 4. Принимаются организационные и технические меры защиты информации, направленны на обеспечение: Ø конфиденциальности - исключение неправомерного предоставления или распространения информации; Ø целостности - исключение модифицирования информации; неправомерного копирования, уничтожения или Ø доступности информации – исключение неправомерного блокирования информации 9

Мероприятия по разработке системы защиты информации в ГИС 1 Формирование требований к системе ЗИ Обеспечение ЗИ 6 при выводе из эксплуатации ГИС Разработка (совершенствование) 2 системы ЗИ Обеспечение ЗИ в ходе 5 эксплуатации ГИС 3 4 Внедрение системы ЗИ Аттестация ГИС, ввод в действие Аттестация ГИС – организационные и технические мероприятия подтверждающие соответствие системы защиты информации информационной системы настоящим Требованиям (ГОСТ РО 0043 -0032012 «Защита информации. Аттестация объектов информатизации. Общие положения» ) Результаты: • протоколы аттестационных испытаний; • заключение о соответствии информационной системы требованиям о ЗИ; • Аттестат соответствия 10

Формирование требований к системе защиты информации Ø Принимается решение о необходимости защиты информации, содержащейся в информационной системе ( Акт заказчика); Ø Определяется класс информационной системы по требованиям защиты информации ( Акт классификации); Ø Формируется Модель угроз безопасности информации; Ø Определяется перечень требования к системе защиты информации в ИС Разрабатывается ТЗ Содержание ТЗ (п. 14. 4. Требований, ГОСТ 34. 602, ГОСТ Р 51583, ГОСТ Р 51624): Ø Ø Ø цель и задачи обеспечения безопасности информации в ИС; класс защищенности ГИС (из Акта классификации ИС); перечень НПА, методических документов и ГОСТ, которым должна соответствовать ГИС; перечень объектов защиты ИС; требования к мерам и средствам защиты информации ИС; требования к ЗИ при информационном взаимодействии с иными ИС и ИТКС Учитываются в ТЗ: Положения Политик обеспечения информационной безопасности обладателя информации (заказчика) в случае их разработки по ГОСТ Р ИСО/МЭК 27001, а также политик обеспечения информационной безопасности оператора и уполномоченного лица в части, не противоречащей политикам обладателя информации (заказчика) 11

Классификация ГИС (приложение 1 к приказу ФСТЭК России № 17) Уровень значимости информации + Масштаб информационной системы Класс защищенности ГИС К 1 – первый класс защищенности ИС К 2 – второй класс защищенности ИС К 3 – третий класс защищенности ИС 12

Критерии определения уровня значимости информации в ГИС Степень ущерба ≡ нарушение свойств безопасности информации: • конфиденциальность • целостность • доступность Уровень значимости информации ВЫСОКИЙ • хотя бы для одного из свойств безопасности информации определена высокая степень ущерба СРЕДНИЙ НИЗКИЙ МИНИМАЛЬНЫЙ хотя бы для одного из свойств безопасности информации определена средняя степень ущерба и нет ни одного свойства, для которого определена высокая степень ущерба для всех свойств безопасности информации определены низкие степени ущерба если обладателем информации (заказчиком) и (или) оператором степень ущерба от нарушения свойств безопасности информации не может быть определена, но при этом информация подлежит защите 13

Критерии определения масштаба информационной системы Масштаб информационной системы Критерии федеральная ИС функционирует на территории РФ (в пределах федерального округа) и имеет сегменты в субъектах Российской Федерации, муниципальных образованиях и (или) организациях региональная ИС функционирует на территории субъекта РФ и имеет сегменты в одном или нескольких муниципальных образованиях и (или) подведомственных и иных организациях объектовая ИС функционирует на объектах одного федерального органа государственной власти, органа государственной власти субъекта РФ, муниципального образования и (или) организации и не имеет сегментов в территориальных органах, представительствах, филиалах, подведомственных и иных организациях 14

Определение класса защищенности ИС Масштаб информационной системы Уровень значимости информации Федеральный Муниципальный Объектовый УЗ 1 К 1 К 1 УЗ 2 К 1 К 2 УЗ 3 К 2 К 3 Соответствие класса защищенности ИС уровню защищенности ПДн Уровень защищенности персональных данных (постановление Правительства РФ № 1119) 1 2 3 4 Класс защищенности ИС (приказ ФСТЭК России № 17) 1 2 3 + + + + + 15

ТЗ на создание системы ЗИ - Требования к системе защиты информации в ИС Класс защищенности ИС Структурно-функциональные характеристики ИС Модель угроз БИ в ИС Используемые в ИС информационные технологи Приказ ФСТЭК России от 11. 02. 2013 № 17, ГОСТ Р 34. 602, ГОСТ Р 51583, ГОСТ Р 51624 Требования на разработку СЗИ в ИС Раздел ТЗ на разработку системы защиты информации в ИС включает: 1. Цель и задачи обеспечения защиты информации; 2. Класс защищенности ИС; 3. Перечень НПА, методических документов и национальных стандартов; 4. Перечень объектов защиты в ИС; 5. Требования к мерам и средствам защиты информации; 6. Стадии (этапы работ) создания системы защиты информационной системы; 7. Требования к поставляемым техническим средствам, ПО, СЗИ; 8. Функции заказчика и оператора по обеспечению защиты информации в информационной системе; 9. Требования к защите средств и систем, обеспечивающих функционирование информационной системы; 10. Требования к защите информации при информационном взаимодействии Разработка системы ЗИ в ИС 16

ТЗ на создание системы ЗИ - Требования к средствам защиты информации в ИС СЗИ в ИС Требования к СЗИ, исходя из класс защищенности ИС Средства вычислительной техники 1 не ниже 5 класса 2 не ниже 5 класса 3 не ниже 5 класса Системы обнаружения вторжений не ниже 4 класса не ниже 5 класса не ниже 6 класса Средства антивирусной защиты не ниже 4 класса не ниже 5 класса не ниже 6 класса Межсетевые экраны не ниже 4 класса не ниже 5 класса не ниже 6 класса 17

Разработка системы защиты информации ИС Требования ТЗ на создание СЗИ Проектирование системы защиты информации ИС: Ø определяются типы субъектов доступа и объектов доступа, являющихся объектами защиты; Ø Основные этапы управления доступом, типы доступа и правила разграничения определяются методы разработки системы защиты ИС доступа субъектов доступа к объектам доступа, подлежащие реализации в (ГОСТ 34. 601, ГОСТ Р 51583, ГОСТ Р 51624): информационной системе; Ø 1. 2. выбираются меры защиты информации, подлежащие реализации в системе защиты Проектирование системы защиты информации информационной системы; Разработка эксплуатационной документации на систему защиты Ø определяются виды и типы средств защиты информации, обеспечивающие реализацию информации информационной системы. технических мер защиты информации; 3. Макетирование и тестирование системы защиты информации Ø определяется структура системы защиты информации ИС, включая состав (количество) информационной системы (при необходимости) и места размещения ее элементов; Ø выбираются средства защиты информации (СЗИ), сертифицированные на соответствие требованиям по безопасности информации; Ø определяются требования к параметрам настройки ПО, включая ПО СЗИ, ГОСТ 34. 201 обеспечивающие реализацию мер защиты информации, а также устранение возможных уязвимостей информационной системы; Проектная документация на ИС (ЭП, РКД) (ГОСТ 34. 201) Ø определяются меры защиты информации при информационном взаимодействии с иными информационными системами 18

Выбор мер защиты информации в ИС Ø класс защищенности ИС; Ø Модель угроз безопасности информации в ИС + Ø структурно-функциональные характеристики ИС Ø применяемые информационные технологии в ИС; Ø особенности функционирования ИС Выбор мер ЗИ: Выбор базового набора мер по защите информации, соответствующего установленному классу защищенности информационной системы Адаптация базового набора мер по защите информации к структурно-функциональным характеристикам информационной системы Уточнение адаптированного базового набора мер защиты информации с целью блокирования (нейтрализации) ранее неучтенных угроз безопасности информации Дополнение адаптированного базового набора мер для выполнения требований по защите информации, установленных иными нормативно-правовыми актами Набор мер по защите информации в ГИС 19

Разработка системы защиты информации ИС Проектная и эксплуатационная документация на ИС Внедрение системы защиты ИС: Ø установка и настройка средств защиты информации в ИС; Ø разработка организационно-распорядительных документов по защите информации (документов, определяющих правила и процедуры, реализуемые оператором для обеспечения защиты информации в ИС в ходе ее эксплуатации); Ø внедрение организационных мер защиты информации; Ø предварительные испытания системы защиты информации ИС (ГОСТ 34. 603); 34. 603 Ø опытная эксплуатация системы защиты информации ИС (ГОСТ 34. 603); 34. 603 Ø анализ уязвимостей информационной системы и принятие мер защиты информации по их устранению; Ø приемочные испытания системы защиты информации ИС (ГОСТ 34. 603) 34. 603 выявлены уязвимости Ø уточнение Модели угроз безопасности информации; Ø принятие дополнительных мер защиты информации (при необходимости) 20

Аттестация ГИС Организуется – обладателем информации (заказчиком) или оператором ГИС Включает – проведение комплекса организационных и технических мероприятий (аттестационных испытаний), в результате которых подтверждается соответствие системы защиты информации ГИС настоящим Требованиям Проводится – в соответствии с программой и методиками аттестационных испытаний до начала обработки информации (ГОСТ РО 0043 -003 -2012 «Защита информации. Аттестация объектов информатизации. Общие положения» ) Результаты: • протоколы аттестационных испытаний; • заключение о соответствии информационной системы требованиям о ЗИ; • Аттестат соответствия Сегмент считается соответствующим аттестованному сегменту ИС, если: Ø установлен одинаковый класс защищенности; Ø определены одинаковые угрозы безопасности информации; Ø реализованы одинаковые проектные решения по системе защиты информации и ИС в целом Повторная аттестация – через 5 лет (повышение класса защищенности ИС) 21

Документы ФСТЭК России, регулирующие вопросы ЗИ в ИС Применяется для выбора и реализации в соответствии с п. 21 Требований мер защиты информации в ИС, направленных на обеспечение: Ø конфиденциальности информации; Ø доступности информации; Ø целостности информации Детализирует организационные и технические меры защиты информации, принимаемые в ИС в соответствии с Требованиями о ЗИ, не составляющей ГТ, содержащейся в ИС (приказ ФСТЭК России 2013 г. № 17) Может применяться для защиты общедоступной информации, содержащейся в ГИС, а также для защиты информации, содержащейся в негосударственных информационных системах По решению оператора ПДн применяется для ОБ ПДн, при их обработке в ИСПДн, защита которых обеспечивается в соответствии с приказом ФСТЭК России от 2013 г. № 21 22

Порядок продления срока действия сертификата соответствия средств защиты информации Информационное сообщение ФСТЭК России от 23 января 2015 г. N 240/24/223 Производитель За 3 месяца до 1. Информирование Организация, эксплуатирующая СЗИ 23

Условия продления сертификатов Средство защиты информации функционирует с требуемой эффективностью Имеется в наличии на средство защиты информации эксплуатационная документация На средстве защиты информации или в эксплуатационной документации средства имеется в наличии знак соответствия ФСТЭК России для маркирования сертифицированной продукции Своевременно проведен ежегодный контроль соответствия требованиям безопасности информации системы защиты информации объекта информатизации, в состав которой входит средство защиты информации 24

Порядок продления срока действия сертификата соответствия средств защиты информации Организация, эксплуатирующая СЗИ или ОТКАЗ 1. Заявка Проколы оценки эффективности СЗИ (для СЗИ от УТК) и/или Протоколы оценки защищенности от НСД (для СЗИ от НСД) 2. Решение по заявке Оформляются при проведении аттестационных испытаний или ежегодного контроля (не ранее, чем за 12 месяцев до дня отправки) В протоколах указывается: • заводской (серийный) номер, • номер специального защитного знака • номер и срок действия сертификата соответствия ФСТЭК России 25

Управление ФСТЭК России по Сибирскому федеральному округу Благодарю за внимание БУЛГАКОВ Виктор Николаевич тлф. (383) 203 -54 -04

Скачать презентацию Управление ФСТЭК России по Сибирскому федеральному округу БУЛГАКОВ

269294efa99fe1acef67ab14f494f31d.ppt

Количество слайдов: 26