Применение компенсирующих мер защиты информации.
Сформированный набор мер защиты информации может содержать меры, которые по каким-либо причинам делает невозможным или крайне затруднительным их реализацию в информационной системе в рамках ее системы защиты информации. В таких случаях у заказчика, оператора и проектировщика есть возможность заменить соответствующие меры защиты информации на компенсирующие меры защиты информации.
В качестве исходных данных для разработки компенсирующих мер защиты информации, в первую очередь, необходимо рассматривать:
приложение № 2 к Требованиям о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах, утвержденным приказом ФСТЭК России от 11 февраля 2013 г. № 17;
международные, национальные стандарты, стандарты организаций в области информационной безопасности;
результаты собственных разработок.
При этом должно быть проведено обоснование применения компенсирующих мер защиты информации, включающее:
изложение причин исключения меры (мер) защиты информации; сопоставление исключаемой меры защиты информации с блокируемой угрозой безопасности информации;
описание содержания компенсирующих мер защиты информации;
сравнительный анализ компенсирующих мер защиты информации с исключаемыми мерами защиты информации;
аргументацию, что предлагаемые компенсирующие меры защиты информации обеспечивают адекватное блокирование угроз безопасности информации.
Разработанное обоснование должно быть представлено при проведении аттестационных испытаний. При аттестационных испытаниях с учетом представленного обоснования должны быть оценены достаточность и адекватность компенсирующих мер для блокирования угроз безопасности информации.
Содержание, правила выбора и реализации мер защиты информации.
Методический документ детализирует организационные и технические меры защиты информации, принимаемые в государственных информационных системах в соответствии с требованиями о защите информации, не составляющей государственную тайну, а также определяет содержание мер защиты информации и правила их реализации.
применяется для выбора и реализации требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах, направленных на обеспечение:
конфиденциальности информации;
целостности информации;
доступности информации.
Выбор мер защиты информации осуществляется исходя из класса защищенности информационной системы, определяющего требуемый уровень защищенности содержащейся в ней информации, и угроз безопасности информации, включенных в модель угроз безопасности информационной системы, а также с учетом структурно-функциональных характеристик информационной системы, к которым относятся структура и состав информационной системы, физические, логические, функциональные и технологические взаимосвязи между сегментами информационной системы, взаимосвязи с иными информационными системами и информационно-телекоммуникационными сетями, режимы обработки информации в информационной системе и в ее отдельных сегментах, а также иные характеристики информационной системы, применяемые информационные технологии и особенности ее функционирования.
Общий порядок действий по выбору мер защиты информации для их реализации в информационной системе
