Раздел 2. Требования к мерам защиты информации в гис
Приложение 1. Определения класса защищенности ГИС
Приложение 2. Состав мер защиты информации для классов защищенности
Требования являются обязательными при обработке информации в государственных информационных системах, функционирующих на территории Российской Федерации, а также в муниципальных информационных системах, если иное не установлено законодательством Российской Федерации о местном самоуправлении.
Требования предназначены для обладателей информации, заказчиков, заключивших государственный контракт на создание государственной информационной системы и операторов государственных информационных систем.
В Требованиях к организации защиты информации в ГИС определено, что защита информации, содержащейся в информационной системе, является составной частью работ по созданию и эксплуатации информационной системы и обеспечивается на всех стадиях (этапах) ее создания и в ходе эксплуатациипутем принятия организационных и технических мерзащиты информации, направленных на блокирование (нейтрализацию) угроз безопасности информации в информационной системе, в рамках системы (подсистемы) защиты информации информационной системы.
Слайд 4
На следующем слайде приведена структура приказа ФСТЭК России от 18 февраля 2013 г. № 21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных».
Приказ содержит два раздела: общие положения, состав и содержание мер по обеспечению безопасности персональных данных.
Меры по обеспечению безопасности персональных данных принимаются для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.
Безопасность персональных данных при их обработке в информационной системе персональных данных обеспечивает оператор или лицо, осуществляющее обработку персональных данных по поручению оператора в соответствии с законодательством Российской Федерации.
Слайд 5
В связи с изданием указанных приказов, учитывая характер наиболее часто обсуждаемых вопросов, в том числе в сети «Интернет», с учетом поступивших вопросов, а также в целях разъяснения отдельных положений указанных приказов ФСТЭК России, было разработано и размещено на официальном сайте ФСТЭК России Информационное сообщение по вопросам защиты информации и обеспечения безопасности персональных данных при их обработке в информационных системах от 15 июля 2013 г. № 240/22/2637.
Слайд 6
В рамках полномочий по методическому руководству в области технической защиты информации, а также в целях реализации Требований, утвержденных приказом № 17, в настоящее время в ФСТЭК России продолжается работа по разработке методических документов по описанию содержания мер защиты информации в информационных системах и порядку моделирования угроз безопасности информации в информационных системах.
11 февраля 2014 г утвержден и размещен на официальном сайте ФСТЭК России методический документ «Меры защиты информации в государственных информационных системах».
Документ детализирует организационные и технические меры защиты информации, принимаемые в государственных информационных системах в соответствии с Требованиями о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах, утвержденными приказом ФСТЭК России от 11 февраля 2013 г. № 17, а также определяет содержание мер защиты информации и правила их реализации.
Слайд 7
В прошлом году ФСТЭК России, решая задачу в части разработки требований по защите информации в сложных автоматизированных системах, а именно автоматизированных системах, построенных с использованием суперкомпьютерных технологий разработаны и утверждены «Временные требования по защите информации, содержащей сведения, составляющие государственную тайну, в автоматизированных системах, созданных с использованием суперкомпьютерных технологий».
Настоящий документ устанавливает классификацию автоматизированных систем, создаваемых с использованием суперкомпьютерных технологий, и требования по защите информации для различных классов этих систем. Причем речь идет о требованиях заданных в РД АС, но адаптированных под особенности функционирования АС созданных с помощью указанных технологий.
Слайд 8
Уважаемые коллеги!
В соответствии с поручением Президента Российской Федерации от 13.08.2013 № Пр-1921 ФСТЭК России в пределах своих полномочий подготовлен проект приказа «Требования к обеспечению защиты информации в автоматизированных системах управления производственными и технологическими процессами на критически важных объектах, потенциально опасных объектах, а также объектах, представляющих повышенную опасность для жизни и здоровья людей и для окружающей природной среды»(далее – Требования), который размещен на официальном сайте ФСТЭК России.
Особенностью данного документа является то, что
Требования не распространяются на защиту информации, составляющей государственную тайну, при ее обработке в автоматизированных системах управления.
Федеральные органы исполнительной власти, осуществляющие функции по выработке государственной политики и нормативно-правовому регулированию в установленной сфере деятельности, корпоративные структуры, созданные в соответствии с законодательством Российской Федерации, и организации в пределах своих полномочий могут устанавливать дополнительные требования к обеспечению защиты информации в автоматизированных системах управления, находящихся в их ведении, с учетом особенностей соответствующих отраслей экономики (промышленности) и специфики управляемых (контролируемых) объектов.
Защита информации в автоматизированной системе управления обеспечивается путем выполнения заказчиком, оператором и разработчиком (проектировщиком) требований к организации защиты информации в автоматизированной системе управления и требований к мерам защиты информации в автоматизированной системе управления.
Защита информации в автоматизированной системе управления является составной частью работ по созданию и эксплуатации автоматизированной системы управления и обеспечивается на всех стадиях (этапах) ее создания и в ходе эксплуатации путем принятия совокупности организационных и технических мер защиты информации, направленных на блокирование (нейтрализацию) угроз безопасности информации в автоматизированной системе управления.
Слайд 9
Документы ФСТЭК России в области технической защиты информации включают в себя, в том числе и документы, предназначенные для проведения работ по сертификации средств защиты информации.
За последние два года ФСТЭК России проведена большая работа в этом направлении, результатом которой стали два новых документа, утвержденных приказами ФСТЭК России, а также 36 методических документов, обеспечивающих выполнение установленных обязательных требований.
На слайде представлены основные направления совершенствования системы сертификации средств защиты информации:
Совершенствование организации и порядка проведения сертификации средств защиты информации.
Разработка требований к средствам защиты информации
Совершенствование методических подходов по сертификации средств защиты информации.
Совершенствование аттестации объектов информатизации по требованиям безопасности информации
Слайд 10
Так, по первому направлению в рамках совершенствованияорганизации и порядка проведения сертификации средств защиты информации,в развитиетребований постановления Правительства Российской Федерации от 15 мая 2010 г. № 330 «Об утверждении Положения об особенностях оценки соответствия продукции (работ, услуг), используемой в целях защиты относимых к охраняемой в соответствии с законодательством Российской Федерации информации ограниченного доступа, не содержащей сведения, составляющие государственную тайну…»подготовлен проектнормативного правового акта«Организация и порядок проведения сертификации продукции используемой в целях защиты сведений, относимых к охраняемой в соответствии с законодательством РФ информации ограниченного доступа, не содержащей сведения, составляющие государственную тайну», утверждение планируется в 2014 г.
Задачи, которые планируется решить указанным НПА, представлены на слайде:
детализация порядка сертификации СЗИ с установлением сроков выполнения отдельных процедур; отмена процедуры продления срока действия сертификата соответствия на СЗИ для потребителей; установления порядка инспекционного контроля.
Слайд 11
В соответствии со статьей 5 Федерального закона от 27 декабря 2002 г. № 184-ФЗ «О техническом регулировании» в отношении продукции,используемой в целях защиты сведений, составляющих государственную тайнуили относимых к охраняемой в соответствии с законодательством Российской Федерации иной информации ограниченного доступа, обязательными требованиями наряду с требованиями технических регламентов являются требования, установленные федеральными органами исполнительной власти, в том числе ФСТЭК России.
ФСТЭК России разрабатывает и устанавливает в пределах своей компетенции обязательные требования в области технического регулирования к продукции (работам, услугам), используемой в целях защиты сведений, составляющих государственную тайну или относимых к охраняемой в соответствии сзаконодательствомРоссийской Федерации инойинформации ограниченного доступа,издаетпо данному вопросу нормативные правовые акты; разрабатывает и утверждает методические документы;
Слайд 12
Так, в рамках разработки требований к средствам защиты информации от несанкционированного доступа (НСД) ФСТЭК России разработаны и утверждены следующие нормативные правовые акты:
приказом ФСТЭК России от 6 декабря 2011 г. № 638 утверждены Требования к системам обнаружения вторжений. (Указанный приказ в установленном порядке прошел оценку регулирующего воздействия в Минэкономразвития России и зарегистрирован Минюстом России). Требования к системам обнаружения вторжений применяются для проведения работ по сертификации вновь разработанных систем с 15 марта 2012 г.;
приказом ФСТЭК России от 20 марта 2012 г. № 28 утверждены Требования к средствам антивирусной защиты. (Указанный приказ в установленном порядке прошел оценку регулирующего воздействия в Минэкономразвития России и зарегистрирован Минюстом России). Требования к средствам антивирусной защиты применяются для проведения работ по сертификации вновь разработанных средств с 1 августа 2012 г.;
приказом ФСТЭК России от 27 сентября 2013 № 119дсп утверждены Требования в области технического регулированияк продукции, используемой в целях защиты сведений, составляющих государственную тайну или относимых к охраняемой в соответствии с законодательством Российской Федерации иной информации ограниченного доступа (требования к средствам доверенной загрузки). Требования вступили в действие с 1 января 2014 года.
Справочно:
Требования применяются к программным и программно-техническим средствам, используемым в целях обеспечения защиты (некриптографическими методами) информации, содержащей сведения, составляющие государственную тайну, иной информации с ограниченным доступом и реализующим функции по предотвращению несанкционированного доступа к программным или техническим ресурсам средства вычислительной техники на этапе его загрузки.
Выполнение Требований является обязательным при проведении работ по оценке соответствия (включая работы по сертификации) средств технической защиты информации и средств обеспечения безопасности информационных технологий, организуемых ФСТЭК России в пределах своих полномочий.
Слайд 13