Меры защиты информации в информационных системах
Меры защиты информации в информационных системахСкачать файл - Меры защиты информации в информационных системах
Обсуждение новостей в сфере информационной безопасности. На сайте ФСТЭК России выставлены новые документы в области защиты информации, не составляющей государственную тайну, содержащейся в государственных информационных системах. Из названия документов понятно, что они действуют для государственных информационных систем ГИС, не путать с геоинформационными системами обрабатывающих информацию, не составляющей государственную тайну. На наш взгляд эти новые документы представляют новый успешный шаг ФСТЭК России к созданию более понятных требований к проектированию систем защиты для государственных информационных систем. И хотя документы объемные: В Требованиях к защите ГИС установлены требования к обеспечению защиты информации, от утечки по техническим каналам, несанкционированного доступа, специальных воздействий на информацию носители информации в целях ее добывания, уничтожения, искажения или блокирования доступа к ней. Организационные и технические меры защиты информации, реализуемые в рамках системы защиты информации ГИС, в зависимости от информации, содержащейся в ГИС, целей создания ГИС и задач, решаемых этой ГИС, должны быть направлены на исключение:. Требованиях к защите ГИС могут также применяться для защиты общедоступной инфрмации , содержащейся в информационной системе ИС , для достижения целей, указанных в пунктах 1 и 3 части 1 статьи 16 Федерального закона от 27 июля г. N ФЗ 'Об информации, информационных технологиях и о защите информации', а также для защиты информации, содержащейся в негосударственных информационных системах. N 21 зарегистрирован Минюстом России 14 мая г. При этом в соответствии с пунктом 27 Требований, утвержденных приказом ФСТЭК России от 11 февраля г. N 17, должно быть обеспечено соответствующее соотношение класса защищенности государственной информационной системы с уровнем защищенности персональных данных. В случае, если определенный в установленном порядке уровень защищенности персональных данных выше, чем установленный класс защищенности государственной информационной системы, то осуществляется повышение класса защищенности до значения, обеспечивающего выполнение пункта 27 Требований, утвержденных приказом ФСТЭК России от 11 февраля г. В документах не рассматриваются требования о защите информации, связанные с применением криптографических методов защиты информации и шифровальных криптографических средств защиты информации. Как известно за эти требования отвечает ФСБ России. Особенностью этих документов является то, что требования не распространяются на государственные информационные системы Администрации Президента Российской Федерации, Совета Безопасности Российской Федерации, Федерального Собрания Российской Федерации, Правительства Российской Федерации, Конституционного Суда Российской Федерации, Верховного Суда Российской Федерации, Высшего Арбитражного Суда Российской Федерации и Федеральной службы безопасности Российской Федерации. Организационные и технические меры защиты информации определяются:. ГИС имеет федеральный масштаб , если она функционирует на территории Российской Федерации в пределах федерального округа и имеет сегменты в субъектах Российской Федерации, муниципальных образованиях и или организациях. ГИС имеет региональный масштаб , если она функционирует на территории субъекта Российской Федерации и имеет сегменты в одном или нескольких муниципальных образованиях и или подведомственных и иных организациях. ГИС имеет объектовый масштаб , если она функционирует на объектах одного федерального органа государственной власти, органа государственной власти субъекта Российской Федерации, муниципального образования и или организации и не имеет сегментов в территориальных органах, представительствах, филиалах, подведомственных и иных организациях. Для обеспечения защиты информации, содержащейся в ГИС, проводятся следующие мероприятия:. В принципе мероприятия достаточно стандартны, но следует обратить внимание специалистов по защите информации на жесткое мероприятие, указанное в п. Согласно новых документов ФСТЭК России организационные и технические меры защиты информации , реализуемые в ГИС в рамках ее системы защиты информации, в зависимости от угроз безопасности информации, используемых информационных технологий и структурно-функциональных характеристик информационной системы должны обеспечивать:. Меры защиты информации выбираются и реализуются в ГИС в рамках ее системы защиты информации с учетом угроз безопасности информации применительно ко всем объектам и субъектам доступа на аппаратном, системном, прикладном и сетевом уровнях, в том числе в среде виртуализации и облачных вычислений. Положительным моментом является появление требований ФСТЭК России к мобильным устройствам в части ноутбуков, нетбуков, планшетов, смартфонов требования к которым ранее не были формализованы в других документах ФСТЭК России. Новыми документами ФСТЭК России установлены четыре класса защищенности ГИС, определяющие уровни защищенности содержащейся в ней информации. Самый низкий класс - четвертый, самый высокий - первый. Класс защищенности ГИС первый класс К1, второй класс К2, третий класс К3, четвертый класс К4 определяется в зависимости от уровня значимости информации УЗ , обрабатываемой в этой ГИС, и масштаба ГИС федеральный, региональный, объектовый. Уровень значимости информации определяется степенью возможного ущерба для обладателя информации заказчика и или оператора от нарушения конфиденциальности неправомерные доступ, копирование, предоставление или распространение , целостности неправомерные уничтожение или модифицирование или доступности неправомерное блокирование информации. ВЫСОКОЙ , если в результате нарушения одного из свойств безопасности информации конфиденциальности, целостности, доступности возможны существенные негативные последствия в социальной, политической, международной, экономической, финансовой или иных областях деятельности и или ГИС и или оператор обладатель информации не могут выполнять возложенные на них функции; СРЕДНЕЙ , если в результате нарушения одного из свойств безопасности информации конфиденциальности, целостности, доступности возможны умеренные негативные последствия в социальной, политической, международной, экономической, финансовой или иных областях деятельности и или ГИС и или оператор обладатель информации не могут выполнять хотя бы одну из возложенных на них функций; НИЗКОЙ , если в результате нарушения одного из свойств безопасности информации конфиденциальности, целостности, доступности возможны незначительные негативные последствия в социальной, политической, международной, экономической, финансовой или иных областях деятельности и или ГИС и или оператор обладатель информации могут выполнять возложенные на них функции с недостаточной эффективностью или выполнение функций возможно только с привлечением дополнительных сил и средств. При обработке в ГИС двух и более видов информации служебная тайна, налоговая тайна и иные установленные законодательством Российской Федерации виды информации ограниченного доступа уровень значимости информации УЗ определятся отдельно для каждого вида информации. Итоговый уровень значимости информации, обрабатываемой в ГИС, устанавливается по наивысшим значениям степени возможного ущерба, определенным для конфиденциальности, целостности, доступности информации каждого вида информации. Класс защищенности ГИС определяется в соответствии с таблицей:. Результаты классификации ГИС оформляются актом классификации. Ниже приведен фрагмент таблицы. Модель угроз безопасности информации должна содержать описание ГИС и ее структурно-функциональных характеристик, а также описание угроз безопасности информации, включающее описание возможностей нарушителей модель нарушителя , возможных уязвимостей информационной системы, способов реализации угроз безопасности информации и последствий от нарушения свойств безопасности информации. Угрозы безопасности информации УБИ определяются по результатам оценки возможностей потенциала, оснащенности и мотивации внешних и внутренних нарушителей, анализа возможных уязвимостей информационной системы, возможных способов реализации угроз безопасности информации и последствий от нарушения свойств безопасности информации конфиденциальности, целостности, доступности. При определении угроз безопасности информации учитываются структурно-функциональные характеристики ГИС, применяемые информационные технологии и особенности условия функционирования ГИС. Эффективность принимаемых мер защиты информации в ГИС зависит от качества определения угроз безопасности информации для конкретной системы в конкретных условиях ее функционирования. Модель угроз безопасности информации представляет собой формализованное описание угроз безопасности информации для конкретной ГИС или группы информационных систем в определенных условиях их функционирования. Для определения угроз безопасности информации и разработки модели угроз безопасности информации применяются как сказано в новых нормативных документах ФСТЭК России методические документы, разработанные и утвержденные ФСТЭК России в соответствии с подпунктом 4 пункта 8 Положения о Федеральной службе по техническому и экспортному контролю, утвержденного Указом Президента Российской Федерации от 16 августа г. N Собрание законодательства Российской Федерации, , N 34, ст. Со ссылкой на методические документы, честно говоря, не понятно. Возможно, можно использовать для разработки Модели угроз безопасности информации и модели нарушителя для ГИС методологию, разработанную для персональных данных, отраженной в следующих документах:. А может быть использовать документы ФСТЭК России для модели угроз на критические системы информационной инфраструктуры КСИИ? В системе защиты информации ГИС как правило применяются VPN-сети, криптосредства и электронная подпись, для защиты служебной информации. При этом ГИС например — ситуационный центр располагаемый на территории Российской Федерации, в дальнейшем может иметь необходимость взаимодействия с ситуационными центрами иностранных государств присутствует трансграничная передача данных. Какие документы необходимо использовать при разработке Модели угроз безопасности информации и модели нарушителя для государственной информационной системы, обрабатывающей только служебную тайну, в части выбора классов криптосредтв. Возможно, можно использовать для разработки Модели угроз безопасности информации и модели нарушителя для ГИС методологию, разработанную ФСБ России для персональных данных, отраженной в следующих документах:. На наш взгляд ФСТЭК России и ФСБ России должны сделать информационное сообщение о том, какими документами ФСТЭК России и ФСБ России необходимо руководствоваться при разработки Модели угроз и модели нарушителя для ГИС, обрабатывающих только служебную тайну , для того чтобы не возникали вопросы при аттестации системы и проверках со стороны регуляторов. Особое внимание специалистов по защите информации необходимо обратить на анализ уязвимостей ГИС проводимой в целях оценки возможности преодоления нарушителем системы защиты информации ГИС и предотвращения реализации угроз безопасности информации. Анализ уязвимостей ГИС включает анализ уязвимостей средств защиты информации, технических средств и программного обеспечения ГИС. При анализе уязвимостей ГИС проверяется отсутствие известных уязвимостей средств защиты информации, технических средств и программного обеспечения, в том числе с учетом информации, имеющейся у разработчиков и полученной из других общедоступных источников, правильность установки и настройки средств защиты информации, технических средств и программного обеспечения, а также корректность работы средств защиты информации при их взаимодействии с техническими средствами и программным обеспечением. В случае выявления уязвимостей ГИС, приводящих к возникновению дополнительных угроз безопасности информации, проводится уточнение Модели угроз безопасности информации и при необходимости принимаются дополнительные меры защиты информации, направленные на устранение выявленных уязвимостей или исключающие возможность использования нарушителем выявленных уязвимостей. В Методике защиты ГИС подробно приведено описание выбора мер защиты информации для их реализации и требования к ним собственно требования для формирования ТЗ ЧТЗ на систему защиты ГИС и включает см. Меры защиты информации, выбираемые для реализации в ГИС, должны обеспечивать блокирование одной или нескольких угроз безопасности информации, включенных в модель угроз безопасности информации. Содержание мер защиты информации для их реализации в информационных системах приведено в приложении 2 к Методике защиты ГИС. В ГИС должен быть, как минимум, реализован адаптированный базовый набор мер защиты информации, соответствующий установленному классу защищенности системы. Общий порядок действий по выбору мер защиты информации для их реализации в ГИС. Выбранные и реализованные в ГИС в рамках ее системы защиты информации меры защиты информации должны обеспечивать: Ниже приведен пример меры защиты и требований по ее реализации для классов защищенности ГИС из раздела 3 Методики защиты ГИС:. В информационной системе должна обеспечиваться идентификация и аутентификация пользователей, являющихся работниками оператора. При доступе в информационную систему должна осуществляться идентификация и аутентификация пользователей, являющихся работниками оператора внутренних пользователей , и процессов, запускаемых от имени этих пользователей, а также процессов, запускаемых от имени системных учетных записей. К внутренним пользователям в целях настоящего документа относятся должностные лица оператора пользователи, администраторы , выполняющие свои должностные обязанности функции с использованием информации, информационных технологий и технических средств информационной системы в соответствии с должностными регламентами инструкциями , утвержденными оператором, и которым в информационной системе присвоены учетные записи. В качестве внутренних пользователей дополнительно рассматриваются должностные лица обладателя информации, заказчика, уполномоченного лица и или оператора иной информационной системы, а также лица, привлекаемые на договорной основе для обеспечения функционирования информационной системы ремонт, гарантийное обслуживание, регламентные и иные работы в соответствии с организационно-распорядительными документами оператора и которым в информационной системе также присвоены учетные записи. Пользователи информационной системы должны однозначно идентифицироваться и аутентифицироваться для всех видов доступа, кроме тех видов доступа, которые определяются как действия, разрешенные до идентификации и аутентификации в соответствии с мерой защиты информации УПД. Аутентификация пользователя осуществляется с использованием паролей, аппаратных средств, биометрических характеристик, иных средств или в случае многофакторной двухфакторной аутентификации - определенной комбинации указанных средств. В информационной системе должна быть обеспечена возможность однозначного сопоставления идентификатора пользователя с запускаемыми от его имени процессами. Правила и процедуры идентификации и аутентификации пользователей регламентируются в организационно-распорядительных документах по защите информации. Требования к усилению ИАФ. Согласно новых нормативных документов ФСТЭК России, технические меры защиты информации реализуются посредством применения средств защиты информации, имеющих необходимые функции безопасности. В этом случае в ГИС 1 и 2 классов защищенности применяются средства защиты информации, программное обеспечение которых прошло проверку не ниже чем по 4 уровню контроля отсутствия недекларированных возможностей, а также:. В ГИС 3 класса защищенности применяются:. В ГИС 4 класса защищенности применяются:. Построение Комплексных систем информационной безопасности. Проведение Комплексного аудита информационной безопасности. Мнение эксперта ИБ Обсуждение новостей в сфере информационной безопасности. О защите государственных информационных систем На сайте ФСТЭК России выставлены новые документы в области защиты информации, не составляющей государственную тайну, содержащейся в государственных информационных системах. N 17 зарегистрирован Минюстом России 31 мая г. В рамках данной статьи рассмотрим: Организационные и технические меры защиты информации, реализуемые в рамках системы защиты информации ГИС, в зависимости от информации, содержащейся в ГИС, целей создания ГИС и задач, решаемых этой ГИС, должны быть направлены на исключение: Организационные и технические меры защиты информации в государственной информационной системы Организационные и технические меры защиты информации определяются: Для обеспечения защиты информации, содержащейся в ГИС, проводятся следующие мероприятия: Согласно новых документов ФСТЭК России организационные и технические меры защиты информации , реализуемые в ГИС в рамках ее системы защиты информации, в зависимости от угроз безопасности информации, используемых информационных технологий и структурно-функциональных характеристик информационной системы должны обеспечивать: О классификации ГИС и выборе мер защиты Новыми документами ФСТЭК России установлены четыре класса защищенности ГИС, определяющие уровни защищенности содержащейся в ней информации. Класс защищенности ГИС определяется в соответствии с таблицей: Уровень значимости информации Масштаб информационной системы Федеральный Региональный Объектовый УЗ 1 К1 К1 К1 УЗ 2 К1 К2 К2 УЗ 3 К2 К3 К3 УЗ 4 К3 К3 К4 Результаты классификации ГИС оформляются актом классификации. Условное обозначение и номер меры Меры защиты информации в информационных системах Классы защищенности информационной системы 1 2 3 4 I. Идентификация и аутентификация субъектов доступа и объектов доступа ИАФ ИАФ. О разработке модели угроз безопасности в ГИС Модель угроз безопасности информации должна содержать описание ГИС и ее структурно-функциональных характеристик, а также описание угроз безопасности информации, включающее описание возможностей нарушителей модель нарушителя , возможных уязвимостей информационной системы, способов реализации угроз безопасности информации и последствий от нарушения свойств безопасности информации. Возможно, можно использовать для разработки Модели угроз безопасности информации и модели нарушителя для ГИС методологию, разработанную для персональных данных, отраженной в следующих документах: Возможно, можно использовать для разработки Модели угроз безопасности информации и модели нарушителя для ГИС методологию, разработанную ФСБ России для персональных данных, отраженной в следующих документах: Выбор мер защиты информации и требования к реализации мер защиты В Методике защиты ГИС подробно приведено описание выбора мер защиты информации для их реализации и требования к ним собственно требования для формирования ТЗ ЧТЗ на систему защиты ГИС и включает см. Общий порядок действий по выбору мер защиты информации для их реализации в ГИС Выбранные и реализованные в ГИС в рамках ее системы защиты информации меры защиты информации должны обеспечивать: Ниже приведен пример меры защиты и требований по ее реализации для классов защищенности ГИС из раздела 3 Методики защиты ГИС: Требования к классам защищенности средств защиты информации Согласно новых нормативных документов ФСТЭК России, технические меры защиты информации реализуются посредством применения средств защиты информации, имеющих необходимые функции безопасности. В этом случае в ГИС 1 и 2 классов защищенности применяются средства защиты информации, программное обеспечение которых прошло проверку не ниже чем по 4 уровню контроля отсутствия недекларированных возможностей, а также: В ГИС 3 класса защищенности применяются: В ГИС 4 класса защищенности применяются: ИТ-инфраструктура Аудит ИТ-инфраструктуры Локальные вычислительные сети Структурированные кабельные системы Беспроводные сети Информационная безопасность Аудит информационной безопасности Защита ИСПДн Защита КСИИ Лицензирование Системы безопасности Видеонаблюдение СКУД Виртуализация Создание сайтов Визуализация. Компьютерные сети Абонентское обслуживание SIP-телефония Создание сайтов Видеонаблюдение СКУД. Этот адрес электронной почты защищён от спам-ботов. У вас должен быть включен JavaScript для просмотра. Меры защиты информации в информационных системах. Классы защищенности информационной системы. Идентификация и аутентификация субъектов доступа и объектов доступа ИАФ. Идентификация и аутентификация пользователей, являющихся работниками оператора. Идентификация и аутентификация устройств, в том числе стационарных, мобильных и портативных.
'Методический документ. Меры защиты информации в государственных информационных системах'
Нормативные правовые акты, организационно-распорядительные документы, нормативные и методические документы и подготовленные проекты документов по технической защите информации
Оплатить триколор детский на год
'Методический документ. Меры защиты информации в государственных информационных системах' (утв. ФСТЭК России 11.02.2014)
Кофеварка электролюкс инструкция
Методический документ 'Меры защиты информации в государственных информационных системах' (утв. Федеральной службой по техническому и экспортному контролю 11 февраля 2014 г.)
Входящихв состав средств данной