Требования по защите информации и созданию системы защиты информации
12.5. Требования по защите информации от НСД. Особенности организации защиты персональных данных. Особенности организации защиты государственных информационных систем
В соответствии с СТР-К необходимо произвести классификацию АС. Классификация АС осуществляется на основе Руководящего документа Гостехкомиссии России "Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации". Процедура классификации АС и требования по защите информации от НСД в зависимости от класса АС были рассмотрены в "Объекты защиты информации" .
В 2013 году ФСТЭК выпустила 2 документа:
- Приказ ФСТЭК России N 17 "Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах" от 11.02.2013 (далее Приказ ФСТЭК №17)
- Приказ ФСТЭК России от 18.02.2013 N 21 "Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных".
Приказ ФСТЭК №17 определяет требования о защите информации ограниченного доступа, не составляющей государственную тайну, содержащейся в государственных информационных системах (далее ГИС).
Государственные информационные системы - федеральные информационные системы и региональные информационные системы, созданные на основании соответственно федеральных законов, законов субъектов РФ, на основании правовых актов государственных органов[107].
Если в ГИС обрабатываются персональные данные, то помимо требований Приказа ФСТЭК №17 необходимо выполнять также требования к защите персональных данных при их обработке в информационных системах персональных данных, утвержденных постановлением Правительства Российской Федерации от 1 ноября 2012 г. N 1119.
Приказ ФСТЭК №17 регламентирует использование сертифицированных средств защиты информации и обязательную аттестацию ИС.
В приказе сформирован свой порядок классификации ИС. Класс защищенности ИС определяется в зависимости от уровня значимости информации (УЗ), обрабатываемой в этой информационной системе, и масштаба информационной системы (федеральный, региональный, объектовый).
Уровень значимости информации определяется степенью возможного ущерба для обладателя информации (заказчика) и (или) оператора от нарушения конфиденциальности, целостности или доступности информации.
Степень возможного ущерба определяется обладателем информации (заказчиком) и (или) оператором самостоятельно экспертным или иными методами и может быть:
- высокой, если в результате нарушения одного из свойств безопасности информации возможны существенные негативные последствия в социальной, политической, международной, экономической, финансовой или иных областях деятельности и (или) информационная система и (или) оператор (обладатель информации) не могут выполнять возложенные на них функции;
- средней, если в результате нарушения одного из свойств безопасности информации (конфиденциальности, целостности, доступности) возможны умеренные негативные последствия в социальной, политической, международной, экономической, финансовой или иных областях деятельности и (или) информационная система и (или) оператор (обладатель информации) не могут выполнять хотя бы одну из возложенных на них функций;
- низкой, если в результате нарушения одного из свойств безопасности информации (конфиденциальности, целостности, доступности) возможны незначительные негативные последствия в социальной, политической, международной, экономической, финансовой или иных областях деятельности и (или) информационная система и (или) оператор (обладатель информации) могут выполнять возложенные на них функции с недостаточной эффективностью или выполнение функций возможно только с привлечением дополнительных сил и средств.
Информация имеет высокий уровень значимости (УЗ 1), если хотя бы для одного из свойств безопасности информации определена высокая степень ущерба. Информация имеет средний уровень значимости (УЗ 2), если хотя бы для одного из свойств безопасности информации определена средняя степень ущерба и нет ни одного свойства, для которого определена высокая степень ущерба. Информация имеет низкий уровень значимости (УЗ 3), если для всех свойств безопасности информации определены низкие степени ущерба.
При обработке в информационной системе двух и более видов информации (служебная тайна, налоговая тайна и иные установленные законодательством Российской Федерации виды информации ограниченного доступа) уровень значимости информации (УЗ) определятся отдельно для каждого вида информации. Итоговый уровень значимости информации, обрабатываемой в информационной системе, устанавливается по наивысшим значениям степени возможного ущерба, определенным для конфиденциальности, целостности, доступности информации каждого вида информации.
Информационная система имеет федеральный масштаб, если она функционирует на территории Российской Федерации (в пределах федерального округа) и имеет сегменты в субъектах Российской Федерации, муниципальных образованиях и (или) организациях.
Информационная система имеет региональный масштаб, если она функционирует на территории субъекта Российской Федерации и имеет сегменты в одном или нескольких муниципальных образованиях и (или) подведомственных и иных организациях.
Информационная система имеет объектовый масштаб, если она функционирует на объектах одного федерального органа государственной власти, органа государственной власти субъекта Российской Федерации, муниципального образования и (или) организации и не имеет сегментов в территориальных органах, представительствах, филиалах, подведомственных и иных организациях[106].
Класс защищенности ИС определяется по таблице 12.1:
Уровень значимости | информации Масштаб информационной системы | ||
---|---|---|---|
Федеральный | Региональный | Объектовый | |
УЗ 1 | К1 | К1 | К1 |
УЗ 2 | К1 | К2 | К2 |
УЗ 3 | К2 | К3 | К3 |
От класса защищенности информационной системы зависит состав мер защиты, которые необходимо реализовать. Наименьший набор мер у третьего класса, наибольший - у первого.
Меры разделены на группы:
I. | Идентификация и аутентификация субъектов доступа и объектов доступа (ИАФ) |
II. | Управление доступом субъектов доступа к объектам доступа (УПД) |
III. | Ограничение программной среды (ОПС) |
IV. | Защита машинных носителей информации (ЗНИ) |
V. | Регистрация событий безопасности (РСБ) |
VI. | Антивирусная защита (АВЗ) |
VII. | Обнаружение вторжений (СОВ) |
VIII. | Контроль (анализ) защищенности информации (АНЗ) |
IX. | Обеспечение целостности информационной системы и информации (ОЦЛ) |
X. | Обеспечение доступности информации (ОДТ) |
XI. | Защита среды виртуализации (ЗСВ) |
XII. | Защита технических средств (ЗТС) |
XIII. | Защита информационной системы, ее средств, систем связи и передачи данных (ЗИС) |
Есть меры защиты, необходимые для ИС любого класса, например, "Идентификация и аутентификация пользователей, являющихся работниками оператора" или "Ограничение неуспешных попыток входа в информационную систему (доступа к информационной системе)". Некоторые меры требуются только для ИС 1 класса защищенности, например, "Ограничение числа параллельных сеансов доступа для каждой учетной записи пользователя информационной системы".
С перечнем конкретных мер можно ознакомиться самостоятельно в тексте Приказа ФСТЭК №17.
Если речь идет о защите персональных данных в негосударственных ИС, требования определяются Постановлением Правительства от 01.11.2012 № 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных" и Приказом №21 ФСТЭК России от 18.02.2013 N 21 "Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных".
Постановление Правительства №1119 вводит классификацию информационных систем персональных данных (ИСПДн).
Информационная система персональных данных (ИСПДн) - совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств[108].
Уровень защищенности ИСПДн зависит от актуального типа угроз, типа обрабатываемых ПДн (специальные, биометрические, общедоступные, иные категории) и количества субъектов ПДн. Определение уровня защищенности производится в соответствии с таблицей 12.2.
Категория ПДн + кол-во | АУ 1 типа | АУ 2 типа | АУ 3 типа |
---|---|---|---|
Спец.категории ПДн более чем 100 000 субъектов ПДн, не являющихся сотрудниками оператора | 1 | 1 | 2 |
Спец.категории ПДн сотрудников оператора или специальные категории персональных данных менее чем 100 000 субъектов ПДн, не являющихся сотрудниками оператора | 1 | 2 | 3 |
Биометрические ПДн | 1 | 2 | 3 |
Иные категории ПДн более чем 100 000 субъектов ПДн, не являющихся сотрудниками оператора | 1 | 2 | 3 |
Иные категории ПДн данных сотрудников оператора или иные категории ПДн менее чем 100000 субъектов ПДн, не являющихся сотрудниками оператора | 1 | 3 | 4 |
Общедоступные ПДн более чем 100 000 субъектов ПДн, не являющихся сотрудниками оператора | 2 | 2 | 4 |
Общедоступные ПДн сотрудников оператора или общедоступные ПДн менее чем 100 000 субъектов ПДн, не являющихся сотрудниками оператора | 2 | 3 | 4 |
В Приказе ФСТЭК №21 определены меры защиты информации, которые необходимо реализовать оператору в зависимости от класса ИСПДн.
Меры защиты разделены на группы:
- идентификация и аутентификация субъектов доступа и объектов доступа;
- управление доступом субъектов доступа к объектам доступа;
- ограничение программной среды;
- защита машинных носителей информации, на которых хранятся и (или) обрабатываются персональные данные (далее - машинные носители персональных данных);
- регистрация событий безопасности;
- антивирусная защита;
- обнаружение (предотвращение) вторжений;
- контроль (анализ) защищенности персональных данных;
- обеспечение целостности информационной системы и персональных данных;
- обеспечение доступности персональных данных;
- защита среды виртуализации;
- защита технических средств;
- защита информационной системы, ее средств, систем связи и передачи данных;
- выявление инцидентов (одного события или группы событий), которые могут привести к сбоям или нарушению функционирования информационной системы и (или) к возникновению угроз безопасности персональных данных (далее - инциденты), и реагирование на них;
- управление конфигурацией информационной системы и системы защиты персональных данных.
Всего 15 групп, включающих 109 защитных мер. С перечнем конкретных мер можно ознакомиться самостоятельно в тексте Приказа ФСТЭК №21.
В Приказе ФСТЭК №21 в отличие от №17 требования к системе защиты менее жесткие. Например, разрешено использование СЗИ, прошедших процедуру оценки соответствия, а аттестация ИС заменена на проведение оценки эффективности защитных мер. По решению обладателя информации (заказчика) или оператора меры Приказа №17 могут применяться для негосударственных ИС в соответствии с п.6 Требований, утвержденных Приказом ФСТЭК России №17.
После введения двух приказов в сообществе специалистов в области информационной безопасности возникли вопросы по поводу статуса и использования требований и рекомендаций СТР-К. В информационном сообщении ФСТЭК России от 15.07.2013 N 240/22/2637 регулятор дает разъяснения по вопросам, касающимся использования двух приказов.
Итак, есть несколько основных документов, определяющих требования по технической защите информации ограниченного доступа, не содержащей государственную тайну:
- СТР-К
- Приказ ФСТЭК России № 17
- Приказ ФСТЭК России № 21
- Постановление Правительства №1119
Если ГИС без персональных данных - требования к системе защиты информации определяются в соответствии с Приказом ФСТЭК России № 17.
Если ГИС, в которой есть персональные данные, - требования к системе защиты информации определяются на основе Приказа ФСТЭК России № 17 + Постановление Правительства №1119 (в соответствии с пунктом 5 Требований, утвержденных Приказом ФСТЭК России №17). Также должно быть обеспечено соотношение класса защищенности ГИС с уровнем защищенности персональных данных. Если определенный уровень защищенности ПДн выше, чем класс защищенности ГИС, то осуществляется повышение класса защищенности ГИС в соответствии с пунктом 27 Требований, утвержденных Приказом ФСТЭК России №17.
Если ИС негосударственная и в ней обрабатываются персональные данные - требования определяются на основе Постановления Правительства №1119+Приказ ФСТЭК России 21.
В информационном сообщении ФСТЭК также даны разъяснения по вопросам применения "Специальных требований и рекомендаций по технической защите конфиденциальной информации" (СТР-К) в связи с изданием Приказа №17. Сказано, что издание Приказа №17 не отменяет действий СТР-К (СТР-К рассматривается в связке с руководящими документами Гостехкомиссии, рассмотренными нами ранее). Требования и рекомендации СТР-К применяются для нейтрализации угроз безопасности информации, связанных с защитой информации, представленной в виде информативных электрических сигналов и физических полей (защита от утечки по техническим каналам). Иные разделы СТР-К могут применятся по решению обладателя информации (заказчика, оператора), если не противоречат требованиям Приказа ФСТЭК России №17.
Кроме того, положения СТР-К и РД АС применяются по решению обладателя информации (заказчиков, операторов информационных систем) для защиты информации, содержащей сведения конфиденциального характера, в негосударственных ИС.