Защита информации в государственных информационных системах

Предлагаемые услуги

ООО «КРИПТО-ПРО»  оказывает услуги по обеспечению в соответствии с требованиями Законодательства защиты  конфиденциальной и общедоступной информации, содержащейся в государственных информационных систем (ГИС).

В рамках оказываемых услуг проводятся мероприятия по созданию системы защиты информации (далее – СЗИ), в том числе включающие:

  1. Проведение обследования и классификации ГИС по требованиям защиты информации;
  2. Разработка частной модели актуальных угроз нарушения безопасности информации в ГИС;
  3. Выбор и обоснование организационно-технических мер защиты, необходимых для нейтрализации актуальных угроз нарушения безопасности информации в ГИС;
  4. Разработка технического задания и проектирование СЗИ;
  5. Разработка организационно-распорядительной и исполнительной документации, регламентирующей порядок защиты информации и эксплуатации СЗИ;
  6. Поставка и внедрение сертифицированных технических средств защиты информации;
  7. Инструктаж и обучение персонала в авторизованных учебных центрах;
  8. Оценка соответствия выполнения требований к защите информации в форме аттестации ГИС;
  9. Техническое сопровождение и сервисное обслуживание СЗИ.

При выборе и реализации организационно-технических мер защиты информации специалисты ООО «КРИПТО-ПРО» руководствуются требованиями использования наиболее экономически-эффективных решений в соответствии с индивидуальными особенностями защищаемых ГИС и спецификой деятельности Заказчика.

Применяемые ООО «КРИПТО-ПРО» методы, организационно-технические меры и средства защиты также могут быть эффективно использованы при обеспечении безопасности негосударственных информационных систем, в том числе защиты коммерческой тайны, персональных данных, банковской тайны и пр..

Богатый опыт ООО «КРИПТО-ПРО» комплексного обеспечения безопасности информационных систем различного назначения, в том числе с использованием сертифицированных средств криптографической защиты собственной разработки и широкой номенклатурой партнерских решений, в процессе оказания услуг позволяет решить весь комплекс задач Заказчиков по защите информации и обеспечению юридической значимости электронных документов.

Основные положения законодательства в области защиты информации

На текущий момент в Российской Федерации создана и принята вертикаль (иерархия) руководящих и нормативно-методических документов по обеспечению защиты информации в ГИС. 

Необходимость защиты информации, содержащейся в ГИС (далее – Информация), устанавливает Федеральный Закон от 27.07.2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации», который обязывает владельца информации и оператора информационной системы, обеспечить защиту информации от неправомерных доступа, уничтожения, модифицирования, блокирования, копирования, предоставления, распространения и иных неправомерных действий (ст.14 п.9) путем принятия  правовых, организационных и технически мер, направленных на соблюдение конфиденциальности информации ограниченного доступа и реализацию права на доступ к общедоступной информации (ст.16).

В соответствии с 149-ФЗ (ст.16) защита информации обеспечивается, в частности:

1) предотвращением несанкционированного доступа к информации и (или) передачи ее лицам, не имеющим права на доступ к информации;

2) своевременным обнаружением фактов несанкционированного доступа к информации;

3) предупреждением возможности неблагоприятных последствий нарушения порядка доступа к информации;

4) недопущением воздействия на технические средства обработки информации, в результате которого нарушается их функционирование;

5) возможностью незамедлительного восстановления информации, модифицированной или уничтоженной вследствие несанкционированного доступа к ней;

6) постоянным контролем за обеспечением уровня защищенности информации.

Требования о защите Информации в соответствии с 149-ФЗ утверждены Приказом ФСТЭК России от 11 февраля 2013 г. № 17 (далее – Требования) и обязательны для выполнения с 1 сентября 2013 г., в том числе и при обработке информации в муниципальных информационных системах.

Требования предназначены для обладателей информации, заказчиков, заключивших государственный контракт на создание ГИС, операторов ГИС и лиц, осуществляющих обработку информации, являющейся государственным ресурсом.

В соответствии с Требованиями, защита Информации обеспечивается на всех стадиях создания и эксплуатации ГИС путем принятия организационных и технических мер, направленных на блокирование (нейтрализацию) угроз безопасности информации, в рамках системы (подсистемы) защиты информации (СЗИ).

Принимаемые организационные и технические меры должны быть направлены на исключение:

  • неправомерных доступа, копирования, предоставления или распространения информации (обеспечение конфиденциальности информации);
  • неправомерных уничтожения или модифицирования информации (обеспечение целостности информации);
  • неправомерного блокирования информации (обеспечение доступности информации).

Для обеспечения защиты Информации проводятся следующие мероприятия:

  • формирование требований к защите Информации;
  • разработка СЗИ;
  • внедрение СЗИ;
  • аттестация ГИС по требованиям защиты информации (далее – аттестация) и ввод ее в действие;
  • обеспечение защиты информации в ходе эксплуатации аттестованной ГИС;
  • обеспечение защиты информации при выводе из эксплуатации аттестованной ГИС или после принятия решения об окончании обработки информации.

Формирование требований к защите информации включает:

  • принятие решения о необходимости защиты Информации;
  • классификацию ГИС по требованиям защиты информации (далее – классификация);
  • определение актуальных угроз безопасности информации и разработку на их основе модели угроз;
  • определение требований к СЗИ.

Классификация ГИС по четырем установленным класса защищенности проводится в зависимости от значимости обрабатываемой в ней информации и масштаба ГИС (федеральный, региональный, объектовый) в соответствии с таблицей:

Уровень значимости
информации

Масштаб информационной системы

Федеральный

Региональный

Объектовый

УЗ 1

К1

К1

К1

УЗ 2

К1

К2

К2

УЗ 3

К2

К3

К3

УЗ 4

К3

К3

К4

Уровень значимости информации определяется степенью возможного ущерба от нарушения конфиденциальности (неправомерные доступ, копирование, предоставление или распространение), целостности (неправомерные уничтожение или модифицирование) или доступности (неправомерное блокирование) информации.

Актуальные угрозы безопасности информации определяются с учетом структурно-функциональных характеристик ГИС по результатам оценки возможностей нарушителей, анализа возможных уязвимостей, способов реализации угроз и последствий.

Определение актуальных угроз осуществляется в соответствии с Методическими документами ФСТЭК России в составе:

  • Базовая модель угроз;
  • Методика определения актуальных угроз.

Требования к СЗИ определяются в зависимости от класса защищенности ГИС и актуальных угроз безопасности Информации.

При определении требований к СЗИ учитываются положения политик обеспечения ИБ Заказчика, разработанных по ГОСТ Р ИСО/МЭК 27001 «Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования».

Разработка СЗИ осуществляется в соответствии с ГОСТ и включает:

  • проектирование СЗИ;
  • разработку эксплуатационной документации;
  • макетирование и тестирование СЗИ (при необходимости).

В соответствии с Требованиями обеспечивается, чтобы СЗИ не препятствовала достижению целей создания ГИС и ее функционированию.

Результаты проектирования СЗИ отражаются в проектной документации (эскизном (техническом) проекте и (или) в рабочей документации).

При разработке СЗИ применяются средства защиты информации, прошедшие оценку соответствия в форме обязательной сертификации на соответствие требованиям по безопасности информации.

При отсутствии необходимых сертифицированных средств защиты производится корректировка проектных решений с учетом функциональных возможностей имеющихся.

Внедрение СЗИ осуществляется в соответствии с разработанной документацией и в том числе включает:

  • установку и настройку средств защиты информации;
  • разработку организационно-распорядительных документов, определяющих правила и процедуры обеспечения защиты в ходе эксплуатации ГИС (далее – ОРД);
  • внедрение организационных мер защиты информации;
  • предварительные испытания СЗИ;
  • опытную эксплуатацию СЗИ;
  • анализ уязвимостей ГИС и принятие мер по их устранению;
  • приемочные испытания СЗИ.

Разрабатываемые ОРД определяют следующие правила и процедуры:

  • управления (администрирования) СЗИ;
  • выявления инцидентов, которые могут привести к сбоям или нарушению функционирования информационной системы и (или) к возникновению угроз безопасности информации (далее – инциденты), и реагирования на них;
  • управления конфигурацией аттестованной ГИС и СЗИ;
  • контроля (мониторинга) за обеспечением уровня защищенности информации;
  • защиты информации при выводе из эксплуатации ГИС или после принятия решения об окончании обработки информации.

При внедрении организационных мер защиты информации осуществляются:

  • реализация правил разграничения доступа и введение ограничений на действия пользователей, а также на изменение условий эксплуатации, состава и конфигурации технических средств и программного обеспечения;
  • проверка полноты и детальности описания в ОРД действий пользователей и администраторов ГИС по реализации организационных мер защиты информации;
  • отработка действий должностных лиц и подразделений, ответственных за реализацию мер защиты информации.

Анализ уязвимостей проводится в целях оценки возможности преодоления нарушителем СЗИ и предотвращения реализации угроз безопасности информации.

В случае выявления уязвимостей, приводящих к возникновению дополнительных угроз безопасности информации, проводится уточнение модели угроз и при необходимости принимаются дополнительные меры защиты информации, направленные на устранение выявленных уязвимостей или исключающие возможность использования нарушителем выявленных уязвимостей.

Приемочные испытания СЗИ проводятся с учетом ГОСТ 34.603 и включают проверку выполнения требований утвержденного технического задания.

Аттестация ГИС включает проведение комплекса организационных и технических мероприятий (аттестационных испытаний), в результате которых подтверждается соответствие СЗИ установленным Требованиям безопасности.

По результатам аттестационных испытаний оформляются протоколы, заключение о соответствии и аттестат соответствия в случае положительных результатов.

Допускается аттестация на основе результатов аттестационных испытаний выделенного набора сегментов ГИС, реализующих полную технологию обработки информации.

Ввод в действие ГИС осуществляется при наличии аттестата соответствия.

Обеспечение защиты информации в ходе эксплуатации аттестованной ГИС осуществляется оператором в соответствии с разработанными документами и в том числе включает:

  • управление (администрирование) СЗИ;
  • выявление инцидентов и реагирование на них;
  • управление конфигурацией аттестованной ГИС и ее СЗИ;
  • контроль (мониторинг) за обеспечением уровня защищенности Информации.

Организационные и технические меры, реализуемые в СЗИ, в зависимости от актуальных угроз и используемых ИТ должны обеспечивать:

  • идентификацию и аутентификацию субъектов доступа и объектов доступа;
  • управление доступом субъектов доступа к объектам доступа;
  • ограничение программной среды;
  • защиту машинных носителей информации;
  • регистрацию событий безопасности;
  • антивирусную защиту;
  • обнаружение (предотвращение) вторжений;
  • контроль (анализ) защищенности информации;
  • целостность информационной системы и информации;
  • доступность информации;
  • защиту среды виртуализации;
  • защиту технических средств;
  • защиту информационной системы, ее средств, систем связи и передачи данных.

Состав мер защиты информации и их базовые наборы для соответствующих классов защищенности информационных систем приведены в приложении № 2 к Требованиям (Приказ ФСТЭК № 17).

Выбор мер защиты в рамках СЗИ включает:

  • определение базового набора мер для установленного класса защищенности;
  • адаптацию базового набора мер применительно к характеристикам и особенностям функционирования ГИС;
  • уточнение адаптированного базового набора мер, обеспечивающее блокирование (нейтрализацию) всех актуальных угроз безопасности, включенных в разработанную модель угроз;
  • дополнение уточненного адаптированного базового набора мер, обеспечивающее выполнение иных требований о защите информации, в том числе в области защиты персональных данных.

При невозможности реализации в СЗИ отдельных выбранных мер на этапах адаптации базового набора или уточнения адаптированного базового набора мер защиты могут разрабатываться иные (компенсирующие) меры, обеспечивающие адекватное блокирование (нейтрализацию) актуальных угроз.

В этом случае в ходе разработки СЗИ должно быть проведено обоснование применения компенсирующих мер защиты, а при аттестационных испытаниях оценена достаточность и адекватность данных компенсирующих мер для блокирования (нейтрализации) актуальных угроз безопасности.

При использовании новых ИТ и выявлении дополнительных угроз безопасности, для которых не определены меры защиты, должны разрабатываться компенсирующие меры.

Технические меры защиты информации реализуются посредством применения средств защиты информации, имеющих необходимые функции безопасности.

Использование СКЗИ осуществляется в соответствии с Положением ПКЗ-2005, утвержденным Приказом ФСБ России от 09.02.2005г. №66 и Инструкцией №152, утвержденной Приказом ФАПСИ от 13.06.2001г.

Нарушение требований Законодательства РФ в области защиты информации влечет за собой дисциплинарную, гражданско-правовую, административную или уголовную ответственность.

Цель создания системы защиты информации и решаемые задачи

Целью создания СЗИ является выполнение обязанностей Заказчика по применению правовых, организационных и технических мер обеспечения безопасности информации в соответствии с ФЗ-149 и принятыми в соответствии с ним нормативными правовыми актами.

Для создания СЗИ предлагается решение следующих задач:

  1. Проведение обследования, анализ уязвимости и классификация ГИС;
  2. Разработка частной модели актуальных угроз безопасности Информации;
  3. Выбор и обоснование организационных и технических мер, необходимых для нейтрализации актуальных угроз безопасности с учетом особенностей ГИС;
  4. Разработка организационно-распорядительной документации (ОРД), регламентирующей порядок защиты Информации в соответствии с принятыми организационными мерами.
  5. Разработка технического задания на создание СЗИ;
  6. Проектирование СЗИ в составе следующих решений в зависимости от выбранных технических мер:
    • управления доступом к информационным ресурсам;
    • сетевой безопасности;
    • антивирусной защиты;
    • криптографической защиты информации;
    • анализа уязвимости;
    • мониторинга событий безопасности;
    • защиты виртуальной инфраструктуры;
    • предотвращения утечки данных;
    • защиты мобильных устройств;
    • прочие решения, необходимые для нейтрализации актуальных угроз.
    • Поставка технических решений, внедрение и сервисное обслуживание СЗИ;
    • Анализ уязвимости защищенной ГИС;
    • Инструктаж и обучение персонала на авторизованных курсах в учебном центре;

10.  Аттестационные испытания ГИС на соответствие Требованиям безопасности.

При выполнении работ в первую очередь предполагается руководствоваться экономической целесообразностью и эффективностью проводимых мероприятий по защите ГИС.

Результаты создания системы защиты информации

В результате создания СЗИ Заказчик получает следующие отчетные документы:

  1. Отчет о результатах обследования  ГИС;
  2. Рекомендации по созданию/совершенствованию СЗИ;
  3. Проект распоряжения о классификации ГИС;
  4. Частная модель актуальных угроз безопасности Информации;
  5. Требования к СЗИ, перечень и обоснование необходимых мер защиты;
  6. Комплект ОРД, в т.ч.:
  1. Политика защиты информации в ГИС;
  2. Положение об организации и ведению работ по защите информации в ГИС;
  3. Регламент защиты информации;
  4. Разделы должностных инструкций персонала ГИС в части защиты информации;
  5. Прочие…
  1. Техническое задание на создание СЗИ;
  2. Комплект проектной и эксплуатационной документации на СЗИ;
  3. Комплект документов, необходимых для получения лицензий на осуществление деятельности по технической защите информации;
  4. Отчет о проведенном анализе уязвимости ГИС;
  5. Протокол приёмосдаточных испытаний СЗИ;
  6. Пакет документации на аттестуемый объект информатизации ГИС;
  7. Программа-методика проведения аттестационных испытаний;
  8. Протоколы проведенных аттестационных испытаний;
  9. Аттестат соответствия ГИС требованиям безопасности информации.
  10. Отчеты о результатах оценки уровня защищенности ГИС в процессе сервисного обслуживания.

Купить

Форма заказа

Вход

Подписка на обновления