Нормативно-правовая база обеспечения информационной безопасности в государственных информационных системах

Сергей Макеев, руководитель группы департамента аттестации, ЗАО «НПО «Эшелон»
Сергей Макеев, руководитель группы департамента аттестации, ЗАО «НПО «Эшелон»

С момента вступления в силу положений приказа ФСТЭК России № 17 от 11 февраля 2013 г. «Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах» прошло немногим больше двух лет. Принятая нормативно-правовая база обеспечения информационной безопасности государственных информационных систем (ГИС) требует дальнейшего развития. В рамках настоящей статьи представлен краткий обзор существующей нормативно-правовой базы обеспечения информационной безопасности ГИС, сформулированы проблемные вопросы и предложены перспективные подходы к обеспечению информационной безопасности ГИС.

Основания

В современном российском законодательстве оформились различные виды информационных систем (ИС): информационные системы персональных данных (ИСПДн), информационные системы общего пользования (ИСОП), автоматизированные системы управления технологическим процессом (АСУ ТП) и др. Серьезное развитие получила также нормативно-правовая база обеспечения информационной безопасности ГИС [1].

Определение термина «государственная информационная система» приведено в п. 1 ст. 13 Федерального закона № 149 от 27 июля 2006 г. «Об информации, информационных технологиях и о защите информации»: «…федеральные информационные системы и региональные информационные системы, созданные на основании соответственно федеральных законов, законов субъектов Российской Федерации, на основании правовых актов государственных органов».

Пункт 1 ст. 14 упомянутого закона закрепляет цели создания ГИС:

  • реализация полномочий государственных органов;
  • обеспечение информационного обмена между государственными органами (например, через Систему межведомственного электронного взаимодействия – СМЭВ);
  • иные цели, установленные федеральными законами.

Отметим также, что для отдельных (но не для всех) ГИС, предназначенных для использования при осуществлении государственных функций и/или предоставления государственных услуг, до ввода их в эксплуатацию в соответствии с постановлением Правительства Российской Федерации № 723 от 10 сентября 2009 г. «О порядке ввода в эксплуатацию отдельных государственных информационных систем» федеральный орган исполнительной власти обязан:

  • принять правовой акт о порядке и сроках ввода в эксплуатацию федеральной ГИС;
  • зарегистрировать федеральную ГИС в реестре федеральных ГИС [5].

Вместе с тем, руководствуясь вышеуказанными критериями, на практике не всегда удается однозначно определить, является ли ИС государственного (муниципального) органа, в которой обрабатывается государственный (муниципальный) информационный ресурс, именно государственной (муниципальной) информационной системой.

Требования защиты

Основные положения и требования по защите информации, обрабатываемой в ГИС, приведены в приказе ФСТЭК России № 17 от 11 февраля 2013 г. «Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах». Детализация содержания наборов организационных и технических мер защиты информации в ГИС и правила их реализации приведены в методическом документе ФСТЭК России «Меры защиты информации в государственных информационных системах», утвержденном ФСТЭК России 11 февраля 2014 г.

В соответствии с положениями вышеуказанных документов в качестве объектов защиты выступают следующие элементы ГИС:

  • информация, содержащаяся в ГИС (как ограниченного доступа, так и общедоступная);
  • технические средства, использующиеся для хранения, обработки, передачи защищаемой информации;
  • общесистемное, прикладное, специальное программное обеспечение (ПО);
  • применяемые информационные технологии;
  • средства защиты информации.

Для обеспечения защиты информации, содержащейся в ГИС, следует проводить комплекс взаимосвязанных мероприятий:

  • формирование требований по защите информации, содержащейся в ГИС;
  • разработка системы защиты информации ГИС;
  • внедрение системы защиты информации ГИС;
  • оценка эффективности внедренных мер защиты информации в форме аттестации ГИС на соответствие требованиям безопасности информации;
  • ввод ГИС в штатную эксплуатацию;
  • обеспечение защиты информации в ходе эксплуатации аттестованной ГИС;
  • обеспечение защиты информации при выводе из эксплуатации аттестованной ГИС.

Подчеркивается, что мероприятия по защите информации в ГИС являются неотъемлемой частью работ по созданию и эксплуатации ГИС и проводятся на всех этапах жизненного цикла ГИС. Внедряемая система защиты информации ГИС должна включать в себя набор организационных и технических мер защиты информации, направленных на блокирование (нейтрализацию) угроз безопасности информации в ГИС.

Этапы защиты

Формирование требований по защите информации, содержащейся в ГИС

Это важнейший этап, так как по результатам обследования ГИС собирается информация, необходимая для проведения классификации ГИС, выявления угроз безопасности информации, разработки модели угроз и модели нарушителя безопасности информации, обрабатываемой в ГИС, и, как следствие, определения требований к системе защиты информации ГИС.

Пункт 14.2 приказа ФСТЭК России № 17 от 11 февраля 2013 г. устанавливает следующие критерии классификации ГИС:

  • уровень значимости информации (УЗ), складывающийся из степени возможного ущерба для обладателя информации от нарушения каждого из свойств информации: конфиденциальности, целостности, доступности информации (высокий, средний или низкий – 1, 2, 3, 4) [2];
  • масштаб системы (федеральный, региональный, объектовый).

По результатам анализа исходных данных для ГИС определяется класс защищенности: самый высокий – первый (К1), второй (К2), третий (К3), самый низкий – четвертый (К4).

При определении угроз безопасности информации учитываются все структурно-функциональные характеристики ИС и особенности ее функционирования, например структура и состав ИС, взаимосвязи другими ИС и др.

В настоящее время во ФСТЭК России ведется работа над методическим документом «Методика определения угроз безопасности информации в информационных системах» [6], проект которого размещен на официальном сайте ФСТЭК России. Предполагается, что указанный документ заполнит пробел в части моделирования угроз безопасности информации и разработке моделей угроз безопасности информации в ИС в соответствии с концепцией приказа ФСТЭК России № 17. Также был открыт доступ к регулярно обновляемому банку данных угроз безопасности информации [7], включающему в себя базу данных уязвимостей ПО, перечень и описание угроз безопасности информации с привязкой к потенциалу нарушителя.

Несомненным преимуществом названного приказа является гибкость выбора мер защиты информации в зависимости от актуальных угроз безопасности информации, структурно-функциональных характеристик ГИС для их реализации в ГИС в рамках ее системы защиты информации, включающей следующие этапы:

  • определение базового набора мер защиты информации для установленного класса защищенности ГИС в соответствии с базовыми наборами мер защиты информации, приведенными в приложении № 2 приказа ФСТЭК России № 17 от 11 февраля 2013 г.;
  • адаптация базового набора мер защиты информации применительно к рассматриваемой ГИС (в том числе исключение из базового набора мер защиты информации, не связанных с рассматриваемой ГИС, или выбор иных (компенсирующих) мер защиты информации);
  • уточнение адаптированного базового набора мер защиты информации с учетом не выбранных ранее мер защиты информации, реализация которых обеспечит блокирование (нейтрализацию) всех актуальных угроз безопасности информации, включенных в модель угроз безопасности информации (или выбор компенсирующих мер защиты информации);
  • дополнение уточненного адаптированного базового набора мер защиты информации мерами, обеспечивающими выполнение иных дополнительных требований по защите информации (например, в области защиты персональных данных).

Несмотря на то что приказ ФСТЭК России № 17 устанавливает возможность внедрения компенсирующих мер защиты информации при невозможности реализации тех или иных мер защиты информации, подробная процедура обоснования применения не описана, а оценка достаточности для блокирования (нейтрализации) угроз безопасности информации выполняется при проведении аттестационных испытаний – критерии достаточности устанавливают организации – лицензиаты ФСТЭК России [3].

Разработка и внедрение системы защиты информации ГИС

Пункт 20 приказа ФСТЭК России № 17 от 11 февраля 2013 г. определяет состав мер защиты информации, который в зависимости от результатов формирования дополненного уточненного адаптированного базового набора мер защиты информации должен быть реализован в составе системы защиты информации ГИС:

  • идентификация и аутентификация субъектов доступа и объектов доступа;
  • управление доступом субъектов доступа к объектам доступа;
  • ограничение программной среды;
  • защита машинных носителей информации;
  • регистрация событий безопасности;
  • антивирусная защита;
  • обнаружение вторжений;
  • анализ защищенности информации;
  • целостность ИС и информации;
  • доступность информации;
  • защита среды виртуализации;
  • защита технических средств;
  • защита ИС, ее средств, систем связи и передачи данных.

Применяемые средства защиты информации должны соответствовать пунктам 11, 26 приказа ФСТЭК России № 17, т. е. должны использоваться средства защиты информации, прошедшие оценку соответствия в форме обязательной сертификации на соответствие требованиям по безопасности информации в соответствии со ст. 5 Федерального закона № 184 от 27 декабря 2002 г. «О техническом регулировании».

Использование сертифицированных средств защиты информации накладывает определенные ограничения на их обновление, например в целях устранения выявленных уязвимостей. Обновление средств защиты информации осуществляется в рамках проведения инспекционного контроля с пересчетом указанных в формуляре контрольных сумм, однако это процесс относительно длительный по сравнению с возможным выявлением новых уязвимостей [2]. В настоящее время ФСТЭК России ведет работу, в том числе по формированию рекомендаций по обновлению сертифицированных средств защиты информации [8].

Помимо внедрения технических мер защиты информации ГИС следует уделять внимание организационным мерам защиты информации, в том числе обучению пользователей и администраторов ГИС.

Оценка эффективности внедренных мер защиты информации в форме аттестации ГИС на соответствие требованиям безопасности информации

На текущий момент существует ряд проблем, связанных с проведением аттестации ИС на соответствие требованиям безопасности информации, среди них особый интерес вызывают следующие [3]:

  • процедура проведения дополнительной проверки эффективности системы защиты информации ГИС в случае изменения условий ее эксплуатации;
  • организация периодического контроля соответствия системы защиты информации ГИС требованиям безопасности информации;
  • процедура распространения действия аттестата соответствия на типовые сегменты ИС.

Положительное заключение о соответствии ГИС требованиям безопасности информации и выдача аттестата соответствия накладывают определенные ограничения на изменение условий функционирования ГИС и технологий обработки защищаемой информации, в частности:

  • состав и структура технических средств (как основных, так и вспомогательных);
  • условия размещения технических средств;
  • используемое ПО;
  • режимы обработки информации;
  • средства и меры защиты.

В случае изменения одного из перечисленных пунктов (например, версии ПО в связи с его обновлением) оператор ГИС должен известить организацию – лицензиата ФСТЭК России, выдавшую аттестат соответствия, о соответствующих изменениях.

В общем случае нормативно-методическая база в сфере аттестации типового решения не предоставляет. Одно из решений – качественное и количественное наполнение разрабатываемой перед проведением аттестации и согласуемой с заявителем программы и методики проведения аттестационных испытаний, которая предполагает добавление алгоритма действий при изменении условий функционирования ГИС и при увеличении состава угроз безопасности информации, а также действий при проведении периодического контроля соответствия системы защиты информации ГИС.

Ввод ГИС в эксплуатацию и обеспечение защиты информации в ходе эксплуатации аттестованной ГИС

Этот этап самый продолжительный, ГИС функционирует штатно для достижения цели ее создания, поэтому операторам ГИС необходимо весьма ответственно подходить к вопросам защиты информации. Пункт 18 приказа ФСТЭК России № 17 определяет проводимые оператором ГИС типовые мероприятия по обеспечению защиты информации в ходе эксплуатации аттестованной ГИС:

  • администрирование системы защиты информации ГИС;
  • выявление инцидентов и реагирование на них;
  • управление конфигурацией аттестованной ГИС и системы ее защиты информации, в том числе установка обновлений ПО;
  • контроль за обеспечением уровня защищенности информации, содержащейся в ГИС.

В задачи аттестационных испытаний должна входить оценка возможностей системы защиты информации ГИС не только противостоять угрозам безопасности информации, но и поддерживать выбранный уровень защищенности ИС в ходе ее эксплуатации.

Оператор ГИС должен непрерывно проводить анализ защищенности информации и выявление уязвимостей (группа мер АНЗ), в том числе с применением сертифицированных средств анализа защищенности [1].

В заключение следует отметить, что в рамках дальнейшего совершенствования нормативно-правовой базы в области защиты информации, обрабатываемой в ГИС, на основании проведенного анализа и предложений от экспертного сообщества в 2016 г. ФСТЭК России планирует внести изменения в приказ ФСТЭК России № 17 от 11 февраля 2013 г., выпустить вторую редакцию методического документа ФСТЭК России «Меры защиты информации в государственных информационных системах» [9], а также утвердить следующие методические документы:

  • «Порядок аттестации информационных систем»;
  • «Порядок обновления программного обеспечения и информационной системы»;
  • «Порядок выполнения и устранения уязвимостей в информационных системах»;
  • «Защита информации в информационной системе при использовании мобильных устройств».

Заключение

Актуальными задачами для операторов ГИС являются повышение квалификации и осведомленности пользователей и администраторов ГИС в области защиты информации, а также развитие внутренней документации в части разработки правил и процедур в сфере обеспечения информационной безопасности в соответствии с лучшими отечественными и зарубежными практиками [4].

Литература

  1. Методы оценки несоответствия средств защиты информации / А.С. Марков, В.Л. Цирлов, А.В. Барабанов; под ред. А.С. Маркова. М.: Радио и связь, 2012.
  2. Нестеровский И.П., Язов Ю.К. Возможный подход к оценке ущерба от реализации угроз безопасности информации, обрабатываемой в государственных информационных системах // Вопросы кибербезопасности. 2015. № 2 (10). С. 20–25.
  3. Макеев С.А. Проблемные вопросы аттестации информационных систем на соответствие требованиям безопасности информации // Защита информации. Инсайд. 2015. № 4. С. 2–6.
  4. Баранов А.П. Актуальные проблемы в сфере обеспечения информационной безопасности программного обеспечения // Вопросы кибербезопасности. 2015. № 1 (9). С. 2–5.
  5. Реестр федеральных государственных информационных систем. URL: http://rkn.gov.ru/it/register/
  6. Информационное сообщение ФСТЭК России от 7 мая 2015 г. № 240/22/1792. URL: http://ru/component/attachments/download/811
  7. Информационное сообщение ФСТЭК России от 6 марта 2015 г. № 240/22/879. URL: http://fstec.ru/component/attachments/download/780
  8. Методический документ ФСТЭК России. Рекомендации по обновлению сертифицированных средств защиты информации (проект). URL: http://ru/component/attachments/download/671
  9. Информационное сообщение ФСТЭК России от 27 января 2014 г. № 240/22/287. URL: http://fstec.ru/component/attachments/download/764
Поделиться:
Спецпроект

ИТАПК – впервые в режиме онлайн

Подробнее
Спецпроект

Форум «ИТОПК-2020» оценил потенциал господдержки

Подробнее

Подпишитесь
на нашу рассылку