в начало  предыдущее  закрыть  следущее  в конец
141090, Московская область, г.Королев, мкр.Юбилейный, ул. Ленинская, д.4, пом.7
Тел: +7(495)589-99-53 Тех.поддержка:+7(499)110-90-40 e-mail: [email protected]
Главная страница / Статьи

Обзор документа «Требования о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах»

12 февраля 2013г. приказом ФСТЭК России №17 утверждены требования о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах (ГИС).

Данный документ установил требования к обеспечению защиты информации ограниченного доступа, не содержащей сведения, составляющие государственную тайну, от утечки по техническим каналам, несанкционированного доступа, специальных воздействий на такую информацию (носители информации) при обработке в государственных информационных системах. Кроме того при обработке в государственной информационной системе информации, содержащей персональные данные, требования Приказа №17 должны применятся наряду с требованиями к защите персональных данных при их обработке в информационных системах персональных данных, утвержденных постановлением Правительства РФ от 1.11.12г. №1119.

А для операторов, обрабатывающих информацию ограниченного доступа и персональные данные, на их усмотрение можно использовать настоящие требования для защиты информации, содержащейся и в негосударственных информационных ресурсах.

Документ содержит требования к организации защиты информации, критерии для определения класса защищенности информационных систем и базовые наборы мер защиты информации для соответствующего класса защищенности информационной системы.

Для обеспечения защиты информации, содержащейся в информационной системе, определены следующие мероприятия:

  1. Формирование требований к защите информации в ходе создания информационной системы.
  2. Разработка системы защиты информации информационной системы.
  3. Внедрение системы защиты информации информационной системы.
  4. Аттестация информационной системы по требованиям защиты информации и ввод ее в действие.
  5. Эксплуатация аттестованной информационной системы и ее системы защиты информации.
  6. Защита информации при выводе из эксплуатации информационной системы или после принятия решения об окончании обработки информации.

Остановимся подробнее на каждом мероприятии.

Формирование требований к защите информации в ходе создания информационной системы осуществляется с учетом:

1. ГОСТ Р 51583 «Защита информации. Порядок создания автоматизированных систем в защищенном исполнении. Общие положения»

2. ГОСТ Р 51624 «Защита информации. Автоматизированные системы в защищенном исполнении. Общие требования»,

и включает:

Классификацию ИС теперь рекомендуется проводить в зависимости от уровня значимости обрабатываемой в ней информации (УЗ) и масштаба ИС (федеральный, региональный, объектовый). Устанавливаются четыре класса защищенности информационной системы, определяющие уровни защищенности содержащейся в ней информации (Таблица 1).

Таблица 1

Уровень значимости информации

Масштаб информационной системы

Федеральный

Региональный

Объектовый

УЗ 1

К1

К1

К1

УЗ 2

К1

К2

К2

УЗ 3

К2

К3

К3

УЗ 4

К3

К3

К4


Федеральный масштаб – если ИС она функционирует на территории Российской Федерации (в пределах федерального округа) и имеет сегменты в субъектах Российской Федерации, муниципальных образованиях и (или) организациях.

Региональный масштаб - если ИС функционирует на территории субъекта Российской Федерации и имеет сегменты в одном или нескольких муниципальных образованиях и (или) подведомственных и иных организациях.

Объектовый масштаб - если она функционирует на объектах одного федерального органа государственной власти, органа государственной власти субъекта Российской Федерации, муниципального образования и (или) организации и не имеет сегментов в территориальных органах, представительствах, филиалах, подведомственных и иных организациях.

УЗ 1 - если хотя бы для одного из свойств безопасности информации (конфиденциальности, целостности, доступности) определена высокая степень ущерба.

УЗ 2 - если хотя бы для одного из свойств безопасности информации (конфиденциальности, целостности, доступности) определена средняя степень ущерба и нет ни одного свойства, для которого определена высокая степень ущерба.

УЗ 3 - если для всех свойств безопасности информации (конфиденциальности, целостности, доступности) определены низкие степени ущерба.

УЗ 4 - если степень ущерба от нарушения свойств безопасности информации (конфиденциальности, целостности, доступности) не может быть определена, но при этом информация подлежит защите в соответствии с законодательством Российской Федерации.

Высокая степень ущерба – если в результате нарушения одного из свойств безопасности информации (конфиденциальности, целостности, доступности) возможны существенные негативные последствия в социальной, политической, международной, экономической, финансовой или иных областях деятельности и (или) информационная система и (или) оператор не могут выполнять возложенные на них функции.

Средняя степень ущерба – если в результате нарушения одного из свойств безопасности информации (конфиденциальности, целостности, доступности) возможны умеренные негативные последствия в социальной, политической, международной, экономической, финансовой или иных областях деятельности и (или) информационная система и (или) оператор не могут выполнять хотя бы одну из возложенных на них функций.

Низкая степень ущерба – если в результате нарушения одного из свойств безопасности информации (конфиденциальности, целостности, доступности) возможны незначительные негативные последствия в социальной, политической, международной, экономической, финансовой или иных областях деятельности и (или) информационная система и (или) оператор могут выполнять возложенные на них функции с недостаточной эффективностью или выполнение функций возможно только с привлечением дополнительных сил и средств.

Разработка системы защиты информации ИС осуществляется в соответствии с ТЗ с учетом:

  1. ГОСТ 34.601 «Информационная технология. Комплекс стандартов на автоматизированные системы. Автоматизированные системы. Стадии создания».
  2.  ГОСТ Р 51583
  3. ГОСТ Р 51624

и включает:

1. Проектирование системы защиты информации ИС:

2. Разработку эксплуатационной документации на систему защиты информации ИС:

3. Макетирование и тестирование системы защиты информации ИС (при необходимости):

Внедрение системы защиты информации ИС включает:

Также в документе определены порядок проведения аттестации ИС, исходные данные, разрабатываемые в ходе проведения аттестационных испытаний документы и возможность проведения аттестации на основе результатов аттестационных испытаний выделенного набора сегментов информационной системы, реализующих полную технологию обработки информации.

Далее хотелось бы остановиться на требованиях к мерам защиты информации, содержащейся в ИС. Документом определено, что организационные и технические меры защиты информации должны обеспечивать:

Выбор мер защиты информации для их реализации в ИС включает:

Кроме того документ определяет, что при невозможности реализации в информационной системе в рамках ее системы защиты информации отдельных выбранных мер защиты информации на этапах адаптации базового набора мер защиты информации или уточнения адаптированного базового набора мер защиты информации могут разрабатываться иные (компенсирующие) меры защиты информации, обеспечивающие адекватное блокирование (нейтрализацию) актуальных угроз безопасности информации. В этом случае в ходе разработки системы защиты информации информационной системы должно быть проведено обоснование применения компенсирующих мер защиты информации, а при аттестационных испытаниях оценена достаточность и адекватность данных компенсирующих мер для блокирования (нейтрализации) актуальных угроз безопасности информации. Что из этого получится покажет время, поскольку оценка достаточности и адекватности компенсирующих мер – вещь достаточно субъективная, да и в фразе о «…невозможности реализации в ИС отдельных мер защиты информации…» отсутствуют критерии оценки такой невозможности.

В информационных системах для реализации технических мер защиты информации необходимо использовать средства защиты информации определенного класса (таблица 2).

Таблица 2

Средства защиты информации

Класс информационной системы (уровень защищенности ПДн)

1 (УЗ1)*

2 (УЗ2)*

3 (УЗ3)

4 (УЗ4)

СВТ

5

5

5

5

СОВ

4

4

4 (есть подкл. internet)

5 (нет подкл. internet)

6

САЗ

4

4

4 (есть подкл. internet)

5 (нет подкл. internet)

6

МЭ

3 (есть подкл. internet)

4 (нет подкл. internet)

3 (есть подкл. internet)

4 (нет подкл. internet)

3 (есть подкл. internet)

4 (нет подкл. internet)

4

* - для использования в информационных системах данного класса СЗИ должны соответствовать 4 уровню контроля отсутствия недекларированных возможностей.

И в приложении 2 к приказу 17 отражены базовые и компенсирующие меры защиты информации для соответствующего класса защищенности информационной системы.

© 2002-2018. ООО "ЛИССИ-Софт". Все права защищены
Телефон: +7(495) 589-99-53
Техническая поддержка: +7(499) 110-90-40
E-mail: [email protected]
Принимаем к оплате