инф без. История развития средств и методов защиты информации
Скачать 1.69 Mb.
|
Приказ ФСТЭК России № 17 от 11 февраля 2013г. «Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах» В документе устанавливаются требования к обеспечению защиты информации ограниченного доступа, не содержащей сведения, составляющие государственную тайну (далее – информация), от утечки по техническим каналам, несанкционированного доступа, специальных воздействий на такую информацию (носители информации) в целях ее добывания, уничтожения, искажения или блокирования доступа к ней (далее – защита информации) при обработке указанной информации в государственных информационных системах. В документе не рассматриваются требования о защите информации, связанные с применением криптографических методов защиты информации и шифровальных (криптографических) средств защиты информации. В документе рассматриваются требования к организации защиты информации, содержащейся в информационной системе. Среди них выделяются: Формирование требований к защите информации, содержащейся в информационной системе; Разработка системы защиты информации информационной системы; Аттестация информационной системы и ввод ее в действие; Обеспечение защиты информации в ходе эксплуатации аттестованной информационной системы; Обеспечение защиты информации при выводе из эксплуатации аттестованной информационной системы или после принятия решения об окончании обработки информации. Часть третья документа определяет требовании к мерам защиты информации, содержащей в информационной системе. В соответствии с данным документом определяются классы защищенности информационной системы: Класс защищенности информационной системы (первый класс (К1), второй класс (К2), третий класс (К3), четвертый класс (К4)) определяется в зависимости от уровня значимости информации (УЗ), обрабатываемой в этой информационной системе, и масштаба информационной системы (федеральный, региональный, объектовый). Класс защищенности (К) = [уровень значимости информации; масштаб системы]. Уровень значимости информации определяется степенью возможного ущерба для обладателя информации (заказчика) и (или) оператора от нарушения конфиденциальности (неправомерные доступ, копирование, предоставление или распространение), целостности (неправомерные уничтожение или модифицирование) или доступности (неправомерное блокирование) информации. УЗ = [(конфиденциальность, степень ущерба) (целостность, степень ущерба) (доступность, степень ущерба)], где степень возможного ущерба определяется обладателем информации (заказчиком) и (или) оператором самостоятельно экспертным или иными методами и может быть: высокой, если в результате нарушения одного из свойств безопасности информации (конфиденциальности, целостности, доступности) возможны существенные негативные последствия в социальной, политической, международной, экономической, финансовой или иных областях деятельности и (или) информационная система и (или) оператор (обладатель информации) не могут выполнять возложенные на них функции; средней, если в результате нарушения одного из свойств безопасности информации (конфиденциальности, целостности, доступности) возможны умеренные негативные последствия в социальной, политической, международной, экономической, финансовой или иных областях деятельности и (или) информационная система и (или) оператор (обладатель информации) не могут выполнять хотя бы одну из возложенных на них функций; низкой, если в результате нарушения одного из свойств безопасности информации (конфиденциальности, целостности, доступности) возможны незначительные негативные последствия в социальной, политической, международной, экономической, финансовой или иных областях деятельности и (или) информационная система и (или) оператор (обладатель информации) могут выполнять возложенные на них функции с недостаточной эффективностью или выполнение функций возможно только с привлечением дополнительных сил и средств. Информация имеет высокий уровень значимости (УЗ 1), если хотя бы для одного из свойств безопасности информации (конфиденциальности, целостности, доступности) определена высокая степень ущерба. Информация имеет средний уровень значимости (УЗ 2), если хотя бы для одного из свойств безопасности информации (конфиденциальности, целостности, доступности) определена средняя степень ущерба и нет ни одного свойства, для которого определена высокая степень ущерба. Информация имеет низкий уровень значимости (УЗ 3), если для всех свойств безопасности информации (конфиденциальности, целостности, доступности) определены низкие степени ущерба. Информация имеет минимальный уровень значимости (УЗ 4), если обладателем информации (заказчиком) и (или) оператором степень ущерба от нарушения свойств безопасности информации (конфиденциальности, целостности, доступности) не может быть определена, но при этом информация подлежит защите в соответствии с законодательством Российской Федерации. При обработке в информационной системе двух и более видов информации (служебная тайна, налоговая тайна и иные установленные законодательством Российской Федерации виды информации ограниченного доступа) уровень значимости информации (УЗ) определятся отдельно для каждого вида информации. Итоговый уровень значимости информации, обрабатываемой в информационной системе, устанавливается по наивысшим значениям степени возможного ущерба, определенным для конфиденциальности, целостности, доступности информации каждого вида информации. Информационная система имеет федеральный масштаб, если она функционирует на территории Российской Федерации (в пределах федерального округа) и имеет сегменты в субъектах Российской Федерации, муниципальных образованиях и (или) организациях. Информационная система имеет региональный масштаб, если она функционирует на территории субъекта Российской Федерации и имеет сегменты в одном или нескольких муниципальных образованиях и (или) подведомственных и иных организациях. Информационная система имеет объектовый масштаб, если она функционирует на объектах одного федерального органа государственной власти, органа государственной власти субъекта Российской Федерации, муниципального образования и (или) организации и не имеет сегментов в территориальных органах, представительствах, филиалах, подведомственных и иных организациях. Класс защищенности информационной системы определяется в соответствии с таблицей: Таблица 3. Определение защищенности информационной системы
Приказ ФСТЭК России от 18 февраля 2013 г. № 21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных» Меры по обеспечению безопасности персональных данных принимаются для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных. В настоящем документе не рассматриваются вопросы обеспечения безопасности персональных данных, отнесенных в установленном порядке к сведениям, составляющим государственную тайну, а также меры, связанные с применением шифровальных (криптографических) средств защиты информации. В согласии с документом, в состав мер по обеспечению безопасности персональных данных, реализуемых в рамках системы защиты персональных данных с учетом актуальных угроз безопасности персональных данных и применяемых информационных технологий, входят: идентификация и аутентификация субъектов доступа и объектов доступа; управление доступом субъектов доступа к объектам доступа; ограничение программной среды; защита машинных носителей информации, на которых хранятся и (или) обрабатываются персональные данные (далее - машинные носители персональных данных); регистрация событий безопасности; антивирусная защита; обнаружение (предотвращение) вторжений; контроль (анализ) защищенности персональных данных; обеспечение целостности информационной системы и персональных данных; обеспечение доступности персональных данных; защита среды виртуализации; защита технических средств; защита информационной системы, ее средств, систем связи и передачи данных; выявление инцидентов (одного события или группы событий), которые могут привести к сбоям или нарушению функционирования информационной системы и (или) к возникновению угроз безопасности персональных данных (далее - инциденты), и реагирование на них; управление конфигурацией информационной системы и системы защиты персональных данных. При использовании в информационных системах сертифицированных по требованиям безопасности информации средств защиты информации: для обеспечения 1 и 2 уровней защищенности персональных данных применяются: средства вычислительной техники не ниже 5 класса; системы обнаружения вторжений и средства антивирусной защиты не ниже 4 класса; межсетевые экраны не ниже 3 класса в случае актуальности угроз 1-го или 2-го типов или взаимодействия информационной системы с информационнотелекоммуникационными сетями международного информационного обмена и межсетевые экраны не ниже 4 класса в случае актуальности угроз 3-го типа и отсутствия взаимодействия информационной системы с информационно-телекоммуникационными сетями международного информационного обмена; для обеспечения 3 уровня защищенности персональных данных применяются: средства вычислительной техники не ниже 5 класса; системы обнаружения вторжений и средства антивирусной защиты не ниже 4 класса защиты в случае актуальности угроз 2-го типа или взаимодействия информационной системы с информационно-телекоммуникационными сетями международного информационного обмена и системы обнаружения вторжений и средства антивирусной защиты не ниже 5 класса защиты в случае актуальности угроз 3-го типа и отсутствия взаимодействия информационной системы с информационно-телекоммуникационными сетями международного информационного обмена; межсетевые экраны не ниже 3 класса в случае актуальности угроз 2-го типа или взаимодействия информационной системы с информационно-телекоммуникационными сетями международного информационного обмена и межсетевые экраны не ниже 4 класса в случае актуальности угроз 3-го типа и отсутствия взаимодействия информационной системы с информационно-телекоммуникационными сетями международного информационного обмена; для обеспечения 4 уровня защищенности персональных данных применяются: средства вычислительной техники не ниже 6 класса; системы обнаружения вторжений и средства антивирусной защиты не ниже 5 класса; межсетевые экраны 5 класса. Для обеспечения 1 и 2 уровней защищенности персональных данных, а также для обеспечения 3 уровня защищенности персональных данных в информационных системах, для которых к актуальным отнесены угрозы 2-го типа, применяются средства защиты информации, программное обеспечение которых прошло проверку не ниже чем по 4 уровню контроля отсутствия недекларированных возможностей. Также в документе есть приложение к Составу и содержанию организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных. Определение уровня защищенности информационных систем персональных данных Уровень защищенности персональных данных - это комплексный показатель, который характеризует выполнение требований, нейтрализующих угрозы безопасности информационных систем персональных данных. Требованиями к защите ПДн при их обработке в информационных системах (Утв. Постановлением Правительства № 1119 от 01.11.2012) установлены 4 уровня защищенности персональных данных, различающихся перечнем необходимых к выполнению требований по защите информационных систем. Для определения уровня защищенности необходимо установить категории обрабатываемых персональных данных субъектов (физических лиц), вид обработки по форме отношений между субъектами и организацией, количество субъектов, а также тип угроз актуальных для информационной системы. Категории обрабатываемых персональных данных (ПДн), подразделяются на 4 группы: 1 группа - специальные категории ПДн, к которым относятся информация о национальной и расовой принадлежности субъекта, о религиозных, философских либо политических убеждениях, информацию о здоровье и интимной жизни субъекта; 2 группа — биометрические ПДн, то есть данные, характеризующие биологические или физиологические особенности субъекта, например фотография или отпечатки пальцев; 3 группа - общедоступные ПДн, то есть сведения о субъекте, полный и неограниченный доступ к которым предоставлен самим субъектом; 4 группа - иные категории ПДн, не представленные в трех предыдущих группах. По форме отношений между вашей организацией и субъектами обработка подразделяется на 2 вида: обработка персональных данных работников (субъектов, с которыми ваша организация связана трудовыми отношениями); обработка персональных данных субъектов, не являющихся работниками вашей организации. По количеству субъектов, ПДн которых обрабатываются, нормативным актом определены лишь 2 категории: менее 100 000 субъектов; более 100 000 субъектов. Типы актуальных угроз: угрозы 1-го типа связанны с наличием недекларированных (недокументированных) возможностей в системном ПО, используемом в ИСПДн; угрозы 2-го типа связанны с наличием недекларированных возможностей в прикладном ПО, используемом в ИСПДн; угрозы 3-го типа не связаны с наличием недекларированных возможностей в программном обеспечении, используемом в ИСПДн. Установив исходные данные, для конкретной ИСПДн определяется уровень защищенности персональных данных в соответствии со следующей таблицей: Таблица 4. Определение уровня защищенности персональны данных В зависимости от уровня защищенности ПДн определяется перечень требований, выполнение которых необходимо для нейтрализации угроз безопасности персональных данных. Типовые схемы защиты персональных данных Безопасность персональных данных при их обработке в информационной системе персональных данных (ИСПДн) может быть обеспечена путем создания системы защиты персональных данных (СЗПДн), включающей организационные меры и средства защиты информации (в том числе шифровальные (криптографические) средства, средства предотвращения несанкционированного доступа, утечки информации по техническим каналам, программно-технических воздействий на технические средства обработки персональных данных), а также используемые в ИСПДн информационные технологии. Целью проведения работ является разработка и осуществление мероприятий по организации и обеспечению безопасности персональных данных при их обработке, хранении и передаче в ИСПДн Заказчика в соответствии с требованиями действующего законодательства Российской Федерации. Общая схема реализации процесса защиты персональных данных Требования к СЗПДн могут быть определены по результатам обследования ИСПДн, моделирования угроз и на основании присвоенного класса ИСПДн. Стадии создания системы защиты персональных данных: Предпроектная стадия: проведение предпроектного обследования; анализ и классификация существующей ИСПДн; разработка частной модели угроз; формирование ТЗ на ИСПДн (СЗПДн). Проектирование ИСПДн (СЗПДн): разработка проекта на создание ИСПДн (СЗПДн); разработка мероприятий по защите ПДн; сертификация СЗИ; определение подразделений и назначение лиц, ответственных за эксплуатацию СЗИ; разработка эксплуатационной документации. Ввод в действие ИСПДн (СЗПДн): опытная эксплуатация СЗИ; строительно-монтажные работы; приемо-сдаточные испытания ИСПДн (СЗПДн); организация физической охраны помещений ИСПДн; обучение персонала. Аттестация ИСПДн (по требованию Заказчика): проведение всего комплекса мероприятий с выдачей аттестата соответствия; оказание методической помощи в получении необходимых лицензий ФСТЭК России и ФСБ России. Дальнейшее сопровождение ИСПДн (СЗПДн): сопровождение технических средств ИСПДн; сопровождение средств защиты информации в составе СЗПДн. Для разработки системы защиты информационной системы персональных данных предлагается: На предпроектной стадии: Выполнение предпроектного обследования объектов защиты, анализ условий обработки персональных данных и предварительная классификация ИСПДн. На стадии проектирования: разработка модели угроз персональным данным при их обработке в ИСПДн; уточнение класса ИСПДн на основе оценки актуальных угроз персональным данным; разработка технического проекта системы защиты персональных данных; разработка пакета организационно-распорядительных документов по защите персональных данных. Перечень дорабатываемых и разрабатываемых документов может быть определен по результатам предпроектного обследования ИСПДн. На стадии внедрения: реализация проектных решений по СЗПДн, включая работы по монтажу оборудования, установке программного обеспечения, выполнению пуско-наладочных работ СЗПДн; опытная эксплуатация ИСПДн; аттестация ИСПДн по требованиям безопасности информации (по требованию Заказчика); обучение персонала правилам эксплуатации СЗПДн. На стадии эксплуатации: |