• Познакомьтесь с пентестом веб-приложений на практике в нашем новом бесплатном курсе

    «Анализ защищенности веб-приложений»

    🔥 Записаться бесплатно!

  • CTF с учебными материалами Codeby Games

    Обучение кибербезопасности в игровой форме. Более 200 заданий по Active Directory, OSINT, PWN, Веб, Стеганографии, Реверс-инжинирингу, Форензике и Криптографии. Школа CTF с бесплатными курсами по всем категориям.

Статья Что такое ГИС и с чем её едят

Всем привет! Сегодня хотел бы затронуть тему защита информации в Государственных информационных системах (далее – ГИС). Начнем с определения, что такое ГИС – согласно ФЗ-149 ст. 13 п.1 Государственные информационные системы – федеральные информационные системы и региональные информационные системы, созданные на основании соответственно федеральных законов, законов субъектов РФ, на основании правовых актов гос. органов.

Теперь рассмотрим вопрос, как определить у вас ГИС или нет. Во-первых проверяем, есть ли какие либо правовые акты гос. органов на создание ГИС. Во-вторых, все ГИС можно посмотреть в Реестре федеральных государственных систем.

Далее если у вас ГИС, то нужно применять к ней требования регуляторов по защите информации. К операторам ГИС, предъявляются требования, изложенные в приказе ФСТЭК №17. В данном приказе есть 6 этапов по приведению в соответствие требований:
  • Формирование требований к защите информации, содержащейся в ИС
  • Разработка системы защиты информации ИС
  • Внедрение системы защиты информации ИС
  • Аттестация ИС по требованиям защиты информации и ввод ее в действие
  • Обеспечение защиты информации в ходе эксплуатации аттестованной ИС
  • Обеспечение защиты информации при выходе из эксплуатации
Итак, с этапами разобрались, давайте рассмотрим каждый более подробно.

Формирование требований к защите информации, содержащейся в ИС

Для начала проводим классификацию ИС. В приложение №1 к приказу описывается, как нужно определить класс защищенности.

Далее определяем угрозы безопасности информации:
  • Проводим анализ уязвимостей ИС
  • Оцениваем возможности внешнего и внутреннего нарушителя. Для этого нужно разработать Модель нарушителя. У ФСТЭК нет рекомендательных документов по разработке модели нарушителя, они есть у ФСБ.
  • Готовим модель угроз. ФСТЭК рекомендует пользоваться их банком угроз (БДУ) при построении модели угроз для ИС, что в принципе логично. После того как вы подготовите МУ, согласуете ее с руководством итд. её нужно отправить на согласование в ФСТЭК и ФСБ (процесс не быстрый может занят несколько месяцев). Для тех у кого туго с этим вопросом, могу порекомендовать на начальном этапе разработки МУ сервис ( ). Он даст примерное описание происходящему.
Далее нужно разработать требования к системе защиты, то есть техническое задание. Техническое задание разрабатывается с учетом ГОСТ 34.602, ГОСТ Р 51583 и ГОСТ Р 51624. Подробный перечень, что должно содержать ТЗ, прописано в приказе ФСТЭК №17 ч.2 п. 14.4. Выбор состава мер защиты и их базовые наборы для соответствующего класса защищенности ИС прописан в приложение №2 к этому приказу. Подробное описание каждой меры прописано в ч3 к этому приказу. Технические меры защиты информации реализуются посредством применения СЗИ, при этом:
  • В ИС 1 класса защищенности применяются СЗИ не ниже 4 класса, СВТ не ниже 5
  • В ИС 2 класса защищенности применяются СЗИ не ниже 5 класса, СВТ не ниже 5
  • В ИС 3 класса защищенности применяются СЗИ 6 класса, СВТ не ниже 5
В ИС 1 и 2 класса защищенности применяются СЗИ, прошедшие проверку не ниже чем по 4 уровню контроля НДВ
После разработки технического задания, его также как и модель угроз нужно отправить на согласование в ФСТЭК и ФСБ.

Разработка системы защиты информации ИС

Разрабатывается технический проект, с выбором конкретных технических средств, основываясь на техническое задание. При проектировании системы защиты определяются:
  • Типы субъектов доступа (пользователи, процессы)
  • Методы управления доступом (дискреционный, мандатный, ролевой или иные)
  • Меры защиты информации (основываясь на техническое задание)
  • Виды и типы средств ЗИ
  • Структура системы защиты
  • Конкретные технические средства, сертифицированные на соответствие требованиям по безопасности, с учетом класса защищенности ИС
Дальше идет этап, который не прописан в приказе, но он есть. После составления технического проекта, ищем поставщиков ТС, связываемся с ними, обговариваем все нюансы итд. Оформляем закупочную ведомость, согласуем ее с руководством, заключаем договора на поставку. Ждём 

Внедрение системы защиты информации ИС

И вот после того как нам привезли все СЗИ начинается внедрение, оно включает в себя:
  • Установку и настройку СЗИ
  • Разработка организационно-распорядительной документации (правила, регламенты, инструкции)
  • Внедрение организационных мер защиты
  • Предварительные испытания системы защиты
  • Анализ уязвимостей после ввода в действие СЗИ
  • Приемочные испытания системы защиты
Аттестация ИС по требованиям защиты информации и ввод ее в действие

Для проведения аттестации, придется обращаться к сторонним организациям, потому как в приказе указано, что проведения аттестационных испытаний ИС должностными лицами, осуществляющими проектирование и внедрения системы защиты, не допускаются. Для этого мы открывает реестр организаций, у которых есть лицензия ФСТЭК на осуществление данных мероприятий (данный реестр есть на сайте ФСТЭК) и выбираем подходящую. Далее заключаем с ними договор итд. По завершению мероприятий, организация выдает аттестат соответствия.

Последние два этапа, я думаю разъяснять не надо и так всё понятно.

Подводя итоги. При приведении в соответствие ГИС много нюансов. Такие вопросы, как говориться, с «кондачка» не решаются. Так как это ГИС, то ответственность намного выше, чем даже если сравнивать с ПДн. Если в ПДн МУ, можно делать какую хочешь и угрозы выбирать какие тебе нравятся, то в ГИС придется отправлять МУ в ФСТЭК и ФСБ на согласование. Аналогично с ТЗ, также придется всё отправлять в ФСТЭК и ФСБ. Если в ПДн аттестацию делать не нужно, то в ГИС она обязательна (цена на нее не очень привлекательна). При проведении аттестации, стороння организация будет проверять всё (документацию и техническую часть) и если она выявит недочеты, вряд ли они будут закрывать на это глаза и выдавать под свою ответственность (рискуя своей лицензией) аттестат.
Если в ГИС обрабатываются ПДн, то придется еще рассмотреть ПП 1119, а вместе с ним и 378 ФСБ итд. В общем, вопросов много.

Надеюсь, что статья кому-нибудь пригодится. Спасибо, что дочитали до конца.
 
Мы в соцсетях:

Обучение наступательной кибербезопасности в игровой форме. Начать игру!