Всем привет! Сегодня хотел бы затронуть тему защита информации в Государственных информационных системах (далее – ГИС). Начнем с определения, что такое ГИС – согласно ФЗ-149 ст. 13 п.1 Государственные информационные системы – федеральные информационные системы и региональные информационные системы, созданные на основании соответственно федеральных законов, законов субъектов РФ, на основании правовых актов гос. органов.
Теперь рассмотрим вопрос, как определить у вас ГИС или нет. Во-первых проверяем, есть ли какие либо правовые акты гос. органов на создание ГИС. Во-вторых, все ГИС можно посмотреть в Реестре федеральных государственных систем.
Далее если у вас ГИС, то нужно применять к ней требования регуляторов по защите информации. К операторам ГИС, предъявляются требования, изложенные в приказе ФСТЭК №17. В данном приказе есть 6 этапов по приведению в соответствие требований:
Формирование требований к защите информации, содержащейся в ИС
Для начала проводим классификацию ИС. В приложение №1 к приказу описывается, как нужно определить класс защищенности.
Далее определяем угрозы безопасности информации:
После разработки технического задания, его также как и модель угроз нужно отправить на согласование в ФСТЭК и ФСБ.
Разработка системы защиты информации ИС
Разрабатывается технический проект, с выбором конкретных технических средств, основываясь на техническое задание. При проектировании системы защиты определяются:
Внедрение системы защиты информации ИС
И вот после того как нам привезли все СЗИ начинается внедрение, оно включает в себя:
Для проведения аттестации, придется обращаться к сторонним организациям, потому как в приказе указано, что проведения аттестационных испытаний ИС должностными лицами, осуществляющими проектирование и внедрения системы защиты, не допускаются. Для этого мы открывает реестр организаций, у которых есть лицензия ФСТЭК на осуществление данных мероприятий (данный реестр есть на сайте ФСТЭК) и выбираем подходящую. Далее заключаем с ними договор итд. По завершению мероприятий, организация выдает аттестат соответствия.
Последние два этапа, я думаю разъяснять не надо и так всё понятно.
Подводя итоги. При приведении в соответствие ГИС много нюансов. Такие вопросы, как говориться, с «кондачка» не решаются. Так как это ГИС, то ответственность намного выше, чем даже если сравнивать с ПДн. Если в ПДн МУ, можно делать какую хочешь и угрозы выбирать какие тебе нравятся, то в ГИС придется отправлять МУ в ФСТЭК и ФСБ на согласование. Аналогично с ТЗ, также придется всё отправлять в ФСТЭК и ФСБ. Если в ПДн аттестацию делать не нужно, то в ГИС она обязательна (цена на нее не очень привлекательна). При проведении аттестации, стороння организация будет проверять всё (документацию и техническую часть) и если она выявит недочеты, вряд ли они будут закрывать на это глаза и выдавать под свою ответственность (рискуя своей лицензией) аттестат.
Если в ГИС обрабатываются ПДн, то придется еще рассмотреть ПП 1119, а вместе с ним и 378 ФСБ итд. В общем, вопросов много.
Надеюсь, что статья кому-нибудь пригодится. Спасибо, что дочитали до конца.
Теперь рассмотрим вопрос, как определить у вас ГИС или нет. Во-первых проверяем, есть ли какие либо правовые акты гос. органов на создание ГИС. Во-вторых, все ГИС можно посмотреть в Реестре федеральных государственных систем.
Далее если у вас ГИС, то нужно применять к ней требования регуляторов по защите информации. К операторам ГИС, предъявляются требования, изложенные в приказе ФСТЭК №17. В данном приказе есть 6 этапов по приведению в соответствие требований:
- Формирование требований к защите информации, содержащейся в ИС
- Разработка системы защиты информации ИС
- Внедрение системы защиты информации ИС
- Аттестация ИС по требованиям защиты информации и ввод ее в действие
- Обеспечение защиты информации в ходе эксплуатации аттестованной ИС
- Обеспечение защиты информации при выходе из эксплуатации
Формирование требований к защите информации, содержащейся в ИС
Для начала проводим классификацию ИС. В приложение №1 к приказу описывается, как нужно определить класс защищенности.
Далее определяем угрозы безопасности информации:
- Проводим анализ уязвимостей ИС
- Оцениваем возможности внешнего и внутреннего нарушителя. Для этого нужно разработать Модель нарушителя. У ФСТЭК нет рекомендательных документов по разработке модели нарушителя, они есть у ФСБ.
- Готовим модель угроз. ФСТЭК рекомендует пользоваться их банком угроз (БДУ) при построении модели угроз для ИС, что в принципе логично. После того как вы подготовите МУ, согласуете ее с руководством итд. её нужно отправить на согласование в ФСТЭК и ФСБ (процесс не быстрый может занят несколько месяцев). Для тех у кого туго с этим вопросом, могу порекомендовать на начальном этапе разработки МУ сервис (
Ссылка скрыта от гостей). Он даст примерное описание происходящему.
- В ИС 1 класса защищенности применяются СЗИ не ниже 4 класса, СВТ не ниже 5
- В ИС 2 класса защищенности применяются СЗИ не ниже 5 класса, СВТ не ниже 5
- В ИС 3 класса защищенности применяются СЗИ 6 класса, СВТ не ниже 5
После разработки технического задания, его также как и модель угроз нужно отправить на согласование в ФСТЭК и ФСБ.
Разработка системы защиты информации ИС
Разрабатывается технический проект, с выбором конкретных технических средств, основываясь на техническое задание. При проектировании системы защиты определяются:
- Типы субъектов доступа (пользователи, процессы)
- Методы управления доступом (дискреционный, мандатный, ролевой или иные)
- Меры защиты информации (основываясь на техническое задание)
- Виды и типы средств ЗИ
- Структура системы защиты
- Конкретные технические средства, сертифицированные на соответствие требованиям по безопасности, с учетом класса защищенности ИС
Внедрение системы защиты информации ИС
И вот после того как нам привезли все СЗИ начинается внедрение, оно включает в себя:
- Установку и настройку СЗИ
- Разработка организационно-распорядительной документации (правила, регламенты, инструкции)
- Внедрение организационных мер защиты
- Предварительные испытания системы защиты
- Анализ уязвимостей после ввода в действие СЗИ
- Приемочные испытания системы защиты
Для проведения аттестации, придется обращаться к сторонним организациям, потому как в приказе указано, что проведения аттестационных испытаний ИС должностными лицами, осуществляющими проектирование и внедрения системы защиты, не допускаются. Для этого мы открывает реестр организаций, у которых есть лицензия ФСТЭК на осуществление данных мероприятий (данный реестр есть на сайте ФСТЭК) и выбираем подходящую. Далее заключаем с ними договор итд. По завершению мероприятий, организация выдает аттестат соответствия.
Последние два этапа, я думаю разъяснять не надо и так всё понятно.
Подводя итоги. При приведении в соответствие ГИС много нюансов. Такие вопросы, как говориться, с «кондачка» не решаются. Так как это ГИС, то ответственность намного выше, чем даже если сравнивать с ПДн. Если в ПДн МУ, можно делать какую хочешь и угрозы выбирать какие тебе нравятся, то в ГИС придется отправлять МУ в ФСТЭК и ФСБ на согласование. Аналогично с ТЗ, также придется всё отправлять в ФСТЭК и ФСБ. Если в ПДн аттестацию делать не нужно, то в ГИС она обязательна (цена на нее не очень привлекательна). При проведении аттестации, стороння организация будет проверять всё (документацию и техническую часть) и если она выявит недочеты, вряд ли они будут закрывать на это глаза и выдавать под свою ответственность (рискуя своей лицензией) аттестат.
Если в ГИС обрабатываются ПДн, то придется еще рассмотреть ПП 1119, а вместе с ним и 378 ФСБ итд. В общем, вопросов много.
Надеюсь, что статья кому-нибудь пригодится. Спасибо, что дочитали до конца.
