Методические рекомендации по обеспечению информационной безопасности в государственных информационных системах и защиты персональных данных в государственных
|
Скачать 0.57 Mb.
|
| таблицей № 1 приведенной в приложении 2 к настоящему методическому документу. Необходимо отметить, что определение уровня защищенности ПДн не может быть осуществлено без определения типа актуальных угроз. Таким образом, определение угроз безопасности информации (составление модели угроз безопасности информации) для ИСПДн предшествует ее классификации. Результаты определения уровня защищенности ПДн при их обработке в ИСПДн оформляются соответствующим актом оператора, утверждаемым руководителем ОГВ. ГИС может быть классифицирована до определения угроз безопасности информации (составление модели угроз безопасности информации). При этом должно быть обеспечено соответствующее соотношение класса защищенности ГИС с уровнем защищенности обрабатываемых в них ПДн. В случае если определенный в установленном порядке уровень защищенности ПДн выше, чем установленный класс защищенности ГИС, то осуществляется повышение класса защищенности до необходимого значения. Класс защищенности определяется для информационной системы в целом и, при необходимости, для ее отдельных сегментов (составных частей). Требование к классу защищенности включается в техническое задание на создание информационной системы и (или) техническое задание (частное техническое задание) на создание системы защиты информации информационной системы. Типовая форма технического задания приведена в приложении 3 к настоящему методическому документу Класс защищенности информационной системы подлежит пересмотру при изменении масштаба информационной системы или значимости обрабатываемой в ней информации. Результаты классификации информационной системы оформляются актом классификации. 4.4.1.2. Определение типа угроз безопасности ПДн, актуальных для информационной системы, производится оператором с учетом оценки возможного вреда, который может быть причинен субъектам ПДн в случае нарушения законодательства Российской Федерации в области обеспечения безопасности ПДн, соотношения указанного вреда и принимаемых оператором мер, направленных на обеспечение выполнения обязанностей, предусмотренных законодательством Российской Федерации в области обеспечения безопасности ПДн. Работы по определению угроз безопасности информации (разработка модели (моделей) угроз безопасности информации) должны начинаться с принятия решения о потенциальной необходимости использования в информационной системе СКЗИ, что обусловлено разницей в требованиях к количеству и содержанию моделей угроз, а также модели нарушителя. Потенциальная необходимость использования в информационной системе СКЗИ, может быть обусловлена: распределенностью информационной системы (наличием территориально обособленных сегментов, соединение которых осуществляется через международную компьютерную сеть «Интернет»); необходимостью обеспечить электронный документооборот; необходимостью использования электронной подписи. В случае определения необходимости обеспечения безопасности ПДн с использованием СКЗИ при формировании модели угроз используются методические документы ФСТЭК России и ФСБ России. При этом из двух содержащихся в документах ФСТЭК России и ФСБ России однотипных угроз выбирается более опасная. При необходимости использования СКЗИ разрабатываются: модель угроз верхнего уровня; детализированная модель угроз; модель нарушителя. Модель угроз верхнего уровня должна включать в себя: определение условий создания и использования ПДн; описание форм представления ПДн; описание информации, сопутствующей процессам создания и использования ПДн; определение характеристик безопасности. Детализированная модель угроз есть определение совокупности условий и факторов, создающих опасность нарушения характеристик безопасности. При анализе сложных (распределенных) систем, должен быть использован принцип декомпозиции сложного объекта. Если же составные части системы также весьма сложны, то для их анализа снова потребуется использование принципа декомпозиции сложного объекта. В таком случае целесообразно создание моделей угроз для каждого объекта, получающегося в процессе декомпозиции. Тип актуальных угроз для ПДн, а также необходимый класс СКЗИ определяется в соответствии с таблицей № 2 приложения 2 к настоящему методическому документу. Модель нарушителя содержит описание предположения о возможностях нарушителя на этапах хранения, ввода в эксплуатацию и эксплуатации СКЗИ, которые он может использовать для разработки и проведения атак, а также об ограничениях на эти возможности. С учетом того, что оператор обязан предусмотреть меры контроля соответствия и целостности при приемке, в процессе хранения и ввода в эксплуатацию СКЗИ, возможности нарушителя должны рассматриваться для этапа их эксплуатации. При отсутствии необходимости использования СКЗИ в информационной системе разрабатываются: модель угроз; модель нарушителя. Применительно к каждой ИСПДн, оператором (структурным подразделением или должностным лицом, ответственным за обеспечение безопасности ПДн) должны быть определены угрозы безопасности ПДн на основе Базовой модели угроз безопасности ПДн, содержащей систематизированный перечень угроз безопасности ПДн при их обработке в ИСПДн. При определении угроз безопасности информации учитываются структурно-функциональные характеристики информационной системы, включающие структуру и состав информационной системы, физические, логические, функциональные и технологические взаимосвязи между сегментами информационной системы, с иными информационными системами и информационно-телекоммуникационными сетями, режимы обработки информации в информационной системе и в ее отдельных сегментах, а также иные характеристики информационной системы, применяемые информационные технологии и особенности ее функционирования. В общем виде в модели угроз безопасности ПДн, обрабатываемых в ИСПДн, должны быть рассмотрены: угрозы утечки информации по техническим каналам; угрозы НСД, связанные с действиями нарушителей, имеющих доступ к ИСПДн, реализующих угрозы непосредственно в ИСПДн. При этом необходимо в качестве потенциальных нарушителей рассматривать легальных пользователей ИСПДн; угрозы НСД, связанные с действиями нарушителей, не имеющих доступа к ИСПДн, реализующих угрозы из внешних сетей связи общего пользования и (или) сетей международного информационного обмена. Наличие источника угрозы и уязвимого звена, которое может быть использовано для реализации угрозы, свидетельствует о наличии данной угрозы. Перечень источников угроз ПДн формируются на основе опроса специалистов, персонала ИСПДн, должностных лиц. Перечень уязвимых звеньев формируется на основании опроса и сетевого сканирования. Перечень технических каналов утечки формируется по данным обследования ИСПДн. На основании перечня угроз безопасности информации при необходимости разрабатываются рекомендации по корректировке структурно-функциональных характеристик информационной системы, направленные на блокирование (нейтрализацию) отдельных угроз безопасности информации. В модели угроз безопасности информации может содержаться описание информационной системы и ее структурно-функциональных характеристик, а также описание угроз безопасности информации, включающее описание возможностей нарушителей (модель нарушителя), возможных уязвимостей информационной системы, способов реализации угроз безопасности информации и последствий от нарушения свойств безопасности информации. Описание потенциальных угроз безопасности информации должно включать возможные уязвимости, способы реализации угроз безопасности информации и последствия от нарушения свойств безопасности информации конфиденциальности, целостности, доступности. В соответствии с Методикой определения актуальных угроз безопасности ПДн, определяется актуальность каждой угрозы. Актуальной считается та угроза, которая может быть реализована в ИСПДн. Для оценки возможности реализации угрозы применяются следующие показатели: уровень исходной защищенности ИСПДн (высокий, средний или низкий), определяемый по техническим и эксплуатационным характеристикам ИСПДн; частота (вероятность) реализации рассматриваемой угрозы, имеющая четыре градации этого показателя (маловероятно, низкая вероятность, средняя вероятность, высокая вероятность). В результате оценки определяется перечень актуальных угроз, который будет являться основой для разработки и внедрения эффективных и достаточных мер защиты для конкретной ИСПДн. Для разработки модели угроз оператор вправе на договорной основе привлекать организации-лицензиаты. В этом случае модель угроз ИСПДн согласовывается с организацией-лицензиатом, оказавшей услуги. Модель нарушителя должна описывать потенциал, оснащенность и мотивации внешних и внутренних нарушителей. При этом для ГИС, в зависимости от класса защищенности, должны выполняться следующие соответствия: 1 класса защищенности ГИС – нарушитель с высоким потенциалом; 2 класса защищенности ГИС – нарушитель с потенциалом не ниже среднего; 3 и 4 классов защищенности ГИС – нарушитель с низким потенциалом. 4.4.1.3. Выбор мер защиты информации для ГИС ПДн осуществляется исходя из класса защищенности информационной системы, определяющего требуемый уровень защищенности содержащихся в ней ПДн (выбор мер для ИСПДн осуществляется исходя из уровня защищенности обрабатываемых в ней ПДн) и угроз безопасности информации, включенных в модель угроз безопасности информационной системы в соответствии с таблицей № 4 приложения 2 к настоящему методическому документу. Меры защиты информации, выбираемые для реализации в информационной системе, должны обеспечивать блокирование одной или нескольких угроз безопасности информации, включенных в модель угроз. Первым шагом в выборе мер защиты информации, подлежащих реализации в ГИС (ИСПДн) является определение базового набора мер защиты информации. Определение базового набора мер защиты информации основывается на классе защищенности информационной системы. В качестве начального набора мер выбирается один из четырех базовых наборов мер защиты информации, соответствующий установленному уровню защищенности информационной системы. Меры защиты информации, обозначенные «+» включены в базовый набор мер защиты информации для соответствующего класса защищенности информационной системы. Меры защиты информации, не обозначенные знаком «+», к базовому набору мер не относятся, и могут применяться при последующих действиях по адаптации, уточнению, дополнению мер защиты информации, а также разработке компенсирующих мер защиты информации. Вторым шагом является изменение изначально выбранного базового набора мер защиты информации в части его максимальной адаптации применительно к структурно-функциональным характеристикам ГИС, информационным технологиям, особенностям функционирования информационной системы (в том числе предусматривающую исключение из базового набора мер защиты информации мер, непосредственно связанных с информационными технологиями, не используемыми в информационной системе, или структурно-функциональными характеристиками, не свойственными информационной системе). При адаптации базового набора мер защиты информации учитываются цели и задачи защиты информации, перечень мероприятий проводимых оператором по обеспечению безопасности в рамках организации в целом и применяемые информационные технологии и структурно-функциональные характеристики информационной системы. Уточнение адаптированного базового набора мер защиты информации проводится с учетом результатов оценки возможности адаптированного базового набора мер защиты информации адекватно блокировать (нейтрализовать) все угрозы безопасности информации, включенные в модель угроз безопасности информации, или снизить вероятность их реализации исходя из условий функционирования информационной системы с учетом не выбранных ранее мер защиты информации, в результате чего определяются меры защиты информации, обеспечивающие блокирование (нейтрализацию) всех угроз безопасности информации, включенных в модель угроз безопасности информации. Дополнение уточненного адаптированного базового набора мер защиты информации осуществляется с целью выполнения требований о защите информации, установленных иными нормативными правовыми актами в области защиты информации, в том числе в области защиты ПДн. Сформированный набор мер защиты информации может содержать меры защиты информации, которые по каким-либо причинам (например, высокая стоимость, отсутствие апробированных технических реализаций и т.д) делает невозможным или крайне затруднительным их реализацию в информационной системе в рамках ее системы защиты информации. В таких случаях у заказчика, оператора или разработчика есть возможность заменить соответствующие меры защиты информации компенсирующими мерами защиты информации, направленными на нейтрализацию актуальных угроз безопасности ПДн, на этапах адаптации базового набора мер и (или) уточнения адаптированного базового набора мер. При этом, должно быть проведено обоснование применения компенсирующих мер защиты информации, включающее: изложение причин исключения меры (мер) защиты информации; сопоставление исключаемой меры (мер) защиты информации с блокируемой (нейтрализуемой) угрозой (угрозами) безопасности информации; описание содержания компенсирующих мер защиты информации; сравнительный анализ компенсирующих мер защиты информации с исключаемыми мерами защиты информации; аргументацию, что предлагаемые компенсирующие меры защиты информации обеспечивают адекватное блокирование (нейтрализацию) угроз безопасности информации. Разработанное обоснование должно быть представлено при проведении аттестационных испытаний. При аттестационных испытаниях с учетом представленного обоснования должны быть оценены достаточность и адекватность компенсирующих мер для блокирования (нейтрализации) угроз безопасности информации. 4.4.1.4. Требования к системе защиты информации информационной системы определяются в зависимости от класса защищенности ГИС (уровня защищенности ПДн) и угроз безопасности информации, включенных в модель угроз безопасности информации. Требования к системе защиты информации информационной системы разрабатываются в виде отдельного документа и утверждаются руководителем ОГВ и согласовываются с организацией-лицензиатом (при условии оказания им услуг). При определении требований к системе защиты информации информационной системы учитываются положения политик обеспечения информационной безопасности в случае их разработки по ГОСТ Р ИСО/МЭК 27001 «Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования». Требования к системе защиты информации ГИС включаются в техническое задание на создание информационной системы и (или) техническое задание (частное техническое задание) на создание системы защиты информации информационной системы и должны, в том числе содержать: цель и задачи обеспечения защиты информации в информационной системе; класс защищенности информационной системы; перечень нормативных правовых актов, методических документов и национальных стандартов, которым должна соответствовать информационная система; перечень объектов защиты информационной системы; требования к мерам и средствам защиты информации, применяемым в информационной системе; требования к защите информации при информационном взаимодействии с иными информационными системами и информационно-телекоммуникационными сетями, в том числе с информационными системами уполномоченного лица, а также при применении вычислительных ресурсов (мощностей), предоставляемых уполномоченным лицом для обработки информации. Требования формируются в соответствии с |
Похожие:
 |
Инструкция по организации антивирусной защиты информационных систем... «Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных... |
|
Методические рекомендации по обеспечению с помощью криптосредств... В частности, Методическими рекомендациями необходимо руководствоваться в следующих случаях |
|
Методические рекомендации исполнительным органам государственной... Приказ о назначении сотрудников, ответственных за обеспечение безопасности персональных данных при их обработке в информационных... |
|
Овсянниковского сельского поселения распоряжени е Российской федерации от 01. 11. 2012 №1119 «Об утверждении требований к защите персональных данных при их обработке в информационных... |
|
Об организации и проведении работ по обеспечению безопасности персональных... Х обеспечения безопасности персональных данных при обработке в информационных системах Управления Министерства юстиции Российской... |
 |
Руководство пользователя по обеспечению безопасности информационной... Правительства Российской Федерации от 1 ноября 2012 г. №1119 «Об утверждении требований к защите персональных данных при их обработке... |
|
Приказ фстэк россии от 18 февраля 2013 г. №21 «Об утверждении состава... «Многофункциональный центр предоставления государственных и муниципальных услуг в Труновском районе» |
|
Приказ фстэк россии от 18 февраля 2013 г. №21 «Об утверждении состава... Муниципальном казенном учреждении муниципального образования город-курорт Пятигорск «Многофункциональный центр предоставления государственных... |
|
Инструкция по работе ответственного за обеспечение безопасности персональных... Настоящая инструкция определяет задачи, функции, обязанности, права и ответственность лица, назначенного ответственным за обеспечение... |
|
Инжавинского района тамбовской области постановление Об утверждении Положения об организации и проведении работ по обеспечению безопасности персональных данных при их автоматизированной... |
|
Приказ о назначении ответственного лица в области обработки и защиты... Постановление Правительства Российской Федерации от 1 ноября 2012 г. №1119 «Об утверждении требований к защите персональных данных... |
|
Мероприятия и документы по защите персональных данных Фз «О персональных данных» и Постановления Правительства Российской Федерации от 17. 11. 2007 №781 «Об утверждении Положения об обеспечении... |
|
М. В. Андреев 09 февраля 2015 года политика информационной безопасности... Основные принципы обеспечения информационной безопасности информационных систем персональных данных администрации Новоузенского муниципального... |
|
Инструкция администратора безопасности в Муниципальном учреждении... Ава и обязанности администратора безопасности по вопросам обеспечения информационной безопасности при обработке персональных данных... |
|
Приказ 30 декабря 2010 года №217 Об утверждении Инструкции по работе... В целях защиты персональных данных, используемых в министерстве финансов и налоговой политики Новосибирской области и реализации... |
|
Инструкция пользователей и технология обработки персональных данных... Настоящая Инструкция определяет требования, права, обязанности, а так же порядок реализации задач и функций пользователей информационных... |