RSS    

Видеокурсы

Видеокурсы по ВТ

Опасности в социальных сетях

Социальные сети

Программы для бесплатного просмотра online tv...  

Компьютер заражен? Есть несколько вариантов вылечить ПК...

Стандарт LTE - Long-Term Evolution - или стандарт связи четвертого поколения (4G) считается перспективным... 



Требования о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах

 

 

Требования о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах 

проект

I. Общие положения 

1. Настоящие Требования разработаны в соответствии с Федеральным законом от 27 июля 2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации» (Собрание законодательства Российской Федерации 2006, № 31, ст. 3448; 2010, № 31, ст. 4196; 2011, № 15, ст. 2038; № 30, ст. 4600; 2012, № 31, ст. 4328), Указом Президента Российской Федерации от 17 марта 2008 г. № 351 «О мерах по обеспечению информационной безопасности Российской Федерации при использовании информационно-телекоммуникационных сетей международного информационного обмена» (Собрание законодательства Российской Федерации 2008, № 12, ст. 1110; № 43, ст. 4919; 2011, № 4, ст. 572), Положением об особенностях оценки соответствия продукции (работ, услуг), используемой в целях защиты сведений, относимых к охраняемой в соответствии с законодательством Российской Федерации информации ограниченного доступа, не содержащей сведения, составляющие государственную тайну, а также процессов ее проектирования (включая изыскания), производства, строительства, монтажа, наладки, эксплуатации, хранения, перевозки, реализации, утилизации и захоронения, утвержденным постановлением Правительства Российской Федерации от 15 мая 2010 г. № 330, а также с учетом национальных стандартов Российской Федерации в области защиты информации и в области создания автоматизированных систем (далее – национальные стандарты).

2. В документе устанавливаются требования к обеспечению защиты информации ограниченного доступа, не содержащей сведения, составляющие государственную тайну, от утечки по техническим каналам, несанкционированного доступа, специальных воздействий на такую информацию (носители информации) в целях ее добывания, уничтожения, искажения или блокирования доступа к ней (далее – защита информации) при обработке указанной информации в государственных информационных системах.

В документе не рассматриваются требования о защите информации, связанные с применением криптографических методов защиты информации и шифровальных (криптографических) средств защиты информации.

3. Настоящие Требования являются обязательными при защите информации ограниченного доступа, не содержащей сведения, составляющие государственную тайну (далее – информация), содержащейся в государственных информационных системах, создаваемых и эксплуатируемых на территории Российской Федерации, а также в муниципальных информационных системах, если иное не предусмотрено законодательством Российской Федерации о местном самоуправлении.

Настоящие Требования могут применяться для защиты информации, содержащейся в негосударственных информационных системах, а также для защиты общедоступной информации, содержащейся в государственных информационных системах, для достижения целей, указанных в пунктах 1 и 3 части 1 статьи 16 Федерального закона от 27 июля 2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации».

4. Настоящие Требования предназначены для обладателей информации, заказчиков, заключивших государственный контракт на создание государственной информационной системы (далее – заказчики), операторов государственных информационных систем (далее – операторы), а также лиц, привлекаемых обладателями информации, заказчиками или операторами  в соответствии с законодательством Российской Федерации к проведению работ по защите информации, содержащейся в государственных информационных системах.

5. При обработке в государственной информационной системе (далее - информационная система) информации, содержащей персональные данные, настоящие Требования применяются наряду с требованиями к защите персональных данных при их обработке в информационных системах персональных данных, установленных в соответствии с пунктом 2 части 3 статьи 19 Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных» (Собрание законодательства Российской Федерации 2006, № 31, ст. 3451; 2009, № 48, ст. 5716; № 52, ст. 6439; 2010, № 27, ст. 3407; № 31, ст. 4173, ст. 4196; № 49, ст. 6409; 2011, № 23, ст. 3263; № 31, ст. 4701).

6. Защита информации, содержащейся в информационных системах, обеспечивается путем принятия обладателями информации (заказчиками) и операторами (уполномоченными лицами) правовых, организационных и технических мер (далее – меры защиты информации), направленных на:

  • обеспечение защиты информации от неправомерных доступа, уничтожения, модифицирования, блокирования, копирования, предоставления и распространения, а также от иных неправомерных действий в отношении информации;
  • соблюдение конфиденциальности информации;
  • реализацию права на доступ к информации в соответствии с законодательством Российской Федерации.

7. Лица, обрабатывающие информацию, содержащуюся в информационной системе (государственный информационный ресурс), по поручению оператора или заказчика этой информационной системы и (или) предоставляющие оператору компьютерные ресурсы и мощности для обработки информации на основании заключенного с этим лицом договора (далее – уполномоченное лицо), принимают меры защиты информации в соответствии с законодательством Российской Федерации. Договор между оператором (заказчиком) информационной системы и уполномоченным лицом должен предусматривать обязанность уполномоченного лица обеспечивать защиту информации, содержащейся в информационной системе, в соответствии с настоящими Требованиями.

8. Обеспечение защиты информации, содержащейся в информационной системе, достигается выполнением требований к организации защиты информации, содержащейся в информационной системе, и требований к системе защиты информации информационной системы.

 

II. Требования к организации защиты информации, содержащейся в информационной системе 

9. В информационной системе объектами защиты являются:

  • информация, содержащаяся в информационной системе;
  • технические средства (в том числе средства вычислительной техники, машинные носители информации, средства и системы связи и передачи данных, технические средства обработки буквенно-цифровой, графической, видео- и речевой информации, иные технические средства, используемые для обработки информации), общесистемное, прикладное, специальное программное обеспечение, реализующие информационные технологии, входящие в периметр защиты информационной системы;
  • средства защиты информации.

Периметр защиты информационной системы определяется совокупностью физически и (или) логически выделенных технических средств и программного обеспечения, эксплуатируемых оператором (уполномоченным лицом), в отношении которых применяются меры защиты информации и осуществляется контроль за их применением.

10. Для обеспечения защиты информации в ходе создания и эксплуатации информационной системы обладателем информации (заказчиком) и (или) оператором назначается структурное подразделение или должностное лицо (работник), ответственные за обеспечение защиты информации.

11. Для проведения работ по защите информации в ходе создания и эксплуатации информационных систем заказчиками и (или) операторами в соответствии с законодательством Российской Федерации могут привлекаться организации, имеющие лицензию на деятельность по технической защите конфиденциальной информации.

12. Для обеспечения защиты информации, содержащейся в информационной системе, применяются средства защиты информации, прошедшие в соответствии с законодательством Российской Федерации оценку соответствия в форме обязательной сертификации на соответствие требованиям по безопасности информации.

13. Защита информации, содержащейся в информационной системе, является неотъемлемой частью работ по созданию и эксплуатации информационной системы и обеспечивается на всех стадиях (этапах) создания и эксплуатации информационной системы с помощью системы (подсистемы) защиты информации, включающей организационные и технические меры защиты информации, обеспечивающие блокирование (нейтрализацию) актуальных угроз безопасности информации (далее – система защиты информации информационной системы).

Система защиты информации информационной системы должна обеспечивать конфиденциальность, целостность и (или) доступность информации, содержащейся в информационной системе.

14. Организация защиты информации, содержащейся в информационной системе, включает следующие мероприятия:

  • формирование требований к системе защиты информации информационной системы;
  • разработку системы защиты информации информационной системы;
  • реализацию системы защиты информации информационной системы;
  • аттестацию информационной системы на соответствие требованиям о защите информации и ввод ее в действие;
  • эксплуатацию системы защиты информации информационной системы;
  • защиту информации при выводе из эксплуатации информационной системы или после окончания обработки информации. 

Формирование требований к системе защиты информации информационной системы 

15. Формирование требований к системе защиты информации информационной системы организуется заказчиком с учетом ГОСТ Р 51583 «Защита информации. Порядок создания автоматизированных систем в защищенном исполнении. Общие положения» (далее - ГОСТ Р 51583) и ГОСТ Р 51624 «Защита информации. Автоматизированные системы в защищенном исполнении. Общие требования» (далее - ГОСТ Р 51624) и в том числе включает:

  • принятие решения о необходимости создания системы защиты информации информационной системы;
  • классификацию информационной системы по требованиям защиты информации (далее – классификация информационной системы);
  • определение актуальных угроз безопасности информации и разработку на их основе модели угроз безопасности информации;
  • определение требований к системе защиты информации информационной системы.

15.1. При принятии решения о необходимости создания системы защиты информации осуществляется:

  • анализ целей создания информационной системы и задач, решаемых этой информационной системой;
  • определение видов (типов) информации, подлежащей обработке в информационной системе;
  • анализ нормативных правовых актов, методических документов и национальных стандартов, требованиям которых должна соответствовать информационная система;
  • принятие решения о необходимости создания системы защиты информации, включающее определение целей и задач защиты информации в информационной системе, основных этапов создания системы защиты информации информационной системы и функций обладателя информации, заказчика, оператора и уполномоченного лица по обеспечению защиты информации.

Решение о необходимости создания системы защиты информации информационной системы является основой для определения требований к системе защиты информации информационной системы.

15.2. Классификация информационной системы проводится в зависимости от значимости обрабатываемой в ней информации и масштаба информационной системы (федеральный, региональный, объектовый) и определяет уровень защищенности информации, содержащейся в информационной системе.

Устанавливаются четыре класса защищенности информационной системы. Самый низкий класс – четвертый, самый высокий – первый. Класс защищенности информационной системы определяется в соответствии с приложением № 1 к настоящим Требованиям.

Класс защищенности определяется для информационной системы в целом и, при необходимости, для ее отдельных сегментов. Требование к классу защищенности включается в техническое задание (частное техническое задание) на создание системы защиты информации информационной системы, разрабатываемое с учетом ГОСТ Р 51583 и ГОСТ Р 51624.

Класс защищенности информационной системы подлежит пересмотру при изменении масштаба информационной системы или значимости обрабатываемой в ней информации.

Результаты классификации информационной системы оформляются соответствующим актом классификации.

15.3. Актуальные угрозы безопасности информации определяются по результатам оценки возможностей (потенциала, оснащенности и мотивации) нарушителей (внешних, внутренних), анализа возможных уязвимостей информационной системы, возможных способов реализации угроз безопасности информации и последствий от нарушения свойств безопасности информации (конфиденциальности, целостности, доступности).

При определении актуальных угроз безопасности информации учитываются структурно-функциональные характеристики информационной системы, включающие структуру и состав информационной системы, физические, логические, функциональные и технологические взаимосвязи между сегментами (составными частями) информационной системы и взаимосвязи с иными информационными системами и информационно-телекоммуникационными сетями, режимы обработки информации в информационной системе в целом и в ее отдельных сегментах.

По результатам определения актуальных угроз безопасности информации при необходимости разрабатываются рекомендации по корректировке структурно-функциональных характеристик информационной системы, направленные на блокирование (нейтрализацию) отдельных угроз безопасности информации.

Актуальные угрозы безопасности информации включаются в модель угроз безопасности информации, которая должна содержать описание информационной системы и ее структурно-функциональных характеристик, а также описание актуальных угроз безопасности информации, включающее описание возможностей нарушителей, возможных уязвимостей информационной системы, способов реализации угроз безопасности информации и последствий от нарушения свойств безопасности информации.

Для определения актуальности угроз безопасности информации и разработки модели угроз безопасности информации применяются методические документы ФСТЭК России, разработанные и утвержденные в пределах ее полномочий.

15.4. Требования к системе защиты информации информационной системы определяются в зависимости от класса защищенности информационной системы и актуальных угроз безопасности информации, включенных в модель угроз безопасности информации.

Требования к системе защиты информации информационной системы включаются в техническое задание на ее создание, разрабатываемое с учетом ГОСТ Р 51583 и ГОСТ Р 51624, и должны в том числе содержать:

  • цель и задачи обеспечения защиты информации в информационной системе;
  • перечень нормативных правовых актов, методических документов и национальных стандартов, требованиям которых должна соответствовать информационная система;
  • перечень объектов защиты информационной системы;
  • требования к мерам и средствам защиты информации, применяемым в информационной системе.

При определении требований к системе защиты информации информационной системы учитываются положения политик обеспечения безопасности информации обладателя информации (заказчика) в случае их разработки по ГОСТ Р ИСО/МЭК 27001 «Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования», а также политик обеспечения безопасности информации оператора и уполномоченного лица в части, не противоречащей политикам обеспечения безопасности информации обладателя информации (заказчика).

 

Разработка системы защиты информации информационной системы 

16. Разработка системы защиты информации информационной системы организуется заказчиком, проводится в соответствии с техническим заданием на создание системы защиты информации информационной системы, с учетом ГОСТ Р 51583 и ГОСТ Р 51624 и в том числе включает:

  • проектирование системы защиты информации информационной системы;
  • разработку эксплуатационной документации на систему защиты информации информационной системы;
  • макетирование и тестирование системы защиты информации информационной системы (при необходимости).

Разрабатываемая система защиты информации не должна препятствовать достижению целей создания информационной системы и ее функционированию.

При разработке системы защиты информации учитываются информационное взаимодействие с иными информационными системами, в том числе с информационными системами уполномоченного лица, а также применение компьютерных ресурсов и мощностей, предоставляемых уполномоченным лицом в качестве услуг для обработки информации.

Результаты разработки системы защиты информации информационной системы подлежат согласованию с оператором информационной системы в случае, если оператор не является заказчиком информационной системы, но определен таковым в соответствии с законодательством Российской Федерации к моменту окончания разработки системы защиты информации информационной системы.

16.1. Проектирование системы защиты информации информационной системы осуществляется в соответствии с техническим заданием на создание системы защиты информации информационной системы.

При проектировании системы защиты информации информационной системы:

  • определяются типы субъектов доступа (пользователи, процессы и иные субъекты доступа) и объектов доступа, являющихся объектами защиты (устройства, объекты файловой системы, запускаемые и исполняемые модули, объекты системы управления базами данных, объекты, создаваемые прикладным программным обеспечением, иные объекты доступа);
  • определяются методы управления доступом (дискреционный, мандатный, ролевой или иные методы), типы доступа (чтение, запись, выполнение или иные типы доступа) и используемые правила разграничения доступа субъектов доступа к объектам доступа (на основе списков, меток безопасности, ролей и иных правил), подлежащие реализации в информационной системе;
  • осуществляется выбор мер защиты информации, подлежащих реализации в системе защиты информации информационной системы;
  • определяются виды и типы средств защиты информации, обеспечивающие реализацию технических мер защиты информации;
  • определяется структура системы защиты информации информационной системы, включая состав (количество) и места размещения ее элементов;
  • осуществляется выбор средств защиты информации, сертифицированных на соответствие требованиям по безопасности информации, с учетом их стоимости, совместимости с информационными технологиями и техническими средствами обработки информации, функций безопасности этих средств и особенностей их реализации, а также класса защищенности информационной системы;
  • определяются параметры настройки программного обеспечения, включая программное обеспечение средств защиты информации, обеспечивающие реализацию мер защиты информации, а также устранение возможных уязвимостей информационной системы, приводящих к возникновению актуальных угроз безопасности информации;
  • формируются требования к защите информации при информационном взаимодействии с иными информационными системами, в том числе с информационными системами уполномоченного лица, а также применение компьютерных ресурсов и мощностей, предоставляемых уполномоченным лицом.

При отсутствии средств защиты информации, сертифицированных на соответствие требованиям по безопасности информации, организуется разработка (доработка) необходимых средств защиты информации и их сертификация в соответствии с законодательством Российской Федерации или производится корректировка проектных решений по информационной системе и (или) ее системе защиты информации с учетом функциональных возможностей имеющихся сертифицированных средств защиты информации.

16.2. Разработка эксплуатационной документации на систему защиты информации информационной системы осуществляется с учетом ГОСТ 34.601 «Информационная технология. Комплекс стандартов на автоматизированные системы. Автоматизированные системы. Стадии создания» (далее - ГОСТ 34.601) и ГОСТ Р 51624.

Эксплуатационная документация на систему защиты информации информационной системы должна в том числе содержать:

  • структуру системы защиты информации информационной системы;
  • состав, места установки, параметры и порядок настройки средств защиты информации, программного обеспечения и технических средств обработки информации;
  • привила эксплуатации системы защиты информации информационной системы.

16.3. При макетировании и тестировании системы защиты информации информационной системы в том числе осуществляется:

  • проверка работоспособности и совместимости выбранных средств защиты информации с информационными технологиями и техническими средствами обработки информации;
  • проверка выполнения выбранными средствами защиты информации требований к системе защиты информации информационной системы;
  • корректировка проектных решений по информационной системе и (или) ее системе защиты информации;
  • корректировка документации на систему защиты информации информационной системы.

Макетирование системы защиты информации информационной системы и ее тестирование проводится, в том числе с использованием средств и методов моделирования информационных систем.

 

Реализация системы защиты информации информационной системы 

17. Реализация системы защиты информации информационной системы организуется заказчиком, проводится в соответствии с проектными решениями и эксплуатационной документацией на систему защиты информации информационной системы и в том числе включает:

  • установку и настройку средств защиты информации в информационной системе;
  • разработку документов, определяющих правила и процедуры, реализуемые оператором для обеспечения защиты информации в информационной системе в ходе ее эксплуатации (далее – организационно-распорядительные документы по защите информации);
  • внедрение организационных мер в информационной системе;
  • предварительные испытания системы защиты информации информационной системы;
  • опытную эксплуатацию системы защиты информации информационной системы;
  • анализ уязвимостей информационной системы;
  • приемочные испытания системы защиты информации информационной системы.

К реализации системы защиты информации информационной системы привлекается оператор информационной системы в случае если оператор не является заказчиком информационной системы и он определен в соответствии с законодательством Российской Федерации к моменту реализации системы защиты информации информационной системы.

17.1. Установка и настройка средств защиты информации в информационной системе должна проводиться в соответствии с эксплуатационной документацией на систему защиты информации информационной системы и документацией на средства защиты информации.

17.2. Разрабатываемые организационно-распорядительные документы по защите информации должны определять:

  • правила и процедуры идентификации и аутентификации субъектов доступа и объектов доступа, в том числе предусматривающие управление учетными записями пользователей, установление полномочий пользователей, правила генерации, смены и восстановления паролей пользователей;
  • правила и процедуры управления доступом субъектов доступа к объектам доступа, в том числе устанавливающие перечень лиц, имеющих доступ к объектам доступа информационной системы, и их права (привилегии) доступа к этим объектам;
  • правила и процедуры защиты машинных носителей информации, в том числе устанавливающие порядок вывода информации на внешние носители информации, учета, хранения и использования съемных машинных носителей информации, процедуры архивирования информации, порядок стирания (уничтожения) данных и остаточной информации с машинных носителей информации и (или) уничтожения машинных носителей информации;
  • правила и процедуры регистрации событий безопасности, в том числе предусматривающие порядок контроля за действиями пользователей (администраторов) в информационной системе;
  • правила и процедуры обеспечения целостности информационной системы и информации, в том числе предусматривающие контроль целостности системы защиты информации информационной системы, порядок периодического анализа уязвимостей информационной системы и принятия первоочередных мер по устранению вновь выявленных уязвимостей, восстановления работоспособности и настроек системы защиты информации информационной системы в случае нарушения функционирования информационной системы;
  • правила и процедуры защиты технических средств, в том числе определяющие перечень лиц, имеющих доступ в помещения, в которых расположены технические средства, и порядок их доступа в помещения и к техническим средствам;
  • правила и процедуры защиты информационной системы, ее средств и систем связи и передачи данных, в том числе определяющие порядок использования периферийных устройств, которые могут активироваться удаленно, технологий мобильного кода, технологий передачи речи и видеоинформации, порядок защиты внутренних и внешних беспроводных соединений, порядок использования и защиты мобильных устройств;
  • правила и процедуры управления конфигурацией, в том числе определяющие порядок обновления программного обеспечения, управления параметрами настройки средств защиты информации, составом и конфигурацией технических средств обработки информации и программного обеспечения, контроля за несанкционированными подключениями технических средств обработки информации и установкой программного обеспечения;
  • правила и процедуры анализа угроз безопасности информации и принятия дополнительных мер защиты информации от вновь возникших угроз безопасности информации, выявления и устранения недостатков в системе защиты информации информационной системы, внесения изменений в документацию на систему защиты информации информационной системы;
  • правила и процедуры выявления реагирования на инциденты, связанные с защитой информации;
  • правила и процедуры обслуживания системы защиты информации информационной системы;
  • порядок обучения и информирования пользователей о правилах эксплуатации системы защиты информации информационной системы и средств защиты информации, а также информирования об угрозах безопасности информации.

17.3. При внедрении организационных мер осуществляется:

  • реализация в соответствии с организационно-распорядительными документами по защите информации правил, регламентирующих права доступа субъектов доступа к объектам доступа (далее - правила разграничения доступа), и введение ограничений на действия пользователей, а так же на изменение условий эксплуатации, состава и конфигурации технических средств обработки информации и программного обеспечения;
  • проверка полноты и детальности описания в организационно-распорядительных документах по защите информации действий пользователей и администраторов информационной системы по реализации организационных мер;
  • отработка действий должностных лиц и подразделений, ответственных за реализацию организационных мер.

17.4. Предварительные испытания системы защиты информации информационной системы проводятся с учетом ГОСТ 34.603 «Информационная технология. Виды испытаний автоматизированных систем» (далее – ГОСТ 34.603) и включают проверку работоспособности системы защиты информации информационной системы, а также принятие решения о возможности опытной эксплуатации системы защиты информации информационной системы.

17.5. Опытная эксплуатация системы защиты информации информационной системы проводится с учетом ГОСТ 34.603 и включает проверку функционирования системы защиты информации информационной системы, в том числе реализованных мер защиты информации, а также готовность пользователей и администраторов к эксплуатации системы защиты информации информационной системы.

17.6. Анализ уязвимостей информационной системы проводится в целях оценки возможности преодоления нарушителем системы защиты информации информационной системы и предотвращения реализации угроз безопасности информации.

Анализ уязвимостей информационной системы включает анализ уязвимостей средств защиты информации, технических средств обработки информации и программного обеспечения информационной системы.

При анализе уязвимостей информационной системы проверяется отсутствие известных уязвимостей средств защиты информации, технических средств обработки информации и программного обеспечения, в том числе на основе информации, имеющейся у разработчиков и полученной из других общедоступных источников, правильность установки и настройки средств защиты информации, технических средств обработки информации и программного обеспечения, а также корректность работы средств защиты информации при их взаимодействии с техническими средствами обработки информации и программным обеспечением.

В случае выявления уязвимостей информационной системы, приводящих к возникновению дополнительных угроз безопасности информации, проводится уточнение модели угроз безопасности информации и при необходимости принимаются дополнительные меры защиты информации, направленные на устранение выявленных уязвимостей или исключающие возможность использования выявленных уязвимостей.

17.7. Приемочные испытания системы защиты информации информационной системы проводятся с учетом ГОСТ 34.603 и включают проверку выполнения требований к системе защиты информации информационной системы в соответствии с техническим заданием на ее создание.

 

Аттестация информационной системы на соответствие требованиям о защите информации и ввод ее в действие 

18. Аттестация информационной системы на соответствие требованиям о защите информации организуется заказчиком или оператором (уполномоченным лицом) и включает оценку соответствия организации защиты информации и системы защиты информации информационной системы настоящим Требованиям.

18.1. В качестве исходных данных, необходимых для аттестации информационной системы, используются модель угроз безопасности информации, акт классификации информационной системы по требованиям защиты информации, техническое задание на создание системы защиты информации информационной системы, проектная и эксплуатационная документация на систему защиты информации информационной системы, организационно-распорядительные документы по защите информации, результаты анализа уязвимостей информационной системы, материалы приемочных (предварительных) испытаний системы защиты информации информационной системы, а также иные документы, разрабатываемые в соответствии с настоящими Требованиями.

18.2. Аттестация информационной системы проводится в соответствии с программой и методиками аттестационных испытаний до начала обработки информации в информационной системе. Для проведения аттестации информационной системы применяются национальные стандарты, а также методические документы ФСТЭК России, разработанные и утвержденные в пределах ее полномочий.

По результатам аттестационных испытаний оформляются протоколы аттестационных испытаний и заключение о соответствии информационной системы требованиям о защите информации.

18.3. Допускается аттестация информационной системы на основе результатов аттестационных испытаний выделенного набора сегментов информационной системы, реализующих полную технологию обработки информации.

Особенности аттестации информационной системы на основе результатов аттестационных испытаний выделенного набора ее сегментов, а также условия и порядок распространения аттестата соответствия на другие сегменты информационной системы определяются в программе и методиках аттестационных испытаний и аттестате соответствия.

В этом случае распространение аттестата соответствия на другие сегменты информационной системы осуществляется при условии их соответствия сегментам информационной системы, прошедшим аттестационные испытания.

Сегмент считается соответствующим аттестованному сегменту информационной системы, если для обоих сегментов установлены одинаковые классы защищенности, актуальные угрозы безопасности информации, реализованы одинаковые проектные решения по системе защиты информации информационной системы.

Соответствие сегмента, на который распространяется аттестат соответствия, аттестованному сегменту информационной системы подтверждается в ходе приемочных испытаний информационной системы или сегментов информационной системы.

В сегментах информационной системы, на которые распространяется аттестат соответствия, оператором обеспечивается соблюдение эксплуатационной документации на систему защиты информации информационной системы и организационно-распорядительных документов по защите информации.

18.4. Повторная аттестация информационной системы осуществляется в случае окончания срока действия аттестата соответствия, изменения класса защищенности информационной системы, состава актуальных угроз безопасности информации или проектных решений по системе защиты информации информационной системы.

18.5. Ввод в действие информационной системы осуществляется в соответствии с законодательством Российской Федерации об информации, информационных технологиях и о защите информации и с учетом ГОСТ 34.601.

 

Эксплуатация системы защиты информации информационной системы 

19. Эксплуатация системы защиты информации информационной системы осуществляется оператором при наличии аттестата соответствия требованиям о защите информации в соответствии с эксплуатационной документацией на систему защиты информации и организационно-распорядительными документами по защите информации и должна в том числе включать:

  • обеспечение безопасности среды эксплуатации информационной системы;
  • администрирование системы защиты информации информационной системы;
  • реагирование на инциденты, связанные с защитой информации;
  • управление конфигурацией системы защиты информации информационной системы;
  • управление защитой информации в информационной системе.

19.1. Безопасность среды эксплуатации информационной системы обеспечивается:

  • организацией контролируемой зоны, в пределах которой постоянно размещаются технические средства, обрабатывающие информацию, и средства защиты информации, а также средства, обеспечивающие функционирование информационной системы (далее – средства обеспечения функционирования);
  • контролем и управлением доступом к техническим средствам, средствам защиты информации, средствам обеспечения функционирования, а также в помещения и сооружения, в которых они установлены;
  • защитой технических средств, средств защиты информации и средств обеспечения функционирования.

19.2. В ходе администрирования системы защиты информации информационной системы осуществляется:

  • заведение и удаление учетных записей пользователей, управление полномочиями пользователей информационной системы и поддержание правил разграничения доступа в информационной системе;
  • управление средствами защиты информации в информационной системе, включая восстановление их работоспособности, генерацию, смену и восстановление паролей;
  • централизованное управление системой защиты информации информационной системы (при необходимости);
  • внесение изменений в организационно-распорядительные документы по защите информации (при необходимости);
  • анализ событий в информационной системе, относящихся к безопасности информации;
  • информирование пользователей о правилах эксплуатации системы защиты информации информационной системы и отдельных средств защиты информации и их обучение, а также об угрозах безопасности информации.

19.3. В ходе реагирования на инциденты, связанные с защитой информации, осуществляется:

  • обнаружение, квалификация и регистрация инцидентов, связанных с защитой информации, в том числе сбоев в работе технических средств, программного обеспечения и средств защиты информации, внедрения вредоносных компьютерных программ (вирусов), неправомерных действий пользователей и иные событий, связанных с защитой информации;
  • своевременное информирование структурного подразделения или должностного лица, ответственных за защиту информации, пользователями информационной системы об инцидентах, связанных с защитой информации;
  • выявление причин возникновения инцидентов, связанных с защитой информации, оценка их последствий, планирование и принятие мер по предупреждению и устранению инцидентов, в том числе по восстановлению информационной системы и ее сегментов после сбоев, выявлению и устранению последствий внедрения вредоносных компьютерных программ (вирусов), неправомерных действий пользователей и иных событий, связанных с защитой информации.

19.4. В ходе управления конфигурацией системы защиты информации информационной системы осуществляется:

  • обеспечение целостности системы защиты информации информационной системы, включая резервирование средств защиты информации;
  • установка обновлений программного обеспечения, включая программное обеспечение средств защиты информации, выпускаемых их разработчиками (по поручению разработчиков);
  • управление параметрами настройки программного обеспечения, включая программное обеспечение средств защиты информации, составом и конфигурацией технических средств и программного обеспечения, а также контроль за несанкционированными подключениями технических средств и установкой программного обеспечения.

Перед реализацией планируемых в процессе управления конфигурацией изменений в информационной системе и ее системе защиты информации проводится оценка их потенциального воздействия на обеспечение защиты информации и работоспособность информационной системы.

Изменения в информационной системе и ее системе защиты информации, внесенные в процессе управления конфигурацией, подлежат документированию оператором.

19.5. В ходе управления защитой информации в информационной системе осуществляется:

  • выполнение организационных мер защиты информации;
  • контроль состояния защиты информации в информационной системе, включая контроль за событиями и действиями пользователей информационной системы;
  • анализ и оценка функционирования системы защиты информации информационной системы, включая выявление, анализ и устранение недостатков в функционировании системы защиты информации информационной системы;
  • периодический анализ уязвимостей информационной системы и оперативное принятие первоочередных мер по устранению вновь выявленных уязвимостей, приводящих к возникновению актуальных угроз безопасности;
  • периодический анализ изменения угроз безопасности информации в информационной системе, возникающих в ходе ее эксплуатации, и принятие мер защиты информации в случае возникновения новых угроз безопасности информации;
  • анализ влияния на систему защиты информации информационной системы планируемых изменений в информационной системе;
  • доработка (модернизация) системы защиты информации информационной системы и ее повторная аттестация при изменении класса защищенности информационной системы, состава актуальных угроз безопасности информации или проектных решений по системе защиты информации информационной системы;
  • сопровождение системы защиты информации информационной системы в ходе ее эксплуатации, включая корректировку эксплуатационной документации на нее.

Результаты контроля состояния защиты информации, анализа и оценки функционирования системы защиты информации информационной системы, анализа уязвимостей и изменения угроз безопасности информации в информационной системе подлежат документированию оператором.

 

Защита информации в ходе снятия с эксплуатации информационной системы или после окончания обработки информации

 

20. Защита информации в ходе снятия с эксплуатации информационной системы или после окончания обработки информации осуществляется оператором в соответствии с эксплуатационной документацией на систему защиты информации информационной системы и организационно-распорядительными документами по защите информации и включает:

  • архивирование информации, содержащейся в информационной системе;
  • уничтожение (стирание) данных и остаточной информации с машинных носителей информации и (или) уничтожение машинных носителей информации.

20.1. Архивирование информации, содержащейся в информационной системе, обеспечивается при необходимости ее дальнейшего использования в деятельности оператора.

20.2. Уничтожение (стирание) данных и остаточной информации с машинных носителей информации производится при необходимости их передачи между пользователями информационной системы или в сторонние организации для ремонта, технического обслуживания или дальнейшей утилизации.

При выводе из эксплуатации машинных носителей информации, на которых осуществлялись хранение и обработка информации, осуществляется уничтожение этих машинных носителей информации.

 

III. Требования к системе защиты информации информационной системы

 

21. Система защиты информации, реализуемая в информационной системе, в зависимости от актуальных угроз безопасности информации и структурно-функциональных характеристик информационной системы включает следующие меры защиты информации:

  • обеспечение доверенной загрузки;
  • идентификацию и аутентификацию субъектов доступа и объектов доступа;
  • управление доступом субъектов доступа к объектам доступа;
  • ограничение программной среды;
  • защиту машинных носителей информации;
  • регистрацию событий безопасности;
  • обеспечение целостности информационной системы и информации;
  • защиту среды виртуализации;
  • защиту технических средств;
  • защиту информационной системы, ее средств и систем связи и передачи данных.

21.1. Меры по обеспечению доверенной загрузки должны исключать несанкционированное использование средств вычислительной техники и получение возможности доступа к информации в обход системы защиты информации информационной системы.

Меры по обеспечению доверенной загрузки включают:

  • блокировку доступа к ресурсам средств вычислительной техники;
  • блокировку загрузки нештатной операционной системы или программного обеспечения, способного модифицировать загрузочную область штатной операционной системы, в том числе со съемных машинных носителей информации;
  • блокировку интерфейсов и цепей питания средств вычислительной техники.

21.2. Меры по идентификации и аутентификации должны обеспечивать присвоение субъектам доступа и объектам доступа уникального признака (идентификатора), сравнение предъявляемого субъектом (объектом) доступа идентификатора с перечнем присвоенных идентификаторов, а также проверку принадлежности субъекту доступа предъявленного им идентификатора (подтверждение подлинности).

Меры по идентификации и аутентификации включают:

  • идентификацию и аутентификацию пользователей, процессов, иных субъектов доступа;
  • идентификацию и аутентификацию устройств (в том числе стационарных, мобильных и портативных), объектов файловой системы, запускаемых и исполняемых модулей, объектов систем управления базами данных, объектов, создаваемых прикладным программным обеспечением, иных объектов доступа;
  • управление идентификаторами;
  • управление средствами аутентификации;
  • защиту обратной связи при вводе аутентификационной информации;
  • идентификацию и аутентификацию внешних пользователей.

21.3. Меры по управлению доступом должны обеспечивать управление правами и привилегиями субъектов доступа, разграничение доступа субъектов доступа к объектам доступа на основе совокупности установленных в информационной системе правил разграничения доступа, а также обеспечивать контроль соблюдения этих правил.

Меры по управлению доступом включают:

  • управление учетными записями пользователей;
  • управление предоставлением доступа субъектов доступа к объектам доступа (реализацию различных методов, типов и правил разграничения доступа), в том числе при совместном использовании информации несколькими субъектами доступа;
  • управление информационными потоками между устройствами, сегментами информационной системы, а также между информационными системами;
  • разделение обязанностей различных категорий пользователей и администраторов информационной системы;
  • назначение минимальных прав и привилегий субъектам доступа;
  • управление неуспешными попытками входа в информационную систему (доступа к информационной системе);
  • оповещение пользователя о доступе к информационной системе, в которой реализованы меры защиты информации, при его входе в информационную систему;
  • оповещение пользователя после успешного входа в информационную систему о его предыдущем входе в информационную систему;
  • ограничение числа параллельных сеансов доступа для каждой учетной записи пользователя информационной системы;
  • блокирование сеанса доступа в информационную систему после установленного времени бездействия (неактивности) пользователя или по его запросу;
  • установление действий пользователей, разрешенных до идентификации и аутентификации;
  • поддержка и сохранение атрибутов безопасности (меток безопасности), связанных с информацией в процессе ее хранения, обработки и передачи;
  • управление удаленным доступом субъектов доступа к объектам доступа через внешние информационно-телекоммуникационные сети;
  • ограничение и контроль использования в информационной системе технологий беспроводного доступа;
  • ограничение и контроль использования в информационной системе мобильных технических средств (устройств, машинных носителей информации);
  • управление взаимодействием с информационным системам сторонних организаций (внешние информационные системы).

21.4. Меры по ограничению программной среды должны исключать установку (инсталляцию) неиспользуемого в обработке информации или запрещенного к использованию программного обеспечения (в том числе средств разработки и отладки программ), а также их загрузку (запуск) после установки.

Меры по ограничению программной среды включают:

  • управление запуском (обращениями) компонентов программного обеспечения;
  • управление установкой (инсталляцией) компонентов программного обеспечения;
  • запрет установки (инсталляции) запрещенного к использованию программного обеспечения и (или) его компонентов, в том числе средств разработки и отладки;
  • управление записью временных файлов.

21.5. Меры по защите машинных носителей информации должны исключать несанкционированный доступ к носителям и хранящейся на них информации, а также несанкционированное использование съемных машинных носителей информации.

Меры по защите машинных носителей информации включают:

  • маркировку и учет машинных носителей информации;
  • управление доступом к машинным носителям информации;
  • контроль перемещения машинных носителей информации за пределы контролируемой зоны;
  • использование способов хранения информации на машинных носителях информации, не позволяющих несанкционированно ознакомиться с ее содержанием, а также использовать носитель информации в иных информационных системах;
  • контроль использования интерфейсов ввода (вывода);
  • контроль ввода (вывода) информации на машинные носители информации;
  • контроль подключения машинных носителей информации;
  • уничтожение (стирание) информации на машинных носителях;
  • контроль уничтожения (стирания) информации на машинных носителях.

21.6. Меры по регистрации событий безопасности должны обеспечивать распознавание, запись, хранение и защиту информации о событиях в информационной системе, относящихся к безопасности информации, а также возможность просмотра и анализа информации о таких событиях и реагирование на них.

Меры по регистрации событий безопасности включают:

  • определение событий, относящихся к безопасности информации и подлежащих регистрации;
  • определение состава и содержания информации о событиях, относящихся к безопасности информации и подлежащих регистрации;
  • обеспечение возможности просмотра и анализа информации о действиях пользователей;
  • резервирование необходимого объема памяти для записи информации о событиях, относящихся к безопасности информации;
  • запись (регистрация) информации о событиях, относящихся к безопасности информации;
  • реагирование на сбои при регистрации событий, относящихся к безопасности информации, в том числе аппаратные и программные ошибки, сбои в механизмах сбора информации и достижение предела или переполнения емкости памяти;
  • просмотр и анализ результатов регистрации событий, относящихся к безопасности информации, и реагирование на них;
  • сокращение объема информации о событиях, относящихся к безопасности информации, предоставляемой для просмотра и анализа;
  • генерирование временных меток и синхронизация системного времени в информационной системе;
  • защиту информации о событиях, относящихся к безопасности информации;
  • обеспечение необходимого времени хранения информации о событиях, относящихся к безопасности информации.

21.7. Меры по обеспечению целостности информационной системы и информации должны обеспечивать обнаружение фактов нарушения целостности информационной системы и информации, возможность восстановления информационной системы и информации, а также антивирусную защиту, обнаружение вторжений в информационную систему и реагирование на них.

Меры по обеспечению целостности информационной системы и информации включают:

  • выявление, анализ и устранение уязвимостей и иных недостатков в программном обеспечении;
  • контроль установки обновлений программного обеспечения;
  • антивирусную защиту;
  • обнаружение вторжений;
  • контроль работоспособности, параметров настройки и правильности функционирования программного обеспечения и средств защиты информации;
  • контроль целостности информации и программного обеспечения;
  • контроль состава технических средств обработки информации и программного обеспечения;
  • обеспечение возможности восстановления информации и программного обеспечения;
  • обнаружение и реагирование на факты передачи в информационную систему информации (сообщений), не относящейся к функционированию информационной системы (незапрашиваемых сообщений);
  • ограничение прав пользователей по вводу информации в информационную систему;
  • контроль точности, полноты и правильности информации, вводимой в информационную систему;
  • контроль ошибочных действий пользователей по вводу и (или) передаче информации;
  • прогнозирование и предотвращение возможных отказов технических средств, реагирование на отказы технических средств.

21.8. Меры по защите среды виртуализации должны исключать несанкционированный доступ к объектам защиты виртуальной инфраструктуры и (или) воздействие на них, в том числе к средствам управления виртуальной инфраструктурой, гипервизору, системе хранения данных (включая систему хранения образов виртуальной инфраструктуры), сети передачи данных через элементы виртуальной или физической инфраструктуры, гостевым операционным системам, виртуальным машинам (контейнерам), системе и сети репликации, терминальным и виртуальным устройствам, а также системе резервного копирования и создаваемым ею копиям.

Меры по защите среды виртуализации включают:

  • аутентификацию компонентов виртуальной инфраструктуры, администраторов управления средствами виртуализации, терминальных устройств виртуальной инфраструктуры;
  • управление доступом к компонентам виртуальной инфраструктуры;
  • управление потоками информации между компонентами виртуальной инфраструктуры, а также по периметру виртуальной инфраструктуры;
  • доверенную загрузку серверов виртуализации, виртуальной машины (контейнера) и серверов управления виртуализацией;
  • разграничение доступа к данным, обрабатываемым в виртуальных машинах (контейнерах), и (или) изоляцию виртуальных машин (контейнеров);
  • управление перемещением виртуальных машин (контейнеров) и обрабатываемых на них данных;
  • регистрацию событий в виртуальной инфраструктуре, относящихся к безопасности информации;
  • контроль целостности конфигураций компонентов виртуальной инфраструктуры и самих компонентов;
  • резервное копирование данных, резервирование технических средств и (или) программного обеспечения виртуальной инфраструктуры, а также каналов связи виртуальной инфраструктуры;
  • распределенное хранение данных и восстановление информации после сбоев;
  • реализацию и управление антивирусной защитой и обнаружение вторжений, направленных на виртуальную инфраструктуру.

21.9. Меры по защите технических средств информационной системы должны обеспечивать ограничение доступа к техническим средствам обработки информации, средствам обеспечения функционирования информационной системы и в помещения, в которых они постоянно расположены, защиту технических средств от внешних воздействий, а также защиту информации, представленной в виде информативных электрических сигналов и физических полей.

Меры по защите технических средств включают:

  • защиту информации от ее утечки по техническим каналам;
  • защиту от несанкционированного физического доступа к средствам обработки информации, средствам защиты информации и средствам обеспечения функционирования информационной системы;
  • защиту от внешних воздействий (воздействий окружающей среды, нестабильности электроснабжения, кондиционирования и иных внешних факторов).

21.10. Меры по защите информационной системы, ее средств и систем связи и передачи данных должны обеспечивать защиту информации при взаимодействии сегментов информационной системы, информационной системы с иными информационными системами и информационно-телекоммуникационными сетями.

Меры по защите информационной системы, ее средств и систем связи и передачи данных включают:

  • отделение (физическое, логическое) функциональных возможностей по управлению (администрированию) информационной системы и (или) ее сегментов, устройств от функциональных возможностей пользователей по использованию информационной системы;
  • изоляцию (физическую, логическую) функций информационной системы, связанных с обеспечением защиты информации (функций безопасности), от иных функций информационной системы, не связанных с обеспечением защиты информации;
  • исключение доступа текущего субъекта доступа к информации, полученной в результате действий предыдущего субъекта доступа, через общие ресурсы информационной системы (реестры, оперативную память, внешние запоминающие устройства и иные ресурсы);
  • защиту информационной системы от действий нарушителей, приводящих к затруднению или невозможности доступа пользователей к ресурсам этой информационной системы (защита от отказа в обслуживании);
  • предотвращение задержки или прерывания выполнения процессов с высоким приоритетом со стороны процессов с низким приоритетом;
  • обеспечение защиты периметра информационной системы и периметров ее сегментов при взаимодействии информационной системы с иными информационными системами и информационно-телекоммуникационными сетями, а также при взаимодействии сегментов информационной системы, включая контроль потоков информации  и управление потоками информации;
  • обеспечение защиты информации от раскрытия, модификации и навязывания (ввода ложной информации) при ее передаче (подготовке к передаче) по каналам связи, имеющим выход за пределы контролируемой зоны;
  • прекращение сетевых соединений по их завершении или по истечении заданного оператором временного интервала неактивности сетевого соединения;
  • обеспечение доверенного взаимодействия (канала передачи данных) между пользователем и средствами защиты информации (функциями безопасности средств защиты информации);
  • обеспечение целостности и доступности общедоступной информации и программного обеспечения, предназначенного для ее обработки (доступа к ней);
  • запрет несанкционированной удаленной активации, включая физическое отключение, периферийных устройств (видеокамер, микрофонов и иных устройств, которые могут активироваться удаленно) и оповещение пользователей об активации таких устройств;
  • передача и контроль целостности атрибутов безопасности (меток безопасности), связанных с информацией, при обмене информацией с иными информационными системами;
  • контроль использования и исключение несанкционированного использования технологий мобильного кода, регистрация событий, связанных с использованием технологии мобильного кода, их анализ и реагирование на нарушения, связанные с использованием технологии мобильного кода;
  • контроль использования и исключение несанкционированного использования технологий передачи речи, регистрация событий, связанных с использованием технологий передачи речи, их анализ и реагирование на нарушения, связанные с использованием технологий передачи речи;
  • контроль (подтверждение происхождения) источника информации, получаемой в процессе определения сетевых адресов по сетевым именам или определения сетевых имен по сетевым адресам, обеспечение ее доступности и целостности;
  • обеспечение подлинности сетевых соединений (сеансов взаимодействия), в том числе для защиты от подмены сетевых устройств и сервисов;
  • перевод (обеспечение возврата) информационной системы или ее устройств (компонентов) в заранее определенное состояние, обеспечивающее защиту информации в случае возникновении отказов (сбоев) в системе защиты информации информационной системы;
  • использование устройств, имеющих минимальные функциональные возможности и память для обработки и хранения информации;
  • создание (эмуляцию) несуществующих (ложных) информационных систем или их компонентов, предназначенных для обнаружения, регистрации и анализа действий нарушителей по реализации угроз безопасности информации;
  • использование при создании информационной системы различных типов общесистемного, прикладного и специального программного обеспечения;
  • использование прикладного и специального программного обеспечения, функционирующего на различных типах операционных систем;
  • обеспечение защиты информации (данных), которая не подлежит изменению в процессе функционирования информационной системы (архивные файлы, параметры настройки средств защиты информации и программного обеспечения и иная информация пользователей и информационной системы);
  • воспроизведение несуществующих (ложных) и (или) скрытие отдельных структурно-функциональных характеристик информационной системы и (или) параметров настройки средств защиты информации и программного обеспечения для введения в заблуждение нарушителей при реализации ими угроз безопасности информации;
  • выявление, анализ и блокирование при создании информационной системы скрытых каналов передачи информации в обход реализованных мер защиты информации или внутри разрешенных сетевых протоколов;
  • разбиение информационной системы на сегменты с учетом значимости обрабатываемой в них информации и обеспечение защиты периметров сегментов информационной системы (сегментирование информационной системы);
  • обеспечение загрузки и исполнения программного обеспечения с машинных носителей информации, доступных только для чтения, и контроль целостности данного программного обеспечения.
  • изоляция процессов (выполнение программ) в выделенной области памяти;
  • защита внутренних и внешних беспроводных соединений, применяемых в информационной системе.

22. Блокирование (нейтрализация) актуальных угроз безопасности информации, включенных в модель угроз безопасности информации, обеспечивается посредством выбора и реализации в системе защиты информации информационной системы мер защиты информации.

Выбор мер защиты информации, подлежащих реализации в системе защиты информации информационной системы, включает:

  • выбор базового набора мер защиты информации для установленного класса защищенности информационной системы в соответствии с базовыми наборами мер защиты информации, приведенными в приложении № 2 к настоящим Требованиям;
  • адаптацию выбранного базового набора мер защиты информации применительно к структурно-функциональным характеристикам информационной системы, реализуемым информационным технологиям, особенностям функционирования информационной системы, а также с учетом целей защиты информации (конфиденциальности, целостности, доступности);
  • дополнение адаптированного базового набора мер защиты информации дополнительными мерами защиты информации, приведенными в приложении № 2 к настоящим Требованиям, но не определенными в качестве базовых, и определение их содержания для обеспечения блокирования (нейтрализации) актуальных угроз безопасности информации, а также дополнительными мерами, обеспечивающими выполнение требований по защите информации, установленными иными нормативными правовыми актами в области защиты информации, в том числе в области защиты персональных данных.

Для выбора мер защиты информации и определения их содержания применяются методические документы ФСТЭК России, разработанные и утвержденные в пределах ее полномочий.

23. При невозможности и (или) нецелесообразности реализации в системе защиты информации отдельных выбранных мер защиты информации взамен них могут применяться иные (компенсирующие) меры защиты информации, обеспечивающие блокирование (нейтрализацию) актуальных угроз безопасности информации.

В этом случае в ходе проектирования системы защиты информации должно быть проведено обоснование применения компенсирующих мер защиты информации, а при аттестационных испытаниях оценена достаточность данных компенсирующих мер для блокирования (нейтрализации) актуальных угроз безопасности информации.

24. Меры защиты информации выбираются и реализуются в системе защиты информации информационной системы применительно ко всем объектам и субъектам доступа на аппаратном, системном, прикладном и сетевом уровнях, а также в среде виртуализации и облачных вычислений.

25. Содержание мер защиты информации, подлежащих реализации в системе защиты информации информационной системы, должно обеспечивать:

  • в информационных системах 1 класса защищенности - нейтрализацию (блокирование) угроз безопасности информации, связанных с действиями нарушителя с высоким потенциалом;
  • в информационных системах 2 класса защищенности - нейтрализацию (блокирование) угроз безопасности информации, связанных с действиями нарушителя с потенциалом не ниже среднего;
  • в информационных системах 3 и 4 классов защищенности - нейтрализацию (блокирование) угроз безопасности информации, связанных с действиями нарушителя с низким потенциалом.

Потенциал нарушителя определяется в ходе оценки его возможностей, проводимой в соответствии с пунктом 15.3 настоящих Требований.

Оператором может быть принято решение о применении в информационных системах соответствующего класса защищенности мер защиты информации, обеспечивающих защиту от актуальных угроз безопасности информации, реализуемых нарушителем с более высоким потенциалом.

26. В информационных системах 1 и 2 класса защищенности применяются средства защиты информации не ниже 4 класса защиты (5 класса защищенности средств вычислительной техники). В информационных системах 3 и 4 класса защищенности применяются средства защиты информации не ниже 5 класса защиты (5 класса защищенности средств вычислительной техники).

27. При использовании в информационных системах новых информационных технологий и выявлении дополнительных угроз безопасности информации, для которых в настоящих требованиях не определены меры защиты информации, должны разрабатываться компенсирующие меры в соответствии с пунктом 23 настоящих Требований. 

 

Приложение № 1 к Требованиям о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах

 

Определение класса защищенности информационных систем

 

1. Класс защищенности информационной системы (первый класс (К1), второй класс (К2), третий класс (К3), четвертый класс (К4)) определяется в зависимости от уровня значимости информации (УЗ), обрабатываемой в этой информационной системе, и масштаба информационной системы (федеральный, региональный, объектовый).

 

Класс защищенности (К) = [уровень значимости информации; масштаб системы].

 

2. Уровень значимости информации определяется степенью возможного ущерба для обладателя информации (заказчика) и (или) оператора от нарушения конфиденциальности (неправомерный доступ, копирование, предоставление или распространение), целостности (уничтожение или модифицирование) или доступности (блокирование) информации.

 

УЗ = [(конфиденциальность, степень ущерба) (целостность, степень ущерба) (доступность, степень ущерба)],

 

где степень возможного ущерба определяется обладателем информации, заказчиком и (или) оператором самостоятельно экспертным или иными методами и может быть:

  • высокой, если в результате нарушения одного из свойств безопасности информации (конфиденциальности, целостности, доступности) возможны существенные негативные последствия в социальной, политической, международной, экономической, финансовой или иных областях деятельности и (или) информационная система и (или) оператор не могут выполнять возложенные на них функции;
  • средней, если в результате нарушения одного из свойств безопасности информации (конфиденциальности, целостности, доступности) возможны умеренные негативные последствия в социальной, политической, международной, экономической, финансовой или иных областях деятельности и (или) информационная система и (или) оператор не могут выполнять хотя бы одну из возложенных на них функций;
  • низкой, если в результате нарушения одного из свойств безопасности информации (конфиденциальности, целостности, доступности) возможны незначительные негативные последствия в социальной, политической, международной, экономической, финансовой или иных областях деятельности и (или) информационная система и (или) оператор могут выполнять возложенные на них функции с недостаточной эффективностью или выполнение функций возможно только с привлечением дополнительных сил и средств.

Информация имеет высокий уровень значимости (УЗ1), если хотя бы для одного из свойств безопасности информации (конфиденциальности, целостности, доступности) определена высокая степень ущерба. Информация имеет средний уровень значимости (УЗ 2), если хотя бы для одного из свойств безопасности информации (конфиденциальности, целостности, доступности) определена средняя степень ущерба и нет ни одного свойства, для которого определена высокая степень ущерба. Информация имеет низкий уровень значимости (УЗ 3), если для всех свойств безопасности (конфиденциальности, целостности, доступности) определены низкие степени ущерба.

Информация имеет минимальный уровень значимости (УЗ 4), если обладателем информации и (или) оператором степень ущерба от нарушения свойств безопасности информации (конфиденциальности, целостности, доступности) не может быть определена, но при этом информация подлежит защите в соответствии с законодательством Российской Федерации.

При обработке в информационной системе двух и более видов информации (служебная тайна, налоговая тайна и иные установленные законодательством Российской Федерации виды информации ограниченного доступа) уровень значимости информации (УЗ) определятся отдельно для каждого вида информации. Итоговый уровень значимости информации, обрабатываемой в информационной системе, устанавливается по наивысшим значениям степени возможного ущерба, определенным для конфиденциальности, целостности, доступности информации каждого вида информации.

3. Информационная система имеет федеральный масштаб, если она функционирует в пределах Российской Федерации (федерального округа) и имеет сегменты в субъектах Российской Федерации, муниципальных образованиях и (или) организациях.

Информационная система имеет региональный масштаб, если она функционирует в пределах субъекта Российской Федерации и имеет сегменты в одном или нескольких муниципальных образованиях и (или) подведомственных и иных организациях.

Информационная система имеет объектовый масштаб, если она функционирует в пределах одного федерального органа государственной власти, органа государственной власти субъекта Российской Федерации, муниципального образования и (или) организации и не имеет сегментов в территориальных органах, представительствах, подведомственных и иных организациях.

 

4. Класс защищенности информационной системы определяется в соответствии с таблицей: 

Уровень значимости

информации

Масштаб информационной системы

Федеральный

Региональный

Объектовый

УЗ 1

К1

 

К1

К2

УЗ 2

К1

К2

К3

 

УЗ 3

К2

 

К3

 

К3

 

УЗ 4

К2

 

К3

К4

 

5. При обработке в государственной информационной системе информации, содержащей персональные данные, для обеспечения первого уровня защищенности персональных данных, установленного в соответствии с Требованиями к защите персональных при их обработке в информационных системах персональных данных, утвержденными постановлением Правительства Российской Федерации от 1 ноября 2012 г. № 1119, государственной информационной системе не может быть присвоен класс защищенности нижем чем К1. Для обеспечения второго уровня защищенности персональных данных государственной информационной системе не может быть присвоен класс защищенности ниже чем К2. Для обеспечения третьего уровня защищенности персональных данных государственной информационной системе не может быть присвоен класс защищенности ниже чем К3. Для обеспечения четвертого уровня защищенности персональных данных государственной информационной системе присваивается класс защищенности К4 или боле высокий в соответствии с настоящим приложением.

 

Приложение № 2 к Требованиям о защите информации, не составляющей государственную тайну, содержащейся в государственных  информационных системах

 

Базовые наборы мер защиты информации для соответствующего класса защищенности информационной системы 

Номер и условное обозначение меры

Меры защиты информации в информационных системах

Классы защищенности

информационной системы

4

3

2

1

Обеспечение доверенной загрузки (ДЗГ)

ДЗГ.1

Блокировка доступа к ресурсам средств вычислительной техники

 

 

 

 

+

ДЗГ.2

Блокировка загрузки нештатной операционной системы или программного обеспечения, способного модифицировать загрузочную область штатной операционной системы, в том числе со съемных машинных носителей информации

 

 

 

 

 

ДЗГ.3

Блокировка интерфейсов и цепей питания средств вычислительной техники

 

 

 

 

 

Идентификация и аутентификация

субъектов доступа и объектов доступа (ИАФ)

ИАФ.1

Идентификация и аутентификация пользователей, процессов, иных субъектов доступа

 

+

+

+

+

ИАФ.2

Идентификация и аутентификация устройств (в том числе стационарных, мобильных и портативных), объектов файловой системы, запускаемых и исполняемых модулей, объектов систем управления базами данных, объектов, создаваемых прикладным программным обеспечением, иных объектов доступа

 

 

 

+

+

ИАФ.3

Управление идентификаторами

 

+

+

+

+

ИАФ.4

Управление средствами аутентификации

 

+

+

+

+

ИАФ.5

Защита обратной связи при вводе аутентификационной информации

 

+

+

+

+

ИАФ.6

Идентификация и аутентификация внешних пользователей

 

+

+

+

+

Управление доступом

субъектов доступа к объектам доступа (УПД)

УПД.1

Управление учетными записями пользователей

 

+

+

+

+

УПД.2

Управление предоставлением доступа субъектов доступа к объектам доступа (реализацию различных методов, типов и правил разграничения доступа), в том числе при совместном использовании информации несколькими субъектами доступа

 

+

+

+

+

УПД.3

Управление информационными потоками между устройствами, сегментами информационной системы, а также между информационными системами

 

 

 

+

+

УПД.4

Разделение обязанностей различных категорий пользователей и администраторов информационной системы

 

 

+

+

+

УПД.5

Назначение минимальных прав и привилегий субъектам доступа

 

 

+

+

+

УПД.6

Управление неуспешными попытками входа в информационную систему (доступа к информационной системе)

 

+

+

+

+

УПД.7

Оповещение пользователя о доступе к информационной системе, в которой реализованы меры защиты информации, при его входе в информационную систему

 

 

 

 

+

УПД.8

Оповещение пользователя после успешного входа в информационную систему о его предыдущем входе в информационную систему

 

 

 

 

 

УПД.9

Ограничение числа параллельных сеансов доступа для каждой учетной записи пользователя информационной системы

 

 

 

 

+

УПД.10

Блокирование сеанса доступа в информационную систему после установленного времени бездействия (неактивности) пользователя или по его запросу

 

 

+

+

+

УПД.11

Установление действий пользователей, разрешенных до идентификации и аутентификации

 

+

+

+

+

УПД.12

Поддержка и сохранение атрибутов безопасности (меток безопасности), связанных с информацией в процессе ее хранения, обработки и передачи

 

 

 

 

 

УПД.13

Управление удаленным доступом субъектов доступа к объектам доступа через внешние информационно-телекоммуникационные сети

 

+

+

+

+

УПД.14

Ограничение и контроль использования в информационной системе технологий беспроводного доступа

 

+

+

+

+

УПД.15

Ограничение и контроль использования в информационной системе мобильных технических средств (устройств, машинных носителей информации)

 

+

+

+

+

УПД.16

Управление взаимодействием с информационными системами сторонних организаций (внешние информационные системы)

 

+

+

+

+

Ограничение программной среды (ОПС)

ОПС.1

Управление запуском (обращениями) компонентов программного обеспечения

 

 

 

 

+

ОПС.2

Управление установкой (инсталляцией) компонентов программного обеспечения

 

 

 

+

+

ОПС.3

Запрет установки (инсталляции) запрещенного к использованию программного обеспечения и (или) его компонентов, в том числе средств разработки и отладки

 

+

+

+

+

ОПС.4

Управление записью временных файлов

 

 

 

 

 

Защита машинных носителей информации (ЗНИ)

ЗНИ.1

Маркировка и учет машинных носителей информации

 

+

+

+

+

ЗНИ.2

Управление доступом к машинным носителям информации

 

+

+

+

+

ЗНИ.3

Контроль перемещения машинных носителей информации за пределы контролируемой зоны

 

 

 

 

 

ЗНИ.4

Использование способов хранения информации на машинных носителях информации, не позволяющих несанкционированно ознакомиться с ее содержанием, а также использовать носитель информации в иных информационных системах

 

 

 

 

 

ЗНИ.5

Контроль использования интерфейсов ввода (вывода)

 

 

 

+

+

ЗНИ.6

Контроль ввода (вывода) информации на машинные носители информации

 

 

 

 

 

ЗНИ.7

Контроль подключения машинных носителей информации

 

 

 

 

 

ЗНИ.8

Уничтожение (стирание) информации на машинных носителях

 

+

+

+

+

ЗНИ.9

Контроль уничтожения (стирания) информации на машинных носителях

 

+

+

+

+

Регистрация событий безопасности (РСБ)

РСБ.1

Определение событий, относящихся к безопасности информации и подлежащих регистрации

 

+

+

+

+

РСБ.2

Определение состава и содержания информации о событиях, относящихся к безопасности информации и подлежащих регистрации

 

+

+

+

+

РСБ.3

Обеспечение возможности просмотра и анализа информации о действиях пользователей

 

 

 

 

 

РСБ.4

Резервирование необходимого объема памяти для записи информации о событиях, относящихся к безопасности информации

 

+

+

+

+

РСБ.5

Запись (регистрация) информации о событиях, относящихся к безопасности информации

 

+

+

+

+

РСБ.6

Реагирование на сбои при регистрации событий, относящихся к безопасности информации, в том числе аппаратные и программные ошибки, сбои в механизмах сбора информации и достижение предела или переполнения емкости памяти

 

+

+

+

+

РСБ.7

Просмотр и анализ результатов регистрации событий, относящихся к безопасности информации, и реагирование на них

 

+

+

+

+

РСБ.8

Сокращение объема информации о событиях, относящихся к безопасности информации, предоставляемой для просмотра и анализа

 

 

 

+

+

РСБ.9

Генерирование временных меток и синхронизация системного времени в информационной системе

 

+

+

+

+

РСБ.10

Защита информации о событиях, относящихся к безопасности информации

 

+

+

+

+

РСБ.11

Обеспечение необходимого времени хранения информации о событиях, относящихся к безопасности информации

 

+

+

+

+

Обеспечение целостности

информационной системы и информации (ОЦЛ)

ОЦЛ.1

Выявление, анализ и устранение уязвимостей и иных недостатков в программном обеспечении

 

+

+

+

+

ОЦЛ.2

Контроль установки обновлений программного обеспечения

 

+

+

+

+

ОЦЛ.3

Антивирусная защита

 

+

+

+

+

ОЦЛ.4

Обнаружение вторжений

 

 

 

+

+

ОЦЛ.5

Контроль работоспособности, параметров настройки и правильности функционирования программного обеспечения и средств защиты информации

 

 

 

+

+

ОЦЛ.6

Контроль целостности информации и программного обеспечения

 

 

 

+

+

ОЦЛ.7

Контроль состава технических средств обработки информации и программного обеспечения

 

+

+

+

+

ОЦЛ.8

Обеспечение возможности восстановления информации и программного обеспечения

 

+

+

+

+

ОЦЛ.9

Обнаружение и реагирование на факты передачи в информационную систему информации (сообщений), не относящейся к функционированию информационной системы (незапрашиваемых сообщений)

 

 

 

+

+

ОЦЛ.10

Ограничение прав пользователей по вводу информации в информационную систему

 

 

 

+

+

ОЦЛ.11

Контроль точности, полноты и правильности информации, вводимой в информационную систему

 

 

 

 

 

ОЦЛ.12

Контроль ошибочных действий пользователей по вводу и (или) передаче информации

 

 

 

 

 

ОЦЛ.13

Прогнозирование и предотвращение возможных отказов технических средств, реагирование на отказы технических средств

 

 

 

 

 

Защита среды виртуализации (ЗСВ)

ЗСВ.1

Аутентификация компонентов виртуальной инфраструктуры, администраторов управления средствами виртуализации, терминальных устройств виртуальной инфраструктуры

 

 

 

+

+

ЗСВ.2

Управление доступом к компонентам виртуальной инфраструктуры

 

+

+

+

+

ЗСВ.3

Управление потоками информации между компонентами виртуальной инфраструктуры, а также по периметру виртуальной инфраструктуры

 

 

 

+

+

ЗСВ.4

Доверенная загрузка серверов виртуализации, виртуальной машины (контейнера) и серверов управления виртуализацией

 

 

 

 

 

ЗСВ.5

Разграничение доступа к данным, обрабатываемым в виртуальных машинах (контейнерах), и (или) изоляцию виртуальных машин (контейнеров)

 

 

 

+

+

ЗСВ.6

Управление перемещением виртуальных машин (контейнеров) и обрабатываемых на них данных

 

 

 

+

+

ЗСВ.7

Регистрация событий в виртуальной инфраструктуре, относящихся к безопасности информации

 

+

+

+

+

ЗСВ.8

Контроль целостности конфигураций компонентов виртуальной инфраструктуры и самих компонентов

 

 

 

+

+

ЗСВ.9

Резервное копирование данных, резервирование технических средств и (или) программного обеспечения виртуальной инфраструктуры, а также каналов связи виртуальной инфраструктуры

 

 

+

+

+

ЗСВ.10

Распределенное хранение данных и восстановление информации после сбоев

 

 

 

 

+

ЗСВ.11

Реализация и управление антивирусной защитой и обнаружение вторжений, направленных на виртуальную инфраструктуру

 

 

 

+

+

Защита технических средств(ЗТС)

ЗТС.1

Защиту информации от ее утечки по техническим каналам

 

 

 

 

 

ЗТС.2

Защита от несанкционированного физического доступа к средствам обработки информации, средствам защиты информации и средствам обеспечения функционирования информационной системы

 

+

+

+

+

ЗТС.3

Защита от внешних воздействий (воздействий окружающей среды, нестабильности электроснабжения, кондиционирования и иных внешних факторов)

 

 

 

 

 

Защита информационной системы,

ее средств и систем связи и передачи данных (ЗИС)

ЗИС.1

Отделение (физическое, логическое) функциональных возможностей по управлению (администрированию) информационной системы и (или) ее сегментов, устройств от функциональных возможностей пользователей по использованию информационной системы

 

 

 

+

+

ЗИС.2

Изоляция (физическая, логическая) функций информационной системы, связанных с обеспечением защиты информации (функций безопасности), от иных функций информационной системы, не связанных с обеспечением защиты информации

 

 

 

 

+

ЗИС.3

Исключение доступа текущего субъекта доступа к информации, полученной в результате действий предыдущего субъекта доступа, через общие ресурсы информационной системы (реестры, оперативную память, внешние запоминающие устройства и иные ресурсы)

 

 

 

 

+

ЗИС.4

Защита информационной системы от действий нарушителей, приводящих к затруднению или невозможности доступа пользователей к ресурсам этой информационной системы (защита от отказа в обслуживании)

 

 

+

+

+

ЗИС.5

Предотвращение задержки или прерывания выполнения процессов с высоким приоритетом со стороны процессов с низким приоритетом

 

 

 

 

+

ЗИС.6

Обеспечение защиты периметра информационной системы и периметров ее сегментов при взаимодействии информационной системы с иными информационными системами и информационно-телекоммуникационными сетями, а также при взаимодействии сегментов информационной системы, включая контроль потоков информации  и управление потоками информации

 

+

+

+

+

ЗИС.7

Обеспечение защиты информации от раскрытия, модификации и навязывания (ввода ложной информации) при ее передаче (подготовке к передаче) по каналам связи, имеющим выход за пределы контролируемой зоны

 

+

+

+

+

ЗИС.8

Прекращение сетевых соединений по их завершении или по истечении заданного оператором временного интервала неактивности сетевого соединения

 

 

 

+

+

ЗИС.9

Обеспечение доверенного взаимодействия (канала передачи данных) между пользователем и средствами защиты информации (функциями безопасности средств защиты информации)

 

 

 

 

 

ЗИС.10

Обеспечение целостности и доступности общедоступной информации и программного обеспечения, предназначенного для ее обработки (доступа к ней)

 

+

+

+

+

ЗИС.11

Запрет несанкционированной удаленной активации, включая физическое отключение, периферийных устройств (видеокамер, микрофонов и иных устройств, которые могут активироваться удаленно) и оповещение пользователей об активации таких устройств

 

+

+

+

+

ЗИС.12

Передача и контроль целостности атрибутов безопасности (меток безопасности), связанных с информацией, при обмене информацией с иными информационными системами

 

 

 

 

 

ЗИС.13

Контроль использования и исключение несанкционированного использования технологий мобильного кода, регистрация событий, связанных с использованием технологии мобильного кода, их анализ и реагирование на нарушения, связанные с использованием технологии мобильного кода

 

 

 

+

+

ЗИС.14

Контроль использования и исключение несанкционированного использования технологий передачи речи, регистрация событий, связанных с использованием технологий передачи речи, их анализ и реагирование на нарушения, связанные с использованием технологий передачи речи

 

 

 

+

+

ЗИС.15

Контроль (подтверждение происхождения) источника информации, получаемой в процессе определения сетевых адресов по сетевым именам или определения сетевых имен по сетевым адресам, обеспечение ее доступности и целостности

 

+

+

+

+

ЗИС.16

Обеспечение подлинности сетевых соединений (сеансов взаимодействия), в том числе для защиты от подмены сетевых устройств и сервисов

 

 

 

+

+

ЗИС.17

Перевод (обеспечение возврата) информационной системы или ее устройств (компонентов) в заранее определенное состояние, обеспечивающее защиту информации в случае возникновении отказов (сбоев) в системе защиты информации информационной системы

 

 

 

 

+

ЗИС.18

Использование устройств, имеющих минимальные функциональные возможности и память для обработки и хранения информации

 

 

 

 

 

ЗИС.19

Создание (эмуляция) несуществующих (ложных) информационных систем или их компонентов, предназначенных для обнаружения, регистрации и анализа действий нарушителей по реализации угроз безопасности информации

 

 

 

 

 

ЗИС.20

Использование при создании информационной системы различных типов общесистемного, прикладного и специального программного обеспечения

 

 

 

 

 

ЗИС.21

Использование прикладного и специального программного обеспечения, функционирующего на различных типах операционных систем

 

 

 

 

 

ЗИС.22

Обеспечение защиты информации (данных), которая не подлежит изменению в процессе функционирования информационной системы (архивные файлы, параметры настройки средств защиты информации и программного обеспечения и иная информация пользователей и информационной системы)

 

 

 

+

+

ЗИС.23

Воспроизведение несуществующих (ложных) и (или) скрытие отдельных структурно-функциональных характеристик информационной системы и (или) параметров настройки средств защиты информации и программного обеспечения для введения в заблуждение нарушителей при реализации ими угроз безопасности информации

 

 

 

 

 

ЗИС.24

Выявление, анализ и блокирование при создании информационной системы скрытых каналов передачи информации в обход реализованных мер защиты информации или внутри разрешенных сетевых протоколов

 

 

 

 

 

ЗИС.25

Разбиение информационной системы на сегменты с учетом значимости обрабатываемой в них информации и обеспечение защиты периметров сегментов информационной системы (сегментирование информационной системы)

 

 

 

+

+

ЗИС.26

Обеспечение загрузки и исполнения программного обеспечения с машинных носителей информации, доступных только для чтения, и контроль целостности данного программного обеспечения

 

 

 

 

 

ЗИС.27

Изоляция процессов (выполнение программ) в выделенной области памяти

 

 

 

 

 

ЗИС.28

Защита внутренних и внешних беспроводных соединений, применяемых в информационной системе

 

+

+

+

+

 

«+» - мера защиты информации применяется в качестве базовой для защиты информации в информационной системе соответствующего класса защищенности.

Меры защиты информации, не обозначенные знаком «+», применяются при адаптации базового набора мер, дополнения адаптированного базового набора мер, а также при разработке компенсирующих мер защиты информации в информационной системе соответствующего класса защищенности.

 

 

 

ФЕДЕРАЛЬНАЯ СЛУЖБА
ПО ТЕХНИЧЕСКОМУ И ЭКСПОРТНОМУ КОНТРОЛЮ
(ФСТЭК РОССИИ)

 

ПРИКАЗ

 

«___» _______ 201__ г.                   г. Москва                                        № ______

 

 

 

Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах 

 

В соответствии с частью 5 статьи 16 Федерального закона от 27 июля 2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации» (Собрание законодательства 2006, № 31, ст. 3448; 2010, № 31, ст. 4196; 2011, № 15, ст. 2038; № 30, ст. 4600; 2012, № 31, ст. 4328) и Положением о Федеральной службе по техническому и экспортному контролю, утвержденным Указом Президента Российской Федерации от 16 августа 2004 г. № 1085 (Собрание законодательства Российской Федерации, 2004, № 34, ст. 3541; 2005, № 13, ст. 1138; 2006, № 49, ст. 5192; 2008, № 43, ст. 4921; № 47, ст. 5431; 2012, № 7, ст. 818), П Р И К А З Ы В А Ю:

 

1. Утвердить прилагаемые Требования о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах.

 

2. Установить, что указанные в пункте 1 настоящего приказа Требования применяются с 1 марта 2013 г. для защиты информации во вновь создаваемых или модернизируемых государственных информационных системах.

 

Директор Федеральной службы
 по техническому и экспортному контролю 

 

В.СЕЛИН

 

 

 

 

 

 

Оставьте свой отзыв:

Похожие статьи:

Добавить комментарий


Защитный код
Обновить

Похожие статьи:

 

Самое читаемое:

Быстрый поиск

Группа вКонтакте: новости

 

Новости в Twitter и Facebook

  подписка на новости в twitter              Подписка на новости facebook

Инструкции к программам

Инструкции к программам

Новые информационные технологии и программы