Построение системы защиты информации информационной системы (СЗИ ИС) основывается на предпосылке, что невозможно обеспечить требуемую безопасность информационных ресурсов (класс защищенности ИС, обрабатывающей государственные и муниципальные информационные ресурсы) не только с помощью одного отдельного средства защиты информации (или мероприятия по защите информации), но и с помощью их простой совокупности.
При построении СЗИ требуется системное согласование средств и способов защиты информации и создание единой системы управления ими. СЗИ ИС направлено на достижение требуемого уровня доверия:
- к окружению ИС;
- к субъектам отношений;
- к правилам и процедурам;
- к аппаратной и программной платформе ИС;
- к каналам передачи информации.
Создание СЗИ невозможно без выполнения работ по:
- обследованию защищенности ИС, обрабатывающих государственные и муниципальные информационные ресурсы,
- разработке Модели угроз Модели нарушителей для ИС, обрабатывающих государственные и муниципальные информационные ресурсы,
- выбору класса защищенности ИС, обрабатывающих государственные и муниципальные информационные ресурсы,
- выбору мер защиты информации по Приказу ФСТЭК России № 17.
По результатам перечисленных работ (реализованных либо НТЦ «Вулкан», либо другими подрядчиками) НТЦ «Вулкан» выполняет в интересах заказчика комплекс работ по созданию СЗИ ИС, обрабатывающих государственные и муниципальные информационные ресурсы, в соответствии с требованиями Приказа ФСТЭК России от 11.02.2013 г. № 17.
Состав работ
- Разработка системы защиты информации ИС, осуществляемая в соответствии с техническим заданием:
- Техническое проектирование системы защиты информации ИС, обрабатывающих государственные и муниципальные информационные ресурсы (разработку проектной документации).
- Разработку эксплуатационной документации на систему защиты информации ИС, обрабатывающих государственные и муниципальные информационные ресурсы.
- Макетирование и тестирование системы защиты информации ИС, обрабатывающих государственные и муниципальные информационные ресурсы (при необходимости).
- Внедрение СЗИ ИС, обрабатывающих государственные и муниципальные информационные ресурсы, в соответствии с разработанной проектной и эксплуатационной документацией:
- установка и настройка средств защиты информации;
- внедрение организационных мер защиты информации;
- предварительные испытания системы защиты информации ИС, обрабатывающих государственные и муниципальные информационные ресурсы;
- опытная эксплуатация системы защиты информации ИС, обрабатывающих государственные и муниципальные информационные ресурсы;
- анализ уязвимостей информационной системы и принятие мер по их устранению;
- приемочные испытания системы защиты информации ИС, обрабатывающих государственные и муниципальные информационные ресурсы.
- разработка документов, определяющих правила и процедуры, реализуемые для обеспечения безопасности информации.
Создание СЗИ ИС предусматривает принятие организационно-правовых мер, предусматривающих назначение лиц, ответственных за обеспечение защиты информации, а также разработку и утверждение оператором ИС, обрабатывающих государственные и муниципальные информационные ресурсы, документа, определяющего политику обеспечения безопасности информации. НТЦ «Вулкан» разрабатывает организационно-распорядительные документы по обеспечению безопасности информации, определяющие следующие правила и процедуры:
- Обеспечение безопасности информации на объекте заказчика.
- Управление (администрирование) системой защиты информации ИС, обрабатывающих государственные и муниципальные информационные ресурсы.
- Выявление инцидентов, которые могут привести к сбоям или нарушению функционирования ИС или к возникновению угроз безопасности информации.
- Реагирование на инциденты.
- Управление конфигурацией ИС, обрабатывающей государственные и муниципальные информационные ресурсы, и системы защиты информации ИС.
- Контроль (мониторинг) за обеспечением уровня защищенности информации, содержащейся в ИС, обрабатывающих государственные и муниципальные информационные ресурсы.
- Защита информации при выводе из эксплуатации ИС, обрабатывающих государственные и муниципальные информационные ресурсы, или после принятия решения об окончании обработки информации.
- Архивирование информации, содержащейся в ИС, обрабатывающих государственные и муниципальные информационные ресурсы.
- Уничтожение (стирание) данных и остаточной информации с машинных носителей информации.
Преимущества
При разработке системы защиты информации ИС, обрабатывающих государственные и муниципальные информационные ресурсы, учитывается ее информационное взаимодействие с иными ИС и информационно-телекоммуникационными сетями.
Внедрение СЗИ ИС позволит повысить обеспечить заданный класс защищенности ИС путем концентрации усилий соответствующих должностных лиц, а также повышения их персональной ответственности за обеспечение защиты информации.
Источник: https://www.ntc-vulkan.ru/services/uslugi-po-zashchite-gosudarstvennykh-informatsionnykh-sistem/sozdanie-szi-is-v-sootvetstvii-s-trebovaniyami-prikaza-fstek-rossii-ot-11-02-2013-g-17/
Аттестация ГИС по 17 приказу ФСТЭК в ООО
Приказ ФСТЭК № 17 вступил в силу 11.02.
2013 и предъявляет требования по аттестации (оценке соответствия) государственных информационных систем (ГИС), в частности от утечки по техническим каналам, несанкционированного доступа, специальных воздействий на такую информацию (носители информации) в целях ее добывания, уничтожения, искажения или блокирования доступа к ней. Также приказ устанавливает порядок классификации ГИС и предъявляет требование использовать только сертифицированные средства защиты информации при защите ГИС.
Как аттестовать ГИС?
На первый взгляд все просто: нужно открыть сам приказ, определить по приказу класс защищенности ГИС и реализовать меры, установленные для того или иного класса защищенности ГИС.
На самом деле все гораздо сложнее: нужно еще расшифровать трактовки требований к мерам защиты и понять саму методологию (порядок) защиты ГИС, чтобы сделать все правильно.
Далее мы раскроем секреты проведения работ «от и до».
Работы по защите и аттестации ГИС проводятся в следующем порядке:
- Обследование и формирование требований;
- Проектирование системы защиты информации;
- Внедрение системы защиты информации;
- Аттестация ГИС.
На каждом этапе должны быть оформлены определенные отчетные документы, которые разрабатываются с учетом ГОСТ 34.602, ГОСТ Р 51583 и ГОСТ Р 51624.
Первый этап
На первом этапе проводятся следующие работы:
Второй этап
На втором этапе проводятся следующие работы:
Третий этап
Третий этап включает следующие работы:
Четвертый этап
На четвертом этапе проводятся работы по аттестации ГИС, включающие:
Результаты анализа уязвимостей и испытаний на возможность несанкционированного доступа могут быть оформлены как отдельными протоколами, так и объединены в один.
Работы по аттестации могут проводить только лицензиаты ФСТЭК «на техническую защиту конфиденциальной информации» с пунктами в лицензии «а», «г».
Точную стоимость аттестации вашей ГИС вы можете свободно узнать по телефону:
8(800)-550-44-71
ЗАКАЗАТЬ ЗВОНОК
Как классифицировать ГИС?
Класс защищенности информационной системы (первый класс (К1), второй класс (К2), третий класс (К3)) определяется в зависимости от уровня значимости информации (УЗ), обрабатываемой в этой информационной системе, и масштаба информационной системы (федеральный, региональный, объектовый).
Определение класса защищенности ГИС осуществляется в соответствии с приложением 1 к 17 приказу ФСТЭК и проводится в следующем порядке:
- Сначала нужно определить уровень значимости обрабатываемой в ГИС информации. Уровень значимости определяется оператором самостоятельно на основе того, какой ущерб может быть причинён обладателю информации: низкий, средний, высокий.
- Затем нужно определить масштаб ГИС: федеральный, региональный или объектовый. При федеральном и региональном масштабе ГИС должна иметь сегменты в одном или нескольких муниципальных образованиях и (или) подведомственных и иных организациях.
- Класс защищенности определяется следующим образом:
Уровень значимостиинформации | Масштаб информационной системы | ||
Федеральный | Региональный | Объектовый | |
УЗ 1 | К1 | К1 | К1 |
УЗ 2 | К1 | К2 | К2 |
УЗ 3 | К2 | К3 | К3 |
Класс защищенности в обязательном порядке должен быть зафиксирован в акте классификации ГИС, который утверждается оператором ГИС.
На первый взгляд кажется, что приказ является самодостаточным, включает в себя и порядок классификации и подробнейшее описание порядка реализации самих мер защиты. Бери и применяй. Но это только на первый взгляд.
Как подготовить ГИС к аттестации?
Собрать волю в кулак и сделать следующее:
Первый этап
- Провести обследование ГИС с фиксацией полученных данных в акте (отчете) об обследовании. Это необходимо, чтобы разрабатывать последующие отчетные документы, опираясь на официальный документ.
- Разработать и утвердить приказ (решение) о необходимости защиты информации в ГИС (об организации работ по защите информации в ГИС).
- Провести классификацию ГИС и утвердить акт классификации, в котором устанавливается определенный класс защищенности ГИС.
- Определить актуальные угрозы безопасности информации, содержащейся в ГИС, путем разработки и утверждения частной модели угроз безопасности и нарушителя.
- Определить требования по защите информации, разработав и утвердив техническое задание на систему защиты информации по ГОСТ 34.602
Второй этап
- Провести проектирование системы защиты информации (СЗИ) путем разработки и утверждения частного технического проекта на СЗИ в составе ГИС.
- Разработать эксплуатационную документацию на СЗИ, описывающую порядок использования средств защиты информации для каждой роли в ГИС (пользователь, администратор и др.).
- Осуществить макетирование и тестирование системы защиты информации путем разворачивания тестового стенда, использования полного набора средств защиты и моделирования реальных условий эксплуатации ГИС.
Третий этап
- Закупить, установить и настроить сертифицированные средства защиты информации.
- Разработать пакет организационно-распорядительной документации (ОРД) в части защиты информации и режимных мер.
- Внедрить организационные меры защиты информации (реализовать), установленные ОРД.
- Провести анализ уязвимостей государственной информационной системы с оформлением подтверждающих документов (программа и методики испытаний, протокол испытаний, заключение).
- Провести предварительные испытания, опытную эксплуатацию и приемочные испытания системы защиты информации в составе ГИС.
Особенности 17 приказа ФСТЭК
Особенности по сравнению с 21 приказом ФСТЭК следующие:
- Для защиты ГИС можно использовать только сертифицированные средства защиты.
- По результатам защиты ГИС в обязательном порядке необходимо проводить ее аттестацию.
- Методология (порядок) работ подробно расписана: от обследования и до аттестации ГИС.
- К 17 приказу ФСТЭК имеется методический документ «Меры защиты…», детализирующий те или иные меры защиты и досконально их поясняющий.
- В обязательном порядке проводится анализ уязвимостей ГИС с использованием банка уязвимостей bdu.fstec.ru как при внедрении системы защиты, так и при аттестации ГИС.
- В ГИС должно использоваться только сертифицированное программное обеспечение.
- Запрещено проводить аттестацию лицам, которые проектировали и внедряли систему защиты.
Как выбрать технические средства защиты ГИС?
В первую очередь необходимо знать класс защищенности ГИС, чтобы, опираясь на него, определить требуемые классы средств защиты информации для использования в ГИС.
Порядок выбора средств защиты информации по 17 приказу:
Изменения 17 приказа ФСТЭК
Вот основные моменты, которые были изменены в 17 приказе:
- В государственных информационных системах (ГИС) теперь всего 3 класса защищённости, четвертый класс исключен.
- Изменилось соотношение классов защищенности с классами защиты СЗИ (средств защиты информации). Теперь 6-й класс защиты СЗИ применяется в ГИС 3-го класса, 5-й – в ГИС 2-го класса, 4-й – в ГИС 1-го класса. СЗИ 1-3 класса по-прежнему применяются для защиты государственной тайны.
- Средства вычислительной техники (программное обеспечение) должны быть сертифицированы. (Это сверхжесткое требование, которое все будут обходить или трактовать в свою пользу).
- Меры защиты информации УПД.3 (Управление информационными потоками между устройствами, сегментами информационной системы, а также между информационными системами) и ЗСВ.10 (Разбиение виртуальной инфраструктуры на сегменты для обработки информации отдельным пользователем и (или) группой пользователей) теперь требуются для всех классов ГИС. Ранее – только для 1 и 2 классов.
Особое внимание:
- Запрещено проведение аттестационных испытаний должностным лицом, которое проектировало или внедряло систему защиты информации.
- ФСТЭК России теперь вводит обязательное использование своего банка данных угроз (bdu.fstec.ru), и при проведении анализа уязвимостей в ходе аттестационных испытаний должно быть подтверждено, что в информационной системе отсутствуют уязвимости, содержащиеся в банке данных угроз безопасности информации ФСТЭК России.
Стоимость аттестации ГИС
Стоимость аттестации ГИС в первую очередь зависит от ее масштаба, т.е. от количественных характеристик системы. Например, ГИС, состоящая из 10 серверов, и ГИС, состоящая из 100 серверов, – это ГИС совершенно разного масштаба.
Важнейшими критериями оценки стоимости аттестации ГИС являются:
- Географическая распределенность, т.е. наличие сегментов ГИС в субъектах России.
- Аттестовалась ли ГИС ранее.
- Обрабатываются ли в ГИС персональные данные, а также каких категорий и в каком объеме.
- Требуется только аттестация или еще и подготовка ГИС к аттестации.
Если общими словами, то стоимость аттестации ГИС на базе одного сервера составляет от 300 т.р., а, например, ГИС на базе 10 серверов – около 1,5 млн., так как трудоемкость работ большая (см. выше), а срезание углов – риск для лицензиата ФСТЭК России, проводящего работы.
Скачать коммерческое предложение на аттестацию ГИС
СКАЧАТЬ PDF
Источник: https://xn--90ao1ar.xn--p1ai/attestatsiya_fstek/attestatsiya-gis/
17 приказ ФСТЭК. Часть 1
Первый цикл постов в этом блогебудет посвящён 17 приказу ФСТЭК «Обутверждении Требований по защите информации, не составляющей государственнуютайну, содержащейся в государственных информационных системах».
Сфера действия 17 Приказа
Требования 17 приказа обязательны при обработкеинформации ограниченного доступа (в том числе персональных данных) вгосударственных информационных системах (ГИС) и в муниципальных информационныхсистемах (назовем их МИС).
Определение ГИС и МИС можно найти в статье 13 ФЗ №149«Об информации, информационных технологиях и о защите информации».
ГИС -федеральные информационные системы и региональные информационные системы, созданные на основании соответственнофедеральных законов, законов субъектов Российской Федерации, на основанииправовых актов государственных органов. МИС – системы, созданные наосновании решения органа местного самоуправления.
Кратко скажем о тех счастливчиках, на которых данныйприказ не распространяется.
Приказ не распространяется на государственныеинформационные системы Администрации Президента, Совета Безопасности,Федерального Собрания, Правительства РФ, Конституционного, Верховного иАрбитражного судов РФ, а также ФСБ.
Кроме того, приказ не распространяется на информационныесистемы, аттестованные по требованиям защиты информации до его вступления всилу. Эти системы повторной аттестации (оценке эффективности) в связи с изданиемприказа не подлежат.
Классы систем
Требования по защите информации зависят от класса защищенности системы. Классоввсего четыре: К1, К2, К3, К4. Первый класс (К1) самый высокий, четвертый класс (К4)самый низкий.
Класс системы зависит от двух параметров:
- от уровня значимостиобрабатываемой информации (УЗ);
- от масштаба информационной системы.
УЗ складываетсяиз степени возможного ущерба для трех свойств обрабатываемой информации:конфиденциальности, целостности, доступности. Степень ущерба для каждого из свойств может бытьвысокой, средней и низкой и определяется экспертным путем.
Степень ущербазависит от того, насколько сильные последствия может иметь нарушение свойстваинформации в социальной, политической, международной, экономической, финансовойили иных областях. Также степень ущерба зависит от того, смогут лиинформационная система или оператор (обладатель информации) выполнятьвозложенные на них функции.
Та или иная информация может, например, иметьвысокую степень ущерба конфиденциальности, среднюю степень ущерба целостности инизкую степень ущерба доступности.
УЗ = [степень ущерба конфиденциальности; степень ущерба целостности; степень ущерба доступности] |
На основании определенных экспертамистепеней ущерба методом вычисляется УЗ. Информация имеет высокий уровеньзначимости (УЗ 1), если хотя бы для одного из свойств безопасности информации(конфиденциальности, целостности, доступности) определена высокая степеньущерба.
Информация имеет средний уровень значимости (УЗ 2), если хотя бы дляодного из свойств информации определена средняя степень ущерба и нет ни одного свойства, длякоторого определена высокая степень.
Информация имеет низкий уровеньзначимости (УЗ 3), если для всех свойств безопасности информацииопределены низкие степениущерба.
Информация имеет минимальный уровень значимости (УЗ 4), если степень ущерба отнарушения свойств безопасности информации не может быть определена, но при этом информация подлежит защите всоответствии с законодательством РФ.
Теперь поговорим о масштабе системы. Масштаб может быть федеральный, региональный и объектовый.
Информационная система имеет федеральный масштаб,если она функционирует на территории РФ (в пределах федерального округа) иимеет сегменты в субъектах РФ, муниципальных образованиях и (или) организациях.
Информационная система имеет региональный масштаб, если она функционирует натерритории субъекта РФ и имеет сегменты в одном или нескольких муниципальныхобразованиях и (или) подведомственных и иных организациях.
Информационная системаимеет объектовый масштаб, если она функционирует на объектах одногофедерального органа государственной власти, органа государственной властисубъекта РФ, муниципального образования и (или) организации и не имеетсегментов в территориальных органах, представительствах, филиалах,подведомственных и иных организациях.
После определения уровня значимости и масштаба системы класс вычисляется по следующей таблице:
УЗ информации |
Масштаб информационной системы |
||
Федеральный |
Региональный |
Объектовый |
|
УЗ 1 |
К1 |
К1 |
К1 |
УЗ 2 |
К1 |
К2 |
К2 |
УЗ 3 |
К2 |
К3 |
К3 |
УЗ 4 |
К3 |
К3 |
К4 |
Меры защиты
В приложении к приказу приведён перечень требуемых мер защиты длясистем каждого класса – базовый набор мер. Этот базовый набор мер может быть адаптирован под особенности конкретнойсистемы.
Например, если какая-либо технология (скажем, виртуализация) не используетсяв рамках системы, то соответствующая ей мера защиты из базового набора можетбыть исключена.
В приказе это называется «адаптированнымбазовым набором мер».
Адаптированный базовый набор уточняется таким образом,чтобы закрыть все угрозы из разработанной модели угроз (ожидается, что по методике разработкимодели угроз будет выпущен отдельный документ ФСТЭК).
В результате уточненияполучается, как вы уже догадались, «уточненныйадаптированный базовый набор» мер.
На этом этапе можно попытаться заменить меры, которые по какой-либо причине невозможно реализовать, наальтернативные (компенсирующие) меры.
Представленные в приказе меры защиты разбиты на следующиегруппы:
- Идентификацияи аутентификация субъектов доступа и объектов доступа (ИАФ)
- Управлениедоступом (УПД)
- Ограничениепрограммной среды (ОПС)
- Регистрациясобытий безопасности (РСБ)
- Антивируснаязащита (АВЗ)
- Обнаружениевторжений (СОВ)
- Контроль(анализ) защищенности информации (АНЗ)
- Обеспечениецелостности информационной системы и информации (ОЦЛ)
- Обеспечениедоступности информации (ОДТ)
- Защита средывиртуализации (ЗСВ)
- Защитатехнических средств (ЗТС)
- Защитаинформационной системы, ее средств, систем связи и передачи данных (ЗИС)
- Выявлениеинцидентов и реагирование на них (ИНЦ)
- Управлениеконфигурацией информационной системы и системы защиты персональных данных (УКФ)
Каждая из перечисленных групп содержит несколько мер защиты. Меры защиты условно обозначаются по имени группы и по порядковому номеру. Например, УПД.1, УПД.2, ОПС.3 и так далее.
В следующих статьях мы подробнее рассмотрим мерызащиты и, что более важно, методы, которыми их можно реализовать.
Продолжение следует. “,”author”:”Ðвтор: Unknown”,”date_published”:”2013-01-20T00:00:00.000Z”,”lead_image_url”:null,”dek”:null,”next_page_url”:null,”url”:”http://crypto-anarchist.blogspot.com/2013/09/17-1.html”,”domain”:”crypto-anarchist.blogspot.com”,”excerpt”:”Приказ ФСТÐК â„–17. Ð¢Ñ€ÐµÐ±Ð¾Ð²Ð°Ð½Ð¸Ñ Ð¿Ð¾ защите гоÑударÑтвенных информационных ÑиÑтем.”,”word_count”:822,”direction”:”ltr”,”total_pages”:1,”rendered_pages”:1}
Источник: http://crypto-anarchist.blogspot.com/2013/09/17-1.html