+7 (3452) 595-805 (многоканальный)
+7 (499) 215-29-99

Защита государственных информационных систем

Защита информации в государственных информационных системах (ГИС)

Компания «КБ-Информ» предлагает комплекс услуг по организации защиты информации, исходя из требований Законодательства, относящейся к государственным информационным системам (ГИС).

Оказываемые услуги, направленные на создание СЗИ, включают:

  1. Анализ и проведение классификации ГИС, исходя из требований защиты информации.
  2. Создание индивидуальной модели определения потенциальных угроз нарушения ИБ в ГИС.
  3. Определение организационных и технических мер защиты, которые требуются для устранения угрозы нарушения безопасности информации в ГИС.
  4. Проектирование СЗИ.
  5. Разработка исполнительной документации, определяющей комплекс мер, необходимых для защиты информации.
  6. Внедрение технических средств защиты информации.
  7. Обучение персонала в специализированных учебных центрах.
  8. Анализ соответствия требованиям по защите информации в рамках аттестации ГИС.
  9. Сервисное обслуживание СЗИ.

В период выбора организационных и технических мер защиты информации специалисты компании берут за основу требования по применению актуальных экономических решений, исходя из особенностей защиты ГИС и деятельности клиента.

Используемые методы, меры и средства обеспечения защиты могут использоваться так же для обеспечения безопасности негосударственных систем, включая защиту коммерческой или банковской тайны, личной информации.

Благодаря опыту компании по разработке комплекса мер по защите информации, включая криптографическую защиту и широкую линейку партнерских решений, появляется возможность решить многие задачи клиентов, направленных на защиту информации и обеспечение значимости электронного документооборота.

Законодательные акты в области защиты информации

В РФ существует иерархия документов нормативно-методического характера по обеспечению защиты информации.

ФЗ №149 от 27.07.06 установлена необходимость защиты информации ГИС, согласно которому владелец информации или оператор ИС обязан обеспечить защиту информации от несанкционированного доступа, блокирования, уничтожения, распространения, копирования или других действий с помощью использования комплекса мер по соблюдению сохранности информации и ограничения доступа к общедоступной информации.

Исходя из требований ФЗ №149, обеспечивается защита информации, в том числе:

  • по предотвращению доступа к информации или передачи ее лицам, которые не имеют к ней доступ;
  • по определению попыток несанкционированного доступа к данным;
  • по предупреждению негативных последствий вследствие нарушения доступа;
  • по предотвращению влияния технических средств обработки данных, из-за которых возможно нарушение функционирования;
  • по восстановлению информации, которая была уничтожена в процессе несанкционированного доступа;
  • по контролю над уровнем защиты информации.

В соответствии с ФЗ № 149 требования утверждены приказом и обязательны для исполнения, в том числе и в процессе обработки ИС.

Требования распространяются на носителей информации, заказчиков, которые подписали контракт на разработку ГИС, операторов, а также лиц, выполняющих обработку информации государственного назначения.

Исходя из Требований, должна обеспечиваться защита информации на всех стадиях создания и эксплуатации за счет использования комплекса мер для устранения угроз нарушения доступа в рамках СЗИ.

Используемые меры должны предотвращать:

  • несанкционированный доступ, копирование, распространение информации конфиденциального характера;
  • уничтожение или изменение информации;
  • блокирование информации.

С целью обеспечения защиты Информации используются мероприятия:

  • создание требований к защите информации;
  • создание и внедрение СЗИ;
  • аттестация ГИС, исходя из требований и введение ее в эксплуатацию;
  • обеспечение защиты данных в период эксплуатации ГИС;
  • защита информации при окончании эксплуатации ГИС или окончании обработки данных.

Создание требований к защите информации содержит:

  • решение о защите информации;
  • классификацию ГИС;
  • анализ угроз безопасности и разработку на базе актуальных данных системы безопасности;
  • требования к ГИС.

Классификация ГИС осуществляется на основе установленных классов защищенности и проводится, исходя из значимости информации и масштаба ГИС:

  • Для федеральной ИС уровень значимости устанавливается: УЗ1 – К1; УЗ2 – К1; УЗ3 – К2; УЗ4 – К3.
  • Для региональной ИС: УЗ1 – К1; УЗ2 – К2; УЗ3 – К3; УЗ4 – К3.
  • Для объектовой ИС: УЗ1 – К1; УЗ2 – К2; УЗ3 – К3; УЗ4 – К4.

Определение уровня значимости зависит от ущерба, который может быть нанесен вследствие нарушения доступа, осуществления копирования или распространения информации, уничтожения или неправомерного блокирования.

Определение актуальных угроз безопасности выполняется с учетом характеристик ГИС, в соответствии с которым появляется возможность оценивать возможности нарушителей, определять уязвимость данных и возможных последствий.

Выявление угроз производится в соответствии с методическими актами, в составе которых:

  • Типичная модель угроз;
  • Методы выявления актуальных угроз.

Исходя из класса защищенности, формируются требования к СЗИ. В процессе определения требований к СЗИ принимаются во внимание положения политик обеспечения информационной безопасности, созданных в соответствии с ГОСТ.

Создание СЗИ с учетом ГОСТ включает:

  • Разработку СЗИ;
  • Создание эксплуатационной документации;
  • Тестирование СЗИ.

Исходя из Требований, обеспечивается работа СЗИ, чтобы не возникало препятствий в процессе ее функционирования.

В проектной документации отражаются результаты разработок СЗИ.

В процессе создания СЗИ используются методы защиты информации, которые прошли обязательную сертификацию и соответствуют требованиям безопасности.

Если отсутствуют сертифицированные средства защиты, то осуществляется пересмотр проектных решений под функциональные возможности существующих.

Исходя из разработанной документации, выполняется внедрение СЗИ, которое включает в себя:

  • выполнение установки и настройки СЗИ;
  • создание организационных и распорядительных документов, в которых прописаны правила и способы обеспечения безопасности в процессе эксплуатации ГИС;
  • осуществление внедрения организационных процедур, направленных на защиту информации;
  • проведение тестирования СЗИ;
  • осуществление предварительной эксплуатации СЗИ;
  • проведение анализа уязвимости ГИС и разработка мер, направленных на ее устранение;
  • проведение приемочных испытаний СЗИ.

Процедуры и правила определяются с помощью разрабатываемых ОРД:

  • администрирования СЗИ;
  • определение фактов, которые могут вызвать сбой в работе ИС или появлению угроз безопасности;
  • управления СЗИ;
  • мониторинга защищенности информации;
  • защиты информации в процессе прекращения эксплуатации ГИС или после окончательной обработки информации.

В процессе внедрения мер по защите информации, происходит:

  • введение ограничений на действия пользователей, пересмотрение условий использования программного обеспечения в процессе исполнения правил;
  • анализ полноты сведений в ОРД, направленных на описание действий пользователей и администраторов в период использования мер по защите информации;
  • оценка действий должностных лиц, которые несут ответственность за использование мер по защите информации.

Проведение оценки уязвимости необходимо для определения возможностей нарушителя и предотвращения угроз безопасности данных.

Если в процессе анализа будут выявлены уязвимости, которые могут повлечь за собой появление дополнительных угроз безопасности информации, то осуществляется корректировка модели угроз, и, если возникает необходимость, принимаются меры по защите информации, которые будут направлены на ликвидацию уязвимостей или на предотвращение возможности использования уязвимостей нарушителем.

Проведение приемочных испытаний выполняется в строгом соответствии с ГОСТ и направлены на контроль выполнения требований, указанных в техническом задании.

Аттестация ГИС предполагает выполнение организационно-технических мероприятий, по результатам которых определяется соответствие СЗИ требованиям безопасности.

После осуществления аттестационных испытаний формируются протоколы и заключение о соответствии требованиям безопасности, выдается аттестат, если результат оказывается положительным.

Аттестация может проводиться на основе результатов испытаний соответствующих сегментов ГИС, которые используют технологию обработки данных.

Внедрение ГИС может проводиться только при наличии аттестата соответствия.

В процессе использования аттестованной ГИС должна обеспечиваться защита информации, которая выполняется в соответствии с разработанными документами, например:

  • администрирование СЗИ;
  • определение нарушений и устранение их;
  • управление программным обеспечением и СЗИ;
  • мониторинг уровня защиты информации.

Организационно-технические меры, внедряемые в СЗИ, исходя из актуальности угроз, обеспечивают:

  • определение объектов и субъектов доступа;
  • контроль доступа субъектов к объектам;
  • наложение ограничений на программную среду;
  • защиту электронных носителей информации;
  • фиксирование событий безопасности;
  • защиту от вирусов;
  • контроль незаконного доступа;
  • осуществление контроля защиты информации;
  • полноту и доступность информации;
  • организацию защиты виртуальной среды;
  • обеспечение защиты технических средств;
  • защиту ИС и систем передачи данных.

Полный комплекс мер по защите информации, предназначенных для соответствующих классов защищенности ИС, можно найти в приложении к Требованиям.

Определение защитных мер СЗИ включает:

  • выявление основных мер, необходимых для определенного класса защищенности;
  • применение основных мер к особенностям ГИС;
  • определение основных мер по блокировке актуальных угроз безопасности, которые включены в существующую модель угроз;
  • добавление дополнительных мер, которые будут направлены на обеспечение соблюдений требований безопасности, включая защиту личных данных.

Если нет возможности использовать СЗИ в соответствии с выбранными мерами в период адаптации или уточнения основных мер защиты, то определяются и разрабатываются другие меры, которые будут обеспечивать блокирование угроз. Тогда в ходе создания СЗИ определяется обоснование использования компенсирующих мер для устранения актуальных угроз безопасности.

Компенсирующие меры должны создаваться и в период применения новых информационных технологий и определения дополнительных угроз безопасности.

Использование технических мер защиты информации выполняется за счет СЗИ, наделенных функциями безопасности.

Внедрение СКЗИ выполняется на основе Положения ПКЗ-2005, утвержденного Приказом ФСБ.

В случае нарушения требований Законодательства в отношении защиты информации последует дисциплинарная, административная или уголовная ответственность.

Цель и задачи разработки СЗИ

Цель разработки СЗИ направлена на реализацию обязанностей заказчика по использованию правовых, организационно-технических мер защиты информации, исходя из требований ФЗ №149 и нормативных актов.

Для достижения цели создания СЗИ осуществляется решение следующих задач:

  1. Выполнение анализа уязвимости и классификации ГИС;
  2. Создание индивидуальной модели актуальных угроз безопасности информации;
  3. Определение организационно-технических мер, которые направлены на устранение актуальных угроз безопасности, исходя из особенностей ГИС;
  4. Создание ОРД, определяющей порядок защиты информации, исходя из организационных мер.
  5. Создание СЗИ на основе разработанного технического задания;
  6. Проектирование СЗИ, исходя из выбранных технических мер:
    1. контроля доступа к информации;
    2. безопасности сети;
    3. защиты от вирусов;
    4. криптографической защиты;
    5. анализа событий безопасности;
    6. защиты виртуального пространства;
    7. ликвидации утечек информации;
    8. решения, требуемого для ликвидации актуальных угроз;
    9. защиты мобильных устройств;
  7. Внедрение технических решений, сервисное обслуживание СЗИ;
  8. Проверка уязвимости ГИС;
  9. Обучение персонала в учебном центре;
  10. Проверка ГИС на соответствие требованиям безопасности, аттестация.

В период выполнения работ целесообразно полагаться на экономическую целесообразность и эффективность осуществляемого комплекса мер по защите ГИС.

Результаты разработок СЗИ

После разработки СЗИ Заказчику выдается документация:

  1.  Отчет об исследованиях ГИС;
  2.  Основные рекомендации по улучшению СЗИ;
  3.  Проект, содержащий классификацию ГИС;
  4.  Индивидуальная модель актуальных угроз информационной безопасности;
  5.  Перечень основных требования и мер защиты СЗИ;
  6.  Организационно-распорядительная документация, включая в себя:
    1. разработанную политику, реализация которой направлена на защиту информации в ГИС;
    2. требования защиты информации;
    3. должностные инструкции сотрудников ГИС в сфере защиты информации;
    4. другую документацию;
    5. техническое задание.
  7. Проектная и эксплуатационная документация;
  8. Документация для получения лицензии для осуществления деятельности, связанной с защитой информации;
  9. Документация о проведенном мониторинге уязвимости ГИС;
  10. Документ приемосдаточных испытаний СЗИ;
  11. Аттестационные документы;
  12. Протокол выполненных аттестационных испытаний;
  13. Документ соответствия требованиям безопасности;
  14. Отчет об уровне защищенности ГИС. 
Вопросы? Пожалуйста, обращайтесь к нашим специалистам:
Тел: +7 (3452) 595-805; электронная почта: info@kbinform.ru.
Обратная связь