1956
.pdfуничтожение персональных данных в отношении каждого из субъектов персональных данных, осуществляются при непосредственном участии человека.
11) Постановление Правительства Российской Федерации от 13 июня 2012 г. № 584 «Об утверждении Положения о защите информации в платежной системе».
Положение устанавливает требования к защите информации о средствах и методах обеспечения информационной безопасности, персональных данных и иной информации, подлежащей обязательной защите в соответствии с законодательством Российской Федерации, обрабатываемой операторами по переводу денежных средств, банковскими платежными агентами (субагентами), операторами платежных систем и операторами услуг платежной инфраструктуры в платежной системе.
3.3.3. Ведомственная нормативная база
Нормативные документы и инструктивные материалы ФСБ РФ
1.Приказ ФСБ РФ от 13 ноября 1999 г. № 564 «Об утверждении положений о системе сертификации средств защиты информации по требованиям безопасности для сведений, составляющих государственную тайну, и о ее знаках соответствия».
2.Приказ ФСБ РФ от 9 февраля 2005 г. № 66. Положение о разработке, производстве, реализации и эксплуатации шифровальных (криптографических) средств защиты информации (ПКЗ-2005).
Данное положение распространяется на СКЗИ, предназначенные для защиты информации с ограниченным доступом, но не содержащей сведения, составляющие государственную тайну.
100
3. Приказ ФАПСИ от 13 июня 2001 г. № 152 «Об утверждении Инструкции об организации и обеспечении безопасности хранения, обработки и передачи по каналам связи с использованием средств криптографической защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну».
Нормативные документы и инструктивные материалы ФСТЭК (Гостехкомиссии) России
Федеральная службы по техническому и экспортному контролю (до 9 марта 2004 год – Государственная Техническая Комиссия при Президенте Российской Федерации) является федеральным органом исполнительной власти России, осуществляющим реализацию государственной политики, организацию межведомственную координацию и взаимодействие, специальные и контрольные функции в области государственной безопасности. Руководящие документы, Положения и Постановления ФСТЭК (Гостехкомиссии) России формируют большую часть отечественной нормативной базы в области защиты информации.
Наиболее полную информацию о деятельности ФСТЭК (Гостехкомиссии) России, включая тексты документов, можно найти на их официальном сайте по адресу: http://www.fstec.ru. Ниже приведены наиболее значимые из них.
1. Руководящие документы Гостехкомиссии России
1)Руководящий документ. Защита от несанкционированного доступа к информации. Термины и определения. Утверждено решением председателя Гостехкомиссии России от 30 марта 1992 г.
2)Руководящий документ. Концепция защиты средств вычислительной техники и автоматизированных систем от несанкционированного доступа к информации. Утверждено
101
решением Государственной технической комиссии при Президенте Российской Федерации от 30 марта 1992 г.
Излагает систему взглядов, основных принципов, которые закладываются в основу проблемы защиты информации от несанкционированного доступа (НСД), являющейся частью общей проблемы безопасности информации.
Концепция является методологической базой нормативно-технических и методических документов, направленных на решение следующих задач: выработка требований по защите СВТ и АС от НСД к информации; создание защищенных от НСД к информации СВТ и АС; сертификация защищенных СВТ и АС
Концепция предусматривает существование двух относительно самостоятельных и, следовательно, имеющих отличие направлений в проблеме защиты информации от НСД: направление, связанное с СВТ, и направление, связанное с АС. Отличие двух направлений порождено тем, что СВТ разрабатываются и поставляются на рынок лишь как элементы, из которых в дальнейшем строятся функционально ориентированные АС, и поэтому, не решая прикладных задач, СВТ не содержат пользовательской информации. Помимо пользовательской информации при создании АС появляются такие отсутствующие при разработке СВТ характеристики АС, как полномочия пользователей, модель нарушителя, технология обработки информации.
В концепции дается определение НСД. Рассматриваются основные принципы защиты от НСД. Представлена модель нарушителя в АС (4 уровня). Представлены основные способы НСД и основные направления обеспечения защиты от НСД.
Обеспечение защиты СВТ и АС осуществляется: системой разграничения доступа (СРД) субъектов к объектам доступа; обеспечивающими средствами для СРД, выполняющими идентификацию и аутоинтефикацию субъектов, регистрацию действий субъекта, включение,
102
исключение субъектов и предоставление им полномочий, реакции на попытки НСД, тестирование, очистку оперативной памяти, учет выходных документов, контроль целостности программной и информационной части.
Представлены основные характеристики технических средств защиты от НСД.
Представлены принципы классификации АС. Приведены требования к организации работ по защите
от НСД.
3) Руководящий документ. Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации. Утверждено решением председателя Государственной технической комиссии при Президенте Российской Федерации от 30 марта
1992 г.
Устанавливает классификацию СВТ по уровню защищенности от НСД к информации на базе перечня показателей защищенности и совокупности описывающих их требований. Устанавливается семь классов защищенности СВТ от НСД к информации. Самый низкий класс седьмой, самый высокий первый. Классы подразделяются на четыре группы, отличающиеся уровнем защиты:
первая группа содержит только один седьмой класс; вторая группа характеризуется дискреционной защитой
и содержит шестой и пятый классы; третья группа характеризуется мандатной защитой и
содержит четвертый, третий и второй классы; четвертая группа характеризуется верифицированной
защитой содержит только первый класс.
4) Руководящий документ. Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и
103
требования по защите информации. Классификация автоматизированных систем и требования по защите информации. Решение председателя Гостехкомиссии России от 30 марта 1992 года
Устанавливает классификацию автоматизированных систем, подлежащих защите от несанкционированного доступа к информации, и требования по защите информации в АС различных классов. К числу определяющих признаков, по которым производится группировка АС в различные классы, относятся:
наличие в АС информации различного уровня конфиденциальности;
уровень полномочий субъектов доступа АС на доступ к конфиденциальной информации;
режим обработки данных в АС - коллективный или индивидуальный.
Устанавливается девять классов защищенности АС от НСД к информации. Каждый класс характеризуется определенной минимальной совокупностью требований по защите. Классы подразделяются на три группы, отличающиеся особенностями обработки информации в АС. В пределах каждой группы соблюдается иерархия требований по защите в зависимости от ценности (конфиденциальности) информации и, следовательно, иерархия классов защищенности АС.
Третья группа включает АС, в которых работает один пользователь, допущенный ко всей информации АС, размещенной на носителях одного уровня конфиденциальности. Группа содержит два класса - 3Б и 3А.
Вторая группа включает АС, в которых пользователи имеют одинаковые права доступа (полномочия) ко всей информации АС, обрабатываемой и (или) хранимой на носителях различного уровня конфиденциальности. Группа содержит два класса - 2Б и 2А.
Первая группа включает многопользовательские АС, в которых одновременно обрабатывается и (или) хранится
104
информация разных уровней конфиденциальности. Не все пользователи имеют право доступа ко всей информации АС. Группа содержит пять классов - 1Д, 1Г, 1В, 1Б и 1А.
Требования по защите информации от НСД в АС предъявляются к четырем подсистемам: управления доступом; регистрации и учета; криптографической; обеспечения целостности.
При разработке АС, предназначенной для обработки или хранения информации, являющейся собственностью государства и отнесенной к категории секретной, необходимо ориентироваться в соответствии с РД «Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации» на классы защищенности АС не ниже (по группам) 3А, 2А, 1А, 1Б, 1В и использовать сертифицированные СВТ: не ниже 4 класса - для класса защищенности АС 1В; не ниже 3 класса - для класса защищенности АС 1Б; не ниже 2 класса - для класса защищенности АС 1А.
5) Руководящий документ. Безопасность информационных технологий. Критерии оценки безопасности информационных технологий. Приказ председателя Гостехкомиссии России от 19 июня 2002 года № 187
Содержит систематизированный каталог требований к безопасности информационных технологий (ИТ), порядок и методические рекомендации по его использованию при задании требований, разработке, оценке и сертификации продуктов и систем информационных технологий по требованиям безопасности информации.
Руководящий документ разработан в развитие РД Гостехкомиссии России по защите информации от несанкционированного доступа и соответствует ГОСТ Р ИСО/МЭК 15408-2002 «Информационная технология. Методы
105
обеспечения безопасности. Критерии оценки безопасности информационных технологий» (Общие критерии (ОК)).
6)Руководящий документ. Безопасность информационных технологий. Положение по разработке профилей защиты и заданий по безопасности. Гостехкомиссия России, 2003 год.
7)Руководящий документ. Безопасность информационных технологий. Руководство по регистрации профилей защиты. Гостехкомиссия России, 2003 год
8)Руководящий документ. Безопасность информационных технологий. Руководство по формированию семейств профилей защиты. Гостехкомиссия России, 2003 год
9)Руководство по разработке профилей защиты и заданий по безопасности. Гостехкомиссия России, 2003 год.
2. Нормативные документы и инструктивные материалы ФСТЭК России
Приказ Федеральной службы безопасности Российской Федерации, Федеральной службы по техническому и экспортному контролю от 31 августа 2010 г. № 416/489 г. Москва «Об утверждении Требований о защите информации, содержащейся в информационных системах общего пользования».
Приказ от 11 февраля 2013 г. № 17 «Об утверждении требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах»
106
Нормативно-методические документы ФСТЭК России в области персональных данных
1. Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных. Утверждена 15 февраля 2008 г.
Модель угроз содержит систематизированный перечень угроз безопасности персональных данных при их обработке в информационных системах персональных данных.
Содержит единые исходные данные по угрозам безопасности персональных данных, обрабатываемых в информационных системах персональных данных (ИСПДн), связанным:
сперехватом (съемом) ПДн по техническим каналам с целью их копирования или неправомерного распространения;
снесанкционированным, в том числе случайным, доступом в ИСПДн с целью изменения, копирования, неправомерного распространения ПДн или деструктивных воздействий на элементы ИСПДн и обрабатываемых в них ПДн
сиспользованием программных и программно-аппаратных средств с целью уничтожения или блокирования ПДн.
Модель угроз является методическим документом и предназначена для государственных и муниципальных органов, юридических
и (или) физических лиц (далее – операторов), организующих и (или) осуществляющих обработку ПДн, а также определяющих цели и содержание обработки ПДн, заказчиков и разработчиков ИСПДн и их подсистем.
В Модели угроз дано обобщенное описание ИСПДн как объектов защиты, возможных источников угрозы безопасности персональных данных (УБПДн), основных классов уязвимостей ИСПДн, возможных видов деструктивных воздействий на ПДн, а также основных способов их реализации.
2) Порядок проведения классификации информационных систем персональных данных.
107
Настоящий Порядок определяет проведение классификации информационных систем персональных данных, представляющих собой совокупность персональных данных, содержащихся в базах данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных с использованием средств автоматизации.
3)Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных. Утверждена 14 февраля 2008 г. Пометка «для служебного пользования» снята Решением ФСТЭК России от 16 ноября 2009 г.
4)Приказ от 18 февраля 2013 г. № 21 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных»
Руководящие документы ФСТЭК по защите ключевых систем информационной инфраструктуры (КСИИ)
Ключевая система информационной инфраструктуры (КСИИ) – это информационно-управляющая или информационно-телекоммуникационная система, которая осуществляет управление критически важным объектом (процессом), или информационное обеспечение управления таким объектом (процессом), или официальное информирование граждан, и в результате деструктивных информационных воздействий на которую может сложиться чрезвычайная ситуация, или будут нарушены выполняемые системой функции управления со значительными негативными последствиями.
Следующие руководящие документы ФСТЭК России по защите КСИИ распространяются под грифом ДСП только среди лицензиатов:
108
1)«Базовая модель угроз безопасности информации в ключевых системах информационной инфраструктуры» (утв. ФСТЭК России 18.05.2007).
2)Методика определения актуальных угроз безопасности информации в ключевых системах информационной инфраструктуры» (утв. ФСТЭК России
18.05.2007).
3)«Общие требования по обеспечению безопасности информации в ключевых системах информационной инфраструктуры» (утв. ФСТЭК России 18.05.2007).
4)«Рекомендации по обеспечению безопасности информации в ключевых системах информационной инфраструктуры» (утв. ФСТЭК России 19.11.2007).
109