Yazov_ITKS

Рис. 4.8. Классы защищенности государственных информационных систем

381

требования к защите информации при информационном взаимодействии с иными информационными системами и ИТКС, в том числе с информационными системами уполномоченного лица, а также при применении вычислительных ресурсов (мощностей), предоставляемых упол-

номоченным лицом для обработки информации. Организационные и технические меры защиты ин-

формации, подлежащие реализации в ИТКС в рамках ее СЗИ, в зависимости от угроз безопасности информации, используемых информационных технологий и структурнофункциональных характеристик ИТКС должны обеспечивать:

идентификацию и аутентификацию субъектов доступа и объектов доступа;

управление доступом субъектов доступа к объектам доступа;

ограничение программной среды;

защиту машинных носителей информации;

регистрацию событий безопасности;

антивирусную защиту;

обнаружение (предотвращение) вторжений;

контроль (анализ) защищенности информации;

целостность информационной системы и информации;

доступность информации;

защиту среды виртуализации;

защиту технических средств;

защиту информационной системы, ее средств, систем связи и передачи данных.

Важным аспектом данного документа является то, что в нем, наряду с требованиями к мерам и средствам за-

382

щиты, указываются требования к порядку их выбора (рис. 4.9). Регламентация порядка выбора обеспечивает возможность единого подхода к формированию и гибкость процесса построения системы защиты.

В основе предлагаемого порядка лежит экспертная процедура последовательного уточнения так называемого базового набора мер защиты для определенного класса защищенности ИТКС, при этом сам базовый набор мер, выбираемый на первом шаге процедуры, указан в рассматриваемом нормативно-правовом акте.

Второй шаг такого уточнения сводится к адаптации базового набора к характеристикам конкретной ИТКС, что сводится к проверке возможности реализации каждой меры из базового набора в этой ИТКС с учетом ее топологии, установленного программного и аппаратного обеспечения, наличия взаимодействия с внешними сетями, уровня конфиденциальности обрабатываемой информации и других характеристик.

Третий шаг выполняется в случае, если на первом шаге были исключены часть мер и требуемый уровень защищенности информации от всей совокупности угроз безопасности информации в ИТКС не обеспечивается оставшимися мерами, и сводится к расширению состава мер таким образом, чтобы все актуальные угрозы были нейтрализованы.

Четвертый шаг уточнения набора мер защиты направлен на расширение (дополнение), при необходимости, их состава в интересах выполнения требований к защите информации, установленных иными нормативными правовыми актами (например, изложенными в [18, 48 - 50]).

Наконец, пятый шаг уточнения направлен на выбор так называемых компенсирующих мер, если в ходе 2 –4 шагов выбранные дополнительные меры не могут быть применены в данной ИТКС по техническим или иным причинам.

383

Такой порядок выбора позволяет сегодня достаточно обоснованно определять требуемый состав мер и средств защиты информации в ИТКС, однако он основан лишь на знаниях экспертов и не предоставляет возможность количественного обоснования состава выбираемых мер и средств. Это не способствует и развитию экспертных систем, созданию программных продуктов, обеспечивающих автоматизацию выбора мер и средств защиты.

Альтернативные процедуры, основанные, например, на использовании при выборе критерия «эффективностьстоимость» (рис. 4.10), несмотря на несомненную перспективность, из-за методологических сложностей недостаточно развит и пока не применяется на практике.

Технические меры защиты информации реализуются посредством применения средств защиты информации, соответствующих определенным требованиям (рис. 4.11). Подробнее о требованиях к средствам защиты изложено в последующих разделах.

При этом в информационных системах 1 и 2 класса защищенности применяются:

средства вычислительной техники не ниже 5 класса;

системы обнаружения вторжений и средства антивирусной защиты не ниже 4 класса;

межсетевые экраны не ниже 3 класса в случае взаимодействия информационной системы с инфор- мационно-телекоммуникационными сетями международного информационного обмена и не ниже 4 класса в случае отсутствия взаимодействия информационной системы с информационнотелекоммуникационными сетями международного информационного обмена.

385

Выбор мер и средств защиты, целесообразных по критерию «эффективность – стоимость»

Рис. 4.10. Порядок выбора целесообразных мер и средств защиты по критерию «эффективность-стоимость»

Рис. 4.11. Класс защищенности средств вычислительной техники и средств защиты, которые должны применяться в государственной ИТКС в зависимости от ее класса защищенности

386

В информационных системах 3 класса защищенности применяются:

средства вычислительной техники не ниже 5 класса;

системы обнаружения вторжений и средства антивирусной защиты не ниже 4 класса в случае взаимодействия информационной системы с информационнотелекоммуникационными сетями международного информационного обмена и не ниже 5 класса в случае отсутствия взаимодействия информационной системы с информацион- но-телекоммуникационными сетями международного информационного обмена;

межсетевые экраны не ниже 3 класса в случае взаимодействия информационной системы с ин- формационно-телекоммуникационными сетями международного информационного обмена и не ниже 4 класса в случае отсутствия взаимодей-

ствия информационной системы с информацион- но-телекоммуникационными сетями международного информационного обмена.

В информационных системах 4 класса защищенности применяются:

средства вычислительной техники не ниже 5 класса;

системы обнаружения вторжений и средства антивирусной защиты не ниже 5 класса;

межсетевые экраны не ниже 4 класса.

В информационных системах 1 и 2 классов защищенности применяются средства защиты информации, программное обеспечение которых прошло проверку не ниже чем по 4 уровню контроля отсутствия недекларированных возможностей.

387

Разрабатываемые организационнораспорядительные документы по защите информации должны определять правила и процедуры:

управления (администрирования) системой защиты информации информационной системы;

выявления инцидентов (одного события или группы событий), которые могут привести к сбоям или нарушению функционирования информационной системы и (или) к возникновению угроз безопасности информации (далее – инциденты),

иреагирования на них;

управления конфигурацией аттестованной информационной системы и СЗИ в ее составе;

контроля (мониторинга) за обеспечением уровня защищенности информации, содержащейся в информационной системе;

защиты информации при выводе из эксплуатации информационной системы или после принятия решения об окончании обработки информации.

4.4.Особенности задания требований

кинформационным системам персональных данных

Деятельность по защите информации в ИТКС, представляющих собой информационные системы персональных данных (ИСПДн), регламентируется сегодня двумя документами [18, 23].

Применение требования приказа № 21 [18] невозможно без привязки к требованиям Постановления Правительства № 1119 [23], в которых, во-первых, ИСПДн разделяются на 5 групп:

первая группа включает в себя ИСПДн, обрабатывающие специальные категории персональных

388

данных, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни субъектов персональных данных;

вторая группа – информационные системы, обрабатывающей биометрические персональные данные, если при этом обрабатываются сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность и которые используются оператором для установления личности субъекта персональных данных, и не обрабатываются сведения, относящиеся к специальным категориям персональных данных;

третья группа – информационные системы, обрабатывающие общедоступные персональные данные, если при этом обрабатываются персональ-

ные данные субъектов персональных данных, полученные только из общедоступных источников персональных данных (см. статью 8 Федерального закона № 149-ФЗ «О персональных данных»).

четвертая группа – информационные системы, обрабатывающие иные категории персональных данных, если в них не обрабатываются персональные данные, указанные для систем предыдущих групп;

пятая группа – информационные системы, обрабатывающие персональные данные сотрудников оператора, если при этом обрабатываются персональные данные только указанных сотрудников. В остальных случаях ИСПДн являются инфор-

389

мационными системами, обрабатывающими персональные данные субъектов персональных данных, не являющихся сотрудниками оператора.

Во-вторых, указано, что требования к защите персональных данных определяются в зависимости от типов парируемых актуальных угроз безопасности персональных данных. При этом рассматриваются три типа угроз:

угрозы 1-го типа актуальны для ИСПДн, если для нее в том числе актуальны угрозы, связанные с наличием недокументированных (недекларированных) возможностей в системном программном обеспечении, используемом в информационной системе;

угрозы 2-го типа актуальны для ИСПДн, если для нее в том числе актуальны угрозы, связанные с наличием недокументированных (недекларированных) возможностей в прикладном программном обеспечении, используемом в информационной системе;

угрозы 3-го типа актуальны для ИСПДн, если для нее актуальны угрозы, не связанные с наличием недокументированных (недекларированных) возможностей в системном и прикладном про-

граммном обеспечении, используемом в информационной системе.

В-третьих, при обработке персональных данных в информационных системах устанавливаются 4 уровня защищенности персональных данных.

Первый уровень защищенности персональных дан-

ных устанавливается при наличии хотя бы одного из следующих условий:

а) для ИСПДн актуальны угрозы 1-го типа и информационная система обрабатывает либо специальные

390