КАК АТТЕСТОВАТЬ ИНФОРМАЦИОННУЮ СИСТЕМУ (ГИС И ИСПДН) НА СООТВЕТСТВИЕ ТРЕБОВАНИЯМ РЕГУЛЯТОРОВ?

1 часть - https://spb.systematic.ru/services/sec-infosec/attestatsiya-ib

 

Этап 2: формирование требований к защите информации, содержащейся в информационной системе

 

В предыдущей статье мы рассмотрели особенности первого этапа аттестации ГИС и ИСПДН (аудита информационной системы и состояния процессов обработки и защиты информации в компании). На втором этапе необходимо сформировать требования к защите информации, содержащейся в ГИС или ИСПДН.

Этот этап является одним из самых важных в процессе аттестации ГИС – именно тогда определяется состав будущих работ, необходимый бюджет на их проведение и основные характеристики результата. Проводится он либо самим владельцем информационной системы, либо оператором персональных данных или лицом, осуществляющим обработку этих данных по поручению оператора. Все работы осуществляются с учетом существующих нормативных документов – ГОСТ Р 51583 «Защита информации. Порядок создания автоматизированных систем в защищенном исполнении. Общие положения» и ГОСТ Р 51624 «Защита информации. Автоматизированные системы в защищенном исполнении. Общие требования».

В рамках этапа должны быть выполнены следующие работы:

1.     Принято решение о необходимости защиты информации, которая содержится в ИС

2.     ИС должна быть квалифицирована по требованиям защиты информации

3.     Определены угрозы безопасности информации

4.     Определены требования к системе защиты информации ИС

На основании проведенных работ формируется несколько документов:

1.     Локальный нормативный акт о необходимости создания системы защиты информации

2.     Акт о классификации информационной системы по требованиям безопасности информации

3.     Частная модель угроз безопасности информации для данной информационной системы

4.      Техническое задание на создание системы защиты информации

Рассмотрим подробнее работы, проводимые в рамках этого этапа аттестации.

Принятие решения о необходимости защиты информации в ИС

Для принятия решения о необходимости защиты информации и формирования соответствующего локального нормативного акта, сначала должны быть проанализированы цели создания информационной системы и задачи, которые ей решаются. Для этого определяются основные характеристики ИС, например, принадлежность ИС (ГИС, МИС, ИСПДН или другое), ее масштаб (федеральная, региональная, объектовая), структура (локальная ИС или распределенная), режим обработки информации (одно- или многопользовательский), перечень выполняемых технологических операций (чтение, поиск, запись, удаление, сортировка, модификация, передача, голосовой ввод) и т.д.

Затем анализируется информация, которая подлежит обработке в информационной системе. Согласно ФЗ-149 «Об информации, информационных технологиях и о защите информации», информация в ИС может быть двух видов: общедоступная, доступ к которой не может быть ограничен, и информация ограниченного доступа. В информационных системах, которые мы рассматриваем в рамках нашей статьи – ГИС, МИС, ИСПДН – обрабатывается информация ограниченного доступа. Обычно к такой информации относят все конфиденциальную информацию: персональные данные, коммерческую, служебную, профессиональную тайну (например, врачебную, нотариальную, тайну усыновления и другое), тайну следствия и судопроизводства

Также должны быть изучены нормативные правовые акты, методические документы и национальные стандарты, которым должна соответствовать информационная система, обрабатывающая данные соответствующего типа, и определены цели и задачи защиты информации в ИС. Это может быть защита государственного информационного ресурса, не отнесенного к государственной тайне, обеспечение безопасности персональных данных в иных информационных системах, обеспечение безопасности критической информационной инфраструктуры и т.д. и т.п.

Классификация ГИС по требованиям защиты информации

Классификация информационной системы проводится в зависимости от уровня значимости обрабатываемой в ней информации и масштаба информационной системы. Информационная система может быть отнесена к одной из 3 разновидностей по масштабу, в зависимости от того, на какой территории она функционирует (федеральная, региональная или объектовая). Уровень значимости информации, обрабатываемой в информационной системе, определяется степенью возможного ущерба от нарушения конфиденциальности, целостности или доступности информации.

Будем считать ущерб высоким, если в результате нарушения вышеназванных свойств (конфиденциальности, целостности или доступности) оператор ИС не может выполнять возложенные на него функции. Ущерб будет средним, если вследствие нарушения оператор ИС не может выполнять хотя бы одну возложенную на него функцию. Низким ущерб признают в случае, если оператор ИС может выполнять возложенные на него функции, но с более низкой эффективностью.

Соответственно можем говорить о 3 уровнях значимости информации:

УЗ 1 - если хотя бы для одного из свойств безопасности информации (конфиденциальности, целостности, доступности) определена высокая степень ущерба.

УЗ 2 - если хотя бы для одного из свойств безопасности информации (конфиденциальности, целостности, доступности) определена средняя степень ущерба и нет ни одного свойства, для которого определена высокая степень ущерба.

УЗ 3 - если для всех свойств безопасности информации (конфиденциальности, целостности, доступности) определены низкие степени ущерба.

Устанавливаются три класса защищенности информационной системы, определяющие уровни защищенности содержащейся в ней информации: К1, К2, К3. Самый низкий класс - третий, самый высокий - первый. Класс защищенности определяется как для информационной системы в целом, так и, при необходимости, для ее составных частей.

Уровень значимости информации

Масштаб информационной системы

Федеральная

Региональная

Объектовая

УЗ 1

К1

К1

К1

УЗ 2

К1

К2

К2

УЗ 3

К2

К3

К3

 

Следует отметить, что в случае функционирования информационной системы на базе информационно-телекоммуникационной инфраструктуры центра обработки данных ее класс защищенности не может быть выше класса защищенности информационно-телекоммуникационной инфраструктуры центра обработки данных.

Для ГИС, использующих персональные данные, определение уровня защищенности данных осуществляется на основании постановления Правительства № 1119 от 01.11.2012 г. «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных». Уровни защищенности персональных данных определяются их категорией, объемом обрабатываемых ПДн, категорией субъектов ПДн, а также типом актуальных угроз безопасности информации.

Нормативная документация устанавливает четыре уровня защищенности персональных данных при их обработке в ИСПДн. В зависимости от того, данные какого уровня защищенности используются ИСПДн, информационная система может быть классифицирована по следующим классам защищенности:

Уровни защищенности персональных данных

Класс защищенности ГИС

1, 2, 3, 4 уровни

К1

2, 3, 4 уровни

К2

3, 4 уровни

К3

 

Результат работ по классификации ИС отражается в Акте о классификации информационной системы по требованиям безопасности информации.

Определение угроз безопасности информации в ИС

Оценка угроз безопасности информации в информационной системе осуществляется по результатам анализа технических характеристик системы и возможных действий потенциальных нарушителей безопасности в соответствии с Методическим документом «Методика оценки угроз безопасности информации», утвержденным ФСТЭК России 5 февраля 2021 г. Исходными данными для оценки угроз безопасности информации являются:

•          общий перечень угроз безопасности информации, содержащийся в Организации данных угроз безопасности информации ФСТЭК России (bdu.fstec.ru)

•          описания векторов (шаблоны) компьютерных атак, содержащиеся в базах данных и иных источниках, опубликованных в сети «Интернет» (CAPEC, ATT&CK, OWASP, STIX, WASC и др.)

•          документация на ИС (а именно: техническое задание на создание ИС, частное техническое задание на создание СЗПДн, программная (конструкторская) и эксплуатационная (руководства, инструкции) документация, содержащая сведения о назначении и функциях, составе и архитектуре ИС, о группах пользователей и уровне их полномочий и типах доступа, о внешних и внутренних интерфейсах, а также иные документы на ИС, разработка которых предусмотрена требованиями по защите информации (обеспечению безопасности) или национальными стандартами)

•          нормативные правовые акты Российской Федерации, в соответствии с которыми создаются и функционируют ИС, содержащие в том числе описание назначения, задач (функций) ИС, состав обрабатываемой информации и ее правовой режим

•          технологические, производственные карты или иные документы, содержащие описание управленческих, организационных, производственных и иных основных процессов (бизнес-процессов) в рамках выполнения функций (полномочий) или осуществления видов деятельности владельца ИС

•          результаты оценки рисков (ущерба)

Этот список может уточняться или дополняться в зависимости от области деятельности, в которой функционируют ИС.

Основными задачами работ по определению угроз безопасности информации являются:

1.     определение негативных последствий, которые могут наступить от реализации (возникновения) угроз безопасности информации

2.     инвентаризация ИС и определение возможных объектов воздействия угроз безопасности информации

3.     определение источников угроз безопасности информации и оценка возможностей нарушителей по реализации угроз безопасности информации

4.     оценка способов реализации (возникновения) угроз безопасности информации

5.     оценка возможности реализации (возникновения) угроз безопасности информации и определение актуальности угроз безопасности информации

6.     оценка сценариев реализации угроз безопасности информации в системах и сетях

В случае, если ИС размещена на базе инфраструктуры ЦОД или облачной инфраструктуры, принадлежащей стороннему поставщику услуг, оценка угроз безопасности проводится организациями совместно, а при работе анализируются также договоры/соглашения или иные документы, содержащие условия использования сторонней инфраструктуры.

На основе проведенного анализа формируется перечень актуальных для данной ИС угроз безопасности и соответствующий документ «Частная модель угроз безопасности информации».

Определение требований к системе защиты информации

После того, как определен класс защищенности информационной системы и составлен перечень угроз безопасности информации для данной ИС, разрабатываются требования к системе защиты информации (ГОСТ 34.602, ГОСТ Р 51583 и ГОСТ Р 51624).

Определение требований к системе защиты информации состоит из нескольких этапов:

1.     Определяется необходимый базовый набор мер защиты информации, исходя из класс защищенности ГИС

2.     Базовый набор мер защиты информации адаптируется под конкретную ИС с учетом ее структурно-функциональных характеристик и использованных информационных технологий

3.     На основе актуальных угроз безопасности информации для данной ИС, прописанных в модели угроз, базовый набор мер защиты уточняется

4.     Базовый набор мер дополняется с учетом требований других нормативно-правовых актов по защите информации

Требования по защите информации впоследствии включаются в техническое задание на создание информационной системы и (или) техническое задание (частное техническое задание) на создание системы защиты информации информационной системы и содержат в себе следующую информацию:

•          цель и задачи обеспечения защиты информации в информационной системе;

•          класс защищенности информационной системы / уровень защищенности ПДн при их обработке в ИСПДн;

•          перечень нормативных правовых актов, методических документов и национальных стандартов, которым должна соответствовать информационная система;

•          перечень объектов защиты информационной системы;

•          требования к мерам и средствам защиты информации, применяемым в информационной системе;

•          стадии (этапы работ) создания системы защиты информационной системы;

•          требования к поставляемым техническим средствам, программному обеспечению, средствам защиты информации;

•          функции заказчика и оператора по обеспечению защиты информации в информационной системе;

•          требования к защите средств и систем, обеспечивающих функционирование информационной системы (обеспечивающей инфраструктуре);

•          требования к защите информации при информационном взаимодействии с иными информационными системами и информационно-телекоммуникационными сетями, в том числе с информационными системами уполномоченного лица, а также при применении вычислительных ресурсов (мощностей), предоставляемых уполномоченным лицом для обработки информации.

Если ИС функционирует на базе инфраструктуры ЦОД, дополнительно определяются требования по защите информации, подлежащие реализации в информационно-телекоммуникационной инфраструктуре центра обработки данных.