Требования к ГИС
Приказ ФСТЭК № 17 вступил в силу 11.02.2013 и предъявляет требования по аттестации (оценке соответствия) государственных информационных систем (ГИС), в частности от утечки по техническим каналам, несанкционированного доступа, специальных воздействий на такую информацию (носители информации) в целях ее добывания, уничтожения, искажения или блокирования доступа к ней. Также приказ устанавливает порядок классификации ГИС и предъявляет требование использовать только сертифицированные средства защиты информации при защите ГИС.
Как аттестовать ГИС?
На первый взгляд все просто: нужно открыть сам приказ, определить по приказу класс защищенности ГИС и реализовать меры, установленные для того или иного класса защищенности ГИС.
На самом деле все гораздо сложнее: нужно еще расшифровать трактовки требований к мерам защиты и понять саму методологию (порядок) защиты ГИС, чтобы сделать все правильно.
Далее мы раскроем секреты проведения работ «от и до».
Работы по защите и аттестации ГИС проводятся в следующем порядке:
- Обследование и формирование требований;
- Проектирование системы защиты информации;
- Внедрение системы защиты информации;
- Аттестация ГИС.
На каждом этапе должны быть оформлены определенные отчетные документы, которые разрабатываются с учетом ГОСТ 34.602, ГОСТ Р 51583 и ГОСТ Р 51624.
Первый этап
На первом этапе проводятся следующие работы:
Второй этап
На втором этапе проводятся следующие работы:
Третий этап
Третий этап включает следующие работы:
Четвертый этап
На четвертом этапе проводятся работы по аттестации ГИС, включающие:
Результаты анализа уязвимостей и испытаний на возможность несанкционированного доступа могут быть оформлены как отдельными протоколами, так и объединены в один.
Работы по аттестации могут проводить только лицензиаты ФСТЭК «на техническую защиту конфиденциальной информации» с пунктами в лицензии «а», «г».
8(800)-550-44-71
Как классифицировать ГИС?
Класс защищенности информационной системы (первый класс (К1), второй класс (К2), третий класс (К3)) определяется в зависимости от уровня значимости информации (УЗ), обрабатываемой в этой информационной системе, и масштаба информационной системы (федеральный, региональный, объектовый).
Определение класса защищенности ГИС осуществляется в соответствии с приложением 1 к 17 приказу ФСТЭК и проводится в следующем порядке:
- Сначала нужно определить уровень значимости обрабатываемой в ГИС информации. Уровень значимости определяется оператором самостоятельно на основе того, какой ущерб может быть причинён обладателю информации: низкий, средний, высокий.
- Затем нужно определить масштаб ГИС: федеральный, региональный или объектовый. При федеральном и региональном масштабе ГИС должна иметь сегменты в одном или нескольких муниципальных образованиях и (или) подведомственных и иных организациях.
- Класс защищенности определяется следующим образом:
Уровень значимости информации |
Масштаб информационной системы | |||
Федеральный | Региональный | Объектовый | ||
УЗ 1 | К1 | К1 | К1 | |
УЗ 2 | К1 | К2 | К2 | |
УЗ 3 | К2 | К3 | К3 |
Класс защищенности в обязательном порядке должен быть зафиксирован в акте классификации ГИС, который утверждается оператором ГИС.
На первый взгляд кажется, что приказ является самодостаточным, включает в себя и порядок классификации и подробнейшее описание порядка реализации самих мер защиты. Бери и применяй. Но это только на первый взгляд.
Как подготовить ГИС к аттестации?
Собрать волю в кулак и сделать следующее:
Первый этап
- Провести обследование ГИС с фиксацией полученных данных в акте (отчете) об обследовании. Это необходимо, чтобы разрабатывать последующие отчетные документы, опираясь на официальный документ.
- Разработать и утвердить приказ (решение) о необходимости защиты информации в ГИС (об организации работ по защите информации в ГИС).
- Провести классификацию ГИС и утвердить акт классификации, в котором устанавливается определенный класс защищенности ГИС.
- Определить актуальные угрозы безопасности информации, содержащейся в ГИС, путем разработки и утверждения частной модели угроз безопасности и нарушителя.
- Определить требования по защите информации, разработав и утвердив техническое задание на систему защиты информации по ГОСТ 34.602
Второй этап
- Провести проектирование системы защиты информации (СЗИ) путем разработки и утверждения частного технического проекта на СЗИ в составе ГИС.
- Разработать эксплуатационную документацию на СЗИ, описывающую порядок использования средств защиты информации для каждой роли в ГИС (пользователь, администратор и др.).
- Осуществить макетирование и тестирование системы защиты информации путем разворачивания тестового стенда, использования полного набора средств защиты и моделирования реальных условий эксплуатации ГИС.
Третий этап
- Закупить, установить и настроить сертифицированные средства защиты информации.
- Разработать пакет организационно-распорядительной документации (ОРД) в части защиты информации и режимных мер.
- Внедрить организационные меры защиты информации (реализовать), установленные ОРД.
- Провести анализ уязвимостей государственной информационной системы с оформлением подтверждающих документов (программа и методики испытаний, протокол испытаний, заключение).
- Провести предварительные испытания, опытную эксплуатацию и приемочные испытания системы защиты информации в составе ГИС.
Особенности 17 приказа ФСТЭК
Особенности по сравнению с 21 приказом ФСТЭК следующие:
- Для защиты ГИС можно использовать только сертифицированные средства защиты.
- По результатам защиты ГИС в обязательном порядке необходимо проводить ее аттестацию.
- Методология (порядок) работ подробно расписана: от обследования и до аттестации ГИС.
- К 17 приказу ФСТЭК имеется методический документ «Меры защиты…», детализирующий те или иные меры защиты и досконально их поясняющий.
- В обязательном порядке проводится анализ уязвимостей ГИС с использованием банка уязвимостей bdu.fstec.ru как при внедрении системы защиты, так и при аттестации ГИС.
- В ГИС должно использоваться только сертифицированное программное обеспечение.
- Запрещено проводить аттестацию лицам, которые проектировали и внедряли систему защиты.
Как выбрать технические средства защиты ГИС?
В первую очередь необходимо знать класс защищенности ГИС, чтобы, опираясь на него, определить требуемые классы средств защиты информации для использования в ГИС.
Порядок выбора средств защиты информации по 17 приказу:
Изменения 17 приказа ФСТЭК
Вот основные моменты, которые были изменены в 17 приказе:
- В государственных информационных системах (ГИС) теперь всего 3 класса защищённости, четвертый класс исключен.
- Изменилось соотношение классов защищенности с классами защиты СЗИ (средств защиты информации). Теперь 6-й класс защиты СЗИ применяется в ГИС 3-го класса, 5-й – в ГИС 2-го класса, 4-й – в ГИС 1-го класса. СЗИ 1-3 класса по-прежнему применяются для защиты государственной тайны.
- Средства вычислительной техники (программное обеспечение) должны быть сертифицированы. (Это сверхжесткое требование, которое все будут обходить или трактовать в свою пользу).
- Меры защиты информации УПД.3 (Управление информационными потоками между устройствами, сегментами информационной системы, а также между информационными системами) и ЗСВ.10 (Разбиение виртуальной инфраструктуры на сегменты для обработки информации отдельным пользователем и (или) группой пользователей) теперь требуются для всех классов ГИС. Ранее – только для 1 и 2 классов.
Особое внимание:
- Запрещено проведение аттестационных испытаний должностным лицом, которое проектировало или внедряло систему защиты информации.
- ФСТЭК России теперь вводит обязательное использование своего банка данных угроз (bdu.fstec.ru), и при проведении анализа уязвимостей в ходе аттестационных испытаний должно быть подтверждено, что в информационной системе отсутствуют уязвимости, содержащиеся в банке данных угроз безопасности информации ФСТЭК России.
Стоимость аттестации ГИС
Стоимость аттестации ГИС в первую очередь зависит от ее масштаба, т.е. от количественных характеристик системы. Например, ГИС, состоящая из 10 серверов, и ГИС, состоящая из 100 серверов, – это ГИС совершенно разного масштаба.
Важнейшими критериями оценки стоимости аттестации ГИС являются:
- Географическая распределенность, т.е. наличие сегментов ГИС в субъектах России.
- Аттестовалась ли ГИС ранее.
- Обрабатываются ли в ГИС персональные данные, а также каких категорий и в каком объеме.
- Требуется только аттестация или еще и подготовка ГИС к аттестации.
Если общими словами, то стоимость аттестации ГИС на базе одного сервера составляет от 300 т.р., а, например, ГИС на базе 10 серверов – около 1,5 млн., так как трудоемкость работ большая (см. выше), а срезание углов – риск для лицензиата ФСТЭК России, проводящего работы.
Как выглядит аттестат ГИС?
Вот так: