Требования к ГИС

Приказ ФСТЭК № 17 вступил в силу 11.02.2013 и предъявляет требования по аттестации (оценке соответствия) государственных информационных систем (ГИС), в частности от утечки по техническим каналам, несанкционированного доступа, специальных воздействий на такую информацию (носители информации) в целях ее добывания, уничтожения, искажения или блокирования доступа к ней. Также приказ устанавливает порядок классификации ГИС и предъявляет требование использовать только сертифицированные средства защиты информации при защите ГИС.

Как аттестовать ГИС?

На первый взгляд все просто: нужно открыть сам приказ, определить по приказу класс защищенности ГИС и реализовать меры, установленные для того или иного класса защищенности ГИС.

На самом деле все гораздо сложнее: нужно еще расшифровать трактовки требований к мерам защиты и понять саму методологию (порядок) защиты ГИС, чтобы сделать все правильно.

Далее мы раскроем секреты проведения работ «от и до».

Работы по защите и аттестации ГИС проводятся в следующем порядке:

  1. Обследование и формирование требований;
  2. Проектирование системы защиты информации;
  3. Внедрение системы защиты информации;
  4. Аттестация ГИС.

На каждом этапе должны быть оформлены определенные отчетные документы, которые разрабатываются с учетом ГОСТ 34.602, ГОСТ Р 51583 и ГОСТ Р 51624.

Первый этап
На первом этапе проводятся следующие работы:

Второй этап

На втором этапе проводятся следующие работы:

Третий этап

Третий этап включает следующие работы:

Четвертый этап

На четвертом этапе проводятся работы по аттестации ГИС, включающие:

Результаты анализа уязвимостей и испытаний на возможность несанкционированного доступа могут быть оформлены как отдельными протоколами, так и объединены в один.
Работы по аттестации могут проводить только лицензиаты ФСТЭК «на техническую защиту конфиденциальной информации» с пунктами в лицензии «а», «г».

Точную стоимость аттестации вашей ГИС вы можете свободно узнать по телефону:
8(800)-550-44-71
ЗАКАЗАТЬ ЗВОНОК

Как классифицировать ГИС?

Класс защищенности информационной системы (первый класс (К1), второй класс (К2), третий класс (К3)) определяется в зависимости от уровня значимости информации (УЗ), обрабатываемой в этой информационной системе, и масштаба информационной системы (федеральный, региональный, объектовый).

Определение класса защищенности ГИС осуществляется в соответствии с приложением 1 к 17 приказу ФСТЭК и проводится в следующем порядке:

  1. Сначала нужно определить уровень значимости обрабатываемой в ГИС информации. Уровень значимости определяется оператором самостоятельно на основе того, какой ущерб может быть причинён обладателю информации: низкий, средний, высокий.
  2. Затем нужно определить масштаб ГИС: федеральный, региональный или объектовый. При федеральном и региональном масштабе ГИС должна иметь сегменты в одном или нескольких муниципальных образованиях и (или) подведомственных и иных организациях.
  3. Класс защищенности определяется следующим образом:
Уровень значимости
информации
Масштаб информационной системы
Федеральный Региональный Объектовый
УЗ 1 К1 К1 К1
УЗ 2 К1 К2 К2
УЗ 3 К2 К3 К3

Класс защищенности в обязательном порядке должен быть зафиксирован в акте классификации ГИС, который утверждается оператором ГИС.

На первый взгляд кажется, что приказ является самодостаточным, включает в себя и порядок классификации и подробнейшее описание порядка реализации самих мер защиты. Бери и применяй. Но это только на первый взгляд.

Как подготовить ГИС к аттестации?

Собрать волю в кулак и сделать следующее:

Первый этап

  1. Провести обследование ГИС с фиксацией полученных данных в акте (отчете) об обследовании. Это необходимо, чтобы разрабатывать последующие отчетные документы, опираясь на официальный документ.
  2. Разработать и утвердить приказ (решение) о необходимости защиты информации в ГИС (об организации работ по защите информации в ГИС).
  3. Провести классификацию ГИС и утвердить акт классификации, в котором устанавливается определенный класс защищенности ГИС.
  4. Определить актуальные угрозы безопасности информации, содержащейся в ГИС, путем разработки и утверждения частной модели угроз безопасности и нарушителя.
  5. Определить требования по защите информации, разработав и утвердив техническое задание на систему защиты информации по ГОСТ 34.602

Второй этап

  1. Провести проектирование системы защиты информации (СЗИ) путем разработки и утверждения частного технического проекта на СЗИ в составе ГИС.
  2. Разработать эксплуатационную документацию на СЗИ, описывающую порядок использования средств защиты информации для каждой роли в ГИС (пользователь, администратор и др.).
  3. Осуществить макетирование и тестирование системы защиты информации путем разворачивания тестового стенда, использования полного набора средств защиты и моделирования реальных условий эксплуатации ГИС.

Третий этап

  1. Закупить, установить и настроить сертифицированные средства защиты информации.
  2. Разработать пакет организационно-распорядительной документации (ОРД) в части защиты информации и режимных мер.
  3. Внедрить организационные меры защиты информации (реализовать), установленные ОРД.
  4. Провести анализ уязвимостей государственной информационной системы с оформлением подтверждающих документов (программа и методики испытаний, протокол испытаний, заключение).
  5. Провести предварительные испытания, опытную эксплуатацию и приемочные испытания системы защиты информации в составе ГИС.

Особенности 17 приказа ФСТЭК

Особенности по сравнению с 21 приказом ФСТЭК следующие:

  1. Для защиты ГИС можно использовать только сертифицированные средства защиты.
  2. По результатам защиты ГИС в обязательном порядке необходимо проводить ее аттестацию.
  3. Методология (порядок) работ подробно расписана: от обследования и до аттестации ГИС.
  4. К 17 приказу ФСТЭК имеется методический документ «Меры защиты…», детализирующий те или иные меры защиты и досконально их поясняющий.
  5. В обязательном порядке проводится анализ уязвимостей ГИС с использованием банка уязвимостей bdu.fstec.ru как при внедрении системы защиты, так и при аттестации ГИС.
  6. В ГИС должно использоваться только сертифицированное программное обеспечение.
  7. Запрещено проводить аттестацию лицам, которые проектировали и внедряли систему защиты.

Как выбрать технические средства защиты ГИС?

В первую очередь необходимо знать класс защищенности ГИС, чтобы, опираясь на него, определить требуемые классы средств защиты информации для использования в ГИС.
Порядок выбора средств защиты информации по 17 приказу: 

Изменения 17 приказа ФСТЭК

Вот основные моменты, которые были изменены в 17 приказе:

  • В государственных информационных системах (ГИС) теперь всего 3 класса защищённости, четвертый класс исключен.
  • Изменилось соотношение классов защищенности с классами защиты СЗИ (средств защиты информации). Теперь 6-й класс защиты СЗИ применяется в ГИС 3-го класса, 5-й – в ГИС 2-го класса, 4-й – в ГИС 1-го класса. СЗИ 1-3 класса по-прежнему применяются для защиты государственной тайны.
  • Средства вычислительной техники (программное обеспечение) должны быть сертифицированы. (Это сверхжесткое требование, которое все будут обходить или трактовать в свою пользу).
  • Меры защиты информации УПД.3 (Управление информационными потоками между устройствами, сегментами информационной системы, а также между информационными системами) и ЗСВ.10 (Разбиение виртуальной инфраструктуры на сегменты для обработки информации отдельным пользователем и (или) группой пользователей) теперь требуются для всех классов ГИС. Ранее – только для 1 и 2 классов.

Особое внимание:

  • Запрещено проведение аттестационных испытаний должностным лицом, которое проектировало или внедряло систему защиты информации.
  • ФСТЭК России теперь вводит обязательное использование своего банка данных угроз (bdu.fstec.ru), и при проведении анализа уязвимостей в ходе аттестационных испытаний должно быть подтверждено, что в информационной системе отсутствуют уязвимости, содержащиеся в банке данных угроз безопасности информации ФСТЭК России.

Стоимость аттестации ГИС

Стоимость аттестации ГИС в первую очередь зависит от ее масштаба, т.е. от количественных характеристик системы. Например, ГИС, состоящая из 10 серверов, и ГИС, состоящая из 100 серверов, – это ГИС совершенно разного масштаба.
Важнейшими критериями оценки стоимости аттестации ГИС являются:

  1. Географическая распределенность, т.е. наличие сегментов ГИС в субъектах России.
  2. Аттестовалась ли ГИС ранее.
  3. Обрабатываются ли в ГИС персональные данные, а также каких категорий и в каком объеме.
  4. Требуется только аттестация или еще и подготовка ГИС к аттестации.

Если общими словами, то стоимость аттестации ГИС на базе одного сервера составляет от 300 т.р., а, например, ГИС на базе 10 серверов – около 1,5 млн., так как трудоемкость работ большая (см. выше), а срезание углов – риск для лицензиата ФСТЭК России, проводящего работы.

Скачать коммерческое предложение на аттестацию ГИС
СКАЧАТЬ PDF

Как выглядит аттестат ГИС?

Вот так:

Аттестация ГИС