Где установлены требования по защите ИС госорганов, исключая 17-й приказ?

© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 1


Как защищать информационные системы госорганов? Алексей Лукацкий Бизнес-консультант по безопасности 1 February 2015


Не 17-й приказ является главенствующим, а ФЗ-149

ФЗ-149

Постановления Правительства РФ

НПА Минкомсвязи

НПА Минэкономразвития

НПА ФСО

НПА ФСТЭК

НПА ФСБ

НПА …

•  Требование защиты определяется ФЗ-149, во исполнение которого разрабатываются подзаконные акты – Постановления Правительства, приказы Минкомсвязи, Минэкономразвития, ФСТЭК, ФСО, ФСБ и т.п.

•  Отдельные требования к информационным системам госорганов и обрабатываемой в них информации устанавливаются иными законами, а также указами Президента


Требования для госорганов помимо 17-го приказа

•  Указ Президента РФ от 17 марта 2008 № 351 «О мерах по обеспечению информационной безопасности российской федерации при использовании информационно-телекоммуникационных сетей международного информационного обмена»

•  Постановление Правительства РФ от 18 мая 2009 года № 424 «Об особенностях подключения федеральных государственных систем к информационно-телекоммуникационным сетям»

•  Приказ Минкомсвязи от 9 декабря 2013 № 390 «Об утверждении требований к информационным системам организаций, подключаемых к инфраструктуре, обеспечивающей информационно-технологическое взаимодействие информационных систем, используемых для предоставления государственных и муниципальных услуг в электронной форме»

•  Приказ Минкомсвязи от 27 июня 2013 № 149 «Об утверждении Требований к технологическим, программным и лингвистическим средствам, необходимым для размещения информации государственными органами и органами местного самоуправления в сети «Интернет» в форме открытых данных, а также для обеспечения ее использования»

•  Совместный приказ ФСБ и ФСТЭК от 31 августа 2010 № 416/489 «Об утверждении Требований о защите информации, содержащейся в информационных системах общего пользования»

•  Приказ Минкомсвязи от 25 августа 2009 № 104 «Об утверждении Требований по обеспечению целостности, устойчивости функционирования и безопасности информационных систем общего пользования»

•  Приказ Минэкономразвития от 16 ноября 2009 № 470 «О Требованиях к технологическим, программным и лингвистическим средствам обеспечения пользования официальными сайтами федеральных органов исполнительной власти»

•  Приказ ФСО от 07 августа 2009 № 487 «Об утверждении Положения о сегменте информационно-телекоммуникационной сети «Интернет» для федеральных органов государственной власти и органов государственной власти субъектов Российской Федерации»


ИС, подключаемые к инфраструктуре госуслуг

•  Информационные системы организаций, подключаемых к инфраструктуре, обеспечивающей информационно-технологическое взаимодействие информационных систем, используемых для предоставления государственных и муниципальных услуг в электронной форме Приказ Минкомсвязи от 9 декабря 2013 г. №390

•  Определены требования по сертификации СКЗИ и МСЭ в ФСБ и ФСТЭК

•  Дополнительные требования по защите определяются в зависимости от класса защищенности ИС и модели угроз Класс защищенности ИС = класс защищенности ГИС по 17-му приказу?


ИС организаций, подключаемых к инфраструктуре…

•  Требования к информационным системам организаций, подключаемых к инфраструктуре, обеспечивающей информационно-технологическое взаимодействие информационных систем, используемых для предоставления государственных и муниципальных услуг в электронной форме Приказ Минкомсвязи от 03.05.2014 №120 «Об утверждении Требований, обеспечивающих технологическую совместимость информационных систем организаций, подключаемых к инфраструктуре, обеспечивающей информационно-технологическое взаимодействие информационных систем, используемых для предоставления государственных и муниципальных услуг в электронной форме с указанной инфраструктурой, к каналу связи и используемым для его защиты средствам криптографической защиты информации, а также особенностей использования стандартов и протоколов при обмене данными в электронной форме между информационными системами указанных организаций и инфраструктурой»

•  Определены требования по сертификации СКЗИ и МСЭ в ФСБ и ФСТЭК

•  Дополнительные требования по защите определяются в зависимости от класса защищенности ИС и модели угроз Класс защищенности ИС = класс защищенности ГИС по 17-му приказу?


ИС общего пользования

•  Постановление Правительства от 18 мая 2009 г. №424 «Об особенностях подключения федеральных государственных информационных систем к информационно-телекоммуникационным сетям»

Минкомсвязь ФСБ/ФСТЭК


ИС общего пользования по версии Минкомсвязи

•  Требования распространяются на федеральные государственные информационные системы, созданные или используемые в целях реализации полномочий федеральных органов исполнительной власти и содержащие сведения, указанные в перечне сведений о деятельности Правительства Российской Федерации и федеральных органов исполнительной власти, обязательных для размещения в информационно-телекоммуникационной сети «Интернет», утвержденном постановлением Правительства Российской Федерации от 12 февраля 2003 года №98 «Об обеспечении доступа к информации о деятельности Правительства Российской Федерации и федеральных органов исполнительной власти» Приказ Минкомсвязи от 25 августа 2009 года №104 «Об утверждении Требований по обеспечению целостности, устойчивости функционирования и безопасности информационных систем общего пользования»


ИС общего пользования по версии ФСТЭК и ФСБ

•  Требования распространяются на федеральные государственные информационные системы, созданные или используемые в целях реализации полномочий федеральных органов исполнительной власти и содержащие сведения о деятельности Правительства Российской Федерации и федеральных органов исполнительной власти, обязательные для размещения в информационно-телекоммуникационной сети Интернет, определяемые Правительством Российской Федерации Приказ ФСБ и ФСТЭК от 31 августа 2010 г. N 416/489 «Об утверждении требований о защите информации, содержащейся в информационных системах общего пользования»


ИС общего пользования по версии Минкомсвязи

•  В зависимости от значимости информационные системы общего пользования разделяются на два класса К классу I относятся информационные системы общего пользования: Правительства Российской Федерации, федеральных министерств, федеральных служб и федеральных агентств, руководство деятельностью которых осуществляет Президент Российской Федерации, федеральных служб и федеральных агентств, подведомственных этим федеральным министерствам К классу II относятся информационные системы общего пользования федеральных органов исполнительной власти, за исключением систем класса I

•  Являясь ФГИС, обязаны соблюдаться требования 17-го приказа

•  Определены отдельные требования по сертификации различных средств защиты в ФСБ и ФСТЭК

•  Определен ряд дополнительных требований по безопасности Местами требования “жестче”, чем в 17-м приказе ФСТЭК


ИС общего пользования по версии ФСТЭК и ФСБ

•  Информационные системы общего пользования в зависимости от значимости содержащейся в них информации и требований к ее защите разделяются на два класса. К I классу относятся информационные системы общего пользования Правительства Российской Федерации и иные информационные системы общего пользования в случае, если нарушение целостности и доступности информации, содержащейся в них, может привести к возникновению угроз безопасности Российской Федерации. Отнесение информационных систем общего пользования к I классу проводится по решению руководителя соответствующего ФОИВ Ко II классу относятся информационные системы общего пользования, не указанные в предыдущем подпункте

•  Являясь ФГИС, обязаны соблюдаться требования 17-го приказа

•  Определены отдельные требования по сертификации различных средств защиты в ФСБ и ФСТЭК

•  Определен ряд дополнительных требований по безопасности Местами требования “жестче”, чем в 17-м приказе ФСТЭК


ИС общего пользования: текущие сложности

Минкомсвязи

•  ГИС è приказ №17 •  2 класса ИСОП • Есть дополнительные к 17-му приказу требования, но мало

• Требования по сертификации отдельных средств защиты в ФСБ

ФСТЭК / ФСБ

•  ГИС è приказ №17 •  2 класса ИСОП (отличных от Минкомсвязи)

• Есть дополнительные к 17-му приказу требования

• Требования по сертификации большинства средств защиты в ФСБ


ИС открытых данных

•  Требования к средствам, необходимым для размещения открытых данных Приказ Минкомсвязи России от 27.06.2013 №149 «Об утверждении Требований к технологическим, программным и лингвистическим средствам, необходимым для размещения информации государственными органами и органами местного самоуправления в сети «Интернет» в форме открытых данных, а также для обеспечения ее использования»

•  Распространяются на госорганы и органы местного самоуправления

•  Требования по безопасности открытых данных реализуются в соответствие с приказом Минкомсвязи №104 и приказом ФСБ/ФСТЭК №416/489

+ некоторые дополнительные требования по защите информации


Сайты ФОИВ

•  Требования к средствам, необходимым для обеспечения пользования сайтами ФОИВ Приказ Минэкономразвития России от 16.11.2009 №470 «Об утверждении Требований к технологическим, программным и лингвистическим средствам, обеспечения пользования официальными сайтами федеральных органов исполнительной власти»

•  Требования к средствам защиты реализуются в соответствие с приказом Минкомсвязи №104 и приказом ФСБ/ФСТЭК №416/489

+ некоторые дополнительные требования по защите информации


Поправки в ФЗ-149 о техсредствах ГИС

•  Технические средства информационных систем, используемых государственными органами, органами местного самоуправления, государственными и муниципальными унитарными предприятиями или государственными и муниципальными учреждениями, включая официальные сайты ФОИВ, должны размещаться на территории РФ


ИС, подключающиеся к Интернет

•  Требования к информационным системам, подключаемым к Интернет и иным информационно-телекоммуникационным сетям, позволяющим осуществлять передачу информации через государственную границу Российской Федерации Указ Президента от 17.03.2008 №351 «О мерах по обеспечению информационной безопасности Российской Федерации при использовании информационно-телекоммуникационных сетей международного информационного обмена»

•  Устанавливаются только требования к оценке соответствия СКЗИ и МСЭ


ИС для информирования о деятельности ФОИВ

•  Требования распространяются на информационные системы, предназначенные для информирования общественности о деятельности федеральных органов государственной власти и органов государственной власти субъектов Российской Федерации (ИСИОД) Проект Постановления Правительства

•  ИСИОД, в зависимости от значимости содержащейся в них информации, разделяются на 3 класса: I, II, III

•  Ввод в эксплуатацию ИСИОД осуществляется только после аттестации по требованиям ФСТЭК и ФСБ


ИС, подключающиеся к СМЭВ

•  Требования к взаимодействию информационных систем в единой системе межведомственного электронного взаимодействия (СМЭВ) Приказ Минкомсвязи от 27.12.2010 №190 «Об утверждении Технических требований к взаимодействию информационных систем в единой системе межведомственного электронного взаимодействия»

•  Устанавливаются базовые требования по защите информации и требования к сертификации СКЗИ и МСЭ


ИС электронного документооборота ФОИВ

•  Требования распространяются на системы автоматизации делопроизводства и документооборота в федеральном органе исполнительной власти, обеспечивающей возможность внутреннего электронного документооборота (СЭД ФОИВ) Приказ Минкомсвязи от 02.09.2011 №221 «Об утверждении Требований к информационным системам электронного документооборота федеральных органов исполнительной власти, учитывающих в том числе необходимость обработки посредством данных систем служебной информации ограниченного распространения»

•  Защищенность от несанкционированного доступа в случаях, когда в СЭД ФОИВ предусмотрена обработка служебной информации ограниченного распространения - не ниже класса 1Г

•  Также устанавливаются дополнительные требования по защите и требования по сертификации средств защиты информации


Резюмируя

•  …

Тип информационной системы Особенности Соотнесение с

17-м приказом Сертификация

СрЗИ Аттестация

ИС

ИС госуслуг Требования неочевидны + особые требования по сертификации СрЗИ ê + −

ИС общего пользования Собственные требования + требования 17-го приказа + особые требования по сертификации СрЗИ

é + −

Открытые данные Требования идентичны требования к ИСОП ± + − Сайт ФОИВ Требования самостоятельные + требования к СрЗИ в

соответствие с требованиями к ИСОП ê + − ИС, подключаемая к Интернет

Установлены только требования к СрЗИ ê + +

ИС, подключаемая к СМЭВ

Требования самостоятельны + требования к СрЗИ ê + −

ИС электронного документооборота ФОИВ

Требования самостоятельные + требования не ниже АС 1Г + требования к СрЗИ ê + +

Государственный информационный ресурс

Требования установлены в СТР-К ê + +

ИС по 120-му приказу Минкомсвязи

Требования неочевидны + особые требования по сертификации СрЗИ ê + −


И уж совсем в заключение

•  ФСТЭК планирует внесение изменений в 17-й приказ

•  В 1-м квартале 2016-го года планируется принятия второй редакции 17-го приказа

•  До 15-го апреля ФСТЭК ждет предложений

•  Предложения присылать на адрес: [email protected]


Благодарю за внимание Еще больше информации вы найдете на http://lukatsky.blogspot.com/

Law

Где установлены требования по защите ИС госорганов, исключая 17-й приказ?