Где установлены требования по защите ИС госорганов,...
TRANSCRIPT
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 1
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 1
Как защищать информационные системы госорганов? Алексей Лукацкий Бизнес-консультант по безопасности 1 February 2015
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 2
Не 17-й приказ является главенствующим, а ФЗ-149
ФЗ-149
Постановления Правительства РФ
НПА Минкомсвязи
НПА Минэкономразвития
НПА ФСО
НПА ФСТЭК
НПА ФСБ
НПА …
• Требование защиты определяется ФЗ-149, во исполнение которого разрабатываются подзаконные акты – Постановления Правительства, приказы Минкомсвязи, Минэкономразвития, ФСТЭК, ФСО, ФСБ и т.п.
• Отдельные требования к информационным системам госорганов и обрабатываемой в них информации устанавливаются иными законами, а также указами Президента
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 3
Требования для госорганов помимо 17-го приказа
• Указ Президента РФ от 17 марта 2008 № 351 «О мерах по обеспечению информационной безопасности российской федерации при использовании информационно-телекоммуникационных сетей международного информационного обмена»
• Постановление Правительства РФ от 18 мая 2009 года № 424 «Об особенностях подключения федеральных государственных систем к информационно-телекоммуникационным сетям»
• Приказ Минкомсвязи от 9 декабря 2013 № 390 «Об утверждении требований к информационным системам организаций, подключаемых к инфраструктуре, обеспечивающей информационно-технологическое взаимодействие информационных систем, используемых для предоставления государственных и муниципальных услуг в электронной форме»
• Приказ Минкомсвязи от 27 июня 2013 № 149 «Об утверждении Требований к технологическим, программным и лингвистическим средствам, необходимым для размещения информации государственными органами и органами местного самоуправления в сети «Интернет» в форме открытых данных, а также для обеспечения ее использования»
• Совместный приказ ФСБ и ФСТЭК от 31 августа 2010 № 416/489 «Об утверждении Требований о защите информации, содержащейся в информационных системах общего пользования»
• Приказ Минкомсвязи от 25 августа 2009 № 104 «Об утверждении Требований по обеспечению целостности, устойчивости функционирования и безопасности информационных систем общего пользования»
• Приказ Минэкономразвития от 16 ноября 2009 № 470 «О Требованиях к технологическим, программным и лингвистическим средствам обеспечения пользования официальными сайтами федеральных органов исполнительной власти»
• Приказ ФСО от 07 августа 2009 № 487 «Об утверждении Положения о сегменте информационно-телекоммуникационной сети «Интернет» для федеральных органов государственной власти и органов государственной власти субъектов Российской Федерации»
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 4
ИС, подключаемые к инфраструктуре госуслуг
• Информационные системы организаций, подключаемых к инфраструктуре, обеспечивающей информационно-технологическое взаимодействие информационных систем, используемых для предоставления государственных и муниципальных услуг в электронной форме Приказ Минкомсвязи от 9 декабря 2013 г. №390
• Определены требования по сертификации СКЗИ и МСЭ в ФСБ и ФСТЭК
• Дополнительные требования по защите определяются в зависимости от класса защищенности ИС и модели угроз Класс защищенности ИС = класс защищенности ГИС по 17-му приказу?
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 5
ИС организаций, подключаемых к инфраструктуре…
• Требования к информационным системам организаций, подключаемых к инфраструктуре, обеспечивающей информационно-технологическое взаимодействие информационных систем, используемых для предоставления государственных и муниципальных услуг в электронной форме Приказ Минкомсвязи от 03.05.2014 №120 «Об утверждении Требований, обеспечивающих технологическую совместимость информационных систем организаций, подключаемых к инфраструктуре, обеспечивающей информационно-технологическое взаимодействие информационных систем, используемых для предоставления государственных и муниципальных услуг в электронной форме с указанной инфраструктурой, к каналу связи и используемым для его защиты средствам криптографической защиты информации, а также особенностей использования стандартов и протоколов при обмене данными в электронной форме между информационными системами указанных организаций и инфраструктурой»
• Определены требования по сертификации СКЗИ и МСЭ в ФСБ и ФСТЭК
• Дополнительные требования по защите определяются в зависимости от класса защищенности ИС и модели угроз Класс защищенности ИС = класс защищенности ГИС по 17-му приказу?
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 6
ИС общего пользования
• Постановление Правительства от 18 мая 2009 г. №424 «Об особенностях подключения федеральных государственных информационных систем к информационно-телекоммуникационным сетям»
Минкомсвязь ФСБ/ФСТЭК
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 7
ИС общего пользования по версии Минкомсвязи
• Требования распространяются на федеральные государственные информационные системы, созданные или используемые в целях реализации полномочий федеральных органов исполнительной власти и содержащие сведения, указанные в перечне сведений о деятельности Правительства Российской Федерации и федеральных органов исполнительной власти, обязательных для размещения в информационно-телекоммуникационной сети «Интернет», утвержденном постановлением Правительства Российской Федерации от 12 февраля 2003 года №98 «Об обеспечении доступа к информации о деятельности Правительства Российской Федерации и федеральных органов исполнительной власти» Приказ Минкомсвязи от 25 августа 2009 года №104 «Об утверждении Требований по обеспечению целостности, устойчивости функционирования и безопасности информационных систем общего пользования»
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 8
ИС общего пользования по версии ФСТЭК и ФСБ
• Требования распространяются на федеральные государственные информационные системы, созданные или используемые в целях реализации полномочий федеральных органов исполнительной власти и содержащие сведения о деятельности Правительства Российской Федерации и федеральных органов исполнительной власти, обязательные для размещения в информационно-телекоммуникационной сети Интернет, определяемые Правительством Российской Федерации Приказ ФСБ и ФСТЭК от 31 августа 2010 г. N 416/489 «Об утверждении требований о защите информации, содержащейся в информационных системах общего пользования»
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 9
ИС общего пользования по версии Минкомсвязи
• В зависимости от значимости информационные системы общего пользования разделяются на два класса К классу I относятся информационные системы общего пользования: Правительства Российской Федерации, федеральных министерств, федеральных служб и федеральных агентств, руководство деятельностью которых осуществляет Президент Российской Федерации, федеральных служб и федеральных агентств, подведомственных этим федеральным министерствам К классу II относятся информационные системы общего пользования федеральных органов исполнительной власти, за исключением систем класса I
• Являясь ФГИС, обязаны соблюдаться требования 17-го приказа
• Определены отдельные требования по сертификации различных средств защиты в ФСБ и ФСТЭК
• Определен ряд дополнительных требований по безопасности Местами требования “жестче”, чем в 17-м приказе ФСТЭК
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 10
ИС общего пользования по версии ФСТЭК и ФСБ
• Информационные системы общего пользования в зависимости от значимости содержащейся в них информации и требований к ее защите разделяются на два класса. К I классу относятся информационные системы общего пользования Правительства Российской Федерации и иные информационные системы общего пользования в случае, если нарушение целостности и доступности информации, содержащейся в них, может привести к возникновению угроз безопасности Российской Федерации. Отнесение информационных систем общего пользования к I классу проводится по решению руководителя соответствующего ФОИВ Ко II классу относятся информационные системы общего пользования, не указанные в предыдущем подпункте
• Являясь ФГИС, обязаны соблюдаться требования 17-го приказа
• Определены отдельные требования по сертификации различных средств защиты в ФСБ и ФСТЭК
• Определен ряд дополнительных требований по безопасности Местами требования “жестче”, чем в 17-м приказе ФСТЭК
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 11
ИС общего пользования: текущие сложности
Минкомсвязи
• ГИС è приказ №17 • 2 класса ИСОП • Есть дополнительные к 17-му приказу требования, но мало
• Требования по сертификации отдельных средств защиты в ФСБ
ФСТЭК / ФСБ
• ГИС è приказ №17 • 2 класса ИСОП (отличных от Минкомсвязи)
• Есть дополнительные к 17-му приказу требования
• Требования по сертификации большинства средств защиты в ФСБ
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 12
ИС открытых данных
• Требования к средствам, необходимым для размещения открытых данных Приказ Минкомсвязи России от 27.06.2013 №149 «Об утверждении Требований к технологическим, программным и лингвистическим средствам, необходимым для размещения информации государственными органами и органами местного самоуправления в сети «Интернет» в форме открытых данных, а также для обеспечения ее использования»
• Распространяются на госорганы и органы местного самоуправления
• Требования по безопасности открытых данных реализуются в соответствие с приказом Минкомсвязи №104 и приказом ФСБ/ФСТЭК №416/489
+ некоторые дополнительные требования по защите информации
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 13
Сайты ФОИВ
• Требования к средствам, необходимым для обеспечения пользования сайтами ФОИВ Приказ Минэкономразвития России от 16.11.2009 №470 «Об утверждении Требований к технологическим, программным и лингвистическим средствам, обеспечения пользования официальными сайтами федеральных органов исполнительной власти»
• Требования к средствам защиты реализуются в соответствие с приказом Минкомсвязи №104 и приказом ФСБ/ФСТЭК №416/489
+ некоторые дополнительные требования по защите информации
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 14
Поправки в ФЗ-149 о техсредствах ГИС
• Технические средства информационных систем, используемых государственными органами, органами местного самоуправления, государственными и муниципальными унитарными предприятиями или государственными и муниципальными учреждениями, включая официальные сайты ФОИВ, должны размещаться на территории РФ
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 15
ИС, подключающиеся к Интернет
• Требования к информационным системам, подключаемым к Интернет и иным информационно-телекоммуникационным сетям, позволяющим осуществлять передачу информации через государственную границу Российской Федерации Указ Президента от 17.03.2008 №351 «О мерах по обеспечению информационной безопасности Российской Федерации при использовании информационно-телекоммуникационных сетей международного информационного обмена»
• Устанавливаются только требования к оценке соответствия СКЗИ и МСЭ
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 16
ИС для информирования о деятельности ФОИВ
• Требования распространяются на информационные системы, предназначенные для информирования общественности о деятельности федеральных органов государственной власти и органов государственной власти субъектов Российской Федерации (ИСИОД) Проект Постановления Правительства
• ИСИОД, в зависимости от значимости содержащейся в них информации, разделяются на 3 класса: I, II, III
• Ввод в эксплуатацию ИСИОД осуществляется только после аттестации по требованиям ФСТЭК и ФСБ
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 17
ИС, подключающиеся к СМЭВ
• Требования к взаимодействию информационных систем в единой системе межведомственного электронного взаимодействия (СМЭВ) Приказ Минкомсвязи от 27.12.2010 №190 «Об утверждении Технических требований к взаимодействию информационных систем в единой системе межведомственного электронного взаимодействия»
• Устанавливаются базовые требования по защите информации и требования к сертификации СКЗИ и МСЭ
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 18
ИС электронного документооборота ФОИВ
• Требования распространяются на системы автоматизации делопроизводства и документооборота в федеральном органе исполнительной власти, обеспечивающей возможность внутреннего электронного документооборота (СЭД ФОИВ) Приказ Минкомсвязи от 02.09.2011 №221 «Об утверждении Требований к информационным системам электронного документооборота федеральных органов исполнительной власти, учитывающих в том числе необходимость обработки посредством данных систем служебной информации ограниченного распространения»
• Защищенность от несанкционированного доступа в случаях, когда в СЭД ФОИВ предусмотрена обработка служебной информации ограниченного распространения - не ниже класса 1Г
• Также устанавливаются дополнительные требования по защите и требования по сертификации средств защиты информации
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 19
Резюмируя
• …
Тип информационной системы Особенности Соотнесение с
17-м приказом Сертификация
СрЗИ Аттестация
ИС
ИС госуслуг Требования неочевидны + особые требования по сертификации СрЗИ ê + −
ИС общего пользования Собственные требования + требования 17-го приказа + особые требования по сертификации СрЗИ
é + −
Открытые данные Требования идентичны требования к ИСОП ± + − Сайт ФОИВ Требования самостоятельные + требования к СрЗИ в
соответствие с требованиями к ИСОП ê + − ИС, подключаемая к Интернет
Установлены только требования к СрЗИ ê + +
ИС, подключаемая к СМЭВ
Требования самостоятельны + требования к СрЗИ ê + −
ИС электронного документооборота ФОИВ
Требования самостоятельные + требования не ниже АС 1Г + требования к СрЗИ ê + +
Государственный информационный ресурс
Требования установлены в СТР-К ê + +
ИС по 120-му приказу Минкомсвязи
Требования неочевидны + особые требования по сертификации СрЗИ ê + −
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 20
И уж совсем в заключение
• ФСТЭК планирует внесение изменений в 17-й приказ
• В 1-м квартале 2016-го года планируется принятия второй редакции 17-го приказа
• До 15-го апреля ФСТЭК ждет предложений
• Предложения присылать на адрес: [email protected]
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 21
Благодарю за внимание Еще больше информации вы найдете на http://lukatsky.blogspot.com/