Разработка системы защиты информации информационной системы. Нужно ли иметь лицензию на этот вид работ? Ответ на этот вопрос дает Постановление Правительства Российской Федерации от 15 июня 2016 г. № 541 «О внесении изменений в некоторые акты правительства российской федерации по вопросам лицензирования отдельных видов деятельности».
Работы и услуги, составляющие лицензируемый вид деятельности:
В Постановлении разделены понятия оказания услуг и проведения работ. То есть, для себя, без получения лицензии ФСТЭК России, можно делать все , за исключением работ по проектированию в защищенном исполнении средств и систем информатизации, защищаемых помещений и аттестации на соответствие требованиям по защите информации.
Непосредственно порядок разработки системы защиты информации информационной системы определен статьей 15 Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах, утвержденное приказом ФСТЭК России 11 февраля 2013 г. № 17.
Разработка системы защиты информации осуществляется в соответствии с техническим заданием на создание информационной системы или частным техническим заданием на создание системы защиты информации информационной системы с учетом ГОСТ 34.601 «Информационная технология. Комплекс стандартов на автоматизированные системы. Автоматизированные системы. Кроме этого, следует использовать:
Также применяются Требования о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах утвержденных приказом ФСТЭК России от 11 февраля 2013 г. № 17.
Разработка системы защиты включает в себя:
При разработке системы защиты учитывается ее информационное взаимодействие с иными информационными системами и информационно-телекоммуникационными сетями, в том числе с информационными системами уполномоченного лица, а также применение вычислительных ресурсов (мощностей), предоставляемых уполномоченным лицом для обработки информации.
Система защиты информации не должна препятствовать достижению целей создания информационной системы и ее функционированию.
В ходе проектирования системы защиты информации определяются:
Меры защиты информации в ГИС изложены в методическом документе ФСТЭК России, утвержденном 11.02.2014 г.:
Меры защиты информации в информационной системе в рамках ее системы защиты информации реализуются в зависимости от класса защищенности, угроз безопасности, структурно-функциональных характеристик информационной системы, применяемых информационных технологий и особенностей функционирования системы.
Выбор мер защиты информации включает:
Для примера рассмотрим меры защиты информации из раздела «идентификация и аутентификация субъектов и объектов доступа», а конкретно – ИАФ.1 - идентификация и аутентификация пользователей, являющихся работниками оператора.
Меры по идентификации и аутентификации должны обеспечивать присвоение субъектам доступа и объектам доступа уникального признака (идентификатора), сравнение предъявляемого субъектом (объектом) доступа идентификатора с перечнем присвоенных идентификаторов, а также проверку принадлежности субъекту доступа предъявленного им идентификатора (подтверждение подлинности).
Для реализации этих мер применяются средство защиты от несанкционированного доступа Secret Net, программно-аппаратные комплексы Соболь, Aladdin SAM, ПАК VipNet, Dallas Lock 8.0-K и другие.
Пример реализации меры ИАФ.1
Субъект доступа (пользователь или нарушитель) предъявляет объекту доступа пароль - уникальный признак-идентификатор. С использованием средства защиты происходит сравнение предъявленного идентификатора с перечнем присвоенных субъекту идентификаторов, а также проверка принадлежности субъекту доступа предъявленного им идентификатора (подтверждение подлинности).
Чтобы аутентификация была однозначной здесь необходимо выполнение организационных мер, которые должны быть прописаны в инструкциях пользователю – а именно неразглашения пароля-идентификатора. В противном случае система сможет определить, только то, что субъект знает пароль, но подтвердить его принадлежность конкретному субъекту не сможет.
Чтобы реализовать следующую меру из этого же раздела – ИАФ.2 - «идентификация и аутентификация устройств (в том числе стационарных, мобильных и портативных)», требуется, в том числе периодический контроль записей реестра операционной системы. Любая флэш-карта, цифровой фотоаппарат, модем, принтер, винчестер будет записан в реестре.
Реализация этой меры обязательна только для информационных систем 1 и 2 класса защищенности. Но можно реализовывать эту меру для информационной системы 3 класса, если заказчик видит в этом необходимость.
Для поиска средств защиты сертифицированных по требованиям безопасности информации нужно использовать сайт ФСТЭК России. В реестре размещена информация и по самому средству защиты и по заявителю. Эта информация дает возможность обратиться для приобретения средства защиты к самому производителю, минуя посредников.
В Реестре органов по аттестации можно выбрать организацию для проведения аттестации информационной системы.
В ходе реализации технических мер защиты информации обязательно применять средства защиты информации, в которых реализованы необходимые функции безопасности. При этом для информационной системы каждого класса защищенности применяются средства защиты информации, средства вычислительной техники соответствующего класса:
| Класс защищенности ИС | Класс СЗИ, не ниже | Класс СВТ, не ниже |
|---|---|---|
| 1 | 4 | 5 |
| 2 | 5 | 5 |
| 3 | 6 | 5 |
Определяются требования к параметрам настройки программного обеспечения, включая программное обеспечение средств защиты информации, обеспечивающие реализацию мер защиты информации, а также устранение возможных уязвимостей информационной системы, приводящих к возникновению угроз безопасности информации.
Так же в ходе проектирования системы защиты информации определяются меры защиты информации при информационном взаимодействии с иными информационными системами и информационно-телекоммуникационными сетями, в том числе с информационными системами уполномоченного лица, а также при применении вычислительных ресурсов, предоставляемых уполномоченным лицом для обработки информации.
Разработка эксплуатационной документации на систему защиты информации осуществляется в соответствии с техническим заданием на создание информационной системы и техническим заданием на создание системы защиты информации информационной системы.
Эксплуатационная документация на систему защиты информации разрабатывается с учетом ГОСТ 34.601, 34.201 и Р 51624 и должна в том числе содержать описание:
При макетировании и тестировании системы защиты информации осуществляются:
Макетирование системы защиты информации и ее тестирование может проводиться в том числе с использованием средств и методов моделирования информационных систем и технологий виртуализации.
Внедрение системы защиты информации информационной системы осуществляется в соответствии с проектной и эксплуатационной документацией на систему защиты информации и включает:
К внедрению системы защиты информации привлекается оператор информационной системы в случае, если он определен таковым в соответствии с законодательством Российской Федерации к моменту внедрения системы защиты информации информационной системы и не является заказчиком данной информационной системы.
Установка и настройка средств защиты информации должна проводиться в соответствии с эксплуатационной документацией на систему защиты информации и документацией на средства защиты информации.
Разрабатываемые организационно-распорядительные документы по защите информации должны определять правила и процедуры:
При внедрении организационных мер защиты информации осуществляются:
Например, подключение телефона для зарядки к USB-порту системного блока из состава аттестованной информационной системы является тем самым нарушением состава и конфигурации технических средств, если это не разрешено эксплуатационной документацией. Или заставки на экране монитора, которые устанавливались из фотографий, загруженных от телефона через USB-порт.
Также, при внедрении организационных мер защиты информации осуществляются проверка полноты и детальности описания в организационно-распорядительных документах по защите информации действий пользователей и администраторов информационной системы по реализации организационных мер защиты информации и отработка действий должностных лиц и подразделений, ответственных за реализацию мер защиты информации.
Следующим очень важным моментом в ходе создания системы защиты является проведения ряда испытаний.
Первыми проходят предварительные испытания системы защиты информации. Они проводятся с учетом ГОСТ 34.603 «Информационная технология. Виды испытаний автоматизированных систем» и включают проверку работоспособности системы защиты информации, а также принятие решения о возможности опытной эксплуатации системы защиты информации информационной системы.
Такие испытания проводят после проведения разработчиком отладки и тестирования программных и технических средств и ознакомлением персонала с эксплуатационной документацией для определения работоспособности автоматизированной системы и решения вопроса о приемки в опытную эксплуатацию.
Результатом этих испытаний будут протокол содержащий заключение о возможности или невозможности приемки АС в опытную эксплуатацию, перечень доработок и сроки их выполнения.
Опытная эксплуатация системы защиты информации включает проверку функционирования системы защиты информации, в том числе реализованных мер защиты информации, а также готовность пользователей и администраторов к эксплуатации системы защиты информации.
Опытная эксплуатация проводится с целью определения фактических значений количественных и качественных характеристик АС и готовности персонала к работе в условиях фактической эффективности АС, корректировке (при необходимости) документации
По результатам опытной эксплуатации составляется акт завершения опытной эксплуатации.
После этих мероприятий и перед приемочными испытаниями системы защиты информации предстоит провести анализ уязвимостей средств защиты информации, технических средств и программного обеспечения.
В ходе этой работы проверяется отсутствие известных уязвимостей, в том числе с учетом информации, имеющейся у разработчиков и полученной из других общедоступных источников, правильность установки и настройки средств защиты информации, технических средств и программного обеспечения, корректность работы средств защиты информации при их взаимодействии с техническими средствами и программным обеспечением.
В случае выявления уязвимостей, приводящих к возникновению дополнительных угроз безопасности информации, проводится уточнение модели угроз безопасности информации и принимаются дополнительные меры защиты информации.
По результатам анализа уязвимостей должно быть подтверждено отсутствие уязвимости, содержащиеся в БДУ безопасности информации ФСТЭК России, а также в иных источниках, или что их использование нарушителем невозможно.
В ходе работы на этом этапе внедрения системы защиты, системы приходится иметь дело с сотнями и тысячами уязвимостей. Автоматизировать эту работу позволяют сетевые сканеры угроз, которые занесены в реестр средств защиты информации ФСТЭК России. Сканеры автоматически синхронизируют свою базу с базой данных угроз ФСТЭК России. Общим недостатком таких сканеров является некоторая задержка по синхронизации своей базы уязвимостей с БДУ ФСТЭК России. Вследствие чего анализ последних уязвимостей опубликованных в базе данных угроз ФСТЭК России проводится без применения сканеров.
Заключительные на этапе внедрения, но не окончательные для обработки информации мероприятия - это приемочные испытания системы защиты информации, которые включают проверку выполнения требований к системе защиты информации в соответствии с ТЗ. В ходе приемки проверяют:
Результатом приемочных испытаний должен стать Акт о приемке автоматизированной системы в постоянную эксплуатацию.