Безопасность и надежность. Без компромисов.

Мнение эксперта ИБ

Обсуждение новостей в сфере информационной безопасности

  • ИТ-инфраструктура
  • Системы видеонаблюдения
  • Информационная безопасность
  • Виртуализация

О защите государственных информационных систем

На сайте ФСТЭК России выставлены новые документы в области защиты информации, не составляющей государственную тайну, содержащейся в государственных информационных системах.

А именно:

  1. «Требования о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах», утверждены приказом ФСТЭК России от 11 февраля 2013 г. N 17 (зарегистрирован Минюстом России 31 мая 2013 г., рег. N 28608) (далее - Требования к защите ГИС);
  2. «Методический документ. Меры защиты информации в государственных информационных системах», утвержден приказом ФСТЭК России от 11 февраля 2014 г. (далее - Методика защиты ГИС).

В рамках данной статьи рассмотрим:

   О применении новых документов ФСТЭК России в области защиты государственных и иных ИС
   Организационные и технические меры защиты информации в государственной информационной системы
   О классификации ГИС и выборе мер защиты
   О разработке модели угроз безопасности в ГИС
   Выбор мер защиты информации и требования к реализации мер защиты
   Требования к классам защищенности средств защиты информации

О применении новых документов ФСТЭК России в области защиты государственных и иных информационных систем

Из названия документов понятно, что они действуют для государственных информационных систем (ГИС, не путать с геоинформационными системами) обрабатывающих информацию, не составляющей государственную тайну.

На наш взгляд эти новые документы представляют новый успешный шаг ФСТЭК России к созданию более понятных требований к проектированию систем защиты для государственных информационных систем. И хотя документы объемные: так Требования к защите ГИС – состоят из 27 листов, Методика защиты ГИС – состоит из 120 листов, они вполне могут быть освоены и понятны не специалистам по защите информации.

В Требованиях к защите ГИС установлены требования к обеспечению защиты информации, от утечки по техническим каналам, несанкционированного доступа, специальных воздействий на информацию (носители информации) в целях ее добывания, уничтожения, искажения или блокирования доступа к ней.

Организационные и технические меры защиты информации, реализуемые в рамках системы защиты информации ГИС, в зависимости от информации, содержащейся в ГИС, целей создания ГИС и задач, решаемых этой ГИС, должны быть направлены на исключение:

  • неправомерных доступа, копирования, предоставления или распространения информации (обеспечение конфиденциальности информации);
  • неправомерных уничтожения или модифицирования информации (обеспечение целостности информации);
  • неправомерного блокирования информации (обеспечение доступности информации).

Требованиях к защите ГИС могут также применяться для защиты общедоступной инфрмации, содержащейся в информационной системе (ИС), для достижения целей, указанных в пунктах 1 и 3 части 1 статьи 16 Федерального закона от 27 июля 2006 г. N 149-ФЗ "Об информации, информационных технологиях и о защите информации", а также для защиты информации, содержащейся в негосударственных информационных системах.

По решению оператора персональных данных новые документы применяются для обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных, защита которых обеспечивается в соответствии с «Составом и содержанием организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных», утвержденных приказом ФСТЭК России от 18 февраля 2013 г. N 21 (зарегистрирован Минюстом России 14 мая 2013 г., рег. N 28375).

При обработке персональных данных в информационной системе определение класса защищенности информационной системы осуществляется с учетом требуемого уровня защищенности персональных данных, установленного в соответствии с «Требованиями к защите персональных данных при их обработке в информационных системах персональных данных», утвержденными постановлением Правительства Российской Федерации от 1 ноября 2012 г. N 1119.

При этом в соответствии с пунктом 27 Требований, утвержденных приказом ФСТЭК России от 11 февраля 2013 г. N 17, должно быть обеспечено соответствующее соотношение класса защищенности государственной информационной системы с уровнем защищенности персональных данных. В случае, если определенный в установленном порядке уровень защищенности персональных данных выше, чем установленный класс защищенности государственной информационной системы, то осуществляется повышение класса защищенности до значения, обеспечивающего выполнение пункта 27 Требований, утвержденных приказом ФСТЭК России от 11 февраля 2013 г. N 17.

В документах не рассматриваются требования о защите информации, связанные с применением криптографических методов защиты информации и шифровальных (криптографических) средств защиты информации. Как известно за эти требования отвечает ФСБ России.

Особенностью этих документов является то, что требования не распространяются на государственные информационные системы Администрации Президента Российской Федерации, Совета Безопасности Российской Федерации, Федерального Собрания Российской Федерации, Правительства Российской Федерации, Конституционного Суда Российской Федерации, Верховного Суда Российской Федерации, Высшего Арбитражного Суда Российской Федерации и Федеральной службы безопасности Российской Федерации.

Организационные и технические меры защиты информации в государственной информационной системы

Организационные и технические меры защиты информации определяются:

  • масштабом ГИС (в документах предложено три масштаба ГИС);
  • назначением ГИС;
  • распределенностью сегментов ГИС.

ГИС имеет федеральный масштаб, если она функционирует на территории Российской Федерации (в пределах федерального округа) и имеет сегменты в субъектах Российской Федерации, муниципальных образованиях и (или) организациях.
ГИС имеет региональный масштаб, если она функционирует на территории субъекта Российской Федерации и имеет сегменты в одном или нескольких муниципальных образованиях и (или) подведомственных и иных организациях.
ГИС имеет объектовый масштаб, если она функционирует на объектах одного федерального органа государственной власти, органа государственной власти субъекта Российской Федерации, муниципального образования и (или) организации и не имеет сегментов в территориальных органах, представительствах, филиалах, подведомственных и иных организациях.

Для обеспечения защиты информации, содержащейся в ГИС, проводятся следующие мероприятия:

  1. формирование требований к защите информации, содержащейся в ГИС;
  2. разработка системы защиты информации ГИС;
  3. внедрение системы защиты информации ГИС;
  4. аттестация ГИС по требованиям защиты информации и ввод ее в действие;
  5. обеспечение защиты информации в ходе эксплуатации аттестованной ГИС;
  6. обеспечение защиты информации при выводе из эксплуатации аттестованной ГИС или после принятия решения об окончании обработки информации.

В принципе мероприятия достаточно стандартны, но следует обратить внимание специалистов по защите информации на жесткое мероприятие, указанное в п.6, которое осуществляется оператором и должно быть описано в документации на ГИС и включает:

  • архивирование информации, содержащейся в ГИС;
  • уничтожение (стирание) данных и остаточной информации с машинных носителей информации и (или) уничтожение машинных носителей информации.

Согласно новых документов ФСТЭК России организационные и технические меры защиты информации, реализуемые в ГИС в рамках ее системы защиты информации, в зависимости от угроз безопасности информации, используемых информационных технологий и структурно-функциональных характеристик информационной системы должны обеспечивать:

  1. идентификацию и аутентификацию субъектов доступа и объектов доступа;
  2. управление доступом субъектов доступа к объектам доступа;
  3. ограничение программной среды;
  4. защиту машинных носителей информации;
  5. регистрацию событий безопасности;
  6. антивирусную защиту;
  7. обнаружение (предотвращение) вторжений;
  8. контроль (анализ) защищенности информации;
  9. целостность информационной системы и информации;
  10. доступность информации;
  11. защиту среды виртуализации;
  12. защиту технических средств;
  13. защиту информационной системы, ее средств, систем связи и передачи данных.

Меры защиты информации выбираются и реализуются в ГИС в рамках ее системы защиты информации с учетом угроз безопасности информации применительно ко всем объектам и субъектам доступа на аппаратном, системном, прикладном и сетевом уровнях, в том числе в среде виртуализации и облачных вычислений.

Положительным моментом является появление требований ФСТЭК России к мобильным устройствам (в части ноутбуков, нетбуков, планшетов, смартфонов) требования к которым ранее не были формализованы в других документах ФСТЭК России.

О классификации ГИС и выборе мер защиты

Новыми документами ФСТЭК России установлены четыре класса защищенности ГИС, определяющие уровни защищенности содержащейся в ней информации. Самый низкий класс - четвертый, самый высокий - первый. Класс защищенности ГИС (первый класс К1, второй класс К2, третий класс К3, четвертый класс К4) определяется в зависимости от уровня значимости информации (УЗ), обрабатываемой в этой ГИС, и масштаба ГИС (федеральный, региональный, объектовый).

Класс защищенности (К) = [уровень значимости информации; масштаб системы]. Уровень значимости информации определяется степенью возможного ущерба для обладателя информации (заказчика) и (или) оператора от нарушения конфиденциальности (неправомерные доступ, копирование, предоставление или распространение), целостности (неправомерные уничтожение или модифицирование) или доступности (неправомерное блокирование) информации.

УЗ = [(конфиденциальность, степень ущерба) (целостность, степень ущерба) (доступность, степень ущерба)], где степень возможного ущерба определяется обладателем информации (заказчиком) и (или) оператором самостоятельно экспертным или иными методами и может быть:
ВЫСОКОЙ, если в результате нарушения одного из свойств безопасности информации (конфиденциальности, целостности, доступности) возможны существенные негативные последствия в социальной, политической, международной, экономической, финансовой или иных областях деятельности и (или) ГИС и (или) оператор (обладатель информации) не могут выполнять возложенные на них функции;
СРЕДНЕЙ, если в результате нарушения одного из свойств безопасности информации (конфиденциальности, целостности, доступности) возможны умеренные негативные последствия в социальной, политической, международной, экономической, финансовой или иных областях деятельности и (или) ГИС и (или) оператор (обладатель информации) не могут выполнять хотя бы одну из возложенных на них функций;
НИЗКОЙ, если в результате нарушения одного из свойств безопасности информации (конфиденциальности, целостности, доступности) возможны незначительные негативные последствия в социальной, политической, международной, экономической, финансовой или иных областях деятельности и (или) ГИС и (или) оператор (обладатель информации) могут выполнять возложенные на них функции с недостаточной эффективностью или выполнение функций возможно только с привлечением дополнительных сил и средств.

При обработке в ГИС двух и более видов информации (служебная тайна, налоговая тайна и иные установленные законодательством Российской Федерации виды информации ограниченного доступа) уровень значимости информации (УЗ) определятся отдельно для каждого вида информации. Итоговый уровень значимости информации, обрабатываемой в ГИС, устанавливается по наивысшим значениям степени возможного ущерба, определенным для конфиденциальности, целостности, доступности информации каждого вида информации.

Класс защищенности ГИС определяется в соответствии с таблицей:

 

Уровень значимости информации Масштаб информационной системы
Федеральный Региональный Объектовый
УЗ 1 К1 К1 К1
УЗ 2 К1 К2 К2
УЗ 3 К2 К3 К3
УЗ 4 К3 К3 К4

Результаты классификации ГИС оформляются актом классификации.

В Приложение N 2 к «Требованиям о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах» приведен «СОСТАВ МЕР ЗАЩИТЫ ИНФОРМАЦИИ И ИХ БАЗОВЫЕ НАБОРЫ ДЛЯ СООТВЕТСТВУЮЩЕГО КЛАССА ЗАЩИЩЕННОСТИ ИНФОРМАЦИОННОЙ СИСТЕМЫ». Ниже приведен фрагмент таблицы.

Условное обозначение и номер меры Меры защиты информации в информационных системах Классы защищенности информационной системы
1 2 3 4
I. Идентификация и аутентификация субъектов доступа и объектов доступа (ИАФ)
ИАФ.1 Идентификация и аутентификация пользователей, являющихся работниками оператора + + + +
ИАФ.2 Идентификация и аутентификация устройств, в том числе стационарных, мобильных и портативных     + +

"+" - мера защиты информации включена в базовый набор мер для соответствующего класса защищенности информационной системы.

Меры защиты информации, не обозначенные знаком "+", применяются при адаптации базового набора мер и уточнении адаптированного базового набора мер, а также при разработке компенсирующих мер защиты информации в информационной системе соответствующего класса защищенности.

О разработке модели угроз безопасности в ГИС

Модель угроз безопасности информации должна содержать описание ГИС и ее структурно-функциональных характеристик, а также описание угроз безопасности информации, включающее описание возможностей нарушителей (модель нарушителя), возможных уязвимостей информационной системы, способов реализации угроз безопасности информации и последствий от нарушения свойств безопасности информации.

Угрозы безопасности информации (УБИ) определяются по результатам оценки возможностей (потенциала, оснащенности и мотивации) внешних и внутренних нарушителей, анализа возможных уязвимостей информационной системы, возможных способов реализации угроз безопасности информации и последствий от нарушения свойств безопасности информации (конфиденциальности, целостности, доступности).
УБИ = [возможности нарушителя; уязвимости ГИС; способ реализации угрозы; последствия от реализации угрозы].

При определении угроз безопасности информации учитываются структурно-функциональные характеристики ГИС, применяемые информационные технологии и особенности (условия) функционирования ГИС. Эффективность принимаемых мер защиты информации в ГИС зависит от качества определения угроз безопасности информации для конкретной системы в конкретных условиях ее функционирования.

Модель угроз безопасности информации представляет собой формализованное описание угроз безопасности информации для конкретной ГИС или группы информационных систем в определенных условиях их функционирования.

Для определения угроз безопасности информации и разработки модели угроз безопасности информации применяются (как сказано в новых нормативных документах ФСТЭК России) методические документы, разработанные и утвержденные ФСТЭК России в соответствии с подпунктом 4 пункта 8 Положения о Федеральной службе по техническому и экспортному контролю, утвержденного Указом Президента Российской Федерации от 16 августа 2004 г. N 1085 (Собрание законодательства Российской Федерации, 2004, N 34, ст. 3541; 2006, N 49, ст. 5192; 2008, N 43, ст. 4921; N 47, ст. 5431; 2012, N 7, ст. 818).

Со ссылкой на методические документы, честно говоря, не понятно. Дело в том, что ФСТЭК России нигде четко не сказано о том, какие документы необходимо применять для разработки Модели угроз и модели нарушителя, если в государственной информационной системе обрабатывается только служебная тайна (с пометкой «для служебного пользования»).

Возможно, можно использовать для разработки Модели угроз безопасности информации и модели нарушителя для ГИС методологию, разработанную для персональных данных, отраженной в следующих документах:

  • «Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных», утверждена ФСТЭК России, 15 февраля 2008 г.;
  • «Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных», утверждена ФСТЭК России, 14 февраля 2008 г.

А может быть использовать документы ФСТЭК России для модели угроз на критические системы информационной инфраструктуры (КСИИ)? Где юридическая запись?

В системе защиты информации ГИС как правило применяются VPN-сети, криптосредства и электронная подпись, для защиты служебной информации. При этом ГИС (например – ситуационный центр) располагаемый на территории Российской Федерации, в дальнейшем может иметь необходимость взаимодействия с ситуационными центрами иностранных государств (присутствует трансграничная передача данных).
Какие документы необходимо использовать при разработке Модели угроз безопасности информации и модели нарушителя для государственной информационной системы, обрабатывающей только служебную тайну, в части выбора классов криптосредтв.

Возможно, можно использовать для разработки Модели угроз безопасности информации и модели нарушителя для ГИС методологию, разработанную ФСБ России для персональных данных, отраженной в следующих документах:

  • «Методические рекомендации по обеспечению с помощью криптосредств безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств автоматизации», утвержденные руководством 8 Центра ФСБ России от 21.02.2008 г. N 149/54-144;
  • «Типовые требования по организации и обеспечению функционирования шифровальных (криптографических) средств, предназначенных для защиты информации, не содержащей сведений, составляющих государственную тайну, в случае их использования для обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных», утвержденные руководством 8 Центра ФСБ России от 21.02.2008 г. № 149/6/6-622.

Где юридическая запись?

На наш взгляд ФСТЭК России и ФСБ России должны сделать информационное сообщение о том, какими документами ФСТЭК России и ФСБ России необходимо руководствоваться при разработки Модели угроз и модели нарушителя для ГИС, обрабатывающих только служебную тайну, для того чтобы не возникали вопросы при аттестации системы и проверках со стороны регуляторов.

Особое внимание специалистов по защите информации необходимо обратить на анализ уязвимостей ГИС проводимой в целях оценки возможности преодоления нарушителем системы защиты информации ГИС и предотвращения реализации угроз безопасности информации. Анализ уязвимостей ГИС включает анализ уязвимостей средств защиты информации, технических средств и программного обеспечения ГИС.
При анализе уязвимостей ГИС проверяется отсутствие известных уязвимостей средств защиты информации, технических средств и программного обеспечения, в том числе с учетом информации, имеющейся у разработчиков и полученной из других общедоступных источников, правильность установки и настройки средств защиты информации, технических средств и программного обеспечения, а также корректность работы средств защиты информации при их взаимодействии с техническими средствами и программным обеспечением.

В случае выявления уязвимостей ГИС, приводящих к возникновению дополнительных угроз безопасности информации, проводится уточнение Модели угроз безопасности информации и при необходимости принимаются дополнительные меры защиты информации, направленные на устранение выявленных уязвимостей или исключающие возможность использования нарушителем выявленных уязвимостей.

Выбор мер защиты информации и требования к реализации мер защиты

В Методике защиты ГИС подробно приведено описание выбора мер защиты информации для их реализации и требования к ним (собственно требования для формирования ТЗ (ЧТЗ) на систему защиты) ГИС и включает (см. рисунок):

  1. определение базового набора мер защиты информации для установленного класса защищенности ГИС;
  2. адаптацию базового набора мер защиты информации применительно к структурно-функциональным характеристикам ГИС, информационным технологиям, особенностям функционирования системы;
  3. уточнение адаптированного базового набора мер защиты информации с учетом не выбранных ранее мер защиты информации для блокирования (нейтрализации) всех угроз безопасности информации, включенных в модель угроз безопасности информации;
  4. дополнение уточненного адаптированного базового набора мер защиты информации мерами, обеспечивающими выполнение требований о защите информации, установленными иными нормативными правовыми актами в области защиты информации, в том числе в области защиты персональных данных;

Меры защиты информации, выбираемые для реализации в ГИС, должны обеспечивать блокирование одной или нескольких угроз безопасности информации, включенных в модель угроз безопасности информации. Содержание мер защиты информации для их реализации в информационных системах приведено в приложении 2 к Методике защиты ГИС.
В ГИС должен быть, как минимум, реализован адаптированный базовый набор мер защиты информации, соответствующий установленному классу защищенности системы.

article 4-1

Общий порядок действий по выбору мер защиты информации для их реализации в ГИС

Выбранные и реализованные в ГИС в рамках ее системы защиты информации меры защиты информации должны обеспечивать:
в ГИС 1 класса защищенности - нейтрализацию (блокирование) угроз безопасности информации, связанных с действиями нарушителя с высоким потенциалом;
в ГИС 2 класса защищенности - нейтрализацию (блокирование) угроз безопасности информации, связанных с действиями нарушителя с потенциалом не ниже среднего;
в ГИС 3 и 4 классов защищенности - нейтрализацию (блокирование) угроз безопасности информации, связанных с действиями нарушителя с низким потенциалом.

Ниже приведен пример меры защиты и требований по ее реализации для классов защищенности ГИС из раздела 3 Методики защиты ГИС:

3. СОДЕРЖАНИЕ МЕР ЗАЩИТЫ ИНФОРМАЦИИ В ИНФОРМАЦИОННОЙ СИСТЕМЕ
3.1. ИДЕНТИФИКАЦИЯ И АУТЕНТИФИКАЦИЯ СУБЪЕКТОВ ДОСТУПА И ОБЪЕКТОВ ДОСТУПА (ИАФ)
ИАФ.1 ИДЕНТИФИКАЦИЯ И АУТЕНТИФИКАЦИЯ ПОЛЬЗОВАТЕЛЕЙ, ЯВЛЯЮЩИХСЯ РАБОТНИКАМИ ОПЕРАТОРА
Требования к реализации ИАФ.1: В информационной системе должна обеспечиваться идентификация и аутентификация пользователей, являющихся работниками оператора.
При доступе в информационную систему должна осуществляться идентификация и аутентификация пользователей, являющихся работниками оператора (внутренних пользователей), и процессов, запускаемых от имени этих пользователей, а также процессов, запускаемых от имени системных учетных записей.
К внутренним пользователям в целях настоящего документа относятся должностные лица оператора (пользователи, администраторы), выполняющие свои должностные обязанности (функции) с использованием информации, информационных технологий и технических средств информационной системы в соответствии с должностными регламентами (инструкциями), утвержденными оператором, и которым в информационной системе присвоены учетные записи.
В качестве внутренних пользователей дополнительно рассматриваются должностные лица обладателя информации, заказчика, уполномоченного лица и (или) оператора иной информационной системы, а также лица, привлекаемые на договорной основе для обеспечения функционирования информационной системы (ремонт, гарантийное обслуживание, регламентные и иные работы) в соответствии с организационно-распорядительными документами оператора и которым в информационной системе также присвоены учетные записи.
Пользователи информационной системы должны однозначно идентифицироваться и аутентифицироваться для всех видов доступа, кроме тех видов доступа, которые определяются как действия, разрешенные до идентификации и аутентификации в соответствии с мерой защиты информации УПД.11.
Аутентификация пользователя осуществляется с использованием паролей, аппаратных средств, биометрических характеристик, иных средств или в случае многофакторной (двухфакторной) аутентификации - определенной комбинации указанных средств.
В информационной системе должна быть обеспечена возможность однозначного сопоставления идентификатора пользователя с запускаемыми от его имени процессами. Правила и процедуры идентификации и аутентификации пользователей регламентируются в организационно-распорядительных документах по защите информации.
Требования к усилению ИАФ.1:
1) в информационной системе должна обеспечиваться многофакторная (двухфакторная) аутентификация для удаленного доступа в систему с правами привилегированных учетных записей (администраторов):
а) с использованием сети связи общего пользования, в том числе сети Интернет;
б) без использования сети связи общего пользования;
2) в информационной системе должна обеспечиваться многофакторная (двухфакторная) аутентификация для удаленного доступа в систему с правами непривилегированных учетных записей (пользователей):
а) с использованием сети связи общего пользования, в том числе сети Интернет;
б) без использования сети связи общего пользования;
3) в информационной системе должна обеспечиваться многофакторная (двухфакторная) аутентификация для локального доступа в систему с правами привилегированных учетных записей (администраторов);
4) в информационной системе должна обеспечиваться многофакторная (двухфакторная) аутентификация для локального доступа в систему с правами непривилегированных учетных записей (пользователей);
5) в информационной системе должна обеспечиваться многофакторная (двухфакторная) аутентификация при доступе в систему с правами привилегированных учетных записей (администраторов), где один из факторов обеспечивается аппаратным устройством аутентификации, отделенным от информационной системы, к которой осуществляется доступ;
6) в информационной системе должна обеспечиваться многофакторная (двухфакторная) аутентификация при доступе в систему с правами непривилегированных учетных записей (пользователей), где один из факторов обеспечивается устройством, отделенным от информационной системы, к которой осуществляется доступ;
7) в информационной системе должен использоваться механизм одноразовых паролей при аутентификации пользователей, осуществляющих удаленный или локальный доступ;
8) в информационной системе для аутентификации пользователей должно обеспечиваться применение в соответствии с законодательством Российской Федерации криптографических методов защиты информации.

Требования к классам защищенности средств защиты информации

Согласно новых нормативных документов ФСТЭК России, технические меры защиты информации реализуются посредством применения средств защиты информации, имеющих необходимые функции безопасности. В этом случае в ГИС 1 и 2 классов защищенности применяются средства защиты информации, программное обеспечение которых прошло проверку не ниже чем по 4 уровню контроля отсутствия недекларированных возможностей, а также:

  • средства вычислительной техники не ниже 5 класса;
  • системы обнаружения вторжений и средства антивирусной защиты не ниже 4 класса;
  • межсетевые экраны не ниже 3 класса в случае взаимодействия ГИС с информационно-телекоммуникационными сетями международного информационного обмена и не ниже 4 класса в случае отсутствия взаимодействия ГИС с информационно-телекоммуникационными сетями международного информационного обмена.

В ГИС 3 класса защищенности применяются:

  • средства вычислительной техники не ниже 5 класса;
  • системы обнаружения вторжений и средства антивирусной защиты не ниже 4 класса, в случае взаимодействия ГИС с информационно-телекоммуникационными сетями международного информационного обмена, и не ниже 5 класса, в случае отсутствия взаимодействия ГИС с информационно-телекоммуникационными сетями международного информационного обмена;
  • межсетевые экраны не ниже 3 класса в случае взаимодействия ГИС с информационно-телекоммуникационными сетями международного информационного обмена и не ниже 4 класса в случае отсутствия взаимодействия ГИС с информационно-телекоммуникационными сетями международного информационного обмена.

В ГИС 4 класса защищенности применяются:

  • средства вычислительной техники не ниже 5 класса;
  • системы обнаружения вторжений и средства антивирусной защиты не ниже 5 класса;
  • межсетевые экраны не ниже 4 класса.