Безопасность и надежность. Без компромисов.

Мнение эксперта ИБ

Обсуждение новостей в сфере информационной безопасности

  • Системы видеонаблюдения
  • Информационная безопасность
  • ИТ-инфраструктура
  • Виртуализация

О требованиях ФСТЭК России и ФСБ России к ГИС, ИСПДн, АСУП и АСУТП

В ходе проведения консультаций с Заказчиками ООО «Эйснет», а также при непосредственном выполнении работ, приходится сталкиваться с первичным определением или формированием требований к будущей (создаваемой) государственной информационной системе (ГИС), информационной системе персональных данных (ИСПДн) или автоматизированной системе управления производственными (АСУ П) и технологическими процессами (АСУ ТП).

Подчас сразу сложно ответить, какие требования должны быть реализованы в той или иной системе. Для этого предлагается использовать Сравнительную таблицу требований ФСТЭК России к государственным информационным системам, информационным системам персональных данных и автоматизированным системах управления производственными и технологическими процессами, в которой наглядно приведены (для обсуждения) все необходимые требования.

Для понимания вопроса рассмотрим, какие основные нормативные документы регуляторов в области защиты информации действуют для данных информационных систем.

Государственные информационные системы

  • ­«Требования о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах», Приказ ФСТЭК России от 11.02.2013г. N 17 (Зарегистрировано в Минюсте России 31.05.2013г. N 28608);
  • Методический документ. Меры защиты информации в государственных информационных системах», Приказ ФСТЭК России от 11 февраля 2014г.

Информационные системы персональных данных

  • ­«Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных», Утверждена ФСТЭК России, 15 февраля 2008г.;
  • ­«Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных», Утверждена ФСТЭК России, 14 февраля 2008г.;
  • ­«Состав и содержание организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных», Приказ ФСТЭК России от 18.02.2013г. N 21 (Зарегистрировано в Минюсте России 14.05.2013г. N 28375). Примечание: Приказом N 21 отменено действие «Положения о методах и способах защиты информации в информационных системах персональных данных», приказ ФСТЭК России от 5 февраля 2010г. N 58 (зарегистрирован Минюстом России 19 февраля 2010г., регистрационный N 16456);
  • Методические рекомендации по обеспечению с помощью криптосредств безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств автоматизации», Утверждены ФСБ России 21 февраля 2008г. № 149/54-144;
  • ­ «Типовые требования по организации и обеспечению функционирования шифровальных (криптографических) средств, предназначенных для защиты информации, не содержащей сведений, составляющих государственную тайну в случае их использования для обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных», Утверждены ФСБ России 21 февраля 2008г. № 149/6/6-622;
  • Состав и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности», Приказ ФСБ России от 10 июня 2014г. N 378, (зарегистрировано в Минюсте России 18 августа 2014г. N 33620).

Системы управления производственными и технологическими процессами

«Требования к обеспечению защиты информации в автоматизированных системах управления производственными и технологическими процессами на критически важных объектах, потенциально опасных объектах, а также объектах, представляющих повышенную опасность для жизни и здоровья людей и для окружающей природной среды», Приказ ФСТЭК России от 14.03.2014г. N 31 (Зарегистрировано в Минюсте России 30.06.2014г. N 32919).

Документы регуляторов общие для систем ИС, ИСПДн , АСУ, в том числе для ИС общего пользования - СОП

  • ­«Специальные требования и рекомендации по технической защите конфиденциальной информации» (СТР-К), Утверждены приказом Гостехкомиссии России от 30 августа 2002г. № 282;
  • ­«Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации», решение Председателя Гостехкомиссии России от 30 марта 1992 года;
  • ­«Об электронной подписи, используемой органами исполнительной власти и органами местного самоуправления при организации электронного взаимодействия между собой, о порядке ее использования, а также об установлении требований к обеспечению совместимости средств электронной подписи» (вместе с «Правилами использования усиленной квалифицированной электронной подписи органами исполнительной власти и органами местного самоуправления при организации электронного взаимодействия между собой», «Требованиями к обеспечению совместимости средств электронной подписи при организации электронного взаимодействия органов исполнительной власти и органов местного самоуправления между собой»), Постановление Правительства РФ № 111 от 09 февраля 2012г.;
  • О видах электронной подписи, использование которых допускается при обращении за получением государственных муниципальных услуг», Постановление Правительства Российской Федерации № 634 от 25 июня 2012г.
  • ­«Положение о разработке, производстве, реализации и эксплуатации шифровальных (криптографических) средств защиты информации (Положение ПКЗ-2005)», Приказ ФСБ России от 9 февраля 2005г. N 66;
  • ­«Инструкции об организации и обеспечении безопасности хранения, обработки и передачи по каналам связи с использованием средств криптографической защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну», Приказ ФАПСИ при Президенте РФ от 13.06.2001 года № 152;
  • ­«Требований к средствам электронной подписи и требований к средствам удостоверяющего центра», Приказ ФСБ России № 796 от 27 декабря 2011г.;
  • Об аккредитации удостоверяющих центров», Приказ Минкомсвязи Российской Федерации № 203 от 21 августа 2012г.;
  • ­ГОСТ Р 51583-2000. «Защита информации. Порядок создания автоматизированных систем в защищённом исполнении. Общие положения»;
  • ­ГОСТ Р 51624-2000. «Защита информации. Автоматизированные системы в защищённом исполнении. Общие требования»;
  • ­ГОСТ РО 0043-003-2012. «Защита информации. Аттестация объектов информатизации. Общие положения»;
  • ­ГОСТ РО 0043-004-2013. «Защита информации. Аттестация объектов информатизации. Программа и методики аттестационных испытаний»;
  • ­ГОСТ 51275- 2006 «Защита информации. Объект информатизации. Факторы воздействующие на информацию. Общие положения».
  • ­РД 50-34.698-90. «Методические указания. Информационная технология. Автоматизированные системы. Требования к содержанию документов».

Особенности требований к различным системам

Примечание: В документах ФСТЭК России и ФСБ России на системы не рассматриваются вопросы обеспечения безопасности защищаемых данных, отнесенных в установленном порядке к сведениям, составляющим государственную тайну

Особенности требований к информационным системам персональных данных (ИСПДн)

  • ­Требования распространяются на обработку персональных данных, осуществляемой федеральными органами государственной власти, органами государственной власти субъектов Российской Федерации, иными государственными органами, органами местного самоуправления, иными муниципальными органами, юридическими лицами и физическими лицами с использованием средств автоматизации, в том числе в информационно-телекоммуникационных сетях, или без использования таких средств, если обработка персональных данных без использования таких средств соответствует характеру действий (операций), совершаемых с персональными данными с использованием средств автоматизации, то есть позволяет осуществлять в соответствии с заданным алгоритмом поиск персональных данных, зафиксированных на материальном носителе и содержащихся в картотеках или иных систематизированных собраниях персональных данных, и (или) доступ к таким персональным данным.
  • ­Персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).
  • ­Информационная система персональных данных (ИСПДн) - совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.

Установлены четыре уровня защищенности персональных данных. Самый низкий уровень - четвертый, самый высокий - первый.

Особенности требований к государственным информационным системам

  • ­ГИС имеет федеральный масштаб, если она функционирует на территории Российской Федерации (в пределах федерального округа) и имеет сегменты в субъектах Российской Федерации, муниципальных образованиях и (или) организациях.
  • ­ГИС имеет региональный масштаб, если она функционирует на территории субъекта Российской Федерации и имеет сегменты в одном или нескольких муниципальных образованиях и (или) подведомственных и иных организациях.
  • ­ГИС имеет объектовый масштаб, если она функционирует на объектах одного федерального органа государственной власти, органа государственной власти субъекта Российской Федерации, муниципального образования и (или) организации и не имеет сегментов в территориальных органах, представительствах, филиалах, подведомственных и иных организациях.
  • ­Требования к ГИС являются обязательными при обработке информации в государственных информационных системах, функционирующих на территории Российской Федерации, а также в муниципальных информационных системах, если иное не установлено законодательством Российской Федерации о местном самоуправлении. Требования не распространяются на государственные информационные системы Администрации Президента Российской Федерации, Совета Безопасности Российской Федерации, Федерального Собрания Российской Федерации, Правительства Российской Федерации, Конституционного Суда Российской Федерации, Верховного Суда Российской Федерации, Высшего Арбитражного Суда Российской Федерации и Федеральной службы безопасности Российской Федерации.
  • ­При обработке в государственной информационной системе информации, содержащей персональные данные, Требования к ГИС применяются наряду с требованиями к защите персональных данных при их обработке в информационных системах персональных данных, утвержденных постановлением Правительства Российской Федерации от 1 ноября 2012 г. N 1119.
  • ­По решению обладателя информации (заказчика) или оператора Требования к ГИС могут применяться для защиты информации, содержащейся в негосударственных информационных системах.

Установлены четыре класса защищенности государственной информационной системы, определяющие уровни защищенности содержащейся в ней информации. Самый низкий класс - четвертый, самый высокий - первый.

Особенности требований к системам управления производственными и технологическими процессами

  • ­Требования направлены на обеспечение функционирования АСУ в штатном режиме, при котором обеспечивается соблюдение проектных пределов значений параметров выполнения целевых функций АСУ в условиях воздействия угроз безопасности информации, а также на снижение рисков незаконного вмешательства в процессы функционирования АСУ критически важных объектов, потенциально опасных объектов, объектов, представляющих повышенную опасность для жизни и здоровья людей и для окружающей природной среды, в том числе опасных производственных объектов, безопасность которых обеспечивается в соответствии с законодательством Российской Федерации о безопасности объектов топливно-энергетического комплекса, о транспортной безопасности, об использовании атомной энергии, о промышленной безопасности опасных производственных объектов, о безопасности гидротехнических сооружений и иных законодательных актов Российской Федерации.
  • ­Распространяются на АСУ, обеспечивающие контроль и управление технологическим и (или) производственным оборудованием (исполнительными устройствами) и реализованными на нем технологическими и (или) производственными процессами (в том числе системы диспетчерского управления, системы сбора (передачи) данных, системы, построенные на основе программируемых логических контроллеров, распределенные системы управления, системы управления станками с числовым программным управлением).
  • ­АСУ, как правило, имеют многоуровневую структуру:
    • уровень операторского (диспетчерского) управления (верхний уровень);
    • уровень автоматического управления (средний уровень);
    • уровень ввода (вывода) данных исполнительных устройств (нижний (полевой) уровень).
  • ­ Автоматизированная система управления может включать:
    • на уровне операторского (диспетчерского) управления: операторские (диспетчерские), инженерные автоматизированные рабочие места, промышленные серверы (SCADA-серверы) с установленным на них общесистемным и прикладным программным обеспечением, телекоммуникационное оборудование (коммутаторы, маршрутизаторы, межсетевые экраны, иное оборудование), а также каналы связи;
    • на уровне автоматического управления: программируемые логические контроллеры, иные технические средства с установленным программным обеспечением, получающие данные с нижнего (полевого) уровня, передающие данные на верхний уровень для принятия решения по управлению объектом и (или) процессом и формирующие управляющие команды (управляющую (командную) информацию) для исполнительных устройств, а также промышленная сеть передачи данных;
    • на уровне ввода (вывода) данных (исполнительных устройств): датчики, исполнительные механизмы, иные аппаратные устройства с установленными в них микропрограммами и машинными контроллерами.

В АСУ объектами защиты являются:

  • ­информация (данные) о параметрах (состоянии) управляемого (контролируемого) объекта или процесса (входная (выходная) информация, управляющая (командная) информация, контрольно-измерительная информация, иная критически важная (технологическая) информация);
  • в том числе автоматизированные рабочие места, промышленные серверы, телекоммуникационное оборудование, каналы связи, программируемые логические контроллеры, исполнительные устройства), программное обеспечение (в том числе микропрограммное, общесистемное, прикладное), а также средства защиты информации.

Установлены три класса защищенности автоматизированной системы управления, определяющие уровни защищенности АСУ. Самый низкий класс - третий, самый высокий - первый.

Для всех приведенных систем, для обеспечения защиты информации, проводятся следующие типовые мероприятия:

  • ­ формирование требований к защите информации, содержащейся в ГИС (ИСПДн, АСУ);
  • ­ разработка системы защиты информации ГИС (ИСПДн, АСУ);
  • ­ внедрение системы защиты информации ГИС (ИСПДн, АСУ);
  • ­ аттестация ГИС (ИСПДн, АСУ) и ввод ее в действие;
  • ­ обеспечение защиты информации в ходе эксплуатации аттестованной ГИС (ИСПДн, АСУ);
  • ­ обеспечение защиты информации при выводе из эксплуатации аттестованной ГИС (ИСПДн, АСУ) или после принятия решения об окончании обработки информации.

Для всех систем (ГИС, ИСПДн, АСУ) определены базовые наборы мер защиты информации и требования к их реализации, которые необходимо выбирать в зависимости от класса или уровня защищенности системы, определяемой обязательно с учетом Модели угроз (включая модель нарушителя) безопасности информации.

Таким образом, рассмотрев особенности и различия в трех системах (ГИС, ИСПДн, АСУ) и используя Сравнительную таблицу требований ФСТЭК России будет не сложно объяснить Заказчику или должностному лицу ведомства, не ознакомленных с различиями в системах, что необходимо реализовать в той или иной системе.