|
|
@@ -2,7 +2,7 @@
|
|
|
|
|
|
Настоящий стандарт распространяется на создаваемые (модернизируемые) информационные автоматизированные системы, в отношении которых законодательством или заказчиком установлены требования по их защите, и устанавливает содержание и порядок выполнения работ на стадиях и этапах создания автоматизированных систем в защищенном исполнении, содержание и порядок выполнения работ по защите информации о создаваемой (модернизируемой) автоматизированной системе в защищенном исполнении.
|
|
|
|
|
|
-Примечание - В качестве основных видов автоматизированных систем рассматриваются автоматизированные рабочие места и информационные системы. Положения настоящего стандарта дополняют положения комплекса стандартов "Информационная технология. Комплекс стандартов на автоматизированные системы" в части порядка создания автоматизированных систем в защищенном исполнении.
|
|
|
+Цель доклада — определить содержание работ по защите информации на этапах модернизации автоматизированной системы (АС), а также порядок их выполнения в рамках защищенного исполнения. В условиях современного информационного пространства защитa информации приобретает критическое значение: модернизация должна сохранять или повышать конфиденциальность, целостность и доступность данных, обеспечивать устойчивость к угрозам и соответствовать требованиям нормативно-правовых актов и внутренних регламентов организации.
|
|
|
|
|
|
|
|
|
|
|
|
@@ -42,56 +42,53 @@
|
|
|
**ТС** - техническое средство.
|
|
|
|
|
|
|
|
|
-# Общие положения
|
|
|
-Для обработки информации, необходимость защиты которой определяется законодательством Российской Федерации или решением ее обладателя, должны создаваться АСЗИ, в которых реализованы в соответствии с действующими нормативными правовыми актами требования о ЗИ. Реализация требований о ЗИ в АСЗИ осуществляется системой ЗИ, являющейся неотъемлемой составной частью АСЗИ.
|
|
|
+# Этапы модернизации и требования к защите информации
|
|
|
+**Этап 1. Подготовительный анализ и планирование**
|
|
|
+1. Оценка текущего уровня защиты информации (АС безопасная архитектура, наличие средств защиты, регламенты).
|
|
|
|
|
|
-Целью создания системы ЗИ АСЗИ является обеспечение ЗИ от неправомерного доступа, уничтожения, модифицирования, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении такой информации, соблюдение конфиденциальности информации ограниченного доступа, реализация права на доступ к информации.
|
|
|
+2. Формирование требований к защите информации для будущей архитектуры.
|
|
|
|
|
|
-При создании (модернизации) АСЗИ необходимо руководствоваться следующими общими требованиями:
|
|
|
+3. Разработка плана модернизации с указанием контрольных точек, сроков, ответственных и ресурсов.
|
|
|
|
|
|
-- система ЗИ АСЗИ должна обеспечивать комплексное решение задач по ЗИ от НСД, от утечки защищаемой информации по техническим каналам, от несанкционированных и непреднамеренных воздействий на информацию (на носители информации) применительно к конкретной АСЗИ. Состав решаемых задач по ЗИ определяется задачами обработки информации, решаемыми с использованием АСЗИ, ее программным и аппаратным составом, конфигурацией этой системы, условиями функционирования, требованиями, предъявляемыми к обрабатываемой информации, угрозами безопасности информации;
|
|
|
+4. Идентификация критичных данных и режимов их обработки.
|
|
|
|
|
|
-- система ЗИ АСЗИ должна разрабатываться (проектироваться) с учетом возможности реализации требований о защите обрабатываемой информации при использовании в АСЗИ методов и программно-аппаратных средств организации сетевого взаимодействия;
|
|
|
+**Этап 2. Проектирование защищенного исполнения**
|
|
|
+1. Выбор архитектурных решений с учетом разделения доверий, сегментации сети, применения безопасных сред выполнения.
|
|
|
|
|
|
-- система ЗИ АСЗИ должна создаваться с учетом обеспечения возможности формирования различных вариантов ее построения, а также расширения возможностей ее составных частей (сегментов) в зависимости от условий функционирования АСЗИ и требований о ЗИ;
|
|
|
+2. Определение требований к конфиденциальности и целостности данных на новых узлах и каналах передачи.
|
|
|
|
|
|
-- ЗИ должна обеспечиваться во всех составных частях (сегментах) АСЗИ, используемых в обработке защищаемой информации; - входящие в состав АСЗИ средства ЗИ и контроля эффективности ЗИ не должны препятствовать нормальному функционированию АСЗИ;
|
|
|
+3. Планирование обновления платформ, операционных систем, СУБД и приложений с учетом совместимости и миграционных рисков.
|
|
|
|
|
|
-- программное обеспечение системы ЗИ должно быть совместимым с программным обеспечением других составных частей (сегментов) АСЗИ и не должно снижать требуемый уровень защищенности информации в АСЗИ;
|
|
|
+4. Определение механизмов защиты на этапе транзита и хранения (шифрование, ключи, управление доступом).
|
|
|
|
|
|
-- программно-технические средства, используемые для построения системы ЗИ, должны быть совместимы между собой (корректно работать совместно) и не должны снижать уровень защищенности информации в АСЗИ. ЗИ о создаваемой АСЗИ является составной частью работ по их созданию и осуществляется во всех организациях, участвующих в процессе создания (модернизации) этих систем.
|
|
|
+**Этап 3. Разработка и закупка средств защиты**
|
|
|
+1. Создание или адаптация средств защиты информации: криптографические модули, средства аутентификации и авторизации, контроля доступа, мониторинг и аудит.
|
|
|
|
|
|
-Обеспечение ЗИ в АСЗИ достигается заданием, реализацией и контролем выполнения требований о защите информации:
|
|
|
+2. Обеспечение совместимости с существующей инфраструктурой и соответствие требованиям безопасности.
|
|
|
|
|
|
-- к процессу хранения, передачи и обработки защищаемой в АСЗИ информации;
|
|
|
+3. Проведение тендера/закупки с учетом критериев ИБ, сертификаций, поставщиков и гарантий.
|
|
|
|
|
|
-- к системе ЗИ;
|
|
|
+**Этап 4. Реализация мер защиты на этапах внедрения**
|
|
|
+1.Внедрение средств защиты без прерывания основных бизнес-процессов.
|
|
|
|
|
|
-- к взаимодействию АСЗИ с другими АС;
|
|
|
+2. Настройка криптографических режимов, политик доступа, журналирования событий.
|
|
|
|
|
|
-- к условиям функционирования АСЗИ;
|
|
|
+3. Развертывание систем мониторинга инцидентов и реагирования на них.
|
|
|
|
|
|
-- к содержанию работ по созданию (модернизации) АСЗИ на различных стадиях и этапах ее создания (модернизации);
|
|
|
+4. Организация резервного копирования и восстановления, планов аварийного восстановления.
|
|
|
|
|
|
-- к организациям (должностным лицам), участвующим в создании (модернизации) и эксплуатации АСЗИ;
|
|
|
+**Этап 5. Проверка соответствия и приемка**
|
|
|
+1. Проведение аудита безопасности и тестирования на проникновение, тестирования на устойчивость к сбоям.
|
|
|
|
|
|
-- к документации на АСЗИ;
|
|
|
+2. Верификация выполнения всех требований по защите информации, соответствие нормативам и внутренним регламентам.
|
|
|
|
|
|
-- к АСЗИ в целом.
|
|
|
+3. Оформление актов приемки и регистрации изменений.
|
|
|
|
|
|
-АСЗИ должны создаваться в соответствии с ТЗ, являющимся основным документом, на основании которого выполняются работы, необходимые для создания (модернизации) АСЗИ в целом и ее системы ЗИ, и осуществляется приемка этих работ заказчиком.
|
|
|
+**Этап 6. Эксплуатация и сопровождение**
|
|
|
+1. Постоянный мониторинг состояния защиты, обновление политик безопасности, управление уязвимостями.
|
|
|
+2. Обновление документации и процессов в связи с изменениями в инфраструктуре.
|
|
|
+3. Обучение пользователей и операторов правилам безопасной эксплуатации.
|
|
|
|
|
|
-Процесс создания АСЗИ должен представлять собой совокупность упорядоченных во времени, взаимосвязанных, объединенных в стадии и этапы работ, выполнение которых необходимо и достаточно для создания АСЗИ, соответствующей заданным к ней требованиям.
|
|
|
-
|
|
|
-В работах по созданию (модернизации) АСЗИ и ее системы ЗИ участвуют:
|
|
|
-
|
|
|
-- заказчик АСЗИ - в части задания в ТЗ на АСЗИ и систему ЗИ, включения в документацию на АСЗИ обоснованных требований о защите обрабатываемой АСЗИ информации и контроля их выполнения в процессе экспертизы документации, испытаний и приемки как АСЗИ в целом, так и системы ЗИ, а также в части организации аттестации АСЗИ на соответствие требованиям безопасности информации и сопровождения АСЗИ в ходе ее эксплуатации;
|
|
|
-
|
|
|
-- разработчик АСЗИ - в части обеспечения соответствия разрабатываемой АСЗИ и ее системы ЗИ требованиям ТЗ, нормативных правовых актов, методических документов и национальных стандартов в области защиты информации;
|
|
|
-
|
|
|
-- изготовитель ТС и ПС - в части осуществления технических мер по обеспечению соответствия изготавливаемых ТС и ПС заданным требованиям о защите обрабатываемой АСЗИ информации, в соответствии с документацией на АСЗИ;
|
|
|
-
|
|
|
-- поставщик ТС и ПС - в части поставки ТС и ПС для АСЗИ, соответствующих требованиям по ЗИ, по заказу изготовителя, разработчика или заказчика и их гарантийного и послегарантийного обслуживания.
|
|
|
|
|
|
# Содержание работ по защите информации
|
|
|
Содержание работ включает комплекс мероприятий, направленных на анализ, планирование и реализацию мер безопасности:
|
|
|
@@ -129,13 +126,31 @@
|
|
|
Весь процесс занимает от нескольких недель до месяцев, в зависимости от сложности АС. Важно соблюдать нормативные требования, такие как ФЗ-152 "О персональных данных" в России.
|
|
|
|
|
|
|
|
|
+# Роли и ответственности
|
|
|
+Специалисты по информационной безопасности защищают данные от внутренних и внешних угроз, например, от несанкционированного копирования, искажения, уничтожения, блокирования. Некоторые задачи:
|
|
|
+**Предотвращение утечки данных**, к которым имеет доступ ограниченное число должностных лиц или служащих (государственной, коммерческой, банковской тайны).
|
|
|
+**Обеспечение безопасного доступа** сотрудников к информационным ресурсам. Используются системы управления доступом и аутентификации, которые устанавливают права доступа к данным в зависимости от роли сотрудника.
|
|
|
+**Обучение персонала** основам безопасности данных, например, чтобы сотрудники могли распознавать социальную инженерию и противостоять уловкам злоумышленников.
|
|
|
+
|
|
|
+**Внедрение комплексной системы защиты** данных включает анализ рисков, разработку планов реагирования на инциденты, регулярные аудиты безопасности и другие меры.
|
|
|
+
|
|
|
+Нарушение требований законодательства в сфере защиты информации влечёт за собой ответственность. Некоторые виды санкций:
|
|
|
+**Административная ответственность** — штрафы для должностных лиц и юридических лиц за нарушение требований законодательства о персональных данных (ст. 13.11 КоАП РФ). Размеры штрафов могут быть значительными, особенно за повторные нарушения.
|
|
|
+**Гражданская ответственность** — в случае утечки персональных данных граждане имеют право обратиться в суд с иском о возмещении морального вреда и убытков, причинённых нарушением их прав.
|
|
|
+**Уголовная ответственность** — в случаях, когда нарушение информационной безопасности привело к тяжким последствиям, таким как крупный материальный ущерб, нарушение работы критической инфраструктуры или причинение вреда здоровью людей (ст. 272, 273, 274.1 УК РФ). В зависимости от тяжести преступления, виновным грозит лишение свободы на срок до десяти лет.
|
|
|
+
|
|
|
+**В большинстве случаев** ответственность за обеспечение информационной безопасности возлагается на руководство организации — генерального директора, исполнительного директора, директора по ИТ или информационной безопасности.
|
|
|
+
|
|
|
+
|
|
|
+
|
|
|
|
|
|
|
|
|
# Заключение
|
|
|
-В заключении могу сказать, что модернизация АС в защищенном исполнении требует тщательного подхода к защите информации, чтобы сохранить доверие пользователей и предотвратить инциденты. Следуя описанному содержанию и порядку, организации могут успешно обновлять системы без компрометации безопасности.
|
|
|
+Модернизация автоматизированной системы в защищенном исполнении требует комплексного подхода к защите информации на всех этапах жизненного цикла проекта. Важны четкие регламенты, продуманная архитектура, современные средства защиты и непрерывное совершенствование процессов. Только так можно обеспечить сохранение конфиденциальности, целостности и доступности данных, минимизировать риски и обеспечить устойчивость к внешним и внутренним угрозам.
|
|
|
|
|
|
|
|
|
|
|
|
**Источники:**
|
|
|
-1. https://normativ.kontur.ru/document?moduleId=9&documentId=252836
|
|
|
-2. http://www.ktso.ru/normdoc11/gost_p_51583-2014/gost_p_51583-2014_7.php
|
|
|
+1. https://nkjustice.ru/ib_riski
|
|
|
+2. http://www.ktso.ru/normdoc11/gost_p_51583-2014/gost_p_51583-2014_7.php
|
|
|
+3. https://developers.sber.ru/help/business-development/infrastructure-security
|
