Проект
Политика информационной безопасности
Республики Коми
СОДЕРЖАНИЕ
.... 1 Введение
.... 2.Термины и определения
.... 3.Обозначения и сокращения
4. Электронное правительство - система информационных контуров
государства
.Основные принципы обеспечения информационной безопасности электронного правительства Республики Коми
6. Модели угроз и нарушителей информационной безопасности
электронного правительства Республики Коми
.Описание политики информационной безопасности электронного
правительства Республики Коми
7.1. Состав и назначение политики информационной безопасности
7.2. Общие (основные) требования по обеспечению информационной безопасности, отображаемые в политиках информационной безопасности
7.3.Общие требования по обеспечению информационной безопасности при назначении и распределении ролей и обеспечении доверия к персоналу
7.4. Общие требования по обеспечению информационной безопасности
информационных систем на стадиях жизненного цикла
7.5. Общие требования по обеспечению информационной безопасности
при управлении доступом и регистрации
7.6. Общие требования по обеспечению информационной безопасности
средствами антивирусной защиты
7.7. Общие требования по обеспечению информационной безопасности
при использовании ресурсов сети Интернет
7.8. Общие требования по обеспечению информационной безопасности
при использовании средств криптографической защиты информации
7.9. Общие требования по обеспечению информационной безопасности
при работе с электронной цифровой подписью
7.10.Общие требования по обеспечению информационной безопасности
при работе с персональными данными
7.11.Общие требования по обеспечению информационной безопасности
основных компонент электронного правительства
7.12.Общие требования по обеспечению информационной безопасности
распределённой мультисервисной сети
7.13. Специальные требования по обеспечению информационной
безопасности распределённой мультисервисной сети
.... 8.Управление информационной безопасностью электронного
правительства Республики Коми
9.Реагирование на инциденты безопасности
9.1.Этапы реагирования на инциденты безопасности
9.1.1.Обнаружение инцидента безопасности
9.1.2.Начальное реагирование на инцидент безопасности
9.1.3.Регистрация и документирование инцидентов безопасности
9.1.4.Внутреннее расследование инцидента безопасности
9.1.5.Эскалация инцидента безопасности
9.1.6.Организационное и техническое реагирование на инциденты безопасности
10. Аудит информационной безопасности электронного правительства
Республики Коми
1. Введение
Настоящая «Политика информационной безопасности электронного правительства Республики Коми» является нормативным документом и устанавливает основные требования, предъявляемые к информационно-телекоммуникационной инфраструктуре (далее ИТИ) электронного правительства Республики Коми для обеспечения требуемого уровня безопасности обрабатываемой в ней информации при её проектировании, внедрении и эксплуатации.
Защите подлежат обрабатываемые в ИТИ информационные ресурсы, относящиеся в соответствии с действующими федеральными нормативными правовыми актами к конфиденциальной информации, а также общедоступные информационные ресурсы с целью реализации права на доступ к информации и обеспечения защиты информации от уничтожения, модифицирования, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении такой информации. Перечень защищаемых информационных ресурсов определяется внутренними организационно-распорядительными документами органов исполнительной власти Республики Коми.
Настоящий документ предназначен для подразделений органов государственной власти Республики Коми, государственных учреждений Республики Коми, отвечающих за внедрение и эксплуатацию инфраструктуры электронного правительства Республики Коми, обеспечение безопасности информации, а также для подрядных организаций (разработчиков), осуществляющих создание или модернизацию ИТИ. Настоящий документ должен служить нормативно-методическим материалом при формулировании требований по обеспечению безопасности информации в технических заданиях на создание (модернизацию) как ИТИ электронного правительства Республики Коми в целом, так и её функциональных (прикладных) подсистем или отдельных объектов.
Требования к ИТИ должны уточняться по результатам обследования и моделирования возможных угроз безопасности информации применительно к конкретному компоненту электронного правительства Республики Коми, для которого планируется развёртывание элементов ИТИ. Все изменения требований к ИТИ относительно настоящего документа, обусловленные результатами проводимого обследования и моделирования возможных угроз безопасности информации, должны быть обоснованы и документально оформлены надлежащим образом.
Уточненные требования, предъявляемые к ИТИ для обеспечения требуемого уровня безопасности информации для конкретного компонента электронного правительства Республики Коми, должны быть отражены в технических заданиях на создание (модернизацию) данной ИТИ отдельным разделом или частном техническом задании на создание системы обеспечения безопасности информации ИТИ.
Для достижения требуемого уровня защищенности ИТИ, в её системе обеспечения безопасности информации могут быть использованы (задействованы) механизмы (отдельные функции) защиты, реализуемые общесистемным программным обеспечением (ОС, СУБД), специальным программным обеспечением сетевых узлов ИТИ, другим прикладным программным обеспечением (ПО) или специальными средствами защиты (СЗИ) информации. При этом, наличие соответствующих механизмов защиты (функциональных компонент безопасности) должно быть продекларировано производителем соответствующего ПО и подтверждено соответствующими сертификатами ФСБ России и ФСТЭК России.
Настоящий документ не исключает необходимости выполнения требований действующих федеральных нормативных правовых актов, российских и международных стандартов, устанавливающих требования к обеспечению безопасности и разработки автоматизированных систем, в том числе следующих:
- Доктрина информационной безопасности Российской Федерации, утвержденная Президентом Российской Федерации 09 сентября 2000 года №Пр-1895;
- Федеральный закон № 1-ФЗ от 10 января 2002 года «Об электронной цифровой подписи»;
- Федеральный закон № 149-ФЗ от 27 июля 2006 года «Об информации, информационных технологиях и защите информации»;
- Федеральный закон № 152-ФЗ от 27 июля 2006 года «О персональных данных»;
- Закон Республики Коми от 29 сентября 2010 года «О государственных информационных системах Республики Коми»;
- Указ Президента Российской Федерации № 000 от 01.01.01 года «О мерах по обеспечению информационной безопасности Российской Федерации при использовании информационно-телекоммуникационных сетей международного информационного обмена»;
- Постановление Правительства Российской Федерации № 781 от 17 ноября 2007 года «Об утверждении положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных»;
- Постановление Правительства Российской Федерации № 687 от 15 сентября 2008 года «Об утверждении положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»;
- Постановление Правительства Российской Федерации № 424 от 18 мая 2009 года «Об особенностях подключения федеральных государственных информационных систем к информационно-телекоммуникационным сетям»;
- Постановление Правительства Республики Коми от 23 апреля 2010 года № 000 «Об организации электронного документооборота в системе исполнительной власти Республики Коми»;
- Распоряжение Правительства Республики Коми от 16 августа 2010 года «Об утверждении Концепции информатизации Республики Коми»;
- Совместный Приказ ФСТЭК России, ФСБ России и Мининформсвязи России № 55/86/20 от 13 февраля 2008 года «Об утверждении Порядка проведения классификации информационных систем персональных данных».
- Приказ ФСТЭК России № 58 от 5 февраля 2010 года «Об утверждении положения о методах и способах защиты информации в информационных системах персональных данных».
- Приказ Гостехкомиссии России № 282 от 30 августа 2002 года «Специальные требования и рекомендации по технической защите конфиденциальной информации (СТР-К)».
- Приказ Федеральной службы по надзору в сфере массовых коммуникаций, связи и охраны культурного наследия № 154 от 28 апреля 2008 года «Об утверждении Положения о ведении реестра операторов, осуществляющих обработку персональных данных».
- Приказ ФСБ России № 66 от 9 февраля 2005 года «Об утверждении положения о разработке, производстве, реализации и эксплуатации шифровальных (криптографических) средств защиты информации (положение ПКЗ-2005)».
- Совместный Приказ ФСБ России и ФСТЭК России № 000/489 от 01.01.01 года «Об утверждении требований о защите информации, содержащейся в информационных системах общего пользования»;
- Руководящий документ ФСБ России № 149/5-144 от 21 февраля 2008 года «Методические рекомендации по обеспечению с помощью криптосредств безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств автоматизации»;
- Руководящий документ ФСБ России № 149/6/6-622 от 21 февраля 2008 года «Типовые требования по организации и обеспечению функционирования шифровальных (криптографических) средств, предназначенных для защиты информации, не содержащей сведений, составляющих государственную тайну, в случае их использования для обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных»;
- Приказ ФАПСИ № 152 от 13 июня 2001 года «Об утверждении инструкции об организации и обеспечении безопасности хранения, обработки и передачи по каналам связи с использованием средств криптографической защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну»;
- РД Гостехкомиссии России «Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации»;
- РД 50-34.698-90 «Автоматизированные системы. Требования к содержанию документов»;
- ГОСТ 34.601-90 «Информационная технология. Комплекс стандартов на автоматизированные системы. Автоматизированные системы. Стадии создания»;
- ГОСТ Р «Защита информации. Испытание программных средств на наличие компьютерных вирусов. Типовое руководство»;
- ГОСТ Р «Защита информации. Порядок создания автоматизированных систем в защищённом исполнении»;
- ГОСТ Р «Защита информации. Автоматизированные системы в защищённом исполнении. Общие требования»;
- ГОСТ Р «Защита информации. Основные термины и определения»;
- ГОСТ Р «Защита информации. Объекты информатизации. Факторы, воздействующие на информацию»;
- ГОСТ Р ИСО/МЭК 2 «Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 1. Введение и общая модель»;
- ГОСТ Р ИСО/МЭК 2 «Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 2. Функциональные требования безопасности»;
- ГОСТ Р ИСО/МЭК 2 «Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 3. Требования доверия безопасности»;
- ГОСТ Р ИСО/МЭК «Информационная технология. Процессы жизненного цикла программных средств»;
- ГОСТ Р ИСО/МЭК ТО «Информационная технология. Руководство по применению ГОСТ Р ИСО/МЭК 12207 (Процессы жизненного цикла программных средств)»;
- ГОСТ Р ИСО/МЭК «Информационная технология. Практические правила управления информационной безопасностью».
2. Термины и определения
Владелец информации - субъект, осуществляющий владение и пользование информацией и реализующий полномочия распоряжения в пределах прав, установленных законом и/или собственником информации.
Закрытый ключ электронной цифровой подписи - уникальная последовательность символов, известная владельцу сертификата ключа подписи и предназначенная для создания в электронных документах электронной цифровой подписи с использованием средств электронной цифровой подписи.
Защита информации - деятельность, направленная на предотвращение утечки защищаемой информации, несанкционированных и непреднамеренных воздействий на защищаемую информацию.
Защита информации от несанкционированного воздействия - деятельность, направленная на предотвращение воздействия на защищаемую информацию с нарушением установленных прав и (или) правил на изменение информации, приводящего к ее искажению, уничтожению, блокированию доступа к информации, а также к утрате, уничтожению или сбою функционирования носителя информации.
Защита информации от несанкционированного доступа - деятельность, направленная на предотвращение получения защищаемой информации заинтересованным субъектом с нарушением установленных правовыми документами или собственником, владельцем информации прав или правил доступа к защищаемой информации.
Защищаемая информация - информация, являющаяся предметом собственности и подлежащая защите в соответствии с требованиями правовых документов или требованиями, устанавливаемыми собственником информации.
Инцидент безопасности – Одно или серия нежелательных или неожиданных событий в системе информационной безопасности, которые имеют большой шанс скомпрометировать деловые операции и поставить под угрозу защиту информации.
Информатизация - организационный социально-экономический и научно-технический процесс создания оптимальных условий для удовлетворения информационных потребностей и реализации прав граждан, органов государственной власти, органов местного самоуправления, организаций, общественных объединений на основе формирования и использования информационных ресурсов.
Информационная безопасность - состояние защищенности информационной среды общества, обеспечивающее ее формирование, использование и развитие в интересах граждан, организаций, государства.
Информационные ресурсы - отдельные документы и отдельные массивы документов, документы и массивы документов в информационных системах (библиотеках, архивах, фондах, банках данных, других информационных системах).
Информационная система - совокупность содержащейся в базах данных информации и обеспечивающих ее обработку информационных технологий и технических средств;
Информационная система персональных данных - информационная система, представляющая собой совокупность персональных данных, содержащихся в базе данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных с использованием средств автоматизации или без использования таких средств.
Информационно-телекоммуникационная инфраструктура - технологическая система, предназначенная для передачи по линиям связи информации, доступ к которой осуществляется с использованием средств вычислительной техники;
Информация - сведения о лицах, предметах, фактах, событиях, явлениях и процессах независимо от ее формы их представления.
Информация ограниченного доступа - информация, отнесенная к государственной тайне, должностной (служебной) тайне, коммерческой, банковской тайне, а также иные сведения конфиденциального характера, доступ к которым законодательно ограничен.
Межсетевой экран – локальное (однокомпонентное) или функционально-распределенное программное (программно-аппаратное) средство (комплекс), реализующее контроль за информацией, поступающей в информационную систему и/или выходящей из информационной системы.
Объект защиты информации:
- информация или носитель информации, или информационный процесс, которые необходимо защищать в соответствии с поставленной целью защиты информации;
- система обработки данных, содержащая информацию, подлежащую защите.
Оператор информационной системы - гражданин или юридическое лицо, осуществляющие деятельность по эксплуатации информационной системы, в том числе по обработке информации, содержащейся в ее базах данных.
Организация – орган исполнительной власти Республики Коми, государственный орган Республики Коми, образованный Главой Республики Коми или Правительством Республики Коми, государственное бюджетное (автономное) учреждение Республики Коми, обеспечивающее выполнение одного или нескольких компонент электронного правительства Республики Коми.
Открытый ключ электронной цифровой подписи - уникальная последовательность символов, соответствующая закрытому ключу электронной цифровой подписи, доступная любому пользователю информационной системы и предназначенная для подтверждения с использованием средств электронной цифровой подписи подлинности электронной цифровой подписи в электронном документе.
Персональные данные - любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация.
Пользователь (потребитель) информации - субъект, пользующийся информацией, полученной от ее собственника, владельца или посредника, в соответствии с установленными правами и правилами доступа к информации либо с их нарушением.
Роль - заранее определенная совокупность правил, устанавливающих допустимое взаимодействие между субъектом, например, сотрудником организации, и неким объектом, например, программно-аппаратным средством.
Сертификат ключа подписи - документ на бумажном носителе или электронный документ с электронной цифровой подписью уполномоченного лица удостоверяющего центра, которые включают в себя открытый ключ электронной цифровой подписи и которые выдаются удостоверяющим центром участнику информационной системы для подтверждения подлинности электронной цифровой подписи и идентификации владельца сертификата ключа подписи.
Собственник информации - субъект, в полном объеме реализующий полномочия владения, пользования, распоряжения информацией в соответствии с законодательными актами.
Событие информационной безопасности - идентифицированное появление определенного состояния системы, сервиса или сети, указывающего на возможное нарушение политики ИБ или отказ защитных мер, или возникновение неизвестной ранее ситуации, которая может иметь отношение к безопасности.
Субъект информационных отношений - физическое или юридическое лицо, обладающее определенным правом по отношению к информационному ресурсу.
Электронная цифровая подпись - реквизит электронного документа, предназначенный для защиты данного электронного документа от подделки, полученный в результате криптографического преобразования информации с использованием закрытого ключа электронной цифровой подписи и позволяющий идентифицировать владельца сертификата ключа подписи, а также установить отсутствие искажения информации в электронном документе.
Электронное правительство - государственная сетевая информационно - телекоммуникационная инфраструктура и соответствующий программно-технологический комплекс, обеспечивающие оптимальное с точки зрения государства (власти) и общества функционирование всех ветвей и уровней государственной власти и управления, поддерживающие процесс реализации органами государственной власти и органами местного самоуправления установленных законодательством функций.
3. Обозначения и сокращения
РФ - Российская Федерация;
АРМ – автоматизированное рабочее место;
АС - автоматизированная система;
ЖЦ - жизненный цикл;
ИБ - информационная безопасность;
ИС – информационная система;
ИТИ - информационно-телекоммуникационная инфраструктура;
ЛВС - локальная вычислительная сеть;
ОС - операционная система;
СВТ - средства вычислительной техники;
СКЗИ - средство криптографической защиты информации;
СИБ – система обеспечения информационной безопасности;
СУБД - система управления базами данных;
НСД - несанкционированный доступ;
ЭВМ - электронная вычислительная машина;
ЭП – электронное правительство;
ЭЦП - электронная цифровая подпись;
4. Электронное правительство - система информационных
контуров государства
Инфраструктура электронного правительства состоит из двух взаимосвязанных (интегрированных, но функционально самостоятельных) контуров:
- внутренний (служебный) контур - государственная информационная инфраструктура (государственная информационно-телекоммуникационная сеть)
- внешний (публичный, открытый) контур – публичная информационная инфраструктура, обеспечивающие взаимодействие государства с гражданами и юридическими лицами.
Под инфраструктурой в данном случае понимаются информационные ресурсы и информационные системы (ИС) министерств и ведомств Республики Коми, органов местного самоуправления Республики Коми, информационные сервисы, программно-технологические решения и пользовательские приложения, методы организации и управления, система защиты информации, служащие и персонал, а также средства доступа граждан и юридических лиц к информационным ресурсам и ИС.
Электронное правительство базируется на сетевой информационно-телекоммуникационной инфраструктуре, осуществляющей взаимодействие с гражданами и юридическими лицами в постоянном интерактивном режиме.
Инфраструктура электронного правительства состоит из нескольких функциональных сегментов (компонентов):
- инфраструктура электронного взаимодействия органов государственной власти с гражданами;
- инфраструктура электронного взаимодействия органов государственной власти с бизнесом;
- инфраструктура электронного взаимодействия органов государственной власти с общественными организациями;
- инфраструктура электронного взаимодействия органов государственной власти с партнерами и поставщиками необходимых для государства товаров и услуг;
- инфраструктура межведомственного электронного взаимодействия органов государственной власти, а также взаимодействия между республиканскими органами власти с законодательной и судебной властью; между республиканскими органами власти с министерствами и департаментами федерального правительства; между республиканскими органами власти и органами местного самоуправления;
- инфраструктура, поддерживающая внутрикорпоративное государственное электронное взаимодействие и поддерживающая административно управленческие, экспертно-аналитические, планирующие, контрольные и иные процедуры и процессы повседневной деятельности государственного аппарата, включая взаимодействие между отдельными государственными служащими.
5. Основные принципы обеспечения информационной безопасности электронного правительства Республики Коми
Определенность целей. Функциональные цели и цели ИБ компонентов электронного правительства должны быть явно определены во внутреннем документе организации, реализующей этот компонент. Неопределенность приводит к “расплывчатости” организационной структуры, ролей персонала, политик ИБ и невозможности оценки адекватности принятых защитных мер.
Своевременность обнаружения проблем. Необходимо своевременно обнаруживать проблемы, потенциально способные повлиять на функциональные цели и цели ИБ компонентов электронного правительства и информационно-телекоммуникационной инфраструктуры.
Прогнозируемость развития проблем. Необходимо выявлять причинно-следственную связь возможных проблем и строить на этой основе точный прогноз их развития.
Оценка влияния проблем на функциональные цели. Необходимо адекватно оценивать степень влияния выявленных проблем на функциональные цели и цели ИБ компонентов электронного правительства.
Адекватность защитных мер. Необходимо выбирать защитные меры, адекватные моделям угроз и нарушителей, с учетом затрат на реализацию таких мер и объема возможных потерь от выполнения угроз.
Эффективность защитных мер. Необходимо эффективно реализовывать принятые защитные меры.
Использование опыта при принятии и реализации решений. Необходимо накапливать, обобщать и использовать как свой опыт, так и опыт других организаций на всех уровнях принятия решений и их исполнения.
Контролируемость защитных мер. Необходимо применять только те защитные меры, правильность работы которых может быть проверена, при этом необходимо регулярно оценивать адекватность защитных мер и эффективность их реализации с учетом влияния защитных мер на функциональные цели и цели ИБ компонентов электронного правительства.
Наблюдаемость и оцениваемость обеспечения ИБ. Любые предлагаемые защитные меры должны быть устроены так, чтобы результат их применения был явно наблюдаем (прозрачен) и мог быть оценен подразделением организации, имеющим соответствующие полномочия.
6. Модели угроз и нарушителей информационной безопасности электронного правительства Республики Коми
Модели угроз и нарушителей (прогноз ИБ) должны быть основным инструментом при развертывании, поддержании и совершенствовании системы обеспечения ИБ компонентов электронного правительства.
Деятельность электронного правительства Республики Коми поддерживается входящей в его состав информационной инфраструктурой, которая обеспечивает реализацию компонентов электронного правительства и может быть представлена в виде иерархии следующих основных уровней:
- физического (линии связи, аппаратные средства и пр.);
- сетевого (сетевые аппаратные средства: маршрутизаторы, коммутаторы, концентраторы, межсетевые экраны и пр.);
- сетевых приложений и сервисов;
- операционных систем (ОС);
- систем управления базами данных (СУБД);
- технологических процессов и приложений (система межведомственного электронного взаимодействия, Интернет-портал и портал государственных услуг, удостоверяющий центр и пр.);
- функциональных процессов организаций, реализующих компоненты электронного правительства (система электронного документооборота, обработка обращений граждан и пр.).
На каждом из уровней угрозы и их источники (в т. ч. злоумышленники), методы и средства защиты и подходы к оценке эффективности являются различными.
Для каждого компонента электронного правительства и, соответственно организации, реализующей данный компонент необходимо определить конкретные объекты защиты на каждом из уровней информационной инфраструктуры.
Наиболее актуальные источники угроз на физическом, сетевом уровнях и уровне сетевых приложений:
- внешние источники угроз: лица, распространяющие вирусы и другие вредоносные программы, хакеры и иные лица, осуществляющие несанкционированный доступ (НСД);
- внутренние источники угроз, реализующие угрозы в рамках своих полномочий и за их пределами (персонал, имеющий права доступа к аппаратному оборудованию, в том числе, сетевому, администраторы сетевых приложений и т. п.);
- комбинированные источники угроз: внешние и внутренние, действующие совместно и/или согласованно.
Наиболее актуальные источники угроз на уровнях операционных систем, систем управления базами данных, технологических процессов и приложений электронного правительства:
- внутренние, реализующие угрозы в рамках своих полномочий и за их пределами (администраторы ОС, администраторы СУБД, пользователи приложений и технологий электронного правительства, администраторы ИБ и т. д.);
- внешние источники угроз: лица, распространяющие вирусы и другие вредоносные программы, хакеры и иные лица, осуществляющие несанкционированный доступ (НСД);
- комбинированные источники угроз: внешние и внутренние, действующие в сговоре.
Наиболее актуальные источники угроз на уровне функциональных процессов:
- внутренние источники, реализующие угрозы в рамках своих полномочий и за их пределами (авторизованные пользователи и операторы ИС, уполномоченные сотрудники организации и пр.);
- комбинированные источники угроз: внешние (например, хакеры) и внутренние, действующие в сговоре.
Также необходимо учитывать угрозы, связанные с природными и техногенными катастрофами и террористической деятельностью.
Источники угроз для реализации угрозы используют уязвимости информационной инфраструктуры компонентов электронного правительства и системы защиты.
Обязательным условием обеспечения информационной безопасности является разработка моделей угроз и нарушителей ИБ для каждого компонента электронного правительства и, соответственно организации, реализующей данный компонент.
Модель угроз ИБ включает описание источников угрозы, уязвимостей, используемых угрозами, методов и объектов нападений, пригодных для реализации угрозы, типов возможной потери (например, конфиденциальности, целостности, доступности ресурсов), масштабов потенциального ущерба.
Для источников угроз — сотрудников и пользователей может быть разработана модель нарушителя ИБ, включающая описание их опыта, знаний, доступных ресурсов, необходимых для реализации угрозы, и возможной мотивации их действий.
Степень детализации параметров моделей угроз и нарушителей ИБ может быть различна и определяется реальными потребностями для каждой организации в отдельности.
При анализе угроз ИБ необходимо исходить из того, что эти угрозы непосредственно влияют на реализацию функционала электронного правительства, обеспечивающего данной организацией.
Угрозы ИБ порождаются также эксплуатационными факторами: техническими неполадками, ошибочными (случайными) действиями персонала организации и другими факторами.
Наиболее эффективным способом минимизации рисков нарушения ИБ для электронного правительства является разработка совокупности мероприятий, методов и средств, создаваемых и поддерживаемых для обеспечения требуемого уровня безопасности информационных ресурсов, оформленной в соответствии с настоящим документом, в виде политики ИБ организации.
7.Описание политики информационной безопасности электронного правительства Республики Коми
7.1.Состав и назначение политики информационной безопасности
Руководство министерств и ведомств Республики Коми, государственных органов Республики Коми, образованных Главой Республики Коми и Правительством Республики Коми, государственных учреждений, обеспечивающих функционирование электронного правительства должны обеспечить разработку, принятие и внедрение политики ИБ компонентов электронного правительства, включая выделение требуемых для реализации этой политики ресурсов.
Политика ИБ должна описывать цели и задачи системы обеспечения ИБ и определять совокупность правил, требований и руководящих принципов в области ИБ, которыми руководствуется данная организация в деятельности по обеспечению функционирования электронного правительства.
Должны быть назначены лица, ответственные за реализацию политики ИБ и поддержание ее в актуальном состоянии.
7.2.Общие (основные) требования по обеспечению информационной безопасности, отображаемые в политике информационной безопасности
Требования ИБ должны быть взаимоувязаны в непрерывный по задачам, подсистемам, уровням и стадиям жизненного цикла комплекс.
Требования ИБ должны определять содержание и цели деятельности организации по обеспечению функционирования электронного правительства в рамках процессов управления ИБ.
Эти требования должны быть сформулированы как минимум для следующих областей:
- назначение и распределение ролей и доверия к сотрудникам;
- стадий жизненного цикла ИС;
- защиты от НСД, управления доступом и регистрацией в ИС;
- антивирусной защиты;
- использования ресурсов Интернет;
- использования средств криптографической защиты информации;
- использования электронной цифровой подписи;
- защиты персональных данных;
- защиты основных компонент электронного правительства.
Политика ИБ организации может учитывать и другие области, такие, как обеспечение непрерывности, физическая защита и т. д.
7.3.Общие требования по обеспечению информационной безопасности при назначении и распределении ролей и обеспечении доверия к персоналу
Для эффективного выполнения задач организации и задач по обеспечению функционирования электронного правительства должны быть выделены и определены соответствующие роли сотрудников организации. Роли следует персонифицировать с установлением ответственности за их исполнение. Формирование ролей, как правило, должно осуществляться на основании функциональных процессов. Ответственность должна быть зафиксирована в должностных инструкциях.
При определении ролей для сотрудников организации необходимо учитывать задачи, поставленные перед организацией, имеющиеся ресурсы, функциональные и процедурные требования, критерии оценки эффективности выполнения правил для данной роли.
Не рекомендуется, чтобы одна персональная роль целиком обеспечивала выполнение задачи, например, включала все правила, требуемые для реализации функционального или технологического процесса. Совокупность правил, составляющих роли, не должна быть критичной для организации с точки зрения последствий при отказе её исполнителя. Не следует совмещать в одном лице (в любой комбинации) роли разработки, сопровождения, исполнения, администрирования или контроля, например, исполнителя и администратора, администратора и контролера или других комбинаций.
Роль должна быть обеспечена ресурсами, необходимыми и достаточными для ее выполнения.
Роли должны группироваться и взаимодействовать так, чтобы организационная структура соответствовала целям организации. Роль одного из руководителей организации (заместителя министра, начальника департамента и т. п.) должна включать задачу координации своевременности и качества выполнения ролей сотрудников для достижения целей организации.
Ненадлежащее выполнение правил назначения и распределения ролей создает уязвимости.
Для контроля за качеством выполнения требований ИБ в организации должны быть выделены и определены роли по обеспечению ИБ.
При приеме на работу должны быть проверены идентичность личности, заявляемая квалификация, точность и полнота биографических фактов, наличие рекомендаций.
Лиц, которых предполагается принять на работу, связанную с защищаемыми ресурсами, следует подвергать проверке в части профессиональных навыков и оценки профессиональной пригодности. Рекомендуется выполнять контрольные проверки уже работающих сотрудников регулярно, а также внепланово при выявлении фактов их нештатного поведения, или участия в инцидентах ИБ, или подозрений в таком поведении или участии.
Все сотрудники организации, работающие с конфиденциальной информацией, должны давать письменное обязательство о соблюдении конфиденциальности. При этом условие о соблюдении конфиденциальности должно распространяться на всю защищаемую информацию, доверенную сотруднику или ставшую ему известной в процессе выполнения им своих служебных обязанностей.
Для внешних организаций требования по ИБ регламентируются положениями, включаемыми в договора (соглашения).
Сотрудник организации должен быть компетентным для выполнения своих функций в области обеспечения ИБ. Компетентность сотрудников следует обеспечивать с помощью процессов обучения в области ИБ, осведомленности сотрудников и периодической проверки уровня компетентности.
Обязанности сотрудников по выполнению требований ИБ в соответствии с положениями ГОСТ Р ИСО/МЭК следует включать в трудовые контракты (соглашения, договора).
7.4.Общие требования по обеспечению информационной безопасности информационных систем на стадиях жизненного цикла
Информационная безопасность ИС должна обеспечиваться на всех стадиях жизненного цикла (ЖЦ) ИС, входящих в информационно-телекоммуникационную инфраструктуру электронного правительства Республики Коми, с учетом всех сторон, вовлеченных в процессы ЖЦ (разработчиков, заказчиков, поставщиков продуктов и услуг, эксплуатирующих и надзорных подразделений организации).
При заказе ИС модель ЖЦ (стадии ЖЦ, этапы работ и процессы ЖЦ, выполняемые на этих стадиях) рекомендуется определять в соответствии с ГОСТ 34.601-89.
Разработка технических заданий, проектирование, создание и тестирование и приемка средств и систем защиты ИС должны осуществляться по согласованию с подразделениями (лицами) в организации-заказчике, ответственными за обеспечение ИБ.
Ввод в действие, эксплуатация, снятие с эксплуатации ИС в части вопросов ИБ должны осуществляться при участии подразделения (лиц) в организации, ответственного за обеспечение ИБ.
На стадиях, связанных с разработкой ИС (определение требований заинтересованных сторон, анализ требований, архитектурное проектирование, реализация, интеграция и верификация, поставка, ввод в действие), разработчиком должна быть обеспечена защита от угроз:
- неверной формулировки требований к ИС;
- выбора неадекватной модели ЖЦ ИС, в том числе неадекватного выбора процессов ЖЦ и вовлеченных в них участников;
- принятия неверных проектных решений;
- внесения разработчиком дефектов на уровне архитектурных решений;
- внесения разработчиком недокументированных возможностей в ИС;
- неадекватной (неполной, противоречивой, некорректной и пр.) реализации требований к ИС;
- разработки некачественной документации;
- сборки ИС разработчиком/производителем с нарушением требований, что приводит к появлению недокументированных возможностей в ИС либо к неадекватной реализации требований;
- неверного конфигурирования ИС;
- приемки ИС, не отвечающей требованиям заказчика;
- внесения недокументированных возможностей в ИС в процессе проведения приемочных испытаний посредством недокументированных возможностей функциональных тестов и тестов ИБ.
Привлекаемые для разработки и(или) производства средств и систем защиты ИС на договорной основе специализированные организации должны иметь лицензии на данный вид деятельности в соответствии с законодательством РФ.
При приобретении организациями готовых ИС и их компонентов разработчиком должна быть предоставлена документация, содержащая в том числе описание защитных мер, предпринятых разработчиком в отношении вышеперечисленных угроз.
Также разработчиком должна быть представлена документация, содержащая описание защитных мер, предпринятых разработчиком ИС и их компонентов относительно безопасности разработки, безопасности поставки и эксплуатации, поддержки жизненного цикла, включая описание модели жизненного цикла, оценки уязвимости. Данная документация может быть представлена в рамках декларации о соответствии или быть результатом оценки соответствия изделия, проведенной в рамках соответствующей системы оценки.
В договор (контракт) о поставке ИС и их компонентов заказчикам рекомендуется включать положения по сопровождению поставляемых изделий на весь срок их службы. В случае невозможности включения в договор (контракт) указанных требований к разработчику должна быть рассмотрена возможность приобретения полного комплекта рабочей конструкторской документации на изделие, обеспечивающего возможность сопровождения ИС и их компонентов без участия разработчика. Если оба указанных варианта неприемлемы, например, вследствие высокой стоимости, руководство заказчика должно обеспечить анализ влияния угрозы невозможности сопровождения ИС и их компонентов на обеспечение непрерывности функционирования электронного правительства.
На стадии эксплуатации должна быть обеспечена защита от следующих угроз:
- умышленное несанкционированное раскрытие, модификация или уничтожение информации;
- неумышленная модификация или уничтожение информации;
- нарушение целостности программного обеспечения;
- недоставка или ошибочная доставка информации;
- отказ в обслуживании или ухудшение обслуживания.
Кроме этого, актуальной является угроза отказа от авторства сообщения.
На стадии сопровождения должна быть обеспечена защита от угроз:
- внесения изменений в ИС, приводящих к нарушению ее функциональности либо к появлению недокументированных возможностей;
- невнесения разработчиком/поставщиком изменений, необходимых для поддержки правильного функционирования и правильного состояния ИС.
На стадии снятия с эксплуатации должно быть обеспечено удаление информации, несанкционированное использование которой может нанести ущерб собственникам информации, и информации, используемой средствами обеспечения ИБ, из постоянной памяти ИС или с внешних носителей.
Требования ИБ должны включаться во все договора и контракты на проведение работ или оказание услуг на всех стадиях ЖЦ ИС.
7.5.Общие требования по обеспечению информационной безопасности при управлении доступом и регистрации
В организации должны обеспечиваться: идентификация, аутентификация, авторизация; управление доступом; контроль целостности; регистрация, включая:
- функционирование системы парольной защиты электронных вычислительных машин (ЭВМ) и локальных вычислительных сетей (ЛВС). Рекомендуется организовать службу централизованной парольной защиты для генерации, распространения, смены, удаления паролей, разработки необходимых инструкций, контроля за действиями сотрудников по работе с паролями;
- непротиворечивая и прозрачная административно-техническая поддержка задач управления доступом к ресурсам ЭВМ и/или ЛВС. Назначение/лишение полномочий по доступу сотрудников к ресурсам ЭВМ и/или ЛВС санкционируется руководителем функционального подразделения организации, несущего персональную ответственность за обеспечение ИБ в данном подразделении;
- контроль доступа пользователей к ресурсам ЭВМ и/или ЛВС. Оперативный контроль доступа пользователей осуществляется подразделениями (лицами) в организации, ответственными за обеспечение ИБ;
- формирование идентификаторов пользователей (виды идентификаторов определяются особенностями конкретного технологического процесса);
- регистрация действий персонала и пользователей в специальном электронном журнале. Данный электронный журнал должен быть доступным для чтения, просмотра, анализа, хранения и резервного копирования только администратору ИБ. При невозможности поддержки данного режима эксплуатирующимися в организации РК аппаратно-программными средствами, реализация данного требования должна быть обеспечена организационными и/или административными мерами.
Подсистема управления доступом, регистрации и учета может быть реализована с помощью штатных средств ИС (операционных систем, приложений и СУБД) и/или использовать сертифицированные или разрешенные к применению средства защиты информации от НСД. Для некоторых компонентов электронного правительства, например, обработки обращений граждан, оказания государственных услуг в электронном виде и т. п. необходимо использование биометрических и технических (с помощью электронных ключей или ЭЦП) мер аутентификации.
7.6.Общие требования по обеспечению информационной безопасности средствами антивирусной защиты
В организации должны применяться только официально приобретенные средства антивирусной защиты. Установка и регулярное обновление средств антивирусной защиты на автоматизированных рабочих местах и серверах ИС должны осуществляться администраторами ИС.
Лучшей практикой является автоматическая установка обновлений антивирусного программного обеспечения.
При обеспечении антивирусной защиты в организации должны быть разработаны и введены в действие инструкции по антивирусной защите, учитывающие особенности функционирования компонент электронного правительства и используемых технологических процессов. Особое внимание должно быть уделено антивирусной фильтрации трафика электронного почтового обмена.
Лучшей практикой является построение эшелонированной централизованной системы антивирусной защиты, предусматривающей использование средств антивирусной защиты различных производителей и их раздельную установку на рабочих станциях, серверах, почтовых серверах и межсетевых экранах.
В ЭВМ и ИС не допускается присутствие и использование программного обеспечения и данных, не связанных с выполнением конкретных функций в технологических процессах организации.
Устанавливаемое или изменяемое программное обеспечение должно быть предварительно проверено на отсутствие вирусов. После установки или изменения программного обеспечения должна быть выполнена антивирусная проверка.
При обнаружении компьютерного вируса необходимо принять меры по устранению последствий вирусной атаки, проинформировать руководство и приостановить при необходимости работу (на период устранения последствий вирусной атаки).
Отключение или необновление антивирусных средств не допускается.
Контроль за установкой и обновлением антивирусных средств в организации должен быть возложен на представителей подразделений (лиц) в организации, ответственных за обеспечение ИБ.
Ответственность за выполнение требований инструкции по антивирусной защите должна быть возложена на руководителя функционального подразделения организации, а обязанности по выполнению мер антивирусной защиты должны быть возложены на каждого сотрудника организации, имеющего доступ к ЭВМ и/или ИС.
7.7.Общие требования по обеспечению информационной безопасности при использовании ресурсов сети Интернет
Ресурсы сети Интернет в органах государственной власти, государственных органах Республики Коми, образованных Главой Республики Коми и Правительством Республики Коми, государственных учреждениях могут использоваться для оказания государственных услуг в электронном виде, получения и распространения информации, связанной с их деятельностью (путем создания информационных web-сайтов), информационно-аналитической работы в интересах этих организаций, обмена почтовыми сообщениями исключительно с внешними организациями, а также ведения межведомственного информационного взаимодействия.
Иное использование ресурсов сети Интернет, решение о котором не принято руководством организации в установленном порядке, должно рассматриваться как нарушение ИБ.
В связи с повышенными рисками информационной безопасности при взаимодействии с сетью Интернет, в организациях обязательно должны применяться соответствующие средства защиты информации (межсетевые экраны, Proxy-сервера, антивирусные средства, средства криптографической защиты информации (СКЗИ) и пр.), обеспечивающие прием и передачу информации только в установленном формате и только для конкретной технологии. Предназначенные для этого средства защиты информации, в том числе шифровальные (криптографические) средства, должны пройти в установленном законодательством Российской Федерации порядке сертификацию в Федеральной службе безопасности Российской Федерации и/или иметь подтверждение соответствия в Федеральной службе по техническому и экспортному контролю.
Почтовый обмен через сеть Интернет должен осуществляться с использованием защитных мер, включая антивирусную защиту.
Электронная почта должна архивироваться. Архив должен быть доступен только подразделению (лицу) в организации, ответственному за обеспечение ИБ. Изменения в архиве не допускаются. Доступ к информации архива должен быть ограничен.
При взаимодействии с сетью Интернет должно обеспечиваться противодействие атакам хакеров и распространению спама.
Для обнаружения компьютерных атак необходимо использовать системы обнаружения вторжений, реализованные программными или программно-аппаратными средствами.
Порядок подключения и использования ресурсов сети Интернет в организации должен контролироваться подразделениями (лицами) в организации, ответственными за обеспечение ИБ. Любое подключение и использование сети Интернет должно быть санкционировано руководством функционального подразделения организации.
7.8.Общие требования по обеспечению информационной безопасности при использовании средств криптографической защиты информации
Средства криптографической защиты информации:
- должны применяться при необходимости защиты конфиденциальной информации, включая персональные данные, а также для исключения несанкционированного модифицирования, копирования и распространения общедоступной информации при хранении в базах данных и передаче по информационно-телекоммуникационным сетям общего пользования;
- должны поставляться разработчиками с полным комплектом эксплуатационной документации, включая описание ключевой системы, правила работы с ней, а также обоснование необходимого организационно-штатного обеспечения;
- должны быть реализованы на основе алгоритмов, соответствующих национальным стандартам Российской Федерации;
- должны иметь строгий регламент использования ключей, предполагающий контроль со стороны администратора ИБ организации за действиями пользователя на всех этапах работы с ключевой информацией (получение ключевого носителя, ввод ключей, использование ключей и сдача ключевого носителя);
- должны обеспечивать реализацию процедур приостановки действия ключей в случаях отсутствия штатной активности пользователей в соответствии с регламентом использования ключей или при переходе ИС в нештатный режим работы;
- не должны содержать требований к ЭВМ по специальной проверке на отсутствие закладных устройств, если иное не оговорено в технической документации на конкретное средство защиты;
- не должны требовать дополнительной защиты от утечки по побочным каналам электромагнитного излучения.
Информационная безопасность процессов изготовления ключевых документов СКЗИ должна обеспечиваться комплексом технологических, организационных, технических и программных мер и средств защиты.
Ключи электронной цифровой подписи должны изготавливаться в каждой организации самостоятельно.
7.9.Общие требования по обеспечению информационной безопасности
при работе с электронной цифровой подписью
Электронная цифровая подпись выдаётся уполномоченному сотруднику организации и предназначена для использования в ИС электронного документооборота, межведомственного электронного взаимодействия и других ИС, в которых электронные документы признаются эквивалентными их бумажным аналогам.
Сертификат открытого ключа ЭЦП выдается удостоверяющим центром органов исполнительной власти Республики Коми – государственным бюджетным учреждением Республики Коми «Центр безопасности информации» по запросу уполномоченного сотрудника организации.
Для получения Сертификата открытого ключа ЭЦП необходимо:
- назначить приказом из числа сотрудников организации уполномоченных сотрудников;
- провести мероприятия по подготовке к эксплуатации средств криптографической защиты информации в соответствии с требованиями, определяемыми Инструкцией об организации и обеспечении безопасности хранения, обработки и передачи по каналам связи с использованием средств криптографической защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну, утвержденной приказом Федерального агентства правительственной связи и информации при Президенте Российской Федерации от 01.01.01 года № 000;
- оформить акт о готовности к обмену электронными документами, подписанными ЭЦП;
- провести on-line тестирование на получение допуска к самостоятельной работе с СКЗИ уполномоченного сотрудника и оформить заключение о допуске.
Удостоверяющий центр на основании заявления уполномоченного сотрудника и поручения организации изготавливает сертификаты ключей ЭЦП уполномоченных сотрудников в электронном виде и в форме документа на бумажном носителе (в двух экземплярах). Сертификат в форме документа на бумажном носителе оформляется на бланке удостоверяющего центра, заверяется собственноручной подписью уполномоченного сотрудника удостоверяющего центра и печатью удостоверяющего центра.
Срок действия сертификатов ключей ЭЦП уполномоченных сотрудников составляет один год. Замена сертификатов ключей ЭЦП уполномоченных сотрудников с истекшим сроком действия производится в вышеизложенном порядке.
В случае компрометации закрытого ключа ЭЦП (компрометация закрытого ключа - утрата доверия к тому, что используемый закрытый ключ обеспечивает подлинность, защищенность и безопасность информации) владелец сертификата (уполномоченное сотрудник) немедленно извещает удостоверяющий центр о возникшей ситуации. Удостоверяющий центр после получения извещения немедленно приостанавливает действие сертификата. Владелец сертификата в течение одного рабочего дня направляет заявление об аннулировании сертификата в удостоверяющий центр.
К событиям, связанным с компрометацией ключей, относятся следующие ситуации:
- утрата ключевых дискет или иных носителей ключа;
- утрата ключевых дискет или иных носителей ключа с последующим обнаружением;
- увольнение сотрудников, имевших доступ к ключевой информации;
- возникновение подозрений на утечку информации или ее искажение в системе конфиденциальной связи;
- нарушение целостности печатей на сейфах с носителями ключевой информации (если используется процедура опечатывания сейфов);
- утрата ключей от сейфов в момент нахождения в них носителей ключевой информации;
- утрата ключей от сейфов в момент нахождения в них носителей ключевой информации с последующим обнаружением;
- доступ посторонних сотрудников к ключевой информации.
Удостоверяющий центр после получения заявления немедленно помещает сертификат данного уполномоченного сотрудника в список аннулированных сертификатов.
Выведенные из действия закрытые ключи ЭЦП уничтожаются с составлением акта об уничтожении закрытых ключей ЭЦП.
В целях обеспечения безопасности Уполномоченные сотрудники обязаны:
- не использовать для ЭЦП открытые и закрытые ключи ЭЦП, если им стало известно, что эти ключи используются или использовались ранее другими сотрудниками;
- хранить в тайне закрытый ключ ЭЦП;
- немедленно требовать от удостоверяющего центра приостановления действия с последующим аннулированием сертификата, если тайна закрытого ключа ЭЦП нарушена.
- участвовать в плановой смене сертификатов ключей подписи, организуемой по инициативе уполномоченного учреждения;
- принимать участие в работе комиссии при рассмотрении спорных вопросов и конфликтных ситуаций, его касающихся.
7.10.Общие требования по обеспечению информационной безопасности
при работе с персональными данными
В ряде компонентов электронного правительства, таких как оказание государственных услуг в электронном виде или при обращении граждан через Интернет-приемные органов государственной власти Республики Коми, при обработке запросов граждан используются персональные данные.
Обработка персональных данных должна производиться в соответствии с требованиями нормативных и методических документов Федеральной службы безопасности Российской Федерации и Федеральной службы по техническому и экспортному контролю Российской Федерации.
Организации, обрабатывающие персональные данные, должны быть зарегистрированы в федеральном реестре операторов персональных данных.
ЭВМ (ЛВС), на которой обрабатываются персональные данные, должны быть физически изолированы от ЛВС организации. При необходимости присоединения к ЛВС организации следует применять межсетевые экраны и специализированные комплексы защиты информации.
При необходимости официального обмена персональными данными с внешними организациями необходимо применять защищённые каналы передачи информации (VPN - сети), использующие криптографические средства защиты информации и ЭЦП.
7.11.Общие требования по обеспечению информационной безопасности основных компонент электронного правительства
В информационных системах, реализующих компоненты электронного правительства Республики Коми, информация может классифицироваться как:
- открытая информация, предназначенная для официальной передачи во внешние организации, средства массовой информации или гражданам, например, ИС «Официальный Интернет-портал органов исполнительной власти Республики Коми и государственных органов Республики Коми»;
- информация ограниченного распространения, предназначенная для использования исключительно сотрудниками организации при выполнении ими своих служебных обязанностей, например, ИС межведомственного электронного документооборота;
- информация, содержащая сведения конфиденциального характера, например, персональные данные, подлежащая защите в соответствии с законодательством Российской Федерации, например, ИС « Портал государственных услуг Республики Коми», включающий информационную систему межведомственного электронного взаимодействия;
Каждому виду информации соответствует свой необходимый уровень защиты (свой набор требований по защите).
В качестве объектов защиты должны рассматриваться:
- информационные ресурсы;
- управляющая информация ИС;
- информационный технологический процесс.
Организация несёт ответственность за:
- достоверность информации, официально предоставляемой внешним организациям и гражданам;
- достоверность и выполнение регламента предоставления внешним организациям и гражданам информации, обязательность и порядок предоставления которой определены законодательством Российской Федерации и/или нормативными документами Республики Коми или соглашением сторон;
- обеспечение соответствующего законодательству Российской Федерации уровня защиты как собственной информации, так и информации, официально полученной из внешних организаций и от граждан.
Если в ИС обрабатывается информация, требующая организации защиты, то соответствующим распоряжением руководства организации должен быть назначен администратор информационной безопасности ИС. Допускается назначение одного администратора информационной безопасности на несколько ИС, а также совмещение выполнения указанных функций с другими обязанностями.
При этом совмещение в одном лице функций администратора ИС и администратора информационной безопасности ИС не допускается.
Администратор ИС должен иметь служебные полномочия по настройке параметров системы, определяющих полномочия пользователей по доступу к информации. Он должен иметь право добавлять в систему нового пользователя, а также удалять из системы такого пользователя, но с обязательным предварительным согласованием устанавливаемых прав доступа пользователей к информации с администратором информационной безопасности.
Администратор информационной безопасности ИС должен иметь служебные полномочия и технические возможности по контролю действий соответствующих администраторов ИС (без вмешательства в их действия) и пользователей, а также полномочия по настройке для каждого пользователя только тех параметров системы (матрицы доступа), которые определяют права доступа к информации. Устанавливаемые права доступа к информации должны назначаться подразделением организации, ответственным за эту информацию (владельцем информационного ресурса).
Для каждой ИС должен быть определен порядок контроля ее функционирования со стороны лиц, отвечающих за ИБ.
Процессы подготовки, ввода, обработки и хранения информации, а также порядок установки, настройки, эксплуатации и восстановления необходимых технических и программных средств должны быть регламентированы и обеспечены инструктивными и методическими материалами, согласованными с подразделением информационной безопасности.
Должна осуществляться и быть регламентирована процедура периодического тестирования всех реализованных программно-техническими средствами функций (требований) по обеспечению ИБ. Регламентирующие документы должны быть согласованы с подразделением информационной безопасности.
Должна осуществляться и быть регламентирована процедура восстановления системы обеспечения ИБ.
7.12.Общие требования по обеспечению информационной безопасности
распределённой мультисервисной сети
Согласно Технической политике в области информационных технологий и информатизации Республики Коми информационно-телекоммуникационная инфраструктура электронного правительства Республики Коми будет создаваться на базе мультисервисной сети, основанной на архитектуре NGN. Политика информационной безопасности такой сети должна содержать требования, обеспечивающие пресечение (нейтрализацию, устранение, ослабление) максимального количества угроз безопасности информации при эксплуатации мультисервисной сети и соответствующие классу защищенности АС не выше 1Г.
Программно-аппаратные методы обеспечения информационной безопасности (функциональные компоненты безопасности), предусмотренные настоящей Политикой для защиты сети должны, в основном, быть нацелены на устранение угроз, изложенных в разделе 7.4.
Выполнение требований ИБ при создании (модернизации) сети должно быть направлено на обеспечение эффективного решения системой обеспечения информационной безопасности следующих задач:
- защиту от вмешательства в процесс функционирования сети посторонних лиц;
- защиту от несанкционированных действий с информационными ресурсами сети посторонних лиц и сотрудников в организациях, не имеющих соответствующих полномочий;
- обеспечение полноты, достоверности и оперативности информационной поддержки принятия управленческих решений руководством Республики Коми;
- обеспечение физической сохранности ресурсов сети и защиту их от действия техногенных и стихийных источников угроз;
- регистрацию событий, влияющих на безопасность информации, обеспечение полной подконтрольности и подотчетности выполнения всех операций, совершаемых в сети;
- выявление и прогнозирование угроз безопасности информации, причин и условий, способствующих нанесению ущерба интересам электронного правительства;
- предотвращение неприемлемых последствий нарушения безопасности информации, создание условий для минимизации и локализации наносимого ущерба;
- обеспечение возможности восстановления актуального состояния ресурсов сети при нарушении безопасности информации и ликвидации последствий этих нарушений.
Программно-аппаратные методы обеспечения безопасности информации (функциональные компоненты безопасности), соответствующие установленному классу защищенности мультисервисной сети, должны устранять (ослаблять) максимальное число актуальных для электронного правительства угроз безопасности информации непосредственно связанных с процессом обработки и передачи информации в сети, для чего, как минимум, обеспечивать:
- ограничение доступа к средствам обработки (ПО, техническим средствам);
- ограничение доступа к объектам защиты (защищаемым
информационным ресурсам);
- разграничение доступа субъектов (пользователей);
- управление внешними и внутренними потоками информации;
- скрытие структуры и назначения ИТС;
- подтверждение подлинности информации;
- преобразование (шифрование) информации при её передаче и
хранении;
- блокирование не используемых сервисов;
- мониторинг целостности ПО и конфигурации сети, деструктивных воздействий на сеть;
- мониторинг действий субъектов, влияющих на безопасность информации.
Функциональные компоненты безопасности информации, реализуемые в сети, должны соответствовать требованиям, предъявляемым к СВТ не ниже 4 класса (для конфиденциальной информации) и 5 класса (для персональных данных). Дополнительно в сети должны быть реализованы функции межсетевых экранов, соответствующие классам защищенности 3 и 4 соответственно. Применяемые дополнительные средства защиты информации не должны снижать установленный класс защищенности.
Набор установленных нормативными документами ФСТЭК Российской Федерации функциональных компонент безопасности информации, необходимых для обеспечения требуемого класса защищенности сети, может быть изменен (дополнен, сокращен) по результатам анализа и оценки актуальных угроз, присущих конкретному компоненту электронного правительства.
7.13.Специальные требования по обеспечению информационной безопасности
распределённой мультисервисной сети
Функциональные компоненты безопасности объединяют систему защиты информации (СЗИ) сети и комплекс поддерживающих её организационных, инженерно-технических и технических мер противодействия угрозам в единую систему обеспечения информационной безопасности электронного правительства (СИБ ЭП).
СИБ ЭП должна строиться как иерархическая, многоуровневая система, действовать на всех технологических этапах обработки информации в сети, в том числе при проведении ремонтных и регламентных работ на средствах обработки информации. Эффективность защиты должна достигаться комплексным применением различных защитных механизмов, функционирующих в рамках единых принципов и не накладывать жестких ограничений на информационные технологии, используемые в сети.
СИБ ЭП должна обеспечивать возможность сохранения своих защитных функций при изменении конфигурации сети, обеспечивать контроль эффективности принимаемых мер, а так же обеспечивать резервирование функций защиты на наиболее критичных участках.
СИБ ЭП должна обеспечить применение средств защиты от НСД к информации на всех АРМ и сетевых узлах мультисервисной сети, независимо от уровня конфиденциальности обрабатываемой на данном АРМ или сетевом узле информации.
СЗИ сети, входящая в СИБ ЭП, должна обеспечивать возможность локализации защищаемой информации и разделения сети на следующие сегменты по степени ограничения доступа к защищаемой информации:
- закрытый сегмент, предназначенный для обработки конфиденциальной информации, защищаемой в силу законодательства Российской Федерации или в соответствии с требованиями внутренних распорядительных документов министерств и ведомств Республики Коми;
- служебный сегмент, предназначенный для обработки информации ограниченного распространения, необходимой исключительно для сотрудников организации при выполнении ими своих служебных обязанностей;
- открытый сегмент, предназначенный для обработки открытой общедоступной для внешних абонентов информации электронного правительства;
- удаленные сегменты (открытые, служебные или закрытые).
Закрытый сегмент (или несколько закрытых сегментов сети, разделенных по функциональному признаку), локализуемый СЗИ, должен объединять АРМ пользователей сети, имеющих доступ к конфиденциальной информации, средства отображения, хранения, обработки, ввода/вывода, коммутации и маршрутизации такой информации, а также информационные ресурсы сети, содержащие такую информацию. По функциональному признаку в сети могут быть выделены следующие закрытые сегменты:
- сегмент обработки персональных данных;
- сегмент управления безопасностью информации;
- сегмент бухгалтерской (финансовой) информации;
Служебный сегмент сети, локализуемый СЗИ, должен объединять АРМ пользователей сети, не имеющих доступ к конфиденциальной информации, средства отображения, хранения, обработки, ввода/вывода, коммутации и маршрутизации информации ограниченного распространения, имеющей гриф «Для служебного пользования», а также информационные ресурсы, содержащие такую информацию.
Открытый сегмент (или несколько открытых сегментов сети, разделенных по функциональному признаку и объединенных в демилитаризованную зону), локализуемый СЗИ, должны объединять средства обработки и хранения информации, предназначенной для внешних абонентов, не входящих в состав сети, а также средства обеспечения доступа к такой информации внешних абонентов. По функциональному признаку в демилитаризованную зону сети могут быть выделены следующие открытые сегменты:
- открытые порталы;
- открытые почтовые серверы;
- открытые публичные серверы;
Удаленные сегменты сети (открытые, служебные или закрытые), локализуемые СЗИ, должны объединять АРМ удаленных (или мобильных) пользователей сети, средства отображения, хранения, ввода/ вывода передачи информации таких АРМ.
Границей сегментов сети является внешний по отношению к сегменту порт коммутирующих (маршрутизирующих) устройств или средств защиты информации, установленных в точке сопряжения с другими сегментами.
СЗИ должна обеспечивать сопряжение сегментов сети между собой только через специальные средства защиты (межсетевые экраны), размещаемые в точках их сопряжения и не снижающих наивысший установленный для сегмента класс защищенности. Количество точек сопряжения одного сегмента сети с другими должно быть минимально необходимым (ограниченным).
Архитектура сети должна обеспечивать размещение закрытых сегментов внутри служебных сегментов. При этом, должна быть обеспечена реализация функции скрытия топологии закрытого сегмента для пользователей служебного сегмента сети. Закрытые сегменты сети могут сопрягаться только со служебными сегментами сети и не могут быть непосредственно сопряжены с удаленными сегментами, с сетями общего пользования, в том числе глобальной информационной сетью «Интернет», или другими ИС.
Сети общего пользования, в том числе глобальная информационная сеть «Интернет», или другие ИС могут сопрягаться только с открытым сегментом сети. В точках сопряжения сети с глобальными информационными сетями общего пользования или другими ИС, должен быть установлен сервер, реализующий функции Proxy-сервера и NAT-технологию. Адресное пространство сети должно быть самостоятельным и не может являться подмножеством адресного пространства глобальных информационных сетей общего пользования.
Для удобства применения, элементы СИБ ЭП, реализующие аналогичные механизмы защиты, по функциональным признакам объединяются в подсистемы СИБ ЭП (службы безопасности), обеспечивающие выполнение задач обеспечения информационной безопасности мультисервисной сети:
- Подсистема поддержки доверенной среды создается для поддержания целостной программно-аппаратной среды сети, обеспечения гарантий доверительности пользователей сети при использовании предоставляемых сетью сервисов;
- Подсистема аутентификации и идентификации субъектов создается для проведения процедур аутентификации/идентификации субъектов, входящих в состав сети, на всех этапах обработки и обращения в ней информации. Подсистема объединяет механизмы аутентификации, встроенные в общесистемное ПО, прикладное ПО, специальное ПО сетевых узлов сети и отдельные элементы СЗИ, а также средства усиленной аутентификации (USB ключи, Smart карты, ТМ токены). Подсистема тесно взаимодействует с подсистемой контроля и управления доступом субъектов;
- Подсистема контроля и управления доступом субъектов создается для управления и контроля за доступом пользователей сети к АРМ, серверам, прикладным, системным и сетевым сервисам, входящим в состав сети, на основе установленной политики безопасности, а также для реализации принципа «единой контролируемой точки входа» в сеть. Подсистема объединяет механизмы разграничения полномочий, встроенные в общесистемное ПО, прикладное ПО, специальное ПО сетевых узлов и отдельные элементы СЗИ. Подсистема осуществляет контроль доступа на основе данных, вырабатываемых подсистемой аутентификации и идентификации субъектов;
- Подсистема защиты потоков информации создается для создания доверенных каналов связи между структурными элементами сети, а также между сетью и другими ИС, входящими в сеть. Подсистема обеспечивает защиту от НСД к информации (данных), передаваемой, по внешним открытым каналам, а также по каналам внутри сети. Подсистема объединяет средства, реализующие криптографические преобразования данных (СКЗИ), подтверждения подлинности (целостности) информации (ЭЦП), виртуальные защищенные от несанкционированных действий каналы (VPN-технологии).
- Подсистема регистрации и аудита событий создается для сбора, хранения, предварительного анализа информации об общем состоянии ПО и технических средств сети, событиях, влияющих на обеспечение безопасности информации, и оперативного оповещения подразделений, отвечающих за обеспечение безопасности информации и эксплуатацию сети, об изменениях в составе и нарушениях состояния ПО и технических средств сети, действиях администраторов и пользователей сети по конфигурированию оборудования и ПО, подозрительной активности пользователей, событиях безопасности. Подсистема объединяет механизмы регистрации и учета, встроенные в общесистемное ПО, прикладное ПО, специальное ПО сетевых узлов сети и отдельные элементы СЗИ. Подсистема взаимодействует со всеми подсистемами.
- Подсистема управления (администрирования безопасностью информации) создается для оперативного управления отдельными подсистемами СИБ ЭП и обеспечением безопасности в целом на основе установленной политики безопасности. Подсистема объединяет механизмы управления (консоль управления) функциональными подсистемами СИБ ЭП и отдельными элементами СЗИ, специальные средства мониторинга состояния безопасности сети и каналов связи, анализа информации, критичной для обеспечения защиты, средства поддержки принятия решения об оперативном усилении/ослаблении политики безопасности в отдельных элементах или узлах сети. Подсистема взаимодействует со всеми подсистемами СИБ ЭП.
Состав основных компонент, входящих в вышеуказанные подсистемы, а также требования к организации их работы изложены в отдельном документе «Политика информационной безопасности распределённой мультисервисной сети», являющимся самостоятельным разделом Технической политики в области информационных технологий и информатизации Республики Коми.
8.Управление информационной безопасностью электронного
правительства Республики Коми
Управление ИБ электронного правительства Республики Коми осуществляется через органы государственной власти Республики Коми, органы местного самоуправления Республики Коми и государственные учреждения, реализующие компоненты электронного правительства и включает в себя:
- разработку политики информационной безопасности организации, направленной на обеспечение ИБ компонент электронного правительства;
- разработку технических, организационных и административных планов обеспечения реализации политики информационной безопасности;
- разработку нормативно-методических документов обеспечения ИБ;
- создание административного и кадрового обеспечения комплекса средств управления ИБ организации;
- обеспечение штатного функционирования комплекса средств ИБ организации;
- осуществление контроля (мониторинга) функционирования системы управления ИБ организации;
- обучение с целью поддержки (повышения) квалификации персонала организации;
- оценку рисков, связанных с нарушениями ИБ.
Для реализации этих задач необходимо иметь в составе организации подразделение (уполномоченное лицо) по информационной безопасности. Подразделение (уполномоченное лицо) по информационной безопасности рекомендуется наделить следующими полномочиями:
- управлять всеми планами по обеспечению ИБ организации;
- разрабатывать и вносить предложения по изменению политики ИБ организации;
- готовить и вносить руководству организации предлрожения по изменению существующие и принятию новых нормативно-методических документов по обеспечению ИБ организации;
- выбирать средства управления и обеспечения ИБ организации;
- контролировать пользователей, в первую очередь пользователей, имеющих максимальные полномочия;
- контролировать активность, связанную с доступом и использованием средств антивирусной защиты, а также с применением других средств обеспечения ИБ;
- осуществлять мониторинг событий, связанных с ИБ;
- расследовать события, связанные с нарушениями ИБ, в предеах, отнесенных к компетенции организации;
- участвовать в действиях по восстановлению работоспособности ИС после сбоев и аварий;
- создавать, поддерживать и совершенствовать систему управления ИБ организации.
Подразделение ИБ организации должно иметь собственного куратора на уровне заместителя руководителя организации. При этом подразделение ИБ и подразделение информатизации (автоматизации) не должны иметь общего куратора.
Система управления ИБ реализуется подразделением ИБ в виде совокупности взаимозависимых и постоянно действующих процессов (контроля, мониторинга, анализа и т. д.) штатного функционирования используемых защитных мер и должного исполнения персоналом предъявляемых к ним требований ИБ.
Управление ИБ электронного правительства Республики Коми в целом возложено постановлением Правительства Республики Коми от ____ января 2011 года №___ на государственное бюджетное учреждение Республики Коми «Центр безопасности информации» как регионального оператора безопасности электронного правительства.
В обязанности оператора безопасности входят:
- создание, развитие и обеспечение функционирования в Республике Коми единого цифрового пространства использования и признания электронной цифровой подписи, включая функционирование удостоверяющего центра органов государственной власти Республики Коми;
- организация и обеспечение защиты информации, содержащейся в государственных информационных системах от неправомерного доступа, уничтожения, изменения, блокирования, копирования, предоставления, распространения и иных неправомерных действий при реализации в Республике Коми функционала электронного правительства;
- разработка и реализации мероприятий по технической защите конфиденциальной информации, в том числе и защите персональных данных, в государственных информационных системах органов исполнительной власти Республики Коми.
- проведение единой политики в области защиты информации, организация и координация деятельности органов государственной власти, местного самоуправления, государственных учреждений Республики Коми в обеспечении информационной безопасности электронного правительства, создание комплексной системы информационной безопасности и контроля эффективности применяемых мер и средств защиты;
- участие в разработке мероприятий обеспечения ИБ в республиканских программах и проектах, координация деятельности по их реализации;
- обеспечение систем обеспечения ИБ электронного правительства нормативными правовыми актами и методическими документами в области защиты информации.
- оснащение органов исполнительной власти Республики Коми высокоэффективными средствами защиты информации, а также средствами контроля эффективности технической защиты информации.
При управлении ИБ электронного правительства необходимо проводить мониторинг ИБ. Основными целями мониторинга ИБ в организации являются оперативное и постоянное наблюдение, сбор, анализ и обработка данных под заданные цели, определяемые системой управления ИБ в организации. Такими целями анализа могут быть:
- контроль за реализацией положений нормативных актов по обеспечению ИБ в организации;
- выявление нештатных (или злоумышленных) действий в ИС организации;
- выявление потенциальных нарушений ИБ.
Для целей оперативного и постоянного наблюдения объектов мониторинга могут использоваться как специализированные (например, программные) средства, так и штатные (входящие в коммерческие продукты и системы) средства регистрации действий пользователей, процессов и т. п.
Мониторинг ИБ должен проводиться персоналом организации, ответственным за ИБ, с целью обнаружения и регистрации отклонений защитных мер от требований ИБ и оценки полноты реализации положений политики ИБ, инструкций и руководств обеспечения ИБ в организации.
9. Реагирование на инциденты безопасности
9.1. Этапы реагирования на инциденты безопасности
Выделяются следующие этапы реагирования на инциденты безопасности:
- обнаружение инцидента безопасности
- начальное реагирование на инцидент безопасности
- регистрация инцидента безопасности
- внутреннее расследование инцидента безопасности
- эскалация инцидента безопасности
- организационное и техническое реагирование на инцидент
безопасности
- подготовка отчета по инциденту безопасности
9.1.1. Обнаружение инцидента безопасности
Обнаружение инцидента безопасности включает в себя:
- выявление факта события ИБ (инцидента)
- идентификацию и классификацию инцидента ИБ
9.1.2. Начальное реагирование на инцидент безопасности
Начальное реагирование на инцидент безопасности включает в себя:
- принятие неотложных мер по пресечению инцидента (незаконных или нежелательных действий).
- принятие неотложных мер по минимизации возможных негативных последствий инцидента.
- уведомление заинтересованных лиц, подразделений, организаций о возникновении инцидента (в соответствии с регламентом).
9.1.3. Регистрация и документирование инцидентов безопасности
Все инциденты безопасности, связанные с информационными системами органов государственной власти, должны в обязательном порядке регистрироваться по установленной форме. Форма регистрации инцидентов безопасности определяется Оператором информационной безопасности по согласованию с Аудитором информационной безопасности и утверждается Администрацией Главы Республики Коми и Правительства Республики Коми.
9.1.4. Внутреннее расследование инцидента безопасности
Внутреннее расследование инцидента безопасности осуществляется в пределах компетенции, а также технических и организационных возможностей организации, осуществляющей такое расследование.
Внутреннее расследование инцидента ИБ должно дать ответы на следующие вопросы:
- источник (источники) инцидента (реализованной угрозы)
- реализованные уязвимости
- реализованные риски, последствия, зона влияния инцидента
- идентификация нарушителя
- оценка полноты и эффективности мер, предпринятых для устранения
инцидента и предотвращения негативных последствий инцидента.
Результаты внутреннего расследования инцидента ИБ документируются по форме, определенной в разделе 9.1.3 настоящего документа.
9.1.5. Эскалация инцидента безопасности
В случае, если расследование инцидента выходит за пределы компетенции, а также организационных и(или) технических возможностей организации, осуществляется эскалация инцидента на Оператора информационной безопасности, который осуществляет расследование инцидента, используя собственные технические средства и возможности.
Оператор информационной безопасности при расследовании инцидентов ИБ при необходимости взаимодействует с соответствующими компетентными организациями (Управление ФСБ России по Республике Коми, ЦССИ ФСО России в Республике Коми, МВД по Республике Коми).
9.1.6. Организационное и техническое реагирование на инциденты безопасности
По результатам расследования инцидентов ИБ реализуется комплекс организационных и технических мероприятий, имеющий своей целью минимизацию последствий реализовавшихся рисков, а также предотвращение повторения инцидентов (повторения реализации подобных угроз).
Результаты организационного и технического реагирования должны быть отражены в журнале (карточке учета) инцидентов безопасности.
10. Аудит информационной безопасности электронного правительства Республики Коми
Для аудита информационной безопасности создается специализированный орган (далее именуемый как «аудитор информационной безопасности» или «аудитор ИБ»).
В обязанности аудитора ИБ входит:
- независимая от сервисных организаций и Оператора информационной безопасности оценка текущего состояния систем информационной безопасности на соответствие требованиям настоящей политики, регламентирующих и нормативно-правовых документов.
- техническое расследование инцидентов безопасности (совместно с Оператором информационной безопасности).
- анализ зарегистрированных инцидентов и их последствий, выработка рекомендаций и корректирующих воздействий исходя из анализа зарегистрированных инцидентов.
- выработка рекомендаций по осуществлению корректирующих воздействий в части организации работ в области информационной безопасности.
Роль аудитора ИБ не может быть совмещена с ролью оператора ИБ и(или) с ролью эксплуатирующей (сервисной) организации, оператора (провайдера) услуг.
Состав и структура аудитора ИБ определяется Администрацией Главы Республики Коми и Правительства Республики Коми по согласованию с компетентными в данном вопросе организациями (Управление ФСБ России по Республике Коми, ЦССИ ФСО России в Республике Коми, МВД по Республике Коми).
