2. В системе обрабатываются персональные данные, подпадающие под регулирование Федерального закона РФ «О персональных данных», меры по защите которых определяются нормативными документами ФСТЭК РФ (Приказ ФСТЭК РФ от 5 февраля 2010 г. № 58 «Об утверждении положения о методах и способах защиты информации в информационных системах персональных данных», руководящие документы Гостехкомиссии).
3. При построении ЦОД будут активно использоваться модель облачных вычислений и распределенная обработка информации. В процессе выработки мер защиты следует учитывать специфические угрозы, обусловленные данными технологиями. Должны быть определены эффективные меры по их нейтрализации, в том числе с учетом международного опыта в данной области.
При построении системы «Электронный бюджет» следует руководствоваться законодательством Российской Федерации в области защиты информации:
Федеральным законом Российской Федерации от 27 июля 2006г. «Об информации, информационных технологиях и о защите информации»;
Федеральным законом Российской Федерации от 01.01.01г. «О персональных данных»;
Указом Президента Российской Федерации от 17 марта 2008 г. № 000 «О мерах по обеспечению информационной безопасности Российской Федерации при использовании информационно-телекоммуникационных сетей международного информационного обмена» (Собрание законодательства Российской Федерации, 2008, N 12, ст. 1110; N 43, ст. 4919);
Приказом ФСБ РФ и ФСТЭК РФ № 000/489 от 31 августа 2010г. «Об утверждении требований о защите информации, содержащейся в информационных системах общего пользования»;
Приказом ФСТЭК №58 от 5.02.2010г. «Об утверждении Положения о методах и способах защиты информации в информационных системах персональных данных»;
Приказом ФСТЭК, ФСБ, Мининформсвязи России от 01.01.2001г. №55/86/20 «Об утверждении Порядка проведения классификации информационных систем персональных данных»;
Постановлением Правительства Российской Федерации от 01.01.01 г. № 424 «Об особенностях подключения федеральных государственных информационных систем к информационно-телекоммуникационным сетям»;
Положением об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных, утвержденное Постановлением Правительства Российской Федерации от 17 ноября 2007 г. N 781 (Собрание законодательства Российской Федерации, 2007, N 48, ст. 6001);
иными документами, их заменяющими, на момент реализации системы «Электронный бюджет».
При построении подсистемы обеспечения информационной безопасности должны учитываться требования государственных стандартов.
7.4.1. Предварительная классификация и формирование требований к подсистеме обеспечения информационной безопасности
В основу формирования требований информационной безопасности должна быть положена риск-ориентированная модель, а также рассмотрение всех аспектов технологического процесса обработки различных категорий информации.
Для определения набора методов и способов защиты информации необходимо будет провести классификацию системы «Электронный бюджет». Классификация должна быть проведена с учетом нижеизложенных положений.
Согласно утвержденным требованиям к защите информации, содержащейся в информационных системах общего пользования (Приказ ФСБ РФ и ФСТЭК РФ от 31 августа 2010г. «Об утверждении требований о защите информации, содержащейся в информационных системах общего пользования») система «Электронный бюджет» предварительно может быть отнесена ко II классу, т. к. нарушение целостности и доступности информации, содержащейся в ней, не приведет к возникновению угроз безопасности Российской Федерации.
В системе «Электронный бюджет» помимо обеспечения конфиденциальности персональных данных, необходимо обеспечить их целостность и доступность. Класс системы «Электронный бюджет» должен быть определен на основе модели угроз безопасности персональных данных в соответствии с методическими документами ФСТЭК и ФСБ (в части касающейся). Должна быть рассмотрена возможность обезличивания ПДн в системе «Электронный бюджет» (или возможность сделать часть данных общедоступными) с приведением ее в целом или отдельных подсистем к 4-му классу.
Так как система «Электронный бюджет» является государственной информационной системой общего пользования, то к ее подсистеме обеспечения информационной безопасности должны применяться следующие требования:
регистрация действий пользователей и обслуживающего персонала, контроль несанкционированного доступа и действий пользователей, обслуживающего персонала и посторонних лиц;
резервирование технических средств, дублирование массивов и носителей информации;
использование средств защиты информации, прошедших в установленном порядке процедуру оценки соответствия;
размещение технических средств, позволяющих осуществлять обработку информации, в пределах охраняемой территории;
организация физической защиты помещений и собственно технических средств, позволяющих осуществлять обработку информации;
предотвращение внедрения в информационные системы вредоносных программ (программ-вирусов) и программных закладок, использование средств антивирусной защиты;
межсетевое экранирование с целью управления доступом, фильтрации сетевых пакетов и трансляции сетевых адресов для скрытия структуры информационной системы;
обнаружение вторжений в информационную систему, нарушающих или создающих предпосылки к нарушению установленных требований по обеспечению безопасности информации;
анализ защищенности информационных систем, предполагающий применение специализированных программных средств (сканеров безопасности);
защита информации при ее передаче по каналам связи;
использование систем обеспечения гарантированного электропитания (источников бесперебойного питания);
осуществление записи и хранения сетевого трафика при обращении к государственным информационным ресурсам за последние сутки и более и предоставление доступа к записям по запросам уполномоченных государственных органов, осуществляющих оперативно-розыскную деятельность.
В связи с тем, что администрирование серверных площадок будет осуществляться в удаленном режиме, должен быть реализован контроль удаленного доступа обслуживающего персонала к информационным ресурсам, программным средствам управления системой «Электронный бюджет», программным средствам обработки (передачи) и защиты информации.
Должно быть реализовано централизованное управление ПОИБ.
Детальные требования к подсистеме обеспечения информационной безопасности в целом и к отдельным ее компонентам должны быть выработаны в ходе проектирования путем моделирования угроз безопасности и определения мер по их преодолению.
Модель угроз и модель нарушителя должны учитывать:
в целом наличие угроз несанкционированного доступа, целостности и доступности данных;
внешние угрозы, обусловленные использованием каналов связи общего пользования (каналов международного информационного обмена) для передачи информации;
внешние угрозы, обусловленные наличием электронного взаимодействия с ИС других ведомств и организаций, чья информационная инфраструктура либо не аттестовалась, либо аттестована по требованиям безопасности информации по классу ниже, чем система «Электронный бюджет»;
внутренние угрозы, обусловленные случайными и/или целенаправленными действиями пользователей, направленными на ИТ-инфраструктуру и систему «Электронный бюджет»;
внутренние угрозы, обусловленные случайными и/или целенаправленными действиями пользователей, направленных на обрабатываемые данные;
дополнительные угрозы, обусловленные спецификой использования среды виртуализации.
7.4.2. Архитектура подсистемы обеспечения информационной безопасности
Для обеспечения достаточного уровня информационной безопасности должны быть решены следующие ключевые задачи:
формирование агрегированных требований по обеспечению информационной безопасности;
построение комплексной подсистемы обеспечения информационной безопасности.
С точки зрения функциональности технических компонентов в состав подсистемы обеспечения информационной безопасности могут войти следующие элементы (состав и детализированные требования определяются в ходе проектирования на базе модели угроз безопасности):
средства межсетевого экранирования;
средства криптографической защиты каналов передачи информации;
средства обнаружения/противодействия вторжениям (IDS/IPS);
средства обнаружения/противодействия атакам в обслуживании (DDOS);
средства антивирусной защиты;
средства мониторинга, выявления и расследования инцидентов информационной безопасности (SIEM);
средства обеспечения целостности среды на уровне компонентов ЦОД;
средства контроля защищенности среды на различных уровнях (сети передачи данных, системы хранения данных, компонентов среды виртуализации, системное, специализированное и прикладное программное обеспечение);
средства идентификации и разграничения доступа пользователей к ресурсам (IDM) и данным (IRM);
средства надежной идентификации и аутентификации субъектов информационного взаимодействия, к примеру, технологий двухфакторной идентификации и использованием технологий электронных ключей, карт, одноразовых паролей и пр.;
средства обеспечения требуемого уровня отказоустойчивости, в том числе средства резервирования компонентов и данных;
средства защиты инфраструктуры, построенной по модели облачных вычислений.
С точки зрения топологии, можно определить следующие ключевые элементы подсистемы обеспечения информационной безопасности:
защита информации в ЦОД;
защита информации при подключении внешних информационных систем и рабочих мест конечных пользователей к системе «Электронный бюджет»;
защита информации в интеграционных компонентах системы «Электронный бюджет».
7.4.2.1. Защита информации в ЦОД
Данный компонент предназначен для защиты от несанкционированного доступа, а также обеспечения целостности и доступности информации системы «Электронный бюджет» на уровне ЦОД. Должен быть реализован комплекс мер и технических решений:
специализированные средства защиты инфраструктуры, построенной по модели облачных вычислений;
все централизованные компоненты элементов ПОИБ, указанные в разделе 6.4;.2;
|
Из за большого объема этот материал размещен на нескольких страницах:
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 |
Основные порталы (построено редакторами)