Файл: Требования о защите информации, не составляющей государственную тайну, Содержащейся в государственных информационных системах.docx
ВУЗ: Не указан
Категория: Не указан
Дисциплина: Не указана
Добавлен: 09.11.2023
Просмотров: 83
Скачиваний: 1
ВНИМАНИЕ! Если данный файл нарушает Ваши авторские права, то обязательно сообщите нам.
(сноска введена Приказом ФСТЭК России от 28.05.2019 N 106)
14.3. Угрозы безопасности информации определяются по результатам оценки возможностей (потенциала) внешних и внутренних нарушителей, анализа возможных уязвимостей ИС, возможных способов реализации угроз безопасности информации и последствий от нарушения свойств безопасности информации (конфиденциальности, целостности, доступности).
(в ред. Приказа ФСТЭК России от 15.02.2017 N 27)
В качестве исходных данных для определения угроз безопасности информации используется банк данных угроз безопасности информации (bdu.fstec.ru), ведение которого осуществляется ФСТЭК России в соответствии с подпунктом 21 пункта 8 Положения о Федеральной службе по техническому и экспортному контролю, утвержденного Указом Президента Российской Федерации от 16 августа 2004 г. N 1085 (Собрание законодательства Российской Федерации, 2004, N 34, ст. 3541; 2006, N 49, ст. 5192; 2008, N 43, ст. 4921; N 47, ст. 5431; 2012, N 7, ст. 818; 2013, N 26, ст. 3314; N 53, ст. 7137; 2014, N 36, ст. 4833; N 44, ст. 6041; 2015, N 4, ст. 641; 2016, N 1, ст. 211) (далее - банк данных угроз безопасности информации ФСТЭК России), а также иные источники, содержащие сведения об уязвимостях и угрозах безопасности информации.
(абзац введен Приказом ФСТЭК России от 15.02.2017 N 27)
При определении угроз безопасности информации учитываются структурно-функциональные характеристики ИС, включающие структуру и состав ИС, физические, логические, функциональные и технологические взаимосвязи между сегментами ИС, с иными ИС и ИТКС, режимы обработки информации в ИС и в ее отдельных сегментах, а также иные характеристики ИС, применяемые информационные технологии и особенности ее функционирования.
При определении угроз безопасности информации в ИС, функционирование которой предполагается на базе инфраструктуры ЦОД, должны учитываться угрозы безопасности информации, актуальные для инфраструктуры ЦОД.
(абзац введен Приказом ФСТЭК России от 28.05.2019 N 106)
По результатам определения угроз безопасности информации при необходимости разрабатываются рекомендации по корректировке структурно-функциональных характеристик ИС, направленные на блокирование (нейтрализацию) отдельных угроз безопасности информации.
Модель угроз безопасности информации должна содержать описание ИС и ее структурно-функциональных характеристик, а также описание угроз безопасности информации, включающее описание возможностей нарушителей (модель нарушителя), возможных уязвимостей ИС, способов реализации угроз безопасности информации и последствий от нарушения свойств безопасности информации.
Для определения угроз безопасности информации и разработки модели угроз безопасности информации применяются методические документы, разработанные и утвержденные ФСТЭК России в соответствии с подпунктом 4 пункта 8 Положения о Федеральной службе по техническому и экспортному контролю, утвержденного Указом Президента Российской Федерации от 16 августа 2004 г. N 1085 (Собрание законодательства Российской Федерации, 2004, N 34, ст. 3541; 2006, N 49, ст. 5192; 2008, N 43, ст. 4921; N 47, ст. 5431; 2012, N 7, ст. 818).
14.4. Требования к СЗИ ИС определяются в зависимости от класса защищенности ИС и угроз безопасности информации, включенных в модель угроз безопасности информации.
Требования к СЗИ ИС включаются в ТЗ на создание ИС и (или) ТЗ (частное ТЗ) на создание СЗИ ИС, разрабатываемые с учетом ГОСТ 34.602, ГОСТ Р 51583 и ГОСТ Р 51624, и должны в том числе содержать:
цель и задачи обеспечения защиты информации в ИС;
класс защищенности ИС;
перечень нормативных правовых актов, методических документов и национальных стандартов, которым должна соответствовать ИС;
перечень объектов защиты ИС;
требования к мерам и средствам защиты информации, применяемым в ИС;
стадии (этапы работ) создания системы защиты ИС;
(абзац введен Приказом ФСТЭК России от 15.02.2017 N 27)
требования к поставляемым техническим средствам, программному обеспечению, средствам защиты информации;
(абзац введен Приказом ФСТЭК России от 15.02.2017 N 27)
функции заказчика и оператора по обеспечению защиты информации в ИС;
(абзац введен Приказом ФСТЭК России от 15.02.2017 N 27)
требования к защите средств и систем, обеспечивающих ИС (обеспечивающей инфраструктуре);
(абзац введен Приказом ФСТЭК России от 15.02.2017 N 27)
требования к защите информации при информационном взаимодействии с иными ИС и ИТКС, в том числе с ИС уполномоченного лица, а также при применении вычислительных ресурсов (мощностей), предоставляемых уполномоченным лицом для обработки информации.
При определении требований к СЗИ ИС учитываются положения политик обеспечения информационной безопасности обладателя информации (заказчика), а также политик обеспечения информационной безопасности оператора и уполномоченного лица в части, не противоречащей политикам обладателя информации (заказчика).
(в ред. Приказа ФСТЭК России от 15.02.2017 N 27)
В случае создания ИС, функционирование которой предполагается на базе инфраструктуры ЦОД, дополнительно
определяются требования по защите информации, подлежащие реализации в инфраструктуре ЦОД.
(абзац введен Приказом ФСТЭК России от 28.05.2019 N 106)1>1>
Разработка системы защиты информации информационной системы
15. Разработка СЗИ ИС организуется обладателем информации (заказчиком).
Разработка СЗИ ИС осуществляется в соответствии с ТЗ на создание ИС и (или) ТЗ (частным ТЗ) на создание СЗИ ИС с учетом ГОСТ 34.601 "Информационная технология. Комплекс стандартов на автоматизированные системы. Автоматизированные системы. Стадии создания" (далее - ГОСТ 34.601), ГОСТ Р 51583 и ГОСТ Р 51624 и в том числе включает:
проектирование СЗИ ИС;
разработку эксплуатационной документации на СЗИ ИС;
макетирование и тестирование СЗИ ИС (при необходимости).
СЗИ ИС не должна препятствовать достижению целей создания ИС и ее функционированию.
При разработке СЗИ ИС учитывается ее информационное взаимодействие с иными информационными системами и ИТКС, в том числе с ИС уполномоченного лица, а также применение вычислительных ресурсов (мощностей), предоставляемых уполномоченным лицом для обработки информации.
15.1. При проектировании СЗИ ИС:
определяются типы субъектов доступа (пользователи, процессы и иные субъекты доступа) и объектов доступа, являющихся объектами защиты (устройства, объекты файловой системы, запускаемые и исполняемые модули, объекты системы управления базами данных, объекты, создаваемые прикладным программным обеспечением, иные объекты доступа);
определяются методы управления доступом (дискреционный, мандатный, ролевой или иные методы), типы доступа (чтение, запись, выполнение или иные типы доступа) и правила разграничения доступа субъектов доступа к объектам доступа (на основе списков, меток безопасности, ролей и иных правил), подлежащие реализации в ИС;
выбираются меры защиты информации, подлежащие реализации в СЗИ ИС;
определяются виды и типы средств защиты информации, обеспечивающие реализацию технических мер защиты информации;
определяется структура СЗИ ИС, включая состав (количество) и места размещения ее элементов;
осуществляется выбор средств защиты информации, сертифицированных на соответствие требованиям по безопасности информации, с учетом их стоимости, совместимости с информационными технологиями и техническими средствами, функций безопасности этих средств и особенностей их реализации, а также класса защищенности информационной системы;
определяются требования к параметрам настройки ПО, включая ПО средств защиты информации, обеспечивающие реализацию мер защиты информации, а также устранение возможных уязвимостей ИС, приводящих к возникновению угроз безопасности информации;
(в ред. Приказа ФСТЭК России от 15.02.2017 N 27)
определяются меры защиты информации при информационном взаимодействии с иными ИС и ИТКС, в том числе с ИС уполномоченного лица, а также при применении вычислительных ресурсов (мощностей), предоставляемых уполномоченным лицом для обработки информации.
Результаты проектирования СЗИ ИС отражаются в проектной документации (эскизном (техническом) проекте и (или) в рабочей документации) на ИС (СЗИ ИС), разрабатываемых с учетом ГОСТ 34.201 "Информационная технология. Комплекс стандартов на автоматизированные системы. Виды, комплектность и обозначение документов при создании автоматизированных систем" (далее - ГОСТ 34.201).
Проектная документация на ИС и (или) ее СЗИ подлежат согласованию с оператором информационной системы в случае, если он определен таковым в соответствии с законодательством Российской Федерации к моменту окончания проектирования СЗИ ИС и не является заказчиком данной ИС.
При отсутствии необходимых средств защиты информации, сертифицированных на соответствие требованиям по безопасности информации, организуется разработка (доработка) средств защиты информации и их сертификация в соответствии с законодательством Российской Федерации или производится корректировка проектных решений по ИС и (или) ее СЗИ с учетом функциональных возможностей имеющихся сертифицированных средств защиты информации.
При проектировании СЗИ ИС, функционирование которой предполагается на базе инфраструктуры ЦОД, для блокирования актуальных угроз безопасности информации могут быть применены меры защиты информации, реализуемые в инфраструктуре ЦОД.
(абзац введен Приказом ФСТЭК России от 28.05.2019 N 106)
15.2. Разработка эксплуатационной документации на СЗИ ИС осуществляется в соответствии с ТЗ на создание ИС и (или) ТЗ (частным ТЗ) на создание СЗИ ИС.
Эксплуатационная документация на СЗИ ИС разрабатывается с учетом ГОСТ 34.601, ГОСТ 34.201 и ГОСТ Р 51624 и должна в том числе содержать описание:
структуры СЗИ ИС;
состава, мест установки, параметров и порядка настройки средств защиты информации, программного обеспечения и технических средств;