Обзор изменений в законодательстве за май 2013. Часть 2

Дата: 13.06.2013

В последний день мая в Минюсте был зарегистрирован еще один документ ФСТЭК России —приказ от 11.02.2013 № 17 «Об утверждении требований о защите информации, не составляющих государственную тайну, содержащейся в государственных информационных системах».

После выхода проекта этого приказа в ИБ-сообществе активно обсуждалась возможность отмены СТР-К, на смену которого и должен прийти новый документ. Однако сейчас можно однозначно говорить о том, что 17-й приказ ФСТЭК России никоим образом не отменяет и не заменяет собой старые требования и с 1 сентября 2013 года будет действовать наравне с СТР-К.

На стадии проекта в область действия приказа попадали только вновь создаваемые или модернизируемые государственные информационные системы (ГИС), однако в итоговой версии приказа такое уточнение отсутствует. Таким образом, требования по защите информации, устанавливаемые новым документом ФСТЭК России, являются обязательными для всех ГИС, а также муниципальных ИС, если иное не установлено законодательством РФ о местном самоуправлении. Исключениями являются только особые ГИС, принадлежащие Администрации Президента, Совета Безопасности, Федерального собрания, Правительства РФ, ФСБ России, а также Конституционного, Верховного и Арбитражного Суда РФ.

При рассмотрении требований 17-го приказа ФСТЭК следует особо подчеркнуть необходимость правильного понимания понятий ГИС и муниципальной ИС, определения которых даны в ст. 13 ФЗ № 149 «Об информации, информационных технологиях и о защите информации»:

ГИС — федеральные информационные системы и региональные информационные системы, созданные на основании соответственно федеральных законов, законов субъектов РФ, на основании правовых актов государственных органов.
муниципальные ИС — информационные системы, созданные на основании решения органа местного самоуправления.

Таким образом, не каждая ИС, используемая в государственном или муниципальном органе, может быть отнесена к ГИС или муниципальной информационной системе, и определяющим фактором здесь служит наличие соответствующего правового акта.

Еще одним важным моментом, на который необходимо обратить внимание, является вопрос, связанный с обработкой ПДн в ГИС. В этом случае требования нового документа должны применяться вместес требованиями к защите ПДн, определенными в приказе ФСТЭК России № 21, речь о котором шла в предыдущей части майского обзора.

Требования документа ФСТЭК включают блок требований к организации защиты информации в ГИС, а также требования к необходимым мерам защиты информации.


Организация защиты информации

Согласно документу ФСТЭК для обеспечения защиты информации в ГИС в организации должно быть выделено структурное подразделение или назначено должностное лицо, ответственное за защиту информации.

В соответствии с приказом защита информации, содержащейся в ГИС, является составной частью работ по созданию и эксплуатации ИС и обеспечивается на всех стадиях ее создания и в ходе эксплуатации путем принятия организационных и технических мер защиты информации в рамках системы защиты информации.

Основными этапами формирования требований к защите информации являются:
— классификация ИС, с оформлением соответствующего акта классификации;
— определение угроз безопасности информации и разработку на их основе модели угроз.

Классификация ИС проводится в зависимости от значимости обрабатываемой в ней информации и масштаба информационной системы (федеральный, региональный, объектовый).

Всего устанавливаются четыре класса защищенности: К1 (самый высокий), К2, К3 и К4.

Для определения класса защищенности необходимо:

1. Оценить степень возможного ущерба для каждого свойства безопасности информации (конфиденциальности, целостности, доступности).

Степень возможно ущерба оценивается экспертным методом с учетом возможных последствий и влияния нарушения свойств безопасности информации (конфиденциальности, целостности и доступности) на возможность выполнения ГИС и оператором возложенных на них функций и может быть высокой, средней или низкой.

2. Определить уровень значимости информации.

Уровень значимости определяется в зависимости от степени возможного ущерба от нарушения конфиденциальности, целостности и доступности информации.

В таблице приведено соответствие уровней значимости и степени возможного ущерба от нарушения свойств безопасности информации:

При обработке в ГИС двух и более видов тайн, уровень значимости определяется отдельно для каждого вида информации. Итоговый уровень значимости определяется по наивысшему значению из них.

3. Определить масштаб ИС в зависимости от расположения сегментов ИС относительно субъектов РФ и органов власти: федеральный, региональный, объектовый.

Исходя из предыдущих параметров класс защищенности ИС определяется в соответствии с таблицей:

Разработка системы защиты информации должна включать следующие этапы:

— Проектирование, в рамках которого осуществляется выбор СрЗИ, сертифицированных на соответствие требованиям безопасности, и определяются необходимые меры защиты.
— Разработку эксплуатационной документации.
— Макетирование и тестирование системы, в том числе с использованием технологии виртуализации.

На этапе внедрения системы защиты информации должна осуществляться настройка СрЗИ, проводиться предварительные испытания, опытная эксплуатация и приемочные испытания системы, а также разрабатываться документы, определяющие правила и процедуры, реализуемые для защиты информации.

Обязательным этапом является проведение аттестации системы защиты информации с оформлением соответствующих программ и методик аттестационных испытаний, протоколов и заключений.


Меры защиты информации

Помимо требований к организации защиты информации в ГИС, документ ФСТЭК, аналогично 21-му приказу, регламентирует набор мер защиты информации, а также устанавливает порядок их выбора, включающий определение базового набора требований, его адаптацию, уточнение, дополнение, а также возможность использования компенсирующих мер.

Состав мер защиты, определенных в 17-ом приказе, по своей структуре и содержанию с небольшими отличиями повторяет требования 21-ого приказа. Сравнительный анализ мер приведен в таблице:

Реализация технических мер защиты информации предусматривает использование сертифицированных СрЗИ, удовлетворяющих определенным требованиям, приведенным в таблице:

В соответствии с требованиями 17-го приказа выбранные и реализованные в ИС меры защиты информации должны обеспечивать нейтрализацию угроз безопасности информации, связанных с действиями нарушителей разного уровня потенциала. В рамках документа выделяется 3 уровня потенциала нарушителя (высокий, средний и низкий), который должен быть определен при анализе угроз безопасности информации. Однако документ не раскрывает методики определения потенциала нарушителя, что позволяет делать предположения о возможной разработке дополнительных методических документов ФСТЭК.

Таким образом, документ ФСТЭК определяет комплексный подход к обеспечению защиты информации, обрабатываемой в ГИС, включающий организационные и технические меры по защите информации на всех стадиях жизненного цикла ГИС. А преемственность двух приказов ФСТЭК позволяет оптимизировать работы по созданию системы защиты информации при обработке ПД в ГИС.


Интересное у NIST

В мае 2013 было опубликовано сразу несколько интересных документов NIST, которые могут заслуживать внимания ИБ-специалистов.

Первым из них является NISTIR 7298 Glossary of Key Information Security Terms, представляющий собой огромный 222-х страничный сборник ключевых понятий ИБ. Основными источниками определений, включенных в состав документа, являются различные специальные публикации NIST, а также глоссарий CNSSI-4009, опубликованный в 2010 году.

Следующий документ NIST Special Publication 800-56A Recommendation for Pair-Wise Key Establishment Schemes Using Discrete Logarithm Cryptography посвящен рассмотрению некоторых схем создания криптографических ключей, основанных на проблеме дискретного логарифмирования в конечном поле и на эллиптической кривой. В рамках данного документа схема создания ключей включает процессы их согласования и доставки и базируется на алгоритмах Диффи-Хеллмана и Менезес-Кью-Ванстоун. Предложенные схемы могут быть использованы при реализации различных протоколов, обеспечивающих дополнительную безопасность информационных систем.

Вопросы, связанные с криптографическими алгоритмами и ключами, также рассматриваются в проекте NIST SP 800-78-4 Cryptographic Algorithms and Key Sizes for Personal Identity Verification. Данный документ определяет требования к криптографическим ключам, а также симметричным и асимметричным алгоритмам шифрования, применяемых в инфраструктуре управления персональными идентификационными картами, предназначенными для верификации личности их владельцев — Personal Identity Verification cards.