Новости ФСТЭК России
В конце января 2014 на сайте ФСТЭК России был размещен План разработки нормативных правовых актов ФСТЭК России на 2014 год. Среди планируемых к разработке документов в сфере информационной безопасности указаны следующие документы:
— Проект приказа ФСТЭК России «Об утверждении требований к защите информации, обработка которой осуществляется автоматизированными системами управления производственными и технологическими процессами на критически важных объектах, потенциально опасных объектах, а также объектах, представляющих повышенную опасность для жизни и здоровья людей и для окружающей среды».
— Проект приказа ФСТЭК России «Об утверждении требований к техническим средствам активной защиты информации, обрабатываемой техническими средствами, от утечки за счет побочных электромагнитных излучений и наводок».
— Проект приказа ФСТЭК России «Об утверждении требований к техническим средствам виброакустической защиты информации».
В соответствии с указанным планом разработки в феврале этого года был опубликован проект нормативного правового акта «Требования к обеспечению защиты информации в автоматизированных системах управления производственными и технологическими процессами на критически важных объектах, потенциально опасных объектах, а также объектах, представляющих повышенную опасность для жизни и здоровья людей и для окружающей природной среды».
Структура нового документа во многом напоминает структуру 17-го приказа ФСТЭК России, включающую блок требований к организации защиты информации в автоматизированной системе управления (АСУ), а также требования к необходимым мерам защиты информации.
Организация защиты информации
Согласно новому документу ФСТЭК России для обеспечения защиты информации в АСУ в организации должно быть выделено структурное подразделение или назначено должностное лицо, ответственное за защиту информации.
В соответствии с проектом приказа защита информации, содержащейся в АСУ, является составной частью работ по ее созданию и эксплуатации и обеспечивается на всех стадиях ее создания и в ходе эксплуатации путем принятия организационных и технических мер защиты информации в рамках системы защиты АСУ.
Основными этапами формирования требований к защите информации являются:
— классификация АСУ, с оформлением соответствующего акта классификации;
— определение угроз безопасности информации и разработку на их основе модели угроз;
— определение требований к системе защиты автоматизированной системы управления.
Классификация АСУ проводится в зависимости от уровня значимости АСУ и обрабатываемой в ней информации.
Всего устанавливаются три класса защищенности АСУ: К1 (самый высокий), К2 и К3.
Для определения класса защищенности необходимо определить уровень значимости АСУ (информации).
Уровень значимости определяется в зависимости от степени возможного ущерба от нарушения конфиденциальности, целостности или доступности обрабатываемой информации.
В таблице приведено соответствие уровней значимости и степени возможного ущерба от нарушения свойств безопасности информации.
При обработке в АСУ двух и более видов информации (измерительная информация, информация о состоянии процесса), уровень значимости определяется отдельно для каждого вида информации. Итоговый уровень значимости определяется по наивысшему значению из них.
Исходя из уровня значимости АСУ класс защищенности АСУ определяется в соответствии с таблицей:
Разработка системы защиты АСУ должна включать следующие этапы:
— Проектирование, в рамках которого осуществляется выбор СрЗИ, сертифицированных на соответствие требованиям безопасности, и определяются необходимые меры защиты.
— Разработку эксплуатационной документации.
На этапе внедрения системы защиты АСУ должна осуществляться установка и настройка СрЗИ в АСУ, проводиться предварительные испытания, опытная эксплуатация и приемочные испытания системы, анализ уязвимостей АСУ и принятие мер по их устранению, а также разрабатываться документы, определяющие правила и процедуры, реализуемые для защиты информации.
Одной из форм подтверждения соответствия системы защиты АСУ требованиям по защите информации является проведение аттестации АСУ, однако в общем случае аттестация не является обязательной.
Меры защиты информации
Помимо требований к организации защиты информации в АСУ, документ ФСТЭК России определяет набор мер защиты информации, а также порядок их выбора, включающий определение базового набора требований, его адаптацию, уточнение, дополнение, а также возможность использования компенсирующих мер.
Состав мер защиты АСУ приведен в таблице.
Реализация технических мер защиты информации предусматривает использование сертифицированных СрЗИ, удовлетворяющих определенным требованиям, приведенным в таблице.
В соответствии с требованиями проекта приказа выбранные и реализованные в АСУ меры защиты информации должны обеспечивать нейтрализацию угроз безопасности информации, связанных с действиями нарушителей с разным уровнем потенциала. В рамках документа выделяются нарушители с высоким, средним и низким потенциалом. Потенциал нарушителя должен быть определен при анализе угроз безопасности информации.
Таким образом, документ ФСТЭК России определяет комплексный подход к обеспечению защиты информации, обрабатываемой в АСУ, включающий организационные и технические меры по защите информации на всех стадиях жизненного цикла АСУ.
Официальная отмена приказа трех
20 февраля в Минюсте официально зарегистрирован приказ ФСТЭК России, ФСБ России и Минкомсвязи России об отмене «приказа трех» по классификации ИСПДн. Фактически «приказ трех» прекратил свое действие после выхода Постановления Правительства №1119 и отмены Постановления Правительства №781, во исполнение которого и создавался «приказ трех», однако до сих пор многие операторы ПДн продолжали определять класс ИСПДн вместо уровней защищенности ПДн. Более того, понятие класса ИСПДн и по сей день содержится в официальной форме уведомления Роскомнадзор.
Меры защиты информации в ГИС
18 февраля ФСТЭК России была опубликована итоговая версия методического документа «Меры защиты информации в государственных информационных системах», проект которого рассматривался раннее в ноябрьском обзоре прошлого года.
По сравнению с проектом в итоговой версии документа были добавлены:
— термины и определения (приложение 1);
— описание разрабатываемой эксплуатационной документации на систему защиты информации и организационно-распорядительных документов по защите информации (раздел 2);
— пример адаптации базового набора мер защиты информации путем исключения мер по защите мобильных технических средств, если такие мобильные устройства не применяются или их применение запрещено (пункт 2.3 б);
— пункт 2.3 д, содержащий рекомендации по применению компенсирующих мер защиты информации, включающие требования к содержанию обоснования применения компенсирующих мер;
— требования по обязательному наличию организационно-распорядительной документации.
Содержание мер защиты информации также было расширено, а количество мер (особенно мер «усиления») увеличилось. Общее количество мер защиты, определяемых в документе ФСТЭК России, приведено в таблице.