УЦСБ
Решения
  • Информационная безопасность
    • Анализ защищенности
    • Безопасный удаленный доступ
    • Возможности вендоров по предоставлению лицензий для удаленного доступа
    • Обеспечение информационной безопасности
    • Безопасность промышленных систем автоматизации и управления
    • Консалтинг
    • Сервисная поддержка по вопросам ИБ
    • Обеспечение безопасности ПДн и ГИС
    • Выполнение требований Положений Банка России №683-П и №684-П
  • Информационные технологии
    • Цифровая трансформация
    • Сети передачи данных
    • Информационная инфраструктура
    • Информационные сервисы
    • Мультимедийные проекты
    • Сервисы взаимодействия
  • Инженерные системы
    • Центры обработки данных
    • Системы видеонаблюдения
    • Системы пожарной сигнализации
    • Системы объектовой охранной сигнализации
    • Системы защиты периметра
    • Системы контроля и управления доступом
    • Инженерно-технические сооружения
  • Примеры решений
    • Система автоматизации процессов управления информационной безопасностью (САПУИБ) на базе eplat4m
      • Модуль Eplat4m «Управление соответствием требованиям по ИБ. САПУИБ-И»
      • Модуль Eplat4m «Управление инцидентами информационной безопасности. САПУИБ-И»
      • Модуль Eplat4m «Управление классификацией объектов защиты. САПУИБ-И»
    • Система диспетчеризации ЦОД DATCHECK
    • Efros Config Inspector
    • Модуль Eplat4m «Категорирование объектов критической информационной инфраструктуры»
    • Умные решения в управлении ЖКХ на платформе HESKEY
    • CyberLympha DATAPK
    • Модульный ЦОД на основе решения DATARK
    • Система управления событиями ИБ
    • Система управления учетными записями и правами пользователей
    • E4 аудит. Онлайн-сервис дистанционной оценки соответствия ГОСТ Р 57580
Продукты и услуги
  • Корпоративный центр ГосСОПКА
  • Сервисная поддержка
  • Пентесты
  • Консалтинг ИБ
    • Услуги по консалтингу в сфере защиты информации
      • Критической информационной инфраструктуры
      • Государственных информационных систем
      • Финансовых организации
      • Персональных данных
      • Коммерческой тайны
      • Комплексный аудит ИБ
    • Полезные материалы
      • Вебинары серии «Безопасность Финансовых организаций»
      • Вебинары по КИИ
      • Обзоры изменений законодательства ИБ
      • Обзоры изменений в области КИИ
      • Общие статьи
      • Дистанционная оценка соответствия ГОСТ Р 57580
    • Преимущества
    • Лицензии
  • 187-ФЗ
  • Импортозамещение
  • Безопасная разработка ПО
Компания
  • Об УЦСБ
  • Лицензии и сертификаты
  • Партнеры
  • Награды и рейтинги
  • СМК
  • Охрана труда
  • Политика обработки ПДн
  • Важное
Мероприятия
  • Ближайшие мероприятия
  • Прошедшие мероприятия
  • Записи вебинаров
    • Серия вебинаров «SecOps от УЦСБ»
    • Вебинар «Построение системы мониторинга ИБ АСУ ТП»
    • Вебинар «DATAPK: на страже АСУ ТП»
    • Вебинар «Анализ защищенности сети предприятия»
    • Вебинар «Офис на удаленке: эффективная и безопасная работа»
    • Серия вебинаров «Безопасность финансовых организаций»
    • Записи вебинара «Российское программное обеспечение. Методология перехода»
    • Серия вебинаров «Кибербезопасность АСУ ТП»
    • Серия вебинаров «Безопасность КИИ и требования 187-ФЗ»
    • Серия вебинаров ИБ. Стратегия обороны
    • Серия вебинаров УЦСБ. Держи марку!
    • Серия вебинаров ИБ АСУ ТП NON-STOP
Пресс-центр
Карьера
Контакты
Ещё
    Задать вопрос
    +7 (343) 379-98-34
    Заказать звонок
    info@ussc.ru 

    Россия, 620100, г. Екатеринбург, ул. Ткачей, 6
    • Вконтакте
    • Habr
    +7 (343) 379-98-34
    Заказать звонок
    УЦСБ
    Решения
    • Информационная безопасность
    • Информационные технологии
    • Инженерные системы
    • Примеры решений
    Продукты и услуги
    • Корпоративный центр ГосСОПКА
    • Сервисная поддержка
    • Пентесты
    • Консалтинг ИБ
    • 187-ФЗ
    • Импортозамещение
    • Безопасная разработка ПО
    Компания
    • Об УЦСБ
    • Лицензии и сертификаты
    • Партнеры
    • Награды и рейтинги
    • СМК
    • Охрана труда
    • Политика обработки ПДн
    • Важное
    Мероприятия
    • Ближайшие мероприятия
    • Прошедшие мероприятия
    • Записи вебинаров
    Пресс-центр
    Карьера
    Контакты
      УЦСБ
      Решения
      • Информационная безопасность
      • Информационные технологии
      • Инженерные системы
      • Примеры решений
      Продукты и услуги
      • Корпоративный центр ГосСОПКА
      • Сервисная поддержка
      • Пентесты
      • Консалтинг ИБ
      • 187-ФЗ
      • Импортозамещение
      • Безопасная разработка ПО
      Компания
      • Об УЦСБ
      • Лицензии и сертификаты
      • Партнеры
      • Награды и рейтинги
      • СМК
      • Охрана труда
      • Политика обработки ПДн
      • Важное
      Мероприятия
      • Ближайшие мероприятия
      • Прошедшие мероприятия
      • Записи вебинаров
      Пресс-центр
      Карьера
      Контакты
        УЦСБ
        УЦСБ
        • Решения
          • Назад
          • Решения
          • Информационная безопасность
            • Назад
            • Информационная безопасность
            • Анализ защищенности
            • Безопасный удаленный доступ
            • Возможности вендоров по предоставлению лицензий для удаленного доступа
            • Обеспечение информационной безопасности
            • Безопасность промышленных систем автоматизации и управления
            • Консалтинг
            • Сервисная поддержка по вопросам ИБ
            • Обеспечение безопасности ПДн и ГИС
            • Выполнение требований Положений Банка России №683-П и №684-П
          • Информационные технологии
            • Назад
            • Информационные технологии
            • Цифровая трансформация
            • Сети передачи данных
            • Информационная инфраструктура
            • Информационные сервисы
            • Мультимедийные проекты
            • Сервисы взаимодействия
          • Инженерные системы
            • Назад
            • Инженерные системы
            • Центры обработки данных
            • Системы видеонаблюдения
            • Системы пожарной сигнализации
            • Системы объектовой охранной сигнализации
            • Системы защиты периметра
            • Системы контроля и управления доступом
            • Инженерно-технические сооружения
          • Примеры решений
            • Назад
            • Примеры решений
            • Система автоматизации процессов управления информационной безопасностью (САПУИБ) на базе eplat4m
              • Назад
              • Система автоматизации процессов управления информационной безопасностью (САПУИБ) на базе eplat4m
              • Модуль Eplat4m «Управление соответствием требованиям по ИБ. САПУИБ-И»
              • Модуль Eplat4m «Управление инцидентами информационной безопасности. САПУИБ-И»
              • Модуль Eplat4m «Управление классификацией объектов защиты. САПУИБ-И»
            • Система диспетчеризации ЦОД DATCHECK
            • Efros Config Inspector
            • Модуль Eplat4m «Категорирование объектов критической информационной инфраструктуры»
            • Умные решения в управлении ЖКХ на платформе HESKEY
            • CyberLympha DATAPK
            • Модульный ЦОД на основе решения DATARK
            • Система управления событиями ИБ
            • Система управления учетными записями и правами пользователей
            • E4 аудит. Онлайн-сервис дистанционной оценки соответствия ГОСТ Р 57580
        • Продукты и услуги
          • Назад
          • Продукты и услуги
          • Корпоративный центр ГосСОПКА
          • Сервисная поддержка
          • Пентесты
          • Консалтинг ИБ
            • Назад
            • Консалтинг ИБ
            • Услуги по консалтингу в сфере защиты информации
              • Назад
              • Услуги по консалтингу в сфере защиты информации
              • Критической информационной инфраструктуры
              • Государственных информационных систем
              • Финансовых организации
              • Персональных данных
              • Коммерческой тайны
              • Комплексный аудит ИБ
            • Полезные материалы
              • Назад
              • Полезные материалы
              • Вебинары серии «Безопасность Финансовых организаций»
              • Вебинары по КИИ
              • Обзоры изменений законодательства ИБ
              • Обзоры изменений в области КИИ
              • Общие статьи
              • Дистанционная оценка соответствия ГОСТ Р 57580
            • Преимущества
            • Лицензии
          • 187-ФЗ
          • Импортозамещение
          • Безопасная разработка ПО
        • Компания
          • Назад
          • Компания
          • Об УЦСБ
          • Лицензии и сертификаты
          • Партнеры
          • Награды и рейтинги
          • СМК
          • Охрана труда
          • Политика обработки ПДн
          • Важное
        • Мероприятия
          • Назад
          • Мероприятия
          • Ближайшие мероприятия
          • Прошедшие мероприятия
          • Записи вебинаров
            • Назад
            • Записи вебинаров
            • Серия вебинаров «SecOps от УЦСБ»
            • Вебинар «Построение системы мониторинга ИБ АСУ ТП»
            • Вебинар «DATAPK: на страже АСУ ТП»
            • Вебинар «Анализ защищенности сети предприятия»
            • Вебинар «Офис на удаленке: эффективная и безопасная работа»
            • Серия вебинаров «Безопасность финансовых организаций»
            • Записи вебинара «Российское программное обеспечение. Методология перехода»
            • Серия вебинаров «Кибербезопасность АСУ ТП»
            • Серия вебинаров «Безопасность КИИ и требования 187-ФЗ»
            • Серия вебинаров ИБ. Стратегия обороны
            • Серия вебинаров УЦСБ. Держи марку!
            • Серия вебинаров ИБ АСУ ТП NON-STOP
        • Пресс-центр
        • Карьера
        • Контакты
        • +7 (343) 379-98-34
        info@ussc.ru 

        Россия, 620100, г. Екатеринбург, ул. Ткачей, 6
        • Вконтакте
        • Habr
        • Главная
        • Пресс-центр
        • Новости
        • Обзор изменений в законодательстве за май 2013. Часть 2

        Обзор изменений в законодательстве за май 2013. Часть 2

        13 июня 2013
        Новости
        Автор обзора Юлия Новоселова, старший аналитик УЦСБ.

        В последний день мая в Минюсте был зарегистрирован еще один документ ФСТЭК России —приказ от 11.02.2013 № 17 «Об утверждении требований о защите информации, не составляющих государственную тайну, содержащейся в государственных информационных системах».

        После выхода проекта этого приказа в ИБ-сообществе активно обсуждалась возможность отмены СТР-К, на смену которого и должен прийти новый документ. Однако сейчас можно однозначно говорить о том, что 17-й приказ ФСТЭК России никоим образом не отменяет и не заменяет собой старые требования и с 1 сентября 2013 года будет действовать наравне с СТР-К.

        На стадии проекта в область действия приказа попадали только вновь создаваемые или модернизируемые государственные информационные системы (ГИС), однако в итоговой версии приказа такое уточнение отсутствует. Таким образом, требования по защите информации, устанавливаемые новым документом ФСТЭК России, являются обязательными для всех ГИС, а также муниципальных ИС, если иное не установлено законодательством РФ о местном самоуправлении. Исключениями являются только особые ГИС, принадлежащие Администрации Президента, Совета Безопасности, Федерального собрания, Правительства РФ, ФСБ России, а также Конституционного, Верховного и Арбитражного Суда РФ.

        При рассмотрении требований 17-го приказа ФСТЭК следует особо подчеркнуть необходимость правильного понимания понятий ГИС и муниципальной ИС, определения которых даны в ст. 13 ФЗ № 149 «Об информации, информационных технологиях и о защите информации»:

        — ГИС — федеральные информационные системы и региональные информационные системы, созданные на основании соответственно федеральных законов, законов субъектов РФ, на основании правовых актов государственных органов.
        — муниципальные ИС — информационные системы, созданные на основании решения органа местного самоуправления.

        Таким образом, не каждая ИС, используемая в государственном или муниципальном органе, может быть отнесена к ГИС или муниципальной информационной системе, и определяющим фактором здесь служит наличие соответствующего правового акта.

        Еще одним важным моментом, на который необходимо обратить внимание, является вопрос, связанный с обработкой ПДн в ГИС. В этом случае требования нового документа должны применяться вместес требованиями к защите ПДн, определенными в приказе ФСТЭК России № 21, речь о котором шла в предыдущей части майского обзора.

        Требования документа ФСТЭК включают блок требований к организации защиты информации в ГИС, а также требования к необходимым мерам защиты информации.


        Организация защиты информации

        Согласно документу ФСТЭК для обеспечения защиты информации в ГИС в организации должно быть выделено структурное подразделение или назначено должностное лицо, ответственное за защиту информации.

        В соответствии с приказом защита информации, содержащейся в ГИС, является составной частью работ по созданию и эксплуатации ИС и обеспечивается на всех стадиях ее создания и в ходе эксплуатации путем принятия организационных и технических мер защиты информации в рамках системы защиты информации.

        Основными этапами формирования требований к защите информации являются:
        — классификация ИС, с оформлением соответствующего акта классификации;
        — определение угроз безопасности информации и разработку на их основе модели угроз.

        Классификация ИС проводится в зависимости от значимости обрабатываемой в ней информации и масштаба информационной системы (федеральный, региональный, объектовый).

        Всего устанавливаются четыре класса защищенности: К1 (самый высокий), К2, К3 и К4.

        Для определения класса защищенности необходимо:

        1. Оценить степень возможного ущерба для каждого свойства безопасности информации (конфиденциальности, целостности, доступности).

        Степень возможно ущерба оценивается экспертным методом с учетом возможных последствий и влияния нарушения свойств безопасности информации (конфиденциальности, целостности и доступности) на возможность выполнения ГИС и оператором возложенных на них функций и может быть высокой, средней или низкой.

        2. Определить уровень значимости информации.

        Уровень значимости определяется в зависимости от степени возможного ущерба от нарушения конфиденциальности, целостности и доступности информации.

        В таблице приведено соответствие уровней значимости и степени возможного ущерба от нарушения свойств безопасности информации:

        При обработке в ГИС двух и более видов тайн, уровень значимости определяется отдельно для каждого вида информации. Итоговый уровень значимости определяется по наивысшему значению из них.

        3. Определить масштаб ИС в зависимости от расположения сегментов ИС относительно субъектов РФ и органов власти: федеральный, региональный, объектовый.

        Исходя из предыдущих параметров класс защищенности ИС определяется в соответствии с таблицей:

        Разработка системы защиты информации должна включать следующие этапы:

        — Проектирование, в рамках которого осуществляется выбор СрЗИ, сертифицированных на соответствие требованиям безопасности, и определяются необходимые меры защиты.
        — Разработку эксплуатационной документации.
        — Макетирование и тестирование системы, в том числе с использованием технологии виртуализации.

        На этапе внедрения системы защиты информации должна осуществляться настройка СрЗИ, проводиться предварительные испытания, опытная эксплуатация и приемочные испытания системы, а также разрабатываться документы, определяющие правила и процедуры, реализуемые для защиты информации.

        Обязательным этапом является проведение аттестации системы защиты информации с оформлением соответствующих программ и методик аттестационных испытаний, протоколов и заключений.


        Меры защиты информации

        Помимо требований к организации защиты информации в ГИС, документ ФСТЭК, аналогично 21-му приказу, регламентирует набор мер защиты информации, а также устанавливает порядок их выбора, включающий определение базового набора требований, его адаптацию, уточнение, дополнение, а также возможность использования компенсирующих мер.

        Состав мер защиты, определенных в 17-ом приказе, по своей структуре и содержанию с небольшими отличиями повторяет требования 21-ого приказа. Сравнительный анализ мер приведен в таблице:

        Реализация технических мер защиты информации предусматривает использование сертифицированных СрЗИ, удовлетворяющих определенным требованиям, приведенным в таблице:

        В соответствии с требованиями 17-го приказа выбранные и реализованные в ИС меры защиты информации должны обеспечивать нейтрализацию угроз безопасности информации, связанных с действиями нарушителей разного уровня потенциала. В рамках документа выделяется 3 уровня потенциала нарушителя (высокий, средний и низкий), который должен быть определен при анализе угроз безопасности информации. Однако документ не раскрывает методики определения потенциала нарушителя, что позволяет делать предположения о возможной разработке дополнительных методических документов ФСТЭК.

        Таким образом, документ ФСТЭК определяет комплексный подход к обеспечению защиты информации, обрабатываемой в ГИС, включающий организационные и технические меры по защите информации на всех стадиях жизненного цикла ГИС. А преемственность двух приказов ФСТЭК позволяет оптимизировать работы по созданию системы защиты информации при обработке ПД в ГИС.


        Интересное у NIST

        В мае 2013 было опубликовано сразу несколько интересных документов NIST, которые могут заслуживать внимания ИБ-специалистов.

        Первым из них является NISTIR 7298 Glossary of Key Information Security Terms, представляющий собой огромный 222-х страничный сборник ключевых понятий ИБ. Основными источниками определений, включенных в состав документа, являются различные специальные публикации NIST, а также глоссарий CNSSI-4009, опубликованный в 2010 году.

        Следующий документ NIST Special Publication 800-56A Recommendation for Pair-Wise Key Establishment Schemes Using Discrete Logarithm Cryptography посвящен рассмотрению некоторых схем создания криптографических ключей, основанных на проблеме дискретного логарифмирования в конечном поле и на эллиптической кривой. В рамках данного документа схема создания ключей включает процессы их согласования и доставки и базируется на алгоритмах Диффи-Хеллмана и Менезес-Кью-Ванстоун. Предложенные схемы могут быть использованы при реализации различных протоколов, обеспечивающих дополнительную безопасность информационных систем.

        Вопросы, связанные с криптографическими алгоритмами и ключами, также рассматриваются в проекте NIST SP 800-78-4 Cryptographic Algorithms and Key Sizes for Personal Identity Verification. Данный документ определяет требования к криптографическим ключам, а также симметричным и асимметричным алгоритмам шифрования, применяемых в инфраструктуре управления персональными идентификационными картами, предназначенными для верификации личности их владельцев — Personal Identity Verification cards. 

        Поделиться
        Назад к списку
        Решения
        Информационная безопасность
        Информационные технологии
        Инженерные системы
        Примеры решений
        Продукты и услуги
        Корпоративный центр ГосСОПКА
        Сервисная поддержка
        Пентесты
        Консалтинг ИБ
        187-ФЗ
        Импортозамещение
        Безопасная разработка ПО
        Компания
        Об УЦСБ
        Лицензии и сертификаты
        Партнеры
        Награды и рейтинги
        СМК
        Охрана труда
        Политика обработки ПДн
        Важное
        Пресс-центр
        Карьера
        Контакты
        Подписка на рассылку
        +7 (343) 379-98-34
        Заказать звонок
        info@ussc.ru 

        Россия, 620100, г. Екатеринбург, ул. Ткачей, 6
        • Вконтакте
        • Habr
        Версия для печати
        Политика конфиденциальности
        © 2023 ООО «УЦСБ». Все права защищены.
        Разработка сайта IT Cloud
        Продолжая пользоваться нашим сайтом, Вы даете согласие на обработку ваших cookie файлов. Мы используем cookie-файлы, для того, чтобы получать статистику, которая помогает показывать вам самые интересные и выгодные предложения. Вы можете отключить cookie-файлы в настройках браузера.
        Заказать звонок
        Обратная связь
        Задать вопрос эксперту
        Офисы