Пропустить навигацию

Лекция 3. Руководящие документы ФСТЭК России

Государственная тайна - защищаемые государством сведения в области его военной, внешнеполитической, экономической, разведывательной, контрразведывательной и оперативно-розыскной деятельности, распространение которых может нанести ущерб безопасности Российской Федерации (ст.2 Закона о государственной тайне);

В РФ устанавливаются три степени секретности сведений, составляющих государственную тайну, и соответствующие этим степеням грифы секретности для носителей указанных сведений: "особой важности", "совершенно секретно" и "секретно" (ст.8 Закона о государственной тайне);

Руководящий документ «Классификация по уровню контроля отсутствия недекларированных возможностей» (утвержден 4 июня 1999 г. № 114)

Классификация распространяется на ПО, предназначенное для защиты информации ограниченного доступа.

Устанавливается четыре уровня контроля отсутствия недекларированных возможностей (НДВ). Каждый уровень характеризуется определенной минимальной совокупностью требований.

  • четвертый уровень – для конфиденциальной информации
  • третий – для информации с грифом «секретно»
  • второй – для «СС»
  • первый – для «ОВ»

Недекларированные возможности (НДВ) – функциональные возможности ПО, не описанные или не соответствующие описанным в документации, при использовании которых возможно нарушение конфиденциальности, доступности или целостности обрабатываемой информации.

Оценка соответствия ПО заданным уровням осуществляется согласно перечню, составленному в виде таблицы:

Наименование требования

Уровень контроля

4

3

2

1

3.9.

 

Анализ алгоритма работы функциональных объектов на основе блок-схем, диаграмм и т. п., построенных

по исходным текстам контролируемого ПО

-

-

+

=

Обозначения

"-" - нет требований к данному уровню;

"+" - новые или дополнительные требования;

"=" - требования совпадают с требованиями предыдущего уровня.

29 марта 2019 года на сайте ФСТЭК было опубликовано информационное сообщение N 240/24/1525  «О требованиях по безопасности информации, устанавливающие уровни доверия к средствам технической защиты информации и средствам обеспечения безопасности информационных технологий». Данный документ вступает в силу с 01 июня 2019 года и заменяет рассмотренный выше в лекции руководящий документ по НДВ, который, в свою очередь, прекращает свое действие. Новые требования по доверию являются обязательными для всех разработчиков средств защиты и заявителей на сертификацию ФСТЭК.

В информационном сообщении говорится, что «Разработчикам и производителям сертифицированных средств защиты информации рекомендуется с привлечением испытательных лабораторий провести оценку соответствия средств защиты информации Требованиям к уровням доверия и представить результаты в ФСТЭК России для переоформления соответствующих сертификатов соответствия. Действие сертификатов соответствия средств защиты информации, в отношении которых указанная оценка соответствия не будет проведена до 1 января 2020 г. на основании пункта 83 Положения о сертификации средств защиты информации, утвержденного приказом ФСТЭК России от 3 апреля 2018 г. N 55, может быть приостановлено». Данное утверждение означает, что все действующие сертификаты должны быть пересмотрены до 1-го января 2020 года и в них должны появиться пункты о соответствии новым требованиям по доверию.

Руководящий документ «Классификация автоматизированных систем и требования по защите информации» (утвержден 30 марта 1992 г.)

Классификация распространяется на все действующие и проектируемые АС учреждений, организаций и предприятий, обрабатывающие конфиденциальную информацию.

Устанавливается девять классов защищенности АС от НСД к информации. Каждый класс характеризуется определенной минимальной совокупностью требований по защите.

Классы подразделяются на три группы, отличающиеся особенностями обработки информации в АС.

Третья группа включает АС, в которых работает один пользователь, допущенный ко всей информации АС, размещенной на носителях одного уровня конфиденциальности. Группа содержит два класса - 3Б и 3А.

Вторая группа включает АС, в которых пользователи имеют одинаковые права доступа (полномочия) ко всей информации АС, обрабатываемой и (или) хранимой на носителях различного уровня конфиденциальности. Группа содержит два класса - 2Б и 2А.

Первая группа включает многопользовательские АС, в которых одновременно обрабатывается и (или) хранится информация разных уровней конфиденциальности. Не все пользователи имеют право доступа ко всей информации АС. Группа содержит пять классов - 1Д, 1Г, 1В, 1Б и 1А.

Классы защищенности АС от НСД

Рис. 1. Классы защищённости АС от НСД

ГИС (геоинформационная система) автоматизированная информационная система, предназначенная для обработки пространственно- временных данных, основой интеграции которых служит географическая информация

МЭ – средство, реализующее контроль за информацией, поступающей в АС и/или выходящей из АС, и обеспечивает защиту АС посредством фильтрации информации.

По статистике ФСТЭК - межсетевые экраны являются самыми распространенными сертифицированными средствами защиты информации в России - они составляют четверть от общего числа. Приказом №9 от 9 февраля 2016 года были утверждены новые требования к ним, которые стали применяться с 1-го декабря 2016-го года.

  • Число классов защищенности МСЭ стало 3 для государственной тайны и 3 для обычных информационных систем (вместо 5-ти по прежнему РД на МСЭ).

Классификация межсетевых экранов

Рис. 2.Классификация межсетевых экранов.

  • ФСТЭК ввела еще один критерий классификации - тип МСЭ. Выделяется 5 типов - А (уровень сети), Б (уровня логических границ сети), В (уровень узла), Г (уровень Web-сервера) и Д (промышленные МСЭ). Деление между ними достаточно простое:
  • МЭ типа «А» – это МЭ, применяемый на физической границе (периметре) АС или между физическими границами сегментов АС.
  • МЭ типа «Б» – это МЭ, применяемый на логической границе (периметре) АС или между логическими границами сегментов АС.
  • МЭ типа «В» – это МЭ, применяемый на узле (хосте) АС.
  • МЭ типа «Г» – это МЭ, применяемый на сервере, обслуживающем сайты, веб-службы и веб-приложения, или на физической границе сегмента таких серверов (сервера). Межсетевые экраны типа «Г» могут иметь программное или программно-техническое исполнение и должны обеспечивать контроль и фильтрацию информационных потоков по протоколу передачи гипертекста, проходящих к веб-серверу и от веб-сервера.
  • МЭ уровня промышленной сети (тип «Д») – это МЭ, применяемый в автоматизированной системе управления технологическими или производственными процессами. МЭ типа «Д» может иметь программное или программно-техническое исполнение и должен обеспечивать контроль и фильтрацию промышленных протоколов передачи данных (Modbus, Profibus, CAN, HART, Industrial Ethernet и (или) иные протоколы).
  • В новом РД были усилены основные, функциональные требования к МСЭ.
  • Коренным образом были переработаны и расширены требования к доверию. В данном документе ФСТЭК требует выстроить процесс обнаружения и устранения уязвимостей в подаваемом на сертификацию изделии.

Методические документы по МЭ опубликованы на официальном сайте ФСТЭК: https://fstec.ru/tekhnicheskaya-zashchita-informatsii/dokumenty-po-sertifikatsii/120-normativnye-dokumenty/1185-metodicheskie-dokumenty-utverzhdeny-fstek-rossii-12-sentyabrya-2016-g

Руководящий документ «СВТ. Показатели защищенности от НСД к информации» (утвержден 30 марта 1992 г.)

СВТ – средства вычислительной техники

Конкретные перечни показателей определяют классы защищенности СВТ.

Устанавливается семь классов защищенности СВТ от НСД к информации. Самый низкий класс – седьмой, самый высокий – первый.

Классы подразделяются на четыре группы, отличающиеся качественным уровнем защиты:

- первая группа содержит только один седьмой класс;

- вторая группа характеризуется дискреционной защитой и содержит шестой и пятый классы;

- третья группа характеризуется мандатной защитой и содержит четвертый, третий и второй классы;

- четвертая группа характеризуется верифицированной защитой и содержит только первый класс.

Перечень показателей по классам защищенности СВТ приведен в таблице:

Наименование показателя

Класс защищённости

6

5

4

3

2

1

Очистка памяти

-

+

+

+

=

=

Обозначения:

- "-" – нет требований к данному классу;

- "+" – новые или дополнительные требования,

- "=" – требования совпадают с требованиями к СВТ предыдущего класса.

Седьмой класс присваивают СВТ, к которым предъявлялись требования по защите от НСД к информации, но при оценке защищенность СВТ оказалась ниже уровня требований шестого класса.

Классификация систем обнаружения вторжений

Система обнаружения вторжений – программно-техническое средство, реализующие функции автоматизированного обнаружения (блокирования) действий в информационной системе, направленных на преднамеренный доступ к информации, в целях ее добывания, уничтожения, искажения и блокирования доступа к ней.

Приказом ФСТЭК России от 6 декабря 2011 г. N 638 утверждены Требования к системам обнаружения вторжений, которые вступили в действие с 15 марта 2012 г.

Данный документ содержит:

  • общие требования к системам обнаружения вторжений;
  • требования к функциям безопасности систем обнаружения вторжений.

Установлено шесть классов защиты систем обнаружения вторжений. Самый низкий класс - шестой, самый высокий - первый.

Защита Персональных данных.

В рамках федерального закона от 27 июля 2006 г. N 152-ФЗ «О персональных данных», в Российской Федерации выпущен ряд подзаконных актов, регулирующих деятельность операторов персональных данных.

Постановление правительства РФ № 1119 от 1 ноября 2012 года «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»

Категории обрабатываемых персональных данных (ПДн), подразделяются на 4 группы:

1 группа — специальные категории ПДн, к которым относятся информация о национальной и расовой принадлежности субъекта, о религиозных, философских либо политических убеждениях, информацию о здоровье и интимной жизни субъекта;

2 группа — биометрические ПДн, то есть данные, характеризующие биологические или физиологические особенности субъекта, например фотография или отпечатки пальцев;

3 группа — общедоступные ПДн, то есть сведения о субъекте, полный и неограниченный доступ к которым предоставлен самим субъектом;

4 группа — иные категории ПДн, не представленные в трех предыдущих группах.

По форме отношений между организацией и субъектами обработка подразделяется на 2 вида:

  • обработка персональных данных работников (субъектов, с которыми организация связана трудовыми отношениями);
  • обработка персональных данных субъектов, не являющихся работниками организации.

По количеству субъектов, ПДн которых обрабатываются, нормативным актом определены лишь 2 категории:

  • менее 100 000 субъектов;
  • более 100 000 субъектов;

Под актуальными угрозами безопасности ПДн понимается совокупность условий и факторов, создающих актуальную опасность несанкционированного, в том числе случайного, доступа к ПДн при их обработке в информационной системе (ИС).

Угрозы делятся на три типа:

Угрозы 1-го типа актуальны для ИС, если для нее в том числе актуальны угрозы, связанные с наличием НДВ в системном программном обеспечении, используемом в ИС.

 Угрозы 2-го типа актуальны для ИС, если для нее в том числе актуальны угрозы, связанные с наличием НДВ в прикладном программном обеспечении, используемом в ИС.

 Угрозы 3-го типа актуальны для ИС, если для нее актуальны угрозы, не связанные с наличием НДВ в системном и прикладном программном обеспечении, используемом в ИС.

При обработке ПДн в ИС устанавливаются 4 уровня защищенности персональных данных. Чем выше уровень защищенности персональных данных, тем больше мер по обеспечению безопасности персональных данных требуется выполнить. Уровень защищенности ПДн определяется в соответствии со следующей таблицей:

Уровни защищенности ПДн

Таблица 3. Уровни защищенности ПДн

В зависимости от уровня защищенности ПДн определяется перечень требований, выполнение которых необходимо для нейтрализации угроз безопасности ПДн.

При работе с персональными данными необходимо знать следующие НПА:

Приказ ФСТЭК России от 11 февраля 2013 г. № 17 «Об утверждении требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах» - действует.

Приказ ФСТЭК России от 18.02.2013 N 21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных» - действует.

1 сентября 2015 года  вступил в силу Федеральный закон от 21 июля 2014 г. № 242-ФЗ "О внесении изменений в отдельные законодательные акты Российской Федерации в части уточнения порядка обработки персональных данных в информационно-телекоммуникационных сетях", который ещё называют законом «О локализации персональных данных россиян на территории РФ».

Данным документом  установлена обязанность хранения на территории России персональных данных граждан Российской Федерации, используемых Интернет-ресурсами. Операторы должны при сборе персональных данных, в том числе посредством Интернета, обеспечить запись, накопление, хранение, систематизацию, извлечение персональных данных граждан РФ с использованием баз данных, находящихся на территории РФ.

Потенциальные последствия за неисполнение ФЗ-242:

  • Блокирование доступа к зарубежным ресурсам, в которых ведется обработка ПДн российских граждан (сотрудников и клиентов);
  • Блокирование доступа к зарубежным ресурсам и третьих фирм, в которых ведется обработка ПДн российских граждан (сотрудников и клиентов);
  • Потенциальное снижение продаж решений и невозможность выполнения сервисных обязательств из-за потенциального блокирования основного сайта;
  • Репутационные риски;
  • Административная и уголовная ответственность отсутствует.