Тема:Обзор нормативных правовых актов, нормативных методических документов по защите информации, в состав которых входят требования и рекомендации по защите информации программными и программно-аппаратными средствами. Работа с содержанием нормативных правовых актов.
Цель: научиться работать в справочно-правовой системе с нормативными и правовыми документами по защите информации.
Теоретические вопросы:
1. Предмет и задачи программно-аппаратной защиты информации.
Предметом защиты в КС является информация. Основная задача такой защиты - выявить и блокировать каналы утечки информации.
2. Основные понятия программно-аппаратной защиты информации.
Программно-аппаратное обеспечение СИБ - совокупность возможностей системного, прикладного и специального программного компьютерного обеспечения, а также специальных технических устройств, выполняющих функции защиты компьютерной информации в информационной системе объекта.
3. Классификация методов и средств программно-аппаратной защиты информации.
Средства обеспечения защиты информации по вопросам предотвращения и минимизации преднамеренных действий разделяются на несколько категорий (в зависимости от способа их реализации):
· Технические или аппаратные средства
· Программные средства
· Смешанные аппаратно-программные средства
· Организационные средства
4. Нормативные правовые акты, нормативные методические документы, в состав которых
входят требования и рекомендации по защите информации программными и программно-аппаратными средствами.
– Конституция Российской Федерации;
– Гражданский Кодекс Российской Федерации
– Уголовный Кодекс Российской Федерации
– Доктрина информационной безопасности Российской Федерации;
– Законы Российской Федерации:
• Федеральный закон РФ от 21.07.1993 № 5485-1 «О государственной тайне»;
• Федеральный закон РФ от 27.06.2006 № 149-ФЗ «Об информации, информационных
• технологиях и защите информации»;
• Федеральный закон РФ от 27.07.2006 № 152-ФЗ «О персональных данных»;
• Федеральный закон РФ от 06.04.2011 № 63-ФЗ «Об электронной подписи»;
• Федеральный закон от 29.04.2004 № 98-ФЗ «О коммерческой тайне»;
– Указы Президента Российской Федерации:
• Указ Президента РФ от 30 ноября 1995 г. №1203 «Об утверждении перечня сведений, отнесенных к государственной тайне»;
• Указ Президента РФ от 6 марта 1997 г. №188 «Об утверждении перечня сведений конфиденциального характера»;
– Постановления Правительства Российской Федерации:
• Постановление Правительства РФ от 01.11.2012 №1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;
• Постановление Правительства РФ от 03.02.2012 № 79 "О лицензировании деятельности по технической защите конфиденциальной информации";
– Документы ФСТЭК, ФСБ:
• Приказ от 11 февраля 2013г. № 17 «Об утверждении требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах»;
• Приказ ФСТЭК России от 18.02.2013 № 21 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных»;
• руководящие документы ФСТЭК по защите от НСД;
• руководящие документы ФСТЭК по защите от НДВ;
• Положение по аттестации объектов информатизации по требованиям безопасности информации от 25 ноября 1994 г.;
• Специальные требования и рекомендации по технической защите конфиденциальной
• информации (СТР-К);
• Приказ ФСБ РФ от 9 февраля 2005г. № 66 «Об утверждении, разработке, производстве, реализации и эксплуатации шифровальных и криптографических средств защиты (Положение ПКЗ-2005».
Задание 1
Определить нормативные методические документы, в состав которых входят требования и рекомендации по защите информации программными и программно-аппаратными средствами.
Ответ:
– Конституция Российской Федерации;
– Гражданский Кодекс Российской Федерации
– Уголовный Кодекс Российской Федерации
– Доктрина информационной безопасности Российской Федерации;
– Законы Российской Федерации:
· Федеральный закон РФ от 21.07.1993 № 5485-1 «О государственной тайне»;
· Федеральный закон РФ от 27.06.2006 № 149-ФЗ «Об информации, информационных
· технологиях и защите информации»;
· Федеральный закон РФ от 27.07.2006 № 152-ФЗ «О персональных данных»;
· Федеральный закон РФ от 06.04.2011 № 63-ФЗ «Об электронной подписи»;
· Федеральный закон от 29.04.2004 № 98-ФЗ «О коммерческой тайне»;
– Указы Президента Российской Федерации:
· Указ Президента РФ от 30 ноября 1995 г. №1203 «Об утверждении перечня сведений, отнесенных к государственной тайне»;
· Указ Президента РФ от 6 марта 1997 г. №188 «Об утверждении перечня сведений конфиденциального характера»;
– Постановления Правительства Российской Федерации:
· Постановление Правительства РФ от 01.11.2012 №1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;
· Постановление Правительства РФ от 03.02.2012 № 79 "О лицензировании деятельности по технической защите конфиденциальной информации";
– Документы ФСТЭК, ФСБ:
· Приказ от 11 февраля 2013г. № 17 «Об утверждении требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах»;
· Приказ ФСТЭК России от 18.02.2013 № 21 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных»;
· руководящие документы ФСТЭК по защите от НСД;
· руководящие документы ФСТЭК по защите от НДВ;
· Положение по аттестации объектов информатизации по требованиям безопасности информации от 25 ноября 1994 г.;
· Специальные требования и рекомендации по технической защите конфиденциальной
· информации (СТР-К);
· Приказ ФСБ РФ от 9 февраля 2005г. № 66 «Об утверждении, разработке, производстве, реализации и эксплуатации шифровальных и криптографических средств защиты (Положение ПКЗ-2005».
Задание 2
Изучить ФЗ «Об информации, информационных технологиях и о защите информации». Выписать требования и рекомендации по защите информации программными и программно-аппаратными средствами.
Ответ:
Приказ № 17 устанавливает требования к защите информации, находящейся в государственных информационных системах (ИС), если она не содержит государственную тайну. Методика определения актуальных угроз безопасности персональных данных, предложенная ведомством, и Рекомендации по защите ПД (Приказ № 21) распространяются на операторов ПД. Некоторые документы имеют гриф «Для служебного пользования», но с большинства он снят. Гриф «ДСП» традиционно сохраняется на документах, регламентирующих требования к программным и аппаратным средствам, которые предназначены для систем с повышенным классом безопасности. Это связано с тем, что информация о том, каким способом защищаются особо важные сведения, может быть доступна только лицензированным организациям.
Нормы ФСТЭК в целом регламентируют:
· классификацию программных и технических средств защиты информации по разным критериям;
· использование определенных защитных схем данных исходя из существенности угроз;
· критерии оценки работы организаций и персонала;
· условия получения лицензий на деятельность и сертификатов на ПО.
Задание 3
Изучить приказ ФСТЭК России от 18 февраля 2013 г.; 21 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных». Выписать требования и рекомендации по защите информации программными и программно-аппаратными средствами.
Ответ:
– 8. В состав мер по обеспечению безопасности персональных данных, реализуемых в рамках системы защиты персональных данных с учетом актуальных угроз безопасности персональных данных и применяемых информационных технологий, входят:
· идентификация и аутентификация субъектов доступа и объектов доступа;
· управление доступом субъектов доступа к объектам доступа;
· ограничение программной среды;
· защита машинных носителей информации, на которых хранятся и (или) обрабатываются персональные данные (далее - машинные носители персональных данных);
· регистрация событий безопасности;
· антивирусная защита;
· обнаружение (предотвращение) вторжений;
· контроль (анализ) защищенности персональных данных;
· обеспечение целостности информационной системы и персональных данных;
· обеспечение доступности персональных данных;
· защита среды виртуализации;
· защита технических средств;
· защита информационной системы, ее средств, систем связи и передачи данных;
– 8.3. Меры по ограничению программной среды должны обеспечивать установку и (или) запуск только разрешенного к использованию в информационной системе программного обеспечения или исключать возможность установки и (или) запуска, запрещенного к использованию в информационной системе программного обеспечения.
– 11. В случае определения в соответствии с Требованиями к защите персональных при их обработке в информационных системах персональных данных, утвержденными постановлением Правительства Российской Федерации от 1 ноября 2012 г. N 1119, в качестве актуальных угроз безопасности персональных данных 1-го и 2-го типов дополнительно к мерам по обеспечению безопасности персональных данных, указанным в пункте 8 настоящего документа, могут применяться следующие меры:
· проверка системного и (или) прикладного программного обеспечения, включая программный код, на отсутствие не декларированных возможностей с использованием автоматизированных средств и (или) без использования таковых;
· тестирование информационной системы на проникновения;
· использование в информационной системе системного и (или) прикладного программного обеспечения, разработанного с использованием методов защищенного программирования.
–12. Технические меры защиты персональных данных реализуются посредством применения средств защиты информации, в том числе программных (программно-аппаратных) средств, в которых они реализованы, имеющих необходимые функции безопасности.
Для обеспечения 1 и 2 уровней защищенности персональных данных, а также для обеспечения 3 уровня защищенности персональных данных в информационных системах, для которых к актуальным отнесены угрозы 2-го типа, применяются сертифицированные средства защиты информации, программное обеспечение которых прошло проверку не ниже чем по 4 уровню контроля отсутствия не декларированных возможностей.
(п. 12 в ред. Приказа ФСТЭК России от 23.03.2017 N 49)
Задание 4
Изучить типовые требования по организации и обеспечению функционирования шифровальных (криптографических) средств, предназначенных для защиты информации, не содержащей сведений, составляющих государственную тайну в случае их использования для обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных, утвержденные руководством Центра ФСБ России 21.02.2008 №149/6/6- 622. Выписать требования и рекомендации по защите информации программными и программно-аппаратными средствами.
Ответ:
- 3.4. Используемые или хранимые криптосредства, эксплуатационная и техническая документация к ним, ключевые документы подлежат поэкземплярному учету. Рекомендуемые формы приведены в Приложении N 2. При этом программные криптосредства должны учитываться совместно с аппаратными средствами, с которыми осуществляется их штатное функционирование. Если аппаратные или аппаратно-программные криптосредства подключаются к системной шине или к одному из внутренних интерфейсов аппаратных средств, то такие криптосредства учитываются также совместно с соответствующими аппаратными средствами.
- 3.9. Аппаратные средства, с которыми осуществляется штатное функционирование криптосредств, а также аппаратные и аппаратно-программные криптосредства должны быть оборудованы средствами контроля за их вскрытием (опечатаны, опломбированы). Место опечатывания (опломбирования) криптосредств, аппаратных средств должно быть таким, чтобы его можно было визуально контролировать. При наличии технической возможности на время отсутствия пользователей криптосредств указанные средства необходимо отключать от линии связи и убирать в опечатываемые хранилища.
- 3.19. Криптосредства уничтожают (утилизируют) по решению оператора, владеющего криптосредствами, и с уведомлением организации, ответственной в соответствии с ПКЗ-2005 за организацию поэкземплярного учета криптосредств.
Намеченные к уничтожению (утилизации) криптосредства подлежат изъятию из аппаратных средств, с которыми они функционировали. При этом криптосредства считаются изъятыми из аппаратных средств, если исполнена предусмотренная эксплуатационной и технической документацией к криптосредствам процедура удаления программного обеспечения криптосредств и они полностью отсоединены от аппаратных средств.
Если было полезно, и если хотите, чтобы готовые практические выходили в свет, ставьте лойс. Ответы на вопросы были собраны по всему простору интернета.