Главная » Блоги Экспертов И ИТ-Компаний » В сфере защиты ГИС важно держать «руку на пульсе»
Облачные технологии управления 6 лет назад

В сфере защиты ГИС важно держать «руку на пульсе»

Данная статья посвящена вопросам обеспечения безопасности государственных информационных систем (ГИС). В статье обзорно рассматриваются основные положения, этапы и особенности обеспечения информационной безопасности ГИС, а также перспективы и тренды.

Немного о терминологии

Для начала, необходимо разобраться с самим понятием государственной информационной системы и с порядком отнесения информационных систем к ГИС. По данному вопросу в экспертном сообществе неоднократно поднимались дискуссии.

С одной стороны, в Федеральном законе №149 «Об информации, информационных технологиях и о защите информации» дается следующее определение: государственные информационные системы - федеральные информационные системы и региональные информационные системы, созданные на основании соответственно федеральных законов, законов субъектов Российской Федерации, на основании правовых актов государственных органов. А поскольку подавляющее большинство систем в госорганах создаются или вводятся в эксплуатацию на основании приказа (т.е. на основании правового акта), то все они могут являться ГИС.

С другой стороны, небольшую неясность создало наличие федерального и региональных реестров государственных информационных систем. Реестр федеральных ГИС ведется Минкомсвязью в соответствии с Постановлением Правительства №723. На первый взгляд может показаться, что к ГИС относятся исключительно системы, содержащиеся  в государственных реестрах. Однако отсутствие системы в реестрах не противоречит тому, что она является ГИС. Регистрации в реестре подлежат только федеральные ГИС, которые используются федеральными органами исполнительной власти при осуществлении их функций или предоставлению государственных услуг. Т.е. информационные системы могут являться ГИС, но не иметь оснований для внесения в реестр.

В дополнение можно отметить, что совсем недавно вышло Постановление Правительства № 676, которое определяет требования к порядку создания, развития, ввода и вывода из эксплуатации ГИС. И согласно данному постановлению, основанием для создания ГИС является:

а)  обязанность органа исполнительной власти по созданию системы, предусмотренная нормативными правовыми актами;

б)  решение органа исполнительной власти о создании системы с целью обеспечения реализации возложенных на него полномочий.

 

С учетом того, что практически любая деятельность регламентирована соответствующим законом, а большинство информационных систем как раз и предназначены  для обеспечения реализации полномочий организации, то к ГИС можно обоснованно отнести практически любую информационную систему, функционирующую в государственном органе.

Основные мероприятия по защите ГИС

Основным документом, регламентирующим меры по защите ГИС на сегодняшний день, является приказ ФСТЭК России №17, выпущенный 11 февраля 2013 года. Описанные в приказе меры по защите информации охватывают весь «жизненный» цикл ГИС и включают в себя следующие этапы:

1)  Формирование требований к защите;

2)  Разработку системы защиты информации;

3)  Внедрение системы защиты информации;

4)  Аттестацию информационной системы по требованиям защиты информации и ввод ее в действие;

5)  Обеспечение защиты информации в ходе эксплуатации системы;

6)  Обеспечение защиты информации при выводе системы из эксплуатации.

На первом этапе производится классификация системы, моделирование потенциальных угроз и разработка технического задания на защиту системы. Для ГИС принята собственная система классификации, зависящая от масштаба системы и уровня значимости обрабатываемой в ней информации.

На втором этапе осуществляется проектирование системы защиты, в том числе разработка проекта, рабочей и эксплуатационной документации. Проектирование производится с учетом ГОСТ серии 34. Перечень применяемых средств защиты описан в нормативных документах и зависит от класса системы и актуальных угроз ИБ.

Третий этап включает внедрение организационных и технических мер защиты, в соответствии с разработанным проектом, предварительные испытания и опытную эксплуатацию системы защиты, ввод ее в действие.

Четвертый этап подразумевает проведение аттестационных испытаний защищаемой ГИС на соответствие требованиям по защите информации. Формальный ввод ГИС в действие производится только после получения аттестата соответствия.

На пятом этапе производится администрирование построенной системы защиты, а также периодический контроль уровня защищенности.

Шестой этап наступает в случае вывода ГИС из эксплуатации. На данном этапе, меры по обеспечению безопасности включают, в том числе, архивирование необходимой информации и надёжное уничтожение ставших ненужными носителей.

 

Особенности в защите ГИС

Среди особенностей, связанных с защитой ГИС, можно выделить следующие:

      обязательная аттестация информационной системы перед вводом в эксплуатацию;

      обязательное использование сертифицированных средств защиты информации;

      более жесткие требования по защите, чем те которые предъявляются к негосударственным ИС.

Как известно, под аттестацией понимается комплекс мероприятий, в результате которых подтверждается, что ГИС соответствует нормативным по информационной безопасности. Аттестация ГИС связана с дополнительными затратами, но у нее есть и ряд преимуществ. Во-первых, аттестация помогает убедиться, что все требования по ИБ в ней действительно реализованы. Во-вторых, сам аттестат может оказаться «лакмусовой бумажкой», которая может снять ряд вопросов в случае проверок со стороны регулятора.

Необходимость использования сертифицированных средств защиты информации прописана в 17 приказе ФСТЭК. На рынке представлено достаточное количество сертифицированных средств защиты, среди которых есть как импортные, так и отечественные. Проблемы могут возникнуть при защите ГИС с высоким классом: для таких систем требуется применение решений, прошедших контроль отсутствия недекларированных возможностей (НДВ). И здесь уже количество доступных средств защиты сокращается. Дело в том, что сертификация по НДВ требует предоставления исходных кодов ПО и другой важной информации о продукте, которую производители (особенно западные) явно не горят желанием передавать на сертификацию вовне.

Помимо перечисленного, отметим, что требования по защиты для ГИС в целом более жесткие, чем, например, аналогичные требования по защите персональных данных в остальных ИС. По сравнению с приказом ФСТЭК №21, многие требования, необязательные требования для ИСПДн, в приказе ФСТЭК №17 для ГИС становятся базовыми: обеспечение отказоустойчивости и резервирование компонентов ИС, контроль передачи речи и видеоинформации, а также ряд других меры защиты.

Кроме того, в случае ГИС для каждой меры защиты дополнительно прописываются требования по «усилению». Усиления  применяются  дополнительно  к  требованиям  по  реализации  базовых мер  защиты. Например, для идентификации и аутентификации пользователя ГИС, в качестве усиления могут применяться средства двухфакторной  аутентификации. Усиления довольно существенно влияют на содержание мер защиты и должны также учитываться при разработке систем защиты.

 

Перспективы и тренды

Государственные облака

В России по-прежнему ведется работа по переводу ГИС в облачную инфраструктуру. Напомним, что к концу 2017 года в стране планировалось запустить проект «Гособлако». Проект, ведомый Минкомсвязью России, подразумевает, что вновь создаваемые информационные системы ведомств будут размещаться у поставщиков облачных услуг. По замыслу создателей, проект повысит эффективность оказания государственных услуг. «Переезд» ГИС в облака позволит госорганам сэкономить на закупке оборудования, ПО, сократит затраты на персонал. Причем экономия по ряду показателей может составить до 50%.

При реализации ГИС в облаке возникнет ряд вопросов, требующих решения. И в частности - определение требований по ИБ, предъявляемых к поставщикам облачных услуг, разделение зон ответственности за ИБ между участниками процесса, порядок аттестации ЦОД и многое другое. Регулирование в данной области в настоящее время достаточно не проработано. По-прежнему ожидается принятие законопроекта, предложенного Минкомсвязью по теме регулирования облачных вычислений. Согласно последнему опубликованному проекту закона, ответственность за возможные нарушения ИБ возлагается на поставщика облачных услуг для ГИС. Такими поставщиками смогут стать только российские компании, прошедшие соответствующую аккредитацию в Минкомсвязи. Эти и другие, более детальные требования по информационной безопасности гособлаков, государству также еще предстоит закрепить в документах.

Использование мобильных технологий

Сейчас уже более половины населения России пользуется смартфонами. Соответственно, приобретает актуальность и мобильный доступ к ГИС. А мобильное рабочее место, как и стационарное, должно быть защищено при помощи сертифицированных средств защиты информации.

Проблема заключается в узком выборе средств защиты, доступных для использования на мобильных устройствах. Западные MDM (MobileDeviceManagement) решения пока недостаточно проникли на российский рынок и не обладают необходимыми сертификатами. Но даже и среди имеющихся отечественных средств защиты мобильных устройств, многие обладают ограничениями. Ряд технологий, требующихся нормативно-правовыми требованиями (например, аппаратные модули доверенной загрузки) вообще на мобильных устройствах неприменимы. Таким образом, чтобы «легитимировать» использование мобильных устройств в ГИС, приходится уделять особенное внимание процессам моделирования угроз и разработке проекта на систему защиты. Вместе с тем, отечественные вендоры постепенно адаптируют свои решения под мобильные устройства и ситуация в этой сфере постепенно улучшается.

Расширение нормативной базы

Среди позитивных тенденций в области защиты ГИС, безусловно, можно отметить улучшение качества нормативной базы. Приказ ФСТЭК №17, содержащий требования по защите информации в ГИС регулярно дополняется. Так, в прошлом году появится большой методический документ ФСТЭК «Меры защиты информации в государственных информационных системах». Этот документ отвечает на множество вопросов по реализации мер защиты. Среди совсем «свежих» документов можно отметить проект методики моделирования угроз ФСТЭК и методические рекомендации по разработке отраслевых моделей угроз от ФСБ России. В новых документах значительно углубляется «аналитическая» часть: детализируется описание потенциальных нарушителей, учитывается их потенциал и мотивация, учитывается реализация угроз на разных этапах жизни ГИС, учитывается имеющаяся статистика по реализации тех или иных угроз. Заслуживает внимания также появление обновляемого банка угроз и уязвимостей, созданного ФСТЭК и доступного по адресу www.bdu.fstec.ru.

Импортозамещение

Импортозамещение существенно затрагивает отрасль ИБ. Дело в том, что в условиях санкций, под вопросом оказывается возможность закупки и дальнейшего сопровождения уже приобретенных западных средств защиты информации. Особенно это актуально для госорганов. Для решения многих задач в области информационной безопасности в настоящий момент у импортных решений есть отечественные аналоги. Традиционно, сильны позиции отечественных производителей в области антивирусной защиты, анализа защищенности, обнаружения вторжений, криптографической защиты. Развиваются также системы обнаружения вторжений, межсетевого экранирования, системы управления ИБ.

Вместе с тем, в ряде случаев, отечественные решения завоевывают свою долю рынка, во многом благодаря более высокому уровню сертификации продуктов. Функционал и характеристики таких решений не всегда является достаточными, особенно в свете перспектив их использования в высокопроизводительной облачной инфраструктуре. Например, по-прежнему на рынке нет сертифицированных средств шифрования для работы на каналах связи производительностью 10 и более Гбит/с, средств шифрования Fibre Channel. А такие требования часто предъявляются к решениям, функционирующим в центрах обработке данных.

Трудно сказать, станет ли политика государства по имортозамещению толчком к технологическому совершенствованию отечественных решений, но еще более усилить их позиции на рынке оно поможет.

Заключение

Область, связанная с обеспечением защиты ГИС в настоящее время активно развивается. Выходят новые и меняются старые нормативные документы, внедряются новые технологии, появляются новые средства защиты информации.

Разработчикам и поставщикам ПО необходимо учитывать движение ГИС в сторону облачных вычислений и использования технологий мобильного доступа. Вендорам, разрабатывающим средства защиты информации, также придется адаптировать свои решения под использование в центрах обработки данных, а также в части совместимости с мобильными устройствами. Использование отечественных средств защиты будет подкрепляться общей тенденцией по импортозамещению.

Специалистам по ИБ, работающим с ГИС, стоит постоянно держать «руку на пульсе», следить за изменениями в области нормативного регулирования и рынка средств защиты, быть готовыми оперативно адаптироваться к ним.

______________________________________________________________________

Компания «БАРС Груп» - готова предложить своим Заказчикам комплексные решения созданию систем обеспечения информационной безопасности в государственных организациях. Компания является партнером ведущих производителей сертифицированных средств защиты. Специалисты БАРС Груп обладают опытом квалификацией, достаточными для проведения работ по защите информации в системах практически любого масштаба и уровня сложности.

 

 

 


Данный материал является частной записью члена сообщества Club.CNews.
Редакция CNews не несет ответственности за его содержание.
Комментарии
Другие публикации
RU,
Информационные технологии

Компания «БАРС Груп» – ведущий российский разработчик и интегратор облачных систем управления. Мы работаем на рынке IT с 1992 года и заслужили доверие 13 миллионов пользователей по всей России. 
Наша специализация - реализация комплексных региональных, федеральных и международных IT-проектов для государственных и коммерческих заказчиков. 

Наша миссия - повышение качества жизни за счет роста эффективности управления и комплексного решения вопросов государства, бизнеса и общества. 




Забыли пароль?
Зарегистрируйся сейчас!
Присоединяйся к нашему обществу для того чтобы познакомиться с новыми людьми, создать собственный блог, публиковать анонсы событий и объявления, а также участвовать в обсуждении публикаций CNews. Мы создали единое пространство для общения специалистов рынка информационных технологий и всех, кто интересуется современными технологиями. Регистрация =>