logo search
Obschaya_arkhitektura_sistemy_Elektronnyy_byudz

Предварительная классификация и формирование требований к подсистеме обеспечения информационной безопасности

В основу формирования требований информационной безопасности должна быть положена риск-ориентированная модель, а также рассмотрение всех аспектов технологического процесса обработки различных категорий информации.

Для определения набора методов и способов защиты информации необходимо будет провести классификацию системы «Электронный бюджет». Классификация должна быть проведена с учетом нижеизложенных положений.

Согласно утвержденным требованиям к защите информации, содержащейся в информационных системах общего пользования (Приказ ФСБ РФ и ФСТЭК РФ от 31 августа 2010г. «Об утверждении требований о защите информации, содержащейся в информационных системах общего пользования») система «Электронный бюджет» предварительно может быть отнесена ко II классу, т.к. нарушение целостности и доступности информации, содержащейся в ней, не приведет к возникновению угроз безопасности Российской Федерации.

В системе «Электронный бюджет» помимо обеспечения конфиденциальности персональных данных, необходимо обеспечить их целостность и доступность. Класс системы «Электронный бюджет» должен быть определен на основе модели угроз безопасности персональных данных в соответствии с методическими документами ФСТЭК и ФСБ (в части касающейся). Должна быть рассмотрена возможность обезличивания ПДн в системе «Электронный бюджет» (или возможность сделать часть данных общедоступными) с приведением ее в целом или отдельных подсистем к 4-му классу.

Так как система «Электронный бюджет» является государственной информационной системой общего пользования, то к ее подсистеме обеспечения информационной безопасности должны применяться следующие требования:

регистрация действий пользователей и обслуживающего персонала, контроль несанкционированного доступа и действий пользователей, обслуживающего персонала и посторонних лиц;

резервирование технических средств, дублирование массивов и носителей информации;

использование средств защиты информации, прошедших в установленном порядке процедуру оценки соответствия;

размещение технических средств, позволяющих осуществлять обработку информации, в пределах охраняемой территории;

организация физической защиты помещений и собственно технических средств, позволяющих осуществлять обработку информации;

предотвращение внедрения в информационные системы вредоносных программ (программ-вирусов) и программных закладок, использование средств антивирусной защиты;

межсетевое экранирование с целью управления доступом, фильтрации сетевых пакетов и трансляции сетевых адресов для скрытия структуры информационной системы;

обнаружение вторжений в информационную систему, нарушающих или создающих предпосылки к нарушению установленных требований по обеспечению безопасности информации;

анализ защищенности информационных систем, предполагающий применение специализированных программных средств (сканеров безопасности);

защита информации при ее передаче по каналам связи;

использование систем обеспечения гарантированного электропитания (источников бесперебойного питания);

осуществление записи и хранения сетевого трафика при обращении к государственным информационным ресурсам за последние сутки и более и предоставление доступа к записям по запросам уполномоченных государственных органов, осуществляющих оперативно-розыскную деятельность.

В связи с тем, что администрирование серверных площадок будет осуществляться в удаленном режиме, должен быть реализован контроль удаленного доступа обслуживающего персонала к информационным ресурсам, программным средствам управления системой «Электронный бюджет», программным средствам обработки (передачи) и защиты информации.

Должно быть реализовано централизованное управление ПОИБ.

Детальные требования к подсистеме обеспечения информационной безопасности в целом и к отдельным ее компонентам должны быть выработаны в ходе проектирования путем моделирования угроз безопасности и определения мер по их преодолению.

Модель угроз и модель нарушителя должны учитывать:

в целом наличие угроз несанкционированного доступа, целостности и доступности данных;

внешние угрозы, обусловленные использованием каналов связи общего пользования (каналов международного информационного обмена) для передачи информации;

внешние угрозы, обусловленные наличием электронного взаимодействия с ИС других ведомств и организаций, чья информационная инфраструктура либо не аттестовалась, либо аттестована по требованиям безопасности информации по классу ниже, чем система «Электронный бюджет»;

внутренние угрозы, обусловленные случайными и/или целенаправленными действиями пользователей, направленными на ИТ-инфраструктуру и систему «Электронный бюджет»;

внутренние угрозы, обусловленные случайными и/или целенаправленными действиями пользователей, направленных на обрабатываемые данные;

дополнительные угрозы, обусловленные спецификой использования среды виртуализации.