Государственная система защиты информации

Органы по технической защите информации в РФ

3.1. Государственные органы в области защиты информации

Система государственного регулирования и контроля в области информационной безопасности построена на деятельности специальных государственных органов, к которым относятся:

Комитет Государственной думы по безопасности — структура в Государственной Думе Федерального собрания России, в ведении которой находятся рассмотрение и подготовка законопроектов по вопросам безопасности государства и граждан.

Совет безопасности России — совещательный орган, осуществляющий подготовку решений Президента Российской Федерации по вопросам обеспечения защищённости жизненно важных интересов личности, общества и государства от внутренних и внешних угроз, проведения единой государственной политики по обеспечению национальной безопасности.

Федеральная служба по техническому и экспортному контролю (ФСТЭК России)

Федеральная служба безопасности Российской Федерации (ФСБ России)

Служба внешней разведки Российской Федерации (СВР России) — основной орган внешней разведки Российской Федерации.

Министерство обороны Российской Федерации (Минобороны России) — федеральный орган исполнительной власти (федеральное министерство), проводящий государственную политику и осуществляющий государственное управление в области обороны, а также координирующий деятельность федеральных министерств, иных федеральных органов исполнительной власти и органов исполнительной власти субъектов Российской Федерации по вопросам обороны.

Министерство внутренних дел Российской Федерации (МВД России) — федеральный орган исполнительной власти, осуществляющий функции по выработке и реализации государственной политики и нормативно-правовому регулированию в сфере внутренних дел, а также по выработке государственной политики в сфере миграции.

Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) — федеральный орган исполнительной власти, осуществляющий функции по контролю и надзору в сфере средств массовой информации, в том числе электронных, и массовых коммуникаций, информационных технологий и связи, функции по контролю и надзору за соответствием обработки персональных данных требованиям законодательства Российской Федерации в области персональных данных , а также функции по организации деятельности радиочастотной службы.

В области технической защиты информации ключевыми органами является ФСБ России и ФСТЭК России.

ФСБ России является федеральным органом исполнительной власти, в пределах своих полномочий осуществляющим государственное управление в области обеспечения безопасности Российской Федерации, защиты и охраны государственной границы Российской Федерации (далее именуется — государственная граница), охраны внутренних морских вод, территориального моря, исключительной экономической зоны, континентального шельфа Российской Федерации и их природных ресурсов, обеспечивающим информационную безопасность Российской Федерации и непосредственно реализующим основные направления деятельности органов федеральной службы безопасности, определенные законодательством Российской Федерации, а также координирующим контрразведывательную деятельность федеральных органов исполнительной власти, имеющих право на ее осуществление [3.2]. Руководит ФСБ Президент. При ФСБ России действует Академия криптографии Российской Федерации. Основные цели, задачи и функции ФСБ описаны в «Положении о Федеральной службе безопасности Российской Федерации и ее структуре». Среди перечисленных в данном документе функций процитируем те, которые связаны непосредственно с ТЗИ:

1. ФСБ определяет порядок осуществления в пределах своих полномочий контроля за организацией и функционированием криптографической и инженерно-технической безопасности информационно-телекоммуникационных систем, систем шифрованной, засекреченной и иных видов специальной связи, за соблюдением режима секретности при обращении с шифрованной информацией в шифровальных подразделениях государственных органов и организаций на территории Российской Федерации и в ее учреждениях, находящихся за пределами Российской Федерации, а также за обеспечением защиты особо важных объектов (помещений) и находящихся в них технических средств от утечки информации по техническим каналам.
2. ФСБ осуществляет и организует в соответствии с федеральным законодательством сертификацию средств защиты информации , систем и комплексов телекоммуникаций , технических средств, используемых для выявления электронных устройств, предназначенных для негласного получения информации, в помещениях и технических средствах, специальных технических средств, предназначенных для негласного получения информации, технических средств обеспечения безопасности и (или) защиты информации; определяет основные направления деятельности органов федеральной службы безопасности в этих областях.
3. осуществляет и организует в соответствии с федеральным законодательством лицензирование отдельных видов деятельности [3.2].

ФСБ России имеет право проводить плановые проверки в следующих случаях:

• представление по запросу отчета по лицензируемым видам деятельности ;
• представление копий аттестатов соответствия по требованиям информационной безопасности на автоматизированные системы, в составе которых эксплуатируются системы криптографической защиты информации (СКЗИ);
• явочная проверка выполнения организационных мер на объектах лицензируемых видов деятельности.

Другими словами, ФСБ России отвечает за организацию работы с криптографическими (шифровальными) средствами защиты информации и специальными техническими средствами, предназначенными для противодействия утечке по техническим каналам связи. Следует отметить, что ФСБ должна проводить собственные разработки и исследования криптографических и специальных технических средств защиты информации , а также способствовать аналогичным разработкам других организаций Российской Федерации.

Структура государственной системы защиты информации (ГСЗИ)

Лекция 11

По дисциплине «История и современная система защиты информации в России»

Тема 8. Система защиты информации в Российской Федерации.

Раздел 1. Государственная система защиты информации на современном этапе

1. Основные задачи и направления работ государственной системы защиты информации (ГСЗИ).

2. Структура государственной системы защиты информации.

Основные задачи и направления работ государственной системы защиты информации.

· проведение единой технической политики, организация и координация работ по защите информации в оборонной, экономической, политической, научно-технической и других сферах деятельности;

· исключение или существенное затруднение добывания информации техническими средствами разведки, а также предотвращение ее утечки по техническим каналам, несанкционированного доступа к ней, предупреждение преднамеренных программно-технических воздействий в целях разрушения (уничтожения) или искажения информации в процессе ее обработки, передачи и хранения;

· принятие в пределах компетенции правовых актов, регулирующих отношения в области защиты информации;

· анализ состояния и прогнозирование возможностей технических средств разведки и способов их применения, формирование системы информационного обмена сведениями по осведомленности иностранных разведок;

· организация сил, создание средств защиты информации и контроля за ее эффективностью;

· контроль состояния защиты информации в органах государственной власти и на предприятиях.

Направления работ государственной системы защиты информации:

· обеспечение эффективного управления системой защиты информации;

· определение сведений, охраняемых от технических средств разведки, и демаскирующих признаков, раскрывающих эти сведения;

· анализ и оценка реальной опасности перехвата информации техническими средствами разведки, несанкционированного доступа, разрушения (уничтожения) или искажения информации путем преднамеренных программно-технических воздействий в процессе ее обработки, передачи и хранения в технических средствах, выявление возможных технических каналов утечки информации, подлежащих защите;

· разработка организационно-технических мероприятий по защите информации и их реализация;

· организация и проведение контроля состояния защиты информации.

Структура государственной системы защиты информации (ГСЗИ)

Государственная система обеспечения информационной безопасности определяет основные направления деятельности федеральных органов государственной власти и органов государственной власти субъектов Российской Федерации в этой области, порядок закрепления их обязанностей по защите интересов личности, общества, государства.

Государственная политика обеспечения информационной безопасности основывается на следующих принципах:

· соблюдения Конституции РФ, законодательство РФ, общепринятых законов и норм международного права;

· открытость в реализации функций федеральных органов государственной власти, органов государственной власти субъектов РФ, с учётом ограничений, установленных законодательством РФ;

· правовое равенство всех участников процесса информационного взаимодействия, основывающего на конституционном праве граждан на свободный поиск, получение, передачу, производство и распространение информации;

· приоритетное развитие отечественных, современных, информационных и телекоммуникационных технологий, производство технических и программных средств для соблюдения жизненно важных интересов Российской Федерации.

Государство, как основной субъект обеспечения защиты информации, через свои органы законодательной, исполнительной и судебной властей, обеспечивает создание условий для осуществления защиты, а именно:

· создание системы правовых норм, регулирующих отношения в области защиты информации;

· проведение единой технической политики, организация, координация и методическое руководство работами по защите информации;

· разработка технических норм и рекомендаций;

· разработка государственных программ по защите информации;

· общий контроль над состоянием защиты информации.

Основными элементами организационной основы системы обеспечения информационной безопасности РФ является:

Президент Российской Федерации;

Совет Федерации и Государственная дума Федерального собрания Российской Федерации;

Правительство Российской Федерации;

Совет безопасности Российской Федерации;

федеральные органы исполнительной власти;

межведомственные и государственные комиссии, создаваемые Президентом Российской Федерации и Правительством Российской Федерации;

органы исполнительной власти;

органы исполнительной власти субъектов Российской Федерации;

органы местного самоуправления;

органы судебной власти;

Президент Российской Федерации руководит в пределах своих конституционных полномочий органами и силами по обеспечению информационной безопасности Российской Федерации, формирует, реорганизует и управляет подчиненные ему органами и силами по обеспечению информационной безопасности российской Федерации, определяет приоритетные направления государственной политики.

Совет Федерации и Государственная дума Федерального собрания Российской Федерации, на основании Конституции Российской Федерации, по представлению Президента Российской Федерации и Правительства Российской Федерации, формируют законодательную базу в области обеспечения безопасности информации Российской Федерации.

Правительство Российской Федерации координирует деятельность федеральных органов исполнительной власти и органов исполнительной власти субъектов федерации, а также при формировании в установленном порядке проектов федерального бюджета, предусматривает выделение средств, необходимых для реализации федеральных программ в этой области.

Совет безопасности Российской Федерации проводит работу по выявлению и оценке угроз информационной безопасности Российской Федерации, оперативно подготавливает проекты решений Президента Российской Федерации, разрабатывает предложения по обеспечению информационной безопасности Российской Федерации, координирует деятельность органов и сил по обеспечению информационной безопасности Российской Федерации, контролирует реализацию федеральными органами, исполнительными властями и органами власти субъектов Российской Федерации решений Президента Российской Федерации.

Межведомственная комиссия по защите государственной тайне, создана Указом Президента Российской Федерации от 08.11.95 г. №1108. К основным функциям этой комиссии относится: формирование Перечня сведений, отнесенных к государственной тайне, наделение полномочий по распоряжению от лица государства сведениями, отнесенных к государственной тайне, экспертиза и принятие решения о межгосударственном обмене сведений, составляющих государственную тайну.

Федеральная служба по техническому и экспортному контролю (ФСТЭК России) возглавляет государственную систему защиты информации. Она в пределах своей компетенции формирует общую стратегию и определяет приоритетные направления защиты информации, определяет основные направления исследований и утверждает концепции, требования, нормы, методики и критерии защиты информации; разрабатывает предложения по развитию научной, экспериментальной и производственной базы для защиты информации и осуществления контроля защищённости, осуществляет координацию работ по защите информации и методическое руководство по защите информации в условиях режимов открытости и функционирования на территории России предприятий и производств, созданных с участием иностранных фирм, осуществляет методическое руководство подготовкой кадров для ГСЗИ. Кроме того, ФСТЭК России проверяет организацию защиты информации в органах федерального и регионального управления, в государственных объединениях, на предприятиях, в организациях и учреждениях, контролирует, с применением технических средств (с уведомлением и без уведомления) эффективность защиты государственных и промышленных объектов, информационных систем, средств и систем связи и управления, проводит радиоконтроль за соблюдением должностными лицами государственных объединений, предприятий, организаций и учреждений установленного порядка передачи служебных сообщений по открытым каналам радио-, радиорелейных, тропосферных и спутниковых линий связи, доступных для иностранной радиоразведки.

Федеральная служба безопасности России (ФСБ России) осуществляет контроль за обеспечением в органах государственного управления и на предприятиях, ведущих работы по закрытой тематике, организационно-режимных мероприятий, разрабатывает, внедряет и контролирует криптографические средства защиты информации, проводит работы по выявлению и предотвращению ущерба от средств съёма информации, выдает лицензию на право проведения работ со сведениями, составляющих государственную тайну.

Росстандарт выступает в качестве национального органа по стандартизации и сертификации продукции.

Органы судебной власти осуществляют правосудие по делам и преступлениям, связанных с посягательствам на законные интересы личности, общества, государства.

Другие органы государственного управления (министерства, агентства, ведомства), в пределах своей компетенции: определяют перечень охраняемых сведений, проводят работу по защите информации, разрабатывают отраслевые документы по защите информации, контролируют выполнения предприятиями, установленных норм и требований по защите информации, создает отраслевые центры по защите информации по контролю эффективности принятых мер по защите информации, организует подготовку и повышение квалификации специалистов по защите информации.

Для осуществления указанных функций в составе органов государственного управления функционируют подразделения по защите информации.

В акционерных обществах, выполняющие секретные работы, создаются подразделения по защите государственной тайны, в остальных обществах создаются подразделения по защите конфиденциальной информации.

Государственные информационные системы (ГИСы): практические вопросы защиты информации

Взаимодействие с государством активно переводится в интернет. Это не только упрощает многие процессы, но и накладывает определенную ответственность на пользователей, так как большинство государственных информационных систем обрабатывает персональные данные.

Защита ГИС — не равно защите персональных данных

В РФ существует порядка 100 государственных информационных систем, они подразделяются на федеральные и региональные. Организация, работающая с какой-либо из этих систем, обязана выполнять требования к защите данных, которые в ней обрабатываются. В зависимости от классификации, к разным информационным системам предъявляются разные требования, за несоблюдение которых применяются санкции — от штрафа до более серьезных мер.

Работа всех информационных систем в РФ определяется Федеральным законом от 27.07.2006 № 149-ФЗ (ред. от 21.07.2014) «Об информации, информационных технологиях и о защите информации» (27 июля 2006 г.). В статье 14 этого закона дается подробное описание ГИСов. К операторам государственных ИС, в которых ведется обработка информации ограниченного доступа (не содержащей сведений, составляющих государственную тайну), предъявляются требования, изложенные в Приказе ФСТЭК России от 11 февраля 2013 г. № 17 «Об утверждении требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах».

Напомним, что оператор — гражданин или юридическое лицо, осуществляющие деятельность по эксплуатации информационной системы, в том числе по обработке информации, содержащейся в ее базах данных.

Если организация подключена к государственной информационной системе, то приказ ФСТЭК № 17 обязывает аттестовать систему, а для защиты информации должны применяться только сертифицированные средства защиты информации (имеющие действующие сертификаты ФСТЭК или ФСБ).

Нередки случаи, когда оператор информационной системы ошибочно относит ее к ГИСам, в то время как она таковой не является. В итоге к системе применяются избыточные меры по защите. Например, если по ошибке оператор информационной системы персональных данных классифицировал ее как государственную, ему придется выполнить более жесткие требования к безопасности обрабатываемой информации, чем того требует закон. Тем временем требования к защите информационных систем персональных данных, которые регулирует приказ ФСТЭК № 21, менее жесткие и не обязывают аттестовать систему.

На практике не всегда понятно, является ли система, к которой необходимо подключиться, государственной, и, следовательно, какие меры по построению защиты информации необходимо предпринять. Тем не менее план проверок контролирующих органов растет, планомерно увеличиваются штрафы.

Как отличить ГИС от неГИС

Государственная информационная система создается, когда необходимо обеспечить:

• реализацию полномочий госорганов;
• информационный обмен между госорганами;
• достижение иных установленных федеральными законами целей.

Понять, что информационная система относится к государственной, можно, используя следующий алгоритм:

1. Узнать, есть ли законодательный акт, предписывающий создание информационной системы.
2. Проверить наличие системы в Реестре федеральных государственных информационных систем. Подобные реестры существуют на уровне субъектов Федерации.
3. Обратить внимание на назначение системы. Косвенным признаком отнесения системы к ГИС будет описание полномочий, которые она реализует. Например, каждая администрация Республики Башкортостан имеет свой устав, который в том числе описывает полномочия органов местного самоуправления. ИС «Учет граждан, нуждающихся в жилых помещениях на территории Республики Башкортостан» создана для реализации таких полномочий администраций, как «принятие и организация выполнения планов и программ комплексного социально-экономического развития муниципального района», и является ГИС.

Если система подразумевает обмен информацией между госорганами, она также с высокой долей вероятности будет государственной (например, система межведомственного электронного документооборота).

Защитить информацию в ГИС и провести аттестацию помогут специалисты
Контур-Безопасность.

Это ГИС. Что делать?

Приказ ФСТЭК 17 предписывает проведение следующих мероприятий по защите информации к операторам ГИС:

• формирование требований к защите информации, содержащейся в информационной системе;
• разработка системы защиты информации информационной системы;
• внедрение системы защиты информации информационной системы;
• аттестация информационной системы по требованиям защиты информации (далее — аттестация ИСПДн) и ввод ее в действие;
• обеспечение защиты информации в ходе эксплуатации аттестованной информационной системы;
• обеспечение защиты информации при выводе из эксплуатации аттестованной информационной системы или после принятия решения об окончании обработки информации.

Организации, которые подключены к государственным информационным системам, должны выполнить следующие действия:

1. Провести классификацию ИС и определить угрозы безопасности.

Классификация ИС проводится в соответствии с пунктом 14.2 17 приказа ФСТЭК.

Угрозы безопасности информации определяются по результатам

• оценки возможностей нарушителей;
• анализа возможных уязвимостей информационной системы;
• анализа (или моделирования) возможных способов реализации угроз безопасности информации;
• оценки последствий от нарушения свойств безопасности информации (конфиденциальности, целостности, доступности).

2. Сформировать требования к системе обработки информации.

Требования к системе должны содержать:

• цель и задачи обеспечения защиты информации в информационной системе;
• класс защищенности информационной системы;
• перечень нормативных правовых актов, методических документов и национальных стандартов, которым должна соответствовать информационная система;
• перечень объектов защиты информационной системы;
• требования к мерам и средствам защиты информации, применяемым в информационной системе.

3. Разработать систему защиты информации информационной системы.

Для этого необходимо провести:

• проектирование системы защиты информации информационной системы;
• разработку эксплуатационной документации на систему защиты информации информационной системы;
• макетирование и тестирование системы защиты информации информационной системы.

4. Провести внедрение системы защиты информации информационной системы, а именно:

• установку и настройку средств защиты информации в информационной системе;
• разработку документов, определяющих правила и процедуры, реализуемые оператором для обеспечения защиты информации в информационной системе в ходе ее эксплуатации (далее — организационно-распорядительные документы по защите информации);
• внедрение организационных мер защиты информации;
• предварительные испытания системы защиты информации информационной системы;
• опытную эксплуатацию системы защиты информации информационной системы;
• проверку построенной системы защиты информации на уязвимость;
• приемочные испытания системы защиты информации информационной системы.

5. Аттестовать ИСПДн:

• провести аттестационные испытания;
• получить на руки аттестат соответствия.

Существует распространенное мнение, что для прохождения проверки контролирующих органов достаточно наличия организационно-распорядительных документов, поэтому операторы ГИС зачастую пренебрегают внедрением средств защиты. Действительно, Роскомнадзор уделяет пристальное внимание именно документам и реализации организационно-распорядительных мер по защите ПДн в организации. Однако в случае возникновения вопросов к проверке могут быть привлечены специалисты из ФСТЭК и ФСБ. При этом ФСТЭК очень внимательно смотрит на состав технической защиты информации и проверяет правильность составления модели угроз, а ФСБ проверяет реализацию требований, касающихся использования средств криптографической защиты информации.

Олег Нечеухин, эксперт по защите информационных систем, «Контур-Безопасность»

Государственная система защиты информации

Для защиты информации создается система защиты информации, состоящая из совокупности органов и (или) исполнителей, используемой ими техники защиты, организованная и функционирующая по правилам, установленным правовыми, распорядительными и нормативными документами в области защиты информации [18-23].

Государственную систему защиты информации образуют:

· Федеральная служба по техническому и экспортному контролю (ФСТЭК России) и ее центральный аппарат;

· ФСБ, МО, СВР, МВД, их структурные подразделения по защите информации;

· структурные и межотраслевые подразделения по защите информации органов государственной власти;

· специальные центры ФСТЭК России;

· организации по защите информации органов государственной власти;

· головные и ведущие научно-исследовательские, научно-технические, проектные и конструкторские учреждения;

· предприятия оборонных отраслей промышленности, их подразделения по защите информации;

· предприятия, специализирующиеся на проведении работ в области защиты информации;

· вузы, институты по подготовке и переподготовке специалистов в области защиты информации.

ФСТЭК России является федеральным органом исполнительной власти, осуществляющим реализацию государственной политики, организацию межведомственной координации и взаимодействия, специальные и контрольные функции в области государственной безопасности по вопросам:

· обеспечения безопасности информации в ключевых системах информационной инфраструктуры;

· противодействия иностранным техническим разведкам;

· обеспечения защиты информации, содержащей государственную тайну, некриптографическими способами;

· предотвращения утечки информации по техническим каналам, несанкционированного доступа к ней;

· предотвращения специальных воздействий на информацию (ее носители) с целью ее добывания, уничтожения, искажения и блокирования доступа к ней.

Руководство деятельностью ФСТЭК России осуществляет президент РФ.

Непосредственное руководство работами по защите информации осуществляют руководители органов государственной власти и их заместители.

В органе государственной власти могут создаваться технические комиссии, межотраслевые советы.

Головные и ведущие НИО органов государственной власти разрабатывают научные основы и концепции, проекты нормативно-технических и методических документов по защите информации. На них возлагается разработка и корректировка моделей иностранных технических разведок.

Предприятия, занимающиеся деятельностью в области защиты информации, должны получить лицензию на этот вид деятельности. Лицензии выдаются ФСТЭК России, ФСБ, СВР в соответствии с их компетенцией и по представлению органа государственной власти.

Организация работ по защите информации возлагается на руководителей организаций. Для методического руководства и контроля за обеспечением защиты информации может быть создано подразделение по защите информации или назначен ответственный (штатный или внештатный) за безопасность информации.

Разработка системы ЗИ производится подразделением по технической защите информации или ответственным за это направление во взаимодействии с разработчиками и ответственными за эксплуатацию объектов ТСОИ. Для проведения работ по созданию системы ЗИ могут привлекаться на договорной основе специализированные предприятия, имеющие соответствующие лицензии.

Работы по созданию системы ЗИ проводятся в три этапа (см. рис. 4.3).

На I этапе разрабатывается техническое задание на создание СЗИ:

· вводится запрет на обработку секретной (служебной) информации на всех объектах ТСОИ до принятия необходимых мер защиты;

· назначаются ответственные за организацию и проведение работ по созданию системы защиты информации;

· определяются подразделения или отдельные специалисты, непосредственно участвующие в проведении указанных работ, сроки введения в эксплуатацию системы ЗИ;

· проводится анализ возможных технических каналов утечки секретной информации;

· разрабатывается перечень защищаемых объектов ТСОИ;

· проводится категорирование ОТСС, а также ВП;

· определяется класс защищенности автоматизированных систем, участвующих в обработке секретных (служебных) данных;

· оцениваются возможности средств ИТР и других источников угроз;

· обосновывается необходимость привлечения специализированных предприятий для создания системы защиты информации;

· разрабатывается техническое задание (ТЗ) на создание СЗИ.

Разработка технических проектов на установку и монтаж ТСОИ производится проектными организациями, имеющими лицензию ФСТЭК.

· разрабатывается перечень организационных и технических мероприятий по защите объектов ТСОИ в соответствии с требованиями ТЗ;

· определяется состав серийно выпускаемых в защищенном исполнении ТСОИ, сертифицированных средств защиты информации, а также состав технических средств, подвергаемых специальным исследованиям и проверке; разрабатываются технические паспорта на объекты ТСОИ и инструкции по обеспечению безопасности информации на этапе эксплуатации технических средств.

На III этапе осуществляются:

· проведение специальных исследований и специальной проверки импортных ОТСС, а также импортных ВТСС, установленных в выделенных помещениях;

· размещение и монтаж технических средств, входящих в состав объектов ТСОИ;

· разработка и реализация разрешительной системы доступа к средствам вычислительной техники и автоматизированным системам, участвующим в обработке секретной (служебной) информации;

· приемосдаточные испытания системы защиты информации по результатам ее опытной эксплуатации;

· аттестация объектов ТСОИ по требованиям защиты информации.

Вводится разрешение на обработку секретной информации на объектах ТСОИ, на которые получены аттестаты.

Рис. 4.3. Этапы построения системы защиты информации

© 2020 Научная библиотека

Копирование информации со страницы разрешается только с указанием ссылки на данный сайт