Анализ и оценка применимости требований к защите информации, предъявляемых нормативными актами РФ к информационным система публичных финансов
Ксенофонтов Максим Сергеевич
ведущий инженер АО АМТ-ГРУП, [email protected]
В статье рассматриваются системы требований к защите информации, предъявляемые различными нормативными актами к информационным системам публичных финансов. Рассматриваются требования к защите ГИС, ПДн, КИИ и информационных систем общего пользования. В частности, в работе проводится сравнение классификаций ИС общего пользования, относимых к 1 и 2 классу согласно данным Минкомсвязи и ФСБ/ФСТЭК. Показано, что для определения применимости требований проводится определение ключевых признаков, которым должна соответствовать ИС, чтобы данные требования были применимы. Определенные признаки соотносятся с общими характеристиками ИС публичных финансов, после чего определяется применимость системы требований, таких как федеральные государственные ИС, созданные и используемые в целях реализации полномочий федеральных органов исполнительной власти, содержащие сведения, обязательные для размещения в сети «Интернет».
Ключевые слова: Защита информации, публичные финансы, ГИС, ПДн, КИИ, требования законов, информационные системы публичных финансов
Статья подготовлена по результатам исследований, выполненных за счет бюджетных средств по государственному заданию Финансового университета
Для определения системы требований информационной безопасности, применяемых к информационным систем публичных финансов, необходимо проследить весь перечень нормативных актов, применяемых при переходе об базового понятия информационной системы к информационным системам публичных финансов.
Понятие информационной системы введено в ФЗ №149 "Об информации, информационных технологиях и о защите информации". Согласно ст. 13 ч.1 информационные системы бывают:
• государственные информационные системы (далее - ГИС);
• муниципальные информационные системы (далее - МИС);
• иные информационные системы (далее - иные ИС).
Четких признаков, позволяющих причислить ИС к ГИС в ФЗ не приведено. Но можно определить ряд признаков из определения ГИС и ряда статей данного Фз. Согласно этим данным, ИС относится к классу ГИС, если:
1) федеральная или региональная ИС, созданная на основании федеральных законов, законов субъектов Российской Федерации или на основании правовых актов государственных органов [1];
2) ИС, созданная в целях реализации полномочий государственных органов и обеспечения обмена информацией между этими органами, а также в иных установленных федеральными законами целях [1].
Особо стоит отметить признак «созданная ... на основании правовых актов государственных органов», в которым относятся постановления, приказы, распоряжения, правила, инструкции и положения [2]. Таким образом ИС, созданная для реализации полномочий государственного органа, и введенная в эксплуатацию внутренним приказом также является ГИС.
Постановление правительства РФ №676 определяет жизненный цикл ГИС, включая требования к обеспечению ИБ на различных стадиях жизненного цикла ГИС. В части 1(1) определен перечень требований о защите информации:
1) требования о защите информации, устанавливаемые ФСТЭК и ФСБ;
2) требования к организации и мерам защиты информации, содержащейся в системе;
3) требования о защите персональных данных.
Порядок применения данных требований определен
в пункте 1(2) этого же постановления и представлен в следующем виде [3]:
1) определение защищаемой информации;
X X
о
го А с.
X
го т
о
ю 2
М О
о
см
см
О!
о ш т
X
3
<
т О X X
2) определение требований нормативных актов, которым должна соответствовать ИС;
3) классификация ИС;
4) разработка модели угроз и определение актуальных угроз;
5) на основе модели угроз определение требований к защите информации.
Соответственно требования информационной безопасности, действующие для ГИС определяются в нормативных актах и требованиях к защите информации на основе модели угроз.
Определение требований нормативных актов в области обеспечения ИБ проводится на основе типа защищаемой информации и/или типа ИС, а также определяются нормативными актами, непосредственно определяющими требования для данной системы.
Общие требования к защите информации для ГИС (согласно ФЗ 149 ст. 16 ч. 5) определяются ФСТЭК Приказом №16. Согласно этому приказу определены следующие требования безопасности:
1) идентификация и аутентификация субъектов доступа и объектов доступа;
2) управление доступом субъектов доступа к объектам доступа;
3) ограничение программной среды;
4) защита машинных носителей информации;
5) регистрация событий безопасности;
6) антивирусная защита;
7) обнаружение (предотвращение) вторжений;
8) контроль (анализ) защищенности информации;
9) целостность информационной системы и информации;
10) доступность информации;
11) защита среды виртуализации;
12) защита технических средств;
13) защита информационной системы, ее средств, систем связи и передачи данных.
Конкретный перечень мер для каждого требования зависит от класса защищенности ГИС и зависит от уровня значимости информации и масштаба информационной системы.
Если ИС относится к муниципальным информационным системам, то требования информационной безопасности к ГИС также относятся и к данной ИС, если иное не определенно законодательством Российской Федерации о местном самоуправлении [1].
Согласно Постановлению правительства №676 для ГИС также должны применяться требования к защите информации, относящиеся к защите ПДн. Данное требование расширяет понятие ГИС тем, что ИС может быть одновременно и ГИС, и системой другого класса (например, ИСПДн или ИС общего пользования).
Понятие персональных данных приведено в ФЗ №152 «О персональных данных»: это любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных). И если информационная система обрабатывает ПДн, то к ней применяются требования к защите ПДн. Требования к защите ПДн определяются в Приказе ФСТЭК №21 [4] и Приказе ФСБ России №378 [5].
Состав применяемых требований зависит от уровня защищенности ИС, обрабатывающей ПДн. Механизм определения уровня защищенности приведен в Постановлении Правительства РФ № 1119 [6] и зависит от актуальных для ИСПДн угроз и количества обрабатываемых ПДн.
Согласно Приказу №21 к ИСПДн должны применятся следующие требования:
1) идентификация и аутентификация субъектов доступа и объектов доступа;
2) управление доступом субъектов доступа к объектам доступа;
3) ограничение программной среды;
4) защита машинных носителей информации, на которых хранятся и (или) обрабатываются персональные данные (далее - машинные носители персональных данных);
5) регистрация событий безопасности;
6) антивирусная защита;
7) обнаружение (предотвращение) вторжений;
8) контроль (анализ) защищенности персональных данных;
9) обеспечение целостности информационной системы и персональных данных;
10) обеспечение доступности персональных данных;
11) защита среды виртуализации;
12) защита технических средств;
13) защита информационной системы, ее средств, систем связи и передачи данных;
14) выявление инцидентов (одного события или группы событий), которые могут привести к сбоям или нарушению функционирования информационной системы и (или) к возникновению угроз безопасности персональных данных (далее - инциденты), и реагирование на них;
15) управление конфигурацией информационной системы и системы защиты персональных данных.
Приведенный перечень требований имеет довольно большое перекрытие с требованиями ФСТЭК для ГИС (Приказ №17), что позволяет говорить о единой системе требований к защите информации, разрабатываемых ФСТЭК.
Требования ФСБ к защите ПДн касаются систем криптографической защиты информации (СКЗИ) и физической защиты объектов ИСПДн.
Если информационная система открыта для использования всеми физическими и юридическими лицами и в услугах которой этим лицам не может быть отказано, то данная ИС должна быть отнесена к классу информационных систем общего пользования [7]. Для данных систем требования к защите информации определены в Приказе ФСБ И ФСТЭК №416/489 [8] и в Приказе Мин-комсвязи №104 [9].
В этих приказах используются одинаковые признаки ИС общего пользования:
1) федеральные государственные ИС;
2) созданные и используемые в целях реализации полномочий федеральных органов исполнительной власти;
3) содержащие сведения, обязательные для размещения в сети «Интернет».
Согласно первому признаку любая ИС общего пользования (далее также - ИСОП) является ГИС, и на нее дополнительно распространяются требования к защите информации для ГИС. Кроме этого, в обоих приказах вводятся дополнительные требования к защите информации, характерные для ИС общего пользования, и зависят от класса системы. Стоит отметить, что в Приказах Минкомсвязи и ФСБ/ФСТЭК выделено 2 класса ИС общего пользования, но признаки классов в приказах
различаются, что создает некоторую правовую коллизию. Сравнение определений для классов ИС общего пользования приведены в
Таблица . В текущей ситуации различие в определениях классов для ИСОп порождает 4 возможных набора требований к защите информации, что усложняет управление информационной безопасностью.
Таблица 1
Сравнение классификаций ИС общего пользования
1 класс
2 класс
Минкомсвязи
информационные системы общего пользования: Правительства Российской Федерации, федеральных министерств, федеральных служб и федеральных агентств, руководство деятельностью которых осуществляет Президент Российской Федерации, федеральных служб и федеральных агентств, подведомственных этим федеральным министерствам.
Все остальные
ФСБ/ФСТЭК
информационные системы общего пользования Правительства Российской Федерации и иные информационные системы общего пользования в случае, если нарушение целостности и доступности информации, содержащейся в них, может привести к возникновению угроз безопасности Российской Федерации. Отнесение информационных систем общего пользования к I классу проводится по решению руководителя соответствующего федерального органа исполнительной власти
Все остальные
Стоит отметить, что Приказы Минкомсвязи №104 и ФСБ/ФСТЭК №№416/489 также применяются и для ИС с общедоступными данными [10] (далее также - ИСОД). В статье 7 Фз №149 общедоступная информация определяется как общеизвестные сведения и иная информация, доступ к которой не определен. В ФЗ №152 введено понятие общедоступного источника ПДн, согласно которому могут создавать подобные общедоступные источники, в которые с согласия субъекта ПДн могут вноситься его персональные данные. Исходя из этого можно определить, что ИС с общедоступными данными могут быть как и ИС общего пользования, так и ИСПДн. В последнем случае к ИСОД должны также применятся требования к защите информации для ПДн. С учетом данных утверждений требования к защите информации для ИСОД следует рассматривать в рамках требований для ИС общего пользования.
Если ИС относится к классу критических информационных инфраструктур (далее КИИ), то к ней должны применятся требования ФЗ №187 [11], определяющий основные требования к обеспечению информационной безопасности КИИ, а также в Приказе ФСТЭК №239 [12] . Кроме этого, системы относящиеся к КИИ должны выполнять требования ФСБ по управлению инцидентами и предоставлению информации о них в Приказах №196 [13], 281 [14], 282 [15], 367 [16], 368 [17].
Литература
1. Федеральный закон от 27.07.2006 N 149-ФЗ (ред. от 18.03.2019) "Об информации, информационных технологиях и о защите информации"
2. Постановление Правительства РФ от 13.08.1997 N 1009 (ред. от 02.02.2019) "Об утверждении Правил подготовки нормативных правовых актов федеральных органов исполнительной власти и их государственной регистрации"
3. Правительства РФ от 06.07.2015 N 676 (ред. от 11.04.2019, с изм. от 07.08.2019) "О требованиях к порядку создания, развития, ввода в эксплуатацию, эксплуатации и вывода из эксплуатации государственных информационных систем и дальнейшего хранения содержащейся в их базах данных информации"
4. Приказ ФСТЭК России от 18.02.2013 N 21 (ред. от 23.03.2017) "Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных"
5. Приказ ФСБ России от 10.07.2014 N 378 "Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности" (Зарегистрировано в Минюсте России 18.08.2014 N 33620)
6. Постановление Правительства РФ от 01.11.2012 N 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных"
7. Федеральный закон от 10.01.2002 № 1-ФЗ "Об электронной цифровой подписи"
8. Приказ ФСБ И ФСТЭК от 31 августа 2010 г. №416/489 «Об утверждении о защите информации, содержащейся в информационных системах общего пользования»
9. Приказ Минкомсвязи от 25 августа 2009 года №104 "Об утверждении Требований по обеспечению целостности, устойчивости функционирования и безопасности информационных систем общего пользования»
10. Приказ Министерства связи и массовых коммуникаций Российской Федерации (Минкомсвязь России) от 27 июня 2013 г. N 149 г. Москва "Об утверждении Требований к технологическим, программным и лингвистическим средствам, необходимым для размещения информации государственными органами и органами местного самоуправления в сети "Интернет" в форме открытых данных, а также для обеспечения ее использования"
11. Федеральный закон "О безопасности критической информационной инфраструктуры Российской Федерации" от 26.07.2017 N 187-ФЗ
12. Приказ ФСТЭК России от 25.12.2017 N 239 (ред. от 26.03.2019) "Об утверждении Требований по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации"
13. Приказ ФСБ России от 06.05.2019 N 196 "Об утверждении Требований к средствам, предназначенным для обнаружения, предупреждения и ликвидации последствий компьютерных атак и реагирования на компьютерные инциденты" (Зарегистрировано в Минюсте России 31.05.2019 N 54801)
14. Приказ ФСБ России от 19.06.2019 N 281 "Об утверждении Порядка, технических условий установки и
X X
о
го А с.
X
го т
о
ю 2
М О
о
es
es
Ol
о ш m
X
3
<
m О X X
эксплуатации средств, предназначенных для обнаружения, предупреждения и ликвидации последствий компьютерных атак и реагирования на компьютерные инциденты, за исключением средств, предназначенных для поиска признаков компьютерных атак в сетях электросвязи, используемых для организации взаимодействия объектов критической информационной инфраструктуры Российской Федерации" (Зарегистрировано в Минюсте России 16.07.2019 N 55285)
15. Приказ ФСБ России от 19.06.2019 N 282 "Об утверждении Порядка информирования ФСБ России о компьютерных инцидентах, реагирования на них, принятия мер по ликвидации последствий компьютерных атак, проведенных в отношении значимых объектов критической информационной инфраструктуры Российской Федерации" (Зарегистрировано в Минюсте России 16.07.2019 N 55284)
16. Приказ ФСБ России от 24.07.2018 N 367 "Об утверждении Перечня информации, представляемой в государственную систему обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации и Порядка представления информации в государственную систему обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации" (Зарегистрировано в Минюсте России 06.09.2018 N 52108)
17. Приказ ФСБ России от 24.07.2018 N 368 "Об утверждении Порядка обмена информацией о компьютерных инцидентах между субъектами критической информационной инфраструктуры Российской Федерации, между субъектами критической информационной инфраструктуры Российской Федерации и уполномоченными органами иностранных государств, международными, международными неправительственными организациями и иностранными организациями, осуществляющими деятельность в области реагирования на компьютерные инциденты, и Порядка получения субъектами критической информационной инфраструктуры Российской Федерации информации о средствах и способах проведения компьютерных атак и о методах их предупреждения и обнаружения" (Зарегистрировано в Минюсте России 06.09.2018 N 52107)
Impact and assessment of the requirements for the protection of information presented by Russian Federation legislation in the field the public finance information system Ksenofontov M.S.
JSC AMT GROUP
In this article issued the systems of information protection requirements for presented by various regulatory acts to public finance information systems. The requirements for the protection of GIS, PDN, KII and public information systems are considered. In particular, the work compares the classifications of public IP, related to class 1 and 2 according to the Ministry of Communications and the Federal Security Service. It is shown that in order to determine the applicability of the requirements, a determination is made of the key features that information system must meet for these requirements to be applicable. It's need to certain features to be correlated with the general characteristics of public finance information system, after which the applicability of a system of requirements, such as federal state information system. Also it was determined containing information required to be posted on the Internet and created and used to exercise the powers of federal executive authorities.
Keywords: information protection, public finance, GIS, PD, KII, legal requirements, public finance information systems
References
1. Federal Law of July 27, 2006 No. 149-FZ (as amended on March
18, 2019) "On Information, Information Technologies and the Protection of Information"
2. Decree of the Government of the Russian Federation of 13.08.1997 N 1009 (as amended on 02.02.2019) "On the approval of the Rules for the preparation of regulatory legal acts of federal executive bodies and their state registration"
3. The Government of the Russian Federation of 06.07.2015 N 676
(as amended on 04/11/2019, as amended on 08/07/2019) "On the requirements for the procedure for the creation, development, commissioning, operation and decommissioning of state information systems and further storage information contained in their databases "
4. Order of the FSTEC of Russia dated February 18, 2013 N 21 (as
amended on March 23, 2017) "On approval of the composition and content of organizational and technical measures to ensure the security of personal data during their processing in personal data information systems"
5. Order of the FSB of Russia dated 10.07.2014 N 378 "On approval
of the Composition and content of organizational and technical measures to ensure the security of personal data when they are processed in personal data information systems using the cryptographic protection of information necessary to fulfill the requirements established by the Government of the Russian Federation to the protection of personal data for each of the security levels "(Registered in the Ministry of Justice of Russia on 08/18/2014 N 33620)
6. Decree of the Government of the Russian Federation of 01.11.2012 N 1119 "On approval of requirements for the protection of personal data during their processing in personal data information systems"
7. Federal law dated 10.01.2002 No. 1-03 "On electronic digital
signature"
8. Order of the FSB and FSTEC of August 31, 2010 No. 416/489
"On approval of the protection of information contained in public information systems"
9. Order of the Ministry of Communications of August 25, 2009 No.
104 "On approval of the requirements for ensuring the integrity, stability of operation and security of public information systems"
10. Order of the Ministry of Telecom and Mass Communications of the Russian Federation (Ministry of Telecom and Mass Communications of Russia) dated June 27, 2013 N 149 Moscow "On approval of the Requirements for technological, software and linguistic means necessary for posting information by state bodies and local governments in the network" Internet "in the form of open data, as well as to ensure its use"
11. Federal Law "On the Safety of Critical Information Infrastructure of the Russian Federation" dated 07.26.2017 N 187-FZ
12. Order of the FSTEC of Russia of December 25, 2017 N 239 (as amended on March 26, 2019) "On approval of the requirements for ensuring the security of significant objects of critical information infrastructure of the Russian Federation"
13. Order of the FSB of Russia dated 06.05.2019 N 196 "On approval of the Requirements for means intended for the detection, prevention and elimination of the consequences of computer attacks and response to computer incidents" (Registered in the Ministry of Justice of Russia on 31.05.2019 N 54801)
14. Order of the FSB of Russia dated 06/19/2019 N 281 "On approval of the Procedure, technical conditions for the installation and operation of tools designed to detect, prevent and eliminate the consequences of computer attacks and respond to computer incidents, with the exception of tools designed to search for signs of computer attacks in telecommunication networks used to organize the interaction of critical information infrastructure of the Russian Federation "(Registered in the Ministry of Justice of Russia on July 16, 2019 N 55285)
15. Order of the FSB of Russia dated June 19, 2019 N 282 "On approval of the Procedure for informing the FSB of Russia about computer incidents, responding to them, taking measures to eliminate the consequences of computer attacks carried out in relation to significant objects of critical information infrastructure
of the Russian Federation" (Registered in the Ministry of Justice of Russia 07/16/2019 N 55284) 16. Order of the FSB of Russia dated 24.07.2018 N 367 "On approval of the List of information submitted to the state system for detecting, preventing and eliminating the consequences of computer attacks on information resources of the Russian Federation and the Procedure for submitting information to the state system for detecting, preventing and eliminating the consequences of computer attacks on information resources of the Russian Federation "(Registered in the Ministry of Justice of Russia on September 6, 2018 N 52108)
17. Order of the Federal Security Service of Russia of 24.07.2018 N 368 "On approval of the Procedure for the exchange of information on computer incidents between subjects of critical information infrastructure of the Russian Federation, between subjects of critical information infrastructure of the Russian Federation and authorized bodies of foreign states, international, international non-governmental organizations and foreign organizations, carrying out activities in the field of response to computer incidents, and the procedure for obtaining by subjects of critical th information infrastructure of the Russian Federation information on the means and methods of cyber attacks and the methods of prevention and detection "(Registered in the Ministry of Justice of Russia 06.09.2018 N 52107)
X X
o 00 A c.
X
00 m
o
io 2
IO O