CC BY
49
УДК 004.056.5
АВТОМАТИЗИРОВАННЫЕ СИСТЕМЫ И ИХ КЛАССИФИКАЦИЯ В СФЕРЕ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
Валентин Валерьевич Селифанов
Управление ФСТЭК России по СФО, 630091, Россия, г. Новосибирск, Красный пр., 41, начальник отдела
Александр Сергеевич Гордеев
Управление ФСТЭК России по СФО, 630091, Россия, г. Новосибирск, Красный пр., 41, заместитель начальника отдела, e-mail: a.s.gordeev.90@gmail.com
Диана Георгиевна Макарова
Сибирский государственный университет геосистем и технологий, 630108, Россия, г. Новосибирск, ул. Плахотного, 10, ассистент кафедры информационной безопасности, тел. (383)343-91-11, e-mail: kaf.ib@ssga.ru
Алена Алексеевна Старикова
Новосибирский государственный университет экономики и управления, Россия, 630099, г. Новосибирск, ул. Каменская, 52, магистрант, e-mail: starikova.alena.123@gmail.com
Александра Михайловна Климова
Новосибирский государственный университет экономики и управления, Россия, 630099, г. Новосибирск, ул. Каменская, 52, магистрант
Ключевые слова: автоматизированные системы, информационная безопасность, персональные данные, служебная информация ограниченного распространения.
В статье рассмотрены классификация автоматизированных систем и применение набора мер, подходящего данному классу в соответствии с информацией, которая обрабатывается в них, а именно информация с ограничительной пометкой «для служебного пользования», персональные данные. Также рассмотрены варианты защиты сегментов сайтов государственных органов - то есть системы общего пользования.
AUTOMATED SYSTEMS AND THEIR CLASSIFICATION IN THE FIELD OF INFORMATION SECURITY
Valentin V. Selifanov
Department of the Federal Service for Technical and Export Control of Russia in the Siberian Federal District, 41, Krasny Prospect, Novosibirsk, 630091, Russia, Head of Department
Aleksandr S. Gordeev
Department of the Federal Service for Technical and Export Control of Russia in the Siberian Federal District, 41, Krasny Prospect, Novosibirsk, 630091, Russia, Deputy Head of Department, e-mail: a.s.gordeev.90@gmail.com
Diana G. Makarova
Siberian State University of Geosystems and Technologies, 10, Plakhotnogo St., Novosibirsk, 630108, Russia, Assistant, Department of Information Security, phone: (383)343-91-11, e-mail: kaf.ib@ssga.ru
Alena A. Starikova
Novosibirsk State University of Economics and Management, 52, Kamenskaya St., Novosibirsk, 630099, Russia, Graduate, e-mail: starikova.alena.123@gmail.com
Aleksandra M. Klimova
Novosibirsk State University of Economics and Management, 52, Kamenskaya St., Novosibirsk, 630099, Russia, Graduate
The article considers the classification of automated systems and application of measures suitable for this class in accordance with the information that is processed in them - information with a restrictive label "for official use", personal data. Also options are considered for protecting segments of websites of state bodies - public systems.
Key words: automated systems, information security, personal data, service information of limited distribution.
На сегодняшний день заметен рост объема информационных потоков и систем. Информация относится к любой сфере деятельности человека. Необходимо понимать, что этот объем информации нужно обрабатывать, имея определенные и специально разработанные под конкретные задачи информационные системы, это приводит к появлению новых видов автоматизированных систем ( далее - АС). С появлением новых видов АС меняется и классификация этих систем. Понятие АС приведено в [1] - это информационная система, включая элементы, не связанные с информационной технологией, рассматриваемые с учетом условий ее эксплуатации.
Классификация АС определяется в зависимости от категории доступа к информации. В соответствии с федеральным законом [8] информация подразделяется на общедоступную информацию и информацию, доступ к которой ограничен федеральными законами (информация ограниченного доступа). К информации, доступ к которой ограничен федеральными законами, относится государственная тайна, документы с ограничительной пометкой «для служебного пользования», персональные данные (далее - ПДн), информация о деятельности государственных и муниципальных органов. Отдельно стоит отметить государственные информационные системы, так как взаимодействие с государством активно переводится в Интернет.
К служебной информации ограниченного распространения относится несекретная информация, касающаяся деятельности организаций, ограничения на распространение которой диктуются служебной необходимостью [2]. Постановление Правительства РФ распространяется только на федеральные органы исполнительной власти, а также на подведомственные им предприятия, учреждения и организации. Потребность в создании АС, обрабатывающих документы «для служебного пользования», остается на высоком уровне.
Обеспечение защиты такой информации осуществляется согласно «Специальным требованиям и рекомендациям по технической защите конфиденциальной информации (СТР-К)» [3], а классификация осуществляется на основании
требований руководящего документа Гостехкомиссии России [4]. Всего предусмотрено 9 классов защищенности, и каждый класс характеризуется определенной минимальной совокупностью требований по защите. Классы объединены в три группы: третья группа включает АС, в которых работает один пользователь, допущенный ко всей информации АС, размещенной на носителях одного уровня конфиденциальности (содержит два класса - 3Б и 3А); вторая группа включает АС, в которых пользователи имеют одинаковые права доступа (полномочия) ко всей информации АС, обрабатываемой и (или) хранимой на носителях различного уровня конфиденциальности (содержит два класса - 2Б и 2 А); первая группа включает многопользовательские АС, в которых одновременно обрабатывается и (или) хранится информация разных уровней конфиденциальности, и не все пользователи имеют право доступа ко всей информации (содержит пять классов - 1Д, 1Г, 1В, 1Б и 1А).
В соответствии с п. 5.2.3 [3] для рассматриваемых систем применяются следующие классы защищенности - 3Б, 2Б, 1Д и 1Г.
Для защиты информации с пометкой «для служебного пользования» применяется не только СТР-К, но также приказ ФСТЭК России от 11 февраля 2013г. № 17. По решению обладателя информации (заказчика) или оператора Требования [10] могут применяться для защиты информации, содержащейся в негосударственных информационных системах.
В приказе ФСТЭК России от 11 февраля 2013 г. № 17 устанавливаются три класса защищенности информационной системы, определяющие уровни защищенности содержащейся в ней информации. Класс зависит от уровня значимости информации и от масштаба информационной системы.
Сферу, связанную с обработкой персональных данных, регулирует федеральный закон «О персональных данных» [5]. ПДн - это любые данные о человеке, по которым его можно идентифицировать. Данный закон установил, что информационная система персональных данных (далее - ИСПДн) - совокупность содержащихся в базах данных ПДн и обеспечивающих их обработку информационных технологий и технических средств. При обработке ПДн оператор берет на себя обязательства по защите этих данных и должен предпринимать необходимые правовые, организационные и технические меры. Для выполнения требований к защите ПДн необходимо определить уровни защищенности этих данных.
Для определения уровня защищенности ПДн необходимо руководствоваться постановлением Правительства РФ от 1 ноября 2012 г. № 1119 [6]. При обработке персональных данных в информационных системах устанавливаются 4 уровня защищенности персональных данных, определяющие требования по защите информации. Самый низкий уровень - четвертый, самый высокий -первый.
Для определения уровня защищенности ПДн необходимо отнести условия обработки данных к следующим критериям: тип актуальных угроз безопасности информации (первый, второй или третий) определяется, исходя из наличия недокументированных (недекларированных) возможностей в системном и (или)
прикладном программном обеспечении; характер обрабатываемых ПДн (специальные, биометрические, общедоступные и иные); количество субъектов, ПДн которых обрабатываются в системе [14].
Характеристики критериев приведены в табл. 1.
Таблица 1
Критерии для определения уровня защищенности персональных данных
Категория ПДн Условие Угрозы 1 типа Угрозы 2 типа Угрозы 3 типа
специальные более 100000, не сотрудники 1 1 2
менее 100000, 1 2 3
не сотрудники
сотрудники 1 2 3
биометрические сотрудники 1 2 3
общедоступные более 100000 не сотрудники 2 2 4
менее 100000, 2 3 4
не сотрудники
иные более 100000, не сотрудники 1 2 3
менее 100000, 1 3 4
не сотрудники
сотрудники 1 3 4
После определения уровня защищенности ПДн в постановлении Правительства РФ от 1 ноября 2012 г. № 1119 [6] применяются требования к конкретному уровню защищенности ПДн.
Информация о деятельности государственных и муниципальных органов.
Для предоставления государственными органами и органами местного самоуправления информации о своей деятельности по запросам редакций средств массовой информации, в части, не урегулированной законодательством Российской Федерации о средствах массовой информации, установлено требование об обязательном предоставлении информации о деятельности государственных органов и органов местного самоуправления. Информация, размещенная такими органами в информационно-телекоммуникационных сетях должна быть достоверна и целостна. Данное требование представлено в ФЗ-№149 «Об информации, информационных технологиях и о защите информации» от 27 июля 2006 г. [8,13].
Обеспечение доступа пользователей информацией к информации о деятельности государственных органов и органов местного самоуправления регулируется ФЗ-№8 «Об обеспечении доступа к информации о деятельности государственных органов и органов местного самоуправления» [7] от 9 февраля 2009 г.
Система общего пользования - это информационная система, участники электронного взаимодействия в которой составляют неопределенный круг лиц, и в использовании которой этим лицам не может быть отказано [8].
Также установлено, что данная информация размещается в сети Интернет, а следовательно появляется класс автоматизированных систем - системы общего пользования, обеспечивающих доступ к указанным информационным ресурсам. Требования по защите информации и классификацию таких систем устанавливает совместный приказ ФСТЭК России и ФСБ России [9]. Всего устанавливается два класса, при этом: к I классу относятся информационные системы общего пользования Правительства Российской Федерации и иные информационные системы общего пользования в случае, если нарушение целостности и доступности информации, содержащейся в них, может привести к возникновению угроз безопасности Российской Федерации; ко II классу относятся информационные системы общего пользования, не указанные выше [12].
В зависимости от класса информационной системы определены требования для защиты общедоступной информации, размещенной на сайтах Правительства Российской Федерации и федеральных органов исполнительной власти.
Государственные информационные системы.
К защите информации в государственных информационных системах устанавливаются требования к обеспечению защиты информации ограниченного доступа, не содержащей сведения, составляющие государственную тайну, от утечки по техническим каналам, несанкционированного доступа, специальных воздействий на такую информацию (носители информации) в целях ее добывания, уничтожения, искажения или блокирования доступа к ней [11]. Государственная информационная система - это федеральные информационные системы и региональные информационные системы, созданные на основании соответственно федеральных законов, законов субъектов Российской Федерации, на основании правовых актов государственных органов [8].
Повышенное внимание государственные информационные системы получили с момента вступления в силу приказа ФСТЭК России от 11 февраля 2013 г. № 17 [10], который и определил требования о защите информации.
Классификация информационной системы проводится в зависимости от значимости обрабатываемой в ней информации и масштаба информационной системы (федеральный, региональный, объектовый).
Устанавливаются четыре класса защищенности информационной системы, определяющие уровни защищенности содержащейся в ней информации. Самый низкий класс - четвертый, самый высокий - первый. Класс защищенности информационной системы определяется в соответствии с табл. 2 [10].
Как писалось выше, зачастую в государственных информационных системах обрабатывается информация с ограничительной пометкой «для служебного пользования», персональные данные, а также содержатся сегменты, в которых размещаются сайты государственных органов - то есть системы общего пользования. Определив класс защищенности информационный системы, необходимо применить набор мер, соответствующий данному классу.
Таблица 2
Классы защищенности информационной системы
Уровень значимости информации Масштаб информационной системы
Федеральный Региональный Объектовый
УЗ 1 К1 К1 К1
УЗ 2 К1 К2 К2
УЗ 3 К2 К3 К3
БИБЛИОГРАФИЧЕСКИЙ СПИСОК
1. ГОСТ Р ИСО/МЭК ТО 19791-2008 «Информационные технологии. Методы и средства обеспечения безопасности. Оценка безопасности автоматизированных систем». Введен 18 декабря 2008 г.
2. Об утверждении Положения о порядке обращения со служебной информацией ограниченного распространения в федеральных органах исполнительной власти и уполномоченном органе управления использованием атомной энергии: постановление Правительства РФ от 3 ноября 1994 г. № 1233/ Правовой сервер «Консультант Плюс» [Электронный ресурс]. - Режим доступа: www.consultant.ru.
3. Специальные требования и рекомендации по технической защите конфиденциальной информации (СТР-К): приказ Гостехкомиссии России от 30 августа 2002 г. № 282 / для служебного пользования.
4. Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации: руководящий документ Гостехкомиссии России, утвержденный решением Председателя Гостехкомиссии от 30 марта 1992 г. / сайт ФСТЭК России [Электронный ресурс] - Режим доступа: www.fstec.ru.
5. О персональных данных: федеральный закон от 27 июля 2006 г. № 152-ФЗ / Правовой сервер «Консультант Плюс» [Электронный ресурс]. - Режим доступа: www.consultant.ru.
6. Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных: постановление Правительства РФ от 1 ноября 2012 г. № 1119/ Правовой сервер «Консультант Плюс» [Электронный ресурс]. - Режим доступа: www.consultant.ru.
7. Об обеспечении доступа к информации о деятельности государственных органов и органов местного самоуправления: федеральный закон от 9 февраля 2009 г. № 8-ФЗ / Правовой сервер «Консультант Плюс» [Электронный ресурс]. - Режим доступа: www.consultant.ru.
8. Об информации, информационных технологиях и о защите информации: федеральный закон от 27 июля 2006 г. № 149-ФЗ / Правовой сервер «Консультант Плюс» [Электронный ресурс]. - Режим доступа: www.consultant.ru.
9. Об утверждении Требований о защите информации, содержащейся в информационных системах общего пользования: Приказ ФСБ России и ФСТЭК России от 31 августа 2010 г. № 416/489/ Правовой сервер «Консультант Плюс» [Электронный ресурс]. - Режим доступа: www.consultant.ru.
10. Об утверждении требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах: Приказ ФСТЭК России от 11 февраля 2013 г. № 17 / Правовой сервер «Консультант Плюс» [Электронный ресурс]. - Режим доступа: www.consultant.ru.
11. Курносов К.В., Селифанов В.В Требования к системе защиты информации для виртуальной инфраструктуры // Известия ЮФУ. Технические науки. 2014. № 8 (157). С. 16-24.
12. Пестунова Т.М., Селифанов В.В., Слонкина И.С., Юракова Я.В. Автоматизированная технология сопоставления угроз и уязвимостей безопасности информации в информационных систмах // В сборнике: Актуальные проблемы обеспечения информационной безопасности, труды Межвузовской научно-практической конференции. 2017. С. 156-160.
13. Селифанов В.А., Селифанов В.В. Способ моделирования процессов управления техническими средствами и система для его осуществления // Патент на изобретение RUS 2331096 08.02.2007.
14. Селифанов В.В. Оценка эффективности системы защиты информации государственных информационных систем от несанкционированного доступа [Текст] // Интеграция науки, общества, производства и промышленности: сборник статей Международной научно-практической конференции, 2016. С. 109-113.
© В. В. Селифанов, А. С. Гордеев, Д. Г. Макарова, А. А. Старикова, А. М. Климова, 2018
