УДК 004.056.5
ПОСТРОЕНИЕ СИСТЕМЫ ЗАЩИТЫ ИНФОРМАЦИИ ГОСУДАРСТВЕННОЙ ИНФОРМАЦИОННОЙ СИСТЕМЫ С ПРИМЕНЕНИЕМ МЕЖДУНАРОДНЫХ СТАНДАРТОВ
Диана Георгиевна Макарова
Сибирский государственный университет геосистем и технологий, 630108, Россия, г Новосибирск, ул. Плахотного, 10, ассистент кафедры наносистем и оптотехники, тел. (383)343-91-11, e-mail: [email protected]
Алёна Алексеевна Старикова
Управление Федеральной службы по тех ническому и экспортному контролю по Сибирскому федеральному округу, 630091, Россия, г Новосибирск, ул. Красный пр ., 41, старший государственный инспектор 6-го отдела, тел. (913)007-78-72, e-mail: [email protected]
Ульяна Вадимовна Таратынова
Межрайонная инспекция Федеральной налоговой службы по крупнейшим налогоплательщикам по Новосибирской области, 630008, Россия, г. Новосибирск, ул. Кирова, 3Б, специалист 1-го разряда отдела информатизации, тел. (913)469-37-31, e-mail: [email protected]
Рассматривается процесс построения системы защиты информации государственной информационной системы с применением международных стандартов, а именно стандартов серии 2700х. Для анализа изменения угроз применяется ГОСТ Р ИСО/МЭК 27005 - 2010 «Информационная технология. Методы и средства обеспечения безопасности. Менеджмент риска информационной безопасности». Для построения системы организационно-распорядительной документации применяется ГОСТ Р ИСО/МЭК 27001-2006 «Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования».
Ключевые слова: информация, защита информации, риски, политика безопасности, государственные информационные системы.
CONSTRUCTION OF THE INFORMATION SYSTEM PROTECTION SYSTEM OF THE STATE INFORMATION SYSTEM WITH THE APPLICATION OF INTERNATIONAL STANDARDS
Diana G. Makarova
Siberian State University of Geosystems and Technologies, 630108, Russia, Novosibirsk, 10 Plakhotnogo St., Assistant of Nanosystems and Optical Devices Department, tel. (383)343-91-11, e-mail: [email protected]
Alyona A. Starikova
The office of the Federal service for technical and export control in the Siberian Federal district, 630091, Russia, Novosibirsk, 41 Krasny Prospect, high state inspector of the 6-th Department, tel. (913)007-78-72, e-mail: [email protected]
Ulyana V. Taratynova
Federal tax service of Russia, 630008, Russia, Novosibirsk, 3B Kirova St., specialist of the first category of Department of information, tel. (913)469-37-31, e-mail: [email protected]
The process of constructing the information security system of the state information system with the application of international standards, namely, the standards of the 2700x series is considered. For the analysis of threat changes, GOST R ISO / IEC 27GG5 - 2G1G "Information technology. Methods and means of ensuring security. Information Security Risk Management ". To build a system of organizational and administrative documentation, GOST R ISO / IEC 27GG1-2GG6 "Information technology. Methods and means of ensuring security. Information security management systems. Requirements".
Key words: information, information protection, risks, security policy, state information systems.
Государственные информационные системы создаются в целях реализации полномочий государственных органов и обеспечения обмена информацией между этими органами. В них обрабатывается как общедоступная информация, так и информация ограниченного доступа.
На данный момент в Российской Федерации приняты нормативные правовые акты, регламентирующие необходимость защиты информации, содержащейся в государственной информационной системе. Федеральный закон (далее
- ФЗ) № 149-ФЗ от 27 июля 2GG6 г. «Об информации, информационных технологиях и о защите информации» обязывает владельца информации и оператора информационной системы, обеспечивать защиту информации от неправомерного доступа, уничтожения, модифицирования, блокирования, копирования, предоставления, распространения и иных неправомерных действий (ст.14 п.9) путем принятия правовых, организационных и технических мер, направленных на соблюдение конфиденциальности информации ограниченного доступа и реализацию права на доступ к общедоступной информации (ст.16). В соответствии с ФЗ № 149-ФЗ утверждены требования о защите информации Приказом ФСТЭК России от 11 февраля 2G13 г. №2 17 «Об утверждении требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах», которые являются обязательными к исполнению.
Дальнейшее развитие требования к защите информации получили в приказе ФСТЭК России № 31 от 14 марта 2G14 г. «Об утверждении требований к обеспечению защиты информации в автоматизированных системах управления производственными и технологическими процессами на критически важных объектах, потенциально опасных объектах, а также объектах, представляющих повышенную опасность для жизни и здоровья людей и для окружающей природной среды». Этот документ создан на основе приказа №17 и развивает его перечень мер защиты восемью группами мер и в каждую из групп добавляет пункт *.G (нулевая мера) «разработка правил и процедур (политик) ...». Данное требование в каждой из групп мер является обязательным для выполнения информационных систем всех классов защищенности.
Построение системы защиты информации информационной системы (далее
- СЗИ ИС) начинается с определения требований к ней с учетом ГОСТ Р 51583-
2014 «Защита информации. Порядок создания автоматизированных систем в защищенном исполнении. Общие положения».
Требования к СЗИ ИС формализуются и закрепляются в техническом задании на создание информационной системы (или на создание ее системы защиты) в соответствии с п.14.4 Приказа ФСТЭК России № 17. Условия, которые необходимо учитывать при его оформлении, представлены в ГОСТ 34.602-89 «Информационная технология. Комплекс стандартов на автоматизированные системы. Техническое задание на создание автоматизированной системы», ГОСТ 34.601 -90 «Информационная технология. Комплекс стандартов на автоматизированные системы. Автоматизированные системы. Стадии создания», и ГОСТ Р 515832014 «Защита информации. Порядок создания автоматизированных систем в защищенном исполнении. Общие положения».
Указанные требования определяются обладателем инфо рмации или заказчиком в зависимости от класса защищенности информационной системы и выявленных угроз безопасности информации, включенных в модель угроз.
Требования в зависимости от выявленных угроз безопасности информации ГОСТ Р 51583-2014 рекомендует формировать, основываясь на оценке рисков информационной безопасности (далее - ИБ), согласно ГОСТ Р ИСО/МЭК 27005 -2010 «Информационная технология. Методы и средства обеспечения безопасности. Менеджмент риска информационной безопасности».
После того как были сформированы требования к СЗИ ИС необходимо выбрать меры реализации требований к СЗИ ИС. В Приказе ФСТЭК России № 17 в приложении №2 представлены базовые наборы мер защиты информации для соответствующих классов защищенности информационных систем. При оценке рисков могут быть выявлены угрозы безопасности информации, блокирование которых мерами защиты, приведенными в Приказе ФСТЭК России № 17, невозможно, в таком случае могут применятся иные меры нейтрализации угроз.
В ходе эксплуатации информационной систем ы перед оператором встает задача анализа изменения угроз и принятия мер их нейтрализации. Приказ ФСТЭК России № 17 содержит требования по анализу инцидентов, в том числе определение источников и причин возникновения инцидентов, а также оценка их последствий в ходе эксплуатации информационной системы, и принятию мер по устранению инцидентов (п. 18.2), однако ни указанный документ, ни методический документ «Меры защиты информации в государственных ин формационных системах» не содержат рекомендаций по решению данной задачи.
Данную проблему позволяют решить другие стандарты в области ИБ, а именно стандарты серии 2700х.
Так, для построения системы организационно-распорядительной документации (в т.ч. политик безопасности различных уровней), создаваемой на этапе разработки СЗИ ИС, в соответствии с Приказом ФСТЭК России № 17, имеет смысл воспользоваться стандартом ГОСТ Р ИСО/МЭК 27001-2006 «Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования».
Для анализа изменения угроз, который заключается в периодическом пересмотре модели угроз и выявления вновь актуальных угроз, другими словами в оценке рисков ИБ, стоит применить ГОСТ Р ИСО/МЭК 27005 - 2010 «Информационная технология. Методы и средства обеспечения безопасности. Менеджмент риска информационной безопасности», рекомендованный ГОСТ Р 51583 при формировании требований к СЗИ ИС.
ГОСТ Р ИСО/МЭК 27005 определяет процесс управления рисками, как циклический процесс, требующий периодической переоценки факторов риска и периодического мониторинга новых активов, угроз, уязвимостей, модификации ценности активов, вероятности реализации угроз и инцидентов.
В международной практике помимо стандарта ГОСТ Р ИСО/МЭК 27005 для управления рисками ИБ используется ГОСТ Р ИСО 31000-2010 «Менеджмент риска. Принципы и руководство» и к нему дополнение ГОСТ Р ИСО/МЭК 31010—2011 «Менеджмент риска. Методы оценки риска», который содержит рекомендации по выбору и применению методов оценки риска.
После оценки рисков оператором информационной системы должно быть принято решение о принятии мер и средств для снижения, сохранения, предотвращения или переоценки риска на основании определенных критериев оценки риска, его влияния и принятия риска.
Выбор мер и средств защиты информации может осуществляется как из состава мер, представленных в Приказе ФСТЭК России № 17, так и из иных источников. В качестве иного источника ГОСТ Р 51583 -2014 рекомендует обратиться к ГОСТ Р ИСО/МЭК 27002 - 2012 «Информационная технология. Методы и средства обеспечения безопасности. Свод норм и правил менеджмента информационной безопасности», содержащий требования, меры и средства защиты информации и рекомендации по их реализации.
Таким образом, в ходе построения системы защиты информации государственной информационной системы могут применяться не только нормативно -правовые акты Российский Федерации, но и международные стандарты. Так для формирования требований к СЗИ ИС, анализа изменения угроз и принятия мер их нейтрализации применяются ГОСТ Р ИСО/МЭК 27005 - 2010 «Информационная технология. Методы и средства обеспечения безопасности. Менеджмент риска информационной безопасности» и ГОСТ Р ИСО/МЭК 27002 - 2012 «Информационная технология. Методы и средства обеспечения безопасности. Свод норм и правил менеджмента информационной безопасности», а для разработки организационно-распорядительной документации (в частности политик безопасности различного уровня) применяется ГОСТ Р ИСО/МЭК 27001 - 2006 «Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования».
Применение семейства стандартов 2700х дает возможность организации, использующей данную информационную систему, определить собственный подход к управлению рисками в зависимости от области применения информационной системы, выбрать компенсирующие меры нейтрализации появившихся
угроз, а также получить сертификат соответствия системы управления ИБ требованиям стандарта ГОСТ Р ИСО/МЭК 27001 - 2006 «Информационная технология. Методы и средства обеспечения безопасности.
Внедрение системы управления ИБ в соответствии с требованиями стандартов серии ИСО/МЭК 2700х, позволит построить управляемый процесс обеспечения ИБ, оптимизировать затраты на ее обеспечение, понизить уровень рисков, связанных с ИБ.
БИБЛИОГРАФИЧЕСКИЙ СПИСОК
1. Евстратенко Е. С. Построение системы защиты информации государственной информационной системы с учетом политик информационной безопасности, разработанных в соответствии с ГОСТ Р ИСО/МЭК 27001 [Текст] / Е. С. Евстратенко, В. В. Селифанов, У В. Тара-тынова // Научные исследования: от теории к практике: материалы VII Междунар. науч. -практ. конф. (Чебоксары, 13 март 2016 г.) / редкол.: О. Н. Широков [и др.]. -Чебоксары: ЦНС «Интерактив плюс», 2016. - № 1 (7).
2. Евстратенко Е. С. Построение системы защиты информации государственной информационной системы с учетом управления рисками информационной безопасности [Текст] / Е. С. Евстратенко, В. В. Селифанов, А. А. Старикова // Научные исследования: от теории к практике: материалы VII Междунар. науч.-практ. конф. (Чебоксары, 13 март 2016 г.) / редкол.: О. Н. Широков [и др.]. - Чебоксары: ЦНС «Интерактив плюс», 2016. - № 1 (7).
3. Селифанов В.В. Испытания системы защиты информации государственной информационной системы // Вестник Науки и Творчества, 2016. - № 4 (4).
4. Селифанов В.В. Классификация автоматизированных систем // Science Time, 2016. -№ 4 (28).
5. Селифанов В.В. Оценка эффективности системы защиты информации государственных информационных систем от несанкционированного доступа [Текст] // Интеграция науки, общества, производства и промышленности: сборник статей Международной научно-практической конференции, 2016. С. 109-113.
© Д. Г. Макарова, А. А. Старикова, У. В. Таратынова, 2017