УДК 004.056.5
ТРЕБОВАНИЯ ПО ЗАЩИТЕ ИНФОРМАЦИИ ПРИ МЕЖСЕТЕВОМ ВЗАИМОДЕЙСТВИИ ГОСУДАРСТВЕННЫХ ИНФОРМАЦИОННЫХ СИСТЕМ С ИНЫМИ ИНФОРМАЦИОННЫМИ СИСТЕМАМИ
Валентин Валерьевич Селифанов
Управление ФСТЭК России по СФО, 630091, Россия, г. Новосибирск, Красный пр., 41, начальник отдела
Александр Сергеевич Гордеев
Управление ФСТЭК России по СФО, 630091, Россия, г. Новосибирск, Красный пр., 41, заместитель начальника отдела, e-mail: [email protected]
Игорь Николаевич Карманов
Сибирский государственный университет геосистем и технологий, 630108, Россия, г. Новосибирск, ул. Плахотного, 10, кандидат технических наук, доцент, зав. кафедрой информационной безопасности, тел. (903)937-24-90, e-mail: [email protected]
В статье рассматриваются изменения, происходящие в системе требований к обеспечению защищенности межсетевого взаимодействия государственных информационных систем с другими информационными системами.
Ключевые слова: государственные информационные системы, межсетевое взаимодействие, защита информации, законодательная база.
REQUIREMENTS FOR INFORMATION SEQURITY IN CROSS-NETWORK INTERACTION OF THE STATE INFORMATION SYSTEMS WITH OTHER INFORMATION SYSTEMS
Valentin V. Selifanov
Department of the Federal Service for Technical and Export Control of Russia in the Siberian Federal District, 41, Krasny Prospect, Novosibirsk, 630091, Russia, Head of Department
Aleksandr S. Gordeev
Department of the Federal Service for Technical and Export Control of Russia in the Siberian Federal District, 41, Krasny Prospect, Novosibirsk, 630091, Russia, Deputy Head of Department, e-mail: [email protected]
Igor N. Karmanov
Siberian State University of Geosystems and Technologies, 10, Plakhotnogo St., Novosibirsk, 630108, Russia, Ph. D., Associate Professor, Head of Department of, phone: (903)937-24-90, e-mail: [email protected]
The article concerns the changes that occur in the system of requirements to ensure the security of the cross-network interaction of state information systems with other information systems.
Key words: state information systems, inter-network interaction, information security, legislative base.
В настоящее время идет активный процесс внедрения информационных технологий в деятельность государственных органов всех уровней. Основная цель этих нововведений - повышение эффективности работы, а именно:
- повышение эффективности управления, в том числе и за счет введения системы межведомственного электронного взаимодействия;
- снижение затрат на содержание государственных органов;
- появление доступных, быстрых и удобных для граждан государственных услуг.
При всех однозначных плюсах от внедрения нововведений в виде информационных технологий, органы исполнительной власти столкнулись и с некоторыми издержками, такими как постоянное подключение своих информационных систем к непрерывно изменяющейся среде - сети «Интернет». Это привело к экспоненциальному росту количества атак на информационные системы, теперь многие уязвимости программного обеспечения стали доступы многократно увеличившемуся числу нарушителей.
Постоянно нарастающие возможности нарушителей и рост количества атак на государственные информационные системы заставляют менять и требования к системе защите информации.
Их можно разделить на две большие группы - требования к созданию и эксплуатации автоматизированной системы в защищенном исполнении и требования к средствам защиты информации.
Рассмотрим первую. Глобальные изменения в подходах к системе защиты информации произошли в 2013 году с вступлением в силу приказов ФСТЭК России № 17 [1], 21 [2] и № 31 [3].
Наблюдается переход на риск-ориентированный подход, то есть система защиты, в первую очередь, строится, исходя из класса информационных систем [4] и угроз, которые признаны актуальными оператором информационной системы. Существенно расширен список подсистем защиты информации, до 13 в приказе № 17 ФСТЭК России, до 15 в приказе № 21 и до 23 в приказе № 31.
Например, в приказе ФСТЭК России № 17 непосредственно ответственными за обеспечение безопасного межсетевого взаимодействия можно считать сразу восемь подсистем (мер).
Отдельно стоит отметить большое внимание, уделенное анализу уязвимо-стей. Теперь это отдельный этап создания системы защиты государственной информационной системы. Основной целью этих работ является подтверждение того, что система защиты информации эффективна, и угрозы безопасности информации, актуальные для конкретной автоматизированной системы, учтены при проектировании. То есть речь идет об оценке возможности преодоления нарушителем системы защиты информационной системы и предотвращения реализации угроз безопасности информации.
В соответствии с приказами ФСТЭК России № 17 и № 31, анализ уязвимо-стей информационной системы включает анализ уязвимостей средств защиты
информации, технических средств и программного обеспечения информационной системы.
При анализе уязвимостей информационной системы проверяется отсутствие известных уязвимостей средств защиты информации, технических средств и программного обеспечения, в том числе с учетом информации, имеющейся у разработчиков и полученной из других общедоступных источников, правильность установки и настройки средств защиты информации, технических средств и программного обеспечения, а также корректность работы средств защиты информации при их взаимодействии с техническими средствами и программным обеспечением.
Анализ уязвимостей средств защиты информации проводится на этапе оценки соответствия (сертификации) и регламентирован стандартами ИСО/МЭК 15408-1,2,3 [5-7] и 18045 [8]. На этапе внедрения можно воспользоваться, в зависимости от поставленных задач, и ГОСТ Р ИСО/МЭК ТО 19791 [9].
Они определяют проведение анализа уязвимостей средств защиты информации в зависимости от их класса. Всего можно использовать четыре компонента доверия в зависимости от возможного потенциала нарушителя.
Для анализа уязвимостей на данный момент разработаны и утверждены два стандарта: ГОСТ Р 56546-2015 «Защита информации. Уязвимости информационных систем. Классификация уязвимостей информационных систем»; ГОСТ Р 56545-2015 «Защита информации. Уязвимости информационных систем. Правила описания уязвимостей».
Отдельно стоит отметить создание открытого информационного ресурса -банка данных угроз безопасности информации (БДУ). Он содержит сведения об основных угрозах и уязвимостях, характерных, в первую очередь, для государственных информационных систем и автоматизированных систем управления производственными и технологическими процессами критически важных объектов. Вместе с тем, данные БДУ могут быть использованы для гораздо более широкого спектра информационной системы (ИС). Следует отметить, что, в отличие от статичных сведений в нормативно-методических документах, этот ресурс является динамическим в смысле регулярной актуализации данных об угрозах. На сегодняшний день соответствующие каталоги содержат сведения о более чем 200 угрозах и 16000 уязвимостях, а сопоставление уязвимости и угрозы можно реализовать только посредством «поиска по тегам».
Еще одним существенным нововведением является смещение акцента с этапа аттестации информационной системы на этап обеспечения защиты информации в ходе эксплуатации. Вообще, этим процедурам в требованиях ФСТЭК России теперь отводится очень много внимания, в частности, в приказе ФСТЭК России № 17 выделено пять отдельных процедур эксплуатации системы защиты: управления (администрирования) системой защиты информации информационной системы; выявления инцидентов (одного события или группы событий), которые могут привести к сбоям или нарушению функционирования информационной системы и (или) к возникновению угроз безопасности информации (далее - инциденты), и реагирования на них; управления конфигурацией
аттестованной информационной системы и системы защиты информации информационной системы; контроля (мониторинга) за обеспечением уровня защищенности информации, содержащейся в информационной системе; защиты информации при выводе из эксплуатации информационной системы или после принятия решения об окончании обработки информации.
При этом нужно отметить и постоянное усиления внимания со стороны регулятора к этим вопросам, например, появление в приказе ФСТЭК России № 31 «нулевой» меры в каждой группе мер, устанавливающей требования по обязательной разработке правил и процедур (политик), отдельно для каждой группы.
Анализ существующих нормативных правовых актов, методических документов и ГОСТов, показывает, что для большинства видов объектов защиты процессы создания и оценки эффективности [12] системы управления (менеджмента) отсутствуют. Конечно, отдельно можно выделить стандарты Банка России, документы Госкорпорации Росатом и некоторые другие, но они решают проблему только в своих достаточно узких системах.
Здесь оператору необходимо использовать собственные практики и опыт. Так же можно воспользоваться «инструментами» применяемыми в стандартах серии 2700Х.
Интегрировать их в систему защиты информации позволяет ГОСТ Р 51583-2014 [10].
С 2012 года ФСТЭК России осуществляет постепенный переход на требования к средствам защиты информации от несанкционированного доступа нового поколения. На данный момент действуют шесть приказов: Требования к системам обнаружения вторжений; Требования к средствам антивирусной защиты; Требования к средствам доверенной загрузки; Требования к средствам контроля съемных машинных носителей информации [14]; Требования к межсетевым экранам; Требования безопасности информации к операционным системам.
В ближайшие два года планируется полный переход от системы требований руководящих документов Гостехкомиссии России к системе требований нового поколения.
Основное отличие новой системы требований - это интеграция требований с международной системой сертификации, основанной на системе стандартов ИСО/МЭК 15408; включение в систему сертификации требований к качеству создания средства защиты анализа уязвимостей, поддержке и жизненного цикла; переход на единую систему классификации средств защиты - вводится 6 классов, в зависимости от необходимого уровня обеспечения конфиденциальности (целостности, доступности) информации, и различные типы (в данный момент максимально 5), в зависимости от назначения [13].
Отдельно стоит отметить планируемые требования к средствам управления потоками информации или к маршрутизаторам, а также средствам контроля и анализа защищенности, после их введения линейка средств защиты получит законченный вид. Они будут включать в себя такие виды средств защиты инфор-
мации, как системы обнаружения вторжений, межсетевые экраны, маршрутизаторы и средства анализа защищенности.
Проводимые ФСТЭК России изменения нормативной правовой и методической базы в области технической защиты информации носят следующий характер: во-первых, системно и последовательно меняют требования к защите информации, позволяя строить и эксплуатировать системы защиты информации практически всех существующих информационных систем [12]; во-вторых, позволяют операторам информационных систем использовать как существующие международные практики, так и собственные наработки, а также достаточно комфортно встраивать их в систему аттестации [11]; в-третьих, достаточно объемны (несколько десятков документов в год) и требуют от всех задействованных лиц постоянного внимания и модернизации подходов и инструментов создания и оценки систем защиты.
БИБЛИОГРАФИЧЕСКИЙ СПИСОК
1. Об утверждении требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах: Приказ ФСТЭК России от 11 февраля 2013 г. № 17 / Правовой сервер «Консультант Плюс» [Электронный ресурс]. - Режим доступа: www.consultant.ru.
2. Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных: Приказ ФСТЭК России от 18 февраля 2013 г. № 21 / Правовой сервер «Консультант Плюс» [Электронный ресурс]. - Режим доступа: www.consultant.ru.
3. Об утверждении Требований к обеспечению защиты информации в автоматизированных системах управления производственными и технологическими процессами на критически важных объектах, потенциально опасных объектах, а также объектах, представляющих повышенную опасность для жизни и здоровья людей и для окружающей природной среды: Приказ ФСТЭК России от 14 марта 2014 г. № 31 / Правовой сервер «Консультант Плюс» [Электронный ресурс]. - Режим доступа: www.consultant.ru.
4. Селифанов В.В. Классификация автоматизированных систем // Science Time, 2016. - № 4 (28).
5. ГОСТ Р ИСО/МЭК 15408-1-2008 «Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 1. Введение и общая модель» / Правовой сервер «Консультант Плюс» [Электронный ресурс]. - Режим доступа: www.consultant.ru.
6. ГОСТ Р ИСО/МЭК 15408-2-2008 «Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 2. Функциональные требования безопасности» / Правовой сервер «Консультант Плюс» [Электронный ресурс]. - Режим доступа: www.consultant.ru.
7. ГОСТ Р ИСО/МЭК 15408-3-2008 «Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 3. Требования доверия к безопасности» / Правовой сервер «Консультант Плюс» [Электронный ресурс]. - Режим доступа: www.consultant.ru.
8. ГОСТ Р ИСО/МЭК 19791-2008 «Информационная технология. Методы и средства обеспечения безопасности. Оценка безопасности автоматизированных систем» / Правовой сервер «Консультант Плюс» [Электронный ресурс]. - Режим доступа: www.consultant.ru.
9. ГОСТ Р ИСО/МЭК 18045-2008 «Информационная технология. Методы и средства обеспечения безопасности. Методология оценки безопасности информационных техноло-
гий». / Правовой сервер «Консультант Плюс» [Электронный ресурс]. - Режим доступа: www.consultant.ru.
10. ГОСТ Р 51583-2014. Защита информации. Порядок создания автоматизированных систем в защищенном исполнении. Общие положения. / Правовой сервер «Консультант Плюс» [Электронный ресурс]. - Режим доступа: www.consultant.ru.
11. Селифанов В.В. Оценка эффективности системы защиты информации государственных информационных систем от несанкционированного доступа [Текст] // Интеграция науки, общества, производства и промышленности: сборник статей Международной научно-практической конференции, 2016. С. 109-113.
12. Курносов К.В., Селифанов В.В Требования к системе защиты информации для виртуальной инфраструктуры // Известия ЮФУ. Технические науки. 2014. № 8 (157). -С. 16-24.
13. Пестунова Т.М., Селифанов В.В., Слонкина И.С., Юракова Я.В. Автоматизированная технология сопоставления угроз и уязвимостей безопасности информации в информационных систмах // В сборнике: Актуальные проблемы обеспечения информационной безопасности, труды Межвузовской научно-практической конференции. 2017. С. 156-160.
14. Селифанов В.А., Селифанов В.В. Способ моделирования процессов управления техническими средствами и система для его осуществления // Патент на изобретение RUS 2331096 08.02.2007.
© В. В. Селифанов, А. С. Гордеев, И. Н. Карманов, 2018