Актуальные вопросы защиты информации для государственных оранов

Актуальные вопросы защиты информации в государственных органах

ДокладчикАктуальные вопросы

защиты информации

Сергей Борисов

Заместитель генерального директора по ИБ

ООО «Информационные системы и аутсорсинг»

ГК Росинтеграция

Эксперт, блогер по ИБ

[email protected]

https://docshell.ru/

https://sborisov.blogspot.ru/

Участие в совершенствовании законодательства и НПА регуляторов

Участие в проверках по привлечению ФСБ России

Участие в проверках качестве эксперта по привлечению Заказчика

mailto:[email protected]



“Классические” нормативно-правовые акты области защиты информации

Требования по защите ИСПДн Актуальные вопросы


Федеральный закон №152 «О персональных данных» от 27.07.2006

Постановление Правительства РФ № 1119 от 01.10.2012

Постановление Правительства РФ от 21.03.2012 г. № 211

Приказ ФСТЭК России № 21 от 18.02.2013

Приказ ФСБ России от 10.07.2014 № 378

Требования по защите ГИС Актуальные вопросы


Федеральный закон № 149 от 27.07.2006

Постановление Правительства РФ от 06.07.2015 N 676 "О требованиях к порядку создания, развития, ввода в эксплуатацию, эксплуатации и вывода из эксплуатации государственных информационных систем и дальнейшего хранения содержащейся в их базах данных информации"

Приказ ФСТЭК России от 11.02.2013 № 17 «Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах»

Требования ФСБ России при эксплуатации СКЗИ

Актуальные вопросы


1) Приказ ФСБ от 10 июля 2014 года № 378 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности»

4) «Методические рекомендации по разработке нормативных правовых актов, определяющих угрозы безопасности персональных данных, актуальные при обработке персональных данных в информационных системах персональных данных, эксплуатируемых при осуществлении соответствующих видов деятельности», утвержденные

руководством 8 Центра ФСБ России (№ 149/7/2/6-432 от 31.03.2015)

3) «Инструкция об организации и обеспечении безопасности хранения, обработки и передачи по каналам связи с использованием средствкриптографической защиты информации с ограниченным доступом, не содержащей сведений, составляющих

государственную тайну», утвержденная приказом ФАПСИ от 13 июня 2001 года № 152

2) Приказ ФСБ России от 9 февраля 2005 года № 66 «Об утверждении положения о разработке, производстве, реализации и эксплуатации шифровальных (криптографических) средств защиты информации (Положение ПКЗ-2005)»

Новости законодательства в области защиты информации

Доктрина ИБ РФ

(утверждена Указом Президента РФ № 646 от 5 декабря 2016 г.)

Организационную основу системы обеспечения информационной безопасности составляют: … органы исполнительной власти субъектов Российской Федерации, органы местного самоуправления, органы судебной власти, принимающие в соответствии с законодательством Российской Федерации участие в решении задач по обеспечению информационной безопасности.

Участниками системы обеспечения информационной безопасности являются: … организации и граждане, которые в соответствии с законодательством Российской Федерации участвуют в решении задач по обеспечению информационной безопасности.



Доктрина ИБ РФ

35. Задачами государственных органов в рамках деятельности по обеспечению информационной безопасности являются:

• обеспечение защиты прав и законных интересов граждан и организаций в информационной сфере

• оценка состояния информационной безопасности, прогнозирование и обнаружение информационных угроз, определение приоритетных направлений их предотвращения и ликвидации последствий их проявления

• планирование, осуществление и оценка эффективности комплекса мер по обеспечению информационной безопасности

• организация деятельности и координация взаимодействия сил обеспечения информационной безопасности, совершенствование их правового, организационного, оперативно-разыскного, разведывательного, контрразведывательного, научно-технического, информационно-аналитического, кадрового и экономического обеспечения

• выработка и реализация мер государственной поддержки организаций, осуществляющих деятельность по разработке, производству и эксплуатациисредств обеспечения информационной безопасности, по оказанию услуг в области обеспечения информационной безопасности, а также организаций, осуществляющих образовательную деятельность в данной области



Российский государственный сегмент сети Интернет или RSNet

Положение о российском государственном сегменте информационно-телекоммуникационной сети "Интернет", утверждено приказом ФСО РФ №443 от 7 сентября 2016 г.

Порядок подключения информационных систем и информационно-телекоммуникационных сетей к информационно-телекоммуникационной сети "Интернет" и размещения (публикации) в ней информации через российский государственный сегмент информационно-телекоммуникационной сети “Интернет”, утверждено Указом Президента Российской Федерации от 22 мая 2015 г. N 260

Подключить до 31 декабря 2017 г.



Государственная система обнаружения и предотвращения атак



проект Методических рекомендаций по созданию ведомственных и корпоративных центров ГосСОПКА, 2016 г.

Концепция государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации утверждена Президентом Российской Федерации 12 декабря 2014 г. № К 1274

Указ Президента Российской Федерации от 15 января 2013 г. N 31с г. Москва "О создании государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации"

Государственная система обнаружения и предотвращения атак



Главный и региональные центры

Системы

Ведомственные центры Системы

Корпоративные центры Системы

Создает и эксплуатирует:

ФСБ Р

Создает и эксплуатирует:

орган государственной власти или Лицензиат

Создает и эксплуатирует: Госкорпорация,

оператор связи или Лицензиат

ГосСОПКА

Информационные ресурсы: - Органов государственной власти РФ - Органов госвласти субъектов РФ - ФСБ Р

Информационные ресурсы данного органа государственной власти РФ

Информационные ресурсы данной организации

Информационные ресурсы иных организаций и учреждений

Требования ФСТЭК России

приказом ФСТЭК России от 9 февраля 2016 г. N 9 утверждены Требования к межсетевым экранам

• с 1 декабря 2016 г. разрабатываемые, производимые и поставляемые межсетевые экраны должны соответствовать Требованиям

• С 1 декабря 2016 г. сертификация, а также инспекционный контроль серийного производства межсетевых экранов будут осуществляться только на соответствие Требованиям.

• Межсетевые экраны, установленные до 1 декабря 2016 г., могут эксплуатироваться без проведения повторной сертификации на соответствие Требованиям



Требования ФСТЭК России

приказом ФСТЭК России от 19 августа 2016 г. N 119 утверждены Требования безопасности информации к операционным системам

• с 1 июня 2017 г. разрабатываемые и производимые операционные системы, используемые для защиты информации, должны соответствовать Требованиям.

• с 1 июня 2017 г. сертификация, а также инспекционный контроль серийного производства операционных систем будут осуществляться только на соответствие Требованиям.



Постановление правительства №399

Постановление Правительства РФ от 6 мая 2016 г. № 399 “Об организации повышения квалификации специалистов по защите информации и должностных лиц, ответственных за организацию защиты информации в органах государственной власти, органах местного самоуправления, организациях с государственным участием и организациях оборонно-промышленного комплекса”



Новое. Постановление правительства №399

• Определить лиц, ответственных за защиту информации

• Обеспечить регулярное повышение квалификации этих лиц

• Очное или удаленное

• Периодичность – достаточная с учетом нарастания угроз ИБ и необходимости совершенствования методов их нейтрализации (рекомендуем 3 года)

• Тематика и программа повышения квалификации –согласована с ФСТЭК России



Профессиональные стандарты в области ИБ

В 2016 г. утверждены проф. стандарты

http://profstandart.rosmintrud.ru/nationalnews/61485/



В 2016 г. утверждены проф. стандарты Актуальные вопросы


В 2016 г. утверждены проф. стандарты Актуальные вопросы



Постановление Правительства Российской Федерации от 27.06.2016 № 584 "Об особенностях применения профессиональных стандартов в части требований, обязательных для применения государственными внебюджетными фондами Российской Федерации, государственными или муниципальными учреждениями, государственными или муниципальными унитарными предприятиями, а также государственными корпорациями, государственными компаниями ….




Разработать план применения проф. стандартов (ПС)

• Определить список ПС подлежащих применению – в том числе ИБ

• Провести анализ квалификации сотрудников и определить потребность в обучении

• Этапы применения ПС

Реализацию плана завершить не позднее 1 января 2020 г.



3 важных законопроекта


• Законопроект "О безопасности критической информационной инфраструктуры Российской Федерации“

• Законопроект “Об установлении требований о защите информации в информационных системах, используемых органами государственной власти”

• Законопроект О внесении изменений в Кодекс Российской Федерации об административных правонарушениях (в части уточнения положений, устанавливающих ответственность за нарушение законодательства о персональных данных)



Нарушения и недостатки ИБ выявленные при проверках органов государственного

контроля или в рамках выполнения работ

Проводился анализ следующих материалов:

• Протоколы ОРМ

• Представления об устранении нарушений

• Протоколы об административном нарушении

• Определения о рассмотрении дел об административном нарушении

По организациям:

• Управления ЗАГС

• МФЦ

• Учреждения здравоохранения

• Учреждения образования

• Райгазы

• Почтовые и курьерские организации

Проверки ФСБ России на юге в 2016 Актуальные вопросы


Типовые нарушения

• Не классифицированы (не установлены уровни защищенности) информационные системы персональных данных

• Не разработана Модель угроз ПДн

• Не ведется учет машинных носителей информации

• Не определен список лиц, допущенных к работе в ИСПДн

• Не назначен ответственный за обеспечение безопасности ПДн

• Не оснащены средствами защиты информации (далее – СЗИ) все автоматизированные рабочие места (далее – АРМ) участвующие в обработке ПДн

• СЗИ имеют просроченный сертификат соответствия




• Спецпомещение, в котором осуществляется обработка ПДн с применением средств криптографической защиты информации (далее – СКЗИ), не оборудовано устройством опечатывания, сигнализирующее о несанкционированном вскрытии

• Не разработаны правила доступа в спецпомещение

• Не утвержден список лиц, допущенных в спецпомещение

• Окна спецпомещения не оборудованы железными решетками или средствами охранной сигнализации




• Не разработана Модель нарушителя

• Отсутствует список пользователей, допущенных к работе с СКЗИ

• Отсутствует заключение, подтверждающее специальную подготовку пользователей

• Отсутствует техническая и эксплуатационная документация к СКЗИ, либо данная документация не зарегистрирована в журналах учета

• Не опломбирован системный блок, на котором установлено СКЗИ



Статистика проверок Роскомнадзора Актуальные вопросы


Основные нарушения, выявленные Роскомнадзор-ом в 2015 и 2016 году



Типичные проблемы ИБ

За последний год при работе с организациями в Южном федеральном округе был выявлен ряд проблем, типичных для подавляющего большинства организаций независимо от формы собственности:

• низкий уровень осведомленности сотрудников по вопросам информационной безопасности

• отсутствие лиц, ответственных за направление информационной безопасности, а в случае их наличия – низкий уровень квалификации

• отсутствие реализации организационных мер по защите информации

• неактуальная нормативно-распорядительной документации в области защиты информации

• отсутствие комплексной реализации мер информационной безопасности в ИТ-решениях



Типичные проблемы ИБ

• отсутствие унифицированной информационной инфраструктуры

• отсутствие сертифицированных средств защиты информации и шифровальных (криптографических) средств защиты информации и эксплуатационной документации к ним

• отсутствие аттестованных по требованиям безопасности информации информационных систем и защищаемых помещений, даже если таковые предусмотрены требованиями действующего законодательства

• отсутствие заключений по результатам ежегодного контроля защищенности объектов информатизации на соответствие требованиям безопасности

• отсутствие аттестованных по требованиям безопасности информации выделенных помещений, даже если таковые предусмотрены требованиями действующего законодательства



Инциденты гос. органов в 2016 г.

• заражение критических компонентов ИС вирусами - шифровальщиками

• заражение технических средств и включение их в бот сети для проведение атак на другие организации

• атаки на отказ в обслуживании (DDoS) из внешних сетей

• использование ресурсов гос. органа в личных целях

• атаки на систему клиент-банк



Рекомендации и лучшие практики

Общий порядок проведения работ по защите информации



Обследование ИС, процессов обработки информации, категорирование, классификация, определение требований к компонентам разных категорий

Установка СЗИ, выполнение мероприятий в соответствии с разработанной документацией

Разработка документации, в части организации обработки и защиты информации

Обработка информации, эксплуатация ИС, СЗИ, анализ защищенности

Этап сбора информации о имеющихся ИС и защищаемой информации

• Регулярно обновлять информацию (работа не должна быть разовой)

• Собирать сводную и ключевую информацию с подведомственных учреждений

• Не забывать про объекты имеющие срок действия (аттестаты, сертификаты, лицензии, дипломы и т.п.)

• Выявлять и создавать типовые сегменты



Этап разработки документации

• Учитывать регулярные изменения законодательства

• Учитывать регулярные изменения в организации

• Учитывать изменения в системе защиты

• Простые и понятные пользователям документы

• Единообразные документы в рамках ведомства

• Использовать системы автоматизации подготовки и поддержания в актуальном виде документации и свидетельств выполнения мероприятий



Этап внедрения СЗИ

• Создавать ведомственные и региональные защищенные сети

• Для типовых сегментов использовать типовые СЗИ, аттестовать типовые сегменты только 1 раз

• Подключаться к центрам мониторинга ИБ и реагирования на инциденты ИБ

• Отправлять на обучение лиц ответственных за ИБ



Этап эксплуатации ИС

• Осуществлять централизованный контроль подведомственных учреждений

• Поддерживать меры защиты в актуальном состоянии

• Осуществлять выборочный контроль защищенности подведомственных учреждений

• Координировать силы ИБ с использованием ГосСОПКА, корпоративных центров мониторинга, совместно расследовать инциденты ИБ



Система автоматизации DocShell Актуальные вопросы


Специализированные для

отдельных компанийОбщие Новые разработки

Управление ИБ

ВопросыАктуальные вопросы


[email protected]://docshell.ru/


mailto:[email protected]



Education

Актуальные вопросы защиты информации для государственных оранов