Опубликован проект методики ФСТЭК: новые требования к защите информационных систем
Содержание данной статьи проверено и подтверждено:
Гончаров Андрей Михайлович
Юрист в области информационной безопасностиФСТЭК России опубликовал проект методического документа «Мероприятия и меры по защите информации, содержащейся в информационных системах».
Методика содержит перечень необходимых для реализации мероприятий и мер по защите информации, обрабатываемой в государственных информационных системах (ГИС).
Целью документа является определение конкретных шагов, необходимых для обеспечения соответствия положений, предусмотренных 117 Приказом ФСТЭК.
Структура методики по защите информационных систем (ИС)
Методика должна использоваться в рамках создания информационных систем и систем защиты информации, осуществлении контроля состояния защищенности, а также проведения аттестационных мероприятий в отношении информационных систем.
Методика состоит из нескольких частей, включая:
- Общие положения документа
- Состав и описание факторов, влияющих на состояние защиты информации
- Состав и описание мероприятий по защите информации
- Состав и описание мер по защите информации
- Приложения с отражением используемых терминов, а также таблицы с составом обязательных для реализации мер защиты для каждого класса защищенности ИС (аналогично приложению № 17 приказа ФСТЭК)
Факторы и система управления информационной безопасностью по Приказу №117
В рамках описания факторов, влияющих на защиту информации, в методике представлены основные факторы, влияющие на систему управления информационной безопасности, а также рекомендации по снижению рисков, связанных с указанными факторами.
Среди основных направлений по реализации системы управления информационной безопасностью рамках методики представлены:
- Анализ актуальности угроз информационной безопасности и принятие решений по снижению возможности их реализации
- Непрерывность процесса обеспечения защиты информации, включая соблюдение цикла PDCA
- Кадровое обеспечения для решения задач, связанных с защитой информации
- Техническое обеспечения для решения задач, связанных с защитой информации
- Организационное (документарное) обеспечения для решения задач, связанных с защитой информации
- Обучение работников и повышение их осведомленности по вопросам защиты информации
- Корректная конфигурация элементов информационных систем
- Унификация ИТ-решений с целью снижения поверхности компьютерных атак
- Непрерывный учет информационных активов
- Учет и контроль рисков, связанных с передачей на аутсорс автоматизированных процессов
- Использование только отечественных программных, программно-аппаратных и технических средств, принятие решение об использовании иностранных компонентов только в случае отсутствия российского аналога
- Применение механизмов контроля доверия в отношении пользователей и программных средств
- Проведение постоянного контроля, включая расчет показателей Пзи (уровень зрелости) и Кзи (показатель защищенности) (в настоящий момент методика расчета показателей – не представлена)
Мероприятия (процессы) по защите информации, содержащейся в информационных системах
В рамках описания обязательных для реализации мероприятий по защите информации представлен список действий, которые должны выполняться оператором информационной системы.
Для большинства мероприятий описаны:
- Цель реализации мероприятия
- Требования к реализации мероприятия
- Требования к документированию процесса реализации мероприятия
- Требования усилению
Перечень мероприятий и их краткое описание:
| № | Мероприятие | Краткое описание |
|---|---|---|
| 1. | Выявление и оценка угроз безопасности информации | В рамках каждого из этапов эксплуатации ИС оператором должен осуществляться постоянный анализ актуальности угроз информационной безопасности, в том числе с учетом изменений информационной инфраструктуры в рамках ее функционирования |
| 2. | Контроль конфигураций информационных систем | Должен обеспечиваться непрерывной учет информационных активов, для всех учтенных активов должен обеспечиваться контроль целостности |
| 3. | Управление уязвимостями | Должен быть реализован непрерывный процесс управления уязвимостями защиты информации, включая их постоянный поиск и устранение с учетом критичности |
| 4. | Управление обновлениями | Для эффективного устранения выявленных уязвимостей для всех программных и программно-аппаратных средств должен обеспечиваться контроль размещения обновлений, размещение обновлений должно осуществляться с учетом риска реализации атак на цепочку поставок |
| 5. | Обеспечение защиты информации при обработке, хранении и обращении с информаций ограниченного доступа | В отношении информации ограниченного доступа должен обеспечиваться контроль действий пользователей в отношении данной информации, включая контроль предоставления доступа, обработки пользователями информации, а также ее передаче между пользователями, дополнительно контроль использования информации ограниченного доступа должен осуществляться с учетом изменений этапов эксплуатации информационных систем |
| 6. | Обеспечение защиты информации при использовании конечных устройств | В отношении конечных точек, используемых пользователями для реализации автоматизированных процессов, должен обеспечиваться максимальный контроль со стороны ответственных за защиту информации лиц, пользователи должны обладать минимальными правами на изменение конфигурации конечных точек |
| 7. | Обеспечение защиты информации при применении мобильных устройств | В отношении мобильных устройств (смартфонов и планшетов) должны применяться механизмы защиты аналогичные тем, что представлены в отношении всех конечных точек, а также дополнительные меры защиты с учетом возможности передачи и утери мобильных устройств пользователями |
| 8. | Обеспечение защиты информации при удаленном доступе пользователей к информационным системам | Для осуществления защищенного удаленного доступа оператор обязан контролировать элементы информационной инфраструктуры, к которым осуществляется удаленный доступ, каналы связи, устройства удаленного доступа, а также сам процесс осуществления удаленного доступа к информационным системам |
| 9. | Обеспечение защиты информации при беспроводном доступе пользователей к информационным системам | В отношении беспроводных сетей должен обеспечиваться постоянный контроль подключаемых устройств, а также использование защищенных технологий предоставления беспроводного доступа |
| 10. | Обеспечение защиты информации при предоставлении пользователям привилегированного доступа | В отношении привилегированных учетных записей должен обеспечиваться повышенный контроль, функционал привилегированных учетных записей должен быть строго ограничен в соответствии с положениями, отраженными в методике |
| 11. | Обеспечение мониторинга информационной безопасности | Мониторинг событий защиты информации должен осуществляться непрерывно с целью выявления потенциальных инцидентов защиты информации |
| 12. | Обеспечение разработки безопасного программного обеспечения | Соблюдение требований по безопасной разработке должны распространяться для всего разрабатываемого оператором программного обеспечения, используемого в ИС, в составе мероприятий по соблюдению требований по безопасной разработке стоит рассматривать мероприятия, предусмотренные в основных нормативных актах РФ, определяющих правила безопасной разработки |
| 13. | Обеспечение физической защиты информационных систем | В отношении помещений, в которых размещаются элементы информационных систем, должен применяться комплекс мер защиты физического доступа, обеспечивающий невозможность получения несанкционированного физического доступа в защищаемые помещения лиц, которым не предоставлены права физического доступа в указанные помещения |
| 14. | Обеспечение непрерывности функционирования информационных систем при возникновении нештатных ситуаций | Оператор обязан определить значимые процессы, выделить достаточные ресурсы для их восстановления в случае возникновения нештатных ситуаций, а также установить допустимое время простоя информационных систем или отдельных процессов, реализуемых в них |
| 15. | Повышение уровня знаний и информированности пользователей по вопросам защиты информации | Оператор должен обеспечить постоянное обучение сотрудников по вопросам обеспечения информационной безопасности, в состав мероприятий по повышению осведомленности могут входить лекции, тренировки, проведение имитационных атак, связанных с социальной инженерией и т.д. Контроль знаний работников должен проводиться не реже 1 раза в 3 года или в после выявления компьютерного инцидента |
| 16. | Обеспечение защиты информации при взаимодействии с подрядными организациями | В случае привлечения подрядных организаций для доступа к информационным системам, в отношении сотрудников подрядных организаций должен обеспечиваться контроль назначения минимально-необходимых прав доступа, контроль осуществляемой деятельности, а также определение в заключаемых договорах и иных документах обязанностей и прав сторон в рамках соблюдения требований по защите информации |
| 17. | Обеспечение защиты от компьютерных атак, направленных на отказ в обслуживании | Оператор обязан реализовать комплекс технических мер защиты информации по снижению влияния атак типа «отказ в обслуживании», а также обеспечить взаимодействие с ГосСОПКА и ЦМУ ССОП (при наличии возможности) |
| 18. | Обеспечение защиты информации при использовании искусственного интеллекта | В случае использования в информационных системах искусственного интеллекта оператор обязан контролировать и быть ознакомленным об используемых моделях машинного обучения, программное обеспечение, обеспечивающее функционирование системы искусственного интеллекта должно быть разработано в соответствии с правилами безопасной разработки |
| 19. | Проведение периодического контроля уровня защищенности информации, содержащейся в информационных системах | Оператор обязан осуществлять постоянный контроль уровня защищенности информации в отношении реализуемых мер по защите информации самостоятельно или с привлечением организации лицензиата ФСТЭК |
Меры по защите информационных систем и содержащейся в них информации
В рамках настоящего пункта методики описывается состав возможных для реализации мер защиты информации.
В рамках каждой меры описывается следующая информация:
- Цель реализации меры защиты
- Требования к реализации меры защиты (схожее описание предусмотрено в рамках методического документа ФСТЭК от 11.02.2014 для 17 приказа ФТСЭК)
- Требования к документированию меры защиты
- Требования к усилению
- Информация о реализации меры для каждого класса защищенности ИС
Состав направлений защиты информации является схожим с подсистемами, представленными в рамках 17 Приказа ФСТЭК, но при этом состав мер в рамках отдельного направления отличается.
В состав схожих направлений (подсистем) защиты информации входят:
- Идентификация и аутентификация (ИАФ)
- Управление доступом (УПД)
- Регистрация событий безопасности (РСБ)
- Антивирусная защита (АВЗ)
- Обнаружение и предотвращение вторжений на сетевом уровне (СОВ)
В остальном методика содержит новые направления, включая:
- Защита контейнерных сред и их оркестрации (ЗКО)
- Защита сервисов электронной почты (ЗЭП)
- Защита веб-технологий (ЗВТ)
- Защита программных интерфейсов взаимодействия приложений API (ЗПИ)
- Защита конечных устройств (ЗКУ)
- Защита мобильных устройств (ЗМУ)
- Защита устройств «Интернета вещей» (ЗИВ)
- Защита точек беспроводного доступа (ЗБД)
- Сегментация и межсетевое экранирование (МСЭ)
- Защита от атак, направленных на отказ в обслуживании (ЗОО)
- Защита каналов связи и сетевого взаимодействия (ЗКС)
- Защита систем искусственного интеллекта
Новая методика учитывает меры защиты информации, определенные в рамках 17 Приказа ФСТЭК, а также определяет новые направления. Полный список мер защиты информации, а также информация о классах системах для которых актуальны требования с учетом необходимости усиления мер, представлены в таблице ниже.
Где:
«+» – обязательная для реализации меры защиты
«цифра/цифра-буква» – требования к усилению меры защиты
«пустая ячейка» – исполнение несет рекомендательный характер или может использоваться для компенсации исполнения других мер защиты
| Условное обозначение и номер меры | Меры защиты информации в информационных системах | Классы защищенности информационной системы | ||
|---|---|---|---|---|
| 3 | 2 | 1 | ||
| 1. Идентификация и аутентификация (ИАФ) | ||||
| ИАФ.1 | Идентификация пользователей | + 1 |
+ 1, 2 |
+ 1, 2 |
| ИАФ.2 | Идентификация устройств | + 2 |
+ 2 |
+ 1 |
| ИАФ.3 | Аутентификация пользователей | + 1a |
+ 1b, 2, 6, 14 |
+ |
| ИАФ.4 | Аутентификация устройств | |||
| 2. Управление доступом (УПД) | ||||
| УПД.1 | Реализация модели управления доступом | + 1 |
+ 1, 2, 3 |
+ 1, 2, 3 |
| УПД.2 | Разграничение и контроль прав доступа | + 1, 2 |
+ 1, 2, 3 |
+ 1, 2, 3, 4 |
| УПД.3 | Управление учетными записями | + 1 |
+ 1, 2 |
+ 1, 2 |
| УПД.4 | Ограничение несуществующих и нерегламентированных полномочий доступа в информационную систему | + 1, 3, 5 |
+ 1, 2, 3, 4, 5, 6 |
+ |
| УПД.5 | Предупреждение пользователя при его доступе к информационной системе | + 1 |
+ 1, 2, 5, 6 |
+ 1, 2, 4, 5, 6 |
| УПД.6 | Оповещение пользователя о предыдущем входе в информационную систему | + 1 |
+ 1, 2, 5, 6 |
+ 1, 2, 4, 5, 6 |
| УПД.7 | Ограничение числа параллельных сеансов доступа | + 1 |
+ 1a |
+ |
| УПД.8 | Блокирование сеанса доступа пользователя при неактивности | + 1, 3, 4 |
+ 1, 2, 3, 4, 5 |
+ 1, 2, 3, 4, 5 |
| УПД.9 | Контроль действий субъектов доступа до идентификации и аутентификации | + | + | + |
| 3. Регистрация событий безопасности (РСБ) | ||||
| РСБ.1 | Определение событий безопасности и данных о них, подлежащих регистрации | + 1 |
+ 1,2 |
+ 1,2,3 |
| РСБ.2 | Анализ событий безопасности и реагирование на них | + | + | + |
| РСБ.3 | Генерация временных меток при регистрации событий безопасности | + | + | + |
| РСБ.4 | Требования к сбору, хранению и защите данных о событиях безопасности | + | + | + |
| РСБ.5 | Реагирование на сбои при регистрации событий безопасности | + | + | + |
| 4. Защита виртуализации облачных технологий (ЗСВ) | ||||
| ЗСВ.1 | Доверенная загрузка средства виртуализации и виртуальных машин | + | + | + |
| ЗСВ.2 | Контроль целостности средства виртуализации и виртуальных машин | + | + | + |
| ЗСВ.3 | Регистрация событий безопасности в среде виртуализации | + | + | + |
| ЗСВ.4 | Управление доступом в среде виртуализации | + | + | + |
| ЗСВ.5 | Резервное копирование в среде виртуализации | + | + | + |
| ЗСВ.6 | Ограничение программной среды в среде виртуализации | + | + | + |
| ЗСВ.7 | Защита памяти в среде виртуализации | + | + | + |
| 5. Защита контейнерных технологий (ЗКС) | ||||
| ЗКС.8 | Выявление уязвимостей в контейнерной среде | + | + | + |
| 6. Защита сервисов электронной почты (ЗЭП) | ||||
| ЗЭП.1 | Защита ящиков и сообщений электронной почты | + | + | + |
| ЗЭП.2 | Контроль доступа пользователей | + | + | + |
| ЗЭП.3 | Защита от вредоносных вложений | + | + | + |
| ЗЭП.4 | Защита от фишинга | + | + | + |
| ЗЭП.5 | Защита от спама | + | + | + |
| ЗЭП.6 | Защита метаданных и иной технической информации сервисов электронной почты | + | + | + |
| 7. Защита веб-технологий (ЗВТ) | ||||
| ЗВТ.1 | Защита пользовательских данных | + | + | + |
| ЗВТ.2 | Контроль доступа пользователей | + | + | + |
| ЗВТ.3 | Контроль и фильтрация трафика веб-приложений | + | + | + |
| ЗВТ.4 | Регистрация событий безопасности в вебприложениях и реагирование на них | + | + | + |
| ЗВТ.5 | Проверка файлов вебприложений на вредоносное программное обеспечение | + | + | + |
| ЗВТ.6 | Защита систем управления контентом | + | + | + |
| 8. Защита программных интерфейсов взаимодействия приложений API (ЗПИ) | ||||
| ЗПИ.1 | Защита данных API | + | + | + |
| ЗПИ.2 | Аутентификация и авторизация пользователей, устройств и приложений | + | + | + |
| ЗПИ.3 | Проверка на соответствие спецификации API | + | + | + |
| 9. Защита конечных устройств (ЗКУ) | ||||
| ЗКУ.1 | Контроль доступа | + | + | + |
| ЗКУ.2 | Контроль целостности | + | + | + |
| ЗКУ.3 | Антивирусная защита и обнаружение и предотвращение вторжений на конечных устройствах | + | + | + |
| ЗКУ.4 | Мониторинг процессов и состояния устройства | + | + | + |
| ЗКУ.5 | Контроль и фильтрация трафика на устройстве | + | + | + |
| ЗКУ.6 | Регистрация, анализ и реагирование на события безопасности | + | + | + |
| 10. Защита мобильных устройств (ЗМУ) | ||||
| ЗМУ.1 | Идентификация и аутентификация пользователей | + | + | + |
| ЗМУ.2 | Контроль доступа | + | + | + |
| ЗМУ.3 | Контроль целостности | + | + | + |
| ЗМУ.4 | Защита данных | + | + | + |
| ЗМУ.5 | Антивирусная защита | + | + | + |
| ЗМУ.6 | Контроль приложений | + | + | + |
| ЗМУ.7 | Ограничение и контроль функциональности | + | + | + |
| ЗМУ.8 | Определение и контроль геопозиции | + | + | + |
| ЗМУ.9 | Защита личных устройств | + | + | + |
| 11. Защита устройств «Интернета вещей» (ЗИВ) | ||||
| ЗИВ.1 | Идентификация и аутентификация | + | + | + |
| ЗИВ.2 | Контроль доступа | + | + | + |
| ЗИВ.3 | Защита данных | + | + | + |
| ЗИВ.4 | Контроль целостности | + | + | + |
| 12. Защита точек беспроводного доступа (ЗБД) | ||||
| ЗБД.1 | Идентификация и аутентификация | + | + | + |
| ЗБД.2 | Контроль доступа | + | + | + |
| ЗБД.3 | Защита пользовательских данных | + | + | + |
| ЗБД.4 | Контроль целостности | + | + | + |
| ЗБД.5 | Ограничение уровней сигналов | + | + | + |
| 13. Антивирусная защита (АВЗ) | ||||
| АВЗ.1 | Антивирусная защита устройств и серверов | + | + | + |
| АВЗ.2 | Антивирусная защита электронной почты | + | + | + |
| АВЗ.3 | Антивирусная проверка сетевого трафика | + | + | + |
| АВЗ.4 | Применение замкнутой программной среды исполнения («песочницы») | + | + | + |
| 14. Обнаружение и предотвращение вторжений на сетевом уровне (СОВ) | ||||
| СОВ.1 | Обнаружение и предотвращение вторжений на периметре | + | + | + |
| СОВ.2 | Обнаружение и предотвращение вторжений в сегментах информационной системы | + | + | + |
| 15. Сегментация и межсетевое экранирование (МСЭ) | ||||
| МСЭ.1 | Сегментация сети | + 1 |
+ 1 |
+ 1,2,3 |
| МСЭ.2 | Организация демилитаризованной зоны | + 1 |
+ 1, 2, 3 |
+ 1, 2, 3 |
| МСЭ.3 | Контроль сетевого доступа и фильтрация трафика | + | + | + |
| МСЭ.4 | Маскирование системы | |||
| МСЭ.5 | Создание ложных систем | |||
| 16. Защита от атак, направленных на отказ в обслуживании (ЗОО) | ||||
| ЗОО.1 | Контроль и фильтрация входящего трафика | + | + | + |
| ЗОО.2 | Мониторинг состояния сервисов и интерфейсов | + | + | + |
| ЗОО.3 | Балансировка нагрузки | + | + | + |
| ЗОО.4 | Ограничение скорости | + | + | + |
| ЗОО.5 | Поддержка резерва достаточной пропускной способности и расширение ресурсов при сбоях | + | + | + |
| 17. Защита каналов связи и сетевого взаимодействия (ЗКС) | ||||
| ЗКС.1 | Защита данных при передаче по каналам связи | + 1, 2 |
+ 1, 2 |
+ 1, 2, 3 |
| ЗКС.2 | Контроль атрибутов безопасности при сетевом взаимодействии | + | + | + |
| ЗКС.3 | Обеспечение подлинности сетевых соединений | + | + | + |
| ЗКС.4 | Контроль доступа к внешним ресурсам | + | + | + |
| ЗКС.5 | Контекстная проверка исходящего трафика | + | ||
| 18. Защита систем искусственного интеллекта | ||||
| ЗИИ.1 | Обеспечение безопасной разработки системы искусственного интеллекта | + | + | + |
| ЗИИ.2 | Защита системы искусственного интеллекта в ходе эксплуатации | + | + | + |
Подписывайтесь на канал ИТ. Право. Безопасность в Telegram
