1. Общие положения
1.1 Настоящее Положение устанавливает организацию и порядок разработки систем защиты информации в информационных системах (ИС) города Москвы.
1.2 Положение разработано на основе действующих в Российской Федерации правовых и нормативных документов по защите информации и в соответствии с «Положением о защите информации в информационных системах и ресурсах органов исполнительной власти города Москвы».
1.3 Система защиты информации (далее – СЗИ) представляет собой комплекс организационных мер и программно-аппаратных средств обеспечения безопасности информации (защиты информации), включаемых в ИС.
1.4 Действие настоящего Положения распространяется также на работы, связанные с модернизацией ИС и СЗИ.
1.5 Настоящее Положение носит обязательный характер для всех органов власти и государственных организаций города Москвы.
2. Цель и задачи разработки систем защиты информации
2.1 Целью разработки СЗИ в ИС является (в соответствии с частями 1, 2, 3 Статьи 16 Федерального закона от 27 июля 2006 г. N 149-ФЗ «Об информации, информационных технологиях и о защите информации»):
– обеспечение конфиденциальности информации ограниченного доступа (защиты от неправомерного ознакомления и копирования);
– обеспечение целостности информации (защиты информации от неправомерного уничтожения и модификации);
– обеспечение доступности информации (реализации права на доступ к информации, защита от неправомерного блокирования доступа к информации).
2.2 Задачами разработки системы защиты информации в ИС являются:
– разработка обоснованных требований по обеспечению безопасности информации, предъявляемых к создаваемой ИС;
– разработка и реализация комплекса программно-аппаратных средств и организационных мероприятий, отвечающих заданным требованиям по обеспечению безопасности информации;
– проведение опытной эксплуатации и приемо-сдаточных испытаний СЗИ;
– проведение подготовительных мероприятий и предъявление ИС к аттестации на соответствие требованиям безопасности информации.
2.3 СЗИ, предназначенная для ИС, в которой будет обрабатываться общедоступная информация, должна удовлетворять требованиям базового уровня информационной безопасности устанавливаемого для ИС города Москвы.
Для ИС, в которой будет обрабатываться конфиденциальная информация, СЗИ должна соответствовать уровню информационной безопасности ИС для конфиденциальной информации.
3. Организация разработки систем защиты информации
3.1 Разработка СЗИ должна вестись на основе законов Российской Федерации, постановлений Правительства Российской Федерации и Правительства города Москвы в соответствии с нормативными документами в области обеспечения безопасности информации, включая принятые в Российской Федерации международные стандарты.
Для территориально распределенных, многоуровневых информационных систем и ИС, предназначенных для обработки конфиденциальной информации, СЗИ в виде подсистемы информационной безопасности ИС должна разрабатываться по отдельному техническому заданию (ТЗ) или частному техническому заданию (ЧТЗ). В остальных случаях требования на разработку СЗИ включаются в качестве отдельного раздела ТЗ на создание ИС.
3.2 Организация работ по разработке СЗИ возлагается на руководителя органа власти (организации) – государственного заказчика разработки ИС (далее – Заказчик). Методическое руководство и контроль за обеспечением создания СЗИ – на руководителя подразделения информационной безопасности (подразделение ИБ) Заказчика.
Подразделение ИБ Заказчика должно участвовать в разработке требований безопасности информации, аналитического обоснования необходимости создания СЗИ, согласовании выбора средств вычислительной техники и связи, программного обеспечения, средств защиты, согласовании ТЗ (ЧТЗ) на разработку СЗИ и проектной документации, участвовать в аттестации ИС по требованиям безопасности информации, а также организовать работы по выявлению угроз безопасности информации.
3.3 Разработка ИС и системы защиты информации в ее составе может осуществляться как подразделениями Заказчика, так и специализированными предприятиями (далее – Разработчик). При создании СЗИ для защиты конфиденциальной информации Разработчик должен иметь лицензию на соответствующий вид деятельности в области защиты информации.
Научно-техническое руководство и организацию работ по проектированию системы защиты информации осуществляет главный конструктор ИС или другое должностное лицо, обеспечивающее научно-техническое руководство всей разработкой ИС. Главный конструктор ИС или другое должностное лицо, выполняющее его функции, назначается распоряжением руководителя организации (Заказчика или Разработчика).
Привлечение специализированного предприятия в качестве Разработчика осуществляется на конкурсной основе установленным порядком.
3.4 В организации, для которой осуществляется разработка ИС, определяются подразделения (или отдельные специалисты), ответственные за разработку, внедрение (ввод в эксплуатацию) и эксплуатацию СЗИ.
3.5 Финансирование разработки системы защиты информации осуществляется Заказчиком из средств, выделяемых на создание ИС.
3.6 Организация разработки СЗИ, финансирование которой выполняется полностью или частично за счет средств бюджета города Москвы, должна удовлетворять требованиям утвержденного Правительством Москвы «Положения о формировании и исполнении городского государственного заказа на разработку (модернизацию) информационных систем и формирование информационных ресурсов города Москвы».
4. Стадии и этапы разработки систем защиты информации
4.1 Устанавливаются следующие стадии создания системы защиты информации в ИС:
– предпроектная стадия, включающая обследование объекта защиты (объекта автоматизации), разработку аналитического обоснования необходимости создания СЗИ и ТЗ (ЧТЗ) на создание подсистемы информационной безопасности для ИС или раздела ТЗ на создание ИС;
– стадия проектирования (разработки проектов) и создания СЗИ, включающая разработку и реализацию технических и организационных решений по обеспечению безопасности информации;
– стадия ввода СЗИ в действие, включающая опытную эксплуатацию СЗИ в составе ИС, приемо-сдаточные испытания СЗИ, аттестацию ИС. Аттестация ИС осуществляется в соответствии с «Положением по аттестации ИС города Москвы по требованиям безопасности информации».
5. Предпроектная стадия
5.1 На предпроектной стадии по результатам обследования объекта, для которого создается ИС:
– определяются (уточняются) угрозы безопасности информации;
– определяется модель вероятного нарушителя применительно к конкретным условиям функционирования ИС;
– устанавливается необходимость обработки конфиденциальной информации в ИС, оцениваются ее объемы, характер и условия использования;
– определяются конфигурация и топология ИС в целом и ее отдельных компонентов, физические, функциональные и технологические связи как внутри разрабатываемой ИС, так и с другими ИС;
– определяются технические средства и системы, предполагаемые к использованию в разрабатываемой ИС, условия их расположения;
– определяются общесистемные и прикладные программные средства, имеющиеся на рынке и предлагаемые к разработке;
– определяются режимы обработки информации в ИС;
– определяется, какие данные и компоненты ИС являются важными и должны дублироваться;
– определяется степень участия персонала в обработке (передаче, хранении) информации, характер их взаимодействия между собой и со службой информационной безопасности;
– определяются мероприятия по защите информации в процессе разработки ИС;
– разрабатывается аналитическое обоснование необходимости создания СЗИ;
– задаются конкретные требования соответствующего уровня ИБ (базовый или для конфиденциальной информации) к ИС, включаемые в ТЗ (ЧТЗ) на СЗИ или в ТЗ на создание ИС.
5.2 Необходимость обработки конфиденциальной информации в ИС, требования по ее (информации) защите устанавливает Заказчик на основании следующих документов:
– Нормативно-методический документ «Специальные требования и рекомендации по технической защите конфиденциальной информации (СТР-К)», (утвержден приказом Гостехкомиссии России от 30 августа 2002 г. №282);
– Руководящий документ «Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации» (утвержден решением председателя Гостехкомиссии России от 30 марта 1992 г.)
Выполнение других работ предпроектной стадии Заказчик может поручить специализированному предприятию, имеющему соответствующую лицензию.
5.3 Аналитическое обоснование необходимости создания системы защиты информации разрабатывается по результатам предпроектного обследования и должно содержать:
– информационную характеристику создаваемой ИС и описание организационной структуры, для которой эта ИС создается;
– характеристику комплекса технических средств, программного обеспечения, режимов работы, технологического процесса обработки информации ИС;
– угрозы безопасности информации и перечень мероприятий по их предупреждению и предотвращению;
– перечень предлагаемых к использованию сертифицированных средств защиты или обоснование необходимости их разработки (адаптации под конкретные условия функционирования ИС);
– обоснование необходимости привлечения специализированных предприятий для разработки СЗИ;
– оценку материальных, трудовых и финансовых затрат на разработку и внедрение системы защиты информации;
– ориентировочные сроки разработки и внедрения системы защиты информации;
– перечень мероприятий по обеспечению конфиденциальности информации при создании ИС.
Аналитическое обоснование согласовывается с главным конструктором ИС, руководителем службы информационной безопасности Заказчика и утверждается руководителем Заказчика.
Для ИС, создаваемых при участии Правительства Москвы, аналитическое обоснование также согласовывается с Уполномоченным органом Правительства Москвы по информационной безопасности.
5.4 ТЗ (ЧТЗ) на разработку подсистемы информационной безопасности ИС, раздел ТЗ на создание ИС должны содержать:
– обоснование необходимости разработки;
– исходные данные создаваемой ИС в техническом, программном, информационном и организационном аспектах;
– требования по обеспечению требуемого уровня информационной безопасности (базового или для конфиденциальной информации);
– ссылку на нормативные документы, с учетом которых будет разрабатываться СЗИ и вводиться в действие ИС;
– перечень предполагаемых к использованию сертифицированных средств защиты информации (обязательно для конфиденциальной информации);
– обоснование необходимости проведения разработок собственных средств защиты информации, невозможности или нецелесообразности использования имеющихся на рынке сертифицированных средств защиты информации;
– состав, содержание и сроки проведения работ по этапам разработки и внедрения;
– перечень подрядных организаций-исполнителей видов работ;
– перечень предъявляемой заказчику научно-технической продукции и документации.
ТЗ (ЧТЗ) на разработку СЗИ согласовывается с главным конструктором ИС, руководителем службы информационной безопасности Заказчика и утверждается руководителем Заказчика.
5.5 Требования безопасности информации задаются в соответствии с «Методическими рекомендациями по формированию требований к обеспечению информационной безопасности информационных систем и ресурсов органов исполнительной власти города Москвы» в виде набора требований для базового уровня информационной безопасности, а для уровня информационной безопасности конфиденциальной информации также задается класс защищенности.
5.6 Результаты предпроектного обследования в части наличия конфиденциальной информации должны базироваться на документально оформленных перечнях конфиденциальной информации. Конфиденциальность исходной информации, подлежащей автоматизированной обработке, а также выходной информации, получаемой в результате обработки, определяется Заказчиком ИС на основании «Классификатора конфиденциальной информации, содержащейся в информационных системах и ресурсах органов исполнительной власти города Москвы» (далее – «Классификатор») и документально, за подписью соответствующего руководителя, представляется Разработчику.
Разработчик использует «Классификатор» для рациональной организации потоков информации, мест ее хранения в ИС и организации учета в соответствии с «Положением о Реестре конфиденциальной информации, содержащейся в информационных системах и ресурсах органов исполнительной власти города Москвы».
5.7 В процессе создания ИС, в которой будет обрабатываться конфиденциальная информация, для определения конфиденциальности промежуточной информации, циркулирующей (обрабатываемой, хранимой и передаваемой) в ИС, а также оценки достаточности предлагаемых средств и мер защиты информации, приказом руководителя Заказчика создается экспертная комиссия, в состав которой включаются представители Заказчика, в том числе представители подразделения ИБ, и Разработчика. По согласованию в экспертную комиссию могут быть включены представители других организаций.
5.8 Экспертная комиссия проводит свою работу согласно планам разработки ИС поэтапно, и при этом рассматривает аналитическое обоснование, ТЗ (ЧТЗ), проектную и эксплуатационную документацию, в т. ч. устанавливает соответствие уровней конфиденциальности информационных объектов, подлежащих обработке (включая накопители, носители и массивы информации ИС), «Классификатору», правильность и обоснованность сроков хранения накопителей и носителей информации и их рассылки, достаточность предлагаемых мер защиты. Результатом работы экспертной комиссии являются заключения, утверждаемые руководителем Заказчика.
6. Стадия проектирования и создания СЗИ
6.1 На стадии проектирования ИС и системы защиты информации в ее составе на основе предъявляемых к системе требований и заданных Заказчиком ограничений на финансовые, материальные, трудовые и временные ресурсы осуществляются:
– разработка задания на строительные, строительно-монтажные работы (или реконструкцию) по оборудованию объектов информатизации (помещений) инженерными системами с учетом требований ТЗ (ЧТЗ) на разработку СЗИ;
– разработка раздела технического проекта на ИС в части защиты информации;
– строительно-монтажные работы в соответствии с проектной документацией, утвержденной Заказчиком, размещение и монтаж технических средств и систем на проектируемых объектах;
– разработка организационно-технических мероприятий по защите информации в соответствии с предъявляемыми требованиями;
– закупка сертифицированных образцов и серийно выпускаемых средств защиты информации и их установка;
– разработка (доработка) или закупка и последующая сертификация по требованиям безопасности информации программных средств защиты информации в случае, когда на рынке отсутствуют требуемые сертифицированные программные средства;
– организация охраны и физической защиты помещений ИС, исключающих несанкционированный доступ к техническим средствам обработки, хранения и передачи информации, их хищение и нарушение работоспособности, хищение носителей информации;
– разработка и реализация разрешительной системы доступа пользователей и персонала ИС к обрабатываемой информации, оформляемой в виде раздела «Положения о разрешительной системе допуска исполнителей к документам и сведениям в организации»;
– определение Заказчиком подразделений и лиц, ответственных за эксплуатацию СЗИ, обучение назначенных лиц специфике работ по защите информации при эксплуатации ИС;
– выполнение инсталляции пакета прикладных программ в комплексе с программными средствами защиты информации;
– разработка эксплуатационной документации СЗИ (инструкций, руководств);
– разработка организационно-распорядительных документов по обеспечению ИБ (приказов, распоряжений и других документов);
– выполнение других мероприятий, специфичных для конкретных ИС и направлений защиты информации.
6.1.1 На стадии проектирования ИС разрабатывается и оформляются документация СЗИ, состоящая из:
– пояснительной записки с кратким изложением состава средств и мер защиты и принятых решений по техническим, программным (в т.ч. криптографическим), средствам и организационным мерам защиты информации с указанием их соответствия требованиям ТЗ (ЧТЗ);
– описания технического, программного, информационного обеспечения и технологии обработки (передачи) информации;
– плана организационно-технических мероприятий по подготовке ИС к внедрению средств и мер защиты информации;
– инструкций и руководств по эксплуатации технических и программных средств защиты для пользователей, администраторов, а также для работников подразделения ИБ организации.
Кроме указанной документации в организации для обеспечения создания СЗИ оформляется следующая распорядительная документация на ИС:
– о разработке ИС,
– о создании соответствующих подразделений разработки и (или) назначении ответственных исполнителей;
– о формировании группы обследования и назначении ее руководителя;
– о заключении соответствующих договоров на проведение работ;
– о назначении лиц, ответственных за функционирование ИС;
– о начале обработки в ИС информации.
7. Стадия ввода в действие
7.1 На стадии ввода в действие ИС и системы защиты информации в ее составе осуществляются:
– опытная эксплуатация средств защиты информации в комплексе с другими техническими и программными средствами в целях проверки их работоспособности в составе ИС и отработки технологического процесса обработки (передачи) информации;
– приемо-сдаточные испытания средств защиты информации с оформлением приемо-сдаточного акта, подписываемого Разработчиком и Заказчиком;
– аттестация ИС на соответствие требованиям безопасности информации.
7.2 На стадии ввода СЗИ в действие оформляются:
– акты внедрения средств защиты информации по результатам их приемо-сдаточных испытаний;
– предъявительский акт к проведению аттестационных испытаний;
– заключение по результатам аттестационных испытаний;
– Аттестат соответствия.
7.3 Аттестация ИС по требованиям безопасности информации проводится в соответствии с «Положением по аттестации ИС города Москвы по требованиям безопасности информации».
7.4 Контроль состояния и эффективности защиты информации создаваемой СЗИ осуществляется подразделением ИБ организации (предприятия), государственными и ведомственными органами контроля и заключается в оценке выполнения требований нормативных документов, обоснованности принятых мер, проверке выполнения норм эффективности защиты информации в соответствии с «Положением о порядке проведения контроля защищенности информационных систем города Москвы».