Аннотация

Настоящий документ определяет объекты защиты информации и субъекты доступа к информационным системам и ресурсам города Москвы (ИСиР), основные требования по защите информации ИСиР, общие требования по организации работ по обеспечению защиты информации ИСиР органов исполнительной власти и организаций города Москвы, основные положения по обеспечению контроля соответствия требованиям по защите информации ИСиР.

Документ предназначен для органов исполнительной власти города Москвы и городских организаций, выполняющих функции заказчиков создания, эксплуатации и технической поддержки ИСиР, в том числе подсистем информационной безопасности,  и автоматизированных систем защиты информационных ресурсов города Москвы.

Содержание

1.  Общие положения. 4

2.  Объекты защиты.. 5

3.  Цели защиты информации. 6

4.  Основные требования по защите информации. 7

5.  Организация работ по защите информации. 8

6.  Комплекс работ по обеспечению защиты информации. 11

7.  Контроль состояния защиты информации. 14

Приложение 1 Основные виды угроз информационной безопасности. 18

Приложение 2 Меры по защите конфиденциальной информации. 20

Приложение 3 Порядок создания и эксплуатации систем защиты информации в составе АС.. 23

Приложение 4 (справочное) Примерный состав и функции службы администрирования ИСиР. 28

1.       Общие положения

1.1 Защита информации информационных систем и ресурсов органов исполнительной власти и организаций города Москвы является составной частью мероприятий, проводимых в рамках информатизации органов государственного управления города Москвы, муниципальных образований города, организаций и предприятий города Москвы, и осуществляется в соответствии с законодательством и требованиями нормативно-технических документов в области защиты информации.

1.2 Положение устанавливает:

–       объекты защиты информации и субъекты доступа к информации информационных систем и ресурсов города Москвы (ИСиР);

–        основные требования по защите информации ИСиР;

–       общие требования по организации работ по обеспечению защиты информации ИСиР органов исполнительной власти и организаций города Москвы;

–       основные положения по обеспечению контроля соответствия требованиям по защите информации ИСиР.

Организация и контроль защиты информации ИСиР рассматриваются в Положении с учетом задач обеспечения информационной безопасности, определенных Доктриной информационной безопасности Российской Федерации (введена Указом Президента РФ от 09.09.2000 №Пр-1895).

1.3 Информационные системы и информационные ресурсы рассматриваются в Положении как автоматизированные системы[1] (АС).

Термины и определения, используемые в Положении, приведены в документе «Информационная безопасность информационных систем и ресурсов органов исполнительной власти и организаций города Москвы. Термины и определения».

При подготовке Положения использован документ «Информационная безопасность информационных систем и ресурсов органов исполнительной власти и организаций города Москвы. Нормативные документы».

1.4 Действие Положения распространяется на организацию работ по защите открытой и конфиденциальной информации. Положение не распространяется на работы по защите информации, составляющей государственную тайну, организация защиты которой регламентируется действующим законодательством и соответствующими нормативными документами.

1.5 Требования данного Положения обязательны для выполнения всеми органами исполнительной власти города Москвы, муниципальными образованиями, городскими организациями и предприятиями, являющимися собственностью города Москвы, а также организациями (предприятиями) и гражданами, имеющими доступ к АС.

Проведение любых работ по созданию и эксплуатации АС без принятия необходимых мер по защите информации, определенных настоящим Положением, не допускается.

2.       Объекты защиты

2.1 Защите подлежит информация, имеющая различную структуру и обрабатываемая средствами вычислительной техники, представленная в виде информативных электрических сигналов, физических полей, носителей на бумажной, магнитной, магнитно-оптической и иной основе.

Объектами защиты при этом являются:

–       открытая, общедоступная информация;

–       информация ограниченного доступа – конфиденциальная информация, в том числе информация, составляющая служебную тайну, коммерческую тайну, профессиональную тайну, персональные данные и иные сведения установленные законодательными актами;

–       АС различного уровня и назначения на базе средств вычислительной техники, средства и системы связи и передачи данных в АС, программные средства (операционные системы, системы управления базами данных, другое общесистемное и прикладное программное обеспечение), используемые для сбора, хранения, обработки и передачи информации, средства защиты информации, на которых осуществляется сбор, обработка и хранение информации.

2.2 Определение и категорирование подлежащей защите информации осуществляют Государственные заказчики (заказчики) создания и эксплуатации АС в соответствии с действующим законодательством на основании “Перечня сведений конфиденциального характера органа исполнительной власти (организации) города Москвы”.

3.       Цели защиты информации

3.1 Цели защиты ИСиР состоят  в обеспечении:

–       конфиденциальности информации (защите от утечки, разглашения информации ограниченного доступа);

–       целостности информации (защите информации от искажения и уничтожения);

–       доступности информации (защите от блокировки доступа к информации пользователей).

3.2 Защита информации ИСиР обеспечивается реализацией комплекса программно-аппаратных средств и организационных мероприятий по противодействию потенциальным угрозам, которые направлены на объект защиты и могут нанести ущерб собственнику или владельцу информационного ресурса и / или информационной системы.

Основные виды угроз информационной безопасности ИСиР приведены в приложении 1.

Конкретная АС, как объект защиты, характеризуется своей совокупностью угроз, зависящей от условий, в которых создается или функционирует система, и имеет уязвимости, используя которые могут быть реализованы угрозы и нарушена защита.

3.3 Государственный заказчик создания (эксплуатации) АС (далее –госзаказчик) на основании настоящего Положения и других руководящих документов по информационной безопасности должен выполнить комплекс мероприятий  по защите информации соответствующей категории, исходя из требуемого уровня информационной безопасности объекта защиты, задаваемого при создании (проектировании) АС.

4.       Основные требования по защите информации

4.1 Требования по защите информации должны основываться на положениях закона Российской Федерации “Об информации, информатизации и защите информации”, “Специальных требований и рекомендаций по технической защите конфиденциальной информации (СТР-К)”, закона города Москвы от 24.10.01 №52-ЗК “Об информационных ресурсах и информатизации города Москвы”, других правовых и нормативно-технических документов по защите информации.

4.2 В зависимости от состава (категории) информации и потенциальных угроз для определения требуемых мероприятий по защите информации, а также для минимизации затрат на защиту информации, устанавливаются два уровня информационной безопасности АС:

1. Базовый уровень информационной безопасности АС.

2. Уровень информационной безопасности АС для конфиденциальной информации.

Первый (базовый) уровень информационной безопасности устанавливается для АС, в которых обрабатывается общедоступная информация. Второй уровень – для АС, в которых обрабатывается конфиденциальная информация.

4.3 Конкретные требования по защите информации и мероприятия по их выполнению определяются для АС в целом в зависимости от уровня информационной безопасности, устанавливаемого объекту защиты в соответствии с “Методическими рекомендациями по формированию требований к обеспечению информационной безопасности информационных систем и ресурсов города Москвы”.

5.       Организация работ по защите информации

5.1 Защита информации в АС различного уровня и назначения является неотъемлемой составной частью научной, производственной и управленческой деятельности заказчиков создания (эксплуатации) ИСиР и должна осуществляться во взаимосвязи с другими мерами по защите информации.

Организация защиты информации органов исполнительной власти и организаций города Москвы включает два уровня:

–       уровень единой информационной среды органов исполнительной власти и организаций города;

–       уровень организации (органа исполнительной власти, учреждения, предприятия).

Госзаказчики организуют защиту информации на уровне организации.

5.2 Основными задачами обеспечения защиты информации ИСиР на уровне единой информационной среды города Москвы являются:

–       формирование технической политики в области защиты информационно-коммуникационных технологий (ИКТ);

–       координация деятельности органов власти города Москвы в сфере защиты информации ИСиР и оценка эффективности принимаемых мер;

–       взаимодействие с уполномоченными федеральными и региональными государственными органами в области защиты информации;

–       организация исследований и анализа состояния защиты информации города;

–       координация межрегиональной и международной деятельности по обеспечению защиты информации ИСиР;

–       организация учета конфиденциальной информации ИСиР;

–       организация мониторинга и контроля эффективности защиты информации ИСиР в органах исполнительной власти и организациях города Москвы;

–       организация обеспечения защиты информации ИСиР на уровне городской инфраструктуры и обмена информацией в единой информационной среде органов исполнительной власти и организаций города;

–       создание и обеспечение функционирования инфраструктурных комплексной системы защиты информации города (удостоверяющих уполномоченных центров, центра резервного хранения данных, центра мониторинга событий информационной безопасности и других объектов).

Деятельность по обеспечению защиты информации ИСиР организуется уполномоченными Правительством Москвы органами исполнительной власти города Москвы по выполнению функций координации и контроля работ в области информационной безопасности. Научно-методическое руководство работами по созданию и развитию систем защиты информации осуществляет Генеральный конструктор городской целевой программы “Электронная Москва”.

5.3 Госзаказчики  и другие организации, имеющие доступ в ИСиР, должны решать следующие задачи по защите информации:

–       планирование работ по созданию и совершенствованию систем защиты информации на конкретных объектах информатизации;

–       управление защитой информации на конкретных объектах информатизации;

–       анализ и прогнозирование потенциальных угроз для конкретных объектов информатизации;

–       оценка возможного ущерба от реализации угроз;

–       реализация политики города Москвы;

–       контроль эффективности принимаемых защитных мер и разбор случаев нарушения.

5.4 На уровне организации ответственность за обеспечение защиты ИСиР возлагается на руководителей органов исполнительной власти и руководителей организаций.

Для обеспечения информационной безопасности ИСиР создаются службы (подразделения) информационной безопасности в органах исполнительной власти города Москвы или отдельные должности штатного расписания органов исполнительной власти и/или городских организаций, находящихся в их юрисдикции, укомплектованные специалистами – ответственными за обеспечение информационной безопасности (далее – подразделение ИБ). При необходимости отдельные службы ИБ могут создаваться на предприятиях, учреждениях, подведомственных органам исполнительной власти города Москвы.

Подразделение ИБ подчиняется непосредственно руководителю организации или его заместителю.

Специалисты подразделения ИБ должны иметь необходимую квалификацию в области информационной безопасности и проходить периодическую переподготовку (повышение квалификации) в соответствии с программами послевузовского профессионального образования.

Для проведения работ по созданию и эксплуатации системы защиты информации АС могут привлекаться специализированные организации (предприятия), имеющие лицензии на право проведения работ в области защиты информации.

5.5 Подразделение ИБ осуществляет свою деятельность в соответствии с “Положением о подразделении информационной безопасности” и выполняют следующие задачи по обеспечению защиты информации:

–       реализация технической политики и политики информационной безопасности города Москвы, а также рекомендаций вышестоящих органов по защите информации;

–       координация работ по защите информации в подразделениях организации;

–       прогнозирование, выявление и анализ угроз информации и принятия эффективных мер противодействия угрозам;

–       планирование, разработка и реализация предложений по организации и совершенствованию системы защиты информации;

–       контроль за установкой, настройкой и сопровождением средств защиты информации;

–       контроль выполнения положений политики информационной безопасности города Москвы сотрудниками организации;

–       участие в комиссиях по расследованию случаев нарушения информационной безопасности.

5.6 В соответствии с проектными решениями системы защиты информации АС или по решению руководителя органа исполнительной власти (организации) для организации комплексной защиты процесса обработки информации ИСиР может быть создана служба комплексного администрирования ИСиР состав и функции которой приведены в приложении 4.

5.7 Должностные лица, специалисты и граждане, имеющие права доступа к информационным системам и ресурсам города Москвы, несут ответственность в соответствии с действующим законодательством и/или условиями договора, трудового соглашения (контракта) за нарушение порядка обращения с информационными ресурсами или документами, содержащими конфиденциальную информацию, разглашение конфиденциальной информации, нарушения требований нормативных документов, а также за иные действия, направленные на нарушение защищенности информации и требований по защите информации.

6.       Комплекс работ по обеспечению защиты информации

6.1 Мероприятия по защите информации должны выполняться на всех этапах жизненного цикла ИСиР (предпроектная стадия, разработка проекта, ввод в действие, эксплуатация, снятие с эксплуатации и утилизация). Меры защиты информации ограниченного распространения приведены в приложении 2.

Общий порядок организации работ по созданию и эксплуатации АС и ее системы защиты информации определяется в приложении 3. Более подробно организация работ определена в “Положении о порядке организации и проведения работ по защите информации при ее автоматизированной обработке”.

6.2 Госзаказчики в соответствии с нормативно-техническими документами, регламентирующими порядок создания и ввода в действие автоматизированных систем, должны обеспечить выполнение следующих мероприятий в области защиты информации.

6.2.1 На предпроектной стадии создания ИСиР различного уровня и назначения (доработки системы в части обеспечения защиты информации) проводится обследование ИСиР и выполняются следующие работы:

–       категорирование информации, циркулирующей в системе, построение модели объекта защиты;

–       разработка и анализ моделей угроз, уязвимостей ИСиР, способов их нейтрализации, задание уровня информационной безопасности  АС;

–       разработка концептуальных (стратегических) подходов к организации защиты объекта применительно к условиям жизнедеятельности данной организации, тактики обеспечения информационной безопасности организации (организационных и технических решений по защите объекта, реализующие безопасный режим работы), технических требований к защите информации ИСиР и технических заданий.

Выполнение работ предпроектной стадии осуществляется на основе “Концепции информационной безопасности в органах исполнительной власти города Москвы”, опыта исследований и разработок по планам городской целевой программы “Электронная Москва”.

Документы предпроектной стадии должны быть согласованы с Генеральным конструктором ГЦП “Электронная Москва”.

6.2.2 На стадии проектирования ИСиР (доработки, модификации) выполняются следующие работы:

–       разработка (эскизное, техническое и рабочее проектирование) проектных решений по обеспечению защиты информации ИСиР, средств защиты информации, исходя из заданного уровня информационной безопасности ИСиР;

–       реализация системы мероприятий по обнаружению, локализации, нейтрализации воздействия угроз безопасности информации и устранению уязвимостей;

–       реализация плана организационно-технических мероприятий по подготовке объекта информатизации к внедрению, включая определение подразделений и лиц, ответственных за эксплуатацию средств защиты информации, разработку организационно-распорядительных документов, обучение назначенных лиц специфике работ по защите информации при эксплуатации объекта информатизации.

Проектирование системы защиты информации объекта должно выполняться в соответствии с «Положение о порядке разработки систем защиты информации в автоматизированных системах города Москвы» и, как правило, должно осуществляться на основе типовых проектных решений по защите информации ИСиР, реализуемых по планам мероприятий городской целевой программы “Электронная Москва”

Проектные решения должны быть согласованы с Генеральным конструктором ГЦП “Электронная Москва”.

6.2.3 На стадии ввода в действие ИСиР выполняются следующие работы:

–       опытная эксплуатация средств защиты информации в комплексе с другими техническими и программными средствами в целях проверки их работоспособности в составе ИСиР;

–       приемо-сдаточные испытания средств защиты информации;

–       проведение аттестации объектов информатизации (ИСиР) в соответствии с действующими нормативно-техническими документами.

Аттестация АС на соответствие требованиям безопасности проводиться в соответствии с «Положением по аттестации АС города Москвы по требованиям безопасности информации» комиссией с привлечением необходимых специалистов или аккредитованными в установленном порядке органами по аттестации в соответствии с закрепленной “Аттестатом аккредитации” за этим органом области аккредитации.

6.2.4 Эксплуатация ИСиР осуществляется в соответствии с утвержденной организационно-распорядительной и эксплуатационной документацией, подготовленной с учетом требований «Положения о порядке проведения эксплуатации систем защиты информации в АС города Москвы». На объектах защиты в процессе эксплуатации ведется мониторинг и контроль состояния защищенности, выполняются необходимые доработки и  модернизация ИСиР.

6.3 Состав и содержание работ, проектной, проектно-сметной и эксплуатационной документации на каждой из стадий жизненного цикла ИСиР определяются действующими нормативно-техническими документами и договорами на выполнение работ. Состав нормативных и организационно-распорядительных документов, регламентирующих процессы защиты информации на стадиях жизненного цикла системы информационной безопасности приведены в таблице 1.

7.       Контроль состояния защиты информации

7.1 Мониторинг и контроль состояния защиты информации в ИСиР (далее – контроль) осуществляется с целью своевременного выявления и предотвращения утечки, несанкционированного доступа к информации, преднамеренных программно-технических воздействий на объект защиты.

Контроль состояния защиты информации и оценка эффективности средств защиты является неотъемлемой составной частью работ по защите информации при создании и эксплуатации ИСиР.

Основными задачами контроля являются проверка соответствия принятых и принимаемых мер по защите информации требованиям настоящего Положения и других требований по обеспечению информационной безопасности в ИСиР, проверка своевременности и полноты выполнения требований нормативных документов, регламентирующих организацию и порядок осуществления мероприятий по защите информации.

Таблица 1

Разработка документов по стадиям создания системы

7.2 На объектах защиты (ИСиР) города Москвы должны осуществлять следующие виды контроля:

–       плановый – осуществляется специально назначенными руководителем органа исполнительной власти (организации) должностными лицами или комиссиями в соответствии с планом контроля эффективности мер защиты информации, а также перед вводом технических и программных средств в эксплуатацию;

–       внеплановый – осуществляется специально назначенной комиссией по распоряжению руководителя организации (учреждения) или вышестоящего органа.

Аттестация объектов информатизации (аттестационный контроль) осуществляется органом исполнительной власти (организацией), органами государственной власти, аккредитованными ими организациями  с периодичностью, указанной в аттестате соответствия или по заявкам организаций при изменении условий, указанных в «Аттестате соответствия».

7.3 Контроль состояния защиты информации при создании и эксплуатации организуется руководителями организации (предприятий) и осуществляется подразделением ИБ при участии аккредитованной организации в соответствии с «Положение о порядке проведения контроля защищенности АС города Москвы».

Оценка эффективности мер защиты информации должна производиться с использованием соответствующих технических средств и методик контроля. Мониторинг событий информационной безопасности ИСиР осуществляется централизовано на средствах Центра мониторинга – компоненты инфраструктуры комплексной системы информационной безопасности города Москвы.

Несоответствие мер установленным требованиям или нормам по защите информации является нарушением.

7.4 При нарушении, связанном с невыполнением (ненадлежащим выполнением) требований или норм по защите информации, в результате чего создана предпосылка, имелась или имеется реальная возможность нарушения нормального состояния информационной безопасности системы, руководитель организации обязан:

–       немедленно прекратить работы на участке (рабочем месте), где обнаружены нарушения, и принять меры по их устранению;

–       организовать в установленном порядке расследование причин и условий появления нарушений с целью недопущения их в дальнейшем и привлечения к ответственности виновных лиц;

–       сообщить в уполномоченный орган управления информатизацией города Москвы и в вышестоящий орган управления города о вскрытых нарушениях и принятых мерах по их устранению.

Возобновление работ разрешается после устранения нарушений и проверки достаточности и эффективности принятых мер. Контроль за устранением нарушений осуществляется уполномоченным органом управления информатизацией города Москвы. Результаты контроля оформляются актами, заключениями и записями в специальных журналах.

Приложение 1
Основные виды угроз информационной безопасности

Основными видами угроз информационной безопасности ИСиР являются: противоправные действия третьих лиц, ошибочные действия пользователей и обслуживающего персонала, отказы и сбои программных средств, вредоносные программные воздействия на средства вычислительной техники и информацию, приводящие к ее модификации, блокированию, искажению или уничтожению, а также к утечке информации.

Кроме действий человека (умышленные, ошибочные или случайные) источниками угроз информационной безопасности ИСиР являются сбои и отказы программных и технических средств вычислительной техники, техногенные катастрофы, акты терроризма, стихийные бедствия и т.п.

Понятие утечка связано только с информацией ограниченного доступа (конфиденциальной информацией) и в общем случае трактуется как выход информации из сферы обращения. Под утечкой понимается несанкционированный доступ к информации, т.е. доступ в нарушение правил разграничения доступа к информации, которые устанавливает собственник информационного ресурса и / или информационной системы.

При этом рассматривается только доступ к информации посредством применяемых в АС информационных технологий (ИТ) и непосредственный доступ к носителям информации (не рассматривается утечка информации посредством ее распространения в различного вида физических полях – по так называемым техническим каналам, так как риск такого вида утечки конфиденциальной информации достаточно низок,).

В отличие от утечки информации блокирование, модификация, искажение и уничтожение объекта защиты может произойти как вследствие несанкционированного доступа человека к ресурсам АС, так и по причинам, не зависящим от человека. При этом искажение и уничтожение объекта защиты (например, изменение или замена программ управления вычислительным процессом) также может привести к утечке информации.

Несанкционированный доступ не всегда влечет за собой утечку, блокирование, искажение или уничтожение объекта защиты, что, в свою очередь, не всегда приводит к значимому ущербу. Тем не менее, несанкционированный доступ к ресурсам АС определяется как основополагающий фактор нарушения безопасности  при рассмотрении проблем обеспечения защиты информации ИСиР, противодействия угрозам.

Угроза информационной безопасности может реализоваться только при наличии уязвимостей объекта защиты. Уязвимость это свойство ИСиР (АС) или  компонентов АС, используя которое реализуются угрозы.

Уязвимость возникает в АС, в основном, из-за недоработок или ошибок, содержащихся в продуктах ИТ, а также вследствие ошибок при проектировании АС, которые могут привести к поведению АС неадекватному целям обеспечения ее безопасности. Кроме того, уязвимости могут появляться в результате неправильной эксплуатации АС.

Приложение 2
Меры по защите конфиденциальной информации

Обеспечение защиты ИСиР, соответствующей  уровню информационной безопасности объекта защиты, содержащего конфиденциальную информацию  должно  предусматривать комплекс организационных, программных, технических, средств и мер по защите информации ограниченного доступа.

К основным мерам защиты информации с ограниченным доступом относятся:

–       выделение информации с ограниченным доступом, средств и систем защиты информации или их компонентов, подлежащих защите на основе  ограничительных перечней сведений, разрабатываемых органами власти, на предприятиях и в организациях с учетом особенностей автоматизированной обработки информации, а также определение порядка отнесения информации к категории конфиденциальной;

–       реализация разрешительной системы допуска исполнителей (пользователей, обслуживающего персонала) к работам, документам и информации с ограниченным доступом;

–       ограничение доступа персонала и посторонних лиц в помещения, где размещены средства информатизации и коммуникации, на которых обрабатывается (хранится, передается) информация с ограниченным доступом, непосредственно к самим средствам информатизации и коммуникациям;

–       разграничение доступа пользователей и обслуживающего персонала к информационным ресурсам, программным средствам обработки (передачи) и защиты информации;

–       учет документов, информационных массивов, регистрация действий пользователей АС и обслуживающего персонала, контроль за санкционированным и несанкционированным доступом и действиями пользователей, обслуживающего персонала и посторонних лиц;

–       надежное хранение традиционных и машинных носителей информации, ключей (ключевой документации) и их обращение, исключающее их хищение, подмену, изменение (модификацию) и уничтожение;

–       необходимое резервирование технических средств и дублирование массивов и носителей информации;

–       использование сертифицированных средств защиты информации при обработке информации ограниченного доступа;

–       использование технических средств, удовлетворяющих требованиям стандартов по электромагнитной совместимости;

–       проверка эффективности защиты технических средств и систем в реальных условиях их размещения и эксплуатации с целью определения достаточности мер защиты с учетом установленной категории;

–       физическая защита помещений и собственно технических средств АС с помощью сил охраны и технических средств, предотвращающих или существенно затрудняющих проникновение в здания, помещения посторонних лиц, хищение документов и информационных носителей;

–       криптографическое преобразование информации, обрабатываемой и передаваемой средствами вычислительной техники и связи (при необходимости, определяемой особенностями функционирования конкретных АС);

–       исключение возможности визуального (в том числе, с использованием оптических средств наблюдения) несанкционированного просмотра обрабатываемой информации;

–       предотвращение внедрения в автоматизированные системы программ-вирусов, программных закладок;

–       использование волоконно-оптических линий связи для передачи информации с ограниченным доступом;

–       использование защищенных каналов связи.

В целях дифференцированного подхода к защите информации, осуществляемого в целях разработки и применения необходимых и достаточных средств защиты информации, а также обоснованных мер по достижению требуемого уровня информационной безопасности, проводится классификация автоматизированных систем, обрабатывающих информацию с ограниченным доступом либо разрабатываются Профили защиты (в соответствии с ГОСТ Р ИСО/МЭК 15408).

Классификации подлежат все действующие, но ранее не классифицированные, и разрабатываемые АС, предназначенные для обработки информации с ограниченным доступом.

Если АС, классифицированная ранее, включается в состав вычислительной сети или системы и соединяется с другими техническими средствами линиями связи различной физической природы, образуемая при этом АС более высокого уровня классифицируется в целом, а в отношении АС нижнего уровня классификация не производится.

Если объединяются АС различных классов защищенности, то интегрированная АС должна классифицироваться по высшему классу защищенности входящих в нее АС, за исключением случаев их объединения посредством межсетевого экрана, когда каждая из объединяющихся АС может сохранять свой класс защищенности. Требования к используемым при этом межсетевым экранам изложены в Руководящем документе “Средства вычислительной техники. Межсетевые экраны. Защита от НСД к информации. Показатели защищенности от НСД к информации” (Утвержден решением Председателя Гостехкомиссии России от 25.07.97).

Приложение 3
Порядок создания и эксплуатации систем защиты информации в составе АС

Разработка АС и ее системы защиты информации может осуществляться как подразделениями органа исполнительной власти (организации), так и специализированными предприятиями, имеющими лицензию на соответствующий вид деятельности в области защиты информации.

Организация работ по защите информации возлагается на руководителей предприятий и учреждений, руководителей подразделений, разрабатывающих и эксплуатирующих АС, а методическое руководство и контроль за обеспечением защиты информации – на руководителя подразделения ИБ (ответственного за обеспечение информационной безопасности).

Научно-техническое руководство и организацию работ по проектированию (модернизации) АС и ее системы защиты информации осуществляет главный конструктор АС или другое должностное лицо, обеспечивающее научно-техническое руководство всей разработкой АС.

В случае разработки системы защиты информации или ее отдельных компонент специализированным предприятием, на предприятии (в организации), для которого осуществляется разработка АС (предприятие-заказчик), определяются подразделения (или отдельные специалисты), ответственные за организацию и проведение (внедрение и эксплуатацию) мероприятий по защите информации.

Разработка и внедрение системы защиты информации осуществляется во взаимодействии разработчика с подразделением ИБ организации-заказчика, которая осуществляет методическое руководство и участие в разработке конкретных требований по защите информации, аналитического обоснования необходимости создания системы защиты информации, согласование выбора средств вычислительной техники и связи, технических и программных средств защиты, организацию работ по выявлению возможностей и предупреждению утечки и нарушения целостности защищаемой информации, участвует в согласовании технических заданий на проведение работ, в аттестации АС.

Устанавливаются следующие стадии создания системы защиты информации:

–       предпроектная стадия, включающая предпроектное обследование объекта информатизации, разработку аналитического обоснования необходимости создания системы защиты информации и технического (частного технического) задания на ее создание;

–       стадия проектирования (разработки проектов) и реализации АС, включающая разработку системы защиты информации в составе АС;

–       стадия ввода в действие системы защиты информации, включающая опытную эксплуатацию и приемо-сдаточные испытания средств защиты информации, а также аттестацию АС на соответствие требованиям безопасности информации.

Предпроектное обследование может быть поручено специализированному предприятию, имеющему соответствующую лицензию, но и в этом случае анализ информационного обеспечения в части состава и структуры конфиденциальной информации целесообразно выполнять представителям предприятия-заказчика при методической помощи специализированного предприятия. На этой стадии разрабатываются аналитическое обоснование и техническое задание на создание системы или частное техническое задание на подсистему информационной безопасности АС.

На стадии проектирования и реализации АС и системы защиты информации в ее составе на основе предъявляемых к системе требований и заданных заказчиком ограничений на финансовые, материальные, трудовые и временные ресурсы осуществляются:

–       разработка задания и проекта на строительные, строительно-монтажные работы (или реконструкцию) АС в соответствии с требованиями ТЗ (ЧТЗ) на разработку системы защиты информации;

–       разработка раздела технического проекта на АС в части защиты информации;

–       строительно-монтажные работы в соответствии с проектной документацией, утвержденной заказчиком, размещение и монтаж технических средств и систем;

–       разработка организационно-технических мероприятий по защите информации в соответствии с предъявляемыми требованиями;

–       закупка сертифицированных образцов и серийно выпускаемых в защищенном исполнении технических средств обработки, передачи и хранения информации, либо их сертификация или специсследования;

–       закупка сертифицированных образцов и серийно выпускаемых технических и программных (в т.ч. криптографических) средств защиты информации и их установка;

–       разработка (доработка) или закупка и последующая сертификация по требованиям безопасности информации программных средств защиты информации в случае, когда на рынке отсутствуют требуемые сертифицированные программные средства;

–       организация охраны и физической защиты помещений АС, исключающих несанкционированный доступ к техническим средствам обработки, хранения и передачи информации, их хищение и нарушение работоспособности, хищение носителей информации;

–       разработка и реализация разрешительной системы доступа пользователей и эксплуатационного персонала АС к обрабатываемой информации, оформляемой в виде раздела “Положения о разрешительной системе допуска исполнителей к документам и сведениям на предприятии (в организации)”;

–       определение заказчиком подразделений и лиц, ответственных за эксплуатацию средств и мер защиты информации, обучение назначенных лиц специфике работ по защите информации на стадии эксплуатации АС;

–       выполнение генерации пакета прикладных программ в комплексе с программными средствами защиты информации;

–       разработка организационно-распорядительной и рабочей документации по эксплуатации АС в защищенном исполнении, а также средств и мер защиты информации (приказов, инструкций и других документов);

–       выполнение других мероприятий, специфичных для конкретных АС и направлений защиты информации.

Задание на проектирование оформляется отдельным документом, согласовывается с проектной организацией, подразделением ИБ организации-заказчика в части достаточности мер по защите информации и утверждается заказчиком.

На стадии проектирования и реализации АС оформляются технический и рабочий (техно-рабочий) проект и эксплуатационная документация системы защиты информации.

На стадии ввода в действие АС и системы защиты информации в ее составе осуществляются:

–       опытная эксплуатация средств защиты информации в комплексе с другими техническими и программными средствами в целях проверки их работоспособности в составе АС и отработки технологического процесса обработки (передачи) информации;

–       приемо-сдаточные испытания средств защиты информации по результатам опытной эксплуатации с оформлением приемо-сдаточного акта, подписываемого разработчиком (поставщиком) и заказчиком;

–       аттестация АС на соответствие требованиям безопасности информации.

На этой стадии оформляются:

–       акты внедрения средств защиты информации по результатам их приемо-сдаточных испытаний;

–       предъявительский акт к проведению аттестационных испытаний;

–       заключение по результатам аттестационных испытаний.

Эксплуатация АС осуществляется в соответствии с утвержденной организационно-распорядительной и эксплуатационной документацией.

Контроль состояния и эффективности защиты информации осуществляется подразделением ИБ организации (предприятия), отраслевыми и федеральными органами контроля и заключается в оценке выполнения требований нормативных документов, обоснованности принятых мер, проверке выполнения норм эффективности защиты информации ограниченного доступа по действующим методикам с применением поверенной контрольно-измерительной аппаратуры и сертифицированных программных средств контроля.

Приложение 4
(справочное)
Примерный состав и функции службы администрирования ИСиР

Служба комплексного администрирования ИСиР должна обеспечивать администрирование информационной безопасности, администрирование операционных систем, администрирование сетей (локальных и глобальных вычислительных систем и сетей), администрирование баз данных и систем управления базами данных.

Администратор защиты (безопасности) информации обеспечивает: регистрацию пользователей, формирование матрицы доступа к вычислительным и информационным ресурсам АС, учет наступления системных событий, связанных с инициализацией функций автоматизированной системы, изменением ее конфигурации, а также изменением прав доступа, формирование параметров входа в систему (идентификатора) и шифрключей, контроль текущего функционального состояния системы.

Администратор операционных систем отвечает за генерацию операционных систем и их сопровождение (тестирование работоспособности, восстановление и т.п.), обновление версий операционных систем (анализ необходимости перехода на новые версии, разработку перечня мероприятий по переводу на новую версию).

Администратор сети отвечает за ее функционирование, создает структуру каталога сети; обеспечивает необходимый уровень защиты; следит за рациональным использованием ресурсов, определяет политику развития сети, ведет описание технической конфигурации сети, ее функциональной структуры, структуры клиентов, имеющих доступ к информационным ресурсам АС, формирует список пользователей допущенных к работе с АС.

Администратор баз данных отвечает за генерацию систем управления базами данных, сопровождение и управление информационными ресурсами, создание и ведение классификаторов, ввод и модификацию нормативно-справочной информации, сохранение резервных копий, восстановление искаженной информации, архивирование информации и организацию поступления информации из архива; обработку и анализ статистической информации о характере и интенсивности использования данных, о распределении нагрузки на различные компоненты структуры баз данных, внесение изменений в структуру баз данных в процессе эксплуатации системы с целью повышения производительности, обеспечивает ввод и поддержание в актуальном состоянии общих разделов баз данных (классификаторов).