Государственные информационные системы

Что такое государственная информационная система?

Презентация

Федеральный закон от 27.07.2006 N 149-ФЗ «Об информации, информационных технологиях и о защите информации» (далее — закона) содержит понятие информационной системы (в целом) и косвенно определяет ГИС.

Информационная система — это совокупность содержащейся в базах данных информации и обеспечивающих ее обработку информационных технологий и технических средств (п.3 ст. 2).

Согласно пп. 1, п. 1, ст. 13 государственные информационные системы — федеральные информационные системы и региональные информационные системы, созданные на основании соответственно федеральных законов, законов субъектов Российской Федерации, на основании правовых актов государственных органов.

Ст. 14 149-ФЗ определяет цели создания ГИС — это:

  1. Реализация полномочий государственных органов.
  2. Обеспечение обмена информацией между этими органами.
  3. В иных установленных федеральными законами целях.

В контексте закона понятие «государственный орган» соотносится с понятием «орган государственной власти». Для целей понимания темы, условимся, что понятия «орган государственной власти» и «государственный орган» идентичные.

Оператор ИС

Оператор — гражданин или юридическое лицо, осуществляющие деятельность по эксплуатации информационной системы, в том числе по обработке информации, содержащейся в ее базах данных.

Источники информации для ГИС

Согласно п. 3 ст. 14 149-ФЗ: источниками информации для ГИС является статистическая и иная документированная информация, предоставляемая гражданами (физическими лицами), организациями, государственными органами, органами местного самоуправления.

Правительством РФ Постановлением от 06 июля 2015г. №676 утверждены «Требования к порядку создания, развития, ввода в эксплуатацию, эксплуатации и вывода из эксплуатации государственных информационных систем и дальнейшего хранения содержащейся в их базах данных информации».

С точки зрения этого Постановления: требования обязательны для федеральных и региональных органов исполнительной власти, а для органов управления государственными внебюджетными фондами, органов местного самоуправления эти требования не являются требованиями, ибо носят рекомендательный характер.

Требования ИБ для ГИС

Пунктом 1 указанных Требований перечислены основные требования, которые должны осуществляться при создании, развитии, вводе в эксплуатацию, эксплуатации и выводе из эксплуатации ГИС:

  • требования регуляторов ФСБ и ФСТЭК;
  • требования к организации и мерам защиты информации, содержащейся в ГИС;
  • требования к защите к персональных данных, если таковые содержатся в ГИС.

В то же время, п. 5 ст. 16 149-ФЗ устанавливает, что требования регуляторов (ФСБ и ФСТЭК) в отношении защиты информации в ГИС должны исполняться повсеместно, то есть всеми органами.

Существует противоречие между Постановлением правительства № 676 и 149-ФЗ, однако стоит помнить, что федеральный закон имеет превалирующее положение и является главенствующим.

Выводы из теории

ГИС — это такая информационная система, которая обладает рядом характеристик:

  • создается на основании закона или акта государственного органа (федерального или регионального);
  • создается для обмена информацией и для реализации полномочий государственного органа, также цель создания может быть определена федеральным законом;
  • информационное наполнениедокументированная информация, которая предоставляется физическими лицами, организациями, государственными органами, органами местного самоуправления;
  • на ГИС распространяются требования регуляторов ФСТЭК и ФСБ.

Защита ГИС != защите ИСПДн

В РФ существует множество государственных информационных систем, которые подразделяются на федеральные и региональные. Организация, взаимодействующая с какой-либо из этих систем, обязана выполнять требования к защите данных, которые в ней обрабатываются. В зависимости от классификации, к разным информационным системам предъявляются разные требования, за несоблюдение которых применяются санкции — от штрафа до более серьезных мер.

К операторам государственных информационных систем, в которых ведется обработка информации ограниченного доступа (не содержащей сведений, составляющих государственную тайну), предъявляются требования, изложенные в Приказе ФСТЭК России от 11 февраля 2013 г. № 17 «Об утверждении требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах».

Также, если организация подключена к государственной информационной системе, то приказ ФСТЭК России № 17 обязывает аттестовать систему по Приказу ФСТЭК № 77, а для защиты информации должны применяться только сертифицированные средства защиты информации (имеющие действующие сертификаты ФСТЭК или ФСБ).

Нередки случаи, когда оператор информационной системы ошибочно относит ее к ГИС, в то время как она таковой не является. В итоге к системе применяются избыточные меры по защите.

Например, если по ошибке оператор информационной системы персональных данных классифицировал ее как государственную, ему придется выполнить более жесткие требования к безопасности обрабатываемой информации, чем того требует закон. Тем временем требования к защите информационных систем персональных данных, которые регулирует приказ ФСТЭК России № 21, менее жесткие и не обязывают аттестовать систему.

Различия ГИС и неГИС

Государственная информационная система создается, когда необходимо обеспечить:

  • реализацию полномочий госорганов;
  • информационный обмен между госорганами;
  • достижение иных установленных федеральными законами целей.

Понять, что информационная система относится к государственной, можно, используя следующий алгоритм:

  1. Узнать, есть ли законодательный акт, предписывающий создание информационной системы.
  2. Проверить наличие системы в Реестре федеральных государственных информационных систем. Подобные реестры существуют на уровне субъектов Федерации.
  3. Обратить внимание на назначение системы. Косвенным признаком отнесения системы к ГИС будет описание полномочий, которые она реализует.

Если система подразумевает обмен информацией между государственными органами, она с высокой долей вероятности будет государственной (например, система межведомственного электронного документооборота).

Это ГИС, что делать?

Приказ ФСТЭК России № 17 предписывает проведение следующих мероприятий по защите информации к операторам ГИС:

  • формирование требований к защите информации, содержащейся в информационной системе;
  • разработка системы защиты информации информационной системы;
  • внедрение системы защиты информации информационной системы;
  • аттестация информационной системы по требованиям защиты информации и ввод системы в ПЭ;
  • обеспечение защиты информации в ходе эксплуатации аттестованной информационной системы;
  • обеспечение защиты информации при выводе из эксплуатации аттестованной информационной системы или после принятия решения об окончании обработки информации и срока полезного использования системы с последующим актом о выводе системы из эксплуатации.

Организации, которые подключены к государственным информационным системам, должны выполнить следующие действия:

1

Провести классификацию ИС и определить угрозы безопасности

Классификация ИС проводится в соответствии с пунктом 14.2 17 приказа ФСТЭК.

Угрозы безопасности информации определяются по результатам

  • оценки возможностей нарушителей;
  • анализа возможных уязвимостей информационной системы;
  • анализа (или моделирования) возможных способов реализации угроз безопасности информации;
  • оценки последствий от нарушения свойств безопасности информации (конфиденциальности, целостности, доступности).

То есть, после реализации Модели угроз безопасности информации.

2

Сформировать требования к системе обработки информации

Требования к системе должны содержать:

  • цель и задачи обеспечения защиты информации в информационной системе;
  • класс защищенности информационной системы;
  • перечень нормативных правовых актов, методических документов и национальных стандартов, которым должна соответствовать информационная система;
  • перечень объектов защиты информационной системы;
  • требования к мерам и средствам защиты информации, применяемым в информационной системе.

3

Разработать систему защиты информации информационной системы

Для этого необходимо провести:

  • проектирование системы защиты информации информационной системы;
  • разработку эксплуатационной документации на систему защиты информации информационной системы;
  • макетирование и тестирование системы защиты информации информационной системы.

4

Провести внедрение системы защиты информации информационной системы

А именно:

  • установку и настройку средств защиты информации в информационной системе;
  • разработку документов, определяющих правила и процедуры, реализуемые оператором для обеспечения защиты информации в информационной системе в ходе ее эксплуатации (далее — организационно-распорядительные документы по защите информации);
  • внедрение организационных мер защиты информации;
  • предварительные испытания системы защиты информации информационной системы;
  • опытную эксплуатацию системы защиты информации информационной системы;
  • проверку построенной системы защиты информации на уязвимость;
  • приемочные испытания системы защиты информации информационной системы.

5

Аттестовать систему

А именно:

  • провести аттестационные испытания;
  • получить на руки аттестат соответствия.

Существует распространенное мнение, что для прохождения проверки контролирующих органов достаточно наличия организационно-распорядительных документов, поэтому операторы ГИС зачастую пренебрегают внедрением средств защиты.

Однако в случае возникновения вопросов к проверке могут быть привлечены специалисты из ФСТЭК и ФСБ. При этом ФСТЭК очень внимательно смотрит на состав технической защиты информации и проверяет правильность составления модели угроз, а ФСБ проверяет реализацию требований, касающихся использования средств криптографической защиты информации.

Классификация ГИС

Определение класса защищенности государственной информационной системы осуществляется в соответствии с Приказом ФСТЭК России от 11 февраля 2013 г. № 17 «Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах».

Класс защищенности информационной системы (первый класс (К1), второй класс (К2), третий класс (К3)) определяется в зависимости от уровня значимости информации (УЗ), обрабатываемой в этой информационной системе, и масштаба информационной системы (федеральный, региональный, объектовый).

Уровень значимости информации определяется степенью возможного ущерба для обладателя информации (заказчика) и (или) оператора от нарушения конфиденциальности (неправомерные доступ, копирование, предоставление или распространение), целостности (неправомерные уничтожение или модифицирование) или доступности (неправомерное блокирование) информации.

УЗ = [(конфиденциальность, степень ущерба) (целостность, степень ущерба) (доступность, степень ущерба)],

где степень возможного ущерба определяется обладателем информации (заказчиком) и (или) оператором самостоятельно экспертным или иными методами и может быть:

  • высокой, если в результате нарушения одного из свойств безопасности информации (конфиденциальности, целостности, доступности) возможны существенные негативные последствия в социальной, политической, международной, экономической, финансовой или иных областях деятельности и (или) информационная система и (или) оператор (обладатель информации) не могут выполнять возложенные на них функции;
  • средней, если в результате нарушения одного из свойств безопасности информации (конфиденциальности, целостности, доступности) возможны умеренные негативные последствия в социальной, политической, международной, экономической, финансовой или иных областях деятельности и (или) информационная система и (или) оператор (обладатель информации) не могут выполнять хотя бы одну из возложенных на них функций;
  • низкой, если в результате нарушения одного из свойств безопасности информации (конфиденциальности, целостности, доступности) возможны незначительные негативные последствия в социальной, политической, международной, экономической, финансовой или иных областях деятельности и (или) информационная система и (или) оператор (обладатель информации) могут выполнять возложенные на них функции с недостаточной эффективностью или выполнение функций возможно только с привлечением дополнительных сил и средств.

Информация имеет высокий уровень значимости (УЗ 1), если хотя бы для одного из свойств безопасности информации (конфиденциальности, целостности, доступности) определена высокая степень ущерба.

Информация имеет средний уровень значимости (УЗ 2), если хотя бы для одного из свойств безопасности информации (конфиденциальности, целостности, доступности) определена средняя степень ущерба и нет ни одного свойства, для которого определена высокая степень ущерба.

Информация имеет низкий уровень значимости (УЗ 3), если для всех свойств безопасности информации (конфиденциальности, целостности, доступности) определены низкие степени ущерба.

При обработке в информационной системе двух и более видов информации (служебная тайна, налоговая тайна и иные установленные законодательством Российской Федерации виды информации ограниченного доступа) уровень значимости информации (УЗ) определятся отдельно для каждого вида информации.

Итоговый уровень значимости информации, обрабатываемой в информационной системе, устанавливается по наивысшим значениям степени возможного ущерба, определенным для конфиденциальности, целостности, доступности информации каждого вида информации.

Класс защищенности информационной системы определяется в соответствии с таблицей:

Уровень значимости информацииМасштаб информационной системы
ФедеральныйРегиональныйОбъектовый
УЗ 1К1К1К1
УЗ 2К1К2К2
УЗ 3К2К3К3

Такие дела.

Опубликовано

в

от

Ternogon

Метки:

, , , ,