Руслан Рахметов, Security Vision
Продолжаем цикл публикаций, посвященных нормативным требованиям, соотносящимся с использованием систем SGRC. В этой статье рассмотрим законодательство применительно к защите информации, содержащейся в государственных информационных системах, а также к защите персональных данных. И в заключение изучим Проект национального стандарта ГОСТ Р "Защита информации. Мониторинг информационной безопасности. Общие положения".
Приказ ФСТЭК России № 17 от 11.02.2013 "Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах" (в редакции Приказов ФСТЭК России № 27, № 106).
14. Формирование требований к защите информации, содержащейся в информационной системе, осуществляется обладателем информации (заказчиком).
Формирование требований к защите информации, содержащейся в информационной системе, осуществляется с учетом ГОСТ Р 51583 "Защита информации. Порядок создания автоматизированных систем в защищенном исполнении. Общие положения" (далее - ГОСТ Р 51583) и ГОСТ Р 51624 "Защита информации. Автоматизированные системы в защищенном исполнении. Общие требования" (далее - ГОСТ Р 51624) и в том числе включает:
принятие решения о необходимости защиты информации, содержащейся в информационной системе;
классификацию информационной системы по требованиям защиты информации (далее - классификация информационной системы);
определение угроз безопасности информации, реализация которых может привести к нарушению безопасности информации в информационной системе, и разработку на их основе модели угроз безопасности информации;
определение требований к системе защиты информации информационной системы.
…
14.3. … Модель угроз безопасности информации должна содержать описание информационной системы и ее структурно-функциональных характеристик, а также описание угроз безопасности информации, включающее описание возможностей нарушителей (модель нарушителя), возможных уязвимостей информационной системы, способов реализации угроз безопасности информации и последствий от нарушения свойств безопасности информации.
…
16.6. Анализ уязвимостей информационной системы проводится в целях оценки возможности преодоления нарушителем системы защиты информации информационной системы и предотвращения реализации угроз безопасности информации.
Анализ уязвимостей информационной системы включает анализ уязвимостей средств защиты информации, технических средств и программного обеспечения информационной системы.
При анализе уязвимостей информационной системы проверяется отсутствие известных уязвимостей средств защиты информации, технических средств и программного обеспечения, в том числе с учетом информации, имеющейся у разработчиков и полученной из других общедоступных источников, правильность установки и настройки средств защиты информации, технических средств и программного обеспечения, а также корректность работы средств защиты информации при их взаимодействии с техническими средствами и программным обеспечением.
В случае выявления уязвимостей информационной системы, приводящих к возникновению дополнительных угроз безопасности информации, проводится уточнение модели угроз безопасности информации и при необходимости принимаются дополнительные меры защиты информации, направленные на устранение выявленных уязвимостей или исключающие возможность использования нарушителем выявленных уязвимостей.
По результатам анализа уязвимостей должно быть подтверждено, что в информационной системе отсутствуют уязвимости, содержащиеся в банке данных угроз безопасности информации ФСТЭК России, а также в иных источниках, или их использование (эксплуатация) нарушителем невозможно.
…
17.1. В качестве исходных данных, необходимых для аттестации информационной системы, используются модель угроз безопасности информации, акт классификации информационной системы, техническое задание на создание информационной системы и (или) техническое задание (частное техническое задание) на создание системы защиты информации информационной системы, проектная и эксплуатационная документация на систему защиты информации информационной системы, организационно-распорядительные документы по защите информации, результаты анализа уязвимостей информационной системы, материалы предварительных и приемочных испытаний системы защиты информации информационной системы, а также иные документы, разрабатываемые в соответствии с настоящими Требованиями.
…
18.2. В ходе анализа угроз безопасности информации в информационной системе в ходе ее эксплуатации осуществляются:
выявление, анализ и устранение уязвимостей информационной системы;
анализ изменения угроз безопасности информации в информационной системе;
оценка возможных последствий реализации угроз безопасности информации в информационной системе.
…
18.3. В ходе управления (администрирования) системой защиты информации информационной системы осуществляются:
…
управление средствами защиты информации информационной системы;
управление обновлениями программных и программно-аппаратных средств, в том числе средств защиты информации, с учетом особенностей функционирования информационной системы;
централизованное управление системой защиты информации информационной системы (при необходимости);
…
18.4. В ходе управления конфигурацией информационной системы и ее системы защиты информации осуществляются:
определение лиц, которым разрешены действия по внесению изменений в конфигурацию информационной системы и ее системы защиты информации, и их полномочий;
определение компонентов информационной системы и ее системы защиты информации, подлежащих изменению в рамках управления конфигурацией (идентификация объектов управления конфигурацией): программно-аппаратные, программные средства, включая средства защиты информации, их настройки и программный код, эксплуатационная документация, интерфейсы, файлы и иные компоненты, подлежащие изменению и контролю;
управление изменениями информационной системы и ее системы защиты информации: разработка параметров настройки, обеспечивающих защиту информации, анализ потенциального воздействия планируемых изменений на обеспечение защиты информации, санкционирование внесения изменений в информационную систему и ее систему защиты информации, документирование действий по внесению изменений в информационную систему и сохранение данных об изменениях конфигурации;
контроль действий по внесению изменений в информационную систему и ее систему защиты информации.
…
18.7. В ходе контроля за обеспечением уровня защищенности информации, содержащейся в информационной системе, осуществляются:
контроль (анализ) защищенности информации с учетом особенностей функционирования информационной системы;
анализ и оценка функционирования информационной системы и ее системы защиты информации, включая анализ и устранение уязвимостей и иных недостатков в функционировании системы защиты информации информационной системы;
…
Приложение №2 к Приказу ФСТЭК России № 17.
IV. Защита машинных носителей информации (ЗНИ):
ЗНИ.1 - Учет машинных носителей информации
VIII. Контроль (анализ) защищенности информации (АНЗ):
АНЗ.1 - Выявление, анализ уязвимостей информационной системы и оперативное устранение вновь выявленных уязвимостей
АНЗ.2 - Контроль установки обновлений программного обеспечения, включая обновление программного обеспечения средств защиты информации
АНЗ.3 - Контроль работоспособности, параметров настройки и правильности функционирования программного обеспечения и средств защиты информации
АНЗ.4 - Контроль состава технических средств, программного обеспечения и средств защиты информации
8. В состав мер по обеспечению безопасности персональных данных, реализуемых в рамках системы защиты персональных данных с учетом актуальных угроз безопасности персональных данных и применяемых информационных технологий, входят:
...
защита машинных носителей информации, на которых хранятся и (или) обрабатываются персональные данные (далее - машинные носители персональных данных);
...
контроль (анализ) защищенности персональных данных;
...
управление конфигурацией информационной системы и системы защиты персональных данных.
…
8.4. Меры по защите машинных носителей персональных данных (средств обработки (хранения) персональных данных, съемных машинных носителей персональных данных) должны исключать возможность несанкционированного доступа к машинным носителям и хранящимся на них персональным данным, а также несанкционированное использование съемных машинных носителей персональных данных.
...
8.8. Меры по контролю (анализу) защищенности персональных данных должны обеспечивать контроль уровня защищенности персональных данных, обрабатываемых в информационной системе, путем проведения систематических мероприятий по анализу защищенности информационной системы и тестированию работоспособности системы защиты персональных данных.
…
8.15. Меры по управлению конфигурацией информационной системы и системы защиты персональных данных должны обеспечивать управление изменениями конфигурации информационной системы и системы защиты персональных данных, анализ потенциального воздействия планируемых изменений на обеспечение безопасности персональных данных, а также документирование этих изменений.
…
Приложение к Приказу ФСТЭК России № 21.
IV. Защита машинных носителей персональных данных (ЗНИ):
ЗНИ.1 - Учет машинных носителей персональных данных
VIII. Контроль (анализ) защищенности информации (АНЗ):
АНЗ.1 - Выявление, анализ уязвимостей информационной системы и оперативное устранение вновь выявленных уязвимостей
АНЗ.2 - Контроль установки обновлений программного обеспечения, включая обновление программного обеспечения средств защиты информации
АНЗ.3 - Контроль работоспособности, параметров настройки и правильности функционирования программного обеспечения и средств защиты информации
АНЗ.4 - Контроль состава технических средств, программного обеспечения и средств защиты информации
XV. Управление конфигурацией информационной системы и системы защиты персональных данных (УКФ):
УКФ.2 - Управление изменениями конфигурации информационной системы и системы защиты персональных данных
УКФ.3 - Анализ потенциального воздействия планируемых изменений в конфигурации информационной системы и системы защиты персональных данных на обеспечение защиты персональных данных и согласование изменений в конфигурации информационной системы с должностным лицом (работником), ответственным за обеспечение безопасности персональных данных
УКФ.4 - Документирование информации (данных) об изменениях в конфигурации информационной системы и системы защиты персональных данных
Общий регламент о защите данных (General Data Protection Regulation, GDPR) действует в Евросоюзе с 25.05.2018, его нормы о защите персональных данных граждан ЕС распространяются на любые организации, работающие с персональными данными резидентов Евросоюза, т.е. любая российская компания, работающая с данными европейских граждан, будет обязана соблюдать положения GDPR.
Пункт 83: Для поддержания должного уровня информационной безопасности и соответствия GDPR, контролер (controller) или обработчик (processor) персональных данных должны оценить риски обработки персональных данных и внедрить меры для снижения этих рисков, такие как шифрование. Эти меры должны обеспечивать приемлемый уровень информационной безопасности, включая конфиденциальность, с учетом состояния современных технологий и стоимости внедрения по сравнению с рисками и свойствами обрабатываемых персональных данных. …
Статья 28, п. 3, п/п «h»: Обработчик (processor) персональных данных предоставляет контролеру (controller) всю необходимую информацию для демонстрации соответствия законодательным требованиям, изложенным в данной статье, и помогает в проведении аудитов, включая инспекции, проводимых контролёром или аудитором, получившим полномочия от контролера.
Статья 32, п. 1: Учитывая состояние современных технологий, стоимость внедрения и природу, объем, контекст и цели обработки персональных данных, также как и риски переменной вероятности и серьезности ущерба для прав и свобод субъектов персональных данных, контролер (controller) и обработчик (processor) должны внедрить соответствующе технические и организационные меры для обеспечения уровня безопасности, соответствующего риску, включая, в частности:
…
(b) возможность обеспечить непрерывную конфиденциальность, целостность, доступность и киберустойчивость систем и сервисов обработки персональных данных;
…
(d) процесс регулярного тестирования, оценки и измерения эффективности технических и организационных мер, обеспечивающих безопасность обработки персональных данных.
Статья 47, п. 2, п/п «j»: Корпоративные правила должны включать в себя механизмы проверки, включающие аудит защиты данных и методы проверки выполнения корректирующих действий для защиты прав субъекта персональных данных.
Статья 47, п. 2, п/п «k»: Корпоративные правила должны включать в себя механизмы отчетности и записи сделанных изменений в корпоративных правилах, а также доклад об этих изменениях контролирующему органу.
Проект национального стандарта ГОСТ Р "Защита информации. Мониторинг информационной безопасности. Общие положения" опубликован ФСТЭК России 11.08.2020, зарегистрирован в Росстандарте 27.07.2021, ожидается ввод в действие с 01.04.2022.
4.2 В рамках мероприятий по мониторингу информационной безопасности должны быть решены следующие задачи:
б) в части мероприятий контроля (анализа) защищенности информации:
1) выявление (поиск) уязвимостей;
2) разработка описаний выявленных уязвимостей;
3) контроль установки обновлений программного обеспечения, включая программное обеспечение средств защиты информации;
4) контроль состава программно-технических средств, виртуального аппаратного обеспечения, программного обеспечения и средств защиты информации (инвентаризация);
5) контроль соответствия настроек программного обеспечения и средств защиты информации установленным требованиям безопасности (политикам безопасности);
6) информирование ответственных лиц о результатах поиска уязвимостей, контроля установки обновлений программного обеспечения, контроля состава программно-технических средств, программного обеспечения и средств защиты информации.
...
5.1.2 При формировании перечня источников данных следует учитывать необходимость получения следующей информации:
…
б) данных о результатах выявления (поиска) уязвимостей, в том числе:
1) уязвимостей в общесистемном (общем) программном обеспечении;
2) уязвимостей в прикладном программном обеспечении;
3) уязвимостей в специальном программном обеспечении;
4) уязвимостей в программно-технических средствах;
5) уязвимостей в портативных программно-технических средствах;
6) уязвимостей в сетевом (коммуникационном, телекоммуникационном) оборудовании;
7) уязвимостей в средствах защиты информации.
в) данных о результатах контроля обновлений программного обеспечения, в том числе:
1) обновлений баз данных, необходимых для реализации функций безопасности средства защиты информации (обновление баз данных признаков вредоносных компьютерных программ (вирусов) средств антивирусной защиты, баз сигнатур уязвимостей средств контроля (анализа) защищенности, баз решающих правил систем обнаружения вторжений и других);
2) обновлений, направленных на устранение уязвимостей средства (средств) защиты информации;
3) обновлений, направленных на добавление функции (функций) безопасности средства (средств) защиты информации, на совершенствование реализации функции (функций) безопасности средства (средств) защиты информации, на расширение числа поддерживаемых программных и аппаратных платформ (если необходимость таких обновлений была определена по результатам анализа изменения угроз безопасности информации в информационных (автоматизированных) системах, возникающих в ходе их эксплуатации);
4) обновлений, направленных на устранение уязвимостей общесистемного, прикладного и иного программного обеспечения.
г) данных о результатах контроля состава программно-технических средств, программного обеспечения и средств защиты информации (инвентаризационных данных), включая:
1) архитектуру информационных (автоматизированных) систем (сетевые адреса и имена);
2) местоположение узлов информационных (автоматизированных) систем;
3) назначение узлов информационных (автоматизированных) систем;
4) функционирующие сетевые службы;
5) сведения об источниках событий безопасности;
6) характеристики программно-технических средств, программного обеспечения и средств защиты информации;
7) принадлежность программно-технических средств подразделениям оператора информационных (автоматизированных) систем (сведения о владельцах);
8) принадлежность программно-технических средств соответствующим информационным (автоматизированным) системам;
9) конфигурацию узлов информационных (автоматизированных) систем.
д) данных о результатах контроля соответствия настроек программного обеспечения и средств защиты информации установленным требованиям безопасности (политикам безопасности);
…
5.2.12 К инструментальным средствам сбора данных относятся:
- средства управления информацией об угрозах безопасности информации;
…
- средства (системы) контроля (анализа) защищенности;
- средства инвентаризации программно-технических средств, программного обеспечения и средств защиты информации.